Cyber-criminalité et intelligence économique

[kikou92]

Bonjour à tous,

Certes, il existe déjà un post sur la sécurité informatique. Mon propos est plus large, d'où le nouveau sujet.

J'ai la chance d'avoir assisté à une conférence de la DCRI intitulée "cyber-criminalité et l'intelligence économique".
En voici les points essentiels, c'est très instructif, même s'il y a bcp de bon sens.

Pendant la séance, l'intervenant avait un simple ordinateur portable et, au bout de 10 minutes de conférence, il a dit : "Ca fait maintenant 10' minutes que je vous parle, voici ce que mon PC a réussi à récupérer dans la salle en utilisant des logiciels tous simples :
- Il y a 70 téléphones mobiles (avec le détail du nombre d'ipho*es, de gala*y machin, ainsi que les modèles...) et x Pc portables allumés
- Parmi eux, certaines modèles sont connus pour avoir des failles facilement exploitables
- J'ai identifié des réseaux bluetooth et wifi dont certains n'étaient pas protégés et j'ai récupéré ces infos (il a affiché certains numéros de téléphone des personnes, des IP et même des mots de passe...."
J'en passe et des meilleures, ça nous a tous calmé, surtout quand il a emprunté la clé usb d'un collègue pour lui pomper et lui véroler le contenu en quelques instants avant même que la clé apparaisse dans l'explorateur.


Voici les notes que j'ai prises :


. Types d'infos dans les entreprises
- Info "blanche" (80%) : info ouverte, TOUT ce qui est trouvable sur internet,
- Info "grise" (15%) : info confidentielle sanctuarisée sur intranet,
- Info "rouge" (5%) : info stratégique bunkerisée et réservée à des personnes nominatives
Les cybercriminels étudient l'info blanche, grenouillent pour évaluer la taille et l'intérêt des infos grises et rouges. Si ça vaut le coup, ils ont des méthodes de rapprochement progressifs des personnes ciblées pour obtenir l'info grise et rouge. Donc attention à l'info blanche !!
   
Qui sont ces personnes ?
- Les organisations nationales : Vatican, Chine, USA (NSA, CIA, FBI, NCIS...), MOSSAD

Rappel : le USA PATRIOT Act ("Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme") est une loi antiterroriste qui a été votée par le Congrès des États-Unis et signée par Bush le 26/10/2001. L'outil PRISM permet un accès total aux serveurs google, yahoo, apple, microsoft, twitter, facebook.
         
- Les Sociétés de Renseignement Privées
. Initialement et surtout américaines, la tendance mondiale est de les intègrer dans des sociétés d'avocat qui leur confère une protection légale de leurs données, ce qui explique que bcp de personnes (politiques sont ou veulent devenir avocats).
. Très utilisé par les grandes entreprises, elles permettent de travailler discrètement via un intermédiaire
. Pas d'évaluation  du nombre de ces sociétés en Chine car elles sont trop nombreuses.... Il faut partir du principe qu'il y a au moins chinois derrière tout industriel étranger qui pose le pied en Chine !


L'intelligence économique
. C'est différent de l'espionnage. Chaque item ci-dessous a été illustré avec des photos réelles et/ou des vidéos sur le terrain...Ce n'est donc pas de la paranoia.

- Exploitation d'infos récupérées facilement et directement:
 - simples questionnements de personnes chez soi, au resto, en salle de sport... ou de stagiaires (d'une facilité déconcertante si bien mis en scène)
 - Oreilles indiscrètes (faux passagers dans les transports avec des écouteurs, pauses café, clope...)
 - Ciblage des personnes portant leur badge hors entreprise
 - S'installer au bon endroit dans les bons transports : Avion Paris-Toulouse (aéronautique), train Paris-Cherbourg (nucléaire) en début/fin de semaine, Eurostar, Thalys (politique, économie)
 - Exploitation des étiquettes d'inventaire sur les PC : code barre, nom, sacoche..
 - Regards indiscrets sur les écrans non protégés par des films de confidentialité
 - Ecoutes officielles dans les taxis Chinois.
 - Exploitation des traducteurs gratuits en ligne (ils se sont généralisés et banalisés)
 - Exploitation des arrières-plans des photos.
 - Exploitation des déchets, yc les papiers broyés en bandelette
   
- Usurpation d'identité.
   - Exemple réel de "flash krack" :
   . préparation du terrain : ouverture d'un compte twitter et relayage de vrais infos fiables pour augmenter son "ranking"
   . envoi d'un mail à un journaliste avec une rumeur industrielle ou politique et un lien twitter
   . ouverture d'une pop-up, fausse évidemment, pour demander (et récupérer) le login/mdp twitter
   . le journaliste voit que le ranking est élevé et en déduit que l'info est fiable => il colporte la rumeur et tout s'enchaine...
   . exploitation du trading boursier haute fréquence pour tirer de l'argent à la baisse du titre concerné
   . exploitation du trading boursier haute fréquence pour tirer de l'argent à la remontée du titre concerné lors du démenti...

- Intrusion smartphone pour détourner les infos camera, GPS...
   
