articles
réactions
Jeff - 30.08.2006 | 4 réactions | #link | rss
Au gré des pérégrinations de l'internaute moyen que je suis, il m'arrive de trouver des perles qui viennent illuminer une journée jusque là pluvieuse. Pour preuve le site suivant où l'on vous explique comment devenir riche grâce à un bouquin, le tout enrobé dans un discours surfant sur l'ignorance du peuple. A grands coups de "stabilos" et de phrases "choc", que la décence m'interdit de reprendre ici.

www.succes-richesse.com/senrichir.html

Un peu plus tard, on vous explique comment mettre du son sur votre site web et révolutionner la toile:
www.succes-richesse.com/audioplayerpro.html

Enfin, pour les insatisfaits, il est toujours temps de rejoindre le "club positif" et de s'initier aux joies de l'autoguérison du cancer par la pensée positive...
base.club-positif.com

Mais que fait la police?



Update

Et non, toi le positiveur, toi l'auto-guérisseur, toi, toi... tu n'es plus le seul de ton espèce! D'autres que toi ont parcouru l'étroit tunnel des arnaques pour émerger dans la lumière de l'escroquerie organisée... et trouver le salut dans la candeur des internautes moyens.

En particulier, ce site se proclame "World Wide Watches", le temple des répliques de montres de luxe (à peine moins chères, vu que c'est tout de même de la contrefaçon de qualité - faut pas déconner non plus hein). Il ne vous reste plus qu'à faire un chti site web, à vendre des montres et à devenir millionnaire. CQFD.

Et... non, ce témoin n'a pas fumé. Arretez de vous moquer.
Jeff - 29.08.2006 | 0 réactions | #link | rss
Sous ce titre prometteur se cache une idée de génie (ou de geek fini, au choix). Chacun sait que de nombreux robots parcourent tous les sites webs à la recherche d'innocentes adresses email à spammer, mais également les forums pour y poster leur spam.
C'est pourquoi beaucoup des-dits forums ont mis en place de petits tests afin de vérifier que la personne qui va poster est bien une personne réelle et non un robot:
- séquence de chiffres et de lettres aléatoire à recopier
- image générée à la volée contenant elle aussi une séquence de caractères à recopier
- question
- etc...

A la base, c'est se qu'on appelle un Captcha (pour "Completely Automated Public Turing test to Tell Computers and Humans Apart"), dérivé des tests de Turing et visant à mettre en défaut une intelligence artificielle là où un humain aurait réussi. Et de distinguer les deux.

L'idée ici est un nouveau type de captcha qui se base sur la subjectivité de l'individu et notamment ses sentiments ou préférences sexuelles. En clair, on vous présente 9 photos (de filles pour les mecs, et inversement) et on vous demande de choisir les 3 plus chaudes d'entre elles. Im-pa-rable!

Plutôt ca ou ca ?
Jeff - 28.08.2006 | 0 réactions | #link | rss
Sans revenir sur la théorie des fonctions de hachage (voir Wikipedia), on savait que le temps était compté pour les fonctions habituellement utilisées, à savoir principalement MD5 et SHA-1.

Très brièvement, une fonction de hachage permet de condenser une donnée de taille indéfinie en un "résumé" non chiffré (i.e. sans clé, pour les fonctions de base) de taille fixe (128 et 160 bits pour MD5 et SHA-1). Ce condensé est représentatif de la donnée initiale; une et une seule donnée d'entrée est capable de fournir un condensé spécifique. Signer cryptographiquement ce condensé revient alors à reconnaître et signer la donnée initiale. Inversement, un condensé ne peut permettre de retrouver la donnée initiale à lui seul.

Si l'on réfléchit un tant soit peu, on peut comprendre que tout ceci est théorique et que la pratique introduit des limitations physiques à ces affirmations. Relativité quand tu nous tiens... Tout l'intérêt de la cryptologie consiste à faire en sorte que ces limites ne soient pas atteignables par le [commun] des mortels que nous sommes, y compris d'éventuels Big Brothers issus des plus sombres polars. Et c'est pourtant ce qui est en train d'arriver actuellement...

La réflexion supposée précédemment peut être résumée assez facilement; en effet la donnée initiale n'est pas limitée en taille. Les possibilités au sens binaire de la chose sont donc quasi infinies. En sortie, au contraire, la taille est fixe et relativement petite; il y a donc bien une perte d'information entre ces 2 états, ce qui explique également qu'il soit impossible de retrouver une donnée complète à partir de son condensé (l'espace des condensés possibles est de 2^128 pour MD5 et 2^160 pour SHA-1).
Il devient d'autre part envisageable d'avoir 2 données initiales totalement différentes résultant en un même condensé; c'est ce qu'on appelle une collision.

Statistiquement, le paradoxe des anniversaires estime que la probabilité de trouver une collision en testant des données aléatoires s'approche de 1 au bout de 2^n/2 essais (n étant la longueur de sortie de la fonction). Reste que la deuxième donnée trouvée sera aléatoire donc sans aucun sens ni intérêt pour un attaquant réel.

