Préparatifs SSTIC

Voilà je suis fin prêt pour le SSTIC. Oui, vu la date c'est pas trop tôt. Enfin l'an dernier j'avais réservé mon hotel deux jours avant le début, et acheté mon billet aller 10 minutes avant le départ du train (je fais toujours ça, je paie plein pot :)).
M'étant acheté un appareil photo à l'occasion de vacances l'an dernier je pourrai enfin immortaliser certains moments avec autre chose que l'appareil photo 1,3mpx de mon téléphone portable, et peut-être même filmer les rump sessions! (l'an dernier, la qualité de la vidéo était vraiment trop mauvaise pour que j'ose la mettre à disposition)
Sinon, le texte de la LOPPSI est enfin disponible. Je l'ai lu sur http://www.loppsi.fr/. Le passage le plus amusant (lulz) se trouve au chapitre V, article 23 (ça fait un peu biblique dit comme ça, genre le Lévitique, Chapitre 19)
Pour finir, le dernier album de Marilyn Manson est sorti. C'est clairement mieux que l'inqualifiable merde qu'il avait osé nous sortir la dernière fois (eh oui, je n'écoute pas que du black metal !)

Ils ont l'air d'être bien partis là

Je m'étais déjà exprimé à ce sujet il y a plusieurs mois (peut-être pas de la plus intelligente des manières, as usual). A l'époque cela concernant nos amis britanniques. Avec la LOPPSI, ça va être chez nous très bientôt (la LOPSI2, vu que la loi existante, la LOPSI, semble complètement inefficace, enfin, non-performante, d'où le 2e 'p')

Bien et donc, un journal semble donner quelques informations. Morceaux choisis, avec mes commentaires cyniques au possible:

Concrètement, la police judiciaire pénétrera chez le suspect aidée d'un serrurier, de jour comme de nuit. Elle posera sur sa machine une clé de connexion, sorte de clé USB qui s'enfiche à l'arrière ou, mieux, à l'intérieur, sur l'un des ports disponibles. Et le mouchard renverra les données vers les ordinateurs des autorités. Rien n'empêchera désormais la police d'installer à distance des logiciels pirates, sortes de chevaux de Troie, qui la renseigneront en temps réel sur tout ce qui entre et sort d'un PC ou d'un Mac.

- Déjà, pénétrer chez le suspect, ça peut être un peu sport comme on dit. Entre ceux qui vivent dans des cités surveillées en permanence par des guetteurs qui alertent les gens un peu louches dès que quelque chose ressemblant à la police arrive, puis les gars paranos qui ont des alarmes chez eux (par exemple, certaines assurances refusent d'assurer la maison de certains proprios s'ils font pas installer des alarmes chez eux) et d'autres qui utilisent des softs de surveillance via webcam, cette tache peut s'avérer ardue, et ça, serrurier ou pas.

- Ensuite, pour poser une "clé de connexion" (bon, on se doute que c'est une sorte de dongle wifi usb, peut etre 3G/similaire, et encore, sur lequel il y a éventuellement une sorte de disque flash dans lequel il y aura un fichier style backdoor.exe qui se lancera, se cachera peut etre dans la liste des processus (voire même tournera dans un hyperviseur) et fera plein de choses dans le dos du suspect), c'est pas mal. Mais c'est pas un peu voyant par contre ? Surtout que ça dépendra des ports disponibles. Il se passe quoi s'il n'y a plus de ports usb libres ? Et s'il y en a, et qu'ils sont juste en façade ? dans ce cas on débranche tous les trucs du suspect pour avoir une prise libre à l'arrière de la machine et on branche son clavier usb en façade ? et c'est pas voyant ? Alors il y a toujours des possibilités sur des ports PCI/PCI-E, mais là encore, s'il n'y a plus de ports de libre en interne ? (carte son/télé/autre). Puis en plus de la visibilité physique, il y a la visibilité logicielle (je ne sais pas sous Windows s'il est évident de cacher un matériel dans le gestionnaire de périphériques, mais sous Linux, cacher ça d'un lspci ou de dmesg, ça me semble déjà plus sportif (même si ça n'est pas infaisable)).

Sachant que si en plus on complexifie la chose, et que le suspect a laissé son PC allumé, si on opte pour la solution "port pci", je ne suis pas certain que ça soit plug n' play à ce point. Il faut dans ce cas redémarrer l'équipement pour procéder à l'installation du driver sous Windows (je ne suis pas expert windows, donc je dis peut etre des conneries énormes, si c'est le cas, n'hésitez vraiment pas à me le dire). Puis là c'est le drame si l'utilisateur a mis en plus un mot de passe. Ou pire, si son disque est chiffré. On peut aussi trouver cette activité sexy même si c'est juste un dongle sur un port USB et que l'utilisateur est parti en fermant sa session.

On achève l'ensemble de l'idée si le suspect utilise un ordinateur portable. Niveau visibilité des ports USB, on fait pas mieux. En terme d'emplacements internes, c'est pas évident (perso, j'ai encore pas vu un pc portable avec un emplacement pci/mini pci libre), et en plus, leur gus il le laissera peut etre même pas chez lui, ce qui fait que ses messieurs de la police se seront dérangés pour rien.

- Reste ensuite la partie "envoi des données vers les ordinateurs des autorités". Bon ok, la configuration réseau de 99% des particuliers ayant une connexion ADSL chez eux c'est un bête truc avec une MachinBOX reliée au réseau, avec un ou plusieurs ordinateurs en NAT derrière. Mais dans certains cas, des fous furieux configurent le firewall de leur machinbox en mode strict, qui ne permet quasiment aucune communication extérieure sauf vers des IP précises et identifiées (genre l'IP d'un serveur quelque part vers lequel on envoie tout via un tunnel SSH). Puis celui qui voit les diodes de son modem clignoter alors qu'il ne fait rien va peut etre se poser des questions, et lancer un wireshark. Ou un tcpview (sysinternals) et voir des communications étranges.

En guise de conclusion, je deviendrais presque parano à me demander si notre gouvernement ne fait pas exprès de nous balancer coup sur coup deux lois visant à TENTER de contrôler ce qui se passe sur internet, impossible à appliquer (HADOPI et LOPSI2) tant les écueils sont nombreux (et leur incompétence, flagrante), afin d'imposer à l'avenir aux fabriquants l'intégration d'une backdoor MoI approved en expliquant que c'est le seul moyen d'arriver à faire appliquer ces lois et que c'est pour la sûreté nationale.

Si vous avez des trucs à ajouter: unleash the fury

Rapport d'étude, partie 1 (dessins et crypto)

Lors de mes aventures sur IRC, je suis tombé sur un lien qui, ma foi, semble poser quelques éléments de réponse quant à ce qui composera le futur « logiciel de sécurisation » dont l'installation sera très prochainement, vivement recommandée afin d'éviter de s'attirer les foudres de la toute-puissante HADOPI (et deviendra certainement obligatoire par la suite une fois que l'on nous aura inventé un nouveau délit, suivi d'une nouvelle loi et d'une nouvelle Haute Autorité (qui donc se placera plus Haut, en terme de puissance, qu'une autre Autorité existante))

Bref, ce lien, quel est-il ? Il s'agit d'un RAPPORT D'ETUDE des solutions de filtrage des échanges de musique sur Internet dans le domaine du peer to peer. Rien que ça.Il est disponible à cette adresse:

http://www.culture.gouv.fr/culture/actualites/rapports/filtrage/charte.pdf

S'il n'est plus disponible, mailez moi (n'oubliez pas PGP), je vous en enverrai une copie (pourquoi PGP/GPG ? Pour pas qu'en surveillant le trafic mail on puisse voir que je fais du recel de contrefaçon d'un document du ministère de la culture, tiens!)

Alors je me suis dit « Enfin! De la lecture intéressante et qui va me donner quelques éléments de réponse quant à ce qu'a prévu le ministère de la culture pour re-dynamiser le secteur de la culture en France, et permettre à nos artistes de pouvoir, enfin, manger à leur faim! »

Alors on nous balance des graphiques sur le trafic peer2peer pour nous montrer que c'est une proportion énorme du trafic Internet. Soit. Mais avant que bittorrent ou autres emule ne fassent leur apparition, des protocoles comme FTP devaient représenter une part non négligeable de la bande passante globale, et ça n'en faisait pas pour autant un fléau; et pourtant, ça servait aussi au partage de données copyright-ées de manière illégale, mais pas seulement (la vieille époque des /pub en +rw accessibles en anonymous (ce même anonymous qui menace nos élus)...souvenirs). Mais j'imagine bien une réunion dans un bureau, style salle de réunion immense, réunissant tout ce beau peuple qui nous a pondu HADOPI (enfin, la loi création et internet), avec un powerpoint bourré de camemberts comme ceux du rapport (dont le temps de calcul dans excel est très certainement supérieur au temps passé pour faire l'étude dont il est question dans ce rapport)

