Données Personnelles

Cette page est destinée à collecter toutes les actions possibles pour vous permettre de limiter la diffusion de vos données personnelles.

Si vous avez vu ce reportage, vous comprendrez mieux l’intérêt d’être vigilant aux données que vous laissez sur internet et ailleurs…

Il y a en Europe et France plus particulièrement, une législation de plus en plus protectrice des données personnelles ; mais il y a ici la théorie qui se trouve souvent en contradiction avec la réalité des pratiques des entreprises.

Voici une liste non exhaustive de techniques pour vous aider à limiter la diffusion de vos données personnelles, son traitement,  et sa réutilisation par des tiers.

Cette liste se construit progressivement…

Les techniques présentées permettent aussi de réduire le croisement du volume de vos données entre toutes les bases des différents tiers : le croisement et le groupement de vos données va se faire sur des points clés comme le trio Prénom/Nom/Date de naissance, comme le couple @email+Nom de famille, etc…

Certains sites web utilisent également vos informations de connexion (adresse IP, cookies, etc..) pour vous identifier malgré vous la première fois que vous venez chez eux (site de voyage par exemple) , ainsi lorsque vous revenez les voir pour le même objet (comme pour un voyage) c’est que vous êtes intéressés par ce que propose le site : ces sites webs vous reconnaissent et adaptent le contenu à votre navigation (quand certains n’ajustent pas le tarifs à la hausse).

1 – Les formulaires

Pour des jeux, des cartes de fidélité ou autres : sites webs ou commerces peut vous demander nom , prénom, date de naissance, adresse email, adresse postale,…

En premier lieu, chaque formulaire doit disposer d’une case à cocher vous demandant l’autorisation de communiquer vos informations personnelles à des tiers :

  • depuis 2015, la liste de ces tiers doit être précisée.
  • la case ne doit pas être cochée par défaut.

Si cette case à cocher n’existe pas, fuyez ou limitez -vous à renseigner autant que possible des éléments erronés.

Date de naissance : sauf à avoir l’obligation légale de fournir votre véritable date de naissance (et non seulement votre âge) comme pour des services interdits aux mineurs (jeux d’argent, services,…), mettez une fausse date (faux jour, ou faux mois) à chaque fois qu’on vous oblige à donner cette information.

Nom de famille : dans certains cas (pas de livraison, pas d’inscription à un organisme officiel ou administratif), vous pouvez faire une erreur dans l’orthographe de votre nom de famille.

Bref, à chaque fois qu’on vous demande une information personnelle qui ne vous semble pas pertinente au regard du service auquel vous vous inscrivez : « trompez » vous ! Cela limitera votre « profilage » et compliquera l’analyse de vos données personnelles.

2 – Les Emails et le SPAM

Ne renseignez jamais votre véritable adresse email mais une adresse jetable ou temporaire ou sous forme d’alias jetable.

Quelques options s’offrent à vous :

  • Créez une adresse jetable, utilisable 1 fois, le temps de valider un mail d’inscription et pour la communication de données non confidentielles  :
  • Achetez un domaine à votre nom (en .com, .org, .fr, .eu) et vous pourrez ensuite créer autant d’adresse email poubelle que vous pourrez rediriger vers votre véritable adresse perso. Ce choix vous permettra de ne pas avoir à mettre vos emails dans les mains des grands opérateurs internet (google, free, orange) qui se basent sur vos mails pour vous faire apparaitre de la pub :
    • www.gandi.net (15€/an + possibilité de stocker jusque 5 boites aux lettres perso)
  • Créez des alias ou redirecteurs depuis des adresses jetables ou poubelles vers votre adresse mail perso.

3 – Le navigateur internet

Hors Piste

Dans Internet Explorer, Edge, Chrome et Firefox, vous avez des options pour demander aux sites de ne pas vous tracer ou de ne pas vous pister : activez-les.

Ex sous Firefox : il faut aller dans le menu Outils/options/ Vie Privée et cocher cette case :

Capture

Navigation Privée.

Chaque navigateur permet également de naviguer en mode privé : toutes les opérations effectuées en mode privé (sites visités, cookies, formulaires, etc….) disparaissent de votre ordinateur (seulement de lui) dès que vous quittez le mode privé.

L’accès au mode Privé  (ou Navigation Inprivate ou Navigation privée) se fait en pressant les touches Maj + Ctrl + P

Mieux : réglez le navigateur pour être toujours en mode navigation privée

Trop de pub

Certains sites pratiques l’excès de pub à tout va sur une simple page, ce qui  peut amener aux conséquences suivantes  :

  • un trafic réseau supplémentaire qui pourrait être alloué à vos propres besoins
  • propagation de bannières de publicités contenant des chevaux de Troie
  • ciblage marketing très personnalisé sur la base de vos navigations internet précédentes…

Quelques possibilités pour réduire ces risques :

  • installez un add-on pour bloquer dans votre navigateur autant que possible les trop invasives/indiscètes publicités . Il existe uBlock et d’autres alternatives comme AdBlock Edge  ou ADBlockPlus )
  • chez Free, votre Box dispose d’une fonction AntiPublicité que vous pouvez activer sur votre portail internet.

Pensez-vous à laisser votre bloqueur de pub désactivé pour les sites que vous fréquentez régulièrement.

4 – Comptes et mots de passe

Réseaux sociaux, comptes email, comptes clients etc… autant de compte et de mot de passe à retenir. La solution de facilité est de mettre le même mot de passe partout…. évitez.

  • Assurez-vous de bien spécifier un mot de passe différent sur chacun de vos comptes
  • Testez la solidité de votre mot de passe ici chez Microsoft  ou ici (sans divulguer votre mot de passe)
  • Stockez vos mots de passe et comptes dans un outil gratuit sécurisé comme PasswordSafe ou KeePass
  • Déconnectez-vous de vos espaces personnels (google ou facebook) lorsque vous avez terminé. Si vous restez « connecté », vous prenez le risque d’être pisté nominativement dans tout ce que vous faites par la société chez qui vous avez un compte mais aussi par leurs « partenaires » et donc la quasi totalité des sites webs courants.

Si vous avez un doute ou même sans en avoir : vous pouvez vérifier sur ce site https://haveibeenpwned.com/ si votre adresse email n’est pas inscrite dans la liste des sites web qui se sont fait voler leurs données.

5 – Choix du navigateur internet

Sans prendre en compte les questions de sécurité du navigateur de stabilité, de performance, d’ergonomie mais juste sur le terrain de la collecte des données personnelles, le navigateur web qui respecte le mieux vos données personnelles à ce jour reste Firefox.

Idéalement , privilégiez la version Firefox+Qwant : https://www.qwant.com/firefoxqwant/download

Cet assemblage de Firefox et Qwant vous permet de disposer du top en matière de protection de données personnelles (http://korben.info/telechargez-firefox-qwant-preserver-vie-privee-ligne.html )

6 – Vos droits d’accès/d’opposition/suppression auprès des sociétés.

7 – SMS

Vous recevez des SMS d’une société sans jamais vous êtes inscrits dans cette société : transférez votre SMS au 33700 et suivez les consignes.

C’est gratuit.

8 – Téléphone

Depuis le 1 juin 2016, vous pouvez inscrire votre numéro de téléphone sur une liste nationale de refus de démarchage téléphonique. C’est gratuit

Vous remplissez un formulaire en ligne, vous confirmez votre inscription en cliquant sur le mail reçu et voila.

https://www.bloctel.gouv.fr

Un bémol, cela ne vous protège pas contre les instituts de sondage, associations à but non lucratifs etc… Juste contre les appels à vocation commerciale.

8 – Applications mobiles

Prenons l’exemple des applications Android qui demandent très souvent l’autorisation d’accéder  à une quantité impressionnante de votre téléphone pour pouvoir fonctionner. Exemple Twitter :

sketch-1457196426623-1

Pour Twitter via votre Android, l’application aurait besoin d’accéder à vos SMS, vos Photos, votre caméra, micro, information Wifi, et tous vos contacts….Mais pas quand vous utilisez Twitter avec un simple navigateur ?

Fuyez ces applications : on trouve souvent l’équivalent dans le monde OpenSource sinon renoncez.

Quelques exemples d’applications équivalentes :

Pour Twitter   => Twidere ou TweetLane

Pour lire vos mails => K-9 Mail

Pour saisir des notes => TomDroid

Pour suivre votre activité sportive => Running

Pour la gestion de fichiers et dossiers => OL File Manager

Pour naviguer sur internet => Tint Browser ou FireFox

Pour la lecture de fichiers multimédia => VLC ou Vanilla Music

Pour vous informer => franceinfo

Idem pour les mises à jour : certaines mises à jour d’application nécessitent de nouveaux droits d’accès largement plus étendus. Soyez vigilants à ces demandes supplémentaires rarement justifiées.

9 – Moteurs de recherche

Votre moteur de recherche par défaut ou imposé, journalise toutes vos activités sur le web : les mots clés, les sites consultés. Et si vous avez ouvert une session (type gmail ou google+ ou Bing ou Live ou…) les informations de navigation via ces moteurs de recherche sont directement rattachées à votre nom.

Quelques moteurs de recherche efficaces et respectueux que vous devez mettre comme moteur de recherche par défaut dans votre navigateur :

10 –  Plus loin avec un peu de technique

Serveurs DNS

Les serveurs DNS sont les équipement sur internet qui se charge de convertir vos demandes d’accès internet (www.truc.fr par exemple) vers une adresse IP, numéro unique sur internet qui désigne un serveur (web par exemple).

Les FAI ou opérateurs internet proposent les leurs, c’est pratique et automatique mais cela leur permet d’identifier, de suivre et de connaitre de manière exhaustive l’ensemble des sites que vous visitez, leur fréquence, etc… Accessoirement, c’est aussi un moyen de vous détourner vers d’autres serveurs (en vous renvoyant une autre adresse IP, donc vers un autre serveur).

Une solution simple consiste à utiliser d’autres serveurs DNS dans la configuration de votre poste : les serveurs DNS libres sont listés ici https://www.opennicproject.org/

Vu sur SebSauvage, d’autres serveurs DNS libres sont aussi disponibles ici https://www.fdn.fr/actions/dns/

Infos complémentaires :

VPN

Connexion WIFI WPA2 Entreprise sur un AD 2012R2 + NPS Windows 2012R2

Le but est présenter comment faire en sortie que les bornes Wifi de votre entreprise permettent à vos salariés de se connecter aux ressources réseaux, avec le login+mot de passe Windows de l’utilisateur, en authentification automatique et transparente pour lui.

Le contexte du tuto :

  • 1 serveur Windows 2012 R2 avec le rôle AD DS.
  • 1 serveur Windows 2012R2 avec NPS
  • 1 serveur Windows 20xx de certificats Active Directory intégré au domaine (si possible configuré en Autorité de certification d’entreprise, racine ou secondaire).
  • 1 portable sous Windows 7 Pro.
  • 1 borne Wifi qui supporte l’authentification RADIUS (peu importe du 802.11 a, b, n ou ac…)

Quelques préalables :

Principalement si vous êtes sur des fréquences en 2.4 Ghz, faites en sorte que les canaux utilisés ne se chevauchent pas entre eux si vous avez plusieurs bornes, idem si d’autres bornes Wifi  sont présentes dans votre voisinage proche. Cette question ne s’applique pas réellement en 5 Ghz.

canaux

Source : http://reseau-wifi.blogspot.fr/

Configuration du serveur Network Policy Server

Via l’Assistant Ajout de rôles et fonctionnalités, ajoutez le rôle Service de stratégie et d’accès réseau

Capture1

Puis le service de rôles Serveur NPS

Capture2

La configuration du NPS se fera via l’outil Serveur NPS

La première chose est d’inscrire votre serveur dans l’AD

Capture5

Puis de déclarer vos clients RADIUS (vos bornes Wifi en l’occurrence).

Un click droit sur le conteneur Clients RADIUS puis d’ajouter un nouveau client. Donnez un nom à ce client, son IP et spécifiez un secret partagé  (qu’il faudra renseigner sur ce client).

Capture6

L’étape suivante consiste à déclarer les stratégies de connexion et d’accès pour vos utilisateurs.

Dans le conteneur Stratégies Réseau, créez une nouvelle stratégie.

Donnez lui un nom significatif, laissez le type de serveur à Non spécifié

Capture8

Précisez les conditions qui détermineront à qui et sur quels critères cette stratégie s’appliquera. En version simple, ajoutez la condition Groupes Windows et donnez votre groupe d’utilisateurs autorisés à se connecter aux bornes WIFI.

Capture9

Dans l’étape suivante, accordez l’accès. Il est possible de laisser les propriétés individuelles des utilisateurs (onglet Accès Distant) surcharger les celles de cette stratégie réseau, en cochant la case.

Etape suivante, précisez les protocoles d’authentification autorisés :

Capture10

Puis spécifiez d’éventuelles contraintes supplémentaires (horaires, durée de session, jours de connexion, média de connexion) : ici spécifiez le Sans-Fil.

Capture11

Une fois validée, vérifiez que la stratégie soit bien en priorité.

Capture12

C’est fini pour la partie NPS.

Côté borne WIFI, un exemple de configuration :

Le mode d’authentification (WPA2 Entreprise) avec AES, puis l’adresse IP de votre serveur NPS , ainsi que le secret partagé plus haut.

Capture13

Filtrage de fichiers sous Windows 2008, Windows 2012, Windows 2016

Sous Windows Server 2008R2+, le filtrage de fichiers est l’une des nouvelles fonctionnalités permettant de gérer efficacement la nature des fichiers stockés sur votre serveur de fichiers.

Dit autrement, vous pouvez contrôler le type d’extensions autorisé sur un volume ou un répertoire : le contrôle peut être soit un verrou quant à l’écriture de fichiers non conformes aux extensions autorisées, soit le déclenchement d’une alerte (notamment par mail) si un nouveau fichier comportant une existant explicite est créé.

Sous Windows 2008 R2

Installation.

Prérequis trivial : si ce n’est déjà le cas, il est nécessaire que votre serveur de fichiers, et donc le Rôle Service de Fichiers

Capture

Il faut ensuite installer le service de rôle Gestion de ressources du serveur de fichiers

  • Dans la console Gestionnaire de Serveur, et sur le service Serveur de fichiers, choisir ajouter des services de rôle.

Capture

Capture

Sélectionnez le volume auquel s’appliquera ce service :

Capture

Par défaut, une alerte est pré configurée à 85% du volume global et deux rapports d’utilisation de fichiers sont pré-cochés, le bouton Options vous permet d’accéder à nombre d’autres rapport pertinents :Capture

  • Laissez les options de stockage de rapport et d’envoi de mail par défaut puis lancez l’installation.

Configuration des alertes

Dans la console de gestion du serveur, vous avez désormais le module Gestionnaire de ressources du serveur de fichiers.

Capture

  • Click droit – Configurer les options
  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

CaptureAttention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

 

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers.

  • Créer un nouveau Groupe de Fichiers

Capture

  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.

Capture

  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Capture

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

Capture

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Selon l’exemple ci-dessus, vous recevrez un mail de ce type :

Capture

Sous Windows 2012R2

Installation.

Dans l’assistant Ajout de rôles et de fonctionnalités,  développez le Services de fichiers et de stockage puis Services de fichiers et iSCSI. Sélectionnez ensuite le Gestionnaire de ressource du serveur de fichiers.

Capture

 

Une fois installé, l’outil Gestionnaire de ressources du serveur de fichiers sera fonctionnel (sans redémarrage du serveur).

 

Configuration des alertes

Sur la racine de l’arborescence, click droit / Configurer les options :

Capture

La page Notifications par courrier électronique est la même que pour Windows 2008R2

  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

Attention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers. (Toutes les boites de dialogues sont similaires à Windows 2008R2)

  • Créer un nouveau Groupe de Fichiers
  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.
  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Vous recevrez un mail similaire à celui envoyé avec Windows 2008R2.

 

Sous Windows 2016

Installation.

Dans l’assistant Ajout de rôles et de fonctionnalités,  développez le Services de fichiers et de stockage puis Services de fichiers et iSCSI. Sélectionnez ensuite le Gestionnaire de ressource du serveur de fichiers.

Capture

Une fois installé, l’outil Gestionnaire de ressources du serveur de fichiers sera fonctionnel.

Configuration des alertes

Sur la racine de l’arborescence, click droit / Configurer les options comme pour Windows 2012.

La page Notifications par courrier électronique est la même que pour la version antérieure.

  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

Attention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers. (Toutes les boites de dialogues sont similaires à Windows 2012)

  • Créer un nouveau Groupe de Fichiers
  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.
  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Vous recevrez un mail similaire à celui envoyé avec Windows 2012.


 

Fini. En quelques clic, vous avez un filer qui vous alerte ou/et qui vous bloque si un fichier ayant une extension non désirée qui tente de se créer sur votre volume ; en supplément cela vous permet d’identifier rapidement quel poste et utilisateur en est à l’origine et est donc probablement infecté.

 

 

 

 

Chiffrer vos données dans le Cloud avec CryptSync

Les usages et pratiques  nous « invitent » à stocker nos données sur le « Cloud », ou plus précisément sur ces espaces de stockages proposés aux professionnels comme aux particuliers tels que OneDrive, Google Drive, DropBox and co… Les espaces proposées se comptent en dizaine de giga disponibles ; en complément les bandes passantes sont toujours plus confortables…. sauf que les données stockées « là-bas » sont à la merci :

– de l’hébergeur

– d’un accès frauduleux à votre compte Cloud

– ..

Un outil aussi simple que puissant permet de répliquer ou sauvegarder ses données sur le Cloud avec un peu plus de sécurité : en les chiffrant.

CryptSync fait cela très bien , il réplique une arborescence locale non chiffrée vers une arborescence distante chiffrée. Un inconvénient, le volume local des données sera multiplié par 2…

 

CryptSync

 

Ce soft est sous licence GNU GPL v2, disponible pour Windows Vista et supérieur .

il est téléchargeable en version 32 ou 64 bits : http://stefanstools.sourceforge.net/CryptSync.html

Les explications ci-dessous sont pour un OS Windows 7 32 bits, un accès OneDrive (le client installé sur le poste) et la version CryptSync 1.2

L’installation est basique et sans difficultés :

c1

A la fin de l’installation, un raccourci est ajouté dans le menu :

C2

 

Le lancement de CryptSync ouvre cette fenêtre de configuration :

C3

Commencez par cocher « Start with windows » afin que l’outil permette une synchro auto entre vos données locales et celle du cloud.

Puis déclarer une « paire » de répertoires que vous souhaitez synchroniser. Autrement dit, spécifiez l’arborescence des données à répliquer sur One Drive, puis indiquez le chemin distant vers lesquelles les données doivent répliquées/chiffrées :

C4

Spécifiez un mot de passe complexe, et cochez « use GnuGPG » pour renforcer le chiffrage mis en œuvre.

 

Validez par OK, puis sur la fenêtre principale, cliquez sur « Run in Background ».

 

CryptSync se retrouve dans la barre des tâches : un click droit « Sync Now » sur l’icône pour activer la synchro+chiffrement avec le cloud.

C5

Vous pourrez ensuite vérifier vos fichiers sur One Drive, ils se retrouvent avec l’extension .gpg :

C6

 

C’est presque tout. CryptSync peut être piloté en ligne de commande ; des options sont nombreuses, comme crypter également le nom des fichiers etc….

Reste à s’intéresser à un point pas encore testé mais qui a une issue : votre système d’exploitation est réinitialisé et vos données locales sont perdues, comment retrouvez-vous vos données sauvegardées et chiffrées sur le Cloud ?!

 

SSTIC 2014

 

Symposium sur la sécurité des technologies de l’information et des communications

Quelques notes prises lors des conférences exceptionnelles du SSTIC Edition 2014

Site des organisateurs : http://www.sstic.org

Les actes / slides / vidéos / ppt sont tous accessibles ici  : https://www.sstic.org/2014/actes/   C’est aussi ce qui en fait une conférence de qualité.

 

 

Analyse de la sécurité d’active directory :

1 – utilisation de chemins de contrôle.

Présentation d’un principe qui vise à établir la relation de droits (ace, acl, gpo, passwords, groupes,…) entre les objets d’un AD, en considérant la transitivité des relations, de manière à établir un graphe le plus large possible. Le but étant d’identifier, notamment par rapport à un groupe tel admin du domaine, quels sont les objets qui peuvent être ou sont membres du groupe. Exemple :  Un utilisateur ayant des droits sur des GPO qui s’appliquent à  des groupes dont admins du domaine revient à lier dans le graphe, l’utilisateur à la possibilité d’être admin du domaine.

2 – Analyse de la sécurité d’un AD avec BTA

Le principe : obtenir une copie de l’AD (ntdis.dit) , de manière à en extraire toutes les tables pour les intégrer dans une base type MongoDB. Une fois constituée, cette base peut être interrogée par des Miners  : bout de codes chargés d’effectuer des requêtes sur les tables afin de sortir des éléments utiles pour un audit  ; exemple, tous les SID d’un groupe spécifique, tous les comptes non logués depuis x jours ,….

 

Kerberos contre-attaque :

Brillante démonstration sur les vulnérabilités de Kerberos. La démo portait sur l’implémentation Microsoft dans un AD2012

  • Un outil obtient une copie du ticket Kerberos TGT depuis un poste client Windows, ce ticket est ouvert, modifié (en ajoutant notamment des SID de groupes privilégiés), réinjectés dans le  cache kerberos du poste de travail et immédiatement, l’accès à une ressource (un CD) devient possible. Le CD nous identifie alors comme membre des groupes.
  • Cette injection depuis le poste de travail ne laisse pas de traces dans les logs Windows des serveurs, ne modifie pas en dur l’appartenance aux groupes dans l’AD. La modification du ticket TGT n’est valable que le temps de la session, depuis le poste .

 

Analyse de la sécurité des modems des terminaux mobiles.

  • Mise en place d’un banc de test  radio sur 2G/3G/LTE.
  • Niveau de la 2G : crypto faible, outils openbt dispo
  • Niveau 3G : sécurité plutôt bonne
  • Niveau LTE(4G) : crypto bonne (128/256 bits) mais peu d’études de sécurité.
  • Procédures de découverte des antennes environnantes non sécurisées avec le terminal.
  • Tests sur les syntaxes des messages, déclenchement de corruptions de mémoire. Test sur les protocoles pour contourner les procédures de sécurité du mobile (comme abaissement du niveau de la sécurité).

=> Au final, toutes les marques présentent des failles ; problème car si les marques corrigent sur les mobiles récents,  rarement si mobile > 1 an.

  • Bug/vuln détectée au moment de l’authentification 3G
  • LTE : connexion LTE sans contrôle d’intégrité, permet l’attachement d’un mobile à un faux réseau LTE. Le faux réseau peut en + demander au mobile d’abaisser son niveau de sécurité (vuln sur certains mobiles) à la manière d’un Man In the Middle.

 

Hooker

  • Modèle de sécurité des applications android
  • Exemple avec RATP :
    • Est-ce que les ressources demandées le sont légitimement et que fait l’appli des ces ressouces ?
    • RATP  demande accès à tous les contacts.
  • Analyse statique : androguard
  • Analyse dynamique : solution 1 : une rom spécifique (droid box). Solution2 : modifier l’apk avant qu’elle ne soit installer (api monitor ou fino) Solution 3 : app hooking.
  • Analyse mixte : online scanner
  • Hooker : application qui analyse une application pour rassembler un maximum d’informations sur l’application. Etape 1 : anroguard, étape 2 : analyse dynamique  avec Substrate => injecte code dans process Zygote dnc permet d’hooker les accès aux informations personnelles, ouvrir des sockets, et contrer les fonctions d’anti émulation. Intégration des résultats à Kiana pour interface web, histogramme.

Macroanalyse: automatisation et paralellisation de la micro analyse.

Tests effectués avec 1000 applis du slideme market et 1000 appli du android market.

Sur 1000, 477 demandent des permissions d’accès internet et 404 les utilisent.

Les urls de pub sont les plus sollicitées. Ports 80 en tète puis 443 puis des ports comme 1130, 5122,305,5220

 

Forensics sur iOS

Terminaux souvent peu ou pas sécurisés

Menaces pour l’utilisateur,  l’entreprise, les données.

Framework iphonedata protection en opensource sur v4 ios.

IPhone backup analyser 2

Celebrite ufed (commercial).

Liste d’outils limitées pour les ios v5. Archi de la sécurité d’un iphone : une NAND reliée au processeur via un crypto processeur.. Mécanismes de secure boot, sandbox, signature du code, protection des données users (fichiers) plus mesures complémentaires.

L’analyse passe par une capture physique via vulnérabilité bootrom, boot sur un système alternatif pour monter un sshd et un ramdisk : cela permet de retrouver toutes les versions des fichiers effacés.

Acquisition logique : possible via les services itunes USB du mobile via demande d’appairage puis activation du service de lecture de fichier (AFC) => permet l’accès aux donnes backup, fichiers, media, configuration.

Acquisition logique : nécessite accord utilisateur, permet de récupérer les données mais pas celles effacées.

Le Jailbreak serait une possibilité pour accès complet au terminal :  car permet de désactiver les fonctions de sécurité. (incompatible avec le concept de conservation de preuves).

Utilisation du service apple mobileimagemounter : service utilisé pour monter des images ignées pour développement. Service vulnérable  dans la version 6 Ios.

 

 

Analyse de sécurité des box adsl

  • Nommées aussi IAD (internet acess device).
  • Plusieurs chemins d’attaque déjà présentés , à distance ou en local. 3eme cas présenté : boucle locale entre modem et dslam.
  • Boucle locale constituée de cuivre . Attaque qui consistes à s’insérer dans le circuit cuivre : émuler un dslam qui rediscute avec un modem local qui rediscute avec le dslam original..idem Man In The Middle. Le dslam+ modem reproduit  tiennent dans une boite équivalent PC. La liaison local entre modem et dslam se fait via ethernet =>utilisation possible de wireshark qui permet une capture du trafic : certaines boxes utilisent le http pour la configuration ou la mise à jour de la box..
  • Expérience de ne pas de se reconnecter avec le dslam original, mais avec un serveur qui fait ppp, dns, htttp  pour simuler un dslam le plus complet => on obtient une  box finale avec voyant qui passent au vert.. Les config de box capturées sont repoussées vers la box , après modif du contenu (ouverture ssh, désactivation des mises à jour, ajout de softphone,…). d’autres idées d’exploitation possibles (appels surtaxés, proxy, botnet,…)
  • Contre mesure possibles : https, observation de l’atténuation du canal sur boucle locale.

 

 

Securité des ordivisions

Tests, évaluation effectuée sur 2 modèles de même constructeur.

Ordivision = smart tv.

Présence d’un secure boot. Une prise UART (type jack) qui sert à avoir des informations sur les process, en cours (mode console).. Détection d’une lib UPNP v1.4, donc vulnérable au CVE2012-5956. toujours pas corrigé en 2014. Exploitation possible de la vulnérabilité pour obtenir un shell en root.. Permet de constater que les images de mise à jour sont signés , clé publique différente pour chaque modele de tv.

Découverte d’un service DirerctFB : alternative au serveur X Windows = port TCP ouvert sans filtrage ni authentification (cve existants).

Conséquences de ces vulnérabilités : prise de contrôle des ordivision, des caméra intégrées aux TV, au micro, aux abonnements,…

 

La radio qui venait du froid.

Etude des claviers fil, souris sans fil…

Techniques décortiquées : nrf24L01+. Disponible publiquement, bidirectionnel 2.4 ghz, présent partout dans pleins d’équipements.

Comment écouter les communications.  Différentes solutions :

1 – Rtlsdr = 20$ mais ne capture pas des frequences > à 2 Ghz.

2 – Usrp = 600$ jusque 6 ghz..; trop cher.

3 – HackRF = 300$ mais en précommande seulement (opensource). Jusque 6 Ghz. Et trop cher.

4 – en 210, une solution présentée à CanSecWest 2010 pour 200$.  Methode Keykeriki  permet de démoduler en permanence, le flux d’un nrf24L01+. La puce de démodulation est une A7125,le proc de capture est un ARM à 100 Mhz. … trop cher.

5 – autre solution moins chère : PuceA7125 (3€) + puce nrf2401 (3€) + arduino + pc + analyseur logique contrefait. Code source sur http://s/github.com/cogiceo

6 – puce nrf2401 3€ + un goodfet (40€) + PC. Le goodfet sert d’interface entre pc et puce nrf2401. Cette solution utilise la puce en mode promiscouis à 2Mb/s.

7 –  puce nrf2401 + arduino (10 €) + pc.

Résultat des captures et analyses : Logitech communique en chiffrement AES. Mais Microsoft ? Sécurisé avec un XOR. La clé du XOR est l’adresse de destination. (constaté en 2010).

Démonstration : capture et interception des touches d’un clavier Microsoft de juin2014 à plus de 15 mètres.

 

Attaques USB

  • Etudes de différentes attaques  avec approche par fuzzing
  • Principe USB avec controleur (jusque 127 périphériques) ;  modele maitre esclave : le périphérique ne prend jamais l’initiative d’envoyer des données au maitre.
  • Approche par fuzzing via Qemu (afin de capturer le trafic USB). Avantage = snapshot, accès code source vm avec qemu + Parallélisation possible . Inconvénient = pas possible de virtualiser tous les systèmes., bugs d’implémentations usb selon les virtualisations.
  • Utilisation avec  Facedancer : adapateur USB qui capture le trafic, mais pas de support USB3, limité à 3 endpoints.
  • Outil développé  basé sur le facedancer : l’outil extrait le PCAP capturé,
  • Outil basé sur un opensource UAM: résultat obtenus avec Windows 8.1 = Crash trouvé dans usbstor.sys. Pistes possibles avec la nouvelle ile usb3 développé nouvellement sous windows 8.

 

Bootkit

  • Rootkit = logiciel malveillant. Problème car sous Winx64, signature obligatoire des drivers.. Solution  = compromettre le système de démarrage.
  • Premier rootkit en 2005.
  • Boot process = bios puis mbr puis vbr (volume boot record) puis boot mgr puis winload (kernel minimaliste, options de démarrage, pagination, chargement de clés de registre, ntoskernel, hal.dll et drivers de type service ‘ boot start’.
  • Les premiers bootkit découverts en 2010 (tdl4, turla, gapz, xpaj, cidox,…).
  • 4 type d’infection : mbr, table de partition,ipl (initialisation programme loader) ou ebp.
  • Opensesource : stonedbootkit, vbbootki, dreamboot.
  • Utilisation des hooks pour arriver au chargement dans ntsokernel.exe. Problème car ces binaires sont basés sur des signatures windows. A chaque nouvelle version de windows, trouver de nouvelles signatures , nouveaux offset,…donc complexe.
  • Projet Reboot : PoC qui  prend la main du boot jusqu’au chargement du kernel , jusqu’ à charger un driver non signé. Sans recherche de signature ou de hook.
  • Démonstration : injection d’un driver dans le process de boot, qui modifie la DLL GINA afin qu’elle accepte n’importe quel mot de passe…

 

Test d’intégrité des machines virtuelles

Hypothèse d’avoir une des  VM qui soit malveillantes dans un environnement VMM dans le cloud, cas où des clients concurrents sont hébergés dans le même cloud.

Approche envisagée : installation d’un hyperviseur intermédiaire entre l’hyperviseur et les vms.

Autre approche , utilisation des couches matérielles : utilisation d’une carte PCIe dédiée.

  • Obtention de l’empreinte de l’hyperviseur pour en vérifier l’intérgité.
  • la carte PCIe possède un FCPGA, un port USB et un port Ethernet pour connexion avec une machine distante de confiance.

 

Securité des systèmes Mainframes

  • Architecture similaire depuis 50 ans (comptabilité binaire), notamment sur system zEntreprise.
  • Contient un hyperviseur : processeur ressource manager qui permet d’avoir des partitions ou VM. (zOS, zLinux,zVSE, ZPTF,…)
  • Constitué d’un kernel, de sous systèmes réseau / stockage / E/S. puis couches applications (serveur appli, base de données, sécurité, automatisation, management).

Le contrôle d’accès est gérée par u module RACF  qui s’appuie sur SAF (situé dans le kernel).

Problèmes : mots de passe limité à 8 caractères, non sensible à la casse, basé sur DES , parfois les bases de données de RACF sont accessibles en lecture => contient les mots  de passe des users…

 

Scan de port en masse

Problème : distribution et passage à l’échelle d’un scan individuel.

Pas d’interface web avec les outils  (nmap, zmap, masscan,…)

Objectif: récupérer toutes les infos de niveau 7 (textes, images, clés, etc,…)

Solution : distribution sur plusieurs sondes, plusieurs pays installées comme webservice.

Nmap ne suffit pas : zmap et masscan fonctionnent en mode asynchrone mais nécessitent un cœur de réseau et ne sont pas criptable.

Proposition de scanner sur une liste d’IP générée de manière non contiguë pour éviter les absues.

Idées de pousser des blocs de 4 IP aux services de scans..

Performances : 12 Millions de scan simultanés.

Dev de NODESCAN : moteur asynchrone de niveau 7 , support du python pour scripting. Beta disopnible.

Tests effectués avec plages IP française (environ 90 M dip  ou Espagne (30 M d’IP). Scan Espagne = 1 journée.

Résultat : détection de FTP uniques nombreux = le fournisseur internet, affiche le nom du client dans la bannière (service de la box).

Slides sur quarkslab.com/en-resources#conferences

 

CryptoCoding.

Les bugs crypto  ont des conséquences pires que les bugs de soft, car permettent une révélation de documents perso ou confidentiels.. Ex HeartBleed.

Type de bug : répétition de ligne goto fail (présent dans implémentations Apple).

Les bug crypto sont moins analysés, moins connus, moins d’expert, moins d’outils.

Openssl : supporte une quantité très large de protocoles , sur quasiment tous les systèmes (du Win 16b, CE au Linux, etc…)

Exemples de problèmes dans le code Openssl :

Des if (0), bcp de  variables mal nommées (exemple payload plutôt que longueur payload, les RFC ne correspondent pas à l’ordre du code Openssl. Bcp de commentaires alarmistes (fix me,…).

Openssl priorise la vitesse, la portabilité, les fonctionnalités plutôt souvent best effort, dirty tricks.

Ce qui est moins prioritaire : documentation, security, robustesse, consistance (nommage des variables, cohérence).

Pour développement de la crypto : maitriser les algo de crypto, les bonnes pratiques, software engineer, software optimisation, langage de dev, etc…

Alternatives à openssl possibles mais toutes présentes des failles. l’opensource a un avantage de présenter moins de backdoor, un niveau de confiance significatif.

LibreSSL : fork d’openssl en supprimant toutes les implémentations anciennes mais appuyée sur BSD, donc si portage sur autre OS, libraires autres que BSD qui peuvent présenter des vulnérabilités.

Comment écrire du code crypto secure :

  • 10 règles  (power of ten » + google ou nacl.cr.yp.to/internals.html)
  • Mise en œuvre de règles  ou d’un standard : https://cryptocoding.net => avec des règles simples et des contre exemples.
    • Le secret doit rester secret
    • Comparer les strings à temps constant.
    • Eviter les  potentiels timing leaks.
    • Se méfier des compilateurs intelligents « uiq optimisient » au détriment de la securité.
    • Nettoyer les mémoires  (stacke, dump, fichiers d’hibernation,….).

Evocation de la fonction Random qui es souvent une faiblesse.

  • Exemple de faille sur netscape en 19996
  • Recommandation d’utiliser dev/urandom sous linux.// Cryptgenrandom sous Windows.
  • 12 règles proposées sur le wiki.

 

Proxy PKCS11 filtrant

Echanges via PKCS11 – CAML Crush :

Le projet : permettre un échange de clé public/privée entre 2 indiviidus via une solution sécurisée en proposant des API.

La clé ne sort pas du conteneur sécurisé mais un lien vers cette clé est envoyée au correspondant (un handle).

Le standard est obligatoire pour échanger les clés, mais il existe des faiblesses.

Caml Crush : se propose de se placer en coupure des requêtes PKCS11. Entre une application et un middleware.

 

Martine monte un CERT

93% des entreprises du CAC40 sont pwned.

Décision d’EADS de créer un CERT Airbus : parties de la feuille blanche, communauté fermée (cercles privés, maillist privée,…)

Cert Airbus group : régalien, toutes divisions internes, cert industriel, veille, alertes gov, incidents.

Martine et les APT : (advanced persistent threat => Bataille marketing..

Schéma classique :

1 – waterhole, spear, phishing, mdp.

2 – installation de RAT, découverte de l’environnement,

3 – compromission du DC,

5 – recherche d’info ,

6 exfiltration via HTTP

Constats effectués sur les intrusions ou tentatives :

  • Mode bourrin / site de C&C dans le top 10 des logs/hits des accès internet / apparaitre dans les logs ? /
  • l’humain est au clavier : supporthack niveau 1, 2, 3, logique dans l’attaque/ êtres humains donc qualité et défauts.
  • Pillage organisé via un dir/R puis rar pour s’envoyer le résultat des file server.
  • Recherche d’un pc vulnérable (serveur plutôt que laptop).
  • Ciblage d’un ingénieur, des sys admin.

Découverte d’un incident : rarement en interne, plutôt via des alertes gouvernementales, ou par des concurrents.

Les attaques sont souvent par secteur d’activité

Identifier l’ampleur de l’incident : chantier système, réseau, communication.

Forensic non adapté car 10, 20 , 30, x centaines de  machines compromises. Gros problème de passage à l’échelle.

Projet de dev d’un agent collecteur de marqueurs (md5, mutex, services, processus,…)

Aucun outil open source  pour déploiement massif, failsafe, maitrise, léger.

Selon présentaation, Sondes réseaux comme IDS morts

Solution d’effectuer une collecte de toutes les données, tous les journaux.

Nécessite une transparence totale en équipe. Reporting./ documentation précise sur les actions à mener en cas d’incidents.

23 CERT en France, 8 en France. LA France à la traine ????

Organisme d’accréditation le FIRST.

 

Quarkspwdump

 

Rumpsessions

Inscriptions (450 places) vendues en 8 min

Soumissions =>plus de contraintes sur le volume des sousmissions = volume des actes les plus importants du sstic avec 570 pages

Serveur ARM basse consommation : => base Netgear à moins de 100 €.

Security défenseive => suricata 2.0 branchement facile vers logstah ou splunk. Ou kibana (dashboard). Dev du script pour blocage auto selon conditions. => création de SELKS en iSO (stamus network)

Parsifal => parseur sur githbu (formats decrits : ssl, dns, mrt,  kerbveros. Possibilité ajouter une fonction de decryptage  AES.

SSTICY => boite a outils pour challenge.

Exflitration de données via ultrasons emis et réceptionné par un pc/mboile.

Mind your langage => présentation complète sur le site de l’agence. Toutes les particularités des langages. Sur le site ssi.gouv.fr

Private meeting  avec outlook => analyse des droits sur les rdv marqués privés.  Une propriété privé n’est valable que pour l’affichage sous outlook,  un powershell permet d ‘afficher le rdv sans tag privé. Le WS est dans le MSDN.

Le BGA =>challenge de dumper un BGA sans le dessouder = passage au rayonx  pour repérer les pins de la NAND. , isolation des pistes, soudures en direct sur la carte

 

Arreter le DDOS sur une plateforme d’affiliation :

réponse = blackhole + proxy LB.

Analyse : repèrage dans les logs

réaction : investigation IP = fail (car ip espagnol)

Reaction bis : envoyer un cookies et le traquer. (à chaque fois qu’il fait un get @ip) et affichage d’une pub  fictive pour le tracer. Action par mail du service marketing expliquant que le problème est résolu : cela fait revenir l’attaquant pour tester si son attaque marche toujours => Pseudo trouvé, puis email puis compte client.

 

 

Chiffrez vos données avec TrueCrypt

C’était l’un des meilleurs outils en matière de chiffrage de données sur poste de travail (fixe ou mobile). Multi plateformes, léger, libre, éprouvé, en constance évolution…

Historiquement, l’un des membres de l’équipe de développement de TrueCrypt avait fait ses preuves déjà dans un produit proches de TrueCrypt : E4M (Encryption For the Masses) . Ce talentueux développeur nommé Paul Le Roux a su s’associer et faire évoluer TrueCrypt vers un outil robuste. Son histoire si elle est vraie, serait digne d’un film.

Son développement actuel est stoppé pour des raisons toujours pas expliquées officiellement… ( http://www.cryptogon.com/?p=48528  , http://clublinuxatomic.org/2014/07/04/resume-de-laffaire-truecrypt/ ,…)

 

Deux successeurs potentiels:

TCNext (une équipe de développeur connue, basée en Suisse) dont les premières versions devraient sortir cette année : https://truecrypt.ch/

VeraCrypt (projet OpenSource soutenu par Idrix, société Française) dont la dernière version compatible Truecrypt est détaillée dans cet article :

GostCrypt : autre projet opensource, soutenu notamment par l’ESIA et Qwant.


 

Ici, une doc d’installation et d’utilisation sur clé USB, disque physique, pour chiffrer sa partition système etc….

Le menu :

1 – Intro.

2 – Modes opératoires possibles avec TrueCrypt

3 – Installation.

4 – Configuration.

5 – Montage automatique des volumes

6 – Sauvegarde / Restauration.

7 – Les  KeyFiles pour une authentification renforcée

8 – Cryptage du volume contenant le Système d’Exploitation.

9 – Chiffrer ET cacher sa partition (système).

10 – Détecter la présence de volume TrueCrypt

 

1 – Intro.

Sortie le 7 février 2012, la version 7.1a de TrueCrypt fait son apparition.

Qu’est-ce que TrueCrypt en quelques mots ? Un outils open-source qui fonctionne aussi bien sous Mac/linux/Windows, dont le projet a démarré depuis plus de 5 ans ; cet outil permet de chiffrer n’importe quel forme de donnée, c’est à dire un fichier, répertoire, partition cachée ou pas, volume, disque, mais aussi un OS complet sur un volume crypté, voire caché…. Les algorithmes de cryptage proposés sont parmi les plus robustes/courants.

La version 6.0a a reçu le certificat de sécurité de premier niveau délivré par l’ANSSI http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/p_32_TrueCrypt_version_6.0a.html

Depuis avril 2014, le site d’origine de TrueCrypt a « fermé », en recommandant l’usage de BitLocker de MS. Les raisons de ce changement sont encore non communiquées.

En complément des informations et recommandations fournies par l’ANSSI, un audit du code True Crypt est en cours de réalisation par le groupe Open Crypto Audit. La première phase du rapport est disponible ici https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

Dans tous les cas, le développement de TrueCrypt a été repris par une équipe dont le site web est localisé en Suisse : https://truecrypt.ch/

La prochaine version devrait donc se nommer TCNext.

 

 

 

TrueCrypt effectue le cryptage/décryptage à la volée après lecture du fichier, avant enregistrement du fichier. C’est aussi ce qu’on appelle le cryptage OFT = On The Fly

La version 7.1a apporte :

–      Compatibilité 32 et 64 bits sur Mac OS X 10.7

–      Correctifs mineurs par rapport à la version 7.1 et 7.0

La version 7.0 apporte notamment :

–          le support l’accélération matérielle pour le cryptage AES (à condition que votre processeur supporte les instructions AES-NI = essentiellement des processeurs Intel L)

–          le montage automatique des volumes TrueCrypt. Si vous posséder un volume TrueCrypt sur un support amovible que vous connectez celui-ci sur votre PC, le volume pourra être monté automatiquement.

–          Les partitions TrueCrypt peuvent désormais supporter des secteurs de taille 1024 à 4096 octets.

–          La gestion de Volumes Favoris est plus fine et présente de nombreuses options (montage lecture seule, ordre de montage, etc…)

–          Le menu Favoris contient désormais une liste de volumes favoris qui ne sont pas des volumes systèmes.

–          Utilisation des API d’hibernation améliorées de Windows 7/2008 lorsque le mode hibernation de l’OS est activé = amélioration de l sécurité mais cela risque de rendre moins compatible la version TrueCrypt 7.0 avec XP ou 2003.

 

La version 6.3 apporte notamment :

–          le support de Windows 7

–          la notion de Volume System Favoris (utiles quand il s’agit de monter automatiquement les volume nécessaires au moment du boot de l’OS)

La version 6.2 améliore notamment la performance en lecture, particulièrement sur disques SSD.

La version 6.1 apportait déjà :

–          la possibilité de chiffrer une partition contenant des données, sans perdre le contenu (sous Vista/Windows 2008)

–          le support des tokens et smart cards

–          l’interopérabilité d’un volume crypté sous Windows et utilisable sous Linux/Mac

–          …

 

Le document présente différentes utilisations possibles de TrueCrypt : un usage classique avec création d’un fichier(/volume) crypté et protégé par un mot de passe, la même chose protégé par un fichier clé (keyfile), le cryptage de tout votre PC ou portable y compris la partition système ( !), et le cryptage d’un volume qui sera caché.

 

 

2 – Modes opératoires possibles avec TrueCrypt

 

Il existe plusieurs variantes à l’usage de TrueCrypt : certains ont la première utilité de chiffrer ses fichiers pour se protéger de tout vol alors que d’autres visent à masquer, voire leurrer l’hypothèse que vous puissiez chiffrer vos fichiers. En voici cinq :

 

–      Créer un conteneur TrueCrypt dans un fichier visible. Cette option basique vous permet de vous promener avec votre conteneur (fichier) sur une clé USB, votre disque externe, vos sauvegardes, etc avec un minimum de confidentialité. C’est ce qui est expliqué dans la partie 3

–      Dédier une partition (non système) en tant que conteneur TrueCrypt . Option similaire à la précédente avec un conteneur qui fera la taille de votre partition ou de votre disque complet, donc particulièrement confortable pour les disques externes par exemple.

–      Mettre sa partition Système dans un conteneur TrueCrypt. Cette fois-ci, votre système d’exploitation et tout l’environnement/paramètres/données qui se trouvent sur la partition système se trouvent cryptés, de manière transparente pour l’OS, hormis le TryeCrypt Boot Loader initial qui vous demandera un mot de passe pour lancer votre OS. Partie 7.

–      Déclarer un conteneur dans un fichier qui contiendra lui-même un autre conteneur caché. Imaginez un coffre-fort caché derrière un tableau de maitre, ce coffre-fort une fois découvert s’avère posséder quelques documents peu compromettants mais possède surtout un double fond contenant vos véritables documents confidentiels. A ceci près qu’en fonction du mot de passe du conteneur initial, soit vous ouvrez le conteneur leurre, soit vous ouvrez le conteneur qui vous est cher.

–      A l’image de l’option précédente, vous cryptez votre partition système, qui se trouve contenir également une autre partition systèmes chiffrée accessibles l’une comme l’autre selon le mot de passe saisi. Cet usage est détaillé en partie 8

 

Enfin, une fonctionnalité commune à tous les modes ci-dessus concerne la clé d’accès au conteneur chiffré : dans les cas les plus simples, la clé sera un mot de passe mais peut également être un fichier de votre choix.

 

 

 

3 – Installation

Parce que le parc de postes Windows est encore important, c’est cet OS qui est utilisé pour expliquer un peu plus comment çà s’installe.

Il vous faudrait donc :

Windows 7.0

TrueCrypt 7.1a (http://www.truecrypt.org/downloads) – le package d’installation fait environ 3.3 Mo

Etre administrateur du poste (uniquement durant la phase d’installation)

 

Après avoir accepté la licence, un premier choix :

image003

Vous pouvez choisir de poursuivre une installation classique ou d’extraire TrueCrypt : ce choix est utile si vous souhaitez utiliser TrueCrypt ponctuellement sans installer quoique soit sur l’ordinateur (utilisation dans un cadre mobile). Choisissons le cas le plus répandu : install

image005

Rien de particulier dans cet écran sauf à noter la possibilité de forcer un point de restauration Windows.

 

L’installation finie

image007

Vous aurez cette icône sur votre bureau :

image009

Pour avoir une interface en Français :

Il se peut que vous deviez télécharger le complément en français : http://www.truecrypt.org/localizations.php

Dézippez le fichier XML dans c:\programmes\TrueCrypt

Allez ensuite dans le menu Settings / Langage ; sélectionnez le langage Français…

image012

4 – Configuration

L’étape primordiale est ensuite de créer un volume (unité logique de type e, f, g,…) qui sera cryptée et qui contiendra l’ensemble de vos données protégées.

Allez dans le menu Volumes, Créer un Volume.

image013

 

Trois choix s’offrent à vous :

1 – « Créer un fichier conteneur », créer un volume qui sera associé à un fichier unique de type confidentiel.tc qui contiendra les fichiers cryptés sur votre volume habituel (par exemple sur C 🙂

2 – « Créer un volume dans une partition non système », créer un volume complet sur un espace disque disponible tel que une clé USB, une partition de disque non-utilisée, un disque externe

3 – « Chiffrer la partition ou l’intégralité du disque système », modifier une partition actuelle pour la rendre cryptée en totalité. Cette partition peut-être la partition système ou le disque système.

 

Ces 3 choix définissent ce à quoi ressemblera le container crypté qui stockera les fichiers cryptés.

 

Choisissons la première option .

 

L’écran suivant vous propose deux options (disponibles également pour les autres choix précédents) :

image015

–          Standard TrueCrypt Volume : globalement, vous allez créer un espace (fichier ou partition) qui sera visible en tant qu’élément chiffré. Traditionnel…

–          Hidden TrueCrypt Volume (ou mode paranoïa) : le container qui recevra les fichiers cryptés sera ‘invisible’, cet espace sera plus précisément sur un espace de disque non partitionné donc non visible sous Windows. Dans le détail, c’est un schéma de fonctionnement peu plus compliqué mais davantage sécurisé puisqu’une analyse rapide d’un ordinateur ne permettra pas de repérer l’existence d’un volume crypté.

image017

 

 

Vous devez ensuite définir de l’emplacement de votre container (ou fichier global) qui contiendra vos éléments à protéger). Cet emplacement peut être vos disque local, externe, USB,… précisez un chemin, voir un nom de fichier. Si celui-ci existe, il ne sera pas réutilisé mais écrasé par TrueCrypt.

image019

 

L’étape suivante consiste à sélectionner en premier le type de cryptage que vous souhaitez utiliser. AES, Serpent ou TwoFish mais plus amusant encore, vous pouvez choisir d’additionner séquentiellement 1 ou 2 voire 3 de ces algorithmes déjà forts puissants utilisés de manière individuelle. Partons sur AES, un système de cryptage à clé symétrique très répandu dans maintes applications informatiques, système robuste et approuvé par le NIST, le FIPS et la NAS comme algorithme de cryptage fort. Pour l’anecdote qui n’en pas une, l’algorithme a été conçu par deux Belges Vincent Rijmen et Joan Daemen.

Le menu Outils / Banc de Test vous permettra d’évaluer le cryptage le plus rapide.

 

Sélectionnez aussi le type de hachage retenu. Le hachage étant l’algorithme qui permet de définir une empreinte « unique » pour un fichier donné. Si le contenu du fichier est modifié, le hachage ne sera plus vérifiable et confirmera que le fichier a été modifié.

Choisissez SHA-512, relativement répandu et très fiable (produit un condensat ou Hash de 512 bits, ce qui est assez important).

image021

 

Définissez le volume que fera votre conteneur (en Ko ou Mo ou Go). L’espace sera alors alloué dans son intégralité sur le disque mais comme une coquille vide.

Petit rappel : un Ko est Kilo Octet = 1000 octets et qu’il ne faut pas confondre avec un Kibi Octet = 1024 octets. Le CEI a normalisé tout ceci (le kibi octet, le mebioctet,…) en 1998.

image023

 

Sur le choix du mot de passe, inutile de préciser que plus c’est long plus c’est bon … mais si c’est trop long et trop compliqué on est obligé de le noter sur un post-it… Cela n’empêche pas pour autant d’y glisser quelques caractères exotiques, chiffres, majuscules, minuscules,…). Si votre mot de passe fait moins de 20 caractères , vous aurez le droit à ce joli avertissement :

image025

Le mot de passe est limité à 64 caractères. C’est ce mot de passe qui vous sera demander pour accéder au volume crypté.

Si vous cochez « Fichier Clé », vous devrez indiquer un fichier qui servira de « clé » supplémentaire au mot de passe. Ce fichier sera ensuite toujours nécessaire pour pouvoir ouvrir le fichier TrueCrypt. Cela peut-être un fichier mp3, avi, texte… Mais un fichier qui ne soit plus modifié !

 

En fonction de l’utilisation de votre conteneur (notamment si la taille des fichiers hébergés dans le volume sont > 4 Go), TrueCrypt utilisera le système de fichier adapté (exclusion de FAT).

image028

L’étape suivante est de générer les clés nécessaires au cryptage du volume sur un modèle le plus aléatoire possible sans utiliser la fonction pseudo aléatoire de votre ordinateur. Plus le mouvement de la souris sera long, plus la clé sera difficile à reproduire.

 

 

 

Sélectionnez également le système de fichier retenu (FAT, NTFS)

Vous devez donc bouger la souris puis faire image029

image031

Le container sera formaté et l’espace chiffré

image033

 

Vous pouvez ensuite quitter sans quoi l’assistant vous re-proposera de créer un nouveau volume…

image035

Le conteneur créé (sous forme de fichier) sera associé à l’icône suivante :

image038

 

5 – Montage automatique des volumes

Une icône en bas à droite est apparue :image040

Faites un double-click pour accéder à l’interface

image041

–          Sélectionnez la lettre de lecteur qui sera affectée au volume chiffré,

–          Dans Volume, sélectionnez le fichier que vous avez généré.

–          Cliquez sur image044

–          Saisissez votre mot de passe image045

–          OK

image047

–          Aller ensuite dans le menu Favorites, et sélectionnez « Add mounted volumes to Favorites…»

image049

L’un des nouveautés de la version 7 est de proposer de nombreuses options associables au montage de ce volume favori :

–          Mettre un label pour rendre le volume facile à identifier parmi d’autres.

–          Monter le volume en lecture seule,

–          Préciser que le volume est monté à partir d’un support amovible,

–          Ne monter le volume que pendant que la session est ouverte,

–          Préciser que le volume est monté à partir d’un lecteur réseau

–          Ouvrir l’explorateur Windows dès que le volume est monté,

–          Ne pas monter le volume favori quand la hot key est pressée.

–          Choisir parmi plusieurs volumes, l’ordre de montage des volumes cryptés.

Validez par OK.

 

 

 

Vous trouverez alors l’unité logique montée comme une partition, tout ce que vous y mettrez sera chiffré et accessible uniquement avec TrueCrypt + votre mot de passe.

 

Particularités Windows

L’idéal est dans la plupart des cas, d’avoir TrueCrypt exécuté et initialisé à chaque démarrage de Windows.

Dans le menu Paramètres / Préférences des options sont à activer pour permettre cela :

image051

Notamment  Exécuter TrueCrypt

Désormais, à chaque lancement de TrueCrypt , le (ou les) volumes sauvegardés dans les favoris seront montés automatiquement.

 

 

 

6 – Sauvegarde / Restauration

 

L’essentiel est maintenant d’envisager la situation suivante :

–          que faites-vous si votre fichier conteneur est perdu, altéré, effacé ?

Il n’y a pas grand chose à faire dans le cas où le conteneur est un fichier stocké sur un volume windows : sauvegardez le fichier classiquement sur bande, média externe,…Restaurez, réinstallez TrueCrypt et voilà…

 

 

7 – Les KeyFiles pour une authentification renforcée

 

Dans l’étape 3, vous avez associé l’accès au conteneur à un mot de passe. Ce dernier est attaquable par BruteForce, Keylogger,….

Avec TrueCrypt, une utilisation plus sécurisée est possible. L’accès à une donnée confidentielle n’est plus dépendant de ce que je sais, mais aussi de ce que je possède : le keyfile

L’utilisation des keyfiles : c’est associer un fichier ou les fichier d’un répertoire (la clé) qui vous donnera accès au volume crypté à la condition initiale que le mot de passe fourni soit le bon.

Le fichier peut-être aussi bien un mp3, qu’un avi, qu’un fichier word,… Il doit faire au moins 30 octets et ne doit plus être modifié.

Pour basculer d’u simple « mot de passe » au mode « mot de passe + keyfile »

–          Ouvrez l’interface TryeCrypt (ne montez pas le volume)

–          Cliquez sur Volume Tools ou Outils pour le Volume

image054

 

–          Choisissez Change Volume Password…

image056

image057

 

–          Dans la zone Current, saisissez votre mot de passe actuel

–          Dans la zone New, saisissez avec confirmation votre nouveau mot de passe, puis

–          Cliquez sur le bouton Fichiers clés

–          Sélectionner le fichier (ou le répertoire) qui vous servira de clé

image059

 

 

-Validez.

image061

Bougez votre souris de manière aléatoire.

image063

 

 

 

Et c’est tout.

 

Pour monter le volume crypté, il vous restera à spécifier le fichier clé et le mot de passe comme auparavant.

 

Pensez à sauvegardez votre fichier clé !

 

 

8 – Cryptage du volume contenant le Système d’Exploitation

 

Plus délicat maintenant mais tellement plus efficace, la mise en place du cryptage au niveau du volume complet où se trouve le système d’exploitation.

Pour commencer, il faut avoir son OS et Truecrypt installé normalement.

