Les photos prises par les appareils numériques ne contiennent pas uniquement les données constituant l’image. Elles contiennent aussi des métadonnées sous format exif (EXchangeable Image File Format). Ces exif sont incorporées au fichier image (JPEG, TIFF, …), et contiennent des informations sur la date et l’heure de la prise de vue, la marque et le modèle de l’appareil (parfois même son numéro de série), les caractéristiques de la prise de vue (orientation, l’ouverture, vitesse d’obturation, longueur de focale, sensibilité) et la géolocalisation (lorsque l’appareil est équipé d’un système GPS).

Autrefois, pour “nettoyer” une photo de ses exif, il suffisait d’utiliser un programme de traitement de l’image dans un cyber-café et de changer de format, mais les programmes récents de traitement d’images (Photoshop, etc.) conservent les données exif lors de la modification du fichier. Si vous voulez mettre en circulation des photos qui préserve “l’anonymat” de votre appareil photo (et donc votre anonymat si vous avez ou vous comptez mettre une photo non nettoyée sur le net), il faut désormais utiliser des logiciels spécialement conçus pour supprimer les données exif.

Parmi ceux-ci, nous pouvons conseiller le programme jstrip 3.3, qui enlève tout ce qui est block inconnu dans le fichier, il ne garde que l’image. Il y a juste un zip à télécharger et vous aurez un petit installeur :

http://davidcrowell.com/jstrip

Dossier(s): Archives Sécurité IT

Dans une communication présentée lors de l’Internet Measurement Conference 2011, qui s’est tenu à Berlin du 2 au 4 novembre, des chercheurs ont démontré que tous les utilisateurs de Skype pouvaient voir leurs adresses IP identifiées, et donc les zones géographiques d’où ils se connectent, mais également qu’il était possible de savoir s’ils téléchargeaient ou partageaient des fichiers sur un système de partage de fichiers P2P. Et ce, quand bien même ils auraient configuré leur logiciel pour ne permettre qu’à leurs amis de voir s’ils sont connectés, ou pas…

Skype est censé garantir la confidentialité de nos télécommunications, en les chiffrant via un algorithme propriétaire. Nul ne sait jusqu’où cet algorithme propriétaire est fiable, ou pas (en vertu du Principe de Kerckhoffs, un système ne peut être considéré comme sécurisé que si l’on en connaît le code source, et donc le mode d’emploi, le secret ne devant reposer que sur la clef, secrète, en tout cas personnelle). Mais en l’espèce, le problème n’est pas une “faille de sécurité” plus ou moins facile de corriger, mais un problème de conception : par défaut, Skype transmet en effet l’adresse IP de tous ses utilisateurs, quand bien même ils aient pourtant interdit aux autres utilisateurs de savoir s’ils étaient connectés… ce que les chercheurs ont pu vérifier en traquant 20 volontaires, et 10.000 utilisateurs de Skype choisis aléatoirement (et anonymisés). Pour 500$ seulement, il a été possible de créer une base de données circonstanciée de 10.000 utilisateurs (avec leurs noms, prénoms, adresses, professions et employeurs), en croisant ces données avec celles disponibles sur les réseaux sociaux…

Dossier(s): Archives Sécurité IT

Un livre vient d’être mis en ligne en français, qui aide à s’y retrouver parmi la multitude d’outils et techniques permettant de mettre en échec la censure sur Internet, et qui révèle également comment cette censure prend place en coulisses. Le livre traite aussi des risques liés à l’utilisation de ces outils de contournement, et comment minimiser ces risques grâces aux technique de cryptage et d’anonymat en ligne.

Le livre en html

Le livre en .pdf

Le livre en epub

htbic_cover.png

Dossier(s): Archives Sécurité IT

Le BxLUG est une association d’utilisateurs de logiciels libres créée en 1999 et dont l’objectif est la promotion de GNU/Linux et autres logiciels libres dans la région de Bruxelles. Ils organisent de manière plus ou moins régulière des rencontres pour aider tout un chacun à installer et configurer des systèmes libres, à approfondir leurs connaissances et à découvrir de nouveaux horizons.
Ils proposent également sur leur site de la documentation écrite par leurs membres et fournissent des listes de discussion ouvertes à tous pour l’entraide quotidienne.

