Kubernetes déclare que dans sa dernière version (la version 1.20) ils vont déprécier Docker.

Qu’est ce que ça veut dire ?

Est-ce que vous ne pourrez plus utiliser de conteneurs avec Kubernetes

Est-ce que vous allez devoir reconstruire tous vos conteneurs ?

Rassurez-vous, non.

Alors qu’est ce que c’est docker par rapport à Kubernetes et par rapport aux conteneurs ?

En fait, Docker c’est une appli extrêmement complexe qui certes fait de la conteneurisation mais elle veut aussi faire la gestion de réseau, gestion de volume et caetera… De la construction de conteneurs, les faire tourner et caetera…

Ça se voulait une solution absolument contexte. Ils avaient fait docker swarm par exemple. Ils se voulaient être un concurrent de Kubernetes.

Ou plutôt Kubernetes était un concurrent de Docker Swarm parceque si je me souviens bien, Swarm est sorti avant. Faut peut-être vérifier ça, je suis pas sûr.

Mais la conteneurisation en tant que tel, le fait de faire tourner des conteneurs, c’est pas spécifique à Docker. Ces couches de programmation, Docker, les a en commun avec tout un tas d’autres projets dont Podman (dont vous avez sûrement entendu parler si vous suivez la chaîne)

Et il y en a un autre qui s’appelle CRI-O et Kubernetes, lui, veut tendre tout vers CRI-O.

Alors comment ça se décompose ces couches de programmation ?

Tout d’abord, à la base on a Runc qui est compatible et qui est maintenu par l’Open Container Initiative, une association qui gère ça et Runc, par exemple pour concourse-CI, est le niveau le plus bas sur lequel il peut gérer des conteneurs.

Au dessus de Runc, du coup, on a une couche de programmation qu’on appelle containerd qui a été à la base conçu par les ingénieurs de chez Docker et qu’il a ensuite libéré. Alors je crois qu’ils l’ont envoyé à l’Open Container Initiative mais je suis pas sûr de ça. Mais quoi qu’il en soit, c’est maintenant commun à d’autres systèmes que Docker.

Et au dessus on a Kubernetes et Docker.

Kubernetes, jusqu’à présent, utilisait un outil qui s’appelle Docker-shim. Il était là pour faire la traduction entre Docker et Kubernetes.

Parce que Kubernetes ne gérait pas directement Docker. Il était obligé de passer par ce système parce que l’API de Docker était très touffue et différente de celle de Kubernetes.

Donc l’équipe de Kubernetes a dit :

“bon, on a 2 standards, runc et containerd pour faire tourner les containers. Maintenant, nous on a inventé Container Runtime Interface donc une interface pour pouvoir accéder à containerd et runc qui est beaucoup plus légère qu’on appelait CRI. Et l’implémentation, CRI-O. Alors, pourquoi on continue avec ce truc lourdingue qu’est Docker avec lequel on est obligé de passer par un truc qui s’appelle Docker-Shim qu’est instable et tout ? Pourquoi on passe pas tous directement sur CRI-O ?”

Ils ont pris la décision de tout passer sur CRI-O. Alors, il y a peut-être d’autres supports aussi que CRI-O.

Et donc normalement c’est beaucoup plus léger.

Ça veut dire quoi ?

Vos containers que vous avez construit avec Dockerfile ou avec d’autres systèmes qui prennent en compte Docker sont toujours compatibles.

Il y a peut-être des problèmes à la marge mais normalement ils sont toujours compatibles avec votre Kubernetes.

Donc ça ne va rien changer pour vous si votre coeur de métier c’est de faire des containers.

Ça va changer pour ceux qui veulent mettre en place du Kubernetes. Parce que là ils ne pourront plus utiliser Docker pour gérer les containers de leur infra Kubernetes.

Ils vont devoir passer par CRI-O mais il est beaucoup plus léger que Docker donc normalement ça devrait être beaucoup plus performant.

