Voici un projet très intéressant dans le domaine de la téléphonie mobile. BLackphone est donc un smartphone qui a été conçu avec pour objectif principal de garantir aux utilisateurs le maximum de protection de leurs données personnelles et de leurs communications. Le Blackphone est basé sur un Android qui a été modifié pour garantir ce niveau de protection.
Au menu de ce téléphone, vous pouvez passer des appels en mode sécurisé, idem pour les SMS ou encore pour les chats vidéos et la navigation sur internet. Et pour ceux qui veulent encore plus de protection, ils peuvent activer un VPN pour devenir complètement anonyme. En plus de ces fonctions évoluées en terme de « privacy », le design du téléphone n’a pas été négligé de ce que l’on peut en voir sur le site internet du projet. Pour l’instant ce téléphone n’est pas encore commercialisé mais il sera possible de le pré-commander après le 3GSM de Barcelone le 24 février prochain.
27-1-2014|Commentaires fermés sur Blackphone, un smartphone qui protège vos données
Avec les dernières annonces liées aux écoutes de la NSA, il peut être intéressant pour certains de sécuriser et crypter ses communications afin que personnes ne puissent les écouter. Suite à une discussion avec un entrepreneur qui travaillent sur un projet concurrent d’un acteur américain j’ai recherché un peu ce que l’on peut utiliser en ce moment pour avoir des communications téléphoniques, SMS et chat un peu plus sécurisées.
Rapidement j’ai découvert le projet The Gardian Project qui a justement pour objectif de proposer des solutions pour protéger vos communications. Ce projet propose des applications à installer sur votre smartphone. Ces applications permettent de facilement sécuriser des appels, des échanges SMS ou chat, le tout relativement facilement.
Sécuriser vos échanges par messagerie instantanées
Pour le chat, l’application Gibberbot permet de sécuriser les échanges via les messageries instantanées comme celle de Facebook, Jabber (google talk et hangout), et beaucoup d’autres. L’application fonctionne sous android mais une application équivalente, ChatSecure, existe aussi pour ceux qui sont sous iphone mais il faudra la télécharger depuis le store US d’Apple. L’avantage de ces applications est que vous allez utiliser vos comptes de messagerie instantanées existants (donc avec vos contacts inclus).
Une fois installé, cette application va crypter vos échanges grâce à un cryptage Off-The-Record (OTR). Et cerise sur le gâteau cette application est 100% gratuite et sans publicité et open source! Le tutoriel du fonctionnement de l’application est ici. Certe l’interface n’est pas des plus glamour (idem pour ChatSecure pour iphone) mais cela n’est pas ce qu’on leur demande principalement.
Sécuriser vos échanges par SMS
Après avoir sécurisé votre messagerie instantanées, voici une application pour sécuriser vos échanges SMS. Cette fois-ci cela n’est pas une application développée par The Gardian Project mais ils soutiennent le développement. Textsecure proposé gratuitement par Whispersystems est une application SMS pour android qui va remplacer l’application SMS native en y ajoutant une couche de cryptage afin que vos SMS soient bien protégés et donc illisibles si jamais on venait à vous voler votre téléphone ou en cas de perte. Bien entendu comme pour le chat il faut que votre correspondant ait aussi ce système pour pouvoir sécuriser les échanges SMS. Si jamais votre interlocuteur n’a pas cette application, pas de soucis les SMS fonctionneront mais les échanges en seront pas cryptés.
Encore une fois ce projet est aussi disponible en open source ici. L’application android se télécharge ici. Je n’ai encore trouvé d’équivalent pour l’iphone malheureusement…
Sécuriser vos communications téléphoniques
Pour les échanges vocaux, il existe aussi une application (android encore une fois) qui vous permettra de parler sans risque théoriquement. L’application, RedPhone, est elle aussi proposée par Whispersystems. Le principe est d’utiliser votre smartphone comme d’habitude, mais d’avoir la possibilité de passer un appel sécurisé à un correspondant qui lui aussi a cette application (le système vous l’indique). En revanche, il faut être connecté en wifi ou avoir de la data dans son forfait.
Sinon vous pouvez aussi jeter un oeil au protocole Ostel qui propose une solution pour tous les types de téléphones (blackberry, android, iphone…). L’application iphone avec laquelle fonctionne Ostel est en revanche payante, elle est gratuite sous android.
Maintenant vous pouvez communiquer avec vos interlocuteurs de manière un peu plus safe et secure!
20-9-2013|Commentaires fermés sur Comment sécuriser vos communications vocales, chat et SMS
Sécuriser l’accès à l’administration de son blog est essentiel! Souvent les mises à jour de WordPress ont pour objectif de patcher des brèches de sécurité alors avoir un login et un mot de passe puissant sont des atouts pour la protection de votre blog et des données.
Google avait il y a quelques temps mis en place la procédure en deux étapes (two steps verification) pour les connexions à Gmail. Cette procédure implique l’utilisation d’un smartphone pour pouvoir vous connecter à votre compte de messagerie. L’application sur le téléphone va donc vous fournir un code à 8 chiffres qui change toutes les minutes, ce code vient donc renforcer le couple login/mot de passe que vous utilisez habituellement. Je suis utilisateur depuis très longtemps de ce système et même s’il est plus contraignant il apporte un niveau de sécurité vraiment très fort.
Cette procédure et cette technologie « Google Authenticator » est en open source, ce qui implique que n’importe qui peut développer des applications l’utilisant. Il y a quelques jours un utilisateur a expliqué comment installer « Google Authenticator » sur son serveur pour protéger l’accès SSH. Pour protéger votre blog wordpress sachez qu’un plugin existe et qu’il est très simple à utiliser et installer.
-Premièrement télécharger ou installer le plugin en recherchant « Google Authenticator »
-Installer l’application Android ou iphone si vous ne l’avez pas encore fait
-Activer l’extension et activer l’option « Google Authenticator Settings » dans Utilisateurs/votre profil
-Scanner le QR code pour ajouter votre blog à l’application sur votre téléphone
Si jamais vous perdez votre téléphone il faudra désactiver le plugin en l’effaçant simplement en FTP et si vous avez des rédacteurs sachez qu’il est possible de n’activer cette procédure que pour le compte administrateur.
Internet est un espace vaste sur lequel on peut finalement faire tout un tas de choses : se divertir, consommer, travailler… Malheureusement, pour chaque service il vous faut avoir un mot de passe (idéalement différent pour chaque service et site). Les experts le savent, les humains ont tendance à choisir des mots de passe simple et facilement crackables par des ordinateurs qui eux ne se fatiguent pas à tester des combinaisons pour trouver votre super mot de passe : nicole.
Le département du commerce aux US est entrain de réfléchir à une nouvelle forme de sécurisation afin de faire en sorte que l’on n’ait plus besoin de rentrer des mots de passe pour accéder à ses comptes et services sur internet. Dans l’esprit cela reviendrait à une sorte de Facebook Connect (qui finalement est aussi une réponse au problème mais pas suffisante), mais basé sur un composant hardware (puce ou appareil crypté) qui assurerait un niveau de sécurité élevé (ce que ne fait pas Facebook Connect). L’association professionnelle « Open Identity Exchange« , représentant les intérêts d’entreprises comme Verizon, Google, Paypal, AT&T ou encore Symantec travaille dans ce sens. Et il est évident que ce sont les industriels qui sont les mieux placés pour promouvoir un tel système.
Cette réflexion autour des systèmes d’identification fait parti des 10 priorités du « Cyberspace Policy Review » d’Obama de 2009. Je prends le pari dans dans quelques années les principes d’identification sur internet seront complètement différents de ce que l’on peut connaitre actuellement et que l’on aura plus besoin de retenir des dizaines de mots de passe pour se connecter. Pour ceux que le sujet intéresse vous pouvez aller jeter un oeil sur le suite de l’OIX.
Facebook sait que proposer une meilleure sécurisation des comptes ne fera pas de mal, sur ce sujet ils viennent d’ailleurs d’annoncer deux nouvelles fonctionnalités plutôt intéressantes.
La première nouveauté est que l’on va pouvoir (théoriquement aujourd’hui) passer en mode https (la version protégée du http donc) automatiquement via les réglages de votre compte dans Account Security. Il faut savoir que passer votre compte en https va le rendre « secure » mais va aussi ralentir le chargement des pages, et oui on gagne sur un point mais on perd aussi en ergonomie et que certaines applications tierces ne fonctionneront plus…
Deuxième nouveauté c’est l’apparition du captcha social, qui au lieu de vous faire recopier une série de lettres et de chiffres sans réelle signification pour prouver que vous êtes un humain et pas un sale robot spammeur, va simplement vous faire reconnaitre vos amis dans des photos pour valider les formulaires. C’est malin et seul facebook peut faire cela car c’est eux qui savent qui sont amis.
Le seul hic que je vois à cela c’est que si vous utilisez facebook de manière professionnelle vous pouvez ne pas être amené à connaitre « physiquement » vos « amis » puisque pour certains vous ne les connaissez que via leur avatar… On verra donc sur le long terme si cette Social Authentication est pertinente ou non, mais sur le principe c’est une bonne idée.
Voici un sujet que j’ai déjà traité sur ce blog mais une petite piqûre de rappel ne fait jamais de mal et c’est l’éditeur Zone Alarm qui nous propose aujourd’hui une belle infographie qui vaut tous les discours du monde. En effet, le choix d’un mot de passe est extrêmement important et prendre un prénom ou un mot commun est une belle erreur car les hackers ont les techniques pour trouver ses mots simples.
L’infographie suivante représente les résultats d’une étude US sur les mots de passe, le top 20 se passe de commentaire… Ensuite vous trouverez quelques conseils pertinents sur le choix d’un mot de passe efficace. Pour résumer essayez de mixer des lettres en minuscules et majuscules, des chiffres et des caractères de ponctuation.
L’actualité aidant, des pirates ayant mis la main sur des mots de passe hotmail et gmail apparemment, Google a donc du se fendre d’un petit post sur son blog afin de rappeler quelques règles essentielles pour choisir un mot de passe. Voici rapidement les enseignements de cet article :
-Afin de ne pas tenter le diable, n’utilisez pas le même mot de passe sur tout les sites notamment sur les sites importants comme ceux liés à votre email, nom de domaine ou banque… Il est vrai que certains sites ne sont pas importants et dans ce cas un password identique peut faire l’affaire. En revanche pour les autres sites pensez bien à personnaliser le mot de passe en utilisant par exemple les premières lettres d’une phrase. Google site l’exemple « combien ais je d’argent » pour la banque, dont le mot de passe deviendrait « cajda » si l’on ne prenait que les premières lettres mais il faut y ajouter des caractères spéciaux et des majuscules pour le renforcer : « cA#d? » et là tout de suite cela devient plus difficile de le trouver et de le retenir par la même occasion!
-Il y a quelques années j’avais lu une étude sur les mots de passe et j’avais été étonné du nombre de personnes qui utilise « password » ou « azerty », certes c’est facile et pratique mais bon tout le monde utilise ces mots de passe, alors la protection est plutôt basique dans ce cas… Google recommande d’utiliser des majuscules, des minuscules, des chiffres et des caractères accentués comme ?!#&. Le fait d’utiliser ces options permet de complexifier fortement le mot de passe donc utilisez les.
