Signal s’est récemment doté d’une Fondation, la « Signal Foundation », et a reçu une grosse somme d’argent de la part de Brian Acton (co-fondateur de Whatsapp qui travaille à présent chez Signal). Ce changement devait permettre d’engager du monde et d’améliorer cette application de messagerie sécurisée que nous ne cessons de recommander.

Les mises à jour ne se sont pas fait attendre: Signal a changé son système de bases de données de façon à le rendre plus sécurisé. Signal utilise à présent SQLCipher ce qui lui a permis de rétablir la fonction de sauvegarde chiffrée. Il est donc à présent possible de sauvegarder la totalité de l’application (images et clés comprises) pour réinstaller l’application sur un autre téléphone. Dans le futur, cette mise à jour vers SQLCipher pourrait permettre de faire des recherches de mots-clés à l’intérieur des messages. Pour activer la sauvegarde sécurisée, il suffit de se rendre dans Paramètres, Chats et Médias, Backups.

Une autre mise à jour de sécurité importante est le « registration lock » ou « verrou d’enregistrement ». Pour expliquer de quoi il s’agit, il faut expliquer un type d’attaque sur numéro de téléphone, le « port out ». Il s’agit simplement de tenter de voler un numéro de téléphone. Il est en fait assez simple de voler un numéro de téléphone en prétendant à un opérateur téléphonique qu’on vous a volé votre téléphone (ou en demandant à un autre opérateur de transférer le numéro chez eux), celui-ci fournit alors une carte sim utilisable immédiatement. L’attaquant dispose ainsi du numéro de téléphone de sa cible jusqu’à ce qu’elle se rende compte de ce qui est train de se passer et récupère le contrôle de son numéro. Mais durant les quelques heures où l’attaquant prend le contrôle, il peut installer Signal, récupérer les messages qui lui parviennent dans ce laps de temps, usurper l’identité de sa cible et envoyer des messages à certaines personnes pour récupérer des infos sensibles. Le registration lock est donc un simple code pin qui sera exigé lors d’une nouvelle installation de Signal vers un numéro de téléphone donné. En cas d’oubli, le registration lock expirera après 7 jours, un laps de temps bien plus long que ce qui est nécéssaire pour se rendre compte qu’un numéro de téléphone a été volé. Pour activer: Paramètres, Vie privée, Registration Lock Pin.

Autres mises à jour, il est à présent possible d’utiliser les lecteurs d’empreintes digitales plutôt que les codes pin ou phrases de passe pour verrouiller l’application. De nombreuses nouvelles sonneries audio sont disponibles (sur iOS), il est également possible depuis un moment d’activer le « clavier incognito » sur Android, pour éviter que les frappes clavier ne soient envoyées chez Google.

Partage de pièces-jointes sur Signal.

Depuis le scandale PRISM révélé en 2013 par Edward Snowden, les entreprises de la Tech livrent une bataille juridique et technologique avec les gouvernements, avec comme enjeu la sécurité des données des utilisateurs. En chiffrant le contenu de ses appareils sous iOS avec le verrouillage biométrique de l’utilisateur (Touch ID ou Face ID), Apple ne peut connaître (ni donc livrer) la clé de déchiffrement de ses derniers smartphones. Sans forcer l’utilisateur à déverrouiller son iPhone, il est impossible d’accéder à son stockage et donc aux données privées.

La société israélienne Cellebrite, qui offre ses services aux forces de police, serait cependant parvenue à déverrouiller des smartphones et accéder aux données des utilisateurs. Tous les appareils iOS, même l’iPhone X, qui tournent sous iOS 11 (jusqu’à la version 11.2.6) seraient concernés. Du côté d’Android, les derniers appareils en date seraient touchés. Le déverrouillage se ferait sans avoir besoin d’un accès root ou du jailbreak, et utiliserait un moyen d’accès autre que la biométrie pour entrer sur le téléphone (le code pin, le code ou le schéma de déverrouillage). Pour s’assurer qu’Apple n’identifie pas la faille, Cellebrite demande que les appareils soient déverrouillés dans ses locaux, après un envoi de la police. Il ne semble pas être possible de déverrouiller l’appareil à distance. Les appareils sont ensuite rendus aux forces de l’ordre et Cellebrite envoie les données qui étaient stockées.

.

Le groupe OffSecurity a réalisé une compilation de vidéos d’attaque DDoS (Déni de service) qu’elle a réalisées en 2017 et 2018 contre plusieurs sites fascistes et islamistes (Groupe Union Défense, Action Française, Mouvement National-Socialiste Américain NSM88, AKP, et Aube Dorée). Cette vidéo a été dédiée aux Antifascist Forces in Afrin, au Revolutionary Abolitionist Movement et au Secours Rouge. Merci 😉

Signal est actuellement le service de messagerie le plus sûr tout en étant le plus simple à utiliser. Lorsque le service est apparu il y a quelques années, l’avis général concernant la sécurité informatique était que la difficulté d’utilisation n’était pas négociable. Et des moyens de communication sécurisés comme PGP étaient malheureusement délaissés car trop difficiles à utiliser pour le grand public. Signal a changé cette situation en offrant un service de messagerie doté un chiffrement extrêmement puissant, une grande simplicité d’utilisation, une disponibilité multi-plateforme (Android, iOS, Windows, MacOS, Linux,…), etc. Signal est à présent utilisé par des millions d’utilisateurs, et son protocole de chiffrement est utilisé par plus d’un milliard de personnes puisqu’il a été intégré nativement à Whatsapp et dans les modes incognito des services de messagerie les plus répandus (Google Allo, Facebook Messenger, Skype,…) Malheureusement, malgré toutes ces qualités, Signal souffre encore de quelques défauts, le plus gros d’entre eux étant qu’il est actuellement impossible d’utiliser le service sans numéro de téléphone (une situation qui changera dans l’avenir). D’autres problèmes, comme le fait qu’il est impossible de faire des recherches dans le contenu des messages ou d’exporter une installation complète (clés de chiffrement, photos et médias compris) sont en passe d’être résolu puisque Signal a récemment procédé à de grosses mises à jour de son système de bases de données qui permettront plus de flexibilité des données. Tous ces problèmes, et les lenteurs à les résoudre sont dues au fait qu’il n’y a que trois développeurs qui travaille sur Signal, et même si le projet est open-source, les développeurs sont très scrupuleux à intégrer des fonctionnalités codées par des inconnus sans avoir vérifié leur contenu. Signal a également toujours refusé d’être subventionné par des sociétés à but lucratif, de faire des levées de fond ou d’intégrer des publicités. L’essentiel de son fonctionnement était donc financé soit par l’intégration du protocole de chiffrement dans d’autres services (Google Allo, Facebook Messenger, Whatsapp, etc.) ou par la ‘Freedom of the Press Foundation’ (l’ONG fondée par Edward Snowden).

La ‘Signal Foundation’ (société sans but lucratif) nouvellement fondée permettra à Signal de profiter de dons, d’étendre l’équipe de développeurs et de travailler sur de nouveaux outils. Elle profite déjà d’un premier financement de $50 millions, probablement principalement payés par Brian Acton, co-fondateur de Whatsapp qui a déjà travaillé avec Signal par le passé.

Signal Foundation

Jeudi 1er février, plusieurs médias américains ont rapporté qu’Amazon, le géant de la grande distribution, avait déposé deux brevets portant sur un bracelet qui permettrait de surveiller au plus près l’activité des employés ainsi que leurs temps de pause. Toutefois, il n’est pas encore certain que l’entreprise prévoie de l’utiliser, même si elle est connue pour appliquer des méthodes de management au particulièrement odieuses.

Pour rentrer dans le détail, l’appareil est capable de vérifier la position des mains des employés quand ils sont au travail dans les entrepôts d’Amazon. Il peut par exemple se mettre à vibrer si l’employé n’a pas les mains au bon endroit, s’il attrape le mauvais colis ou simplement s’il n’est pas actif. Par ailleurs, il permet aussi de surveiller la durée des pauses prises par les employés sur une journée de travail.

Un dépôt d’Amazon

Les développeurs de ‘The Guardian Project’, déjà à l’initiative de plusieurs applications à l’usage des militants, viennent de publier « Haven« , une application qui permet de transformer un smartphone Android inutilisé en détecteur de présence. L’application fait simplement usage des différents capteurs (caméras, microphones, mouvements, etc.) pour enregistrer un journal d’événements localement sur le téléphone. L’application est sponsorisée par la « Freedom of the Press Foundation », l’ONG d’Edward Snowden. C’est Snowden lui même qui est à l’origine de l’idée, voir la vidéo plus bas. L’application a été conçue comme une protection contre ce qui est appelée dans le domaine de la sécurité informatique « Evil Maid Attack » (« Femme de chambre démoniaque »). C’est à dire un scénario qui vise une personne déjà protégée. Par exemple, un militant laisse son ordinateur chiffré (avec Veracrypt par exemple), se pensant protégé. Mais lorsqu’il est absent, un intrus rentre chez lui, installe un virus KeyLogger afin d’enregistrer ce qui est tapé au clavier. Le militant rentre chez lui, allume son ordinateur, tape son mot de passe pour le déchiffrer, et ignore qu’il vient de donner son mot de passe à un adversaire. Selon Snowden, l’application protègera contre ce genre de scénario, mais pourra également servir à prévenir des alliés si un militant est kidnappé, peut également protéger une femme d’un agresseur ou d’un harceleur, etc.

