Wikileaks a publié hier « Vault 7 », une série de 8.761 documents fuités issus de la CIA. Les documents révèlent les techniques de l’agence, non seulement à espionner mais aussi à éviter les embûches posées à la NSA suites aux révélations Snowden. Cette première série de documents est baptisée « Year Zero« , en référence aux nombreuses failles « 0Day » (Zero Day) qui la composent. Les failles 0Day sont des failles informatiques qui n’ont pas été détectées par les développeurs ou par la communauté de la sécurité informatique, dont elle est à priori la seule à connaître l’existence et qu’elle utilise pour infecter les machines. Il faut noter que cette première partie de Vault7 représente plus de pages publiées que les trois premières années de publications des fuites de Snowden. Les révélations sont immenses et concerne une agence qui reçoit plus de budget que la NSA depuis 2001.

En premier lieu, les documents démontrent l’immensité de l’arsenal de cyber-guerre de la CIA: si l’agence a récemment fait mine de dévoiler l’essentiel de son arsenal, faisant semblant d’être « bon joueur » aux côtés d’une NSA « déraisonnable », c’est simplement parce qu’elle a beaucoup en stock. Fin 2016, la division Hacking de la CIA employait 5.000 personnes et avait produit plus d’un millier de systèmes de piratages, chevaux de Troie, virus et autres logiciels malveillants militarisés (Weaponized Malwares), représentant tous ensemble plus de lignes de code que ce qu’utilise Facebook pour fonctionner. Les documents semblent avoir circulé parmi d’autres agences et hackers avant de tomber dans les mains de Wikileaks via une source interne à l’agence, il faut donc considérer que la CIA n’est plus la seule à jouir de cette puissance de feu. Les malwares militarisés de la CIA permettent de pirater la plupart des objets connectés à internet. Les ordinateurs sous Windows, MacOS et Linux et les appareils Android et iOS peuvent aisément être attaqués par l’agence qui a en stock des dizaines de failles 0Day. Mais la CIA suit l’innovation technologique de près: les objets connectés peuvent, pour la plupart, être transformés en appareils d’écoute. C’est notamment le cas des SmartTV de Samsung, visées par le virus Weeping Angels, développé conjointement avec le MI5, qui permet de placer la télévision dans un état faussement éteint: alors que l’écran est noir, la télévision enregistre les conversations et les transmet aux serveurs de la CIA via la connexion internet de la cible. La CIA s’essaie également depuis octobre 2014 à la prise de contrôle à distance des voitures modernes pour en faire des engins de meurtre indétectables. La CIA a une unité dédiée à iOS (iphone et ipad) malgré le fait que ces appareils ne représentent que 14,5% du marché des smartphones, ce qui serait expliqué par leur popularité dans les élites. L’unité visant les engins sous Android avait développé à la fin de l’année dernière 24 failles 0Day militarisées. Ces failles ont soit été développées à l’interne, soit obtenues du GCHQ, de la CIA ou de marchands de cyber-armes. Ces 24 failles permettent de contourner des applications parfois très sécurisées (WhatsApp, Signal, Telegram,…) Il faut noter que la CIA n’a à priori pas cassé le chiffrement de Signal: les données sont tout simplement volées avant d’être chiffrées. Le fait qu’elle soit obligée de contourner entièrement des applications comme Signal (que nous conseillons à tous d’utiliser) est paradoxalement rassurant.

S’il ne faut retenir qu’une chose de cet arsenal de failles 0Day, c’est qu’elles démontrent l’importance des mises à jour. De par leur nature même, les failles 0Day s’appuient sur les logiciels qui ne sont pas mis à jour.

CIA – Information Operations Center

Suite au signalement d’une faille de sécurité dans le code de SPIP, une nouvelle version a été publiée dans toutes les branches maintenues : SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30. Cette faille est critique et permet l’exécution arbitraire de PHP. Il est vivement conseillé de mettre à jour sa version de SPIP et de tous ses plugins, notamment si vous utilisez le plugin SPIPDF. Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité qui corrige cette faille.