- Vol ciblé
   - Par distraction, à plusieurs, ce sont des pros.
   - Par technique   d'approche sur moyen/long terme : prise de contact, création de liens, connaissance des failles : Money (être redevable), Ideology (psychologie, Compromise, Ego), Compromise (mettre au grand jour les infos, le chantage)
   - Faux entretiens d'embauche
   - Utilisation de l'Ego démesuré des Français
   

Bonnes pratiques
- En voyage
   . Ne pas utiliser le coffre-fort de l'hôtel
   . Ne pas compter sur les cadenas de valise
   . Utiliser un ordinateur de voyage (station blanche) avec VPN, puis effacer par réécriture au retour avant les contrôles frontière (confiscation de PC...).

- Clefs USB
   . Ne pas mélanger d'infos de nature différentes : perso/boulot (sa femme en maillot de bain peut être considéré comme de l apormographie dans certains pays, et donc un motif de confiscation de la clef ou du PC)
   . Ne pas sous-estimer les programmes de copie automatique des données, yc données chiffrées, à l'insertion
   . Se rappeler du potentiel des virus et chevaux de troie : Key logger, vol de numéro de CB, Prise de main en ligne, Capture webcam, Capture data en continu
   . Utilisier plutôt des clefs avec container sécurisé (le cryptage peut être cassé tranquillement une fois les données copiées => empêcher la copie automatique) Ex : "kings*on datatraveler locker", testée et approuvée en séance avec la DCRI.

- Réseaux Wifi
   . Ne pas oublier qu'une simple box personnelle émet un wifi pouvant être capté jusqu'à plus de 100 km ! Il suffit d'avoir la bonne antenne
   . Un wifi personnel craqué, c'est le risque d'héberger à son insu du contenu illicite, pouvant être utilisé ensuite pour faire chantage
   . Sécurisation wifi : WPA2 EAS avec un vrai mot de passe (le WEP se craque en moins de 10' avec un logiciel autonome web, le WPA se craque en moins de 30' avec quelques outils web)

- Puces RFID et NFC (ex : badges PSA, cartes bleues)
   . Portée : RFID jusqu'à 100m. NFC : 10cm. Captable dans la rue, un train, un avion
   . Risque : Duplication de badges d'accès et usurpation d'identité, Piratage de moyens de paiement
   . Sécurisation : ex : porte badge/carte type cage de faraday en aluminium lorsqu'on ne l'utilise pas.

- Bluetooth
   . Penser à le désactiver dans les voitures et les smartphones lorsque pas utilisé (Risque de collecte d'infos pour recoupement ultérieur (MAC))
   . Penser à changer le nom des réseaux par défaut car le nom du device par défault permet d'exploiter les failles connues des modèles   

- Réseaux sociaux
   . De plus en plus de cambriolages sont préparés depuis internet (les gens disent qui et où ils sont, montrent leurs photos, vont faire du sport : Viadeo/linkedin, Copains d'avant, Google street, Application running, Facebook)
   . Detourage de photos pour malveillance, Manipulation de pdf
   . Facebook : Les conditions générales sont très explicites : rien n'est secret pour eux. Bien paramétrer son compte, penser aux impacts potentiels des infos que l'on publie.
   
- Smartphones
   . Se méfier des apps gratuites : près de 100% des apps prélèvent de l'info et la revendent sous une forme ou une autre.
   . Se rappeler que l'outil Prism pioche à sa guise dans les serveurs : MS, google, yahoo, facebook, youtube, skype => Utiliser des serveurs français permet de bénéficier des droits de la CNIL
   . Se rappeler que Google + Android + maps = on sait tout de vous
   . Se rappeler qu'un logiciel de craquage iphone se trouve à moins de 500 euros (moins de 4' pour craquer 4 chiffres, 50 h pour 6 chiffres, 165 jours pour 8 chiffres). La Keychain iphone est en clair et contient tous les mots de passe enregistrés
   . Les voleurs enlèvent la carte SIM après le vol pour empecher le blocage à distance. Dupliquer le contenu d'un iphone prend 40 minutes
         

- Mots de passe :
   . Il vaut mieux reconstruire votre mot de passe plutôt que de le retenir par coeur.
   . Il ne doit figurer dans aucun dictionnaire (langue, technique, sociétés...) et ne doit avoir aucun sens particulier.
   . Utilisez plus les lettres que les chiffres.
   . Diversifiez et mélangez l'ordonnancement des caractères selon leur type (minuscules, majuscules, chiffres).
   . Bannissez les mots de passe faciles à retrouver : nom des enfants, animaux, dates de naissance, surnom, du nom ou du rang du mois en cours, d’un incrément appliqué à une valeur constante (par exemple prénom01, prénom02, prénom03...), de répétitions telles que aaa, CCC, 333, etc., de suites de caractères telles que 1234, 9876, abcd, DCBA, etc..
   . Remplacer les a par des @, les i par des 1...

