Les voitures Street View ont enregistré des mails, Réactions à la news du 18/06/2010

[Lionel]

Il y a quelques semaines Google a avoué avoir "par erreur" collecté à l'aide de ses véhicules Street View des données provenant des points d'accès Wi-Fi ouverts. Selon Google, ces enregistrements ne contenaient pas d'informations personnelles. La CNIL a tenu à s'en assurer et a enjoint Google de lui communiquer ces enregistrements comme la loi leur en donne le pouvoir. Après s'être fait tirer l'oreille, Google a fourni ces logs et la CNIl a constaté qu'il y avait bien plus que ce qui avait été annoncé. Ils y ont découvert de nombreuses informations qui ont transité en clair comme des mots de passe mail ou encore des contenus de message.
Google risque assez gros dans cette histoire même si le fait d'avoir avoué leur faute plaide en leur faveur.


Nous en profitons pour vous rappeler quelques règles élémentaires:

• Sécurisez au mieux vos réseaux Wi-Fi. Si vous décidez de les laisser ouverts, sachez que quiconque pourra voir tout ce qui transite dessus tant que ce n'est pas chiffré (pages web, parfois mails, échanges de fichiers entre machines...)
• Lorsque vous vous connectez à un réseau ouvert, ou un réseau de café/restaurant dans lequel on vous aura fourni un mot de passe, il en ira de même tous ceux qui auront aussi accès à ce réseau pourront "sniffer" ce que vous faites.
• Pour vous prémunir au maximum dans ces derniers cas, utilisez une boîte mail acceptant les connexions SSL aussi bien pour la relève que pour l'envoi de vos courriels.
• Si vous voulez réellement être protégé au mieux (ce que nous faisons), utilisez un VPN pour toutes vos connexions Internet). Ainsi, si quelqu'un est à l'écoute de votre machine, il ne verra que des données chiffrées transiter.

Certains verront dans ce que nous vous conseillons de la paranoïa. Nous pensons plutôt que c'est de la prudence élémentaire dès lors que l'on considère que l'usage que l'on a de son ordinateur doit rester confidentiel.

Par Lionel

[david6echo]

commet faire pour creer un VPN pleaz ???

[hangon]

oui pareil .... comment faites vous pour mettre en place un VPN ?
vous le mettez en place entre vous et un de vos serveur ?

[tchek]

VPN

[iAPX]

Humpf de toute façon le wifi et tous les protocoles de sécurité sont vraiment fucké dès le départ, et une invitation au hacking!

Je ne vais pas rentrer dans les détails, mais entre les SSID qu'on peut reproduire pour forcer une cible à se connecter sans y réfléchir sur une autre borne que celle attendue, la dissémination des adresses MAC en clair, qui donnent la marque et le type de vos matériel (sur Apple qui a ses propres plages d'adresses Mac), ainsi que leur génération, pour commencer à faire un map de réseau et trouver des périphériques "faibles" aisément.... etc...

La seule solution sécuritaire est d'utiliser un bon câble ethernet!

PS: oui je fais du VPN sur un serveur hosté, que je gère, mais quand tu as une imprimante wifi séparée ou d'autres choses, tu vas quand-même faire passer une partie de ton traffic en clair ou en décryptable! :-(

Ce message a été modifié par iAPX - 18 Jun 2010, 00:32.

[bikoko]

Merci pour ces conseils.

J'ai personnellement pris conscience de ce qui etait recuperable facilement en wifi que tres recemment (environ 1 an quand une connaissance m'a donne mon mot de passe en clair apres avoir utilise 5mns le meme reseau que moi).

Depuis je fais treeees attention et effectivement je privilegie la connection par cable.

Quel risque en 3G au fait? est ce que les cellules sont hackables egalement?

[iAPX]

Merci pour ces conseils.

J'ai personnellement pris conscience de ce qui etait recuperable facilement en wifi que tres recemment (environ 1 an quand une connaissance m'a donne mon mot de passe en clair apres avoir utilise 5mns le meme reseau que moi).

Depuis je fais treeees attention et effectivement je privilegie la connection par cable.

Quel risque en 3G au fait? est ce que les cellules sont hackables egalement?

Hahaha... je préfère pas répondre tu serais déprimé...

Juste une petite histoire, avec un ami à moi, Jean-rené, travaillant chez France Teuleucom, dans sa clio, sortant son boitier de test. pi a un feu il selectionne des conversations gsm sur la plus proche borne... et les écoute en direct...

Bien sur si c'était possible avec juste une grosse boite, depuis une dizaine d'années ça se saurait, comme les échanges 3G. Vous êtes en sécurité, je vous le dis...

[Pierre Valdeck]

Je n'arrive pas à faire le lien entre un véhicule avec sur son toit un appareil photo 360° et qui donc est supposé prendre des photos et le fait de "sniffer" les réseaux wi-fi alentours, erreur ou employés Google indélicats ?

[Neozio]

VPN

Pourquoi c'est si complexe d'avoir accès à la sécurité ?

Perso ça me dégoute et je vais rester comme je suis. D'autant que je suis dans une ville relativement petite (c'est pas un bled pômé non plus) et excentré du centre ville (ma maison borde presque les champs). Mais je pense à ceux qui sont dans des grandes villes et là ça me dégoute pour eux.

[momo-fr]

VPN

A oui quand même !!! Super simple…

[NicoImac]

A l'heure où les rues sont pleines de vomissures de la vie privée sur les portables, où les gens s'exhibent sur les réseaux sociaux, où on vous fait ingurgiter du Prêt à Penser, où votre vie privée est pistée et stockée; se scandaliser pour la non confidentialité des communications me fait vraiment rigoler.

[greatpatton]

Wahou... on dirait que l'on vient de découvire que sans encryption point à point y a pas de confidentialité.

Tout ce qui a été dit ici est aussi valable pour n'importe quel message qui passe sur internet (remplacer Wifi par Internet et c'est kifkif) car personne ne peut vous dire ce que fait le Xème réseau qui fait transiter votre paquet. N'importe qui avec un accès sur un BGP d'un bon point d'échange peut ramasser largement plus de donnée qu'en se baladant pour faire de l'écoute Wifi.

Donc rien de neuf, si votre message passe sur Internet vous n'avez aucune garantie sur sa confidentialité à moins de l'encrypter. Ah oui et un VPN n'apporte pas plus sécurité si c'est pour surfer le net (seulement si vous surfez sur votre réseau interne).

[Lionel]

Wahou... on dirait que l'on vient de découvire que sans encryption point à point y a pas de confidentialité.

Tout ce qui a été dit ici est aussi valable pour n'importe quel message qui passe sur internet (remplacer Wifi par Internet et c'est kifkif) car personne ne peut vous dire ce que fait le Xème réseau qui fait transiter votre paquet. N'importe qui avec un accès sur un BGP d'un bon point d'échange peut ramasser largement plus de donnée qu'en se baladant pour faire de l'écoute Wifi.

Donc rien de neuf, si votre message passe sur Internet vous n'avez aucune garantie sur sa confidentialité à moins de l'encrypter. Ah oui et un VPN n'apporte pas plus sécurité si c'est pour surfer le net (seulement si vous surfez sur votre réseau interne).

La grosse différence c'est qu'on passe à un accès physique bien plus complexe à mettre en oeuvre et devant obligatoirement viser un lieu spécifique. Avec certains appareils, tu peux maintenant écouter des tas de réseaux Wi-Fi en simultané. Plus simple encore, tu te colles à 100 m d'un MacDo et tu enregistres tout ce qui passera dans la journée. Facile et ça peut rapporter gros au hacker

[Tinos]

Question : si on est connecté via un réseau type McDo, mais qu'on va sur un site en 'https', c'est sécurisé (modulo la confiance qu'on a dans SSL, j'imagine) ?

Concrètement je peux regarder mon compte en banque sans trop m'inquiéter ?

[Guest_ps1024_*]

Je n'arrive pas à faire le lien entre un véhicule avec sur son toit un appareil photo 360° et qui donc est supposé prendre des photos et le fait de "sniffer" les réseaux wi-fi alentours, erreur ou employés Google indélicats ?

Google profite de ses voitures pour cataloguer les réseaux WiFi, ce qui permet ensuite la géolocalisation par WiFi.

[hangon]

merci pour le tuto sur le VPN.
j'utilise d'ailleurs sharetool qui est pas mal du tout pour ca.


est ce que lionel parlait pas de connexion VPN juste pour se connecter au net ?

[s_d]

VPN

ben là c'est un Tuto pour créer un serveur VPN.
La question est plutôt quels serveurs VPN pourrait-on utiliser en tant que particulier... Il y a des sociétés qui fournissent ce service, en général payant (ex http://fr.wikipedia.org/wiki/IPREDator ). Est-ce que certains ont essayé et ont des recommandations ?

[M-Rick]

En fait il ne faut pas créer un serveur VPN pour sécuriser ses données, mais se connecter à un serveur VPN pour les sécuriser ! Nuance ....
C'est possible avec le lien donné ici, mais à condition que ce soit sur son propre réseau, mais pas pour se connecter dans un réseau ouvert dans la rue ...

Ils existent des serveurs VPN auquels il est posible de se connecter, mais c'est payant dans tous les cas.

Il y avait eu Relakks par les suédois, mais c'est nul, ça fonctionne très mal, il y en a un autre un français, don't j'ai oublié le nom qui est hébergé aux Pays-bas, mais qui est horriblement cher et loin d'être performant en plus ... Sinon il y a StrongVPN et FlashVPN qui fonctionnent très bien. J'ai eu l'occasion d'en tester pas mal, je voyage pas mal et dans certains pays (beaucoup) sans VPN, pas d'internet ou pas tous les services ...
Et il y a un petit module de préférences qui s'appelle pearPortVPN qui permet de se connecter automatiquement en VPN selon les réglages de la connexion et de la configuration réseau.

Et Maintenant, avec le iPhone, iPod Touch, iPad ou MacBook Air on est plus à même d'emporter avec soit des périphériques de connexion à internet qui se connectent en Wifi. iPhone, iPod et iPad fonctionnent très bien en VPN, il y a un réglage.

Ce message a été modifié par M-Rick - 18 Jun 2010, 10:11.

[Lionel]

Exact. Il faut se connecter à un serveur VPN sécurisé qui va créer entre vous et lui un tunnel sécurisé puis servir de proxy.
Mais bon, c'est surtout valable pour ceux qui comme moi administrent des sites web, ont souvent des discussions ultra confidentielles et sont très prudents.
Pour le reste du monde, le plus important est de sécuriser ses accès mail en SSH.

Question : si on est connecté via un réseau type McDo, mais qu'on va sur un site en 'https', c'est sécurisé (modulo la confiance qu'on a dans SSL, j'imagine) ?

Concrètement je peux regarder mon compte en banque sans trop m'inquiéter ?

Oui, sans trop t'inquiéter. De toute façon les banques ont vachement verrouillé les systèmes de virement vers l'extérieur. A la BNP, je ne peux ajouter un bénéficiaire qu'après avoir reçu un SMS et rentré un code, et je peux le faire parce que j'ai auparavant fait valider mon numéro de mobile via un échange de courriers.

[megared]

On est pas vulnérable justement au moment où on rentre ses identifiants pour se connecter au VPN?

[godzila]

J'avoue que je ne comprends pas toute l'excitation autour de cette affaire.

Pour être clair quelqu'un - par ignorance ou par choix décide de diffuser en clair par voie hertzienne le contenu de son trafic internet, notamment ses e-mail. Dans le principe c'est comme s'il se mettait devant sa fenêtre et commençait une une conversation téléphonique avec un main libre au vu et au sus de tous.

A partir de là je ne vois pas quelle attente il peut avoir au niveau de l'éventuelle confidentialité de ces données.

Sur ce coup je continue de croire que c'est juste une mauvaise utilisation de KisMet (l'outil open source utilisé par google).

[Lionel]

On est pas vulnérable justement au moment où on rentre ses identifiants pour se connecter au VPN?

Ils ne sont pas envoyés en clair

[biquette]

Merci pour ces conseils.
J'ai personnellement pris conscience de ce qui etait recuperable facilement en wifi que tres recemment (environ 1 an quand une connaissance m'a donne mon mot de passe en clair apres avoir utilise 5mns le meme reseau que moi).

De quel protocole de chifrrement s'agissait-il ?

[phat]

Et si la rédaction nous faisait un petit dossier pour nous remettre en mémoire toutes ces possibilités de paramètrages VPN etc... ?
Avec toute la pédagogie nécessaire pour des utilisateurs parfois pas très spécialistes du sujet...

[iAPX]

Je n'arrive pas à faire le lien entre un véhicule avec sur son toit un appareil photo 360° et qui donc est supposé prendre des photos et le fait de "sniffer" les réseaux wi-fi alentours, erreur ou employés Google indélicats ?

C'est parceque Google Street ne se contente pas de prendre de belles photos des rues, des voitures, des gens en train de vomir sur le trottoir au petit matin, et des merveilles d'architectures qu'on trouve dans nos banlieues, pour les associer à des coordonnées GPS!

Google en a profité pour relever les adresses MAC et SSID de tous les réseaux Wifi présent, pour permettre le repérage en s'appuyant sur la présence de réseau Wifi, repérage utilisé par exemple sur l'iPod Touch ou l'iPhone première génération. Tu détectes certains réseaux et hop tu obtiens une coordonnée géographique.

J'avais d'ailleurs pensé à un hack pour connaitre la nouvelle adresse de quelqu'un qui a déménagé, et dont tu as pris le SSID et le Mac de la borne: tu recréé une "borne" avec un laptop sous Linux, en changeant l'adresse MAC et en mettant le même SSID, dans une zone sans borne alentour, puis tu demandes ta geolocalisation par un dispositif qui va capter CETTE borne faké, pour avoir une geolocalisation grossière du dernier endroit ou cette borne a été repérée

Je me doute qu'il faudrait un peu plus de travail que ça, mais je ne vois rien de particulièrement compliqué, ni vraiment de moyen de bloquer ça, surtout si l'individu à plusieurs bornes (comme moi) ce qui fait qu'elles vont se déplacer ensemble et surtout fournir plusieurs signatures.

Génant?

[maxaquillion]

@Lionel
Par curiosité, tu utilises quoi comme service pour ton accès VPN ? IPREDator ?
J'aimerais souscrire à un mais je n'ai trouvé que peu de tests donc si tu en utilises un dont tu es content ça m'intéresse

[wotanbaby]

Mais bon, c'est surtout valable pour ceux qui comme moi administrent des sites web, ont souvent des discussions ultra confidentielles et sont très prudents.
Pour le reste du monde, le plus important est de sécuriser ses accès mail en SSH.

Je connais, j'ai le même problème et la parano ne doit pas connaître de limites, parce qu'on n'est jamais assez sécurisé.
Le problème est que pour assurer une sécurité maximale (au niveau d'un courriel par exemple),
il faut un expéditeur et un récipient, tous les deux sécurisés..!

Au niveau sécurité, la mentalité de bcp fait peur...! J'ai compris que le plus gros danger ne venait pas de mon réseau de Macs,
mais des personnes avec qui je suis en contact. Si l'une d'elles est hackée, c'est toute la confidentialité qui est en danger!
Alors je passe mon temps à expliquer, éduquer, le pourquoi du comment il faut être sécurisé!
Un seul contact peut faire des dégâts irréversibles ! J'impose des règles très strictes, parfois je me mets en colère,
parce que certains sont fous!

Mais je ne veux pas jeter la pierre aux utilisateurs... L'utillisateur lambda est confiant et naïf dans les outils qu'il a à sa disposition.
Par contre, j'ai la dent violemment dure contre certains protagonistes qui laissent trop faire...
(Les messageries gratuites bien connues, les réseaux sociaux qui sont des abysses dépourvus de toute sécurité... to name but a few...)
La simple possibilité de pouvoir enregistrer un mot de passe "not strong" devrait être techniquement interdite !

Il y a qq mois, j'ai testé (white hat hacking) une base de données de 3000 utilisateurs -
En 8 minutes, 70% des clés MD5 pour les mots de passe étaient craquées!
Ça devrait faire froid dans le dos je pense !

Si on se réfère au générateur de FileGuard, il faut:
- 22 caractères (Lettres et chiffres) === 3Vw8EZdxaoaIDWRadGEPpL
- 20 caractères (Random) === D;aHym[dGQ8"zw9o5V,B
- 28 caractères (FIPS 181 compliant) === gjiihoeftabycetuawfowrymneyw

... pour atteindre un mot de passe VERY STRONG !!!
LE MOT DE PASSE EST LE PREMIER SOCLE DE LA SECURITE !
Et on sait que 70% d'entre eux se fracturent comme une vulgaire clé en plastique !!!

[rb45]

..... le plus inquiétant c'est que lorsqu'Apple emmerde Adobe, on se retrouvre vite fait avec au moins 150 avis dans un thread alors que ce que vient de faire Google est proprement ahurissant et mériterait des défilés dans la rue .... cela ne suscite ici pour l'instant que 26 avis .....???????!!!!!!!

[kabuka]

Merci pour tous ces conseils.

[-eliot-]

..... le plus inquiétant c'est que lorsqu'Apple emmerde Adobe, on se retrouvre vite fait avec au moins 150 avis dans un thread alors que ce que vient de faire Google est proprement ahurissant et mériterait des défilés dans la rue .... cela ne suscite ici pour l'instant que 26 avis .....???????!!!!!!!

à mon avis c'est parce qu'on a le choix et la parade ...
- on peut utiliser du wifi ou pas ...
- on peut le crypter ou non ... que chacun sait qu'un wifi ouvert c'est "dangereux" ...
alors que flash sur iphone/ipad on à pas le choix, et ce, pour des raisons purement mercantiles ...
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
je reste zen ... et clic ...

[luminou2]

- on peut le crypter ou non ... que chacun sait qu'un wifi ouvert c'est "dangereux" ...

Justement pas...

[Viking2001]

Bon, d'accord, il faut sécuriser son réseau.
Mais pour le macbidouilleur de base, qui ne sait pas ce que sont SSL et VPN (et qui ne veut pas le savoir) ça veut dire quoi ?

on laisse les réglages Apple par défaut
on met un mot de passe "sérieux" sur son réseau WiFi (d'ailleurs ça veut dire "quoi sérieux" : plus de 8 caractères, mêlant chiffres, minuscules et majuscules, et changé régulièrement ?)
on restreint l'accès aux seules adresses MAC connues
et quoi d'autre ?

Et puis dans mon cas, avec tout ça, je ne fais jamais passer mes coordonnées bancaires en Wifi, et je ne synchronise pas mon carnet d'adresses via MobileMe (pas question de le laisser dans un petit nuage).

Si vraiment la sécurité est importante (et je le crois volontiers), alors il faut savoir en parler à l'utilisateur lambda, en termes clairs, avec des consignes simples et compréhensibles.

[iAPX]

Si on se réfère au générateur de FileGuard, il faut:
- 22 caractères (Lettres et chiffres) === 3Vw8EZdxaoaIDWRadGEPpL
- 20 caractères (Random) === D;aHym[dGQ8"zw9o5V,B
- 28 caractères (FIPS 181 compliant) === gjiihoeftabycetuawfowrymneyw

... pour atteindre un mot de passe VERY STRONG !!!

Avec 6.5bits d'information par caractère aléatoire, 28 caractères ça fait 182 bits d'informations que tu hashe avec du MD5 qui n'en sort que 128 (et encore il y a des boucles dans la génération, tu peux en enlever une tripotée!), donc ça ne sert strictement à rien

Sans aller jusque là, pour une bonne sécurité utilisateur, une dizaine de caractères aléatoire sont suffisant, ça fait 65bits d'informations. Et 12 pour les paranos comme moi (78bits d'information). Ça n'empechera pas d'ailleurs la NSA de le casser facilement, ou n'importe qui de s'y attaquer dans 10ans ou 20ans s'il a capturé les communications et qu'il attende juste que la technique suive, et surtout l'évolution de la recherche

Ou plus précisément, si les documents sur la mort de Kennedy avaient été encryptés en triple-DES, le protocole recommandé à l'époque par le gourvernement américain pour une sécurité maximale, quelqu'un qui aurait intercepté les documents encryptés à l'époque pourrait aujourd'hui les casser et les rendre publiques avec un laptop! Tout autant que n'importe quel document de sécurité de l'époque, sur la guerre froide et le nucléaire ou les transactions bancaires.

Ça devrait vous faire franchement froid dans le dos!

[-eliot-]

- on peut le crypter ou non ... que chacun sait qu'un wifi ouvert c'est "dangereux" ...

Justement pas...

on ne va pas jouer sur les mots ... je parle du point d'accès, c'est clair => (conf: "chacun sait qu'un wifi ouvert c'est "dangereux")
d'autre part on parle bien de wifi ouverts dans cette newz : "Google a avoué avoir "par erreur" collecté à l'aide de ses véhicules Street View des données provenant des points d'accès Wi-Fi ouverts.
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
je reste zen ... et clic ...

[_Panta]

Salut,

On peut juste reprocher à google d'avoir logué ce qu'ils captaient, certainement de manière exhaustive pour trier après.
Mais en dehors de ça ils n'ont aucune responsabilité dans le fait que le particulier ouvre son réseau. La CNIL devrait se taper sur elle même et contraindre les autorités à faire leur boulot, par l' édu-ca-tion ...

En tout cas je l'ai déjà croisé 2 x, une fois à Paris (mais je ne me rappel plus exactement quelle rue, ) et une fois à Tours (ici et là) où elle a immortalisé ma caisse plusieurs fois (sur la photo sat' aussi d'ailleurs, je suis en train de manœuvrer dans ma cour)

Ce message a été modifié par _Panta - 19 Jun 2010, 08:30.

[Jedge]

je reconnais la rue à Tours nord héhéhé !! Maintenant on sais que tu roule en scénic post 2001

Je les avais croisé aussi dans Tours, mais bon on ne me fera pas croire que google à télécharger " par accident" des données privés, rien n'est jamais fortuit en informatique et surtout pas venant de ce genre de requin américain en qui je ne placerai jamais ma confiance !

[_Panta]

On fait les courses au même endroit alors Jedge
Je pense qu'ils ont enregistré tout le trafic sans discernement, même le crypté, et ensuite ils analysent les infos qui leur sont utiles par la suite pour une topologie des réseaux Wi-FI.

[Jack the best]

…
Je pense qu'ils ont enregistré tout le trafic sans discernement, même le crypté, et ensuite ils analysent les infos qui leur sont utiles par la suite pour une topologie des réseaux Wi-FI.

Pour l'instant, les infos de topologie, mais le reste des infos ? Ils le gardent sous le coude au cas où… !

[_Panta]

Personne n'est dupe je pense

[powerjaja]

C'est quoi un VPN ? Et comment on le met en place ?

Je ne vois pas ça dans les préfs réseau...

[os2]

..... le plus inquiétant c'est que lorsqu'Apple emmerde Adobe, on se retrouvre vite fait avec au moins 150 avis dans un thread alors que ce que vient de faire Google est proprement ahurissant et mériterait des défilés dans la rue .... cela ne suscite ici pour l'instant que 26 avis .....???????!!!!!!!

c'est peut-être par ce que n'importe peut le faire....

tu remplaces google tu mets tata janique et c'est la même chose....
ça crie car c'est google est il est connu.... les gens ont qu'à assuré leurs sécurité un peu..... c'est comme râler qu'on s'est fait voler et qu'on a laissé la porte ouverte