Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.
C’est alors la barrière de la prise en main qui fait peur, et pourtant...
Les logiciels libres
L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.
Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.
Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.
Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.
- Octobre 2023 -
Le 5 octobre, le réseau de médias European Investigative Collaborations a publié les Predator Files (en), documentant la commercialisation d'outil de piratage et de cybersurveillance à destination d'états ou d'autorités pas toujours démocratiques, par l'Alliance Intellexa, animée notamment par l'entreprise française Nexa, le nouveau nom d'Amesys, mise en examen pour complicité de torture suite à la vente de logiciels espions au gouvernement de Mouammar Kadhafi il y a plus de 10 ans maintenant.
Dans le premier document d'analyse (en), le security lab d'Amnesty International présente plusieurs produits vendus par l'alliance Intellexa : des spywares pour téléphones mobiles, des outils d'interception et infection WiFi, GSM ou réseau et des produits d'analyse et de corrélation du trafic à l'échelle d'un pays pour identifier les membres de groupes utilisant des messageries pourtant chiffrées de bout-en-bout (WhatsApp, Signal…).
J'attire votre attention sur le programme Jupiter, qui propose de modifier le trafic chiffré entre une cible (téléphone mobile) et un site internet domestique (du pays dont l'autorité a acquis Jupiter) pour y injecter une attaque permettant de déployer le logiciel espion sur la cible.
La technique est la suivante :
- l'État place un boîtier Jupiter sur le réseau proche du site internet qui servira à l'infection, idéalement juste devant sa passerelle vers internet.
- Le boîtier demande et obtient un certificat TLS, par exemple via let's encrypt, en utilisant le challenge HTTP et en interceptant le trafic entre le serveur de vérification et le site (MitM entre le site et l'autorité de certification).
- Grâce à ce certificat, il peut se faire passer pour le site en question et déchiffrer le trafic entre les utilisateurs et ce site, et ainsi glisser sa charge malveillante.
En tant qu'utilisateur ciblé, il n'est pas possible de se défendre contre cette attaque. Mais en tant que "site internet", il y a 2 mesures à prendre :
-
Empêcher l'attaque : si vous utilisez une autorité de certification qui ne propose pas de délivrer un certificat sur simple requête HTTP, vous pouvez ajouter une information Certification Authority Authorization dans votre zone DNS de façon à interdire à tout autre autorité de certification de délivrer un certificat valide pour votre domaine.
-
Détecter l'attaque : tous les certificats émis étant journalisés dans les logs Certificate Transparency, vous pouvez comparer la liste des certificats émis pour vos domaines avec la liste des certificats que vous avez demandé. S'il y en a en plus, il y a un problème, et s'il est confirmé que ce certificat n'est pas légitime, vous devez demander sa révocation et expatrier votre serveur. À titre personnel, j'utilise certspotter de sslmate pour suivre les journaux Certificate Transparency. Il existe aussi crt.sh par Sectigo, et probablement d'autres.
Commentaires :
voir le flux Atom
ouvrir dans le navigateur