1 –    aller ensuite dans le menu System / Encrypt System Partition/Drive…

image065

Choisir « Normal »

image067

 

–          Dans le choix suivant, soit vous décidez de chiffrer le volume système seulement, à l’exception de toutes les autres partitions présentes, soit (Encrypt the whole system) vous décidez (et c’est sans doute le meilleur choix) de chiffrer le volume système et TOUTES les partitions présentes sur le disque physique ; dans ce dernier cas, un chargeur TrueCrypt sera installé : à chaque boot du système, le chargeur vous demandera le mot de passe Truecrypt et la séquence de boot système pourra démarrer ensuite.

image069

 

Attention, si vous avez choisi l’option « Encrypt the Whole drive », je vous rappelle que TrueCrypt va alors chiffrer TOUS les volumes du disque physique, y compris les volumes contenant des utilitaires ou boot spécifiques ou systèmes de restauration etc… Donc si pensez être dans cette situation (vérifier avec les DiskManager de Windows), choisissez Yes. Truecrypt va alors détecter ces volumes spécifiques et les exclure.

image071

Dans le cas d’un volume sur un disque virtuel, sur certains portables également, on pourra choisir No.

 

Étapes suivantes, choisissez l’algorithme de cryptage :

image073

Spécifiez votre mot de passe suffisamment robuste (vous pouvez le tester ici : http://www.passwordmeter.com/)

image075

 

L’étape suivant consiste à créer un fichier ISO de secours

image077

Ce fichier est stocker sur un autre CD ou DVD.

Il vous permettre de booter votre système, de déchiffrer votre partition et contient une sauvegarde des premiers secteurs de boot. Truecrypt vous invitera d’ailleurs à le graver sur un CD ou DVD immédiatement : condition nécessaire pour pouvoir lancer le cryptage de la ou des partitions.

Une fois, le CD gravé, vous devrez vérifier la bonne issue de l’opération.

image079

Un dernier click : le reboot de votre système

image081

 

 

Au boot du système, TrueCrypt vous demandera votre mot de passe :

image083

Il suffit de le saisir, et Windows démarrera (pour faire un premier test de boot). Après ce premier reboot, Truecrypt vous proposera de lancer le cryptage final des partitions.

image085

Appuyez juste sur « Encrypt » et c’est parti pour le cryptage des partitions.

 

A la fin :

image087

Vos partitions sont chiffrées !

 

PS : si la partition est chiffrée, une fois l’OS démarré, les données sont bien entendues en clair accessible depuis l’explorateur, donc également à travers le réseau du PC…

 

 

9 – Chiffrer ET cacher sa partition (système)

Cela peut s’avérer utile lorsque vous voyagez dans certains pays où on peut légalement vous demander votre portable à la douane : chiffrer un volume de données, ET le rendre non visible afin de ne pas susciter d’attention particulière.

 

Nous considérons que TrueCrypt est déjà installé, normalement.

 

Cette méthode est sensiblement plus complexe que l’étape précédente.

Globalement cela consiste à mettre en œuvre un premier OS sur une partition cryptée dans lequel nous insérerons un second volume contenant l’OS final (et donc les données) crypté et caché. Le premier OS sera ensuite formaté et vous devrez réinstaller un OS sur cette première partition !

 

Voici ce à quoi va ressembler votre partitionnement final :

image089

La partition 1 est celle qui reçoit l’OS crypté qui servira de leurre.

La partition 2, juste après la partition 1 est celle qui reçoit l’OS crypté et caché : sa taille doit être de 5% > à la partition 1.

1      – dans le menu System, choisissez « Create Hidden Operating System… »

image091

On vous prévient que vous DEVREZ réinstaller vos OS situé sur la première partition. Votre OS1 et le contenu entier de la partition 1 sera recopié sur la partition 2

image093

 

Attention, nombreux avertissements de sécurité qui visent à faire en sortie que l’usage d’un système crypté/caché reste « indétectable » : raison pour laquelle toute écriture en dehors de la partition 2 (typiquement sur la partition 1) ne sera pas possible.

image095

Dans la question suivante, TrueCrypt détecte que le fichier d’échange est sur votre partition system ce qui peut représenter le risque de dévoiler la présenter de votre partition système cachée. Si vous répondez Yes, Trye crypt fera la modification nécessaire.

 

Page suivante : on retrouve l’installation du BootLoader qui sera adapté en fonction votre choix « avez-vous un seul OS officiel ou bien avez-vous plusieurs OS distincts ? »

image097

Info importante : sous Windows, assurez-vous d’avoir activé votre système auprès de Microsoft avant de lancer la copie vers la Partition 2. Toujours pour éviter de faciliter la détection de l’existence de cet OS2…

image099

 

Le « OuterSIze » sera par défaut, la totalité de votre partition 1 (officielle) et partition 2 (cachée).

image101

Spécifiez un mot de mot de passe spécifique pour l’accès à ce volume.

image103

 

On lance le formattage de la partition.

 

image105

image107

 

image109

image111

Attention : l’algorithme de cryptage de la partition 2 devra être le même que celui de la partition 1.

image113

 

Spécifiez un mot de passe (un3ème) disctinct des 2 autres.

image115

image117

 

Formattage de la partition 2.

image119

 

Reboot du système.

image121

Saisissez le dernier mot de passe saisi (celui fourni pour la mise en œuvre du système caché)

 

L’opération de recopie du premier système vers le second système en version cachée commence. (clonage de la partition 1 vers Partition 2.)

image123

image125

Quand la copie est terminée, ressaisissez à nouveau votre mot de passe (le dernier créé, celui de votre partition cachée).

Votre système caché démarre.

image127

Une fois démarré, TrueCrypt va vous proposer d’effacer le plus efficacement possible le contenu de la partition 1.

image129

image131

Attention, toutes les données de la partition 1 seront effacées (sachant que c’est une copie de cette première partition qui actuellement sur la partition 2).

 

Quand c’est terminé :

image133

Vous devez éteindre vos ordinateur (histoire de vider autant que possible toute rémanence de mémoire).

Redémarrez votre ordinateur et installez votre OS : ne bootez pas sur le disque contenant le système caché.

Installation de votre OS

Une fois votre OS installé, bien sûr vous ne pouvez plus booter sur votre système caché.

 

Installez TrueCrypt sur le système fraichement réinstallé et lancez la fonction de cryptage de votre partition système (comme au chapitre 7 précédent), c’est-à-dire :

–          Encrypt System Partition Drive,

–          Choisissez « Normal » et non « Hidden »

–          Choisissez « Encrypt the Windows system partition »

–          Si votre PC n’a qu’un seul système (hors celui est caché), choisissez Single Boot,

–          Dans l’étape Ecnryption : choissisez impérativement le même cryptage que celui utilisé pour votre système crypté ET caché.

–          Spécifiez un mot de passe (différent de celui qui vous permet de booter sur votre OS cyrpté et caché)

–          Laissez TrueCrypt vous graver un CD de récupération d’urgence (si vous en avez déjà, mettez le CD pour que Truce Crypt en fasse la vérification)

–          Lancez le WipeMode,

–          A la fin de l’installation TrueCrypt vous demandera de rebooter après un premier test.

–          Au reboot, saissez votre password créé dernièrement.

–          Lancement de votre OS crypté (non caché), TrueCrypt vous propose , après le test de lancer le cryptage de votre partition.

–          Quand c’est terminé, rebooter votre OS.

 

Maintenant, le process est terminé :

–          Au boot de votre PC, le loader TrueCrypt vous demande un mot de passe

image135

Si vous mettez le password de votre partition système cryptée ET cachée, vous booterez sur cet OS,

 

Si vous mettez le password de votre partition système crytpée (la partition leurre), vous booterez sur l’OS normal de leurre.

 

Le troisième password vous permet d’accès à la partition Outage.

 

 

10 – Détecter la présence de Conteneurs TrueCrypt

Utiliser TrueCrypt est sans doute indispensable lorsqu’on manipule des données confidentielles mais lorsqu’il s’agit à l’inverse de détecter si une personne abuse utilise TrueCrypt. Il existe à minima quelques pistes, outils et traces laissées par TrueCrypt.

 

TCHunt (TC pour TrueCrypt et Hunt pour…) : cet outil permet de détecter les fichiers TrueCrypt sur un ordinateur, pas seulement si ils ont l’extension .TC => http://16s.us/TCHunt A cette heure, TCHunt ne détectait pas encore les partitions. La dernière version était la 1.6, voici son usage :

TCHUNT –d C:\temp –v

-d pour Detect

C:\temp ou autre répertoire

-v pour mode verbeux.

Si vous lancez cette commande (surtout à la racine d’une partition), tous les fichiers seront analysés à la chaine, avec un résultat difficile à exploiter.

Préférez alors : tchunt –d c:\ 2>nul

TChunt vous renverra alors les éventuels fichiers ayant 1 conteneur TrueCrypt.

image137

Attention : TChunt permet de suspecter la présence d’un fichier TrueCrypt. Le taux de faux négatifs et faux positifs peut être déroutant.

Traces locales :

Dans le cadre de conteneurs cachés (de second niveau), il reste deux arguments systématiques pour détecter la présence de ces conteneurs : 1 – le conteneur premier ne pourra jamais contenir ou stocker la totalité de l’espace qui lui est alloué, 2 – les fichiers leurres du premier conteneur sont rarement mis à jour et donc souvent obsolètes.

Le système d’exploitation laisse apparaitre également la présence de fichiers tels que truecrypt (-x64).sys dans system32\drivers

Le registre laisse entrevoir quelques associations de fichiers : .TC par défaut

Etc …

Création de l’image physique d’un disque dur

Un mode opératoire pour capturer l’image physique d’un disque dur à des fins d’analyse de contenu.

Deux modes de copie de contenu d’un disque dur :

– la logique => identique à celle retrouvée dans une copie de fichiers Windows ou Linux. Inconvénient : modification de la propriétés des fichiers copiés (horodatage, canaux cachés, etc… et copie seule des fichiers connus/indexés par le système source.

– la physique => on prend une partition ou un disque entier puis on transfère octet par octet l’intégralité du contenu (incluant les zones ayant contenu des fichiers effacés, contenant aussi les conteneurs cachés ou cryptés) sans toucher aux propriétés des fichiers.

Les différentes informations ont été pompées depuis ces 2 sites (par ailleurs passionnants)  : http://zythom.blogspot.fr et http://www.brunovalentin.com

1 – Création du Live USB.

L’objectif : pouvoir démarrer l’ordinateur visé sur un périphérique externe sans intervenir sur le contenu du disque dur.

Deux outils open source sont utilisés :  l’ISO de DEFT 8   (ou à peu près n’importe quel LiveCD Linux) et  LinuxLive USB Creator

Une clé USB (> 4Go)

Un partage réseau (CIFS) sur un NAS ou PC ou un autre PC pouvant exécuter Netcat, avec suffisamment d’espace disque pour accueillir l’image du disque capturé.

– Installez LinuxLive USB Creator sur votre propre PC : il va vous permettre de générer une clé USB bootable contenant Deft 8.

  • Choisissez la lettre de votre clé USB
  • Sélectionnez l’ISO => un test de compatibilité sera fait pour s’assurer que le boot soit possible.
  • (à mon avis), décochez la première case et la 3ème, cochez la seconde.
  • cliquez sur l’éclair.

Capture2

Si la capture de l’image disque doit se faire depuis un PC ancien (qui ne supporterait pas un OS 64bits), préférez DEFt 7.2.

 2 – Préparation de la capture et prise d’empreinte

– Assurez-vous d’avoir désactivé les fonctions SMART dans le bios (soit du PC, soit de la carte Controleur).

– Si votre transfert se fait via un partage CIFS (ou Samba), regroupez les informations nécessaires à la connexion au partage (@IP, nom d’utilisateur, voire de domaine AD,  password, et nom du partage).

– Bootez sur Deft, lancez l’interface graphique (deft-gui) passez en clavier FR, puis sous terminal montez votre partage Windows sous Deft :

mount -t cifs //10.0.0.10/capture  -o username=utilisateur   /root/capture1

 

Prenez l’empreinte du disque à capturer. Cette empreinte, réalisée avant toute intervention, vous donnera une valeur ou une clé (un hash)  qui correspond à un calcul sur la totalité des données du disque. Si vous refaites l’opération X fois et que vous obtenez toujours la même clé : cela signifie que le contenu du disque n’a pas été altéré ou modifié.

– Utilisez pour cela Dhash 2 :

Capture1

 

– Cochez les cases MD5 et SHA1 afin de générer les Hash selon ces deux modes de calcul puis cliquez juste sur Acquire

– Sauvegardez le résultat en cliquant sur SaveLog et en spécifiant le chemin CIFS monté plus haut.

 

 3 – Réalisation de la Capture

Juste un :

dd_rescue  -l /root/capture1/journal.log /dev/sda  /root/capture1/sda-xxxx.hdd

où  :

/dev/sda désigne le disque physique à capturer

le -l /root/capture1/journal.log sert à journaliser les erreurs qui seraient rencontrées lors de la lecture des secteurs .

 

Si le disque comporte des erreurs physiques, l’utilisation de ddrescue (sans le _) peut s’avérer plus efficace en terme de délai de capture.

ddrescue -B -r 1 /dev/sda  /root/capture1/sda-xxxx.hdd

 

4 – Exploitation du disque capturé

Le fichier généré ci-dessus est exploitable de plusieurs manières :

– montage sous VMWare du disque comme secondaire d’un OS existant (attention si c’est Windows , le simple fait de monter une nouveau lecteur en écriture suffit à ce qu’il modifie le contenu , entre autres choses à cause de l’indexation automatique…)

– lancement de PhotoRec avec le fichier hdd en ligne de commande

– exploitation avec AutoPsy 3.x

 

Quelques liens utiles :

http://www.garloff.de/kurt/linux/ddrescue/

http://forum.hardware.fr/hfr/OSAlternatifs/Hardware-2/recuperation-donnees-illisible-sujet_58662_1.htm

http://major.io/2010/12/14/mounting-a-raw-partition-file-made-with-dd-or-dd_rescue-in-linux/

 

Signature électronique de documents Office 2010 et Mails (Thunderbird)

Comment s’assurer que les documents que vous envoyez , copiez, ou transmettez par clé USB ne soient pas modifiés … Ou au moins, si ils le sont, que la signature vous permettre de vérifier si ils sont été modifiés entre vos originaux et les versions diffusées.

Voici un mode opératoire avec un emétteur gratuit de certificats personnels, la suite Office 2010 et un exemple avec Thunderbird, ci-dessous.


 

Avertissement :

Une signature plus complète permet également de garantir l’identité du signataire et donne la même valeur légale qu’une signature manuscrite au niveau Européen. La législation Française a transposé le texte Européen dans la loi 2000-230 du 13/03/2000 et son décret d’application n°2001-272 du 30/03/2001.

Ce qui est présenté ici ne répond pas aux exigences légales : il permet au signataire de s’assurer que son document n’ait pas été modifié ou altéré = un document Word ou Acrobat PDF en l’état n’offre aucune protection contre toute modification par son destinataire.

 


Sommaire

1 . Demander un certificat de signature

2 . Installer votre Certificat personnel

3 . Signer un document Word 2010

4. Signer un mail avec Thunderbird

 

 

 

1 . Demander un certificat de signature

Il est gratuit en passant par ce lien (US ) :

http://office.microsoft.com/fr-fr/marketplace/redir/XT001231640.aspx?CTT=5&origin=HA001050484

Mais vous pouvez également utiliser d’autres autorités de certifications, dont certaines vous permettrons de respecter les conditions légales de signature électroniques.

 

Vous arrivez alors sur Comodo :

 

 

capture1

 

Cliquez sur Free Email Certificate

capture2

 

Saisissez vos Prénom, Nom, adresse email, pays.

Conservez les options de Private Key (Haut Niveau)

Spécifiez un mot de passe qui sera utilisé pour révoquer votre certificat, si nécessaire.

Validez les termes de l’agrément.

 

capture3

Un page vous précise ensuite que vous recevrez vos instructions de récupération de votre certificat par mail.

 

 

2 . Installer votre Certificat personnel

Une chose importante : l’accès à votre certificat fraichement généré sur Comodo doit se faire sur le même ordinateur et avec le même navigateur que lorsque vous avez fait la demande.

 

Votre mail ressemble à ceci :

capture4

 

Sous Internet Explorer, cliquez sur le lien et suivez les instructions.

La première boite de dialogue est à valider par Oui.

capture5

Le certificat est ensuite installé dans vos certificats personnels.

Lancez la console MMC (mmc.exe) , ajoutez le composant Certificats , naviguez dans Personnel / Certificats

capture6

Sélectionnez votre certificat personnel Comodo pour l’exporter (avec la clé privée) dans un répertoire protégé (fichier de type adresseemail.p12), fichier qui doit être sauvegardé !.

Cet export se fait par un click droit sur le certificat, option « Toutes Tâches », Exporter, cochez « clé privée ».

Avec cette seule opération , vous pouvez désormais signer un document Word 2010.

 

 

 

3 . Signer un document Word 2010.

Cela fonctionne de la même manière avec Excel 2010 and co…

Ouvrez votre document Word déjà finalisé.

 

Allez dans le menu Fichier, Informations, puis le bouton Protéger le document

capture7

Choisissez l’option Ajouter une signature numérique

capture8

 

 

Cette boite de dialogue apparait :

capture9

Le cas échéant, si vous avez plusieurs certificats, vérifiez via le bouton modifier que vous utiliser le bon.

Saisissez le motif de la signature (texte libre).

Puis cliquez sur Signer.

Un message vous avertit :

capture10

 

 

Désormais votre document Word est signé en l’état :

capture11

Il n’est plus modifiable . Ou du moins, si vous modifiez le contenu, la signature disparait.

 

Désormais, toute personne qui ouvrira ce document sous Word 2010 aura un bandeau d’avertissement :

capture12

Soit le document reste en lecture auquel cas la signature restera valide,

Soit le document est modifié, alors la signature disparait.

 

Lors que vous (ou votre correspond) réouvre le document Word, un bandeau vertical à droite de l’écran permet d’identifier le signataire :

capture13

 

 

4. Signer un mail avec Thunderbird

Il faut au préalable installer le certificat P12 dans Thunderbird.

Dans Outils/ Options, choisir Sécurité, puis cliquez sur le bouton « Afficher les certificats »

capture14

Puis cliquez sur le bouton Importer pour importez votre certificat p12.

Apparaitra alors votre certificat :

capture15

Revenez sur la fenetre Securité, puis dans la section Signature, cliquez sur Sélectionner un certificat…

capture16

 

La signature d’un mail est ensuite très simple.

Cela s’effectue lors de la création du mail : dans le menu Options d’un nouveau mail, sélectionnez Signer numériquement ce message.

capture17

 

Le message reçu présentera alors une enveloppe avec un scellé.

 

Journalisation des accès internet en entreprise

Première synthèse des contraintes et obligations légales qui obligeraient l’entreprise à journaliser les accès internet de ses salariés.

L’idée de ce document est :

–         de faire une synthèse des contraintes et obligations légales qui obligeraient l’entreprise à journaliser les accès internet de ses salariés.

–         de fournir un mode opératoire pour l’appliquer en entreprise.

journalisation des accès internet en entreprise