Et c'est là que la mare vient de se prendre plusieurs pavés, successivement sur MD5, SHA-0 et maintenant SHA-1. Il y a un an, des chercheurs (dont Lenstra, actuellement à l'EPFL) ont généré 2 certificats identiques à partir de MD5 pour des données initiales différentes. Concrètement et de manière plus visuelle, DoxPara research a généré 2 pages web totalement différentes dont les condensés MD5 sont cependant identiques:
Page 1
Page 2
Si votre connexion est lente, vous avez peut-être aperçu le "truc": les 2 pages commencent en fait par 2 blocs de données qui collisionnent bien mais sans signification aucune. Le code HTML les rend invisibles par la suite, sauf que le design de la fonction MD5 propage la collision intiale pour l'ensemble des 2 pages...

Plus récemment, à Crypto 2006, des chercheurs de Graz ont annoncé le même phénomène pour SHA-1. Le papier officiel n'étant pas encore sorti, il n'y a pour l'instant qu'une brève présentation de la chose disponible. Où seuls les 64 premiers tours de calcul (sur 80) du SHA-1 propagent la collision; ce qui n'est pas encore utilisable en pratique, mais le sera sans doute très prochainement.

Notez que l'un des chercheurs nous avait déjà prévenu des risques lors de la dernière WTH. Fallait pas l'inviter...



Promis, le prochain post traitera de la vie sexuelle de mouches au Zimbabwe... ou de Paris Hilton qui s'est mise au jardinage...

Jeff - 25.08.2006 | 0 réactions | #link | rss

Il existe de multiples outils et moyens de préserver son anonymat sur le net, avec plus ou moins de succès cependant. Ce post a pour but d'en recenser un certain nombre, tous gratuits bien évidemment. Pour commencer, voici les traces que vous laissez sur Internet lorsque vous surfez:

DNSStuff
CNIL



Systèmes

Anonym.OS est un Live CD (comprenez un CDRom contenant l'intégralité du système d'exploitation et n'utilisant -de base- que la mémoire vive de l'ordinateur, ce qui évite de laisser des traces) téléchargeable gratuitement sur sourceforge à l'adresse suivante:
Projet Anonym.OS, supporté par l'équipe Kaos Theory.
Il est basé sur une distribution OpenBSD configurée avec les paramètres-qui-vont-bien pour filtrer / chiffrer / anonymiser les données entrantes et sortantes de l'utilisateur.



Réseaux

Tor est une référence <marseillais> planétaire </marseillais> dans le domaine de l'anonymat; soutenu par l'Electronic Frontier Foundation, il est composé d'une multitude de serveurs dispersés sur le net, interconnectés entre eux de manière à router les communications des utilisateurs selon différents chemins. L'adresse IP finale change régulièrement afin de ne pas permettre de corrélation entre les données échangées et l'adresse assignée par Tor.
Notez qu'en théorie cette méthode atteint une efficacité maximale lorsque le nombre d'utilisateurs est suffisamment important.
En pratique, Tor s'interface simplement en tant que proxy local sur les communications; il est téléchargeable à l'adresse:
tor.eff.org

Les proxies anonymes et libres sont également de bons moyens pour surfer tranquille (à éviter cependant pour des utilisations plus délicates). Un proxy est un serveur utilisé en relais des requêtes de votre client, principalement pour le web. Les requêtes ainsi modifiées sont alors attribuées au serveur proxy et non plus à votre client, d'où un certain degré d'anonymat.
C'est un système habituellement utilisé en entreprise, afin d'éviter que les postes des utilisateurs ne soient directement connectés à Internet (additionnellement, les proxies peuvent alors servir de pare-feu, de NAT, d'anti-virus, etc -que les puristes me foutent la paix!- ).
Il arrive que certains proxies soient accessibles depuis l'extérieur par des internautes quelconques (volontairement ou par inadvertance). Et donc utilisables par tout-à-chacun (après configuration de votre navigateur); le probème étant de trouver une liste à jour. Le meilleur moyen est de faire une recherche Google au moment voulu (et d'utiliser la cache de Google si besoin):
Google search : Free + Proxy + inurl:".ru"
Ou d'essayer les sites suivants:
FreeProxy.ru
ProxZ
Proxy-list
FreeProxyLists
FreshProxy
etc,etc,etc...


Que ce soit avec Tor ou un proxy anonyme sur Internet, il devient vite fastidieux de changer et reconfigurer sont navigateur sans arrêt selon où l'on surfe. C'est pourquoi il existe un plugin pour Firefox appelé SwitchProxy qui permet de gérer tout cela en un clic...



