Retour sur CryptoStorm

12 septembre 2015

Il y a quelques mois, je parlais de mon achat d’un accès VPN en Bitcoin. J’avais choisi d’acheter un accès chez Cryptostorm, me laissant tenter par ses prix attractifs (+/- 4$/mois) et la bande d’hacktivistes derrière les commandes. Faisons le point sur le service (en commençant par ce qui fâche).

sur-ecoute

Chef, il écoute une musique de nyancat depuis 4h, c’est suspect non ?

Qualité

Je n’ai pas de point de repères avec d’autres VPN me permettant de dire si certains problèmes sont liés à ma machine ou à leur services. La plupart du temps, je ressens assez peu de différence de débits. Ne faisant pas confiance aux SpeedTests biaisés (priorisés par les opérateurs), un téléchargement BitTorrent d’une iso Ubuntu se fait en un temps similaire voir meilleur (passé de 10 à 9min pour une iso de 1,15GB, le VPN compresse les données après tout). Après, dans ma campagne Belge, on n’a pas vraiment la fibre optique…

Je dis « la plupart du temps » car cela m’arrive de remarquer des différences par moments. Étonnamment, cela dépens des sites. Des sites comme Facebook (avides en connexions multiples ?) deviennent inutilisables tandis que des sites plus « statiques » comme Reddit fonctionnent parfaitement (pas une grande perte donc). Changer de nœuds aide en cas de problème.

Avertissement: il n’est pas impossible que cette partie soit due à une mauvaise config/manipulation de ma part! Un aspect plus gênant est par contre la disponibilité des serveurs. Certains vont aléatoirement me refuser une connexion en fonction de l’humeur (pas souvent je vous rassure). Parfois, ils vont me demander un mot de passe (alors qu’il est facultatif sur CryptoStorm, seul le hash du token comme login est utile). J’ai particulièrement le cas sur Android où c’est cryptofree qui me donne encore les meilleurs résultats. La solution simple est d’avoir 2, 3 nœuds de sortie configurés et d’essayer un autre si le premier ne fonctionne pas.

Communication

Gros problème aussi de l’équipe de CrytoStorm, difficile de les avoir si on a besoin d’aide ou pose une question. Soyons clair, je n’ai jamais eu de réponse à mes emails au support ou envoies BitMessage (mise à jour 13/09: ai finalement reçu une réponse BitMessage aujourd’hui !). La communauté est active sur le forum mais c’est encore Twitter qui a été le moyen le plus efficace de communiquer avec eux. Mon impression est qu’ils sont occupés sur d’autres projets (voir plus bas) et ne répondent plus trop aux emails (normal, c’est pas drôle).

personnes-a-l'interieur-canalisation

Internet ce n’est qu’une question de tuyaux

Pour éviter les soucis de communication, je conseillerais (en tout cas, je tenterai pour mon prochain achat) de passer par un revendeur externe de tokens tel que vpnDark.net ou mirciado.com (il en existe d’autres) pour limiter les contacts avec eux (et en bonus, cela augmente également votre anonymat) mais ce n’est pas quelque chose que j’ai testé personnellement.

Sécurité

La raison pour laquelle je prend un VPN est principalement pour une meilleure sécurité de mon surf (MITM, DNS menteurs,…) et de ma vie privée (Snowden quand tu nous tiens). De ce coté, je ne peux que conseiller CryptoStorm. Encore une fois, je n’ai pas beaucoup de points de comparaison mais ils se détachent sur plusieurs points.