Pour mettre Spip à jour, c’est ici.

Mise à jour Spip 3.1.2

La ville de Zhengzhou, capitale de la province chinoise du Henan (centre du pays), a officiellement déployé des robots policiers. La phase de test en conditions réelles de ces robots policiers aura duré une semaine dans cette ville où vivent près de 5 millions d’habitants. Dans un premier temps, ces officiers robots sont destinés à remplacer les policiers humains dans une gare, et ce durant les horaires de nuit, un poste qu’ils occupent désormais de manière officielle.

Baptisés E-Patrol Robot Sheriff, ces machines sont équipées d’un système de reconnaissance faciale, leur donnant la possibilité de scanner et d’identifier les passagers. Ces derniers peuvent répondre aux questions des passants et repérer d’éventuels criminels, mais pas seulement. En effet, les officiers robots peuvent mesurer la température ambiante et ainsi détecter des anomalies liées par exemple aux incendies. Leur efficacité a déjà été prouvée puisque dès leur premier jour de service, un départ de feu a été détecté et l’alerte donnée. Cette nouvelle fait écho à l’annonce faite il y a quelques mois par les Émirats arabes unis, qui tenteront cette année de remplacer des policiers humain par des robots, pour une utilisation massive d’ici 2021.

Un robot-policier dans la gare de Zhengzhou

Nous faisons régulièrement la promotion de Signal, une application de messagerie instantanée extrêmement simple d’utilisation et très sécurisée, au point d’être sponsorisée par Edward Snowden. Signal est une application open-source, et à ce titre des débats ont régulièrement lieu entre ses développeurs sur des forums dédiés. Un débat revenait régulièrement, celui de l’utilisation de services Google à deux endroits: d’une part l’utilisation de GCM (Google Cloud Messaging, une plateforme « push » qui permet à l’application de recevoir instantanément un message ou un appel sans devoir vérifier toutes les 15 minutes si un nouveau message a été reçu), d’autre part la dépendance aux Google Play Services (qui permet de distribuer l’application en garantissant qu’elle n’a pas été modifiée, de la mettre à jour automatiquement lorsqu’une faille est présente, de rapporter bugs et statistiques aux développeurs, etc.) Il faut noter qu’à aucun moment Google n’a accès à des informations: dans le premier cas, Google n’a accès qu’à des dates et heures sans pouvoir les mettre en relation avec des messages chiffrés, dans le second ce sont simplement les utilisateurs qui ne veulent pas installer les services Google sur leur smartphone qui sont pénalisés.

De récents changements techniques (en particulier la refonte du système d’appels et de vidéo) ont levé le blocage de principe qui empêchait Signal de fonctionner sur des téléphones où ne sont pas installés les Google Play Services, ces changements ont été apportés par la mise à jour 3.30. Ils requièrent pour l’instant de compiler soi-même un fichier APK depuis le GitHub de l’application (Master). Et pour ceux qui n’ont rien compris à cette dernière phrase, Signal devrait probablement bientôt mettre en ligne un fichier installable sur son propre site, nous ne manquerons pas d’en parler le moment venu. Les changements en détail sont disponibles ici.

Possibilité d’utiliser Signal sans les Google Play Services

Avec retard, voici le compte-rendu de la cryptoparty. Entre 30 et 40 personnes s’y sont rendues, et de nombreux sujets ont pu être abordés durant les quatre heures de ce premier atelier:

– Analyse de risques
– Fonctionnement et utilisation de la navigation avec Tor
– Brève démonstration de Tails
– Introduction à la sécurité sur Android. (Slides)
– Fonctionnement de Signal, une application pour chiffrer ses communications via son smartphone. (Slides)
– Chiffrement via PGP

La prochaine séance de Cryptoparty sera divisée en deux parties, dont la première sera un atelier plus complet sur l’utilisation de Tails, et la seconde une séance libre comme celle-ci.

