PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

#iTrust penteste Reflets.info… sans notre consentement #FIC2014

jeudi 9 janvier 2014 à 20:07

lolcat_moderaterzNous vous avions parlé d’iTrust il y a un petit moment. Mais heureusement, Jean-Nicolas Piotrowski s’est aujourd’hui rappelé à mon bon souvenir en se livrant à un pseudo « audit de sécurité » sur le serveur de Reflets.info… comme ça sans qu’on lui demande rien, une charmante petite attention qui aurait par ailleurs pu lui valoir une plainte si le mail reçu aujourd’hui n’avait pas eu le bon goût de me faire pouffer de rire.

iTrust est l’une de ces bienveillantes entreprises qui se sont jetées sur la vague « Prism » pour refourguer leur « cloud souverain », j’en avais parlé ici. Ce n’était pas tant la solution technique que je dénonçais que l’opportunisme d’iTrust. Et bien ce billet, iTrust ne l’a pas digéré.

Jean-Nicolas Piotrowski, piqué au vif (il est un peu lent, l’article date quand même du 27 juin 2013), attire donc mon attention sur le dernier article du blog d’iTrust, une lecture de référence en matière de sécurité informatique… ah oui, c’est vrai, vous ne savez pas qui est iTrust, je vous explique…

 ITrust est présent dans un nombre important de groupes de réflexion, groupes techniques ou grappes d’entreprises. Citons parmi eux :
Clusif, OSSIR (les supports de certaines conférences sont disponibles dans la partie ressource du site) : 
Des clubs sécurités comme : le groupe de travail Cybersécurité porté par le pôle de compétitivité AESV et Digital Place, ou la commission sécurité de laMêlée numérique
Des clubs DSI locaux, les GSdays , le SSTIC, Le CloudSecurityAlliance, leDefcon LasVegas, la commission Cybersec de l’AFDEL, le FIC ,  ThinkTank Cybersec national, etc…

Voir même à l’assemblée nationale en tant qu’experts sécurité (Mars 2012)

Wahoooouuu !! eh beh… on se sent tout petit après ça… enfin on se sent tout petit, mais au moins on se sent le cul propre :

En janvier et Février 2013 nous avons eu l’occasion, en conférence au FIC (Forum de la cybercriminalité (Lille)) d’expliquer en quoi consistait le Patriot Act. (l’affaire Snowden n’était pas publiée (Mai 2013)). J’étais sur la scène auprès du responsable de la BU sécurité de Bull et le resp. de la cybersécurité de Thalès. 

Il est mignon Jean-Nicolas, d’ailleurs, il est tellement mignon que je ne résiste pas à l’envie de publier son petit mail, une correspondance non personnelle attendue qu’il m’écrit de son mail professionnel et un mail non soumis à NDA attendu que Reflets n’a jamais été en « affaire » avec sa société.

Bonjour Monsieur Laurelli,

Je vous transmets un des derniers billets de ITrust : http://www.itrust.fr/Snowden_Prism_PatrioAct
J’ai cru comprendre que le sujet vous intéressait et que vous n’hésitiez pas à avoir une expertise sur le domaine.

Au fait, la non légitimité de Prism a été confirmée par un tribunal américain. Il serait bon de mettre à jour vos références.
Par ailleurs je ne pense pas que vous ayiez gagné en crédibilité auprès de la communauté en sécurité informatique avec votre billet sur ITrust, d’autant plus que de plus en plus d’éditeurs portent le même discours et valorisent la nationalité de leur solution dans le cadre de la protection des données de leur client.

Je me suis permis de lancer un audit de sécurité sur votre blog. C’est une prestation que nous facturons normalement mais je tiens à ce que les experts sécurité référents ne soient pas les plus mal chaussés. Je vous joins le rapport de sécurité de votre serveur. Il ne comporte pas de faille critiques mais certaines failles « medium » pourraient générer des désagréments. Je vous conseille de les corriger.

Bonne réception. 

Il y a plusieurs points intéressants dans le mail de l’ami Jean Nicolas et le pire c’est que Jean-Nicolas n’est pas stagiaire, il dirige iTrust…

Au fait, la non légitimité de Prism a été confirmée par un tribunal américain. Il serait bon de mettre à jour vos références. 

