Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#CPLUSSUR (Acte 2) : 100% sécurisé... seriously ?

La nébuleuse CPLUSSUR / E-PROTECT Dans le précédent article, nous avons acté que le métier de CPLUSSUR, une marque de l'entreprise 1688, filiale du Figaro, dirigée par le directeur de publication du Figaroscope, c'est le courtage en assurances.

La nébuleuse CPLUSSUR / E-PROTECT

Dans le précédent article, nous avons acté que le métier de CPLUSSUR, une marque de l'entreprise 1688, filiale du Figaro, dirigée par le directeur de publication du Figaroscope, c'est le courtage en assurances. Il fallait donc bien trouver des prestataires techniques et des professionnels des assurances pour constituer cette offre dont un article nous vante les mérites en omettant assez curieusement de signaler qu'il ne s'agit pas d'un article d'information, mais d'un publi-rédactionnel, commandé par on ne sait trop qui à la direction du Figaro.

Ces prestataires sont... tenez vous bien :

  • Gras Savoye : un courtier en assurance ;
  • La MatMut don le métier est l'assurance et la protection juridique ;
  • EuropAssistance : dont le métier est l'assurance ;
  • Wosheo / Zen Réputation: dont le métier est la veille en E-Réputation (des "nettoyeurs du net" comme ils se qualifient eux mêmes) ;
  • DEMAT Store : dont le métier est de donner accès à un cloud souverain grâce à un navigateur libre propriétarisé installé sur une clé USB et présenté comme révolutionnaire et 100% sécurisé par Duncan Mac Leod, du clan des Mac Leod...

Avec un tel casting, on se doute bien que la suite va être comique.

Nous nous sommes posés une bête question :  un courtier en assurance, une société d'archivage probatoire et des "nettoyeurs du net" sont ils compétents pour proposer une solution d'anonymisation et de protection des données personnelles ? Si le volet "assurance" de l'offre ne pose pas vraiment de problème grâce à Gras Savoye, Europ Assistance et la MatMut, le volet technique, non maîtrisé par les partenaires, les annonceurs (Le Figaro), les assureurs (Gras Savoye), ou même l'enseigne commerciale (CPLUSSUR)... a pas mal attiré notre attention.

Enfin quand on vous dit que le volet assureur ne pose pas de problème, il ne faudrait pas non plus que l'assureur se retrouve avec vos historiques de connexions pour se rendre compte que vous visitez un peu trop Doctissimo pour prétendre à une assurance vie...

Sur le site de l'annonceur (Le Figaro), ça donne ça :

Capture d’écran 2013-08-27 à 17.21.15
Capture d’écran 2013-08-27 à 17.21.15
fig100
fig100

Sur le site de l'enseigne commerciale (en sous domainede l'article d'information pertinente digne d'un média national comme le Figaro), ça donne ça :

 

Alors ? 100% secure... sans blagues ?

Cette solution technique, c'est DEMAT Store qui la fournit. La société prétend avoir développé  " Le 1er navigateur 100% sécurisé!" , ce qui est, disons le tout de suite et sans détour... une belle connerie.

Le navigateur en question se lance depuis une clé USB, s'il ne laisse aucune trace sur le disque dur de la machine sur lequel vous branchez la clé, dire qu'il ne laisse aucune trace sur le Net, comme le laisse entendre l'article du Figaro parlant d'anonymat... c'est tout bonnement mensonger.

Attention désenfumage : CPLUSSUR/E-PROTECT n'est PAS une solution d'anonymisation ! 

La clé DEMAT Store ne propose strictement AUCUNE mesure d'anonymisation, c'est en fait tout le contraire, puis qu'elle propose en définitive une solution d'identification forte à triple facteur pour accéder à l'espace cloud d'Arkhineo (une entreprise du groupe Caisse des Dépôts et des Consignations... donc l'Etat), spécialiste de l'archivage probatoire. Vous l'aurez compris, si vous avez des données que vous souhaitez tenir écartées des yeux des autorités françaises, c'est pas franchement la meilleure solution.

L'article du Figaro prétend que :

"La solution E-Protect proposée par CPLUSSUR.com, associe une navigation 100% sécurisée et une assurance garantie numérique complète et idéale."

Là tout de suite, on se demande si ce n'est pas le Figaro qui enjolive la dure réalité technique, à savoir qu'en matière de sécurité, le 100%, ça n'existe pas... Petite vérification....

Ah non ! Ce n'est pas le Figaro qui l'a inventé, c'est bien ce que l'on peut lire sous le logo de DEMAT Store !

La clé proposée par DEMAT Store embarque un navigateur maison( DSBrowser), reposant sur le moteur Webkit ( qui a de moins en moins la cote, bien qu'il soit l'un des rares trucs open source d'Apple) proposant un "accès sécurisé" à un espace sur le "cloud" de DEMAT Store :

"Le premier navigateur DSBrowser créé en exclusivité par DEMAT STORE établit la communication sécurisée et cryptée avec votre espace numérique personnel en 256bits réel (AES - Advanced Encryption Standard) avec notre certificat VERISIGN entreprise PRO. "

Il pourrait être amusant de tester les vulnérabilités récemment corrigées sur d'autres navigateurs utilisant Webkit sur DSBrowser quelques jours après une alerte de sécurité pour voir si l'équipe de DEMAT Store est aussi rapide que celle de Google ou la communauté Mozilla Firefox pour proposer une mise à jour...

En clair, DEMAT Store a créé un navigateur propriétaire pour établir une connexion via un protocole de chiffrement propriétaire sur un cloud tout aussi propriétaire et appartenant à l'Etat. Vous n'avez donc d'autre choix que de croire la société quand elle vous dit "c'est 100% secure", ce qui est en soi déjà un mensonge. Un peu comme quand le GIE Cartes Bancaires vous dit que les cartes de crédit NFC sont 100% secure...

Bref, rien d'innovant, rien "d'exclusif", juste une implémentation propriétaire d'un protocole largement répandu (SSL/TLS) utilisant un standard de chiffrement ayant fait ses preuves (AES)... et avec un tiers de confiance soumis au Patriot Act, une autorité de certification américaine : VERISIGN. Du cloud souverain, mais pas trop quand même...

Précisons enfin que ce ne sont pas "tous vos échanges" qui sont protégés mais uniquement ceux qui passeront par le navigateur DSBrowser. Vos mails (si vous utilisez un client mails et non une interface web d'un site préalablement placé sur une liste blanche de DEMAT Store), vos chats, vos téléchargements P2P... bref, tout votre Internet, lui ne sera pas du tout protégé.

En tout cas, DEMAT Store ne lésine pas en matière de communication comme en atteste Duncan Mac Leod, du clan des Mac Leod :

Evidemment, le spot publicitaire, véhicule par l'image de Christophe Lambert, non pas un mais deux mensonges :

  • "naviguer sur le web sans laisser de trace" : il faut ici comprendre sans laisser de trace sur le disque dur de l'ordinateur (coucou la RAM, coucou les journaux de connexion, etc... ), une personne normale visionnant ce spot publicitaire comprendra qu'il ne laisse plus de trace sur le web, on parlera donc de mensonge par omission...
  • "100% sécurisé" : ça n'existe pas

Zen Réputation / Wosheo : le maillon faible... très faible.

Tous les professionnels de la sécurité vous le diront : Le produit magique qui vous sécurise en un seul clic, ça n'existe pas.

La société Zen Réputation est la société qui propose un outil de veille de E-Réputation, inclue dans l'offre CPLUSSUR. Cette société dont le coeur de métier est un service de "nettoyage" (FAQ Nettoyage Zen Reputation au format PDF) du Net et de "noyage" (FAQ Noyage Zen Reputation au format PDF), des techniques visant à faire retirer des contenus ou au contraire à inonder le net de contenus bidons pour noyer des contenus dérangeants. Les politiques comme certaines marques sont assez friands de ce genre de services. Victimes d'insultes ou de critiques un peu acerbes, ils s'adressent alors à ce genre de sociétés de E-Réputation pour laver plus blanc que blanc les moteurs de recherche. Le hic, c'est que Zen Reputation n'a strictement aucune compétence pour manipuler des données à caractère personnel, son site pisse des données parfaitement nominatives.

On imagine aisément un client ayant récemment souscrit à l'offre CPULSSUR, découvrant une fuite de données personnelles chez le partenaire Zen Reputation, compilant les plus belles insultes dont il est victime, tenter de se faire assister juridiquement par le partenaire MatMut et dédommager  par le partenaire EuropAssistance, pour finir par se retourner contre le Figaro qui lui a vendu de la sécurité pour au final être à l'origine d'une fuite de données personnelles...

...Ah je vois... vous pensez que ce scénario est parfaitement improbable ?

Pourtant, techniquement... il l'est :

Les rapports de suivi de ses clients, sont eux aussi publics ! Bien public... sur leur cloud souverain mais bavard :

ERRATA (18h44) :

Comme le fait remarque BaN ci dessous, ce n'est pas Duncan Mac Leod, mais Connor Mac Leod, du clan des Mac Leod. La rédaction de Reflets vous présente ses plus plates excuses pour ce manque de culture en Christophe Lamberitude.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée