14
Commentaires

Non, je n'ai pas piraté le site de la NSA...

La National Security Agency américaine n'a pas pour seule vocation d'espionner les télécommunications du monde entier. Elle est également en charge de la protection et de la défense des systèmes d'information de l'armée et des services de renseignement américains. La consultation de son site web consacré au contre-espionnage est d'ailleurs réservée aux seuls militaires US. Enfin, presque...

Derniers commentaires

J'ai testé (en essayant d'être discret, on ne sait jamais) ; bravo pour le parcours.
Sur le certificat de sécurité, cela illustre surtout que les "gros" n'ont rien à faire des règles imposées aux petits - ce qui n'est pas vrai que sur internet...
Leurs tests de révision sont "en dur" pour l'essentiel (réponse A => page A / réponse B => page B, etc.), et en effet, certains (au moins la roulette-puzzle) contiennent question et réponse, cela dit je doute qu'ils s'en servent pour autre chose que de l'entraînement et de la révision.
Le plus sidérant est, pour moi aussi, le côté décevant du contenu, presque pauvre, là où on peut si facilement jeter de la poudre aux yeux...

Avis aux amateurs de jargon : allez voir les présentations de séminaires chez Cap Gemini, par exemple celui sur la cybersécurité ou celui-ci qui propose entre autres (je cite) : "Comment piloter la trajectoire de convergence de l’existant vers une cible urbanisée"... Là, on voit qu'on est face à des professionnels, et pas des fillettes de la NSA !
Complètement dépassé par le sujet, je suis néanmoins admiratif de l'humour glacial de JM Manach.

Faute d'avoir été validé, le certificat de sécurité du site web n'était pas reconnu, ce pourquoi le cadenas et la mention https, dans la barre d'adresse, étaient barrés. Il suffit pourtant de cliquer dessus pour voir qu'il émane de l'"Us Government", et plus particulièrement du DoD (Department of Defense).

Euh, attention quand même...
(Disclaimer : je suis mathématicien, la cryptologie n'est pas ma spécialité, mais je ne pense pas dire de choses trop fausses ci-dessous.)
Imaginons un seul instant qu'un pays décide d'espionner les communications entre l'ordinateur de J-M. Manach et certains sites sensibles. Ils demandent à son fournisseur d'accès à Internet son adresse IP et installent une boîte noire chez ce FAI qui leur permettrait non seulement d'espionner le réseau, mais aussi de s'y immiscer. Voyant que Monsieur veut communiquer avec www.site-super-protege.org en utilisant le protocole https, ils décident de s'interposer (parce que sinon, en se contenant d'aspirer les données transmises, le chiffrement utilisé pour ces communications leur empêcherait de connaître les URL précises qui seront consultées ainsi que leur contenu) : ils répondent directement au navigateur Web de J-M. Manach en lui montrant une carte de visite (certificat) frelatée sur laquelle ils auraient écrit "US Governement/DoD" (c'est facile à faire avec une carte de visite papier si on a le bon grammage, la bonne imprimante, etc ; c'est à peu près pareil pour un certificat). La carte de visite est frelatée, en particulier, elle n'a pas été tamponnée par une autorité de confiance reconnue par les navigateurs Web (ce qui n'est semble-t-il pas le cas ici même pour le certificat authentique). Coup de bol, Monsieur clique quand même sur "I understand the risks...". Quand il veut accéder à la page https://www.site-super-protege.org/machin-tres-important/ la boîte noire le voit ; les espions savent quelle information JMM veut voir ; dans leur coin, ils vont récupérer eux-mêmes le contenu, et le font suivre au demandeur (éventuellement en le falsifiant, en remplaçant par exemple partout "Flanby" par "le très-respecté François Hollande") ; l'internaute ne se rend compte de rien... C'est le principe de l'attaque dite "Man in the middle"...
(PS: J'ignore si les boîtes noires prévues par le projet de loi Renseignement auraient le droit de faire ça.)
Je ne connais pas le droit US, mais ce genre de plaisanterie en France serait constitutive du délit d'intrusion :

Article 323-1 du Code pénal, « [l]e fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende ».

Outre ces sanctions, l’article 323-5 du Code pénal prévoit des peines complémentaires telles que la privation des droits civiques, civils et familiaux, l’interdiction d’exercer une fonction publique ou d’exercer l’activité professionnelle dans l’exercice de laquelle ou à l’occasion de laquelle l’infraction a été commise.

Concernant l'introduction via Google, la jurisprudence semble exonérer l'internaute s'il est de bonne foi, notamment s'il n'a pas cherché à exploiter une faille de sécurité du système...

En tous les cas, se faire prendre à naviguer dans un système censé requérir une autorisation d'accès, ça peut coûter cher en frais d'avocat.

Mais bravo pour cet excellent article.
Comme ils sont sympa, sur cette page ils proposent de télécharger un certificat du Department Of Defense.
On peut récupérer le bidule ici mais j'sais pas pourquoi, j'ai pas confiance...
Bravo. Excellent le coup des réponses dans le code source :-)
Dites le dragon la il est plutôt violet non (qui est la traduction de "purple")? Pourpre ça tend beaucoup plus vers le rouge... Si vous aimez pas le terme "violet" vous pouvez utiliser "mauve"...
Bon ! Si vous disparaissez de la circulation, on saura que c'est la NSA qui vous a chopé ! Et pourquoi !
:-))))))
Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.