La surveillance de masse
Aeris
Crypto-terroriste Chaton des Internet
GNU/Social : https://status.imirhil.fr/
Blog : https://blog.imirhil.fr/
Conférences : https://confs.imirhil.fr/
OTR : 5769 616D 2D3D AC72
Spoiler
- NSA : tout le monde il est méchant
- GAFAM : tout le monde il est con
- Quoi qu’on fait maintenant ?
Affaire Snowden
To be parano or not to be parano ?
Mythe ou réalité ?
-
Oui, la NSA surveille tout le monde
- Elle intercepte toutes les communications
-
Non, la NSA ne surveille pas chacun de nous
- Elle s’intéresse uniquement aux métadonnées
-
Mais chacun peut devenir une cible demain
- Parce qu’elle stocke tout quand même
- Et revoit en permanence son modèle de menace
- à 3 sauts d’une cible intéressante
Upstream
Écoute des communications trans-océaniques
PRISM
Accords de collaboration avec les GAFAM
Muscular
PRISM version ceux qui ne collaborent pas
Des exemples de trucs très moches
I Hunt Sys Admin + X Key Score
X Key Score
Moteur de recherche pour les métadonnées collectées
I Hunt Sys Admin
Intégralité des communications SSH interceptées
3 choses conservées : IP source, IP destination, date
Vous voulez accéder à la machine X ?
XKeyScore sur IP source capturée par IHuntSysAdmin
Si l’admin sys a utilisé un GAFAM ⇒ Bingo !
Internet Is For Porn / Optical Nerv
Internet Is For Porn
Collecte les métadonnées de consultation des sites de porn
Optical Nerv
Collecte toutes les 5s une image de toutes les webcam Yahoo!
90% de porn
Vous n’envisagiez pas une reconversion dans le renseignement ?
Vos petits copains seront certainement heureux d’apprendre des choses sur vous…
Quantum / Fox Acid / Turbine
JTrig
Quand même des trucs cools
La crypto (bien faite), ça marche
Tor, ça pue (pour la NSA)
GAFAM
Minitel 2.0
On ne pourra pas dire
qu’on ne l’a pas cherché
SSL/TLS
- SSLv2 déprécié depuis mars 2011 (RFC 6176)
- SSLv3 déprécié depuis octobre 2014 (Poodle)
- RC4 décrypté en temps réel par la NSA
- 3DES fortement déconseillé par l’ANSSI
- PFS : la NSA stocke en prévision d’une fuite de clef (Heartbleed)
- HSTS : la NSA s’amuse avec du SSL strip
SSL/TLS : Syndicats
https://imirhil.fr/tls/syndicats.html
SSL/TLS : Banques
https://imirhil.fr/tls/
SSL/TLS : Porn
https://imirhil.fr/tls/porn.html
Appels externes
Appels externes
Appels externes
CDN
CDN
- Akamai : AMD, Microsoft, Facebook, Airbus, McAfee, Monster, NASA, Nintendo, Department of Defense, Dolce & Gabbana, FedEx, Sony, Toshiba, Toyota, IBM, L’Oréal, Warner, Yahoo!
- CloudFlare : Goldman Sachs, NASDAQ, FBI, OkCupid, Meetup, Feedly, League of Legends, Minecraft, Reddit, Tumblr, Cisco, VMWare
- CloudFront (Amazon) : HTC, Expedia, Pinterest, Comcast, Nokia, Netflix, Adobe, AirBnB, Alcatel Lucent, Lamborghini, Citrix, Coursera, D-Link, The Guardian, Share This, SoundCloud, Spotify, Kellogg’s, Voyages SNCF
Fingerprinting
https://panopticlick.eff.org/
Fingerprinting
https://amiunique.org/
Fingerprinting
https://amiunique.org/
Misc
Problème des root CA
Pas d’IPv6, IPv4 épuisé ⇒ CGNAT, cache, MITM
Pas de DNSSec ⇒ DNS menteur
Projet de loi terrorisme, The Pirate Bay ⇒ censure
Cartes de fidélités, publicités, marketing…
Techniquement incompétent ⇒ leak de données
On fait quoi
maintenant ?
(Aka « on va tous mourir ? »)
Vive les techniciens
Malheureusement, le marketing prime avant tout…
- « Cloud »
- Objets connectés
- Mobilité
- Services centralisés
En tant que technicien, on doit refuser de faire n’importe quoi
- Déployer du TLS propre
- DNSSec / DANE/TLSA
- IPv6
- en site propre
En tant que citoyen
Du logiciel libre
Hygiène informatique « minimale »
Tout chiffrer
-
Disque dur (TrueCrypt
, LUKS)
-
SMS (TextSecure
)
-
Appels vocaux (RedPhone
)
Gestion correcte des mots de passe (KeepassX
)
En tant que citoyen
|
|
HTTPS Everywhere
AdBlock Edge
NoScript
Request Policy
µBlock
Cookie Monster
Disconnect
Certificat Patrol
Cryptocat
Privacy Badger
DNSSec
Calomel SSL validation
Pure URL / Au revoir UTM
En tant que citoyen
Autohébergement (blog, mail, site web, XMPP, pastebin…)
Tor, GPG, OTR, en permanence
Boycotter les services centralisés
Questions (#oupa)
chiffrofetes@okhin.fr (D093 4505 630B 1D0A)