Vie privée en ligne Soyez anonyme
Qui sommes-nous? Patrick Mathieu Cedrick Chaput Security Consultant @ SecurityCompass.com Analyste en sécurité Hackfest.ca Co-founder Lead Hackfest.ca CTF
Index Définition Pourquoi la vie privée Qui en abuse et comment? Pourquoi en abuser? Êtes vous une cible ou une victime? Comment se protéger? Les outils (démo interactive) Saines habitudes de vie en ligne Habitude de vie en ligne paranoïaque! Discussion
Vie privée - Définition OQLF: Ensemble des phénomènes qui sont personnels, tant sur le plan physique que mental.
Vie privée - Définition Wikipédia: La vie privée est la capacité, pour une personne ou pour un groupe de personnes, de s'isoler afin de se recentrer sur sa vie privée et de protéger ses intérêts. La vie privée peut parfois s'apparenter à l'anonymat et à la volonté de rester hors de la vie publique.
Pourquoi cette conférence? Wikileaks Snowden NSA/CSIS/CSEC Spying Google Analytics Tracking Fausse publicité / concours / jeux
Pourquoi cette conférence?
Pourquoi la vie privée? Selon vous? En avez-vous de besoin? Avez vous quelque chose à cacher??
Pourquoi la vie privée? Mikko Hypponen (10:00) http://www.ted. com/talks/mikko_hypponen_how_the_nsa_betrayed_the_w orld_s_trust_time_to_act#t-885041
Vie privée, non négociable! Tout le monde y a droit, mais la plupart des nouvelles technologies et ceux qui les créent et utilisent, remettent souvent le tout en cause!
Qui en abuse? Internet analytics Marketing Black hat hacker Gouvernement Espionnage Autre?
Qui en abuse? - Pourquoi vous? Pourquoi êtes-vous une cible? Intelligence d affaire Intelligence militaire Intelligence marketing
Comment en abuse-t-il? Corrélation et statistiques Cookies Log Avez-vous déjà magasiné quelque chose en ligne et dans l heure suivante, des publicités de cet objet apparaissent dans Facebook ou d autre page?
Comment en abuse-t-il? - Oups!
Comment en abuse t-il? - Cookies
Comment en abuse t-il? - Cookies Google Analytics UTMA The Visitor Identifier UTMB 30 Minute session identifier UTMC On Exit session identifier UTMV Custom Variable Cookie UTMZ Visitor segmentation
Google Analytics Cookies UTMA The UTMA cookie defines a visitor. utma=123456789.123456789.1234567890.1234567890.1234567980.1 Domain Hash: The first number is the domain hash. This is set by all cookies from this domain. Visitor ID: The second number is a random unique ID. Initial visit: The third number is the unix time stamp for the initial visit and is set as soon as you enter the site. Note: by combining the random unique ID and the time stamp you get the Visitor ID for the session. This is what GA uses to determine unique visitors. Previous Session: The third number is the unix time stamp for the previous session. Current Session: The fourth number is the unix time stamp for the current session. Session number: This is the number of the session. So if this data has been written once before (since the last time you cleared your cookies) then this number will be 2.
Google Analytics Cookies UTMB & UTMC UTMB and UTMC are both session identifiers. Generally these just contain the domain hash, and (in B's case) some times some additional values. The key with these two cookies is in their expiry date. UTMB expires after 30 minutes unless it is re-written indicating the end of a session. The UTMC expires when the user closes the browser. If either of these cookies expires then GA knows to end the session for that visitor.
Google Analytics Cookies UTMV utmv=123456789.[customvar] UTMV allows you to place custom variables via SetVar. It consists of the domain hash, followed by the custom variable.
Google Analytics Cookies UTMZ utmz=123456789.1234567890.1.1.utmcsr= utmgclid=[ad click id] utmccn=[campaign] utmcmd= [medium] utmctr=[keyword] UTMZ sets your visitor segmentation, and contains all of that fancy information about sources and campaigns that you love to look at. Domain Hash: Yes, you guessed it, the first number is the domain hash. Time Stamp: The second number is the time stamp. Session #: Like in utma, this counts the visitors sessions. Campaign #: This counts each time a visitor arrives from a different campaign.
