mardi 18 octobre 2011

Hack GMail : la galère

Histoire effrayante.
A hacker has been occupying my email account for the past week. And he or she may still be there. A disembodied intruder, this person has been stalking my inbox, replying to messages, signing off with my nickname and refusing to let me in. They have been going through my personal history and making judgments about my character. In the weirdest twist, the hacker even started writing to me. If it wasn't so unsettling, it could be the plot of a black postmodern comedy.
J'en avais lu une similaire il y a plusieurs mois (au détour d'un tweet de Mikko Hypponen), qui avait fini de me convaincre d'utiliser l'authentification en deux étapes pour accéder à mon compte Google/GMail.
Concrètement, ce petit plus à la sécurité du compte n'est pas très contraignant : Lorsque je veux accéder à mon compte depuis un navigateur web, une page me demande de saisir un code à 6 chiffres, aléatoire, que je récupère via un "token" (dans ce cas: une application sur un smartphone).
Pour les applications ayant besoin d'accéder au compte (mails, via Thunderbird par exemple), il est possible de définir des mots de passe spécifiques aux applications ("application-specific password"), qui est une chaine de 16 caractères, entièrement en minuscules et allant de 'a' à 'z'. Il est ainsi possible d'utiliser un mot de passe pour Thunderbird et un autre pour GoogleTalk sur un poste, et un autre mot de passe pour récupérer ses e-mails sur son iPhone, ainsi, le jour où je perds mon iPhone ou que je me le fais voler et que la personne qui le récupère sait comment extraire les mots de passe stockés, il m'est possible de révoquer le mot de passe GMail attribué à ce dernier, sans avoir à modifier le mot de passe principal et à le répercuter sur tous mes périphériques.
Par contre, ce que je trouve dommage, c'est que les identifiants attribués n'apparaissent pas dans le log d'activités de GMail, afin de déterminer plus facilement quelle adresse IP est associée à quel type d'accès, afin de détecter des incohérences. Espérons que ça arrive prochainement (à condition que ça représente un intérêt pour un certain nombre de personnes j'imagine).

Ensuite, Google a prévu le cas où le périphérique servant de token pour l'authentification en deux étapes est perdu. Une grille de codes, à imprimer (et conserver précieusement) est générée pour chaque compte, à la manière de certaines banques en ligne. Ici ça consiste en 10 séries de 8 chiffres. Il est aussi possible de configurer un autre téléphone, pouvant recevoir par exemple un SMS avec le code d'authentification.

Pour ceux qui seraient arrivés sur ce blog et qui se seraient fait hacker leur compte GMail, je n'ai pas trop d'autre conseil que de suivre ce qui est dit un peu partout sur internet, à savoir utiliser un mot de passe robuste en premier lieu, activer l'authentification en 2 étapes, s'assurer d'utiliser un PC sain...Je n'expliquerai pas comment récupérer l'accès à un compte auquel vous n'avez plus accès, même si c'est le votre, mais sachez juste qu'il existerait un "formulaire de la dernière chance" à remplir en donnant un maximum de détails précis, comme la date de création du compte, les destinataires principaux des e-mails envoyés avec ce compte, etc.

Pour les autres qui ne connaissaient pas la 2-step auth de Google, j'espère que ça vous a convaincus de son utilité.

mardi 20 septembre 2011

Ohnoes, c'est encore la fin du monde...

...ou pas. C'est juste le security-circus qui fait "l'Attention Whore" une fois de plus.

mardi 30 août 2011

Yet another SSL fail

Il va être temps de réfléchir à une alternative à SSL. Il y a quelques mois, on apprenait que des certificats en provenance d'un partenaire de Comodo avaient été retrouvés quelque part sur internet, permettant ensuite à une entité malveillante d'effectuer des attaques man-in-the-middle sur des services tels que Gmail, MSN, Skype, etc.
L'histoire se répète, ce soir on apprend qu'un rogue certificate est utilisé en Iran pour faire du monitoring des connexions vers Gmail. Vous trouverez un screenshot montrant comment les gens s'en sont rendu compte ici (Aneffet, Chrome utilise le "Public Key Pinning" depuis quelques versions maintenant, ce qui explique pourquoi ce brave utilisateur a eu une erreur fatale, au lieu d'avoir sa page gmail classique).

