lo-ol

"Je n'ai pas échoué. J'ai juste trouvé 10 000 solutions qui ne fonctionnent pas"

Securité

Certificats SSL gratuits pour sécuriser un NAS Synology

Rédigé par lolo • 04 juin 2015 • 6 commentaires

Cela faisait un moment que je cherchais un moyen simple et gratuit de sécuriser davantage mes connexions à mon nas Synology. L'activation du mode https (voir ici) est une première étape mais cela ne suffit pas pour sécuriser les échanges. De plus, cette méthode à un inconvénient : à chaque connexion en https, un message d'avertissement apparaît pour signaler que le certificat du site n'est pas reconnu.

Dans mon cas, le fait de ne pas avoir de certificat me pose un autre souci ; je ne peux pas utiliser les clients CalDavZAP et CardDavMATE en mode https :-(.

J'ai donc cherché un moyen de mettre en place un certificat SSL sur un NAS Synology et j'ai trouvé cet  excellent tutoriel :

http://missilehugger.com/819/free-ssl-certificate-to-secure-your-synology-nas/

En suivant celui-ci, vous pourrez obtenir gratuitement un certificat SSL valable un an pour un nom de domaine et un sous-domaine associé (www par exemple).

Suite à cela, vous pourrez vous connecter en https directement (plus de message d'avertissements) et utiliser les clients CalDavZAP et CardDavMATE en https. A ce propos, la société qui met à disposition ces deux clients (inf-it) propose désormais une nouvelle application InfCloud qui fusionne CalDavZAP et CardDavMATE. Affaire à suivre...

Enjoy !

Désactiver le NFC de sa carte bancaire

Rédigé par lolo • 16 novembre 2014 • 22 commentaires

Après une énième faille découverte récemment dans le protocole de sécurité des cartes bancaires NFC (voir ici), je me suis décidé à désactiver l'antenne de ma carte. Je précise qu'il s'agit là d'une manipulation permanente, et pas forcément apprécié par votre banquier ! Faites donc cela à vos risques et périls. En ce qui me concerne, je préfère ça plutôt que de risquer de me faire siphonner mon compte :-/.

Pour commencer, j'ai suivi le tutoriel de Korben. Il faut tout d'abord localiser l'antenne NFC, en positionnant la carte sous une source lumineuse. Dans mon cas, j'ai utilisé une source chaude et je suis resté trop longtemps dessus. Du coup, ma carte s'est déformée, comme vous pouvez le constater ci-dessous :


Pas glop, ça commence mal :-/.

Du coup, ne faites pas comme moi, utilisez une source de lumière plus froide. Les LED de smartphone conviennent très bien par exemple.

Pour ceux qui auraient déformé leur carte, vous pouvez tout de même tenter de la redresser. C'est ce que j'ai fait en utilisant un fer à repasser, une planche et un tissu :

Couvrez la carte du tissu pour éviter de la bousiller complètement et en y allant mollo (à basse intensité dans un premier temps), on peut arriver à rattraper la bourde. Au final, plus de peur que de mal, la carte est à peu près droite :

On recommence donc en prenant une source lumineuse moins chaude. J'ai utilisé la LED du smartphone plaquée sur le derrière de la carte et on arrive à percevoir l'antenne. Vous faites alors une marque au feutre. Ensuite, j'ai utilisé un petit tournevis d'1mm de diamètre et j'ai creusé jusqu'à la piste (pas besoin de traverser la carte).

Et voilà ! J'ai vérifié avec une appli smartphone, la carte n'est plus lisible par NFC.

Je vous conseille également d'effacer le cryptogramme de votre carte, en le stockant dans un autre endroit sécurisé. Sinon, vous serez toujours exposés au vol. Pour enlever le cryptogramme, il faut bien gratter pour gommer l'écriture et également le relief.

 

Voilà, je risque peut être de passer pour un parano avec cet article mais mieux vaut prévenir que guérir. A bon entendeur...

ShellShock et Synology

Rédigé par lolo • 26 septembre 2014 • Aucun commentaire

Pour ceux qui n'auraient pas suivi l'actualité de ces derniers jours, une gigantesque faille nommée ShellShock a été découverte dans le célébrissime interpréteur de commande "Bash" sous Linux (et également sous Mac Os). Je ne vais pas revenir sur celle-ci, de nombreux sites l'ont déjà fait (par exemple https://shellshocker.net/).

Apparement, cette vulnérabilité existe depuis une vingtaine d'années mais maintenant qu'elle est connue, c'est le branle-bas de combat entre les pirates en herbes qui vont s'en donner à coeur-joie et les sys-admin qui vont devoir payer les pôts cassés. En tout cas, après la désormais célèbre faille "HeartBleed", voilà qui ne va pas redorer le blason du monde du libre...

Bref, maintenant que le problème est connu, la question est de savoir s'il nous impacte en tant que possesseur de nas Synology.

Pour cela, il suffit de se connecter à son nas depuis un terminal et de lancer la commande suivante pour connaitre le shell utilisé :

$ echo $SHELL

Si vous n'avez pas installé de paquets alternatifs via ipkg, vous devriez avoir comme résultat :

/bin/ash

Il s'agit du shell utilisé par défaut par le nas. Il n'est pas impacté par la vulnérabilité. Pour s'en assurer, vous pouvez tester les commandes ci-dessous :

Exploit 1 (CVE-2014-6271)

env x='() { :;}; echo vulnerable' /bin/ash -c "echo this is a test"

Exploit 2 (CVE-2014-7169)

env X='() { (a)=>\' /bin/ash -c "echo date"; cat echo ; rm -f echo

Ouf, c'est rassurant smiley.

En revanche, si vous avez installé bash depuis le gestionnaire de paquets ipkg, vous êtes concerné par la faille et je vous conseille de l'enlever au plus vite :

$ /opt/bin/ipkg remove bash

Si vous souhaiter garder un shell un peu plus évolué que celui installé par défaut, vous pouvez vous tourner vers zsh qui est au moins aussi bien que bash, la vulnérabilité en moins.