Depuis le survol par des drones de centrales nucléaires à l’automne 2014, l’État français s’est saisi du problème, lançant des appels d’offre pour des programmes de détection et de neutralisation des drones. Aucun attentat n’a encore été commis par un drone de loisir même si en avril 2015, un drone contenant des produits radioactifs avait atterri sur le toit de la maison du premier ministre japonais Shinzo Abe. Un exercice d’entraînement qui a eu lieu en avril dernier à Saint-Étienne imaginait qu’un drone déverse des produis chimiques dans la foule du stade, qui accueillera trois matchs de l’euro. Pour éviter ce scénario catastrophe, dix stades et 24 centres d’entraînement seront pourvus de zone d’interdiction aérienne et équipés de système anti-drones pendant l’Euro de football. La gendarmerie avait déjà développé un système de drones «renifleurs» capables de localiser grâce à des capteurs à technologie infrarouge le télépilote d’un drone malveillant. Mais il s’agirait là de technologies différentes.

.

Le protocole Signal qui chiffre l’application éponyme ainsi que les communications faites sur Whatsapp sera implémenté dans la nouvelle app de messagerie Google Allo. Contrairement aux deux intégrations précédentes, le protocole Signal ne sera activé que lors du mode « Incognito », puisque l’application utilise des intelligences artificielles qui sont capables de lire les messages lorsqu’ils ne sont pas envoyés en mode incognito. Le protocole Signal est largement accepté comme sûr et est sponsorisé par Edward Snowden en personne.

Google Allo et Signal

Jusque-là, en biométrie, pour capter l’iris d’un œil il fallait que que la personne s’approche de près d’un capteur, comme c’est le cas dans les aéroports. Le Cylab Biometrics Center de l’université Carnegie Mellon, à Pittsburgh (Etats-Unis), vient de développer un prototype capable de contrôler un iris jusqu’à douze mètres de distance. Y compris s’il s’agit d’un reflet, comme dans cette vidéo de démonstration et même si la personne est en mouvement.

L’idée consiste à réduire la résolution de l’image captée : à 200 pixels pour le diamètre d’un iris, on peut placer le scanner à huit mètres ; à 150 pixels, on peut reculer à douze mètres. L’opération se base sur l’utilisation de longueurs d’onde de lumière proche infrarouge, projetée par des panneaux lumineux placés de part et d’autre du scanner. L’image ainsi récupérée est ensuite transmise à un logiciel où elle est analysée pour être comparée à une base de données d’iris associés à des photographies et des noms. Chaque iris étant, comme les empreintes digitales, unique et propre à une seule personne.

Identification par l’iris

BlackBerry a reconnu indirectement lundi avoir collaboré avec la police fédérale canadienne dans le démantèlement d’une organisation mafieuse de Montréal qui utilisait son système de messagerie, tout en insistant sur le fait que son système de sécurité est « impénétrable ». Le PDG John Chen a réitéré la position de longue date de BlackBerry selon laquelle « les sociétés de technologies, en tant qu’entreprises responsables, devraient se conformer aux demandes d’accès [à des informations, NDLR] légales et raisonnables ». Cette déclaration vient alimenter un débat public récurrent sur la manière d’équilibrer vie privée des utilisateurs et sécurité, déclenché par le refus d’Apple d’aider le FBI américain à décrypter l’iPhone.

[fond violet]

Blackberry reconnait avoir aidé la police

Apple a reçu quelque 30.000 requêtes de données formulées par des gouvernements du monde entier au second semestre 2015, et a fourni des informations dans la majorité des cas, rapporte le groupe informatique dans son dernier rapport de transparence. Apple a fourni des données au gouvernement américain dans 80% des 4.000 requêtes formulées sur cette période. Le groupe américain a reçu précisément 30.687 requêtes de données par différents gouvernements, qui concernaient 167.000 appareils. Au premier semestre 2015, Apple avait reçu 26.000 demandes qui concernaient 360.000 appareils.

Le gouvernement américain avait engagé une action en justice contre Apple qui refusait de débloquer l’iPhone ayant appartenu à l’un des auteurs de l’attentat de San Bernardino (Californie) le 2 décembre. Apple justifiait son refus au nom de la protection des données. Le gouvernement a finalement renoncé à son action judiciaire et utilisé les services de hackers professionnels pour débloquer le smartphone, mais plusieurs tribunaux ont été saisis de cas similaires.

Le siège d’Apple à Cupertino, en Californie

Une équipe de sécurité informatique du ministère américain de la sécurité intérieure (CERT) a publié une alerte après l’annonce qu’Apple, qui a développé ce logiciel, n’allait plus mettre à jour les défenses de QuickTime et que le programme présentait deux vulnérabilités qui pourraient être exploitées par des cyberpirates. L’exploitation de vulnérabilités de QuickTime pour Windows pourrait permettre à des attaquants de prendre le contrôle à distance des systèmes affectés. Selon le CERT, la seule réduction des risques disponible est de désinstaller QuickTime pour Windows. Le conseil ne s’applique pas aux versions de QuickTime fonctionnant sur des ordinateurs Apple.

