Plein de câbles coupés certainement par malveillance en France la nuit dernière.

communiqué de Netalis

Photos diffusées par les équipes de Free

Uncurieux a écrit :

> Non, pas du tout, ça c'est un guide un peu vieux qui parle d'une technique encore plus vieille
> : on peut utiliser ça ou une variante depuis bien longtemps, et il y a des techniques plus
> sophistiquées si celle-ci ne marche pas, mais bon en général quand on a accès physique à la
> machine on peut bien faire ce qu'on veut (y compris extraire le disque dur et en copier le
> contenu ailleurs).

Tu parles d'un truc dans ce genre là alors ? avec exploitation de vulnérabilités ..
Click

Si tu ne l'as pas dit, pour ce que tu dis sur le hachage c'est vraiment bien développé, j'aurai ajouté qu'une fois haché on ne peut pas revenir au mot original comme avec le chiffrement (qui lui est réversible), le hachage entraine une dégradation de l'information.
Pour visualiser c'est en quelque sorte le résultat d'un calcul avec le mdp comme clef de hachage.
Avec ce résultat on retrouve difficilement le calcul originel (mais ce n'est pas impossible non plus, surtout lorsqu'on connait les algo de hachages et qu'on a du temps et Beaucoup de puissance de calcul ou si comme dans le lien que j'ai fourni, le mdp est peu complexe.

Je trouve que c'est vraiment top ce que tu fais ici, merci

Si c'est prévu je kifferai un prochain sujet sur les attaques par dictionnaires / leaks des sites / https://haveibeenpwned.com de ta part

Des jeux et des gamers

On annonce un perso principal féminin dans GTA6. Du coup c'est drole parce que les réacs habituels râlent que c'est du « wokisme » en parlant d'un jeu où tu peux littéralement faire péter des bombes dans des strip-clubs. Vraiment, ça vaudrait le coup de faire une recherche un peu poussée de l'influence réelle des gamers sur l'environnement politique (par exemple depuis le gamergate).

Terminologie en informatique

Je voulais parler rapidement - actualité oblige - de la manière de nommer des trucs en informatique, à partir de quelques exemples. Le choix d'un nom pour un morceau de code est parfois quelque chose de délicat : il faut si possible un nom cool (thunderbird ça sonne mieux que mouche-à-facette), qui devienne emblématique sans problème, si possible qui véhicule une image qu'on reconnaitra sur le logo (pensez au langage Python, ben ça évoque des serpents, alors que Ocaml évoque un chameau…). Il y a parfois des changements inattendus qui soulignent qu'un logiciel peut avoir une histoire et des petites blagues : quand le media player Clementine a été abandonné en 2016, son remplaçant s'est appelé strawberry. Ce n'est pas nouveau : ça fait un moment que les développeurs font des petites blagues (la commande "more" permet d'afficher un fichier ? la version améliorée s'appelle "less"). Et puis parfois, c'est moins ouf.

En 2012, un programme ruby était écrit permettant de déterminer le genre (probable) d'une personne en fonction de son prénom (en se basant sur des statistiques de prénoms classées par pays), le programme a été appelé "SexMachine" pour la chanson. En 2014, des personnes ont fait remarquer que ce nom pouvait amener des choses pas ouf, surtout dans un contexte professionnel déjà trop souvent saturé de blagues sexistes. L'auteur du programme a intelligemment accepté de modifier le programme en "GenderDetector".

