Auteur Sujet: Les Boites Noires  (Lu 1728 fois)

0 Membres et 1 Invité sur ce sujet

mattmatt73

  • Expert.
  • Client Bbox fibre "câble"
  • *
  • Messages: 5 065
  • vancia (69)
Les Boites Noires
« Réponse #12 le: 15 décembre 2016 à 09:14:34 »
Comme vivien, pour moi le principe des boîtes noires dont on parle en ce moment ça va plus loin que les OL/IL/LI déjà en place.

enfin ça ne doit pas prendre grand chose, sinon les équipes de gestionnaires de backbone chez les opérateurs verraient des flux monstrueux non justifiés passer.
Il faudrait des shadows liens ou un monitoring menteur ?

Maintenant si c'est de l'addon logiciel dans certains équipements de routages comme les services US avec les cisco piégés, ça devient beaucoup plus subtil.

Est-ce rentable de placer ces sondes chez les FAI français ? On doit trouver pleins de choses plus intéressantes sur les câbles sous marins exploités par des boites françaises ....
« Modifié: 15 décembre 2016 à 09:51:51 par mattmatt73 »

renaud07

  • Client Orange adsl
  • *
  • Messages: 759
Les Boites Noires
« Réponse #13 le: 17 décembre 2016 à 18:27:40 »
Les boites noires seront installées en 2017, voir Next inpact

Apparemment, il y avait du retard sur le développement, cf cet article de juillet 2016

mattmatt73

  • Expert.
  • Client Bbox fibre "câble"
  • *
  • Messages: 5 065
  • vancia (69)
Les Boites Noires
« Réponse #14 le: 17 décembre 2016 à 19:36:19 »
Les boites noires seront installées en 2017, voir Next inpact

Apparemment, il y avait du retard sur le développement, cf cet article de juillet 2016

2017, après les élections ? Le financement de ces trucs est déjà fait ou c'est au prochain gouvernement ?

Sinon si c'est comme le centre d'écoute réalisé par la quitenscence de l'industrie française, les terroristes vont pouvoir continuer à s'envoyer des mails en clairs pendant longtemps.

Je conseillerais même aux terroristes de se coordonner avec un doodle et les évènements facebook.

vivien

  • Administrateur
  • *
  • Messages: 26 685
    • Twitter LaFibre.info
Les Boites Noires
« Réponse #15 le: 17 décembre 2016 à 20:01:10 »
Je n'ose pas imaginer que la boite noire récupère plus que les requêtes DNS et les IP sources / cibles.

Dans quelques années tous les flux seront chiffrés sauf les flux DNS (DNSSEC ne semble pas avancer)

Les boites noires permettent, quand un site internet terroriste est repéré, de savoir qui l'a consulté (enfin son IP) au choix par son IP (serveurs dédiés) ou les requêtes DNS.

mattmatt73

  • Expert.
  • Client Bbox fibre "câble"
  • *
  • Messages: 5 065
  • vancia (69)
Les Boites Noires
« Réponse #16 le: 17 décembre 2016 à 20:09:56 »
Je n'ose pas imaginer que la boite noire récupère plus que les requêtes DNS et les IP sources / cibles.

Dans quelques années tous les flux seront chiffrés sauf les flux DNS (DNSSEC ne semble pas avancer)

Les boites noires permettent, quand un site internet terroriste est repéré, de savoir qui l'a consulté (enfin son IP) au choix par son IP (serveurs dédiés) ou les requêtes DNS.

Et si le terroriste passe par un vpn à 5€/mois?

Hugues

  • AS203698 moji & MilkyWan
  • Expert
  • *
  • Messages: 4 559
  • Lyon & Paris
    • Twitter
Les Boites Noires
« Réponse #17 le: 17 décembre 2016 à 20:15:11 »
* Hugues va chiffrer ses tunnels, du coup.

mattmatt73

  • Expert.
  • Client Bbox fibre "câble"
  • *
  • Messages: 5 065
  • vancia (69)
Les Boites Noires
« Réponse #18 le: 17 décembre 2016 à 20:28:11 »
* Hugues va chiffrer ses tunnels, du coup.

La dgsi va te torturer avec des mètres cubes de coca zéro pour avoir tes clés.

vivien

  • Administrateur
  • *
  • Messages: 26 685
    • Twitter LaFibre.info
Les Boites Noires
« Réponse #19 le: 17 décembre 2016 à 20:29:37 »
Et si le terroriste passe par un vpn à 5€/mois?

Même le gouvernement chinois n'arrive pas à voir ces données et la seulle solution qu'ils ont trouvés c'est d’interdire les VPN.

Interdire toute communication chiffrée hors de chine reste quand même difficile à faire appliquer...

La chine fait donc régulièrement du Man-in-the-middle attack...

La Chine aurait mené une attaque Man in the Middle contre iCloud

Le cryptage des données par Apple n'est pas du goût de la Chine. Le pays aurait donc décidé de s'attaquer à iCloud pour surveiller ses citoyens.

Alors que les iPhone 6 et 6 plus viennent d’arriver en Chine, Great Fire, une organisation à but non lucratif qui s’est fixé pour but de surveiller la censure d’Internet dans le pays, affirme que les autorités locales ont procédé à une attaque Man in the Middle sur iCloud.

Ce type d’attaque permet de récupérer des données en se plaçant entre deux parties sans qu’aucune ne se rende compte que le canal est compromis. Le gouvernement chinois chercherait ainsi à récolter des mots de passe et noms d’utilisateurs du service pour ensuite avoir accès à tous les documents stockés dans iCloud : photos, contacts, messages…

D’après Great Fire, certains navigateurs comme Chrome ou Firefox affichent une page d’erreur lorsque des utilisateurs cherchent à se connecter à iCloud depuis un ordinateur à l’inverse de Qihoo, le navigateur le plus utilisé en Chine.

Il y a peu, la firme de Cupertino avait annoncé qu’elle souhaitait stocker en Chine les données personnelles de ses utilisateurs locaux, mais qu’elles seraient cryptées, comme elle s’y était engagée dans sa nouvelle politique de protection des données.  Il n’y a semble-t-il pas que les autorités américaines qui « déplorent » le fait qu’Apple ait accentué le chiffrement des données des utilisateurs de ses smartphones…


Source : 01net, le 22 octobre 2014 par Cécile Bolesse.

Forcer le navigateur à se connecter en https, si les équipements du gouvernement te proposent une connexion en http, tu peux raisonnablement penser que ta connexion passe par un proxy...

Il ne faut pas raisonner en France, mais en chine avec ses attaques 'Man in the middle'

Chine : une attaque 'Man in the middle' sur les messageries Outlook

Sécurité : Selon le site GreatFire.org, une attaque Man in the middle aurait été détectée en Chine, visant les utilisateurs du service de messagerie Outlook de Microsoft. L’association de défense des libertés soupçonne l’administration chinoise d’être à l’origine de l’attaque.

Le site Greatfire.org, qui surveille la politique toute particulière du gouvernement chinois face à Internet, tire à nouveau la sonnette d’alarme suite à des informations faisant état d’une attaque de type man in the middle visant les utilisateurs de la messagerie Outlook. L’attaque semble avoir été ponctuelle et n’avoir duré qu’une journée, selon l’association, mais ce signalement vient renforcer les inquiétudes à l’égard de la Chine.

Il faut rappeler que l’accès à Gmail reste perturbé sur le territoire chinois et selon l’association Greatfire.org, des attaques comparables à celle subie par Outlook ont déjà été constatées, sur différents services de messageries.

L’attaque 'Man in the Middle', comme son nom l’indique, consiste à se faire passer pour un destinataire afin d’intercepter les flux entrant et sortants sans que l’utilisateur ne soit capable de détecter la différence dans le fonctionnement du service.
Certificats biaisés

Plus précisèment, Greatfire.org s’inquiète du rôle joué par le China Internet Network Information Center (CNNIC), organisme directement placé sous la coupe du ministère de l’information et qui joue également le rôle d’autorité de certification. Ces certificats sont en effet le moyen généralement utilisé pour s’assurer que l’interlocuteur est bien celui qu’il prétend être dans le cadre d’une connexion internet. Le site Greatfire.org précise néanmoins qu’un message d’avertissement est présenté à l’utilisateur, qui peut alors décider de ne pas poursuivre la connexion.