   . Quelques exemples :
   Ta25mE32 : mot de passe robuste (diversité chiffre/minuscule/majuscule) ;
   67je4moi : mot de passe moins robuste (diversité moindre) ;
   alexis1 : mot de passe très peu robuste (attaque par dictionnaire).
   Un moyen intéressant de se souvenir de son Mot de Passe RPI est de retenir une phrase courte dont chaque mot fournira un des caractères de votre mot de passe, comme par exemple : « Il était une fois trois petits cochons Roses » peut donner le mot de passe Ie1f3pcR
   . Gérer beaucoup de mots de passe : utiliser par exemple un préfixe unique fort (ex : Ie1f3pcR) puis ajouter-lui un suffixe propre au site concerné (ex : Ie1f3pcRfnac, Ie1f3pcRamazon:

- Liens à consulter pour aller plus loin
   www.Ssi.gouv.fr
   www.Securite-informatique.gouv.fr
   www.Mobilevole-mobilebloque.fr
   Www.Cnil.fr
   http://Http://info-familles.netecoute.fr
   www.Stopransomware.fr
   www.enisa.europa.eu/media/enisa-en-français/
   http://www.youtube.com/watch?v=F7pYHN9iC9I



A+

[AC]

Excellente sensibilisation aux précautions à prendre dans un monde de plus en plus informatisé.

Se rappeler que Google + Android + maps = on sait tout de vous

Et si vous avez un GPS activé dans votre smartphone ou votre voiture, il est probable qu'il enregistre tous vos déplacements et que le constructeur récupère ces données dès qu'il en a l'occasion (par radio, ou quand vous le connectez à un PC pour installer une mise à jour). Ça sert à améliorer la cartographie et les infos sur les bouchons. Ça a été prouvé pour au moins deux modèles d'appareils. Edit: C'est une fonction de bas niveau, indépendante des services de partage de la localisation sur les réseaux sociaux par exemple.

Conséquence: Google, Apple, Nokia, Garmin, TomTom, etc connaissent potentiellement la liste exhaustive des Français qui ont accès aux centrales nucléaires, aux sites militaires sensibles, au tarmac des aéroports, etc.

C'est vrai aussi depuis 20 ans pour les opérateurs de téléphonie mobile, mais ils sont soumis à une législation très stricte, et les données restent en France.

Gérer beaucoup de mots de passe : utiliser par exemple un préfixe unique fort (ex : Ie1f3pcR) puis ajouter-lui un suffixe propre au site concerné (ex : Ie1f3pcRfnac, Ie1f3pcRamazon

Pas d'accord. C'est hyper connu, donc le pirate qui récupère la base de données des login+password de la fnac en déduira automatiquement votre password chez amazon.

[DavidManise]

C'est vraiment une excellente synthèse, ça, gars.

Est-ce que tu me permets d'en faire un texte (qui sera signé du nom que tu veux) pour diffusion sur le blog du ceets ?

C'est vraiment de la bonne vieille survie.  Informatique pour le coup...

Ciao

David

[moss]

je vois qu'on a assisté à la même conférence

par contre, je pense qu'il y a une erreur sur la portée du wifi (à 100km)

il me semble qu'il est également précisé dans le speech de se méfier des clé usb offertes lors de conférence (contiennent souvent des malwares). l'idéal est de formater son pc portable quand on revient de l'étranger...

[AC]

par contre, je pense qu'il y a une erreur sur la portée du wifi (à 100km)

Pas d'erreur, le wifi porte à 100 m rien qu'avec l'antenne omnidirectionnelle minuscule d'un téléphone portable, alors imagine ce qu'un pirate motivé peut faire avec une antenne parabolique de 2 m de diamètre.
http://en.wikipedia.org/wiki/Long-range_Wi-Fi#Notable_links

[Bison]

Le wifi, ce n'est pas essentielement du "line of sight"?

[bilbo78]

Je n'ai malheureusement pas encore pu assister à une de ces conférence-sensibilisation. Je savais que c'était instructif et enrichissant, ce que tu confirmes. Comme tu le dis, il y a beaucoup de bon sens mais je sais que les démonstrations pratiques en scotchent plus d'un, même les plus hermétiques à la base.

Merci 

[lambda]

Le wifi, ce n'est pas essentielement du "line of sight"?

Salut!

- En dehors du contexte d'utilisation prévu (plutôt de la communication inter machines à courte distance, en milieu urbain, ou domestique...).
et
- en tenant compte uniquement du point de vue physique et "propagation des ondes électro-magnétiques":

vu les fréquences utilisées, 2.4 Ghz de mémoire, dans tous les cas, au moins plusieurs centaines de MHz, l'onde radio émis par un dispositif "wifi" aura un comportement de propagation proche de celui d'un faisceau lumineux optique.

en gros: propagation "en ligne droite", ce qui est un peu con comme façon de dire, mais en fait veut dire que le signal wifi ne peut pas profiter des phénomènes de propagation ionosphériques (rebonds) par exemple pour pouvoir aller au delà de l'horizon visible de la source, ou en d'autres mots, un récepteur situé en dessous de la ligne d'horizon visble de l'émetteur ne pourra pas recevoir ledit signal. donc oui Bison, c'est "line of sight".

