Bonjour,

Les 6 et 7 novembre derniers, c'est déroulé à Québec le Hackfest (hackfest.ca), il s'agit de deux journées de conférences et de rencontres entre passionnés et spécialistes en sécurité informatique.

J'étais bien évidemment présent comme les 4 dernières années. Je vais dans quelques jours poster un "rapport" sur les éléments que j'ai retenus de ces deux journées.

J’en profite aussi pour annoncer la possibilité qu'un coauteur me rejoigne sur le site pour encore plus d'articles et de tutoriels.

Je vous dis donc à bientôt.

 <p>Voici un petit article rapide pour démontrer que l'utilisation de mot de passe complexe offre une bonne protection pour la majorité de vos identifiants.</p>
<p>Je ne réécrirais pas un autre article qui vous donnera les 10 mots de passe les plus utilisés sur tel ou tel grand site web, mais plutôt des outils vous permettant de vérifier et de générer des mots de passe sécuritaires.</p>
<p>Pour commencer, voici un premier outil offert par Microsoft pour contrôler la qualité de votre mot de passe : <a style="line-height: 1.3em;" href="/https://www.microsoft.com/fr-fr/security/pc-security/password-checker.aspx" target="_blank">https://www.microsoft.com/fr-fr/security/pc-security/password-checker.aspx</a><span style="line-height: 1.3em;"> Si votre résultat est </span><span style="background-color: #ff4545; color: #000000; font-weight: bold; line-height: normal; text-align: center;">Weak</span><span style="line-height: 1.3em;"> pas de doute vous devez le changer si vous avez </span><span style="background-color: #ffd35e; color: #000000; font-weight: bold; line-height: normal; text-align: center;">Medium</span><span style="line-height: 1.3em;">, je vous conseille de le complexifier avec un </span><span style="line-height: 1.3em;">caractère</span><span style="line-height: 1.3em;"> spécial par </span><span style="line-height: 1.3em;">exemple. Enfin si le résultat est </span><span style="background-color: #3abb1c; color: #000000; font-weight: bold; line-height: normal; text-align: center;">Strong</span><span style="line-height: 1.3em;">, ou </span><span style="background-color: #3abb1c; color: #000000; font-weight: bold; line-height: normal; text-align: center;">BEST</span><span style="line-height: 1.3em;">, vous disposez d'un mot de passe sécuritaire.</span></p>
<p>Avoir un mot de passe sécuritaire suffit'-il? En fait non, car il faut aussi s"assurer qu'il ne puisse être décodé rapidement. Il existe sur internet une multitude de sites web qui vous proposent de décoder des hash MD5, SHA1 etc. La plus part des sites gratuits fonctionne grâce à une basse de donnée de mot de passe en clair associé à leur hash, mais certains permettent d'utiliser un calculateur pour décoder le mot de passe moyennant quelques dollars. Par exemple si votre mot de passe coté en MD5 est : 161ebd7d45089b3446ee4e0d86dbcf92, une simple recherche Google ou dans un index permet immédiatement de découvrir que votre mot de passe est "P@ssw0rd", donc si votre mot de passe complexe est disponible dans une base de données sur internet il serra très facile et rapide de retrouver le mot de passe original si le hash est volé. Je vous laisse chercher les hash de vos mots de passe sur internet afin de découvrir s'ils sont enregistrés dans les bases de données.</p>
<p>Et pour finir voici quelques outils pour générer un mot de passe aléatoire complexe, pour la génération en ligne je vous recommande le célèbre <a href="/https://www.random.org/passwords/" target="_blank">https://www.random.org/passwords/</a>. Pour les utilisateurs de Mac, saviez-vous que OSX permet la génération de mot de passe complexe et facilement mémorisable? Pour ce faire, allez dans "Trousseau d"accès" ou "Keychain" en anglais. Vous le trouverez dans Application &gt; Utilitaitres.</p>
<p>Une fois l'outil ouvert cliquez sur le petit + en bas ou faites ⌘+N, une fenêtre s'ouvre et vous pourrez cliquer sur la clé à droite du champ du mot de passe : <img style="line-height: 1.3em;" src="/images/Capture dcran 2014-02-02  19.43.15.png" alt="" border="0" /></p>
<p>Une autre fenêtre "Assistant mot de passe" s'ouvre, ici vous pourrez générer des mots de passe selon plusieurs méthodes, le type "Mémorisable" est très utile, car il vous permet de crée des mots de passe aléatoires, sécuritaires et faciles à se souvenir.</p>
<p><img src="/images/Capture dcran 2014-02-02  19.52.16.png" alt="" border="0" /> </p>

Des systèmes de sécurité biométriques, on commence à en voir apparaître dans notre vie. Mais cette nouvelle façon de contrôler votre identité est elle vraiment si inviolable ?

