PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Si vous n’avez rien à cacher, vous n’avez rien à craindre

mardi 27 février 2018 à 13:28
Cette expertise s'annonce compliquée car les accusations semblent reposer sur des preuves vagues : un compte informatique a été utilisé tel jour à telle heure pour accéder à des données confidentielles de l'entreprise, alors que la personne associée au compte était en déplacement. Les données ont ensuite fuité, causant un préjudice pour l'entreprise.

Me voilà au milieu du problème, désigné comme expert informatique pour essayer d'éclairer la lanterne du magistrat saisi de ce dossier.

Mon problème est que je ne vois pas trop par quel angle commencer, alors que dans ma tête tourne un nombre incalculable de possibilités : malversation du salarié à distance, partage du compte avec un collègue, compromission du compte par vol de mot de passe, hameçonnage, fuite de données par sauvegarde non protégée, perte d'un disque dur, etc.

Toute l'enquête interne menée par l'entreprise désigne l'utilisation de ce compte informatique comme cause la plus probable de cette fuite de données. En présence de toutes les parties, j'étudie donc tous les éléments techniques soulevés par cette enquête interne.

Mais cette expertise judiciaire est également une enquête à part entière. Je dois mener des investigations, poser les bonnes questions, auditer la sécurité informatique du site, pour enfin pouvoir répondre aux questions posées par le magistrat.

Dans ce court billet, je vais laisser de côté le temps passé en investigations diverses, les différentes réunions, la somme de connaissances réunie autour de la table pour étudier ce problème. Mon objectif est de poser ici cette petite anecdote qui montre que le hasard fait parfois bien les choses, et qu'il faut lui laisser sa chance.

Le réseau de l'entreprise est un réseau Windows à contrôleur de domaine. Je demande à être autorisé à utiliser un compte local avec les droits administrateurs sur une machine du réseau, habilité à lancer quelques outils d'investigation. En attendant d'utiliser les outils plus avancés de ma panoplie, sans trop savoir où aller, je lance l'explorateur de fichiers à la découverte du réseau, en commentant ce que je vois apparaître sur l'écran de l'ordinateur, pour l'éclairage des avocats et différents responsables techniques et juridiques présents autour de moi.

Je vois apparaître différents appareils branchés sur le réseau de l'entreprise : ordinateurs, serveurs, imprimantes, photocopieurs, routeurs... Un nom attire mon attention : une marque de serveur de vidéosurveillance. Je clique sur le lien, pour voir apparaître une page web d'accueil demandant un login/mot de passe.

Je fais un petit tour sur DuckDuckGo pour obtenir les informations de connexion par défaut, et tape admin/admin comme login/mot de passe. Bingo, me voici connecté au serveur gérant les 32 caméras de vidéosurveillance de l'entreprise.

Silence gêné dans la salle.

Comme je travaille dans une école d'ingénieurs, je suis sensibilisé au problème des smartphones qui peuvent filmer les professeurs pendant les cours, en particulier quand ceux-ci tapent leur mot de passe sur le clavier de leur ordinateur. J'explore donc les différentes caméras de surveillance, et tombe sur celles de l'open space de l'entreprise. Un petit coup de zoom et nous voilà en train d'observer la frappe d'une personne sur son clavier (ainsi que son écran).

Les logs de connexion du serveur de vidéosurveillance montrent des connexions suspectes dans les semaines précédant l'incident, à partir d'une adresse MAC non connue de l'entreprise. Toutes les prises RJ45 étant brassées, n'importe qui pouvait brancher un ordinateur pour accéder au réseau de l'entreprise, y compris dans les toilettes (hors champ des caméras).

Je n'ai pas pu trouver la personne à la source de la fuite de données (cela ne faisait pas partie des missions confiées par le magistrat), mais j'ai pu prouver que n'importe qui pouvait intercepter sans difficulté un login/mot de passe. Cela a permis au moins de montrer que le titulaire du compte n'était pas nécessairement en faute (ou au moins de semer le doute). Imaginez ce qu'il se serait passé si la personne n'avait pas été en déplacement...

Même dans votre entreprise, méfiez vous des caméras. Vous pensez qu'elles vous protègent parce que vous pensez qu'elles ne filment que les méchants. Dans la rue, dans l'entreprise, dans votre propre maison, elles peuvent être piratées et détournées de leur usage initial. Pensez-y quand on vous dira que si vous n'avez rien à cacher, vous n'avez rien à craindre.

Vous avez toujours quelque chose à protéger : vos mots de passe, vos écrans, votre vie privée.
Quand vous dites "je ne me soucie pas du droit à la vie privée parce que je n'ai rien à cacher", ce n'est pas très différent que de dire "je me fiche de la liberté d'expression parce que je n'ai rien à dire" ou "de la liberté de la presse parce que je n'ai rien à écrire".
Edward Snowden

Source : https://zythom.blogspot.com/feeds/5051207942115635024/comments/default


Quand on tire sur un faible

mercredi 24 janvier 2018 à 16:29
La petite anecdote que je vais vous raconter n'a d'intérêt que parce qu'elle est parfaitement authentique, et illustre bien les frictions du monde ancien avec le nouveau monde du numérique.

J'assistais à une formation réservée aux experts judiciaires et aux avocats, formation organisée par une compagnie d'experts de justice. Organisation impeccable, objet de la formation intéressant, programme alléchant, 4G disponible, lieu agréable. Bref, la journée s'annonçait bien.

Le premier conférencier est un magistrat de haut niveau, intervenant sans note sur un sujet pointu passionnant. Je suis concentré sur les concepts difficiles avec lesquels il jongle et qui échappent pour beaucoup à mon entendement. L'auditoire est captivé. Les avocats approuvent ou désapprouvent certains passages ou certaines subtilités juridiques. La conférence est passionnante.

Je publie discrètement sur Twitter quelques impressions admiratives à mes followers.

Au bout d'un quart d'heure, le conférencier est brutalement interrompu par l'un des organisateurs de la formation. Ce dernier crie littéralement dans la salle : "Quelqu'un dans cette pièce est en train de publier sur des RÉSEAUX SOCIAUX le contenu de cette formation. C'EST UN SCANDALE. La prochaine fois, dans nos programmes sera CLAIREMENT ÉCRIT L'INTERDICTION de dévoiler nos échanges !"

Stupéfaction dans la salle.
L'organisateur me fixe d'un regard noir.
Mon cœur s'est arrêté.
Je me recroqueville sur mon siège.
Je me fais tout petit.

Quand tout à coup, depuis la scène où se trouvent installés plusieurs des conférenciers qui doivent intervenir à la table ronde à venir, tonne une voix de Stentor : "QUOI, QU'EST-CE QUE C'EST QUE CETTE FAÇON D'APOSTROPHER LES GENS ! OUI, JE TWEETE, OUI JE SUIS OUVERT SUR LE MONDE, SANS POUR AUTANT DÉVOILER OU ÊTRE DÉSOBLIGEANT AVEC LES ORGANISATEURS OU LES INTERVENANTS !"

L'un des avocats qui devait intervenir pendant la formation, prenait pour lui les remontrances (humiliantes) qui m'étaient destinées... Comme moi, il avait posté quelques tweets à sa communauté (dont je fais parti) pour le plus grand plaisir de celle-ci.

Les organisateurs, plutôt gênés des effets collatéraux non prévus de leur attaque, venaient de découvrir la puissance de feu d'un avocat habitué aux assauts et aux joutes verbales.

J'ai assisté silencieux à leur retraite piteuse en rase campagne, "non, mais ce n'est pas vous, Maître, heu, bon on reprend".

J'ai respecté poliment leur interdiction de tweeter pendant la formation.

Je trouve dommage que dans le milieux des experts judiciaires en informatique, il y ait encore des gens qui méconnaissent l'intérêt des réseaux sociaux, des gens qui soient encore enfermés dans leur univers clos du millénaire précédent, qui refusent l'ouverture vers le monde, le partage avec des "mékeskidis", la communication non contrôlée.

J'admets et je me soumets aux règles lorsqu'elles sont connues. Comme Lord Walder qui affirmait lors des Noces Rouges : "sous mon toit, ma loi", les organisateurs d'une formation peuvent imposer leurs règles.

Mais j'ai pris un certain plaisir (coupable) à voir une brillante éloquence remettre en place un sot. Étant moi-même un sot qu'on a tant de fois remis en place...

Source : https://zythom.blogspot.com/feeds/1632334598515992042/comments/default


Wishlist 2018

mercredi 3 janvier 2018 à 12:46
Vous le savez, mon père ne va pas bien (lire "le miracle du cerveau") et je suis auprès de lui le plus souvent possible. Il a une maladie neurodégénérative qui le fait décliner par à-coup, et c'est très dur, surtout pour ma mère qui est auprès de lui tous les jours, mais aussi pour ma sœur et moi. Nous découvrons la misère des EHPAD, nous subissons les incohérences des décisions des soignants, nous nageons dans les méandres administratives d'un univers étranger.

Côté boulot, la numérisation de toutes les activités de l'entreprise m'amène à basculer d'un mode "best effort" à un mode "obligation de résultats", mais sans que les moyens humains ne suivent en conséquence. Cela rend la pression très difficile à supporter, avec en plus le sentiment que tout le monde tire sur l'ambulancier. Je lance et je m'implique à fond dans beaucoup de projets informatiques importants, mais la situation est telle que je cherche également un autre poste. Si vous entendez parler d'un besoin de DSI dans une PME qui cherche un homme à tout faire, n'hésitez pas à m'en parler via ma page contact. Je suis mobile sur toute la France, y compris Paris. Je suis un service informatique et un service technique à moi tout seul...

Concernant les expertises, c'est de plus en plus difficile. Techniquement les défis sont de plus en plus ardus, et l'institution de plus en plus exigeante. Je pense qu'il va bientôt être temps de rendre le tablier. Surtout que je ne souhaite pas devenir un expert "carte de visite", comme j'en rencontre tant.

La vie municipale se déroule plutôt bien, les différents projets numériques ayant été menés en début de mandat. Je m'en sors avec les honneurs, surtout depuis que j'ai annoncé que je ne pouvais plus m'investir autant qu'auparavant. J'arrive encore à dire ce que je peux faire et à faire ce que je dis, ce qui est pour moi l'essentiel.

Quelle est donc ma wishlist 2018 dans ces conditions ?

1) Que mon père ait une fin de vie paisible
2) Que ma mère puisse l'accompagner sereinement tout au long de cette épreuve
3) Que les points 1 et 2 se réalisent, cela suffira à mon bonheur
4) Professionnellement, je souhaite retrouver l'implication de mes 20 ans et voir briller les yeux de mes collègues. Peut-être dans une nouvelle entreprise, avec un nouveau projet.
5) Publier le tome 7 des billets du blog
6) Publier à nouveau des bêtises sur ce blog
7) Renouer avec le bonheur

Chère lectrice et cher lecteur, je vous souhaite le meilleur pour 2018.

Merci également à tous ceux qui m'envoient des petits mots d'encouragements, que 1000 pétales de roses soient déposés autour de vos claviers.

2018 sera meilleure que 2017 et moins bonne que 2019.
Plus qu'hier et moins que demain.
💖

Johnny Rockfort - Zythom (NA 2018)

Source : https://zythom.blogspot.com/feeds/9165225513233708432/comments/default


Sans fil et sans filet

lundi 6 novembre 2017 à 17:06
TL;DR : Si j'ai un conseil à donner aux professions libérales et aux indépendants, c'est de couper le réseau wifi de leur cabinet professionnel rapidement.

C'est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :
"La sécurité est un échec car personne, quel que soit son niveau de compétences et l’énergie investie dans l’administration de ses systèmes, ne peut prétendre être invulnérable."
Newsoft La preuve que la sécurité est un échec
Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu'on a bien compris cela, il faut minimiser l'impact d'un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d'un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l'impact d'un piratage et la surface d'attaque.

La sécurité informatique est une discipline complexe de l'informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l'informatique. En tant qu'informaticien "généraliste", je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j'assiste (c'est une manière détournée de dire que je suis nul).

Alors, quand j'ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l'écriture de ce billet) étaient compromis par la technique de "Key reinstallation attacks" (KRACK), j'ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n'ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c'est quand même pratique...

J'ai fait un petit audit interne du réseau familial : l'étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu'en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d'expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu'à présent un seul réseau (wifi et filaire). Je sais, c'était une erreur. Une erreur que j'ai essayé de réparer.

Une fois le wifi éteint, j'ai tiré des câbles dans les cloisons de l'étage pour que chaque pièce puisse disposer d'un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l'ancien branchement RJ45 de la borne wifi de l'étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j'avais sous la main : j'ai utilisé les ports WAN/LAN d'une ancienne borne wifi dont le wifi est désactivé). La logique d'accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j'ai la chance d'avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j'avais prévu de m'en servir d'accès de secours à internet, "au cas où". J'ai plutôt fait l'achat d'un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J'ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J'ai demandé aux enfants un usage "raisonnable" du wifi pour éviter d'atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle "sensible" et que vous voulez quand même du wifi, je vous conseille d'investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois...

Sinon, sans fil = sans filet. Surtout si vous acceptez d'y connecter des appareils android anciens.

Enfin, c'est vous qui voyez...

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d'airodump et scapy...

Source : https://zythom.blogspot.com/feeds/3717023040181998204/comments/default


Un peu de moi

mercredi 25 octobre 2017 à 15:24
Comme beaucoup d'entre vous, je traverse en ce moment des épreuves douloureuses dans ma vie professionnelle, comme dans ma vie personnelle. Des ascenseurs émotionnels importants...

