PUBLIC MARKS with tags Korben & security

Présenté à la Toorcon et développé par Eric Butler, Firesheep est une extension pour Firefox qui permet de sniffer sur le réseau local, les sessions HTTP non chiffrées qui transitent sur le réseau, permettant ainsi aux petits malins d’accèder directement à vos comptes Google, Twitter, Facebook, Flickr, Amazon, bit.ly, Yahoo, WordPress,…etc sans avoir à se logger. Méfiance donc dans vos écoles et entreprises… La faute de tous ces sites qui ne sécurisent pas en HTTPS l’intégralité de leurs échanges, se contentant juste de chiffrer la partie de login, oubliant bêtement l’accès non chiffré au cookie. Mais pas de panique !!! Il est possible de vous protéger en forçant un chiffrement de A à Z de votre connexion avec ces sites web : Installer l’extension ForceTLS disponible chez Mozilla et pour Firefox. Après un peu de config pour spécifier quels sont les sites dont vous voulez forcer le passage en HTTPS, vous serez protégé !

Google Chrome renferme un identifiant unique permettant à Google de mieux tracker vos habitudes de surf… Heureusement, il existe plusieurs techniques pour désactiver ce numéro d’identification et ainsi pourvoir utiliser Chrome de manière totalement anonyme. - La technique du « J’ai le même que tout le monde »: Tous les gens qui utilisent cette version portable sont donc noyés dans la masse car le n° est identique pour toutes les versions - La technique automatique : Un développeur qui ne veut que votre bien a créé un petit soft donc le but est de virer cet identifiant. Ça s’appelle Google Chrome Anonymizer et c’est téléchargeable ici.

Des chercheurs en sécurité sont en train de travailler sur une technique pour dé-anonymiser les internautes. Il partent du principe que chaque personne possède un navigateur différent, des plugins différents, avec des versions différentes, des polices différentes, un fuseau horaire différent…etc. Et toutes ces petites différences, misent bout à bout, permettent au final de créer une empreinte unique du navigateur (donc de la machine utilisée pour aller sur le net). Ça, c’est ce que l’EFF a appelé Panopticlick et que vous pouvez tester en allant ici. Mais une nouvelle technique exploite les réseaux sociaux. En effet, en exploitant l’historique de votre navigateur, un attaquant (ou un espion ou une société privée) peut savoir sur quels sites vous avez été. il devient possible de clairement vous identifier en tant que personne lors de votre surf quotidien et ce même si vous passez par un VPN…

PeerBlock lets you control who your computer "talks to" on the Internet. By selecting appropriate lists of "known bad" computers, you can block communication with advertising or spyware oriented servers, computers monitoring your p2p activities, computers which have been "hacked", even entire countries! They can't get in to your computer, and your computer won't try to send them anything either. And best of all, it's free!

Avant il fallait sniffer, et cracker la clé... Club Internet qui fourni gratuitement sur son site un petit utilitaire (mirroir ici) pour Windows qui permet à partir du ESSID du modem routeur de calculer la clé WEP par défaut... Simple man ! Bref, pour résumer, il suffit de trouver le ESSID de votre modem routeur (CT633, TECOM AH4021 et TECOM AH4222) avec un coup de Kismet. Si vous avez une ClubInternet Box v1 ou v2, même pas besoin de Kismet. Le numéo ESSID (enfin, les 6 derniers chiffres) sont visibles directement sur n'importe quel soft de gestion Wifi comme ci-dessous,

Hébergeur gratuit : envoyer et partager vos fichiers. Uploadés , Furk vous propose tout une série de lien (lien direct, typé forum, typé HTML...Etc) Possiblilité d'envoyer de gros fichiers( Pas de limite...splitté en fichiers RAR). Propose Abodement pour télécharger à votre place vos fichiers Bittorrent. Arécupérer en direct download (HTTP) par la suite. Les avantages sont : 1. Un téléchargement rapide. 2. Pas la peine de laisser le PC tourner pendant le téléchargement des fichiers torrents 3. Votre provider filtre uniquement les transferts P2P. Il ne filtrera jamais les transferts HTTP. C'est donc tout bénéf pour récupérer les fichiers après. Pas de bridage. 4. Et évidement vous restez anonyme car personne n'aura votre IP.

* Un bel exemple : Je suis sur un réseau wifi public (dans un parc par exemple), afin d'éviter l'écoute de mes paquets sur le réseau (attaque type ARP Poisoning) j'utilise mon serveur VPN (chez moi ou bien chez un prestataire) afin de l'utiliser en tant que passerelle pour toute communication avec internet, ainsi, tous mes paquets seront chiffrés entre mon serveur VPN et mon PC, et les données ne sont plus en clair sur le réseau du wifi, les seules données en clair seront entre le serveur VPN et l'hôte final que l'on cherche à contacter (utiles pour site web, conversations VoIP/IM, etc...). * De la même sorte, si le gouvernement venait à mettre en place un système d'écoute au niveau des FAI, il suffirait de se connecter via un serveur VPN chez un prestataire (à l'étranger) afin de rendre l'écoute des données totalement inutile.

Gaffe à vous si vous utilisez les réseaux Wifi publics pour passer vos appels en VoIP avec votre iPhone (ou autre)… En effet, des chercheurs en sécurité informatique ont présenté à la conférence Toorcon à San Francisco la nouvelle version de leur outil open source d’eavesdropping : UCSniff , pouvant intercepter des communications via voix sur IP avec un simple PC connecté au réseau local.c’est que ces écoutes sauvages peuvent être maintenant réalisées en live.sait même récuperer la vidéo lorsqu’il y en a une dans la communication VoIp. Le problème ici, il existe une tripoté de logiciels de VoIP qui ne procurent aucun chiffrement des communications, facilitant le travail des hackers.Faites donc gaffe à bien choisir votre logiciel de VoIP. Vérifiez que celui-ci possède de bonnes capacités de chiffrement - Pour plus d’info : Le chiffrement sur téléphone mobile