Loppsi 2.0

Le
Yannix
Salut,

le 24 novembre 2010 :
http://www.numerama.com/magazine/17443-la-dcri-espionnerait-deja-des-ordinateurs-a-distance.html

Selon le Canard Enchaîné les services de renseignements intérieurs
pratiqueraient déjà des captations de données informatique à distance
dans le cadre d'enquêtes administratives. Sans attendre le projet de loi
LOPPSI qui doit autoriser cette pratique exclusivement sous le contrôle
du juge d'instruction.

L'article 23 du projet de loi Loppsi, dont l'examen en seconde lecture a
été repoussé à la mi-décembre, prévoit que la police judiciaire peut
"mettre en place un dispositif technique ayant pour objet, sans le
consentement des intéressés, d’accéder, en tous lieux, à des données
informatiques, de les enregistrer, les conserver et les transmettre,
telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système
de traitement automatisé de données ou telles qu’il les y introduit par
saisie de caractères".

Il précise qu'il est possible de procéder à "la transmission par un
réseau de communications électroniques de ce dispositif", le tout étant
strictement encadré sous le contrôle du juge d'instruction, qui est le
seul habilité à autoriser ces opérations, pour une durée définie, et
avec un certain nombre de conditions très détaillées.

Or le Canard Enchaîné accuse ce mercredi la Direction Centrale du
Renseignement Intérieur (DCRI) de procéder déjà à un espionnage
d'ordinateurs privés à distance. Dans une dépêche, l'AFP indique que la
DCRI a renvoyé ses questions vers la direction générale de la police
nationale (DGPN), laquelle n'a pas répondu.

Ainsi les services de police n'auraient pas attendu la loi pour
installer les mouchards, et le feraient sans aucun encadrement
juridictionnel. L'agence cite le Canard Enchaîné, qui indique selon un
hacker de la DCRI que ces opérations seraient réalisées "en off,
directement avec un opérateur [à qui] on demande l'adresse informatique
de l'ordinateur à ausculter".

De quoi ajouter de l'eau à notre moulin, lorsque nous demandions
pourquoi les opérateurs télécoms sont épargnés par la polémique dans
l'affaire des factures détaillées de journalistes, obtenues hors de tout
cadre légal.



fcs et copie fsc, puis suivi fcs.

X.
Vos réponses Page 8 / 13
Trier par : date / pertinence
Stephane Catteau
Le #22978781
Yannix devait dire quelque chose comme ceci :

Bingo ! Comment notre Catteau va pouvoir contrôler ce qui passe par un
flux https entre un client et un serveur avec son gros firewall de la
mort qui tue entre les deux ? Suspense ! :-)



Allez je vais être sympa, l'ACL du pauvre pour les connexions
HTTP/HTTPS sur un LAN lorsque l'on est trop feignasse pour mettre un
filtre IP sur chaque machine pour faire du vrai ACL :

1) Avoir une machine tierce sur laquelle tu places un proxy HTTP(S) ;
2) Configurer les postes clients pour qu'ils utilisent le proxy.
Attention à éviter les logiciels se basant uniquement sur la
configuration du système (donc sous Windows, pas d'IE mais pas non plus
de Safari) ;
3) Configurer le filtre IP en sortie du réseau pour qu'il ne laisse
passer que les flux HTTP/HTTPS en provenance du proxy.

A noter que c'est valable pour la plus part des flux, pas uniquement
ceux liés au web.
Accessoirement ce n'est pas parce qu'un flux est en HTTPS qu'il n'est
pas analysable, mais j'ai peur qu'en dire plus ne fasse monter ta
paranoïa à un niveau jamais atteint à ce jour.
siger
Le #22979411
Yannix a écrit :

Le 01/01/2011 16:52, Essomba a écrit :

ben non, y a rien à admettre. Quand tu te sers de ta box comme
d'un modem elle n'a pas d'adresse IP propre. L'adresse IP est
donc celle de l'équipement derrière.