L’inconvénient, c’est que CRI-O, lui, ne peut pas construire de container. Il peut juste les faire tourner. En plus lui même, je crois, ne gère pas le réseau, tout ça c’est délégué à Kubernetes. Alors que Docker, lui, gérait du réseau.

Donc pour build, il faut toujours soit passer par Docker, soit passer par d’autres solutions comme Podman/Buildah (nous on veut tendre vers ça).

Et ensuite, une fois que le container est construit, on peut toujours le faire tourner sur Kubernetes avec CRI-O.

Donc, ne vous affolez pas, vos containers sont toujours compatibles avec Kubernetes même s’il ne tourneront plus avec Docker dans Kubernetes.

Voilà.

Chef publie des solutions de déploiement et tests d’infrastructure, dont Inspec, une solution de test système.

Chez Limawi, nous utilisons Inspec en version opensource pour tester l’état de nos systèmes.

Il y a un an, Chef a rendu ses binaires compilés propriétaires à partir du code source resté opensource. Pour ne pas être rendu dépendant de cette nouvelle licence, nous avons décidé de compiler notre propre Inspec.

Puis, nous avons migré vers cinc-auditor il y a quelques temps. Cinc-auditor est une compilation faite à partir du code source mais avec une licence opensource.

Pour l’instant cette solution dépend du code source d’Inspec. Ce n’est pas un fork.

De plus, Chef a été racheté par Progress. Des vagues de licenciement ont lieu en ce moment chez Chef.

Nous suivons donc de près cette affaire.

N’hésitez pas à suivre cinc sur Twitter.

Sources

• https://www.chef.io/
• https://github.com/inspec/inspec
• https://cinc.sh/start/auditor/
• https://twitter.com/quinnypig/status/1313678400419033089?s=28
• https://github.com/micheelengronne/inspec
• https://twitter.com/cincproject

Mise en place par DigitalOcean, il y a 7 ans.

Les participants gagnent un T-shirt s’ils ont 4 PR(«push request») réussies sur le mois d’octobre au sein de projets opensource hébergés sur Github.

Cette année, le challenge a dérapé (plus que les années précédentes). Un youtubeur, qui dispose d’ une large communauté, a montré comment gagner un T-shirt en employant une technique s’apparentant à du spam. Le tout ressemblant à de l’attaque DDOS sur les projets visés. Les mainteneurs ont été débordés de requête d’ajout de code sans intérêt. Les infrastructures de test ont fait tourner des instances inutilement.

DigitalOcean a décidé d’y remédier en ne validant que les PR sur projet ayant opt-in (en mettant le label Hacktoberfest sur le repo Github.). Github a créé la faculté d’interdire les PR provenant de comptes créés trop récemment.

Les spammers ont alors imaginé une solution. Ils ont créé des repos Github opensource automatiquement et ont créé des PR dedans qu’ils validaient eux-mêmes.

Nous sommes le 8 octobre et comme son nom l’indique cela va continuer tous le mois. D’autres surprises ne manqueront pas de venir.

N’hésitez pas à suivre le compte shitoberfest sur Twitter pour vous délecter des perles de code pourri et pleurer avec les mainteneurs.

Sources

• https://github.com/Stanford-BASES/Website/pulls
• https://github.com/android-police/androidpolice-public/pull/127
• https://github.com/narze/jubeat-memo-analyser/pull/1
• https://github.com/COVID19Tracking/website/pulls?q=is%3Apr+is%3Aclosed+label%3Aspam
• https://github.com/search?q=auto-hacktober&type=Repositories
• https://joel.net/how-one-guy-ruined-hacktoberfest2020-drama
• https://twitter.com/shitoberfest

WhatsApp est une application de messagerie qui chiffre les communications de bout en bout.

Le chiffrement de bout en bout consiste à chiffrer vos messages directement sur votre appareil. La communication qui est envoyée sur Internet par les serveurs de WhatsApp est déjà chiffrée. Seul votre correspondant peut la déchiffrer.

C’est intéressant car vous pouvez faire passer des communications en utilisant des serveurs dans lesquels vous n’avez pas confiance, ils ne pourront pas les déchiffrer.

