C’est le moins qu’on puisse dire puisque d’après Olivier seraient accessibles à tous : adresses IP, un mot de passe en clair dans un fichier de configuration, et tout ce qu’il faut pour comprendre comment TMG procède. Notamment un exécutable, scripts de traitement et hashing des oeuvres surveillées pour piéger les internautes partageurs :

Une surprenante découverte… Est-ce un honeypot ? Il vaudrait mieux pour TMG car on parle là de données personnelles. Toujours selon Olivier Laurelli :

« Nous n’allons pas faire tourner l’adresse de cette machine. Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée. »

D’après mes informations, tout laisse à penser que ce ne serait pas un honeypot malheureusement… la suite nous le dira. Sacrée découverte en tout cas.

Mise à jour: La Hadopi a annoncée qu’elle prenait très au sérieux ce problème. Elle a même arrêté son interconnexion avec TMG. De plus la CNIL et l’Hadopi sont déjà dans les locaux de TMG pour analyser ce problème (plus d’infos).

Source (+captures)

Article original écrit par Mr Xhark publié sur Blogmotion le 14/05/2011 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Aujourd’hui il est question du site High Tech Pixmania, chez qui je commande assez souvent et contre qui je n’ai absolument rien. J’ai effectué un achat et je n’étais pas chez moi, je n’avais plus mon mot de passe en tête (je ne suis pas du genre à mettre le même mot de passe sur 2 sites). Je pars dans la procédure classique : mot de passe oublié.

C’est à partir de là que les choses se gâtent, autant sur le procédé qu’en matière de sécurité, je m’explique.

Erreur n°1

Problème : je reçois un nouveau mot de passe directement dans ma boite mail, en clair et parfaitement interceptable pour peu que j’utilise un système de messagerie non sécurisé (imap classique, pop classique, bref).

Solution : demander la date de naissance et envoyer un lien permettant de réinitialiser le mot de passe sois-même, en exigeant une complexité de mot de passe s’il le faut. NE PAS INTERDIRE LES CARACTERES SPECIAUX : je le vois aussi bien trop souvent et c’est une méthode suicidaire en matière de sécurité !

Erreur n°2

Problème : une fois connecté à mon compte, je cherche à changer mon mot de passe. Pourquoi ? parce que le mot de passe actuel est stocké dans ma messagerie ! Si je supprime le mail correspondant je vais oublier le mot de passe et retourner à l’erreur n°1, et de toute façon faire transiter un mot de passe par messagerie n’est pas « tolérable », cf. erreur n°1

Solution : identique à celle du point précédent

Erreur n°3

Problème : on ne me propose nulle part de changer mon mot de passe dans mes informations personnelles. A la place on me demande mes centres d’intérêts pour cibler les publicités et newsletters… Après quelques recherches, je me dis que je dois être bien fatigué pour ne pas trouver ce fichu lien de changement de mot de passe.

Solution : Google ne m’a rarement laissé tombé, même si j’ai un peu honte de taper la requêtes suivante « changer mot de passe pixmania » (pas grave on a vu pire). Le deuxième résultat m’apporte la solution dans une FAQ mais déclenche une nouvelle erreur (voir erreur n°4).

Erreur n°4

Problème : « Pour modifier votre adresse email ou votre mot de passe, nous vous invitons à contacter notre Service Clients. » Pour ça il faut appeler le 0 892 700 104 qui est facturé à 0,34 € TTC /min, j’en ai eu la confirmation sur Twitter. On peut aussi les contacter par mail, si vous avez quelques jours à perdre optez pour cette solution. Ensuite je fais comment, je donne mon nouveau mot de passe par téléphone à un conseiller ? Car il va bien falloir que je le personnalise ce mot de passe à un moment, c’est le but je le rappelle !

Solution : ne pas changer son mot de passe pixmania

Un point sur la sécurité

Imaginez maintenant la situation ou quelqu’un me vole le mot de passe de mon email. Avec un peu de chance il a le mot de passe pixmania encore dans les derniers mails, parmi d’autres probablement si vous ne les supprimez pas. Suite au vol de mon compte mail je m’empresse de changer tous mes mots de passe, comme celui de pixmania par exemple. Je me connecte sur mon compte et… retour à l’erreur n°1.

La boucle est bouclée. En espérant que ce billet fasse réagir ?

Illustration CC

Article original écrit par Mr Xhark publié sur Blogmotion le 30/03/2011 | 10 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

3 comptes à gagner par tirage au sort en fin de billet !

Le chiffrement VPN PPTP classique n’est pas disponible du fait de sa faible sécurité (principalement pendant la phase d’authentification). De nombreux tutoriels détaillés permettent de configurer votre connexion VPN quel que soit votre système d’exploitation.

Un débit garanti

Chaque connexion VPN est garantie à un débit de 5 Mbits/s avec un trafic illimité (voir conditions d’utilisation). Le trafic P2P est autorisé (incluant les torrents) et une compatibilité est prévue pour l’accès à TF1, M6, et WAT.tv sans restriction géographique (à condition de choisir la sortie VPN sur le serveur français).

Voici mes tests de débit :

sans vpn (je suis chez Numericable)

VPN avec sortie aux Pays-Bas #1

VPN avec sortie aux Pays-Bas #2

VPN avec sortie au Luxembourg

VPN avec sortie en France (sur une dedibox visiblement)

Les débits ne sont pas mirobolants mais ils sont garantis, aucun souci sur ce point.

Vous noterez que mon upload est parfois plus important (plus de 3 fois pour le Luxembourg) à travers OpenVPN alors que je suis bridé à 1Mbits/s par Numericable. Je n’ai pas approfondi mais il semblerait le trafic chiffré chez Numericable passe légèrement à travers la QoS, à vérifier.

Gestion des ports

Il est également possible d’ouvrir un ou plusieurs ports afin de bénéficier d’un débit optimal sur certains logiciels comme eMule (HighID) ou uTorrent.

Cela vous permettra par exemple d’héberger un serveur web à la maison en ouvrant le port HTTP ou HTTPS pour que votre serveur soit vu comme venant d’un autre pays.

En clair : partager des fichiers sans qu’il soit possible de localiser votre serveur (c’est l’IP du VPN qui la remplace). Une technique peu souvent abordée et pourtant au combien efficace face à la repression qui s’organise dans notre beau pays (ACTA, Hadopi, LOPPSI), attention tout de même car cela ne protégera pas ceux qui utiliseront votre serveur (seul vous-même êtes protégé).

3 comptes à gagner

3 comptes VPNFacile d’une durée d’un mois sont à gagner par tirage au sort. Notez qu’en vous inscrivant vous pouvez également essayer le service pendant 24h avec « l’offre gratuite ».

Pour participer inscrivez-vous avant le 06/02/2011 23h59, aucune restriction géographique tout le monde peut participer. Pensez à relayer sur Twitter/Facebook pour augmenter vos chances de gagner.

Bravo aux gagnants (59 participations) : BeBoX (#434), Allan R. (#424), Nicolas M. (#440)

VPNFacile

Rappel des différents services VPN présentés sur Blogmotion : Ananoos, AceVPN, ChangeMonIP, VyprVPN

Merci à notre partenaire VPNFacile pour sa participation.

Article original écrit par Mr Xhark publié sur Blogmotion le 03/02/2011 | 25 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Roth a mis au point un logiciel capable d’utiliser l’infrastructure Amazon EC2 ou AWS. De cette façon il a pu cracker* une clé WPA-PSK en une vingtaine de minutes et pense pouvoir diviser ce temps par deux prochainement (on ne connait pas la complexité de la clé). Le service offert par Amazon ne coûtant que 28 cents à la minute on comprend tout le potentiel du système et la dangerosité qui va avec.

Nous pouvons maintenant affirmer qu’une protection uniquement basée sur une clé WPA-PSK est une passoire. Chez vous, je vous conseille donc de passer en WPA-AES ou WPA2-AES qui restent aujourd’hui encore inviolables autrement que par dictionnaire (choisissez une clé longue et complexe) et vous évitera que l’Hadopi vous chope à tord si un pirate squatte votre connexion… En entreprise de nombreux systèmes d’authentifications fiables existent également (801.1x, EAP, etc.).

Roth fournira une démonstration lors de la prochaine conférence Black Hat (du 16 au 19 janvier à Washington) pour présenter son logicie et publier le code source. Je vous conseille également de suivre ses recherches dans le crack de fonction de hachage SHA1 en utilisant la puissant GPU (cuda).

Même l’Hadopi vous le dit : sé-cu-ri-sez !

Note : Amazon ne tolère pas une telle utilisation de leurs plateformes s’il mène à une intrusion effective dans un réseau (contraire aux conditions d’utilisation). A des fins de tests c’est en revanche « toléré ».

* le terme « cracker » est un abus de langage car l’algorithme n’a pas été vaincu, c’est simplement une recherche de clé avec comparaison (brutforce).

Via

Article original écrit par Mr Xhark publié sur Blogmotion le 13/01/2011 | 6 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Les malware d’aujourd’hui sont rarement nocifs à eux seuls. En effet, c’est souvent un exécutable qui s’installe sur l’ordinateur qui va ensuite télécharger des programmes nocifs : les chevaux de troie. Cette technique est très efficace puisqu’une fois l’exécutable installé ses échanges avec Internet sont rarement interceptés par l’antivirus puisqu’il s’exécute avec des droits système.

Un des meilleurs moyens pour se protéger de ces malware c’est d’intercepter les flux internet de ces programmes. ClearCloud est un nouveau système de filtrage efficace puisqu’il fonctionne sur les résolutions DNS. ClearCloud est entièrement gratuit, il est fourni par la société Sunbelt Software, société reconnue en matière de sécurité (éditeur du Firewall Kerio).

Fonctionnement

ClearCloud reconnait et filtre les sites malveillants. Chaque résolution DNS est contrôlée en temps réel par ClearCloud, si le site retourné est malveillant ClearCloud vous bloquera l’accès :

La société affirme traiter de 100 000 à 1 million d’échantillons quotidiennement. Si c’est un faux positif vous pouvez cliquer sur le bouton « Click Here » et (après un contrôle) la page sera retirée des pages malveillantes.

Comment l’utiliser

Il vous suffit de définir manuellement les DNS dans votre ordinateur ou dans votre routeur par ceux-ci :

74.118.212.1 : primaire
74.118.212.2 : secondaire

Si vous ne savez pas configurer un serveur DNS toutes les explications sont ici et vous trouverez même un « configurateur » automatique pour Windows.

Conclusion

Je trouve que ce type de service est intéressant et je pense que je l’utiliserai lorsque j’ai un fichier douteux qui n’est pas reconnu par VirusTotal ainsi que mon antivirus/antimalware sur mon ordinateur.

Ce que j’apprécie moins c’est le principe des DNS menteurs utilisé par ClearCloud pour répondre aux pages introuvables… Mais je suis conscient que c’est grâce à ce moyen que ClearCloud peut fournir ce type de service gratuitement à chaque internaute.

En revanche, la vitesse de résolution DNS est plutôt rapide donc c’est un bon point. Je vous rappelle également qu’en utilisant un DNS différent de celui votre FAI vous ne lui simplifiez pas la tâche de contrôle du surf Internet puisqu’il ne verra passer que des adresses IP au lieu d’URL…

ClearCloud – FAQ – Statut des serveurs

Article original écrit par Mr Xhark publié sur Blogmotion le 14/11/2010 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Pour un supplément de 5$ mensuel un pare-feu NAT est activé sur votre point de sortie internet virtuelle. Vous serez ainsi protégé de la même façon qu’avec votre freebox, livebox, neufbox, machinbox & co.

Quel intérêt ?

Pour comprendre il faut que vous sachiez qu’en utilisant un système VPN votre machine est directement connectée sur Internet, comme à la bonne vielle époque du modem 56K. Votre machine est potentiellement vulnérable si votre système n’est pas à jour, si vous utilisez des logiciels comportant des brèches ou pire… si vous avez des ports ouverts (apache, ftp, ssh, etc).

En fait tout ce qui était avant protégé par votre machinBox et accessible uniquement par votre réseau privé (LAN) se retrouve visible sur Internet en VPN. Ce qui en terme de sécurité laisse à désirer.

Avec NAT, seules les connexions émanant de votre machine seront autorisées à entrer (à revenir donc) via le pare-feu. Les scans et attaques malicieuses sont également repoussés.

L’autre alternative consiste à disposer d’un firewall personnel sur votre machine mais gardez à l’esprit qu’il sera de toute façon moins efficace qu’un firewall en amont doté du mécanisme NAT.

Essayez VyprVPN (page affiliée)

Crédit photo

Article original écrit par Mr Xhark publié sur Blogmotion le 03/11/2010 | 6 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Avant les pirates devaient entrer dans le réseau d’une entreprise pour y voler ou corrompre des données, et donc passer à travers de nombreuses sécurités. Avec le cloud, les données étant dans les nuages il suffira aux pirates de « lever la tête » pour tenter d’attaquer ces données.

Cliquez-ici pour voir la vidéo

En théorie les données seront plus visibles mais en pratique les sécurités associées à ces technologies devront je pense être tout de même efficaces. L’avenir nous le dira.

Article original écrit par Mr Xhark publié sur Blogmotion le 30/10/2010 | Aucun commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Je vous présentais en avant-première le service d’anonymisation VyprVPN lors de sa sortie il y a quelques mois. Le service fait à nouveau parler de lui et profite de la vague Hadopi pour sortir un nouveau service : VyprVPN Pro., toujours chez GoldenFrog.

J’ai testé le service et vous donne mon opinion dans ce billet.

Rappel de l’utilité du VPN

Je vous rappelle qu’un réseau privé virtuel (VPN en anglais) vous permet de naviguer et télécharger sur le web à partir d’une autre adresse IP que la vôtre, rendant tout ce qui transite invisible à votre FAI. Et les avantages sont multiples.

Par exemple, vous serez vu comme un internaute américain si vous utilisez un VPN débouchant aux USA. L’Hadopi ne contrôlant que les internautes français, vous ne rentrez pas dans les victimes potentielles. Vous pouvez vous connecter en toute confiance sur les réseaux WiFi (hotspot) y compris sur ceux qui ne sont pas sécurisés, y compris sur votre smartphone (iPhone, Android, etc.).

