Archives par mot-clé : Technique

Comment chiffrer ses emails

Publié le par

J’avais écrit en 2007 un billet sur la confidentialité par emails, que je n’avais jamais complètement terminé, mais dans lequel plusieurs commentateurs étaient intervenus avec brio.

Je vais essayer de reprendre le sujet, avec une publication en plusieurs billets, à mon rythme, en intégrant les remarques qui m’avaient été faites à l’époque.

Le problème posé est simple : deux personnes souhaitent pouvoir s’envoyer des emails chiffrés de manière à protéger leur correspondance.

La solution doit être simple à mettre en œuvre, suffisamment universelle pour pouvoir être utilisable sur tout type d’ordinateur, avec tout type de messagerie électronique. Je pense en particulier aux échanges entre un avocat et son client, ou entre un expert judiciaire et un magistrat, par exemple.

Attention : je ne suis pas un spécialiste de la sécurité informatique, et je ne prétends pas l’être (même si le sujet m’intéresse). Je pars du principe que la sécurité informatique absolue n’est pas possible, mais qu’il est possible d’atteindre un niveau convenable, en particulier pour protéger sa vie privée.

N’oubliez pas qu’un email chiffré doit être déchiffré par son destinataire, et qu’alors, les données qu’il contient sont en clair sur l’ordinateur. L’interception peut être faite à ce moment là (une simple lecture par dessus l’épaule, par une caméra par exemple). La sécurité n’est jamais absolue. Un groupe de personnes qui a les moyens de vous « cibler » arrivera toujours à ses fins, surtout s’il a la puissance d’un état derrière lui. Ce n’est pas une raison pour rendre la chose facile, surtout si votre métier vous amène à manipuler des données confidentielles (avocats, magistrats, experts, etc.)

Un peu de théorie.

Je ne vais pas entreprendre l’écriture ici d’un cours sur le chiffrage chiffrement, ni en particulier sur toutes les méthodes utilisables pour rendre un texte illisible, je vais vous parler d’une seule méthode : la cryptographie à clef publique.

Cette méthode fait en sorte que chaque personne dispose de deux clefs :

– une clef privée, et

– une clef publique.

Mais qu’est-ce qu’une clef ?

Il s’agit d’une suite de chiffres et de lettres, dont nous verrons plus tard comment elle peut être générée et manipulée.

La clef publique peut être dévoilée à tout le monde, et, par exemple, être publiée sur un site web. Voici ma clef publique :

mQGiBEdDB/MRBAC8F2bDdr/1uv8QOhbNWI5Cu5MjWLij0gkhd4btpaAYZI6+/f8q

mMRzWE2uFRQbKIJPdwGTgUwOp7uAYC6/48a7+C+5F/3csmygEtgIB7O8ebIQPnWN

JUk/v2NADtli8wxrvJXl6JMH7YNNIuqF8zPlEt2Tr9P8eKrqF7136BY5WwCgxJ0T

FeUN6UgQ9FEMw9E1abv0+HED/0OLDk+Pnlk6t0/qkknEVkQSclWI0sLu1jtVM069

AwcmQoIVL7DBb9a9adFqHh1UaYZYVlJuGPK0lnay26uOz1DShytLpSHuWdhv8SOl

rJSZmwRFfguPOEkD5Kc+1pbqHK6ejinn1J+gU9BrOgn0cXgEXtrItLzGFT5Q2qaZ

vgC0A/0avFgR5mngrdsxtbyQHL0lyx7XpiDCzwKrVTgaaRFclzaGW5s10sNkobx7

OX1k0w5WfOzMFYV8ekDD0d565KDFNql5Z13NGrNaNa4LpgRepXY1yYhYFZJD7n/6

ekzliWepibl1WDC9X4uSsac1nJqLvnINATT/M/BXkbCU9E2F4rQZWnl0aG9tIDx6

eXRob21AZ21haWwuY29tPohgBBMRAgAgBQJHQwfzAhsDBgsJCAcDAgQVAggDBBYC

AwECHgECF4AACgkQigEWE2UtHZiCyACfVDRERd9BVodH7yrUnaJa9dNb2lIAn0aW

wp4nSOydKYr8vXOYxR1Ka6ZZuQQNBEdDB/MQEAD2mYS1L7y1ppBZu5q7Ed0NRDlg

4n+QLFv7fQveDbuubZZmK+7DuIa8T54NvS9uys1YE10NlxGbrm8KoohMoyxr7d9a

pfmeTNNafe2E8GKUX2kHZ9SkEJpMCjBfcGTe2k+9RndjKIP+O8etVZThQnVIs3Kf

qT7JuvPYd8pS6avxTWYgLboCDyXh70CX6tF6NEWAUKHK4/qunK79VQYGE93BuaX8

xX9THYFV09rDszHXqOQ+BVYyO1Sr8cCM8lramr273La/0m9txeDm7Z+FWbQV0nlW

Z7LOBqLCeON1idJbdzMbmeBybj3cmesS+gNxUoO6wkBXJLKGpm4ufu7Qg1c+WQkm

omfYnLTOFgatcWHhKMU3jruKBkx2PjeFX7fZulC8xek51csw1e9jPIya4Cw2cWU1

Kf48pcRILy2wVtLdLTRTJtOOef0zMKqd3oqbo4B54XYoQ+6Pzdvx+1kz6ac73JvV

b1sCgGqO9vvqYEYYepLtXN2RarX5EWukTTCNcUNN5tLfkYZrg/li6PRfTed3uxSi

A4ycPek3mSFkH557QN9pfRpya2dvQ6FjkYvYxTRHRA2ti/n7UA2i0pdeMIXhfT0L

IHT/hEsRjFVpgRr5QtoQ9iZok94riltzICtkaicpGJcnqSOjO1J6TA3s8c/opPUH

wAwADhatDvufhgsNJwAECxAA8SnqEbo/HuVqz2gXdEtCoJGLUMMIuTnotgYyCfP0

dQIq3NyKcFKPd8yxc6lv9g8lB7OggDa7Ih6sAjrCMBz6oSgQ38ABfiA5hy5UezrO

i/7uCXQhNNVOGuveMU8Lf3gg7tGbHI4UWdSVDp2PVa9RJ53orDyzYA1xqFM1GxPi

ae+/Rvw34tGfY18xFSFbenpbL4qQw2zvGux2VVeQOMOkOU59gIeukycfu1Foeeye

+BZpLPQ90CETZTuQBnve2HnwEgZYlTtsmbWDTyj+k2vuXJCojtFXiBGkspjCoU8d

DHWHMqXbXjpD7ghFaUFKuL1ubkUfOOWYO0bGWbV09C/KA74xhHt26DrDMH3Pg2LZ

41ujodtTuzt32naImxpc70t2JRy9kgi8YCwJoSpXJCsPRZ5cPp++QrG2e5UeUdHi

eVwA05RHPkeEB0OyT3UvbH6ltTfea3FljbpVgiISG8d6VZ55I8jZcZuzZ0kCvmWT

DWSJk7o4+17jB8S+Eky26cme5BLSaVwdnbC3+Jzyxsc5+4LKBccQJMG8Y83Wt0mo

g95Fi+5mW3pg5KQfHbTGJk5qIFEceFkSQ0++/JRliMbu+zLdHSypv1hOaOugUDx/

L+xZLM/8RgkPde+zcqWxUB8NV5J2CalxHQiIi5K1am51aXvsS5sEuinvbGp9NMU9

5ZOISQQYEQIACQUCR0MH8wIbDAAKCRCKARYTZS0dmBB1AJ94r+7ujxCDK3zcbwvs

ax9UUOzmiACfe73CnGai82jRdjF0Fpp6q/X8/eU=

=tZkN

telle qu’elle apparaît sur la page contact de ce blog.

