Archive pour 2010

Firesheep : le sidejacking pour les nuls

Dimanche 14 novembre 2010

Firesheep, à sa sortie, a fait l’effet d’une bombe. C’était ultra-prévisible, et pourtant ça a mis des années à être mis au point : un logiciel qui mette à la portée de tous l’écoute et l’injection de cookies qui circulent sur un réseau local. Ce concept d’attaque, qui permet assez facilement d’usurper l’identité de quelqu’un en ligne, est loin d’être nouveau, car il remonte à la création-même des cookies. Petite mise au point rapide.

Lorsque vous vous connectez à un site web en saisissant des identifiants, la plupart du temps, votre identité n’est vérifiée qu’à la connexion. Une fois cette étape franchie, un cookie est envoyé par le site vers votre ordinateur, constituant une sorte de laisser-passer valable pour une session. Cette session a une durée variable, et elle prend généralement fin lorsque vous cliquez sur “me déconnecter” ou lorsque vous cessez d’être actif plus d’un certain temps. Mais parfois beaucoup, beaucoup plus longtemps, je pense notamment à ces sites qui disposent d’une option “me maintenir connecté”. GMail, Facebook, eBay, la majorité des sites permettent cela, et c’est bien là-dessus que table le “sidejacking”.

Le sidejacking, ou plus prosaïquement “HTTP session jacking”, consiste à écouter le réseau (ou le “sniffer”, comme le disent les anglophones) et conserver tous les cookies qu’on peut y déceler, pour ensuite se les approprier et ainsi se faire passer pour la personne qui en est propriétaire, par une injection de ses cookies dans un autre navigateur. C’est un peu comme si vous achetiez un ticket pour une journée dans un club et que quelqu’un parvienne à en faire une copie parfaite sans que vous ne le sachiez. Il peut ainsi entrer en se faisant passer pour vous.

Le sidejacking n’a rien de très compliqué, l’essentiel pour le pirate étant d’avoir accès à votre réseau. Si vous êtes en réseau filaire, il doit pouvoir s’y relier, ce qui nécessite de pouvoir entrer chez vous. Si vous êtes en WiFi, il doit casser votre clé WPA. Car vous utilisez le protocole WPA pour vous protéger, bien entendu. Non ? Alors mauvaise nouvelle pour vous, vos identifiants en ligne sont faciles à “écouter”. Je ne reviendrai pas sur la problématique de sécuriser son accès WiFi, après tout même Hadopi menace de vous couper l’accès au net si vous ne vous protégez pas.

L’autre élément qui rend les sessions HTTP si faciles à analyser, c’est justement ce sigle de 4 lettres : HTTP. Vous avez probablement remarqué que certains sites sont accessibles par une adresse en “https://” au lieu de “http://” : ce tout petit “s” est la clé de tout. Car il signifie que la communication est chiffrée et ne peut donc pas être analysée par un autre utilisateur du réseau. Vos cookies continuent donc de circuler, mais sans être repérables, ni récupérables.

La triste réalité de bon nombres de sites web est là : ils ne chiffrent qu’une partie des échanges, les autres circulent en clair, à commencer par les cookies. Même si vos identifiants ne sont pas visibles directement, un utilisateur peut dupliquer les laisser-passer, surtout s’ils ont une longue durée de vie. Rassurez-vous, les sites de banque et de paiement en ligne sont passés au HTTPS depuis longtemps. Mais on ne peut pas en dire autant de tous les autres.

Voici donc, pour ceux qui ont pris peur à l’annonce de la sortie de Firesheep, quelques idées pour protéger vos précieuses données personnelles :

- Sécurisez votre réseau WiFi !! On ne le dira jamais assez, un réseau qui n’utilise pas le WPA est un réseau vulnérable en quelques minutes maximum ;

- Utilisez un webmail en HTTPS exclusivement : si quelqu’un peut se faire passer pour vous et accéder à vos emails, il a potentiellement accès à tous les sites que vous fréquentez en utilisant la fonction “mot de passe oublié” ;

- Essayez d’ajouter le fameux “s” à l’adresse de vos sites préférés, avec un peu de chance vous aurez ainsi accès au même service, mais de manière chiffrée de bout en bout. Hélas, certains sites, et pas des moins populaires, se refusent encore à offrir ce service (essentiellement à cause des ressources consommées… et de la naïveté de leurs utilisateurs) ;

- Sur le sites où des achats sont possibles, évitez absolument d’utiliser l’option “rester connecté” : privilégiez l’enregistrement des mots de passe par le navigateur. Cela reste une brèche de sécurité, mais nettement moins béante puisqu’il faut avoir accès physique à votre machine pour vous compromettre.

Pour finir, et pour reprendre les mots de l’auteur de Firesheep, ne soyez pas non plus parano en allant jusqu’à ne plus utiliser de réseaux WiFi ouverts. Le sidejacking n’est PAS une faille de réseau, mais une faille de sécurité sur les sites web. Si vous surfez sur un réseau non protégé, privilégiez systématiquement le HTTPS quand il existe, et si tel n’est pas le cas, déconnectez-vous du site dès que vous avez en avez fini avec le celui-ci.

Journalistes, protégez vos données !

Mercredi 27 octobre 2010

Et de trois ! Trois cambriolages quasi-simultanés chez des journalistes de trois journaux ayant tout particulièrement suivi l’affaire Bettencourt : Le Monde, Le Point et MediaPart. À chaque fois, c’est un ordinateur portable ou un disque dur externe qui a été dérobé. Jolie performance !

Le débat qui consiste à se demander si cela tient de la tarte à la coïncidence n’aura pas lieu ici (faut-il être un dangereux paranoïaque pour imaginer un tel complot, bande d’inciviques !). Non, ce qui m’intéresse ici, c’est que peut-être enfin va-t-on poser aux yeux du grand public le problème absolument fondamental de la sécurité des données.

On ne sait pas si les journaliste visés par ces vols avaient une stratégie de protection de leurs données, et ils ont tout à fait raison de se garder de le dire. Mais j’espère vivement que c’est le cas. Quand on travaille quotidiennement sur des données confidentielles, voire compromettantes, et pour lesquelles les fichiers informatiques ont force de preuve, on ne peut pas se permettre ni de s’en retrouver dépossédé, ni qu’ils tombent entre de mauvaises mains.

Dans un tel contexte, sauvegarder ses données et en rendre la lecture impossible est un DEVOIR, et je n’hésierai pas un instant à qualifier d’incompétent un journaliste qui ne s’intéresse pas à des outils de protection. Surtout que depuis quelques années, ceux-ci sont devenus très accessibles, et même gratuits pour certains.

Pour ceux qui n’ont pas encore lu mon petit tutoriel en trois parties et qui ne connaissent pas déjà TrueCrypt, voici une nouvelle chance de rattraper une inculture qui pourrait vous coûter cher… et pas seulement si vous êtes journaliste !

Grand Feu de Saint Cloud

Jeudi 17 juin 2010

Figurez-vous qu’à l’instar d’une bonne vingtaine de milliers de personnes, je me suis retrouvé à regarder le feu d’artifice organisé dans le parc de Saint Cloud samedi dernier. Censé être le plus gros spectacle pyrothechnique d’Europe, il n’a pas duré moins d’une bonne heure et demie non-stop, avec beaucoup de variété dans les formes, les couleurs, et même les sons. Un très bon moment.

Figurez-vous également que j’ai par moments dégainé mon petit appareil photo fétiche. Sans trop y croire, soyons honnêtes, vu que de telles prises de vue sont plutôt compliquées et nécessitent généralement plutôt un reflex.

