Un programme secret de la NSA de surveillance d’internet, baptisé XKeyscore, permet au renseignement américain de suivre à peu près tout ce qu’un utilisateur lambda fait sur le réseau, selon des documents publiés hier par le quotidien britannique The Guardian. Contrairement aux autres systèmes dont l’existence a déjà été révélée, il offre la possibilité de travailler sans connaître un identifiant « fort » d’une cible – son adresse mail par exemple. XKeyscore permet par exemple de remonter jusqu’à une personne à partir d’une simple recherche effectuée sur internet.

Sur son site, le quotidien reproduit une série de pages apparemment issues d’une séance de formation destinée à des agents du NSA. Quatre de ces 32 pages n’ont pas été reproduites parce qu’elles révèlent des éléments sur des opérations spécifiques de la NSA. XKeyscore permet aux agents qui l’utilisent de surveiller en temps réel les emails, les recherches, l’utilisation des réseaux sociaux ou toute autre action effectuée sur internet pour remonter vers une cible. Le programme repose sur l’utilisation de quelque 500 serveurs disséminés dans le monde, y compris en Russie, en Chine ou au Venezuela.

[Les détails du fonctionnement de XKeyscore sur le site du Guardian->]

XKeyScore

Le Security Research Labs a découvert une faille dans le cryptage des cartes SIM embarquées dans les smartphones et téléphones mobiles. Cette brèche permettrait de prendre le contrôle des mobiles. Au total, pas moins de 750 millions de téléphones portables seraient concernés par cette possible menace. L’opération prend deux minutes à peine et qu’il suffit d’un simple ordinateur pour opérer sur un mobile. Il est possible d’installer à distance un logiciel sur un appareil qui fonctionne de manière totalement indépendante de votre téléphone. Pour cela il suffit d’envoyer un SMS maquillé que le téléphone assimile comme provenant de l’opérateur. Il n’y a plus qu’à récupérer la signature du téléphone donnant accès à tout un tas de données chiffrées.

Cette faille provient d’une méthode de cryptage développé dans les années 1970 et appelé Data Encryption Standard ou DES. Après avoir trouvé la brèche, l’expert allemand de Security Research Labs a procédé à des tests sur près d’un millier de cartes SIM de téléphones fonctionnant sur des réseaux européens et nord-américains durant deux ans. Près d’un quart des cartes SIM ainsi testées utilisaient ce vieux système d’encodage que l’on retrouve sur près de la moitié des 6 milliards de téléphones mobiles utilisés dans le monde.

Google et l’institut de technologie de Géorgie travaillent sur une version canine des Google Glass pour aider le travail des pompiers, policiers ou militaires. Grâce à cette technologie, n’importe quel professionnel pourrait se connecter directement à la caméra et le capteur des Google Glass de son chien. Clin d’oeil volontaire ou non : le projet a été nommé Facilitating Interactions for Dogs with Occupations, soit FIDO, le nom d’une marque de nourriture pour chien.

Fin juin, le conseil communal de Liège a décidé l’achat de 6 FN 303 pour le Peloton Anti-Banditisme de la police de Liège, une unité d’une quarantaine d’hommes dont la zone opérationnelle comprend aussi les zones de police de Seraing-Neupré, Flémalle et Herstal. L’achat devrait être effectif cet automne. Après formation, les hommes du PAB devraient disposer du FN 303 sur le terrain à partir du début de l’année prochaine.

Il s’agit d’une arme non létale à air comprimé dont les projectiles se désagrégent à l’impact et équivalent à un coup de bâton, avec possibilité d’avoir aussi un marquage de couleur. Les consignes excluent en principe le tir au niveau de la poitrine, du sternum ou de la tête. L’arme est déjàbeaucoup utilisée, notamment aux États-Unis, en France et en Allemagne.

FN 303

En plein désert jordanien, trente-trois groupes de soldats d »élites venant de dix-huit nations ont participé à la cinquième édition de la Warrior Competition. Ils se sont mesurés les uns aux autres pendant cinq jours dans des épreuves de « prise d’otages », « détournement d’avion », « assaut d’immeuble » etc.

Tarmac, immeubles, faux village, stands de tirs ultramodernes … Le KASOTC (King Abdullah II Special Operations Training Center) s’étale du 2.500 hectares à une vingtaine de kilomètres au nord d’Amman. C’est ici que, fin 2012, les Américains avaient déployé une task force afin d’aider l’armée jordanienne à se préparer contre une éventuelle attaque syrienne. Inauguré en 2009 et presque entièrement financé par Washington (près de 100 millions de dollars), le centre est géré par une société de sécurité privée américaine, ViaGlobal. Tout au long de l’année, le centre propose des formations sur mesure: soldats d’élite, gardiens d’ambassade, agents de sécurité privée…

KASOTC

De nombreuses associations et sociétés qui fournissent des services de sécurité informatique ont annoncé avoir eu une explosion de demandes ou d’inscriptions depuis le scandale PRISM. C’est ce qu’on notamment annoncé MEGA, DuckDuckGo, et Riseup. Les principaux acteurs dans ce domaine reconnaissent donc que la sécurité informatique reste bien trop compliquée pour les utilisateurs lambda. Mais cette situation pourrait changer rapidement, voyez plutôt.