Leur système de token de connexion est par exemple bien pensé. Pour éviter de lier un accès à un achat (qui dit transaction monétaire, dit très souvent coordonnées bancaire, même en Bitcoin), on achète un token. L’authentification OpenVPN se fait avec le hash SHA512 de ce token (insérer ici des explications sur de la crypto que je ne comprend pas). Ainsi, Cryptostorm ne peut plus lier un achat avec un token (en tout cas si a été fait via un revendeur externe). Ils promettent supprimer l’historique de la transaction après confirmation mais c’est se baser sur leur bonne foie. Quand les VPN classiques vous disent « on ne garde pas de logs, faites nous confiance », CryptoStrom met en place des procédures pour ne connaitre que le moins d’information possible.

vitre-pare-balle

Faire confiance en la bonne foie d’un revendeur VPN

Concernant la sécurité du surf, ils font pas mal de recherche pour par exemple intégrer leur propre résolution DNS (qui résout nativement les .onion !), désactiver IPv6 (qui n’est pas supporté) via leur widget, s’intéresser au problème des certificats SSL et autres. Ils vont donc plus loin qu’un simple transit de donnée pour viser une meilleur sécurité de leurs utilisateurs.

Projets

Il est assez difficile de comprendre l’organisation de CS mais visiblement eux aussi. Ils (mais qui est « ils » dans le fond ?) encouragent le staff à travailler sur ce qui leur tient à cœur et ils ne se gênent pas.

Ils ont par exemple monté un miroir du dump des données de Hacking Team (hacking.technology) ou un proxy de KickAssTorrent leur permettant de troller des compagnies d’ayant droits.
Ils offrent également CryptoFree, un accès gratuit à CryptoStorm avec une bande passante limitée, bon à prendre pour ceux au budget limité (détails).
Leur compte GitHub est également remplit de code, configuration et publication de recherches en sécurité (analyse de malwares ou clients VPN propriétaires foireux).

Last but not least, ils viennent de publier sur CryptoHaven (un de leur blog) un article expliquant travailler sur un concept de multi-hop VPN (pour diminuer l’efficacité du monitoring d’un serveur individuel). Un peu de détails sur GitHub, pas encore très clair mais affaire à suivre.

mule dans une boite

CS mettant au point son dernier projet de… probablement quelque chose de bien

Il faut aimer fouiller un peu sur leur forum (déjà rien que pour trouver les fichiers openvpn, je conseille la config « smoothed ») et trouver les annonces aux milieux des memes sur Twitter. Autant c’est très bien de voir que le site bouge, autant cela donne un aspect brouillon dans lequel il n’est pas facile de se repérer. Mais ils en sont conscient apparemment, donc bon.

Conclusion

Est-ce que c’est un VPN que je conseillerais ? Tout dépend un peu de ce que vous cherchez. Si le manque de communication ou d’uptime vous dérange, je vous conseillerais de passer, il existe probablement beaucoup d’autres VPN plus sérieux (dans l’approche commerciale). Si justement le manque de sérieux, ce petit coté anarchique vous attire, foncez.

Personnellement j’ai une impression de gens inversement compétents techniquement qu’ils ne le sont commercialement (et ils sont d’accord). Le manque d’organisation m’énervait mais une fois qu’on se fait à l’idée qu’on devra se débrouiller sans réponse au mail, on s’amuse à suivre leurs discussions décalées sur Twitter. Et de mon point de vue de petit geek, ça me permet de leur faire bien plus confiance qu’à un revendeur impersonnel (en gardant bien en tête qu’on n’est jamais certain). Je vais donc rester chez eux. Si vous avez des Bitcoins (ou un compte Paypal) qui trainent dans un coin, allez-y !

En ses temps de mesures sécuritaires, j’ai voulu également augmenter ma propre protection. Comme tout le monde j’ai des choses à cacher et l’utilisation d’un VPN chiffré devient une nécessité. Pour corser l’expérience, j’ai voulu payer en Bitcoin. Je précise que je n’ai jamais acheté ni l’un ni l’autre. Ce n’était pas de tout repos.

William Clinton and President Boris Nikolayevich Yeltsin

– J’arrive pas, dis le toi!
– Nous ne procédons pas à d’écoutes massives de la population et respectons votre vie p…

1. trouver un provider VPN
3 jours à parcourir les comparateurs foireux ou juste demander (plus efficace). Je choisi finalement cryptostorm. Une société tenu des hacktivistes basés en Islande, un peu bordélique (il faut aimer fouiller les forums), pas trop cher (3-4$/mois), utilisant token anonymes assez original (en gros on achète des tokens à eux ou revendeurs indépendant, pas besoin de compte) et possibilité de payer en Bitcoin, Doguecoin & co.

