A ce que je comprends pour que l’attaque soit fonctionnelle il faut que l’attaquant puisse faire du man in the middle ce qui est déjà une barrière très importante. De plus les attaques décrites sont plus des PoC qu’autre chose (et la plupart ne sont fonctionnelles que sur Internet Explorer).
Donc je ne pense pas qu’il y ai lieu de s’inquiéter outre mesure sur ce sujet.
Je suis assez sceptique de la démarche de blocage de la CNIL. Une fois les informations disponibles de manière publique le mal est fait et elles seront accessibles à qui voudra bien se donner le mal de les chercher (notamment via les réseaux P2P).
J’y vois plus un geste d’affichage pour montrer qu’on agit rapidement qu’une stratégie efficace pour tenter de prévenir ce genre de problème à l’avenir. Après je peux comprendre que des mesures de fond, qui elles seront probablement plus efficaces, sont peu compatibles avec le temps médiatique.
Each application gets a user-specified subdomain of appspot.com,
for which almost any Google domain can serve as a front,
including google.com, gmail.com, googleapis.com, and many others
Donc j’ai mon serveur en toto.appspot.com mais je peux y accéder via google.com.
Pour cela je fais une requête HTTPS vers google.com avec comme SNI google.com mais dans mes en-têtes HTTP je met comme Host toto.appspot.com. Il semble que dans ce cas Google va nous renvoyer notre requête vers notre serveur toto.appspot.com.
Ce qui est super d’un point de vue contournement de la censure c’est que si un censeur inspecte la requête il verra comme IP de destination google.com et comme destination SNI google.com. Donc impossible de bloquer ces requêtes sans bloquer tout le traffic à destination de google.com
D’après l’article Bruno Leroux aurait fourni “un déluge de chiffres sur le nombre d’assignations à résidence, d’attentats déjoués, etc”
Serait-il possible de les mettre au moins en perspective par rapport aux chiffres précédemment connus afin d’avoir une vision plus claire de la pertinence du maintient de l’état d’urgence ?
Il est plus que temps que les États légifèrent et mettent en place des règles de sécurité exigibles sur tout objet connecté.
On pourrait penser par exemple:
Interdiction des mots de passe par défaut,
Utilisation de mises à jour signées par le constructeur
Obligation de mise à jour sur les failles de sécurité pendant un temps déterminé
Tant que ça ne sera pas une norme légale on pourra toujours aller se brosser et laissera les serveurs connectés à Internet être victime de groupes utilisant des réseaux de zombies pour réaliser des attaques et des DDOS à volonté.
Je dis franchement chapeau à What’sApp pour avoir fait bosser Moxie Marlinspike sur leur chiffrement. En gros on a une application utilisée par des millions de personnes avec du chiffrement fort et sécurisé (et non un chiffrement maison tout pourri) et activé par défaut. C’est un signal fort envoyé au reste de l’industrie que c’est possible de combiner sécurité et facilité d’utilisation.
C’est un très bon pas vers le chiffrement par défaut de toutes les communications entre utilisateurs qui est le seul moyen de contrebalancer la surveillance de masse mise en place par les puissances étatiques.
Je pense que par accès on veut dire la capacité d’exécuter du code arbitraire sur le serveur. Donc une faille web qui pourrait donner accès à un shell en www-data par exemple pourrait avec cet exploit mener à une compromission totale du serveur. Cette faille est donc loin d’être négligeable.
Ce qui sera difficile à défendre également c’est pourquoi la version du Ruby installée était dans une version connue pour être vulnérable. Pourquoi l’intrusion sur les instances Amazon n’a également pas été détectée ? Comment Wineberg a-t-il pu se connecter sur les serveurs via SSH ?
Bref tout semble indiquer que le niveau de sécurité d’Instagram laisse fortement à désirer. Alors certes il y a un manque d’éthique de la part de Wineberg mais une personne mal intentionnée ne se serait pas donnée la peine de prévenir avant d’entrer.
C’est sur que à 8 personnes pour dépouiller 1000 bulletins c’est autrement plus long. En plus j’imagine que plus te le fais plus tu as de chance de faire des erreurs et donc de rallonger la durée du dépouillement. Après il appartient à chaque bureau de vote d’essayer de faire venir des gens pour le dépouillement. C’est sur que faire le dépouillement est assez ingrat mais c’est nécessaire pour le processus démocratique. Après je n’ai voté de dans des grandes villes on il est peut être plus facile d’avoir de gens présents pour dépouiller les bulletins (rien que par ce que le bureau de vote est généralement tout près du domicile).
