Archives par mot-clé : Technique

Déchiffrage

Publié le par

dechiffrageOn me demande souvent comment je procède lorsque les données d’un disque dur ont été chiffrées, ou lorsqu’un mot de passe a été utilisé pour protéger un fichier zippé.

Je vais donc vous délivrer ici même mon secret.

Mais avant, faisons ensemble quelques petites introspections.

Nous aimons bien nous protéger des intrusions d’autrui. Il nous semble naturel de mettre une serrure à clef sur notre porte d’entrée, parfois même un système d’alarme. Pour autant, la nature humaine étant ce qu’elle est, la clef est souvent cachée sous le paillasson ou dans le pot de fleur le plus proche, et le code de l’alarme est 4321, quand ce n’est pas 5555 (qui par hasard est la touche la plus usée).

En informatique, l’humanité qui est en nous reste la même, avec ses défauts et ses qualités: la plupart de nos petits secrets sont protégés par des mots de passe.

J’ai lancé, il y a quelques années, le logiciel « crack » sous Unix, pour tester la sécurité des comptes étudiants. Sur 700 mots de passe, 10 ont été trouvés en moins d’une minute, 50 en moins de dix minutes et enfin 10 en moins d’une heure, soit 10% des comptes crackés en moins d’une heure (avec les ordinateurs de l’époque. Je pense que ce temps peut être divisé par 10 aujourd’hui).

Quelques étudiants utilisaient le login comme mot de passe, d’autres leur prénom, certains poussaient « l’astuce » jusqu’à utiliser un mot écrit à l’envers, ou même en phonétique comme le langage SMS d’aujourd’hui (t1t1 pour tintin…).

Tous les mots de passe constitués d’un mot pouvant être trouvé dans un dictionnaire (y compris en langue étrangère, en phonétique même exotique ou écrit à l’envers) sont trouvés en moins de quelques minutes. Même (et surtout) s’ils sont associés à un nombre représentant plus ou moins une date…

Mais mon secret ne réside pas dans l’utilisation de logiciels tels que John l’éventreur ou Ophcrack.

Le Truc, c’est que chacun tend à la paresse autant qu’il le peut. Nous n’utilisons donc qu’un nombre très réduit de mots de passe. Très très réduit si j’en crois mes statistiques d’expertises.

La plupart des utilisateurs n’utilise donc qu’un ou deux mots de passe. Et ces mots de passe sont soumis à très rude épreuve: pensez donc, l’utilisateur s’en sert pour tous ses comptes emails, msn, meetic, et autres sites web où l’on demande de choisir son mot de passe. Et le plus souvent, ce mot de passe est envoyé par email, à fin de vérification.

Il ne reste plus à l’expert judiciaire qu’à lancer une petite recherche avec comme mot clef ‘mot de passe’ dans le courrier électronique, ou parfois ‘password’ pour récupérer une petite collection de mots de passe très révélatrice.

Parfois, il suffit de regarder dans le navigateur adhoc la liste de tous les mots de passe très gentiment conservée de façon très pratique.

De temps en temps, c’est plus subtil, il faut retrouver les mots de passe dans une page web conservée sur le disque dur par un mécanisme de mise en cache très opportun, en zone non allouée par exemple ou en mémoire cache.

Parfois, c’est vrai, l’utilisateur utilise des moyens sérieux de chiffrement (TrueCrypt avec volume caché), des outils d’effacement efficaces (Eraser par exemple) et des mots de passe sophistiqués qu’il change souvent.

Mais quand je lis les billets des spécialistes de la sécurité (ce que je ne suis pas), comme chez Sid, Nonop ou Expert: Miami, je me dis que finalement, vu les comportements divers et variés des utilisateurs et/ou des entreprises, il est assez normal que je n’ai pas encore rencontré un utilisateur ayant blindé son disque dur sans laisser trainer le mot de passe quelque part.

Et si ce jour arrive, je demanderai aux Officiers de Police Judiciaire ou au magistrat de demander gentiment le mot de passe au propriétaire. On verra bien quelle excuse sera utilisée pour ne pas le donner.

Et enfin, s’il me faut un jour tenter d’analyser le disque dur d’un spécialiste de la sécurité, (l’Admin m’en garde), ou si le disque dur est chiffré par Mme Michu avec la dernière génération de système NSA à clef quantique, j’écrirai alors dans mon rapport:

à l’impossible nul n’est tenu.

Cache cache

Publié le par

cachecacheIl m’arrive de temps en temps de recevoir une enquête par email. En général, elle passe directement à la corbeille, mais cette fois-ci, j’ai eu envie d’y répondre. Toutefois, avant de cliquer sur le lien, par réflexe paranoïaque (non pathologique quand même), j’aime à vérifier qu’icelui renvoie vers le site dont l’email provient.

Or, dans mon cas, le lien envoie vers un site différent, prétendument français (point fr oblige parait-il). Un petit coup de Google sur le nom de domaine du suspect m’informe de la réalité de l’existence IRL de ce site, prestataire annoncé de mon enquêteur.

Au risque d’évoluer vers une psychose paranoïaque constituée, je m’enquiers de la qualité de ce site via un autre navigateur démuni de tous ses attributs javascriptesques, en entrant, non pas le lien envoyant vers l’enquête toujours en attente, mais l’adresse de la racine du site.

Et là, ô rage! ô désespoir! ô vieillesse ennemie!, que vois-je sur la page d’accueil de ce bon site d’une entreprise informatique bien française de chez nous: l’image d’un fier guerrier en rouge sur fond noir, accompagnée d’inscriptions vengeresses et d’une musique guillerette.

Le site avait été piraté!

Une petite analyse du code source me montre quelques traces d’expressions anglaises laissant penser que certains turcs souhaitaient avoir des rapports sexuels avec des grecs.

N’ai-je donc tant vécu que pour cette infamie?

Mon sang ne fait qu’un tour, allais-je laisser ainsi ce site sans figure? En tant qu’internaute premier, n’ai-je pas une obligation d’assistance à site en danger?

Et ne suis-je blanchi dans les travaux guerriers

Que pour voir en un jour flétrir tant de lauriers?

Je décide donc de contacter le responsable du site. Problème: comment?

J’envoie un email à [email protected] et [email protected]

24h passent sans réponse et sans effet.

Les adresses emails obligatoires ne sont plus lues par personne…

Ô cruel souvenir de ma gloire passée!

Mais Zythom ne lâche pas prise aussi simplement!

Une recherche auprès des bureaux d’enregistrement: rien.

Les pages blanches et jaunes sur internet: rien.

Ma collection de vieux bottins papiers… Rien.

Le cache de Google pour retrouver le site avant son piratage: OUI. Sur la page contact se trouve un numéro de téléphone surtaxé.

J’appelle (à mes frais).

Je tombe sur un quidam décentralisé auquel j’explique mon souhait urgent de contacter le responsable informatique de l’entreprise. Miracles, je suis persuasif et il me fournit un numéro de téléphone direct (cela fait deux miracles).

J’ai le responsable informatique en ligne.

Moi: « Bonjour, votre site web a été piraté et sa page d’accueil va vous surprendre. Cela fait déjà 24h que j’ai envoyé un message à votre postmaster, mais cela n’a pas changé grand chose. »

Lui: « Bonjour, attendez, je vais vérifier. »

Lui (en voix lointaine, mais j’ai l’oreille fine): « Hé, Yoda, je crois que quelqu’un essaye de me faire une blague par téléphone… »

Lui (quelques bruits de touches sur un clavier plus tard): « Euh, Monsieur, non, j’ai la page d’accueil du site de l’entreprise sous les yeux, et tout à l’air normal… »

Moi: « Bon, ça doit être un problème de cache ou de site dupliqué. Avez-vous la possibilité de vider votre cache et/ou d’aller sur le site réellement vu par le public? »

Lui: « Attendez, je vide le cache ».

Lui (d’une voix chevrotante): « Œuvre de tant de jours en un jour effacée! »

Lui (reprenant ses esprits): « Merci d’avoir appelé. Nous allons faire le nécessaire ».

Ce haut rang n’admet point un homme sans honneur

Finalement, le site est revenu à sa configuration d’origine quelques minutes plus tard. Une excellente occasion de redécouvrir les différents algorithmes de remplacement des lignes de cache

Billet d’actualité du dimanche 2

Publié le par

sevenJe suis en train de tester Windows Seven (ce billet est publié sous cet OS avec IE8béta). Je dois dire que pour l’instant je suis agréablement surpris: légèreté et facilité de prise en main.

Jusqu’ici tout va bien.

Même l’antivirus Avast semble fonctionner correctement (alors que rien sur le site d’Avast ne précise encore « Windows 7 Ready »).

Bon, bien sur, je n’ai pas encore testé mes vieilles webcams « sans pilote Vista ».

Bref un billet complètement inutile, juste pour dire que je suis dans le vent (ou plutôt sous la mer avec Bubulle, le fond d’écran par défaut…)

Et puis, cela fait du bien de faire une pause.

————————–
Source image: www.rap-francais.com

Aide mémoire LVM

Publié le par

Après installation d’une distribution Debian netinstall 40r5, si l’on a fait le choix de monter un LVM sur plusieurs disques (3 fois 20Go par exemple) et que l’on s’aperçoit après installation que seul le premier disque est réellement utilisé (la commande vgdisplay retourne un « volume group size » de 20 Go au lieu des 60Go attendus), il faut:

1) étendre le volume logique aux trois disques:
lvextend -L+40Go /dev/grpvol/root

2) et redimensionner à chaud le système de fichier ext3
resize2fs -p /dev/grpvol/root

C’est la troisième fois que j’ai besoin de régler ce problème (je dois rater quelque chose dans la procédure d’installation. RTFM?) et je rame à chaque fois dans Google avant de retrouver ces deux commandes.
Je saurais où les chercher une prochaine fois:)

PS: C’est toujours amusant d’installer un serveur de 10 ans d’âge, biprocesseur Pentium II, 512Mo de mémoire vive et dont la carte mère n’accepte pas les disques durs IDE de plus de 20Go. Un serveur pour faire des tests bien sur…

Les Experts

Publié le par

Pour un billet du vendredi, je ne suis pas allé chercher trop loin: j’ai trouvé un excellent blog, avec un billet consacré aux experts: à savourer ici.

Et en plus, les liens fournis m’ont permis d’envisager d’intégrer le XXIe siècle en matière de scellés. Parce moi, c’est plutôt encore ça

Allez, pour bien démarrer le week-end, je vous mets une photo qui m’a bien fait rire. Genoux sensibles s’abstenir 🙂

Et hop Hadopi

Publié le par

Vive Internet ! Vive le Réseau ! (ovation)
Vive le Réseau libre ! (très longue ovation)
Vive l’internet français ! Et vive la France ! (ovation)

Le site Numérama vient de publier un article que je trouve intéressant sur le réseau Freenet. Et comme cet article est publié sous licence Creative Common by-nc-nd 2.0, je me permets de le reprendre ici dans son intégralité:)

Rappels:
Freenet = Réseau libre
Hapodi = Haute autorité pour la diffusion des œuvres et la protection des droits sur l’Internet.

————————–

ianclarkeNotre spécialiste des réseaux cryptés Kraftonz a eu l’excellente idée d’interviewer le créateur du réseau Freenet au sujet de la loi Hadopi que présentait mercredi la ministre de la Culture Christine Albanel au Conseil des ministres. Cette loi doit institutionnaliser la chasse aux pirates en créant une autorité administrative qui, sous saisine des ayant droits, devra avertir les internautes dont l’accès à Internet est utilisé pour pirater, et qui pourra aller jusqu’à ordonner la suspension de cet accès. Mais toute la loi repose sur l’idée que les ayants droit puissent lier le téléchargement d’un fichier illégal à une adresse IP précise. Or tout l’objet des réseaux comme Freenet est justement de crypter les communications de façon à ce que cette liaison devienne impossible.

