Powered By Blogger

Rechercher sur ce blogue

samedi 22 novembre 2014

Mondes intérieurs, Mondes extérieurs , Akasha !




Il existe un champ vibratoire reliant toutes choses On l’a appelé Akasha, le son originel Om, les perles du collier d’Indra, l’harmonie des sphères et des milliers d’autres noms lui furent attribués à travers l’histoire. Les professeurs anciens enseignaient le Nada Brahma – l’univers est vibration. Le champ vibratoire est à la source de toute véritable expérience spirituelle et de toute recherche scientifique. Il s’agit du même champ ésotérique que des saints, des bouddhas, des yogis, des mystiques, des prêtres, des chamanes, des prophètes ont observé par introspection. Bon nombre d’imminents penseurs de l’histoire tels que Pythagore, Keppler, Léonard de Vinci, Tesla et Einstein approchèrent le seuil du mystère. Dans la société moderne, la majeure partie de l’humanité a perdu la sagesse ancienne. Nous nous sommes trop égarés dans le domaine de la pensée, ce que nous percevons comme le monde extérieur de la forme.
Nous avons perdu notre lien vers les mondes intérieurs. Cet équilibre, appelé “la voie moyenne” par le Bouddha et “le juste milieu” par Aristote, est le droit de naissance de chaque être humain. C’est la source commune de toutes les religions et le lien entre nos mondes intérieurs et extérieurs.


SOURCE.:

jeudi 20 novembre 2014

Microsoft corrige en urgence une faille dans Windows Server

Sécurité : Toutes les versions de Windows Server sont affectées par une vulnérabilité critique faisant dès à présent l’objet d’attaques ciblées, mais « limitées » selon Microsoft.

Cette faille de Windows Server n’avait pu être corrigée par Microsoft à l’occasion de son dernier Patch Tuesday. C’est donc par le biais d’un correctif hors cycle que l’éditeur vient y remédier. Il faut dire que cette vulnérabilité est qualifiée de critique et d'ores et déjà exploitée au travers d’attaques.
La faille se situe au niveau du composant KDC de Windows, Windows Kerberos Key Distribution Center, c’est-à-dire le service fournissant les clés de session et clés de session temporaire pour les utilisateurs et machines se connectant au sein d’un domaine Active Directory (AD).
La faille, lorsqu’elle est exploitée, pourrait permettre à un attaquant d’accroître ses droits pour disposer des mêmes privilèges que ceux de l’administrateur du domaine. Le pirate peut ensuite compromettre toute machine ou tout utilisateur lié à ce même domaine. Il doit cependant disposer d’un accès valide au domaine pour exploiter cette vulnérabilité.
Or cette faille a bien déjà été exploitée. Microsoft précise en effet être informé « d’attaques limitées et ciblées » tentant de tirer profit de cette vulnérabilité de Windows Server affectant les différentes versions du système (Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, mais aussi la nouvelle Windows Server Technical Preview).

Source.:

Apple va installer Beats Music par défaut sur tous les iPhone



D’après le Financial Times, Apple va bientôt intégrer le service de streaming qu’il a racheté cette année sur tous les appareils sous iOS. Ce qui signerait une entrée en force sur le secteur du streaming… et pourrait poser quelques problèmes à la concurrence.



Bientôt Beats Music sur tous les iDevices ?
Spotify et Deezer, prenez garde. Apple, qui a racheté Beats il y a quelques mois, a bien l’intention de passer à l’action pour imposer le service musical qu’il a mis dans son escarcelle avec la marque de casques. D’après le Financial Times, la firme à la pomme aurait décidé d’intégrer Beats Music sur l’ensemble des terminaux sous iOS sous peu, d’ici le mois de mars.
Le service de streaming serait donc installé par défaut –sans doute par le biais d’une mise à jour d’iOS- sur des centaines de millions de terminaux en un tournemain. Une opération astucieuse, qui signerait l’arrivée massive d’Apple sur le secteur du streaming musical, au moment où les ventes de morceaux sur iTunes sont à la peine.
L’intégration par défaut de Beats Music à iOS pourrait chambouler ce marché encore naissant. Comme le rappelle le FT, Apple aurait environ 200 millions de consommateurs actifs sur iTunes, clients qui ont généralement un pouvoir d’achat important. D’autant que le service, que nous avions testé à son lancement, est extrêmement séduisant… Même s’il végète pour l’instant, avec un nombre d’abonnés ridicule, estimé à un peu plus de 100 000 en Amérique du Nord.
Intégrer Beats à tous les iPhone, iPad et iPod Touch signifierait donc également que le service sera bientôt déployé partout dans le monde. Le FT croit également savoir que son lancement pourrait être couplé à celui de l’Apple Watch, et que des synergies entre ces deux produits sont évidemment à envisager.
Source : FT

WatchKit : découvrez comment fonctionnera la Watch d’Apple

WatchKit : découvrez comment fonctionnera la Watch d’Apple


En mettant en ligne le kit de développement pour sa montre connectée, Apple a livré de nombreuses informations nouvelles qui permettent de mieux savoir comment fonctionnera sa montre connectée.


Attendue pour le début d’année 2015, avec des informations et rumeurs contradictoires qui la voient arriver en février ou plus tard dans l’année, la Watch d’Apple est désormais pourvue d’un SDK. Ce kit de développement mis à disposition, hier mardi 18 novembre 2014, va permettre aux développeurs intéressés de créer des applications pour la montre connectée. Ainsi, le premier « bijou » d’Apple arrivera-t-il sur le marché avec des applications et donc des usages qui assureront sa pertinence.

  « Avec iOS 8.2 beta SDK, les développeurs peuvent à présent commencer à utiliser WatchKit pour créer de nouvelles applications révolutionnaires, des Glances et des notifications activables conçues pour l’interface innovante de l’Apple Watch, et travailler avec de nouvelles technologies comme Force Touch, Digital Crown et Taptic Engine » écrit Philip Schiller, le patron monde du marketing d’Apple, facilement reconnaissable au choix de ses adjectifs.
« Les développeurs peuvent créer des notifications permettant aux utilisateurs de réaliser des actions ou de répondre directement depuis leur poignet, comme d’éteindre les lumières après avoir quitté la maison ou d’accéder rapidement aux informations d’un vol à l’aéroport et de changer leur itinéraire lorsque leur train ou bus est en retard » précise encore Philip Schiller.

Toujours selon cette source, les prix de la smartwatch varieraient de 350 à 5000 dollars. Le prix minimum est officiel, c'est celui communiqué par Apple pour le modèle Sport. Le modèle avec le bracelet en acier serait proposé à 500 dollars tandis que les modèles avec bracelet en or se hisseraient à 4000 ou 5000 dollars.
Dernière information, comme d'habitude chez Apple, le produit ne pourra pas être ouvert. Tout changement de batterie devra donc se faire dans les Apple Store.

 

Un point sur les écrans

Mais le SDK est également l’occasion de découvrir davantage d’informations sur la montre de la société californienne et sur son fonctionnement. La Watch sera déclinée en trois gammes de deux modèles, dont on connaît désormais la taille et la résolution des écrans. Le modèle de 38 mm de large, réservé aux petits poignets, proposera un écran de 340 x 272 pixels, tandis que la montre un peu plus grande, 42 mm, embarquera un écran de 390 x 312 pixels. Les deux écrans sont qualifiés de Retina et Apple indique aux développeurs d’intégrer une image deux fois plus large que les résolutions ci-dessus. La firme insiste aussi sur le fait que le contenu doit être « identique quelque soit la taille de l’écran ».
Les développeurs devront suivre des indications très précises. Ainsi, le centre de notification devra être de 29 pixels pour la version de 38mm, tandis que le modèle 42mm affichera des notifications de 36 pixels.

Deux tailles de Watch, en détail.

Des interactions contrôlées

On l’a vu au fil du temps, Apple n’aime pas que des développeurs tiers viennent altérer ses interfaces ou ses méthodes d’interaction. Ce sera la même chose avec la Watch. La firme de Cupertino a pensé l’interface de sa montre pour utiliser l’écran tactile mono touch au mieux, y compris les bords de l’écran.
Pour interagir avec sa montre, l’utilisateur pourra glisser son doigt verticalement, pour faire défiler un contenu, ou horizontalement pour passer d’une page à une autre. Un glissement partant du bord gauche de l’écran sera interprété comme une volonté de revenir en arrière, alors que le même mouvement vers le haut conduira à l’interface de contrôle. Un glissement du bord de l’écran vers le haut ouvre quant à lui Glances.
L’utilisateur d’une Watch pourra également tapoter l’écran pour sélectionner une option ou maintenir sa pression pour un Force Touch, qui ouvrira un menu contextuel. Ce dernier contiendra entre une et quatre actions.
Enfin, moyen essentiel d’interagir avec sa montre, la couronne numérique. Elle servira notamment à faire défiler plus rapidement les pages un peu longues.
Apple précise, une fois encore, que la Watch « n’est pas compatible avec les mouvements à plusieurs doigts, comme les pincements ».

Deux types de notifications et Glances…

On apprend également qu’Apple prévoit d’afficher les informations de trois manières différentes. On connaissait déjà Glances qui permet d’avoir toujours à portée de main les informations d’une application en particulier – toutes les applications ne proposeront pas de Glances. On sait désormais que Glances impose d’afficher des données textuelles uniquement en un seul écran qui ne sera pas interactif.
Les notifications, elles, étaient un peu moins bien documentées. On sait désormais qu’il en existera deux sortes. Le short look qui s’affiche brièvement quand on soulève son poignet. Elle ne présente aux yeux de l’utilisateurs que le logo de l’application, son nom et une courte information. Si l’utilisateur maintient son poignet levé, on passe alors en mode Long look. Ce qui signifie que le nom et le logo de l’application monte en haut de l’écran laissant la possibilité à l’utilisateur de faire défiler du contenu à l’écran. Il pourra alors réagir à l’information ou faire disparaître la notification.

A gauche une notification, avec une interaction possible. A droite, un exemple de Glances.

Intimement liée à l’iPhone

Dans son guide, Apple insiste sur la nature extrêmement personnelle de la Watch, produit plus que tout autre appelé à « brouiller les frontières entre objet physique et logiciel », notamment grâce à la couronne numérique.
Pour autant, cette montre ne pourra pas vivre seule, en tout cas pas dans un premier temps. Apple explique en effet que les applications de la Watch sont des extensions d’application pour iOS qui fonctionnent sur un iPhone : « Vous commencez le développement de votre application pour la Watch à partir de votre application iOS existante, qui doit être compatible avec l’iPhone ». Dans les schémas explicatifs du fonctionnement, on comprend que l’application sur la montre fait appel à des contenus et actions qui sont poussées depuis l’iPhone sur lequel est exécuté le programme.
Un fonctionnement qui fait un peu penser à celui des montres sous Android Wear, qui ne sont pas grand chose sans le smartphone sous Android qui les accompagnent obligatoirement.

Pour autant, la situation devrait évoluer dans le courant 2015, plutôt en fin d’année, qui verra arriver les premières applications natives pour la Watch. Elles s’exécuteront alors localement et fonctionneront a priori sans avoir besoin de l’iPhone.

Schéma de fonctionnement des applications pour la Watch.

Les limites de l’exercice

La dépendance forte vis-à-vis de l’iPhone impose des contraintes. Ainsi, si les images ou même ce qui s’apparente à des gif animés sont les bienvenus, les vidéos sont à proscrire – en même temps vu la taille de l’écran... Une application ne pouvant mettre en cache que 20 Mo d’images. Les cartes affichées dans une application sont statiques et ne seront pas interactives. Taper du doigt sur la carte ouvrira obligatoirement Plans.


Source.:

HTTPS: Le chiffrement TLS/SSL en 30 secondes en 2015

Hacktivistes et firmes high-tech veulent «chiffrer tout le Web»


L'EFF, Mozilla, Cisco, Akamai et IdenTrust vont proposer des certificats SSL gratuits et qui ne nécessiteraient que trente secondes pour être installés. Objectif : généraliser l’usage du protocole HTTPS.