Le site de BxLUG

Dossier(s): Archives Sécurité IT Tags:

Le SSTIC la principale conférence francophone sur le thème de la sécurité de l’information, ce qui comprend à la fois les vecteurs d’information (comme les systèmes informatiques ou les réseaux) et l’information elle-même (cryptographie ou guerre de l’information). Il se déroule cette année à Rennes du 8 au 10 juin 2011.

Voici la liste des thèmes abordés: Thoughts on Client Systems Security ; BitLocker ; Silverlight ou comment surfer à travers .NET ; XSSF: démontrer le danger des XSS ; Rainbow Tables probabilistes ; Memory Eye ; Attaque d’implémentations cryptographiques par canaux cachés ; Sécurité du système Android ; Attaques DMA peer-to-peer et contremesures ; Sticky fingers & KBC Custom Shop ; Virtualisation d’un poste physique depuis le boot ; Attacking and Fixing PKCS#11 Security Tokens with Tookan ; Peut-on éteindre l’Internet ? ; Architecture DNS sécurisée ; Rump Sessions ; RRABBIDS, un système de détection d’intrusion pour les applications Ruby on Rails ; Usages offensifs de XSLT ; Faille de sécurité ou défaut de sécurité ; Typologie des attaques contre nos libertés online ; Système de stockage-en-ligne de photos avec confidentialité des données personnelles ; Un framework de fuzzing pour cartes à puce: application aux protocoles EMV.

Détail des thématiques sur le site du SSTIC

Dossier(s): Archives Sécurité IT

Les iPhone et iPad 3G fonctionnant sous le système d’exploitation iOS4 (disponible depuis juin 2010) enregistrent régulièrement la localisation des produits dans un fichier caché, dont le contenu est restauré à chaque sauvegarde ou migration d’appareil. Les localisations sont stockées dans un fichier appelé consolidated.db, avec coordonnées géographiques évoluant en fonction de la date d’enregistrement. La chose n’est pas toujours archi précise, triangularisation oblige :

iphone_track-1.jpg

Un logiciel baptisé iPhone Tracker est disponible pour lire à son tour ce genre de traces. En mouvement (soit en faisant évoluer la chronologie), ça donne ça :

iphone_2.jpg

A ce stade, rien ne prouve que ces données puissent échapper au contrôle de l’utilisateur. De même, l’existence même de ce type d’informations n’est pas en soi une nouvelle : les opérateurs téléphoniques en disposent et peuvent les transmettre aux autorités dans certaines circonstances (enquêtes, etc.), mais uniquement sur demande en bonne et due forme (mandat, par exemple). Le problème ici soulevé est que le fichier en question n’est pas du tout crypté, donc facilement accessible en cas de vol ou d’emprunt de téléphone, par exemple. Des fonctionnalités permises par l’iOS4, comme la classification automatiques des photos prises par l’iPhone en fonction du lieu de la prise de vue (cf capture à droite), peuvent éventuellement constituer une piste d’explication quant à la présence d’un tel fichier dans le téléphone. Parmi les pistes suggérées pour éviter ce genre de désagrément, on peut citer l’option « Encrypt iPhone Backup » accessibles via les paramètres d’iTunes une fois l’appareil connecté à l’ordinateur.

Le lien vers pour le logiciel iPhone Tracker

Dossier(s): Archives Sécurité IT

Comment contourner les systèmes de traçabilité ? est un article de Jean-Marc Manach, journaliste à InternetActu.net et LeMonde.fr, animateur du blog bugbrother consacré à la défense de la vie privée face au contrôle social informatique.

Cet article a été une première fois publié dans Hermès n°53, 2009 (“Traçabilité et réseaux”), publiée par le CNRS. C’est un excellent survol de la problématique dont nous ne pouvons que conseiller la lecture.

