Anonyme sur le web !

Bonjour,

Un petit « post » épidermique suite à un nouvel appel à l’arrêt de l’anonymat sur Internet, les blogs, Twitter ou autre chose… peu importe de la part d’un politique.

Je suis vraiment choqué de voir que les gens qui nous mettons à la tête de notre nation soient aussi mal inspirés que mal conseillés.

Donc pourquoi vouloir lever l’anonymat sur Internet en France est stupide?

Simplement parce que nous ne sommes pas anonyme! Ni techniquement, ni légalement…

Pas convaincu?

Allez voir le site de la CNIL: http://www.cnil.fr/vos-libertes/vos-traces/experience/

Si vous faites le test avec les fonctions de navigation privée de votre navigateur vous serez surpris de voir qu’à partir les cookies… ça ne change pas grand chose…

Toujours pas convaincu?

Allez regarder la petite animation sur https://www.eff.org/pages/tor-and-https

A propos de TOR, personnellement, je ne suis pas suffisamment parano (ou mal honnête) pour l’utiliser… Si un lecteur un retour d’expérience sur l’utilisation de services bancaires, de paiement  ou simplement fiscaux en ligne via TOR, je suis curieux de savoir ce que ça donne… J’aimerai croire mon banquier suffisamment honnête pour rejeter ce type d’accès…

Pour enfoncer le clou, je vous rappelle que quand vous utilisez Internet aujourd’hui:

  • On peut imaginer que votre box a la possibilité d’enregistrer votre activité (ne serait ce pour diagnostique…)
  • Votre fournisseur d’accès à Internet à l’obligation d’enregistrer vos données de connexion et de les conserver (au moins) un an
  • L’héberger des sites que vous consultez ont la même obligation.

Ci-dessous, le resultat d’un traceroute entre chez moi et borbhal.org donne une indication sur le nombre de serveurs qui voient également passer mes requêtes et qui peuvent potentiellement les enregistrer…

Le plus ironique c’est que la loi a été modifiée en 2011 par un décret promulgué par un gouvernement dont à fait parties certaines personnes réclamant la fin de l’anonymat aujourd’hui. (cf: http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013)

Tant que sur les sujets économiques nos élus sont plus avisés…

 

 

 

 

A la découverte d’un keylogger…

Suite à la lecture de l’un de mes blogs favoris Raymond.cc , je suis tombé sur un article sur l’utilisation d’un keylogger en freeware pour « monitorer » l’utilisation d’un PC…

Sans entrer dans le débat sur l’utilisation de ce type d’outils en entreprise, je considère que cela devrait être illégal (même si c’est parfois pratique).

Toujours est-il que j’avais en fin l’occasion de jouer avec  un keylogger et vérifier comment on peut espérer s’en protéger …

Avant de commencer, tout le monde ne sait pas forcement ce qu’est un keyloggger: c’est simplement un petit dispositif (à priori installé à votre insu par un pirate) qui enregistre ce que vous tapez au clavier.

A quoi ressemble le logiciel ?

En gros, on peut voir 3 types d’éléments  :

  • ce qui se trouve à l’écran (par défaut un snapshot à chaque changement de fenêtre)
  • ce qui se trouve dans le presse papier : ici le texte « A quoi ressemble le résultat« 
  • ce qui est saisi au clavier: ici le texte « a quoi ressembkle <BkSp> …« 

A priori, si ce type outil surveille votre PC, vous risquez de divulguer malgré vous tous vos secrets: identifiants, mots de passe,  informations confidentiels.

Dans la mesure où les mots de passe dans la fenêtre de connexion sont cachés par des points ou des étoiles, est ce que mon logiciel va les capturer?

Essayons de  nous connecter à Borbhal:

Effectivement le mot passe est masqué sur la capture:

Par contre, ce que j’ai tapé au clavier apparaît clairement (avec la correction de mes fautes de frappe):

On peut lire sans difficulté que le compte « user_naif » a pour mot de passe « mon mot de passe »

Pour information, si j’avais utilisé des copier/coller pour m’identifier sur le site, le pirate aura récupérer ces informations en capturant le contenu du presse papier.

Une idée pour se protéger est d’utiliser des claviers virtuels pour taper nos codes plus sensibles.

Le premier est celui que tout le monde possède (sans le savoir): OSK fournit avec Windows

Le résultat n’est pas meilleur…

Le nom du compte et le mot de passe sont fusionnés simplement parce que j’ai utilisé ma souris pour changer de champs…

Est ce que les claviers virtuelles fournis par les solutions de sécurité sont plus efficaces ?

Je fais le test avec l’outil fourni par mon Anti Virus:

 

Je constate que:

  • les captures sont blanches tant que le clavier de sécurité est actif (malgré plusieurs essais, j’ai toujours du mal à y croire)
  • Seuls les retours charriots et backspaces sont capturés…

Je n’ai pas essayé avec  du SSO pour voir ce qui était transmis mais pour l’instant il n’y a que le clavier de sécurité de ma solution antivirale qui empêche la capture de mes codes confidentielles.

Petites precisions:

  • par rapport à un « vrai » keylogger, ce freeware ne transmet rien par Internet
  • les captures d’écran prennent beaucoup de place sur le disque (près 15 MO le temps de réaliser les manipulations décrites)
  • Même si j’ai fait mes manipulations sur une petite machine virtuelle sous Windows XP cela fonctionne très bien sous Windows
  • Vérifier la légalité de ce type de logiciel avant de vous en servir en entreprise