La semaine dernière, Facebook, l’entreprise qui gère WhatsApp, a annoncé qu’une faille de sécurité sérieuse avait été trouvée.

Beaucoup de gens et médias ont annoncé que le chiffrement de bout en bout ne fonctionnait donc pas et n’était pas sûr.

C’est totalement faux.

La faille

Facebook a publié un identifiant CVE (Common Vulnerabilities and Exposures) expliquant la faille.

Un identifiant CVE, c’est un format de publication de failles permettant de les lister dans un dictionnaire pour pouvoir avertir rapidement les spécialistes.

En lisant cet identifiant, on se rend compte que la faille n’a rien à voir avec le chiffrement de bout en bout.

C’est en fait une faille qui apparaît quand on répond au téléphone à travers WhatsApp et qui met en cause la mémoire tampon.

La mémoire tampon est une partie de la mémoire ou du disque d’un appareil qui sert à stocker temporairement des informations pour qu’un logiciel puisse les réutiliser rapidement.

Le système alloue un emplacement sur cette mémoire à chaque logiciel.

Cette attaque consiste à envoyer des paquets d’informations à l’appareil de la victime quand elle répond au téléphone, en plus des paquets d’informations qui forment la communication.

Ces paquets profitent ensuite d’un « dépassement de tampon », c’est ça la faille. WhatsApp écrit ces paquets dans un emplacement sur la mémoire tampon du téléphone. Cet emplacement est normalement alloué à un autre logiciel ou n’est pas alloué du tout.

Ces paquets permettent d’espionner entièrement l’appareil.

Cette attaque ressemble et a été ensuite confirmée comme provenant du NSO-group. C’est une entreprise qui conçoit des logiciels espions pour les états. Cette attaque ressemble à ce que peut faire un de leur programme nommé Pegasus.

Il semble que NSO-group ait exploité la faille, c’est ce qui a déclenché sa découverte. Rien n’empêche d’autres groupes d’avoir fait de même sans que ce soit su.

Donc, si vous avez WhatsApp, mettez à jour avec la version officielle, disponible sur les App Stores !

Sources

• nakedsecurity.sophos.com
• facebook cve
• mitre

Ces emails commencent souvent par :

« J’ai hacké votre ordinateur car, regardez, je vous écris avec votre propre email ! »

Ou des variantes.

Effectivement, vous pouvez constater que c’est votre propre adresse email qui est l’expéditeur. Mais ça ne signifie pas que votre compte a été hacké.

Un peu d’histoire

L’email a été inventé en 1965, bien avant Internet. Il servait de moyen de communication entre ordinateurs et était loin de sa forme actuelle. Il n’y avait pas, au tout début, d’arobase. Les adresses email ont donc été inventées après le système lui-même. La première adresse était « omlinson@bbn-tenexa » sans terminaison de type « .com » ou « .org » car le système des noms de domaines n’était pas encore inventé.

Cet outil a donc été pensé avec les problématiques de son époque. C’était encore un système peu utilisé et les utilisateurs respectaient des chartes de bonne conduite qu’elles proviennent de leurs universités, de centres de recherches ou des entreprises.

L’usurpation d’identité n’avait pas été prise en compte, pas plus que le chiffrement des emails. Tout le monde pouvait envoyer un email en indiquant comme adresse de départ l’adresse email de n’importe qui. Et c’est toujours le cas.

Des normes

Bien sûr, comme pour le chiffrement des emails (rappelez-vous de « PGP » de Booba), de nouvelles normes ont tenté d’y remédier.

C’est le cas de la spécification DMARC qui implémente deux normes (DKIM et SPF). Cette spécification a pour but d’authentifier l’expéditeur de l’email. Elle donne alors au destinataire les règles à appliquer si l’authentification échoue.

Sauf que cette spécification n’est pas implémentée partout et que les règles à appliquer peuvent ne pas classer comme frauduleux l’email qui l’est, ou le classer comme spam, ce qui n’empêche donc pas l’email d’arriver dans la boîte de la victime et de produire son effet.

Donc, le fait que l’adresse de l’expéditeur soit votre adresse n’indique rien sur une éventuelle faille de votre système. Le spammer a simplement fait un programme avec la même adresse email pour l’expéditeur et le destinataire et a utilisé ce programme avec des millions d’adresses emails dont la vôtre.

Alors, comment s’assurer que ce qu’il avance est faux ?

Lisez l’email et vous noterez quelque chose. Entre les menaces, l’adresse Bitcoin pour payer et l’ultimatum, vous ne voyez apparaître absolument aucune information personnelle vous concernant ainsi qu’aucun moyen de contacter le prétendu pirate. C’est simplement parce qu’il n’a aucune information personnelle sur vous vu qu’il n’a rien piraté du tout.

Donc, direction les spams.

Il est à noter que nous avons reçu de multiples variantes de cet email. Nous avons la version classique, en anglais, la version plus rare en français, celle en allemand et celle pour les professionnels menaçant d’attaque DDOS contre notre infrastructure. Au passage, pour les attaques DDOS, en général les vrais pirates font une petite démonstration effective avant de menacer.

Comment devinent-ils la langue ou le fait que nous soyons professionnels ?

C’est parce qu’ils récupèrent les adresses emails dans des listes provenant de sites qui, eux, ont été vraiment compromis. Si les sites sont en français, alors les adresses emails ont un message en français, si les sites sont des sites de professionnels (comme par exemple Docker qui s’est, récemment, fait piraté sa base utilisateurs) alors les adresses email ont droit au message pour les professionnels.

Sources :

• Clip officiel de Booba
• Site officiel de PGP
• Site officiel de GnuPG
• GnuPG sur mac OS
• GnuPG sur Windows
• GnuPG sur Android
• Cryptotrucs épisode 3, la cryptographie symétrique

Qu’est-ce que PGP ?

PGP est l’acronyme de « Pretty Good Privacy » qui veut dire « assez bonne vie privée ». PGP est un outil de cryptographie propriétaire appartenant à Symantec. Cet outil a été réécrit en opensource en 1997 sous une norme nommée OpenPGP. En 1999, une alternative entièrement opensource mais compatible avec OpenPGP a été publiée, c’est GnuPG ou GPG.

Je vous conseille GnuPG si vous ne voulez pas que ce soit « un peu plus cher » (dixit Booba) et c’est autant « de la qualité » voire plus.

Ce protocole sert à sécuriser l’échange et le stockage de données entre deux interlocuteurs. Il est basé sur un algorithme de cryptographie symétrique et un algorithme de cryptographie asymétrique.

Vous pouvez en apprendre plus sur la cryptographie symétrique en regardant l’épisode 3 de Cryptotrucs. (Spoiler alert : On abordera la cryptographie asymétrique dans l’épisode 4.)

GPG utilise deux fichiers de chiffrement. Un fichier sert à chiffrer et l’autre à déchiffrer. Ce fonctionnement repose sur la cryptographie asymétrique. Le fichier qui sert à chiffrer est nommé partie publique ou clé publique. Le fichier qui sert à déchiffrer est nommé partie privée ou clé privée.

L’avantage d’avoir ces deux fichiers est que vous pouvez diffuser, à tous vos contacts, la partie publique (d’où son nom, « publique ») et ne pas mettre en danger la sécurité de vos échanges. C’est la partie privée, que vous gardez pour vous, qui garantit cette sécurité.

Comment ça fonctionne ?

Un de vos contacts veut communiquer avec vous. Il utilise la partie publique que vous lui avez envoyée pour chiffrer son message. C’est comme un cadenas. Une fois le message chiffré, cadenassé, il ne peut plus le déchiffrer. C’est vous seul qui possédez la clé du cadenas.

Il vous envoie ce message chiffré et vous le déchiffrez donc avec votre partie privée.

Vous voulez lui envoyer un message, vous utilisez sa partie publique, son cadenas. Et là, lui seul possède la clé de son cadenas, donc lui seul peut déchiffrer le message.