Lire l’article en .pdf

Dossier(s): Archives Sécurité IT

Ce mardi, Google a lancé un nouveau site internet de statistiques. Celui-ci révèle, pays par pays, le nombres de demandes de censures et d’informations sur les internautes effectuées par les agences gouvernementales. Les services concernés par ces requêtes vont de la messagerie électronique Gmail aux sites internet en passant par YouTube, propriété de Google. La censure des Etats sur le web augmente de plus en plus, et consiste en des demandes de blocage total de sites, de leur filtrage, ainsi qu’en des décisions judiciaires limitant l’accès à l’information et aux législations obligeant l’auto-censure. Les agences gouvernementales font également appel à la société américaine pour qu’elle leur fournisse des informations sur ses utilisateurs.

Selon la chargée de communication de Google, l’augmentation de la censure des gouvernements sur internet est la conséquence du nombre record de personnes disposant d’un accès à internet et du fait qu’ils créent plus de contenu que jamais. Pour elle, cette situation est devenu un véritable défi pour des gouvernements habitués à contrôler les médias écrits et télédiffusés.

Le Brésil récolte la première place des pays demandant des retraits de données (291 demandes entre juillet et décembre 2009), suivi par l’Allemagne, l’Inde et les Etats-Unis. En ce qui concerne les demandes d’informations personnelles, c’est à nouveau le Brésil qui est en tête (3663 requêtes), talonné par les Etats-Unis et la Grande-Bretagne. Google précise que les données publiée sur le site www.google.com/governmentrequests/ ne sont ni complètes, ni précises à 100%, mais promet des améliorations et sa mise à jour tous les six mois. Notons enfin que cette nouveauté apparaît alors que les autorités de protection des données personnelles de dix pays ont écrit à la société américaine cette semaine pour l’exhorter à respecter les lois relatives à la protection de la vie privée.

En mai 2008, des policiers du monde entier, dont des Français, sont invités par Microsoft, pour découvrir, dans les locaux de Microsoft, à Redmond, COFEE (Computer Online Forensic Evidence Extractor), un outil permettant d’aider les forces de l’ordre a mettre à mal les sécurités installées dans Windows Vista. Un stage de luxe qui regroupe le FBI, Interpol, l’armée. Parmi les ‘cours’, comment récupérer des preuves sous Hotmail ou sous Windows. Parmi les possibilités, le programme COFEE.

Le matériel est simple, une clé USB et un programme capable de trouver différentes données cachées sur un disque dur. Un programme aux 150 commandes qui permet de retrouver toutes données liées à une affaire en un temps record. Décryptage des mots de passe, analyse des activités sur la toile, et cela par un policier qui n’a plus besoin d’être un expert. Bref, rien de révolutionnaire, ce type d’outil existait depuis longtemps mais Microsoft semble avoir réuni tout ce petit monde sous le même programme. Des milliers de clés de ce type sont déjà en action dans 15 polices de par le monde. Microsoft les offre. ‘Nous investissons beaucoup de temps et d’argent dans la mise au point de ces nouveaux outils, mais notre but n’est pas d’en tirer des profits en argent. Nous le faisons afin de nous assurer qu’Internet demeure un endroit sécurisé‘ confiait Brad Smith, de chez Microsoft. A noter que cette clé permet de passer outre le chiffrement ‘Bitlocker’ mis en place par Microsoft dans Windows Vista. Il suffit aux enquêteurs de brancher la clé sur la machine allumée du suspect pour utiliser l’un des 150 outils mis à disposition avec COFEE. En moins de 30 minutes, la clé enregistre les données dites ‘sensibles’ pour les enquêteurs.

Début novembre, un fichier archive circulait sur le net avec, à l’intérieur, une image de COFEE. Colmatée depuis, la fuite finit de se répandre sur Internet. Mais le mal est fait. Si la diffusion de l’utilitaire a été bloquée, des pirates en ont profité pour développer une contre-application qui permettait de se débarrasser des ‘trous’ exploités par COFEE et qu’ils ont nommée DECAF (Detect and Eliminate Computer Assisted Forensics). Téléchargeable sur leur site decafme.org, cette application s’adressait à des utilisateurs avancés. Yahoo en avait parlé. Mais le 18 décembre, un petit message intitulé Gamer Over sur le site de DECAF, nous apprend que le but était simplement d’attirer l’attention du public sur la sécurité et que les versions téléchargées sont désormais inopérantes…

Logo de DECAF

Logo de DECAF

Lors de l’arrestation des membres du Secours Rouge le 5 juin dernier, les médias ont fait grand cas des communications cryptées entre la section belge du SRI et le secrétariat international de Zurich, et interceptées par la police. Un an et demi plus tard, les services spécialisés de la police fédérale ne sont toujours pas parvenu à décrypter ces mails…

Le cryptage des mails ne fait pas partie de la culture militante en Belgique, alors qu’il est extrêmement répandu en Allemagne ou en Suisse, et alors qu’en Belgique même, il est courant dans le domaine commercial et bancaire. Il est important de généraliser les techniques de cryptage. Crypter toutes les communications politiques, même les plus banales, est essentiel pour tous ceux qui veulent éviter de nourrir les fichiers policiers.

Le logiciel utilisé par le Secours Rouge International est le classique PGP (Pretty Good Privacy). Philip Zimmermann, son développeur, a mis PGP en libre téléchargement en 1991. Le gouvernement a ouvert une enquête contre lui pour violation des lois limitant l’exportation pour les produits cryptographiques aux seuls clients validés par le gouvernement US. Zimmermann a développé PGP dans un souci de droit à la vie privée et de progrès démocratique: ‘PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C’est pourquoi je l’ai créé. (…) Si l’intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d’armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n’avaient pour la plupart pas eu accès à ces technologies cryptographiques de ‘qualité militaire’ abordable. Jusqu’à présent.

PGP est un logiciel de chiffrement et de signature de données utilisant la cryptographie asymétrique mais également la cryptographie symétrique. Il est d’une extrême facilité d’emploi. Il est basé sur un processus appelé ‘public-key’ (‘clé publique’). Tout utilisateur dispose d’une clé privée (une série de caractère, idéalement plus de 20, choisis par lui) et d’une clé publique produite par le programme et liée à la première par un algorithme complexe. La clé publique peut être transmise sous forme de ‘pièce jointe’, dans le corps d’un mail, par clé USB, disque, ou n’importe quel support de données. Elle peut être interceptée et connue sans nuire à la qualité du cryptage.

L’utilisateur communique donc sa clé publique à tous ceux qui doivent lui envoyer un message crypté. Ceux-ci cryptent leur mail ou leur document (traitement de texte, image, tableur) qu’ils lui destinent avec sa clé publique (ce qui se fait en deux ‘clics’). Pour décrypter, l’utilisateur tape dans le logiciel sa ‘clé privée’, connue de lui seul. A l’inverse, pour envoyer un message crypté, l’utilisateur doit disposer de la clé publique de son correspondant. Une fois qu’il a crypté le message, seul le correspondant pourra le décrypter avec sa ‘clé privée’. Même le crypteur n’est pas en mesure de décrypter son message.

Dans le cadre du week-end d’étude anti-répression co-organisé av ec le CLEA, le COI et le CAS, le Secours Rouge organise une formation à l’utilisation de PGP. Si vous apportez votre ordinateur portable, vous pourrez vous faire installer PGP et faire des essais de cryptage jusqu’à ce que vous en maîtrisiez la technique (dix minutes suffisent…). Si vous apportez une clé USB, vous pourrez avoir une copie du programme pour l’installer chez vous (version Linux, PC ou Apple).

Dimanche 10h-12h, Espace Morichar, 29-33 Place Morichar 1060 St Gilles, entrée gratuite.