Là aussi, c’est biaisé. 45 minutes c’est cohérent pour une petite commune de 200 habitants. Ya toujours 2 comptages indépendants. Et re-re-recomptage jusqu’à ce qu’il n’y ait plus d’erreur.
Pour une commune de 2000 habitant ça frise plutôt les 3 heures minimum post-scrutin.
Personnellement et pour avoir participé à de nombreux dépouillements ça ne m’as jamais pris plus d’une heure.
Déjà plus la commune est grande plus il doit normalement y avoir de bureaux de votes.
Je n’ai toujours fait qu’un seul comptage des votes. Les enveloppes sont sorties des urnes et mises par tas de 100. Chaque tas est assigné à une table de 4 personnes. La 1ère personne ouvre l’enveloppe et sort le bulletin de vote. Il donne le bulletin à la seconde personne qui lit à haute voix ce qui est marqué sur le bulletin. Les deux autres personnes ont chacun une feuille ou ils inscrivent les votes comptabilisés. Régulièrement on vérifie que les deux feuilles ont bien le même nombre de votes comptabilisés. A la fin du dépouillement des 100 enveloppes les quatre personnes signent les feuilles pour attester du bon déroulement du dépouillement.
La perte de temps est dans le cas de vote blancs ou nuls car il faut le faire constater par les scrutateurs du bureau de vote.
Il n’y a pas de recomptage car le compte est bon dès la première fois si on suit bien la procédure.
Pour dépouiller 1000 bulletins par exemples il suffit de 20 personnes (5*4 personnes) et que chaque table dépouille 200 bulletins ce qui va prendre grosso modo 1h si tout se passe bien.
Le
07/12/2015 à
11h
05
Nozalys a écrit :
Ok donc c’est mal ficelé de bout en bout.
Pour être efficace il aurait fallu que :
1/ Il y ait plusieurs isoloirs donc plusieurs machines comme dans n’importe quel autre bureau de poste
2/ L’identification passe aussi par la machine.
3/ L’IHM soit pensée pour les électeurs…
As-tu pris une photo de l’interface ?
Il y a une machine par bureau de vote.
Comme tu n’as que une urne par bureau de vote. La machine n’est qu’une urne électronique, ni plus, ni moins.
Avant de t’autoriser à voter on vérifie ton identité sur le registre. Si ton identité est vérifiée, la machine de vote est activée pour te laisser voter. La machine est présente dans un isoloir. Tu t’y rends, tu rentre ton choix de vote en sélectionnant une touche, tu valides. La machine émet un son pour confirmer que le vote a bien eu lieu. Tu sors de l’isoloir et tu signe le registre.
Donc de part le design même du système il ne peut pas avoir plusieurs machines comme il ne peut pas y avoir plusieurs urnes utilisées en parallèle dans un même bureau de vote.
La machine doit pas vérifier ton identité car elle “connaît” ton vote donc ça serait une très mauvaise idée.
L’IHM n’est pas si mauvaise si on sait lire et qu’on sait appuyer sur un bouton on s’en sort.
Le
04/12/2015 à
09h
32
Je ne vois aucun avantage qui rendrait utile les machines à voter. Selon moi.
Avantage:
Le dépouillement est rapide
Inconvénients:
Utilisation plus longue que pour un vote papier
Le coût
Absence de transparence (comparé à une urne physique)
Impossibilité de recompter les bulletins en cas de contestation
En plus ce n’est même pas écologique, car les bureaux de vote avec des machines à voter ont également des urnes et des bulletins présents en cas de problème avec les dites machines.
Bref aucun avantage sinon gagner 45 minutes à la fin du scrutin et que des inconvénients de l’autre côté.
Non, nous avons appliqué la TVA à 2,1% à partir du moment où la loi a été votée et où nous avons été reconnus comme service de presse en ligne par la CPPAP. Financièrement, prendre le risque d’une telle procédure était impensable à notre niveau " />
Ok merci, votre prudence s’est finalement montré un choix judicieux
Le
06/11/2015 à
08h
58
Les aides de l’État je verrai plutôt ça comme les aides à la presse qui permettent de récupérer des fonds publics.
Je pense qu’une communication officielle sur le sujet serait de toute façon bienvenue ne serait-ce que pour rassurer la communauté NXI.
Le
06/11/2015 à
08h
48
Bravo à toute l’équipe de NXI qui a su innover pour rester attractive et proposer du vrai contenu journalistique et non des simples reprises de fil AFP.
Sinon petite question MarcRees, David_L est-ce que risquez d’avoir le même soucis que Médiapart concernant la TVA ou vous avez pris des précautions de votre côté ?
Il semble que le procureur de Paris oublie qu’en France le fait ne de refuser de donner ses clés / mot de passe de déchiffrement dans le cadre d’une enquête judiciaire est passible de prison.
Article 434-15-2 du code pénal:
Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.
Même si on ne peut accéder au contenu on peut déjà envoyer quelqu’un en prison.
Plus généralement, si la seule preuve dans une enquête est un appareil chiffré c’est très mince et on peut toujours tenter d’arrêter la personne en flagrant délit une fois que celle-ci à tapé son code de déchiffrement ou tenter d’intercepter celui-ci.
La généralisation du chiffrement va juste empêcher les services de renseignement de faire de la surveillance de masse facilement et c’est surtout ça le fond du problème pour ces gens là.
Cette attaque DDOS aurait permis à au moins un pirate d’accéder au serveur du ministère et ainsi d’obtenir divers identifiants, permettant notamment d’entrer dans l’intranet du ministère.
Je doute fortement qu’une attaque DDOS (déni de service distribué) permette de s’introduire sur un serveur. Au plus ça peut tellement pourrir les logs que tu peux espérer te fondre dans la masse.
un fichier contenant près de 1500 courriels et mots de passe de fonctionnaires aurait été dérobé
24 commentaires
L’astuce qui permet à l’anti-terrorisme de consulter des centaines de messageries chiffrées
11/06/2021
Le 11/06/2021 à 21h 51
Dans ce cas ils vont être bien embêtés avec l’arrivée de TLS 1.3 et ESNI (qui chiffre le SNI) ainsi que la montée en puissance de DoH (DNS over HTTPS)
ALPACA : une faiblesse de TLS permet de s’insérer dans des connexions HTTPS
10/06/2021
Le 10/06/2021 à 11h 28
A ce que je comprends pour que l’attaque soit fonctionnelle il faut que l’attaquant puisse faire du man in the middle ce qui est déjà une barrière très importante. De plus les attaques décrites sont plus des PoC qu’autre chose (et la plupart ne sont fonctionnelles que sur Internet Explorer).
Donc je ne pense pas qu’il y ai lieu de s’inquiéter outre mesure sur ce sujet.
Fuite de données médicales : l’ordonnance de blocage obtenue par la CNIL
05/03/2021
Le 05/03/2021 à 10h 29
Je suis assez sceptique de la démarche de blocage de la CNIL. Une fois les informations disponibles de manière publique le mal est fait et elles seront accessibles à qui voudra bien se donner le mal de les chercher (notamment via les réseaux P2P).
J’y vois plus un geste d’affichage pour montrer qu’on agit rapidement qu’une stratégie efficace pour tenter de prévenir ce genre de problème à l’avenir. Après je peux comprendre que des mesures de fond, qui elles seront probablement plus efficaces, sont peu compatibles avec le temps médiatique.
L’extension Chrome WebEx de Cisco victime d’une importante faille critique
24/01/2017
Le 25/01/2017 à 09h 25
Pour info la mise à jour consiste juste à n’autoriser l’exécution de code arbitraire que depuis des domaines en *.webex.com.
TwitterAutant dire que la seule conduite possible est la désinstallation pure et simple du plugin en attendant un vrai patch de sécurité.
Hors, certains n’ont pas mis longtemps à trouver des XSS sur des domaines webex.com:
Signal déploie une mise à jour pour contourner la censure, sur Android et iOS
23/12/2016
Le 23/12/2016 à 11h 30
En gros si j’ai bien compris il ont un ou plusieurs serveurs chez un fournisseur comme Google (Google Apps Engine par exemple).
D’après le sitehttps://www.bamsoftware.com/papers/fronting/
Each application gets a user-specified subdomain of appspot.com,
for which almost any Google domain can serve as a front,
including google.com, gmail.com, googleapis.com, and many others
Donc j’ai mon serveur en toto.appspot.com mais je peux y accéder via google.com.
Pour cela je fais une requête HTTPS vers google.com avec comme SNI google.com mais dans mes en-têtes HTTP je met comme Host toto.appspot.com. Il semble que dans ce cas Google va nous renvoyer notre requête vers notre serveur toto.appspot.com.
Ce qui est super d’un point de vue contournement de la censure c’est que si un censeur inspecte la requête il verra comme IP de destination google.com et comme destination SNI google.com. Donc impossible de bloquer ces requêtes sans bloquer tout le traffic à destination de google.com
Les députés votent la prorogation de l’état d’urgence jusqu’au 15 juillet 2017
14/12/2016
Le 14/12/2016 à 11h 07
@MarcRees
D’après l’article Bruno Leroux aurait fourni “un déluge de chiffres sur le nombre d’assignations à résidence, d’attentats déjoués, etc”
Serait-il possible de les mettre au moins en perspective par rapport aux chiffres précédemment connus afin d’avoir une vision plus claire de la pertinence du maintient de l’état d’urgence ?
