Spam, spam, encore et encore

Le Spam continuera à remplir vos boites aux lettres en utilisant de plus en plus d’images incrustées de vos publicités favorites ou avec des fichiers PDF en pièce jointe. C’est ce qui ressort des prévisions faites dans la plupart des études de sécurité informatique. Si vous avez un peu de temps regardez ces beaux PDF réalisés par IBM, Symantec et McaFee

Mais vous êtes vous déjà demandé qui pouvaient envoyer ceux-ci ?

Are you anonymous when surfing the Internet?

How do you feel about your identity leaking when surfing the Internet. Do others know your location or much more about you?

If I want to order something, I write a letter with the several items I would like to receive and put it in an envelope. On the front of the envelope, I write the seller's address and on the back, mine. Then after throwing it in a postbox, several people forward the envelope to its final destination. They only check the destination address on the front of envelope. Finally, when receiving my order, the seller processes my command and using my address which is written down on the envelop back, he sends me back a packet.
The way it works on the Internet is exactly the same. Each time, you ask for a web page, you send a request to a web server which sends the response to the source's address of request, yours.
Therefore, each time you request something on the Internet, the server knows your address. The Internet addresses are numbers and their topology is well known.
A few websites display the address they found when you send a request to them, and after consulting a database, they also splash your location map on your screen. Try the http://www.ip-adress.com website by clicking here it will send you back a map where the address you use is supposed to be.

Does the answer fit your real location?
Now, you understand that all the web servers you are talking to and the devices that transmit your data, are able to record all your actions.

The next question is how could you browse with anonymity?

This was the EN version of this.

Contribuez à la liberté de navigation sur Internet

Comme cela a été présenté ici, dès que vous naviguez sur Internet vous présentez votre adresse afin que les services contactés, puissent envoyer les réponses à vos demandes. Certains systèmes comme le réseau TOR permettent de naviguer en étant anonyme ou plus précisément en empruntant l’identité d’autres personnes, d’autres systèmes.
Il est probable que vous n’avez aucun intérêt, à utiliser ces outils comme client, mais pourriez-vous offrir ce service à d’autres personnes ? Lisez l’article très complet sur rsf.org et surtout parcourez le PDF nommé « Guide pratique du blogger et du cyberdissident» qui explique comment vous pouvez aider d’autres personnes à profiter librement d’Internet.

Pour finir si vous désirez permettre à d’autres personnes de naviguer sur Internet à travers votre PC par le réseau TOR, alors, après avoir suivi ce guide d’installation :
- cliquez sur l’icône située dans la barre d’outils en bas à droite avec le bouton de droite
- cliquez sur paramètres
- sélectionnez l’onglet serveur
- sélectionnez l’icône Relayez le trafic pour le réseau TOR
- fermez le panneau

Soyez conscient que n’importe qui, pourra naviguer sur n’importe quel site Web à travers votre ordinateur.

Ressources :
Wikipedia : réseau TOR
Reporters sans frontière

Transition entre les communications et les telecommunications

Si dans un futur lointain ou proche, on vous demandait de mettre en place un système de communication sans électronique, électricité, pouvant être fabriqué dans la plupart des contrées, quelles seraient vos pistes ?
Si la pollution générée par la course aux gadgets électroniques (e-waste) nous amenait à penser différemment, qu'envisageriez-vous ?

La démarche la plus simple serait probablement de regarder l'histoire des télécommunications pour y puiser les trouvailles de nos aïeux.

En réfléchissant à ce sujet on projette des images diverses d’abord liées aux moyens primaires de communication comme l’homme à pied, puis à cheval, transportant des messages. Ensuite, nous pensons aux moyens plus rapides utilisant l’environnement qui nous entoure :

• Le son qui traverse les airs : tambour, sifflement ou cloches
• La lumière permettant de transmettre les signaux de fumée non standardisés des indiens d'Amérique ou les signaux par drapeaux
• L'aide d'éléments naturels comme le pigeon voyageur et son bec à boussole tridimensionnelle.
  

Mais ici, je retiendrai la phase de transition entre le mode de communication mécanique et l’apparition des premiers systèmes utilisant les phénomènes électriques. Celle-ci a été insufflée par le Français Claude Chappe(1763-1805) et le Suédois Abraham Niklas Edelcrantz (1754–1821). Chappe a mis au point un système muni de bras en bois qui en fonction de leur position avaient une signification particulière. Regardez sur ce site le principe de fonctionnement de ces machines à signes qui furent construites dans toute la France comme le montre cette carte.
En Suède un autre génie nommé Abraham Niklas Edelcrantz se mit, suite à la découverte du télégraphe de Chappe, à créer un système basé sur des panneaux pivotants comme le montre cette image. Ce second principe avait l’avantage d’être plus rapide et il fut utilisé par les Anglais entre Londres et Portsmouth comme montré par ces gravures.
En plus d'avoir été très utiles, ces inventions on permis d'avancer dans le principe de définition des dictionnaires de symboles, base des télécommunications.

Si vous désirez visiter les vestiges des stations de Chappe, regardez la liste de celles qui ont été restaurées.

La question suivante est : disposant d'un tel système, quelles sont les solutions pour éviter qu'une personne épiant les tours de Chappe, puisse comprendre les messages transmis ?

Ressources :
Wikipedia : e-waste = Déchets d'équipements électriques et électroniques
Futura-science : On a trouvé la boussole du pigeon
Indian.org: Communication par fumée : le langage n'était pas standardisé afin de tromper l'ennemi observant les signaux.
Inquiry.net : smoke signals
Aventure du bout du monde : Préhistoire des télécommunications

Histoire des télécommunications.
Ecole centrale de Lyon : Les télégraphes de Chappe
The Early History of Data Networks
L' Association Mont Saint-Quentin Télégraphe de Chappe

Naviguez sur Internet avec l'identité d'une autre personne

Lorsque l’on navigue sur le Web, nous sommes identifiables par notre adresse comme cela a été présenté ici.
Hors de toutes pensées déplacées, il peut être intéressant de naviguer en étant anonyme ou de permettre à d’autres de naviguer anonymement. Plusieurs projets ont vu le jour afin de répondre à ce besoin et un de ceux qui offre un résultat abouti se nomme TOR.
Le principe est simple : sachant que l’on peut suivre le cheminement de votre PC à la machine appelée, pourquoi ne pas passer à travers d’autres machines qui transmettront votre demande à votre place ?
Ainsi lorsque vous vous connectez directement à un serveur le chemin ressemble à celui montré par la première image. Lorsque vous-vous connectez à travers le réseau TOR, le chemin n'est pas direct et ressemble à celui montré sur la deuxième image.

Installation

• Pour installer ce programme, dirigez-vous vers la page de téléchargement en cliquant ici
• Pour Windows, choisissez le programme Tor & Privoxy & Vidalia & Torbutton « tout en un
  
• Installez ce package et choisissez durant l’installation les trois programmes proposés Tor, Videlia, Privoxy et Torbutton.
  

Prise en main

• Vous aurez après installation en bas à droite deux icônes.
• Le premier est un petit oignon qui s’il est actif est de couleur verte.
  
• Si vous ne l’avez pas encore ou s’il n’est pas encore démarré, allez pour Windows dans Démarrez->Vidalia->Vidalia
• Ce programme Vidalia, permet d’activer et configurer le programme TOR. Une fois de couleur verte, vous savez que vous pouvez transférer des données à travers ce réseau TOR. Les données peuvent être des mails, des pages Web et plus encore.....

• Afin de transférer des pages Web, il faut lancer un relais qui va permettre à votre navigateur de se connecter sur ce réseau. Il se nomme Privoxy et il est représenté par une icône bleue située en bas à droite,
  
• Vérifiez en cliquant sur celui-ci avec le bouton de droite de la souris, qu’il est activé (Enable coché),
• Désormais, il suffit de se connecter sur Internet à travers ce relais avec votre navigateur.
• Au redémarrage de Firefox, vous aurez en bas à droite un texte qui est soit TOR desactivé ou « Tor activé »,
  
• Vous pouvez changer son statut en cliquant dessus.
  

Vérification

• Cliquez sur le texte en bas à droite de Firefox pour qu’il soit à la valeur « Tor désactivé.
• Connectez-vous sur http://www.ip-adress.com comme cela ’avait déjà été présenté ici. Vous devez vérifier que ce site en utilisant votre adresse a retrouvé à peu près l' endroit où vous vous situez.
• Pour être sure que toutes vos traces (cookie) ne soient pas transmises à travers le réseau TOR, cliquez dans Firefox dans Outils->Effacer mes traces. Cochez Cookies et cliquez sur Effacez mes traces.
• Maintenant, faites passer les données de votre navigateur à travers le réseau TOR en cliquant sur le texte en bas à droite, qu’il devienne « Tor activé »
• Connectez-vous de nouveau et soyez patient, les temps de réponses sont très élevés.
• Maintenant quel résultat obtenez-vous ? Où le serveur http://www.ip-adress.com vous a t-il localisé ?
• Le résultat est donc probant , vos données ne sont pas allées directement vers ce serveur, mais ont été relayées par d’autres ordinateurs. Le dernier ordinateur est celui qui vous est indiqué sur la carte.
  

Pas convaincu ?

• Bien, alors cliquez avec le bouton de droite sur l’oignon en bas à droite et choisissez "Nouvelle identité".
  
• Cette action va avoir pour effet de vous connecter à travers un autre chemin. Essayez de nouveau de vous connectez maintenant sur http://www.ip-adress.com et ?

Conclusion ? C’est lent, mais ça marche.


Mise en garde
Ce procédé vous permet de naviguer sur Internet à travers d’autres machines, afin de ne pas montrer que votre machine réalise ces demandes. Par contre, il est tout à fait possible à la personne qui possède le dernier ordinateur relayant vos demandes aux sites Web, de visualiser les données en transite. En conséquence, si vous devez entrer un mot de passe sur une page Web par exemple, la seule solution pour vous assurer qu’il ne sera pas divulgué, est de naviguer en httpS à travers ce réseau TOR. Pour anecdote, un informaticien a placé sa machine dans ce réseau et enregistré les données transitant, puis les a publiées pour démontrer cette faiblesse.

A qui sert ce réseau ? Probablement pas à vous, mais alors à qui d’autre ?
La suite ici : objectif des réseaux permettant d’être anonyme.

Sources :
Projet TOR : Site web officiel
Projet TOR : Tutorial officiel
Derangedsecurity : Ce qu'il est possible de faire depuis le dernier ordinateur d'un réseau TOR

Etes-vous anonyme lorsque vous naviguez sur Internet ?

Etes-vous anonyme lorsque vous naviguez sur Internet ? Peut-on savoir où vous êtes actuellement ?

Afin de faire une commande par courrier postal, je mets une lettre listant ce que je désire obtenir dans une enveloppe. Sur l’enveloppe je mets l’adresse de mon fournisseur et au dos la mienne. La lettre est acheminée par plusieurs personnes qui se contentent de regarder l’adresse de mon destinataire. Enfin le destinataire reçoit l’enveloppe, traite la commande et grâce à l’adresse que j’ai mise au dos de celle-ci, m’expédie ma commande.

Quand je navigue sur Internet le principe est identique, j’envoie une demande vers un destinataire et il me répond en lisant l’adresse de l’expéditeur qui est la mienne.

Donc, quand vous naviguez sur Internet chaque fois que vous faites une demande, le site Web qui la reçoit connaît votre adresse. Les adresses sont des numéros dont la cartographie est assez bien connue.

Certains sites Web montrent l’adresse que vous utilisez et affichent la carte de la zone où se trouve cette adresse. L'affichage ci-dessous, ous donne sur une petite carte le lieu dans lequel est sensé être l’adresse que vous utilisez.




Est-ce que cette région est bien là où vous êtes ?

Vous aurez donc compris que tous les sites Web peuvent savoir d’où sont envoyées les demandes. De la même façon toutes les personnes qui acheminent ces informations sont à même d’enregistrer toutes vos actions.

La question suivante est : comment peut-on naviguer sur Internet en restant anonyme ?

Historique :
12/04/2007 : Publication
18/10/2008 : Mise à jour outils d'affichage

Materiel neuf : changer le mot de passe par defaut

Comme cela était présenté dans un précédent billet, changer les mots de passe par défaut est une opération à réaliser dès la mise en service d'un logiciel ou d’un appareil électronique. Si vous en doutez encore prenez le temps de regarder l'étude menée par Sid Stamm et Zulfikar Ramzan qui montre comment à l'aide de différentes techniques, un attaquant pourrait compromettre le réseau d'une entreprise.

Conclusion, changez et saisissez un mot de passe assez complexe sur les appareils que vous mettez en service. Si vous avez peur d'oublier le mot de passe, alors utilisez un logiciel de gestion de mots de passe, qui vous aidera à générer un mot de passe complexe puis à le conserver.