Jean-Nicolas souhaiterait donc que j’aille m’informer sur son blog (propulsé par Apache/2.2.22 Ubuntu Server at www.itrust.fr Port 80… et moi j’ai pas besoin d’un clicodrome qui scanne en agressive pour me rendre compte que ton site tourne sur une distribution dont le nom est un ancien mot africain qui veut dire « je ne sais pas configurer Debian« …) pour mettre à jour mes références d’un article. C’est vrai que je n’ai pas trop suivi cette histoire Prism, ni ces trucs de paranos de surveillance de masse… j’irai donc m’instruire avec les powerpoints d’iTrust et je regarderai attentivement les vidéos des causeries iTrust avec du iBullshit et du Thales dedans, des contractants bien identifiés de tout ce qui surveille en masse.

Par ailleurs je ne pense pas que vous ayiez gagné en crédibilité auprès de la communauté en sécurité informatique avec votre billet sur ITrust, d’autant plus que de plus en plus d’éditeurs portent le même discours et valorisent la nationalité de leur solution dans le cadre de la protection des données de leur client

Jean-Nicolas, ton truc, visiblement, c’est le marketing… continue à faire du marketing, il semble que tu sois pas mauvais dans cet exercice, il y a même des fans de tes plaquettes.

Capture d’écran 2014-01-09 à 19.34.50

Mais nous comprenons bien que face à iTrust, nous n’avons sur Reflets aucune crédibilité en matière de révélations sur les différents programmes de surveillance de masse ou leurs acteurs. Et comment te dire… n’avoir aucune crédibilité chez tes copains de Bull/Amesys et de Thales… heu mégalol ? Ta « communauté de la sécurité informatique« , des rois du clicodrome… c’est visiblement pas la même que la nôtre.

Mais puisqu’on en est à parler de crédibilité Jean-Nicolas, tu me permettras de jouer de transparence vis à vis de nos lecteurs et de publier ton « audit de sécurité ».

Capture d’écran 2014-01-09 à 18.44.09

Les amateurs auront bien évidemment reconnu un rapport d’audit Nessus OpenVAS. Mais le plus drôle, c’est que tu vends ce truc ?! Jean Nicolas, t’es mignon mais ton rapport OpenVAS qui ne révèle rien d’exploitable, que tu as le culot de vouloir me vendre, et dont tu sembles si fier… comment te le dire gentiment ? Puisque t’en est si fier, on va en faire profiter tout le monde (PDF).

Je me suis permis de lancer un audit de sécurité sur votre blog. C’est une prestation que nous facturons normalement mais je tiens à ce que les experts sécurité référents ne soient pas les plus mal chaussés. Je vous joins le rapport de sécurité de votre serveur. Il ne comporte pas de faille critiques mais certaines failles « medium » pourraient générer des désagréments. Je vous conseille de les corriger.  

Et bien Jean-Nicolas ? Tu t’en permets des choses… Tes copains de Bull et de Thales ne t’ont pas expliqué que tenter de forcer des serrures c’était très impoli et surtout condamnable ?

Il ne faudrait pas non plus que je finisse par trouver ta blague pas drôle, surtout le passage où te me conseilles de les corriger.. sinon quoi Jean-Nicolas ? Tu vas DDoSS mon OpenSSH ? tu vas me « localzploit« .

Tu vois, j’aurais mauvais esprit, je me dirais que tu tentes soit de nous extorquer des fonds, soit que tu nous menaces à demi-mots… j’aime pas les menaces.

Tu pousses le bouchon un peu loin Jean-Nicolas… attention.

Allez, moi aussi je vais être sympa et ne pas te demander un rond pour la config de ta Bobuntu, tu noteras que je ne pointe pas le doigt sur des pseudos problèmes mais que je te donne directement la solution :

ServerTokens Prod
ServerSignature Off
expose_php = Off 

Bisous Jean-Nicolas, et tu passeras le bonjour à ta « communauté de la sécurité informatique » !

