Il y a quelques jours, nous avons relayé le fait que Protonmail avait fournit des informations à la police française via une demande Europol vers la Suisse, dans le cadre d’une enquête contre les occupant·e·s d’un bâtiment de la place Sainte Marthe, militant·e·s pour le climat. Les adresses IP n’étant effectivement pas enregistrées par défaut par Protonmail, la société a activé l’enregistrement d’IP pour l’adresse e-mail visée par le mandat.

Protonmail a depuis réagi à l’information en déclarant avoir agit dans le cadre de ses obligations vis à vis de la loi suisse et de ses propres conditions d’utilisation, qui précisent que les IP ne sont pas enregistrées « par défaut » mais qu’elles peuvent être enregistrées pour des adresses spécifiquement visées par une requête légale. Protonmail suggère à ses utilisateurs et utilisatrices qui auraient des besoins « spécifiques » en matière de vie privée d’utiliser le site .onion, accessible uniquement via TOR. Il est toutefois toujours impossible d’ouvrir un nouveau compte sans devoir fournir un numéro de téléphone ou de carte de crédit.

Les protocoles e-mail sont réputés pour être des technologies fondamentalement difficiles à sécuriser. Auparavant, la seule façon de garantir le chiffrement de ses e-mails était d’utiliser le logiciel OpenPGP, mais là encore avec une immense faille puisque la plupart des méta-données (émetteur, destinataire, sujet, date et heure) sont très difficiles ou impossibles à chiffrer, dû au fonctionnement même des e-mails. En plus de ça, OpenPGP est difficile à utiliser, et encore plus à utiliser collectivement avec des personnes aux compétences informatiques variables. L’arrivée de fournisseurs d’e-mails chiffrés associatifs (comme Riseup) ou commerciaux (comme Protonmail ou Tutanota) a massivement augmenté la facilité d’utilisation du chiffrement des e-mails, comparés aux fournisseurs classiques comme Gmail et Outlook. Le fait que le contenu des e-mails n’ait pas pu être transmis à la police française est donc un point important à noter. Protonmail n’est pas anonyme (pas plus que Tutanota qui peut également être légalement forcé d’enregistrer l’adresse IP d’un utilisateur spécifique, par la justice allemande). L’utilisation d’un bon VPN ou de TOR est la seule façon d’être anonyme vis-à-vis de son fournisseur d’accès à internet ou des sites web visités.

Ces dernières années ont enfin vu se développer de nouveaux protocoles de messagerie chiffrée comme Signal ou Session qui permettent le chiffrement de la quasi-totalité des méta-données par défaut. Contrairement à OpenPGP qui utilise toujours la même clé pour chiffrer, ces nouveaux protocoles utilisent de nouvelles clés pour chaque message.

Malgré le fait que Protonmail est transmis cette information, il est toujours préférable d’utiliser un tel service plutôt qu’un fournisseur d’e-mail classique, en gardant à l’esprit que contrairement à Signal, les méta-données des e-mails ne sont généralement pas chiffrées. En toutes circonstances, sur tous les appareils que vous utilisez (smartphones, tablettes, ordinateurs) et pour toute activité sur le web, nous recommandons fortement l’utilisation d’un VPN réputé en matière de vie privée comme Mullvad, ou de TOR.

Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Publicité de Clearview AI

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.


Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Dossier(s): Sécurité IT Tags: , ,

Le 10 décembre dernier, l’entreprise israélienne Cellebrite annonçait avoir cassé la sécurité de l’application de communication chiffrée Signal. En fait, Cellebrite n’a rien cassé, leur outil permet aux policiers de télécharger et gérer les données de Signal (et de n’importe quelle application), depuis un téléphone dont ils auraient déjà le mot de passe, ou qui serait déverrouillé. Le matériel Cellebrite est utilisé par de nombreuses polices, il équipe d’ailleurs 500 commissariats en France.

Dans un billet publié sur le blog de Signal hier soir, Moxie Marlinspike (fondateur et développeur de Signal) explique être entré en possession d’un kit Cellebrite habituellement réservé aux forces de police et y avoir trouvé une bonne quantités d’énormes vulnérabilités. A commencer par le fonctionnement le plus basique du logiciel de Cellebrite : siphonner des données indiscriminées venues d’un engin inconnu.

« Il est possible d’éxécuter du code arbitraire sur la machine Cellebrite, tout simplement en incluant un fichier spécialement formaté mais par ailleurs inoffensif dans n’importe quelle application d’un appareil qui sera ensuite branché dans Cellebrite et scanné. Il n’y a virtuellement aucune limite au code qui peut ainsi être exécuté (…) il peut modifier non seulement le rapport généré par Cellebrite, mais également tous les rapports passés et futurs de tous les scans qui ont eu lieu et qui auront lieu sur l’engin de façon arbitraire (en insérant ou supprimant du texte, des e-mails, photos, contacts, fichiers, etc.) sans laisser aucune trace de cette altération. Cela pourrait même être fait de façon aléatoire et remettrait alors sérieusement l’intégrité des données fournies par Cellebrite. (…) Jusqu’à ce que Cellebrite ait réparé toutes les vulnérabilités de son logiciel, le seul remêde qu’aient ses clients est de ne rien scanner. » Plusieurs autres vulnérabilités ont été trouvées, et deux DLL d’Apple probablement utilisées sans licence d’utilisation pour extraire les données des iphones.

Dans le dernier paragraphe du billet, Signal sous-entend très lourdement que de tels fichiers piégés seront intégrés dans l’application de façon aléatoire pour certains utilisateurs dans le futur.

 

Dossier(s): Non classé

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

Deux manifestations avaient été appelées ce dimanche à Bruxelles, à l’Atomium et à la Gare Centrale. Les deux rassemblements sont interdits depuis plusieurs jours, au motif qu’ils étendraient le mouvement de révoltes qui a lieu aux Pays-Bas. Un important déploiement avait été mis en place autour de la gare centrale et au Mont des Arts, avec des centaines de policiers anti-émeutes présents et des dizaines de combis stationnés. Les manifestants formaient un ensemble très varié: complotistes, gilets jaunes, nationalistes flamands d’extrême droite, libertaires et, en majorité, supporters de football. Ils ont été nassés et la police a procédé à 488 arrestations administratives, essentiellement autour de la gare centrale. Ils ont rapidement été libérés, vers 15h00, après identification (prélude probable à une amende) et à condition de quitter les lieux.

Une quatrième ouverture de bâtiment vient d’avoir lieu dans le cadre de la Campagne de Réquisitions Solidaires qui avait commencé avec l’Hospitalière à Saint-Gilles, le 18 décembre dernier. L’occupation a lieu à Molenbeek, au 38 rue de Kokinck, le bâtiment appartient à la région et est géré par Citydev (acteur bien connu de la gentrification bruxelloise), et a une superficie de 12.000 m2. La police est présente sur place et des négociations sont en cours. Des personnes sont rassemblées en soutien devant le bâtiment.

Mise à jour 18h : La police est partie, l’occupation peut rester jusque lundi et les négociations seront entamées.

Le satellite Türksat 5A a été mis en orbite par une fusée Falcon 9 de SpaceX la nuit passée, depuis la base de lancement de Cape Canaveral, il entre maintenant dans une phase de positionnement qui durera environ 4 mois pour se retrouver en orbite géosynchrone à 31° Est le long de l’Équateur. Comme ses prédécesseurs, Türksat 5A renforcera la couverture des chaines de télévision turques et augmentera les capacités de communication militaires du régime d’Erdogan, les satellites Türksat sont notamment utiles pour opérer les drones de l’armée turque et assurer leur capacité anti-brouillage, la résolution de leurs images, etc. La Turquie a actuellement 3 satellites en activité dans l’espace : les Turksat 3A, 4A et 4B, ils seront donc rejoints par le 5A (opérationnel mi-2021) ainsi que le 5B qui sera lancé par SpaceX dans quelques mois et opérationnel à la fin de l’année.

Türksat 5A est le premier satellite turc lancé par SpaceX, les derniers lancements (Türksat 4A et 4B) avaient eu lieu en 2014 et 2015 depuis des lanceurs russes. Techniquement : Türksat 5A augmentera les capacités turques dans la bande Ku (bande de fréquences 12-18 Ghz), il sera centré sur la Turquie mais couvrira mieux certains territoires, notamment Afrique du Nord, Afrique sub-saharienne, Afrique du Sud, et à l’Est jusqu’au Kazakhstan. Une fois en service, Türksat 5A sera le plus puissant satellite turc. De son côté, Türksat 5B, dont le lancement est prévu à la mi-2021, augmentera la couverture de la bande Ka pour atteindre 17X la capacité actuelle et couvrir la Mer Noire, la Mer Egée, la Turquie, l’Afrique du Nord, la Mer Rouge et le Golfe Persique.

Ce lancement fait suite à la rencontre, en novembre 2017, entre Erdogan, et celui qui est depuis devenu l’homme le plus riche du monde, Elon Musk, patron de SpaceX et de Tesla. SpaceX a déjà délivré plusieurs engins militaires américains en orbite, et est actuellement en discussion avec le gouvernement américain afin de fournir un système de transport de matériel militaire et éventuellement de troupes, « n’importe où sur la planète en une heure » à l’aide de sa nouvelle fusée Starship. Au moins trois lancements de matériel militaire américain sont prévues cette année pour SpaceX, à l’aide de fusées Falcon Heavy cette fois.

Fin octobre 2020, la communauté arménienne avait manifesté devant le siège de SpaceX à Hawthorne (Californie) pour protester contre la collaboration avec le régime d’Erdogan.

Voilà 20 ans que le Secours Rouge est actif en Belgique sur le front de l’anti-répression. S’il a pu développer des relations privilégiées, lors d’expériences heureuses et moins heureuses, avec d’autres forces politiques, il avait jusqu’à présent résolument gardé son indépendance politique et organisationnelle.

C’est une page qui est maintenant tournée.

Le Secours rouge de Belgique devient partie intégrante de l’organisation révolutionnaire « Classe contre classe », tout en restant une section du Secours Rouge International.

Qu’est-ce que cela change ? À la fois tout et à la fois rien.

Tout, parce que le Secours Rouge, quoique centré sur la thématique de l’anti-répression (ou plus exactement de la ligne de front dialectique révolution/contre-révolution), était une organisation politique révolutionnaire ; désormais, elle ne définira plus sa propre ligne mais appliquera, dans son champ de lutte, celle de l’organisation Classe contre classe.

Rien, parce que l’organisation Classe contre classe s’est construite à partir de l’expérience du Secours rouge. Bien qu’intégrant, dès sa fondation, des membres non-issus du Secours rouge, Classe contre classe peut être considérée comme l’extension des principes, expériences et choix politiques du Secours rouge à l’ensemble des champs de lutte – et non plus au seul domaine de l’anti-répression.

Rien, parce qu’au sein de l’organisation Classe contre classe, en tant que commission anti-répression, le Secours rouge va poursuivre, intensifier et étendre le travail qui est le sien depuis 20 ans.