#sécurité_informatique

#DFAK : Digital First Aid Kit : une trousse de premiers soins en cas de péril informatique et plus ?

Un site vient d’être lancé afin de répondre à d’éventuels besoin d’aide / de protection contre les risques informatiques les plus courants en cas de perte d’appareil / perte d’accès à des comptes / fonctionnement inquiétant d’un appareil / message suspect / site web hors ligne / usurpation d’identité / harcèlement / données perdues / arrestation d’un proche.
Mine de rien, c’est une base assez énorme, avec à chaque fois de multiples conseils et / ou questionnaire en ligne pour couvrir un maximum de situations et prévu pour venir en aide à des publics civils (lanceurs d’alertes, activistes, féministes, etc.) comme des organisations ou les formateur-ice-s en sécu, etc. @arnoferrat a un peu testé est est tombé sur une page d’erreur, tout en ayant une impression première « top » ( ▻https://twitter.com/arnoferrat/status/1195291577993879552 ).
Pour ma part, point de 404 mais beaucoup de liens vers des articles en anglais menant vers les sites partenaires, avec la sensation d’un environnement très entrepreneurial, mais c’est juste une sensation, aucun reproche concret à faire sur la première rapide visite, bien au contraire ! Vos avis et retours sont les bienvenus, tout comme j’aimerai avoir ceux de membres de legal teams ou def coll sur la partie répression...

▻https://www.digitalfirstaid.org/fr
https://www.digitalfirstaid.org/images/logo.svg

Une trousse conçue pour vous conduire à la bonne équipe CiviCERT

La trousse de premiers soins numériques est une ressource gratuite pour aider les intervenants du réseau de réponses rapides, les formateurs en sécurité numérique et les activistes amateurs de technologies à mieux se protéger et à mieux protéger les communautés qu’ils soutiennent contre les types les plus courants d’urgences numériques. Elle peut également être utilisée par les militants, les défenseurs des droits humains, les blogueurs, les journalistes ou les activistes dans les médias qui veulent en savoir plus sur la façon dont ils peuvent se protéger et soutenir les autres. Si vous ou quelqu’un que vous aidez éprouvez une urgence numérique, la trousse de premiers soins numérique vous guidera dans le diagnostic des problèmes auxquels vous faites face et vous dirigera vers des soutiens pour obtenir de l’aide si besoin.

DFAK / A propos

La trousse de premiers soins numériques est le fruit d’une collaboration entre le #RaReNet (Rapid Response Network) et le #CiviCERT.

Le Réseau de réponse rapide est un réseau international d’intervenants réactifs et d’experts en sécurité numérique qui comprend l’EFF, Global Voices, Hivos & the Digital Defenders Partnership, Front Line Defenders, Internews, Freedom House, Access Now, Virtual Road, CIRCL, Open Technology Fund, ainsi que des experts individuels en sécurité qui travaillent dans le domaine de la sécurité numérique et des interventions d’urgence.

Certaines de ces organisations et personnes font partie de CiviCERT, un réseau international de services d’assistance en matière de sécurité numérique et de fournisseurs d’infrastructures qui se concentrent principalement sur le soutien aux groupes et organisations luttant pour la justice sociale et la défense des droits humains et numériques. CiviCERT est un cadre professionnel pour soutenir les efforts distribués de la communauté d’intervention rapide CERT (Computer Emergency Response Team). CiviCERT est accrédité par Trusted Introducer, le réseau européen d’équipes de confiance pour l’intervention d’urgence en informatique.

La trousse de premiers soins numérique est également un projet open-source qui accepte des contributions extérieures : ▻https://gitlab.com/rarenet/dfak

Sites référence : ▻https://www.rarenet.org + ▻https://www.civicert.org

#autodefense #defense_informatique #defense_numerique #securite_informatique #securite_numerique #intimite #activisme #repression #censure

▻https://seenthis.net/messages/811373 via ¿’ ValK.