Et tu penseras à mettre à jour ton wordpress…

Capture d’écran 2014-01-09 à 20.05.43

 

 

L’homme, la fourmi et le salaud

jeudi 9 janvier 2014 à 15:09

bon-brute-truand

C’est drôle. Enfin non ce n’est pas drôle. Depuis peu, autour de moi, des hommes qui tombent. Des types et des femmes qui vont, un peu stressés, à leur entretien d’évaluation, leur analyse à 360 degrés, la réunion d’attribution des primes, et hop… qui tombent. Qui rentrent le soir à la maison après avoir été remerciés. Licenciés. Lourdés. Dehors. Adieu veaux, vaches, cochons et voiture de fonction.

Après avoir joué le jeu, celui qu’on leur demandait de jouer pour le bien de l’entreprise, pour sa productivité, sa compétitivité, après avoir joué le jeu des escalades d’emails pervers et assassins, celui de l’humiliation assumée au nom du « je garde mon emploi », celui du « tu as trois ans pour passer du statut d’apprenti salaud à celui de salaud confirmé ». Tu n’es pas devenu chef salaud ? Alors, merci, au revoir, dehors, t’es pas assez dur. Tu ne veux pas partir un an au Qatar parce que ta femme est enceinte ? Tu es un faible. Premier avertissement. Et, tiens, au passage, pendant que tu seras là-bas, change de costume, tu ne présentes pas assez bien. Quoi encore ? Ta femme ? On s’en cogne, mon gars, on s’en cogne.

C’est drôle, enfin non, ce n’est pas drôle… comme ils semblent redevenir plus humains les apprentis qui ont échoué à devenir plus salauds que les autres, quand ils rentrent chez eux, le soir, les mains vides, la peur au ventre, l’incertitude du lendemain, les prochaines vacances qui s’envolent et l’Ipad mini pour le gamin… Drôle comme ils reprennent des couleurs humaines… comme ils peuvent enfin assumer, revendiquer, une certaine part de faiblesse – contenue dans le mot-même « humanité ». Celui qui, de plus en plus souvent, fait défaut aux entreprises. Compétitivité, vous comprenez… Il me semble que ce mot même justifie toutes les saloperies du travail au quotidien, toutes les bassesses, les mensonges, vilénies et compromissions professionnelles.

Pendant ce temps, pour ceux et celles qui sont en place, ça s’étripe, s’écharpe, se marche dessus pour rester dans le système, gagner, réussir, et surtout s’accrocher à sa fiche de paye, sa bagnole, sa prime… C’est normal, il faut bien manger, et puis la télé qui montre tous ces pauvres au 20 heures, ça fait peur, et en même temps, au jeu des chaises musicales, moins il y a de chaises, plus la lutte est dure. Et plutôt que de se penser comme une société, plutôt que d’être à même de prouver la supériorité de l’humain sur la fourmi de se concevoir comme un groupe, qui s’écarte pour faire un peu de place à l’autre, ou au contraire se serre un peu pour se réchauffer quand les temps sont durs, nous, les humains, les grands colonisateurs de cette planète en location, vivons, pour beaucoup, à court terme, les yeux rivés sur un emploi, un emploi à tout prix. Avec ce chiffre qui me taraude depuis que je l’ai lu récemment ! 1% des plus riches détiennent 46% du patrimoine mondial.  Un truc qui n’arriverait même pas chez ces connes de fourmis…

Bull va vous mettre la sécurité dans le … Cloud

jeudi 9 janvier 2014 à 12:19

bloodyamesys

C’est l’histoire d’une entreprise qui a vendu en 2008 un système d’écoute globale des échanges sous IP (Web, mail, réseaux sociaux, téléphones portables, satellites, etc.) à un terroriste condamné en France à perpétuité par contumace par la Cour d’Assises spéciale de Paris en 1999. Flash-back : à cette époque, Philippe Vannier, actuel patron de Bull est le patron d’une SSII d’Aix en Provence, Amesys. Il vend Eagle, un système visant à mettre sur écoute toute la population libyenne à Kadhafi. L’interface de la société s’appelle Abdallah al-Senoussi, le beau-frère du dictateur. Il supervisera les travaux d’installation. Philippe Vannier rachète dans la foulée le groupe Bull. Et en devient patron avec la bénédiction probable des autorités françaises qui ont supervisé toute l’opération. Amesys est intégrée à Bull. L’affaire est éventée grâce aux efforts de Reflets. Bull cède son bâton merdeux à … Bull. La technologie de Bull/Amesys sera par la suite étendue à plusieurs pays fâchés avec les droits de l’Homme. Une vraie petite industrie de délocalisation  possible des écoutes pour l’Etat français.

