#34c3 Jour 3 : Quelques images

Pour cette troisième journée au 34c3 à Leipzig, la première conférence de 11H30 portait sur la taxation des grands groupes de l’internet (dont les GAFAM), et en particulier sur les procédés d’évasion fiscale dont ils sont les spécialistes.

Il s’agit d’une belle plongée dans le monde merveilleux des affaires (koukou Elise Lucet).

Quelques images :

Seconde conférence, sur les DRM : Ces menottes numériques ou matérielles qui brident les utilisateurs dans l’utilisation de leurs biens ou services.

Ce qu’on perd avec les DRM ? L’accessibilité, par exemple la possibilité de modifier pour en faire quelque chose de mieux.

Les DRM restreignent l’utilisation des produits par l’utilisateur alors que c’est ce dernier qui paye le produit restreint…

Comment sortir du monde des DRM au quotidien ?

Quelques images :

Troisième et dernière conférence de la journée sur Wireguard : un paquet VPN qui est promis à un bel avenir.

Quelques images :

Pour conclure, quelques images du 34c3 :


#34c3 Jour 2 : Quelques images

Ce billet contient beaucoup de photos, il peut être long à charger.

Pour cette seconde journée au 34c3 à Leipzig, la première conférence de 11H30 portait sur l’interception concernant les mobiles : “Mobile Data Interception from the Interconnection Link” et était présentée par Silke Holtmanns.

Quelques images :

Seconde conférence de la journée : “Spy vs. Spy: A Modern Study Of Microphone Bugs Operation And Detection” : En 2015, l’artiste Ai Weiwei a été mis sous écoute chez lui, vraisemblablement par des acteurs gouvernementaux. Cette situation nous a sensibilisés au manque de recherche dans notre communauté concernant l’utilisation et la détection des microphones d’espionnage. Notre plus grande préoccupation était que la plupart des connaissances provenaient de films de fiction.

Quelques images :

Troisième conférence de la journée : “Internet of Fails” : consacré aux objets connectés et à leur absence de sécurité.

Une seule image :

Enfin, dernière conférence de la journée : “The Snowden Refugees under Surveillance in Hong Kong” à propos de la situation des réfugiés qui ont aidé Snowden.

En effet, depuis l’an passé, ils ont été systématiquement ciblés et persécutés par le gouvernement de Hong Kong sur la base de cet avis politique.

Edward Snowden est apparu en direct depuis Moscow :

Quelques photos :

Quelques images du CCC la nuit :

 


#34c3 Jour 1 : Quelques images

Petit retour en images sur cette première journée du 34c3 qui se déroule à Leipzig.

En coulisses, le staff prépare les T-shirts et hoodies, ils seront disponibles demain dès 14 heures :

Première conférence de la journée : #WTFrance présentée par Agnès et Okhin de la Quadrature du Net.

Cette conférence aborde les problèmatiques du chiffrement en France, au niveau de l’évolution et des récentes lois liberticides :

Evolution des différentes lois liberticides au fil des années :

Petit best-of des citations d’hommes politiques sur le chiffrement et/ou internet :

Petite conclusion via des propositions de solutions :

Petit tour par le village associatif et le stand de TOR :

Puis petite conférence sur la situation d’internet et des réseaux de communication en Iran présentée par Mahsa Alimardani :


Application Skred : Une copie à revoir

Depuis plusieurs mois, en écoutant la radio Skyrock, impossible de passer à côté de la publicité pour l’application Skred.

L’application propose “Enfin le vrai anonymat” qui utilise “toutes les techniques des services secrets”, afin de débunker cela, je vous propose la lecture de ce petit billet de blog.

Tout d’abord, l’application Skred est éditée par le groupe TELEFUN SAS, ce qui explique la publicité de cette appli uniquement et massivement sur la radio Skyrock.

Je vous propose quelques éléments de constatation et de réflexion, entrons dans le vif du sujet…

Eléments commerciaux :

  • En confondant anonymat et chiffrement, le discours commercial (via la publicité audio sur Skyrock) de cette application est totalement trompeur.
  • Concernant les demandes des autorités, il est indiqué ceci :

Que ce passe t’il si le gouvernement Espagnol (concernant ce qui se passe en Catalogne en ce moment) ou si le gouvernement Burkinabé fait une demande légale à Skyrock ? ou si le gouvernement Français fait une demande concernant les données d’un blogueur ? Comme le pointe justement NextInpact, “Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet”.

Très loin donc du “sans aucune trace.”

Eléments techniques :

  • Cette application est dévelopée, gérée et maintenue par une société commerciale.
  • On ne sait pas quel(s) protocole(s) de chiffrement sont utilisés afin de sécuriser les communications.
  • NextInpact pense que c’est WebRTC/XMPP qui sert de base pour la communication mais sans aucune information écrite ou solide là dessus.
  • On ne sait pas si il y a une vérification des contacts, ce qui peut-être problématique en cas d’attaque MITM (Attaque Man In The Middle, l’homme du millieu).
  • On ne sait pas si il y a un système de confidentialité persistante via le changement des clés.
  • Comment sont stockées les clés de chiffrement ?
  • Skred affirme que “Les technologies de chiffrement sont open source” mais ne précise pas quelles technologies sont utilisées.
  • Le code source de l’application n’est pas disponible.
  • Par conséquent, cette application, bien qu’elle prétend utiliser du logiciel libre, agit parfaitement comme une véritable boîte noire : on ne sait pas ce qui s’y passe dedans.

Conclusion :

Utilisez plutôt une application documentée qui a été auditée de manière indépendante et récente, dont le code source est disponible, qui utilise le chiffrement pendant le transit, dont les messages ne peuvent être lus par l’éditeur de l’application, qui impose la vérification des contacts, la confidentialité persistante via le changement des clés, très utile en cas de vol des clés (type PFS en quelque sorte).

Une application comme Signal par exemple (tutoriel pour Android, tutoriel pour iOS).

Par l’intermédiaire de ce petit billet de blog, j’invite Skyrock a mieux communiquer et à revoir sa copie.

Ne faites pas confiance aux discours commericaux, renseignez-vous sur les applications avant de les installer et de les utiliser.


Petit retour sur le GreHack 2017

 

 

Pour sa cinquième édition, le GreHack s’est un peu plus professionnalisé, toujours présentée en langue anglaise avec un programme assez chargé et varié, la conférence se déroule dans le même amphi depuis quelques années déjà.

Les améliorations apparues l’an passé comme le Wi-fi ont étés maintenues, notons l’apparition de grosses boîtes type Siemens et Google en tant que sponsors.

Cependant, l’organisation reste toujours DIY, et cela se remarque via les conférences non nommées disponibles sur Youtube ou le rangement des badges avant distribution peu de temps avant l’ouverture au public.

Le buffet (enfin, les buffets) sont toujours au rendez-vous et bien garnis.

Quelques images :