Nouvelles technologies: le grand fossé
Dans un contexte de forte croissance des communications, du commerce et des services en ligne, il convient d'investir en permanence dans la sécurité des systèmes. La sécurité est l'affaire de tous et il est dommage de constater qu'une fois encore, l'Afrique est en bout de chaîne. Aucune prévision, aucun groupe de travail ne s'attache actuellement à l'étude de cet environnement pourtant devenu critique dans les échanges internationaux. On parle de globalisation, de mondialisation et l'Afrique peine toujours à suivre le mouvement de l'évolution...
La vie sur Internet ressemble beaucoup à la vie sur terre mais dans le monde des réseaux informatiques tout se passe encore un peu plus en douceur. L'opacité de l'automatisation des tâches informatiques rend l'espionnage en masse permanent. L'informatique a inventé l'espionnage comme norme et profite abondamment de l'ignorance des internautes et de l'incompétence d'une certaine classe dirigeante. Sur ces lieux du sentiment d'anonymat et de sécurité ultime, le réseau (web - toile), on est extrêmement exposé et vulnérable; toutes les faiblesses sont exploitées. Ce sentiment de chaleur et de convivialité n'est qu'une erreur. On ne se rend pas toujours bien compte de se qui se passe dans son dos et des traces que l'on laisse, des morceaux de comportement que l'on égare au fur et à mesure des connexions. Il n'y a pas lieu de tomber dans la paranoïa mais d'avoir le minimum d'information que devrait posséder tout internaute, c'est presque une question de culture générale.
Plusieurs buts sont ici poursuivis par l'espion:
Les statistiques marketing: Le but inavoué de toute publicité est de générer de la frustration. Et mieux on connaît, mieux on frustre. La frustration pousse soit à la consommation (ceux qui ont été bien dressés) soit à la révolte (les autres). Pourquoi subir la publicité en permanence, quand je mange, quand je dors, quand je marche dans la rue, quand je regarde les nuages? La société de consommation c'est pour les pauvres, c'est pour une humanité à la dérive, l'Afrique?
Exploiter les failles de sécurité: C'est avec une facilité déconcertante que l'on pénètre dans un système, c'est-à-dire dans la vie privée de l'internaute, nul besoin aujourd'hui d'avoir des connaissances avancées, n'importe qui peut pénétrer une machine mise en réseau pour peu qu'il dispose des bons outils (netbus, subseven, back orifice, socket23...) et si le propriétaire ne possède pas de culture.
Le jeu, le goût du risque ou le challenge: certains artistes vont détruire pour l'amour du jeu ou la célébrité.
L'espionnage pur: Le supposé partenaire ou l'adversaire devance les stratégies en recevant à l'avance des information supposées confidentielles. Certaines fois, la fuite vient de l'intérieur (ministère, présidence, mairie...)
1. Épier nos comportements
1.1) Au commencement était Windows98
Parlons un peu de Windows 98 puisqu'il est encore aussi répandu en Afrique. Les problèmes de vie privée commencent en amont du réseau, avec le système d'exploitation.
Windows 98 Registration Wizard (RegWiz) contient deux identificateurs : un pour le matériel et un numéro client. Le premier s'appelle Hardware ID ou HWID. C'est un numéro unique assigné par Microsoft qui identifie votre machine. Il contient l'adresse de votre carte ethernet si toutefois vous en avez une. Le second numéro de série est appelé votre Microsoft ID or MSID. Selon C'T Magazine ce numéro est inséré dans votre cookie www.microsoft.com et permet à microsoft de suivre tout vos mouvements sur leur site. Il s'agit d'un numéro unique qui vous identifie en tant que client Windows 98 enregistré sur votre machine. Comme l'ActiveX du RegWiz est buggé (est-ce un hasard ?) ces deux numéros peuvent être consultés par n'importe quel site web et inséré dans une base de donnée mais uniquement sur Win98 et 2000 avec Internet Explorer mais pas avec Netscape Navigator (car Netscape est incapable d'exécuter des
Il existe également de nombreux logiciels que l'on appelle des spyware (episongiciel en français) qui envoient des informations sur internet, getright est le spyware le plus connu. Lavasoft a écrit un logiciel permettant de les détecter et de les supprimer le cas échéant : ad-aware spamkiller spykiller.
Des techniques modernes sont aujourd'hui mises en oeuvre, notamment au travers de campagne mail (emailing) pour exploiter les failles de sécurité d'un système.
1.2.) Le portail, le moteur de recherche
Tous les mot-clés que vous entrés dans les moteurs de recherche sont vendus à des sociétés de marketing. Altavista, comme beaucoup de moteurs de recherche, impose des bannières de pub, lesquelles sont en relation avec les mot-clés que vous avez encodés. Les sociétés qui font ainsi de la pub peuvent mieux cibler les clients potentiels, il existe un réel marché des mots clés.