Tous les défenseurs des droits civiques sont unanimes : pour protéger la vie privée des internautes, il faut renforcer le chiffrement des communications. Le problème, c’est que de nombreux services en ligne ne proposent même pas les bases du chiffrement Web, à savoir HTTPS.
Les hacktivistes d’Electronic Frontier Foundation (EFF) viennent de s’associer à Mozilla, Cisco, Akamai, IdenTrust et l’université du Michigan pour tenter de généraliser l’usage de ce protocole à l’ensemble de la Toile. Ensemble, ces différents acteurs vont créer une nouvelle autorité de certification baptisée « Let’s encrypt ». Son objectif est de permettre aux administrateurs de site de percevoir gratuitement des certificats de chiffrement TLS/SSL et, surtout, de pouvoir les installer de manière simple. « Pour de nombreux administrateurs, obtenir ne serait-ce qu’un certificat de base est déjà compliqué. Le processus de demande peut être source de confusion. Son obtention coûte de l’argent. C’est difficile de l’installer correctement. Sa mise à jour est douloureuse », peut-on lire dans un communiqué du site letsencrypt.org.
Selon l'EFF, un développeur web doit actuellement investir entre une et trois heures de temps pour activer le chiffrement TLS/SSL pour la première fois. Avec l’initiative « Let’s encrypt », l’objectif est de réduire ce délai à 30 secondes maximum. Pour cela, il suffira d’installer un assistant logiciel créé spécialement à cet effet. Techniquement, cet outil repose sur un protocole innovant développé par EFF. Baptisé ACME, il est capable d’automatiser l’approvisionnement et l’installation de certificats.
Le service « Let’s encrypt » sera disponible en été 2015.
Source.:

mercredi 19 novembre 2014

Le 8e chakra: le chakra de l’âme


Le 8e chakra

Propriétés du 8e chakra, le chakra de l’âme



Le 8e chakra est situé environ 50 cm au-dessus de la tête, il rassemble les propriétés de tous les 7 autres chakras et agit directement sur la protection de l’aura.
Le 8ème Chakra est la “clef de l’âme”, c’est le centre d’énergie de l’amour divin, de la compassion et de l’altruisme, c’est aussi le chakra qui détient la mémoire de nos vies antérieures, notre passé, nos souvenirs et nos expériences bonnes ou mauvaises.

Le 8ème Chakra est très important car il nous relie à notre âme et à son chemin de vie.

Le huitième chakra est le tunnel de lumière blanche signalé dans les expériences d’après la mort, c’est l’endroit où l’âme entre et quitte le corps physique.
Le 8e chakra contient la connaissance de tout ce que nous avons appris dans nos nombreuses incarnations, c’est pour cette raison qu’il est si puissant lorsqu’il est activé.
Lorsque le 8e chakra est ouvert il active les capacités spirituelles : voyance, voyage hors du corps, controle de ses rêves, dons de guérison, télépathie, pouvoirs psychiques…

Ce chakra ouvre la porte à d’autres idées, concepts et compétences.
Le 8e chakra apporte une protection contre les influences nocives et négatives de notre environnement, il agit comme un filtre protecteur contre les mauvaises énergies, et permet de se libérer des expériences du passé, c’est à dire qu’il agit sur notre karma en le nettoyant de toutes les mauvaises énergies.
Le karma correspond aux traces laissées dans nos champs énergétiques par nos vies antérieures, le karma est la mémoire de nos actes physiques et spirituels.
Les mémoires de ces vies antérieures peuvent causer de graves effets sur notre comportement. Les mauvaises expériences, les mauvais souvenirs sont générateurs de profonds barrages qui empêchent un développement harmonieux et créent de nombreux blocages.
Le stress, la peur, l’anxiété, la solitude, le manque de confiance en soi, les cauchemars etc. nous viennent de notre karma.
Lorsque vous ressentez un profond sentiment de bien être ou une forte influence positive, c’est parce que votre 8e chakra est fort et puissant, il diffuse en vous et autour de vous un champ électromagnétique protecteur et apaisant.
À l’inverse, lorsque le 8e chakra est déséquilibré, on se sent négatif et vulnérable aux attaques psychiques, on souffre de maux de tête et d’un manque de connection avec son environnement et les autres.
Lorsque le 8e chakra est ouvert ses énergies se déversent dans notre aura et la renforcent augmentant ainsi notre protection physique et spirituelle.
La pierre qui permet d’ouvrir le 8e chakra est le cristal de roche.

