Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Radu-Adrian Feurdean]

On Thu, 27 Jan 2011 07:31 +, "Thomas Mangin"
 wrote:
> Et on peut ajouter que l'interception de https est possible par les
> gouvernements si ils peuvent forcer leur fournisseur de certificat
> national a leur fournir un certificat valide pour les sites qu'ils
> veulent intercepter.
> http://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html

... et pas seulement 
Les vendeurs de boitiers de securite sont tres fiers de presenter la
capabilite de "SSL Intercept" a tous leurs clients paniques par des
histoires de responsabilite legale/HADOPI/.  L'effect sur les CIO
est generalement assez impressionant

Faudra probablement expliquer a tout le monde qu'on ne peut pas en meme
temps imposer du SSL intercept (*) dans l'entreprise et s'attendre que
les gens soyent responsables avec leur connexion a la maison.

(*): ca concerne generalement toute technologie destine a
filtrer/identifier/classifier l'access si elle est utilise a outrance.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Thomas Mangin]

> ... et pas seulement 
> Les vendeurs de boitiers de securite sont tres fiers de presenter la
> capabilite de "SSL Intercept" a tous leurs clients paniques par des
> histoires de responsabilite legale/HADOPI/.  L'effect sur les CIO
> est generalement assez impressionant


Je ne suis pas avocat mais ...
Pour moi, légalement c'est bancal car le sites qui voient leurs connexions SSL 
interceptées ont surement un recours légal pour interception illicite.
Cela ne suffit pas d'avoir le consentement (forcé ou non) des employées il 
faudrait aussi avoir l'autorisation de tous les sites web interceptés pour être 
couvert a 100% mais je ne pense pas que le commercial du produit soit la 
personne a qui demander si c'est le cas ou non :D

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Rémi Bouhl]

Bonjour,

Le 27/01/11, Radu-Adrian Feurdean a écrit :

> Les vendeurs de boitiers de securite sont tres fiers de presenter la
> capabilite de "SSL Intercept" a tous leurs clients paniques par des
> histoires de responsabilite legale/HADOPI/.  L'effect sur les CIO
> est generalement assez impressionant

Ça fonctionne comment, ce genre d'horreurs?

En cassant le bout-en-bout SSL pour intercepter avec un vrai/faux
certificat reconnu par le navigateur?

Rémi.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Radu-Adrian Feurdean]

On Thu, 27 Jan 2011 11:38 +0100, "Rémi Bouhl" 
wrote:

> Ça fonctionne comment, ce genre d'horreurs?
> 
> En cassant le bout-en-bout SSL pour intercepter avec un vrai/faux
> certificat reconnu par le navigateur?

Exactement. Avec une chaine de certification qui a les bases dans l'AD
et qui est pousse automatiquement sur les postes.

Probleme: de qu'on sort du chemin pre-determine par les droids marketing
du constructeur (par exemple en utilisant un autre navigateur) ca
commence a poser des problemes, avec des security warnings que les
utilisateurs commencent a prendre pour "standard"/normal et autres chose
de ce genre.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Radu-Adrian Feurdean]

On Thu, 27 Jan 2011 10:27 +, "Thomas Mangin"
 wrote:

> Je ne suis pas avocat mais ...
> Pour moi, légalement c'est bancal car le sites qui voient leurs
> connexions SSL interceptées ont surement un recours légal pour
> interception illicite.

Pas selon le concept "all you communications are belong to us",
generalement applicable en entreprise

> Cela ne suffit pas d'avoir le consentement (forcé ou non) des employées
> il faudrait aussi avoir l'autorisation de tous les sites web interceptés

Cote utilisateurs, leur consentement est obtenu a la signature du
contrat de travail (qui oblige au respect du reglement interieur, qui
lui-meme precise que tout appartient a l'entreprise).
Cote sites web, aucun probleme, car l'entreprise intercepte ses propres
communications (cf. reglement interieur).

> pour être couvert a 100% mais je ne pense pas que le commercial du
> produit soit la personne a qui demander si c'est le cas ou non :D

Il y a d'un cote ca, et d'un autre cote le fait que les "consommateurs
potentiels" de ce type d'horreurs sont des maniaques de la
surveillance/flicage/... (mais par forcement de la vraie securite).

Bien evidamment, les choses ne ont pas censes etre pareil dans un
contexte FAI. Tes remarques doivent etre applicables dans un tel
contexte (quoi qu'avec HADOPI et prochainement LOPSSI 2.).