Mais, comme je l’ai dit, PGP et GPG utilisent aussi une clé symétrique. Pourquoi ?

GPG utilise une clé symétrique pour gagner en performance. Au moment de chiffrer le message, l’outil génère une clé symétrique. C’est cette clé qui chiffre le message, ce qui est performant. Ensuite, la partie publique de l’algorithme de cryptographie asymétrique chiffre la clé symétrique.

La clé symétrique étant généralement plus petite que le message, il est beaucoup plus rapide pour la partie publique, le cadenas, de chiffrer la clé symétrique que le message.

Grâce à cet outil, la « nezo » (dixit Booba) est effectivement « bien quadrillée » .

Voilà pour PGP et GPG.

Dans les sources se trouvent les liens des outils pour macOS, Windows ou Android.

Bien sûr, on n’a gratté que la surface de ce que ce protocole peut faire. On ira beaucoup plus loin dans un épisode prochain de Cryptotrucs.

Un mot de passe n’est pas sensé être lisible au sein d’un système. On utilise un algorithme cryptographique qu’on appelle un hash pour le stocker de façon illisible.

On parlera de cette technique dans un épisode de Cryptotrucs.

Le but de ce procédé est d’éviter qu’un éventuel hacker puisse récupérer les mots de passe. Cela réduit considérablement les risques de fuites.

Facebook stocke correctement ses mots de passe, semble-t-il. Mais ils ont oublié les logs.

Un log c’est un dispositif qui permet de recueillir des informations sur le comportement d’un système, quel utilisateur s’est connecté, quand, et plus encore.

Il sert souvent à débugger mais peut aussi servir à suivre le comportement des utilisateurs.

La faille elle-même

Dans le cas de Facebook, le log recevait l’information de connexion d’un utilisateur avec son mot de passe lisible.

Jusqu’à janvier dernier (2019), les mots de passe utilisateurs étaient enregistrés en clair dans les logs internes de Facebook.

Il semble que ces mots de passe étaient accessibles à tous les employés Facebook mais pas en dehors. Selon Facebook, du moins.

Facebook dit qu’il n’est pas nécessaire de changer ses mots de passe Facebook et Instagram (Instagram est une filiale de Facebook) mais des experts en cybersécurité disent le contraire.

Ce que j’en dis

Si les mots de passe n’ont pas été récupérés par d’autres que les employés Facebook, alors le risque est minime. Les employés ont de toute façon la possibilité d’ouvrir des sessions au sein de Facebook et Instagram à votre place.

Sauf que

On n’a que la parole de Facebook et ils sont plus que vagues sur ce sujet.

Vous utilisez peut-être le même mot de passe ailleurs (même si ce n’est pas conseillé) et dans ce cas les employés Facebook peuvent y accéder.

Je vous conseille donc de changer vos mots de passe mais aussi d’activer la double authentification pour renforcer la connexion en cas de fuite de mot de passe.

J’ai mis en bas d’article de multiples ressources sur comment faire un bon mot de passe et la double authentification.

Enfin, surveillez vos sessions Facebook et supprimez les sessions que vous ne connaissez pas.

Vous faites ça, à la fois, sur Facebook et sur Instagram.

Sources

• krebsonsecurity
• Un bon mot de passe
• La double authentification

Elle est de type CSRF (Cross-Site Request Forgery).

Qu’est ce que c’est ?

Le hacker cache des urls spécifiques dans un site malveillant qui permettent d’effectuer des actions sur le site victime en l’occurrence Facebook.

Le hacker fait en sorte que l’abonné Facebook clique sur ces liens.

Comme c’est l’abonné qui clique le site malveillant utilise les droits de cet abonné pour effectuer des actions rendues possibles par ces urls en utilisant le lien.

Le hacker pouvait accéder à des informations confidentielles voire même les modifier.

Ils pouvait accéder à tout le profil d’un abonné Facebook

En fait, le hacker pouvait même effacer le compte Facebook attaqué.

L’utilisateur Facebook pouvait réduire le risque en activant la double authentification sur son compte Facebook.