Mais figurez-vous enfin qu’à bien y regarder, je suis plutôt content de ce que ça a donné, surtout pour de la prise de vue au jugé (il ne fallait pas se priver du spectacle !). Les clichés réellement intéressants sont rares, of course, cela dit je tiens à vous en montrer quelques-uns. Ne serait-ce que pour rendre hommage à ce brave petit DSC-T700 que j’aime tant ! :)

2 juin : Amanohashidate, la passerelle sur l’océan

Mercredi 2 juin 2010

Eh bien voilà, nous sommes arrivés à la dernière étape de ce périple en Asie. Demain je prends l’avion pour regagner la France et la vie de tous les jours dans ses rues sales remplies de gens impolis. Mais afin de quitter le pays sur la meilleure impression possible, il fallait un bouquet final. Et ce bouquet final a bien eu lieu, et il s’est déroulé entre Kinosaki et Osaka. Cet endroit porte un nom : Amanohashidate.

Amanohashidate

Amanohashidate est considéré comme une des troies plus belles vues paysagiques du Japon, les deux autres étant le grand torii flottant de Miyajima (présenté il y a quelques jours ici-même) et la baie de Matsushima. Et faites-moi confiance, il n’est pas exagéré de dire qu’Amanohashidate est une perle dans le domaine de l’esthétisme. En arrivant à la gare, on a très vite accès à un funiculaire (ou à des télésièges, au choix), qui vous emmènent en haut d’une colline d’où on a une superbe vue sur le site.

Amanohashidate

Concrètement, il s’agit d’une dune de plus de 3 kilomètres reliant les deux extrémités de la baie de Miyazu. Cette dune forme un chemin couvert de quelque 7000 pins et permet ainsi une promenade des plus agréables entre les deux parties de la ville. Tout au long de ce chemin, on longe deux plages différentes mais toutes deux magnifiques. Et une fois arrivé à l’autre bout, on n’a qu’une envie : faire le trajet en sens inverse !

Amanohashidate

Je n’ai pas eu beaucoup de temps pour explorer l’autre côté de la baie, hélas, les horaires de train étant assez implacables… J’ai néanmoins pu explorer le temple de Kono, à l’autre bout de la bande, qui n’est pas bien grand, mais reste un bel édifice. De même, le temple de Chionji se situe non loin de la gare, et le meilleur moment pour le visiter est juste avant de franchir le premier pont de la langue de sable. Comme toujours, les japonais honorent la divinité de l’élément caractéristique du lieu où ils se trouvent, et le font avec brio.

Pouf, pouf.

J’espère que ces aventures vous ont plu et qu’elles vous ont donné envie d’aller faire un petit tour au Japon, pays dont chaque région, ville et jusqu’à la plus petite ruelle est emprunte d’une culture à la fois ancestrale et moderne, avec un respect profond pour le travail des aînés, mais aussi pour que les générations présentes et futures puissent continuer à les honorer.

À la prochaine !

1er juin : Kinosaki, la ville aux sept onsen

Mardi 1 juin 2010

Vous pensez que c’était fini avec les ryokan ? Eh non ! Jamais deux sans trois ! Après avoir passé la nuit à Osaka, nous sommes cette fois parti vers le nord du Kansai (la région centrale du Japon) et sommes arrivés en début de soirée à Kinosaki. Cette petite ville de quelque 4000 habitants est connue principalement pour ses sept établissements de sources chaudes naturelles disséminés un peu partout.

Appelés “onsen”, ces établissements vous proposent de vous détendre dans des bains d’eau venant directement des volcans situés non loin de là. Naturellement chaude à un peu plus de 40°C, cette eau a paraît-il de nombreuses vertus sur la santé. Mais s’il vous prend l’envie d’essayer un onsen, n’oubliez pas de bien vous laver dans le coin douche de la salle ! Les japonais sont très sensibles à l’hygiène et chez eux il est impensable d’entrer dans un bain sans s’être consciencieusement frotté au savon et rincé.