Cela m'amène à regarder derrière moi, à faire le point sur le chemin parcouru. et je déteste ça ! J'ai une phobie un peu particulière : je n'aime pas regarder les albums photos. L'idée de me souvenir d'une période passée, même heureuse, surtout heureuse, partie à jamais, me déprime. Je suis résolument tourné vers le futur. J'aime imaginer les progrès de l'avenir, les nouveautés, les inventions, relever les défis, les problèmes à venir...

Mais parfois, il faut bien regarder en arrière.

Je m'entête à tenir ce blog, qui m'a apporté beaucoup d'ennuis et d'inimitiés, mais aussi quelques belles rencontres, et quelques fiertés. Lorsque j'ai ouvert ce blog, l'univers des blogs était déjà bien installé, mais encore plein de fougue. Depuis, beaucoup de blogs que je connaissais ont fermé, ou ont évolué vers des modèles différents. Je dois aussi reconnaître que beaucoup de blogs ont ouvert et que jamais autant de monde n'a publié, lu ou échangé grâce à internet que depuis ces dernières années.

Alors pourquoi suis-je toujours là, à bloguer sur moi-même ?

J'écris sur ma vie personnelle. Ce blog est un peu un journal intime en ligne (un journal "extime"). Ma vie personnelle, en paraphrasant un peu Desproges, est intéressante, enfin surtout pour ma famille et mes amis. Surtout pour moi. Quand je vis une situation émotionnellement forte, j'ai besoin de mettre des mots dessus pour canaliser mes émotions. Mais pour éviter de submerger mes proches (qui ont déjà bien du mérite à me supporter), j'ai choisi de mettre ces mots par écrit. Et la plupart du temps, ces mots finissent par être publiés dans un billet, pour qui voudra bien les lire.

Je n'écris pas pour convaincre. J'ai d'ailleurs peu donné mon avis ici pendant les dernières élections, alors que les sujets sociétaux abordés (ou pas) me passionnent. Bien malin celui ou celle qui sait pour qui j'ai voté. Beaucoup seraient surpris, certains déçus, d'aucuns s'en foutent...

J'écris le soir, quand les enfants (ou plutôt celui qui est encore entre nos murs ;-) sont couchés et font semblant de dormir. J'écris des "rapports d'étonnement" sur des histoires que j'aimerais que mes petits enfants lisent en se disant "woua, pépère Zythom a vécu des drôles de trucs !"... (quand j'ai dit à ma femme que ça me ferait bien rire si mes futurs petits enfants m'appelaient pépère, j'ai du la mettre en PLS...)

Quand je regarde les dernières années écoulées, voire les derniers mois, je vois un grand adolescent de 54 ans qui peine à devenir adulte. J'ai toujours les yeux qui brillent quand je commande un nouvel écran et une alim (de gamer) pour mon fils. J'aime préparer mes cours et faire le show en amphi devant les étudiants. J'ai le cœur qui s'emballe quand je reçois un scellé ou un dossier judiciaire à étudier.

Mais j'ai la nostalgie du "tout est possible" de ma jeunesse.

Quand je regarde derrière moi, je ne vois pas l'homme de 53 ans, ni celui de 52 ans ou de 51 ans. Non, je vois l'homme de 30 ans qui démarrait une nouvelle vie dans une nouvelle ville, au bras d'une jeune épousée. TOUT était possible.

Alors maintenant que j'ai bien avancé sur le chemin-dont-on-connait-la-fin, plutôt que de regarder les possibles qui ne se sont pas (encore) réalisés, ou le manque d'énergie qui m'anime pour ranger mon bureau, je préfère continuer à regarder l'avenir et imaginer des lendemains qui chantent :
- Le wifi est mort ? Vive le wifi ! Je suis en train de repenser complètement mon défunt réseau Wifi domestique (billet à venir).
- J'ai des défis professionnels à relever : faire beaucoup plus avec plus (je recrute !)
- Le deep learning revient en force ! Pourquoi ne pas essayer de comprendre et se lancer à mon niveau dans un petit coin du sujet ?
- Ce blog tourne en rond, rendons le carré ! Et si je sortais le tome 7 ?

Je m'encrasse.
J'ai besoin de faire les poussières.
De me sortir les mains des poches.
De prendre des risques.
TOUT est encore possible..
Pourvu que ça dure ;-)

Bon, je vous laisse, j'ai un bureau à ranger.

Source : https://zythom.blogspot.com/feeds/472341171287238491/comments/default