Bonjour, Invité · Connexion · Inscription
Pages : 1 2 Suivant

lapin · Administrateur

27-07-11 13:12:09

11-07-11 · 13 872

  81 

_yhIEN.jpg




Bonjour à tous !!!


Comme vous avez dû le voir en lisant le règlement, Bass Expression met en avant une politique de sécurité très importante.

Cette politique est mise en place afin de répondre à une demande croissante de la part des acteurs du mouvement de faire cohabiter internet et sécurité. 


En effet nombre de forum Français sont hébergés par des Services gratuits (Forumactif XOOIT...) ou sur des serveurs situés en France.
De tels services sont très pratiques mais empêchent un développement de ces forums vers du contenu réellement libre. La menace de la fermeture étant souvent au dessus de leurs têtes.


Pour comprendre l'enjeu de la sécurité de vos données personnelles, je vous recommande de prendre note des définitions suivantes:


Adresse IP : http://fr.wikipedia.org/wiki/Adresse_IP

Hébergement : http://fr.wikipedia.org/wiki/H%C3%A9bergeur_web

Nom De Domaine : http://fr.wikipedia.org/wiki/Nom_de_domaine

Serveur : http://fr.wikipedia.org/wiki/Serveur_informatique



Prenons l'exemple d'un forum français techno:




Je poste une info pour un teknival illégal avec un appel aux sons.

Immédiatement le réseau des RG s'active pour essayer d'identifier quelle personne se cache sous ce pseudo.
 
Pour Cela Leurs possibilités vont de:

-réclamer l'IP du posteur à l'administrateur du site. En effet chaque admin doit, depuis la mise en place de la LOPSI, veiller à conserver les IP de ses Membres afin de les fournir en cas de requêtes de la Police.

Rappelons que pour connaître l'identité d'un admin de site internet non-hébergé sur les hébergeurs gratuits classiques, il suffit de réaliser un WHOIS sur le Nom de Domaine via des sites comme :  http://whois.domaintools.com

-En cas de WHOIS privé comme par exemple les forums sur Forumactif,  Ils peuvent prendre contact avec le vendeur du Nom de Domaine afin d'obtenir les données personnelles de la personne ayant payé pour ce Nom de Domaine.
Si Le vendeur du NDD est français ou européen il sera tenu de donner ces informations.

-Prendre contact avec l'hébergeur. Si celui-ci est français ou européen il sera tenu de donner ces informations. L'hebergeur se  verra donc contraint de fournir votre IP directement.

-Autre solutions, pour des affaires plus importantes, je vous l'accorde: une saisie physique de votre serveur afin de récupérer toutes les données contenues sur votre site internet, base de données Incluse

-Enfin le Hack pur et dur mais ça, à par des présomptions, rien ne permet de l'affirmer.




Prenons maintenant l'exemple de Bass Expression:



_8TbN.png




Je poste une info pour un teknival illégal avec un appel aux sons.

Une fois inscrites, vos IP sont cryptées en SHA-1. Il me devient donc impossible, en tant qu'administrateur, 
de fournir vos IP en cas de requêtes de la part des autorités. Ce cryptage n'est pas infaillible, il est mis en place afin de vous assurer une relative sécurité.

Le nom de domaine bénéficie d'un Private WHOIS

Ce nom de Domaine a été acheté au Panama afin d'éviter les juridictions françaises et rendre compliqué les requêtes à propos de l'identité des membres

à voir ici : http://whois.domaintools.com/bassexpression.com


Le serveur de Bass Expression est situé en Russie ainsi qu'en Islande, la société qui fournit l'hébergement est quand à elle située hors de France.

Cette localisation loin des juridictions françaises et même européennes, dans des pays que l'on peut qualifier de paradis numériques, assure:

- L'impossibilité pour les services de l'état de saisir physiquement le Serveur et donc de compromettre les informations présentes dans la base de donnée

- Une quasi-impossibilité pour les services de l'état de faire des requêtes judiciaires qui n'aboutissent en général jamais, surtout en Russie ces derniers temps (crise Ukrainienne).

- Une liberté d'expression totale, très peu de choses étant interdites par notre hébergeur.


Afin d'obtenir vos données, il ne reste donc plus que le HACKING DU SITE, sachant que si cela doit se produire ils ne récupéreront que des IP cryptées et la Base de donnée et que les informations recueillies ne sont pas utilisables en justice selon la loi Française ...




_ersGK.jpg





La gestion de l'implication : Sécurité supplémentaire!!