Kinosaki est une ville un peu spéciale : la présence de ces sept onsen rapprochés fait qu’il est toléré de s’y promener en yukata, nom donné à ce kimono d’été, réservé normalement à la vie d’intérieur. Pour le touriste occidental, s’habiller ainsi pour aller d’un onsen à l’autre fait donc partie de la découverte de la culture locale.

Ce troisième ryokan fut de très loin le plus agréable : un appartement très spacieux avec deux pièces à vivre décorées avec beaucoup de goût, tout le confort sanitaire des hôtels modernes auquel s’ajoute un onsen au sein de l’établissement, un double kaiseki (soir et matin) de toute première qualité et plantureux servi directement dans l’appartement. Bref, un accueil particulièrement agréable… une expérience réellement inoubliable. Même moi qui étais un peu suspect devant le côté “hype” de cette ville, je me suis complètement laissé séduire par elle et prendre au jeu.

Retenez bien cette destination si vous allez au Japon pour découvrir ce que la culture locale peut avoir d’agréable !

31 mai : Koyasan, encore

Lundi 31 mai 2010

Le but de notre visite au Mont Koya n’était pas que passer une nuit dans un ryokan, c’était aussi de visiter les temples situés aux alentours. Aussi, après un second kaiseki, mais cette fois en version petit-déjeuner (servi à 7h du matin), nous avons entamé notre exploration.

Le premier site visité fut le temple Kongobuji. Construit en 1593 par Toyotomi Hideyoshi, il s’appelait alors Seiganji. Reconstruit en 1863, la restauration de Meiji quelques années plus tard fut l’occasion de lui donner le nom “Kongobuji” comme reconnaissance de son statut de temple le plus important de la secte Shingon. L’intérêt de ce temple est que son bâtiment principal est presque intégralement visitable de l’intérieur. On peut flâner dans les couloirs en suivant un parcours prédéfini mais pas obligatoire, et les salles sont ouvertes. Avec de la chance, on peut même assister à une cérémonie du thé en bonne et dûe forme !

Le second site, également très important, est Danjo Garan. En réalité, il s’agit d’un groupement de trois grands temples : Kondo, Fududo et Konpon. Sous ce dernier nom se cache une des plus jolies pagodes que j’ai pu admirer pendant tout mon voyage. Visiblement refaite (ou du moins repeinte) récemment, elle est proprement magnifique de par sa taille et ses couleurs. Qui plus est, sa salle principale est visitable… mais pas de photo autorisée ! :( Ce site est tout simplement bluffant, on se sent tout petit devant de telles structures ayant franchi les siècles.

Après cette visite, il était temps de repartir vers Osaka. Pour cela, il faut d’abord prendre un bus qui parcourt une route sinueuse au possible, puis un funiculaire qui descend une forte pente jusqu’à la gare où on peut enfin prendre le train. Ouf !

30 mai : Shirahama & Koyasan

Dimanche 30 mai 2010

La fin du séjour nous a paru le meilleur moment pour essayer quelques ryokan, ces auberges typiquements japonaises qui contrastent des hôtels à l’occidentale par leur confort, la proximité du personnel, et l’agencement des pièces. On trouve notamment des futons à la place des lits, des chaises et tables à ras du sol, et ces portes coulissantes en papier décoré.

Le premier ryokan que nous avons donc essayé est situé à Shirahama, une station balnéaire très courue des japonais qui viennent profiter de ses plages, de ses sources chaudes et de sa vie nocturne. À noter que le sable blanc des plages, très esthétique au demeurant, n’est pas naturel : il est importé d’Australie. Nous ne sommes restés à Shirahama que du soir au matin, mais j’ai néanmoins pu me balader le long de la côte et en prendre quelques photos, dont un panoramique qui a toute ma fierté.