Les processeurs #Intel « haut de gamme » (en gros ceux qui équipent les serveurs donc, pour une fois, @mmemichu peut dormir sur ses deux oreilles) ont une faille tellement énorme qu’il m’est difficile de ne pas penser à une porte dérobée. Le processeur inclut un serveur Web (oui !!!), activé par défaut et, comme c’est le processeur, il ne dépend pas du système d’exploitation. Même si Windows ou Unix est éteint, ce serveur Web répond. Évidemment, il est protégé par un système d’authentification et, non moins évidemment, ce système est programmé avec les pieds, et est contournable. Ce service se nomme #AMT et fait partie d’un ensemble plus vaste nommé #ME (Management Engine).

Les articles des deux chercheurs qui ont (indépendamment) découvert la faille :
▻https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf
▻http://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability

Le truc officiel d’Intel ▻https://downloadcenter.intel.com/download/26755

Le serveur en question écoute sur les ports 16992 et 16993. Vous pouvez donc chercher des machines vulnérables sur votre réseau, par exmeple avec nmap (’nmap -p 16992-16993 192.0.2.0/24’) ou Nessus <▻https://www.tenable.com/blog/intel-amt-vulnerability-detection-with-nessus-and-pvs-intel-sa-00075> ou ce script nmap <▻https://github.com/nmap/nmap/blob/7bd54ab0989a8412a000d0475c90da36367eb574/scripts/http-vuln-cve2017-5689.nse> Évidemment, #Shodan trouve des tas de processeurs Intel ainsi accessible de l’extérieur.

Question politique, Cory Doctorow note à juste titre que la faille vient du désir d’Intel de mettre un ordinateur complet dans chaque processeur, afin de contrôler l’usage qu’on en fait : ▻http://boingboing.net/2017/05/09/management-engine.html

#sécurité_informatique #foutage_de_gueule

▻https://seenthis.net/messages/596937 via Stéphane Bortzmeyer

WhatsApp, sa porte discrète du fond et les #backdoors de Signal

▻https://linuxfr.org/users/apichat/journaux/whatsapp-sa-porte-discrete-du-fond-et-les-backdoors-de-signal

Nous le savons tous #WhatsApp n’a pas de #backdoor, c’est d’ailleurs pour ça que son code source n’est pas public : ya rien à voir, tchatez.

Une très bonne explication est publiée sur le site de Reflet :

> Il suffit à WhatsApp d’ajouter un nouvel appareil virtuel au compte de Bob, cet appareil recevra ainsi les #messages qui lui sont destinés
> De manière générale c’est le problèmes des systèmes où le lien entre personne physique et clef de chiffrement est établi et contrôlé par un acteur tiers, comme WhatsApp, ou en utilisant des mécanismes peu fiables, comme le contrôle du numéro de téléphone.
> C’est également un problème par ex. chez #Apple ( #iMessage ) : Apple gère la liste des appareils liés à un compte et est donc en mesure d’ajouter un appareil « fantôme » au compte qui recevrai alors tous les messages qui lui sont destinés, et peut se faire passer pour ce compte.

Cependant, selon certains avis avisés de la #Free Software Foundation Europe, il y aurait un certain nombre de BackdoorS présenteS lors de l’utilisation du logiciel #Signal

[...]

#sécurité_informatique #Crypto #Cryptographie #Interceptions #Sécurité

▻https://seenthis.net/messages/562399 via Apichat

Un faux email prétendant venir du groupe #Vinci a été envoyé à #Bloomberg qui l’a publié. Ce message prétendait que Vinci avait viré un cadre important pour malversations. L’action Vinci a donc plongé de 20 %. Contrairement à ce qu’a répété en boucle la presse à sensation, il n’y a eu aucun « piratage » ou « hack ». C’était juste un email mensonger.

Parmi les leçons à en tirer : le comportement moutonnier des boursicoteurs, qui paniquent tous ensemble, la confiance aveugle dans les emails (qui sont pourtant faciles à imiter), l’absence de vérification du nom de domaine (il était trivial avec whois de vérifier que vinci.group n’est pas Vinci)...