Comme expliqué à cette adresse : https://www.bassexpression.com/viewtopic.php?id=7

Bass Expression met en place un système d'implication afin d'augmenter la sécurité du forum.

En effet une implication positive est nécessaire (+2 points minimum) pour obtenir les infolines de la section soirée sans autorisation. .

Sachant :  qu'un nouveau membre ne peut utiliser le module qu'a partir de 20 messages.
                qu'un temps de 300 minutes doit être respecté entre chaque attribution de points,

Cela permet d’empêcher tous les intéressés de s'inscrire juste dans le but de demander une infoline.





Mise en application:




Ex: 

Poulet 1 et Poulet 2 s'inscrivent pour récupérer les infolines et monter leurs implications mutuellement (sachant que personne n'augmentera les leurs)

Ceux-ci doivent attendre d'avoir 20 messages pour pouvoir utiliser le module.

Le flood étant interdit sur le forum sous peine de Ban, ceux-ci devront donc créer 20 posts "constructifs" soit 40 pour les deux.

Une fois atteint les 20 Posts, Poulet 1 souhaite augmenter l'implication de Poulet 2

Il attribue donc  +1 point à Poulet  2

En voulant ajouter le deuxième point dans la foulée celui-ci se voit indiquer qu'il ne peut pas augmenter l'implication de cette User pendant encore 300 minutes.
(Grrr c'est pas ce soir que j'aurais mon infoline se dit-il!!)

Sachant qu'il faut impérativement + 2 de d'implication pour obtenir les infolines Poulet 1 est donc bloqué tout comme Poulet 2.

Ajouter à cela une présence accrue des modérateurs pour surveiller les deux premiers points.

Ainsi que la possibilité pour les modérateurs et l'administrateur de voir qui demande l'infoline

Et voila que nos amis les Poulets se retrouvent :

1- Obliger de participer sur un forum Techno pour espérer pouvoir avoir des infolines et ceci en respectant les règles pour obtenir les +2 points d'implication.

2- Incapables de demander 15 infolines le même soir car grillé dans les minutes qui suivent par l'équipe du forum.

Ce système comme tout système n'est pas infaillible mais il apparaît comme une bonne opportunité pour la communauté de quasi-éradiquer la menace des services de Police.
Cela empechera aussi les personnes qui s'inscrivent dans l'unique but de recevoir des infolines...



_d58L.png






L'intérêt est donc flagrant, Bass expression vous apporte une citadelle numérique en ces temps troubles de début de Guerre informatique.

Le but est aussi de rallier les éternels frileux des infolines sur internet à notre forum en leur proposant un endroit "sur" couplé à un système d'infoline performant.




Le revers de la médaille:





La mise en place de cette infrastructure possède quelques points faibles :

Le ping de chargement de page est supérieur à un site hébergé en europe ce qui peut rendre les pages plus longues à s'afficher.

LE SERVEUR PEUT PARFOIS ETRE DOWN POUR DE MULTIPLES RAISONS.

Si vous vous rendez sur Bass Expression et que le site met longtemps à charger, ou bien affiche une page blanche: PAS D'INQUIETUDE NOUS SERONS DE RETOUR BIENTÖT






Si vous avez des questions, n'hésitez pas à les poster ici.

N'oubliez pas d'utiliser un VPN afin de vous assurer une plus grande sécurité sachant que les proxy seul sont aujourd'hui insuffisants.

Rappel :



- Bass Expression ne saurait être tenu responsable de l'usage que vous faites de l'ensemble de ses fonctions.



- Bass Expression ne souhaite pas favoriser l'illégalité en mêtant en place ces fonctions, l'équipe souhaite juste aider les membres à s'exprimer sans censure et en toute sécurité.



- Topic rédigé avant même les différentes révélations d'Edward Snowden sur la surveillance en ligne, il convient donc de renforcé votre sécurité en conséquence

kaou · VIP

31-07-11 17:35:31

14-07-11 · 1 297

  14 

C'est une très bonne chose!

lapin · Administrateur

20-06-12 23:58:13

11-07-11 · 13 872

  81 

Un post qui me semble bon de remonté un peu.

Car cela vous concerne tous.

Et après les débuts de polémique sur les règles etc...

Bechamelle · Compte mis en Parking

21-06-12 09:56:02

03-04-12 · 139

  

merci lapin!

sikhdc · Bass Traveller

21-06-12 12:22:46

15-04-12 · 116

  

vive l'internet libre! je trouve ça classe d'etre si prudent!

par contre pour ce qui est du soupçon de piratage direct j'en suis convaincu (cf nouvelle loi DPI.. pas de lien désolé)

j'espere que toutes ces "magouilles numériques" vous mettent a l'abris parce que quand la volaille t'as dans son

collimateur...

kaou · VIP

21-06-12 16:53:09

14-07-11 · 1 297

  14 

sikhdc

par contre pour ce qui est du soupçon de piratage direct j'en suis convaincu (cf nouvelle loi DPI.. pas de lien désolé)



Voilà un lien : http://lacantine.ubicast.eu/videos/le-d … in-france/ tiré d'une conference de Pas Sages En Seine qui pourras déjà apprendre à certains ce qu'est le Deep Packet Inspection wink

HerbAcid · Sound System

22-06-12 16:32:07

17-02-12 · 134

  

Superbe post, jl'avait même pas vu... :S

Pour ma part, le VPN est installé depuis belle lurette sur mon pc, on est jamais trop prudent sur la toile...
Après il y a le phishing où là, les antivirus sont inefficaces, tout est question de bon-sens ou de naïveté (je trouve pas le terme approprié...)

A.KÖR3 · Banni(e)

22-06-12 18:09:32

19-03-12 · 736

  10 

herd si tu a des methode pour installer un proxi post aussi (-;

lapin · Administrateur

22-06-12 18:16:40

11-07-11 · 13 872

  81 

sikhdc

j'espere que toutes ces "magouilles numériques" vous mettent a l'abris parce que quand la volaille t'as dans son collimateur...



Pas vraiment,mais ont aura fait le taf  smile

HerbAcid
Superbe post, jl'avait même pas vu... :S

Pour ma part, le VPN est installé depuis belle lurette sur mon pc



Hé ba un des rares à utiliser un VPN chapeau.

DJ ADAM KÖR3
herd si tu a des methode pour installer un proxi post aussi (-;



Topic made in BE => https://www.bassexpression.com/viewtopic.php?id=181

A.KÖR3 · Banni(e)

22-06-12 18:46:21

19-03-12 · 736

  10 

merci lapin

sikhdc · Bass Traveller

23-06-12 09:43:52

15-04-12 · 116

  

J'avoue je suis pas un pro... et faire fonctionner un vpn a l'aire bien compliqué...

je suis pas sur que cette technique empeche flic ou rg d'espionner quand même..

lapin · Administrateur

13-08-14 01:50:33

11-07-11 · 13 872

  81 

Up de ce topic plus de deux ans après le dernier message pour vous faire comprendre que notre positionnement quand à vos données privées ect n'est sûrement pas étranger aux soucis d’accessibilité que nous rencontrons depuis le mois de Mai...

Cela permettra peut être à certains de comprendre pourquoi plus que d'autres nous pouvons être pris en grippe en ce moment...

Et tout cela avant même les révélations d'E.Snowden... Je vous laisse imaginé aujourd'hui ...

Zone-lab51 · Bass Traveller

13-08-14 12:24:48

06-02-14 · 173

  

C'est marrant mais depuis les révélations de Snowden, on n'entend plus tous ces gens qui se foutaient systématiquement de la gueule de ceux qui tentaient de prévenir de ces choses.
Le pire dans tout ça, c'est qu'on a juste la confirmation de la face "visible" d'un iceberg.

lapin · Administrateur

13-08-14 12:30:59

11-07-11 · 13 872

  81 

Zone-lab51
C'est marrant mais depuis les révélations de Snowden, on n'entend plus tous ces gens qui se foutaient systématiquement de la gueule de ceux qui tentaient de prévenir de ces choses.
Le pire dans tout ça, c'est qu'on a juste la confirmation de la face "visible" d'un iceberg.



C'est clair le nombre de fois que je me suis fait traité de parano, pour au final ce rendre compte que c'était bien pire que ce que même le mec le plus parano au monde pouvait imaginé ...

izwalito · Bass Traveller

14-07-16 21:04:37

13-05-16 · 138

  

lapin
Comme vous avez dû le voir en lisant le règlement, Bass Expression met en avant une politique de sécurité très importante.


Permets moi d'en douter: aucun chiffrement des communications, identifiant et mots de passe envoyé en clair, module facebook, scripts hébergés chez google, cloudflare, jquery,...

lapin
Immédiatement le réseau des RG s'active pour essayer d'identifier quelle personne se cache sous ce pseudo.


