Le « portrait-robot génétique » est un nouvelle technique consistant à extraire d’une trace génétique des renseignements sur l’apparence physique d’un suspect inconnu. Si les Pays-Bas ou l’Espagne ont intégré cette technologie dans leurs méthodes d’enquête, elle était jusqu’à il y a peu interdite en France. Seule était autorisée la comparaison, à des fins d’identification, de segments précis de l’ADN avec les profils enregistrés. En dehors du sexe – exception tolérée par le législateur –, ces dix-huit segments ne livraient aucune information sur la morphologie de la personne. L’analyse des segments de l’ADN renseignant l’apparence d’un individu était réservée aux domaines scientifique et médical.

Dans un arrêt du 25 juin, passé relativement inaperçu, la Cour de cassation a jugé que le « portrait-robot génétique » ordonné par un juge d’instruction lyonnais dans une affaire de viol était conforme au droit, contre l’avis du ministère de la justice. L’avocat général de la Cour de cassation s’était prononcé contre la légalité du « portrait-robot » en se référant aux deux articles du code civil qui encadrent les possibilités d’exploitation de l’ADN (ainsi l’article 16.10 prévoit que l’examen des caractéristiques génétiques d’un individu ne peut être entrepris qu’à des fins médicales ou de recherche scientifique et avec son consentement). Mais la Cour de cassation a considéré que ces articles ne s’appliquait pas dans ce cas.

Prise de cours, la chancellerie multiplie depuis les consultations pour encadrer cette nouvelle technique. Dans l’attente d’une circulaire du ministère, les cinq laboratoires de l’Institut national de la police technique et scientifique (INPS) se préparent à produire des portraits-robots génétiques pour le premier semestre 2015. Un rapport ADN donne des conclusions du type « Origine biogéographique européenne avec une très forte probabilité, individu aux cheveux châtains avec une teinte majoritairement claire et des yeux bleus », mais les scientifiques travaillent déjà sur de nouveaux marqueurs exploitables : écartement des pupilles, largeur de la mâchoire, volume de la boîte crânienne…

Si vous utilisez TAILS, cette distribution linux sur live-cd et live-usb très sécurisée et très efficace, et que vous avez l’habitude de la mettre à jour sur votre clé USB, vous devriez installer la dernière version (1.2.2) manuellement sur votre clé USB. La raison est que l’hébergeur de Tails, Boum.org changera de certificat le 3 janvier prochain et qu’il ne pourra donc plus prouver son identité aux anciennes versions de Tails qui recevront un message d’erreur si elles tentent de se mettre à jour.

Pour télécharger la dernière version de ce formidable outil, rendez vous sur le site de TAILS.

Sur son blog officiel, le projet TOR a annoncé avoir reçu des informations alarmantes sur une possible attaque majeure contre le réseau TOR. Si le réseau en lui-même est décentralisé, il y a en fait 9 serveurs qui fournissent eux-mêmes la liste des nœuds anonymes aux utilisateurs, ces serveurs sont appelés ‘directory authorities’ (en français ‘autorités des annuaires’). Ce serait contre ces serveurs dispersés aux Etats-Unis et en Europe, que les menaces pèsent. Si des rumeurs pointaient déjà du doigt l’enquête contre les ‘hackers nord-coréens’, le staff de TOR a répondu que ce n’était probablement pas le cas.

A propos des risques : le staff précise que si une telle attaque se produisait : la saisie de l’un ou de plusieurs ‘directory authorities’ ne permettrait pas à la police de trouver des informations sur les utilisateurs de TOR. En outre, si la police ne saisit pas les 9 serveurs d’un coup, le réseaut TOR cessera simplement de faire transiter le réseau par les serveurs saisis. Cette attaque ne pourra donc pas faire tomber le réseau TOR, elle pourra toutefois le faire ralentir et lui coûter cher.

La meilleure solution si vous devez utiliser TOR dans les prochains jour est de vérifier s’il n’y a pas eu d’attaques : sur le blog officiel de TOR, et sur leur compte Twitter. Si l’un ou l’autre est hors ligne, il vaut mieux ne pas utiliser TOR en attendant plus d’informations.

L’EFF (Electronic Frontier Foundation, ONG américaine contre la surveillance numérique) et Amnesty International viennent de dévoiler un logiciel nommé Detekt. Ce programme une fois installé permet de détecter les spywares gouvernementaux les plus connus. Pour le moment, Detekt n’est disponible que pour Windows puisque c’est l’OS le plus utilisé. Detekt fonctionne sous Windows XP, Vista, 7, 8 et 8.1. Notons qu’un bug empêche Detekt de fonctionner sous les versions 64bits de Windows 8.1, le bug devrait être résolu très bientôt.

Pour utiliser Detekt :

Telecharger l’éxécutable sur le site officiel.

Coupez votre connexion internet.

Coupez tous les programmes en cours d’exécution.

