ka.da - Tag - cryptographie

news sécurité informatique (ou Vos Données Chiffrées Ne Sont Pas Aussi Sûres Que Vous Ne Le Pensiez)

er:k — Tue, 29 Apr 2008 19:32:00 +0200

Un petit récapitulatif des nouvelles concernant la sécurité informatique intéressantes vues (plus ou moins) récemment sur la toile.

Tout d'abord, une news très importante : la découverte que vos disques durs chiffrés ne sont pas aussi sûrs que vous (et moi !) ne le pensiez. En effet, une étude a démontré que la clé d'un disque dur chiffré reste encore quelques minutes dans la RAM après l'extinction d'un ordinateur, rendant celui-ci vulnérable. Cette nouvelle a fait le tour du web sécurité et voici donc quelques liens pour approfondir le sujet :
- l'article d'origine sur Freedom to tinker [via lwn.net];
- un article sur le blog de Russell Coker;
- on en parle également sur écrans.fr;
- ou sur... linuxfr;

dans le même ordre d'idée : un outil permettant de voler un ordinateur sans l'éteindre [via Bruce Schneier et engadget];

un article original expliquant comment l'OLPC pourrait être détourné de son but premier (l'utilisation par des enfants) et utilisé à des fins militaires;

d'autres informations importantes si vous voyagez aux USA : il semble que les douanes puissent nous seulement vous demander de sortir votre ordinateur portable, de l'ouvrir et de l'allumer mais également de leur laisser accéder aux données voire de leur donner le mot de passe ou clé de chiffrement : c'est également chez Bruce Schneier. (pour d'autres infos concernant les douanes US sur le même blog, voyez ici et là);
tiens, le magazine Wired nous fait un howto pour passer plus facilement les check-in d'aéroport, ça tombe bien...

Un article très intéressant de Bruce Schneier sur wired.com concernant le respect de la vie privée ('privacy') et la surveillance généralisée. Il nous explique que l'éternel argument opposé aux réfractaires/résistants à la surveillance généralisée est celui de la surveillance mutuelle : vous savez ce que je fais, et moi je sais ce que vous faites. Malgré le fait que cette situation n'est pas idéale, elle semble tenir la route. Mais malheureusement, l'équilibre est rompu par un autre aspect, celui du pouvoir. En effet, par exemple, lorsqu'un officier de police vous demande vos papiers d'identité, même si il vous donne les siens, son pouvoir est considérablement supérieur au vôtre puisqu'il peut lui avec les informations chercher dans les bases de données de la police des informations sur vous, chose que vous ne pouvez faire. Je vous laisse lire l'article pour la suite de l'argumentation;
Francis Pisani nous parle également des policiers via la présentation d'un site pour noter ceux de Los Angeles;

un article en anglais expliquant comment protéger sa vie privée sur internet. Il est notamment destiné aux personnes risquant leur vie pour défendre leurs opinions mais certaines informations sont intéressantes pour tous [via grepgrrl.org];

où l'on reparle des tags RFID et notamment des mifare et de leur (fausse) sécurité...

un petit appel au troll : les délais concernant les mises à jour de sécurité pour les principales distributions Linux... on dirait bien que Debian est classée en tête, cool !;

un billet concernant Tor nous rappelant que l'anonymat et la protection de la vie privée ('privacy'), ce n'est pas tout à fait la même chose même si les deux concepts sont liés;

des articles un peu plus techniques :

utiliser une clé USB comme mot de passe;
GPG c'est bien, mais à condition de sécuriser ses clés : une solution pour les protéger;
une solution pour chiffrer tout son disque dur et utiliser une clé USB pour stocker la clé de chiffrement : Passwordless Encrypted Root in Debian;

chiffrement de disque dur... la suite

er:k — Sun, 08 Jul 2007 18:34:00 +0200

Je vous parlais l'autre jour de la sécurité qu'apporte un chiffrement complet de disque dur. Mais malheureusement, actuellement, sous Linux, vous êtes obligé de garder une partie non chiffrée qui est /boot, et l'intégrité de celle-ci devient essentielle pour assurer la sécurité de l'ensemble des données. On trouve justement sur ce billet un rapide howto sur les modifications à faire sur votre système Debian pour le faire booter sur un cdrom contenant le kernel et tout ce qui va bien tiré de /boot.

non testé

sécurité informatique

er:k — Sat, 09 Jun 2007 19:43:00 +0200

Une série de billets (datant de fin 2006 mais bien évidemment toujours d'actualité) de Russell Cooker concernant la sécurité informatique (des données surtout) en environnement professionnel (les commentaires sont à lire également) :

les commentaires m'ont renvoyé vers des sites comme :

libgfshare -- A secret sharing library qui est une bibliothèque permettant de séparer un secret (comme une clé privée GPG) en plusieurs morceaux dont un certain nombre sont indispensables pour recomposer le secret;
une réponse aux billets de Russell;
security engineering - the book un livre sur l'ingénierie de la sécurité consultable en ligne.

Le principe du chiffrement de disque dur est aujourd'hui un moyen simple et efficace de protéger des données pouvant être volées (sur des ordinateurs portables bien sûr mais également sur des postes fixes). Heureusement aujourd'hui les plus grandes distributions Linux le supportent nativement, et c'est bien sûr le cas de Debian. Si vous devez donc en installer une, je vous conseille d'activer le chiffrement du disque dur. C'est ce que j'ai fait pour mon portable en suivant le petit guide disponible sur le blog de Uwe Hermann.

la star du moment

er:k — Fri, 04 May 2007 10:28:00 +0200

Il semblerait bien que ce soit elle :

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

via

planet Debian
la mailing-list de l'EFF

entre autres (01net ou standblog pour l'info en français)

(Vous pouvez également voir 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63.com)

insertion d'une clé usb chiffrée sous Debian Etch

er:k — Sun, 25 Feb 2007 22:39:00 +0100

Aujourd'hui en faisant du tri, je suis tombé sur une clé usb oubliée. Après l'avoir insérée, quelle ne fût pas ma surprise de me retrouver avec cette boîte de dialogue

je m'exécute donc

# aptitude install cryptsetup

et après rebranchement de la clé j'ai droit au pop-up m'invitant à entrer ma "phrase de passe"^[1]

malheureusement je ne m'en souviens pas^[2] et je me retrouve à devoir "tuer" la fenêtre avec xkill^[3]...

En tout cas, content de voir que la cryptographie entre dans les environnements graphiques ce qui devrait permettre de la diffuser et de faciliter son usage.

On en parlait déjà il y a un an [via]^[4]

Notes

[1] passphrase...

[2] j'avais dû utiliser cette clé pour créer une clé usb bootable chiffrée sous Debian en suivant un guide sur debian-administration.org que je ne retrouve pas...

[3] Alt-F2 sous Gnome pour lancer une commande, xkill Entrée

[4] à l'époque déjà il me semble

news sécurité

er:k — Wed, 03 May 2006 09:33:34 +0000

Quelques news concernant la sécurité informatique :

c'est la valse des vulnérabilités du mois d'avril pour IE : 4 avril, 11 avril, 25 avril, 27 avril et encore 27 avril, ce qui rappelle à Ed Skoudis la situation dans les années 90 où Sendmail avait son "bug du mois" et propose de créer maintenant un club "bug de la semaine" pour IE :-);
une nouvelle méthode pour tester les navigateurs internet : générer du code aléatoirement (code "mutilé"), résultat : de nombreux crashs et des bugs de sécurité trouvés;
The Register nous explique qu'un portable volé peut ouvrir les portes du réseau d'entreprise. Il existe divers moyens de récupérer le mot de passe BIOS Cisco. En résumé, rien ne sert de super-protéger les serveurs internet de l'entreprise, si les portables se promènent avec des informations aussi sensibles et non protégées...;
dans la série "on vous a dit qu'il y aurait ça dans Vista, mais en fait...", le pare-feu (firewall) de la prochaine version de Windows : Vista, a été annoncé ayant par défaut un blocage des flux sortants, mais finalement rien n'est moins sûr;
Bruce Schneier nous rapporte l'histoire de ce chef de la Mafia sicilienne qui protégait ses données sensibles avec un mode de chiffrement vieux de 2000 ans appelé le code César, je vous laisse voir sa puissance...;
il nous envoie également vers plusieurs articles très intéressants sur la "sécurité" incluse dans Vista, appelée User Account Protection (UAP). Ces articles très intéressants (marrants ?) nous racontent que le nouveau leimotiv de Microsoft est de balancer des avertissements de sécurité... hum... les utilisateurs ne les lisent déjà pas beaucoup maintenant, que feront-ils si on en abuse ?...;
je vous ai parlé dans un billet précédent de la sécurité des mots de passe, si vous êtes intéressé par le sujet, je vous envoie vers cet essai [via];
un article qui conclut que l'intégration complète de Internet Explorer avec le système d'exploitation Windows sous-jacent est une des pires erreurs (si ce n'est la pire...) faite par Microsoft. Il est intéressant de constater qu'il a fallu attendre 2006 pour qu'un magazine grand public en arrive à cette conclusion et important de faire remarquer que Microsoft reste sur la même logique pour Windows Vista et IE7... [via];
un post un peu plus vieux rappelant que protéger son portable avec un cadenas Kensington n'apporte pas vraiment de garantie.

pour vous amuser un peu, participez au Star Hacks, Episode V: The Empire Hacks Back [via]

chiffrer avec un jeu de cartes

er:k — Sun, 08 Jan 2006 18:13:07 +0000

Il y a quelque temps de cela^[1] j'ai lu la trilogie Cryptonomicon de Neal Stephenson. L'histoire en elle-même est un mélange d'histoire (la seconde guerre mondiale), de chasse au trésor, de finance, et surtout de cryptologie, mais j'ai quand même été déçu m'attendant à quelque chose de "cyberpunk"^[2] et n'ayant trouvé finalement qu'un livre de fiction (science-fiction ?) pour geeks.

Néanmoins, vers la fin de la trilogie, il nous est présenté un moyen original de chiffrer des messages avec seulement un jeu de cartes. L'algorithme utilisé est appelé Solitaire (ou Pontifex dans le livre) et a été écrit spécialement pour le Cryptonomicon par Bruce Schneier, un expert international en sécurité informatique.
Cet algorithme permet donc avec simplement un jeu de cartes, et quelques heures devant soi, de créer des messages sécurisés pour être envoyés en toute sécurité : la seule faiblesse vient du fait que c'est du cryptage symétrique et donc que l'expéditeur et le destinataire doivent connaître la même clé pour pouvoir communiquer : le secret de cette clé est donc essentiel !

Pour plus d'informations, allez voir la page wikipedia sur Bruce Schneier, la page dédiée au Solitaire sur son site (et une traduction en français). Ainsi que cette page de Paul Crowley qui semble indiquer des problèmes de sécurité sur cet algorithme (je ne sais pas si ça a été vérifié...).

Neal Stephenson est l'auteur de plusieurs autres livres, dont un essai intitulé In the Beginning was the Command Line traitant des débuts de l'informatique personnelle (Apple, Microsoft, Linux). J'ai bien aimé cet essai, et je regrette qu'il n'existe pas en français (mais je l'achèterais peut être en anglais quand même...). Si vous êtes potentiellement intéressé et n'avez pas peur de lire un essai sur l'informatique, en anglais, et non formaté (c-a-d en texte brut), vous pouvez le télécharger ici. C'est drôle, très geek, très cyber-culture et très alternatif et... un peu anti-Microsoft (lisez-le, vous comprendrez !), ce qui va avec !-)

Notes

[1] malheureusement, en ce moment je lis plus vite que je ne bloggue....;-(

[2] cf ce billet