La fraude au Président, c’est quoi ?

Non ici le Président n’est pas un fromage.

Des truands grattent le web pour y trouver de préférence des grosses sociétés bien friquées, analysent qui sont les administrateurs, et envoient un mail au comptable/trésorier en se faisant passer pour le président, en demandant de faire un virement de toute urgence.

Il se fait que je suis trésorier d’un club de plongée sous-marine, on est une association sans but lucratif (ASBL) ce qui serait peut-être une association-loi 1901 en France.

Depuis le premier mail je ne suis évidemment pas dupe.


Subject: Bonjour
Date: Tue, 10 Mar 2020 02:53:05 -0400
From: M… L… <president@s….be>
Reply-To: M… L… <presidence@tuta.io>
To: f…@d….net

Pouvez-vous effectuer un transfert bancaire aujourd’hui ?
Merci de me confirmer.

Envoyé depuis mon téléphone


(On va un peu jouer avec ses pieds)

Subject: Re: Bonjour
Date: Tue, 10 Mar 2020 08:04:56 +0100

de quoi s’agit-il ?


Subject: Bonjour
Date: Tue, 10 Mar 2020 03:17:28 -0400
From: M… L… <president@s….be>
Reply-To: M… L… <presidence@tuta.io>
To: f…@d….net

N° de compte
I B A N: IT30O3608105138240954040961 (B I C: BPPIITRRXXX)
Numéro de compte bancaire: 240954040961
Bénéficiaire: Juliet EROMENO
Banque bénéficiaire: POSTEPAY S.P.A
Adresse: VIA MOLISE 15 8O142 NAPOLI NAPLES. ITALIE.

Pour services informatiques, dispositifs, matériel de communication et fournitures de bureau

Montant: 5800,00 EUR

Veuillez envoyer les preuve de paiement à Mme Juliet (e.juliet@adexec.com) une fois le versement effectué.

Envoyé depuis mon téléphone


Subject: Re: Bonjour
Date: Tue, 10 Mar 2020 09:08:01 +0100
From: F… (moi)
To: M… <presidence@tuta.io>

J’ai pas mon digipass avec moi et ce compte n’est pas dans mes favoris.
Pourquoi tu n’en as pas parlé a la réunion de jeudi ?

Sent from my Android device with K-9 Mail. Please excuse my brevity.


Subject: Bonjour
Date: Tue, 10 Mar 2020 04:23:48 -0400
From: M… L… <president@s….be>
Reply-To: M… L… <presidence@tuta.io>
To: f…@d….net

Effectuer le paiement. Nous en discuterons lors de la prochaine réunion.

Envoyé depuis mon téléphone


(on a assez joué)

Subject: Re: Bonjour
Date: Tue, 10 Mar 2020 10:05:17 +0100
From: Frederic …
To: M… <presidence@tuta.io>

Je t’appelle

Sent from my Android device with K-9 Mail. Please excuse my brevity.


Après ce dernier mail, bien sûr silence radio.

Pour ses mails envoyés, le truand semble avoir piraté le compte d’un webmail d’une société de construction au Qatar, et passe par un service d’envoi SMTP chez un hébergeur cloud. Il se fait envoyer les réponses à une adresse chez Tutanota (tuta.io) et y réagit. Malgré cela, ça m’étonnerait qu’on le pince.

Serveur mail d’envoi + signature DKIM + liberté de choix d’adresse de l’expéditeur

On entend souvent les clients OVH se plaindre à propos du mail:

  • envoi compliqué, soumis à des quotas par heure et par IP
  • réputation médiocre des serveurs d’envoi partagés avec les autres clients
  • selon l’offre d’hébergement, impossible d’envoyer un mail à partir d’un alias ou adresse de redirection
  • absence de signature DKIM
  • mails envoyés qui disparaissent parfois, et aucun moyen de les retracer
  • webmail roundcube remplacé par Outlook Web (les choix ça ne se discute pas)

Dans ce tuto pas à pas, je vous propose de réaliser un serveur mail ayant les fonctionnalités suivantes:

  • envoi uniquement
  • pas de réception de mail (donc pas de problématique de filtrage du spam, etc)
  • pas d’hébergement de boîtes mail (le serveur ne contient aucune donnée à conserver)
  • c’est “votre serveur”, donc une adresse IP dédiée dont la réputation ne tient qu’à vous
  • soumission de mail uniquement via TLS sur le port 587 pour les utilisateurs autorisés.
  • Le port 25 est fermé.
  • le login d’authentification n’est pas relié à l’adresse mail de l’expéditeur
  • ajout de la signature DKIM pour un ou plusieurs domaines
  • accès aux fichiers log permettant un diagnostic (livraison ? refus ? etc)
  • En option, installation d’un serveur webmail roundcube, les messages restant sur le serveur IMAP. C’est publié ici !

Le tuto est réalisé sur la base d’un serveur VPS à 3€ TVAC par mois, loué au mois sans engagement, chez le fournisseur Hetzner. Il a un processeur 1 coeur, 20 GB de disque, 2 GB de RAM. C’est largement suffisant pour ce qu’on veut en faire. Vous avez le choix du fournisseur de cloud VPS. Il faut un VPS où vous avez le droit ‘root’.

Au niveau logiciel, debian 10.3, postfix, sasl, opendkim.

Il faut baptiser ce serveur (lui donner un nom complet dans un de vos domaines). Je déconseille formellement les nouveaux noms de domaines .site, .xyz, .pro, .bid, .best et autres, aussi bien dans le nom du serveur que dans les adresses mail d’expéditeur. Ces suffixes sont trop abusés par les spammeurs.

Appelons notre serveur bazooka.example.com dans la suite.

Supposons que vous avez 2 clients Tom et Jerry qui doivent recevoir chacun un login pour pouvoir envoyer des mails via ce serveur. Vous devez avoir confiance dans vos clients. Si l’un d’eux se met à spammer, il va pourrir la réputation de l’adresse IP de votre serveur.

Tom possède 2 domaines asteryx.be et obelyx.be dont les mails sortants devront être signés DKIM en sortie par notre serveur. (à la date de rédaction, ces 2 domaines sont libres)

Au niveau DNS, on devra

  • ajouter une entrée A pour bazooka.example.com. La mise à jour se fait dans la zone DNS là où le domaine example.com est hébergé.
  • mettre à jour le reverse (une entrée PTR) liée au serveur VPS. Cette mise à jour se fait chez le fournisseur du VPS et doit intervenir après l’étape précédente. N’oubliez pas de faire de même pour votre adresse IPv6 le cas échéant. C’est nécessaire pour le mail sortant.
  • ajouter une entrée TXT pour chacune des clés publiques DKIM. Cette mise à jour se fait par Tom ou son prestataire, auprès de l’hébergeur des domaines asteryx.be et obelyx.be.
  • Si vos domaines ont un enregistrement SPF, n’oubliez pas d’y ajouter l’adresse IP de votre nouveau serveur sous la forme IP4:123.45.67.89 . Idem pour l’adresse IPv6.

Hop à vos claviers ! Vous êtes supposé être capable d’utiliser ssh, putty, vi ou nano, et les commandes basiques.

Le serveur VPS est livré avec Debian 10 “tout nu”.

Commencez par changer le mot de passe de ‘root’, minimum 10 caractères, lisez mon article : Votre mot de passe est-il sûr ? .
Ou mieux, abandonner les bons vieux mots de passe au profit des clés ssh.

Mise à jour du système

apt-get update && apt-get dist-upgrade

Une petite parenthèse ici: si vous ne souhaitez pas que l’éditeur vi fasse de l’analyse syntaxique en couleurs, tapez la commande suivante:

echo syntax off >> ~/.vimrc

On va indiquer le nom du serveur, en éditant /etc/hostname : mettre le nom complet bazooka.example.com ; et /etc/hosts  : à côté de l’adresse IP remplacer l’ancien nom par le nom complet, un espace, puis le nom court:

123.45.67.89 bazooka.example.com bazooka

Définition de notre fuseau horaire:

dpkg-reconfigure tzdata

Un reboot à ce stade ne fait pas de tort: “reboot” ou “shutdown -r now”.
Ensuite on va installer les packages qui nous intéressent, d’abord nos boîtes à outils:

apt-get install whois at telnet ntp mailutils dnsutils

et ensuite

apt-get install postfix

Cette installation pose une question. Il faut dire qu’il s’agit d’un “internet site” et renseigner le nom de ce serveur: bazooka.example.com

On continue:

apt-get install sasl2-bin libsasl2-modules

Comment cela fonctionne-t-il ?

Postfix transporte du mail mais ne gère pas l’authentification des utilisateurs. Pour cela on fait appel à un “sous-traitant” nommé SASL, une librairie qui sert exclusivement à cela.

Installation de SASL

Dans notre serveur, SASL validera sur base d’un compte Unix.
Configuration de SASL, on édite le fichier /etc/default/saslauthd

On change la ligne:
START=yes
Remarquez MECHANISMS=”pam” qui indique l’utilisation du compte Unix

et la dernière ligne doit être remplacée par:

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Sauvez le fichier.

On doit mettre Postfix dans le groupe SASL pour pouvoir avoir accès au socket de communication inter-processus.

adduser postfix sasl

et on redémarre le démon:
service saslauthd restart

On crée un compte pour tom

adduser tom
(-> répondre aux questions )

chsh tom
(-> répondre: /usr/sbin/nologin )

On vérifie que SASL est capable de valider le login/pass de Tom:

testsaslauthd -u tom -p goodpassword -f /var/spool/postfix/var/run/saslauthd/mux
0: OK "Success."
testsaslauthd -u tom -p badpassword -f /var/spool/postfix/var/run/saslauthd/mux
0: NO "authentication failed"

On fait de même pour jerry.

Configuration de Postfix

Postfix s’appuie essentiellement sur deux fichiers /etc/postfix/master.cf et /etc/postfix/main.cf.

Editez /etc/postfix/master.cf pour apporter les modifications suivantes:

  • Mettez en commentaire la ligne qui commence par “smtp”. Ceci empêchera la réception de mail sur notre serveur.
  • Décommentez la ligne qui commence par #submission ainsi que la dizaine de lignes de continuation qui suivent.

Editez /etc/postfix/main.cf  et ajoutez ce bloc de lignes, mettez-le par exemple en-dessous des paramètres TLS

# suggéré via blog.demees.net
smtpd_restriction_classes = mua_sender_restrictions, mua_client_restrictions, mua_helo_restrictions
mua_client_restrictions = permit_sasl_authenticated, reject
mua_sender_restrictions = permit_sasl_authenticated, reject
mua_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = smtpd
smtp_tls_security_level = may
message_size_limit = 40960000

Plus bas, vérifiez que la ligne “myhostname=” contient bien le nom complet du serveur, par exemple bazooka.example.com.

Il faut relier Postfix avec le démon saslauthd, via le fichier /etc/postfix/sasl/smtpd.conf :

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

Sauvez, et puis tapez la commande: postfix reload

A ce stade le serveur mail est opérationnel, mais sans DKIM.

Installation de OpenDKIM

Comme pour SASL, l’ajout de DKIM se fait par un module complémentaire.

Postfix et DKIM vont communiquer par un “socket” TCP n° 12301 choisi arbitrairement et que vous pouvez altérer à votre guise, des deux côtés de la configuration.

apt-get install opendkim opendkim-tools

A nouveau, on va éditer les fichiers de configuration, puis créer des clés pour les domaines dont il faut authentifier les mails.

Edition de /etc/opendkim.conf

On va ajouter tout un bloc de paramètres, et s’assurer de bien désactiver (mettre en commentaire) toute instruction contradictoire déjà présente.

# suggéré via blog.demees.net, inspiré d'un tuto sur Digitalocean
AutoRestart Yes
AutoRestartRate 10/1h
UMask 002
Syslog yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode s
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:12301@localhost

Edition de /etc/default/opendkim : une seule ligne “SOCKET” doit subsister comme ceci. Les autres lignes “SOCKET=”doivent être mises en commentaire.

SOCKET=inet:12301@localhost

On doit encore ajouter quelques lignes à la configuration de Postfix pour lui indiquer comment communiquer avec OpenDKIM.

Ajoutez ces lignes dans /etc/postfix/main.cf, par exemple juste en-dessous de celles qu’on a ajoutées précédemment:

#OpenDKIM
milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

On a encore du travail avec OpenDKIM

mkdir /etc/opendkim
mkdir /etc/opendkim/keys

On va créer une paire de clés par domaine. J’explique pour asteryx.be, il en est de même pour obelyx.be.

cd /etc/opendkim/keys
mkdir asteryx.be && cd asteryx.be
opendkim-genkey -s selector1 -d asteryx.be
chown opendkim:opendkim selector1.private

Il en résulte deux fichiers: selector1.private (clé privée à garder précieusement) et selector1.txt (clé publique à publier via DNS)

On va encore créer les fichiers suivants dans /etc/opendkim :

/etc/opendkim/TrustedHosts

127.0.0.1
localhost
192.168.0.1/24
#*.example.com

/etc/opendkim/SigningTable

*@asteryx.be selector1._domainkey.asteryx.be
*@obelyx.be selector2._domainkey.obelyx.be

/etc/opendkim/KeyTable

selector1._domainkey.asteryx.be asteryx.be:selector1:/etc/opendkim/keys/asteryx.be/selector1.private
selector2._domainkey.obelyx.be obelyx.be:selector2:/etc/opendkim/keys/obelyx.be/selector2.private

selector1 et selector2 sont des exemples, vous pouvez mettre ce que vous voulez en format alphanumérique, ce peut être bazooka, mail, mars2020. Il faut juste que ça corresponde avec l’entrée DNS que vous allez créer.

Vous transmettez le fichier asteryx.be/selector1.txt à l’administrateur du domaine asteryx.be. Celui-ci doit s’arranger pour ajouter cette clé publique dans un enregistrement TXT de sa zone DNS. Ca peut se trouver un peu compliqué car le contenu du champ est assez long. Parfois on doit passer par une édition en mode texte pour ajouter un tel enregistrement. La clé publique à publier dans DNS se trouve dans le fichier selector1.txt .

Voici un exemple avec k3 comme nom de selecteur et le nom de domaine fdm.ovh.

root@k3:/etc/opendkim/keys/fdm.ovh# cat k3.txt
k3._domainkey   IN      TXT     ( "v=DKIM1; h=sha256; k=rsa; "
          "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuWfTdOfeAXRt7nZkRSy46JWpk6mTC1vPtvUVdEQmYv+fzHesqWxtV8Ww7uq8L63p2L6OU8p61Deslodj3YjFL8vw9nVgt3/I1igPaPMuRcbHaM4WQnjOw6exP+U8qMTZEIpTgByowmmIruWXx/60QamRWGxdBxEWR9wZAgMZNYlVuafR+HjcdS1m2sVZqNSPFqx/q1E8ZnAyHI"
          "L0rQ7/qtIMHAB4MlK/eVvPPmGvx4djlaQJpCZfgMDdg0dzJMMvUMu37csCQcW/2XkoSOm6N2GlCEvKeYA2fZ66sKPKR3RhIuPZR/XHwLM/2fcsuUu6A/NiMSW1okmt/prI1xNaIQIDAQAB" )  ; ----- DKIM key k3 for fdm.ovh

après importation réussie dans DNS vous pouvez vérifier avec la commende dig, tout est sur une ligne. La commande nslookup peut vous présenter la réponse en plusieurs lignes où chaque morceau est encadré avec des apostrophes (“).

# dig +short k3._domainkey.fdm.ovh txt
"v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuWfTdOfeAXRt7nZkRSy46JWpk6mTC1vPtvUVdEQmYv+fzHesqWxtV8Ww7uq8L63p2L6OU8p61Deslodj3YjFL8vw9nVgt3/I1igPaPMuRcbHaM4WQnjOw6exP+U8qMTZEIpTgByowmmIruWXx/60QamRWGxdBxEWR9wZAgMZNYlVuafR+H" "jcdS1m2sVZqNSPFqx/q1E8ZnAyHIL0rQ7/qtIMHAB4MlK/eVvPPmGvx4djlaQJpCZfgMDdg0dzJMMvUMu37csCQcW/2XkoSOm6N2GlCEvKeYA2fZ66sKPKR3RhIuPZR/XHwLM/2fcsuUu6A/NiMSW1okmt/prI1xNaIQIDAQAB"

C:\> nslookup -q=txt selector3._domainkey.fdm.ovh
Server:  s.home.local
Address:  192.168.99.2

Non-authoritative answer:
selector3._domainkey.fdm.ovh    text =

        "v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA16O6zg653ZlnH6gSj+XcW1+bM07qXMuQ3dOOkcCgUQ6xAOMe+EtlMSGs7SdvcCG5PM7d0G3VxZx2CpXU56M3pa3/j7yV3CE2Iq+YEKeNoo/rdiTD5wbGnGmcIOxrLKfzUQoGGdfLjXt8L0OBaFa5xjamZQk/bjz+zIWRKEoXpG95N2VbAU"
        "U1oR3wbLzwuz6W2KOViP1ihK5/iIUbNBKPOF/Ue6lz8bZuSVJc54+PWdHxv/t+E51wvErFHpoFEVNnCdFbLZWL6fZ0pGdFKIv1sllKNhHw1orwGi/4UGuitLtnRsPIw2qjFXWC8XKDUrVKUDxf0i3I9wK9LEXBp63e9QIDAQAB"

Pour être certain que tout est bien réalisé et que tout redémarre de manière ordonnée, faites un reboot (toujours avec la commande “reboot” ou la commande “shutdown -r” ; jamais via le panneau d’administration de votre cloud ! jamais en tirant la prise !)

Enfin il nous reste une petite intervention à faire: si le serveur doit envoyer des mails à postmaster ou root, vous souhaitez les recevoir sur votre adresse habituelle.

Editez le fichier /etc/aliases, ajoutez une ligne

root: moi@example.net

sauvez et tapez la commande : newaliases.
Faites un test avec la commande: “echo test|mail root”

Ceci termine l’installation du serveur mail.
La maintenance est minimale. Par défaut Debian fait le ménage régulier des fichiers log pour que le disque ne se remplisse pas. Le serveur est peu vulnérable aux attaques si les mots de passe sont bien choisis.

Configuration de votre logiciel client

Dans votre client mail, par exemple Thunderbird, vous configurez un nouveau serveur d’envoi avec les paramètres suivants:

Thuderbird SMTP settings

Le mot de passe sera demandé lors de la première utilisation.

Et le webmail Roundcube ?

Je vous l’avais annoncé en titre. Avec le confinement du Coronavirus, j’ai trouvé le temps de rédiger cet article ! C’est par ici …

 

Votre mot de passe est-il sûr ?

Des listes de mots de passe circulent sur internet.

Plusieurs sites proposent ces dictionnaires en téléchargement, par exemple https://crackstation.net/

Pour voir si votre “excellent mot de passe” existe dans cette liste, cela se fait en deux temps.

  1. calculez le hash sha-256 de votre mot de passe. Le hash est une procédé irréversible qui ne permet pas de reconstituer ce qui a été hashé.
  2. présentez ce hash au site en question. S’il vous rend le mot de passe non hashé, c’est qu’il se trouve dans son dictionnaire, et est donc à déconseiller.

Pour calculez le hash d’un fichier, il y a des sites web par dizaines. Par exemple https://xorbin.com/tools/sha256-hash-calculator

Si vous ne voulez pas soumettre votre secret à un site inconnu, utilisez votre linux favori:

# echo -n “p@ssword”|sha256sum
0fd205965ce169b5c023282bb5fa2e239b6716726db5defaa8ceff225be805dc –

Puis vous allez sur crackstation.net et vous introduisez le hash (sans le “-” final)

Il vous restitue instantanément p@ssword car il est dans son dictionnaire.

Si vous avez oublié un mot de passe, demandez-le à Google !

Ce billet s’adresse plutôt aux utilisateurs d’Android et de Chrome.
Les aficionados de la Pomme auront probablement confié leurs précieux mots de passe à cette société-là.

Préambule: il est important que personne ne connaisse votre mot de passe Gmail / Google.

Allez voir ce site: https://passwords.google.com et puis Password Checkup.
(Si vous êtes parano et demi, ne cliquez pas sur ce lien, mais retapez l’adresse dans une autre fenêtre)

Vous devrez retaper votre mot de passe Google, et c’est très bien ainsi, car on va voir bien des choses.

Google va vous énumérer des sites où ce mot de passe a (probablement) été compromis, ceux où vous avez utilisé le même password, et ceux où vous avez un mot de passe “faible”.

En cliquant sur la petite flèche à droite, on peut détailler.Je viens de vous dévoiler que j’ai utilisé le même mot de passe sur tous ces sites.

On peut détailler encore plus. Cliquez sur ces trois petits points

Vous pouvez voir ce mot de passe et même le sélectionner pour le recopier ailleurs.


Postambule: il est important que personne ne connaisse votre mot de passe Gmail / Google.

Tous ces mots de passe stockés là le sont par votre propre volonté. Vous avez demandé à Google de les mémoriser, soit dans votre téléphone, soit dans une autre application Google comme Chrome.

Mais de là à les voir affichés en clair, c’est inattendu. Parmi les mots de passe mémorisés, seuls ceux posant problème peuvent être affichés.

 

 

 

Let’s Encrypt everything, la grosse arnaque du siècle !

Rappelez-vous de l’époque où on utilisait HTTPS uniquement pour les communications ayant un caractère privé (on parle aussi de TLS, SSL, certificats, etc).

A cette époque, pour obtenir un certificat, il fallait se diriger vers une autorité de certification, démontrer qu’on était autorisé à faire cette demande, payer une certaine somme, et installer ce certificat sur le serveur web, pour bénéficier d’une protection des communications transmises via le web. Toute cette procédure était assez malaisée pour le “webmaster moyen”.

Puis la grande vague “Let’s Encrypt” est passée par là depuis fin 2015, et tout le monde est en train de tout encrypter, facilement et gratuitement. Même les horaires de l’autobus. Même le présent blog. Même l’édition gratuite de la gazette. Même la recette du pot-au-feu de Mme Michu.

En fait tout le monde s’en fichait un peu, jusqu’au moment où Google, déjà victorieux de la troisième guerre mondiale, celle de l’information, a décidé de pénaliser les sites non-HTTPS dans ses résultats de son moteur de recherche en les éjectant de la première page.

Non content de crypter le trafic web mondial, il faut passer à la vitesse supérieure. On va de plus en plus encrypter le trafic DNS (conversations de machine à machine – entre autres répondre aux questions telle que celle-ci: quelle est l’adresse IP de xxx.com) , de telle manière que personne entre l’utilisateur et le serveur DNS questionné ne puisse “sniffer le câble” et prendre connaissance des questions DNS, et donc des sites visités et des habitudes de surf de l’utilisateur.

En fait tout ça me plaît lorsque que j’utilise le wifi gratuit mis à disposition par stib.brussels, ou bien un hôtel d’une grande chaîne ou le petit restaurant viet du coin. Ils n’ont pas à savoir si je vais sur Facebook et quels sont mes amis, ni intervenir dans mes conversations Skype. Ca me rassurerait “presque” d’oser utiliser ma banque en ligne.

Bien au contraire, les e-mails (ou mèl, ou courriels, …) sont très mal protégés. En 2019 la quasi-totalité des communications e-mail sont sécurisées. A moins d’utiliser Gmail, Hotmail ou équivalent, vous savez sans doute trop bien que c’est compliqué de configurer une messagerie sur votre téléphone ou PC. En contrepartie si les communications sont sécurisées, tous vos e-mails sont stockés en clair sur les disques durs de la société qui héberge vos mails. C’est à dire que vous êtes à poil devant Apple si vous mettez tout dans iCloud ; devant Microsoft pour Hotmail, Office365, Live, Onedrive ; devant Google pour Gmail et Googledrive…

Quand vous envoyez une information commerciale importante ou sensible à plusieurs personnes, combien de fois pouvez-vous affirmer qu’il n’y a pas au moins un destinataire chez ces Google, Apple et consorts ?

Tout ceci a un effet insidieux sur la sécurité des entreprises. Le responsable de la sécurité informatique se trouve fort démuni lorsqu’il doit prendre toutes les mesures contre les infections de virus et autres bestioles malfaisantes, exfiltration de données d’entreprise, visites de sites inacceptables, et j’en passe et des meilleures.

 

 

Arnaque à 1000 euros

[Edit 05 février 2019: maintenant cette tentative d’escroquerie est devenue d’une banalité affligeante.
Mais ça rapporte:voyez plutôt ici, on parle de dizaines de millions USD]

Publié le 10 août 2018

Reçu aujourd’hui pour la première fois, un type d’arnaque que certains proches avaient déjà reçue. Les truands ne manquent pas d’imagination.

It seems that, +XX XXXX02XX, is your phone. You may not know me and you are probably wondering why you are getting this e mail, right?

actually, I setup a malware on the adult vids (porno) web-site and guess what, you visited this site to have fun (you know what I mean). While you were watching videos, your internet browser started out functioning as a RDP (Remote Desktop) having a keylogger which gave me accessibility to your screen and web cam. after that, my software program obtained all of your contacts from your Messenger, FB, as well as email.

What did I do?

I backuped phone. All photo, video and contacts.
I created a double-screen video. 1st part shows the video you were watching (you’ve got a good taste haha . . .), and 2nd part shows the recording of your web cam.

exactly what should you do?

Well, in my opinion, $1000 is a fair price for our little secret. You’ll make the payment by Bitcoin (if you do not know this, search “how to buy bitcoin” in Google).

BTC Address:

1GYNGZLEUGkkQjHo19dHDnGE87WsAiGLLB

(It is cAsE sensitive, so copy and paste it)

Important:
You have 48 hour in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I know that you have read through this email message). If I do not get the BitCoins, I will certainly send out your video recording to all of your contacts including relatives, coworkers, and so on. Having said that, if I receive the payment, I’ll destroy the video immidiately. If you need evidence, reply with “Yes!” and I will certainly send out your video recording to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by responding to this message.

Ben tiens, RDP sur mon téléphone pour activer la caméra.

Je suis surpris qu’à ce jour, Google n’ait qu’un seul résultat (en italien) en cherchant sur l’adresse Bitcoin.
Apparemment leur petit business est juteux: https://www.bleepingcomputer.com/news/security/adult-site-blackmail-spammers-made-over-50k-in-one-week/

Edit 16/08/2018: je devais être un des premiers à faire part de cette nouvelle vague. Précédemment les truands ont utilisé des listes de passwords piratés et leur business a fonctionné. S’ils s’en prennent aux annuaires téléphoniques maintenant, le public cible sera énormément plus vaste.

Brian Krebs en parle aussi: https://krebsonsecurity.com/2018/07/sextortion-scam-uses-recipients-hacked-passwords/

Cette adresse Bitcoin a déjà reçu quelques paiements: https://www.blockchain.com/btc/address/1GYNGZLEUGkkQjHo19dHDnGE87WsAiGLLB

Ransomware, Spam, (Spear) Phishing, Watering Hole, Advanced Persistent Threat, Malicious Attachments, Graymail … : définitions

Proofpoint est une société qui s’est spécialisée dans le filtrage des e-mails, comptant de grands comptes parmi leurs clients.

J’ai trouvé sur leur site un excellent résumé des différents types de menaces qui nous guettent :

Ransomware

Ransomware is a type of malicious software that blocks access to a computer system or data, usually by encrypting it, until the victim pays a fee to the attacker. In many cases, the ransom demand comes with a deadline—if the victim doesn’t pay in time, the data is gone forever.

Business Email Compromise (BEC)

Impostor emails trick people into sending money—sometimes hundreds of thousands of dollars in a single wire transfer—or sensitive corporate or personal data. They appear to come from the CEO or other high-level executive and urge the recipient to keep the details confidential.

Information Seeking Scams

Scammers want information, and they try to extract it by tricking recipients of emails. The information they collect could be an organization chart – or as significant as usernames and passwords to corporate resources.

Spam

Spam, also known as Unsolicited Commercial Email (UCE), is often questionable, mass-emailed advertisements. At its peak, spam accounted for 92% of all email traffic, and most of the spam was non-malicious.

Malicious Email Attachments

Attackers attach files to email that indirectly launch an executable program that can destroy data, steal and upload information to outsiders, or can silently use the infiltrated computer for other tasks – all without the user’s knowledge.

Phishing

Phishing is a socially engineered attack that uses embedded URL links to extract information from the user or take control of their computer. Clicking on a link opens a browser, and the user is taken to a site that’s been setup as a trap by the attackers.

Longlining

Mass customized phishing messages that are typically engineered to look like they are only arriving in small quantities, mimicking targeted attacks. Attackers leverage approaches used by mass marketing campaigners to generate millions of dissimilar messages.

Watering Hole

A targeted attack designed to compromise users within a specific industry or function by infecting websites they typically visit and luring them to a malicious site. Watering Hole attacks, or strategic website compromise attacks, are limited in scope as they rely on an element of luck.

Spear Phishing

Socially-engineered and sophisticated threats sent to an organization’s users that are typically designed to steal information. Spear phishing is a phishing attack where attackers typically personalize messages to the user based on publicly available information about them.

Advanced Persistent Threat

Mostly nation-state-sponsored attacks aimed at compromising an organization to carry out espionage or sabotage goals, but which aim to remain undetected for a longer period of time. The term Advanced Persistent Threat (APT) is often misused.

Endpoint-Delivered Threats

Attackers can use strategies such as leaving an infected USB drive around the organization’s parking lot in anticipation that an employee will pick it up and plug it into a network connected system.
Network-Delivered Threats

To execute a successful network attack, attackers must typically actively hack a company’s infrastructure to exploit software vulnerabilities that allow them to remotely execute commands on internal operating systems.

Graymail

Graymail is bulk email that does not fit the definition of spam because it is solicited and has varying value to different recipients.

 

Source: https://www.proofpoint.com/us/threat-insight/threat-reference

Domotique, IoT, électronique connectée : ici ça dépasse les bornes !

J’ai acheté cette semaine un relais électronique SONOFF , en vente pour le moment pour 4,78€ frais de port compris, chez Banggood. (lien)Pas de notice, il faut lire un QR-code sur la boîte. Il y a deux autres QR-codes pour l’app iPhone et l’app Android.

Le manuel complet se trouve ici (lien lien)

Ca a l’air sympa, voilà enfin un accessoire facile à configurer, et ça fonctionne juste bien comme annoncé.

J’ai ouvert le boîtier pour constater que la qualité de réalisation est bonne. Ce n’est pas protégé contre l’humidité ou la pluie. Pour 5€ livré chez vous, c’est une bonne affaire.

_______________________________________________

Maintenant on va passer aux points négatifs et ils sont si nombreux que je vais m’abstenir d’utiliser ce gadget tel qu’il est.

  1. Il ne peut être piloté que via une application. Abandonnez l’idée d’un simple navigateur internet.
  2. Cette application fonctionne via un site centralisé hébergé sur Amazon AWS.
  3. Si plusieurs personnes doivent télécommander le même appareil, chacune doit installer l’app, créer un compte personnel et accepter une invitation de la part du propriétaire du relais.
  4. L’application testée dans sa version Android réclame les droits suivants pour pouvoir être installée: Device & App history, Location, Photos/Media/Files, Camera, Microphone, WiFI connection information, Device ID and Call History. Je vous invite à voir les captures d’écran qui expliquent mieux en détail les accès demandés.

    Lors de l’installation de l’app j’ai aussi dû créer un compte avec une classique validation de mon adresse e-mail. Je n’ai pas complété mon n° de téléphone qui était pourtant demandé. N’est-ce pas un peu beaucoup pour allumer ma lampe de jardin à distance ?
  5. Ensuite, comme toutes les communications passent par ce serveur centralisé, il, me sera impossible d’allumer ou éteindre cette lampe qui est tout près de moi, s’il n’y a pas d’internet, si le serveur central est arrêté par le vendeur, s’il se fait hacker, etc.

Etant donné l’intrusion grave dans ma vie privée, et la dépendance au bon fonctionnement d’internet et de l’infrastructure centralisée avec laquelle je n’ai aucune relation contractuelle, j’ai désinstallé aussitôt l’application. Le relais est devenu sans aucune utilité, tel qu’il est.

Cet appareil contient un microcontrôleur programmable ESP8266. L’internet regorge de projets pour reprogrammer la mémoire de ce microcontrôleur. Ca promet du plaisir … L’interface USB-Serial TTL est commandé…

Dans un article suivant, j’explique comment programmer le bouton et la LED.

Collection de liens:

Reprogram Sonoff Smart Switch with Web Server

MQTT -> http://www.hivemq.com/blog/how-to-get-started-with-mqtt

Hacking it -> https://wiki.almeroth.com/doku.php?id=projects:sonoff

ESPurna -> https://bitbucket.org/xoseperez/espurna/wiki/Home

Let’s Control It: https://www.youtube.com/watch?v=fN_QKOWvG1s
https://www.letscontrolit.com/wiki/index.php/ESPEasy

Update 10 novembre 2017: pourquoi il ne faut pas acheter un appareil qui est “possédé” par quelqu’un d’autre (et qui peut décider de bloquer son fonctionnement alors qu’il est en parfait état de marche même dans un environnement non relié à internet)
NEST: http://www.zdnet.com/article/nest-to-brick-revolv-smart-hubs-on-sunday-and-theres-nothing-owners-can-do-about-it/
LOGITECH: https://gizmodo.com/logitech-will-be-intentionally-bricking-all-harmony-lin-1820279591
https://arstechnica.com/gadgets/2017/11/logitech-to-shut-down-service-and-support-for-harmony-link-devices-in-2018/

Edit 15/02/2018: Un article à lire sur la “smart house”. Brrrr… bonjour les mouchards.

Edit 19/05/2018: NEST en panne pendant quelques heures. Ce n’est pas la fin du monde, mais ça touche tous les cleints NEST dans le monde. Articles: TheVerge, Gizmodo.

Ce que Google et Facebook retiennent à propos de vous…

Article du Guardian: Are you ready? Here is all the data Facebook and Google have on you

Où étiez-vous hier ? avant-hier ? Pourquoi vous êtes-vous arrêté 5 minutes devant tel restaurant ? https://www.google.com/maps/timeline?pb

etc etc, allez vite découvrir l’article.

 

Are you ready? Here is all the data Facebook and Google have on you
Dylan Curran
The harvesting of our personal details goes far beyond what many of us could imagine. So I braced myself and had a look
Fri 30 Mar 2018 08.17 BST
First published on Wed 28 Mar 2018 11.00 BST
Shares
121,672
Comments
3,029
A slice of the data that Facebook keeps on the author: ‘This information has millions of nefarious uses.’
A slice of the data that Facebook keeps on the author: ‘This information has millions of nefarious uses.’ Photograph: Dylan Curran
Want to freak yourself out? I’m going to show just how much of your information the likes of Facebook and Google store about you without you even realising it.
Google knows where you’ve been
Google stores your location (if you have location tracking turned on) every time you turn on your phone. You can see a timeline of where you’ve been from the very first day you started using Google on your phone.
Click on this link to see your own data: google.com/maps/timeline?…
Here is every place I have been in the last 12 months in Ireland. You can see the time of day that I was in the location and how long it took me to get to that location from my previous one.
A Google map of every place I’ve been in Ireland this year.
Facebook
Twitter
Pinterest
‘A Google map of every place I’ve been in Ireland this year.’ Photograph: Dylan Curran
Google knows everything you’ve ever searched – and deleted
Google stores search history across all your devices. That can mean that, even if you delete your search history and phone history on one device, it may still have data saved from other devices.
Click on this link to see your own data: myactivity.google.com/myactivity
Why have we given up our privacy to Facebook and other sites so willingly?
Read more
Google has an advertisement profile of you
Google creates an advertisement profile based on your information, including your location, gender, age, hobbies, career, interests, relationship status, possible weight (need to lose 10lb in one day?) and income.
Click on this link to see your own data: google.com/settings/ads/
Google knows all the apps you use
Google stores information on every app and extension you use. They know how often you use them, where you use them, and who you use them to interact with. That means they know who you talk to on Facebook, what countries are you speaking with, what time you go to sleep.
Click on this link to see your own data: security.google.com/settings/secur…
Google has all of your YouTube history
Google stores all of your YouTube history, so they probably know whether you’re going to be a parent soon, if you’re a conservative, if you’re a progressive, if you’re Jewish, Christian, or Muslim, if you’re feeling depressed or suicidal, if you’re anorexic …
Click on this link to see your own data: youtube.com/feed/history/s…
The data Google has on you can fill millions of Word documents
Google offers an option to download all of the data it stores about you. I’ve requested to download it and the file is 5.5GB big, which is roughly 3m Word documents.
Manage to gain access to someone’s Google account? Perfect, you have a diary of everything that person has done
This link includes your bookmarks, emails, contacts, your Google Drive files, all of the above information, your YouTube videos, the photos you’ve taken on your phone, the businesses you’ve bought from, the products you’ve bought through Google …
They also have data from your calendar, your Google hangout sessions, your location history, the music you listen to, the Google books you’ve purchased, the Google groups you’re in, the websites you’ve created, the phones you’ve owned, the pages you’ve shared, how many steps you walk in a day …
Click on this link to see your own data: google.com/takeout
Facebook has reams and reams of data on you, too
Facebook offers a similar option to download all your information. Mine was roughly 600MB, which is roughly 400,000 Word documents.
This includes every message you’ve ever sent or been sent, every file you’ve ever sent or been sent, all the contacts in your phone, and all the audio messages you’ve ever sent or been sent.
Click here to see your data: https://www.facebook.com/help/131112897028467
A snapshot of the data Facebook has saved on me.
Facebook
Twitter
Pinterest
‘A snapshot of the data Facebook has saved on me.’ Photograph: Dylan Curran
Facebook stores everything from your stickers to your login location
Sign up to the Media Briefing: news for the news-makers
Read more
Facebook also stores what it thinks you might be interested in based off the things you’ve liked and what you and your friends talk about (I apparently like the topic “girl”).
Somewhat pointlessly, they also store all the stickers you’ve ever sent on Facebook (I have no idea why they do this. It’s just a joke at this stage).
They also store every time you log in to Facebook, where you logged in from, what time, and from what device.
And they store all the applications you’ve ever had connected to your Facebook account, so they can guess I’m interested in politics and web and graphic design, that I was single between X and Y period with the installation of Tinder, and I got a HTC phone in November.
(Side note, if you have Windows 10 installed, this is a picture of just the privacy options with 16 different sub-menus, which have all of the options enabled by default when you install Windows 10)
Privacy options in Facebook.
Facebook
Twitter
Pinterest
Privacy options in Windows 10. Photograph: Dylan Curran
They can access your webcam and microphone
The data they collect includes tracking where you are, what applications you have installed, when you use them, what you use them for, access to your webcam and microphone at any time, your contacts, your emails, your calendar, your call history, the messages you send and receive, the files you download, the games you play, your photos and videos, your music, your search history, your browsing history, even what radio stations you listen to.
Facebook told me it would act swiftly on data misuse – in 2015
Harry Davies
Read more
Here are some of the different ways Google gets your data
I got the Google Takeout document with all my information, and this is a breakdown of all the different ways they get your information.
My Google Takeout document.
Facebook
Twitter
Pinterest
‘My Google Takeout document.’ Photograph: Dylan Curran
Here’s the search history document, which has 90,000 different entries, even showing the images I downloaded and the websites I accessed (I showed the Pirate Bay section to show how much damage this information can do).
data
Facebook
Twitter
Pinterest
‘My search history document has 90,000 different entries.’ Photograph: Dylan Curran
Google knows which events you attended, and when
Here’s my Google Calendar broken down, showing all the events I’ve ever added, whether I actually attended them, and what time I attended them at (this part is when I went for an interview for a marketing job, and what time I arrived).
data
Facebook
Twitter
Pinterest
‘Here is my Google calendar showing a job interview I attended.’ Photograph: Dylan Curran
And Google has information you deleted
This is my Google Drive, which includes files I explicitly deleted including my résumé, my monthly budget, and all the code, files and websites I’ve ever made, and even my PGP private key, which I deleted, that I use to encrypt emails.
data
Facebook
Twitter
Pinterest
Google can know your workout routine
This is my Google Fit, which shows all of the steps I’ve ever taken, any time I walked anywhere, and all the times I’ve recorded any meditation/yoga/workouts I’ve done (I deleted this information and revoked Google Fit’s permissions).
data
Facebook
Twitter
Pinterest
And they have years’ worth of photos
This is all the photos ever taken with my phone, broken down by year, and includes metadata of when and where I took the photos
data
Facebook
Twitter
Pinterest
Google has every email you ever sent
Every email I’ve ever sent, that’s been sent to me, including the ones I deleted or were categorised as spam.
data
Facebook
Twitter
Pinterest
And there is more
I’ll just do a short summary of what’s in the thousands of files I received under my Google Activity.
First, every Google Ad I’ve ever viewed or clicked on, every app I’ve ever launched or used and when I did it, every website I’ve ever visited and what time I did it at, and every app I’ve ever installed or searched for.
data
Facebook
Twitter
Pinterest
‘They have every single Google search I’ve made since 2009.’
They also have every image I’ve ever searched for and saved, every location I’ve ever searched for or clicked on, every news article I’ve ever searched for or read, and every single Google search I’ve made since 2009. And then finally, every YouTube video I’ve ever searched for or viewed, since 2008.
This information has millions of nefarious uses. You say you’re not a terrorist. Then how come you were googling Isis? Work at Google and you’re suspicious of your wife? Perfect, just look up her location and search history for the last 10 years. Manage to gain access to someone’s Google account? Perfect, you have a chronological diary of everything that person has done for the last 10 years.
This is one of the craziest things about the modern age. We would never let the government or a corporation put cameras/microphones in our homes or location trackers on us. But we just went ahead and did it ourselves because – to hell with it! – I want to watch cute dog videos.
• A caption was corrected on 28 March 2018 to replace “privacy options in Facebook” with “privacy options in Windows 10”.
Dylan Curran is a data consultant and web developer, who does extensive research into spreading technical awareness and improving digital etiquette

Bitcoin ?

Publication initiale: 25 mars 2017

Bonjour,

Hop je me lance pour tenter de comprendre les bitcoins, comment le portefeuille (wallet) est-il stocké, et où ?

Maintenant que j’ai un compte et un wallet, j’accepte des encouragements sur

1B9zJrfVJgRuhsdygayBPYB2ij3WnRSv9v

Pour le moment j’utilise bitpay sur PC et Android pour mon wallet, et Coinbase pour les entrées/sorties de fonds BTC <-> EUR

On sait que l’émission de BTC est strictement limitée dans le temps à 21 millions de BTC.

Alors que depuis bien longtemps, les Etats ayant le contrôle des monnaies officielles peuvent émettre des nouvelles coupures à leur guise sans avoir de contrepartie en or (ou en autre richesse matérielle).

Il n’est donc pas faux de penser que tout ce qui est rare pouvant être cher, le BTC finisse par conserver de la valeur. Mais en même temps, c’est du vent, encore plus que les monnaies officielles.

Quelques liens utiles:
bitcoin.org
slate.fr (article en 2014)
documentaire (en anglais) youtube.com/watch?v=CTbyaj8Y-Co
hard fork, et l’augmentation du cours d’août 2017 youtube.com/watch?v=qy0EIVH65Kg


Edit 6 janvier 2018:
Quelques liens à propos du minage, de la rétribution des mineurs, etc.

Plus le temps avance, au moins les mineurs sont rétribués.

Plus il y a des mineurs, plus la difficulté de miner augmente. A un moment, la récompense ne couvrira plus l’infrastructure ni le coût de l’électricité consommée en fonction de la difficulté. Aujourd’hui il faut faire de l’ordre de deux mille milliards de calculs inutiles pour en faire un seul utile. Celui qui a la chance de faire ce calcul utile est récompensé de 12,5 BTC. Le système s’auto-régule pour qu’une récompense soit octroyée de l’ordre de toutes les 10 minutes parmi tous les mineurs de par le monde.

Gizmodo: la Chine demande de diminuer la consommation d’électricité https://gizmodo.com/chinas-crackdown-on-crypto-mining-threatens-bitcoins-fu-1821820017/amp (5 janvier 2018)

Paramètre “difficulty” dans le minage des BTC: explications https://www.bitcoinmining.com/what-is-bitcoin-mining-difficulty/ et graphiques sur le court terme https://blockchain.info/fr/charts/difficulty et le long terme https://data.bitcoinity.org/bitcoin/difficulty/5y?t=l

Bad Behavior has blocked 1165 access attempts in the last 7 days.