MEGA, le successeur de Megaupload qui offre un service de stockage en ligne chiffré et apparemment fiable de 50 Giga-octets a plusieurs projets intéressants : un service de messagerie instantanée sécurisée (d’ici 4 à 6 semaines), un service d’e-mails cryptés d’ici 6 à 9 mois. Mais aussi beaucoup d’autres services ‘en cloud’, notamment de la bureautique. Site

HEMLIS, traduction suédoise de ‘secret’ est le nouveau projet de l’un des fondateurs du site ‘The Pirate Bay’. Le but est à nouveau de créer une application mobile (iOS et Android) de messagerie sécurisée. Le projet à recueilli en quelques heures les 100’000$ nécéssaires à son développement. L’application sera gratuite et sans pub. Certaines fonctions seront néanmoins payantes pour permettre aux développeurs de faire tourner les serveurs de Hemlis. Site

DUCKDUCKGO, un moteur de recherche anonyme, compatible HTTPS et respectueux de la vie privée vient de lancer une application tournant sous Android et se substituant facilement à Google Now. Site. Lien Play Store.

RISEUP, un collectif liberttaire américain fournit de nombreux outils informatiques à des activistes dans le monde entier. Notamment, des listes e-mails, des VPN, mais surtout des adresses e-mails compatibles aux normes SSL et STARTTLS et sans logs. Le nombre de demande a triplé d’un mois à l’autre depuis le scandale PRISM et ils demandent à leurs utilisateurs un soutien financier pour l’achat de nouveaux serveurs. Site.

L’informatique qui était déja en grande transformation avec l’extension du cloud et la substitution croissante des ordinateurs par des tablettes et smartphones pourrait donc se transformer encore plus avec le coup de pied d’Edward Snowden qui montre la nécessité de se protéger sur le net.

Les problèmes de faille subis par les devices Android affecteraient 99% des terminaux. La faille existe depuis Android 1.6 (Donut) et permet la modification du code d’une application dont l’APK a déjà été reconnu valide par le Play Store et ce, sans affecter sa signature numérique. Pour ce faire, les développeurs pirates (ou policiers) n’ont qu’à proposer à l’utilisateur une mise à jour directe vérolée de leur application, qui une fois installée leur permettrait de prendre le contrôle total de l’appareil infecté. A l’heure actuelle, seul le Galaxy S4 de Samsung est immunisé contre cette faille, ce qui implique qu’une solution est possible pour les autres terminaux mobiles.

Au cours de plusieurs interpellations, des enquêteurs se sont subitement retrouvés face à des suspects démenottés alors qu’ils venaient de leur attacher les mains. Après avoir observé attentivement leurs vêtements, ils se sont rendu compte que le bout métallique de leur lacets n’avaient pas une forme habituelle.

Après examen minutieux de ces étranges lacets, il est apparu clairement qu’il s’agissait, en réalité, de micros passe partout permettant d’ouvrir une paire de menottes. Plusieurs boutiques ont mis en vente ce type de lacets. La plupart ont été retirés du marché mais nous ne savons pas combien ont pu être écoulés. Des investigations sont toujours en cours pour remonter la filière d’approvisionnement…

Un graphiste américain a mis au point une police de caractères spécialement pensée pour tromper les outils de reconnaissance automatique de caractères. Baptisée ZXX — un clin d’oeil à une cote utilisée dans les bibliothèques du monde pour identifier les documents sans contenu linguistique —, cette police de caractères se résume en une série de lettres, symboles et chiffres, dessinée pour ajouter du bruit dans la communication écrite et du coup faire capoter les logiciels de reconnaissance de caractère. Pour un fichier informatique, ça ne sert strictement à rien, les caractères étant encodés de la même façon peut importe la police utilisée. La police est accessible gratuitement sur le net.

Une technique basée sur le principe de la cage de Faraday pour désactiver les ondes sur n’importe quel appareil électronique. Pas besoin d’enlever sa batterie (et donc utile pour les smartphones ‘unibody’ où il n’est pas possible de la retirer.) Intéressante aussi en ceci qu’elle n’envoie pas à l’opérateur un signal « téléphone coupé » (le fait pour deux suspects d’avoir coupé un téléphone au même moment a déjà été considéré comme élément à charge devant les tribunaux). Testé et approuvé par le Secours Rouge !