Le communiqué officiel de Vinci : ▻https://www.vinci.com/vinci.nsf/fr/communiques/pages/20161122-1640.htm (et leur tweet ▻https://twitter.com/VINCI_fr/status/801089901659820032)

Le titre ridicule de 20 minutes : ▻http://www.20minutes.fr/societe/1966947-20161123-incroyable-piratage-fait-chuter-vinci-bourse-entreprise-e et celui de Challenges : ▻http://www.challenges.fr/industrie/un-incroyable-piratage-fait-chuter-vinci-de-18-en-bourse_439584

Celui de l’Usine Nouvelle est bien plus factuel : ▻http://www.usinenouvelle.com/article/vinci-victime-d-une-fausse-information-qui-l-a-plombe-en-bourse.N4672 Mais le meilleur article, sobre et le seul à contenir des détails concrets (comme une reproduction du faux email) est celui de ... BFM TV ▻http://bfmbusiness.bfmtv.com/bourse/affaire-vinci-que-s-est-il-passe-mardi-1062541.html

#infosec #sécurité_informatique #crédulité #Bourse #presse_à_sensation

▻https://seenthis.net/messages/544611 via Stéphane Bortzmeyer

Les #objets_connectés s’attaquent à Internet
▻https://www.mediapart.fr/journal/international/271016/les-objets-connectes-s-attaquent-internet

Depuis plusieurs semaines, des chercheurs alertent sur la propagation d’un #Malware, un programme informatique installé dans les objets connectés (caméras de surveillance, enregistreurs vidéo) afin d’en prendre le contrôle. Le week-end dernier, un réseau de machines infectées a lancé une attaque de grande envergure ayant mis hors ligne de nombreux sites tels que Twitter ou Spotify.

#International #attaque_DDoS #Mirai #Numérique #sécurité_informatique

Les #objets_connectés s’attaquent à Internet
▻https://www.mediapart.fr/journal/international/271016/les-objets-connectes-sattaquent-internet

Depuis plusieurs semaines, des chercheurs alertent sur la propagation d’un #Malware, un programme informatique installé dans les objets connectés (caméras de surveillance, enregistreurs vidéo) afin d’en prendre le contrôle. Le week-end dernier, un réseau de machines infectées a lancé une attaque de grande envergure ayant mis hors ligne de nombreux sites tels que Twitter ou Spotify.

#International #attaque_DDoS #Mirai #Numérique #sécurité_informatique

On l’oublie souvent
Une personne sur deux est incapable d’effectuer des paiements sur internet RTBF 30 Aout 2016
▻http://www.rtbf.be/info/belgique/detail_une-personne-sur-deux-est-incapable-d-effectuer-des-paiements-sur-intern

L’utilisation des tablettes, smartphones ou ordinateurs est devenue banale. Mais pas pour tout le monde. Or, les entreprises et les pouvoirs publics se digitalisent très vite.

Selon un récente étude réalisée par la Ligue des Familles, 86% de la population a accès à un ordinateur et à internet mais 40% des personnes interrogées ne savent pas utiliser tax-on-web. Une personne sur deux est incapable d’effectuer des paiements sur le web.

http://ds1.static.rtbf.be/article/image/1248x702/1/d/e/7a8cf4b87a4d228b57102aa29b97191b-1472543324.jpg

Une nouvelle fracture numérique
Ce n’est pas uniquement le fait de posséder ou non un ordinateur qui crée cette nouvelle fracture numérique, mais bien à la capacité à l’utiliser. 

 » L’illettrisme digital commence sitôt que les aptitudes informatiques sont lacunaires", explique la Ligue des familles. Chez les 14% de Belges qui n’ont pas accès à un ordinateur ni à internet, ces lacunes sont importantes : ils ne maîtrisent pas les traitement de texte, tableurs ou courrier électronique. Au total, c’est le cas pour un Belge sur 4 de moins de 54 ans.

En Wallonie, une personne sur deux semble avoir des compétences informatiques insuffisantes, contre 1 sur 3 en Flandre.

Un répondant sur 5 se dit incapable d’envoyer ou de recevoir du courrier électronique et de faire des recherches sur internet, un sur 4 de consulter les sites d’actualités, un sur 3 de consulter les horaires des transports publics et un sur 2 d’exécuter des paiements en ligne.

Cette fracture numérique touche plus particulièrement les femmes, les personnes plus âgées et les familles sans enfants.

Ces aptitudes internet insuffisantes entraînent un risque plus grand d’être victime de fraude sur internet. Un Belge sur 2 (49%) ne sait pas comment protéger ses données individuelles contre des pirates, et presque autant (46%) installer un antivirus.