Si vous n'êtes pas technique n'hésitez pas à demander à la personne en charge de votre réseau si elle réalise systématiquement cette opération car une étude américaine montre que 50% des mots de passe par défaut ne sont pas changés.
--
Technique :

• Le principe de l'attaque présenté dans cette étude consiste à placer un script dans une page Web qui une fois visitée par l'employé d'une société, lancera un processus d'attaque à l'intérieur de cette entreprise.
• Dans un premier temps, l'attaque lance une Applet Java qui va détecter l'adresse IP de la machine de l'utilisateur. Afin qu'une Applet Java puisse se lancer, il faut l'accord de l'utilisateur qui dans la majorité du temps aquiesce les popups, sans se poser aucune question.
• Ensuite, un Java script identique à celui indiqué dans ce billet va chercher les adresses des machines actives sur ce réseau.
• Les routeurs sont souvent paramétrables à travers des pages Web et celles-ci contiennent des images qui sont toujours les mêmes pour un type de produit. Ainsi, afin de trouver s'il y a un routeur parmi les adresses trouvées, le Java script va chercher la trace d’une image de routeurs connus. Si c'est le cas, ce script tentera de saisir le mot de passe par défaut du modèle de routeur et en cas de succès, pourra modifier le DNS.
• Finalement le DNS ayant été compromis, lorsque les employés feront des requêtes vers certains sites institutionnels, ils se connecteront sans le savoir à un/des site/s créé par l'attaquant.
• La suite est le vol d'identité (login mot de passe) habituel.
  

La journée d'un adepte de Google

La progression de Google en cinq ans relève de l'incroyable et si vous n'êtes pas encore adepte, essayez de vous créer un compte afin d'appréhender ce phénomène. Dans quelques mois votre journée pourrait être proche de celle de Paul.

Ce matin Paul se connecte à sa page personnelle en entrant son login et mot de passe et voit apparaître une page encore vide. Afin de donner un peu de couleur à celle-ci, il choisit un thème et entre le lieu où il se trouve. Grâce à cette donnée la page sera adaptée en fonction de l’heure et de la météo de ce lieu. Ensuite, Paul commence à configurer cette page, il ajoute des modules en cliquant sur le menu à gauche : «Ajouter des modules ». Il choisit tout d’abord un module de prévisions météorologiques, qu’il configure avec le lieu où il se trouve en cliquant sur « modifié ». Ensuite, il prend le module de résumé de gmail afin d’afficher dans cette page ses derniers mails et d’accéder directement à sa boite aux lettres. Enfin, il ajoute un module bloc Notes dans lequel il saisit les objectifs qu’il doit réaliser dans la semaine.

Au cours de la journée, il a un échange téléphonique par Google talk avec un de ses collègues sur l’analyse des coûts de leur société. Ils avaient programmé cette réunion, grâce à l’utilisation de Google Calendar supportant leur emploi du temps qu’ils partagent mutuellement Afin d’optimiser leur travail, ils partagent une feuille de calcul en mode collaboration, ce qui leur permet de travailler sur le même document chacun étant à son domicile. Parfois, ils ont besoin de s’échanger des liens vers des sites Web, ce qu’ils font en utilisant le chat intégré à gmail. Finalement, ils sont d’accord sur leurs objectifs et programment un rendez-vous chez un client dont ils trouvent l’adresse sur Google Map. Enuite dans le mode "Street view", ils visualisent les photos de la rue et du batiment en déplaçant le bonhomme jaune à l'adresse trouvée. Il leur sera aisé de trouver le trajet depuis chez eux avec cet outil et ils pourront voir avant de partir s’il y a des bouchons sur Google Map. Paul ayant tendance à oublier ses rendez-vous, il a mis une alerte avec SMS dans Google Calendar (options->Notifications).

Paul a passé un week-end fort agréable en famille et a publié le gag qu'il a filmé sur google video. Les photos en famille ont été mises en ligne grâce à Picassa et la possiblité de publier un album sur le web.

Utilisant personnellement certains de ces outils je ne peux que vous encourager à les tester, mais s’il vous plait soyez vigilant :

• Profitez du fait que la plupart de ces services sont disponibles en HTTPS. Entrez donc https et non http au début des adresses google ceci évitera à des personnes mal intentionnées de regarder les données que vous échangez avec ces serveurs.
• Comprenez que comme avec le système de mail standard, vos données sont stockées sur les serveurs offrant ces services. Ainsi vous n’êtes pas le seul à connaître leurs contenus, mais il n’y a rien de nouveau à ce sujet, continuez à ne pas transmettre des données sensibles par internet.