Je parlerai probablement de Cryptostorm après quelques semaines/mois de tests mais j’avoue être assez fan jusqu’à présent.

2. trouver un revendeur Bitcoin
2 jours de comparateurs. J’avais tenté une fois bitstamp avant d’avoir ma transaction refusée par ma banque. Cette fois, j’ai essayé avec Kraken, pas trop de frais, clean, sécurisé (2 factors, ils envoient des emails signés avec GPG…. refusés par enigmail).

3. acheter des bitcoin
4 jours pour se rendre compte qu’on ne peut pas faire de virement, donner son nom et date de naissance pour passer en tier 2 (level up!), se rendre compte qu’on ne peut toujours pas déposer d’euro, donner son adresse pour passer en tier 3, faire un virement SEPA (50€ min), attendre qu’il soit réceptionné, se prendre déjà pour un tradeur, lire des articles de trading, abandonner l’idée, acheter quelques bitcoin à 213€/BTC sans savoir si c’est un bon prix.

femme assemblant un ordinateur

1975, un des premiers prototypes d’Asic Miner

4. réceptionner les bitcoins
2 jours à chercher un client bitcoin, pleurer en comprenant qu’il me faut 33GB d’espace disque pour stocker la blockchain, se faire conseiller sur twitter d’utiliser Multibit, découvrir vanitygen, perdre une journée pour avoir une adresse toujours aussi immémorable mais commençant par « 1marte », stresser comme un fou de perdre sa tune, se rendre compte qu’en fait c’est rapide et facile.

5. acheter l’accès VPN
2 jours à payer sur bitpay, se dire que mettre mon adresse email perso n’est pas la chose la plus intelligente, attendre, vérifier toutes les 5 minutes sa boite mail, aller consulter les logs de son serveur mail, se dire qu’on a probablement foiré un truc, installer Bitmessage pour contacter le support de cryptostorm, ne pas recevoir de réponse, se dire qu’en fin de compte Twitter c’est aussi un bon moyen de communication, recevoir une réponse d’excuse comme quoi ils étaient occupé à gérer SauronsEye (un méga-malware bien flippant), recevoir un token de 3 mois au lieu de 2 pour s’excuser, les pardonner.

6. se connecter au VPN
5 minutes à choper un fichier de config au choix (il y a une dizaine de points de sortie), utiliser le sha512 du token comme nom d’utilisateur sur OpenVPN (en ligne de commande, le client de NetworkManager me donne plus de fil à retordre), aller sur IPleak pour voir que je ne laisse rien filtrer, se rendre compte que je peux maintenant résoudre les URLs .i2p et .bit avec leurs DNS, retourner voir des gifs sur reddit.

Police dog

On the internet, nobody knows you are a dog…

Que retenir de tout ça ? Que cela m’a prit un temps assez délirant, principalement passé à faire des recherches (et heureusement, ça ira plus vite la prochaine fois). Il existe des tonnes d’alternatives pour chaque point (et je n’ai surement pas choisi les meilleures ou les plus faciles). C’est une très bonne chose d’avoir le choix mais ça noie le néophyte, il faut sacrément être motivé pour se protéger aujourd’hui.

Je précise aussi que si j’ai fais cela pour des raisons de sécurité, je suis bien conscient de pas être anonyme, on peut probablement me retracer à mes bitcoin ou achat du VPN, ce n’était pas le but (mais ça serait un beau challenge pour une prochaine fois).

On en reparle dans quelques semaines pour faire le point sur Cryptostorm.