-Autre cas très classique l’utilisation de données personnelles pour le password comme le prénom de ses enfants ou encore celui de son chien, numéro de rue, téléphone… Le principe c’est que tous vos amis connaissent votre femme, vos enfants ou encore votre chien, donc c’est facilement retrouvable pour ceux qui vous connaissent un peu et ceux qui auraient accès à des données sur vous (profil facebook notamment où il y a toute votre vie). La solution de Google est radicale, il ne faut pas utiliser ce genre de mots de passe trop facile à trouver et se retourner sur des combinaisons comme l’exemple proposé par Google : sPo0kyh@ll0w3En.
-Beaucoup de personnes écrivent leurs mots de passe sur des bouts de papier, dans des emails, dans des fichiers word… Certes cela peut être une solution pour s’en souvenir mais il faut absolument faire en sorte que personne ne puisse consulter ces documents, le choix du nom de fichier est important, n’utilisez pas mot de passe ou password par exemple…
-Et si vous avez perdu votre mot de passe cela n’est pas trop grave car beaucoup de sites proposent le reset de ce dernier par email. Un clic et vous aurez un nouveau mot de passe. Vérifiez bien que l’adresse email de vos comptes est la bonne, car sinon c’est fichu pour retrouver votre compte. Si certains sites vous proposent une question pour retrouver le mot de passe, essayez de faire compliqué dans la réponse ou de trouver une question que vous seul savez répondre (et surtout pas « quel est le prénom de ma femme? »).
Sinon un truc qui fonctionne bien et qui était utilisé par l’un des fondateurs de Twitter (qui s’était fait pirater sa messagerie aussi), c’est d’utiliser des mots associés au site genre : gmail : gm, facebook : fb pour renforcer le mot de passe et le rendre unique, ainsi le mot de passe gmail devient : motdepasse –> gmmotdepasse. Et pour trouver le mot de passe pensez à une phrase comme « ma première fille jeanne a sept ans » ce qui donnerait « mpfjasa ». Et en complexifiant un peu cela donnerait : « MpfJa7A », et en y ajoutant des caractères accentués (qui ressemblent aux lettres : @ pour a, $ pour S…) cela donnerait : « MpfJ@7A. », ce qui est un mot de passe fort.
Par ailleurs pour éviter de se faire piquer son identité le cliquer pas sur les messages dont les expéditeurs vous sont inconnus ou dont le contenu vous semble louche… Cela limitera le risque de phishing.
Quelques outils tout de même pour vos mots de passe :
-Pour ceux qui veulent tester leurs mots de passe vous pouvez aller voir cet article.
-Pour générer automatiquement des mots de passe bien costaux vous pouvez utiliser l’outil de pc tools.
Après la lecture de cet article de Google on a presque envie de rigoler, tout cela est bien évident mais dans la pratique c’est plus complexe… Essayer d’expliquer à votre grand mère qu’il ne faut pas utiliser le nom de minou mais sPo0kyh@ll0w3En à la place, facile non? Ou bien il faut changer le nom du minou pour le rendre fort d’un point de vu sécurité!
Depuis hier c’est un peu l’effervescence dans la communauté WordPress car un ver (worm) sévit et dixit les spécialistes il est plus intelligent que les autres car il simule l’enregistrement d’un nouvel utilisateur, utilise une faille de sécurité connue, puis se cache avec l’aide d’un javascript et enfin intègre du spam et du code malicieux au sein de vos articles.
Donc il faut mettre à jour votre blog avec la dernière version de WordPress en date, la version 2.8.4 qui est immunisée contre ce virus. Pour faire la mise à jour vous pouvez utiliser la mise à jour automatique fournie avec WordPress ou bien télécharger la dernière version (ici pour la version française) en date et l’installer sur votre serveur (ce ver n’étant présent que pour les blogs qui ont installé wordpress sur un serveur).
Update : Pour savoir si votre blog est contaminé, lisez l’article d’Amaury Balmer qui décrit une méthode pour identifier la présence ou non du ver
