Mise à jour : Ce problème ne constitue en fait pas une faille. Le système est intégré par exemple à Mozilla Firefox depuis des années. La faille est comme toujours ailleurs : ne pas protéger son ordinateur (firewall et antivirus), enregistrer les mots de passe importants,… Le fait que les mots de passe soient enregistrés est connu depuis bien longtemps et n’est donc pas une faille. Le « développeur de logiciel » expose donc une « faille » qui n’en est pas une.

Vous pouvez tout de même lire l’article précédemment, ces précisions prises en compte.

Un développeur de logiciel vient de découvrir une énorme faille de sécurité dans Google Chrome. Il s’est en effet rendu compte que dans la fonction ‘advanced settings’, il est possible de voir tous les mots de passe existant sur l’ordinateur utilisé. Il suffi de cliquer sur le lien de changement de fonctions de Chrome pour voir tous les mots de passe noircis. En cliquant juste à côté, cela le fait simplement apparaître en texte normal. Dès lors, n’importe qui qui utilise l’ordinateur peut accéder à tous ces mots de passe dès le moment où Chrome y est actif. Interpellé à ce sujet par la presse, le patron du développement de Chrome a déclaré être au courant de cette mauvaise fonction et a justifié sa non-fixation: ‘Nous ne voulons pas donner aux utilisateurs un faux sens de sécurité et encourager les attitudes à risque. Nous voulons être très clairs sur le fait que lorsque vous donnez accès à quelqu’un à votre compte utilisateur de système opératoire (OS), alors ils peuvent tout obtenir’. Ce qu’il ne dit pas, c’set que tous les mots de passe sont donc stockés dans une forme réversible et que n’importe quel hacker (ou grande entreprise, agence de renseignements, NSA,…) peut écrire un ‘cheval de Troie’ pour voler l’enregistrement de mots de passe. Ou comment toujours plus faciliter l’accès à nos données…

Les métadonnées recueillies par les services de renseignements permettent de dessiner d’immenses graphes de liaisons entre personnes à partir de leur activité numérique, et ce depuis des années. De dessiner une sorte de journal intime de l’activité de chacun, tant sur son téléphone que sur son ordinateur. Lorsqu’un groupe « intéressant » a été identifié, les services utilisent des techniques plus intrusives, comme les écoutes ou les filatures.

A quoi peuvent donc ressembler ces graphes de liaisons et que révèlent-ils? Trois membres du Massachusetts Institute of Technology ont mis au point une application permettant de voir ce que révèlent les métadonnées de votre compte Gmail. Il suffit pour cela de vous connecter –et donc d’accepter que le site ait accès à vos métadonnées–, et au bout de quelques minutes, voilà le résultat:

L’outil permet de visualiser ce que vous savez sans doute déjà: que telle ou telle personne est le centre de votre vie «courriellienne», mais aussi de vous rappeler à quel point certains groupes de votre vie ne se croisent jamais –en tout cas dans vos mails–, et comme certains de vos contacts n’ont de liens qu’avec vous. Appliqué aux recherches policières, cette technique permet d’identifier des équipes et leur leader. En outre, de gros cercles sans liens vers les autres points révèlent des relations qu’on pourrait vouloir cacher. Le fait que ces points importants n’interagissent avec personne d’autre paraîtra forcément louche, et ce sont ces connections qui, tout chose égale ailleurs, seront espionnées en premier lieu.

Pour essayer l’application « immersion »

Un drone équipé de caméras thermiques a survolé la ville de Slough dans la banlieue ouest de Londres. La municipalité recherche des traces de vie humaine dans les garages et les remises qui indiqueraient la présence de locataires non déclarés. La municipalité soupçonne la présence de 6.350 lits clandestins où dormiraient des immigrés ou simplement des personnes trop pauvres pour louer une chambre normale. Elle va maintenant enquêter porte-à-porte pour confirmer les délits, distribuer des amendes de 230€ par propriétaire et faire démolir les remises construites illégalement.