Il est probable qu'ils la connaissent déjà et même si ce n'est pas le cas, il est plus intéréssant d'observer les "méta données" qui finissent par révéler l'identité par recoupement mais aussi tout un tas d'autres informations encore plus utile.

lapin
-réclamer l'IP du posteur à l'administrateur du site. En effet chaque admin doit, depuis la mise en place de la LOPSI, veiller à conserver les IP de ses Membres afin de les fournir en cas de requêtes de la Police.


T'es sûr que c'est pas la LCEN qui crèe l'obligation de rétention des données de connexion ?

lapin
Rappelons que pour connaître l'identité d'un admin de site internet non-hébergé sur les hébergeurs gratuits classiques, il suffit de réaliser un WHOIS sur le Nom de Domaine


Non. le whois concerne seulement l'enregistrement du nom de domaine et n'a rien a voir avec l'hébergement ou l''administrateur d'un site.

lapin
-En cas de WHOIS privé comme par exemple les forums sur Forumactif,  Ils peuvent prendre contact avec le vendeur du Nom de Domaine afin d'obtenir les données personnelles de la personne ayant payé pour ce Nom de Domaine.
Si Le vendeur du NDD est français ou européen il sera tenu de donner ces informations.


Dans tous les cas le registrar doit révéler l'identité de la personne qui a acheté le nom de domaine, c'est une obligation vis à vis du registry qui leur fournit l'autorisation pour opérer en tant que registrar. À part quelques exceptions de rogue registrar, tous fonctionnent comme ça.
Et pour les .com (donc pour BE) ça dépends de verisign qui peut décider de faire ce qu'il veut avec comme on a pu le constater avec les multiples saisies abusives de domaines en .com

Et puis il y a des choses comme ça: ICANN Proposal To Reveal Persons Identity When Whois Registration is Private (even without a court order or subpoena to privacy service disclosure)

lapin
-Prendre contact avec l'hébergeur. Si celui-ci est français ou européen il sera tenu de donner ces informations. L'hebergeur se  verra donc contraint de fournir votre IP directement.


Ce n'est pas aussi clair que ça, dans la pratique quand tu reçois une demande tu dois donner ce que tu as comme données mais si tu ne les as pas, tu ne les donne pas. Ce qui n'est pas un problème pour la police parce qu'elle recoupe ces données avec d'autres pour identifier les personnes. À noter que pendant assez longtemps il était assez facile de ne pas donner suite à ses demandes car elles étaient souvent farfelues, mais ajd ils ont un cadre et des procédures plus strictes et les demandes sont presque toutes valides et recevables.

lapin
-Autre solutions, pour des affaires plus importantes, je vous l'accorde: une saisie physique de votre serveur afin de récupérer toutes les données contenues sur votre site internet, base de données Incluse


Pas besoin d'aller jusqu'à la saisie, il est connu dans le milieu que depuis les années 2000, une simple carte de police suffit à entrer dans la plupart des datacenters français et à se faire ouvrir une baie pour copier le contenu d'un serveur ou placer un mouchard. Et ce en toute illégalité et sans intervention d'un juge.

lapin
-Enfin le Hack pur et dur mais ça, à par des présomptions, rien ne permet de l'affirmer.


C'est le rôle d'un petit groupe de gendarmes de lutte contre la cybercriminalité qui a un effectif très limité, donc qui généralement s'intéresse aux gros dossiers.

Toutefois le modèle de menace présenté ici est très incomplet car il se limite à la police et à la loi française, il y a beaucoup d'autres choses à prendre en compte pour un modèle de menace plus complet, allant du membre du staff infiltré à l'échange de données de surveillance avec les pays comme les USA en passant par l'attaque d'un concurrent malveillant ou d'un membre froissé.

lapin
Prenons maintenant l'exemple de Bass Expression:

Une fois inscrites, vos IP sont cryptées en SHA-1. Il me devient donc impossible, en tant qu'administrateur, 
de fournir vos IP en cas de requêtes de la part des autorités. Ce cryptage n'est pas infaillible, il est mis en place afin de vous assurer une relative sécurité.