News0ft avait déjà parlé de ce genre de problèmes (mais aussi tous les autres) il y a un peu plus d'un an, dans un long post plutôt bien foutu. On devait juste s'y attendre un beau jour.

A l'heure actuelle, il n'y a pas d'alternative viable. Juste des "patchs" pour ajouter des surcouches supplémentaires de sécurité (public key pinning par exemple), mais qui ne sont pas utilisables dans la vraie vie par tout le monde (dans le cas de gmail avec chrome, c'est parce que google a intégré ses propres règles en dur dans le navigateur, pour d'autres services, ça ne sera pas aussi évident :)). Puis de toutes façons, une entité effectuant un man-in-the-middle et proposant une CA non valide empêchera l'accès au service si on prend les mesures nécessaires pour la bloquer. Ensuite, d'ici à ce que la HADOPI ait le droit de faire ça pour s'assurer qu'on ne s'échange pas de MP3 de grands artistes...

dimanche 8 mai 2011

Pourquoi les DRM sont l'avenir de l'humanité

Vous aurez évidemment compris que ce titre est ironique, du moins je l'espère. Je vais vous raconter là une petite histoire sur les DRM; la partie amusante est qu'elle est fortement liée aux problèmes rencontrés actuellement par sony avec son PSN.
Il y a quelques mois, je me suis acheté une PSP Go, afin de succéder à ma bonne vieille PSP qui commençait à rendre l'âme (lecteur UMD défectueux, fort heureusement, vu que je l'avais "jailbreakée", il m'était possible de lancer des backups de jeux).
La PSP Go c'est une PSP normale, à la différence près qu'il est impossible de la nourrir avec des jeux achetés en magasin: il est impératif d'acheter ses jeux en ligne sur le Playstation Store. Forcément, chaque jeu contient sa dose de DRM, et il est nécessaire d'enregistrer sa console sur son compte Playstation Network, afin de lancer les jeux qu'on a téléchargé avec notre compte (et pas celui du voisin). Jusque là, tout est classique.
Le problème se pose lorsque pour une raison indéterminée la PSP Go dit que des données sont corrompues et qu'il est nécessaire d'effectuer une réparation de l'installation. Pas de problème, ça arrive de temps en temps, et ça prend juste 2 minutes à réparer. Manque de bol, l'opération a l'air d'également supprimer la clé permettant d'authentifier la console lors du lancement d'un jeu, faisant qu'il m'est alors impossible de lancer les quelques jeux que j'ai pu acheter (dans le lot, beaucoup (10) étaient offerts avec la console, mais j'en avais acheté quelques uns aussi). Problème ? ça ne devrait pas en être un en fait, il suffirait juste de se logguer sur le Playstation Network et rajouter ma console dans les équipements liés à mon compte, mais quand le PSN est hors-service à cause de l'incompétence de certaines personnes, ça devient juste infaisable.
Je me retrouve alors avec une brique.
Demain, une société peut faire faillite/disparaître, et ses clients ne pourront juste plus utiliser les équipements qu'ils ont acheté à cette société. Bienvenue dans le monde fabuleux du DRM. Un monde que les gens les plus hauts placés de notre société souhaitent nous imposer.
En attendant, il me reste toujours ma bonne vieille PSP hackée, qui me permettra elle de jouer même si Sony disparaît.
Merci pour votre attention.

Edit: J'ai tenté d'appeler le support Sony Playstation, et à la seconde tentative je suis tombé sur un message m'informant que le PSN est down (merci, je savais déjà) et qu'ils n'avaient pas de date de retour prévue. J'ai pas encore osé leur faire part de mon profond mécontentement. Peut-être un autre jour.

