Contact de ma banque au sujet de Heartbleed

Appréciation : 

Introduction

Suite à l’affaire Heartbleed qui a fait un séisme de magnitude 15 sur l’échelle de Richter dans le monde de l’informatique mais un pet de mouche en dehors, j’ai contacté ma banque afin de savoir si mes futures communications sur leur site courent un risque d’être interceptées par l’exploitation de Heartbleed.

Lire la suite…

Catégorie: 

Création d’une autorité de certification et des certificats SSL

Appréciation : 

Nouveau : version pdf du billet ! :-)
Pour quel type de lecteur ?
Confirmé en informatique

Introduction

Suite à la très récente faille de sécurité, Heartbleed, du logiciel OpenSSL gérant le chiffrement du protocole https, j’ai été obligé de réactualiser mes propres certificats. Ceci afin d’assurer qu’ils n’aient pas été corrompus par une personne tierce en exploitant la faille sur mon serveur.
Par la même occasion, j’en ai profité pour renouveler mon autorité de certification afin d’y mettre les adresses mail de mon serveur mail que j’ai configuré après la création de ma première autorité.
Ce renouvellement de l’ensemble des certificats a été l’occasion de publier (enfin) un billet expliquant la méthodologie à suivre afin de créer sois même ces certificats et son autorité de certification.

La faille Heartbleed, découverte il y a deux jours par une équipe de Google, permet à n’importe qui d’avoir accès à la quasi-totalité des informations transitant, en théorie, de façon chiffrée à travers le protocole https. Les communications peuvent alors être facilement lisibles par des personnes extérieures. Pour faire simple, c’est comme s’il n’existait plus de chiffrement entre votre ordinateur et le serveur. L’ensemble de vos mots de passe, identifiants, discussions, numéros de carte bleu etc sont alors lisibles Plus d’informations sur cet article.

Les correctifs (des distributions libres) de Heartbleed sont apparus très rapidement, quelques heures après sa publication, afin d’empêcher le plus rapidement possible son exploitation. Cependant, pendant plusieurs heures, environ un million1 de sites web étaient vulnérables (y compris les miens) et à la merci des pirates en tous genres. Encore maintenant, il existe toujours des serveurs et sites web vulnérables. Pour savoir si un site que vous utilisez régulièrement est sûr, je vous invite à vous rendre sur cette page. ;-) Pour info, freezetux.net est protégé depuis hier matin : http://filippo.io/Heartbleed/#freezetux.net. :-)

Par conséquent, il est du devoir des administrateurs des serveurs (soucieux de la sécurité des utilisateurs de leurs services… malheureusement certains sont moins touchés que d’autres ou pas aussi rapidement :-/ ) de renouveler leurs certificats SSL afin d’assurer de nouveau un chiffrement total des communications de leurs utilisateurs.

La suite de cet article présente comment mettre en place sur son serveur une autorité de certification ainsi que des certificats SSL afin de proposer sur ses sites web une communication chiffrée en https.

1. https://www.schneier.com/blog/archives/2014/04/heartbleed.html

Lire la suite…

Catégorie: 

Les coulisses d’un courriel

Appréciation : 
Return-Path: 
Delivered-To: contact[@]freezetux.net
Received: from localhost (unknown [127.0.0.1])
      by lsp31-2-88-121-158-163.fbx.proxad.net (Postfix) with ESMTP id 94A02221CD2
      for ; Mon,  3 Mar 2014 20:32:34 +0000 (UTC)
X-Virus-Scanned: amavisd-new at freezetux.net
Received: from lsp31-2-88-121-158-163.fbx.proxad.net ([127.0.0.1])
      by localhost (localhost [127.0.0.1]) (amavisd-new, port 10024)
      with ESMTP id f4keoEFVHrWM for ;
      Mon,  3 Mar 2014 21:32:10 +0100 (CET)
Received: from [192.168.0.10] (unknown [192.168.0.254])
      (using TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits))
      (No client certificate requested)
      by lsp31-2-88-121-158-163.fbx.proxad.net (Postfix) with ESMTPSA id A5D392217C8
      for ; Mon,  3 Mar 2014 21:32:10 +0100 (CET)
Message-ID: 
Date: Mon, 03 Mar 2014 21:32:09 +0100
From: freetux 
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.3.0
MIME-Version: 1.0
To: contact[@]freezetux.net
Subject: Les coulisses d’un courriel.
Content-Type: multipart/mixed;
 boundary="------------020209070000090203040607"
 
This is a multi-part message in MIME format.
--------------020209070000090203040607
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit


----- LE MESSAGE COMMENCE ICI -----

Lire la suite…

Catégorie: 

La récupération des données avec Photorec

Appréciation : 

Pour quel type de lecteur ?
Utilisateur de la console


Présentation

J’ai détaillé dans mon dernier billet différentes méthodes pour supprimer réellement des fichiers à l’aide de wipe ou shred en vous disant que les fichiers supprimés avec Shift Del ou rm existaient toujours. Il est désormais temps de le prouver. Pour cela, j’utilise le logiciel Photorec (logiciel en console). Sur Fedora, il s’installe via le package testdisk.

Photorec s’utilise dans l’objectif de récupérer les données sur un espace de stockage (disque dur, clé USB, etc.). Pour ce billet je vais donc utiliser une clé USB contenant quelques fichiers que je vais supprimer. Je lancerai alors Photorec afin de récupérer ces données.
Dans un premier temps je vais supprimer par surcharge toutes les données qui auraient pu être présentes avant pour qu'ils n’interfèrent pas avec la manip qui va suivre.
Pour cela je lance la commande suivante (en root et en s'assurant que c'est le bon point de montage) :# shred -v /dev/sdd.

Après avoir recréé une partition, je vais copier quelques fichiers de format différents (mp4, pdf et jpg) afin de montrer la polyvalence du logiciel.
Voilà la liste :

-rw-------. 1 Freetux Freetux   165895 23 janv. 21:09 image_01.JPG
-rw-------. 1 Freetux Freetux   122872 23 janv. 21:09 image_02.JPG
-rw-------. 1 Freetux Freetux   199182 23 janv. 21:09 image_03.JPG
-rw-------. 1 Freetux Freetux   207047 23 janv. 21:09 image_04.JPG
drwx------. 2 Freetux Freetux    16384  8 févr. 12:37 lost+found
-rw-rw-r--. 1 Freetux Freetux    47056  1 avril  2013 document.pdf
-rw-rw-r--. 1 Freetux Freetux  3591355 26 janv. 22:12 Prog_arte.pdf
-rw-------. 1 Freetux Freetux 10767795  1 janv. 20:02 video.mp4

Enfin, je supprime tout (avec rm) les fichiers pour tester Photorec.

Lire la suite…

Catégorie: 

La suppression de données avec shred ou wipe

Appréciation : 

Pour quel type de lecteur ?
Utilisateur de la console


Introduction

Lorsque vous supprimez un fichier ou un dossier sur votre ordinateur (via votre navigateur ou en console avec la commande rm), les données ne sont pas réellement supprimées. En effet, bien que vous ne le voyez plus en actualisant la page ou avec ls -l les informations existent toujours sur votre disque dur.
C’est évident que cette « mise sous le tapis » des informations que nous croyons détruites peut causer quelques problèmes…

C’est pour cela que je vais, dans cet article, détailler les différentes façon de supprimer des fichiers et des dossiers dit « par surcharge ».

Lire la suite…

Catégorie: 

Pages

S'abonner à Blog élémentaire RSS S'abonner à Blog élémentaire - All comments