De son côté, la clef privée est connue uniquement par son propriétaire, elle est
secrète, ne doit jamais être divulguée et doit être protégée à tout
prix. Je ne vous donnerai JAMAIS ma clef privée. Elle est protégée bien à l’abri sur mon ordinateur (où sur l’ordinateur ?, c’est un autre sujet, très bien détaillé par Kozlika, dans une série de billets toujours d’actualité malgré l’arrêt mystérieux de TrueCrypt).

Si quelqu’un veut m’écrire, il va chiffrer son message avec MA clef publique.

Et je serai la seule personne AU MONDE à pouvoir déchiffrer son message, grâce à MA clef privée.

C’est très simple.

Reste à savoir utiliser une clef publique pour chiffrer un message, et à utiliser la clef privée correspondante pour le déchiffrer. Cela fera l’objet d’un autre billet. 

Pour l’instant, je vous laisse imaginer un monde où TOUT LE MONDE aurait deux clefs (l’une privée, secrète, et l’autre publique, connue de tous) et où pour écrire à quelqu’un, il suffirait d’utiliser la clef publique de cette personne.

Ce monde est à portée de main (à suivre).

PS: La question suivante m’est souvent posée : si un policier, ou un douanier, ou un militaire, ou un expert judiciaire, ou mon partenaire jaloux, me demande avec insistance ma clef privée (c’est valable aussi avec mon mot de passe), suis-je obligé de la lui fournir ?

Chaque personne aura sa propre réponse à cette question, mais l’article 434-15-2 du Code Pénal français précise :

« Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.« 

Alors, toujours émules d’Avinain ?

Professionnaliser son adresse email

Publié le par

En développant mon activité de consultant auprès des avocats, je me suis rendu compte que, dans mon fichier « prospects avocats », la majorité des emails se terminaient en « wanadoo.fr », « gmail.com » ou « yahoo.fr »…

Bien entendu, cela fait sourire tous les informaticiens, pour qui, en général, ces noms de domaine ne font pas très « pro ». Mais la réalité nous rattrape toujours, et force est bien de constater que beaucoup de personnes trouvent assez compliqué ce que nous, informaticiens, trouvons relativement évident, comme par exemple qu’il vaut mieux prendre une adresse email indépendante du fournisseur d’accès à internet. Comme ça, si vous changez de fournisseur d’accès, vous n’êtes pas obligé de prévenir tous vos clients : vous pouvez garder la même adresse email.

Je vais donc essayer de détailler à mes lecteurs non avertis une méthode permettant de se doter d’une adresse email professionnelle personnalisée, à moindre frais et en toute simplicité, à condition de bien suivre le mode d’emploi.

Bien entendu, toutes les professions sont concernées : que vous soyez avocat, huissier, géomètre ou charpentier, la procédure est la même.

Ah, oui, j’oubliais : le coût.

Environ 15 euros (par an).

Avant d’entrer dans le vif du sujet, je voudrais présenter quelques définitions, comme dans tout bon cours qui se respecte :

Fournisseur d’accès à internet.

Un fournisseur d’accès à Internet (FAI), est un organisme (généralement une entreprise mais parfois aussi une association) offrant une connexion à Internet, un réseau informatique mondial. Le terme en anglais désignant un FAI est Internet Service Provider (ISP) ou Internet Access Provider (IAP).

Orange, Free, French Data Network (FDN) sont des exemples de fournisseurs d’accès à internet. RPVA n’est pas un fournisseur d’accès à internet.

adresse email.

Une adresse électronique, adresse e-mail ou adresse courriel est une chaîne de caractères permettant de recevoir du courrier électronique dans une boîte aux lettres informatique.

C’est cette chaîne de caractères que je vous propose de personnaliser. Elle est constituée des trois éléments suivants, dans cet ordre :

  • une partie locale, identifiant généralement une personne (lucas, Jean.Dupont, joe123) ou un nom de service (info, vente, postmaster) ;
  • le caractère séparateur @ (arobase), signifiant at (« à » ou « chez ») en anglais ;
  • un nom de domaine identifiant généralement l’entreprise hébergeant la boîte électronique (exemple.net, exemple.com, exemple.org).

boîte aux lettres informatique.

Une boîte aux lettres, ou boîte de réception, ou BAL (abrégé de « boîte aux lettres »), ou inbox en anglais, est un espace dédié à un utilisateur, où sont stockés (…) les courriels qui lui parviennent, en attendant qu’il les lise.

Vous pouvez avoir plusieurs adresses emails qui dirigent les emails vers une seule boîte aux lettres. Vous pouvez avoir une seule adresse email qui envoit les emails vers plusieurs boites aux lettres. Email, adresse email et boite aux lettres sont trois choses différentes.

client de messagerie.

Un client de messagerie est un logiciel qui sert à lire et envoyer des courriers électroniques. Ce sont en général des clients lourds mais il existe aussi des applications Web (les webmails) qui offrent les mêmes fonctionnalités. La caractéristique essentielle de tous ces logiciels est de permettre d’accéder à la boite de courriers électroniques d’un utilisateur.

Outlook ou Thunderbird sont des exemples de clients de messagerie. Les webmails permettent, eux, d’être accessibles avec un simple navigateur internet (Firefox, Chrome, Internet Explorer…).

Maintenant que le décor est planté, passons à la pratique.

Je m’appelle Maître Yoda, je suis avocat, et pour me joindre, je voudrais que mes clients écrivent à [email protected]

Je voudrais leur répondre avec cette adresse email.

Etape 1 : acquérir un nom de domaine

Parmi tous les sites proposant ce service, j’ai un faible pour Gandi.net. C’est une longue histoire d’amour entre nous et, malgré tout le temps passé, je suis encore satisfait de leurs services.

Sur la page d’accueil : www.gandi.net  se trouve une fenêtre permettant de savoir si le nom de domaine « jedi-associes.fr » est libre ou si quelqu’un l’a déjà loué. A la date d’écriture de ce billet, le domaine est libre et coûte 12 € HT par an.

Attention de bien choisir son nom de domaine. Il y a des règles à respecter (nom de marques, etc.), et il engagera ensuite votre réputation.

Une fois le nom de domaine sélectionné, vous pouvez passer à la caisse pour finaliser votre commande. Attention, il vous faut alors créer un compte sur le site de Gandi. La procédure est simple, je ne vais pas la détailler ici. Lisez bien les informations affichées et renseignez correctement les champs.

L’ironie de la démarche est qu’il faut indiquer une adresse email valide pour pouvoir créer un compte Gandi. Mais vous disposez bien d’une adresse email valide, non ? L’important est de se souvenir de l’adresse email mentionnée. Je vous recommande de noter tout cela sur un cahier adhoc, que vous pourrez consulter si dans quelques temps vous devez retrouver cette information.

Vous voilà donc l’heureux propriétaire du nom de domaine « jedi-associes.fr »

Etape 2 : créer sa boite aux lettres

Dans l’interface de Gandi « Services/Domaines », sélectionnez votre nom de domaine, puis cliquez sur « Boîtes mail : 0/5 Gérer« .

Ensuite, cliquez sur « Service Gandi Mail : Inactif activer« 

Vous pouvez maintenant créer jusqu’à 5 boîtes aux lettres distinctes (sans frais supplémentaire). Pour cela, il vous suffit de cliquer sur le bouton « créer » situé sous la liste (vide) des boîtes mail, puis de remplir le formulaire :

– Dans le champ « Compte », mettez « maitre-yoda » (sans les guillemets).

– Dans les champs « Mot de passe » et « Confirmation du mot de passe », mettez un bon mot de passe qui protégera l’accès à vos emails. Évitez de choisir un mot de passe que vous utilisez déjà par ailleurs. Pour plus d’informations sur le choix des mots de passe, je vous recommande la conclusion de mon billet « Cracker les mots de passe » et https://xkcd.com/936/.

Les autres champs sont facultatifs, mais je vous recommande de remplir celui correspondant à « Email secondaire » pour ne pas perdre d’emails en cas de dépassement de quota.

Votre boîte aux lettres sera créée en quelques minutes.

