Tagué: identité Activer/désactiver les fils de commentaires | Raccourcis clavier

  • Fred T 11:41 PM le 24 November 2016 Permalien | Réponse
    Tags : identité, telegram, telegraph,   

    Telegram lance le blog anonyme 

    C’est tout chaud, ça sort du four, Telegram, la plate-forme de messagerie sécurisée tant décriée par les usages qu’en font les apprentis terroristes, lance un nouveau service tout aussi sécurisé. Telegraph, est destiné à la publication d’articles anonymes. Aucun compte à créer, il suffit simplement de se connecter sur la page http://telegra.ph/, vous aurez remarqué que la connexion n’est pas sécurisée, bon là du coup je doute un peu.

    telegraphInscrivez le titre de votre article, un nom ou un pseudo, le contenu de l’article, et publiez-le, simplissime…

    La saisie s’effectue ligne à ligne soit avec un texte non mis en forme, il aurait été élégant de supporter le format Markdown mais aussi un lien Twitter, Youtube ou Vimeo ou une image à inclure, pour cela il faut cliquer sur les boutons en marge gauche :

    telegraph2

    Lorsque le document est publié, on récupère une URL de publication comme celle-ci. En revanche, le document reste éditable tant que la session du navigateur reste ouverte ensuite plus rien ne peut être édité comme il n’existe pas de compte à renseigner.

    L’URL se partage très facilement par texto, par email ou sur les réseaux sociaux.

    Pour en revenir sur la forme de cette appli, on peut y voir un  risque d’usurpation d’identité, et d’un point de vue sécurité, l’application génère une URL de partage qui conserve la date de création du document, plutôt moyen.

    On utilisera ce service pour créer des document jetables, élaborés et facilement communicables, pas vraiment pour l’aspect sécurité.

    A tester donc : http://telegra.ph/

    Publicités
     
  • Fred T 10:25 PM le 15 December 2014 Permalien | Réponse
    Tags : arp, données, ethernet, , , identité, ouvert, pirate, sniffing, , vol, ,   

    Vol au-dessus d’un nid de hotspots gratuits ou comment se faire piller…. 

     

    4092671535_4a18231084_b

    En situation de mobilité, nous sommes tous à la recherche d’une connexion Internet fiable, les points d’accès Wifi (hot spots) ouverts et gratuits, s’avèrent une solution simple et pratique.

    Pourtant, ces hot spots offerts par quelques enseignes de restauration rapide ou communautaires (la box partagée d’un particulier) peuvent faire courir de graves dangers à vos données personnelles voire même vous exposer à une usurpation d’identité. Ces risques ne sont pas surévalués, un pirate a besoin de peu de connaissances techniques pour partir à la recherche de données à collecter puis à revendre dans des forums du darknet. 

    Tout se vole, évidemment des numéros de carte bancaires, des logins et mots de passe mais aussi des sessions d’authentification à des réseaux sociaux.

    Pour comprendre les enjeux, il faut avoir conscience qu’entre votre ordinateur portable ou votre smartphone et le réseau internet, il y des équipements qui gèrent le point d’accès wifi et transfèrent le flux de données du point d’accès vers Internet le plus souvent grâce à une simple liaison ADSL.

    S’insérer dans ce réseau Wifi ou même se faire passer pour un réseau Wifi légitime permet aisément de capturer des données à la volée. Examinons quelques situations : 

    Le gestionnaire de point d’accès indélicat

    Dans ce cas de figure, vous êtes connecté à un point d’accès Wifi tout à fait légitime appartenant à une enseigne reconnue et offrant un accès réellement gratuit. Cependant, vous ignorez si le gestionnaire de ce point d’accès est honnête ! 

    Il lui suffit d’installer un logiciel de capture de trame (Ethernet Sniffing) pour analyser le flux d’informations et capturer toutes les données sensibles d’une manière complètement invisible.

    Le client de la table d’à coté est un pirate !

    C’est une technique que pourrait mettre en œuvre un client installé à portée d’un réseau Wifi ouvert et ce pirate pourrait être votre voisin de table.

    Pour ce faire, il met en œuvre un logiciel lui permettant  de s’insérer dans les échanges entre votre ordinateur et le point d’accès Wifi, il n’a pas vraiment besoin d’un ordinateur, un smartphone sous Android peut suffire.

    L’ARP  Spoofing est une technique de détournement du réseau permettant d’affecter l’affichage des informations dans les pages Web, le changement des images, des recherches Google, mais plus gravement, le trafic peut être redirigé vers une applications qui analysera  les paquets de données échangés avec le point d’accès et en extraira les informations sensibles circulant en clair.

