#MacronLeaks, ou l'éloge d'une meilleure sécurité et du chiffrement des échanges

#MacronLeaks, ou l’éloge d’une meilleure sécurité et du chiffrement des échanges

À quelque chose malheur est bon

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

06/05/2017 8 minutes
120

#MacronLeaks, ou l'éloge d'une meilleure sécurité et du chiffrement des échanges

Les fuites de mots de passe et de données sont légion ces dernières années. Parfois elles touchent chacun de nous, parfois de grandes sociétés ou des organisations politiques. Mais dans tous les cas, la même question se pose : quand allons-nous prendre les questions de sécurité au sérieux ?

Cette nuit, un compte anonyme a partagé sur 4Chan plusieurs Go d'archives contenant des emails, photos et autres documents qui seraient issus de plusieurs membres de la campagne d'Emmanuel Macron. Une nouvelle attaque de dernière minute, qui n'est pas sans rappeler les pratiques outre-Atlantique lors de l'élection présidentielle. 

Nous ne reviendrons pas ici sur ces méthodes ou sur le contenu des documents diffusés sur 4Chan. Tout d'abord en raison de la période de réserve qui intervient dans le jour précédent l'ouverture du scrutin. Ensuite parce que les milliers de documents sont en train d'être analysés par de nombreuses rédactions, qui auront tout loisir de livrer leurs découvertes une fois qu'elles auront pu démêler le vrai du faux.

Enfin, parce qu'il sera intéressant de revenir dans un second temps sur la responsabilité, notamment des personnalités politiques, dans la diffusion (sans doute parfois assez volontaire) de fausses informations en ligne. Une façon de faire qui s'est largement répandue en France à l'occasion de cette élection.

Derrière les fuites, un manque de sécurité

 

Ce qui nous intéresse aujourd'hui concerne ce qui se cache derrière l'existence de telles fuites. Non pas le contenu des documents, mais la manière dont ils sont obtenus. Il est en général question de savantes attaques de « pirates russes » dont on imagine qu'ils déploient des techniques extraordinairement complexes. En réalité, il s'agit le plus souvent d'accéder à des messageries peu sécurisées après une campagne de phishing plus ou moins bien faite.

Dans le cas de cette fuite, nous ne savons pas ce qu'il en est. Ce que l'on sait par contre, c'est qu'il existe des moyens pour se prémunir de telles attaques, et qu'il faut tout faire pour en répandre l'usage.

Hygiène et culture numérique

Commençons par le commencement : le respect de bonnes pratiques et limiter l'accès à votre machine principale. On l'oublie assez souvent, mais c'est un moyen assez simple d'accéder à toutes vos données. Utilisée au quotidien, elle est souvent un moyen de faire tomber de nombreuses frontières.

N'hésitez donc pas à fermer votre session lorsque vous vous éloignez de votre machine, à l'éteindre lorsque vous ne l'utilisez pas, à ne pas laisser un ordinateur portable sans surveillance, à chiffrer vos périphériques de stockage, à ne pas accéder à des données sensibles lorsque vous êtes en public, etc.

Keepass générateur mot de passeKeepass générateur mot de passe

Vient ensuite le choix et la gestion des mots de passe. Nous l'avons déjà évoqué dans un dossier complet, mais il s'agit ici d'un point crucial pour éviter, qu'en cas de fuite à travers un service anodin, ce soit l'accès à votre boite email qui soit piraté. Car avec celle-ci, on peut le plus souvent accéder ensuite à tout le reste. Elle revêt donc un caractère vital.

Le gestionnaire de mots de passe peut aussi parfois vous préserver d'outils comme les keyloggers qui récupèrent vos frappes au clavier et autres malwares que vous pouvez récupérer sur votre machine si vous n'êtes pas trop attentifs.

L'email cache peut être votre ennemi, quid de la signature électronique ?

C'est ici que la question du phishing entre en scène, et que de vieux préceptes de base doivent être répétés. N'ouvrez jamais sur votre machine des documents dont vous ne vous êtes pas assurés de connaître la source (notamment lorsque cela vient de sites comme 4Chan).

L'adresse e-mail ne peut pas être considérée comme un élément parfaitement fiable puisque n'importe qui peut l'usurper assez facilement. Faites attention à tous les liens sur lesquels vous cliquez depuis un email. Vérifiez les URL et même les certificats dans le cas d'une connexion sécurisée. Plus globalement, ne chargez aucun élément par défaut.

Bien entendu, ce problème pourrait être réduit par une utilisation plus généralisée de la signature électronique dans les emails, mais ni les éditeurs de services, ni les sociétés privées, ni les institutions publiques ne poussent à un tel usage. Il existe quelques rares exceptions, comme Facebook par exemple. Mais nous sommes encore loin d'un usage global.

2FA pour tous !

Autre possibilité pour améliorer la protection de l'accès à vos données : la double authentification. De plus en plus répandue, elle peut être utilisée sur de nombreux services du quotidien comme Facebook, Gmail, Twitter, etc. Elle consiste à demander de compléter votre mot de passe par un élément aléatoire. Ainsi, même si votre mot de passe est récupéré par un tiers, il ne pourra pas accéder à votre machine.

Le code peut vous être fourni par un objet mis à votre disposition, un SMS (c'est à éviter, mais nous y reviendrons), une application ou même une clef de sécurité U2F :

U2F Google Fido

Pensez aussi à surveiller les connexions à votre compte. De plus en plus de services vous permettent de voir la liste des derniers accès et bloquent votre compte en cas d'activité suspecte. Vous pouvez ainsi changer votre mot de passe ou choisir de révoquer l'accès de certaines applications ou l'ensemble des sessions ouvertes sur vos différentes machines. 

Le besoin de chiffrement, c'est maintenant

Si rapidement certains ont mis en cause l'utilisation de services comme Gmail, ils se trompent d'ennemi. En effet, même si on peut reprocher l'utilisation d'un service américain exploitant nos données pour la gestion des emails, cela reste courant et ne protège pas des possibles intrusions telles qu'évoquées au-dessus.