Ce n’est pas neuf, les membres de la presse traditionnelle et celle sur internet ne sont pas spécialement les meilleurs amis du monde. Les premiers accusant les deuxième d’amateurisme (comme le dit theoatmeal, zero crédibilité), les deuxièmes accusant les premiers de n’y rien comprendre à ce qui touche à Internet. Et c’est pas les exemples qui manquent des deux cotés pour {con,in}firmer. Étant donné que je suis plutôt dans la deuxième catégorie (en voyant large, j’admets) à mes heures perdues, faisons un peu d’actualité en crachant sur la première catégorie.

Vous avez sans doute entendu parler de la fuite de données de la SNCB le week-end passé. En résumé, SNCB-Europe a laissé trainer un fichier texte de 1,4 million de lignes contenant des informations personnelles (nom, adresse, email, téléphone,…) de clients de celle-ci. Il s’agissait donc d’un fichier texte qu’on accédait depuis une URL trouvée via une recherche Google, une grosse bourde (ça sent le licenciement de stagiaire tout ça). Un utilisateur s’en rendant compte publie l’info sur le forum ADSL-BC le samedi 22 à 12h. Un bon résumé de l’affaire avec une opinion que je partage peut être trouvé ici : Post-mortem: La SNCB met en ligne les coordonnées de 1.400.000 clients.

et pourquoi tu as besoin des adresses postales et numéro de téléphone pour envoyer des vœux ?

et pourquoi tu as besoin des adresses postales et numéro de téléphone pour envoyer des vœux ?

Comment les chaines de TV et journaux ont présentés cela ? Voici trois exemples de l’info traitée par 3 gros médias (RTL, RTBF et Le Soir) auquel sera remis la prestigieuse récompense du mart-e d’or™ du traitement journalistique de la cyber-actualité, évalué par un comité d’experts internationaux et indépendants. Ça vous donne envie de lire la suite avec un pitch comme ça !

RTL, toujours rapide a sauter sur le scandale a été la première à en parler le samedi 22 à 19h. On peut retrouver l’article et la vidéo sur la page suivante : Les données de milliers de clients de la SNCB dévoilées: « Une personne a usé d’un stratagème pour y parvenir ». Interview du porte parole de la SNCB, propos inquiétant, on sous-entend le piratage. Il y a des perles dans ce reportage comme « des dizaines, voir des centaines de milliers de données personnelles divulguées sur internet, impossible de connaitre un nombre exact » (c’est vrai que compter un nombre de ligne, ça demande des compétences en informatique vachement poussées, il y en avait 1 460 735). Ils n’ont sans doute fait que relayer l’info donnée par la SNCB, pourtant c’est bien un utilisateur du forum ASDL-BC qui les a informé. Ils ne pouvaient pas ne pas connaitre l’existence de ce forum, un autre avis aurait été intéressant à creuser. Ils concluent quand même leur article en parlant de la possibilité de porter plainte pour l’utilisateur lésé. Pour cela, je décrète à RTL une note de 2/5 et un mart-e de bronze.

pirates

Quelques vils pirates usant d’un stratagème pour attaquer les pauvres serveurs de SNCB-Europe

La RTBF attend le dimanche pour relater l’info lors du journal télévisé. Pas mal, on parle du forum, on explique que c’est une faille de sécurité, on donne le point de vue de la SNCB. Tout est bien jusqu’au moment où ils disent « Que compte faire la SNCB ? Elle n’a en tout cas pas encore porté plainte ». On sous-entend donc clairement que c’est la pauvre SNCB qui s’est faite pirater et a été lésée. On ne parle pas du citoyen qui pourrait être dédommagé ni du moyen d’en savoir plus. Peut mieux faire, 3/5 et un mart-e d’argent.

Last but not least, Le Soir a attendu lundi matin pour publier sur son site : La SNCB divulgue les coordonnées privées de ses clients sur internet. L’article est bref et ne rentre pas du tout dans la technique mais est complet, ils parlent du forum, du nombre exacte de personne, du communiqué de la SNCB, que le fichier aurait été disponible pendant plusieurs semaines (et non pas quelques heures), citent même de NURPA qui avait fait une très bonne analyse et disent de contacter la commission vie privée. Bon boulot les gars, vous décrochez un 4/5 (-1 pour la brièveté) et le tant convoité mart-e d’or !