C’est donc avec la plus grande surprise (feinte) que Reflets découvre aujourd’hui le thème d’une conférence de Bull au FIC 2014 : « Cloud de confiance et économie mondialisée : comment faire face au cyber-espionnage ? »

Résumons… La société qui a mis en place les technologies d’écoute massive, ayant servi à espionner des entreprises (Tunisie) et des opposants politiques (Libye, Etats-Unis…) vient vous expliquer… comment lutter contre le cyber espionnage. Vous nous direz, il n’y a pas meilleur fabriquant d’alarmes qu’un ancien cambrioleur…

bull-dans-ton-cloudQuel argument ouvre le bal des blagues de Bull dans son annonce ? « L’affaire PRISM » qui aurait fait naître « des suspicions légitimes« . Sans blagues ?

Pour ceux qui prennent le train en marche, les technologies développées par le patron de Bull, Philippe Vannier au sein d’Amesys sont justement, exactement les mêmes que celles qui ont servi à la NSA pour mettre sur écoute la planète.

Mêmes technologies, mêmes méthodes, mêmes résultats, mêmes méthodes d’interrogation dans les bases de données… Même infrastructure (sauf que chez nous, pour les câbles, c’est avec Alcatel et Orange que l’on passe des accords).

Et avec quoi Philippe Vannier compte-t-il protéger les entreprises qui risquent de se faire espionner avec des produits Bull/Amesys ou NSA Inside ? Avec du Cloud souverain bien sûr… : « des architectures robustes intégrant des équipements de confiance« .

Dans ton cloud, la sécurité. Aie confiance…

kaa

Petits arrangements avec les principes et courte vue

mardi 7 janvier 2014 à 16:44

obama

Yoh les guys, on se fait un petit selfie ? Cette image qui a fait le tour de la planète est le reflet frappant d’une époque. Celle des petits arrangements avec les principes, la morale commune, celle de la courte vue. Pendant l’hommage rendu à Nelson Mandela, le président américain se fait prendre en photo avec David Cameron. La Première ministre danoise Helle Thorning-Schmidt ne voulait pas manquer ce petit « souvenir ». Il est visiblement bien plus important pour elle, d’immortaliser sa bobine avec des chefs d’Etat que de communier avec la population Sud-Africaine pleurant un homme ayant bouleversé l’Histoire. L’indécence des trois dirigeants – et pourquoi pas un petit selfie autour du cercueil tant qu’on y est ? -  saute aux yeux des vieux cons dans mon genre. Pas aux yeux de tous. Quelque chose a merdé quelque part. Les hommes ont visiblement changé.

Ce ne sont pas trois personnes anonymes dans une foule immense qui sont indécentes. Ce ne sont pas non plus Alain Soral, Dieudionné et Serge Ayoub qui s’éclatent après une bonne blague sur le péril Juif. Non, ce sont les dirigeants de grandes démocraties. Ceux dont les actes devraient être en accord avec les principes de la Démocratie, avec la morale commune, partagée par l’Humanité, ceux qui devraient voir loin et tenter, comme celui qu’ils étaient censés célébrer, de changer la marche du monde.

Ils font l’inverse. Mieux, ils ne sont pas seuls. La France a su montrer combien elle savait être indécente, elle aussi, avec deux présidents, l’ancien dont on attendait rien sur ce plan, et l’actuel dont plus personne n’attend rien, surtout pas ceux qui l’ont élu.

sarkozy-hollande

Et oui, les deux compères ont visiblement des bonnes blagues à se raconter pendant l’hommage à Nelson Mandela.

Les hommes qui ont changé la marche du monde dans le bons sens, vers plus d’humanisme, sont rares. Un peu de respect n’est pas superflu. Bien sur, ces hommes sont des hommes et ils ne sont pas parfaits. Ils ont, comme nous tous, commis des erreurs. Mais que sont-elles par rapport à ce qu’ils ont façonné ? Pas grand chose.

Dans l’actualité, nous avons aussi le roi d’Espagne, Juan Carlos dont la cote de popularité s’effondre.

13890547353654

Les Espagnols semblent oublier un peu vite ce qu’ils doivent à cet homme. Simplement, de les avoir sortis d’une dictature fasciste, la seule qui avait perduré après la deuxième guerre mondiale. Franco avait désigné Juan-Carlos comme son successeur. Celui-ci, au lieu de laisser le système suivre son cours, avait ouvert la voie au multipartisme, à la liberté d’expression. A la vitesse de la lumière (par rapport à d’autres pays engagés dans une transition de ce type), l’Espagne est devenue un poumon en Europe pour la liberté, la création, les excès salutaires. Aujourd’hui, les Espagnols le brûleraient volontiers.

Les petits arrangements avec les principes sont l’esprit de l’époque. On le voit lorsque les « défenseurs de la liberté d’expression » prennent le parti de Dieudonné. La liberté d’expression s’arrête pourtant là où la haine pointe le bout de son nez. Défendre la liberté, c’est faire preuve d’humanisme. Pas défendre la liberté de préconiser la haine des autres êtres humains. qu’ils soient Juifs, Arabes, Asiatiques, que sais-je. Cette tolérance pour la haine ne génère que de la haine supplémentaire. Nicolas Sarkozy et ses amis penseurs qui voulaient « décomplexer » la parole, et plus largement la France, en savent quelque chose. Souffler sur les braises en flattant la connerie de Paulo, du Bar des Amis, ça n’apporte rien de bon…

Si l’on peut valider l’idée que la réponse à donner est de poursuivre a posteriori les propos tenus lors des spectacles, plutôt que de les interdire a priori, on peut aussi comprendre, normalement, que Dieudonné n’est pas antisioniste (ce dont il se sert comme paravent) mais antisémite. Ses accointances avec Alain Soral, Robert Faurisson et quelques autres joyeux drilles de ce type le démontrent. Il y a une différence évidente entre s’opposer aux décisions du gouvernement de l’Etat d’Israël et percevoir un complot Juif mondial ou en vouloir à tous les Juifs.

 

Que l’on soit dirigeant politique faisant preuve d’indécence, que l’on fasse l’opposé de ce que Mandela prônait tout en lui rendant tranquillement un hommage appuyé, que l’on soit humoriste antisémite sans l’assumer, tout ces petits arrangements avec la réalité créent une perturbation dans la Force. Il faut faire preuve d’une bien courte vue pour ne pas comprendre quelles en seront les répercussions. Ou alors, si tout cela est fait de manière totalement lucide, c’est que le côté obscur a gagné. La prolifération des citoyens qui pensent que les hommes politiques peuvent les sauver ou qui voient dans Dieudonné une « victime du système » fait pencher, malheureusement, la balance en faveur de la seconde hypothèse…

 

 

#Fear : la #NSA veut construire un ordinateur quantique pour tous nous déchiffrer

vendredi 3 janvier 2014 à 18:15

quantique-becane

Et ça continue, encore et encore… La campagne de communication américaine est décidément en plein boom : voilà désormais « l’ordinateur terminator », l’arme absolue qui retire toute confidentialité aux échanges sur le réseau, dévoilé en exclusivité par le Washington Post. C’est un ordinateur quantique que la NSA fabrique en grand secret (bon, moyennement en fait, pour le secret), et ça casse tout les chiffrements. Tremblez simples mortels, achetez-vous des timbres et apprenez les signaux de fumée :

Pouvoir lire toutes les communications chiffrées, c’est le rêve de tous les espions, et donc également celui de la NSA. Et pour y arriver, l’agence américaine a démarré un projet de recherche de 79,7 millions de dollars baptisé « Penetrating Hard Targets ». Dévoilé par The Washington Post sur la base de documents d’Edward Snowden, ce programme a pour but de créer un ordinateur quantique dédié à la cryptanalyse. Une telle machine serait capable, en effet, de casser n’importe quel code de chiffrement en peu de temps, y compris ceux basés sur le célèbre et très utilisé algorithme RSA. (source 01net http://www.01net.com/editorial/611146/la-nsa-veut-creer-un-ordinateur-quantique-pour-pouvoir-tout-decrypter/)

Bientôt sur vos écrans, « NSA World Terror » : un film produit par Barak Obama, mais payé avec vos impôts…