Clic-droit sur detekt.exe et ‘Executer en tant qu’administrateur’.

Detekt

Le protocole qui permet d’accéder à des sites internet (http) est non-sécurisé. Il est très facile pour un hacker (gouvernemental ou privé) de s’interposer entre un utilisateur et un site internet. Pour sécuriser le protocole internet, on a utilisé depuis plusieurs années le chiffrement SSL : cela est visible pour l’utilisateur lorsqu’il visite une adresse qui commence par https. Dans la pratique https permet d’abord de chiffrer (avec une relative efficacité) la connexion entre un utilisateur et un site web, https permet également de garantir l’authenticité d’un site internet (signature). L’utilisateur peut dés lors être certain qu’il accède effectivement au site web qu’il veut visiter et non pas au clone d’une page web, créée par un attaquant. Le problème est que ces chiffrement/signature SSL sont compliqués à mettre en oeuvre pour plusieurs raisons : ils sont techniquement compliqués à mettre en oeuvre, les certificats sont délivrés par des instances bureaucratiques (les ‘CA’ pour Autorités de Certifications), de plus ces certificats sont payants à hauteur d’un minimum de 80€/an.

Lorsque l’on accède à certains sites militants, on peut souvent voir un message « cette connexion n’est pas sécurisée » ou « l’identité de ce site n’a pas pu être vérifiée », ou « le certificat de ce site web a expiré ». Ces messages qui sont souvent des faux-positifs -mais pas toujours- sont pénibles pour les militants soucieux de leur sécurité informatique. Ceci pose des problèmes, particulièrement dans les sites à publication ouverte où l’utilisateur doit être absolument certain qu’il n’est pas sur un site policier et que sa connexion n’est pas espionnée.

Ce problème pourrait être résolu d’ici une année : une alliance entre la fondation de logiciels open-source Mozilla, l’association progressiste américaine EFF (Electronic Frontier Foundation), et des constructeurs veut lancer une nouvelle Autorité de Certification d’ici à l’été 2015. Cette CA, baptisée « Let’s Encrypt » délivrera des certificats SSL gratuits, avec des démarches administratives simplifiées à l’extrême et surtout la gratuité d’utilisation. Let’s encrypt veut réduire le temps d’installation nécéssaire à 30 secondes contre 2 à 3 heures actuellement. La présence de Mozilla et de l’EFF dans l’association permet également de faire confiance à ce projet open-source, malgré la présence d’autres acteurs plus douteux, comme Cisco, qui veulent probablement redorer leur image après les fuites de Snowden.

Le déploiement de Let’s Encrypt est donc une excellente nouvelle pour la sécurité informatique. Voir le site officiel.

De nombreux services de messageries instantanées font leur apparition avec à la clé des avantages que GPG n’a pas toujours : facilité d’utilisation, mobilité, anonymat,… L’Electronic Frontier Foundation, une association américaine qui lutte pour le droit à l’anonymat et à la vie privée vient de publier un comparatif reprenant la plupart des aspects de sécurité de ces services. Le design, le prix, la société propriétaire du logiciel n’est pas pris en compte dans ce test.
GPG est repris dans ce test avec deux inconvénients par rapport à ses concurrents : lorsqu’une clé est compromise, les messages chiffrés avec celle-ci sont également compromis, et que le code n’a pas été entièrement verifié.

Voici en français les divers aspects pris en compte :
– Chiffrement durant la transmission ?
– Chiffrement sur les serveurs du fournisseur du service ?
– Peut-on vérifier l’identité de l’interlocuteur ?
– Les communications passées sont-elles sécurisées si les clés sont volées ?
– Le code est-il ouvert a une vérification indépendante ?
– Est-ce que le code a été effectivement vérifié ?

Vous pouvez consulter ce comparatif (qui reprend aussi bien les services pro-anonymat que les services des géants du web) en cliquant ici.

Notons que les services qui remportent haut la main ce comparatif sont (cliquez sur le nom pour visitez le site web) :
– Cryptocat
– Whispersystems (Redphone et TextSecure)
– Silent Circle (Silent Phone et Silent Text)
– ChatSecure

Voir le comparatif sur le site de l’EFF.

Facebook utilise un système pour détecter les conversations ayant trait à des activités criminelles. Si cette nouvelle ne surprendra pas grand monde, le méthode est tout de même assez pro-active que pour être signalée. Un premier écrémage est effectué par des logiciels robots qui recherchent des mots ou des phrases spécifiques. L’activité réciproque des utilisateurs est également utilisée pour détecter les conversations ‘suspectes’: deux utilisateurs qui n’ont jamais communiqué avant, qui sont situés à des points géographiques différents ou qui n’ont pas d’amis en communs sont donc plus suspects. Cette technique avait déjà été utilisée par le FBI ( « Quelle est la personne que vous cachez à votre entourage ? » ).