    Un point d’accès maquillé

    Le point d’accès pirate imite le nom d’un point d’accès légitime afin d’inciter des utilisateurs à s’y connecter pour là encore voler des données. Parfois il n’est même pas nécessaire d’imiter le nom d’un point d’accès légitime, il suffit simplement de parier sur la crédulité des utilisateurs trop heureux de profiter d’un accès Internet gratuit.

    Mettre en œuvre un point d’accès maquillé est encore plus simple, il suffit d’un ordinateur portable avec deux cartes Wifi, l’une connectée au réseau wifi légitime (le point d’accès original) ou au réseau de données cellulaires (4G) et l’autre carte paramétrée en mode point d’accès c’est à dire comme une antenne Wifi. Le pirate relie les deux adaptateurs Wifi avec un pont réseau logiciel (cela se fait d’un simple clic sous Windows) et bien évidemment démarre une analyse des flux afin de voler des données sensibles.

    Faux hot-spot communautaire

    Les hot-spots communautaires sont proposés par certains fournisseur d’accès à Internet afin de palier à la faiblesse de la couverture du réseau de données cellulaire en permettant à leur client de se connecter à la box d’un autre client après authentification.

    Cette technique s’apparente au point d’accès maquillé à la différence que le pirate ouvrira de préférence son point d’accès piraté dans une zone de faible couverture 4G et au-delà d’un réseau Wifi gratuit tout en imitant la page d’authentification de l’opérateur en question et en sélectionnant soigneusement le nom de point d’accès Wifi.

    L’objectif est le vol des données de connexion, c’est-à-dire s’emparer du mot de passe d’accès aux données clients et récupérer les données bancaires, créer des adresses mail supplémentaires etc..

    Cette technique est tout aussi simple, il suffit simplement d’inverser la carte Wifi pour qu’elle agisse comme un point d’accès Wifi, de monter un serveur Web avec une page d’accueil identique à celle de l’opérateur ciblée et un simple script collectant les données d’authentification.

    Comment tenter d’échapper aux pirates ?

    On peut considérer Internet comme une espèce de jungle, pour ne pas mourir dévoré il faut développer des stratégies et des postures.

    • S’informer, c’est bête à dire mais il arrive moins d’accident à celui qui connaît les pièges et les règles du jeu.
    • La seconde erreur est de considérer que tout est rose dans le meilleur des mondes, gardez l’esprit en éveil permet de ne pas tomber dans des pièges parfois évidents.

    Et d’une point de vue pratique :

    • Tout d’abord il faut éviter de se connecter à des services sensibles (service bancaire, site de paiement, intranet de société exposée à l’intelligence économique) à partir d’un point d’accès Wifi ouverts et préférer son smartphone en mode partage de données cellulaires. Peu de gens savent qu’il est possible de paramétrer un smartphone en point d’accès Wifi ce qui est une solution sans risque permettant ne pas exposer des données sensibles. Cela fonctionne sous Android sous IOS et sous Windows Phone, il faut cependant disposer d’une forfait incluant la data en 3G ou mieux en 4G.

    • N’utiliser que des accès chiffrés SSL. Pour s’assurer que le navigateur se connectera systématiquement en mode chiffré, il est possible d’installer une extension qui forcera le navigateur à se connecter en mode sécurisé.
      Ce mode sécurisé se reconnaît dans l’adresse Web avec la présence du protocole https plutôt que http et d’une information spécifique dans la barre de statut du navigateur comme un cadenas sur fond vert. Il existe une extension HttpsEveryWhere pour forcer le mode sécurisé.

    • Installer un VPN ou Virtual Private Network consiste à créer un tunnel crypté entre votre ordinateur et le service proposant le VPN. Les données sont donc illisibles sur les équipements du point d’accès Wifi. Avant de choisir un service VPN , mieux vaut se référer aux avis des spécialistes avant de s’abonner, car là aussi il y a  des risques. De plus, certains états n’aiment pas trop ces services, mais cela est une autre histoire.

    • Dans le cas spécifique du point d’accès communautaire, il existe une contre-mesure très simple qui consiste à utiliser un couple nom d’utilisateur(login) mot de passe erroné. Si le point d’accès vous authentifie, fuyez.

    A titre d’illustration, cet article relate les mésaventures de dirigeants de grandes entreprises victimes de vol de données lors de leur séjour dans des chaines de grands hôtels. Personne n’est à l’abri !

     
c
créer un nouvel article
j
message/commentaire suivant
k
message/commentaire précédent
r
Réponse
e
Modifier
o
afficher/masquer les commentaires
t
remonter
l
connexion
h
afficher/masquer l'aide
shift + esc
Annuler
%d blogueurs aiment cette page :