Ce n'est pas toujours aussi smooth. En 2010, un programme appelé "WEBOOB" (pour WEB Outside Of Browsers) était écrit, il permet de consulter en ligne de commande des applications normalement accessibles uniquement sur le web (et c'est vraiment un truc pratique, je vous le recommande). Avec un nom basé sur une blague potache, le reste de l'application (logos, sous-applications, code) contenait des blagues similaires (le module banque était "boobank", le module météo "wetboobs", etc.), basées principalement sur l'aspect intrinsèquement drôle des… seins. Ce programme était intégré dans la distribution gnu/linux debian, c'est-à-dire que tout.e utilisateur/trice de debian pouvait facilement l'installer en utilisant les outils de la distribution. En 2013, certaines personnes faisaient remarquer des problèmes intrinsèques avec ce nom, mais obtenaient une réponse assez agacée du développeur Laurent Bachelier (gardez ce nom en tête). En 2017, l'équipe de debian créait une équipe "anti-harcèlement" (depuis renommée "community team"). En 2018, l'attention de cette équipe était portée sur le package weboob dans debian, et la conclusion était qu'avec les blagues, il n'était pas possible de conserver ce programme en l'état dans la distribution. Faute d'un accord avec les développeurs de weboob, le programme était retiré, et vous pouvez consulter la fin des discussions ici. Notez que ce n'est pas anodin du tout de dégager un programme pour cette raison. Et puis finalement, en février 2021, Laurent Bachelier mettait tragiquement fin à ses jours en finançant au passage plusieurs organisations d'extrème droite. Ceci a servi de coup de fouet pour la communauté weboob, et (la maturité aidant peut-être aussi ?) le programme a décidé de changer de nom pour woob (il n'a pas réintégré debian cependant).

Dernier exemple, il arrive que des conventions de nommage soient utilisées en informatique et soient malheureuses (par exemple parce qu'elles induisent des blagues sexistes ou racistes ou etc). Un peu comme l'habitude qu'on a d'appeler des prises "mâle" ou "femelle". En soit, c'est juste une convention bien pratique à retenir, mais on imagine sans problème que dans un contexte professionnel, ça peut donner des blagues grivoises "hé machine, tu peux remettre la prise mâle, tu sais t'y prendre avec elles" etc. Eh bien il se trouve que beaucoup de systèmes en informatique ont l'habitude d'utiliser les dénominations de master/slave (maitre/esclave). Les discussions politiques autour de ces noms ne datent pas d'hier, on en retrouve des traces en 2003. Elles ont eu lieu dans de nombreux projets, et si vous pensez que c'est difficile de remplacer ces termes, wiki donne PLEIN d'exemples de changements. Wiki souligne également que ces débats sont revenus en 2020 avec le mouvement BLM aux USA.
Aujourd'hui, un système défaillant dans une banque a laissé paraitre un message d'erreur pour ses utilisateurs/trices : « Pas assez de bons esclaves pour écrire » qui est bien entendu incompréhensible pour les non-spécialistes. Et c'est un point que je trouve intéressant : avoir des conventions de nommage respectueuses des personnes dans la société dans laquelle le programme s'exécute évite de créer des situations de ce genre.

Surcouf le Balafré a écrit :

Je réalise que je n'avais pas répondu au post ci-dessus.

> Tu parles d'un truc dans ce genre là alors ?

Je ne saurais pas trop dire, comme ce n'est pas ma spécialité il me faut du temps pour analyser un papier qui parle d'un trou de sécurité. Instinctivement, je dirais que non, c'est un autre format d'attaque.

> Si c'est prévu je kifferai un prochain sujet sur les attaques par dictionnaires / leaks des
> sites / https://haveibeenpwned.com de ta part

Si l'actualité (que je lis) s'y prête, je n'hésiterai pas

Uncurieux a écrit :



Alors, en soi je comprends, c'est comme les branches master dans Git (qui depuis un certain temps sont désormais "main" par défaut).

Ca coûterait pas bien cher de changer les noms traditionnellement utilisés et si ça peut soulager mentalement des gens, franchement pourquoi pas. Je vais pas aller manifester pour garder les conventions master/slaves.