Sur le plan de la ville en trois dimensions, le rouge trahit la chaleur humaine au fond des jardins ou le radiateur allumé au milieu des outils de jardinage. La location du drone avec traitement des images a coûté 27.500€, une somme qu’environ 120 amendes rembourseront…

image thermique drone slough

Un des cabanons de Slough, du type de ceux souvent transformé en logement

Nous avons régulièrement parlé de l’affaire Edward Snowden et de ces révélations.
L’afflux de scandales et d’informations, qu’elles émanent de Whistleblowers ou d’autres personnes est tellement énorme, qu’il est facile de se perdre. Que peut donc faire la NSA ? C’est ce que nous allons résumer ici.

Pour commencer et situer chacun : la NSA (National Security Agency) est la plus vaste agence de renseignements (d’espionnage) américaine. Sa particularité par rapport aux dizaines d’autres organisations d’espionnage etats-uniennes est qu’elle a deux missions principales : la première est « le renseignement d’origine électro-magnétique », c’est à dire à l’espionnage d’à peu près toute communication transitant par un dispositif éléctronique. La seconde mission est la sécurisation des systèmes de communications du gouvernement américain. La NSA emploie de façon officielle, directe et indirecte, aux Etats-Unis, plus de 60’000 employés, dont 35’000 directement. La NSA constitue probablement l’organisation de renseignements la plus puissante au monde.

Edward Snowden, lui, est consultant informatique. Il a travaillé pour diverses agences, dont le FBI et la NSA. Il y a quelques semaines, Edward Snowden a fait défection : il a prit contact avec divers journeaux anglo-saxons, leur fournissant documents et confessions avant de prendre la fuite à Hong-Kong et enfin de recevoir un statut de réfugié en Russie. Snowden est à présent considéré comme un « Whistleblowers » (un « lanceur d’alertes »).

Lors de ses révélations, Snowden donnent beaucoup d’histoires : le monitoring complet du net chinois, l’espionnage de la plupart des chefs d’états étrangers, etc… Les deux plus importants concernent PRISM et X-Keyscore, deux programmes qui permettent de surveiller « à peu près tout » sur internet.

Les lois américaines sur l’espionnage des télécommunications sont régulées par les « FISA », des lois spéciales qui disent que :
– Les entreprises américaines sont obligées de fournir les données demandées. Google, Facebook, Microsoft, Amazon, Yahoo, Apple : qu’ils soient volontaires ou non dans leur collaboration avec la NSA, ils doivent le faire quand même. Même si à l’un ou l’autre cas près, la plupart de ces entreprises ont collaboré sans faire d’histoires.
– Le seul cas véritablement illégal d’espionnage selon FISA est celui-ci : l’espionnage injustifié d’une communication entre deux citoyens américains alors qu’ils sont sur le territoire américain.
– Toute demande FISA est mandatée par un juge de façon secrète.
– Un citoyen américain sur le territoire américain peut légalement être espionné sur la simple justification qu’il est en contact avec une cible étrangère, alors qu’une cible étrangère n’a pas besoin d’être justifiée.

Les diverses fuites ont démontré dernièrement que :
– N’importe qui ayant accès à X-Keyscore peut espionner n’importe qui, selon la phrase de Snowden : « Vous, votre comptable, un juge fédéral ou votre président ».
– Un champs « justification » est présent dans chacun de ces logiciel, dans les faits ces justifications ne sont pas contrôlées, c’est très rare et sans conséquences selon Snowden.
– Malgré tout, il a été dit par d’anciens employés de la NSA qu’en 2007, 20’000 milliards d’informations avaient été collectées (mais pas stockées vu le volume), et ce uniquement entre des citoyens américains.
– En 2010, le volume de données espionnées par la NSA est tel que la plupart des informations ne peuvent rester que 3 à 5 jours sur les serveurs de la NSA. Pour les plus gros sites (ceux qui produisent quotidiennement 20 terrabytes ou plus), le volume est si énorme que leurs données ne restent que 24h. Les métadonnées quant à elles sont stockées 30 jours. Le problème a été résolu en créant des bases de données annexes dans lesquelles les analystes peuvent déposer certaines informations collectées et les mettent dans d’autres bases de données.

Dans l’image ci-dessous, voyez 4 de ces bases de données. Plus elles sont basses dans la pyramide, plus elles offrent de contenus potentiels à l’espion.
– TrafficThief (« Voleur de traffic »): l’écoute d’adresses e-mails précisées. Dans le jargon de la NSA « Strong Selector » veut dire « Adresse e-mail ». Un moyen sûr d’identifier « une cible ».
– Pinwale : l’enregistrement de contenus sur base de mots du dictionnaires.
– MARINA,
– Xkeyscore.

Quelques bases de données de la NSA

A elle seule en 2012, Xkeyscore récoltait au minimum sur une période de 30 jours 41 milliards d’enregistrements différents.

Mais pratiquement, à quoi un agent de la NSA qui se met devant son ordinateur a t’il accès :
– Il peut consulter en live et en archives les messages et activités de quelqu’un sur un réseau social en ne connaissant que son nom d’utilisateur.
– Il peut accéder à n’importe quel serveur HTTP. C’est à dire, 99% des usages d’un utilisateur lambda.
– Il peut accéder grâce au point précédent la liste des adresses IP qui ont visité un site internet via HTTP.
– Il peut faire des recherches sur à peu près n’importe qui sans disposer de son adresse e-mail en faisant des recherches par mot-clé.
– Il peut consulter l’historique, les recherches, toute l’activité d’un internaute.

En bref, XKeyscore peut « presque tout savoir ». Les fuites ne disent malheureusement pas quels sont les accès de la NSA à d’autres protocoles que HTTP. Même si on sait qu’il lui est simple (comme à n’importe quel hacker) de simuler une connexion HTTPS pour y faire transiter un utilisateur cible.

Nous ne savons pas non plus si la NSA est aujourd’hui capable de casser les principales méthodes de cryptage comme RSA et AES. Cependant, cela semble peu probable malgré l’arsenal technologique dont dispose cette agence.

Sur le premier semestre 2012, 849 demandes d’informations avaient été adressées au réseau social Twitter par les autorités. Au cours du second semestre de la même année, il en avait reçu 1009. Durant les six premiers mois de 2013, le réseau a été approché 1157 fois pour des demandes de données. Selon le dernier rapport sur la transparence publié par la société ce mercredi, 78% des requêtes provenaient des Etats-Unis, le second pays demandeur étant le Japon, avec 8% des demandes. Twitter a déclaré avoir fourni les informations demandées dans 67% des cas, tout en précisant que la loi lui interdisait de révéler le contenu des informations réclamées.

Un programme secret de la NSA de surveillance d’internet, baptisé XKeyscore, permet au renseignement américain de suivre à peu près tout ce qu’un utilisateur lambda fait sur le réseau, selon des documents publiés hier par le quotidien britannique The Guardian. Contrairement aux autres systèmes dont l’existence a déjà été révélée, il offre la possibilité de travailler sans connaître un identifiant « fort » d’une cible – son adresse mail par exemple. XKeyscore permet par exemple de remonter jusqu’à une personne à partir d’une simple recherche effectuée sur internet.

Sur son site, le quotidien reproduit une série de pages apparemment issues d’une séance de formation destinée à des agents du NSA. Quatre de ces 32 pages n’ont pas été reproduites parce qu’elles révèlent des éléments sur des opérations spécifiques de la NSA. XKeyscore permet aux agents qui l’utilisent de surveiller en temps réel les emails, les recherches, l’utilisation des réseaux sociaux ou toute autre action effectuée sur internet pour remonter vers une cible. Le programme repose sur l’utilisation de quelque 500 serveurs disséminés dans le monde, y compris en Russie, en Chine ou au Venezuela.

