septembre 2013 (3)

vendredi 13 septembre 2013

Travailler avec les volumes chiffrés de TrueCrypt sur Debian

TrueCrypt est un outil de chiffrement de volumes qui souffre de deux défauts majeurs : il n'a pas d'activité récente, et pour des raisons de licence n'est pas inclus dans Debian. Son alternative libre est tcplay, disponible dans les dépôts.

Package: tcplay

Maintainer: Laszlo Boszormenyi (GCS) <gcs@debian.org>

Description-en: Free and simple TrueCrypt Implementation based on dm-crypt tcplay is a free (BSD-licensed), pretty much fully featured (including multiple keyfiles, cipher cascades, etc) and stable TrueCrypt implementation.

This implementation supports mapping (opening) both system and normal TrueCrypt volumes, as well as opening hidden volumes and opening an outer volume while protecting a hidden volume. There is also support to create volumes, including hidden volumes, etc.

Since tcplay uses dm-crypt it makes full use of any available hardware encryption/decryption support once the volume has been mapped.

Homepage: https://github.com/bwalex/tc-play

L'approche utilisée ici est d'utiliser un disque dur entier dédié au stockage sécurisé. Nous mettrons en place un volume normal qui contiendra des données de leurre, ainsi qu'un volume caché dédié au travail réel.

Notes techniques :

  • le disque dur utilisé dans cet exemple est accessible via /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853[1]. Il contiendra uniquement un volume normal; pas même une table des partitions ;
  • les volumes sont successivement montés dans le répertoire courant ./tc ;
  • on utilise /dev/mapper/truecrypt pour le mappage des volumes  ;
  • on utilise des méthodes de chiffrement différentes pour le volume normal et le volume chiffré. Si une méthode est cassée, ça serait dommage que tous les volumes soient affectés.

Mise en place des volumes de leurre et caché

Opérations réalisées ici :

  1. créer les volumes ;
  2. remplir le volume de leurre, ainsi que le volume caché ;
  3. fermer les volumes et nettoyer le système.

Sur le disque entier, créer un volume normal avec un volume caché dedans

sudo tcplay --create --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853 \
  --cipher TWOFISH-256-XTS,AES-256-XTS \
  --pbkdf-prf=whirlpoe-erase \
  --hidden --cipher-hidden AES-256-XTS,SERPENT-256-XTS \
  --pbkdf-prf-hidden RIPEMD160

Ouvrir le volume normal, en protégeant le volume caché. Le volume normal est mappé sur /dev/mapper/truecrypt

sudo tcplay --map=truecrypt \
  --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853 \
  --protect-hidden

Formater le volume normal

sudo mkfs.xfs /dev/mapper/truecrypt

Monter le volume normal

sudo mount /dev/mapper/truecrypt ./tc/

Remplir le volume normal avec des données de leurre. Par exemple des clés privées ssh, des données bancaires, des reçus des impôts… Le but est de justifier l'usage d'un volume chiffré.

sudo cp ~/.ssh/id_ecdsa ./tc/

Démonter le volume normal

sudo umount ./tc

Supprimer le mappage du volume normal

sudo dmsetup remove /dev/mapper/truecrypt

Ouvrir le volume caché Le volume caché est lié à /dev/mapper/truecrypt

sudo tcplay --map=truecrypt --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853

Formater le volume caché

sudo mkfs.xfs /dev/mapper/truecrypt

Monter le volume caché

sudo mount /dev/mapper/truecrypt ./tc/

Remplir le volume caché avec des données sensibles. Par exemple, des clés privées PGP, des photos personnelles, votre plan de conquête du monde, etc.

sudo cp ~/.gnupg/secring.gpg ./tc/

Démonter le volume caché

sudo umount ./tc

Supprimer le mappage du volume caché

sudo dmsetup remove /dev/mapper/truecrypt

Travailler dans les volumes de leurre et caché

Actualiser les données du volume normal :

  1. ouvrir le volume caché : sudo tcplay --map=truecrypt --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853
  2. monter le volume caché : sudo mount /dev/mapper/truecrypt ./tc/
  3. travailler
  4. démonter le volume caché : sudo umount ./tc
  5. supprimer le mappage du volume caché : sudo dmsetup remove /dev/mapper/truecrypt

Actualiser les données du volume normal :

  1. ouvrir le volume normal, en protégeant le volume caché : sudo tcplay --map=truecrypt --device /dev/disk/by-id/scsi-SATA_QUANTUM_FIREBAL692705570853 --protect-hidden
  2. monter le volume normal : sudo mount /dev/mapper/truecrypt ./tc/
  3. actualiser les données de leurre
  4. démonter le volume normal : sudo umount ./tc
  5. supprimer le mappage du volume normal : sudo dmsetup remove /dev/mapper/truecrypt

Note

[1] Disque dur Quantum Fireball TM1280A provenant de mon vénérable PowerMac 4400 (processeur PPC 603ev, 96Mo de RAM) datant 1996. Ce disque de 1,2Go présente toujours zéro secteur défectueux et tourne comme un charme. Pas comme les saloperies de disques durs actuels qui meurent au bout de 3 ans, alors qu'ils bossent à peine

lundi 9 septembre 2013

Interview : « Convergence Numérique № 50 — Cybersurveillance : transparence ou décadence ? »

Vincent Touati voulait réaliser une discussion sur le thème des révélations de Snowden et l'espionnage mondial réalisé par la NSA. J'y ai participé avec grand plaisir.

Le 6 Juin 2013, la planète découvre qu'elle est espionné par la première puissance économique, politique et militaire mondiale. L'affaire Snowden met en lumière les pratiques gouvernementales surveillant les données privées de ses propres citoyens, mais aussi à l'international. C'est ce dont est accusée la NSA envers les services secrets Allemands (la BND), ainsi que dans d'autres conflits infra-nationnaux.

Pour débattre sur le sujet, Jérome Choain, blogueur engagé et influent sur les sujets numériques, accompagné de Damien Clauzel, professeur à l'université Claude Bernard à Lyon, et enseignant connecté aux nouvelles technologies. Il donneront leur avis sur les sujets nommés ci-dessus, en orientant notre débat sur d'autres problématiques : neutralité du net, indépendance des médias, manipulation de l'opinion publique…

@article{Clauzel:2013:Cybersurveillance-transparence-ou-decadence,
  title = {Cybersurveillance : transparence ou décadence},
  journal = {Convergence Numérique},
  number = {50},
  year = {2013},
  month = sep,
  day = 9,
  url = {https://Damien.Clauzel.eu/post/2013/09/09/Interview-%3A-%C2%AB-Convergence-Num%C3%A9rique-%E2%84%96-50-%E2%80%94-Cybersurveillance-%3A-transparence-ou-d%C3%A9cadence%C2%A0-%C2%BB},
  url = {http://www.convergencenumerique.net/cybersurveillance-transparence-ou-decadence-debat-pod50-snowden-nsa/},
  url = {https://Damien.Clauzel.eu/Publications/Documents/Divers/2013-09-09%20-%20Convergence%20Num%c3%a9rique%20n%c2%b050%20-%20Cybersurveillance,%20transparence%20ou%20d%c3%a9cadence%20%3f.webm},
  url = {http://youtu.be/GBtmfsJEC9g},
  author = {Clauzel, Damien and Choain, Jérôme and Touati, Vincent},
  keywords = {podcast, internet, interview, presse, surveillance},
  language = {french},
  abstract = {Le 6 Juin 2013, la planète découvre qu'elle est espionné par la première puissance économique, politique et militaire mondiale. L'affaire Snowden met en lumière les pratiques gouvernementales surveillant les données privées de ses propres citoyens, mais aussi à l'international. C'est ce dont est accusée la NSA envers les services secrets Allemands (la BND), ainsi que dans d'autres conflits infra-nationnaux.

Pour débattre sur le sujet, Jérome Choain, blogueur engagé et influent sur les sujets numériques, accompagné de Damien Clauzel, professeur à l'université Claude Bernard à Lyon, et enseignant connecté aux nouvelles technologies. Il donneront leur avis sur les sujets nommés ci-dessus, en orientant notre débat sur d'autres problématiques : neutralité du net, indépendance des médias, manipulation de l'opinion publique…}
}

dimanche 1 septembre 2013

Évitons les prochaines victimes des zombies

Dans les films de zombies, j'ai toujours été étonné de voir les héros se castagner des suceurs de cerveaux avec moultes armes toutes les plus visuelles et imaginatives les unes que les autres — machette, katana, arbalète, tronçonneuse, pulvérisateur d'acide, etc. — mais quasiment jamais de protections. Peut-être est-ce pour ajouter un élément dramatique de danger, mais en tout cas, pour un rôliste, c'est une erreur stupide de la part des héros.

Zombie

Qu'il soit de type lent ou rapide, faible ou surpuissant, le zombie attaque de la même façon : il déchire les corps avec ses doigts, et arrache la chair avec ses dents. Pas d'armes de corps à corps ou à distance, pas de stratégie, c'est droit devant ! Et de préférence avec des giclées de sang.

Là où est mon problème, c'est qu'il est très simple de se protéger efficacement contre les morsures de zombies. Ils attaquent en priorité les parties hautes — au dessus de l'abdomen car leur bouche se trouve en hauteur — ainsi que les membres supérieurs — le héros utilise ses mains pour attaquer et repousser.

Ces morsures sont assimilables à des dommages légers, bien inférieurs à ceux que pourraient provoquer un sécateur ou un poignard. On peut donc facilement supposer que des vêtements de sécurité apportent une protection adéquate.

Ces protections se trouvent très facilement, avec des niveaux de couverture variés, mais de qualité toujours suffisante pour des morsure de mâchoire humaine.

Komodo Gear - Motorcycle Leathers and Clothing

Forces de l’ordre : les membres de l'armée, de la police, des services de sécurité privé et autres disposent de nombreux équipements de protection standard. La quasi totalité étant en vente libre, et dans tous les cas accessibles au personnel (surtout en cas d'apocalypse).

Ainsi, on peut songer a des t-shirt en kevlar, des vestes en kevlar, ou encore des gants de sécurité.

Vêtements de sécurité : les travailleurs — forestiers, ouvriers en bâtiment, etc. — sur le terrain doivent se protéger des risques de leur métier. Les cabines de chantiers et les réserves sont remplies de différents équipements répondant aux législations en vigueur. Après tout, si une veste peut arrêter une chaîne de tronçonneuse, elle est aussi capable de résister à une paire de molaires.

On a ainsi des pantalons de sécurité, des vestes de sécurité, des manchettes de sécurité, des sur-gants gauche de sécurité, et des sur-gants droit de sécurité, et casques de sécurité

Jardinage et bricolage : le grand public n'est pas oublié. Il peut se rendre dans sa boutique de jardinage/bricolage préférée, et en repartir les mains pleines.

On trouve partout des gants anticoupure, des manchettes anticoupure, et des salopettes anticoupure.

Mais aussi, les vêtements de moto (veste, gants, pantalons) fournissent une excellente protection contre la déchirure et la perforation. Mais pour les équipements en cuir, attention : seuls les cuirs épais sont suffisamment résistants. Votre pantalon moulant en cuir d'agneau est du plus bel effet en soirée, mais totalement inutile durant une apocalypse.

Et pour les chaussures ? Baaaah, des New Rock bien sûr ! Car avoir la classe, c’est important quand on éclate des mort-vivants.

Aussi, la prochaine fois que vous regarderez un film de zombies, vous pourrez vous exclamez en connaissance de cause « mais quel abruti ce type, pourquoi il n'a pas pillé le magasin juste à côté au lieu de se balader à poil avec son démonte-pneu !? »