Suite aux révélations d’Edward Snowden concernant l’espionnage mondial de toutes les données accessibles, les ‘géants’ de la Silicon Valley ont entreprit une grande opération de communication autour des données de leurs utilisateurs. L’année dernière, les deux principaux éditeurs de systèmes d’exploitation mobiles, Apple et Google publiaient chacun une mise à jour intégrant le chiffrement, iOS 8 pour Apple, et Android 5.0 pour Google. Il était bien entendu impossible de vérifier la force de ce chiffrement, ni de vérifier que derrière ce chiffrement une porte dérobée n’envoie pas malgré tout les données aux grandes oreilles de la NSA.

En début de semaine, un juge de New-York avait convoqué un porte-parole d’Apple lors d’un procès pour forcer la firme à extraire et/ou à déchiffrer le contenu du téléphone d’un suspect. Le représentant d’Apple a affirmé devant le tribunal qu’il était impossible de déchiffrer un Iphone tournant sous iOS 8 ou une version plus récente du système d’exploitation. Il a également déclaré que « Forcer Apple à extraire des données dans cette affaire, en l’absence d’une injonction légale claire, pourrait menacer la confiance entre Apple et ses clients et ternir substantiellement la marque ».

Notons qu’une fonction de chiffrement est également présente sur Android (à partir d’Android 5.0) mais qu’elle n’est pas activée par défaut puisqu’elle demande beaucoup de puissance et que les appareils tournant sous ce systèmes ont des puissances très inégales.

Les iPhones semblent réellement indéchiffrables

Ce 17 octobre, Facebook a annoncé qu’à l’instar de GMail, ils préviendraient leurs utilisateurs qui sont visés par un espionnage extra-légal, c’est à dire effectué sans l’autorisation de Facebook et donc d’une autorité légale. En plus de cet avertissement, Facebook conseillera également à la cible de rajouter une sécurité sur son compte, comme par exemple la double-authentification, enfin Facebook ne montrera cet avertissement que s’il dispose de ‘preuves solides’. Comme d’habitude, difficile de faire la part entre le plan com’ et la réalité. Facebook a refusé de dévoiler la manière dont il différenciait une attaque d’un espion de celle d’un pirate ‘classique’.

L’avertissement affiché par Facebook.

Dans une réunion des ministres de l’intérieur de l’UE qui s’est tenue le 8 octobre, les responsables français ont plaidé pour une mise en place d’une reconnaissance biométrique étendue (empreintes digitales et reconnaissance faciale) pour tous les citoyens de l’Union.

Depuis 2013, l’UE planche sur un système de reconnaissance biométrique baptisé Smart Borders et destiné aux personnes étrangères souhaitant entrer dans l’Union Européenne. Pour des questions de coût comme de droit, le projet avait été rangé dans les placards en dépit d’un projet pilote lancé en février et d’une nouvelle proposition à venir d’ici à la fin de l’année. Mais les représentants en charge du projet ont été surpris par les nouvelles suggestions françaises voulant étendre, au nom du principe de lutte contre le terrorisme, la mise en place d’une surveillance biométrique généralisée de l’ensemble des citoyens de l’Union Européenne et non plus seulement des ressortissants d’autres pays comme imaginé précédemment.

Portique pilote

Le code-source du programme XKeyScore, dévoilé par Edward Snowden, a été analysé par des utilisateurs de Tor qui y ont découvert d’autres comportements hallucinants de la part de la NSA. Ces pratiques visent à acquérir une ’empreinte digitale’ de part des ‘personnes à risque’, de façon à les reconnaître plus tard et à les suivre dans leur utilisation du net. Premièrement, 9 serveurs de Tor sont en permanence sous surveillance, incluant le serveur Tor du département ‘Intelligence Artificielle’ de l’université MIT. Ensuite, le fait de se rendre sur le site de Tor depuis un pays qui ne figure pas dans la liste des ‘Five Eyes’ (USA, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) déclenche automatiquement la génération d’une empreinte qui est rajoutée à la base de données de la NSA.

