Journal De la sécurité des informations personnelles sur Internet

Posté par .
Tags : aucun
13
23
juin
2009
C'est par ce titre qu'on pourrait désigner mon expérience de ce soir, ainsi que de la réflexion qui en suit.

22/06/09 – 22h00

J'allais de bon train sur ce site minitel qu'est Facebook. Une fois n'est pas coutume, je naviguais sur le web via mon téléphone mobile de chez Orange. Voulant modifier mon message de statut, je m'empressais d'aller saisir ce message dans le champ prévu à cet effet. En envoyant cela au serveur, je rencontrais un bug. Jusque là, tout est relativement normal me diriez-vous.

Cependant, vous n'imaginez pas ma surprise de ne pas retrouver mon message accolé à mon profil. C'est en observant la page qui m'était retournée que j'ai réalisé que j'étais connectée sous le compté d'une autre personne (appelons-la M.B) ! Si je le voulais, je pouvais m'approprier ce compte, étant donné que j'en avais le contrôle total. J'ai réessayé trois ou quatre fois de me reconnecter à mon compte pour changer mon pauvre statut, même sentence…
Réfléchissant quelques secondes, il m'est revenu à l'esprit que les opérateurs de téléphonie mobile utilisaient des serveurs mandataire (proxies) entre le terminal – ici un téléphone -, et le réseau Internet. Le fait que je me sois retrouvé sur le profil de M.B. hérite, du moins je l'espère, d'un bug de ce proxy. Le fait que j'ai eu accès au compte de M.B. relève donc du hasard le plus total, et j'aurais donc pu théoriquement avoir accès au compte de toute personne utilisant Facebook sur le réseau Orange !

Comment peut-on tolérer ce genre de choses ? Le fait d'imposer un proxy étant déjà une aberration en soi, le fait qu'il s'apparente à une passoire est terrifiant, et ne peut que m'inspirer la plus grande crainte envers les opérateurs qui désirent à tout prix contrôler ce qui transite par chez eux. Cette méfiance se transmet bien évidemment à tous les grands services minitel 2.0 qui ne proposent pas par défaut d'une simple connexion sécurisée HTTPS à leurs services, préférant sacrifier la sécurité devant les ressources serveur et la réactivité.

Si je n'ai pas navigué à travers le profil de M.B., qu'en aurait-il retourné si des personnes malveillantes s'étaient attelées à récupérer ses informations et à usurper son identité ? On ne le saura jamais, du moins je l'espère.
Sur ce, il me semble plutôt raisonnable d'arrêter de m'authentifier à de tels services via mon téléphone mobile…

PS : Ce que je trouve étrange, ce sont les liens “Retour à Orange World” et “+ Ajouter à ma communauté” présents en bas de page. À ma connaissance, aucun partenariat n'a été rendu public entre Orange et Facebook, ce qui laisse présager que les liens sont placés de manière automatique par Orange. De là à présumer qu'Orange ne sait pas ce qu'est une session d'authentification, il n'y a qu'un pas !

PS 2 : Tout cela a été effectué avec le navigateur web intégré au téléphone, à savoir OpenWave Mobile Browser, version 7.1.0.f.1.161. Après essai sous Opera Mini, tout fonctionne bien et les liens de bas de page d'Orange de sont pas visibles. Il me semble que c'est grâce (à cause ?) au proxy d'Opera qui court-circuite celui d'Orange.
  • # minitel 2.0 ?

    Posté par (page perso) . Évalué à 10.

    les grands services minitel 2.0 qui ne proposent pas par défaut d'une simple connexion sécurisée HTTPS à leurs services

    ah tiens, tu viens de découvrir la différence entre ton accès web "illimité" (pas plus de 500 Mo par mois hein ! sinon QoS limitant la bande passante) et un accès Internet... pas étonnant que Free soit vu d'un mauvais oeil, apportant la culture Internet au monde des TelCo (j'ai fais les deux, je connais un peu). Ce n'est effectivement pas le même métier, ni les mêmes possibilités (la différence entre un utilisateur et un client quelque part...).
    • [^] # Re: minitel 2.0 ?

      Posté par . Évalué à 3.

      J'ai même pas de forfait illimité, simplement un pauvre compte bloqué à 18 € par moi en EDGE, alors instaurer un quota de 500 Mo ou limiter mon débit, ça va pas me changer grand chose…

      Bien sûr, je vois plutôt d'un bon œil ce que Free veut faire à la téléphonie. En espérant qu'ils ne vont pas évoluer sur ce domaine comme il l'ont fait quand ils ont commencé a devenir un “gros” avec Internet.
      • [^] # Re: minitel 2.0 ?

        Posté par . Évalué à -5.

        Je vois pas trop en quoi facebook c'est du minitel.
        Les "applications" comme ils les appellent ne sont qu'en fait que des fonctionnalités du site.
        Et les données (des photos dans la majorité des cas) stockées chez, ne le sont qu'a fin de partage et en aucun cas comme moyen d'archivage. Facebook n'est pas si différent des forums en fait.

        Google Docs c'est du minitel, on est bien d'accord. Mais Facebook ...
        • [^] # Re: minitel 2.0 ?

          Posté par (page perso) . Évalué à 3.

          C'est tout le contexte qui fait que le web devient du Minitel 2.0, Facebook en fait partie.

          Les gens sont de plus en plus nombreux à avoir une adresse mail chez Hotmail ou Gmail, leur blog chez blogspot, leur réseau social chez Facebook avec toutes leurs photos personnelles ainsi que les photos d'autres personnes sans pour autant que les tierces personnes n'aient donné leur accord, le moteur de recherche est google par défaut sur bien des machines, etc.

          Le Minitel 2.0 c'est une tendance actuelle à concentrer ses données personnelles chez quelques grands fournisseurs de service et à ne potentiellement pas pouvoir contrôller ce que ces sociétés font de nos données personnelles.
          • [^] # Re: minitel 2.0 ?

            Posté par . Évalué à 1.

            A la décharge de Facebook, il faut quand même signaler que l'architecture du site n'est pas totalement centralisée puisque les applications qu'on trouve dessus sont indépendantes et sont hébergées par d'autres prestataires.

            Ceci dit en effet, ça ne change pas grand chose aux problématiques "Minitel 2.0", juste que les données sont sur une poignée de serveurs et pas un seul et unique. Ca pose d'ailleurs un autre problème, c'est que chacun fera ce qu'il veut de ses données, y compris des choses pas nettes. S'il faut lire 100 CLUFs pour Facebook, ça fait beaucoup...
          • [^] # Re: minitel 2.0 ?

            Posté par . Évalué à 2.

            Ah bon Gmail n'est pas compatible IMAP ?
            Tu ne peux pas non plus exporter tes bookmarks de del.icio.us, ni les synchroniser avec ton FF ?
            Facebook , je connais pas.
            C'est comme tout, tu as du bon et du mauvais dans le web2.0.
            Le problème est de trier le bon grain de l'ivraie.
          • [^] # Re: minitel 2.0 ?

            Posté par . Évalué à 4.

            Le problème c'est quelle alternative proposer? Décentraliser c'est bien, en tant que technophile j'aime bien avoir mon serveur dans le placard hébergeant mes services et faire un pied de nez aux amis bloqués quand google à des problèmes, mais que proposer au grand public? Le minitel 2.0 est une solution de facilité à défaut d'alternative viable. Le problème c'est qu'on s'oriente de plus en plus vers ce mode de consommation du web ce qui engendrera beaucoup de difficultés à faire changer les habitudes si une alternative "distribuée" nait un jour.
            • [^] # Re: minitel 2.0 ?

              Posté par . Évalué à 5.

              Et j'ajoute que décentraliser c'est bien (mon rêve, mon serveur perso... p..ain de connexion chinoise avec ip dynamique DE RÉSEAU LOCAL sur le cable!).
              Par contre, au moment où c'est TON serveur perso qui tombe, c'est tes amis qui t'expliquent que l'uptime de Google il est pas si mauvais, et blablabla.
              • [^] # Re: minitel 2.0 ?

                Posté par . Évalué à 3.

                Pourquoi ça serait à ton serveur de tomber ? Il a beaucoup moins
                de chance de tomber que ta connexion internet ...

                C'est bien cela qui limite le plus le serveur@home ...
  • # À ta place...

    Posté par . Évalué à 7.

    Je ferais bien attention avant de modifier mon statut et donner des infos sur ma disponibilité sur un réseau social: http://www.schneier.com/blog/archives/2009/06/did_a_public_t(...)

    Rapide résumé en français: un utilisateur de Twitter s'est fait cambrioler pendant ses vacances. Il aurait balancé des infos par le biais de son compte Twitter sur ses vacances pour en faire un journal de bord, ce qui aurait donné un bon indice sur l'auteur du délit sur la localisation de sa future victime.

    Ça n'a pas grand-chose à voir avec ton journal, mais cela constitue un petit avertissement supplémentaire sur les réseaux sociaux (et de toute façon, Bruce "Chuck Norris" Schneier, ça ne se refuse pas).
    • [^] # Re: À ta place...

      Posté par (page perso) . Évalué à 4.

      A sa place j'abandonnerai ce truc de toutes façons au plus vite
      même s'il ne lâche personne puisque les images sont conservées (quid du reste des infos personnelles ?)
      Encore une faille chez FB
      http://www.pcinpact.com/actu/news/51556-facebook-profil-priv(...)
      en plus du problème de proxy orange ça le fait..
    • [^] # Re: À ta place...

      Posté par . Évalué à 10.

      La fuite d'information n'est pas liée aux réseaux sociaux. Il y a quelques temps, alors que je testais un programme commercial pour installer des programmes en simultané sur plusieurs machines, j'ai eu le plaisir de trouver un numéro de série qui m'a permis de le passer en version complète. Le code valide, pas pour un poste ou deux mais pour le nombre max. de poste, était dans une capture d'écran du fichier d'aide, dans la rubrique... comment enregistrer le programme.

      Bref, les réseaux sociaux n'ont pas inventé la fuite d'information, il y aura toujours des personnes pour en raconter plus que nécessaire. Les réseaux sociaux, c'est seulement plus d'yeux qui peuvent voir le panneau « parti en vacances, je reviens dans deux semaines » posé sur la porte d'entrée.

      PS : Je n'ai en fin de compte pas utilisé le programme. J'ai tout de même télécharger la version suivante et le code avait disparu de l'aide. :)

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

      • [^] # Re: À ta place...

        Posté par (page perso) . Évalué à 7.

        Ah j'en ai une pas mal du tout dans ce style.
        J'ai demandé aux admins de ma boite, dans le cadre de mon boulot, une extraction des noms des users enregistrés dans une base de données.

        Je m'attendais à recevoir un fichier Excel contenant les noms et prénoms mais le mec qui a fait l'extraction ne s'est pas cassé la tête et j'ai récupéré une extraction totale...avec les passwords en clair de tous les users !!!

        Super la sécurité....
        • [^] # Re: À ta place...

          Posté par (page perso) . Évalué à 8.

          Super la sécurité de l'application aussi, avec des mots de passe en clair au lieu de md5/sha1/autre
          • [^] # Re: À ta place...

            Posté par . Évalué à 2.

            Suivant les méthodes d'authentification utilisées, ça peut être nécessaire de garder les mots de passe en clair.
            • [^] # Re: À ta place...

              Posté par . Évalué à 3.

              Peux-tu donner un exemple pertinent dans lequel c'est nécessaire ?

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

              • [^] # Re: À ta place...

                Posté par (page perso) . Évalué à 6.

                HTTP Digest. Utilisé par le protocole SIP, qui interdit HTTP Basic.
                • [^] # Re: À ta place...

                  Posté par (page perso) . Évalué à 2.

                  Et, d'une façon générale, par tous les systèmes d'identification par défi-réponse.
                  • [^] # Re: À ta place...

                    Posté par . Évalué à 4.

                    Tu peux toujours baser le défi-réponse sur un "hash" du mdp + d'un salt au lieu de le baser sur le mdp - certes ça n'empêche pas à quelqu'un obtenant le hash de s'en reservir pour se connecter au même service, mais ça empêche déjà la récup du mdp d'origine, ce qui est appréciable du point de vue d'un utilisateur qui emploierait souvent le même mdp pour plusieurs services.
                    • [^] # Re: À ta place...

                      Posté par . Évalué à 1.

                      Si tu conçois toi-même le système défi-réponse, en effet, c'est possible d'utiliser un hash du mot de passe (avec le problème que tu soulignes, la connaissance du hash seul suffit pour avoir accès au service)

                      Mais suivant les cas, il n'y a pas forcément le choix. Pour du HTTP Digest par exemple, il faut des mots de passe stockés en clair sur le serveur.
                      • [^] # Re: À ta place...

                        Posté par (page perso) . Évalué à 3.

                        Pour du HTTP Digest par exemple, il faut des mots de passe stockés en clair sur le serveur.
                        Réponse courte: non

                        Le serveur apache stocke les mots de passe hachés. Lorsqu'il recoit le mot de passe (en clair) du client, il le hache, et il vérifie que les deux concordent.

                        Ca ne renforce pas le protocole, mais ça renforce efficacement une partie de la sécurité.
              • [^] # Re: À ta place...

                Posté par (page perso) . Évalué à 2.

                Toute méthode d'authentification impliquant un challenge-response sans possibilité de rejeu ?

                pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

                • [^] # Re: À ta place...

                  Posté par . Évalué à 2.

                  ça peut se baser sur le hash d'un mot de passe, non ? (évidement, il faut calculer le hash du côté du client, tu va me dire qu'on peut se connecter au service si on a récupéré le hash. Mais uniquement à ce service (ou à un autre service utilisant le même hash), et pas à un autre type de service où le mot de passe serait le même)

                  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: À ta place...

            Posté par . Évalué à 3.

            les mots de passe en clair au lieu de md5/sha1/autre

            Certes des mots de passe haché en sha1 ou md5, c'est mieux qu'en clair (enfin en général on va dire), mais ça n'en reste pas moins affreusement faible comme sécu.
  • # Internet va s'écrouller

    Posté par (page perso) . Évalué à 3.

    on vous avait prévenu
  • # En même temps, facebook, hein…

    Posté par (page perso) . Évalué à 10.

    Je n'ai plus de compte facebook depuis la fin de l'année passée. Du moins, je le croyais.

    Un soir, j'ai eu la surprise de découvrir que mon compte gmail était spammé de mail « oubli de mot de passe » facebook pour un compte à mon nom. Et d'autres mails qui ne me concernait visiblement pas.

    Il s'avère que gmail utilise un mécanisme de détection d'erreur. Si jean.dupont@gmail existe, jean_dupont@gmail sera redirigé vers le premier.

    Dans mon cas, il s'agissait d'un homonyme qui avait ouvert un compte gmail de type jean_dupont et un compte facebook lié à cette adresse. Visiblement, il n'utilisait pas le compte gmail sauf le jour où il a perdu son mot de passe. En une seconde, je me suis retrouvé détenteur de son adresse email et de son compte facebook. Pire, gmail m'a également donné accès à sa mailbox complète avec historique.

    J'ai alors posté dans son status Facebook un truc genre : « ce compte est par erreur en possession de (mon adresse mail). Dites à votre ami de m'envoyer un mail pour que je lui rende ou de me téléphoner au (mon numéro). »

    Ses copains ont tous commenté des trucs genre « t'es mytho mon pauvre vieux » et «t'as fumé quoi ».
    • [^] # Re: En même temps, facebook, hein…

      Posté par . Évalué à 10.

      Le double effet Minitel 2.0 :(
      Facebook + GMail, miam…

      D'ailleurs, très étrange la réaction des gens.
      • [^] # Re: En même temps, facebook, hein…

        Posté par . Évalué à 10.

        Je pense que la réactions des gens est du genre mouton qui suit les signes de l'autorités (c'est fessebouk koi , c est gmaL koi , c'est impossible qu'il y a est des problèmes !! ) c'est un peu la meme logique qu'avec Microsoft (c'est cher donc c'est bon , et en plus c'est Microsoft , une grosse boite qui fait plein de $$$ donc c'est une garantie )
    • [^] # Re: En même temps, facebook, hein…

      Posté par . Évalué à 5.

      Il y a une autre redirection que le '.' (tous les '.' sont supprimés pour déterminer le destinataire) et le '+' (les charactères suivant le '+' sont éliminés) ? (qui sont assez standards sur les configs mails d'ailleurs)
  • # tiens cela me fait penser

    Posté par . Évalué à 4.

    que vers 2002 je decidé brutalement que mon nom et prenom disparaisse d'internet, et que plus aucune information ne soit disponible avec une simple recherche google.

    et bien il a fallu pas loin de 5 ans pour ne plus avoir aucune trace, des mailling liste au canada et tous pleins de traces laissé a l'epoque ou internet etait encore un pays de geek :). Pas de bol c'est reapparu recement, grace/a cause de copaindavant qui a un partenariat avec linternaute /o\, sans compter les partenariats avec les administration et des sites privées.

    Comme l'education nationale et les service de presse. Je ne me suis pas presenté a un examen pour des cause familliales, mais l'information est donné sous la forme :

    X Y admis
    Mon nom Mon Prenom Non presenté
    X Y admis

    et sur le site concerné il n'y a aucun moyen de contact facile. Je doit me taper un whois etc ... juste pour faire supprimer cette information.
    • [^] # Re: tiens cela me fait penser

      Posté par . Évalué à 1.

      Et si ce n'est pas indiscret, comment t'y es tu pris pour faire supprimer tes noms et prénoms ?
      J'aimerais bien en faire autant ...
      • [^] # Re: tiens cela me fait penser

        Posté par . Évalué à 6.

        J'ai pu moi aussi bénéficier d'un _nettoyage_ en règle de mes informations confidentielles sur internet.

        Mais je n'y suis pour rien. C'est juste un homonyme, qui devient vachement plus célèbre que moi. Dans un domaine qui n'est absolument pas le mien.

        Donc lorsque les gens tapent mon nom et prénom sur internet, ils tombent sur ce type. Il est évident que ce n'est pas moi (trop grande différence d'âge, autre domaine d'activité) et les curieux s'arrêtent là. Ca m'a même été confirmé par un recruteur pour un boulot qui m'a dit avoir cherché des infos sur moi sur google sans en trouver.

        Au début, j'étais en colère: 'quoi, google ne me référence, plus, moi!'; puis plus le temps passe, plus je suis content de cette discrétion.

        Hélas tout le monde n'a pas la chance d'avoir un homonyme célèbre dans un domaine 'neutre'. Le pire aurait pu arriver avec un homonyme genre contestataire, ou politique, ou condamné à un procès retentissant, etc...
      • [^] # Commentaire supprimé

        Posté par . Évalué à 4.

        Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # Re: tiens cela me fait penser

        Posté par . Évalué à 2.

        comme ci dessous je regarde ce que google me sort de temps en temps, pour les mailling liste dans le monde, j'envoie une demande de suppression, qui n'est pas prise en compte :)

        mais a force d'insister, l'admin efface mes messages nominatif, ensuite il faut que google perde la memoire. donc pour les resultats de mon nom et prenom je ne clique surtout pas sur le lien ! sinon hop le lien remonte ou ne se perd pas.

        puis sur mes site perso, j'ai enlevé toutes references a mon nom et mis un robots.txt trés restrictif.

        pour resumé le plus long c'est quand meme google qui pose probleme et sa grande memoire. c'est seulement au bout de 5 ans que j'ai vraiment disparu :) d'internet.
        • [^] # Re: tiens cela me fait penser

          Posté par . Évalué à 1.

          sa grande mémoire

          Tu as le sens de la litote :-)

          On s'en doutait un peu, mais on est en train de dire que Google possède une copie de tout ce qui est visible sur Internet avec un historique de 5 ans !
          Même en considérant tous les raccourcis techniques possibles, ça reste vertigineux.
        • [^] # Re: tiens cela me fait penser

          Posté par (page perso) . Évalué à 1.

          je croyais qu'ils avaient l'obligation (par UE il me semble) de réduire à 2 ans. j'ai le même soucis que toi : le cache. j'ai découvert plein de traces sur le net, j'ai pu en supprimer bcp, mais parfois je n'ai pas de réponse de webmasters/administrateurs et même quant tout est fait dans les règles, je constate que le cache de google contient encore les traces. du coup, ce genre de suppression de son identité électronique, c'est 2ans mini pour en voir les effets...(ou 5)

          le plus pénible, ce sont les forums. c'est con à dire, mais un paquet de gestionnaires de forums ultra utilisés (type phpBB) ne proposent aucun formulaire de destruction de compte et des messages associés. rien. nada. et quand l'admin ne répond pas aux demandes, on fait comment ? écrire un courrrier à la cnil ? mais en mentionnalt le site web ? et si on a pas l'identité du responsable (99% des cas) ? et si le whois est bidon (99% des cas) comment on identifie le responsable pour l'obliger pa la loi ?

          T'as le bonjour de JavaScript !

    • [^] # Re: tiens cela me fait penser

      Posté par . Évalué à 2.

      J'effectue aussi de temps en temps une recherche Google de mon nom et prénom pour connaitre les informations auxquelles un éventuel employeur peut avoir accès et la, suite à ton commentaire, je viens de faire un petit tour sur Google, je tape mon prénom et nom et je tombe sur le site 123people.fr, et sa variante anglaise 123people.co.uk, qui regroupent sur une page toutes les informations liées à mes nom et prénom en provenance des sites sociaux. Cela devient de plus en plus simple de faire de la collecte d'information et du recoupement. Les conditions d'utilisation de ce site sont vraiment dérangeantes (pour ne pas dire "à vomir"). Le pire c'est la pub présente sur ce site pour Spokeo un site qui se targue de "Uncover personal, photos, videos and secrets..." avec une section spéciale HR pour les recruteurs.
      Cela fait quand même bien prendre conscience que plus rien n'est privé et que si l'on veut utiliser les réseaux sociaux (cela peut être utile dans certains cas) il faut bien être vigilant sur les informations que l'on y communique.
      • [^] # Re: tiens cela me fait penser

        Posté par (page perso) . Évalué à 4.

        Moi j'ai été sidéré de voir que mon nom et mon prénom, bien franchouillards, étaient les mêmes que ceux d'un personnage du jeu Beneath A Steel Sky sortie sur amiga en 1994.
        • [^] # Re: tiens cela me fait penser

          Posté par (page perso) . Évalué à 4.

          ça c'est la toute grande classe ! Je suis jaloux. Tu sais que le jeu a été libéré et qu'il est jouable sous scummvm ? Un simple apt-get install beneath-a-steel-sky et roule poupoule :-)

          BE VIGILANT !
      • [^] # Re: tiens cela me fait penser

        Posté par . Évalué à 2.

        D'ailleurs 123people ne se gêne pas pour reprendre nos photos laissées ici et là et il est impossible de leur demander de supprimer nos données de leur site.
        • [^] # Re: tiens cela me fait penser

          Posté par (page perso) . Évalué à 1.

          Par contre je pense qu'ils peuvent être poursuivit pour violation des droits d'auteurs s'ils utilisent des photos sans l'accord des auteurs.

          Le souci étant d'avoir les moyens de mettre en oeuvre les droits que la législation nous accorde. La justice c'est loin d'être gratuit, surtout face à des grosses boites.
      • [^] # Re: tiens cela me fait penser

        Posté par (page perso) . Évalué à 2.

        Cela fait quand même bien prendre conscience que plus rien n'est privé

        hmmmm, oui, Internet est public, effectivement.
        Je veux bien des éléments pour compléter
        http://faq.tuxfamily.org/CommunicationLibreInternet/Fr#Votre(...)

        tellement cela me semble "gros" de ne pas s'en rendre compte :/
        Comme je dis souvent, "ça va sans dire, ça va mieux en le disant" visiblement ;-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.