Upload files to "content/posts/infosec"

2025-03-25 15:29:35 +01:00 · 2025-03-25 15:29:35 +01:00 · 7e2a47daab
commit 7e2a47daab
parent b4a5299ded
5 changed files with 213 additions and 0 deletions
--- a/content/posts/infosec/get-your-loved-ones-off-facebook
+++ b/content/posts/infosec/get-your-loved-ones-off-facebook
@ -0,0 +1,39 @@
+---
+title: "Get your loved ones off Facebook "
+date: 2017-01-07T11:33:00+06:00
+draft: false
+tags: ["social media","data privacy","surveillance"]
+author: "Olivier Falcoz"
+hidemeta: false
+ShowReadingTime: true
+ShowPostNavLinks: true
+showtoc: false
+cover:
+  image: "/images/"
+  alt: "<alt text>"
+  caption: "<text>"
+---
+[Get your loved ones off Facebook](https://salimvirani.com/facebook/) -- Salim Virani 
+
+Salim Virani has been checking Facebook upcoming privacy policy due to change on Jan. 30th, 2015[^1]. Unless you leave Facebook before this date, you won't have to accept the new ToS since you agree by staying[^2].
+
+> **Abstract**: Facebook doesn’t keep any of your data safe or anonymous, no matter how much you lock down your privacy settings. There are very serious privacy breaches, like selling [your product endorsement to advertisers](http://www.forbes.com/sites/anthonykosner/2013/01/21/facebook-is-recycling-your-likes-to-promote-stories-youve-never-seen-to-all-your-friends/) and [politicians](http://www.zdnet.com/article/is-facebook-damaging-your-reputation-with-sneaky-political-posts/), tracking [everything you read](http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1717563) on the internet, or [using data from your friends](http://www.digitaltrends.com/social-media/facebook-snitch-on-friends-that-arent-using-real-names/) to learn private things about you:
+> 
+> * Facebook gives your data to “third-parties” through your use of apps, and then say that’s you doing it, not them;
+> * Facebooks [creates false endorsements](http://www.forbes.com/sites/anthonykosner/2013/01/21/facebook-is-recycling-your-likes-to-promote-stories-youve-never-seen-to-all-your-friends/) for products from you to your friends - and they never reveal this to you;
+> * When you see a *like* button on the web, Facebook is [tracking that you’re reading](http://spectrum.ieee.org/podcast/telecom/internet/stalking-on-facebook-is-easier-than-you-think) that page;
+> * They read your [private messages and the contents of the links](http://www.engadget.com/2014/12/25/facebook-class-action-privacy-lawsuit/) you send privately;
+> * They can use [face recognition](http://www.dw.de/facebook-violates-german-law-hamburg-data-protection-official-says/a-15290120) to [track your location through pictures](http://www.makeuseof.com/tag/exif-photo-data-find-understand/);
+> * They [track your location](https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/stalk-location-facebook-messenger/), and use that to discover private things about you, like if you’re sick, who you sleep with, where you work, if you’re job-searching, etc;
+> * They’ve used [snitching campaigns](http://www.digitaltrends.com/social-media/facebook-snitch-on-friends-that-arent-using-real-names/) to trick people’s friends into revealing information about them that they chose to keep private;
+> * They use the vast amount of data they have on you, from your likes, things you read, things you type but don’t post, to make [highly accurate models](http://www.digitaltrends.com/social-media/facebook-snitch-on-friends-that-arent-using-real-names/) about who you are – even if you make it a point of keeping these things secret
+
+**Don’t confuse privacy with secrecy**
+
+I know what you do in the bathroom, but you still close the door. That’s because you want privacy, not secrecy.   
+-- Fábio Esteves in [I have nothing to hide. Why should I care about my privacy?](https://medium.com/@FabioAEsteves/i-have-nothing-to-hide-why-should-i-care-about-my-privacy-f488281b8f1d)
+
+**Get your loved ones off Facebook...!**
+
+[^1]: **Edit**: Salim Virani originally wrote this 2015, to explain why the latest Facebook privacy policy is really harmful. It’s since been read by over a million people, and Salim updated it earlier this year.
+[^2]: **2017 update**: A lot of these concerns Salim had have proven true. Facebook has been consistent with its pattern of contempt for its users. Salim hase updated this with a few more points and links.