Cette faille a été vite comblée et le chercheur qui l’a trouvée a reçu les 25000 dollars prévus par le bug bounty de Facebook.

Sources :

• https://thehackernews.com/2019/02/hack-facebook-account-password.html
• https://www.nextinpact.com/lebrief/38097/7824-facebook-colmate-une-faille-qui-permettait-de-prendre-le-controle-d-un-compte-via-un-simple-lien

C’est une énième faille dans le système d’exécution spéculative.

Intel et d’autres concepteurs ont inventé un système qu’on appelle l’exécution spéculative. Cela consiste en gros à calculer en avance les données qui seront potentiellement utilisées à l’avenir et à les stocker dans un coin tout à côté du processeur pour qu’il puisse y accéder très rapidement ça permet de gagner en performance.

les chercheurs ont trouvé un risque qui pourrait aider les hackers à considérablement réduire le temps nécessaire pour leurs attaques.

Dans le cas d’Intel et pour cette faille, qui est la faille SPOIL, on a un souci à cette étape là.

En effet, le processeur quand il vérifie ces données spéculatives, ces données calculées en avance, il ne met pas tout à fait le même temps si ces données sont seules en mémoire ou s’il y a d’autres données avec elle en mémoire.

Le hacker regarde juste la différence de temps entre ces deux cas et si il y a une différence de temps ça veut dire qu’il y a d’autres données dans la mémoire.

Donc c’est à dire que c’est là qu’il faut attaquer. Ça réduit considérablement le temps car au lieu de devoir attaquer toute la mémoire ils savent les points spécifiques où ils peuvent tirer des données.

Ces données étant potentiellement des mots de passe et d’autres informations qui sont censées rester confidentielles.

Intel a répondu qu’on pouvait réduire ce type de faille en faisant des applications qui vérifiaient bien que les données que le processeur leur fournissaient étaient bien celles dont ils avaient besoin.

Sources :

• https://www.developpez.com/actu/249846/L-architecture-de-tous-les-CPU-Intel-remise-en-question-apres-la-decouverte-de-SPOILER-une-nouvelle-faille-difficile-a-corriger-par-voie-logicielle/
• https://www.pcgamer.com/researchers-discover-a-new-spoiler-cpu-flaw-similar-to-spectre-but-intel-isnt-fretting/
• https://appleinsider.com/articles/19/03/05/new-spoiler-vulnerability-in-all-intel-core-processors-exposed-by-researchers
• https://www.zdnet.com/article/all-intel-chips-open-to-new-spoiler-non-spectre-attack-dont-expect-a-quick-fix/

La recherche : https://arxiv.org/pdf/1903.00446.pdf

C’est une attaque DNS.

Alors un DNS c’est quoi ?

Un DNS est un annuaire qui convertit un nom de domaine qui est lisible par un être humain comme par exemple facebook.com en une adresse ip qui est lisible par une machine, par un ordinateur.

L’attaque consiste à faire croire que le nom de domaine que vous visitez (par exemple facebook.com) correspond bien aux serveurs de facebook alors qu’en réalité ce sont les serveurs d’un hacker, d’un attaquant.

Alors, Brian Krebs, un expert en cybersécurité américain, s’est penché sur la question et nous a sorti un rapport.

Au vu de ce rapport les premières attaques datent de février 2017 mais elles se sont amplifiées à partir de décembre 2018.

Elles concernent principalement des acteurs du moyen-orient, des entreprises comme des organismes d’état.

Mais les IPs des hackers sont vraisemblement des IPs européennes, allemandes apparemment.

Donc les attaques en question sont des attaques qui concernent les DNS (les serveurs de noms de domaine) et les registrars.

Les registrars ce sont les entreprises qui enregistrent des noms de domaine pour vous et qui les mettent ensuite publiquement en place.

Par exemple, facebook.com à un registrar qui annonce au monde entier que facebook.com c’est telle IP, telle IP et telle IP.

Les attaques ont eu lieu donc sur ces noms de domaine et sur ces registrars.

Alors on entend partout dans les journaux que ce sont des attaques ultra compliquées et tout.

En fait non, c’est tout simple, c’est le même type d’attaques que quand vous laissez traîner un post-it avec votre mot de passe et que quelqu’un accède à votre ordinateur grâce à ce post-it et ce mot de passe.

En fait les régistrars et les services de noms de domaine n’ont pas mis en place de sécurité d’accès suffisante

Donc le hacker s’est introduit dans les systèmes tout simplement et a changé à sa façon la relation entre les noms de domaine et les IPs correspondantes. Il a mis ses IPs à lui à la place des IPs officielles.

Alors vous vous ne pouvez pas faire grand chose pour contrer cette attaque. C’est le boulot qui revient au registrar, au service de noms de domaine particulier, et eux doivent essayer de renforcer l’authentification sur ces services là pour éviter qu’un hacker pénètre à leur place.

Ils peuvent mettre en place un outil qu’on appelle DNSSEC.

Je parlerai dans un futur article de ce dernier.

Sources :

• https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/
• https://www.mandiant.com/resources/global-dns-hijacking-campaign-dns-record-manipulation-at-scale

Alors qu’est ce que c’est un bug bounty ?

C’est un programme au sein duquel vous pouvez hacker un site ou une infrastructure de façon légale. À condition de respecter certaines règles, celles qui sont donnés par le bug bounty.

Et si vous trouvez des failles de sécurité vous êtes rémunéré. Donc la suisse met en place ce système de vote électronique.

Le projet est soutenu par la poste suisse. Avant même le démarrage du bug bounty, des parties du code source ont fuité sur internet et des experts en cyber sécurité et cryptographie ont donc pu se pencher sur ce code qui a fuité.

Les retours sont mitigés. Les experts ont vu que la qualité du code n’est pas optimale, elle peut être bien meilleur. Le système est extrêmement complexe, dans le sens compliqué du terme, et c’est un peu inquiétant. Car, pour l’instant, beaucoup de projets de vote électronique de par le monde ont échoué dû à la complexité, à la complication et aux failles trouvées tout au long du développement.

Donc ce projet ne part pas sur des bonnes bases. De plus, la poste suisse a du mal à comprendre le concept de code ouvert. Elle a mis en place des règles, concernant ce bug bounty, qui empêchent la divulgation de ces failles et la restitution de ces failles dans leur contexte ce qui est contre-productif. Cela limite énormément la capacité qu’ont les experts de pouvoir étudier ces failles et donc s’en prémunir et améliorer le système.

De ce point de vue, la poste suisse ne comprend pas la loi de Linus, dont je parlerai plus tard, et du second principe de Kerckhoffs dont j’ai déjà parlé dans un épisode (ce sont des principes fondamentaux pour la cryptographie et pour le bon fonctionnement d’un outil d’un système informatique).

Donc c’est un peu bizarre de la voir danser sur ses deux pieds entre le bon système qu’est le bug bounty et la mauvaise façon de faire qui est de vouloir à tout prix cacher son code et éviter qu’ils soit divulgué.

Sources :

• https://www.evoting-blog.ch/en/pages/2019/public-hacker-test-on-swiss-post-s-e-voting-system
• https://www.vice.com/en/article/vbwz94/experts-find-serious-problems-with-switzerlands-online-voting-system-before-public-penetration-test-even-begins
• https://twitter.com/stephanekoch/status/1099241685392019456
• https://www.csoonline.com/article/3269297/online-voting-is-impossible-to-secure-so-why-are-some-governments-using-it.html

En effet, beaucoup de leurs clients les appelaient aimablement pour leur dire que leur gestionnaire de mots de passe ne fonctionnait pas pour certains sites (aimablement tu parles).

Votre gestionnaire de mots de passe, il fonctionne pas pour ces sites là, c’est de la merde

Et donc, ces ingénieurs sont allés voir qu’est ce que c’était que ces sites là. Ce qu’ils ont trouvé est effectivement nouveau.

Regardez cette page, vous voyez le pop-up du social login de facebook.