Par contre, on peut se poser une question : pourquoi des emails sensibles, au sein d'un parti politique ou de toute autre organisation, ne sont pas échangés de manière chiffrée ? Car cela revient à mettre à disposition de tiers (ici Google et de toute personne accédant à vos emails) vos échanges dans leur forme la plus pure. En cas de fuite, il n'y a donc rien à faire si ce n'est tout télécharger et rediffuser.

Nautilus Seahorse GPG

Souvent, lorsqu'il est question de chiffrement, on fait assez rapidement face à une phrase assez célèbre : « Je n'ai rien à cacher ! ». Mais imaginez maintenant que l'ensemble de vos emails et messages privés soient exposés publiquement. Que vos amis, votre famille, vos conjoints, mais aussi vos collègues, patrons ou employés puissent en lire les moindres détails.

Dans un cadre plus professionnel, que vos concurrents puissent accéder à ces comptes-rendus de vos réunions et autres éléments stratégiques que vous partagez parfois par simplicité à travers un simple email. Pensez à tout ce qui pourrait découler de tout cela et aux risques que vous encourez.

Une protection à renforcer, non à fragiliser

Ces dernières années, la légitimité du chiffrement a parfois été remise en cause, en France comme ailleurs. Elle nous est pourtant utile à tous, au quotidien : pour acheter avec une carte bancaire, pour assurer notre identification sur les réseaux mobiles, la sécurité et la confidentialité de nos échanges avec les serveurs des sites en ligne (comme notre mot de passe lors de la connexion à un site). Bref, elle nous protège déjà.

Mais elle ne protège pas encore assez globalement ce qui fait la nature de nos échanges au quotidien. Cela évolue avec la mise en place de messageries spécifiques comme Signal et Silence, mais aussi l'intégration (parfois partielle) du chiffrement de bout en bout (E2E) à des outils comme iMessage ou Whatsapp. Mais il n'en est que rarement question pour nos emails, qui peuvent donc se retrouver partagés de manière assez générale à la moindre fuite.

Signal Desktop

Et plutôt que d'aider à renforcer et simplifier l'usage ces outils de sécurité, comme cela a notamment été le cas en Allemagne avec le projet GnuPG par exemple, certaines de nos institutions cherchent à les mettre à mal afin de pouvoir accéder à nos données lorsqu'elles le jugent nécessaire. Ce qui revient à mettre en place, quelle que soit la méthode utilisée (backdoor, clef maître, etc.), une faille de sécurité dans l'ensemble de nos échanges.

La période de cinq ans qui s'ouvrira dimanche soir et après les législatives sera l'occasion de le rappeler. Espérons que les très nombreuses fuites et scandales récents, qui peuvent toucher aussi bien le citoyen que ses représentants, permettront de traiter de ces questions avec un peu plus de sérénité.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Derrière les fuites, un manque de sécurité

Hygiène et culture numérique

L'email cache peut être votre ennemi, quid de la signature électronique ?

2FA pour tous !

Le besoin de chiffrement, c'est maintenant

Une protection à renforcer, non à fragiliser

Commentaires (120)


Je préviens d’avance, tout prosélytisme politique, sous quelque forme que ce soit, mènera directement à suppression du commentaire + blocage. Merci <img data-src=" />


Très bon dossier, comme d’habitude


Huhu <img data-src=" />



Sinon ça s’enflamme sur 4chan et ça flood du compte twitter. Mais rien de bien concret dans ce que j’ai pus trouver.&nbsp; Les pseudo archives disparaissent très vite. A voir, mais si c’est vrai on va en apprendre un peu plus sur notre futur président.


J’y croyais pas trop mais y a des documents qu’on peut pas voir sur 4chan les IP étant bien bloquées &nbsp;On sait qui est à l’origine du blocage et ses modalités ?


4Chan lui même, histoire de rajouter un peu de pression …








CreaYouz a écrit :



Huhu <img data-src=" />



Sinon ça s’enflamme sur 4chan et ça flood du compte twitter. Mais rien de bien concret dans ce que j’ai pus trouver.&nbsp; Les pseudo archives disparaissent très vite. A voir, mais si c’est vrai on va en apprendre un peu plus sur notre futur président.





De ce que j’ai cru comprendre il s’agirait de document de campagne tout à fait inintéressant



Il faut aussi crypter ses drives avec des outils type cryptomator


Faut surtout bien éduquer l’interface chaise clavier.<img data-src=" />


Il faut avouer que l’outil de google gmail/docs/drive est redoutable d’efficacité.

&nbsp;La même chose existe-t’elle en chiffré ou &nbsp;décentralisé ?


La bonne blague c’est de croire que les journalistes ont une méthodes pour distinguer la vérité de la fausseté. À ce demander pourquoi des gens payent encore quelques personnes pour des cours d’épistémologie.


Protonmail par exemple (mais il en existe de plus en plus qui intègrent une gestion native du chiffrement <img data-src=" />)


Un excellent papier, clair et didactique, à envoyer à nos élus et candidats !


L’identification à deux facteurs est utile et facilement réalisable par tous. J’utilise des SMS car remettre à zéro mon téléphone n’est pas rare et je ne suis pas certain de ce que ça ferait pour les logiciels qui fournissent les codes. Mais que se passe t’il lorsquel’on pert ce deuxième facteur ? ( Son téléphone, une clef USB…)

Est ce qu’il existe une clef que l’on peut dupliquer ? Ou peut on installer un logiciel sur un vieux téléphone gardé en lieu sûr ?


J’aurai bien vu cet article en accès gratuit, à la fois par son utilité publique et parce qu’il oriente vers plein d’articles abonnés que vous avez fait de bonne qualité !