--- a/content/posts/infosec/google-not-gchq-is-the-truly-chilling-spy-network.md
+++ b/content/posts/infosec/google-not-gchq-is-the-truly-chilling-spy-network.md
@ -0,0 +1,23 @@
+---
+title: "Google, not GCHQ, is the truly chilling spy network"
+date: 2017-06-19T12:56:00+06:00
+draft: false
+tags: ["tech","data privacy","surveillance"]
+author: "Olivier Falcoz"
+hidemeta: false
+ShowReadingTime: true
+ShowPostNavLinks: true
+showtoc: false
+cover:
+  image: "<image path/url>"
+  alt: "<alt text>"
+  caption: "<text>"
+  relative: false # To use relative path for cover image, used in hugo Page-bundles
+
+---
+> Daily surveillance of the general public conducted by the search engine, along with Facebook, is far more insidious than anything our spooks get up to.
+> 
+> “Surveillance”, as the [security expert Bruce Schneier has observed](https://www.schneier.com/news/archives/2014/04/surveillance_is_the.html), is the business model of the internet and that is true of both the public and private sectors.
+
+-- [Guardian](https://www.theguardian.com/commentisfree/2017/jun/18/google-not-gchq--truly-chilling-spy-network) - June 18, 2017
+
--- a/content/posts/infosec/guide-cnil-2024-de-la-securite-des-donnees-personnelles.md
+++ b/content/posts/infosec/guide-cnil-2024-de-la-securite-des-donnees-personnelles.md
@ -0,0 +1,100 @@
+---
+title: "Guide CNIL: sécurité des données personnelles"
+date: 2024-04-16T10:45:00+02:00
+draft: false
+tags: ["GDPR","data privacy","infosec","CNIL","ANSSI"]
+author: "Olivier Falcoz"
+hidemeta: false
+ShowReadingTime: true
+ShowPostNavLinks: true
+showtoc: false
+cover:
+  image: "/images/"
+  alt: "<alt text>"
+  caption: "<text>"
+---
+![Guide CNIL 2024 de la sécurité des données personnelles](/images/cnil_guide_securite_personnelle_2024.png "Guide CNIL 2024 de la sécurité des données personnelles")
+
+## RGPD - Le guide pratique
+
+La CNIL[^1] est sympa. Le *gendarme français des données personnelles* inflige (parfois) des amendes (modestes au regard de ce qu'autorise le RGPD) à ceux qui bafouent le respect de la vie privée et la sécurité des données personnelles. Enfin, quand elle ne fait pas de siestes trop longues[^2] ou ne fait pas preuve d'un laxisme éhonté comme le rapportait La Quadrature du Net en 2021[^3]. Mais globalement la situation s'améliore: en 2023, la CNIL a instruit 16 000 plaintes, procédé à 340 contrôles et prononcé 168 mises en demeure et 42 sanctions pour un montant de 90 millions d'Euros.
+
+Elle publie également de nombreux guides à l'intention des particuliers, des professionnels et de la presse. C'est sous la rubrique *Professionnels* que la version 2024 du *Guide CNIL de la sécurité des données personnelles* est publiée.
+
+Destiné en priorité à un public averti - *Data Protection Officer*, *Chief Information Security Officer*, juristes, mais également aux gens curieux de la préservation de leurs données, ce guide fournit des méthodes pour *accompagner les organismes dans la mise en place de mesures de sécurité pour assurer la protection des données personnelles qu’ils traitent*.
+
+Divisé en 25 fiches thématiques, le document est un recueil de précautions qu'il est recommandé de mettre en place. La patte de l'ANSSI y est visible d'où son aspect plus technique que les publications habituelles de la CNIL.
+
+## Architecture
+
+Le guide est divisé en cinq thèmes, sous forme de fiches:
+
+1. Les **utilisateurs** - le cadre, leur sensibilisation et formation, l'authentification, les habilitations;
+2. Le **matériel** - sécuriser le poste de travail, le mobile, les réseau et sites Web, les serveurs, encadrer le développement, garantir la sécurité physique des locaux;
+3. La **maîtrise des données** - les échanges avec les tiers, la sous-traitance, la maintenance et fin de vie des équipements;
+4. Anticiper **les incidents** - tracer les opérations, les sauvegardes, la continuité et reprise d'activité, la gestion des violations;
+5. **Focus** - l'analyse de risque, le chiffrement, hash et signature, le *cloud*, les applications mobiles, l'intelligence artificielle, les API
+
+Chaque fiche est articulée en trois parties:
+
+- les précautions élémentaires ou encore ce qu'il **faut** faire ou ce qui peut **raisonnablement** être fait, aussi appelé RTFM[^4];
+- les mauvaises pratiques (*bad boy, bad boy huh*), ce que **beaucoup** d'entre nous probablement font;
+- les mesures complémentaires plus pointues, donc à l'intention des SecDevOps[^5] ou ce qu'il **faudrait** donc faire en sus du reste.