Ce qui, si on se réfère au contexte d'utilisation, n'est pas un problème en soi...

Par contre en effet avec un système d'antenne directrice (antenne comprenant des éléments parasites réflecteurs et directeurs dans le sens le plus large (y'a un pacson de techniques et façon de faire...) ET une situation géographique ou l'émetteur serait suffisament haut placé pour avoir une ligne d'horizon la plus éloignée possible, ET une absence d'obstacle entre l'émetteur et récepteur, il reste tout à fait envisageable de faire de la communication longue distance sur plusieurs dizaines de km ou plus en "mode wifi"... c'est même pas une question de puissance en fait, tant que le ratio signal/bruit du récepteur reste suffisant...

Y'a eu des expériences intéressantes menées par la communauté radio-amateur/universitaire, entre autres, là dessus...

2 ou 3 références:

http://en.wikipedia.org/wiki/Long-range_Wi-Fi
http://www.slideshare.net/1ereposition/long-distance-wifi-trial
http://www.tomshardware.fr/articles/record-france-wi-fi,1-3087.html

à+,
Lambda

ps: désolé pour la parenthèse "technique" un peu HS, je l'avoue...  mais j'a vu la question de Bison qui m'a fait devenir tout dur... enfin c'est la question qui m'a fait devenir tout dur... 

[Phil67]

- Réseaux Wifi
   . Ne pas oublier qu'une simple box personnelle émet un wifi pouvant être capté jusqu'à plus de 100 km ! Il suffit d'avoir la bonne antenne

Ouch : ne confondons pas tout !

Pas d'erreur, le wifi porte à 100 m rien qu'avec l'antenne omnidirectionnelle minuscule d'un téléphone portable, alors imagine ce qu'un pirate motivé peut faire avec une antenne parabolique de 2 m de diamètre.
http://en.wikipedia.org/wiki/Long-range_Wi-Fi#Notable_links

Une box standard NE PORTE PAS à de telles distances : les records sont établis avec des récepteurs ET émetteurs boostés ET des antennes directionnelles ET des circonstances favorables (terrain, météo, environnement hertzien).

Le wifi, ce n'est pas essentielement du "line of sight"?

Oui, du moins dès qu'on quitte un peu le voisinage immédiat.


Au delà d'une certaine distance le signal sera forcément perturbé pas les obstacles physiques et surtout par tout le "brouillard numérique" ambiant. Le nombre très limité de canaux à se partager et le nombre de box dans la nature vont finir par brouiller son propre signal très rapidement.

Même avec une antenne type Alfa un peu boostée + réflecteur directionnel de chaque côté (réception ET émission) avec un émetteur au 4ème étage et un récepteur en champ libre je n'ai pas réussi à atteindre les 500m en ville : bâtiments (obstacles physiques) + une bonne centaine d'autres box qui perturbent.

[kikou92]

Est-ce que tu me permets d'en faire un texte (qui sera signé du nom que tu veux) pour diffusion sur le blog du ceets ?

Salut David,
oui, tu fais ce que tu veux, l'info est libre.

Pour la portée du wifi, je viens de relire mes notes, j'ai effectivement peut-être amalgamé un peu vite cette longue portée du wifi avec la perfo intrinsèque des box domestiques. Il devait peut-être parler de réseaux plus puissants en entreprise
Quoi qu'il en soit, merci pour avoir repositionné les ordres de grandeur sur cet item, c'est le principal.

Si vous avez des questions, j'y répondrai avec plaisir.

Bonus à voir :
. le coup de la valise avec le stylo : http://youtu.be/ADPQiQ0JBRs
. http://chine.aujourdhuilemonde.com/pekin-loeil-du-parti-rode-aussi-dans-les-taxis
. http://www.securite-informatique.gouv.fr/IMG/pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf

A+
Alexis

[Pit]

Même avec une antenne type Alfa un peu boostée + réflecteur directionnel de chaque côté (réception ET émission) avec un émetteur au 4ème étage et un récepteur en champ libre je n'ai pas réussi à atteindre les 500m en ville : bâtiments (obstacles physiques) + une bonne centaine d'autres box qui perturbent.

Là on est plus du des antennes Alfa un peu boosté, mais bien sur des antennes dédiées, genre http://www.radiolabs.com/products/antennas/2.4gig/2.4grid.php

Pit

ps: avec de tels jouets par contre, on peut oublier les limites de puissance émettrice... 