Greatfire invite les acteurs tels que Microsoft et Apple à ne plus faire automatiquement confiance aux certificats signés par le CNNIC, arguant que les certificats approuvés par l’autorité ont fréquemment été identifiés dans plusieurs cas d’attaque similaires. Mozilla en 2010 se posait déjà la question de savoir si oui ou non l’autorité chinoise devait être par défaut considérée comme une autorité de certification valide et digne de confiance.

Contacté par Zdnet.com, Microsoft reconnait avoir été alerté de cette attaque et recommande aux utilisateurs affectés de contacter leurs fournisseurs d’accès pour obtenir de l’aide. L’attaque ne vise que les utilisateurs du client mail d’Outlook ou via les clients pour terminaux mobiles, les utilisateurs passant par l’interface web (Outlook.com) ne semblent pas affectés.


Source : ZD Net le Mardi 20 Janvier 2015 par Par Louis Adam


Après, il y a encore un risque, qu'une autorité de certification reconnue par les navigateurs délivre un certificat pour un autre site.

Google a mis du code spécifique dans Google Chrome qui l’avertit si un client se retrouve avec un certificat Google qui n'est pas signé par l’autorité de certification de Google.

Cela lui permet de trouver régulièrement des société de certification qui ont signé un faux gmail.com.

On parlait dans l'article précédent de CNNIC, voici qu'on en reparle :

Google rejette en bloc les certificats de sécurité du chinois CNNIC

La semaine dernière, une autorité de certification avait produit au moins un certificat au nom de Google pour une utilisation que la firme de Mountain View était loin d’accepter. La conséquence est radicale : Google vient de bannir l’ensemble des certificats produits par CNNIC, au risque de provoquer toute une série de problèmes chez les utilisateurs. Mozilla se prépare de son côté à une action plus nuancée.
Un certificat généré au nom de Google, sans son autorisation

Rappel des faits. MCS Holdings, une autorité intermédiaire de certification opérant pour le compte de l’entreprise chinoise CNNIC (China Internet Network Information Center) a généré un certificat estampillé Google. Ce dernier a été utilisé dans un proxy agissant comme un « homme au milieu », capable de lire les transmissions de données sécurisées. Il s’agissait a priori pour CNNIC de mettre en place un équipement qui permettrait de vérifier ce qui entrait et sortait de son entreprise, donc de vérifier l’activité des employés et les échanges avec les clients. Un point sensible actuellement, comme l’ont montré en France les recommandations de la CNIL très récemment.

Le problème est que le certificat de sécurité a été généré au nom de Google sans aucune autorisation. La colère de l’entreprise ne s’est pas fait attendre : si toutes les autorités de certification se mettaient à créer de fausses preuves d’identité, comment être sûr finalement qu’un site est bien ce qu’il prétend être. En fait, comme nous l’indiquait justement Stéphane Bortzmeyer de l’Afnic la semaine dernière, les autorités sont des entreprises, donc gouvernées par des impératifs commerciaux. Si l’une d’entre elles refuse de délivrer un certificat, le client peut très bien s’adresser à un autre.
Google rejette les certificats racines de CNNIC

Google avait annoncé dans un premier temps que le fameux certificat avait été révoqué et qu’une mise à jour serait rapidement envoyée vers Chrome pour modifier la liste de ceux acceptés. Mais l’éditeur va finalement beaucoup plus loin : il rejette l’ensemble des certificats racines de CNNIC. Cette décision radicale a pour conséquence le rejet par cascade de tous les certificats qui auraient été générés par l’entreprise.

Une coupe d’autant plus franche que CNNIC est l’une des plus grosses autorités chinoises et que Chrome représente 52 % de parts de marché dans l’empire du milieu, loin devant les 23 % d’Internet Explorer. Les utilisateurs risquent donc de subir la décision de Google, même s’ils ont encore un peu de temps puisqu’il faudra attendre une mise à jour de Chrome pour que la mesure prenne effet.

