Les conférences Blackhat

Les conférences Blackhat https://www.blackhat.com/ sont des conférences organisées partout dans le monde, sur le thème de la sécurité informatique. Une caractéristique de ces rassemblements est que les présentations sont considérées comme étant très techniques : ils s'adressent ainsi principalement aux experts de la sécurité. Source.

La prochaine se tiendra aux USA, à Las Vegas, du 2 au 7 août.

La conférence désanonimisation des utilisateurs de Tor

Apparemment des chercheurs auraient réussis à "casser/désanonymiser Tor en le rendant donc vulnérable", pour un budget d'environ 3.000 dollars. « YOU DON'T HAVE TO BE THE NSA TO BREAK TOR : DEANONYMIZING USERS ON A BUDGET, l'annonce de cette conférence avait été relayé par différents sites spécialisés en anglais et j'étais passé à côté.

Le problème est que pour l'instant, il est difficile d'en savoir plus tant que la conférence n'a pas eu lieu.

La conférence a été annulée

Depuis quelques heures, l'annonce de l'annulation de la conférence circule de nouveau les sites spécialisés, et en anglais pour l'instant. J'ai trouvé un site d4n3ws.polux-hosting.co qui évoque l'annulation de la conférence : Une présentation devant avoir lieu à la conf BlackHat sur la désanonimisation des utilisateurs de Tor a été annulée.
Apparemment ce ne serais pas une volonté de censure mais plus un désaccord entre les chercheurs faisant la présentation et l'université de Carnegie-Mellon d'où ils proviennent, situation qui a déjà été vu dans d'autres cas… Source.

Est-ce une volonté du projet Tor de cacher quelque chose ?

Le projet Tor a réagi à travers une mailing-liste/un billet sur les blogs pour donner leur explications et leur non implicaiton dans cette annulation. Le message original est ici :

https://blog.torproject.org/blog/recent-black-hat-2014-talk-cancellation
https://lists.torproject.org/pipermail/tor-talk/2014-July/033954.html

On the recent Black Hat 2014 Talk Cancellation - A propos de la récente annulation de la conférence à la Black Hat 2014, par Roger Dingledine

Salut les gens,

Les journalistes nous questionnent à propos de l'annulation de la conférence Black Hat sur l'attaque de Tor. Nous travaillons toujours avec le CERT pour faire une communication détaillée (si tout va bien cette semaine), mais j'ai pensé que je devais partager quelques détails avec vous au plus tôt.
1) Nous n'avons pas demandé à la Black Hat ou au CERT d'annuler la conférence. Nous avons posés (et le faisons encore) des questions aux présentateurs et au CERT sur certains aspects de leurs recherches, mais nous n'avions aucune idée de la conférence serait annulée avant que l'annonce en soit faite.

2) En réponse à nos questions, nous avons reçu certains informations. Nous n'avons pas reçu de diapositives ou une description plus détaillée de ce qui sera présenté dans la conférence en dehors de ce qui était disponible sur la page Web de Black Hat.

3) Nous encourageons la recherche sur le réseau Tor, avec une divulgation responsable de toutes les attaques nouvelles et intéressantes. Les chercheurs qui nous ont remontés de bogues par le passé nous ont trouvé très utile dans la résolution des problèmes, et c'était généralement positif de travailler avec eux.

Qu'en pensez ?

De ce que je comprends/sais au moment de la rédaction de ce billet, l'équipe derrière Tor explique qu'ils sont pour qu'on leur informe de toute faille/problème ou autre afin qu'ils les corrige. Diffuser des failles, étant donné les enjeux (risque de vie ou de mort pour des dissidents par exemple), ne devrait pas être fait de façon publique mais remontée aux équipes du projet afin qu'ils puissent agir en conséquence en les corrigeant. Pour l'instant, il est difficile de se prononcer. Je vais surtout suivre l'évolution de la communication autour de ce problème et essaierait de vulgariser/communiquer via ce blog.

Pour compléter, je traduis un extrait de l'article Carnegie Mellon Kills Black Hat Talk About Identifying Tor Users — Perhaps Because It Broke Wiretapping Laws

Il a eu beaucoup de spéculations sur ce qui se passe, mais Chris Soghoian a une assez bonne thèse que les chercheurs n'ont probablement pas l'approbation institutionnelle ou le consentement des utilisateurs dont il a été fait l'identification, ce qui signifie qu'ils ont été potentiellement violer les lois sur l'écoute électronique. Comme il le souligne, l'exécution d'un serveur Tor pour tenter d'espionner le trafic Tor sans en parler à des avocats est une très mauvaise idée. Bien qu'il n'ait pas encore été confirmé que c'est ce qui s'est passé, c'est certainement une théorie assez sensible.

Bien sûr, rien de tout cela ne change le fait qu'il est possible d'identifier certains utilisateurs de Tor. Mais ... ce n'est pas particulièrement nouveau. En fait, nous en avons discuté dans le passé comment le gouvernement fédéral peut identifier les utilisateurs de Tor. Tor ajoute une couche de protection importante, mais il ya beaucoup des façons de pouvoir être identifiés en utilisant Tor. Il suffit de demander à Russ Ulbricht. Le problème n'est pas tant Tor lui-même, mais la façon dont les gens l'utilisent - et le fait est que la plupart des gens l'utilisent d'une manière qui finira par révéler qui ils sont.

Je vous invite d'ailleurs à lire ma traduction d'un texte du site du projet Tor : "Vous voulez que Tor marche vraiment ?", qui vous en dira plus sur les erreurs de base à ne pas commettre quand on utilise Tor.

Fin juin, c'était PasSage en Seine 2014, comme je l'avais annoncé et à cette occasion, en plus d'assister à certaines conférences (les autres je les vois une à une via leur mise à disposition en ligne ici : http://numaparis.ubicast.tv/channels/#pas-sage-en-seine-2014), avoir animer différents Cafés vie privée, j'ai également donné une conférence le jeudi sur le thème : Des cryptoparties aux Café vie privée, le chiffrement en pleine démocratisation.

Une retranscription a été faite par une membre de l'April, et je tiens donc à dire UN TRES GRAND MERCI à Marie-Odile pour tout le travail effectué. En effet, retranscription veut dire écouter la conférence plusieurs fois et taper tout ce qui a été dit mot à mot par le conférencier (moi-même), mais aussi les questions du public...

Le texte écrit est ce qui a été dit à l'oral, et c'est là qu'on voit que j'ai beaucoup de travail à faire pour améliorer la conférence. Je travaille donc à la rédaction d'un vrai texte pour améliorer les futures présentations, pour pouvoir le mettre en support de la présentation pour ceux qui voudraient à leur tour prêcher la bonne parole.

Ce travail de retranscription est important. Car il permet à des personnes malentendantes ou sourdes de savoir ce que j'ai dit. Avec les mêmes fautes de français, de grammaire, d'hésitations, des tournures de phrases alambiquées. Tout y est ;-)

<link rel="stylesheet" href="http://numaparis.ubicast.tv/statics/mediaserver/stylesheets/embed.css" type="text/css"/>

Rappel des liens

Pour les slides, c'est ici sur slideshare ou dispo sur Github.

Si vous préférez voir la vidéo, elle est ici http://numaparis.ubicast.tv/videos/cryptoparty/.

Et pour le texte de la transcription, c'est ici : Des cryptoparties aux Café vie privée, le chiffrement en pleine démocratisation - conférence de Genma à Pas Sage En Seine, juin 2014.

Encore une fois un grand merci à Marie-Odile, mais aussi à Bookynette et Aeris ;-)
ET VOUS AUSSI, LANCEZ-VOUS, FAITES DES CAFES VIE PRIVEE.

Comme chaque année (RMLL 2012 - Récupérer les conférences en audio/vidéo, RMLL 2013 - les vidéos), suite aux Rencontres Mondiales du Logiciel Libre (RMLL) qui cette année se sont tenues à Montpellier, les vidéos et les enregistrements de la plupart des conférences sont mises en lignes.

Et comme chaque année, comme je veux les écouter/voir hors-ligne (dans les transports en commun), je cherche un moyen de les récupérer.

Les conférences sont visibles ici http://videos-cdn.rmll.info/videos2014/ubicast/ pour visionnage en ligne. En regardant la source de la video, on voit que les différents fichiers sont contenus dans le dossier http://videos-cdn.rmll.info/videos2014/ubicast

Cela permet donc, via une simple ligne de commande/un script, de récupérer les vidéos de façon récursive :

Différents formats audio et vidéos sont proposés, à savoir :
audio.mp3
audio.oga
high.mp4
high.webm
low.mp4
low.webm

A vous d'améliorer la commande, de changer le type de fichier que vous souhaitez récupérer etc.

Présentation de l'éditeur

Une nouvelle révolution industrielle ?

L'impression 3D, qui permet de créer des objets par superposition de fines couches de matière, est une technologie en plein essor. Longtemps réservée aux industries de pointe, elle s'est récemment démocratisée avec l'arrivée sur le marché d'imprimantes moins onéreuses et plus rapides, ainsi qu'un choix plus varié de matériaux imprimables. Ce premier ouvrage français sur le sujet en dresse un panorama complet, des différents procédés aux types de machines, des multiples champs d'application (design, architecture, médecine, agroalimentaire...) aux conseils pratiques pour les particuliers. Il explique pourquoi ce nouveau mode de fabrication risque d'avoir un formidable impact sur notre société, en remettant en cause toute la chaîne de production traditionnelle.

A qui s'adresse ce livre ?
A tous les makers, bricoleurs, bidouilleurs, geeks, designers, artistes, inventeurs...
Aux particuliers ou aux décideurs souhaitant utiliser l'impression 3D dans leur quotidien ou leur entreprise

Plus d'informations sont disponibles sur le site de l'éditeur Eyrolles,
L'impression 3D par Mathilde Berchon, Bertier Luyt

Pour vous procurer le livre : Cliquer ici

La critique du Genma

Quand Eyrolles m'a proposé de m'envoyer ce livre, j'ai accepté car j'ai dans mes amis quelqu'un qui s'est lancé dans la construction d'une RepRap et j'ai pensé que ça lui ferait un cadeau, une fois que j'aurai lu le livre en vue d'en rédiger une présentation et critique pour mon blog.

La première chose que j'ai remarqué et la qualité du livre. Le papier est épais et mat, les illustrations dans le livre sont nombreuses et il n'y a que très peu de page où l'on a pas une photographie en couleur de haute résolution pour illustrer les propos. Il est vrai que la thématique du livre, à savoir les imprimantes 3D, nécessite des illustrations pour faciliter la compréhension.

Ce livre n'est toutefois pas un livre d'images ou un banal catalogue. Même si le fait qu'il liste toutes les imprimantes existantes au moment de la publication (le livre que j'ai reçu était la 2ème révision) en fait une bible, une référence, un très bon travail de rédaction a été fait par les deux auteurs et les textes sont bien écrits et instructifs.

Je connaissais quelques petites choses sur les imprimantes 3D, pour être aller dans des Fablabs, avoir discuté avec les manipulateurs et vue des RepRap en action, mais j'étais loin d'imaginer l'étendue du champ d'application des imprimantes 3D. En particulier dans le domaine professionnel, la variété des matériaux, des modèles, des procédés d'impressions... . On peut imprimer en couleur, en plastique, mais aussi en métal, en céramique... Il y a des prothèses chirurgicales, des prototypes industriels, des éléments articulés.... La variété des procédés et des applications décrites dans le livre m'ont montrées que les RepRap ne sont qu'un élément parmi d'autres dans la diversité de l'impression en trois dimension....

Avec ce livre, j'ai donc appris plein de choses. Enfin j'ai beaucoup appréciée la partie concernant les perspectives et l'avenir de ces imprimantes et la mini-révolution de notre société qu'elles impliquent posent les bonnes questions, à savoir les problématiques du copyright, la réappropriation de la réparation d'objets de notre quotidien via l'impression de pièce défectueuse. Même la polémique de l'impression d'armes à feu est évoquée ; le livre est donc on ne peut plus complet.

De ce fait, je le recommande vivement à toute personne intéressé par le sujet, du simple curieux au passionné.

Les termes de Computer forensics peuvent se traduire en français par l'informatique judiciaire et correspond à une branche de la science criminalistique numérique, comprendre l'acquisition de preuve juridique au sein des ordinateurs et autres supports de stockage numérique.

Depuis que je suis le blog de Zythom (Blog d'un informaticien expert judiciaire http://zythom.blogspot.com/) (dont je vous conseille la conférence à PasSage en Seine 2014 ), je commence à m'intéresser aux possibilités de récupération de données sur les disques durs...

Car si je sais les données qu'il est possible de retrouver - et comment -, je sais potentiellement mieux les cacher, les sécuriser ou les détruire (Pour la destruction, je vous invite à lire Shred - effacer définitivement un fichier et Dban - Darik's Boot And Nuke)

Le Computer Forensic, ce n'est qu'utiliser Photorec pour récupérer des fichiers effacés, c'est aussi analyser les métadonnées (voir à ce sujet Comment votre PC vous trahit ? Les Metadata) et toutes les traces que l'on peut laisser sur son ordinateur (Voir Votre PC peut vous trahir de multiples façons...).

Zythom partage donc ses connaissances sur son blog et conseille le live-cd Deft disponible sur http://www.deftlinux.net/.

Deft et se lance/s'utilise comme un live-cd classique (choix de la langue au démarrage, différentes options de boot) Le DEFT 7 User Manual (English) est disponible en pdf. Il est au Forensic ce que Kali Linux (ex Backtrack) est aux tests de sécurité d'un réseau.

Le manuel est une bonne source d'apprentissage, tout comme peut l'être le forensicswiki.

Chaque jour, j'en apprends un peu plus et ainsi, je peux aussi mieux parler de ce qu'il est possible de faire en connaissance de cause. Et ainsi, quand je donne des conférences où j'explique que l'on a tous quelque chose à cacher, je peux expliquer également ce qu'il est possible de retrouver ;-)

A lire également :
Votre PC peut vous trahir de multiples façons...
Comment votre PC vous trahit ? Les Metadata
Shred - effacer définitivement un fichier
http://zythom.blogspot.com/