Google Analytics Cookies UTMZ - suite utmz=123456789.1234567890.1.1.utmcsr= utmgclid=[ad click id] utmccn=[campaign] utmcmd= [medium] utmctr=[keyword] utmcsr: This is the source of the visitor. Mp>utmgclid: This is the Google ad click ID (thanks to Andy in the comments for bringing this omission to my attention) utmccn: This is set by the campaign value of the url, or in the case of organic traffic it is (organic). utmcmd: This is set by the medium defined by the URL. utmctr: This is the keyword that brought the visitor here in search engine campaigns
Google Analytics Cookies _ga Maintenant le tout est remplacé par celui-ci qui est: _ga=1.2.286403989.1366364567; Version Multi session number across subdomain Random unique ID Unix timestamp
GA - Incognito mode? If a visitor accesses your website in a private/incognito browser window, Google Analytics will still track activity during the session, but the _ga cookie will not persist past the session. Any return visit will therefore be attributed to a new user.
Plus d infos sur GA https://www.e-nor.com/blog/googleanalytics/cookies-and-cookie-deletion-ingoogle-analytics http://www.cardinalpath.com/ga-basics-thestructure-of-cookie-values/
NSA uses cookies to track hackers http://www.washingtonpost.com/blogs/the-switch/wp/2013/12/10/nsa-uses-google-cookies-to-pinpoint-targets-for-hacking/
Ce que les GA cookies permettent Tracking d utilisateur sur un site Mais si vous possédez plusieurs sites? Tracking d utilisateur à long terme, car les cookies n expirent pas rapidement
Panopticlick https://panopticlick.eff.org/ Plateforme permettant de découvrir si vous ou plutôt votre browser est unique, et ce à partir de diverses techniques! How much entropy is needed to identify someone? As of 2007, identifying someone from the entire population of the planet required: S = log2 (1/6625000000) = 32.6 bits of information. Conservatively, we can round that up to 33 bits.
Panopticlick - techniques
Panopticlick - Live Test https://panopticlick.eff.org/ Quel est votre score?
EverCookie GA est dangereux, car Google est gros et reconnu, mais EverCookie! (http://samy.pl/evercookie/) Evercookie is a javascript API available that produces extremely persistent cookies in a browser. Its goal is to identify a client even after they've removed standard cookies, Flash cookies (Local Shared Objects or LSOs), and others.
EverCookie technics Specifically, when creating a new cookie, it uses the following storage mechanisms when available: Standard HTTP Cookies Local Shared Objects (Flash Cookies) Silverlight Isolated Storage - Storing cookies in RGB values of auto-generated, force-cached PNGs using HTML5 Canvas tag to read pixels (cookies) back out Storing cookies in Web History Storing cookies in HTTP ETags Storing cookies in Web cache window.name caching Internet Explorer userdata storage HTML5 Session Storage HTML5 Local Storage HTML5 Global Storage HTML5 Database Storage via SQLite HTML5 IndexedDB Java JNLP PersistenceService - Java CVE-2013-0422 exploit (applet sandbox escaping)
EverCookie - suite Ne peut être supprimé facilement! Invisible à l utilisateur Aucune installation du côté client Requis: Le caching, php, un fichier swf et quelques fichier evercookie doivent être sur le serveur Open source
EverCookie - Supprimer les cookies Si les HTTP cookies sont supprimés, LSO data et le HTML5 storage, le PNG cookie et le history cookies vont encore exister et resetter tous les autres cookies.
EverCookie - Multibrowser Avec Flash Local Shared Object cookie, le Silverlight Isolated Storage, le Java JNLP PersistenceService ou le Java CVE-2013-0422 exploit cookie, le cookie va se reproduire et réémettre dans les autres browsers!