Puis, la partie qui m'a fait le plus frémir (de rage), c'est à la page 11, la partie qui nous parle de crypto. Alors déjà, je vois venir les plus puristes d'entre vous, et rassurez vous, c'est la même chose qui m'a fait tiquer: l'usage de mots tels que « encryptage », « cryptage ». Quelqu'un qui se veut un minimum sérieux ne devrait pas utiliser ces termes. Je pense. Bon puis on nous dit que SSL, SSH et Freenet sont utilisés par ces outils illégaux pour masquer leur trafic. Vlà-t'y pas qu'on va nous rendre SSH illégal (je me rappelle l'époque où, plus jeune, j'avais acheté un magazine sur GNU/Linux, dont le CD-ROM contenait SSF, la version french-crypto-law-compliant de SSH) à ce rythme là. On voit qu'un outil de « peer to peer » comme soft-ether utilise à la fois SSH et SSL pour ça. J'avoue ne pas avoir trouvé quoi que ce soit à propos d'un outil de peer to peer nommé SoftEther. Si quelqu'un a des infos à ce sujet, ça m'intéresse (j'ai surtout trouvé des infos à propos d'un malware nommé comme ça en fait). Puis surtout, on nous dit que les logiciels peer2peer opensource, on peut plonger dans leur code (puisque disponible) pour comprendre comment fonctionne le protocole afin de mieux le filtrer, même si chiffré (crypté, dans leur dialecte). On sait déjà pas vraiment (enfin, uniquement dans certaines conditions qui relèvent du rêve) détecter du trafic HTTP dans un tunnel SSH (voir http://coderrr.wordpress.com/2008/06/28/detecting-ssh-tunnels/ ) et là on nous sort qu'une boite sait détecter du trafic p2p circulant dans un tunnel chiffré. Pas mal. Bon, il s'agit de protocoles absolument pas connus (perso je connais pas filetopia et le reste).

Bref, à ce stade là du document, je reste sur le cul, et je me dis que la partie suivante sur Ipv6 va me faire rire encore un peu avant d'aller manger. En fait, ça me fait juste sourire:

L’évolution du protocole Internet vers IP V6 va apporter, outre l’extension des plages d’adressage IP disponibles, des évolutions sur les fonctions d'authentification et de sécurité de TCP/IP, avec notamment la généralisation du protocole IPSec et des fonctions de chiffrement DES.

Les fonctions de chiffrement DES. On sent là encore l'étude très poussée. Genre on va généraliser l'adoption d'un algorithme de chiffrement obsolète depuis pas mal de temps déjà (ça va faire 10 ans quand même qu'AES remplace DES). Avec un peu de chance, ça fera passer Ipv6 pour une suite de protocoles permettant ou facilitant la mise à disposition de contrefaçon.

La suite, très bientôt (et désolé pour le formatage à chier). Je rajouterai des liens vers des sources très prochainement aussi.

Face Search

Une feature de Google que je viens de découvrir, c'est lorsque l'on recherche des images (images.google.com), la possibilité d'affiner la recherche, et ainsi afficher un type de contenu (visages, dessins, etc).

Avec un peu de chance, dans quelque temps quand on tapera le nom d'une personne, on obtiendra toutes les photos où elle apparait, avec un petit cadre autour du visage sur les photos de groupe.

IRC

20:10 [mickou] mdrrr comme ses simple de crack une clé wep ou wap avec backtrack3

Va falloir se préparer cette fois

Mais se préparer à quoi ? Ben à ce que des certificats SSL puissent être forgés grace à des collisions possibles de par l'algorithme de signature qu'ils utilisent. Ca a été le grand non-événement de cette fin d'année 2008 (le "bigwane" comme ils disent tous, en moyenne tous les six mois), principalement en raison de l'algorithme de hashage visé par cette attaque, qui n'était déjà plus très utilisé (md5, remplacé par du sha-1 depuis quelque temps déjà à ce moment là).

Mais des collisions dans sha-1 sont maintenant trouvables un peu plus rapidement qu'il y a encore peu de temps (bon ok, Moore est toujours là, même si ça ne devrait plus être pour très longtemps). Certes, y'a des mecs qui font ça tout le temps, trouver des collisions en 2^X étapes et tenter de réduire au minimum X.

Mais il semblerait qu'à leur stade, ça soit déjà plus abordable en terme de cout matériel ("Practical collisions are within resources of a well funded organisation.") -> on repensera au cluster de PS3 utilisé par Alex Sotirov et ses amis pour leur attaque (ok, 200 PS3 c'est pas donné, mais qui dit abordable ne veut pas non plus dire que c'est à la portée d'un particulier, mais plutôt d'une école ou d'une entreprise avec un peu de moyens).

Bien sûr, il n'y a pas que les certificats SSL qui seront concernés, lorsqu'il sera possible de générer des collisions quasiment à la demande (ce qui n'est pas encore le cas, mais on y viendra très prochainement), mais également tout ce qui concerne le hashage de fichiers (dans le domaine des forensics, la question de l'obsolescence de md5 avait déjà été discutée)

Reste à savoir maintenant si le "signal d'alarme" sera tiré à temps, et si la transition de sha-1 vers son successeur sera faite avant que de gros problèmes ne se posent.