Autre comportement suspect, le simple fait de ne pas aimer le système d’exploitation Windows. Les utilisateurs de Linux sont largement visés par ce programme qui décrit le ‘Linux Journal’ comme un ‘forum extrémiste’. La distribution Linux ‘Tails’ bien connue de ceux qui se soucient de leur vie privée sur le net est également la cible des collectes d’empreintes de la NSA. De quoi être fixé lorsque les officiels de cette agence annoncent qu’ils ciblent uniquement les ‘personnes suspectes’.

XKeyScore

Truecrypt était l’une des applications de chiffrement les plus efficaces et les plus populaires à exister. Pourtant, en mai 2014, les développeurs avaient mis la clé sous le paillasson sans donner de motif à l’abandon de ce logiciel. Cette étrange mise à la retraite avait motivé deux audits indépendants de Truecrypt, le code source a donc été relu par deux boites de sécurité informatique qui n’ont pas trouvé de failles importantes, ni de backdoors. Cette situation vient de changer puisque deux failles critiques (de type ‘élévation de privilège’) ont été trouvé par un chercheur du Projet Zéro (Google).

De nombreuses personnes continuaient à utiliser la dernière version de Trucrypt puisqu’aucune faille n’y avait été découverte. Il est à présent conseillé à ces personnes de changer de programme puisque ces deux failles ne seront pas corrigées dans Truecrypt.

Parmi les nombreux successeurs de Truecrypt, le plus populaire et prometteur semble être Veracrypt, qui a déjà patché les deux failles dans son logiciel.

Les failles ont été patchées par Veracrypt.

En juillet 2013, au beau milieu des scandales révélés par Edward Snowden, le GCHQ (services de renseignements intérieurs britanniques) se présente au siège de The Guardian, le journal anglais dans lequel étaient publiées toutes les révélations du whistleblower américain à l’époque. Les agents du GCHQ sont venus sur place pour détruire les deux ordinateurs sur lesquels étaient stockés les révélations, le Guardian a finalement accepté (voir l’article que nous avions écrit à l’époque).

En 2014, deux hackers, Mustafa Al-Bassam et Richard Tynan ont visiter les locaux du Guardian pour examiner les restes des deux ordinateurs détruits. Les agents du GCHQ ont détruit chaque endroit où pouvait se trouver de l’information, par le même coup, ils ont révélé tous les endroits où de l’information peut être stockée, mis à part le disque dur. Sur les enregistrements vidéos, on peut voir que des meuleuses, perceuses et des masques sont utilisés, ainsi qu’un démagnétiseur très cher fournit par le GCHQ. Ce que le Guardian avait prit alors pour un pur acte d’autorité serait en fait révélateur. En plus du disque dur, les journalistes ont du détruire les pavés tactiles, les prises d’alimentation, les claviers, les processeurs, les convertisseurs et plus encore dans une opération qui a duré plus de trois heures. Ces manœuvres de destruction ont été standardisées dans un document classifié en 2001 et dévoilées par Wikileaks, elles sont utilisées par les Five Eyes (les services secrets états-uniens, anglais, néo-zélandais, australien et canadien) et censées les protéger contre les « services secrets étrangers, les groupes extrémistes, les journalistes et les criminels ».

Des pièces comme les pavés tactiles des deux Macbook Air détruits peuvent en fait stocker 2Mb d’information, et donc stocker des clés de chiffrement qui peuvent ensuite être uploadées via une mise à jour du firmware. Les services secrets des Five Eyes considèrent donc qu’il est extrêmement difficile d’être certain à 100% qu’un appareil est totalement effacé. S’il était très improbable que les journalistes du Guardian aient stocké des clés de chiffrements dans les pavés tactiles de leur ordinateur, il est en fait assez probable que les agents de renseignements le fassent de leur coté.

Les deux hackers ont demandé à plusieurs marques de PC (comme Dell et HP) s’ils pouvaient développer la façon dont les données sont stockées ailleurs que dans le disque dur, ceux-ci ont refusé de répondre, démontrant à quel point il est difficile de savoir où se trouve les données sur un ordinateur.

Les deux hackers ont présenté le résultat de leurs recherches lors du Chaos Communication Camp il y a quelques semaines, vous pouvez voir la vidéo en anglais ci-dessous.

Un contrôleur d’alimentation détruit lors de l’opération.

A l’aéroport de Roissy-Charles-de-Gaulle,, on peut passer la frontière sans croiser un douanier. Il suffit de scanner son passeport biométrique et de poser son doigt sur le capteur d’empreintes digitales. C’est le système Parafe, inauguré en 2009, qui permet un contrôle automatisé à la frontière. Son coût ? 12,5 millions d’euros. Auxquels il faudrait ajouter les 170 millions pour l’instauration du passeport biométrique qui n’est utilisé que pour le dispositif Parafe.

Pourtant, deux journalistes sont passés sans encombre, les portiques de contrôle automatisé et biométrique après avoir échangé leurs passeports et utilisé de fausses empreintes digitales fabriquées avec de la colle à bois… Il leur a fallu quelques tentatives infructueuses, mais ils ont réussi à passer le contrôle avec le passeport d’un autre, sans jamais déclencher d’alerte ni rencontrer le moindre policier.

Le système Parafe

Le Deep Web est la ‘partie cachée du web’ à laquelle on ne peut pas accéder via un moteur de recherche classique. Une partie de ce site web est constituée de domaines ‘.onion’ accessibles via le réseau sécurisé Tor. Par exemple, l’adresse du site de Wikileaks via le réseau Tor est http://suw74isz7wqzpmgu.onion. Si vous n’êtes pas connecté au réseau Tor, vous ne pourrez toutefois pas accéder à ce lien. Les noms ‘.onion’ sont établis de façon cryptographiques, ils sont liés à une paire de clés privée/publique détenue par le propriétaire. Aujourd’hui, une couche de sécurité a été ajoutée à ces domaines puisqu’ils sont officiellement reconnus comme ‘Special Use Domains’, comme peuvent l’être les domaines localhost, local ou example. Ceci signifie que les internautes ne laisseront plus de trace dans le DNS lorsqu’ils navigueront vers un site ‘.onion’. Qui plus est, cette reconnaissance en tant que ‘Special Use Domains’ ouvrent des possibilités pour améliorer la sécurité des chiffrements et authentifications SSL. En résumé, le Deep Web de Tor était déjà très sécurisé, il l’est un peu plus aujourd’hui. Il est recommandé de mettre à jour son Tor Bundle -comme à chaque fois qu’on veut l’utiliser- sur le site du Tor Project.

Comme à chacune des sorties d’un nouveau système d’exploitation Windows, Microsoft est accusé -à juste titre- de fliquer un peu plus ses utilisateurs. Même en utilisant des réglages qui désactiveraient les réglages qui espionnent les utilisateurs, il n’est pas recommandé d’utiliser un ordinateur sous Windows pour faire quoi que ce soit de confidentiel. Il existe toutefois des outils qui permettent de changer facilement les réglages en affichant un panneau unique pour tous les désactiver d’un coup.

WinPrivacy.
6 autres outils qui permettent de ‘tweaker’ les réglages de Windows 10.

Winprivacy

La société Boeing vient de présenter le ‘Compact Laser Weapons System’ (que nous appellerons CLWS), un rayon laser capable de faire crasher un drone en moins de 15 secondes. Le CLWS est une version miniaturisé du High Energy Laser Mobile Demonstrator’ (HEL MD), une machine plus grosse et contenue dans un camion, capable cette fois ci de détruire un tir de mortier, en vol. Le CLWS est constitué de 4 grosses valises qui peuvent être déployées en quelques minutes, un ordinateur portable et une manette de Xbox (vous avez bien lu) servent à contrôler l’engin. Le laser est conçu pour être le plus fin possible de façon à concentrer l’énergie sur une superficie très étroite et à percer rapidement un avion sans pilote. Si le HEL MD était conçu pour les zones de combat régulières, le CLWS est plutôt conçu pour défendre des zones restreintes d’accès.

‘Compact Laser Weapons System’ de Boeing.