EverCookie - Code <script src="evercookie.js"></script> <script> var ec = new evercookie(); // set a cookie "id" to "12345" // usage: ec.set(key, value) ec.set("id", "12345"); // retrieve a cookie called "id" (simply) ec.get("id", function(value) { alert("cookie value is " + value) }); function getcookie(best_candidate, all_candidates) { alert("the retrieved cookie is: " + best_candidate + "\n" + "You can see what each storage mechanism returned " + "by looping through the all_candidates object."); for (var item in all_candidates) document.write("storage mechanism " + item + " returned: " + all_candidates[item] + "<br>"); } ec.get("id", getcookie); </script> type="text/javascript"
EverCookie - Protection Présentement, seul le mode Private Browsing dans Safari block les evercookies après un restart du browser!
Pourquoi en abuser? $ $$ $$$ $$$$ Profit
Êtes-vous une cible? Toute personne sur Internet est une cible potentielle pour : Le marketing en ligne Le piratage de votre ordinateur (CPU) Vos informations personnelles?
Protections Browser plugins: NoScript / ScriptSafe FlashBlock Disconnect.me Do Not Track Me Ghostery (https://www.ghostery.com/en-gb/home) Priv3 Self Destructing Cookies HTTPS Everywhere Privacybadger (https://www.eff.org/privacybadger)
Protections - Les outils Pour être anonyme: TOR / Tails I2P VPN / VPS http://en.wikipedia.org/wiki/anonymous_p2p
Protections - Les outils Pour discuter de manière anonyme: Pidgin + OTR +TOR + VPN Tails (OS, ou VM, mais non recommandée) GPG : Enigmail
Protections - Les outils Pour Mobile: Orbot TextSecure (SMS) RedPhone (Appel téléphonique) Orweb GPG ChatSecure (hangout, xmpp, etc.)
Protections - Les outils en ligne https://duckduckgo.com/about http://duckduckhack.com/ Tor search engine https://ahmia.fi/search/
Protections - Les problèmes en ligne Facebook fake apps, publicity and pages:
Protections - Les problèmes en ligne ClickJacking
Saines habitudes de vie en ligne
Saines habitudes en ligne Utilisation de TOR: Tor en mode Router (Transparent Proxy qui reçoit tout le trafic Internet) https://trac.torproject. org/projects/tor/wiki/doc/transparentproxy Tor en mode VmProxy (QubeOS) https://www.qubes-os.org/doc/userdoc/torvm/
Saines habitudes en ligne Utilisation de TOR mobile:
Saines habitudes en ligne QubeOS TorVM
Saines habitudes en ligne - Résumé Empêcher le plus de cookies Blocker les scripts, Flash, Java et tout autre plugin Mode anonyme et non connecté Pas votre IP personnel (VPN, TOR, I2P, etc.) Ne pas utiliser Google, Yahoo, etc Ne pas uploader de document avec des metadata (Voir: exiftool et FOCA)
Saines habitudes en ligne - Résumé Ne pas divulguer d information personnelle Éviter les réseaux sociaux ou autre sites qui dévoilent votre identité lorsque vous naviguez anonymement! Avoir un clean courriel Vous pouvez être sous surveillance à votre emploi, garder vos informations sur votre propre ordinateur Éviter les publicités, sites avec des prix à gagner, etc. Toujour supprimer les spams Utiliser de l encryption pour vos fichiers et communications (GPG, PGP) https://www.eff.org/wp/effs-top-12-ways-protect-your-online-privacy
Soyons paranoïaque! Habitude de vie en ligne
Habitudes paranoïaque en ligne Identique à saine habitude (normale), en plus de : Ne pas utiliser votre connexion internet (autre wifi, autre ville, etc.) Tout courriel utilisé doit être créé via un ordinateur Safe, un réseau safe via une communication chiffrée et non liée à votre identité Éviter d écrire avec des patterns Éviter de contacter des personnes que vous connaissez en indiquant qui vous êtes
Habitudes paranoïaque en ligne Pas d achat en ligne Paranoïque++: Cash seulement Éviter caméra Etc?
Discussion - Questions?