La police de Santa Clara avait besoin d’informations sur un utilisateur de Signal dans le cadre d’une enquête. Les agents avaient donc demandé à la messagerie le nom, l’adresse postale, le numéro de téléphone, l’adresse IP et même les heures de connexion du suspect. Autant de données que Signal n’a pu délivrer, ne les ayant pas elle-même. La messagerie, chiffrée de bout en bout, ne stocke tout simplement pas les informations personnelles de ses utilisateurs. « Nous voici au second semestre 2021 », a ainsi expliqué Signal sur son blog, « Signal ne sait toujours rien de vous, mais le gouvernement continue de demander. » « Le vaste ensemble d’informations personnelles qui sont généralement faciles à récupérer dans d’autres applications n’existe tout simplement pas sur les serveurs de Signal », rappelle Signal. La messagerie a précisé qu’elle n’avait pas accès aux messages, à la liste de discussion, aux groupes, aux contacts, aux noms de profil ou avatar ou même aux GIF recherchés par ses utilisateurs. Les seules informations qu’elle peut fournir sont la date de création du compte et la dernière connexion de l’utilisateur.

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.


Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Dossier(s): Sécurité IT Tags: , ,

Le 10 décembre dernier, l’entreprise israélienne Cellebrite annonçait avoir cassé la sécurité de l’application de communication chiffrée Signal. En fait, Cellebrite n’a rien cassé, leur outil permet aux policiers de télécharger et gérer les données de Signal (et de n’importe quelle application), depuis un téléphone dont ils auraient déjà le mot de passe, ou qui serait déverrouillé. Le matériel Cellebrite est utilisé par de nombreuses polices, il équipe d’ailleurs 500 commissariats en France.

Dans un billet publié sur le blog de Signal hier soir, Moxie Marlinspike (fondateur et développeur de Signal) explique être entré en possession d’un kit Cellebrite habituellement réservé aux forces de police et y avoir trouvé une bonne quantités d’énormes vulnérabilités. A commencer par le fonctionnement le plus basique du logiciel de Cellebrite : siphonner des données indiscriminées venues d’un engin inconnu.

« Il est possible d’éxécuter du code arbitraire sur la machine Cellebrite, tout simplement en incluant un fichier spécialement formaté mais par ailleurs inoffensif dans n’importe quelle application d’un appareil qui sera ensuite branché dans Cellebrite et scanné. Il n’y a virtuellement aucune limite au code qui peut ainsi être exécuté (…) il peut modifier non seulement le rapport généré par Cellebrite, mais également tous les rapports passés et futurs de tous les scans qui ont eu lieu et qui auront lieu sur l’engin de façon arbitraire (en insérant ou supprimant du texte, des e-mails, photos, contacts, fichiers, etc.) sans laisser aucune trace de cette altération. Cela pourrait même être fait de façon aléatoire et remettrait alors sérieusement l’intégrité des données fournies par Cellebrite. (…) Jusqu’à ce que Cellebrite ait réparé toutes les vulnérabilités de son logiciel, le seul remêde qu’aient ses clients est de ne rien scanner. » Plusieurs autres vulnérabilités ont été trouvées, et deux DLL d’Apple probablement utilisées sans licence d’utilisation pour extraire les données des iphones.

Dans le dernier paragraphe du billet, Signal sous-entend très lourdement que de tels fichiers piégés seront intégrés dans l’application de façon aléatoire pour certains utilisateurs dans le futur.

 

Dossier(s): Non classé

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

De nombreux utilisateurs abandonnent actuellement WhatsApp et migrent vers Signal. Cette migration est causée par les nouvelles conditions d’utilisation de WhatsApp qui impose aux utilisateurs de partager certaines données avec Facebook. Parmi les données qui seront collectées par Facebook, on trouve notamment “l’heure, fréquence et durée de vos activités et interactions”, “vos adresses IP et d’autres données comme les codes géographiques des numéros de téléphone et votre localisation générale (ville et pays)” ou encore “votre photo de profil”. Les utilisateurs qui refuseraient ce partage risquent de voir leur compte supprimé le 8 février. Les changements de condition d’utilisation ne sont pas exactement les mêmes en Europe qu’ailleurs pour cause du Règlement Général de Protection des Données (RGPD), mais Whatsapp y récolte comme partout une quantité abusive de données sur ses utilisateurs.