Alerte sur Mirai, le malware créant des botnets d’objets connectés
17/10/2016
Le 17/10/2016 à 13h 48
Il est plus que temps que les États légifèrent et mettent en place des règles de sécurité exigibles sur tout objet connecté.
On pourrait penser par exemple:
Interdiction des mots de passe par défaut,
Utilisation de mises à jour signées par le constructeur
Obligation de mise à jour sur les failles de sécurité pendant un temps déterminé
Tant que ça ne sera pas une norme légale on pourra toujours aller se brosser et laissera les serveurs connectés à Internet être victime de groupes utilisant des réseaux de zombies pour réaliser des attaques et des DDOS à volonté.
WhatsApp : le chiffrement de bout-en-bout actif pour tous sur les messages et appels
06/04/2016
Le 06/04/2016 à 13h 53
Je dis franchement chapeau à What’sApp pour avoir fait bosser Moxie Marlinspike sur leur chiffrement. En gros on a une application utilisée par des millions de personnes avec du chiffrement fort et sécurisé (et non un chiffrement maison tout pourri) et activé par défaut. C’est un signal fort envoyé au reste de l’industrie que c’est possible de combiner sécurité et facilité d’utilisation.
C’est un très bon pas vers le chiffrement par défaut de toutes les communications entre utilisateurs qui est le seul moyen de contrebalancer la surveillance de masse mise en place par les puissances étatiques.
Le noyau Linux touché par une faille 0-day à partir de sa version 3.8
19/01/2016
Le 19/01/2016 à 17h 36
Je pense que par accès on veut dire la capacité d’exécuter du code arbitraire sur le serveur. Donc une faille web qui pourrait donner accès à un shell en www-data par exemple pourrait avec cet exploit mener à une compromission totale du serveur. Cette faille est donc loin d’être négligeable.
Exposition aux ondes : les résultats de l’enquête nationale de l’ANFR
04/01/2016
Le 04/01/2016 à 14h 38
La justice néo-zélandaise donne son feu vert à l’extradition de Kim Dotcom
23/12/2015
Le 23/12/2015 à 09h 18
C’est le moment de ressortir les classiques:
YouTubeÇa montre quand même le pouvoir du lobby de la musique et du cinéma US.
Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook
18/12/2015
Le 21/12/2015 à 09h 17
Ce qui sera difficile à défendre également c’est pourquoi la version du Ruby installée était dans une version connue pour être vulnérable. Pourquoi l’intrusion sur les instances Amazon n’a également pas été détectée ? Comment Wineberg a-t-il pu se connecter sur les serveurs via SSH ?
Bref tout semble indiquer que le niveau de sécurité d’Instagram laisse fortement à désirer. Alors certes il y a un manque d’éthique de la part de Wineberg mais une personne mal intentionnée ne se serait pas donnée la peine de prévenir avant d’entrer.
TNT gratuite : feu vert pour LCI, colère noire pour Alain Weill (BFMTV)
18/12/2015
Le 18/12/2015 à 09h 36
En parlant de LCI et de TF1 je vous invite à écouter ce podcast sur le scandale de la privatisation de TF1:http://www.franceinter.fr/emission-affaires-sensibles-du-mieux-disant-culturel-a…
[Interview] Interdiction des machines à voter : « On ne va pas lâcher »
04/12/2015
Le 07/12/2015 à 11h 44
C’est sur que à 8 personnes pour dépouiller 1000 bulletins c’est autrement plus long. En plus j’imagine que plus te le fais plus tu as de chance de faire des erreurs et donc de rallonger la durée du dépouillement. Après il appartient à chaque bureau de vote d’essayer de faire venir des gens pour le dépouillement. C’est sur que faire le dépouillement est assez ingrat mais c’est nécessaire pour le processus démocratique. Après je n’ai voté de dans des grandes villes on il est peut être plus facile d’avoir de gens présents pour dépouiller les bulletins (rien que par ce que le bureau de vote est généralement tout près du domicile).
Le 07/12/2015 à 11h 44
Doublon
Le 07/12/2015 à 11h 16
Nozalys a écrit :
Là aussi, c’est biaisé. 45 minutes c’est cohérent pour une petite commune de 200 habitants. Ya toujours 2 comptages indépendants. Et re-re-recomptage jusqu’à ce qu’il n’y ait plus d’erreur.
Pour une commune de 2000 habitant ça frise plutôt les 3 heures minimum post-scrutin.
