chiffrement – Sam & Max http://sametmax.com Du code, du cul Wed, 30 Oct 2019 15:34:04 +0000 en-US hourly 1 https://wordpress.org/?v=4.9.7 32490438 Le bulletin sécu : https pour 0bin et leak de mots de passe http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/ http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comments Sun, 10 Jan 2016 12:42:33 +0000 http://sametmax.com/?p=17638 Quand letsencrypt est passé live, on m’a gentiment signalé qu’on avait plus d’excuses pour faire tourner 0bin en clair.

Bon, soit.

J’ai mis en place ça hier à titre de test : https://0bin.net/.

Pour le moment je vais pas faire de redirection car j’attends de voir si le truc tient.

La bonne nouvelle, c’est que comme l’installation est juste nginx + zerobin, il n’y a pas eut grand chose à faire : lancer un script, le laisser nous identifier et installer les dependances pour qu’il génère le certificat et faire pointer le dit certificat par nginx.

La moins bonne nouvelle c’est que notre archi pour sametmax.com et indexerror.net est basé sur client => varnish => nginx => worker => site.

Il faut donc mettre le certif au niveau de varnish.

Mais comme vous vous en doutez bien, il fallait que ça couille : support de https est un truc récent sur varnish et notre version ne le supporte pas. Donc il reste à :

  • Up varnish. Compiler à la main, chercher un mec qui l’a fait, up le serveur ou autre.
  • Ou passer varnish derrière nginx et réécrire tout le VLC.
  • Ou mettre uniquement HTTPS pour les formulaires de connexions. C’est mieux que rien, mais ça laisse le cookie d’identification en clair et ça va demander de faire des règles milimétriaques.
  • Mettre un autre truc en face de varnish juste pour le port 443.

Oh, du boulot en plus, je ne m’y attendais tellement pas…

Merci à tous ceux qui ont proposé et fourni de l’aide néanmoins. C’est cool d’avoir du soutien parmi ses lecteurs.

Pendant ce temps, et ça n’a rien à voir, un lecteur s’est amusé à brute forcer des hashs de mots de passe qu’on avait leakés connement et a trouvé celui de max au bout de quelques jours. Il nous a gentiment envoyé le résultat de ses recherches par mail. Ce n’est pas ironique, hein. J’apprécie que quand quelqu’un trouve que tu es à poil il te le fasse savoir avec précision et honnêteté.

Du coup va falloir aussi changer tous les mots de passe du blog et de indexerror.

Comme ce n’est pas une question de sécurité nationale, je ne suis pas en mode bersek à vouloir faire ça dans la minute, mais sachez-le : changez vos mots de passe à l’occasion. Personne ne va violer votre sœur demain si vous ne le faites pas, mais mieux vaut prévenir que guérir.

Oh, du boulot en plus, je ne m’y attendais tellement pas…

]]>
http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/feed/ 18 17638
Des pastes mystérieux sur 0bin http://sametmax.com/des-pastes-mysterieux-sur-0bin/ http://sametmax.com/des-pastes-mysterieux-sur-0bin/#comments Fri, 30 Jan 2015 11:19:58 +0000 http://sametmax.com/?p=15829 J’ai reçu un email étrange nous signalant des pastes sur 0bin.net comme étant pédophiles et nous demandant de les retirer.

Le contenu en question ressemble à ceci. Vous pouvez cliquer, c’est safe.

Vu les abus de DMCA ces temps-ci, je suis plutôt méfiant sur ce genre d’allégation, et j’ai donc demandé un peu plus de détails. La personne, contrairement à pas mal de mecs de boites avec des avocats, a pris le temps de quelques échanges avec moi et, malgré mon ton clairement sceptique, a fini par m’expliquer le principe.

Certains forums hébergeant des photos sexualisant des mineurs sont accessibles au public. Néanmoins, pour y accéder, il faut obtenir des indices qui changent régulièrement. Ces indices sont postés sur des boards jetables, comme cette page facebook, qui pointe sur des pastebin, dans notre cas 0bin.

Ensuite, il faut aller sur le site connu pour son contenu, ajouter les filtres adblocks, faire quelques manipulations JS (dans l’exemple, un flag localstorage), et l’entrée est possible.

Je vire donc ces pastes quand on me les signale, et je fais circuler l’info, au cas où vous tombiez sur ce genre de trucs, que vous sachiez de quoi il retourne.

0bin n’étant pas modérable (c’est le principe), il est logique que des usages non souhaités en soit fait. J’aimerais donc profiter de cet article pour rappeler que le chiffrement n’est pas que pour les terroristes et les pédophiles. Tout comme les couteaux ne sont pas uniquement pour les serial killers : la plupart des gens découpent des carottes avec.

Il y a, en proportion, peu de pédophiles, et peu de serial killers. Ils existent, il ne faut pas les ignorer. Mais ne paniquons pas à l’idée qu’ils utilisent des outils utiles pour les citoyens lambda également. Nous créons un monde pour ces citoyens, pas pour les autres.