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[François Tigeot]

Radu-Adrian Feurdean wrote:


On Thu, 27 Jan 2011 11:38 +0100, "Rémi Bouhl"
wrote:


Ça fonctionne comment, ce genre d'horreurs?

En cassant le bout-en-bout SSL pour intercepter avec un vrai/faux
certificat reconnu par le navigateur?


Exactement. Avec une chaine de certification qui a les bases dans l'AD
et qui est pousse automatiquement sur les postes.

Probleme: de qu'on sort du chemin pre-determine par les droids marketing
du constructeur (par exemple en utilisant un autre navigateur) ca
commence a poser des problemes, avec des security warnings que les
utilisateurs commencent a prendre pour "standard"/normal et autres chose
de ce genre.


Je verrais bien aussi des patchs pour les navigateurs qui refuseraient 
les certificats émis par autre chose que le site final.


Tout le système de chaine de certificats actuel me fait penser à un 
cirque qui ne sécurise rien du tout mais donne juste assez d'illusion 
pour que des gens y croient.


La méthode utilisée par le client ssh me parait bien: à la première 
connection, on enregistre l'empreinte du serveur, et ce n'est que si 
elle change par la suite que le programme se met à émettre des erreurs.


Je n'aimerais pas que la connection à l'extranet de gestion de ma boite 
soit détournée parce que le navigateur d'un commercial itinérant accepte 
un certificat du gouvernement chinois en lieu et place du vrai...


--
Francois Tigeot
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Steven Le Roux]

2011/1/27 François Tigeot :
> Radu-Adrian Feurdean wrote:
>>
>> On Thu, 27 Jan 2011 11:38 +0100, "Rémi Bouhl"
>> wrote:
>>
>>> Ça fonctionne comment, ce genre d'horreurs?
>>>
>>> En cassant le bout-en-bout SSL pour intercepter avec un vrai/faux
>>> certificat reconnu par le navigateur?
>>
>> Exactement. Avec une chaine de certification qui a les bases dans l'AD
>> et qui est pousse automatiquement sur les postes.
>>
>> Probleme: de qu'on sort du chemin pre-determine par les droids marketing
>> du constructeur (par exemple en utilisant un autre navigateur) ca
>> commence a poser des problemes, avec des security warnings que les
>> utilisateurs commencent a prendre pour "standard"/normal et autres chose
>> de ce genre.
>
> Je verrais bien aussi des patchs pour les navigateurs qui refuseraient les
> certificats émis par autre chose que le site final.
>
> Tout le système de chaine de certificats actuel me fait penser à un cirque
> qui ne sécurise rien du tout mais donne juste assez d'illusion pour que des
> gens y croient.
>

Ben ça a toujours été clair... c'est basé sur un réseau de
confiance...  L'exemple des chinois qui ont détournés le trafic
internet est le même... Ils sont aussi root CA dans les navigateurs.
Donc ont la liberté de "man-in-the-middler" (plus belle expression de
ce thread je pense ;) ) n'importe quel trafic grand public.

Comment veux-tu faire pour qu'un navigateur n'accepte que le cert d'un
site particulier ? soit il est autosigné, soit il faut que tous les
navigateurs disposent de tous les certificats de tous les sites web...
pas gagné..




> La méthode utilisée par le client ssh me parait bien: à la première
> connection, on enregistre l'empreinte du serveur, et ce n'est que si elle
> change par la suite que le programme se met à émettre des erreurs.

Principe du certificat autosigné. Si le user coche "ne plus m'avertir
pour ce site", ce sera transparent.

>
> Je n'aimerais pas que la connection à l'extranet de gestion de ma boite soit
> détournée parce que le navigateur d'un commercial itinérant accepte un
> certificat du gouvernement chinois en lieu et place du vrai...

T'as pas le choix :) sauf de monter un vpn avec des certificats que tu
as toi même généré, ou d'avoir un cert autosigné, ce qui est faisable
étant donné que c'est le PC de la boite... donc le cert peut être
présent à la génération.


>
> --
> Francois Tigeot
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>



-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Gregory Fabre]

Le 27 janv. 2011 à 13:11, François Tigeot a écrit :

> Tout le système de chaine de certificats actuel me fait penser à un cirque 
> qui ne sécurise rien du tout mais donne juste assez d'illusion pour que des 
> gens y croient.

  A ce propos, une conférence *passionnante* a été donnée en décembre dernier 
au 27è congrès du CCC.

https://events.ccc.de/congress/2010/Fahrplan/events/4121.en.html

  Les types ont collecté tous les certificats TLS/HTTPS du web, en ont fait une 
carte.

La conf vidéo : 
http://mirror.fem-net.de/CCC/27C3/mp4-h264-HQ/27c3-4121-en-is_the_ssliverse_a_safe_place.mp4

[et miroirs ici : 
http://events.ccc.de/congress/2010/wiki/Documentation#main_servers ]


-- 
Gregory Fabre
gfa...@resaction.com



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Orange ile Maurice hs ?

[Fabrice]

Bonjour à tous,

J'ai des grosse perte de paquets sur nos lignes Orange à l'ile Maurice, de
plus orange.mu ainsi qu'orange.mg (madagascar) semble off depuis mon agence
mais réponds correctement depuis Paris.

Quelqu'un a t'il des infos svp ?

Minifab

Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Jeremie Le Hen]

On Thu, Jan 27, 2011 at 11:19:42AM +0100, Radu-Adrian Feurdean wrote:
> 
> On Thu, 27 Jan 2011 07:31 +, "Thomas Mangin"
>  wrote:
> > Et on peut ajouter que l'interception de https est possible par les
> > gouvernements si ils peuvent forcer leur fournisseur de certificat
> > national a leur fournir un certificat valide pour les sites qu'ils
> > veulent intercepter.
> > http://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html
> 
> ... et pas seulement 
> Les vendeurs de boitiers de securite sont tres fiers de presenter la
> capabilite de "SSL Intercept" a tous leurs clients paniques par des
> histoires de responsabilite legale/HADOPI/.  L'effect sur les CIO
> est generalement assez impressionant
> 
> Faudra probablement expliquer a tout le monde qu'on ne peut pas en meme
> temps imposer du SSL intercept (*) dans l'entreprise et s'attendre que
> les gens soyent responsables avec leur connexion a la maison.
> 
> (*): ca concerne generalement toute technologie destine a
> filtrer/identifier/classifier l'access si elle est utilise a outrance.

Il existe un plugin Firefox qui utilise grosso-modo le principe de web
of trust pour les certificats :

http://www.cs.cmu.edu/~perspectives/firefox.html

-- 
Jeremie Le Hen

Humans are born free and equal.  But some are more equal than others.
Coluche
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Invitation à se connecter sur LinkedIn

[Marc Sokolovitch]

LinkedIn


   
J'aimerais vous inviter à rejoindre mon réseau professionnel en ligne, sur le 
site LinkedIn.

Marc

Marc Sokolovitch
Propriétaire chez SOKOM eurl 
Région de Paris , France

Veuillez confirmer que vous connaissez Marc Sokolovitch
https://www.linkedin.com/e/p9gyy-gjgfch0x-2v/isd/2226617034/nZfvZME6/


 
-- 
(c) 2011, LinkedIn Corporation

Re: [FRnOG] Invitation à se connecter sur LinkedIn

[Benjamin BILLON]

Ca c'est sympa.

C'est arrivé sur une autre liste aussi, Linkedin aurait-il changé leur 
process d'invitation / rapatriement de carnet d'adresse ?


Le 28/01/2011 09:38, Marc Sokolovitch a écrit :



  LinkedIn

J'aimerais vous inviter à rejoindre mon réseau professionnel en ligne, 
sur le site LinkedIn.


Marc

Marc Sokolovitch
Propriétaire chez SOKOM eurl
Région de Paris , France

Veuillez confirmer que vous connaissez Marc 
 



© 2011, LinkedIn Corporation

Re: [FRnOG] Invitation à se connecter sur LinkedIn

[Gerard Dupin]

Ben, ils s'apprêtent à rentrer en bourse ..
Gerard


De :  Benjamin BILLON 
Répondre à :  Benjamin BILLON 
Date :  Fri, 28 Jan 2011 09:48:15 +0800
À :  frnog 
Objet :  Re: [FRnOG] Invitation à se connecter sur LinkedIn


 Ca c'est sympa.
 
 C'est arrivé sur une autre liste aussi, Linkedin aurait-il changé leur
process d'invitation / rapatriement de carnet d'adresse ?
 
