[Episode 10] Où l’on étudie les caméras de surveillance et le Li-Fi

Avec un peu de retard dans la programmation nous vous livrons pour Noël un nouvel épisode tout propre !

Au programme:

  • Les news (1:40)
  • Dossier sur les caméras de surveillance (33:43)
  • Une  pause musicale avec Home Alone- 5oh! (1:04:05)
  • Le What’s Next sur le Li-Fi(1:06:51)

Bonne écoute à toutes et tous et Joyeux Noël !

Lire

Liens et références:

//News

Morgan:

 Google uproxy
Coin
Justin:
Comment utiliser linkedin pour des attaques ciblées
LinkedIn sur IOS
Loïs:
BadBIOS, l’Ebola du Malware
Emploi et jeune dans le cyber
//Dossier
//What’s Next
//Musique
Pause musicale: Home Alone – 5oh!
Le lien direct du podcast: ici

Flattr this!

Découvrez le Nymi : L’authentification par électrocardiogramme !

Je vous en parlais dans l’épisode 4 du comptoirsecu, le Nymi est un outil d’authentification biométrique original, car celui-ci se base sur votre électrocardiogramme.

Ce projet semble se concrétiser, car il vient de dévoiler son SDK (kit de développement). Nous étions très sceptiques sur la fiabilité de ce genre de facteur et nous le somme toujours. Maintenant si l’outil s’avère fiable et facile d’emploi, il restera le problème de l’esthétique, qui a envie de porter ce genre de bracelet ? Une solution simple serait de l’intégrer dans les smartwatch, ces objets font un léger bide en ce moment (mis à part peut être la Pebble, mais croyez-moi, cela ne devrait pas durer.

pebble

En attendant, je suis plus attiré par des objets comme la nfcring. Le NFC est sûrement plus facile à cloner à votre insu, mais l’objet est bon marché et à le mérite de ne pas avoir besoin de batterie et de coûter moins cher. Et au final, dans le cas d’une utilisation avec un smartphone, cela nous offre un énorme confort d’utilisation tout en nous protégeant de façon satisfaisante sur les deux risques les plus probables pour monsieur tout le monde : la perte et le vol.

nfc-ring

Malheureusement, ce type d’équipement n’est pas encore mature, mis à part le fait que les iPhone ne gèrent pas le NFC, les téléphones Android équipés de la technologie ne peuvent pas s’en servir… quand l’appareil est verrouillé. Cela est justifié d’un point de vue sécurité, la technologie NFC est utilisée par le paiement sans contact, notamment dans des solutions comme Google Wallet.

On sait déjà qu’il est possible d’interagir avec un composant NFC à plusieurs mettre de distance lorsque l’on a le bon équipement, autant éviter la possibilité d’une faille utilisée à notre insu alors que l’appareil veille gentiment dans notre poche ou notre sac à main…

Ne perdez pas espoir cependant, des rumeurs courent depuis longtemps sur le fait que Google cherche à produire précisément ce genre d’équipements. Quand la « Google Ring » sortira, ils trouveront un compromis sur le verrouillage NFC, peut être tout simplement en autorisant la réception d’informations uniquement ?

Et vous, que pensez-vous de ces alternatives au mot de passe ?

Flattr this!

SafePlug : Ai-je pensé à activer Tor ?

Non ce n’est pas le dernier sextoy à la mode dans la communeauté SSI ! Safeplug est un « pont tor » pour $49.

safeplug

L’anonymat est très difficile à obtenir sur internet. On peut, avec quelques efforts, se protéger des surveillances de masse, mais il est quasiment impossible de protéger son identité si quelqu’un met les moyens pour vous trouver. Ce genre d’inquiétude concerne notamment les « hacktivistes » (lulzsec, anonymous).

Pour l’anonymat, mis à part les évidences comme le fait de fuir les réseaux sociaux et services de type Gmail, le réseau Tor est souvent mis en avant. Jusqu’à présent il n’a pas été prouvé que Tor a été cassé par des spécialistes comme la NSA. On sait par contre qu’il est très difficile de s’assurer qu’absolument tout passe par Tor. Par exemple certaines extensions de navigateur comme le lecteur flash peuvent le contourner.

Où peut aussi tout simplement (comme c’est arrivé, je crois, à un anonymous) oublier, juste une fois, d’activer Tor avant de se connecter sur IRC… Il suffit d’une seule petite erreur isolée pour gâcher une couverture.

Pour ce genre de cas de figure, cette Tor box semble une bonne idée, si la connexion d’une machine passe par la boîte, on peut être (quasi) certain que rien ne sortira sans passer par Tor. Pour le commun des mortels, mis à part les paranoïaques, j’ai du mal à voir l’attrait de ce genre de produit.

Flattr this!

Facebook se met à l’authentification forte

Facebook annonce la possibilité de renforcer sa sécurité en intégrant les systèmes d’authentification forte Yubico et Duo security.

Petit rappel de rigueur, on appelle authentification forte une authentification se basant sur à minima deux facteurs parmi les 3 suivants :

  1. ce que l’on connaît, par exemple un mot de passe
  2. ce que l’on possède, l’exemple le plus parlant est la clé de votre porte d’entrée
  3. ce que l’on est, comme une empreinte biométrique

two-factor-authentication_Header-and-footer

Yubico est maintenant depuis plusieurs années sur le marché, j’ai d’ailleurs encore dans un de mes tiroirs une de leurs premières “Yubikey”, sorte de petite clé USB se faisant passer pour un clavier auprès du système d’exploitation, et donc fonctionnant sans la nécessité d’installer le moindre driver sur tout ce qui peut gérer un clavier USB.

Dans cette clé réside un générateur d’OTP (One Time Password ou mot de passe à usage unique) basé sur un compteur et un secret partagé avec l’autorité d’authentification. Ce système a l’avantage de ne pas nécessiter de batterie et avoir une très grande durée de vie.

YubiKey-NEO-+-finger

Je vous avoue avoir un peu délaissé ces token physiques ces derniers temps, au profit de leur pendant logiciel tel que Google Authenticator. Tout simplement car cela permet d’enlever un objet de ma poche et que de toute façon, comme tout bon drogué à la technologie du 21siecle, je ne me sépare jamais de mon smartphone à moins d’y être contraint !

Je suis très sceptique de leur nouveau format nano, dépassant à peine du port USB et nécessitant juste d’être effleurer pour cracher son précieux sésame. C’est le genre d’objet qu’on va très facilement “oublier”, volontairement ou non, dans le port de la machine. C’est certes moins risqué qu’un simple mot de passe robuste tel que “password123», mais pas idéal.

YubiKey-Nano-+-lanyard

Duo security est une approche assez différente, ou ici le téléphone à bien un rôle central. L’outil peut être un token software comme Google authenticator, ou peut vous simplifier encore plus la vie avec un système de notification ou il faut appuyer sur un gros bouton vert au lieu de rentrer à la main un code à 6 chiffres. Il sait également jouer dans la cour des facteurs biométrique en vous identifiant par la voix. Il peut s’adapter aux gens n’étant pas encore passé à l’être du smartphone par l’envoi du SMS, et peut bien entendue combiner tout ça pour faire de l’authentification à “3 facteurs”.

iphone-android-push-for-blog1

Je suis plus attiré par ce genre de solution, j’avais d’ailleurs il y a environ 2 ans eu l’idée de ce genre de produit, avant de me décourager en voyant que cela n’avait rien de révolutionnaire et était déjà entrepris par des entreprises comme phonefactor, qui a d’ailleurs été racheté par Microsoft il y a peu !

Quoi qu’il en soit, je continue de penser que la vérité est encore ailleurs. Que le mot de passe ne doit pas être complété, mais totalement remplacé, au profit de solution à minima base sur le token (comme la nfcring) ou le token complète de la biométrie (comme le nymi). Certains puristes vous diront qu’il ne faut pas supprimer ce facteur du mot de passe, que cela permettrait d’authentifier quelqu’un a son insu en se rapprochant discrètement de son token authentifiant. Je répondrai a ça qu’un simple système de confirmation consciente ou de notification pallierait à la grande majorité des attaques, et que de nos jours le mot de passe est tellement peu apprécié et mal exploité par l’utilisateur, qu’il apporte plus de risque que de sécurité à nos systèmes.

Flattr this!