C'est beau, vivement l'édition 2013 !

C’est beau, vivement l’édition 2013 !

Qu’est-ce qu’on peut tirer de ça ? Les plus rapides sont les plus mauvais. Cette source aussi peu crédible qu’est Internet contient parfois de l’information intéressante mais surtout un autre point de vue que celui du principal intéressé (ici la SNCB) qui n’est pas forcement neutre. Ami de la presse écrite et audiovisuelle, prenez exemple sur Le Soir. De mon coté, je milite pour une formation en informatique dans les écoles de journalisme et attend toujours une réponse de la commission vie privée concernant mes données.

Mise à jour: il est important de noter que les réactions mentionnées ici sont les premières faites. L’affaire a été ensuite reprise et en général les bévues reprochées sont corrigées. Exemple pour la RTBF.

Commentaires fermés sur Le mystère du .HPIMAGE.VFS

Le mystère du .HPIMAGE.VFS

12 décembre 2012

Chez moi j’ai une nouvelle imprimante HP avec fonction scanner. En dehors de son écran tactile pour être a la mode (smart-printer), elle possède un port USB permettant d’enregistrer le résultat du scan directement sur la clef, sans devoir passer par les habituels pourriciels. Vraiment pratique pour numériser des choses et autres. Par contre, je n’arrive toujours pas à la faire fonctionner sous Linux mais là n’est pas le sujet.

Seulement cette merveilleuse imprimante me produit également, lors du scan, un fichier caché .HPIMAGE.VFS de 161Mo. En cherchant sur internet, j’apprends que ce fichier permet a l’imprimante de mieux gérer les miniatures. Sauf qu’on ne me la fait pas à moi. Je trouve déjà limite qu’elle stocke son bordel sur ma clef mais surtout je n’ai jamais autant de miniatures que pour occuper 161Mo !

Première étape, la.commande file m’indique qu’il.s’agit d’une partition en FAT et il est donc possible de le monter pour en explorer le contenu.

$ file .HPIMAGE.VFS
.HPIMAGE.VFS: x86 boot sector, code offset 0x0, OEM-ID « MSWIN4.1 », Media descriptor 0xf8, heads 255, sectors 314776 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 2440, serial number 0x0, unlabeled
$ sudo mount .HPIMAGES.VFS /mnt
$ ls /mnt
HPSCANS IMAGES
$ ls /mnt/HPSCANS/HP.THM/
39e4_SCAN0001.JPG 4a32_SCAN.JPG
$ ls /mnt/IMAGES/HP.THM/
4304_ME4~1.JPG 4a6d_ME3~1.JPG

Cette imprimante indiscrète a analysé le contenu de ma clef et a copié, en plus des deux scans dans HPSCANS/, deux images qui étaient présentes sur la clef dans le dossier images/. Au passage, on ne peut pas vraiment parler de miniatures puisque, par rapport à l’original, la taille des images a presque doublé pour une (de 44k à 81k) et un peu diminué pour l’autre (de 191k à 176k). La résolution est inchangée pour les deux.

Concernant la taille trop volumineuse, un coup de hexdump me montre que des fichiers présents sur ma clefs le sont également dans ce fichier. Et en vidant le contenu de la clef, certains fichiers sont encore présents dans le .HPIMAGE.VFS. Nom de…

Après plusieurs tests et conseils de PostBlue me disant de faire un formatage bas niveau, je comprend ce qui s’est passé : le fichier contenant les miniatures est mal finalisé et englobe également une copie des fichiers encore présents sur la partition. Vous n’êtes pas sans savoir que les fichiers ne sont pas réellement supprimés du disque en pressant la touche delete mais que seules les références sont retirées. Le contenu même du fichier est toujours présent tant qu’on a rien écrit par dessus. Visiblement, cette imprimante récupère un morceau de la partition avec elle.