[Jco]

Bonnes pratiques

- Mots de passe :
   . Il vaut mieux reconstruire votre mot de passe plutôt que de le retenir par coeur. OUI
   . Il ne doit figurer dans aucun dictionnaire (langue, technique, sociétés...) et ne doit avoir aucun sens particulier.OUI
   . Utilisez plus les lettres que les chiffres. Utilisez des lettres minuscules et majuscules, des chiffres et des caractères spéciaux
   . Diversifiez et mélangez l'ordonnancement des caractères selon leur type (minuscules, majuscules, chiffres). OUI
   . Bannissez les mots de passe faciles à retrouver : nom des enfants, animaux, dates de naissance, surnom, du nom ou du rang du mois en cours, d’un incrément appliqué à une valeur constante (par exemple prénom01, prénom02, prénom03...), de répétitions telles que aaa, CCC, 333, etc., de suites de caractères telles que 1234, 9876, abcd, DCBA, etc.. OUI
   . Remplacer les a par des @, les i par des 1... NON (voir plus bas)

   . Quelques exemples :
   Ta25mE32 : mot de passe robuste (diversité chiffre/minuscule/majuscule) ;
   67je4moi : mot de passe moins robuste (diversité moindre) ;
   alexis1 : mot de passe très peu robuste (attaque par dictionnaire).
   Un moyen intéressant de se souvenir de son Mot de Passe RPI est de retenir une phrase courte dont chaque mot fournira un des caractères de votre mot de passe, comme par exemple : « Il était une fois trois petits cochons Roses » peut donner le mot de passe Ie1f3pcR
   . Gérer beaucoup de mots de passe : utiliser par exemple un préfixe unique fort (ex : Ie1f3pcR) puis ajouter-lui un suffixe propre au site concerné (ex : Ie1f3pcRfnac, Ie1f3pcRamazon:

Je suis d'accord avec ces recommandations, mais je recommande vivement la lecture de ces articles (en anglais malheureusement) :
 - http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/
 - http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Ces articles font froid dans le dos.
Le premier explique comment un journaliste (pas un pirate), avec des logiciels trouvable facilement, arrive à cracker grosso modo la moitié d'une liste de mot de passe.
Le second donne plus d'explications techniques, et démontre qu'avec des attaques par dictionnaire + substitution, on peut trouver des mots de passe estimés "compliqués". La recommandation de substituer des caractères (@ à la place de "a"), à mon sens, ne tient plus, car un pirate motivé passera outre (mais bon ca permet toujours de ne pas être dans les "low hanging fruits" qui se font ramasser au premier passage).

Ce que j'en retiens toutefois c'est que :
 - Nous autres humains sommes peu fiable à trouver un mot de passe réellement aléatoire
 - Un mot de passe efficace est un mot de passe "dur" à retenir (et ce sera de plus en plus le cas)
 - Un mot de passe (aujourd'hui) doit avoir au moins 12 caractères, des lettres (maj et min), des chiffres et si possible des caractères spéciaux.

En partant de ce constat, je recommande l'utilisation d'un "coffre fort" à mot de passe, du type KeePass.

Le "combo" keepass + addon Firefox "keefox" est vraiment efficace. Lorsque l'on doit rentrer un mot de passe sur un site, l'addon reconnait l'adresse, propose d'ouvrir le "coffre fort", puis renseigne directement le mot de passe (on a pas à le taper). Lorsqu'on s'enregistre sur un nouveau site, l'addon propose de retenir le nouveau mot de passe dans la base. On peut même générer un mot de passe directement depuis Firefox.

Cela permet d'avoir un mot de passe super costaud pour la base, et ensuite d'utiliser le générateur de mot de passe (qui lui est "vraiment" aléatoire) pour créer les mots de passes restants. Le tout est très facile d'utilisation.

Evidemment, cela comporte des inconvénients : si l'accès à la base (ou à la machine lorsque la base est ouverte) est compromis, c'est tous vos mots de passe qui sont accessibles (donc faut éviter les keyloggers, etc...). Autre soucis, on ne peut pas facilement se souvenir des mots de passe, on est donc "contraints" d'avoir constamment accès à cette base de donnée (mais on peut contourner le problème avec dropbox, et il existe aussi des clients keepass pour android par exemple - même si du coup on ouvre une "nouvelle porte" si le téléphone n'est pas sécurisé).

C'est tellement dommage que ce système ne fonctionne "que" pour windows ! (En effet cela requiert Keepass2, qui n'est pas encore porté sous Linux. Les portages sous linux de keepass -keepassX par exemple- ne concernent pour le moment que la version 1 de keepass, et ne gèrent pas les plugins nécessaires pour faire fonctionner keefox. Une solution est d'utiliser Keepass2 avec Wine).

Bref, la sécurité est un processus et un compromis, difficile de trouver le juste milieu.

Pour ma part, j'utilise KeePass (keepassX sous linux), mais je conserve la technique "racine de mot de passe un peu dur à trouver" + "extension en fonction du site" pour les sites auxquels je suis appelé à me connecter souvent (ou alors en dehors de chez moi, par exemple facebook, linkedin, amazon...). Il s'agit evidemment d'un compromis sécurité / facilité d'utilisation.

[Dalz]

Tiens, c'est le cours que je donne à mes étudiants XD... Je fais aussi intervenir la DCRI, ça marche toujours bien.

Attention, sur le mot de passe je suis pas d'accord, un mot de passe très facile à retenir peut être un casse tête informatique.

Tu aimes Brel, mets comme mot de passe une chanson avec ta ville de naissance, c'est TRES dur informatiquement, hyper simple humainement :

Ex : Dans le port de Cherbourg, y'a des marins qui chantent

Avec les ponctuations, espaces et majuscules, ça fait un mot de passe terrible à craquer, mais trop simple à retenir.