+
+## Un exemple - Chiffrement, hachage, signature
+
+Fiche 21: **Assurer l’intégrité, la confidentialité et l’authenticité d’une information**, un exemple pris (pas tout à fait) au hasard de la façon dont une fiche est articulée: 
+
+### Précautions élémentaires
+- Utiliser un **algorithme reconnu et sûr**: 
+	- SHA-296 ou SHA-397 comme familles de fonctions de hachage;
+	- bcrypt, scrypt, Argon2 ou PBKDF2 pour stocker les mots de passe;
+	- AES98 avec un mode de construction approprié (CCM, GCM, ou EAX) ou ChaCha2099 (avec
+Poly1305) pour le chiffrement symétrique;
+	- RSA-OAEP100, ECIES-KEM101 ou DLIES-KEM101 pour le chiffrement asymétrique;
+	- RSA-SSA-PSS100 ou ECDSA102 pour les signatures.
+
+- Utiliser des **tailles de clés suffisantes** :
+	- pour AES, les clés de 128, 192 ou 256 bits sont considérées comme suffisantes;
+	- pour les algorithmes basés sur RSA, il est recommandé d’utiliser des modules et exposants
+secrets d’au moins 2 048 bits ou 3 072 bits, avec des exposants publics, pour le chiffrement,
+supérieurs à 65 536 bits.
+
+- Appliquer les **recommandations d’utilisation appropriées**, en fonction de l’algorithme utilisé. Les
+erreurs d’implémentation ont un impact important sur la sécurité du mécanisme cryptographique.
+- **Protéger les clés secrètes**, au moins par la mise en œuvre de droits d’accès restrictifs et d’un mot
+de passe sûr.
+- Rédiger une **procédure** indiquant la **manière** dont les **clés et certificats vont être gérés** en prenant
+en compte les cas d’oubli du mot de passe de déverrouillage.
+
+### Ce qu'il ne faut pas faire
+
+- Utiliser des algorithmes obsolètes, comme les chiffrements DES et 3DES ou les fonctions de
+hachage MD5 et SHA-1.
+- Confondre fonction de hachage et de chiffrement et considérer qu’une fonction de hachage seule est suffisante pour assurer la confidentialité d’une donnée. Bien que les fonctions de hachage
+soient des fonctions « à sens unique », c’est-à-dire des fonctions difficiles à inverser, une donnée peut être retrouvée à partir de son empreinte. En effet, ces fonctions étant rapides à l’exécution, il est souvent possible de tester automatiquement toutes les possibilités et ainsi de reconnaître l’empreinte.
+- Hacher les mots de passe sans faire intervenir un sel.
+
+### Pour aller plus loin
+
+- Voir la [page dédiée](https://www.cnil.fr/fr/comprendre-les-grands-principes-de-la-cryptologie-et-du-chiffrement) sur le site de la CNIL
+- L’ANSSI a publié des [guides](https://cyber.gouv.fr/publications/mecanismes-cryptographiques) pour aider les développeurs et administrateurs dans leurs choix d’algorithmes cryptographiques, de dimensionnement et d’implémentation.
+- Lors de la réception d’un certificat électronique, vérifier que le certificat contient une indication d’usage conforme à ce qui est attendu, qu’il est valide et non révoqué, et qu’il
+possède une chaîne de certification correcte à tous les niveaux.
+- Utiliser des logiciels ou des bibliothèques cryptographiques ayant fait l’objet de vérifications par des tierces parties à l’expertise avérée.
+- Différentes solutions de chiffrement peuvent être utilisées, telles que:
+	- les solutions certifiées ou qualifiées par l’[ANSSI](https://cyber.gouv.fr/visa-de-securite);
+	- le logiciel [VeraCrypt](https://www.veracrypt.fr), permettant la mise en œuvre de conteneurs chiffrés;
+	- le logiciel [GNU Privacy Guard](https://www.gnupg.org/index.fr.html), permettant la mise en œuvre de la cryptographie asymétrique (signature et chiffrement).
+
+
+## Téléchargement
+
+Le guide est disponible au [téléchargement en français](https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_2024.pdf) (.pdf-1.66Mo) ou [English version](https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_ven_0.pdf) (.pdf-730KB).
+
+
+[^1]: Commission Nationale de l'Informatique et des Libertés - [cnil.fr](https://cnil.fr/)
+[^2]: La CNIL s'est vue longtemps reprocher des délais de saisine trop longs.
+[^3]: [Les GAFAM échappent au RGPD, la CNIL complice](https://www.laquadrature.net/2021/05/25/les-gafam-echappent-au-rgpd-avec-la-complicite-de-la-cnil/) - La Quadrature Du Net
+[^4]: [Read The Fucking Manual](https://www.explainxkcd.com/wiki/index.php/293:_RTFM) - xkcd
+[^5]: [DevOpsSec, SecDevOps, DevSecOps: What’s in a Name?](https://www.csoonline.com/article/558441/devopssec-secdevops-devsecops-whats-in-a-name.html) - Jamie Tischart, CSO Online
--- a/content/posts/infosec/hacking-team-government-users.md
+++ b/content/posts/infosec/hacking-team-government-users.md
@ -0,0 +1,28 @@
+---
+title: "Hacking Team government users"
+date: 2017-07-09T08:26:00+06:00
+draft: false
+tags: ["surveillance","data privacy","infosec","malaysia"]
+author: "Olivier Falcoz"
+hidemeta: false
+ShowReadingTime: true
+ShowPostNavLinks: true
+showtoc: false
+cover:
+  image: ""
+  alt: ""
+  caption: ""
+
+---
+![21 Suspected Government Users of RCS by Hacking Team](/images/hacking-team-government-users-2014.jpg)
+*The 21 suspected government users of RCS by Hacking Team*
+
+> Hacking Team, also known as HT S.r.l., is a Milan-based company that describes itself as the “first to propose an offensive solution for cyber investigations". 
+>
+> Their flagship Remote Control System (RCS)[^1] product, billed “the hacking suite for governmental interception,” is a suite of remote monitoring implants (i.e., spyware) sold exclusively to government agencies worldwide.
+>
+> We suspect that twenty-one governments are using Hacking Team’s RCS spyware. Except as otherwise noted, we identified these countries based on tracing endpoints of Hacking Team proxy chains: Azerbaijan, Colombia, Egypt, Ethiopia, Hungary, Italy, Kazakhstan, Korea, Malaysia, Mexico, Morocco, Nigeria, Oman, Panama, Poland, Saudi Arabia, Sudan, Thailand, Turkey, United Arab Emirates, and Uzbekistan.
+
+Full report: [Mapping Hacking Team’s “Untraceable” Spyware](https://citizenlab.ca/2014/02/mapping-hacking-teams-untraceable-spyware/) by Bill Marczak, Claudio Guarnieri, Morgan Marquis-Boire, and John Scott-Railton, February 17, 2014
+
+[^1]: Remote Control System (RCS) is sophisticated computer spyware marketed and sold exclusively to governments by Milan-based Hacking Team
--- a/content/posts/infosec/how-to-disappear-in-a-fog-of-data.md
+++ b/content/posts/infosec/how-to-disappear-in-a-fog-of-data.md
@ -0,0 +1,23 @@
+---
+title: "How to disappear in a fog of data (and why)"
+date: 2016-11-18T13:14:00+06:00
+draft: false
+tags: ["data privacy","surveillance","encryption"]
+author: "Olivier Falcoz"
+hidemeta: false
+ShowReadingTime: true
+ShowPostNavLinks: true
+showtoc: false
+cover:
+  image: "/images/"
+  alt: "<alt text>"
+  caption: "<text>"
+---
+
+> Our data will be shared, bought, sold, analyzed and applied, all of which will have consequences for our lives.   
+
+-- [Finn Brunton](http://steinhardt.nyu.edu/faculty/Finn_Brunton) and [Helen Nissenbaum](http://www.nyu.edu/projects/nissenbaum/main_cv.html) in *Obfuscation: A User's Guide for Privacy and Protest*
+
+That’s at least one reason we need to start scrambling our tracks.
+
+Source: [Motherboard](https://www.vice.com/en/article/yp3ex7/obfuscate-yourself-nissenbaum-brunton)