Une fois que ce logiciel a fait cet écrémage, il envoie les chats suspects à des employés de Facebook qui décident si ceux-ci valent la peine d’être envoyés à la police. Facebook a déclaré « il est important pour nous d’avoir un logiciel qui génére peu de fau x positifs, nous ne voulons pas dédier une équipe à la sécurité ». Le réseau social s’est également défendu en affirmant que cette surveillance du site avait permis d’arrêter au moins un prédateur sexuel américain et un meurtrier espagnol. Le fait que Facebook peut transmettre les informations à la justice si elle le juge nécessaire est écrit dans ses conditions d’utilisation. Notons également que Facebook Messenger est l’un des moyens de communication les plus prisés au monde, loin devant les SMS.

Les révélations de Snowden, WikiLeaks et d’autres taupes ont remis la sécurité informatique à la mode, le cryptage est devenu un véritable argument commercial. Les dernières versions des systèmes d’exploitation de Google (Android 5.0 Lollipop), et d’Apple (iOS 8) suivent cette tendance en proposant le chiffrement par défaut de leurs smartphones et tablettes. L’option était déjà disponible sur Android depuis quelques années, elle sera désormais appliquée automatiquement sur tous les nouveaux appareils vendus. Le patron du FBI, James Comey, a pesté contre cette décision, arguant le besoin des polices d’accéder aux données des smartphones.
Rappelons tout de même que, même s’il est peu probable que Google et Apple accèdent publiquement à cette demande, cela ne diminue pas les risques d’accès par les autorités puisqu’ils bénéficient de nombreuses autres ressources : la NSA emploie des agents infiltrés dans les firmes technologiques, dispose d’équipes qui recherchent des failles inconnues dans les logiciels, passe des accords secrets avec certaines firmes et lorsqu’elles refusent, les attaque juridiquement et impose des clauses de confidentialité drastiques sur l’issue du procès. Les constructeurs peuvent aussi poser leurs propres backdoors (comme Samsung), la sécurité informatique sous cette forme est si fragile qu’elle n’est finalement qu’un argument commercial.

Sur le site de financement participatif Kickstarter, une machine rencontre un succès exceptionnel. Anonabox est un tout petit boitier qui permet de faire passer par TOR tout le trafic internet d’un routeur internet. Cet engin a été conçu avec le sens du détail et de très nombreuses qualités : il ne coûte que 45$ (35€), ne nécessite aucune configuration (brancher, et c’est tout), est open-source tant au niveau du matériel que du code, il est encore plus facile à utiliser que le navigateur TOR puisque des programmes non-supportés (comme Skype et Filezilla) fonctionneront tout de suite, sans configuration supplémentaire.

Les développeurs de ce super-gadget s’engagent également à tester chaque boitier individuellement (et à le signer à la main pour preuve de bonne foi). Ceux-ci confessent avoir eu l’idée après avoir été engagés par un directeur d’école pour filtrer le réseau de l’établissement : ils n’ont pas réussis à trouver un moyen incontournable de censurer le net et ont préféré inventer un moyen simple et efficace pour contourner la censure et protéger son anonymat sur le net. Le développement a prit 4 ans pendant lesquels le printemps arabe a pu fournir plus d’inspiration au projet. Le boitier est très petit de manière à pouvoir être branché discrètement dans un lieu public, être jeté dans des toilettes au besoin. Le détail a été poussé jusqu’a donner des coins arrondis à l’engin pour être dissimulé… Les développeurs avaient demandé 7’500$, ils ont récoltés plus de 348’000$ en 48h, c’est dire si la mode est à la sécurité informatique simple et pas chère. Voir la page Kickstarter.

Un aperçu de l’Anonabox

Si Microsoft a habitué ses utilisateurs a être espionné en intégrant des backdoors dans toutes les versions de son système d’exploitation, la béta destinée aux développeurs va beaucoup plus loin que ses prédécesseurs. Microsoft va renouveler tous ses systèmes d’exploitation en 2015 en les unifiant. Les téléphones, tablettes, ordinateurs, objets connectés et Xbox fabriqués par Microsoft utiliseront un seul OS : Windows 10. La béta disponible gratuitement depuis plusieurs jours et destinée à tester le système utilise des méthodes très intrusives pour rapporter les habitudes des utilisateurs et les bugs. Premièrement : Windows 10 collecte la liste des programmes installés, la liste des appels, des SMS, etc… Le véritable scandale est dans l’utilisation d’un Keylogger, un programme qui enregistre les frappes claviers et transmet donc ce qui est tapé par l’utilisateur à la firme américaine. Microsoft a également le droit d’enregistrer vocalement les utilisateurs de Windows 10 pour tester la reconnaissance vocale. Toutes ses indiscrètions sont avouées par Microsoft dans ses conditions d’utilisation, c’est peut-être là qu’est la vraie nouveauté. Il est très probable que ces conditions d’utilisation soient réservées à l’utilisation de la version béta même si les services répressifs ont toujours pû compter sur l’aide Microsoft.