Les développeurs de ‘The Guardian Project’, déjà à l’initiative de plusieurs applications à l’usage des militants, viennent de publier « Haven« , une application qui permet de transformer un smartphone Android inutilisé en détecteur de présence. L’application fait simplement usage des différents capteurs (caméras, microphones, mouvements, etc.) pour enregistrer un journal d’événements localement sur le téléphone. L’application est sponsorisée par la « Freedom of the Press Foundation », l’ONG d’Edward Snowden. C’est Snowden lui même qui est à l’origine de l’idée, voir la vidéo plus bas. L’application a été conçue comme une protection contre ce qui est appelée dans le domaine de la sécurité informatique « Evil Maid Attack » (« Femme de chambre démoniaque »). C’est à dire un scénario qui vise une personne déjà protégée. Par exemple, un militant laisse son ordinateur chiffré (avec Veracrypt par exemple), se pensant protégé. Mais lorsqu’il est absent, un intrus rentre chez lui, installe un virus KeyLogger afin d’enregistrer ce qui est tapé au clavier. Le militant rentre chez lui, allume son ordinateur, tape son mot de passe pour le déchiffrer, et ignore qu’il vient de donner son mot de passe à un adversaire. Selon Snowden, l’application protègera contre ce genre de scénario, mais pourra également servir à prévenir des alliés si un militant est kidnappé, peut également protéger une femme d’un agresseur ou d’un harceleur, etc.

L’application peut être configurée pour ne fonctionner que durant certaines heures. Le niveau de sensibilité des capteurs peut être réglé pour coller au genre de menaces dont on souhaite se protéger Correctement configurée, l’application peut envoyer des SMS, et elle peut même envoyer des messages via l’application Signal (que nous vous conseillons d’utiliser !) Même en-dehors de toute connectivité, l’application conserve un journal, et enregistre les sons et images détectés.

Haven est disponible pour Android ici.

Haven vous prévient si quelqu’un s’introduit chez vous en votre absence.

La ville française de Nice teste depuis lundi « Reporty », une application développée en Israël par la start-up de l’ancien Premier ministre Ehud Barak, qui permet d’appeler lorsqu’on est témoin d’une « incivilité » et de filmer l’incident en temps réel avec le centre de vidéosurveillance de la police municipale. Elle sera testée dans un premier temps par 2.000 personnes, des agents de la ville de Nice, des comités de quartier ou encore, des membres du réseau « Voisins vigilants ».

La personne qui appelle tombe directement sur le centre de supervision urbaine (CSU) et peut transmettre en direct des images de bonne qualité, ce qui permet de la géolocaliser, de cibler les caméras sur la zone et de dépêcher une patrouille. Un système de messagerie instantanée avec traduction automatique permet aussi à un touriste étranger ne parlant pas français de se faire comprendre par la police municipale niçoise. Un bilan sera fait dans deux mois. Nice, dont la police municipale est la première en France en effectif, est quadrillée par 1.950 caméras de vidéosurveillance, soit 27 au kilomètre carré, un record dans l’Hexagone.

L’application Reporty

En plus de son application éponyme, Signal met à disposition son protocole de chiffrement aux autres applications de messagerie instantanée. WhatsApp (dans sa totalité), Google Allo (mode incognito) et Facebook Messenger (mode incognito) profitaient déjà du protocole. L’application de conversation instantanée de Microsoft, Skype, profite désormais également de ce protocole de chiffrement en mode incognito. Le mode est appelé « conversations privées » et est disponible dès maintenant pour les utilisateurs de la preview de Skype (Skype Insiders). Signal promet de continuer à implémenter son protocole de chiffrement dans d’autres applications.

Signal protège Skype

C’est la plus grande base de données biométrique au monde. L’ambition d’Aadhaar (« la base », dans la plupart des langues indiennes) est en effet sans précédent : assigner à chacun du 1,3 milliard de citoyens indiens un numéro à douze chiffres auquel tout serait lié. Carte d’identité, compte en banque, numéro de téléphone, factures, logement, réservations de train, et même paiement par empreinte digitale — Aadhaar serait au monde physique en Inde ce que l’e-mail est au monde numérique. Un identifiant omniprésent, indispensable, et qu’il ne faut absolument pas se faire pirater.

