La NSA nous écoute

Contexte

La NSA, d'après certains journalistes et des fuites de type Snowden, pourrait apparemment casser tous les procédés de chiffrement actuels, et donc écouter tout le trafic Internet.

Analyse

Aujourd'hui, la NSA n'a pas besoin de casser le chiffrement pour écouter n'importe qui

  • la plupart des transactions sur Internet sont en clair: il est donc facile de suivre quelqu'un, un minimum, si on a suffisamment de systèmes d'interception dans les points d'échange de trafic internationaux
    • requêtes Web en clair
    • cookies et super-cookies
    • HTTP referer

  • le programme PRISM permet d'installer des boîtes noires ou des tuyaux menant directement à la NSA et permettant à cette agence d'accéder les données stockées sur les serveurs et avant les quelques cas où les transactions sont effectivement chiffrées (en particulier sur les serveurs des entreprises US: en 2013, il y a apparemment déjà eu 80 demandes de ce type)

  • il se peut que certaines compagnies (notamment des autorités des certification "root" préinstallées dans les navigateurs) aient reçu l'ordre de permettre à la NSA de créer n'importe quel certificat, ce qui permettrait des attaques man-in-the-middle

  • d'autres procédés simples sur les systèmes d'exploitation non standard (p.ex. Microsoft) permettent d'avoir accès à beaucoup d'informations, par exemple, et en raison d'une mauvaise préconfiguration (pas sûr par défaut)
    • des keyloggers
    • des trojans
    • des bugs des logiciels propriétaires ou non

  • les gens sont bêtes et mettent n'importe quoi sur Facebook

Conclusion

Commençons par sécuriser les échanges systématiquement (tout chiffrer == donner plus de travail aux attaquant, plutôt que de ne chiffrer que les données sensibles), et surtout à former les utilisateurs, et à appliquer les bonnes pratiques (ne pas installer n'importe quel logiciel).

Peut-être que cela permettra aux offres de cloud de qualité hébergés en Suisse de décoller :->

Autres dérapages des médias similaires

  • rappelez-vous comment la vulnérabilité AES a été traitée: il n'y a plus aucune sécurité, c'est foutu, etc; alors que c'était seulement:
    • si tu es sur la même machine ALORS tu peux deviner ce que fait AES avec les accès au cache RAM ET peut-être deviner la clé: sur un système Microsoft ça serait tellement plus simple de voler le fichier où est la clé privée (avec un trojan, etc)

Références

-- MarcSCHAEFER - 06 Sep 2013
Topic revision: r1 - 06 Sep 2013, MarcSCHAEFER
 

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback