Jump to content

GastronokThePonderous

Nouveau
  • Posts

    8
  • Joined

  • Last visited

Posts posted by GastronokThePonderous

  1. Paradoxalement, je suis plutôt optimiste. Le fait qu'on en parle, la manière excessive dont on en parle (Le président du Sénat sur France In(fo|ter) cette semaine demandant si "le cannabis de Traoré qui a commis ce crime atroce, il était récréatif lui?") et la situation actuelle me font espérer une légalisation à moyen terme (3 ans max). Après il y a de grandes chances que ça soit pour tuer le secteur à grand coups de taxes dans le museau (on ne change pas une équipe qui gagne), ce qui peux amener une situation rigolote d'offre légale mais de marché noir toujours florissant.

     

    Pourquoi?

    Aujourd'hui, à la veille d'élections qui peuvent servir de répétition des discours pour la présidentielle (si tant est que le résultat convienne et qu'on nous laisse bien faire notre pantomime quinquennale sans nous opposer la "prudence sanitaire" face au "risque de non-port du masque", "risque de contamination au variant" et, s'il le faut, "risque de saturnisme foudroyant et contagieux"), on fait l'essai d'un ratissage de voix. Tiens, taper sur les drogués, est ce que ça marche? Si on les amalgame avec les antisémites, les islamistes?

     

    Maintenant regardons de manière réaliste  ce dont héritera notre prochain tyran. Une économie en morceaux, des marchés qui seront probablement d'autant plus prudent à nous prêter que:

    • On aura une campagne tournant sans doute autour du thème de "on remboursera pas la dette covid" ou "sinon, on repackage ça en emprunt perpetuel, avec un mars et un bisou, ça passe?" ou encore "ces salauds de boches/de radins du Nord rembourseront à notre places"
    • Probablement de très bon scores pour les isolationnistes et les autoritaires

     

    face à tout ça, premier pays en termes de nombre de consommateurs, dont beaucoup voudraient juste qu'on leur foute la paix, qu'on les laisse avoir une vie pro/vie de famille sans risquer de se retrouver au gnouf pour un moment de détente le vendredi soir.

     

    Je pense que ça prendra la forme d'un "grand plan prévention qui passera par la création de filières d'excellences de production dont les profits seront redirigés vers la santé pour donner plus de moyens à nos zopitaux"

     

    Que le nouveau constructiviste en chef soit de droite ou de gauche. Pourquoi? Parce qu'il n'y aura plus un rond et qu'il y a peu de chance qu'on nous prête sans un assainissement en profondeur des finances publiques. Ce qui n'arrivera jamais tant qu'il restera quelque chose à taxer ou à ponctionner.

    • Yea 1
  2. Bon, il m'a pris l'envie aujourd'hui de créer un sujet pour échanger avec d'autres aviateurs sur le forum. je me suis dit que quelque chose sur le vol à voile/moteur dans la section hobby serait sympa, d'autant qu'après une recherche il n'y avait rien du tout.

     

    J'ai pas les droits pour, semble-t-il :mellow:

     

    @Neomatix sais tu si un tel topic existe, serais tu tenté pour le créer?

     

  3. Le 19/04/2021 à 20:54, L'affreux a dit :

     

    Mais non enfin ils ne vont pas offrir des smartphones ! Quel serait l'intérêt ? Gérer les paumés et les vieux croulants ? Allons. La cible à surveiller est déjà équipée.

     

    On ne le voit pas encore et ce n'est probablement pas du tout conçu et perçu comme cela par les décideurs impliqués, mais l'objectif sera finalement l'outil de contrôle. Le traçage de la maladie n'aura été qu'une excuse.

     

    L'exemple suivi plus ou moins consciemment est celui de la Chine et son application de surveillance des citoyens.

     

    EDIT : L'impératif d'égalité de traitement ne vous protégera pas. Lorsque vous achetez une voiture, il y a un certain nombre de contraintes qui sont imposées au sujet de la voiture et personne ne considère que cela défavorise les possesseurs de voiture vis-à-vis de ceux qui n'en ont pas. Si l'État décide que la possession d'un smartphone est conditionnée à l'utilisation de son application, eh bien ce sera le cas. Tout simplement.

    De manière intéressante on a déjà un cas dans le monde de ce type d'exigence et son implémentation. La Corée du nord. ça ne surprendra personne mais l'utilisation d'un ordinateur/smartphone y est conditionnée par l'installation d'un certain nombre de logiciels espions. Ils ont aussi créé leur propre OS (Red Star OS), une distribution linux.

     

    Du point de vue implémentation je vois plusieurs problèmes:

    • *échelle: jusque là on est incapable de fournir l'infrastructure pour les cours à distance, je parlerai pas des projets informatiques de grande ampleur. Imaginons qu'on puisse faire faire ça par un prestataire externe pour résoudre cette question
    • Controle: implémenter sans trop de trou un tel système reviendrait à avoir une chaine de confiance complète allant du hardware (puce TPM avec firmware signé par l'état) jusqu'au système d'exploitation. Aujourd'hui c'est un joyeux bordel et je ne pense pas notre administration capable de faire tenir une infrastructure à clé publique qui soit à la fois suffisament rigoureuse dans sa gestion et sécurisation pour être intégrée par les constructeurs ET politiquement acceptable. Pour mémo, il y a un autre état qui cherche à déployer ses certificats sur les téléphones des gens pour faire de l'interception et des écoutes c'est le Kazakhstan. Il s'est heurté au fait que les navigateurs n'ont que moyennement apprécié ces tentatives de compromission de la confidentialité des données.