Or, depuis son lancement en 2009, ce gigantesque projet du gouvernement indien multiplie les ratés : mal implémenté, faisant craindre des dérives à la Big Brother ou encore victime de fuites. Cette fois-ci, c’est un journaliste du quotidien The Tribune qui a pu, en s’adressant à un membre d’un groupe Whatsapp, obtenir un accès aux entrailles d’Aadhaar et aux informations personnelles de tout un pays moyennant… 7 euros.

Aadhaar

Deux failles informatiques à la gravité critique ont récemment été découvertes, elles ont été baptisées ‘Meltdown’ et ‘Spectre’. Ces deux failles touchent au fonctionnement profond de la grande majorité des processeurs modernes. Une courte explication: pour accélérer leur fonctionnement, les processeurs tentent de définir par avance quelle sera la prochaine fonction à exécuter, ce procédé est nommé « Speculative Execution ». Lorsque l’information transite par là, elle est momentanément accessible, et les deux failles permettent d’y accéder. Les deux failles ont été dévoilées aux constructeurs et aux développeurs de systèmes d’exploitation avant le public. Les systèmes peuvent tous être sécurisés, mais cette sécurisation a un prix: une perte de 5 à 30% de puissance. C’est le fondeur Intel qui est le plus touché, mais les autres fabriquants (ARM, AMD, Qualcomm,…) ne sont pas en reste.

Notre hébergeur a patché certains de ses serveurs hier soir, c’est pour cette raison que notre site internet était hors ligne en début de soirée et durant une partie de la nuit. Au passage, des certificats SSL ont été ajoutés sur nos sous-domaines (le site du Sacco-Vanzetti, Red Voices,…), ce qui est une bonne nouvelle.

Meltdown (

Le général David L. Goldfein, chef d’état-major de l’Air Force, vient de l’évoquer pour la « longue lutte contre le terrorisme international » l’acquisition d’avions d’attaque légers à hélice antiguérilla de type Embraer 314 Super Tucano ou Beechcraft AT-6 Texan II. L’AT-6 est un appareil extrapolé du Pilatus PC-9 suisse, tandis que l’Embraer Super Toucan a été créé pour la surveillance du bassin de l’Amazone et des frontières brésiliennes. Conçu pour évoluer par très hautes températures et à partir de terrains rudimentaires, l’Embraer est équipé d’un puissant turbopropulseur Pratt & Whitney, d’une avionique et de systèmes d’armes dernier cri qui lui permettent de mettre en œuvre des munitions de précision. Les mitrailleuses .50 incluses dans la voilure ou externes, dans une nacelle, sont d’origine FN Herstal.

Le Super Tucano a déjà été acquis par les Etats-Unis, pour le compte de l’Afghanistan, qui doit en réceptionner 20 entre janvier 2016 et 2018. Il est en service dans de nombreux pays d’Afrique, d’Asie et d’Amérique du Sud, notamment en Colombie où il a été utilisé contre les FARC. Le coût d’un Super Tucano est de 500 dollars l’heure, celui d’un F-16 de 19.000 dollars.

Super Tucano de l’aviation colombienne

La mise à jour mensuelle de Tails vient d’être publiée, il s’agit de la version 3.3. Il est recommandé à tous les utilisateurs de mettre à jour aussi vite que possible. Dans la liste des nouveautés, diverses résolutions de bugs, les mises à jour des des programmes inclus, etc. La grosse nouveauté de cette sortie, c’est que les images (fichiers .iso à graver sur un DVD ou sur une clé USB) sont désormais reproductibles, c’est à dire qu’il est possible de compiler soi-même le fichier en partant du code-source de Tails. Pour cette nouveauté, Tails a reçu une récompense, le « Mozilla Open Source Support Award ». La prochaine version de Tails devrait sortir le 16 janvier.
[
Pour télécharger Tails, c’est ici.->https://tails.boum.org]

Tails

Après plusieurs semaines de tests beta, Signal vient de publier la première version publique de son nouveau client indépendant pour ordinateur, un client dont l’installation n’est donc plus conditionnée par celle du navigateur Google Chrome, puisque Signal était jusqu’ici disponible sous la forme d’une « Application Chrome ». Mais Google a décidé de sonner le glas de ces applications pour 2018, ce qui a poussé les développeurs de Signal à changer de plateforme (Signal utilise désormais Électron). Aucune nouvelle fonctionnalité donc pour cette version. Il est possible d’importer ses données depuis l’application Chrome qui devrait proposer elle même de faire le changement. L’application indépendante Signal est disponible sur Windows (7, 8, 8.1 et 10), MacOS (10.9 et successifs) et Linux (distributions avec APT, donc Ubuntu, Debian et celles qui en découlent).

Signal est une application de messagerie sécurisée qui permet de communiquer des messages, des pièces-jointes jusqu’à 100Mo, et des appels audio et vidéo (uniquement sur Android et iOS pour l’instant). Toutes les communications sont chiffrées de bout en bout via un mécanisme très puissant, reconnu et approuvé par plusieurs cryptographes reconnus. L’application est sponsorisée par Edward Snowden et considérée (y compris par nous) comme la meilleure application de messagerie sécurisée, devant Telegram, WhatsApp et consorts, tout en restant extrêmement simple à utiliser.

Vous pouvez télécharger Signal (pour téléphone ou ordinateur) ici.

Signal Desktop

Tails (The Amnesiac Incognito Live System), l’un des outils les plus puissants pour protéger son anonymat et sa vie privée sur internet demande des fonds pour permettre la poursuite de son travail en 2018. Tails est entièrement gratuit et survit grâce aux dons de ses utilisateurs, d’ONG, d’entreprises (comme Mozilla ou Duckduckgo) ou d’organisations publiques américaines comme l’Open Technology Fund.

En 2017, Tails a compté en moyenne 22.061 démarrages sur son système par jour. Les besoins de Tails sont de 230.000$/an, compte tenu du fait que de nombreux contributeurs au projet sont des bénévoles. Pour faire un don, suivez ce lien. (via BitCoin, Paypal, virement EU, virement US ou Flattr).

Tails

Un chercheur de la KU Leuven a trouvé une faille très grave qui vise le protocole de protection de la très grande majorité des réseaux WiFi dans le monde, WPA2. Un attaquant peu ainsi pirater un appareil connecté à un WiFi (ordinateurs, smartphones, objets connectés) et facilement espionner ou injecter du contenu. D’autres protocoles protègent les données au-delà du WiFi, comme HTTPS par exemple. Mais, pour ce dernier exemple (d’autres existent), il est possible en injectant du contenu vers la cible de l’empêcher d’utiliser HTTPS et ainsi de dérober des données.

La première étape est de mettre à jour au plus vite les engins connectés:
– Android: Les smartphones Android qui bénéficient des patchs de sécurité mensuels de Google (donc les roms AOSP, LineageOS, les smartphones Nexus et Pixel et d’autres) recevront le patch dans la mise à jour du 6 novembre prochain.
– Apple: Tous les produits sous iOS, macOS, watchOS et tvOS (donc tous les produits Apple dont iphone, ipad, macbooks, etc.) recevront la mise à jour dans les prochains jours ou prochaines semaines, le patch est actuellement en phase de test béta.
– Linux: Le patch pour Debian est déjà disponible, les distributions basées Debian (dont Ubuntu) à jour sont donc probablement protégées.
– Microsoft: Le patch est publié depuis le 10 octobre, il suffit de lancer Windows Update. Si les mises à jour automatiques de Windows 10 sont activées vous êtes probablement déjà protégé.

De façon générale, une bonne technique de protection contre ce genre d’attaques et contre l’espionnage via WiFi est d’utiliser un VPN. Pour choisir un bon VPN, il faut éviter à tout prix d’en utiliser un gratuit, qui fera plus de mal que de bien. Un VPN généralement considéré comme sûr et coûtant 5€/mois pour 4 appareils protégés est Mullvad, qui est également simple d’utilisation, complètement anonyme et permet les paiements anonymes.

KRAck