La formule Pro

Seulement, le protocole PPTP utilisé dans vyprvpn classique est un protocole qui connaît ses limites dans sa phase de négociation (voir page 22). Techniquement il n’est pas impossible que des fragments de données soit interceptées (attaque de l’homme du milieu).

VyprVPN Pro apporte le support des protocoles L2TP/IPsec et le très populaire OpenVPN avec un chiffrement SSL de 256 bits. Question confidentialité on ne fait pas mieux. D’autant que OpenVPN permet la compression des données, ce qui n’est pas le cas de PPTP.

Un VPN sans perte de débit

Il est difficile de réaliser un test de débit d’un tuyau VPN pour plusieurs raisons : peering international (débit échangé entre les FAI du monde), géo-localisation (fibre ou cable), débit du serveur de test. Il est impossible d’utiliser le même serveur pour faire un test de débit avec puis sans VPN car il faut un serveur proche dans les deux cas, hors le pays change (voir le continent).

Toutefois, j’ai réussi à réaliser un test dans des conditions similaires (distance des serveurs) :

Comme on le constate, aucune perte de débit. Le VPN est vraiment transparent !

Un historique de chaque connexion VPN est disponible sur le site de GoldenFrog et il est même possible de couper une connexion active. Vraiment pratique.

Conclusion

Tout comme Giganews est tout simplement le meilleur fournisseur de Newsgroups, VyprVPN s’impose comme l’un des meilleurs fournisseurs de VPN, en terme de fonctionnalités et de qualité de service. Dans les deux cas, tout cela a bien évidemment un prix.

« Afin de garantir le plus fort réseau disponible et la pleine satisfaction du client, Golden Frog met à votre disposition 24/7/365 un personnel qualifié composé d’une équipe de support et de techniciens professionnels. »

Aucun contrat n’est engagé lorsque vous choisissez un type d’abonnement, vous payez de mois en mois et pouvez résilier quand vous le souhaitez. VyprVPN Pro est à 16,49 €/mois alors que VyprVPN classique est à 12,49 €/mois. Tout dépend du prix de la confidentialité de vos données… à vous de choisir.

Essayer VyprVPN (page affiliée)

Article original écrit par Mr Xhark publié sur Blogmotion le 08/10/2010 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Derrière ce nom plutôt simpliste se cache un réel service VPN de qualité.

Change-Mon-IP conviendra à ceux qui ne veulent plus que leurs données de navigation soit identifiables ou interceptées.

Deux protocoles sont supportés :

1. PPTP : pour préserver une excellente compatibilité avec les systèmes d’exploitation qui le gère tous maintenant nativement ainsi que les périphériques mobiles (smartphone plus particulièrement).
2. OpenVPN (tcp ou udp) : plus sécurisé que PPTP au niveau du chiffrement (SSL/TLS). A titre de rappel c’est un logiciel libre multi-plateforme (windows, linux, mac, etc.)

Actuellement deux serveurs situés aux USA et sur un troisième en Angleterre sont en production pour anonymiser vos données.Les concepteurs m’ont affirmé qu’un serveur SSTP (tout passe dans un tunnel SSL, supporté nativement par Windows 7) aux Pays-Bas serait rapidement mis en production.

En regardant le FAI des serveurs américains je me suis aperçu qu’il s’agit de Staminus.net, un hébergeur spécialisé dans la protection des attaques TCP SYN floods, http GET et POST floods, UDP et DNS floods, ICMP floods, etc. Voilà qui témoigne une certaine volonté de fournir un service de qualité.

Reste à connaître les tarifs pas encore dévoilés.

15 comptes Change-Mon-IP à gagner (valable 1 mois)

Pour participer au tirage au sort, inscrivez-vous ici (tout le monde peut participer, quelque soit votre pays).
Fin des inscriptions le Mercredi 1er Septembre à 22h00.

Terminé : Les gagnants ont été informé par mail.

Change-Mon-IP

Article original écrit par Mr Xhark publié sur Blogmotion le 31/08/2010 | 13 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Le premier article concerne les boutiques en ligne (e-commerce), avantages, inconvénients, solutions, conseils…

La partie de sécurisation d’un réseau est plutôt bien rédigée, avec des exemples de configuration Netfilter (iptables) ainsi que des vérifications via le scanner de port libre nmap.

Le prochain numéro abordera la sécurité de l’hébergement et sera disponible dès le 30 Juillet 2010, il s’annonce instructif si vous souhaitez vous lancer dans l’hébergement dédié (@home, en datacenter ou en housing).

Lire le numéro 6 en ligne

Article original écrit par Mr Xhark publié sur Blogmotion le 16/07/2010 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons