SURVEILLANCE
Surveillance
Tester les techniques pour mieux se défendre !
Introduction
p. 08 Prenez soin de vos mots de passe...
p. 22 Vivons cachés, vivons chiffrés : mythe ou réalité ?
Outils
p. 36 Traçage Wi-Fi : applications et contre-mesures
p. 50 Permissions : découverte d’AppArmor
p. 58 Certificats d'identité : utilisation de Let's Encrypt
Techniques
p. 68 Vol de données par Spoofing ARP
p. 74 Extraction d’informations depuis le réseau
p. 84 Vérifiez la solidité de vos clés WiFi
Code
p. 96 Écrire un keylogger en Python ? 10 minutes !
p. 104 Et si on backdoorait /dev/urandom ?
« LA GUERRE C’EST LA PAIX
LA LIBERTÉ C’EST L’ESCLAVAGE
L’IGNORANCE C’EST LA FORCE »
Quoi de mieux que ces slogans de l’AngSoc [1] pour débuter ce hors-série n°1984 ? La littérature et le cinéma ne sont pas avares de ces situations mettant en scène des régimes totalitaires, désireux de tout contrôler, de tout savoir. On peut citer « Hunger Games » en livre [2] et en film [3], ou encore ce bon vieux George Orwell et son fameux Big Brother dans 1984, ainsi que la bande dessinée (et plus tard le film) « V pour Vendetta » [4][5]. Vous aurez d’ailleurs peut-être reconnu en couverture le masque de Guy Fawkes, ce conspirateur anglais mort en 1605, dont le masque est utilisé par V.
De nos jours la surveillance est partout : caméras, profilages numériques, géolocalisation, etc. Nous laissons de plus en plus de « traces » sur Internet et nos communications se font pratiquement essentiellement par la voie numérique. Il n’y a donc pas que les données, au sens de fichiers, qui sont informatives : les sites internet que vous consultez et les recherches que vous effectuez dans votre moteur de recherche (qui se trouve être la plupart du temps Google) peuvent servir à élaborer votre profil de manière assez fiable. En couplant ces informations avec d’autres, glanées éventuellement dans vos mails (qui a parlé de Gmail ?), vous serez très précisément profilé de manière tout à fait légale. Ainsi, avant d’envisager de potentielles attaques, il serait peut-être bon de reconsidérer en premier lieu certaines habitudes d’utilisation. Ces données sont disponibles et ne vous portent pas préjudice tant que les lois nous protègent, mais les lois changent (cf. la loi relative au renseignement qui laisse la porte ouverte à des détournements tels qu’ont pu les imaginer les auteurs cités précédemment).
Rappelez-vous des images filmées dans les locaux de TV5 lors de leur cyberattaque de 2015 : des post-its collés un peu partout avec les identifiants et mots de passe de connexion. La plupart des attaques n’ont pas à être très complexes ni réfléchies de longs mois durant, il suffit d’une erreur commise quelque part dans le système qui facilitera l’accès de l’attaquant. En tant qu’informaticiens, nous sommes tous capables de comprendre l’irresponsabilité de coller les mots de passe sur les machines, c’est un peu comme si Jules César envoyait ses légionnaires vétérans attaquer en formation de tortue... sans bouclier. Il est difficile de lutter contre l’erreur humaine, mais la prise de conscience du danger, amène souvent à modifier son comportement. C’est ce que nous vous proposons dans ce hors-série : comprenez les attaques, testez-les sur vos systèmes pour pouvoir vous en protéger !
La Rédaction
[1] ORWELL G., « 1984 »
[2] COLLINS S., « Hunger Games »
[3] « Hunger Games », « L’embrasement », « La révolte partie 1 » et « La révolte partie 2 », Lions Gate Film
[4] MOORE A. et LLOYD D., « V pour Vendetta », Urban Comics
[5] « V pour Vendetta », Warner Bros
Note : GNU/Linux Magazine HS n°84 vise un large public de personnes souhaitant élargir ses connaissances en se tenant informées des dernières techniques et des outils utilisés afin de mettre en place une défense adéquate. Ce hors-série propose des articles complets et pédagogiques afin d’anticiper au mieux les risques liés au piratage et les solutions pour y remédier, présentant pour cela des techniques offensives autant que défensives, leurs avantages et leurs limites, des facettes indissociables pour considérer tous les enjeux de la sécurité informatique.
VPN
Le guide ultime pour installer et configurer votre VPN
Débutez... avec le protocole TCP/IP, les nouveautés d'IPv6 et le fonctionnement d'un VPN
p. 08 Présentation de TCP/IP
p. 20 À la découverte des VPNs
p. 30 Comment choisir son VPN ?
OpenVPN… Configurez-le finement et installez des clients y compris sur des systèmes non libres
p. 36 Créez une configuration OpenVPN simple
p. 56 Utilisez les options avancées d'OpenVPN
p. 84 Configurez les postes clients y compris sur des systèmes non libres
IPSec… Apprenez à configurer l'« autre » solution de tunneling
p. 90 Mettez en place un serveur IPSec
p. 104 Configurez les postes IPSec clients
Allez plus loin avec Openvpn… en développant vos plugins et en intégrant un firewall à OpenVPN
p. 112 Intégrez un firewall à OpenVPN
p. 118 Développez vos plugins OpenVPN
Au cours des trois dernières décennies, la progression de l’informatique et surtout la nécessité grandissante de devoir garantir une interconnexion des machines ont donné lieu à de nombreuses évolutions logicielles comme matérielles. Les premiers réseaux locaux étaient relativement lents ; avec 1 Mbps pour du 3+Open, 4Mbps pour du Token-Ring voire 10Mbps pour de l’Ethernet, nous sommes bien loin des 10Gbps qui commencent à être disponibles aux particuliers. De plus ces réseaux transportaient simultanément plusieurs protocoles, NetBIOS, IPX/SPX ou TCP/IP pour ne nommer que les plus répandus. À cette époque, le rôle des administrateurs systèmes était surtout de faire en sorte que tout cela fonctionne bien en local et le moins mal possible quand il fallait interconnecter des bâtiments ; la sécurité des données ne venait qu’en dernière position, et encore... Depuis, tout ceci a progressé et les priorités ont bien changé. Les professionnels ont depuis longtemps mis en place des tunnels chiffrés pour interconnecter les plateformes et pour relier les postes itinérants aux services centraux.
Ce qui, dans un monde parfait, aurait dû rester dans le domaine professionnel s’est vu inviter chez de plus en plus de particuliers suite aux révélations d’Edward Snowden ou à la mise en place d’Hadopi ;-) Maintenant, tout un chacun qui ne souhaite pas prendre le risque de voir sa vie privée dévoilée au grand jour ou servir de monnaie d’échange pour les géants d’Internet se voit contraint de chiffrer ses données tant sur ses disques durs que sur ses câbles réseau et je ne parle même pas des transmissions sans fil. Cependant, si le chiffrement des disques se fait assez facilement, monter un tunnel chiffré fiable entre son domicile et ses serveurs en l’air ou ses appareils mobiles reste difficile à appréhender pour le commun des mortels, même versé dans les arcanes de l’informatique.
Le but de ce guide est de vous proposer deux moyens fiables et éprouvés de parvenir à vos fins : IPSec et OpenVPN. Le premier pourrait être décrit comme la solution officielle, reposant sur des protocoles bien documentés dans des RFCs, mais tellement omnipotent qu’il en devient presque anxiogène, du moins à première vue. Le second ressemble plus à la solution du geek, c’est-à-dire facile à mettre en place dans une version basique, mais fonctionnelle et possédant d’énormes capacités d’amélioration, ayant cependant le défaut d’utiliser un protocole assez peu documenté dès que l’on désire creuser profond. C’est pour ces raisons qu’OpenVPN sera notre principal « client » que nous décortiquerons autant que faire se peut. IPSec sera aussi présenté et documenté bien entendu ne serait-ce que pour montrer que sa mise en œuvre n’est pas si compliquée que cela. De plus, c’est le seul à permettre une intégration simple avec le monde des routeurs propriétaires.
Donc retroussez vos manches, faites chauffer les VMs, il va y avoir du monde dans les tuyaux...
Cédric PELLERIN
Nouveaux produits
Linux Pratique 136
Déployez votre solution de Single Sign On ! Intérêts et avantages de...
Lire plus ➤Hackable Magazine 44
Arduino / RP2040 / STM32 / ESP Programmez vos microcontrôleurs en...
Lire plus ➤