 Le 28/01/2011 09:38, Marc Sokolovitch a écrit :
>
>   
> LinkedIn
>J'aimerais vous inviter à rejoindre mon réseau professionnel en ligne, sur
> le site LinkedIn.
>  
>  Marc
>Marc Sokolovitch
>  Propriétaire chez SOKOM eurl
>  Région de Paris , France
>  
> 
>  Veuillez confirmer que vous connaissez Marc
>  _59/>  
>  
>  
> 
> © 2011, LinkedIn Corporation
>  
>  

[FRnOG] Re: [FRnOG] Comment le gouvernement tunisien a piraté Facebook

[Michel Py]

>> Thomas Mangin a écrit:
>> Je ne suis pas avocat mais ... Pour moi, légalement c'est bancal
>> car le sites qui voient leurs connexions SSL interceptées ont
>> surement un recours légal pour interception illicite.

> Radu-Adrian Feurdean a écrit:
> Pas selon le concept "all you communications are belong
> to us", generalement applicable en entreprise

Et en Tunisie (et en Chine), que ça nous plaise ou pas; pour cette partie-là je 
suis d'accord avec Radu, mais il y a quelque chose qui est franchement illégal, 
c'est de se servir des informations obtenues lors de l'interception pour 
pirater Facebook. Ce sont 2 choses différentes: 1 l'interception qui se fait 
sur le sol Tunisien, et 2 le piratage qui se fait sur le serveur de Facebook 
probablement quelque part en Californie. Effacer un compte qui appartient à 
quelqu'un d'autre sur un serveur américain, c'est illégal.


Et comme nous sommes vendredi:



Mardi, le Président Américain a prononcé son discours "State of the Union". 
Pour ceux qui ne sont pas familiers avec la politique ici, c'est LE discours 
politique phare de l'année, celui qui définit la position des USA.
Moi je dis bravo aux dirigeants Tunisiens d'avoir si rapidement réussi à faire 
partie du club très fermé de pays ou d'organisations qui ne font pas les choses 
d'une manière qui nous plaît: l'Iran, la Corée du Nord, al-Quaida, et 
maintenant la Tunisie.

> And tonight, let us be clear:  The United States of America stands with the
> people of Tunisia, and supports the democratic aspirations of all people.
> http://www.whitehouse.gov/the-press-office/2011/01/25/remarks-president-state-union-address



Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Invitation à se connecter sur LinkedIn

[ポール・ロラン]

Hello,

On Fri, 28 Jan 2011 09:48:15 +0800
Benjamin BILLON  wrote:

> Ca c'est sympa.
> 
> C'est arrivé sur une autre liste aussi, Linkedin aurait-il changé leur 
> process d'invitation / rapatriement de carnet d'adresse ?

Ou alors c'est la technique "Turbo" pour arriver rapidement a etre classe
"500+" ;)

/me s'interroge... ca peut vraiment marcher ???

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

LinkedIn : http://www.linkedin.com/in/paulrolland
Skype: rollandpaul

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Invitation à se connecter sur LinkedIn

[Bedis 9]

c'était juste pour lancer le troll du vendredi 




2011/1/28 Paul Rolland :
> Hello,
>
> On Fri, 28 Jan 2011 09:48:15 +0800
> Benjamin BILLON  wrote:
>
>> Ca c'est sympa.
>>
>> C'est arrivé sur une autre liste aussi, Linkedin aurait-il changé leur
>> process d'invitation / rapatriement de carnet d'adresse ?
>
> Ou alors c'est la technique "Turbo" pour arriver rapidement a etre classe
> "500+" ;)
>
> /me s'interroge... ca peut vraiment marcher ???
>
> Paul
>
> --
> Paul Rolland                                E-Mail : rol(at)witbe.net
> CTO - Witbe.net SA                          Tel. +33 (0)1 47 67 77 77
> Les Collines de l'Arche                     Fax. +33 (0)1 47 67 77 99
> F-92057 Paris La Defense                    RIPE : PR12-RIPE
>
> LinkedIn : http://www.linkedin.com/in/paulrolland
> Skype    : rollandpaul
>
> "I worry about my child and the Internet all the time, even though she's
> too young to have logged on yet. Here's what I worry about. I worry that 10
> or 15 years from now, she will come to me and say 'Daddy, where were you
> when they took freedom of the press away from the Internet?'"
> --Mike Godwin, Electronic Frontier Foundation
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/