Déjà pour commencer il faut corriger un abus de langage et utiliser les termes corrects: crypter est une notion qui n'a aucun sens (chiffrer sans clé de chiffrement), on parle de chiffrer et de déchiffrer (avec la clé) et de décrypter (quand on casse le chiffrement sans la clé). http://www.bortzmeyer.org/cryptage-n-existe-pas.html

Cette petite précision faite, le sha-1 est un algo de hachage (et pas de chiffrement) cassé depuis 2005: https://www.schneier.com/blog/archives/ … roken.html et le SHAppening de 2015 a définitivement enterré le sha-1 dont retrait est recommandé et demandé depuis 2010 et qui sera refusé par les principaux navigateurs en 2017.

lapin
Le nom de domaine bénéficie d'un Private WHOIS

Ce nom de Domaine a été acheté au Panama afin d'éviter les juridictions françaises et rendre compliqué les requêtes à propos de l'identité des membres


Le whois actuel parle plutôt des bahamas et un whois privé chez un registrar qui ne réponds pas aux requêtes ne protège que l'identite du propriétaire du nom de domaine et pas l'identité des membres qui n'est pas connue du registrar.

lapin
Le serveur de Bass Expression est situé en Russie ainsi qu'en Islande, la société qui fournit l'hébergement est quand à elle située hors de France.


Un autre post parle d'Ukraine au lieu de la Russie

lapin
Cette localisation loin des juridictions françaises et même européennes, dans des pays que l'on peut qualifier de paradis numériques, assure


C'est encore valable pour l'Islande, mais pour la Russie c'est loin d'être aussi clair, en 2014 est passée la loi qui oblige à la rétention des données de connexion et à héberger les données des russes en Russie.

lapin
- L'impossibilité pour les services de l'état de saisir physiquement le Serveur et donc de compromettre les informations présentes dans la base de donnée


Il faut bien sûr préciser qu'il est question de l'état français, parce que l'état russe n'a aucune difficulté à saisir des serveurs et même sans donner d'explications.

lapin
- Une liberté d'expression totale, très peu de choses étant interdites par notre hébergeur.


*tousse* Il n'y a pas de liberté d'expression sur BE, c'est marqué dans le règlement, un peu sur le modèle de la France. Et puis quand on parle de quelque chose qui ne plait pas à l'admin, il dit très clairement que ce genre de chose n'est pas le bienvenu et que le refaire entraînera une sanction.

lapin
Afin d'obtenir vos données, il ne reste donc plus que le HACKING DU SITE, sachant que si cela doit se produire ils ne récupéreront que des IP cryptées et la Base de donnée et que les informations recueillies ne sont pas utilisables en justice selon la loi Française ...


Pas besoin de hacking, tout simplement il suffit d'écouter le trafic internet qui va et vient de BE puisqu'il passe intégralement sans chiffrement sur le réseau, ça tombe bien parce que le trafic internet qui entre et sort de France est surveillé et enregistré (c'est même légal et obligatoire depuis les nouvelles lois sécuritaires). De là il suffit de se connecter soit avec l'identifiant / mot de passe de la personne ciblée ou de celui de l'admin pour faire une copie complète du site.

Et justement article 706-102-1 du code de procédure pénale modifié en juin 2016: https://www.legifrance.gouv.fr/affichCo … ieLien=cid
et le décrêt d'application: https://www.legifrance.gouv.fr/affichTe … rieLien=id

lapin
Et voila que nos amis les Poulets se retrouvent :

1- Obliger de participer sur un forum Techno pour espérer pouvoir avoir des infolines et ceci en respectant les règles pour obtenir les +2 points d'implication.

2- Incapables de demander 15 infolines le même soir car grillé dans les minutes qui suivent par l'équipe du forum.


Ou pas, puisqu'il n'est pas chiffré il suffit juste de faire une requête avec un filtre approprié sur le trafic réseau de BE pour obtenir toutes les infolines.

lapin
Le but est aussi de rallier les éternels frileux des infolines sur internet à notre forum en leur proposant un endroit "sur" couplé à un système d'infoline performant.


Personnellement, en l'état des choses je ne fais aucune confiance à BE pour protéger mes données, mon identité ou le petit monde de la free party et je considère que l'ensemble de BE est surveillé.

lapin
N'oubliez pas d'utiliser un VPN afin de vous assurer une plus grande sécurité sachant que les proxy seul sont aujourd'hui insuffisants.


Il faut choisir un service de vpn qui protège la vie privée, ce qui n'est pas le cas de la plupart. Et surtout il faut bien retenir qu'utiliser un vpn pour accéder à un site qui contient des scripts tierces facebook, google ou du genre révèlera instantanément votre identité. Donc pensez à bloquer tout ça. Il faut aussi s'assurer que votre VPN ne leak pas (par exemple en vérifiant votre IP sur un service du type korben.info/ip

Au lieu d'avoir recours à un service de VPN, on peut utiliser TAILS et TOR: http://tails.boum.org/