Répercussions financières 
Dans un 1 cas sur 4, personne dans le ménage n’est capable de payer avec une carte de débit ou de crédit, et dans 1 ménage sur 5, d’effectuer un virement en ligne. Dans près de la moitié des familles, personne ne sait comment enregistrer ou payer des factures avec les systèmes tels que PayPal, Ogone, Zoomit ou Doccle. 

Alors que les autorités publiques entrent résolument dans l’ère électronique, les citoyens accusent du retard : 40% des familles se disent incapables de payer les impôts en ligne ou de remplir un formulaire en ligne afin de bénéficier d’allocations sociales. Et cela concerne surtout ceux qui en ont le plus besoin : 38% des consommateurs de la catégorie sociale inférieure contre 16% de la classe supérieure.

#Illettrisme #Illettrisme_digital #sécurité_informatique #Ecole #culture #Belgique #éducation #inégalités #Fraude_informatique

▻https://seenthis.net/messages/520022 via BCE 106,6 Mhz

« Enfin ! Après 4 ans de travail et 5M€ de financement public, le projet d’antivirus "souverain" vient d’être publié sur GitHub. [...] Certes la version "Android" du projet, publiée en 2014, a été immédiatement "cassée" de manière triviale : il était possible d’exécuter des commandes shell depuis la mire de démarrage du téléphone. Le plus grave a probablement été la réaction du projet, consistant à éditer agressivement la page Wikipedia dans une tentative désespérée de damage control. »

▻https://news0ft.blogspot.fr/2016/06/le-gachis.html

#souveraineté_numérique #gâchis #gaspillage #DAVFI #Uhuru #Armadito #sécurité_informatique

▻http://seenthis.net/messages/501819 via Stéphane Bortzmeyer

L’État turc maintient, en dépit du bon sens et de tout ce que l’on sait de la #sécurité_informatique, une base de données de toute la population, #MERNIS. La présentation officielle :

▻http://www.nvi.gov.tr/English/Mernis_EN,Mernis_En.html

Et un article publicitaire qui avait été envoyé à Bruxelles :

▻https://joinup.ec.europa.eu/community/epractice/case/turkish-identity-information-sharing-system

Le problème, c’est que MERNIS s’est fait pirater et que la base est dans la nature, distribuée en BitTorrent (non, je ne vous donne pas le « magnet », mais la base semble réelle). Je copie ici le texte du distributeur, verbatim (moins les liens), hébergé sur un serveur islandais :

Turkish Citizenship Database

Who would have imagined that backwards ideologies, cronyism and rising religious extremism in Turkey would lead to a crumbling and vulnerable technical infrastructure?

This leak contains the following information for 49,611,709 Turkish citizens: (IN CLEARTEXT)

National Identifier (TC Kimlik No)
First Name
Last Name
Mother’s First Name
Father’s First Name
Gender
City of Birth
Date of Birth
ID Registration City and District
Full Address

Lesson to learn for Turkey:

Bit shifting isn’t encryption.
Index your database. We had to fix your sloppy DB work.
Putting a hardcoded password on the UI hardly does anything for security.
Do something about Erdogan! He is destroying your country beyond recognition.

Lessons for the US? We really shouldn’t elect Trump, that guy sounds like he knows even less about running a country than Erdogan does.

Let’s take a look at the data:

mernis=# SELECT * FROM citizen WHERE last = ’ERDOGAN’ AND \
first = ’RECEP TAYYIP’ AND \
date_of_birth LIKE ’%/%/1954’;
–[ RECORD 1 ]------------+-------------------------
[Personal data deleted]

mernis.sql.tar.gz (1.5GB compressed - 6.6GB uncompressed)

#vie_privée #Turquie

▻http://seenthis.net/messages/476155 via Stéphane Bortzmeyer

Au Logan Symposium à Berlin, les #whistleblowers s’en prennent aux #journalistes inconséquents
▻http://rue89.nouvelobs.com/2016/03/14/chers-journalistes-les-amis-lanceurs-dalerte-aiment-trop-263445

La principale lacune pointée du doigt par les lanceurs d’alertes et leurs défenseurs lors de la conférence Logan a été le manque d’attention accordée par les journalistes et aussi par les avocats, à la sécurité de leurs entretiens avec leurs interlocuteurs. « 75% des journalistes américains n’utilisent pas ces outils », clame Jesselyn Radack, citant une étude récente [PDF] de l’association américaine de défense des auteurs PEN.

