Re: question de sécurité

Page principale
Ce message fait partie du fil suivant :
MArborescence complète du fil triée par date
MHaricophile à <-
MHaricophile à ->

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: Guilde Mailing list
Sujet: Re: question de sécurité
    Bonjour,

Le 10/02/2023 à 10:18, Haricophile a écrit :
> Bonjour,
>
> Merci à Umatrix, sur une page du site de Musescore (pas toutes les
> pages), j'ai bloqué upollo.ai ainsi que les liens vers toutes les
> adresses par défaut des routeurs (192.168.1.1 etc) 

    Est-ce que tu peux être un peu plus explicite, et partager un lien sur 
la page en question.
    Parce que mise à part https://musescore.org/fr/node/344668 , et et un 
type qui balance une info avec aucun log, screenshot, trace tcpdump, etc 
...., j'ai du mal à savoir de quoi tu parles.


    A tout hasard, j'ai lancé un
find / -iname "upollo.ai"
sur mon disque, et je n'ai rien trouvé.


    Attends, je commence à comprendre : uMatrix n'est pas un pseudo, mais 
un plugin pour Chrome ?
https://chrome.google.com/webstore/detail/umatrix/ogfcmafjalglgifnmanfmnieipoejdcf?hl=fr
Ou firefox:
https://addons.mozilla.org/fr/firefox/addon/umatrix/


    Et donc tu dis qu'en parcourant un site web ( Musescore.org ou 
Musescore.com ? ), tu vois des connexions à des IP du réseau locales ?


    J'ai fait un test rapide en navigant sur musescore.com, avec un proxy 
filtrant http://www.privoxy.org/ , et j'obtiens tout un tas de connexion 
à (j'ai trié par un "sort -u", afin, de réduire la liste à )


accounts.google.com:443
    cdn.ustatik.com:443/
fonts.gstatic.com:443
mc.yandex.com:443/
mc.yandex.ru:443
    musescore.com:443/
    musescore.org:443/
    ocsp.digicert.com/
quantcast.mgr.consensu.org:443
s3.ultimate-guitar.com:443/
safebrowsing.googleapis.com:443/
secure.quantserve.com:443
storage.googleapis.com:443
www.google-analytics.com:443
    www.ultimate-guitar.com:443/



Les sites qui ont une tabulation ont pu se connecter à Internet.
Tous les autres ont été bloqués par Privoxy. 

    Je ne vois pas de connexion à des IP locales. Par contre, il y a 
clairement des URL que je bloque, et dont j'estime que je peux me passer 
de leur contenu. Dont leur code javascript (voir plus bas) ...

    

> Premièrement si je fais une recherche sur internet, je vois que grâce a
> cette saloperie d'espionnage commercial systématisé d'upollo.ai dont je
> ne saisis pas toutes la portée, des millions de data personnelles et
> professionnelles on été siphonnées parce qu'ils sont plus versé à
> casser la sécurité des autres qu'à assurer leur propre sécurité. 

    Liens ?


> A la base c'est juste une saloperie comme tant d'autre ? Un truc avec
> backend Israelien ou autre ? 

    N'ayant pas pu observer ce dont tu parles, je dirai que ce que tu 
observes, c'est un morceau de Javascript qui est chargé par une page web 
que tu visites, sous la forme d'un "fichier" (ou intégré dans la page 
web elle-même).


    Ce fichier va alors lancer des requêtes, via le moteur javascript de 
ton navigateur, et effectivement parcourir ton réseau local. Ou le reste 
du monde, bien entendu. Il pourra aussi renvoyer ce qui a trouvé ç un 
site web quelconque.


    Le fichier en question a probablement été rajouté par le webmaster du 
site, afin d'avoir une rétribution quelconque (pub par exemple), ou un 
service supplémentaire (des fontes Google par exemple).


    Ou alors, le site s'est fait piraté, et c'est un pirate qui a posé le 
fichier en question.


> Et ma vraie question, c'est que de toute évidence un changement
> d'adresse LAN de la box évite les désagrément de ce qui me semble comme
> ça une attaque massive.
>
> Je suis parano ? 

    Non, tu as raison de te méfier des sites web que tu visites. A une très 
large majorité ils sont là pour te fournir de la pub, et collecter des 
infos perso. Par exemple: tes habitudes de navigation.


    A ce niveau là de la discussion, je dirai que si tu as un smartphone, 
tu devrais aussi te méfier de toutes les applications qui tournent 
dessus, car elles font BEAUCOUP plus de collecte d'information ! :)


> Qu'ai-je le droit de mettre en adresse de sous réseau, avec quelles
> implication ? Si je réduis le dernier bloc ça me réduit la plage
> adressable de la box semble-t-il, ce qui n'a acune importance pour mon
> modeste domicile. 

    En terme de réseau PRIVE, tu as droit à:
- Le plus classique pour un réseau domestique ou une PME:
    192.168.0.1 à 192.168.255.254


- Ce qu'il a pour les gros réseaux locaux:
    10.0.0.1 à 10.255.255.254


- Et largement moins connu, mais qui fait parti de la norme:
172.16.0.1 à 172.31.255.254 

    Le plus classique pour un usage domestique est d'avoir un réseau en 
192.168.0.0 / 255.255.255.0 , ce qui te permet d'avoir 254 adresses IP 
disponibles. Le routeur + DNS étant généralement la box ADSL en 192.168.0.1


    Par contre, rien ne t'empêche de répartir tout tes adresses IP 
aléatoirement sur un 10.0.0.0 / 255.0.0.0 (16.777.214 d'adresses IP 
!!!), et mettre ton routeur en 10.056.143.221.


    Là, c'est clair que le morceau de javascript va avoir un peu de mal à 
trouver quelque chose...


    Ce calculateur d'IP te permettra d'y voir plus clair:
https://jodies.de/ipcalc



> Il faudrait que je prenne un bon cour réseau, dont IPV6 

    IPv6 et sécurité ? Oulà, mauvaise pioche ...


    Avec IPv6, la philosophie du truc est de ne plus avoir besoin de NAT. 
Donc ta machine est directement exposé à Internet. Aussi, si elle n'a 
pas de firewall, tu t'exposes à beaucoup plus de risques.


    Le réseau local IPv4 derrière un NAT limite cette exposition. C'est 
déjà pas mal, mais pas suffisant, notamment si tu as une machine du 
réseau local qui est infecté, et s'amuse à observer le réseau de 
l'intérieur (comme ce que tu décris).


    A noter que par défaut, beaucoup de machines ont une dual stack IPv4 + 
IPv6, donc si tu ne protèges que ton IPv4, tout le trafic IPv6 passera 
sans protection.


    Raison pour laquelle chez moi je ne suis qu'en IPv4, cela réduite déjà 
de 50% les trucs à gérer ! :)



> Si vous avez une bonne adresse très pédagogique pour les nuls... 

    Tu peux commencer par ma doc sur iptables, que j'avais introduit par un 
cours sur un rappel des bases d'IP :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-01.html


> idem pour les règles de filtrages. 

    Pour ce qui est de la navigation web, je dirai:
- arrêter de se croire protéger à 100% par un plugin comme
https://addons.mozilla.org/fr/firefox/addon/adblock-for-firefox/
et ses copains. Ils sont certes très bien, par contre tu n'as pas de 
contrôle sur les blacklist et whitelist. Donc ils peuvent laisser passer 
ce qu'ils estiment comme "pas trop" publicitaire. Le "pas trop" étant 
évidement à leur discrétion, et de celle de ... leur portefeuille !


- personnellement, je pense qu'il faut être acteur de sa propre
sécurité, aussi cela fait plus de 20 ans que j'utilise privoxy (lien
plus haut), avec en permanence un "tail -f /var/log/privoxy/logfile" sur
le fichier de log du proxy. Aussi, je détecte immédiatement les sites
web qui sont appelés en-dehors du site principale. Et généralement, je
bloque tout le domaine en le rajoutant à ma blacklist.

- quelques statistiques:
Nombre de noms de domaines, ou de partie de sites blacklistés: 2460 ,
soit environ 2 nouveaux par semaines sur 20 ans.
Ce n'est pas beaucoup, mais certaines règles sont un peu "larges":
.*.one
.*.ua
:)

D'autres règles sont plus ... systématiques:
docs.google.com
fonts.googleapis.com
.*.google-analytics.com
.*.google.*/.*/favicons
.*.google.*/coop/cse/brand
.*.google.*/csi
.*.google.*/extern_js/
.*.google.*/friendconnect/
.*.google.*/imghover
.*.google.com/js/bg
.*googledrive.com
.*.googletagmanager.com
.*googletagmanager.com
.*.googletagservices.com
id.google.com
imasdk.googleapis.com
partner.googleadservices.com
plus.google.com
plusone.google.com
sb-ssl.google.*
tpc.*googlesyndication.com
www.google.de
:) :) :)

- sur les derniers jours, nombre d'URL autorisés: 2375
- sur les derniers jours, nombre d'URL bloqués: 9043
=> Je bloque les 3/4 des URL ! 

    Évidement, la question se pose des connexions en HTTPS , qui masque 
complètement le **contenu** visité à Privoxy (les noms de domaine sont 
quand même vus, et peuvent être blacklistés). C'est à ce moment là que 
les plugins du navigateur se révèlent intéressants.


    Enfin, bien sûr les règles de bases:
- il faut avoir confiance en son OS -> Linux
- il faut avoir confiance dans son navigateur. Donc éviter Chrome, qui 
balance toutes les URL visitées à Google (lire le contrat de licence de 
Google)
- il faut faire un usage modéré des extensions de navigateur. Car elles 
ont accès à beaucoup (trop de chose)
- et enfin, jeter son smartphone.


    Cordialement,
                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  http://olivieraj.free.fr/
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!




Ce message a été envoyé sur les listes de diffusion suivantes :
Guilde
Informations sur la liste de diffusion | Messages voisins		<-Re: Script pythonRe: question de sécurité->
Archive des listes de la GUILDE administré par L'administrateurLurker (version 2.3)