[AC]

je n'ai pas réussi à atteindre les 500m en ville : bâtiments (obstacles physiques) + une bonne centaine d'autres box qui perturbent.

C'est déjà pas mal. Maintenant, imagine qu'on te donne le budget de la DCRI ou d'un service étranger d'espionnage économique, un pylône au sommet du Mont Valérien avec sa vue imprenable sur Paris et sur La Défense, des locaux en haut de la Tour Montparnasse, 1 kg de charge utile sur un ballon météo, une matrice d'antennes synchronisées réparties sur plusieurs km, etc.

Bon, inutile de se focaliser sur le wifi. Dès lors qu'on a activé WPA2 AES256, et qu'on a vérifié que le smartphone ne sauvegarde pas la clé chez Google ou Apple, le principal risque est de se faire pister par l'adresse MAC.

le coup de la valise avec le stylo : http://youtu.be/ADPQiQ0JBRs

C'est décidé, je ne prendrai plus jamais l'avion 

[Karma]

J'ai aussi assisté à cette conférence.
Une information qui m'avait interpellé aussi, c'était au sujet des imprimantes.
Les imprimantes ont des disques pour enregistrer les documents qu'on leur envoie à imprimer. Si on récupère ces disques, apparement il est possible de retrouver tout les dosuments qui ont été imprimé.
Sans donner les noms, ils disaient que de grosses boites avaient perdu des infos par ce biais là parce que les sous-traitants chargés des imprimantes ne détruisaient pas correctement les disques lorsqu'ils changeaient les imprimantes. C'est tout con mais il faut y penser.

[Phil67]

Là on est plus du des antennes Alfa un peu boosté, mais bien sur des antennes dédiées, genre http://www.radiolabs.com/products/antennas/2.4gig/2.4grid.php

On est bien d'accord : cela ne concerne donc pas la box Orange / Free / SFR de la famille Michu hackée par des vilains pirates à 10km.

C'est déjà pas mal. Maintenant, imagine qu'on te donne le budget de la DCRI ou d'un service étranger d'espionnage économique, un pylône au sommet du Mont Valérien avec sa vue imprenable sur Paris et sur La Défense, des locaux en haut de la Tour Montparnasse, 1 kg de charge utile sur un ballon météo, une matrice d'antennes synchronisées réparties sur plusieurs km, etc.

Le signal de la box Michu sera rapidement brouillé par les autres box en ville : tout le monde ou presque a le WiFi actif sur sa box et il n'y a que 13 canaux à se partager. Même en numérique il y a des limites surtout que le protocole est optimisé pour un usage de proximité sans collisions de signaux. Arriver à reconstituer à distance un trafic isolé dans le gloubiboulga numérique capté au-dessus de Paris relève alors de l'exploit.

De plus en zone urbaine il est quasiment impossible aux vilains hackers de reconnaitre le signal WiFi de la famille Michu de celui de ses voisins (à condition évidemment de lui donner un nom aléatoire et non pas WIFI_MICHU_2EME_ETAGE_5_RUE_DU_GENERAL_DE_GAULLE). Ils devront donc se poster à proximité pour écouter tous les WiFi du voisinage et les cracker 1 par 1 avant de tomber sur le bon !


La situation n'est évidemment pas la même si la famille Michu vit dans un bâtiment isolé et directement visible à 1km à la ronde (même dans ce cas il est possible de détecter des tentatives d'intrusion avant qu'elles n'aboutissent).


Toutes ces considérations ne sont évidemment valables que pour des hackers "privés", pas pour des services de renseignement qui pourront plus probablement s'introduire directement via des backdoors dans les box (qui a audité le code qui tourne dans toutes nos box ?)...

[Pit]

On est bien d'accord : cela ne concerne donc pas la box Orange / Free / SFR de la famille Michu hackée par des vilains pirates à 10km.

Ben si justement, une antenne directionnelle suffisamment puissante permet de se connecter à un réseau wifi "normal".

Concernant les interférence en centre ville, on est bien d'accord. Là où ce genre de dispositif est intéressant, c'est sur les entreprises implentées en ZI spacieuses ^^. Là on sort du cadre "protection personnelle" (donc HS), mais cela reste techniquement possible.

Pit

[Jco]

Attention, sur le mot de passe je suis pas d'accord, un mot de passe très facile à retenir peut être un casse tête informatique.

Tu aimes Brel, mets comme mot de passe une chanson avec ta ville de naissance, c'est TRES dur informatiquement, hyper simple humainement :

Ex : Dans le port de Cherbourg, y'a des marins qui chantent

Avec les ponctuations, espaces et majuscules, ça fait un mot de passe terrible à craquer, mais trop simple à retenir.

Je suis d'accord avec toi...

Je cite quand même l'article que je donne en référence :

"By doing hybrid attacks, I'm getting new ideas about how people build new [password] patterns. This is why I'm always watching outputs."

The specific type of hybrid attack that cracked that password ["momof3g8kids"] is known as a combinator attack. It combines each word in a dictionary with every other word in the dictionary. Because these attacks are capable of generating a huge number of guesses—the square of the number of words in the dict—crackers often work with smaller word lists or simply terminate a run in progress once things start slowing down. Other times, they combine words from one big dictionary with words from a smaller one. Steube was able to crack "momof3g8kids" because he had "momof3g" in his 111 million dict and "8kids" in a smaller dict.

"The combinator attack got it! It's cool," he said. Then referring to the oft-cited xkcd comic, he added: "This is an answer to the batteryhorsestaple thing."

Le Hacker interrogé dans l'article explique donc qu'une approche combinatoire permet de lutter contre les longues phrases de mots communs. Cette approche, rendue célèbre par le comic XKCD mentionné ci dessus, explique qu'une longue phrase de mots communs ("battery horse staple correct") est un meilleur mot de passe qu'un mot de passe court compliqué à retenir ("Troub@dour123").

Ici "batteryhorsestaplecorrect" est équivalent à "Dans le port de Cherbourg, y'a des marins qui chantent".

Donc certes c'est plus efficace, mais malheureusement les attaques de plus en plus perfectionnées auront bientôt raison de cette approche.

Un PC qui génère un mot de passe aléatoire aura toujours plus d'entropie qu'un humain qui crée un mot de passe à partir d'une longue liste de mots communs (et présents dans le dictionnaire).

[musher]

J'ai assisté il y a 5 ans au même type de conférence avec Orange Business et l'ancêtre de la DCRI.
Leur démo vous laisse assis. En 1 journée avec le nom et le prénom et la société où on travaillait (fiche d'inscription au stage), il a récupéré le mot de passe de la boite pro de 30 % des participants. Et les réseaux sociaux étaient à leur début.

Pour protéger un ordinateur portable, ils nous conseillaient d'éteindre tous les Wirless quand on en a pas besoin (WIFI, BT, 3G, IR...) et l'idéal, c'est un interrupteur physique qui coiupe l'alimentation électrique des cartes Wirless comme sur le CF-19 de Panasonic. (mode furtif) (en plus, ça rallonge l'autonomie)

D'éviter d'avoir des périphériques de saisie sans fil (clavier ou souris sans fil).

De désactiver la détection sur les ports USB quand on s'en sert pas, dans la table de registre.
On créé un fichier usb_off.reg avec un raccourci en mode admin sur le bureau

Code: [Sélectionner]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004On peut aussi le lancer au démarrage pour pas oublier.

Et on crée un autrte fichier usb_on.reg

Code: [Sélectionner]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
qu'on planque sur le DD.

Comme ça même si quelqu'un arrive à détourner votre attention,  il n'aura pas le temps de réactiver la détection.

Ca permet quand même d'utiliser ses propres périphériques USB mais la détection de nouveaux périphériques USB est bloqué.

Si vraiment, on a des infos qui craignent, avoir un ordinateur avec disque dur amovible (comme le CF-19) et on se déplace avec l'ordi et le DD à des endroits différents. Si le disque dur utilise un mode qui le rend visible car par l'ordi qui l'a crypté, l'un sans l'autre sert à rien. 

Pour le WIFI, 100 km je sais pas mais Numéo, Ozone et d'autres FAI propose un accès à internet en WIFi sur plusieurs dizaines de kilomètres en vue directe avec des antennes du commerce uni directionnel.

[Jco]

J'ai une question par rapport à "Google + Android + Maps" = on sait tout de vous.

J'ai lu quelque part que la meilleure façon de "sécuriser" son téléphone Android était de :
 - "rooter" son téléphone (permettre un accès total au téléphone)
 - Installer une "ROM" alternative (par exemple CyanogenMOD)
 - Ne pas installer le pack d'applications Google (Gmail, Maps, etc...)

Est-ce que vous avez des infos la dessus ?
Est ce que lors de la conférence, la DCRI a donné des pistes à ce sujet ?

Par avance merci.

[musher]

J'ai aussi assisté à cette conférence.
Une information qui m'avait interpellé aussi, c'était au sujet des imprimantes.
Les imprimantes ont des disques pour enregistrer les documents qu'on leur envoie à imprimer. Si on récupère ces disques, apparement il est possible de retrouver tout les dosuments qui ont été imprimé.
Sans donner les noms, ils disaient que de grosses boites avaient perdu des infos par ce biais là parce que les sous-traitants chargés des imprimantes ne détruisaient pas correctement les disques lorsqu'ils changeaient les imprimantes. C'est tout con mais il faut y penser.

Dans la conférence que j'ai suivi, il y a 5 ans, ils nous disaient que les DSI (ou le responsable informatique) devaient enlever les disques durs de tous les périphériques avant de les faire recycler. Ils nous ont montrer une vidéo qu'ils avaient tourner en Inde ou on voyait une montagne de disque durs à vendre sur les marchés et des sociétés françaises se sont fait voler des projets de brevet par leur concurrent qui avait soudoyer la boite indienne qui recyclait les ordis.

Chez nous, je récupère les disques, poser sur un IPM et un coup de merlin dessus pour éclater les plateaux et les morceaux dans 2 déchéteries différentes.

[kikou92]

J'ai une question par rapport à "Google + Android + Maps" = on sait tout de vous.

Est ce que lors de la conférence, la DCRI a donné des pistes à ce sujet ?

Par rapport à cet item, il nous a montré sur son propre compte gmail que, mal configuré, maps enregistrait l'historique de tes déplacements via les infos du smartphone qui réplique régulièrement les mails par exemple (connexion gmail-maps). Il en ressort une carte maps avec tous tes déplacements sur plusieurs mois et, surtout, une déduction automatique de ton domicile et de ton travail !! en corrélant les horaires, les répétitions de déplacements et de lieux.
Et enfin il te sort des stats : vous passez x % de votre journée à tel endroit qui est manifestement votre lieu de travail et tel endroit qui est manifestement ton domicile...

http://www.ya-graphic.com/2011/04/google-maps-android/

Comme ton smartphone te suit partout, il n'y a pas de difficulté majeure, même pour moi, de déduire que tu as des enfants car tu vas tous les matin à 8h30 à l'école, que tu fais tel sport tel jour à tellle heure... que tu as une personne de ton entourage malade ou dans une maison de retraite...... Dis-moi où tu vas, je te dirai qui tu es !
D'où l'importance de bien paramétrer ses comptes !


Enfin, je suis content de voir que beaucoup d'entre nous ont bénéficié de cette conférence de la DCRI qui, comme ils l'expliquent au début, fait partie de leur mission
.
A+

[Jco]

Par rapport à cet item, il nous a montré sur son propre compte gmail que, mal configuré, maps enregistrait l'historique de tes déplacements via les infos du smartphone qui réplique régulièrement les mails par exemple (connexion gmail-maps).

http://www.ya-graphic.com/2011/04/google-maps-android/

D'où l'importance de bien paramétrer ses comptes !

C'était exactement le sens de ma question, d'un point de vue "opérationnel" : comment dois je configurer mes comptes pour éviter cela ?

J'ai suivi le lien que tu mentionnes, qui renvoie vers https://www.google.com/latitude/b/0/history, qui indique :

Google Latitude was retired on August 9th, 2013. Products retired include Google Latitude in Google Maps for Android, Latitude for iPhone, the Latitude API, the public badge, the iGoogle Gadget, and the Latitude website at maps.google.com/latitude.

What does this mean for me?

You are no longer able to share your location using Latitude.
We haven’t included Latitude as a feature in the latest version of Google Maps for mobile on Android and you can no longer see Latitude for iPhone on the App Store.
Your list of friends on Latitude is no longer visible. You are no longer able to see or manage friends. Existing friends will no longer see your location in Google Maps for mobile on Android, Latitude for iPhone, the public badge, the iGoogle Gadget, and the Latitude website at maps.google.com/latitude, if you continue to use these products.
While location sharing is no longer possible with Latitude, there are still actions you can take with your location information:

Share using Google+
You can share your location with your friends on Google+ using the Google+ Android app. The ability to share your location on Google+ on iOS will be coming soon.
Control Location Reporting
If you only used Location Reporting for Latitude sharing, your Location Reporting will be disabled. You can enable Location Reporting afterwards if you’d like to turn it on for location sharing via Google+, Location History, or other uses.
Control Location History
If you use Location Reporting and have Location History enabled, your location data will continue to be recorded to your Location History. You can view and manage Location History data on the Location History dashboard.

En cliquant sur ce dernier lien en effet, on arrive sur un google map sensé vous montrer vos déplacements. L'onglet "Dashboard" permet de configurer le partage de localisation. Chez moi, ce n'est pas activé.

Est ce encore d'actualité ?

J'ai tout de même désactivé, dans mon téléphone, l'option "permettre à Google de partager vos données de localisation pour améliorer les recherches" (dans "Paramètres > localisation").

[moss]

Ben si justement, une antenne directionnelle suffisamment puissante permet de se connecter à un réseau wifi "normal".

ben non. une antenne avec un gain important te permettra, au mieux, d'écouter le signal wifi, et si le chiffrement est faible de récupérer des infos. mais ça ne te permet pas de te connecter, puisque justement l'antenne de la box ne sera pas suffisamment sensible pour entendre la réponse

c'est un peu le principe de certaines offre d'adsl par satellite où tu reçois les infos par la parabole, et tu les renvoies par un modem téléphonique à bas débit.

le wifi long distance est différent dans le sens où les antennes des deux extrémités sont particulières.

[musher]

Selon l'article, cette fonction n'est pas activée par défaut ?

Normalement, la géolocalisation n'est pas possible si le GPS du téléphone est éteint (comme pirater un smartphone via le wireless si le WIFI et la BT sont éteint).

Les tests qu'on a fait pour la géolocalisation, en utilisant la triangulation des antennes GSM, (GPS et WIFI du smartphone éteints) via la fonction d'HTML5 sur une page web sont loin d'être probant même en ville.