Freenet sans aucun doute pourrait rendre cette loi difficile à appliquer, voire impossible à faire respecter« , explique Ian Clarke, qui avait créé le logiciel pour offrir aux dissidents chinois un moyen de s’exprimer sans craindre la répression des autorités. « Bien que notre objectif n’est pas de faciliter la violation des droits d’auteur, c’est juste un effet secondaire inévitable« , reconnaît-il.

Un réseau P2P anonyme très difficile à bloquer

La seule possibilité pour le gouvernement de lutter contre Freenet et de faire appliquer la loi serait d’ordonner aux FAI qu’ils bloquent totalement le protocole Freenet sur leurs réseaux. « Il serait difficile, mais pas impossible de bloquer Freenet« , explique Clarke, qui précise cependant que « s’ils tentent, il existe des mesures nous pourrions prendre, telles que la stéganographie » (qui est l’art de faire passer un message secret dans un message en apparence légitime). Le simple blocage des ports, en tout cas, serait inefficace. « Freenet n’utilise pas de ports particulier, il choisit le port au hasard lors de son démarrage. Si vraiment le filtrage des ports est mis en place, cela ne gênera pas le fonctionnement de Freenet… Seulement une analyse très sophistiquée du réseau permettrait de déceler le trafic de Freenet » et de le bloquer. Ce qui coûterait bien plus cher que le préjudice estimé des industries du cinéma et du disque réunies.

Selon le développeur, la loi Hadopi si elle était adoptée « pourrait encourager l’utilisation de Freenet en France« . Il travaille d’ailleurs à rendre le logiciel plus facile à utiliser pour les débutants. Pour lui, le fait de lutter de cette manière contre le piratage, c’est « comme essayer d’empêcher la maltraitance des enfants par l’installation d’une caméra dans la maison de tout le monde« .

« Même si l’objectif est raisonnable, les choses qui sont nécessaires pour y parvenir ne le sont pas« .

Apprendre à utiliser Freenet et les autres P2P sécurisés
Ceux que l’aventure tente pourront découvrir un tutorial pour Freenet réalisé par la communauté Numerama sur notre forum. Nous vous proposons par ailleurs un forum complet dédié aux réseaux sécurisés, ainsi que toute une section de notre chaîne de téléchargements où vous trouverez les meilleurs outils pour télécharger et mettre à disposition des fichiers en toute sécurité.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Mozilla et la gestion des conflits

Publié le par

Nous sommes le 17 juin et Firefox 3 doit sortir aujourd’hui.
En me penchant sur son contenu, je suis tombé sur cette page.

Extrait:

« The owner of record for [the Gecko 1.9 Roadmap] is Mike Shaver, and all errors or omissions within it are first and foremost his responsibility. Brendan Eich continues to drive the vision and architecture of the platform in the large, and his influence on the platform roadmap is both significant and indispensible. In the case of a tie, disputes will be settled by single combat. »

Traduction (approximative) de votre serviteur:

« Le responsable du contenu de la feuille de route de Gecko 1.9 est Mike Shaver, et toutes les erreurs ou omissions contenues dans celle-ci sont d’abord et avant tout de sa responsabilité. Brendan Eich continue à conduire les grandes lignes de la vision et de l’architecture de la plate-forme, et son influence sur la feuille de route est à la fois importante et indispensable. Si les points de vue sont inconciliables, les différends seront réglés par combat singulier.« 

Préparation informatique pour le voyage aux Youessai

Publié le par

Je ne garde pas un bon souvenir de mon passage à la douane américaine lors de mon dernier séjour dans ce beau pays: j’avais oublié de remplir le dos des cartes d’entrée et le douanier avait pris à partie la file d’attente derrière moi en criant « l’attente va être allongée par ce type qui n’a pas rempli correctement les cartes d’entrée! ».