1.3.) Les bannières mouchardes
Combien de surfeurs savent que les bannières publicitaires sur lesquelles ils sont susceptibles de cliquer envoient des informations les concernant vers des serveurs internet et des bases de données des plus grandes sociétés de marketing ? Richard M. Smith a pris l'exemple de la société DoubleClick (www.doubleclick.net, gère les bannières de publicité d'Altavista) qui reçoit énormément d'informations des internautes pendant qu'ils surfent. Les serveurs de cette société envoient chaque jour des millions de bannières publicitaires sur l'Internet. Richard M. Smith a cherché à savoir quelles informations étaient envoyées vers ces serveurs au travers de cookies en sniffant sa propre connexion. Voilà ce qui était envoyé :
son adresse email
son prénom et son nom
son adresse réelle (rue, ville, code postal, pays)
son numéro de téléphone
le nom des vidéo qui l'intéresse
le dernier site visité
renseignements sur un voyage en avion
les mot-clés utilisés dans les moteurs de recherche
son état de santé
Toutes ces informations sont envoyées pendant qu'on surf sur un site contenant des bannières, sans même cliquer dessus. C'est assez proche de ce que l'on appelle un web bug.
2.) L'anonymat en question
L'anonymat n'existe pas sur internet, mais il existe des degrés d'anonymat. Avec une configuration par défaut on est aisément identifiable, adresse IP, cookies, formulaires que l'on remplie, traces... Normalement votre fournisseur d'accès connaît l'adresse de ses clients et connaît très bien les dates de connexion (à condition qu'il garde les fichiers qui les contiennent, qui peuvent devenir devenir très volumineux...). L'adresse IP est l'adresse de l'ordinateur sur le réseau elle est en général dynamique c'est-à-dire qu'elle change à chaque connexion.
Lorsque des formulaires d'inscription sont complétés pour un service de mail par exemple, il convient d'éviter les informations réelles. Cela n'a strictement aucun intérêt pour la victime mais pourrait être revendu par la suite. Les services de ce genre construisent d'énormes bases de données ensuite revendues, et ce malgré leur avertissement sur le respect de la vie privée. Certains vont jusqu'à conseiller de se créer une personnalité fictive pour internet. Il convient également de décocher toutes les cases qui proposent des courriers publicitaires. Il est tout de même important de noter que le courrier confidentiel ne devrait jamais circuler sur des serveurs gratuits; une société sécurisée a son propre serveur de messagerie.
Pour être un peu plus anonyme sur internet, l'usage d'un proxy est recommandé.
3.) Le proxy
Un proxy est un relais. Le navigateur ne communique plus directement avec le site mais avec le proxy et c'est le proxy qui contacte le site. Ainsi, en théorie, le serveur qui héberge le site "voit" l'adresse IP du proxy et non celui de l'utilisateur. L'individu n'existe donc pas pour serveur sur lequel il est connecté. Mais il existe des proxies anonymes et des proxies non anomymes. Un proxy non anonyme donne l'adresse IP source si on la lui demande. Mais même un proxy anonyme ne l'est pas vraiment car il existe des techniques pour lui soutirer les adresses IP malgré tout. Notamment avec du java/javascript. Pour être anonyme il faut chercher avec un proxy anonyme et avoir désactivé le javascript, le java, et les cookies (naviscope, proxomitron ou paramètres du navigateur). Dans ce cas il est (presque) certain que le serveur ne pourra pas connaître l'adresse IP. On peut encore en plus passer par un anonymizer. Plus on enchaîne de proxy et mieux on est dissimulé mais plus la connexion devient alors lente.
Paradoxalement, on peut perdre tout anonymat en utilisant des tels service. Que savons-nous de l'organisme qui gère le(s) proxi(es)? Peut être bien que toutes les données qui transitent sont analysées, sauvées etc. Vigilance. On trouve un peu partout des listes de proxy, attention ce sont généralement des serveurs d'entreprise mal configurés, ils sont utilisés de façon illégale à l'insu de leur administrateur.
Voici un proxy public : webcache.dial.pipex.com port 3128 à utiliser sans restrictions mais il n'est pas anonyme. Le traducteur de Google peut agir comme un proxy web: http://translate.google.com/translate_c?hl=fr&u=http://www.lipsheim.org, c'est tout à fait légal et facile à utiliser.
Outre le fait d'être un peu plus anonyme, les proxies ont généralement des caches qui permettent d'accélérer la connexion. C'est en fait leur fonction première.
Ceci dit il ne suffit pas d'être caché derrière un proxy pour pouvoir se permettre de faire n'importe quoi. La police peut demander les fichiers de connexion du proxy en cas de doute ou de suspicion. Plus il y a d'intermédiaires et plus on est anonyme. Mais on ne sera jamais complètement anonymes. On n'est jamais annonyme sur Internet sauf peut être dans un cybercafé... Et encore... On nous signale le cas de certains pays où le personnel ou des clients sont payés pour surveiller les actions des clients...