#sécurité_informatique #hacktivism

▻http://seenthis.net/messages/469839 via tbn

La Silicon Valley renforce sa sécurité
▻http://www.intelligenceonline.fr/intelligence-economique/2015/07/08/la-silicon-valley-renforce-sa-securite,108083212-GRA

Confrontées à des menaces de plus en plus importantes de la part d’Etats et de groupes paraétatiques, les start-up les plus en vue de la Silicon Valley développent rapidement leurs départements de sûreté, en ayant recours à des vétérans des services de renseignement américains. Le site de micro-blogging Twitter vient ainsi de recruter comme responsable Global Threat Management & Business Continuity Patrick Geonetta, un ancien agent spécial du #FBI. Celui-ci devra mettre en place des plans de réaction en cas d’attaque ou d’incident majeur. Il devra également s’assurer du besoin grandissant de sécurité qu’implique le développement international du site, notamment dans les pays où celui-ci est très surveillé, comme la Russie.

Egalement en pleine expansion - au Brésil, au Mexique, en Inde… -, le site d’information BuzzFeed a embauché ces dernières semaines Jason Reich, un ancien officier de renseignement israélien, pour superviser sa sûreté au niveau mondial.

#cybersécurité #sécurité_informatique #silicon_army

▻http://seenthis.net/messages/389826 via tbn

Mr. Robot (série télévisée)
▻https://fr.wikipedia.org/wiki/Mr._Robot_(s%C3%A9rie_t%C3%A9l%C3%A9vis%C3%A9e)
https://upload.wikimedia.org/wikipedia/commons/thumb/4/44/Mr_Robot_s%C3%A9rie_TV.jpg/220px-Mr_Robot_s%C3%A9rie_TV.jpg

La série suit Elliot Alderson, un jeune informaticien qui travaille le jour pour une entreprise de sécurité, Allsafe Security. La nuit il opère seul en tant que hacker justicier. Elliot rencontre un mystérieux activiste « Mr. Robot » qui cherche à le recruter pour rejoindre son équipe de hackers, « Fsociety ». Elliot, au caractère antisocial, est intrigué et hésite à faire partie de ce groupe de #hackers qui cherche à détruire Evil Corporation, le conglomérat que Allsafe Security est censé protéger.

#sécurité_informatique #tv_show (vu que l’épisode 1, super)

▻http://seenthis.net/messages/388770 via tbn

La semaine commence très bien. La société italienne #Hacking_Team, spécialisée dans la réalisation et la vente d’armes numériques (piratage des ordinateurs des dissidents, espionnage) a été... piratée. Le pirate a mis en ligne 400 Go d’archives internes de la boîte.

▻http://www.numerama.com/magazine/33624-la-firme-d-espionnage-hacking-team-piratee-400-go-de-donnees-diffuse ▻http://korben.info/hacking-team-pirate-400-gb-de-donnees-dans-la-nature.html

Le torrent (sans garanties...) ▻https://mega.co.nz/#!Xx1lhChT!rbB-LQQyRypxd5bcQnqu-IMZN20ygW_lWfdHdqpKH3E

La situation légale en France, sur les armes numériques ▻http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIART

#sécurité_informatique

▻http://seenthis.net/messages/387530 via Stéphane Bortzmeyer

« Samedi dernier, un parking de sa [celle de Jean-François Copé] commune de Meaux a distribué près de 500 tickets avec des messages insultants. "Copé voleur", était-il par exemple écrit. »

▻http://www.sudouest.fr/2015/06/04/insulte-par-des-horodateurs-jean-francois-cope-porte-plainte-1941244-710.ph

#Intrernet_des_Objets #sécurité_informatique #v_pour_vendetta #horodateur #Gorafi_encore_plagié

▻http://seenthis.net/messages/377363 via Stéphane Bortzmeyer