CERT

Depuis que Mozilla souhaite se concentrer uniquement sur le navigateur Firefox, Thunderbird est laissé dans un relatif abandon où ce sont surtout les failles de sécurité qui sont bouchées, de « nouvelles » fonctionnalités (agenda, gestion de contacts,…) sont ajoutées de temps à autres alors que l’utilisation du programme souffre de nombreux bugs et lenteurs qui font espérer que Thunderbird soit bientôt repris par une autre association.

Thunderbird vient toutefois de passer en version 45, cette mise à jour devrait régler plusieurs bugs, et espérons le rendre le logiciel utilisable en évitant la crise de nerfs. Si votre version ne se met pas à jour (encore un bug courant, pour vérifier voyez la capture d’écran), vous pouvez vous rendre sur le site de Thunderbird pour télécharger la dernière version que vous n’aurez qu’à exécuter pour forcer la mise à jour.

Si les utilisateurs de MacOS et de Linux peuvent se consoler en utilisant d’autres logiciels de messageries qui supportent le chiffrement OpenPGP, Thunderbird est malheureusement sans alternative crédible sur Windows à l’heure actuelle.

Vérifier votre version de Thunderbird.

Des documents judiciaires publiés au Canada montrent que la police montée et la gendarmerie canadiennes ont pu, dans le cadre d’une très vaste enquête sur le crime organisé, intercepter des BBM. Les BBM (« BlackBerry Messages ») sont envoyés par le biais d’une application exclusive aux téléphones BlackBerry, et sont chiffrés pour rendre leur interception et leur lecture extrêmement difficile. Pour décoder ces messages, tous les téléphones de l’entreprise sont équipés d’une clé générale mais secrète – sauf dans le cas des utilisateurs de Business enterprise servers, une version destinée aux grandes entreprises qui permet de changer cette clef.

En 2010, la police fédérale canadienne avait lancé une gigantesque opération de lutte contre le crime organisé. Dans le cadre de l’enquête, plus d’un million de messages ont été interceptés. Parmi eux, de nombreux BBM qui ont pu être décodés par les enquêteurs. Ni BlackBerry ni la police n’ont confirmé avoir utilisé la clé globale pour ce faire, mais le ministère public canadien a reconnu son utilisation. Les forces de l’ordre ont demandé et obtenu le droit de ne pas détailler la technique utilisée pour déchiffrer ces messages. Il est probable que les polices canadiennes disposent, encore aujourd’hui, de ces clés de déchiffrement, car les modifier est une opération complexe qui doit être réalisée sur l’ensemble des terminaux BlackBerry utilisés.

BBM

TAILS, « The Amnesiac Incognito Live System » est très apprécié des personnes soucieuses de leur anonymat et de leurs données. C’est un système d’exploitation complet à déployer sur un DVD ou sur une clé USB, une fois démarré toutes les connexions passent par TOR. A l’arrêt de la machine, toutes les données qui n’ont pas été sauvegardées dans un éventuel répertoire chiffré sur la clé USB sont détruites.

SubgraphOS, développé par l’association éponyme à Montréal propose lui aussi une distribution linux ultra-sécurisée mais va en théorie plus loin que TAILS. Différence majeure: SubgraphOS peut être installé de façon « permanente », là où TAILS ne peut -par philosophie- qu’être installé sur un support externe. Subgraph propose également un client e-mail et une implémentation d’OpenPGP originales, sans passer par les clients habituels de Linux (Thunderbird et GnuPG)

Pour télécharger et tester Subgraph, c’est ici. Notez que Subgraph n’est disponible que depuis le 16 mars et qu’il reste probablement des failles critiques, il vaut mieux ne pas l’utiliser pour autre chose que du test à l’heure actuelle.

SubgaphOS

L’application Whatsapp (propriété de Facebook), totalisant plus d’un milliard d’utilisateurs actifs vient d’annoncer avoir généralisé le chiffrement bout-en-bout (end-to-end) sur l’ensemble de son réseau, ce qui veut dire qu’en théorie, ni Whatsapp, ni Facebook, ni le FBI, ni personne d’autre que votre correspondant ne peut lire les messages échangés via cette plateforme.

Signal est de plus en plus utilisé par les personnes soucieuses de la confidentialité de leurs communications, il a acquit une certaine crédibilité après avoir reçu les louanges d’Edward Snowden (ce dernier finance d’ailleurs l’app à travers sa fondation). Le protocole de chiffrement de Signal est à présent déployé sur l’un des plus vastes moyens de communication existant à l’heure actuelle (Plus de messages sont échangés chaque jour sur Whatsapp que via SMS par exemple). Il faut garder à l’esprit que si on peut considérer que le contenu des messages et des appels est relativement bien protégé: Whatsapp n’en devient pas anonyme pour autant.

Plus d’infos :
– le post sur le blog de Whatsapp
– le post sur le blog de Signal
– la documentation plus détaillée sur le site de Whatsapp

A billion people just got end-to-end encryption via @WhatsApp.
"Sometimes quantity has a quality all its own. – @yishan
Next: #anonymity?

— torproject (@torproject) 5 avril 2016

Le protocole Signal porté sur Whatsapp