Désolé, je ne suis pas expert en bidouillage de freebox ... ;-)



Par exemple l'adresse qui sort de chez moi (visible sur certains sites
web) est celle de mon ordinateur en XP (visible avec ipconfig). Avec
une FreeBox v4 pas bidouillée.


--
siger
Stephane CARPENTIER
Le #22980231
Yannix wrote:


Skipe n'est pas un virus,



Disons que ça y ressemble fortement.

c'est un logiciel comme un autre.



Non. C'est le seul logiciel (non malware j'entends) qui fasse des choses
dans le dos de l'utilisateur sans que l'utilisateur sache ce qu'il se passe.
Cette partie cachée est peut-être tout à fait honnête, mais les apparences
font penser l'inverse.

De ta part, c'est marrant quand même. Tu as une peut affreuse de ce que peut
faire le gouvernement français dans ton dos, mais tu as une confiance
absolue en un logiciel américain qui est peut-être contrôlé par la CIA.
xavier
Le #22980481
Stephane CARPENTIER
> Skipe n'est pas un virus,

Disons que ça y ressemble fortement.

> c'est un logiciel comme un autre.

Non. C'est le seul logiciel (non malware j'entends) qui fasse des choses
dans le dos de l'utilisateur sans que l'utilisateur sache ce qu'il se passe.
Cette partie cachée est peut-être tout à fait honnête, mais les apparences
font penser l'inverse.



D'ailleurs, et sauf erreur de ma part, son usage reste toujours interdit
sur les réseaux gouvernementaux (RENATER, RENAVA, etc.)

Je crois même, mais je ne suis pas au boulot pour vérifier, qu'il fait
partie des sondes activées par défaut, au même titre que les autres
activités p2p -ce qu'il est- sur les Netasq.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Tonton Th
Le #22983881
On 01/01/2011 05:16 PM, Yannix wrote:
Le 01/01/2011 17:02, Essomba a écrit :
On 01/01/2011 16:58, Yannix wrote:
Le 01/01/2011 16:50, Essomba a écrit :
On 01/01/2011 16:45, Yannix wrote:


Formidable ! Le seul problème dans tous tes VPN c'est qu'il n'y a
pas un
miligramme d'IPsec dedans.



et ? Seul IPSEC permet une communication chiffrée



Oui.



ah heureux de l'apprendre. Tu pourrais m'en dire plus ? Quand je fais du
ssh, j'utilise IPSEC ou je ne chiffre pas ? J'ai un doute là.



Je parle entre routeurs de façon à faire du "VPN sur IP", ce qui la
plupart du temps se résume à IPSEC et non à PPTP
(hahahahihihihohoho..MDR) comme sur ton routeur à deux centimes.



D'un autre coté, faire du PPTP à donf, ça peut
rendre ridicule la loppsssiii et ses "filtres".

--
Ma coiffeuse est formidable - http://sonia.buvette.org/
Tonton Th
Le #22983871
On 01/01/2011 05:42 PM, Yannix wrote:


Donc couche 7 selon le modèle OSI !



Dans la vrai vie, le modèle OSI, on s'en tape,
parce qu'il existe des bricolages qui marchent.


--
Ma coiffeuse est formidable - http://sonia.buvette.org/
Yannix
Le #22988041
Le 02/01/2011 14:58, Stephane CARPENTIER a écrit :
Yannix wrote:


Skipe n'est pas un virus,





[snip]

De ta part, c'est marrant quand même. Tu as une peut affreuse de ce que peut
faire le gouvernement français dans ton dos, mais tu as une confiance
absolue en un logiciel américain qui est peut-être contrôlé par la CIA.



Et pour ceux et celles qui utilisent des passerelles IPSEC à base de
code OpenBSD avec des backdoors made in FBI ?
http://www.presence-pc.com/actualite/OpenBSD-41743/#xtor=RSS-11

C'est du FUD faisandé ?

X.
Yannix
Le #22988111
Le 03/01/2011 21:19, Tonton Th a écrit :
On 01/01/2011 05:42 PM, Yannix wrote:


Donc couche 7 selon le modèle OSI !



Dans la vrai vie, le modèle OSI, on s'en tape,
parce qu'il existe des bricolages qui marchent.



C'est même la règle avec les marchands de soupe qui veulent absolument
traverser ton firewall pour se faire de gros $. Évidemment, à plus long
termes, il a généralement des inconvénients qui remontent à la surface.

X.
Yannix
Le #22988101
Le 01/01/2011 21:53, Stephane Catteau a écrit :
Yannix devait dire quelque chose comme ceci :

Bingo ! Comment notre Catteau va pouvoir contrôler ce qui passe par un
flux https entre un client et un serveur avec son gros firewall de la
mort qui tue entre les deux ? Suspense ! :-)



Allez je vais être sympa, l'ACL du pauvre pour les connexions
HTTP/HTTPS sur un LAN lorsque l'on est trop feignasse pour mettre un
filtre IP sur chaque machine pour faire du vrai ACL :

1) Avoir une machine tierce sur laquelle tu places un proxy HTTP(S) ;
2) Configurer les postes clients pour qu'ils utilisent le proxy.
Attention à éviter les logiciels se basant uniquement sur la
configuration du système (donc sous Windows, pas d'IE mais pas non plus
de Safari) ;
3) Configurer le filtre IP en sortie du réseau pour qu'il ne laisse
passer que les flux HTTP/HTTPS en provenance du proxy.



Crois tu que madame Michu va mettre en place tout ceci pour se protéger ?

A noter que c'est valable pour la plus part des flux, pas uniquement
ceux liés au web.



Par exemple quels flux ?

Accessoirement ce n'est pas parce qu'un flux est en HTTPS qu'il n'est
pas analysable,



En dehors d'intercaler entre le serveur et le client un proxy https qui
inclue et renvoie aux clients les certificats des sites https concernés,
ça me parrait difficile.

mais j'ai peur qu'en dire plus ne fasse monter ta
paranoïa à un niveau jamais atteint à ce jour.



? Ce serait difficile mon brave Catteau :-)

X.
Stephane Catteau
Le #22988831
Yannix n'était pas loin de dire :

Bingo ! Comment notre Catteau va pouvoir contrôler ce qui passe par un
flux https entre un client et un serveur avec son gros firewall de la
mort qui tue entre les deux ? Suspense ! :-)







[Snip l'ACL de l'admin feignasse]

Crois tu que madame Michu va mettre en place tout ceci pour se protéger ?



Crois-tu vraiment qu'il suffise de changer la question une fois la
réponse reçue pour faire oublier toutes les conneries que tu sors ?


A noter que c'est valable pour la plus part des flux, pas uniquement
ceux liés au web.



Par exemple quels flux ?



NNTP, SMTP, POP3, SSH même si tu veux. Il suffit d'avoir un (pseudo)
proxy entre les deux et dans l'absolue n'importe quel protocole peut
être passé à la moulinette d'un proxy filtrant, suffit juste d'écrire
le proxy s'il n'existe pas encore.


Accessoirement ce n'est pas parce qu'un flux est en HTTPS qu'il n'est
pas analysable,



En dehors d'intercaler entre le serveur et le client un proxy https qui
inclue et renvoie aux clients les certificats des sites https concernés,
ça me parrait difficile.



En dehors de cela oui, sauf que pour faire cela il suffit d'une
machine en bridge quelque part sur la ligne.


mais j'ai peur qu'en dire plus ne fasse monter ta
paranoïa à un niveau jamais atteint à ce jour.



? Ce serait difficile mon brave Catteau :-)



Si tu le dis.
Publicité
Poster une réponse
Anonyme