Etape 3 : tester son email et l’accès à sa boîte aux lettres

Pour accéder à votre nouvelle boîte aux lettres, il vous suffit de vous rendre sur https://webmail.gandi.net/ et d’y entrer votre login (dans mon exemple, le login est « [email protected] » sans les guillemets) et votre mot de passe. Vous accédez ainsi à l’interface de gestion de vos emails, dans laquelle vous allez pouvoir lire et écrire des emails sous l’identité [email protected]

Demandez à un ami de vous écrire (à [email protected]) et lisez son email dans votre interface de gestion. Répondez lui et vérifiez avec lui qu’il a bien reçu votre réponse.

Si tout est ok, c’est terminé. Il ne vous reste plus qu’à diffuser cette adresse email autour de vous et à relever vos emails régulièrement.

Pour aller plus loin

Vous voilà propriétaire de votre propre nom de domaine, et vous avez créé une boîte aux lettres et une adresse email personnalisée. Vous lisez et envoyez des emails à partir de votre interface de gestion.

Vous pouvez  créer jusqu’à 1000 « redirections mails » vers votre boîte aux lettres. Une « redirection mail » est, dans la terminologie Gandi, une adresse email. Vous pouvez donc avoir plusieurs adresses emails différentes qui dirigeront tous les emails qui leur seront envoyés vers votre unique boîte aux lettres. Cela permet de disposer d’un grand nombre d’adresses emails personnalisées, sans pour autant devoir aller relever un nombre équivalent de boîtes aux lettres.

Vous pouvez aussi créer 4 autres boîtes aux lettres (pour vos associés et/ou vos secrétaires).

Vous pouvez également ne créer aucune boîte aux lettres et n’utiliser qu’une « redirection mail » vers une boîte aux lettres existante (celle que vous avez l’habitude d’utiliser). Mais il faudra alors configurer votre client de messagerie pour qu’il puisse également écrire avec votre nouvelle adresse email.

Vous pouvez également chiffrer vos emails pour protéger leur contenu et vous assurer qu’ils ne seront lus que par vos correspondants. Si vous ne chiffrez pas vos emails, n’oubliez pas qu’ils peuvent être facilement lus par un intermédiaire indélicat, un peu comme une carte postale sans enveloppe.

Votre nom de domaine peut servir à autre chose qu’à envoyer ou lire des emails : il peut également personnaliser votre site web, accessible par exemple à l’adresse www.jedi-associes.fr

N’oubliez pas non plus de sauvegarder les emails importants, de surveiller votre quota de stockage et de renouveler chaque année le paiement de votre nom de domaine.

Mais tout cela, c’est une autre histoire.

N’hésitez pas à me contacter si vous rencontrez des difficultés.

Récupération de données

Publié le par

J’ai déjà fait part ici même plusieurs fois des techniques que j’utilise pour récupérer des données dans le cadre de mes expertises judiciaires.

Je vous propose aujourd’hui une méthode assez simple qui m’a permis de récupérer tout un ensemble d’images, de films et de musiques d’un ami bien en peine de voir son disque dur tomber en panne. Lisez bien l’ensemble du billet avant de commencer, entraînez vous sur un vieux disque, essayez de comprendre les différents paramètres de chaque commande pour les adapter à votre cas. Je ne suis pas responsable des problèmes que vous allez générer… (mais je compatis 😉

Conditions :

Vous êtes rendu destinataire d’un disque dur illisible, mais qui semble fonctionner correctement : vous pouvez le brancher sur un ordinateur, vous l’entendez démarrer sans bruit suspect, sans odeur particulière, mais le système d’exploitation ne le voit pas, ne le détecte pas ou ne retrouve aucune donnée.

Matériels :

J’utilise deux ordinateurs. Le premier sera celui dans lequel sera placé le disque dur illisible. Vous devez être capable de le faire démarrer sur CD, DVD ou clef USB. Le deuxième ordinateur est sous Windows et dispose de suffisamment d’espace disque pour pouvoir stocker une image du disque que vous allez récupérer. Les deux ordinateurs sont branchés sur le même réseau.

Logiciels :

– la distribution DEFT que vous placerez sur CD, DVD ou clef USB

– le logiciel PhotoRec que vous téléchargerez en choisissant la bonne version de Windows (32 ou 64 bits).

– un répertoire appelé « partage » sur l’ordinateur Windows et configuré de manière à être accessible en écriture avec le compte windows « zythom »

Procédure :

– Placez le disque dur illisible dans le premier ordinateur

– Bootez le sur la distribution DEFT

– Puis tapez les commandes :

#mkdir   /root/tempo

(création d’un répertoire provisoire en mémoire vive dans /root)

#mount  -t cifs  -o username=zythom   /root/tempo    192.168.0.1/partage

où 192.168.0.1 est l’adresse IP de l’ordinateur Windows.

– Tapez ensuite la commande :

#dd_rescue   /dev/sda  /root/tempo/image.dd

où « /dev/sda » doit être le device correspondant à votre disque dur illisible (à adapter selon votre configuration).

– Patientez quelques minutes ou quelques heures (ou quelques jours), en fonction de la taille de votre disque dur.

– Quand la commande est terminée, vous pouvez éteindre l’ordinateur n°1. Vous devez disposer d’une image bit à bit du disque dur illisible sur votre ordinateur n°2, celui sous Windows, dans le répertoire « partage », sous le nom « image.dd ». Cette image peut être exploitée par différents logiciels pour y récupérer les données, en particulier photorec.

– Sur l’ordinateur n°2, dans une fenêtre de lignes de commandes, tapez la commande : photorec  image.dd

– Suivez les indications du logiciel PhotoRec et laissez le extraire toutes les données qu’il reconnaît.

– Envoyez ensuite vos dons au créateur du logiciel,par exemple en regardant les dates et origines de vos pièces de la zone euro 😉

Si ma technique ne fonctionne pas, parlez en avec un informaticien et ne vous découragez pas : il y a plein d’autres méthodes permettant de récupérer les données. Seul conseil valable dans tous les cas : n’utilisez plus le disque dur, vous risquez d’effacer définitivement les données que vous essayez de récupérer.

Bon courage.

L’admin réseau, cet enquêteur inconnu

Publié le par

Nous venons de terminer une migration de notre infrastructure d’accès à internet. Nous sommes passés d’un réseau de collecte à un autre, réseaux de collecte nous permettant d’avoir accès à un point d’entrée du réseau RENATER, FAI officiel des établissements d’enseignement supérieur et de recherche.

Concrètement, pour moi, il s’agit d’acheter un appareil électronique qu’on appelle un routeur, le déballer et le visser dans une armoire pleine d’appareils similaires (en fait des switchs), attendre qu’un prestataire approprié vienne configurer cet appareil, et le jour J, au top conjoint donné par un informaticien de RENATER et du réseau de collecte, déconnecter le câble branché sur A pour le mettre sur B. Voilà, voilà.

Oui, mais non.

Jeudi, quand j’ai changé le câble de prises, l’accès à internet a été coupé, mais n’est pas revenu aussitôt le câble rebranché. 1000 personnes ont vu leurs cheveux se dresser sur leurs têtes: plus d’internet (en fait, je les ai rassuré aussitôt, plus d’accès à internet, merci pour lui).

Bah, j’étais prévenu, on ne change pas un chemin d’accès d’un claquement de câble dans une prise. Les plus studieux d’entre vous iront lire cette présentation du changement de routage de manière dynamique avec BGP. Disons pour résumer qu’un expert de ces problématiques s’occupe de tout au NOC (Network Operation Center) de RENATER.

Premier problème : l’ancien réseau de collecte A annonce la route vers mon établissement avec la priorité maximale. Difficile pour le nouveau réseau de collecte de faire mieux et de devenir prioritaire. La migration s’annonce difficile, surtout que la personne en charge de BGP chez A est… en congés aujourd’hui. Je fais finir par croire que A est fâché de ne pas avoir remporté l’appel d’offre et met quelques freins à la migration vers B.

Vendredi, le problème est réglé, je bascule tout l’établissement vers le nouveau réseau de collecte B. Le trafic passe dans les deux sens. Voilà, voilà.

Oui, mais non.

Le trafic ne passe pas. Retour arrière. Sauf que le réseau de collecte A voit d’un mauvais œil les alertes sur sa plate-forme de supervision « un coup je m’en vais », « un coup je reviens », surtout en cette période où plus de 40 établissements font plus ou moins la même chose. Ces choses là se règlent au téléphone, mais ce n’est pas le meilleur moment. Pourtant, je reste calme, cela ne sert à rien d’énerver tout le monde avec mon stress. Autre réunion téléphonique, avec RENATER et le nouveau réseau de collecte B cette fois. Tout le monde me dit que tout est ok de leurs côtés et que les problèmes viennent de chez moi.

C’est là que débute une véritable enquête.

Nous mettons en place en salle serveurs un tableau de papier sur lequel nous listons tous les problèmes rencontrés: perte partiel de l’accès internet (merci le loadbalancing avec une simple LiveBox), sites webs ok mais deux serveurs DNS sur quatre injoignables, accès aux services web internes aléatoires, envois des emails intermittent, etc.

La tension est palpable mais j’avais pris les devant en prévenant tous les clients que nous allions vivre une migration importante et qu’il risquait d’y avoir des perturbations dans La Force. Nous sommes concentrés sur la résolution du problème.

Tout est remis en cause. Et quand je dis tout, je veux vraiment dire tout: câbles, prises, virtualisation des passerelles, virtualisation des switchs, les VLAN, les switchs physiques, l’apparition d’une boucle sur le réseau réel, sur les réseaux virtuels. Les admins réseaux se sont transformés en enquêteurs suspicieux de tout ce qu’ils ont mis en place. Et pour chaque idée, un test est effectué.

Le vendredi soir arrive, la nuit et l’heure tardive n’y change rien. Je rentre chez moi le cœur gros. Le samedi est consacré à mon fils et son tournoi de ping-pong. Mais mon esprit est ailleurs : qu’est-ce que j’ai pu rater pour que notre migration se soit mal passée ?

Le week-end sera court : je décide de travailler tout le dimanche sur le problème. Me voilà donc seul dans cette maudite salle serveurs à faire différents tests. Je reboote les équipements les uns après les autres, y compris les serveurs de virtualisation après avoir migré les différentes machines virtuelles. Et soudain: EUREKA! Le port du switch sur lequel est branché la passerelle n’est pas correctement tagué. Je corrige la configuration, je branche la passerelle et j’ai enfin un accès internet correct. Je suis aux anges. Je préviens mon équipe par SMS, je tweete avec allégresse et finesse, et je rentre le cœur léger.

Mais lundi matin, en arrivant à mon bureau, patatra. Mon équipe me dit que rien ne marche. Nous reprenons toute notre enquête.

Elle durera 14h.

14h à refaire toutes les hypothèses, à reprendre toutes les pannes possibles, à passer des coups de fil pour s’entendre dire « non, non, le problème vient de votre côté ». A un moment, nous nous sommes retrouvés avec tout notre réseau
débranché, une passerelle physique construite de bric et de broc avec un
PC et deux cartes réseaux et un live cédérom pfsense, le tout branché
sur un switch HP récupéré et reconfiguré avec les VLAN adhoc pour
l’occasion… A 23h, je lâche le coup, exténué. Je ferme mon bureau avec le moral au plus bas. Pour la petite histoire, je monte sur mon vélo pour rentrer, et je découvre que la roue arrière est déboîtée. Je cherche dans l’école des outils pour essayer de réparer. Mon moral descend encore d’un cran. Sale journée.

Deux points positifs quand même: j’ai réussi à remettre la roue de mon vélo (j’aurai réussi au moins à réparer une chose ce jour-là). Et j’ai réussi à reproduire le problème sur commande: lorsque la passerelle est branchée seule sur le nouveau routeur du nouveau réseau de collecte, j’arrive à surfer sur internet à partir d’un poste (le seul ayant cette machine comme passerelle). MAIS si j’ouvre plusieurs pages dans plusieurs onglets, au bout d’une dizaine d’onglets, la passerelle n’accède plus à internet. Si j’attends environ une minute, elle retrouve ses esprits et accède de nouveau à internet. A n’y rien comprendre.

J’ai très peu dormi cette nuit là. Cinq jours que nous sommes quasiment coupés d’internet. Quelques personnes disposent d’un accès via la LiveBox du PRA. Nos serveurs web principaux sont sains et sauf (hébergés à l’extérieur en prévision de la migration). Mais beaucoup des outils du SI sont en temps normal accessibles aux étudiants et à leurs parents, et leur inaccessibilité commence à peser sur l’organisation.

Une part importante de mon métier est de penser à des plans B. J’ai d’ailleurs développé un sens aigu du film d’horreur permanent. Seulement voilà, dans le cas présent, j’arrive au bout du bout des idées possibles de tests à imaginer, de pannes possibles, de vérifications à effectuer…

Mais la nuit porte conseil. Je me réveille avec en tête l’hypothèse que le nouveau routeur, bien que configuré correctement (configuration plusieurs fois vérifiée), PEUT présenter un dysfonctionnement en cas de sollicitation. C’est mon dernier espoir. Problème: je ne connais pas ce nouvel équipement qui se configure en ligne de commande, et la documentation fait 300 pages. Je décide de prendre l’option « appel à un ami ».

Nous sommes mardi matin. Je téléphone à un expert du nouveau réseau de collecte pour lui demander de venir m’aider en salle serveurs. Après quelques négociations, il me propose de tout faire depuis son bureau, si je lui ouvre un accès ssh à notre passerelle. Pendant une heure, nous ferons des tests avec lui. Jusqu’au moment où je l’entends dire au téléphone: « tiens, ça me donne une idée ». Cela faisait 24h que je n’avais pas entendu cette phrase.

Quelques minutes après notre problème était résolu.

Rien ne clochait de notre côté. Ni sur notre réseau, ni sur notre passerelle, ni sur nos DNS, ni sur notre routeur. Le problème venait de leur côté à EUX. Le port sur lequel est branché la fibre optique venant de notre routeur était auparavant utilisé pour gérer des échanges entre une adresse IP unique et une adresse IP unique (une connexion entre serveurs proxys appairés). Il avait été configuré pour résister à une attaque DDOS, c’est-à-dire qu’il refusait de fonctionner s’il détectait un comportement anormal. Or, son branchement sur notre routeur a entraîné une discussion entre l’IP de notre routeur et un grand nombre d’adresses IP, ce qui a été détecté comme une anomalie, et donc une mise « OFF » pendant une minute.

Cela explique que dimanche, alors que j’étais seul à surfer, et que je n’avais pas pensé à ouvrir 20 onglets dans mon navigateur, tout fonctionnait. Mais lundi, dès que le personnel et les étudiants ont commencé à vouloir surfer, le système se coupait « quasiment » en permanence.

L’enquête est terminée. La fin a été comme souvent heureuse, grâce à l’entraide des différents admins réseaux, même si le réflexe initial de chacun est d’avoir confiance en SON système et de rejeter la faute sur le système de l’autre.

La morale est sauve: celui par qui le problème est arrivé, est celui qui l’a résolu. Je lui ai promis de boire ensemble une bouteille de champagne. L’erreur de configuration était subtile, mais sa perspicacité lui a permis de la débusquer.

Et grâce à lui, nous avons révisé en profondeur nos configurations…

——————–

Crédit images darkroastedblend.com

Partage sécurisé de fichiers

Publié le par

Lorsque l’on souhaite partager des fichiers avec des clients, se pose très vite la question des échanges sécurisés. Il y a plein de méthodes pour permettre cela, il existe même des sites qui proposent ce type de service, ou des Réseaux Privés Virtuels spécialisés (RPVA pour les avocats, OPALEXE pour les expertises judiciaires). Je trouve ces systèmes un peu lourds et chers pour l’usage que je souhaite en faire.