Shirahama

Destination suivante : le Mont Koya (”Koyasan”). Il ne s’agit pas d’une montagne particuière mais plutôt d’une région montagneuse située au sud d’Osaka. Elle est le berceau et le quartier général de la secte bouddhique Shingon qui chapeaute pas moins de 120 temples et une université dédiée aux études religieuses.

Le ryokan dans lequel nous avons séjourné a pour nom Rengejo-in et est géré et tenu par des moines. On pourrait croire que le confort des chambres est spartiate, mais il n’en est rien. Beaucoup plus spacieuses qu’à Shirahama, et avec beaucoup plus de goût, l’auberge de la station balnéaire fait pâle figure à côté. L’ensemble du bâtiment est digne des temples visités un peu partout jusqu’ici, et toujours dans un état impeccable. Le jardin est un régal à regarder, et notamment ses dessins sur graviers très impressionnants.

C’est ici que nous avons eu droit à notre premier kaiseki, c’est à dire cette façon de présenter les repas sur des tables ou des plateaux couverts de petite vaisselle remplie d’un ou deux mini-portions. Religion oblige, menu végétalien pour tout le monde : ni viande, ni poisson, ni oeufs, mais des légumes, des fruits et du tofu à toutes les sauces. Un grand moment, ne serait-ce que pour la présentation visuelle du repas.

Plus d’informations sur Koyasan, avec une visite plus approfondie du site dans la note de demain.

29 mai : Kii-Katsuura

Samedi 29 mai 2010

Kii-Katsuura est une petite ville dont le principal attrait touristique est Nachi-no-Taki, la plus haute cascade du Japon (133 mètres). Le sanctuaire Naichi-Taisha a été érigé non loin en l’honneur du kami (divinité shinto) de cette cascade. Mais la visite de ce dernier n’est pas sans effort : un petit chemin boisé partant de la cascade monte de manière assez abrupte sur quasiment un kilomètres.

Kii-Katsura

Sur le chemin du sanctuaire, on tombe notamment sur une pagode à trois étages qui a l’immense qualité d’être visitable, aussi bien à l’intérieur que sur ses balcons. La vue offerte sur la vallée, la cascade, et même le sanctuaire à quelques centaines de mètres plus haut est formidable. Après la visite du sanctuaire dont quelque temples sont ouverts au public, on peut rejoindre la ville par un petit chemin constitué d’une série d’escaliers qui serpente au milieu d’échoppes vendant nombre de babioles d’artisanat local.

Kii-Katsura

Si vous pensez avoir tout vu en matière de cascades, je vous invite cordialement à venir voir celle de Nachi. Non seulement sa hauteur, mais également sa façon de s’écraser sur les grands rochers en contrebas lui confèrent une majesté et une élégance difficiles à égaler. On comprend aisément que les japonais, très pieux face aux esprits de la nature, voient en cette cascade un symbole de leur puissance. Le sanctuaire est quant à lui une merveille d’intégration au terrain très pentu… Et puis ce n’est pas tous les jours qu’on peut entièrement visiter une authentique pagode shinto !

Kii-Katsura

28 mai : Ise, la ville sacrée

Vendredi 28 mai 2010

Ise, dont l’ancien nom était Ujiyamada, est une ville située au sud-est de la préfecture de Mie. Sa principale caractéristique, pour le touriste, est d’abriter le Ise-jingu, le sanctuaire le plus sacré de tout le Japon.

Ce sanctuaire est divisé en deux entité distinctes et séparées de 6 kilomètres environ : les sanctuaires “extérieur” (geku) et “intérieur” (naiku). Pour des raisons pratiques, nous n’avons pu visiter que le second. Dédié à Toyouke-Omikami, déesse de la nourriture, du vêtement et du logis (les trois besoins vitaux). Ce sanctuaire est considéré comme le plus beaux des deux, même si toute sa partie centrale reste inaccessible au grand public. Seul l’empereur et quelques moines y ont accès. De hautes palissades empêchent tout regard indiscret, même si quelques toitures peuvent être aperçues par endroits. L’entrée de la partie centrale est gardée par de grand rideaux, qui rendent la porte visible lorsqu’il y a du vent.

Malgré cette limitation, ce sanctuaire reste une visite enchanteresse : la communion des énormes structures de bois et de la nature est saisissante, et l’harmonie qui s’en dégage est vraiment agréable à l’oeil. On se retrouve facilement à flâner pendant des heures malgré la relativement faible surface accessible. Parfois un daim peut être aperçu en train de fouiner dans un morceau de forêt, ou en train de traverser un chemin : l’animal y est sans doute au moins aussi sacré qu’à Nara ou à Miyajima…

27 mai : Hiroshima & Miyajima

Vendredi 28 mai 2010

Vous vous souvenez du fait que Nagasaki etait une cible secondaire au moment du largage de la première bombe atomique de l’histoire ? Sachez qu’Hiroshima, elle, était une cible tout à fait prioritaire, principalement parce que cette ville contribuait beaucoup à l’industrie de guerre, hébergeait une bonne partie de la garnison armée japonaise, et enfin ne détenait aucun prisonnier de guerre allié. C’est donc le 6 août 1945 à 7h15 du matin que l’Enola Gay fit exploser Little Boy. Le résultat est ici, dans cette photo panoramique publiée au musée commémoratif de ce triste événement :

Hiroshima

Avec tout le respect que nous avons pour l’Histoire, nous ne nous sommes pas éternisés dans ce musée qui glace le sang. Tout y est fait pour vous dégoûter de l’utilisation du nucléaire dans les armes de guerre, et il y parvient très efficacement. Nous avons donc décidé de passer le reste de la journée à Miyajima, une île considérée comme un des trois plus beaux points de vue du Japon.

Miyajima

Située à l’ouest de la baie d’Hiroshima, mérite réellement sa renommée. Les plages y sont bien aménagées, la vue sur les îles environnantes est saisissante, et on ne peut que rester muet devant un tel spectacle. Tout comme à Nara, bon nombre de daims se promènent parmi les passants et n’hésitent pas à renifler les sacs en quête de nourriture…

À quelques centaines de mètres du port se trouve le sanctuaire d’Itsukushima ainsi que son fameux Torii Flottant. Tous deux ont les pieds dans l’eau à marée haute et semblent flotter. À l’origine destiné à accueillir les bateaux arrivant sur l’île, il est aujourd’hui devenu un ornement. Pas de chance, nous aurons vu le torii surtout à marée basse, dans la vase, l’eau commençant juste à monter au moment du départ ! Ça reste néanmoins un monument unique de par sa taille et son emplacement, et il attire le regard en permanence.

Miyajima

Autre attraction de l’île : ses sites en hauteur, qu’on peut atteindre en marchant quelques heures ou en prenant un réseau de téléphériques. La vue de là-haut est royale sur toute la baie et les îles environnantes, et elle ferait presque oublier de visiter les temples construits au flanc de la montagne. La marche pour les atteindre est difficile, mais vaut clairement l’effort. Le cadre est beau et tranquille à la fois, et on finirait par se sentir presque proche de la zenitude !

Miyajima

En résumé, si vous passez par Hiroshima, ne manquez surtout pas de passer par Miyajima. C’est un véritable paradis pour les yeux et s’y promener est un régal.

D’ailleurs à propos de régal, c’est à Hiroshima que j’ai mangé mon tout premier okonomiyaki. Ce plat typiquement japonais consiste en une tranche plus ou moins fine de pâte à crêpe garnie de chou, de soja, ainsi que d’autres ingrédients adaptables selon les restaurants et les régions. Celles d’Hiroshima étant réputées pour intégrer des nouilles, elles m’avaient été chaudement recommandées. Conseil suivi, donc. Et dans le restaurant où nous étions, on les dégustait directement assis à la table de cuisson, avec une petite pelle. Pas de fioriture, juste un délice à l’état pur. Miam.