En général tu as toujours une solution de secours (au pire des codes à usage unique). Dans le cas des clefs U2F tu peux aussi en utiliser plusieurs (genre une que tu as sur toi, une autre stockée en sécurité au cas où).&nbsp;









Marc S. a écrit :



Un excellent papier, clair et didactique, à envoyer à nos élus et candidats !





<img data-src=" />



Il est en accès libre :) (comme la plupart des articles vers lesquels il pointe)


Le HashTag macron leak a emerger durant la nuit, en france il faut pas beaucoup de tweets pour creer une tendance, quelques bots ca suffit, surtout en debut de nuit, donc ca confirme bien que ces gens la on un fuseau horaire different du notre, et que WikiLeaks c’est bien un projet Russe


Entre les perquisitions du materiel informatique (qui revient au même), la violation des secrets d’instructions, le piratage des données il n’y a guère de différence en réalité


Tombe pas dans le piege, c’est Poutine qui veux simplement déstabilisé le libéralisme a l’occidentale et supprimer toutes les sanctions economique dont la russie fait les frais



Poutine place gentillement tout ses pions pour faciliter tout ca


Comme précisé plus haut, si on peut s’éviter les débats politiques sur le sujet, merci :)


David_L, tu as écrit :



un SMS (c’est à éviter, mais nous y reviendrons)



Ce sera dans un prochain article ? Parce que je n’ai rien vu/lu dans la suite qui en reparle. En bref quel sont les raisons ?


Bowdel Osez Josez picétou !



Nonmého ….









Ami-Kuns a écrit :



Faut surtout bien éduquer l’interface chaise clavier.<img data-src=" />







Comme toujours …



4chan est pas bloqué, c’est du mytho pour faire croire a l’opinion publique qu’il se passe quelque chose, les document dit “leaké” sont naze, on apprend rien, ni en bon, ni en mal, bref tombe pas dans le piege des russes


Une information en elle même ne vaux pas grand chose. Pour avoir trainé un peu sur 4chan à une époque il ne faut pas toujours grand chose. Mais à mon avis beaucoup de fumé sans feu.


Et je suis decu que vous vous servez de cette tentative russe de déstabilisation pour creer du click… qui creer plus de tors que de bien, surtout avant une aussi important echéance.. surtout que rien n’est comfirmer, vous tombez dans le piege des russes


Justement, l’info en elle meme est naze, mais le bruit que ca creer c’est dangereux, rien qu’a prononcer le mot “Leaks” les gens font le parallèle avec toute les autre affaire “*Leaks”.. juste un week end pour l’election, et pile au moment de la treve des journalistes… les fake news peuvent pleuvoir sans risque now… c’est dangereux


Oui c’est sur, je n’ai pas dit le contraire, rien que l’information du leak suffit à foutre le bordel. Et beaucoup sont encore très crédule à n’importe quels informations.


Oui on va en reparler dans un prochain article <img data-src=" /> (et même sans ça, un SMS ça s’affiche souvent en clair sur un écran de veille, c’est pas glop :p)


Je crois que j’ai vu un gros nez Dito ! <img data-src=" /> <img data-src=" />



Et bien oui faudrait que je m’y penche sur tout ça mais pff..

déjà je sauvegarde mes données de plusieurs endroits et hors ligne, c’est un bon point. Mais chiffrer tous les échanges <img data-src=" />



Bref, petite note et favori sur la page <img data-src=" />


J’adore la qualité de l’information donnée sur ce site concernant la sécurité.

Mais la sécurité —-TOTALE— n’existe pas.

Dans toutes les applications de sécurité qui existe, elles sont –NULLES– si l’attaquant est installé à un bout ou l’autre de la communication ( dans la machine ou le serveur ); la sécurité même de bout en bout est nulle.

On se sert de connexions HDMI aujourd’hui, mais combien savent que dans la connexion HDMI il y a une puce qui permet la connexion INTERNET entre différents objets, ce qui permet à un attaquant installé à un bout ou l’autre de voir tout ce qui s’affiche à l’écran.

Et oui, la sécurité INTERNET ne sert qu’a rendre le HACKING plus difficile et c’est tout. Et je n’ai pas mentionné les BACKDOORS que les fabricants de carte-mères installe sur leur matériel.

Et pour finir, les GOUVERNEMENTS sont la vache à lait des entreprises comme MICROSOFT, CISCO, IBM, et j’en passe… Comment peut-on penser que ces entreprises qui vendent des licences à gros prix ne font pas plaisir aux gouvernements en installant des BACKDOORS secrètes qui seront récupérés par du monde mal intentionnés.

La sécurité totale N’est qu’une —-CHIMÈRE—- une —–UTOPIE—-


Ce moment où j’ai envie de poster un troll, mais il y a le concours et je ne souhaite pas me faire ban. #lavieesttropdure


https://twitter.com/BivolBg/status/860803144103723009/photo/1



Pour votre news du lundi concernant cette attaque russe :)


Oui cela s’apelle sourcer l’information et la croiser avec des sources différentes et non redondantes :)


Si je suis ton raisonnement, il était trop tard pour que ce soit des Français donc c’est des Russes. C’est ça ?



<img data-src=" />








Naneday a écrit :



https://twitter.com/BivolBg/status/860803144103723009/photo/1



Pour votre news du lundi concernant cette attaque russe :)







Mouais, moi je peux t’envoyer un fichier Excel avec comme auteur Poutine et plein de tags en russe…

Si ce sont les seules “preuves”, ça fait très théorie du complot tout ça.



Non, mais le timing est intéressant, a chaque histoire en faveur de LePen ca sort tout le temps en fin de soirée debut de nuit


Ca vient des fichiers dit “leaké”, je suis en train de telecharger tout ca moi meme, on verra bien


à mon avis, c’est surtout que la nuit, toutes les institutions dorment (à part quelques journalistes, quelques personnes de permanence, etc). C’est le bon moment pour livrer des dossiers sans être inquiété d’une riposte de défense médiatique, judiciaire, informatique.



L’info-intox a le temps de se déverser pour faire paniquer tout le monde au petit matin où c’est le branle-bas de combat dans tout le pays (c’est comme ça qu’agissent l’armée, les voleurs, les espions, etc - ils ne sont pas assez fous et idiots pour faire leurs attaques et invasions en plein jour de manière frontale).








Naneday a écrit :



Ca vient des fichiers dit “leaké”, je suis en train de telecharger tout ca moi meme, on verra bien







Ce que je voulais dire, c’est que c’est trivial de changer l’auteur d’un document Office, n’importe qui peut le faire.



oui, surtout que c’est une course à l’intox : le temps de démêler le vrai du faux, l’élection sera passée. Toute spéculation sur la teneur de ces infos sont inutiles et vaines, voire dangereuses.


En tout cas, je plains les forces de l’ordre, quelque soit le résultats, ils risquent d’en chier toute la nuit au moins après 20 heures.<img data-src=" />


Ils vont en baver quel que soit le résulat…



<img data-src=" />




—–BEGIN PGP MESSAGE—–

Version: GnuPG v2



hQIMA2u8NttVEiFZARAAkmjkowaC6ImeggMzgk34WKB5MjeDuOVELcyg0vI5V1OO

XIA+uAxJIly4TORZyk4iDVx9Vk0ElVZpscFBt/m2bUqww2aIN9W2BOkV12EzBejx

awxY1PaVrnzUsxxGfWY7b2eut/BO59XDgQNSBPtr0+FKrpWmpbrN3WeiMCMX7l/N

BAXyLs0ay/fkXILLCM0S+CObcGqKISFV5Gstvkpb8XzuC8JkVpI62nZfDbfnIcZL

xKQor/wVuS9nOAFfIxDFzlmMQTwSjK3Lnlzhlbz1hrz5cm79nhZFmCMELQSOTqLa

xtlbYSLZ8vLrjgVGm3zBMHFQLgOJaQ6D92NOVcLg4R2g+LaAG2PGvPKJGv3JNP



—–END PGP MESSAGE—–



Je n’ai rien d’autre à ajouter <img data-src=" />


Pas sur que ça vienne de l’étranger, c’est apparu en pleine nuit juste avant la réserve obligatoire a 24h du scrutin. Comme ça l’équipe de Macron ne peux pas répondre.


Merci pour ce papier. Je trouve dommageable que l’ensemble de la classe politique française, à quelques exceptions près, ait une inculture abyssale en matière de numérique et qu’elle soit peu ou mal conseillée sur ce sujet. C’est un (triste) constat rien de plus et je crains qu’il ne soit valable hors de France.



Cela dit, est-ce que Next-Inpact envisage (ce serait bien) de faire un article sur la signature électronique, notamment comment en voir (et à quel prix) ? C’est assez peu clair pour moi et l’identité numérique de France Connect ne suffit pas, outre que ça ne sert pas à grand chose.


Ou juste que les russes ont fourni un bon gros dossier a des français incompétent


Quelque chose sur lequel il faurait un peu communiquer également, c’est la mise en place de SPF avec des règles strictes. Car non, usurper une adresse e-mail n’est pas forcément facile. C’est rendu facile.


Toutes ces recommandations sont très bonnes, mais elles sont difficiles à mettre en place de manière systématique auprès d’une organisation humaine telle qu’une équipe de campagne.



Les gens vont/viennent, changent de poste, se déplacent partout en France, ont plusieurs appareils (laptop, smartphone, PC), s’échangent des docs, communiquent entre-eux et avec l’extérieur…



Quand t’es pris dans l’urgence politico-médiatique et que t’arrives pas a te connecter au réseau sécurisé depuis ton laptop sécurisé pour faire un truc hyper urgent, bah c’est tentant d’outrepasser les mesures de sécurité pour quelques secondes. Et là, c’est le drame… Mais ca aurait été aussi un drame (politique) si tu n’avais rien fait.








Mihashi a écrit :



Si je suis ton raisonnement, il était trop tard pour que ce soit des Français donc c’est des Russes. C’est ça ?



<img data-src=" />





C’est bien connu, les geek ça ne travaille que de jour, 8h30-17h.&nbsp;<img data-src=" />



ça va, détendu l’auto-promo ? ;)


Le problème de la 2FA c’est qu’on est dépendant du réseau mobile. S’il y a un problème réseau avec les SMS, on n’a plus aucun accès à ses comptes. Ca m’arrive pas mal de fois de ne pas pouvoir valider un paiement quand je ne reçois pas le code par SMS.


Tout est question de compromis … si tu veux de la facilité, alors tu acceptes de te faire salement hacker alors <img data-src=" />





Mais bon, encore une fois, tu peux suivre toutes ces reco, dans le cadre d’un hacking “bien motivé”, (pour ne pas dire d’état), ça peut ne pas suffire … par exemple une grosse zero day dans ton OS de choix, permettant de prendre le contrôle complet de la machine …


Les 2 articles me paraissent vraiment complémentaires, donc je me suis permis. Hésite pas à me dire ce que tu en penses sur le fond si tu le lis.


La 2FA ne se fait pas que via SMS (et c’est même la méthode à utiliser en dernier recours en fait :p)


Comme répondu à quelqu’un qui me faisait remarquer que, bon, c’était un peu chiant tout ça : c’est sur que ça doit pas être chiant de voir tous ses emails exposés.








atomusk a écrit :



Tout est question de compromis … si tu veux de la facilité, alors tu acceptes de te faire salement hacker alors <img data-src=" />







C’est pas tant la facilité que l’exception à la règle…



Si tu discutes avec David au téléphone et qu’il te dit: “tiens, je t’envoi le doc par email” et que dans les 3 secondes tu vois arriver un email de [email protected] avec un document en pièce-jointe, la tentation est grande d’ouvrir le document… sans vérifier a fond l’expéditeur.



Faut bien avouer que respecter toutes les règles d’hygiène sécuritaire, en particulier quand un collègue te prête une clé usb ou t’envoie un email, ca fait un peu paranoïaque. <img data-src=" />









David_L a écrit :



Comme précisé plus haut, si on peut s’éviter les débats politiques sur le sujet, merci :)







Vous faites une news sur un sujet politique, 1 jour avant une élection majeur, et vous demandez ensuite à vos lecteur de ne pas parler de politique.

Autant fermer de suite les commentaires de cet article car cela n’a aucun sens.









Naneday a écrit :



donc ca confirme bien que ces gens la on un fuseau horaire different du notre, et que WikiLeaks c’est bien un projet Russe





<img data-src=" />



D’ailleurs la presse aussi est pas censée ne pas parler de politique aujourd’hui ? Vraie question je sais pas trop comment ça marche et j’ai vu fleurir quelques articles aujourd’hui qui m’ont surprise.








Naneday a écrit :



https://twitter.com/BivolBg/status/860803144103723009/photo/1



Pour votre news du lundi concernant cette attaque russe :)





Ne me dit pas que t’es assez naïf pour croire aux bêtises que tu racontes ? Si ?



S’inscrire pour gagner un filtre, c’est rigolo.








Bou2004 a écrit :



Ce que je voulais dire, c’est que c’est trivial de changer l’auteur d’un document Office, n’importe qui peut le faire.





D’ailleurs, NXi a fait un papier là-dessus, sur les outils développés par la NSA qui sont fait spécialement pour masquer leurs attaques et faire accuser d’autres pays, genre la Russie, pour changer.









jinge a écrit :



C’est bien connu, les geek ça ne travaille que de jour, 8h30-17h.&nbsp;<img data-src=" />





Oui, la nuit les livreurs de pizza ne travaillent pas.<img data-src=" />



Si seulement ces leaks pouvaient vacciner les politiques, tant au niveau de la double authentification (je comprend même pas que ce ne soit pas obligatoire du moment que c’est standard) et du besoin de foutre la paix au chiffrement et même de l’encourager.



Mais j’ai l’impression que cette affaire va surtout servir a dénigrer les opposants/attaquants sans se remettre en question, comme d’hab.


Mouais… ce qui est triste dans l’histoire c’est que ce sont des comptes email de jeunes, qu’on pourrait qualifier de “digital natives”, qui sont en cause… pas de vieux politiques peu technophiles…


Il est interdit d’appeller à voter pour un candidat ou de faire l’argumentaire pour voter pour ou contre un candidat (propagande politique).



Mais parler de politique en général, ça n’est pas interdit … il semble qu’on peut même dire “je vais voter poux […]” sans risque.



Je rajoute quand même qu’il y a la loi et il y a la modération de la news qui peut aller plus loin <img data-src=" />


Le souci restant que rien ne les empechera de chiffrer leurs communications comme des malades, tout en disant “pour des raisons de sécurité” que nous n’avons pas le droit de faire de même <img data-src=" />


Intéressant comme edito, mais je n’ai pas trouvé d’information pour l’instant sur l’origine (technique) de ce leak.&nbsp;

Leur domaine utilisé pour les emails en interne est chez o365, ce qui semble limiter l’origine d’un serveur mail attaqué.&nbsp;

J’espère que l’on aura une news avec les détails de cette attaque&nbsp;<img data-src=" />


Tu as dû regarder le contenu des leaks un peu trop rapidement : 4 des comptes email sont en gmail.com, un seul en en-marche.fr


Ce n’est pas parce qu’ils sont nés avec un smartphone dans les mains qu’ils connaissant mieux le numérique que les autres. Cela n’a strictement rien à voir.


Pas étonnant… les digital natives sont ceux qui font le plus confiance au numérique.



Tout comme la génération des 80s fait confiance aux carte à puce. etc.



On peut parler publiquement de politique, mais pas parler des candidats en bien ou en mal (action de campagne, de propagande).

&nbsp;

&nbsphttp://www.cnccep.fr/communiques/cp9.html

&nbsp;https://twitter.com/cnccep/status/860614835989618690


faudrait en parler à un juriste, mais mon avis personnel “d’expert internet multidisciplinaire” (<img data-src=" />) me dit que ça serait illégal …



Apres la question pourrait être : est ce qu’un journal imprimé avant l’interdiction (que ça soit 2h avant ou une semaine avant), qui serait dans les kiosques est frappé par l’interdiction ?





Pas la moindre foutu idée <img data-src=" />


J’ai vu cette une hier soir et ça m’a étonné aussi. À mon avis les représentants de M. Le Pen peuvent faire une demande à la CNCCEP (ça ne changerait pas le scrutin mais l’organe de presse peut être condamné à une amende).


C’est la diffusion qui importe. L’édition week-end de Libération est publiée à partir du samedi matin. Si c’est vraiment illégal, il faudrait retirer le journal des kiosques et du web à partir de samedi 0H00 jusqu’à dimanche 20h00.


Mais du coup c’est le buraliste qui serait en tort, de ne pas avoir caché le journal ? <img data-src=" />


Merci vortex33, je n’ai pas regardé le contenu des archives, juste vu quelques extraits .

Effectivement, cela concerne aussi des adresses gmails&nbsp;<img data-src=" />








Philippe_1664 a écrit :



Pas sur que ça vienne de l’étranger, c’est apparu en pleine nuit juste avant la réserve obligatoire a 24h du scrutin. Comme ça l’équipe de Macron ne peux pas répondre.





Si tu avais suivi un peu l’actualité, tu aurais remarqué que c’est l’équipe d’En Marche qui à révélé le hack à 23h45 hier soir, alors que le piratage daterait du 25 Avril !



Macron a prévenu dès le 17 avril que ce genre de chose allait arriver c’était chez bourdin, ça fait plusieurs mois qu’il y a des attaques contre le mouvement de macron.








