Une nouvelle arme aveuglante, le LDI (« Laser de dissuasion et d’interception »), a fait son apparition dans l’arsenal des CRS. Développé par une société française, cette arme d’éblouissement non létale est déjà utilisée par les forces spéciales. C’est la société GEIM, basée à Ploemeur, dans le Morbihan, qui produit ce LDI intègrant les dernières technologies de laser et de mise en forme de faisceau. La lentille de dernière génération garantie une résistance accrue aux contraintes environnementales maritimes et militaires par rapport aux technologies actuelles. C’est le laser le plus puissant du marché, 6000 mW, qui possède actuellement la plus longue portée (>500m) non létale efficace en matière de dissuasion. Ses batteries lui permette d’être autonome jusqu’à 3 heures d’utilisation, et qu’il est totalement étanche pour les opérations en extérieur.

le LDI,

Les ingénieurs de l’antivirus Kaspersky Lab ont découvert un virus nommé StrongPity dans des fichiers d’installation de WinRar et TrueCrypt. Lorsqu’un utilisateur se rendait sur le site officiel de l’un de ces logiciels en faisant une faute de frappe, il pouvait tomber sur le site de l’attaquant, identique à l’original, excepté pour le fichier exécutable. Il est étrange que StrongPity se soit attaqué au légendaire logiciel de chiffrement TrueCrypt puisque celui-ci n’est plus publié depuis plusieurs années (il a été depuis remplacé).

Des quatre faux-sites, l’un était distribué en Italie (un faux WinRar) où des centaines de personnes l’ont téléchargé en Europe, en Afrique du Nord et au Moyen-Orient: 87% de victimes en Italie, 5% en Belgique, 4% en Algérie. L’autre était distribué en Belgique (toujours un faux WinRar) et a fait au moins 60 victimes dont 54% en Belgique même. Enfin, deux sites en « .com » ont infecté des centaines de personnes, dont la quasi-totalité en Turquie (95%) et le reste aux Pays-Bas. Des sites « honnêtes » ont repris le fichier infecté pour l’héberger eux-mêmes: de quoi rappeler une fois encore qu’il faut toujours télécharger ses fichiers d’installations sur le site officiel du logiciel, surtout quand il s’agit d’un programme aussi sensible que TrueCrypt. De très nombreuses victimes ont été infectées en Turquie.

Le virus permet à un attaquant de prendre totalement le contrôle de la machine de la victime, de dérober ses fichiers et de faire passer d’autres virus. Si vous avez téléchargé WinRar ou TrueCrypt depuis le mois de mai dernier et que vous n’êtes pas sûr de l’avoir téléchargé de cette adresse, vous pourriez avoir été infecté. Notez que TrueCrypt a été depuis remplacé par VeraCrypt qui a corrigé plusieurs failles de sécurité.

Carte représentative d’un millier d’infections à StrongPity.

Composition des infections par pays

Oversight est une application pour OSx qui permet de détecter si une application utilise la webcam ou le micro à l’insu de l’utilisateur. Généralement, une petite lampe s’allume lorsque la webcam est en service, mais elle n’empêche pas un éventuel virus d’utiliser la caméra en même temps qu’une application légitime comme Skype. En ce qui concerne le micro, cette lampe ne s’allume pas du tout. Oversight affiche une notification à chaque fois que la webcam ou le micro est utilisé par une application avec la possibilité de bloquer cette utilisation, ce qui aura pour effet de tuer le processus qui a fait la demande.

Pour télécharger le zip avec l’app dedans, c’est ici.

Oversight

Oversec, une application Android, permet d’utiliser PGP par-dessus n’importe quelle autre application Android, et ainsi de chiffrer et de déchiffrer de façon transparente du contenu, peu importe qu’il provienne d’un sms, d’un message whatsapp, d’un e-mail ou de n’importe quel autre moyen de communication. Oversec recherche dans le texte affiché des données chiffrées, lorsqu’il en trouve, il affiche par-dessus celui-ci la version déchiffrée. Oversec propose également d’obfusquer le texte en le faisant passer pour autre chose afin que le chiffrement ne soit pas évident.

Oversec peut être téléchargé sur le Play Store, pour plus d’infos, le code-source (ouvert), etc… voir le site d’Oversec.

Spip, le système de gestion de contenu (CMS) utilisé par notre propre site (et par de nombreux autres sites, comme la quasi-totalité des sites Indymedia) est passé hier en version 3.1.2. Plusieurs failles XSS ont été découvertes par des « experts en sécurité ». Les failles XSS (pour Cross-Site Scripting) permettent d’injecter du contenu (essentiellement Javascript, mais en fait n’importe quel langage compréhensible par un navigateur) dans des pages web. Ce type d’attaque permet donc d’injecter du contenu, mais également de rediriger un utilisateur. Les éditeurs de Spip parlent de failles non-critiques.

Quoi qu’il en soit, il est recommandé de toujours mettre son site Spip à jour le plus rapidement possible pour éviter un drame, pour se faire: voir « Utiliser le spip_loader pour une mise à jour » sur cette page après avoir fait un backup de votre site.