Dès le 7 janvier, Signal enregistrait une explosion des inscriptions. Quelques jours plus tard, Signal s’imposait comme l’application la plus téléchargée sur Android et iOS un peu partout dans le monde. En 2020, la Mozilla Foundation avait désigné Signal “application de communication la plus sécurisée”. Signal, en effet, reste la meilleure application de messagerie sécurisée et nous conseillons depuis des années son utilisation (voir nos articles ici et ici). Plus d’infos sur Signal ici.

Dossier(s): Sécurité IT Tags:

Le 10 décembre, l’entreprise israélienne Cellebrite, qui vend des produits d’exfiltration de données de smartphone aux forces de l’ordre (voir notre article), a annoncé avoir trouvé une solution pour déchiffrer l’application Signal. « Déchiffrer les messages et les pièces jointes envoyés par Signal a été impossible… jusqu’à maintenant », pouvait-on lire dans une note de blog supprimée depuis. Derrière des explications techniques sur une récupération de clé secrète, Cellebrite annonçait en réalité qu’elle pouvait lire vos textes en ayant en possession de votre téléphone… déverrouillé. Ce que n’importe qui aurait pu faire simplement en ouvrant l’application pour consulter les messages. Bref, un grand « effet d’annonce », largement relayé, pour ce qui n’est en réalité qu’une petite amélioration rendant l’exportation des données plus confortable à partir du moment où l’on a déjà un accès total au téléphone…

 

Dossier(s): Sécurité IT Tags:

Les manifestations de masse aux États-Unis ont propulsé l’application de messagerie sécurisée Signal parmi les applications les plus téléchargées du pays. Elle est à présent 8è au classement des apps les plus téléchargées dans la catégorie réseaux sociaux. Hier soir, Signal a déployé une mise à jour bien utile puisqu’il est désormais possible de flouter des visages dans une photo que l’on envoie : « Nous avons travaillé sur de nouvelles façons d’aider tous ceux et celles qui sont dans la rue pour le moment. Une chose est sûr, 2020 est une bonne année pour se couvrir le visage. La dernière version de Signal pour Android et iOS introduit une fonctionnalité de floutage dans son éditeur d’image. » En plus de cela, Signal distribuera de vrais masques gratuitement aux manifestant·e·s.

Le projet de loi EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies – Loi sur l’élimination des négligences abusives et rampantes des technologies interactives) est un projet de loi déposé en mars qui vise à réduire les protections légales des applications et des sites Web dont le but déclaré est d’éradiquer l’exploitation des enfants en ligne. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l’article 230 de la Communications Decency Act, qui protège les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs. Plusieurs organisations et législateurs s’opposent à cette nouvelle loi. De son côté, Signal a averti mercredi 8 avril qu’une éventuelle adoption de cette loi saperait le chiffrement de bout en bout. Dans un billet sur son blog, Signal a déclaré qu’en cas d’adoption du projet de loi, l’application serait dans l’obligation de quitter le marché américain. En plus de l’ensemble de personne qui, à travers le monde, utilisent Signal, cette application est recommandé par l’armée américain et est également utilisé par des sénateurs américains ainsi que des membres de la Commission Européenne.

Signal

Signal

Signal s’est récemment doté d’une Fondation, la « Signal Foundation », et a reçu une grosse somme d’argent de la part de Brian Acton (co-fondateur de Whatsapp qui travaille à présent chez Signal). Ce changement devait permettre d’engager du monde et d’améliorer cette application de messagerie sécurisée que nous ne cessons de recommander.

Les mises à jour ne se sont pas fait attendre: Signal a changé son système de bases de données de façon à le rendre plus sécurisé. Signal utilise à présent SQLCipher ce qui lui a permis de rétablir la fonction de sauvegarde chiffrée. Il est donc à présent possible de sauvegarder la totalité de l’application (images et clés comprises) pour réinstaller l’application sur un autre téléphone. Dans le futur, cette mise à jour vers SQLCipher pourrait permettre de faire des recherches de mots-clés à l’intérieur des messages. Pour activer la sauvegarde sécurisée, il suffit de se rendre dans Paramètres, Chats et Médias, Backups.

Une autre mise à jour de sécurité importante est le « registration lock » ou « verrou d’enregistrement ». Pour expliquer de quoi il s’agit, il faut expliquer un type d’attaque sur numéro de téléphone, le « port out ». Il s’agit simplement de tenter de voler un numéro de téléphone. Il est en fait assez simple de voler un numéro de téléphone en prétendant à un opérateur téléphonique qu’on vous a volé votre téléphone (ou en demandant à un autre opérateur de transférer le numéro chez eux), celui-ci fournit alors une carte sim utilisable immédiatement. L’attaquant dispose ainsi du numéro de téléphone de sa cible jusqu’à ce qu’elle se rende compte de ce qui est train de se passer et récupère le contrôle de son numéro. Mais durant les quelques heures où l’attaquant prend le contrôle, il peut installer Signal, récupérer les messages qui lui parviennent dans ce laps de temps, usurper l’identité de sa cible et envoyer des messages à certaines personnes pour récupérer des infos sensibles. Le registration lock est donc un simple code pin qui sera exigé lors d’une nouvelle installation de Signal vers un numéro de téléphone donné. En cas d’oubli, le registration lock expirera après 7 jours, un laps de temps bien plus long que ce qui est nécéssaire pour se rendre compte qu’un numéro de téléphone a été volé. Pour activer: Paramètres, Vie privée, Registration Lock Pin.

Autres mises à jour, il est à présent possible d’utiliser les lecteurs d’empreintes digitales plutôt que les codes pin ou phrases de passe pour verrouiller l’application. De nombreuses nouvelles sonneries audio sont disponibles (sur iOS), il est également possible depuis un moment d’activer le « clavier incognito » sur Android, pour éviter que les frappes clavier ne soient envoyées chez Google.

Partage de pièces-jointes sur Signal.

Partage de pièces-jointes sur Signal.

Signal est actuellement le service de messagerie le plus sûr tout en étant le plus simple à utiliser. Lorsque le service est apparu il y a quelques années, l’avis général concernant la sécurité informatique était que la difficulté d’utilisation n’était pas négociable. Et des moyens de communication sécurisés comme PGP étaient malheureusement délaissés car trop difficiles à utiliser pour le grand public. Signal a changé cette situation en offrant un service de messagerie doté un chiffrement extrêmement puissant, une grande simplicité d’utilisation, une disponibilité multi-plateforme (Android, iOS, Windows, MacOS, Linux,…), etc. Signal est à présent utilisé par des millions d’utilisateurs, et son protocole de chiffrement est utilisé par plus d’un milliard de personnes puisqu’il a été intégré nativement à Whatsapp et dans les modes incognito des services de messagerie les plus répandus (Google Allo, Facebook Messenger, Skype,…) Malheureusement, malgré toutes ces qualités, Signal souffre encore de quelques défauts, le plus gros d’entre eux étant qu’il est actuellement impossible d’utiliser le service sans numéro de téléphone (une situation qui changera dans l’avenir). D’autres problèmes, comme le fait qu’il est impossible de faire des recherches dans le contenu des messages ou d’exporter une installation complète (clés de chiffrement, photos et médias compris) sont en passe d’être résolu puisque Signal a récemment procédé à de grosses mises à jour de son système de bases de données qui permettront plus de flexibilité des données. Tous ces problèmes, et les lenteurs à les résoudre sont dues au fait qu’il n’y a que trois développeurs qui travaille sur Signal, et même si le projet est open-source, les développeurs sont très scrupuleux à intégrer des fonctionnalités codées par des inconnus sans avoir vérifié leur contenu. Signal a également toujours refusé d’être subventionné par des sociétés à but lucratif, de faire des levées de fond ou d’intégrer des publicités. L’essentiel de son fonctionnement était donc financé soit par l’intégration du protocole de chiffrement dans d’autres services (Google Allo, Facebook Messenger, Whatsapp, etc.) ou par la ‘Freedom of the Press Foundation’ (l’ONG fondée par Edward Snowden).

La ‘Signal Foundation’ (société sans but lucratif) nouvellement fondée permettra à Signal de profiter de dons, d’étendre l’équipe de développeurs et de travailler sur de nouveaux outils. Elle profite déjà d’un premier financement de $50 millions, probablement principalement payés par Brian Acton, co-fondateur de Whatsapp qui a déjà travaillé avec Signal par le passé.

Signal Foundation

Signal Foundation