Mais de la même façon que j'ai roulé des yeux quand j'ai appris que des gens se plaignaient du nommage de la branche principale des projets dans Git, ça me fait rouler des yeux de voir ça. Je sais pas, peut-être que mon impression est fausse, mais j'ai pas vraiment dans l'idée que le nommage des bases de données soit un instrument-clé dans l'exercice du racisme ou dans sa propagation. J'imagine que si des gens veulent lutter contre les discriminations, il y a moults autres chantiers avec une importance bien supérieure, qui bénéficieraient sûrement davantage d'être entendus.

Pour moi, au lieu d'y voir un petit pas dans la lutte contre les discriminations, j'y vois plus un bâton tendu à l'extrême-droite pouvoir dire "Non mais ces gens-là ils sont pas là pour lutter contre le racisme, ils veulent juste tout contrôler/nous brimer/whatever." (Dans le même style que "Le féminisme c'est mal parce que regardez une femme sur twitter a dit que si c'était un garçon elle allait avorter")

Lem a écrit :

Je comprends tout à fait ce sentiment, mais je pense qu'il faut ajouter deux choses :
- les USA (où la majeure partie de ces débats ont lieu) ont une histoire bien plus récente avec l'esclavage, et aussi beaucoup plus prégnante : cela a façonné les inégalités structurelles en défaveur des afro-descendants. Je pense qu'il faut juste accepter que le mot "esclave" renvoie là-bas à des concepts et à une violence qui n'est pas la même qu'ici. Ça m'a fait pas mal réfléchir quand un poème de Prévert a été interdit au Canada : je pense que simultanément ce poème ne pose aucun problème en culture française, où il sera clair que l'esclavage est évoqué "négativement" pour évoquer la liberté. C'était aussi manifestement ce que Prévert avait en tête, il n'y a aucun indice de suprémacisme dans son œuvre, au contraire. En Amérique du Nord, c'est donc différent : des communautés afro-descendantes y voient un poème écrit par un blanc (ce n'est pas neutre), qui se lamente de ne pas trouver la femme qu'il aime au marché aux esclaves, et la proximité avec les horreurs de l'esclavage (dont les viols) attire une attention folle. De fait, il me semble que ce poème n'aurait pas pu être écrit avec de bonnes intentions là-bas, et cela explique qu'il soit moins lisible (attention cependant : je ne généralise pas, il s'agit d'un cas isolé et pas forcément d'un sentiment commun à toute la sphère afro-descendante, et je n'oublie pas non plus que la censure d'œuvres est très active aux USA en particulier pour les œuvres progressives).

- comme je le montrais, il arrive que des messages techniques se retrouvent sous le nez de personnes pas compétentes. Dans le cas des blagues graveleuses sur les seins, cela aurait pu donner, dans un message dans une institution sérieuse un truc du genre "wet boobs stopped fonctionning". Ici, le message a causé de l'émoi (ce qui se voit sur ce lien). Alors certes une autre manière de corriger le problème serait d'isoler les messages d'erreur et de ne pas les mettre sous le nez des utilisateurs/trices, mais c'est difficile de garantir que ça soit systématique. Utiliser un vocabulaire neutre, en revanche, marche toujours et évite ce problème.

Le principe de la cryptographie asymétrique, c'est qu'on utilise deux clés différentes pour chiffrer et pour déchiffrer le message (et ainsi on ne peut pas facilement trouver la clé de déchiffrage à partir de la clé de chiffrement).

L'intérêt, c'est qu'il est alors possible de diffuser largement la clé de chiffrement pour vous écrire (clé publique) ; tant que vous conservez pour vous la clé de déchiffrement (clé privée), personne ne pourra décrypter le contenu de ce qu'on vous envoie.

Depuis 1977, il existe un algorithme public (RSA) donnant un tel algorithme, basé sur des propriétés arithmétiques (et on en connait plein d'autres depuis). Ceci a permis de créer des annuaires de clés publiques, toujours avec l'idée que si vous voulez écrire à quelqu'un, vous cherchez sa clé publique, vous l'utilisez pour chiffrer votre message, et lui seul peut lire le contenu de votre message.