mercredi 27 avril 2011

Sony et le PCI-DSS

Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to Lienyour dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.
Et encore, ils ont pas la marque du gel douche de l'utilisateur. Pour les login/passwords, finalement on commence à être habitués (c'est déjà arrivé à une chiée de sites de réseaux sociaux). Par contre les données bancaires...sachant que les security numbers (le truc à l'arrière de la carte) sont stockés (pour éviter à Jean-Kevin de demander les données bancaires de la CB de ses parents chaque fois qu'il veut acheter du contenu pour ses jeux PS3 - les achats en "1 clic"), donc il y a là potentiellement du danger. Certaines banques demandent par exemple la date de naissance de l'utilisateur avant de valider un achat en ligne. Ici elle a juste pu fuiter.
Dans un sens, il y a quelques mois, Sony disait qu'il fallait choisir entre garder le support de Linux sur PS3, ou faire une mise à jour pour pouvoir continuer à jouer en ligne (et donc, perdre Linux). Ceux qui ont choisi la mise à jour ont donc en effet "tout" perdu: support Linux via OtherOS, et jeu en ligne :-)

mardi 5 avril 2011

La sécurité du blackberry compromise ?

Ou pas, hein. Pas nécessairement sur le fond de l'article, mais sur le fait qu'après l'avoir lu quelques fois, j'ai encore du mal à faire le lien entre les téléphones chinois sans IMEI, et les blackberries.

mardi 22 mars 2011

Vive BlackBerry Protect

Cela dit, quelque part ça me dérange un peu qu'un logiciel dont le nom inclue le mot "protect" me demande de désactiver une des fonctions principales de protection du téléphone qu'il est sensé "protéger". D'autant plus que les autres fonctions du logiciel (géolocalisation d'un blackberry égaré/volé, verouillage à distance, ...) ne dépendant pas du non-chiffrement du terminal (comme le backup à distance) ne sont pas accessibles.

Sinon pour enchainer sur l'actualité, une vidéo :-)

vendredi 11 mars 2011

Test du Fnac Book

Je pensais faire un petit billet sur un des trucs majeurs de la "cyber-sécurité" de ces derniers jours, à savoir le piratage du MINEFI par des hackers inconnus. Tout a été déjà plus ou moins dit par-ci par-là, donc je ne vais pas en rajouter une couche, d'autant plus que je ne peux me baser que sur ce qui a été dit dans les médias, c'est à dire pas grand chose. Sauf peut-être un renvoi vers le post de quelqu'un d'autre, sur des événements plus ou moins similaires datant maintenant d'il y a quelques années, mais qui rappelle que ça a (encore) pas changé.

Mais cela n'est absolument pas le sujet de ce post.

En réalité, je voulais faire un petit compte rendu de mon test du Fnac Book, dont j'ai fait l'acquisition la semaine dernière.
Alors pour ceux qui ne connaissent pas le Fnac Book, c'est un des concurrents du Kindle d'Amazon (ceux qui ne connaissent pas ça, je ne peux que vous renvoyer à Google ou Wikipedia pour en apprendre un peu plus), à savoir une "liseuse" ("reader" en anglais) de documents électroniques.
Alors j'hésitais surtout entre le Fnac Book (disponibilité immédiate, choix de livres en français [même si je lis l'anglais sans aucun problème, j'apprécie de lire certains trucs en français]) et le Kindle (très grand choix de livres). Je m'en suis tiré pour 230 euros : 200 pour le FnacBook, 30 pour la pochette de rangement.



Le design de l'engin est correct, et relativement "sobre" : écran 6" et 4 petits boutons sur le côté permettant :
- la mise en route/en veille ;
- l'accès au menu principal ;
- l'accès à notre "bibliothèque" ;
- l'accès à la boutique en ligne ;
J'aurais bien aimé voir des boutons permettant de passer aux pages précédentes et suivantes, mais ils ont choisi d'intégrer ça directement à l'écran, ce qui rend le parcours d'un bouquin pas très pratique. Cela dit, les 4 boutons ne sont pas beaucoup plus réactifs que les touches virtuelles du reader, et il faut parfois s'y reprendre à plusieurs fois pour arriver à effectuer l'action souhaitée.
D'ailleurs, le problème se pose aussi pour "tourner les pages". Vu le manque de réactivité, on est tentés d'insister un peu plus sur les touches, manque de bol, c'est plusieurs pressions qui sont prises en compte, du coup on "tourne" plusieurs pages. C'est là que le second problème se présente: l'affichage est extrèmement lent. Comptez une à deux secondes pour passer d'une page à l'autre. Si vous appuyez un peu trop, vous perdez un sacré paquet de secondes à revenir à la page voulue. Mais avec le temps vient l'expérience, et ça m'arrive déjà moins souvent qu'au début.