Méditation du 8e chakra avec le cristal de roche.

Arranger 6 cristaux de cristal de roche en cercle, au mileu de ce cercle s’installer en position de méditation.
L’importance de la position va bien au-delà de trouver simplement une façon de s’asseoir confortablement, la façon dont nous plaçons le corps a un effet profond sur nos émotions et notre état mental.
Il faut donc trouver une position dans laquelle vous vous sentez confortable, c’est celle qui vous permettra de ressentir le sentiment de détente et d’abandon nécessaires.
Un cristal de roche dans chaque main l’on se concentre sur ce que l’on souhaite le plus éliminer de notre vie, les souvenirs qui nous gênent et que l’on souhaite effacer, les actes que nous avons commis et dont nous ressentons les effets négatifs, tout ce qui représente un blocage dans notre vie.
Lorsque les éléments gênants sont bien identifiés, l’on se concentre sur ce que nous souhaitons obtenir une fois que ces mauvais souvenirs auront disparus de notre esprit.

Source.:

Économie 2014: La chute des prix de l'énergie(Pétrole) va contenir l'inflation à court terme ?

La croissance de l'économie des États-Unis pourrait être affectée ...

Fed: une détérioration de l'économie à l'étranger pourrait ralentir la croissance américaineLe siège de la réserve fédérale américaine, à Washington, en 2011


Le siège de la réserve fédérale américaine, à Washington, en 2011 - Karen Bleier AFP



La croissance de l'économie des États-Unis pourrait être affectée à moyen terme par une nouvelle détérioration des économies de l'Europe, de la Chine(achète moins de Pétrole) et du Japon, ont estimé les membres de la Réserve fédérale lors de la dernière réunion du Comité monétaire fin octobre.
Selon les minutes de cette réunion du Comité monétaire de la Fed publiées mercredi, de nombreux participants estiment toutefois que cet impact est pour l'instant «très limité».
Ils ont affirmé que le déclin des prix de l'énergie pourrait «compenser» l'effet négatif de la hausse du dollar et favoriser la consommation aux Etats-Unis.
La chute des prix de l'énergie va aussi «contenir l'inflation à court terme» mais les membres du Comité misent toujours sur une progression de l'augmentation des prix vers l'objectif de 2% «dans les années à venir». Certains membres du Comité se sont néanmoins inquiétés du fait que l'inflation puisse «persister» plus longtemps sous l'objectif de la Fed.
Lors de cette réunion, le FOMC avait mis fin à ses injections de liquidités dans le système financier et répété que les taux resteraient proches de zéro pendant une «période de temps considérable». Un membre du Comité avait voté contre, inquiet de la persistance de l'inflation basse.


Source.:

Au Grand Collisionneur de Hadrons (LHC): Les 2 nouvelles particules découvertes sont des baryons

Le grand collisionneur de hadrons, au Cern.


Le grand collisionneur de hadrons, au Cern. - CERN

Le boson de Higgs n'est pas le seul qui joue à cache-cache avec les scientifiques. Deux nouvelles particules ont été découvertes au grand collisionneur de hadrons (LHC), a annoncé mercredi le Cern, l'organisation européenne pour la recherche nucléaire à Genève.
L'existence de ces particules baptisées Xi_b'- et Xi_b*- était prédite par la théorie, mais elles n'avaient jamais pu être observées jusqu'à présent. Ces nouvelles particules sont des baryons, famille dont les membres les plus célèbres sont le proton et le neutron. Les baryons sont constitués de trois quarks, des constituants élémentaires liés entre eux par ce qu'on appelle «la force forte».
L'existence de ces deux nouvelles particules a été mise en évidence grâce à des expériences menées en 2011 et 2012 sur le grand accélérateur de particules LHC, situé à la frontière entre la Suisse et la France. L'étude a été menée notamment par Matthew Charles, du Laboratoire de physique nucléaire (CNRS/UPMC/Université Paris Diderot), en collaboration avec un chercheur américain.