Il est aussi possible de faire l'inverse avec certains algorithmes asymétriques : si je chiffre mon message avec ma clé privée, alors tout le monde peut le déchiffrer, mais cela atteste que je suis bien l'auteur du message, et ainsi j'ai signé mon message. Il y a tout ce qu'il faudrait par exemple pour authentifier les mails qu'on envoie avec des clés privées (mais ce n'est malheureusement pas assez souvent utilisé).

Enfin, pour l'anecdote, les systèmes de chiffrement/déchiffrement sont généralement lents et nécessitent beaucoup de calculs. Dans beaucoup de protocoles, on les utilise brièvement au début d'une communication, pour échanger des clés symétriques, et la suite de la conversation se passe ensuite en chiffrement symétrique. C'est ainsi que ça se passe sur n'importe quel site HTTPS (ou plus généralement avec le protocole TLS, qui est la couche cryptographique sous-jacente à HTTPS mais qu'on trouve à plein d'autres endroits. Ça s'ajoute à la longue liste des choses qui se passent silencieusement sur votre ordinateur quand vous visitez un site web, sauf Kraland ).

Comme je l'ai écrit, il faut qu'il soit difficile de trouver la clé privée à partir de la clé publique, sinon rien ne marche. Dans le cas de RSA, par exemple, la question est de savoir factoriser des grands nombres (avec des centaines de chiffres) sous forme d'un produit. Ce n'est pas un truc qu'on sait faire efficacement aujourd'hui, mais c'est un problème que l'informatique quantique pourrait résoudre efficacement dans l'avenir, et on parle désormais de cryptographie post-quantique pour des systèmes qui sauraient résister à ça.

En 2008, un bug dans un système de crypto asymétrique packagé par Debian était trouvé : le générateur aléatoire qui servait à créer les clés était trop peu aléatoire suite à une modification malheureuse du code : il n'y avait plus que 32000 clés possibles, et donc il devenait super rapide de toutes les tester et ainsi de décrypter toute communication chiffrée (il faut bien comprendre que derrière, il y a des vulnérabilités dans le secteur bancaire, par exemple).

Ces protocoles sont vraiment absolument partout de nos jours, dans des couches plus ou moins visibles (si vous cherchez la clé publique d'un site web en Https, ça devrait être faisable ; si vous cherchez la clé publique du système de mise à jour du firmware d'un objet connecté, c'est peut-être plus difficile). C'est néanmoins cette dernière opération qu'a fait ce blogger sur sa voiture, une 2021 Hyundai Ioniq SEL. En fouillant attentivement, il a fini par trouver la clé publique, mais normalement cela ne permet rien de faire. Sauf qu'ici, la clé publique entrée dans google a montré que cette clé est celle utilisée dans un tutorial du NIST (National Institute of Standards and Technology). Autrement dit, chez Hyundai, ils ont suivi à la lettre le tuto, mais sans faire l'étape de générer leur clé par eux-même…

Concrètement, ici c'est un bug grave mais qui ne représente qu'une étape intermédiaire insuffisante pour causer des problèmes massifs (si je comprends bien). Cependant, il ne faut pas sous-estimer ce genre de bêtises : imaginez si simultanément tous les freins de tous les modèles d'une voiture en circulation cessent de fonctionner.

On sous-estime souvent la complexité que représente un navigateur web de nos jours. Il y a pourtant des indices dans le nombre de choses qu'ils font :
- analyse de la requête (et bascule parfois vers un moteur de recherche)
- requête DNS
- utilisation ou non de proxy
- utilisation (souvent) de crypto (ce qui demande en fait des tas de choses complexes dont des vérifications de certificats qui sont échangés au début de l'échange de données)
- gestion de la mémoire/sandboxing (c'est-à-dire éviter que le site web puisse accéder au reste de votre ordinateur où forcer votre navigateur à lire/écrire dedans)
- gestion de périphériques externes (son, carte graphique pour de l'affichage 3d)
- permettre l'exécution de code javascript de plus en plus vite malgré la taille croissante des applis
- permettre de coder des addons sans que les addons ne puissent trop casser un point ci-dessus
- historique, cookies, onglets, encodages, impression, mode privé, gestionnaire de mots de passe, notifications, etc.

Et bien entendu, absolument tout est fait pour que ce soit transparent pour nous : pour qu'on ne presque jamais confronté.e.s à la complexité de ces outils. On clique, il y a une fenêtre, on tape un truc on a la réponse. Tout ceci fonctionne de manière si simple que beaucoup de dévs sont tenté.e.s d'utiliser du web à toutes les sauces. Par exemple, plein d'applis sur telephone portable sont juste un browser spécialisé qui ne peut consulter qu'une page, et qui se contente donc de charger les bonnes infos depuis le bon site (une sorte de browser minimal bridé). Les bibliothèques de fonction permettant de faire fonctionner de telles applis sont bien partagées et fonctionnent bien, à tel point que souvent le plus simple est de tout faire à partir de là (parfois, une appli va générer elle-même une page web et faire appel à ces fonction pour l'afficher, plutôt que de générer graphiquement le rendu désiré).

Eh bien sachez que vous avez de la chance d'avoir des navigateurs propres, libres et gratuits qui ne vous trahissent pas (comme firefox, brave, chromium, opera, etc.). Parce qu'un navigateur qui vous trahit, c'est assez embêtant : le navigateur peut souvent faire ce qu'il veut sur votre ordi, il a accès à vos mots de passe (et il pourrait les enregistrer dans votre dos), il peut faire fuiter des informations d'autant plus facilement qu'il n'existe quasi que sur des terminaux reliés à internet. Bref : méfiez-vous des navigateurs qui ne sont pas libres, ne peuvent pas être contrôlés par plein de gens avant d'être installés sur vos téléphone/ordinateurs.

Un bon exemple de ça dans l'actualité, c'est qu'un informaticien s'est rendu compte qu'un navigateur sur téléphone portable récupérait vos mots de passe. J'explique :
- imaginez vous êtes sur votre téléphone
- vous regardez souvent des vidéos tiktok, donc vous installez l'application et vous l'utilisez pour regarder des vidéos
- un jour, dans un commentaire, quelqu'un poste une url
- vous cliquez dessus

À ce moment, ce n'est pas le navigateur de votre téléphone qui va ouvrir le lien, mais un navigateur interne à l'application tiktok. Et ça ne coute pas très cher à tiktok de mettre son propre navigateur, parce que les bibliothèques sont de toute façon très présentes sur les téléphones. Seulement, tiktok peut modifier le navigateur et vous n'en saurez jamais rien. Ce navigateur modifié peut vous surveiller, surveiller ce que vous visitez ou ce que vous faites, lire vos mails etc. Bref : c'est pas fiable du tout.

Là où ça devient carrément bouffon, c'est que comme c'est compliqué de programmer un navigateur-espion, les gens de tiktok ont simplement modifié leur navigateur pour qu'il rajoute du code javascript à la volée sur la page. Du coup, au lieu d'avoir un logiciel modifié qui vous espionne (ce qui serait difficile à détecter), leur surcouche se retrouve au même niveau que le code javascript de la page que vous visitez, et celle-ci peut donc détecter le code ajouté. C'est précisément ce que fait cette page : elle analyse le code javascript sur la page, et si elle trouve d'autres choses que ce que son auteur y a mis, elle met une alerte.

Bref : pour le dire vite, les applis intégrées à tiktok, Fb, instagram, et messenger modifient le code de la page. Dans le cas de tiktok, la modification surveille toutes les frappes au clavier que vous écrivez.

Maintenant, pour vous, que faire ?
- si vous pouvez, évitez d'utiliser ces applis sur votre téléphone
- si vous le devez, essayez de les configurer pour que les urls soient ouvertes avec votre navigateur préféré plutôt que par le truc interne à l'appli (en bonus, votre bloqueur de pub pourra fonctionner)
- dans tous les cas, ne tapez jamais un mot de passe avant d'avoir eu une garantie raisonnable que vous pouvez faire confiance à votre navigateur…

Il y a quelques minutes maintenant, la société cloudlfare a décidé de bloquer l'utilisation de ses outils de sécurité pour le site kiwifarm.

Kiwifarm est un site d'extrème droite qui recense des informations personnelles sur des "cibles", souvent des personnes LGBT+, et envoyait des menaces, des alertes à la bombe, des accusations de terrorisme, etc. pour leur pourrir la vie (on parle littéralement de suicides, de personnes qui changent de pays, sont menacées régulièrement, ainsi que leurs familles, etc.

Pour donner une idée de jusqu'où ça va, ces tarés ont identifié la localisation d'une de leur cible en fuite dans un pays étranger sur une photo, avec les draps de l'hôtel... On trouve d'autres histoires récentes.

Cloudflare est une société de sécurité informatique. Ils proposent de l'hébergement de contenu (mais ils n'hébergent pas kiwifarm) et des outils de sécurité informatique (protection contre les attaques DDoS, par exemple). Ils ont expliqué ici les motivations de cette coupure, en mettant en avant un danger de mort imminente.

On peut juste souligner, sans vouloir tomber dans le cynisme, que des gens sont déjà morts suite aux actions de kiwifarm par le passé, que tout laissait à penser que ça allait continuer, et que les menaces de clients de changer de fournisseur de service ne sont pas forcément étrangères à ce revirement. Mais l'un dans l'autre, c'est une (première) bonne nouvelle, en attendant un hypothétique traitement judiciaire.

Ce qui me fait penser, à quand les actions contre les sites de terrorisme d'extrême droite ? On va continuer de regarder ce genre de sites en expliquant "holala, boys will be boys" tout en faisant semblant de traquer les sites islamistes ?

___

The seagull / wonder if she is sad / left alone without being touched / by the blue of the sky / or the blue of the sea.

Satori9960 a écrit :

La plupart des moyens de lutte sont faibles contre des personnes qui souhaitent communiquer entre elles (chiffrement e2e, popularisée avec des applications simples d'accès, par exemple Telegram très réputé pour être l'outil utilisé par des terroristes).

Les choses sont différentes quand il s'agit de taper sur la propagande, et une mesure comme le deplatforming de kiwifarm diminue largement leurs moyens de toucher des personnes "juste un peu curieuses". En cela c'est une bonne nouvelle.

Après, on va retomber sur un de mes sujets favoris, mais reconnaitre un discours d'extrème droite est quelque chose qui s'apprend, et qui nécessite d'y consacrer du temps. Même si cela me parait clair, quelqu'un qui balancerait par exemple sur un forum de KI une saloperie genre "on sait bien qui sont les délinquants en France mais je peux pas le dire sinon je me ferais censurer" ne serait sans doute pas modéré aujourd'hui (il y a encore un post d'un modérateur qui fait immédiatement le lien entre délinquance est immigration tranquillou pépouze). Tu ajoutes à ça que ledit discours est mouvant, qu'il y a des gens avec du pouvoir difficilement censurables (parce qu'ils peuvent mettre sur pied leur propre plate-forme ou pour d'autres raisons, cf Trump), etc.

Ici la censure de kiwifarm fait suite à une campagne organisée par des militant.e.s LGBT (en réponse au harcèlement que des membres de cette communauté subissaient). C'est le rapport de force qui a triomphé, et ça donne des pistes pour la suite.

Edit : un thread sur l'actualité récente concernant kiwifarm.