Personnellement et pour avoir participé à de nombreux dépouillements ça ne m’as jamais pris plus d’une heure.
Déjà plus la commune est grande plus il doit normalement y avoir de bureaux de votes.
Je n’ai toujours fait qu’un seul comptage des votes. Les enveloppes sont sorties des urnes et mises par tas de 100. Chaque tas est assigné à une table de 4 personnes. La 1ère personne ouvre l’enveloppe et sort le bulletin de vote. Il donne le bulletin à la seconde personne qui lit à haute voix ce qui est marqué sur le bulletin. Les deux autres personnes ont chacun une feuille ou ils inscrivent les votes comptabilisés. Régulièrement on vérifie que les deux feuilles ont bien le même nombre de votes comptabilisés. A la fin du dépouillement des 100 enveloppes les quatre personnes signent les feuilles pour attester du bon déroulement du dépouillement.
La perte de temps est dans le cas de vote blancs ou nuls car il faut le faire constater par les scrutateurs du bureau de vote.
Il n’y a pas de recomptage car le compte est bon dès la première fois si on suit bien la procédure.
Pour dépouiller 1000 bulletins par exemples il suffit de 20 personnes (5*4 personnes) et que chaque table dépouille 200 bulletins ce qui va prendre grosso modo 1h si tout se passe bien.
Le 07/12/2015 à 11h 05
Le 04/12/2015 à 09h 32
Je ne vois aucun avantage qui rendrait utile les machines à voter. Selon moi.
Avantage:
Inconvénients:
En plus ce n’est même pas écologique, car les bureaux de vote avec des machines à voter ont également des urnes et des bulletins présents en cas de problème avec les dites machines.
Bref aucun avantage sinon gagner 45 minutes à la fin du scrutin et que des inconvénients de l’autre côté.
Next INpact : déjà 6 ans d’abonnement Premium et près de 6 000 abonnés
06/11/2015
Le 06/11/2015 à 09h 01
Le 06/11/2015 à 08h 58
Les aides de l’État je verrai plutôt ça comme les aides à la presse qui permettent de récupérer des fonds publics.
Je pense qu’une communication officielle sur le sujet serait de toute façon bienvenue ne serait-ce que pour rassurer la communauté NXI.
Le 06/11/2015 à 08h 48
Bravo à toute l’équipe de NXI qui a su innover pour rester attractive et proposer du vrai contenu journalistique et non des simples reprises de fil AFP.
Sinon petite question MarcRees, David_L est-ce que risquez d’avoir le même soucis que Médiapart concernant la TVA ou vous avez pris des précautions de votre côté ?
Merci
Chiffrement : le procureur de Paris critique l’intérêt « marginal » face aux enquêtes bloquées
13/08/2015
Le 13/08/2015 à 16h 23
Il semble que le procureur de Paris oublie qu’en France le fait ne de refuser de donner ses clés / mot de passe de déchiffrement dans le cadre d’une enquête judiciaire est passible de prison.
Article 434-15-2 du code pénal:
Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.
Même si on ne peut accéder au contenu on peut déjà envoyer quelqu’un en prison.
Plus généralement, si la seule preuve dans une enquête est un appareil chiffré c’est très mince et on peut toujours tenter d’arrêter la personne en flagrant délit une fois que celle-ci à tapé son code de déchiffrement ou tenter d’intercepter celui-ci.
La généralisation du chiffrement va juste empêcher les services de renseignement de faire de la surveillance de masse facilement et c’est surtout ça le fond du problème pour ces gens là.
Radiofréquences : peu de danger selon l’Anses, Robin des Toits déçu
15/10/2013
Le 16/10/2013 à 09h 06
Je ne sais pas si quelqu’un a déjà posté ce lien mais Canard PC Hardware avait fait en 2012 une enquête très intéressante sur la nocivité des ondes.
http://www.canardpc.com/pdf/CPCHW13.pdf (c’est à la page 69 du PDF)
Des Anonymous arrêtés suite au piratage du ministère de la Justice
06/10/2012
Le 06/10/2012 à 07h 31
Cette attaque DDOS aurait permis à au moins un pirate d’accéder au serveur du ministère et ainsi d’obtenir divers identifiants, permettant notamment d’entrer dans l’intranet du ministère.
Je doute fortement qu’une attaque DDOS (déni de service distribué) permette de s’introduire sur un serveur. Au plus ça peut tellement pourrir les logs que tu peux espérer te fondre dans la masse.
un fichier contenant près de 1500 courriels et mots de passe de fonctionnaires aurait été dérobé
Si un tel fichier existe c’est assez honteux