UtopY-Xte a écrit :



Si seulement ces leaks pouvaient vacciner les politiques, tant au niveau de la double authentification (je comprend même pas que ce ne soit pas obligatoire du moment que c’est standard) et du besoin de foutre la paix au chiffrement et même de l’encourager.



Mais j’ai l’impression que cette affaire va surtout servir a dénigrer les opposants/attaquants sans se remettre en question, comme d’hab.







Tu nous offres à tous des clés U2F ? Quel générosité de ta part, et n’oublie pas d’en fournir plusieurs dizaines par personne pour bien séparer les services.



je pensais naivement que wikileaks etait de la CIA, et le petit assange juste un faire valoir pour accuser la partie ruuse, voir noyeauter le FSB l’air de rien.



Un peu a la snowden, qui comme par hasard se retrouve en russie /!\, le meilleur noyautage de l’histoire !!



tu vois moi aussi j’ai plein de preuve, comme toi !








eliumnick a écrit :



Tu nous offres à tous des clés U2F ? Quel générosité de ta part, et n’oublie pas d’en fournir plusieurs dizaines par personne pour bien séparer les services.





Certes les clés sont plus sures, mais deja juste avec une app gratuite (phone ou ordi) c’est deja beaucoup plus compliqué a pirater qu’avec un simple mdp qui est souvent assez mal choisi.



Ca prouve en rien que c’est les russes à l’origine. Au pire on dira qu’un russe (ou se faisant passer pour) à ouvert le document et l’a refermé, et ca a timestamp le document ( avec ou sans modif) &nbsp;



En plus à ce stade on sait même pas à qui profite le crime vu le haro sur LePen.



SI y a une plainte j’aimerais bien suivre &nbsp;l’enquete en tout cas ˆˆ


Le même dossier aurait pu être introduit et conclu avec les fapening leaked des semaines dernières (oh combien bien plus accrocheur et surtout moins sujet à la polémique 😂)

Sinon rien de neuf sous le soleil








numerid a écrit :



Ce n’est pas parce qu’ils sont nés avec un smartphone dans les mains qu’ils connaissant mieux le numérique que les autres. Cela n’a strictement rien à voir.





Cela peut avoir un double rapport: Déjà cela s’est beaucoup simplifié et plus grand monde n’a a se poser de question pour que ça fonctionne, donc à comprendre aussi un minimum comment ça fonctionne pour résoudre les problèmes (et aussi savoir se protéger un minimum). Ensuite, plus connectés = plus vulnérables.

&nbsp;

Les deux cumulés = La possibilité offerte d’une bonne vieille intox dans les ratios jugés optimaux des opérations de l’ex-URSS (90% de vrai qu’on mêle à 10% de faux), mais propagée à la vitesse du réseau mondial et dans un contexte de méfiance envers les médias.



Heureusement, en face on ne va plus non plus au fond des choses et on oublie métadonnées et calques des bidouillages: La compétence se perds!



Marrant, le FN n’est pas touché mais propage! Cette vieille tradition chez les “patriotes” de la collaboration avec l’ennemi sans doute.









Fyr a écrit :



Ca prouve en rien que c’est les russes à l’origine. Au pire on dira qu’un russe (ou se faisant passer pour) à ouvert le document et l’a refermé, et ca a timestamp le document ( avec ou sans modif) &nbsp;



En plus à ce stade on sait même pas à qui profite le crime vu le haro sur LePen.



SI y a une plainte j’aimerais bien suivre &nbsp;l’enquete en tout cas ˆˆ





Il y a quand même des éléments (au delà des relais de cette propagation rapide) qui démontrent que ce n’est pas l’affaire d’un allumé isolé quand il y a pour 130k$ de matos d’impression Canon qui a laissé ses traces:&nbsp;



&nbsphttps://bivol.bg/en/canon-for-macron.html



Attention aux documents que vous téléchargez (si vous voulez fouiner dans les archives de ce leaks), certains fichiers ont été altérés et vous pouvez vous retrouver avec un beau petit trojan.



http://méric.fr/macron/rapport.html


Ca peut toujours être un mec qui a accès à du matos pro au taff, mais sa boite n’est impliqué en rien.



Bon pour le coup, vu la machine et le fait qu’on a l’adresse MAC, sa boite sera impliquée dans l’enquete du coup vu que ça risque de pas être super difficile de la retrouver <img data-src=" />








Cashiderme a écrit :



Que dire de ça alors ?

http://www.liberation.fr/liseuse/publication/06-05-2017/1/







Je ne vois pas comment ça ne pourrait pas être illégal, ils appellent clairement à voter pour un des candidats, ils n’en ont sûrement rien à battre de l’amende, le but sera atteint de toute façon et les élections terminées.



Ah bon pourtant on ne me propose qe le code par SMS, jamais un autre moyen <img data-src=" />


Il existerait donc une autre manière de prévenir que de le faire d’avance, puisque c’est précisé. Je cours étudier la question.








megabob a écrit :



Il faut aussi crypter ses drives avec des outils type cryptomator





Chiffrer*



Qu’ils mettent tout leur journal en accès libre ? Ils font ce qu’ils veulent.




L’heure de création des deux documents, d’un décalage d’une minute seulement, montre que probablement les deux machines se trouvaient dans la même pièce et que les opérations ont été effectuées très probablement par deux personnes





Bien sur, car du matos Canon à 130k$ ne sait pas scanner automatiquement une pile de documents.

<img data-src=" />



Bref, un caillou supplémentaire qui fait des vagues dans une mare de propagande.


Le mail a été conçu pour acheminer de l’information. Pas pour en sécuriser son transport, ni authentifier l’expéditeur ou les destinataires. D’où d’ailleurs le problème des accusé de lecture détourné pour le SPAM.



SPF, DKIM ou DMARC sont des rustines et elles sont vus comme un moyen des GAFAM d’évincer les petits (ce qui n’est pas faux non plus). Pour l’instant ce n’est pas obligatoire. Le mail est un des plus vieux protocole d’Internet, et le plus difficile à faire évoluer. À coté le web, HTTP sont beaucoup plus remis en question.

C’est débat récurrents chez les techniciens si il faut patcher le mail ou bien refaire tout depuis le début. En tout cas tout les éventuels successeurs ou courriel n’échouent là le mail excelle: interopérabilité et l’aspect décentralisé.



Je serais le premier à signer pour avoir un système plus robuste dans le mail, qui authentifie son interlocuteur et chiffre de bout en bout mais pour l’instant on en est loin.


“Nous ne reviendrons pas ici sur ces méthodes ou sur le contenu des documents diffusés sur 4Chan.“Vous les avez devant vous?Publiez les ou respectez les règles déontologiques du journalisme.


“C’est ici que la question du&nbsp;phishing&nbsp;entre en scène, et que de vieux préceptes de base doivent être répétés. N’ouvrez jamais sur votre machine des documents dont vous ne vous êtes pas assurés de connaître la source (notamment lorsque cela vient de sites comme 4Chan).“C’est de l’humour?


Une fois de plus, bon article qui résument aussi bien mon opinion: qu’autant de personnes utilisent un compte passoire type gmail pour échanger des documents important dépasse l entendement.

aujourd’hui, il s agit de parti politique. Un domaine encore pire potentiellement est celui de la santé: bcp de médecins n ont tjs pas compris l importance d une connexion sécurisés (à leur décharge, ils n ont pas été suffisamment formés là dessus) et s envoient des données médicales sur leurs comptes privés gmail, c est AHMA une faute professionnelle.



Plutot que de voter des lois renseignement pour mieux espinoner les gens, il faudait AMHA au contraire voter des lois pour obliger le chiffrement de toutes les communications sensibles.

&nbsp;







desktopherbivore a écrit :



La sécurité totale N’est qu’une —-CHIMÈRE—- une —–UTOPIE—-&nbsp;





On parle ici de gestion de risque. Chiffrer une communication diminue grandement le risque. Le risque 0 n existe jamais et ainsi la sécurité totale.&nbsp;

Comme tous les sujets de sociétés, il faut accepter qu il y aura tjs un risque. Aucun système de flicage autoritaire ne pourra empêcher un fou d eraser la foule avec un camion. Mais on peut grandement diminuer ce risque.

&nbsp;









petilu a écrit :



“C’est ici que la question du&nbsp;phishing&nbsp;entre en scène, et que de vieux préceptes de base doivent être répétés. N’ouvrez jamais sur votre machine des documents dont vous ne vous êtes pas assurés de connaître la source (notamment lorsque cela vient de sites comme 4Chan).“C’est de l’humour?







Peut-être de l’humour so british, un peu comme nos brainwatch made in’ lorsqu’ils mettent l’accent sur la séquence alcool mais ont l’obligation de meuh’meunner l’abud’alclémovélahanté.

&nbsp;

On a beau le répéter, faire des campagnes, pourtant l’alcool fait toujours autant de ravages et c’est toujours en distribution libre. <img data-src=" />



C’est bien connu, la prohibition a toujours fonctionné&nbsp; <img data-src=" />



Plus sérieusement, tu es peut-être trop jeune pour avoir connu les cantines et les bistrots du XXe Siècle, ou tu as oublié. D’ailleurs, d’après les statistiques, les Français consomment beaucoup moins d’alcool qu’il y a quelques dizaines d’années. Donc les campagnes de sensibilisation fonctionnent très bien.


Rassure toi, il n’existe pas de journaliste qui ne serait pas intéressé par ces documents, et ils n’hésiteront pas à diffuser les informations croustillantes qu’il y a dedans.



Ne serait-ce qu’en passant par le Canard Enchaîné qui se fera un plaisir de les diffuser.



Maintenant il faut bien dire qu’il n’y a rien de bien croustillant dans ces leaks, d’autant plus de croustillant concernant les sujets qui interessent les lecteurs de NXI <img data-src=" />


clair que j’ai vu plus croustillant qu’une pizza chez domino’s


Je ne suis pas d’accord. Certes, ce n’est pas du tout fait pour ça au départ, donc cela requiert de comprendre un minimum ce que l’on fait, mais si tu mets en place SPF avec uniquement les IP autorisées en strictes, que tu ajoutes DKIM/DMARC, que tu obliges à utiliser SSL (oui, ça reste sûr uniquement entre toi et ton serveur, mais ça évite bien des soucis et c’est vraiment le moins que l’on puisse faire). Évidemment, pour des échanges importants, il convient de signer numériquement et de chiffrer si besoin. Jusque là, rien de compliqué, je le fais pour les comptes dont je m’occupe. Mais si tu veux de la mobilité, il faut passer par un VPN pour s’assurer d’avoir une IP que tu connais.

Bien sûr, je ne dis en rien que tout ceci est parfaitement sûr et infaillible, mais ça évite au premier venu de tout faire.








joma74fr a écrit :



C’est bien connu, la prohibition a toujours fonctionné&nbsp; <img data-src=" />



Plus sérieusement, tu es peut-être trop jeune pour avoir connu les cantines et les bistrots du XXe Siècle, ou tu as oublié. D’ailleurs, d’après les statistiques, les Français consomment beaucoup moins d’alcool qu’il y a quelques dizaines d’années. Donc les campagnes de sensibilisation fonctionnent très bien.





En effet, on peut constater qu’une certaine forme de prohibition fonctionne bien avec les substances exotiques à caractère herbacé&nbsp;<img data-src=" />



Début du XXè non, mais mes grands-parents stockent tjrs leurs fûts de vin tout comme leur jambon et leur Pecorino qui mûrissent dans le sous-sol, que du bon’heur ^^



Concernant les campagnes je reste encore assez dubitatif, résident au centre d’une ville à forte population étudiante, ben c’est comment dire… open bar du jeudi au dimanche&nbsp;<img data-src=" />









megabob a écrit :



Il faut aussi crypter ses drives avec des outils type cryptomator





Putain mec l’école est gratuite.



les raisons sont simples: il y a une faille dans le protocole SS7 utilisé pour les communications mobiles (depuis la nuit des temps), et qui permet à des méchants de faire un peu ce qu’ils veulent avec les communications mobiles.

le léger souci c’est que SS7 est une norme, et que donc:




  • ça se patche pas en 2 jours.

  • ça concerne tout le monde.



    jusqu’ici tout le monde faisait la sourde oreille, mais là (“c’est le drame”, ou “patatras”, comme tu veux) des méchants ont réussi à piquer des thunes à des gens en récupérant leurs codes de 2FA envoyés par SMS.

    du coup là c’est plus pareil, puisque d’une faille théorique présentée au CCC en 2014 par des barbus, on passe à des attaques de banques (pour schématiser hein).



    “mon dieu mon dieu oulàlà, les barbus avaient raison (again)!

    en fait c’est vraiment important, nous on croyait juste que ça concernait le péquin moyen, et donc on s’en foutait! mais là, putain, les gars ils s’attaquent aux banques, c’est sérieux.”



    <img data-src=" />



    bref, maintenant tout le monde oublie le SMS pour le 2FA, et tout le monde passe bien gentiment sur Google Authenticator ou équivalent. <img data-src=" />


Merci pour les détails.

Il est vrai que j’avais entendu parler d’une faille sur le sms (il y a bien longtemps, d’ailleurs pas certain que c’était ça). Et ça ne me dit rien avoir lu une mise en application par des personnes malveillantes.

Quand je voie que depuis 3 ans, les banques s’en servent pour quasi tous les paiements… Et ce n’est pas demain qu’ils vont changer pour autre chose de plus sécurisé pour tout le monde !


y en a à l’Elysée aussi des grosses Canon.&nbsp; Dans les locaux du FSB je sais pas. (le mec s’est gourré dans la derniere image du Canon iPR C700 il a remis celui à 29K)

&nbsp; &nbsp;&nbsp;

Le plus marrant c’est la comm immédiate du parti “Il y a des faux documents dedans” alors que personne a eu le temps matériel de les analyser.


1- l’équipe EM a alimenté les pages de phishing avec de vrai/faux comptes mail (ie de vrais comptes google avec des discussions débiles dedans, qui se sont retrouvés partagés par les gogols américains qui ne captent pas un mot de français).

2- Il est de bonne guerre quand, 2h avant la fin de la campagne, une coalition internationale de fascistes et autres suprémacistes blancs leake 9Go de communications internes mélangées à des tas de docs n’ayant aucun rapport, de sous-entendre qu’il y a sans doute des fakes dedans. Connaissant les gugus, c’était pas un gros pari.

et compte tenu du temps qui leur était imparti (quelques dizaines de minutes), EM n’avait à priori pas mieux à faire.


Ils ont dit qu’il y avait des faux dedans, parce que c’est la seule chose que tu peux dire en 30 secondes qui met le doute sur 15Go de mails.



Quand bien même il y aurait eut des trucs compromettant, tu met le doute.

C’est la bonne réponse quand tu es à moins de 48h d’une élection pour limiter les dégâts.


A noter que le mail “bruit d’évier qui se vide” n’est pas dans les mails, la preuve, avec un peu de recherche on peut trouver la source :



https://twitter.com/MrHobbes_v2/status/860621624772620288



Oui, c’est lui qui l’a créé de toute pièce <img data-src=" />



Il n’y a pas, à ma connaissance de CLAIREMENT “pseudo faux” dans les mails … Tu as des faux (comme le coup de la coke qui n’est pas dans les mails et est fait pour nuire), des faux pour le troll (le coup des sons d’évier), quelques pseudo affaires (le coup de la commande de la drogue, mais c’est plus dommageable que positif).



J’ai du mal à imaginer que l’équipe Macron très bien placé dans les sondages irait s’amuser à faire ça <img data-src=" />








atomusk a écrit :



J’ai du mal à imaginer que l’équipe Macron très bien placé dans les sondages irait s’amuser à faire ça <img data-src=" />





c’est pourtant ce qu’a dit Mahjoubi.



Ce que je veux dire, c’est qu’il y a une “rumeur” sur le net que tout les macronleaks, n’est qu’une action des mecs d’en marche pour déstabiliser la fachosphère.<img data-src=" />



Qu’ils aient mis des honeypot, qu’ils aient fait des contre attaques & co, voir même diffuser de fausses info, à la limite, mais pas les 15Go quoi


c’est pas ce que je disais. ^^

d’ailleurs la majorité des données du leak sont authentiques.

c’est juste qu’il n’y a rien de scandaleux.


On est d’accord.








hellmut a écrit :



&nbsp;c’est juste qu’il n’y a rien de scandaleux.





Tu as un lien sur des journaux qui ont réellement analysé les 9Go de données, où tu ne fais que répéter les arguments de l’équipe Macron ? Parce que de mon coté, j’ai l’impression qu’aucun journaliste ne veux vraiment aller analyser en profondeur les documents.



Il se serait appelé Fillion ou Sarkozy, je pense que cela serait regardé de bien plus près. De plus, quand on voit la chronologie des évènements avant élections, encore une fois, pas un journal n’a creusé la question de savoir à qui à réellement profité le crime …



En encore bizarrement, on ressort des casseroles contre Guéant et cie. Drôle de timing n’est-ce pas ?

&nbsp;&nbsp;

Mais bon, faut voir le bon coté de l’élection du grand gourou : En 2017, l’Europe parle de la France avec les mêmes termes que ceux qu’elle utilisait en 2010 contre la Grèce.