Et ensuite, de me demander si mon fils (deux ans à l’époque) s’était déjà drogué, avait déjà été condamné, en prison…

Mais la lecture de ce que les douaniers US peuvent faire à mon ordinateur m’a fait réfléchir.

D’autant plus que mon ordinateur portable me sert beaucoup lors de mes expertises judiciaires… De quoi j’aurais l’air si l’on découvre des images de cette nature?

Bon, je pourrais n’avoir aucune donnée stratégique sur mon ordinateur, et éteindre mon BlackBerry lors du passage en douane comme le conseille le cabinet d’avocats Blaney McMurtry, de Toronto.

Mais quoi, je SUIS un cadre d’une grand société (ma famille), et je DOIS protéger étroitement les données confidentielles (mes photos) et vitales (mes emails) pour mon entreprise que je ne manque pas de transporter avec moi (source LMI, via Bertrand Lemaire).

Me voici donc regardant mon ordinateur portable d’un œil mauvais: « sale traitre ».

Première étape: effacer les données.

Après avoir sauvegardé une image du disque dur (via l’excellent DriveimageXML), je boote mon Dell Latitude D430 sur mon « Ultimate Boot CD » fétiche. Vous trouverez dans la section « Hard Disk Wiping Tools » le logiciel CopyWipe V1.14 qui me permet d’effacer en profondeur l’intégralité de mon disque dur. Laissez quand même mijoter 24h ou plus.

Deuxième étape: installer le système d’exploitation.

J’ai décidé d’installer Ubuntu 8.04 (nom de code The Hardy Heron, le héron robuste). Pour tester la distribution, mais aussi parce que je voudrais montrer compiz-fusion aux enfants. Une vraie interface qui en jette quoi, pas comme celle-ci

L’installation se déroule correctement, tout est reconnu, rien à dire (sauf la couleur qui m’horripile).

Troisième étape: cryptage des données.

Je me tourne vers mon vieil ami TrueCrypt, mais une petite déception m’attend:

comme l’indique cette page de la documentation Ubuntu, les volumes cachés ne sont pas supportés sous Linux avec la version 5.1a de TrueCrypt…

Qu’à cela ne tienne…

J’installe VirtualBox, puis Windows XP en mode virtualisation.

Je découvre à cette occasion que pour installer Windows XP, à partir du cédérom d’origine, il faut quand même installer le service pack 2 avant de pouvoir installer le service pack 3 tout fraichement débarqué. Bon, j’ai peut-être raté un épisode, mais l’installation se déroule sans problème (compter deux bonnes heures quand même…)

En mode plein écran, on ne se rend même pas compte que Windows XP SP3 fonctionne au sein de VirtualBox sous Ubuntu. Et en mode fenêtre, c’est très drôle de voir Windows baladé dans une fenêtre « chewing-gum ».

La création d’un disque TrueCrypt avec volume caché ne pose ensuite plus aucun problème.

Un petit coup de JkDefrag pour les performances.

Me voici paré pour protéger ma vie privée.

Il ne reste plus qu’à retenir les bons mots de passe…

L’entrepôt de données idéal

Publié le par

Il y a un mois, j’ai reçu sur mon lieu de travail un courrier d’un de mes fournisseurs informatiques dont la teneur est à peu près la suivante:

« Vous utilisez le logiciel XX pour gérer votre comptabilité et votre paie. Or, ce logiciel va bientôt être remplacé par le logiciel YY. L’éditeur ne nous informe pas de la durée de maintenance de votre logiciel actuel, mais vous fait bénéficier d’une réduction de 50% pour le passage de XX à YY. »

Je précise que l’éditeur de YY a été racheté par son concurrent, éditeur de XX.

J’ai cru à une mauvaise blague, et j’ai enterré le courrier (je reconnais que je pratique parfois la politique de l’autruche).

Le commercial nous harcèle depuis, les utilisateurs et moi, tant et si bien que j’ai du organiser une réunion d’information avec lui.

La réunion confirme bien la disparition « programmée » de notre logiciel au profit du nouveau, des conditions avantageuses « pour l’instant », le tout avec un sentiment d’urgence généré par l’habile commercial.

Vient le moment où je pose la question de la reprise des données.

Hochement de la tête de chaque utilisateur (qui n’avaient pas envisagés que leurs données ne soient pas réintroduites dans le nouveau logiciel), réponse gênée du commercial: heu, pour la paie, ce n’est pas possible.

Je vous passe les détails plus ou moins sérieux des explications qui ont suivies (modèles conceptuels des données non compatibles, etc.). La réunion se termine vaille que vaille et je réunis tout mon petit monde pour un débriefing.

Les utilisateurs sont effondrés…

Tel Zorro chevauchant au secours des opprimés, je tente de remonter le moral des troupes:

Bon, côté compta, tout semble OK. Il suffit de jeter l’ancien logiciel, de croiser les doigts pour que le nouveau s’adapte bien à notre environnement (j’ai une pensée émue pour notre serveur SQL déjà bien surchargé), de suivre une formation (longue) sur le nouveau et tout va bien.

Je vois déjà leur moral remonter d’un cran (leurs épaules s’affaissent).

Reste le logiciel de paie. J’ai cru comprendre que vous souhaitiez conserver les bulletins de salaire depuis l’origine, que vous souhaitiez pouvoir, à la demande, en réimprimer un et qu’à tout moment, un salarié ou un organisme de contrôle, ou de calcul de retraite, pouvait vous en demander un. J’ai la solution.

Je dois dire que tout le monde m’écoutait, suspendus à mes lèvres, dans une ambiance de concentration extrême…

Je vous propose un datawarehouse maison.

Inconscients du jeu de mots, ils m’écoutent présenter le concept:

Un datawarehouse est un entrepôt de données (une base de données) qui se caractérise par des données:

– orientées « métier » ou business;

– conçu pour contenir les données en adéquation avec les besoins actuels et futurs de l’organisation, et répondre de manière centralisée à tous les utilisateurs;

– non volatiles: stables, en lecture seule, non modifiables;

– intégrées en provenance de sources hétérogènes ou d’origines diverses (y compris des fichiers externes de cotation ou de scoring);

– archivées et donc datées : avec une conservation de l’historique et de son évolution pour permettre les analyses comparatives.

(source: wikipedia).

Dans le cadre de mes expertises judiciaires, j’ai eu à rencontrer de nombreux types de datawarehouse, plus ou moins sophistiqués, plus ou moins performants. La plupart ont montré leurs limites concernant la dimension temporelle, sauf un. C’est celui-là que je vous propose de mettre en place.

Roulement de tambours, suspense à couper au couteau, nous entendons une mouche se poser à l’autre bout du bâtiment.

A l’aide du logiciel actuel, je vous propose d’imprimer tous les bulletins de paie sur papier et de les ranger dans une armoire antifeu au sous-sol avec les archives, dans des dossiers classés par salariés. Vous y classerez, également sur papier, toutes les analyses éventuellement faites (évolutions individuelles des salaires, analyses RH, etc) et les différents documents confidentiels propre au suivi de chaque salarié (entretien annuel, bilan de compétence, etc).

Dans dix ans, dans vingt ans, toutes vos données seront encore accessibles.

Aucun changement de logiciel, d’imprimante, de machine, de serveur n’aura de conséquence sur notre datawarehouse. Pas de problème de version d’Excel, de disquette devenue illisible, de disque dur en panne, de serveur SQL obsolète, de maintenance, de transfert de données, de sauvegarde, de mot de passe oublié, de format incompatible, de langage d’interrogation abscons, de pilote d’impression introuvable…

J’avoue qu’ils ont été surpris de ma proposition, surtout venant d’un informaticien. Après un petit temps de réflexion, tous ont accepté avec enthousiasme.

J’ai maintenant un entrepôt de données maison fiable.

Et vous verrez, il résistera mieux que le votre.