Archives du mot-clé Sécurité

Arnaque aux petites annonces

J’ai souvent entendu parler des arnaques aux petites annonces, en particulier des offres d’Ivoiriens. Il se trouve que j’ai mis mon appareil photo en vente sur LeBonCoin.fr et que j’ai reçu trois offres différentes de personnes en Côte d’Ivoire désirant acheter mon bien (ce genre d’aventure m’est aussi arrivé par le passé sur eBay). Si j’ai tout simplement décliné l’offre du premier, j’ai choisi d’accepter l’offre des deux autres pour voir comment ils essaieraient de me rouler. Je vous propose mon expérience.

Première étape : l’accroche.

Suite à la publication d’une petite annonce, vous recevez un e-mail assez direct, du genre « je suis intéressée par votre offre, quel est votre dernier prix, je vous propose tant ». Là, deux écoles, soit on vous offre un peu plus que ce que vous demandez pour essayer de « ferrer » rapidement soit un poil moins pour ne pas éveiller vos soupçons.

Pour une offre eBay, on vous abordera par une proposition d’achat en direct, via la messagerie d’eBay, à un bon prix, mais avec un paiement par Paypal, mais sans passer par les enchères.

Dans tous les cas votre interlocuteur, qui à un nom « bien de chez nous » comme Gisèle Sory ou Franck Payet, vous explique qu’ils sont, je cite « présentement hors métropole pour des raisons professionnelles » ou « en ce moment en mission de travail hors de la métropole ».

Seconde étape : la conclusion de l’offre.

Si vous êtes toujours vendeur et que vous leur répondez, votre interlocuteur vous proposera un règlement vers un tiers de confiance comme Paypal, Western Union ou tout autre service ayant pignon sur rue. Pour ma part, je leur ai proposé de travailler avec Paypal, car je connais bien ce service. Il vous fournit aussi l’adresse de livraison. Afin de camoufler leur réelle identité derrière le nom français qu’ils vous ont donné pour vous rassurer, l’envoi se fera soit vers une boîte postale soit à l’attention de leur chauffeur ou de leur boy…

Troisième étape : le phishing.

Vous recevez alors un faux e-mail qui semble avoir été envoyé par le tiers de confiance choisi auparavant, arborant un beau logo et un langage administratif, prétendant que l’argent a été viré par le client au tiers de confiance et que la somme sera débloquée sous réserve que vous leur indiquiez le numéro de colis, j’ai reçu des message de ce style:

« Nous vous informons que votre transfert provenant du client franck.payet6@gmail.com demeure en instance, car nous ne disposons pas de preuve d’envoi. »

« Nous vous informons que vous avez un transfert en instance de € 650,00 EUR de la part du client. Suites aux nouvelles mesures de sécurité, vous devez nous fournir le numéro de suivi/tracking du colis qui prouve que vous avez effectivement envoyé le colis à l’acheteur à l’adresse : service.paiement_p@rocketmail.com pour valider votre paiement dans un délai de 24 heures. »

Si vous le faites, c’est que votre colis est parti et c’est déjà trop tard pour réagir. Les tiers de confiance ne travaillant pas de cette manière et vous ne récupérer pas votre paiement puisque l’argent n’a jamais quitté le compte de votre acheteur.

Comment limiter la casse ?

Avant tout chose, je vous déconseille de vendre à l’international. Si vous désirez avoir plus de visibilité, limitez votre ventre à l’Europe se sera bien suffisant. Sur eBay, évitez de sortir du système normal des enchères et du paiement avant expédition. Si l’acheteur ne veux pas vous payer avant l’envoi, il reste la solution certes onéreuse, mais sécurisée, de l’envoi contre remboursement.

Vista : accés aux partages réseau

Dans certains cas de figure, WIndows Vista refuse de se connecter à des partages réseau prétextant que le nom d’utilisateur ou le mot de passe fourni est incorrect. C’est généralement le cas lors d’une connexion à un poste Windows d’ancienne génération, Mac ou Linux (utilisant tous deux SAMBA).

L’origine de ce problème provient du réglage par défaut du protocole d’identification fixé à NTLMv2 (NT Lan Manager version 2) incompatible avec certaines versions de Windows et de SAMBA. Pour résoudre ce problème, il faut autoriser l’authentification avec LM et NTLM.

Cette modification doit être effectuée dans la base de registre bien qu’il soit aussi possible, uniquement pour les versions Vista professionnelles, de le faire dans le gestionnaire de sécurité système (gpedit). Pour modifier la clef de registre, il recherchez le dossier lsa dans

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

et fixez LmCompatibilityLevel à la valeur 0.

Vous trouverez en pièce jointe un petit fichier ZIP avec deux fichiers permettant de modifier automatiquement cette clef.

Pour mieux comprendre ou ne plus rien comprendre du tout, c’est selon, vous pouvez consulter la KB823659.

SSL pour Apache 2 sous Debian

Dans le cadre de mes fonction au Lycée Hôtelier de La Rochelle, j’ai été amené a mettre en place un serveur GEPI. GEPI est un utilitaire de gestion web de notes et de cahier de texte qui nécessite, de préférence, un hébergement sécurisé par SSL. La documentation de l’éditeur étant limité à l’installation sur un système Sarge et donc avec Apache 1.3, j’ai du l’adapter à Apache2. Ayant réalisé un petit howto pour mes collègues, je vous transcrit ici la partie concernant l’installation d’apache avec SSL et la création des certificat qui vont de pair.

D’après les sources suivantes :
Configuration du serveur Debian GNU/Linux – Installation de GEPI [PDF]
Installer une solution LAMP [HTML – 17/09/2007]
Apache Server Verson 2.0 – SSL/TSL Strong Encryption : FAQ [HTML – English]

1. Prérequis d’installation

1.1 Connaissances

Pour se sentir à l’aise avec cette documentation, il est préférable d’avoir quelques connaissances de base concernant GNU/Linux notamment en ce qui concerne l’utilisation de la ligne de commande. Cependant, si vous suivez à la lettre les informations données ici, vous devriez être apte à installer votre système sans problème.

1.2 Système Debian GNU/Linux

Avant de commencer la mise en service du serveur Apache2, vous devez avoir installé Debian GNU/Linux en version Etch. Dans la mesure où le risque de faille de sécurité augmente avec le nombre de paquets installé, il est recommandé d’utiliser une installation minimale. L’installation d’une interface graphique et donc plutôt déconseillée. Pour obtenir de l’aide à l’installation Debian GNU Linux, vous pouvez vous baser sur la documentation de GEPI qui a été réalisée pour la version précédente de Debian, mais qui peut être facilement adaptée ou sur l’excellent document Formation Debian GNU/Linux d’Alexis de Lattre (chapitre I).

1.3 Conventions typographiques

Les commandes à saisir en console sont écrites de la manière suivante :

$ apt-get install ntpdate

Le signe $ qui les précède n’est pas à recopier, il sert uniquement à illustrer le prompt de la ligne de commande.

1.4 Mise en service de la synchronisation de l’heure par Internet

Il est utile que le système soit à l’heure, nous allons donc installer ntpdate qui permet de synchroniser l’heure et la date par Internet :

$ apt-get install ntpdate

Pour régler l’heure vous pouvez utiliser la commande suivante :

$ dpkg-reconfigure ntpdate

1.5 Installation de l’éditeur nano

Pour simplifier la création de fichiers texte avec la console, nous allons installer l’éditeur de texte nano.

$ apt-get install nano

Les habitués pourront toujours se tourner vers vi.

2 Mise en service d’Apache2 avec SSL

2.1 Création des certificats

Pour authentifier notre serveur, nous allons créer un certificat autosigné. Ce type de certificat est moins reconnu que ceux fournis par une autorité officielle, mais permet de mettre en place un chiffrage SSL à peu de frais. Sa durée de vie par défaut est limitée à un mois, mais nous allons l’étendre à un an afin de couvrir une période scolaire suffisamment longue. Pour plus de sécurité, il est toujours envisageable de choisir une période de vie plus courte ou de se tourner vers une autorité officielle. Commençons par générer la clef RSA 1024 bits. Cette clef peut aussi être protégée par une passphrase, mais, dans ce cas, il faudra la saisir à chaque lancement du service Apache2.

$ openssl genrsa -out server.key 1024

Une fois la clef générée nous pouvons passer au certificat autosigné :

$ openssl req -new -x509 -days 365 -key server.key -out server.crt

Lors de la génération du certificat, vous devrez répondre à un certain nombre de questions. Soyez vigilant en ce qui concerne le “common name”, il faudra y mettre le nom ou, le cas échéant, l’adresse IP de votre serveur. Dans le cas contraire, le client internet retournera une erreur comme quoi le nom du propriétaire du certificat ne correspond pas à celui du site. Voici l’exemple de mon serveur GEPI…

$ openssl req -new -x509 -days 365 -key server.key -out server.crt

You are about to be asked to enter information that will be incorporated
 into
your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,
If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:FR

State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:La Rochelle

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Education Nationale

Organizational Unit Name (eg, section) []:Lycée Hôtelier de La Rochelle

Common Name (eg, YOUR name) []:194.254.62.20

Email Address []:ce.0123xyz@ac-poitiers.fr

Puisque ce certificat n’est pas fourni par un tiers de confiance, le client Internet retournera une anomalie lors de l’affichage du site. Cela est normal et n’affecte en rien l’utilisation et la sécurité de site. Il est par ailleur possible d’obtenir un « vrais » certificat chez Verisign, Thawte out autre.

2.2 Activation de SSL pour Apache2

Pour utiliser les clefs réalisées précédemment avec votre serveur Apache2, il est nécessaire d’activer le module SSL qui est maintenant livré avec le serveur web.

$ a2enmod ssl

On peut placer la clef et son certificat à n’importe quel endroit. Cependant, pour simplifier ce document, nous décidons de créer un répertoire spécifique dans l’arborescence d’Apache2.

$ mkdir /etc/apache2/ssl$ cp server.* /etc/apache2/ssl

Le service SSL est maintenant activé et les certificats sont en place, nous pouvons donc passer à la configuration du site.

3. Configuration du site dans Apache2

Apache2 est capable de gérer plusieurs sites, nous allons créer une configuration spécifique pour notre site en utilisant l’éditeur nano.

$ nano /etc/apache2/sites-available/gepi.conf

Une fois nano lancé, nous allons définir les différentes informations propre au site. La section VirtualHost doit retourner l’adresse IP ou le nom de domaine de votre serveur .

  # Nom du serveur et emplacement des fichiers

ServerName           Gepi_LTH
DocumentRoot         /var/www/

 
# Activation de SSL et emplacement des clefs

SSLEngine            on
SSLCertificateFile   /etc/apache2/ssl/server2.crt

SSLCertificateKeyFile   /etc/apache2/ssl/server2.key
 

# Définition des charset français (au cas où...)
AddDefaultCharset    ISO-8859-15
AddCharset           ISO-8859-15 .iso-8859-15 .latin15 .fr

Pour sauvegarder ce fichier utilisez la combinaison de touches [ctrl] + [x] puis quittez avec [ctrl] + [q]. Vous remarquerez que nous demandons à Apache2 d’écouter sur le port 443, le port spécifique au service https. Il sera indispensable de vérifier que la configuration de votre routeur pends en compte cette nécessité. Enfin, pour activer le site, il faut l’ajouter aux sites-enable et relancer le service Apache2 :

$ ln -s /etc/apache2/sites-available/gepi.conf /etc/apache2/sites-enabled/gepi
$ /etc/init.d/apache2 force-reload

Vous pouvez maintenant tester votre site en saisissant l’adresse du serveur depuis un ordinateur sur réseau. Vous devez voir apparaître une page commençant par “Placeholder page”.

Voilà, Apache2 est configuré avec SSL, il ne reste plus qu’a continuer avec PHP, MySQL et le site de votre choix.

Pour information je joins ici la documentation complète d’installation de GEPI.