Je suis donc parti en quête d’une solution peu onéreuse, facile à mettre en place (pour moi) et à utiliser (pour mes clients), basée sur des technologies simples et efficaces. J’ai mis en place, pour l’instant, la solution que je vais vous présenter, et qui peut peut-être intéresser quelques uns d’entre vous, freelance ou pas.

Tout d’abord, je voudrais rappeler que je ne suis pas un spécialiste de la sécurité informatique, quoiqu’en pensent certains de mes lecteurs. Je suis un simple informaticien, qui se considère comme « généraliste » car curieux de tous les domaines et spécialisations informatiques. Merci donc aux spécialistes de la sécurité informatique d’être tolérants à mon égard.

Objectif: permettre à un client de mon entreprise de m’adresser un ou plusieurs documents de manière simple et suffisamment sécurisée. L’échange doit pouvoir avoir lieu dans les deux sens.

Contrainte: mes clients ne connaissent pas a priori l’informatique, même si certains peuvent être très à l’aise avec cet outil. Je dois donc m’adresser au moins technophile de mes clients: cela doit être facile à utiliser par Maître Michu et son assistant(e)…

Ma solution:

La contrainte posée écarte de fait l’échange d’emails chiffrés, que je trouve trop contraignant, trop complexe avec ses clefs privées/publiques.

Les différents outils proposés sur internet, du moins ceux que j’ai étudiés, m’ont paru compliqués à imposer: DropBox, SkyDrive, GoogleDrive ne s’installent pas sur tous les systèmes, demandent des droits administrateurs, etc.

L’interface qui me semble la plus universelle aujourd’hui est celle d’un navigateur internet. La solution doit reposer sur cette interface, avec aussi peu d’installation de plugins que possible.

Il existe plusieurs plates-formes web proposant le partage de documents. Mais toutes m’ont paru peu sures ou trop chères pour demander aux avocats avec lesquels je travaille d’y stocker des documents de travail confidentiels. La solution OPALEXE est sur-dimensionnée pour l’usage que je compte en faire (et pour mon chiffre d’affaires).

Plus je réfléchissais, et plus je comprenais qu’il fallait que les données restent chez moi, et que j’en maîtrise le plus possible la chaîne de responsabilité.

J’ai donc choisi de proposer un accès sécurisé à un serveur de stockage hébergé dans mon bureau et accessible à mes clients avocats via une interface web.

Je me suis tourné tout naturellement vers le système de stockage que je possède actuellement: un NAS Synology DS713+, mais je pense que ce qui va suivre doit pouvoir s’adapter facilement à un autre système de stockage, comme par exemple un NAS4Free. En tout cas, j’ai vérifié au boulot avec un NAS QNAP TS-559 Pro II, la procédure est très semblable.

Mise en place:

Etape 0: Choisir le bon protocole sur le système de stockage

L’HyperText Transfer Protocol Secure, plus connu sous l’abréviation HTTPS, est généralement utilisé pour sécuriser les transactions financières. C’est le petit cadenas rassurant que l’on trouve sur le navigateur lorsqu’on saisit dans un formulaire des informations qu’on ne voudrait pas voir diffusées à tous les vents.

Sur un NAS Synology, pour activer HTTPS, c’est assez simple, il suffit d’aller dans le panneau de configuration, Paramètres de DSM, onglet « Service HTTP » et de cocher « Activer la connexion HTTPS ». J’en profite pour cocher également « Rediriger automatiquement les connexions HTTP vers le HTTPS ». J’ai laissé les ports par défaut (http sur 5000 et https sur 5001). 

Etape 1: Rendre son système de stockage accessible depuis internet.

J’ai la chance, comme beaucoup maintenant, de disposer d’une adresse IP fixe proposée par mon fournisseur d’accès internet. Sinon, je pense que j’aurais du utiliser les services du type noip.

Il me suffit donc d’aller dans l’interface d’administration de ma box pour créer une redirection de port du type {IP FIXE BOX}:443 vers {IP LAN du NAS}:5001.

Je teste avec mon téléphone portable et vérifie que l’URL https://IpFixe fonctionne bien et affiche le portail d’accès aux fichiers de mon NAS. A ce stade, j’ai un message d’avertissement de mon navigateur qui m’indique que ce site n’est pas sur. Sous Firefox, c’est assez flippant: « Cette connexion n’est pas certifiée » avec un bouton « Sortir d’ici ! ».

De quoi faire fuir tout(e) secrétaire d’un cabinet d’avocat. Voyons comment éviter cela.

Etape 2: Remplacer l’adresse IP par un nom de domaine.

Je gère tous mes noms de domaine chez Gandi depuis de nombreuses années. J’aime bien leur état d’esprit et leurs prix sont tout à fait corrects.

Je me rends donc dans l’interface d’administration Gandi du nom de domaine que j’ai choisi pour mon activité d’expertise privée. J’ajoute dans les informations DNS un champ « A » avec l’adresse IP FIXE BOX fournie par mon FAI et le petit nom que je souhaite lui donner. Dans mon cas, j’ai choisi « cabinet.shrdlu.fr ».

Je vérifie que le serveur est accessible cette fois avec l’URL https://cabinet.shrdlu.fr

Ça marche, mais la connexion n’est toujours pas certifiée…

Etape 3: Certifier la connexion internet.

C’est la partie la plus technique. Mais elle s’avère simple grâce à tous les HOWTO disponibles sur internet. J’ai choisi de suivre celui-là (en anglais).

Je résume les commandes ici:

Sur le NAS Synology:

cd /usr/syno

mkdir ssl

cd ssl

wget https://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf

cd

openssl genrsa -des3 -out cabinet.key 2048

openssl rsa -in cabinet.key -out cabinet.nopass.key

openssl req -nodes -new -key cabinet.key -out cabinet.csr

Sur l’interface Gandi de création d’un certificat (gratuit quand on dispose d’un nom de domaine chez eux):

– copier/coller le contenu du fichier cabinet.csr

– demander la génération du certificat

– récupérer le certificat et le coller dans un fichier cabinet.certif

– récupérer le certificat intermédiaire et le coller dans un fichier cabinet.interm

Sur le NAS Synology:

Dans « Panneau de configuration/Paramètres de DSM/Certificat », cliquer sur « importer le certificat », et fournir les fichiers suivants:

– clé privée: cabinet.nopass.key

– certificat: cabinet.certif

– certificat intermédiaire: cabinet.interm

Rebootez votre NAS et, là, miracle, l’URL:

https://cabinet.shrdlu.fr

est accessible par tous les navigateurs sans avertissement de sécurité.

Etape 4: Créer un compte client.

Les échanges avec Maître Michu se passent toujours par email. Cela commence par une prise de contact avec explications du contexte du dossier. Je demande ensuite, pour établir mon devis, un exemplaire du (pré)rapport d’expertise que j’ai à analyser. Je propose alors que ce document soit déposé électroniquement de manière sécurisée sur le serveur de stockage mis en place.

Je crée donc un compte sur mon NAS Synology, avec mot de passe adhoc, et j’adresse les informations de connexion par téléphone. J’en profite pour assister le secrétariat lors de la première connexion et lui faire faire quelques pas avec l’interface particulière du système d’accès aux fichiers Synology.

Les lecteurs intéressés par une démo proche du résultat que j’obtiens peuvent aller sur cette page. Attention, il faut penser à désactiver provisoirement AdBlock pour faire fonctionner l’accès à « File Station ».

L’échange de fichiers entre le NAS distant et le poste de travail est très simple puisque l’application « File Station » interfère via Java avec le système d’exploitation.

Le client peut me transférer toutes les pièces du dossier qu’il souhaite me soumettre. Je peux également lui déposer des documents qu’il récupérera par le même moyen.

Inconvénients:

– Je suis conscient que la procédure n’est pas si « simple » que cela pour le client. C’est un point à améliorer. Cela devrait être aussi simple que d’envoyer un email.

– La bonne intégration avec le système d’exploitation du client nécessite la présence de Java (et la réponse à des messages d’alerte potentiellement anxiogènes). Les tests effectués auprès de plusieurs cabinets d’avocat ont montré qu’au moins une fois Java n’était pas installé. C’est un problème.

Mais dans l’ensemble, pour l’instant, le système fonctionne bien avec les cabinets qui l’ont testé.

Bien entendu, je suis preneur de toutes suggestions de simplification, ou pour un retour d’expérience sur une solution différente. Les commentaires sont là pour cela 😉

Nettoyage d’automne et backstage

Publié le par

Cela faisait longtemps que je n’avais pas changé l’habillage de ce blog. Après avoir hésité à mettre en place le même thème que le blog version américano-anglaise, j’ai finalement opté pour quelque chose de plus léger et toujours dans l’esprit « blog ».

J’espère que ce nouvel habit d’automne vous plait.

PS: Il y a deux thèmes pour le blog, un pour la version ordinateur classique, l’autre pour mobiles. N’hésitez pas à me remonter les anomalies que vous constaterez pour l’un comme pour l’autre thème (en précisant).

Pour les curieux des coulisses d’un blog:

Bien que très concerné et intéressé par les technologies internet, je n’ai jamais souhaité m’occuper de l’hébergement de ce blog, ni de son développement. J’ai donc cherché une plateforme d’hébergement offrant de bonnes infrastructures et des outils simples de configuration et d’administration. En 2006, mon choix s’est tourné vers Blogger (racheté depuis par Google) qui présente de plus la particularité d’être entièrement gratuit.

La création d’un blog se fait en quelques minutes, si possible en suivant la procédure suivante:

– se choisir un pseudonyme disponible sur internet

– créer le compte Google correspondant à ce pseudonyme (adresse Gmail, etc.)

– ouvrir le blog sur Blogger

– choisir le modèle de présentation parmi les différents proposés dans l’interface d’administration et découvrir les différents paramétrages

– écrire des billets 😉

Personnellement, j’ai choisi le tout gratuit, sachant que je serai le produit. Je n’ai pas réservé de nom de domaine, je n’ai pas de mise à jour de système d’exploitation à faire, je ne gère pas de base de données, je n’ai pas de connaissance particulièrement prononcée des langages de mise en forme, je ne m’occupe pas de la bande passante nécessaire ni des attaques DDOS. Bref, c’est cool.

J’ai juste acheté une casquette Google pour faire mes conférences (et pour troller un peu ;-).

Bien sur, je sauvegarde régulièrement le blog par un export XML (avec la console d’administration Blogger) qui m’a été bien utile lors du piratage du blog l’année dernière.

Je n’ai pas accès aux logs du serveur qui m’héberge, et je dois dire que ça ne me manque pas beaucoup. Côté statistiques, j’utilise Google Analytics, paramétrable très facilement dans Blogger, et cela me suffit pour combler mon égo de blogueur. Quand un internaute m’insulte par email, je supprime simplement l’information et l’oublie aussitôt. J’ai gardé quelques remarques déplaisantes de confrères pour mon mur des cons personnel, mais je dois dire que c’est plutôt rare.

Côté référencement, je n’ai fait aucun effort particulier: pas de mot clef acheté, pas de truc ou astuce dans les méta balises… Je compte simplement sur le référencement des blogueurs qui aiment bien mon blog et sur la pertinence des moteurs de recherche.

A ce propos, je vous invite à aller regarder ma blogroll située sur le côté droit du blog. Elle contient tous les sites que je dévore dès que leurs auteurs publient quelques choses. Je place sur Google+ les billets qui m’ont particulièrement intéressé. Elle est organisée selon les rubriques suivantes:

– Le meilleur de la Justice (Me Eolas…)

– Les chapeaux blancs (Sid…)

– Le 4e pouvoir (Aliocha…)

– Les soigneurs (Boule de Fourrure…)

– Cerveau gauche (Dr. Goulu…)

– Cerveau droit (Embruns…)

– Blogs BD (BouletCorp…)

– L’Empire des sens (pardon maman…).

Si vous avez des liens à me conseiller, n’hésitez pas à me le envoyer par email ou en commentaire! Ou alors, ouvrez un blog et mettez les dans votre blogroll 😉

Sol lucet omnibus

(« le soleil luit pour tout le monde », Olibrius dans Astérix et les Normands)

Cracker les mots de passe

Publié le par

Quand j’étais jeune responsable informatique, dans les années 1990, il existait une « tradition » chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.

C’est ainsi que j’ai découvert le logiciel « crack« , librement distribué et partagé sur internet par les administrateurs réseaux.

C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal…

S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs « mékeskidis » (© Maître Eolas) ou les simples curieux.

—————————————

0) L’outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande « dd » et transformées en VM par liveView.

Pour les plus motivés d’entre vous, il existe des « tables arc en ciel » en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…

Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode « boot sur CD » de tous les postes que vous administrez…

—————————————

1) L’ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de « dictionnaires », le mot étant à prendre ici au sens de « liste de mots » (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…

Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique « Troll » de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.

—————————————

2) La référence : John l’éventreur

John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.

Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…

—————————————

3) L’attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.

—————————————

4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de « la pile BIOS à enlever » marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.

—————————————

5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.

Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe « habituel » pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.

Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type « votre mot de passe est bien ZorroDu69, merci de conserver cet email » (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.

C’est l’application d’une des bases de l’ingénierie sociale

—————————————

Conclusion

L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, c’est bon, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !

SSTIC OpenVPN Synology Freebox et iPhone

Publié le par

Ça y est, c’est fini, le SSTIC 2013 est terminé…

Comme l’année dernière, les trois jours de conférence ont été très intéressants. J’ai encore appris de nombreuses choses, sur l’univers de la sécurité informatique, sur les spécialistes qui habitent cet univers, sur mes nombreuses lacunes techniques et sur ma faible paranoïa…

J’ai également rencontré de nombreuses personnes avec qui j’ai pu discuter longuement. Pour la plupart, ces personnes me lisent sur ce blog et en apprécient le contenu, ce qui n’a pas gâté mon plaisir. J’étais très heureux de croiser autant de personnes passionnées par l’informatique et qui, pour la grande majorité, ont choisi le côté clair de la Force. J’y ai même rencontré une experte judiciaire en informatique jeune, jolie, compétente et sympathique. Je vous assure que c’est fort rare.

Le blog est toujours en ligne cette année, mon compte Twitter aussi. Il
faut dire que j’ai été beaucoup plus prudent que l’année dernière: je
n’ai pas du tout utilisé mon ordinateur portable (pourtant j’aurais été
un des rares Windows 8 de l’amphi ;-), et mon smartphone était en mode
avion, puis timidement en 3G pour quelques tweets. Pas de connexion dans
l’amphi, pas de connexion dans la rue, pas de connexion à l’hôtel: on
n’est jamais assez prudent.

Mais c’est un peu pénible de ne pas pouvoir répondre à ces emails, de ne pas pouvoir se connecter à son blog, de ne pas pouvoir lire dans ses flux RSS ses blogs préférés. Bref, c’est un peu pénible de ne pas pouvoir avoir un accès sécurisé à Internet.

Tout cela, c’est un peu de ma faute: j’ai tellement procrastiné sur le sujet que je me suis retrouvé « Gros-Jean comme devant » la veille du départ au SSTIC. Du coup, pendant le SSTIC, j’ai un peu enquêté à droite et à gauche pour savoir comment les plus paranoïaques des spécialistes de la sécurité sortaient couverts. Chacun dispose de ses outils, mais les mots suivants sont revenus souvent: VPN, TLS, cryptage chiffrage chiffrement, OpenVPN, bières, sauts en parachute…

Comme je ne pratique pas tous ces concepts, je me suis au travail dès ce week-end. Voici donc la solution qui me convient, et que je partage ici avec vous.

Contexte :

– Je dispose d’un magnifique iPhone que je souhaite utiliser, dans des conditions de bonne sécurité dans un milieu inconnu, pour accéder à internet.

– J’ai la chance d’avoir un NAS Synology DS713+ familial qui permet la mise en place d’un serveur VPN. Après avoir testé plusieurs fournisseurs VPN, je souhaite pouvoir utiliser une solution personnelle que je pourrai peut-être mieux maîtriser.

– Mes activités étant conformes aux lois françaises, et protégées par celles-ci, je souhaite profiter de mon abonnement ADSL personnel, situé en France métropolitaine (avec IP fixe).

– Enfin, plutôt qu’un accès PPTP, je souhaite mettre en place une solution plus sure, basée sur OpenVPN.

Mise en œuvre :

Je vais m’appuyer sur toutes les personnes ayant partagé sur Internet leurs solutions aux différents problèmes que j’ai rencontrés.

1) Installation du serveur VPN sur le NAS Synology:

Très simple et bien expliquée sur cette page du site de Synology.

2) Installation de l’application « OpenVPN connect » sur l’iPhone (sans jailbreak):

A l’heure où j’écris ces lignes, l’application n’est pas disponible sur un compte iTunes français, mais j’ai pu l’installer à partir d’un compte américain. Pour se créer un compte américain, il suffit de suivre les explications de ce site. Une fois installée, ne lancez pas tout de suite l’application.

3) Création des certificats:

Afin de maîtriser correctement la chaîne de sécurité, il me semble préférable de générer soi-même les différents certificats, par exemple pour pouvoir les modifier en cas de compromission. Pour cela, j’ai suivi à la lettre les instructions de cette page (du point n°1 au point n°3) qui utilisent le logiciel XCA.

4) Configuration du serveur VPN sur le NAS Synology:

Une partie des certificats doit être installée sur le NAS et pris en compte par le serveur VPN. J’ai suivi à la lettre les instructions 2 et 3 détaillées sur cette page. Notez que le point n°1 a déjà été fait à l’étape précédente (Création des certificats). J’ai également rencontré plusieurs problèmes lors du point n°4 de cette liste d’instructions, c’est pourquoi je le détaille dans les étapes qui suivent.

5) Récupération du fichier de configuration OpenVPN pour l’iPhone:

– Après avoir rebooté votre NAS pour être sur que le serveur VPN utilise la bonne configuration, retournez dans l’interface d’admin du Synology pour exporter la configuration du VPN server (Connectez-vous à DSM avec les identifiants d’admin. Allez à Menu principal > VPN Server. Cliquez sur OpenVPN sous la section Paramètres dans le panneau gauche. Vous avez un bouton « exporter la configuration » qui va permettre de stocker sur votre ordinateur le fichier qui va servir de base pour la configuration de l’iPhone. Il s’agit d’une archive compressée qui s’appelle « openvpn.zip ».

– Dézippez là sur votre ordinateur.

– Vous voici en possession d’un fichier openvpn.ovpn qui ressemble à cela

dev tun

tls-client

remote YOUR_SERVER_IP 1194

# The « float » tells OpenVPN to accept authenticated packets from any address,

# not only the address which was specified in the –remote option.

# This is useful when you are connecting to a peer which holds a dynamic address

# such as a dial-in user or DHCP client.

# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it’s

# default network gateway through the VPN.

# It means the VPN connection will firstly connect to the VPN Server

# and then to the internet.

# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.

# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

6) Modification du fichier openvpn.ovpn obtenu à l’étape précédente:

– « YOUR_SERVER_IP »doit être remplacée par l’adresse IP fixe de votre box ADSL. Étant heureux propriétaire locataire d’une freebox avec adresse IP fixe, je n’ai pas eu besoin de me replonger dans mes souvenirs du paramétrage de dyndns.

– J’ai décommenté la ligne « redirect-gateway » (mais je ne suis pas sur de son impact dans le temps)

– Il faut supprimer la ligne « ca ca.crt » et la remplacer par:

<
ca
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/ca
>

<
cert
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/cert
>

<
key
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/key
>

– Il faut ensuite remplacer les « xxx » par les contenus respectifs des fichiers certificats du client générés à l’étape n°3 « Création des certificats ».

– Il faut enfin corriger la ligne « reneg-sec 0 » en « reneg-sec 3600 ».

7) Transfert du fichier de configuration vers l’iPhone:

– Il faut transférer le fichier openvpn.ovpn modifié à l’étape précédente vers votre iPhone. Pour cela, il faut brancher votre iPhone sur votre ordinateur et utiliser iTunes: Menu iPhone / Apps. Dans « Partage de fichiers », descendre jusqu’à l’application « OpenVPN », la sélectionner, et cliquer sur le bouton « Ajouter… » pour aller chercher le fichier openvpn.ovpn.

– Sur votre iPhone, vous pouvez enfin lancer l’application OpenVPN », et accepter le chargement du profil trouvé dans le fichier openvpn.ovpn. Ne cherchez pas tout de suite à vous connecter…

8) Configuration de votre box ADSL pour le renvoi de port:

Allez dans l’interface de votre box ADSL pour paramétrer le renvoi du port UDP 1194 de l’adresse IP fixe de la box vers l’adresse IP et le même port de votre NAS familial.

9) Connexion VPN de votre iPhone:

Retournez sur votre iPhone, dans l’application OpenVPN et connectez vous dessus avec un compte valide de votre NAS. L’informatique est magique et tout fonctionne. Vous pouvez lire vos emails au SSTIC.

Erreurs possibles :

Il est possible de rencontrer plein d’erreurs tout au long de la procédure que j’indique ici, et il serait illusoire que je puisse vous donner toutes les solutions à vos problèmes. J’ai toutefois rencontré plusieurs difficultés qui m’ont fait perdre un nombre d’heures assez importantes. Je vous les indique ici en espérant faire le bonheur de quelques uns:

– Si vous avez une erreur de ce type:

Cannot load certificate file error:0906D06C: PEM routines:PEM_read_bio:no start line: error:140AD009: SSL routines:SSL_CTX_use_certificate_file:PEM lib

Il est fort probable que vous ayez modifié les certificats lors du copié/collé de l’étape 6. Une sombre histoire d’UTF8 mal géré par OpenVPN. Vous aurez plus d’informations sur cette page. Dans mon cas, j’ai recommencé mon copié/collé sous Notepad sans chercher à mettre en forme, et c’est passé.

– étape 8: vous n’allez pas le croire, mais j’avais déjà programmé sur ma box une redirection du port UDP 1194 vers mon ordinateur, il y a longtemps, lorsque j’ai effectué des tests de connexions à des VPN distants. Lorsque j’ai entré une nouvelle redirection de ce port vers celui de mon NAS, l’interface de la freebox n’a pas bronché, et évidemment, un port ne se redirige qu’une seule fois. Rien n’arrivait à mon NAS. Vérifiez donc qu’aucune redirection du port UDP 1194 n’est pas déjà faite…

Conclusion :

Je ne prétends pas avoir transformé mon iPhone en Teorem de Thales (woa le nom), mais je pense avoir rehaussé mon niveau de sécurité, du moins jusqu’à ma box ADSL. La technique est utilisable pour un ordinateur portable et certainement pour un téléphone sous Android.

Grâce à ce problème simple, j’ai pu m’intéresser d’un peu plus près à mon matériel et à ses configurations logiciels. C’est un week-end de bidouillages à mon niveau qui m’a fait réviser les certificats et découvrir l’arrière boutique de mon NAS Synology (en connexion ssh).

Bref, un hacker je vous dis 😉

Expérience sur l’anonymat

Publié le par

Lorsque j’ai décidé d’ouvrir ce blog en 2006, j’ai pris comme pseudonyme « Zythom » car je voulais séparer mes activités IRL et numérique. Je considérais l’utilisation d’un pseudonyme comme allant de soi dans l’univers numérique.

Dès que j’ai commencé à avoir des lecteurs, je me suis trouvé devant le problème classique de la modération ou pas des commentaires. Après avoir hésité un peu, j’ai fait le choix de modérer les commentaires pour garder le contrôle du contenu du blog. Ce faisant, je sais que mon statut juridique est plus risqué, puisque j’autorise la publication du commentaire. Mais c’est mon choix et je l’assume jusqu’à présent.

Pour compenser un peu, parmi les différents paramètres de la configuration du blog, j’ai choisi d’autoriser la soumission de commentaires anonymes. Cela me semble logique, même si cela encourage quelques personnes à abuser de cette possibilité.

Mais je souhaitais pouvoir aller plus loin dans l’anonymat que je pouvais offrir à mes éventuels correspondants, aussi, en juin 2010, j’ai ajouté à la page contact de mon blog un formulaire PrivacyBox permettant à tout internaute qui le désire de me contacter d’une manière complètement anonyme, sans que je ne puisse avoir de moyens de connaître son identité réelle. Les messages que je reçois via ce formulaire sont de plus automatiquement chiffrés avec ma clef publique OpenPGP.

Maintenant que le service de PrivacyBox va fermer, il est temps pour moi de faire un petit bilan de cette expérience.

Donner la possibilité à des personnes de vous écrire sans contrainte d’identité lève un certain nombre de barrières: la parole est plus libre, plus directe. Des choses peuvent être dites sans fard, sans le verni de la politesse et la retenue de l’éducation. J’ai ainsi reçu des courriers d’encouragements et de soutiens de personnes qui souhaitaient rester anonymes.

J’ai aussi reçu des messages d’insultes, de menaces, de critiques…

Mais j’ai également reçu par ce biais des messages qui m’ont interloqué. Je me souviens en particulier de cette personne qui m’expliquait ses penchants pour les jeunes enfants et qui était tombé sur mon blog parce que j’y parle (souvent) de mes dossiers de recherches d’images pédopornographiques. Cette personne me livrait ses tourments et m’expliquait comment elle surmontait le passage à l’acte en consommant des ouvrages interdits en France mais autorisés au Japon (des mangas spécialisés dans les dessins pornographiques mettant en scène des enfants). J’ai reçu en quelques jours plusieurs messages très crus de sa part sur le sujet, sans pouvoir y répondre puisque la personne n’a pas souhaité me laisser le moyen de la contacter, et pour cause.

J’ai reçu également quelques demandes pour des interventions dans des dossiers, des questions sur le piratage, sur les techniques de contournement ou sur les moyens mis en œuvre par la Justice pour lutter contre telle ou telle fraude. J’y ai répondu dans la mesure de mes capacités et lorsque l’utilisateur me laissait une adresse email pour cela.

J’ai reçu en tout une centaine de messages.

J’ai ainsi été spectateur d’une liberté totale d’expression, sans inhibition.

J’en ai appris beaucoup sur la nature humaine.

J’en ai appris aussi sur moi-même, sur mes propres rouages.

J’ai mené cette expérience pour aller jusqu’au bout de l’anonymat.

Je suis désolé que le service de PrivacyBox ferme.

En tout cas, j’ai eu moins peur en lisant ces emails anonymes, qu’en lisant les commentaires que l’on trouve sous les articles de certains journaux en ligne…

Stockage

Publié le par

La semaine dernière, j’ai reçu un ordinateur sous scellé à fin d’analyse. Pour une fois, il ne s’agit pas de recherche d’images pédopornographiques, mais de retrouver des conversations électroniques.

J’ouvre le scellé, et en extrait le disque dur pour analyse. Le disque dur fait 3To…

Bon, c’est normal, les capacités des disques durs vont en augmentant, mais après vérification, je ne dispose pas de disques durs suffisamment grands, et mon NAS personnel est presque plein. Comment faire une copie pour analyse, sachant qu’il me faut facilement le double de la taille du disque d’origine: pour l’image bit à bit, pour le fonctionnement en VM et pour toutes les données extraites ?

Sachant que le budget de la Justice, déjà exsangue, n’est pas prévu pour m’offrir un joli NAS, et que tout le monde compte sur mon travail d’analyse, rapide, fiable et PAS CHER… il me faut trouver une solution.

Twitter étant mon ami, je lance un tweet SOS à ceux qui me suivent sur le compte @Zythom. Et me voilà en train de tester plusieurs outils gratuits dont je vais un peu vous parler aujourd’hui.

Tout d’abord, il se trouve que je dispose d’un nombre invraisemblable de carcasses d’ordinateurs qui remplissent mon bureau, entre vieilles cartes mères et webcams-qui-ne-marchent-que-sous-XP. J’ai donc cherché dans le lot un vieux PC avec une carte mère acceptant les disques durs SATA. Me voici avec un NEC « Pentium 4 » datant du temps où l’on nommait les PC du même nom que leur processeur.

Une fois la poussière priée d’aller sur les objets alentours, je pars en chasse d’un clavier et d’une souris PS2, d’un écran fonctionnel, d’un cordon d’alimentation et d’un câble réseau catégorie 5e au moins.

En regardant bien la carte mère de cette vieille machine, je compte 4 ports SATA et deux ports IDE. Je fouille alors dans mon stock de disques durs dédiés aux expertises, et j’en extrais un vieux disque dur IDE de 40 Go, deux disques SATA de 3To et un disque tout neuf de 4To.

Me voici prêt à tenter de construire un NAS avec ça.

Les followers qui ne dormaient pas au moment où j’ai posé ma question m’ont proposé les produits suivants:

Nexenta Community Edition

XPEnology

OpenMediaVault

OpenFiler

FreeNAS et

NAS4Free

J’ai testé ces produits avec la machine que j’avais assemblée de bric et de broc. Voici mes constatations, et je demande aussitôt aux passionnés de ces produits de me pardonner mon test simpliste (je ne suis pas un labo de tests non plus!):

– Nexenta CE n’a pas reconnu mes disques durs;

– XPEnology n’a pas fonctionné de manière stable malgré tous mes efforts (je dispose déjà de deux NAS Synology, un vieux DS209j et un DS713+ flambant neuf, donc j’étais motivé);

– OpenMediaVault n’a pas réussi à faire booter ma machine;

– OpenFiler n’a pas reconnu mon disque dur de 4To lors de la configuration SoftRAID;

Le développement de FreeNAS ayant été repris par une société commerciale, j’ai directement testé NAS4Free qui est la suite du développement du code originel de FreeNAS. NAS4Free a reconnu l’ensemble de ma configuration, aucun message d’erreur n’est apparu lors de la constitution du RAID0 qui a aggloméré tous mes disques durs (sauf celui de 40Go qui sert uniquement pour le système au démarrage).

Mon choix s’est donc arrêté sur  NAS4Free.

J’ai donc maintenant un NAS de capacité 10 To 9 To qui me permet de mener à bien la mission d’expertise qui m’a été confiée. L’accès aux disques est rapide, l’incorporation dans mon réseau privé très simple, le partage des données entre machines Linux ou Windows est simple à paramétrer. Bref, une solution que je recommande à tout ceux qui ont un besoin rapide de stockage pour pas trop cher.

Seuls inconvénients: la consommation et le bruit, légèrement supérieurs à ceux de mon NAS perso Synology DS713+ sur lequel s’appuie toute la famille.

Mais si le dernier reste allumé en permanence toute l’année, le NAS4Free ne reste allumé que le temps d’une expertise, c’est-à-dire… quelques nuits 😉

Ma prochaine étape sera de faire l’achat que quelques cartes PCI multiports SATA pour augmenter la capacité de mon NAS improvisé. Je dois pouvoir atteindre les 16 disques durs de 4To, soit 64To!

Ensuite, pour passer à 180To, je testerai le pod de stockage Backblaze que Korben m’a fait découvrir.

De quoi voir venir 😉

————————————————————————–

Source image: inpic.ru