[Les détails du fonctionnement de XKeyscore sur le site du Guardian->]

XKeyScore

Le Security Research Labs a découvert une faille dans le cryptage des cartes SIM embarquées dans les smartphones et téléphones mobiles. Cette brèche permettrait de prendre le contrôle des mobiles. Au total, pas moins de 750 millions de téléphones portables seraient concernés par cette possible menace. L’opération prend deux minutes à peine et qu’il suffit d’un simple ordinateur pour opérer sur un mobile. Il est possible d’installer à distance un logiciel sur un appareil qui fonctionne de manière totalement indépendante de votre téléphone. Pour cela il suffit d’envoyer un SMS maquillé que le téléphone assimile comme provenant de l’opérateur. Il n’y a plus qu’à récupérer la signature du téléphone donnant accès à tout un tas de données chiffrées.

Cette faille provient d’une méthode de cryptage développé dans les années 1970 et appelé Data Encryption Standard ou DES. Après avoir trouvé la brèche, l’expert allemand de Security Research Labs a procédé à des tests sur près d’un millier de cartes SIM de téléphones fonctionnant sur des réseaux européens et nord-américains durant deux ans. Près d’un quart des cartes SIM ainsi testées utilisaient ce vieux système d’encodage que l’on retrouve sur près de la moitié des 6 milliards de téléphones mobiles utilisés dans le monde.

Google et l’institut de technologie de Géorgie travaillent sur une version canine des Google Glass pour aider le travail des pompiers, policiers ou militaires. Grâce à cette technologie, n’importe quel professionnel pourrait se connecter directement à la caméra et le capteur des Google Glass de son chien. Clin d’oeil volontaire ou non : le projet a été nommé Facilitating Interactions for Dogs with Occupations, soit FIDO, le nom d’une marque de nourriture pour chien.

Fin juin, le conseil communal de Liège a décidé l’achat de 6 FN 303 pour le Peloton Anti-Banditisme de la police de Liège, une unité d’une quarantaine d’hommes dont la zone opérationnelle comprend aussi les zones de police de Seraing-Neupré, Flémalle et Herstal. L’achat devrait être effectif cet automne. Après formation, les hommes du PAB devraient disposer du FN 303 sur le terrain à partir du début de l’année prochaine.

Il s’agit d’une arme non létale à air comprimé dont les projectiles se désagrégent à l’impact et équivalent à un coup de bâton, avec possibilité d’avoir aussi un marquage de couleur. Les consignes excluent en principe le tir au niveau de la poitrine, du sternum ou de la tête. L’arme est déjàbeaucoup utilisée, notamment aux États-Unis, en France et en Allemagne.

FN 303

En plein désert jordanien, trente-trois groupes de soldats d »élites venant de dix-huit nations ont participé à la cinquième édition de la Warrior Competition. Ils se sont mesurés les uns aux autres pendant cinq jours dans des épreuves de « prise d’otages », « détournement d’avion », « assaut d’immeuble » etc.

Tarmac, immeubles, faux village, stands de tirs ultramodernes … Le KASOTC (King Abdullah II Special Operations Training Center) s’étale du 2.500 hectares à une vingtaine de kilomètres au nord d’Amman. C’est ici que, fin 2012, les Américains avaient déployé une task force afin d’aider l’armée jordanienne à se préparer contre une éventuelle attaque syrienne. Inauguré en 2009 et presque entièrement financé par Washington (près de 100 millions de dollars), le centre est géré par une société de sécurité privée américaine, ViaGlobal. Tout au long de l’année, le centre propose des formations sur mesure: soldats d’élite, gardiens d’ambassade, agents de sécurité privée…

KASOTC