]]>
http://sametmax.com/des-pastes-mysterieux-sur-0bin/feed/ 13 15829
Éviter d’avoir la queue à l’air en publique avec TrueCrypt http://sametmax.com/eviter-davoir-la-queue-a-lair-en-publique-avec-truecrypt/ http://sametmax.com/eviter-davoir-la-queue-a-lair-en-publique-avec-truecrypt/#comments Thu, 28 Jun 2012 11:26:38 +0000 http://sametmax.com/?p=1001 On cite toujours des raisons sécuritaires pour justifier l’usage de la cryptographie, mais comme vous n’êtes pas un espion, il est peu probable que vous vous sentiez concernés. Je vais vous en donner une bonne raison de chiffrer certains dossiers sur votre disque dur: pour ne pas vous retrouver à oualpé devant des inconnus.

Attaché à un lit

Sortir avec une vraie cochonne ne veut pas dire qu’elle va faire tout le boulot. Or Max et moi sommes tout à fait ouvert à l’expérimentation, même si ce n’est probablement pas pour les mêmes choses. Ainsi je me suis un jour retrouvé menotté à un lit avec divers accessoires et résidus de nourritures sur des parties variées de mon anatomie, quand quelque chose s’est mal passé.

Avec le recul, c’était marrant. D’ailleurs, la miss qui avait les clés a trouvé ça tellement poilant qu’elle a pensé à prendre une photo AVANT de me détacher. J’ai voulu une copie du cliché, parce qu’il y a des performances qui méritent un souvenir, et le transfert a eu lieu par clé USB.

Quand la dite clé a été utilisée par la demoiselle pour faire passer un Power Point à un collègue de travail, elle a pu comprendre toute l’utilité des thumbnails de preview automatique des fichiers JPEG sur les OS récents.

Les olympiades de la salle de bains

Dans un de mes appartements précédents, j’avais une salle de bain avec un petit muret et un grand miroir. On pouvait y faire toute sorte de choses à deux, que j’ai pris en photos avec mon portable pour faire passer les moments de solitude pendant les voyages.

J’ai supprimé les clichés du téléphone pour les mettre sur mon ordinateur. Machine que j’ai perdu lors d’un voyage. Je me demande encore aujourd’hui si celui qui a trouvé mon sac a reformaté la machine. A-t-il la main sur les photos de mes acrobaties en tandem ? Les a-t-il mis en ligne ?

Truecrypt, la fin du voyeurisme inopiné…

Honnêtement, je ne suis pas très pudique, sinon je n’écrirais pas ce blog. Sauf que non seulement ce genre de situation est dangereux pour sa propre crédibilité, mais en plus je ne suis pas seul sur ces images. Et généralement, la gente féminine accepte beaucoup moins bien ce genre de pub.

Truecrypt est un logiciel libre qui fonctionne sous Windows, Mac et Linux. Il permet de créer un fichier de taille personnalisable (plusieurs Go si besoin) chiffré, qui peut être monté comme une partition. Sans le mot de passe, le fichier ressemble à une soupe de bits (sans jeu de mot). Une fois monté avec le mot de passe, il devient une partition ordinaire, et on peut l’utiliser comme telle de manière parfaitement transparente: créer des dossiers et des fichiers, copier, coller, etc.

Inutile de dire que je met maintenant systématiquement tout matériel d’ordre intime sur cette partition. En cas de fuite, je sais qu’une personne non autorisée aura bien du mal à lire son contenu. Cela ne me dispense pas de faire la chasse aux restes sur les supports amovibles, et ça ne me libère pas de l’idée que les copies en la possession de mes ex partenaires ne sont pas aussi bien protégées. Mais c’est un bon début.

… et le début du multimédia vraiment privé

Voilà un vrai argument pour l’usage de TrueCrypt: pas l’attaque des chinois du FBI ou votre soudaine reconversion en terroriste suicidaire, mais l’existence même du cul.

Car on peut faire bien plus que ça: copiez par exemple le dossier .mozilla, .thunderbird et .purple sur la partition puis faites un lien dans le dossier utilisateur. Et hop, voilà votre historique de navigateur, vos fichiers mails et vos traces de chats chiffrés. Votre historique qui contient des URL de sites douteux, vos alertes mails de “Adopte un mec” non désactivées alors que vous êtes en couple depuis 6 mois et les archives de la création de nouveaux smileys hyper novateurs avec votre maîtresse sur Gtalk: ils sont maintenant protégés. Si en plus vous utilisez OTR et GPG, vous gagnez 2 de TAC0 en back stab.

Et le double effet kisscool, c’est que faire un backup de toutes ces données précieuses ne prend qu’un copier/coller du fichier TrueCrypt (vous faites des sauvegardes, hein ?). Backup qui par nature est lui aussi protégé. Tous ces bénefs sans ralentir votre ordinateur, puisque seules des données très précises sont chiffrées, pas toute votre partition utilisateur (ce qui en plus est le plus sur moyen de tout perdre si votre ordi grille). Bon ok, peut être que l’affichage du browser en cas d’usage du cache prend 0.1 ms de plus.

Au passage j’ai aussi mon dossier .ssh et .bitcoin dedans, ça ne mange pas de pain. Le prix à payer est seulement d’entrer son mot de passe (que vous avez choisi bien long et compliqué) quand on désire utiliser un logiciel qui lit ou écrit dans ces dossiers.

Certes, ont peut toujours vous baiser en installant un keylogger, un rootkit bien vicieux ou avec une clé à molette. Mais c’est tellement mieux que d’avoir les données en clair sur le disque.

]]>
http://sametmax.com/eviter-davoir-la-queue-a-lair-en-publique-avec-truecrypt/feed/ 8 1001