Venons-en à l'acquisition de livres électroniques. Je ne l'ai pas vraiment testée: je me suis juste contenté du téléchargement de quelques livres du domaine public proposés sur le fnac store. Bon, il se trouve que dans le lot, le tout premier ne fonctionnait pas ("Jane Eyre", d'une des soeurs Brontë, si quelqu'un y arrive, qu'il me fasse signe, mais j'imagine que leur fichier est corrompu :) en attendant j'irai me servir sur le site du projet Gutenberg). J'ai d'abord mis ça sur le dos aux DRM (un truc Adobe qui a de toutes façons été cracké), mais en fait ces livres du domaine public n'en contiennent pas. J'espère juste que le jour où j'achète un livre contenant des DRM, il sera lisible :-).

L'épisode du livre illisible m'a fait me poser la question: "et si je veux supprimer un ebook, ça marche comment ?". Du coup je branche le reader sur un port USB :
sd 7:0:0:0: [sdb] 1720320 512-byte logical blocks: (880 MB/840 MiB)
Tiens, on m'avait parlé de 2gb sur la brochure, là j'en ai même pas la moitié. Alors j'imagine qu'en réalité, les 2gb ne sont pas accessibles comme périphérique de stockage amovible, mais c'eût été cool de la part de la FNAC de le mentionner quelque part. Du coup en cherchant mon .epub de Jane Eyre sur la partition ainsi montée en USB, je me suis retrouvé fort dépourvu, car il n'était pas trouvable : il était sur la partition interne non-montable. C'est là que l'ergonomie du truc est à revoir, parce qu'il a fallu chercher un peu dans des sombres menus pas du tout intuitifs (et pourtant j'adore me ballader dans les menus que le commun des mortels n'utilise jamais) pour trouver comment supprimer des e-books téléchargés.

J'allais oublier de le préciser, le Fnac Book est livré avec une carte SIM de chez SFR (ils ont un partenariat avec eux, d'où le petit logo SFR qui s'affiche lors de la phase de boot) permettant une connexion 3G sur le fnac store afin d'acheter des bouquins où que l'on soit en France (c'est la différence par rapport au Kindle 3G d'amazon qui lui, permet une connexion 3G à peu près partout dans le monde). La couverture 3G est ce qu'elle est, mais ça marche à peu près bien de ce point de vue là. Et de toutes façons, il reste toujours la possibilité de se connecter à une borne wi-fi (et la réactivité du clavier virtuel étant à chier, je vous laisse imaginer la joie que m'a procuré la saisie d'une passphrase WPA un peu complexe).

Je pourrais continuer en parlant de la qualité des ebooks proposés. Du moins ceux du domaine public que j'ai pu lire, ou commencer. Prenons "Sans Famille" d'Hector Malot. Certes, je ne l'avais pas lu depuis une quinzaine d'années, et je ne suis pas encore une 1337 en français comme Bernard Pivot, mais j'ai pu remarquer un certain nombre de fautes assez merdiques. "Vérandah" au lieu de "Véranda", plusieurs fois. La ville de "Sète" écrit "Cette". Et d'autres tournures un peu bidons (j'ai mis des marque pages quand j'y pensais, afin de les lister et les remonter aux gens qui ont recopié ces bouquins en y ajoutant des fautes).

Pour conclure, je ne peux pas vraiment dire si le Fnac Book est mieux qu'un autre reader, en fait j'en sais juste rien. Le seul vrai gros problème du Fnac Book, si je devais lui reprocher une seule chose, c'est la réactivité de l'écran tactile. Le temps de réponse est juste incroyablement long, et ça peut rendre la lecture pénible parfois. Surtout si le mode économie d'énergie est activé, ça rajoute bien 50% de temps de réponse en plus; alors dans mon cas, où j'ai toujours une source d'alimentation pour recharger ça ne pose pas vraiment de problème, mais j'imagine qu'en partant en vacances ça peut vite devenir chiant. Alors si quelqu'un de la FNAC passe par là, faudrait juste faire remonter ce souci à la boite qui développe le FNAC Book.