Mise à jour Spip 3.1.2

Google Allo a finalement été publié hier sur le Play Store. La nouvelle messagerie de Google introduit à son tour un bot, Google Assistant, censé répondre comme le ferait un être humain lorsqu’on lui pose des questions. Google Assistant apprend à la longue des utilisateurs qui interagissent avec lui pour être plus précis.

Google avait toutefois « promis » en dévoilant Allo en mai dernier que les conversations ne feraient que transiter par ses serveurs et qu’elles seraient stockées uniquement sur les appareils des utilisateurs. La firme a finalement fait machine arrière, les messages seront stockés sur ses serveurs, au moins jusqu’à ce qu’ils soient supprimer de l’appareil. Comme Whatsapp et Facebook Messenger, Google Allo a mis en place un mode « incognito » qui permet de communiquer via le protocole sécurisé Signal (sponsorisé par Snowden). Toutefois, Snowden a réagit à la publication de Google Allo en critiquant la décision prise par Google et en mettant en garde leurs utilisateurs que les messages pourront être utilisés par la police.

What is #Allo? A Google app that records every message you ever send and makes it available to police upon request. https://t.co/EdPRC0G7Py

— Edward Snowden (@Snowden) 21 septembre 2016

Google Allo et Signal

Des chercheurs ont découvert deux failles non-critiques dans le protocole Signal. Le protocole Signal est le mécanisme de chiffrement utilisé par l’application Signal (sponsorisée par Edward Snowden), par WhatsApp, et bientôt par Facebook Messenger et Google Allo. Pas de panique: les deux failles ne permettent pas de déchiffrer du contenu, mais d’altérer les pièces-jointes: elles permettent à d’éventuels d’attaquants d’ajouter des données (avec un maximum de 4Go) aux pièces-jointes qui transitent sur le réseau, rendant non seulement les pièces-jointes illisibles mais permettant d’éventuelles attaques par déni de service sur le réseau. C’est la première fois que des failles sont trouvées dans Signal, elles seront probablement très rapidement corrigées.

Facebook Messenger adopte Signal

On sait que l’usage de procédés biométriques pour assurer l’identification d’un propriétaire de téléphone, d’ordinateur ou de voiture est en pleine extension. Mais une nouvelle dimension est en passe de s’ajouter aux simples systèmes de verrouillage/déverrouillage, comme celui du lecteur d’empreintes digitales Touch ID équipant les modèles récents d’iPhone et l’iPad. Apple aimerait exploiter ce capteur biométrique ainsi que d’autres, pour transformer le terminal en mouchard en cas de vol. Dans une demande de brevet déposée aux USA, Apple décrit un système de lutte contre le vol d’iPhone ou d’iPad qui s’appuie sur le capteur d’empreintes digitales, le GPS et l’appareil photo afin de collecter des informations sur l’auteur du vol. Les données seraient transmises au propriétaire de l’appareil. Reste à voir dans quelles conditions ceci serait réalisable.

Le capteur Touch ID

« Même Dieu ne peut pas les lire » a déclaré le républicain Trey Gowdy à propos des e-mails d’Hillary Clinton. Ceux-ci ont été effacés de façon apparemment très efficace par l’administration de la candidate du Parti Démocrate. Andrew Ziem, le développeur de Bleachbit a appris via Fox News que Clinton avait utilisé son logiciel de nettoyage de traces informatiques. BleachBit est donc très probablement le logiciel gratuit le plus efficace pour nettoyer son pc. Il est disponible pour Windows et Linux ici. Un manuel d’utilisation est disponible sur notre site, ici.

Bleachbit

Ahmed Mansoor, un militant démocrate émirati a reçu un étrange SMS lui promettant des détails sur la torture dans les prisons du pays au bout d’un lien. Plutôt que de cliquer le lien directement, Ahmed l’a transmis au laboratoire canadien Citizen Lab qui a analysé le lien avec la société de sécurité informatique Lookout. Le lien téléchargeait un malware très élaboré qui opérait un jailbraik (une obtention des droits super-utilisateurs, équivalent du ‘root’ android), le virus aurait ensuite pu s’installer pour enregistrer les frappes clavier (et dérober ainsi les messages, même chiffrés) et activer le micro à la demande pour enregistrer. Le malware utilisait plusieurs failles 0-Day (des failles non-documentées et non-patchées, à priori inconnues) qui permettaient l’exécution arbitraire de code, un accès à la mémoire du kernel et un accès aux privilèges du kernel. Toutes combinées, elles permettent le jailbraik à distance d’un appareil sous iOS et donc l’exécution de n’importe quelle application. Apple a patché les trois failles en urgence dans un patch publié ce matin (iOS 9.3.5). Citizen Lab a lié ce malware à une d’une boite de cyber-guerre israélienne, le NSO Group. C’est la troisième fois que Ahmed Mansoor est la cible d’une entreprise de cette nature, il avait déjà été ciblé par Finfisher en 2011 et par Hacking Team en 2012.

Ahmed Mansoor