L’application peut être configurée pour ne fonctionner que durant certaines heures. Le niveau de sensibilité des capteurs peut être réglé pour coller au genre de menaces dont on souhaite se protéger Correctement configurée, l’application peut envoyer des SMS, et elle peut même envoyer des messages via l’application Signal (que nous vous conseillons d’utiliser !) Même en-dehors de toute connectivité, l’application conserve un journal, et enregistre les sons et images détectés.

Haven est disponible pour Android ici.

Haven vous prévient si quelqu’un s’introduit chez vous en votre absence.

La ville française de Nice teste depuis lundi « Reporty », une application développée en Israël par la start-up de l’ancien Premier ministre Ehud Barak, qui permet d’appeler lorsqu’on est témoin d’une « incivilité » et de filmer l’incident en temps réel avec le centre de vidéosurveillance de la police municipale. Elle sera testée dans un premier temps par 2.000 personnes, des agents de la ville de Nice, des comités de quartier ou encore, des membres du réseau « Voisins vigilants ».

La personne qui appelle tombe directement sur le centre de supervision urbaine (CSU) et peut transmettre en direct des images de bonne qualité, ce qui permet de la géolocaliser, de cibler les caméras sur la zone et de dépêcher une patrouille. Un système de messagerie instantanée avec traduction automatique permet aussi à un touriste étranger ne parlant pas français de se faire comprendre par la police municipale niçoise. Un bilan sera fait dans deux mois. Nice, dont la police municipale est la première en France en effectif, est quadrillée par 1.950 caméras de vidéosurveillance, soit 27 au kilomètre carré, un record dans l’Hexagone.

L’application Reporty

En plus de son application éponyme, Signal met à disposition son protocole de chiffrement aux autres applications de messagerie instantanée. WhatsApp (dans sa totalité), Google Allo (mode incognito) et Facebook Messenger (mode incognito) profitaient déjà du protocole. L’application de conversation instantanée de Microsoft, Skype, profite désormais également de ce protocole de chiffrement en mode incognito. Le mode est appelé « conversations privées » et est disponible dès maintenant pour les utilisateurs de la preview de Skype (Skype Insiders). Signal promet de continuer à implémenter son protocole de chiffrement dans d’autres applications.

Signal protège Skype

C’est la plus grande base de données biométrique au monde. L’ambition d’Aadhaar (« la base », dans la plupart des langues indiennes) est en effet sans précédent : assigner à chacun du 1,3 milliard de citoyens indiens un numéro à douze chiffres auquel tout serait lié. Carte d’identité, compte en banque, numéro de téléphone, factures, logement, réservations de train, et même paiement par empreinte digitale — Aadhaar serait au monde physique en Inde ce que l’e-mail est au monde numérique. Un identifiant omniprésent, indispensable, et qu’il ne faut absolument pas se faire pirater.

Or, depuis son lancement en 2009, ce gigantesque projet du gouvernement indien multiplie les ratés : mal implémenté, faisant craindre des dérives à la Big Brother ou encore victime de fuites. Cette fois-ci, c’est un journaliste du quotidien The Tribune qui a pu, en s’adressant à un membre d’un groupe Whatsapp, obtenir un accès aux entrailles d’Aadhaar et aux informations personnelles de tout un pays moyennant… 7 euros.

Aadhaar

Deux failles informatiques à la gravité critique ont récemment été découvertes, elles ont été baptisées ‘Meltdown’ et ‘Spectre’. Ces deux failles touchent au fonctionnement profond de la grande majorité des processeurs modernes. Une courte explication: pour accélérer leur fonctionnement, les processeurs tentent de définir par avance quelle sera la prochaine fonction à exécuter, ce procédé est nommé « Speculative Execution ». Lorsque l’information transite par là, elle est momentanément accessible, et les deux failles permettent d’y accéder. Les deux failles ont été dévoilées aux constructeurs et aux développeurs de systèmes d’exploitation avant le public. Les systèmes peuvent tous être sécurisés, mais cette sécurisation a un prix: une perte de 5 à 30% de puissance. C’est le fondeur Intel qui est le plus touché, mais les autres fabriquants (ARM, AMD, Qualcomm,…) ne sont pas en reste.

Notre hébergeur a patché certains de ses serveurs hier soir, c’est pour cette raison que notre site internet était hors ligne en début de soirée et durant une partie de la nuit. Au passage, des certificats SSL ont été ajoutés sur nos sous-domaines (le site du Sacco-Vanzetti, Red Voices,…), ce qui est une bonne nouvelle.

Meltdown (