Email

Le mail est également une donnée révélatrice de l'identité d'une personne. Il est donc très souvent utile de créer une adresse bidon sur un site gratuit (Yahoo!Mail, Gmail, Hotmail, Mail, etc...) avec une fausse identité et de ne l'utiliser que pour certaines démarches. Il ne faut pas que cette adresse email puisse être corrélée avec un nom, une IP, une adresse postale ou un comportement sous peine de perdre les bénéfices de l'anonymat.
Il existe des services anonymes dédiés pour une telle utilisation:
Le site DodgeIt ne demande aucune identification ni gestion de compte. Il suffit de choisir une adresse au hasard sur le domaine et les mails qui arrivent seront conservés une semaine.


Navigateurs

Vaste sujet! Le nombre de technologies et applications utilisées par un simple navigateur fait qu'il devient très difficile de savoir où se trouvent vos informations et qui peut y accéder...
Saviez-vous que Flash permet l'utilisation de cookies (jusqu'à 100Ko par site web) qui ne sont pas stockés à l'emplacement habituel et ne sont jamais effacés (même en purgeant la cache)? Que ces cookies peuvent être lus par d'autres sites, s'ils sont "bien" configurés? Que la configuration de ce comportement n'est modifiable que via le site d'Adobe?
Oui mais on vous dit ici que le respect de la vie privée est une priorité et qu'il est garanti par une foultitude de mécanismes (tous avec des clauses particulières cependant). Et oui, on vous donne un marteau, mais c'est à vous de ne pas vous taper sur les mains ou de vous protéger avec des gants.

Quid de la cache des navigateurs alors? Formidable tout ce que l'on peut y (re)trouver... Le mécanisme d'AutoComplete (remplissage automatique sur la base de ce que vous avez déjà renseigné par le passé) est une source intarissable d'informations. Utilisateurs de Firefox, faites le test vous-mêmes... Je viens moi-même d'y retrouver tous mes numéros de carte bleue, toutes mes adresses email, toutes mes adresses postales, etc, etc. Un excellent papier à ce sujet est disponible sur le site de la Black Hat.




Ressources diverses

Il est également possible de se créer une adresse postale totalement bidon mais syntaxiquement correcte (code postal valide, nom valide, téléphone valide, etc...) c'est-à-dire que chaque élément existe mais que l'ensemble ne correspond à personne. Utile pour déjouer les systèmes vérifiant la localisation géographique d'un individu par exemple.
Fake Name Generator
Acheter en se protégeant? Se sont les cartes virtuelles, prépayées et prévues pour les achats en ligne, ou les numeros de carte virtuels, etc.
ePassporte Visa
Citibank numéros virtuels

Et pour aller plus loin, un article récent chez Darknet: Chaining socks.
Jeff - 22.08.2006 | 0 réactions | #link | rss
On connaissait le site d'Hubble (le téléscope spatial) pour ses images, fonds d'écrans et autres images.

Le site renferme cependant bien d'autres découvertes intéressantes et pas trop violentes intellectuellement (y a plein d'images, sisi).

A découvrir ou re-découvrir:
Black Holes

Pour se ballader moins loin, il y a aussi un blog sur la plateforme:
Le blog de mich


Mais où allons-nous?
Jeff - 18.08.2006 | 0 réactions | #link | rss
Fervent militant pour l'unification de la "blogosphère", ou au moins son homogénéisation, j'ai découvert que certains sites commencent à proposer des services "inter-blogs". C'est le cas avec technorati proposé pour la reconnaissance des tags sur ce blog. C'est aussi le cas avec OpenID:

openid.net

Ce service permet en quelque sorte d'interconnecter les blogs entre eux, ou au moins de reconnaître des comptes utilisateurs qui n'appartiennent pas au présent blog. C'est déjà supporté (poussé?) par livejournal:

www.livejournal.com/openid/about.bml

Bien évidemment, je n'ai aucun avis sur la qualité du service en lui-même, puisque je ne suis pas client de livejournal. Mais j'ai pensé que cela serait intéressant à tester.

A bientôt Mr Laiton.
Jeff - 16.08.2006 | 4 réactions | #link | rss
Le parti pirate est un mouvement sur Internet (et maintenant politique) suédois créé début 2006.
www2.piratpartiet.se

Version anglaise:
www2.piratpartiet.se/international
Objectifs: The reform of copyright laws, the abolishing of patents and working against installing more regulations, and remove the Data Retention Act.

Le mouvement s'est répandu dans plusieurs pays, par exemple la France (idem en UK, aux US, etc....):
www.parti-pirate.info
Objectifs spécifiques: réformer la loi DADVSI


Autre initiative, le mouvement suédois vient de lancer un darknet (5 euros/mois): www.relakks.com/?lang=eng
Pour l'instant, le service croule sous les demandes, victime de son succès...

Un coup d'oeil aux infos contractuelles s'avère intéressant (menu sécurité -> encryption, legal...):

  • "For security reasons RELAKKS do not use any American software"

  • "RELAKKS do not have to keep an ordinary customer database"

  • "demanding subscription information from RELAKKS (...) if convicted the user will be imprisoned – fined not enough)"

  • "to force RELAKKS to hand over “traffic data” including your RELAKKS IP at a specific point in time, they will have to prove a case with the minimum sentence of two years imprisonment."


Que demande le peuple?
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch