Les développeurs de VeraCrypt (le descendant de TrueCrypt) viennent d’annoncer une nouvelle version de leur puissant logiciel de chiffrement, la version 1.24. La mise à jour précédente (1.23-hotfix-2) datait d’il y a précisément un an.

Au menu des nouveautés, pour tous les systèmes d’exploitation : la longueur maximum des mots de passe augmente à 128bits pour les volumes de chiffrement simples (non-système). La génération matérielle de nombres aléatoires Jitterentropy peut être utilisée à la place de RDRAND et le logiciel détectera mieux les fonctionnalités des processeurs pour optimiser la génération. Uniquement pour Windows : VeraCrypt prend désormais en charge le chiffrement des clés et mots de passe dans la mémoire vive (RAM), utilisant 10% des ressources sur les processeurs modernes, l’activation de cette fonctionnalité (désactivée par défaut) a pour effet secondaire de ne pas permettre l’hibernation de Windows; la mémoire utilisée par VeraCrypt est désormais inaccessible aux utilisateurs non-administrateurs (ce qui permet de bloquer certaines tentatives d’attaques); les clés de chiffrement sont désormais effacées de la mémoire vive lors d’un arrêt/redémarrage du système (ce qui permet de bloquer des tentatives d’attaques « cold-boot »); une option a été ajoutée pour effacer les clés de la mémoire-vive lorsqu’un appareil est connecté à l’ordinateur et que le volume chiffre tout le système; nouveau point d’entrée driver permettant à d’autres applications d’effacer les clés de la mémoire en cas d’urgence; la gestion des bootloaders MBR et UEFI est largement améliorée; le bootloader VeraCrypt a été largement amélioré; un bug très ennuyant à également été corrigé (la mise à jour Windows Update cassait le boot VeraCrypt sur certains systèmes). Pour MacOS et Linux, quelques bugs ont été corrigés.

Vous pouvez consulter la liste complète des changements (en anglais) ici, et télécharger VeraCrypt ici.

Des cyber-attaques ont visé plusieurs de nos sites internet en début de journée, finissant par rendre injoignables plusieurs sites du Secours Rouge et du Secours Rouge International pendant deux heures. Ce genre d’attaques visant à rendre nos sites instables ou injoignables ont lieu régulièrement à basse intensité (au point qu’il est parfois difficile de savoir s’il s’agit d’attaques, si nous sommes la cible ou s’il s’agit d’un usage intensif indéterminé sur le serveur) et elles étaient particulièrement intenses ces derniers jours, mais elles ont passé un cap ce matin. Lorsque nos techniciens ont bloqué une première fois l’attaquant, celui-ci est revenu à la charge avec plusieurs dizaines d’autres machines, ne laissant aucun doute sur ses intentions ou sa cible. Il est à l’heure actuelle difficile de connaître l’identité des auteurs de ces attaques même si le but est évident : mettre nos sites hors-ligne ou les rendre inutilisables pour leurs utilisateurs.

La situation semble être revenue à la normale pour l’instant et nous informerons via notre page Facebook si une telle attaque devait se reproduire.

Il y a quelques jours, nous relayions sur notre site que les iPhones (régulièrement promus par Apple comme bien plus sécurisés que leurs concurrents) avaient été ciblés par des attaques massives indiscriminées durant plus de deux ans, même s’ils étaient en ordre de mises à jour et de patches de sécurité. Ce que le « Project Zero » (la cellule de sécurité de Google qui enquête sur ce genre de failles) n’avait pas révélé en plus de son analyse, ce sont les sites utilisés par les attaquants, ainsi que les cibles. Le magazine TechCrunch a ainsi révélé le 1er septembre que selon ses sources, l’attaque ciblait la communauté Ouïghour de la région du Xinjiang, en Chine, une info qui désigne un suspect évident comme commanditaire de l’attaque. Autre info que Google s’est bien gardée de communiquer: les pages infectées comportaient également des codes malicieux ciblant les appareils sous Windows et sous Android, sans qu’on en sache plus sur l’étendue, l’intensité et le succès de ces attaques là. Ces infections ont fini par toucher des utilisateurs en-dehors de la Chine car les sites infectés étaient indexés par Google, c’est ainsi que le FBI a demandé à Google de retirer les résultats de son moteur de recherche, et finalement comme cela que Google a lui-même enquêté sur ces attaques via le « Project Zero ».

Google, Apple, le FBI, ainsi que le Consulat de Chine à New-York ont tous refusé  » de confirmer ou d’infirmer » la moindre de ces informations. Le rapport technique détaillé des attaques peut-être consulté (en anglais) sur le blog du « Project Zero ».

Quatorze vulnérabilités critiques ont aujourd’hui été révélées par les chercheurs en sécurité informatique du « Project Zero » de Google, une structure chargée de rechercher les vulnérabilités dites « Zero Day » (c’est à dire inconnues des développeurs). Ces failles affectaient les iPhones aux versions d’iOS 10 à 12 et permettaient aux attaquants de viser sans discrimination de très nombreux utilisateurs puisque la simple visite d’un site infecté via le navigateur de l’iPhone pouvait mener à une infection. L’attaque permettait d’installer dans le téléphone un implant qui avait un accès au Keychain (trousseau de clés de chiffrement), et donc aux mots de passe, clés et certificats de l’utilisateur, ainsi qu’aux bases de données des applications enregistrées localement, ce qui signifie que le virus avait accès probablement accès aux messages des applications de communication sécurisées avant que le message ne soit chiffre (puisque le chiffrement se fait au moment de la communication, de bout-en-bout). On sait que Whatsapp et iMessages sont concernés, ce pourrait être le cas pour Signal mais ce n’est pas confirmé (nous mettrons cet article à jour dès que possible pour ce cas particulier). La sécurité de ces applications n’est en soi pas problématique dans le cas présent, puisque lorsque le système d’exploitation est compromis à ce point, tout est compromis.

Les chercheurs ont d’abord découvert ces failles au-travers des sites qui transmettaient l’infection, des sites recueillant des milliers de visiteurs hebdomadaires et infectant sans discrimination les utilisateurs d’iPhones. Un simple redémarrage du téléphone effaçait bien le malware, mais puisque celui-ci avait accès aux certificats, clés de chiffrement, et tokens d’identification, il faut supposer que les hackers ont pu utiliser les infos récoltées soit pour maintenir un accès constant à l’appareil, soit pour maintenir un accès constant aux comptes et services dont les clés et certificats avaient été volés. Project Zero a découvert un total de 14 vulnérabilités au travers de 5 chaines d’exploit, l’une de ces vulnérabilités n’avait pas encore été corrigée par Apple en février, lorsque Google leur a communiqué ces vulnérabilités. Illustrant encore une fois la gravité de la situation, Google n’a donné que 7 jours à Apple pour corriger au lieu des 90 habituels. Les failles ont été corrigées par la version d’iOS 12.1.4, mais les chercheurs craignent que d’autres campagnes de piratage de masse ne soient en cours.

Apple utilise depuis plusieurs années la sécurité de ses systèmes d’exploitation comme un argument marketing, un argument explosé par les rapports du Project Zero (consultables ici après 7 mois d’analyse approfondies), pendant au moins 2 années complètes, les pirates ont eu accès à des iPhones en ordre de mises à jour.

Le premier chien de police cloné de Chine, Kunxun, un chien-loup âgé de 8 mois, a passé l’évaluation de chien policier le 22 août et est maintenant prêt à travailler. Début mars, Kunxun est arrivé à la base pour chiens policiers de Kunming, capitale de la province du Yunnan (sud-ouest de la Chine), où il a participé à un programme de formation professionnelle pour chiens policiers. Né le 19 décembre 2018, Kunxun a été cloné de Huahuangma, un chien-loup de Kunming âgé de sept ans, en service au poste de police de Pu’er, dans la province du Yunnan.

Facebook a payé des centaines de sous-traitants pour transcrire des extraits sonores de conversations de ses usagers, a révélé mardi l’agence Bloomberg. Facebook l’a finalement reconnu mais affirme avoir mis fin à cette pratique. «Tout comme Apple ou Google, nous avons gelé la pratique d’écoute des enregistrements sonores par des humains la semaine dernière». Facebook explique avoir eu l’autorisation de procéder à la transcription de leur conversation par des usagers de son application Messenger. Les sous-traitants vérifiaient si l’intelligence artificielle du réseau interprétait correctement les messages qui avaient été rendus anonymes. Amazon, Apple et Google, qui vendent tous des assistants vocaux, avaient déjà reconnu faire de même pour améliorer les réponses de leurs applications. Apple et Google ont indiqué avoir abandonné la pratique ces dernières semaines. Facebook, qui vient tout juste de payer une amende record de 5 milliards de dollars aux autorités fédérales américaines pour un mauvais usage des données privées de ses usagers, a longtemps nié utiliser des enregistrements audio pour pouvoir mieux cibler ses publicités ou rendre ses pages plus attractives. Le fondateur et PDG du géant des réseaux sociaux avait rejeté l’idée même lors d’une audition devant le Congrès en avril 2018. «Vous parlez d’une théorie du complot qui circule affirmant que nous écoutons ce qui se passe dans votre micro et que nous l’utilisons pour de la pub», avait répondu le milliardaire à une question du sénateur Gary Peters. «Nous ne faisons pas ça».

La société israélienne Cellebrite a vendu à la police russe la technologie permettant de pirater le téléphone sur lequel le mot de passe est défini. Actuellement en Russie, des manifestations sont organisées contre la fraude électorale à Moscou et l’interdiction des candidats de l’opposition.  Lors de ces actions, les téléphones portables sont largement utilisés. Grâce à cette technologie, la police peut pénétrer dans le téléphone des manifestants arrêtés en masse (voir notre article), accéder aux réseaux sociaux et lire tous les messages dans des messageries instantanées. La société Cellebrite a déclaré à ce propos : « La société développe une technologie permettant aux forces de l’ordre de lutter contre le terrorisme et les crimes graves. La société vend uniquement à des entités juridiques autorisées et applique les lois de différents pays. »  Une des sociétés israéliennes de cybersécurité avait déjà aidé les autorités saoudiennes à surveiller le téléphone du journaliste d’opposition Khashoggi, assassiné par les services saoudiens (voir notre article).

La biométrie comportementale est une technologique de cyber-sécurité et de cyber-flicage qui identifie les personnes par la façon dont ils font ce qu’ils font – plutôt que par qui ils sont (reconnaissance faciale, empreinte digitale…), ce qu’ils savent (questions secrètes, mots de passe) ou ce qu’ils ont pour s’identifier (code éphémère envoyé par SMS…). Chaque personne a une façon qui lui est propre de déplacer une souris, taper sur un clavier ou sur un téléphone, et la biométrie comportementale est capable de mesure et d’analyser ces schémas.

La société israélienne BioCatch a développé un logiciel qui vérifie 500 bio-comportements et paramètres cognitifs et physiologiques pour créer des profils d’utilisateurs uniques et une présence web personnalisée pour chaque utilisateur de sites bancaires et commerçants. Elle vend ses produits de détection aux banques et à ses autres clients dans le monde entier. Elle développe maintenant des outils capables de détecter quand une personne effectue des opérations anormales et anxiogènes par l’étude de centaines de ces petits signaux comportementaux très subtils. Chaque signal est un indicateur très faible mais leur combinaison est opérante.

La police de Londres (Metropolitan Police Service ou The Met) a investi dans le système de reconnaissance faciale Neoface, acheté directement à la société japonaise NEC et soutient depuis l’intégration de sa technologie de reconnaissance faciale que sa marge d’erreur est quasiment négligeable (une seule erreur sur 1000 cas). Mais un rapport indépendant fourni par des chercheurs de l’Université de l’Essex à Sky News, établit que dans 81 % des cas, la technologie identifie des personnes innocentes comme étant des suspects alors qu’ils ne figurent sur aucune liste de personnes recherchées. Il apparait que la police du Met défendait son outil en utilisant une méthode très « particulière »: elle mesure l’exactitude en comparant les correspondances réussies et non les correspondances réussies avec le nombre total de visages traités…

Signalisation de la reconnaissance faciale expérimentale à Londres