    Il faudrait donc arriver à forcer la main aux fabricants de téléphones qui ont au moins autant à perdre qu'avaient les navigateurs sur une question similaire.  sans cela tout ce qu'on aura c'est une "suggestion" qui pourra être facilement contournée en désinstallant les applications/installant des systèmes d'exploitation alternatifs.

     

    •  Sécurité: si les clés de chiffrement correspondant aux certificats installés sont compromis par un tiers (acteur étatique) il pourra installer n'importe quoi sur les smartphones sans faire couiner de système de sécurité, ce jusqu'au niveau du système d'exploitation lui même. ça serait open bar. on peux dire "oui mais c'est déjà le cas avec samsung/apple/google" certes. Mais ils ont quand même un meilleur historique de préservation de leurs actifs cryptographique que l'état Français n'a avec tous ses projets informatiques

     

     

    Ce qui nous laisse la possibilité énoncée hier sur France Info: faudra un qr code certifié mais pas obligatoirement installé sur un téléphone.

     

    De manière intéressante il a été indiqué que:

    • ce QR code est infalsifiable car "certifié"
    • ce QR code est interopérable avec les systèmes d'autres pays d'Europe.

     

    Pour moi il n'y a qu'un type d'architecture qui puisse répondre à ces deux critères et qui soit réalistiquement déployable en quelques semaines par nos Saigneurs:

    • le QR code ne contient qu'un lien vers un site d'hébergement de résultat de tests/vaccins celui-ci donne un résultat signé cryptographiquement indiquant "monsieur dupont a été vacciné le X/X/20XX", ainsi qu'un certificat (similaire à ceux utilisés pour https) appartenant à l'état français.
    • Les différents Etats échangent leurs certificats et les douaniers n'ont besoin que d'une appli qui récupère le résultat d'examen au bout du qr code, vérifie que la connexion est bien signée par l'Etat d'où vient le voyageur et enfin que le nom dans la partie signée corresponde à la carte d'identité du voyageur.

     

     

    Maintenant la partie rigolote, où et comment est ce que ça peut foirer:

    • vulnérabilité sur la vérification de chaines de certificats, si la chaine est trop longue/boucle est ce que l'appli va dire "échec de vérification" ou valider par défaut? (en gros si je monte mon propre site et que je crée un certificat "Gastro1" qui signe plein plein plein de "GastroX" avec en bout de chaine "masanté.pastotalitaires.gouv.clowns" est ce que l'appli du douanier va pas juste regarder à la fin et dire "OK c'est bon" plutot que tourner pendant 10 minutes à analyser toute la chaine)
    • perte des clés: le stagiaire poste sur github la clé secrète du certificat signant les résultats d'examens
    • vulnérabilité sur le parsing du QR code: ba oui c'est pas simple de lire des QR code, ya pas tant de librairies que ça pour le faire et nos prestataires ont souvent tendance à prendre des vieilles versions parce qu'elles fonctionnent/sont déjà packagées dans des librairies maisons de l'entreprise (voir récemment celebritte et Signal où ils se sont fait coincer à utiliser une version mathusalémique de ffmpeg pourrie de vulnérabilités) dans ce cas là, bricoler un qr code qui crash le lecteur/affiche de fausses informations pourrait se faire mais la difficulté est que chaque pays aura probablement une appli différente pour lire ces QR codes
    • Attaque au niveau de la création des informations de vaccination. Les labos/entités conduisant les tests/vaccins ne sont pas tous à la pointe de la sécurité et peuvent être ciblés pour:
      • vol des clés de signature pour faire de faux certificats signés par le labo machin
      • utilisation de liaisons sécurisées pour uploader de faux certificats sur les serveurs de l'état si seul l'état signe les résultats de vaccins

    D'un point de vue économique, l'attaque numéro 3 (librairie de parsing de qr code) est celle qui fait le moins sens pour un attaquant, on peux donc l'oublier. l'attaque N°2 souffre du même problème (différentes implémentations selon les pays) mais est beaucoup moins couteuse à essayer, de plus c'est facile de monter un oracle: on tente de passer la frontière avec un qrcode test légèrement effacé (les QR code supportent les codes correcteur d'erreur donc c'est plausiblement déniable qu'on tente d'attaquer le système) et s'il ne marche pas on peut toujours se rabattre sur un vrai qr code.

     

    ça laisse l'attaque des labos. Simple. Social engineering, lacher de clés USB, surveillance du personnel... on tombe dans du très standard  et plus nombreux seront les entités à pouvoir créer des certificats de test/vaccination plus large sera la surface d'attaque.

     

    Enfin, bien sûr, on peut toujours corrompre un médecin/acteur interne d'une de ces entités pour avoir de faux certificats mais c'est trop facile et c'est pas drôle.

     

    Je me demande combien ça irait chercher sur Tor des faux certificats de vaccination une fois que les frontières commenceront à rouvri...

     

    • Yea 4
    • Love 1
    • Confused 1
×
×
  • Create New...