Quelles sont les conséquences de ce bug ? Tout d’abord de la place est inutilement utilisée sur ma clef (160Mo sur 8Go ça va encore mais c’est pas une raison). Et puis, d’un point de vue vie privée ce n’est pas parfait non plus. Il est très facile de récupérer ce fichier (un simple explorateur de fichier suffit, pas besoin d’outils spéciaux) et de l’analyser par après, avec un peu de chance, quelques documents sensibles se trouve la dedans. Comment ? Voici un exemple avec PhotoRec. J’ai fais un test en remplissant ma clef de fichiers divers avant de tous supprimer et de scanner une image.

$ photorec .HPIMAGE.VFSt
Select a media (use Arrow keys, then press Enter):
>Disk .HPIMAGE.VFS – 161 MB / 153 MiB (RO)

16 files saved
Recovery completed.

Dans l’exemples ci-dessus, 15 fichiers supplémentaires (sans compter l’image scannée) ont pu être donc récupérés. J’ai fais toute une série de tests et les résultats étaient assez aléatoires. J’ai déjà observé du texte, parfois juste des images, parfois rien alors que la clef était remplie. On ne récupére pas à tous les coups des fichiers effacés mais ça arrive.

Printing the Bain News Service Photos (LOC)

« Mince, est-ce que j’ai supprimé proprement mes films porno sur ma clef USB ? »

Les conclusions :

  • en supprimant vos fichiers, ils sont toujours récupérables, souvenez vous en avant de prêter vos clefs USB
  • un bon formatage se fait à coup de /dev/zero (ou plusieurs réécritures si vous êtes inutilement parano)
  • les fuites ne viennent pas forcement d’où on le pense (une imprimante)
  • HP bouge toi a mettre ça a jour !

Bien entendu, s’ils publiaient une mise a jour il n’y aurait que 6 pellés dans le monde, moi compris, a appliquer la mise a jour. C’était un peu ma conclusion avec les cameras de surveillance d’ailleurs. By the way, si quelqu’un me trouve le code source du firmware de la HP Officejet 8600 (logiciel sous GPL, etc.), faites moi signe, j’y jetterais très volontiers un œil, je suis sur qu’on trouvera d’autres perles 😉

Dans mon flux RSS, j’ai vu passer cet article de Lifehacker : Get $5 off $25 on Amazon by Answering a Question on Facebook. Apparemment il suffit de partager sur son mur ce qu’on aimerait le plus avoir sur sa liste de noël pour recevoir un bon de réduction de 5$.

Ma foi pourquoi pas ?

Je ne suis pas spécialement un fanboy d’Amazon, même plutôt contre, mais pas encore au point de boycotter ou dire non à une réduction avantageuse (20% sur un achat de 25$). Donc j’accepte et puis j’arrive sur cette page :

Tout s’explique…

Pour obtenir cette promotion, il vous faut donc confier à l’application (et donc à Amazon) vos informations personnelles, adresse email, goûts (like), vos photos, la possibilité de poster des messages et même un accès aux goûts de vos amis.

J’insiste pour ceux qui ne comprennent pas : vous vendez votre vie privée pour 5$ !* En acceptant, Amazon peut faire un profiling de vous et de vos amis à tout moment. Cette application me mentionne aussi gentiment qu’un idiot d’ami (ou désormais ex-ami) a déjà accepté donc Amazon a déjà pu récupérer de mes informations.

Pour 5$*, ils viennent me manger dans la main

Je mettais au début de l’article que je n’étais pas spécialement anti-Amazon mais des choses comme ça, ça me le fait devenir assez rapidement. Cette monétisation de votre vie privée est à vomir. Merci de ne pas encourager ce genre d’action et de ne pas accepter cette offre ou d’autres du genre, même avec un faux compte Facebook.

*5$ pour achat de 25$ ou +, hors TVA, valable jusque dimanche 9/12 23h59, uniquement pour clients résidents aux États-Unis, un seul bon par client, offre limitée, non-cumulable. Faut pas que ça soit une trop bonne affaire non plus.

css.php