Cohésion de la matière

La mesure des propriétés des deux nouvelles particules «contribue à une meilleure connaissance de la théorie d'interaction forte dans le cadre du Modèle standard de la physique des particules», souligne le CNRS français (Centre national de la recherche scientifique) dans un communiqué. Les interactions fortes sont responsables de la cohésion de la matière nucléaire.
Pendant longtemps, la description théorique de ces interactions a présenté un défi pour les physiciens. Puis, un progrès décisif a été accompli lorsqu'on a compris qu'elles sont toutes liées à un principe géométrique. Autour de 1970, est né le schéma théorique du Modèle standard, qui décrit les particules fondamentales de la matière, la manière dont elles interagissent et les forces qui s'exercent entre elles.

Redémarrage au printemps 2015 à pleine puissance

Une particule de la même famille, Xi_b*0, avait déjà été observée en 2012 grâce au grand collisionneur LHC, le plus grand du monde. C'est lui également qui a permis de découvrir le célèbre Boson de Higgs, considéré par les physiciens comme la clef de voûte de la structure fondamentale de la matière, la particule élémentaire qui donne leur masse à nombre d'autres, selon la théorie du Modèle standard.
Le LHC se trouve actuellement en phase de préparation, après un long arrêt, en vue d'un fonctionnement à des énergies plus élevées et avec des faisceaux plus intenses. Son redémarrage est prévu au printemps 2015.

Source.:

lundi 17 novembre 2014

L'A3, un logiciel qui détecte les virus et répare les dégâts automatiquement



Développé par des universitaires américains, l’Advanced Adaptive Applications est une suite logicielle capable de surveiller le bon fonctionnement d’une machine. Elle y détecte les attaques, bloque les malwares, les détruit et corrige les dégâts constatés, seule.


Une faille, un patch non appliqué et un malware ou un virus mettent à mal un serveur et tous les services qu’il anime. Malgré les solutions de sécurité, malgré l’attention des développeurs de logiciels serveurs, malgré le professionnalisme des administrateurs, les attaques informatiques font mal… Il suffit de se rappeler des 17 000 attaques menées en 24 heures après la découverte de Shellshock.
Enfin, ça, c’était avant. Avant A3, pour Advanced Adaptive Applications, programme open source développé pour Linux par l’Université de l’Utah. Ce logiciel a quelque chose de magique. Non seulement il détecte les attaques de virus ou de malwares inconnus, mais il est également de réparer les dégâts que ces attaques ont produits.

Surveillance permanente et intelligente

A3 tourne dans une machine virtuelle et veille au bon fonctionnement du système d’exploitation et des applications. Il fonctionne pour l’instant uniquement sur Linux et sur des serveurs ou des machines professionnelles. Des démonstrations de son bon fonctionnement sur des serveurs et applications militaires ont également été réalisées, explique le site Web de l’Université de l’Utah. Ce qui est assez logique puisque le projet de quatre ans a été partiellement financé par la DARPA.
De manière schématique, l’A3 est composé de plusieurs couches de debuggers qui tournent et surveillent en permanence la machine virtuelle pour détecter des comportements anormaux sur l’ordinateur.
« Contrairement à un antivirus classique sur un PC grand public, qui compare quelque chose qui infecte un ordinateur à un catalogue de virus connus, A3 peut détecter un malware ou un virus inconnu automatiquement en percevant que quelque chose d’anormal se passe sur l’ordinateur »
, explique le site de l’Université. A3 répare ensuite les dégâts de manière plus ou moins sommaire, sans interrompre le fonctionnement du serveur endommagé. Mieux, il apprend ensuite à bloquer le malware afin de ne plus le laisser approcher des serveurs qu’il protège.

© Dan Hixson/University of Utah College of Engineering
Eric Eide, professeur assisntat en science informatique à l'Université de l'Utah.

Shellshock vaincu en 4 minutes

Lors d’une démonstration devant des représentants de la DARPA, les équipes qui ont développé l’A3 ont « attaqué » un serveur via la faille Shellshock. Leur programme a découvert l’attaque sur un serveur Web et a réparé les dégâts en l’espace de quatre minutes, déclare Eric Eide, un des responsables du projet, dans un communiqué de l’Université de l’Utah,. Une demi douzaine d’autres malwares ont été soumis à la vigilance de l’A3 avec succès.