Voici un résumé d'un article publié par lapresse.ca:

Plusieurs médecins d'un hôpital de Sao Paulo sont parvenus, pour certains pendant plusieurs années, à dissimuler leurs absences grâce à des copies de leurs doigts en silicone que des collègues complices passaient dans les contrôleurs biométriques de l'établissement, a rapporté la presse locale.

La chaîne de télévision brésilienne Globo a diffusé les images accablantes d'un médecin enregistrant son entrée, puis celle de deux autres médecins avec des répliques de leurs doigts en silicone, dans un hôpital de Vasconcelos, dans la région métropolitaine de Sao Paulo.

Ceci nous montre qu'il leur a été facile de contourner le système de contrôle de présence, mais des systèmes identiques sont souvent utilisés pour sécuriser des accès critiques. Donc le relevé d'empreinte et la peau en silicone que l'on retrouve dans les films d'espionnage, c'est pas que de la science-fiction. 

Dans cette situation on ne parle que d'une empreinte digitale, en utilisant des systèmes plus efficaces comme la détection de chaleur simultanée, ou en utilisant l'empreinte des vaisseaux sanguins de la paume de la main, on peut complexifier l'utilisation d'une copie du membre. Et ici les propriétaires des doigts étaient complices de la fraude, c'est évidemment plus compliqué de construire un faux doigt sans que son propriétaire soit complice.

Je ne m'y connais pas vraiment en biométrie, mais je pense pas que les systèmes de contrôle basé uniquement sur les empruntes digitales, la reconnaissance vocale ou faciale soit vraiment plus sécuritaire qu'un mot de passe fort sur un système protégé contre le brute-force par un timer. 

Un mot de passe volé peut être changé, mais pas un doigt ou une tête. Cependant plus on combine de technique d'authentification plus il serra difficile de passer au travers. Je pense notamment que c'est plus sécuritaire d'utiliser la reconnaissance des vaisseaux sanguins de la paume, mais avec détection de chaleur. On peut même y ajouter un scanneur d'iris pour le rendre encore plus sécuritaire.

Mot de passe ou biométrie ?

Même si la biométrie est plus difficile à contourner, je pense qu'un mot de passe fort changé régulièrement serra moins couteux et plus efficace qu'un système biométrique. De toute façon dans les deux cas la faille se situe se situe toujours au niveau de l'humain.

 

Bonjour à tous, 

La semaine prochaine aura lieu le BSide à Québec (31 mai et 1 juin) : http://bsidesquebec.org

Au programme: 2 jours de conférences en sécurité, compétition Capture the Flag (CtF), Lock Picking, réseautage, beaucoup de plaisir et plus encore! 

Je serais présent les deux journées, si vous voulez participer on se verra sur place.

 

 <p>Ce matin le journal <a href="/http://www.lapresse.ca/actualites/quebec-canada/politique-canadienne/201303/08/01-4629320-nouveau-guide-du-scrs-gare-aux-espions-a-letranger.php" target="_blank">lapresse.ca</a> à publié un très bon article sur les différentes techniques d'espionnage utilisés par les pays en voie de développement.</p>
<p>Voici cet article:</p>
<table border="1">
<tbody>
<tr>
<td>
<p><strong>Fouille de chambre d'hôtel, interception des courriels, piège sexuel, filature, clé USB piégée, les services secrets étrangers ne lésinent pas lorsqu'il s'agit de voler les secrets détenus par des visiteurs considérés comme des cibles de choix. Devant cette menace croissante, le Service canadien du renseignement de sécurité (SCRS) vient d'éditer un livret de directives à l'intention des fonctionnaires fédéraux pour qu'ils évitent de tomber dans les nombreux pièges qui les guettent hors de nos frontières.</strong></p>
<p>«En URSS, ce n'est pas vous qui regardez la télévision, c'est la télévision qui vous regarde.» Cette blague qui circulait au temps de la guerre froide tirait son origine du fait que tous les étrangers en visite en URSS étaient forcés de loger dans des hôtels réservés à leur intention. Des hôtels où leurs moindres faits, paroles et gestes étaient épiés par le KGB grâce à des procédés électroniques, et aussi par des employés à qui rien n'échappait.</p>
<p>Cette pratique n'a pas disparu avec la chute du mur de Berlin. Elle a évolué avec la multiplication des technologies. Et elle n'est plus le monopole de la Russie.</p>
<p>On mesure l'ampleur de cette menace et sa diversité à la lecture des Directives de sécurité sur les voyages à l'intention des fonctionnaires fédéraux, livret d'une trentaine de pages rédigé par le SCRS et obtenu en primeur par La Presse. </p>
<p>Ce guide, écrit en avant-propos le patron du Service canadien du renseignement de sécurité (SCRS), Richard B. Fadden, «pourrait aussi servir aux gens d'affaires» qui se rendent «dans les pays qui collectent de manière agressive des renseignements étrangers». Aucun nom de pays n'est cité toutefois. </p>
<p>Qui dit agressif dit vol par effraction, écoute sauvage, filature, etc., ou des méthodes plus subtiles comme le recours à des «concubines» pour faire tomber des hommes dans un pot de miel, ou encore la flatterie.</p>
<p>«Nos fonctionnaires commencent à peine à se rendre compte du danger, note Ray Boisvert, ex-directeur adjoint du SCRS et actuel PDG d'ISEC Integrated Strategies. Mais seule une partie des membres du gouvernement se réveillent et uniquement lorsqu'ils voyagent dans certaines parties du monde. Ils n'ont pas compris que tous les pays, surtout les économies émergentes, et toutes les entreprises cherchent à être plus compétitives.»</p>
<h3>Timidité et malaise</h3>
<p>Les officiers de liaison du SCRS rencontrent aussi de temps en temps les gens d'affaires dans le cadre de séances d'information d'ordre général sur la sécurité nationale. Pas question, toutefois, de transmettre des renseignements à ces acteurs du secteur privé, nous dit-on.</p>
<p>Le mandat du SCRS, fondé sur sa loi de 1984, qui le confine notamment dans un rôle de conseil du gouvernement du Canada et d'information sur les menaces qui visent la sécurité et les intérêts du pays, l'empêcherait d'être plus proactif dans ses échanges avec le secteur privé et les milieux d'affaires, déplorent les experts que La Presse a interrogés. Ces échanges seraient donc plutôt timides.</p>
<p>Rien à voir avec le MI5 britannique, qui distribue par exemple un mémo aux gens d'affaires qui se rendent en Chine. Ou la Direction centrale du renseignement intérieur (DCRI) française qui donne des cours de sécurité informatique dans les grandes écoles aux futurs cadres et fonctionnaires. Toujours en France, l'Agence nationale de la sécurité des systèmes d'information a mis en ligne un passeport de conseils aux voyageurs semblable en partie à celui du SCRS.</p>
<p>«En matière de contre-espionnage, la meilleure défense, c'est la prévention. Le Canada est vraiment en retard, car les chefs d'entreprise sont plus souvent victimes d'espionnage que les hauts fonctionnaires», déplore Michel Juneau-Katsuya, ancien membre du SCRS aujourd'hui PDG de la firme-conseil Northgate Group. </p>
<p>À ces contraintes s'ajouterait un «malaise» canadien devant le monde du renseignement, considéré comme «un sale boulot», et la peur des autorités d'établir clairement la menace «pour ne pas offenser les hôtes du pays ou les partenaires étrangers», constate Ray Boisvert.</p>
<p>Pourtant, il y a plusieurs années, de tels échanges existaient, jusqu'à ce que le chien de garde du SCRS, le Comité de surveillance des activités de renseignement de sécurité (CSARS), grogne. Le SCRS avertissait les entreprises qui étaient des cibles potentielles. En échange, à leur retour de l'étranger, elles partageaient leurs observations. Un «donner pour recevoir» classique. «C'était un bénéfice mutuel», estime Ray Boisvert.</p>
<p>«Les intérêts du Canada ne se limitent pas à son gouvernement, déplore aussi Michel Juneau-Katsuya. Si l'on attend pour adapter la loi aux menaces contemporaines, nous nous ferons laver de A à Z.» </p>
<h3>NEUF PIÈGES À ÉVITER</h3>
<h3> Avant de partir</h3>
<p> «La collecte d'informations commence avant même la réservation de vos vols et de vos chambres d'hôtel», avertit le SCRS dans sa brochure antiespionnage. Et ce sont les demandes de visa de plus en plus détaillées, et parfois truffées de questions «inquisitrices» sur la famille du demandeur ou l'emploi occupé, qui constituent une vraie mine de renseignements pour les services secrets des pays concernés. «Les données fournies peuvent être utilisées pour déterminer si vous êtes une bonne cible [...] et permettre d'établir un très bon premier portrait.» Malheureusement, il est impossible de se soustraire à cette étape si l'on souhaite obtenir le visa souhaité. Méfiance aussi à l'égard des agents de certaines compagnies aériennes.</p>
<h3> Aéroport étranger</h3>
<p>Si vous avez été identifié comme une cible, soyez certain que vous serez pris en charge dès votre arrivée. «Présumez que, dans de nombreux pays, vous ferez l'objet d'une filature», dit le SCRS. Vos bagages auront peut-être aussi été fouillés. Attention aussi si les douanes locales vous soumettent à une seconde inspection, signe d'un «intérêt hostile», qui «peut servir de prétexte pour saisir ou copier vos fichiers». La biométrie, technique utilisée à l'origine pour traquer les criminels qui voyagent sous différentes identités, est aussi employée par les services de renseignement adverses, à des fins d'espionnage. «Encore une fois, cette situation peut poser de grands problèmes si vous occupez un poste sensible. [...] Dans certains pays, les mesures biométriques sont prises clandestinement grâce à une caméra de télévision en circuit fermé.»</p>
<h3>Hôtel</h3>
<p>Le lieu de tous les dangers, selon les services de renseignement occidentaux. Le réseau Wi-Fi, le coffre-fort, la poubelle, la femme de ménage, les caméras de surveillance, la menace est partout. Ajoutons à cela les chambres d'hôtel «sonorisées», c'est-à-dire truffées de micros et de caméras, réservées aux cibles avec la complicité de la direction de l'établissement en question. Il faut être méfiant en particulier près des aéroports. On peut aussi mener une «intrusion» par «effraction» que la direction de l'hôtel ou les autorités locales tenteront «délibérément» de faire passer pour «une activité criminelle», prévient le SCRS. En 2010, le PDG de la China Eastern Airlines, en visite chez Airbus à Toulouse, a lui-même surpris trois «cambrioleurs» des services secrets français (Direction générale de la sécurité extérieure) à l'oeuvre dans la chambre de son palace.</p>
<h3>Contacts</h3>
<p>Le MI5 britannique a déjà mis en garde les gens d'affaires qui se rendent en Chine contre la tactique qui consiste à amadouer et à flatter l'ego de visiteurs étrangers. Cette «amitié» et cette «hospitalité» cachent probablement une opération de «dépistage» ou «Talent Spotting», pour déterminer si la cible détient des secrets intéressants, ou de «subtilisation», pour lui «soutirer subtilement des informations» au cours d'une «conversation qui semble inoffensive», prévient de son côté le SCRS. On parle aussi de la méthode de l'aspirateur si ces renseignements sont ajoutés à «d'autres obtenus de collègues» afin d'obtenir au final un «effet mosaïque». «Ne jamais discuter du travail ou fournir des informations en présence de chauffeurs de taxi ou de serveurs, car il pourrait s'agir d'officiers de renseignement ou d'informateurs», avertit aussi le SCRS.</p>
<h3>Sexe</h3>
<p>«Opération séduction», «pot de miel», le piège sexuel est une spécialité des services secrets des ex-pays de l'Est, des pays africains, mais aussi de la Chine, qui emploient des «concubines» pour exploiter les «faiblesses» des cibles étrangères. Arme efficace. Même le représentant des services secrets français à Pékin a été piégé par une traductrice chinoise de l'ambassade de France au début des années 2000. Des doutes planent aussi sur les activités de la rousse incendiaire Anna Chapman, espionne russe démasquée aux États-Unis en 2010. «Les gouvernements étrangers utilisent cette méthode», prévient le SCRS. La cible sera souvent filmée à son insu, et les enregistrements coquins «utilisés pour faire chanter ou embarrasser publiquement la victime». Elle pourra aussi être droguée afin de fouiller sa chambre et de dérober téléphone, ordinateur et documents.</p>
<h3>Sources ouvertes</h3>
<p>«Même si vous pensez être discret et ne pas avoir laissé la moindre empreinte numérique, certaines informations sur vous, votre famille et votre travail sont facilement accessibles.» Et même si vous n'avez pas de compte Facebook, Twitter et LinkedIn, «un membre de votre famille, un ami ou un collègue peut avoir involontairement affiché des informations sur vous». Les foires commerciales, sites internet d'entreprises, revues spécialisées, articles de presse, etc., sont aussi une source incroyable de renseignements dits de source ouvertes (HUMINT en anglais), c'est-à-dire qui n'ont pas été obtenus clandestinement. Un vrai eldorado en matière d'espionnage et d'intelligence économiques. Les trois quarts des renseignements figurant dans les rapports d'analyse des services de renseignement sont d'origine ouverte. C'est le quart restant qui est la valeur ajoutée. Cette collecte au moyen des sources ouvertes peut aussi être un prélude à une opération d'approche ultérieure.</p>
<h3>Communications</h3>
<p>Le sac à dos de la personne qui marche à côté de vous cache peut-être un «IMSI Catcher», appareil utilisé par nombre de services de renseignement qui, en un instant, peut récupérer toutes les données de votre téléphone, y compris les données de la carte SIM et les textos. Il ne faut jamais laisser non plus votre mobile hors de votre vue et de votre contrôle.</p>
<p>Il est préférable de s'équiper d'un cellulaire prépayé et de laisser son téléphone intelligent au Canada. Vos conversations cellulaires peuvent être captées grâce à des valises d'interception. Certaines communications BlackBerry (dont les NIP à NIP) «considérées comme protégées par une clé cryptographique» peuvent être déchiffrées. Les données GPS «transmises par votre téléphone ou stockées dans celui-ci» permettront aussi de vous suivre à la trace. Enfin, «méfiez-vous aussi des téléphones et des ordinateurs des hôtels, car les autorités ont accès aux réseaux», écrit le SCRS.</p>
<h3>Ordinateurs</h3>
<p>Les ordinateurs ne sont pas le meilleur endroit pour conserver ses secrets, alors ne le quittez jamais des yeux. Vol physique dans la chambre d'hôtel, siphonnage d'informations sensibles, voire de tout le contenu du disque dur à distance par cyberespionnage, interception de courriels, caméra et micro de votre ordinateur ou tablette activés à distance, les techniques ne manquent pas. Sans oublier le logiciel de sécurité Identity Finder qui peut trouver en un clic toutes les données personnelles de l'utilisateur. «Évitez d'utiliser une connexion Wi-Fi gratuite, car vous pourriez accéder à un réseau géré par un service de renseignement, conseille aussi le SCRS. Recourez au chiffrement et aux réseaux privés virtuels si vous devez travailler sur des réseaux non protégés.» Ne jamais oublier non plus que le «fournisseur de service internet peut intercepter des données».</p>
<h3>Cadeaux technos </h3>
<p>Le magnifique cadre numérique reçu en cadeau ou la clé USB publicitaire offerte lors d'une conférence ont pu être trafiqués dès leur fabrication afin de permettre, une fois branchés à votre ordinateur «connecté à un système Windows», et grâce à un maliciel, l'accès à vos données, votre carnet d'adresses et, pire, au «réseau de votre organisation et, de là, à vos "joyaux de la couronne"», prévient le SCRS. Au cours des dernières années, le MI5, service de contre-espionnage britannique, a averti les hommes d'affaires du risque qu'ils couraient en acceptant les clés USB, appareils photo et gadgets électroniques offerts par des interlocuteurs chinois à l'occasion de salons, colloques et autres congrès. Ces appareils ont certainement été infectés par un cheval de Troie.</p>
</td>
</tr>
</tbody>
</table>
<p><a href="/http://www.lapresse.ca/actualites/quebec-canada/politique-canadienne/201303/08/01-4629320-nouveau-guide-du-scrs-gare-aux-espions-a-letranger.php" target="_blank">Source</a></p>