4.) Le tunneling
Le tunneling permet de passer à travers les restrictions des firewall. Si vous vous connectez dans une entreprise vos connexion risquent d'être surveillées. Le tunnelling permet de les dissimuler (l'ordinateur que vous utilisez sera reflété dans un proxy extérieur).
Utiliser HTTPort: http://www.searchlores.org/httport.htm
5.) L'arme absolue
Le chaining: recette de cuisine bidouillée
Les ingrédients :
Un firewall personnel gratuit : Exemple Zone Alarme - http://www.zonelabs.com
un tunnel : HTTPort
un filtre : Proxomitron
un autre filtre : Naviscope
Conclusion
Mais tout ce discours est inutile sans une volonté politique et la mise en oeuvre d'actions globales pour protéger les fournisseurs d'accès et les citoyens. Les sociétés perdent énormément de crédibilité et de l'argent devant cette porosité de leur système de communication. Les États d'Afrique doivent mettre en oeuvre une politique rigoureuse et cohérente en matière de télécommunications et de sécurité internet. Il y va de la survie de ses entreprises et de ses gouvernants...
A l’heure où les entreprises s’appuient de plus en plus sur Internet pour communiquer et développer leurs activités commerciales, il est primordial pour elles de sécuriser leur plateforme informatique. Parallèlement aux bénéfices qu’apporte le développement de réseaux, de nouveaux risques en terme de sécurité apparaissent à un rythme supérieur aux prévisions des éditeurs. La confidentialité, l'intégrité et la disponibilité des données et des systèmes peuvent être compromises de nombreuses façons, depuis les attaques pirates jusqu'aux vers qui rôdent sur Internet, ces atteintes à la sécurité générant des coûts considérables.
Cet article a été rédigé suite à la réception d'un mail d'un conseiller à la présidence d'un pays africain; un communiqué confidentiel envoyé depuis... Hotmail.com. Pour toute information complémentaire, discussion ou question sur le sujet, écrire au webmaster.
Gustav Ahadji
Lexique:
Les cookies: Les cookies sont des fichiers ascii que les sites enregistrent sur votre disque dur, généralement dans le répertoire c:\windows\cookies, ça dépend de la configuration. Les informations stockées permettent aux sites de se souvenir de vos derniers passages chez eux ce qui est très commode et permet mieux adapter le site à votre façon de surfer. Normalement un cookie n'est lisible que par le site qui l'a émis mais - c'est une information à vérifier - il semblerait qu'il y ait moyen de lire tous les cookies. Les cookies peuvent contenir n'importe quoi, votre nom, votre adresse, des mots de passe (pas toujours cryptés, etc. Certains services tels les boîtes aux lettres "anonymes" utilisent les cookies pour authentifier une session, ils demeurent alors indispensables (caramail, yahoo, altern.org...). De manière générale il faut se méfier de ces fichiers, et les effacer régulièrement voire ne pas les accepter (configuration du navigateur).
Cheval de Troie: Un cheval de troie est un programme (généralement invisible) qui transforme votre ordinateur en serveur et permet à n'importe qui de se connecter dessus et d'effectuer beaucoup d'opérations : transfert/suppression de fichiers, reboot de la machine... La plupart des chevaux de trois est reconnue par les antivirus. En voici quelques un : Netbus, Socket de Troie, Subseven.
Tunneling: utiliser HTTPort avec Napster, Irc, les News lisez la faq: http://www.searchlores.org/hpofaq.htm
Utiliser la version 1.1 de httport et décocher l'option "news" les nouvelles versions sont plus lentes et affichent de la publicité, vous pouvez télécharger version 1.1 ici : httport.zip (373ko) - Voir aussi httptunnel: http://www.nocrew.org/software/httptunnel.html (un peu plus ardu à configurer).
Le spam: La plupart des spams sont des publicités commerciales, souvent pour des produits ambigüs, des propositions pour devenir riche rapidement, ou des services à la limite de la légalité. Le Spam coûte à l'expéditeur tellement peu -- la plupart des frais sont payés par le destinataire ou le support plutôt que par l'expéditeur. Il y a deux principaux types de spam, et ils ont des effets différents sur les utilisateurs d'Internet. Le Usenet Spam est un message unique envoyé à 20 newsgroups Usenet ou plus. Beaucoup de gens lisent ou reçoivent leur mail alors que les unités téléphoniques passent. Le Spam leur coûte de l'argent en plus. En plus de cela, cela coûte de l'argent aux ISP et aux services en ligne pour transmettre le spam, et ces coûts sont répercutés directement aux souscripteurs. Une variante particulièrement pénible du spamming par email est l'envoi de spam aux mailing listes (forums de discussions publics ou privés.) Comme de nombreuses mailing listes limitent leurs activités à leurs inscrits, les spammers vont utiliser des outils automatisés pour s'inscrire à autant de mailing listes possibles, afin de pouvoir récupérer les listes d'adresses, ou utiliser la mailing list comme cible directe pour leurs attaques.
Ven 2 Déc - 11:05 par brigitte