C’est à dire que les gens quand ils veulent se loguer au site qui est derrière, ils rentrent leur login et leur mot de passe dans ce pop-up de Facebook et ça les loggent avec leur compte facebook sur ce site.

Ouais mais là c’est pas tout à fait le cas.

Vous avez repéré ?

C’est pas le pop-up de Facebook.

Ces infos pop-up, c’est en fait un cadre au sein du site qui imite le pop-up de Facebook mais c’est au sein du site.

C’est à dire que si les gens mettent leur login et leur mot de passe Facebook là dedans c’est le site qui récupère ces mots de passe Facebook.

Et donc des pirates fabriquent des faux sites avec ça pour récupérer login et mot de passe des gens.

Alors comment s’en protéger ?

Et bien, quand vous avez un pop-up Facebook comme ça, essayez de la déplacer dans la fenêtre.

Si vous n’arrivez pas la sortir de la fenêtre c’est que c’est un élément de la page. Et donc c’est pas un pop-up facebook.

Ne rentrez pas votre login et votre mot de passe là-dedans.

Sources :

• Article de Myki : https://myki.com/blog/facebook-login-phishing-campaign/

Le WPA2 est le protocole d’authentification des réseaux WI-FI qui était considéré comme sûr jusqu’à présent et qui remplaçait, depuis 2004, le protocole WEP (percé en 2001). Il est le standard de sécurité des réseaux WI-FI protégés du monde entier.

Surface d’attaque

La surface d’attaque de ce moyen est limitée et peut être réduite. Tout d’abord, l’attaquant doit se trouver à portée du signal du WI-FI pour effectuer l’attaque.

Ensuite, l’attaque concerne le mécanisme d’authentification du WI-FI. Elle ne remet pas en cause la sécurité des données stockées sur les appareils. Les données potentiellement vulnérables sont celles qui circulent sur le réseau WI-FI entre les appareils et la borne.

Cette attaque se sert de l’authentification WPA2 comme porte d’entrée mais elle repose sur une faille du système WI-FI lui-même. WPA2, même parfaitement implémenté, ne peut rien contre cette faille. C’est le système WI-FI qu’il faut patcher.

Simplement expliqué, le WI-FI permet de renvoyer des paquets de données parfaitement identiques à la borne qui les traitent sans discernement.

L’attaquant s’appuie là-dessus pour renvoyer les clés d’authentification à la borne depuis son appareil à la place de la victime.

La borne, ne distinguant pas l’envoi du réenvoi, valide l’authentification avec les mêmes clés dans les deux cas. L’attaquant possède donc les mêmes clés de déchiffrement que la victime lui permettant de déchiffrer les échanges entre la victime et la borne.

Comment se protéger

Il y a plusieurs façons de se protéger.

Les mises à jours

Tout d’abord, vérifiez si des mises à jours de sécurité sont disponibles pour vos appareils. Voici la liste des systèmes bénéficiant d’une mise à jour par ZDNet (en anglais). Une politique de mise à jour régulière de vos appareils est à envisager pour être paré contre des attaques futures.

La réduction de la surface d’attaque

Ensuite, veillez à réduire la surface d’attaque. Mettez sur câble ethernet le maximum d’appareils possible et coupez leur WI-FI. Pas de WI-FI, pas d’attaque possible.

Le remplacement du chiffrement

Pour les appareils ne pouvant se connecter que par WI-FI, il faut palier aux failles du chiffrement du protocole WPA2 par un autre chiffrement.

Visitez vos sites web en https, le protocole de chiffrement associé (le ’s’ de https comme sécurité) remplace la défaillance de WPA2 pour les communications site par site. Une extension de navigateur comme HTTPS everywhere peut vous aider.

Installez un VPN sur vos appareils. Il chiffre la totalité du flux entre vos appareils et le WI-FI (et au delà sur Internet). Je vous conseille bien sûr notre service, MyCrypNet, qui a pour avantage supplémentaire de renforcer les fonctionnalités de votre réseau en l’abstrayant des considérations géographiques.