Des sas de contrôle automatisés des passeports intégrant une technologie de reconnaissance faciale, conçu par le groupe portugais Vision-Box, sont désormais opérationnels pour les Eurostar au départ de la Gare du Nord, à Paris. Les mêmes sas étaient utilisés à la gare Saint-Pancras de Londres depuis l’Euro 2016. Réservés aux citoyens européens majeurs disposant d’un passeport biométrique, les sas automatiques « vb i-match » vérifient l’identité du voyageur à l’aide de la technologie de reconnaissance faciale, le tout en quelques secondes. Le système intègre aussi la reconnaissance des empreintes digitales et de l’iris. Après Londres et Paris, Eurostar prévoit d’installer les mêmes sas à la gare de Bruxelles-Midi, mais n’est pas encore en mesure d’annoncer à quelle date.

Le nouveaux portiques

Quoi ?
La cryptoparty est un évènement qui a pour but d’encourager le chiffrement, la protection de la vie privée et l’anonymat. Elle est ouverte à tout le monde, quels que soient le niveau technique et les attentes.

Où ?
Au Sacco-Vanzetti, 54 Chaussée de Forest à 1060 Saint-Gilles. Wifi gratuit, café, snacks et boissons sur place.

Pourquoi ?
Alors que la surveillance généralisée est avérée et que des outils simples et gratuits existent, ils restent sous-utilisés. L’évenement est organisé par le Secours Rouge, qui encourage depuis plusieurs années l’utilisation du chiffrement dans le milieu militant.

Comment ?
Tout ce dont vous avez besoin est un ordinateur portable, une tablette ou un smartphone. Si vous avez des questions que vous n’avez jamais osé poser, si vous avez des réponses que vous n’avez jamais osé partager, si vous avez envie de participer à des discussions sur la pratique militante de la sécurité informatique, ou si vous avez juste envie de boire un café, la Cryptoparty est ce que vous cherchez.

Quand?
La première Cryptoparty aura lieu ce dimanche 19 février de 16h à 20h.

Huit patrouilleuses de la police ont été équipées du système Pursuit StarChase. Un lanceur à air comprimé monté est sur l’avant de la patrouilleuse, prêt à tirer un projectile contenant une balise GPS. Une fois lancé, ce projectile se fixe sur le pare-chocs ou la plaque d’immatriculation arrière du véhicule cible, et les policiers sont capables de le suivre par le biais d’un système de trackage.

Le lanceur, noyé dans la calandre

Le projectile

Tails vient de sortir sa version 2.10 stable. Au menu des nouveautés: OnionShare (qui permet de partager des fichiers via TOR) a été installé, et la « Circuit View », qui permet d’avoir une vision claire des noeuds par lesquels la connexion TOR est redirigée a été ajoutée au navigateur TOR intégré. Pour le reste, les mises à jour de tous les programmes intégrés ont été installées. Aucune faille spécifique n’a due être bouchée. Si vous utilisez une clé USB Tails sous une version égale ou plus récente à la 2.7, vous pouvez mettre à niveau via l’outil automatique.

Pour les autres, vous pouvez télécharger la dernière mouture sur le site officiel de Tails.

La Circuit View dans TOR

Deux ans déjà sont passés depuis la dernière édition du très complet « Guide d’autodéfense numérique », ouvrage qui vise à présenter l’ »absence d’intimité » du monde numérique et propose des méthodes pour ajuster ses pratiques quotidiennes en conséquence. Cette quatrième édition revue et corrigée du premier tome s’accompagne de le première révision du second tome. Elles prennent en considération les révélations concernant l’état actuel de la surveillance numérique ainsi que les dernières évolutions légales et techniques – et notamment les nouvelles versions des systèmes Debian et Tails. Disponible en consultation et en version imprimable à l’adresse http://guide.boum.org.

La couverture du guide