Dans une mise à jour de son billet de blog original, Google explique que la décision a été discutée avec CNNIC. L’entreprise chinoise devrait se lancer dans certains travaux avant d’être considérée à nouveau comme une autorité de confiance par Google. Elle devrait surtout implèmenter Certificate Transparency, une initiative de Mountain View visant à gommer certains défauts du processus-même de génération des certificats. Il s’agit globalement de surveiller et de pouvoir auditer en temps réel n’importe quel certificat pour en tester la validité et surtout la légitimité. Dans le cas qui nous intéresse, Certificate Transparency aurait par exemple permis de détecter immédiatement qu’il y avait une erreur puisque le certificat n’avait pas été dûment demandé par Google. Une fois que cette infrastructure aura été mise en place, il ne devrait pas y avoir de raison pour que CNNIC soit laissé de côté.
Des décisions plus nuancées chez Mozilla et Microsoft

La décision reste radicale, nettement plus que pour la concurrence. Firefox et Internet Explorer rejettent ainsi les certificats issus de MCS Holdings, mais pas ceux de CNNIC. Bien que l’un agisse pour le compte de l’autre, la répercussion est donc moindre. Mozilla prépare cependant de son côté des actions complèmentaires. L’éditeur discute actuellement des mesures à prendre et, sans rejeter tout d’un bloc, devrait bloquer tous les certificats générés depuis une date donnée, qui reste à définir. La liste complète des certificats valides sera en outre réclamée pour que la communauté puisse la vérifier, et CNNIC devra « postuler » à nouveau après de Mozilla pour recevoir à nouveau sa pleine confiance. Cependant, si l’entreprise devait échouer, Mozilla en révoquerait cette fois les certificats racines, aboutissant alors à la même situation qu’avec Chrome.

Il devrait dans tous les cas y avoir une vraie gêne en Chine pour les utilisateurs puisque les certificats de CNNIC sont utilisés par des banques, des services de commerce et ainsi de suite. Du jour au lendemain, des internautes recevront des messages d’erreur les informant que l’identité de leurs sites ne peut plus être vérifiée. Comme toujours dans ce cas, il sera possible de passer outre l’avertissement, mais le contournement sera fortement déconseillé par le navigateur.

Google indique pour sa part qu’en dehors de la gêne occasionnée, il n’existe a priori pas de danger pour l’instant. Le certificat généré par MCS Holdings a en effet été utilisé en interne et n’est pas sorti du cadre de ce test.


Source : NextINpact, le 2 avril 2015.

Cela ne se passe pas que en Chine, mais aussi en France : Un certificat de l'ANSSI utilisé pour des attaques MITM sur les services Google

HTTP Strict Transport Security est une brique de plus pour apporter gratuitement un petit peu plus de sécurité. Oui, comme le dit corrector, de nombreux cas passent à la trappe.

mattmatt73

  • Expert.
  • Client Bbox fibre "câble"
  • *
  • Messages: 5 065
  • vancia (69)
Les Boites Noires
« Réponse #20 le: 17 décembre 2016 à 20:35:33 »
Donc on va se taper des boites hors de prix qui ne serviront a rien sauf à garantir une rente chez Thalès et consorts ?

Et c'est pour quand des politiciens non totalement ridicules sur ces questions ?

vivien

  • Administrateur
  • *
  • Messages: 26 685
    • Twitter LaFibre.info
Les Boites Noires
« Réponse #21 le: 17 décembre 2016 à 21:36:42 »
Le gouvernement ne vise que la masse...

Lors de perquisitions administratives avec l'état d'urgence, il y a maintenant souvent une copie de données informatiques du PC.

Un écologiste qui s'est fait perquisitionné avant la COP21 y a eu le droit. Ils n'ont pas copié sont disque dur car leur outil ne fonctionne que pour les PC sous Windows et il était sous Ubuntu.

Bref, il suffit d'être sous Linux pour ne pas se faire copier son disque dur...

renaud07

  • Client Orange adsl
  • *
  • Messages: 759
Les Boites Noires
« Réponse #22 le: 17 décembre 2016 à 21:41:11 »
2017, après les élections ? Le financement de ces trucs est déjà fait ou c'est au prochain gouvernement ?

Pour la date exacte, aucune idée.

Sûrement que ça a déjà été (au moins en partie) financé, sinon ils ne les installeraient pas je pense.

octal

  • Client Free adsl
  • *
  • Messages: 1 394
  • Paris (75)
Les Boites Noires
« Réponse #23 le: 17 décembre 2016 à 21:45:24 »
Donc on va se taper des boites hors de prix qui ne serviront a rien sauf à garantir une rente chez Thalès et consorts ?

Et c'est pour quand des politiciens non totalement ridicules sur ces questions ?

Excellente Réplique  ;)
ils sont impossible a museler de quelque soit les moyens  :)

 

Mobile View