Quel avenir et pour qui ?

La prochaine étape de développement pour l’A3 est un « portage » dans le cloud, explique Eric Eide. Si aucune utilisation grand public n’est pour l’instant prévue, l’A3 pourrait débarquer sur nos PC un jour ou l’autre : « Les technologies A3 pourrait trouver leur place dans des produits grand public, un jour », explique Eric Eide. « Cela aiderait les machines grand public à se protéger contre les malwares qui se répandent rapidement », continue-t-il. D’ici là, maintenez vos machines à jour…


Source.:

Tor: Les oignons sont cuits ?

Pourquoi Tor n'est pas aussi anonyme que vous l'imaginez

Le coup de filet d’Europol dans le Darknet pose la question de la sécurité réelle de Tor. Une récente attaque imaginée par des chercheurs a fait enfler une vaste polémique ces derniers jours.


Alors que le mystère règne toujours sur la manière dont Europol est arrivé à détecter les propriétaires - désormais écroués - de plus de 400 services Tor cachés et illégaux (opération Onymous), le web s’est enflammé ces derniers jours à propos de l’anonymat réel fourni par Tor. Vendredi dernier, le site The Stack a pointé l’attention sur une nouvelle attaque concoctée par cinq chercheurs en sécurité. Cet article s’est répandu comme un feu de brousse sur les forums de Tor, de Reddit et de Hacker News. Il est vrai que l’analyse est intéressante.
Les cinq informaticiens ont montré qu’il était possible de remonter à l’adresse IP d’un utilisateur Tor en procédant à une analyse de trafic relativement basique, basée sur le protocole Netflow de Cisco. L’avantage de ce protocole est qu’il est implémenté un peu partout sur la Toile. Il constitue donc une bonne alternative de surveillance pour un « petit » Big Brother qui n’aurait pas les moyens de la NSA pour mailler le Net avec des sondes spéciales. Cette méthode est d’autant plus prometteuse que les chercheurs ont atteint un taux de reconnaissance de 81,4 %.
Comment fonctionne cette attaque ? Paradoxalement, elle s’appuie sur le fait que Tor est un réseau de bonne qualité où les paquets de données envoyés à l’entrée ressortent plus ou moins dans le même ordre à la sortie, sans trop de perte ni de latence. Supposons qu’un attaquant a le contrôle d’un serveur de fichiers vidéo pirates et qu’il introduit des perturbations dans le flux de téléchargement initié par un utilisateur de Tor (en faisant varier la bande passante en dents de scie côté serveur par exemple). Cette perturbation se retrouvera de l’autre côté du réseau anonyme, dans le flux qui transite entre l’utilisateur et le nœud d’entrée Tor. Si l’attaquant a les moyens pour surveiller les flux d’entrées d’un nombre significatif de serveurs Tor - ce qui n’est pas si difficile que cela- il pourra alors identifier l’utilisateur anonyme par corrélation.
agrandir la photo

Ce n'est pas le fin de Tor

Faut-il en conclure que Tor est foutu ? Pas forcément. Les membres du projet Tor et les chercheurs eux-mêmes soulignent que ce taux de reconnaissance des utilisateurs a été atteint dans le cadre d’une expérience. C’est un « proof of concept » qui n’est pas transposable tel quel dans le monde réel, nécessairement plus complexe. Par ailleurs, les chercheurs proposent dans leur analyse une parade relativement simple : Tor pourrait créer au sein de son réseau des perturbations aléatoires, ce qui permettrait de gommer celles créées par l’attaquant. Cela aurait pour effet de rabaisser la qualité de service de Tor, mais cela pourrait valoir le coup sur le plan de la sécurité. La balle est donc dans le camp des développeurs...
Mais tout ceci n’a probablement pas grand-chose à voir avec l’opération Onymous. Il est peu probable qu’Europol dispose d’une capacité de surveillance de trafic suffisante pour faire ce genre d’attaque. Les membres de Tor Project pensent que les forces ont exploité une faille dans le mode opératoire d’un ou plusieurs cybercriminels, avant de remonter la filière de proche en proche.
Source :
Le papier d’analyse des cinq chercheurs