Jeudi 2 juillet, au siège d’Eurojust, l’agence de coopération judiciaire de l’Union européenne, à La Haye, des enquêteurs néerlandais et français ont révélé qu’ils étaient parvenus contourner les systèmes de sécurité des téléphones EncroChat. Ces appareils ont commencé à arriver entre les mains des experts de la gendarmerie française en 2017, en marge d’affaires de trafic de stupéfiants. A l’apparence anodine, ils disposaient de fonctionnalités cachées rendant leurs communications impossibles à intercepter et leurs données illisibles. Leurs données pouvaient être totalement supprimées en saisissant un simple code sur le téléphone.

Ces téléphones, dont la caméra, le micro ou le GPS étaient parfois physiquement détruits pour limiter tout risque de pistage, étaient commercialisés par EncroChat au prix de 1.000 euros et assorti d’un abonnement d’environ 3 000 euros l’année. Chaque appareil disposait même d’un service après-vente, disponible vingt-quatre heures sur vingt-quatre et sept jours sur sept. En 2020, selon les autorités néerlandaises, 50.000 appareils EncroChat étaient actifs, dont 12.000 dans les seuls Pays-Bas.

Les enquêteurs français ont découvert les serveurs formant le soubassement technique du réseau EncroChat étaient situés en France. Un logiciel capable de siphonner le contenu des appareils et de lire les échanges avant qu’ils soient chiffrés a été envoyé sur des milliers de téléphones. Ceux-ci ont été écoutés pendant des semaines. Les responsables d’Encrochat ont fini par s’apercevoir que quelque chose clochait sur leurs appareils. Le 13 juin, ils font parvenir en urgence, en anglais, un message à tous leurs utilisateurs : “Une ou plusieurs entité(s) gouvernementales ont lancé une attaque pour compromettre [certains de nos appareils]. Nous ne pouvons plus en garantir la sécurité. Nous vous conseillons de les éteindre et de vous en débarrasser immédiatement.” La justice française, qui vise, notamment, le chef de “fourniture d’un moyen de cryptologie”, n’a pas (encore?) lancé de poursuite contre EncroChat.

Un téléphone Encrochat

Un téléphone Encrochat

L’agence Europol a publié un nouveau rapport intitulé “L’état du terrorisme dans l’Union européenne en 2020”. Le rapport recense 26 attaques de groupes issus de la gauche révolutionnaire pour 2019. Ces attaques ont toutes eu lieu en Grèce, Italie ou Espagne. Le nombre d’arrestations sur suspicion d’infractions “terroristes” a plus que triplé (111 en 2019 contre 34 en 2018), par rapport aux années précédentes. La majorité des arrestations étaient liées à des “manifestations violentes” et à des confrontations avec les forces de sécurité en Italie. Le rapport signale également que le soutien au Rojava reste un sujet important pour les groupes de gauche et annonce qu’un certain nombre de militant·es sont suspecté·es d’avoir rejoint les organisations militaires du Rojava. En Belgique, le rapport annonce que “des groupes et des individus des anarchistes et ainsi que des mouvements extrémistes de gauche constituaient une menace persistante pour l’ordre public, en particulier lors des manifestations violentes des Gilets Jaunes”.

Le rapport mentionne également l’utilisation des moyens informatiques par les mouvements de la gauche révolutionnaire qui ont une haute sensibilité à la sécurité informatique. Ils utilisent des téléphones mobiles “propres” et des applications cryptées pour la communication. Les mouvements utilisent leur propres infrastructures tels que Riseup.net, Espiv, Noblogs, ainsi que des infrastructures commerciales plates-formes telles que Signal et Telegram. Inversement, certains groupes adoptent délibérément des méthodes rudimentaires. Ils évitent tout ordinateur ou communication téléphonique, ainsi que l’utilisation de voitures ou les GPS pour éviter le traçage de leurs mouvements.

Au niveau de la Turquie, le rapport mentionne le DHKP-C qui continuerait d’utiliser l’Union Européenne comme base pour soutenir ses opérations en Turquie. Il indique également que le PKK “n’a encore commis aucune attaque terroriste sur le territoire de l’Union européenne”, et qu’il “organise des rassemblements et des manifestations en Europe sur les questions liées aux Kurdes, dont la plupart sont pacifiques”. Le rapport souligne que les membres et sympathisants du PKK continuent à participer à des activités légales pour collecter des fonds de soutien, et dit : “Il semble que la principale source de revenus soit la campagne annuelle de collecte de fonds et les événements culturels”.

Le rapport complet ici.

L'agence Europol sort un nouveau rapport sur le "terrorisme"

L’agence Europol sort un nouveau rapport sur le “terrorisme”

De nombreux personnes, participant aux rassemblements contre les crimes policiers, craignent des représailles si elles venaient à être identifiées notamment en raison de la surveillance dont elles font l’objet. Les autorités états-uniennes utilisent, en effet tous les moyens à sa disposition pour ficher les manifestant·es, opération de surveillance de la DEA (l’agence anti-drogue), reconnaissance faciale et même un drone Predator (voir notre article).

Plusieurs sites spécialisés ou non ont donc publié des guides et listes de conseils, notamment sur l’usage des smartphones lors des manifestations. Si ces conseils sont assez classiques et sont généralement les mêmes à chaque manifestation, on remarque également, désormais, des indications pour les photos, notamment celles qui ont vocation à être publiées sur les réseaux sociaux.

The Verge donne ainsi quelques techniques assez basiques et accessibles aux possesseurs de smartphones iOS ou Android pour cacher des visages et empêcher qu’ils soient ensuite reconnus. Le site américain précise, par ailleurs, que pour se débarrasser des métadonnées (la localisation, la date de la prise de vue…), le plus simple est de prendre des captures d’écran de ses propres photos et, ensuite, de supprimer les photos originales.

Mais des outils ont également été développés à ces fins. Wired promeut ainsi Image Scrubber, un site (disponible sur ordinateur et mobile) qui promet de supprimer les métadonnées associées à la photo prise, mais également de flouter certaines parties de l’image ou de recouvrir des images. Plus simple encore d’utilisation, un raccourci permet aux utilisateurs d’iPhone de choisir une photo, d’en flouter automatiquement les visages et d’enregistrer une nouvelle version de la photo sans les métadonnées qui y étaient associées jusque-là. Cependant plusieurs réserves sur la sécurité sur cet outil ont été émises. Censr, une application de réalité virtuelle (en bêta) qui fonctionne avec les iPhone XR et suivants, permet quant-à-elle de masquer et pixéliser un visage en temps réel et qui « nettoie » les métadonnées. Signal a également développé un outil permettant de flouter les images (voir notre article).

Le Secours Rouge mène, depuis plusieurs années, une campagne visant à promouvoir une utilisation sécurisée des photos dans les manifestations. Plus d’infos sur cette campagne ici.

Brave s’est taillé une solide réputation dans le milieu des navigateurs respectueux de la vie privée pour ses fonctionnalités permettant de bloquer les publicités, traceurs, et autres systèmes d’identification jugés peu transparents. Mais sa maison-mère est aujourd’hui sous le feu des critiques pour avoir redirigé certaines URL vers des liens affiliés sur lesquels elle touche une commission. Binance, Coinbase et Trezor font partie des sociétés de cryptographie affiliées au navigateur. Le PDG de l’entreprise s’est excusé (mais seulement après que le procédé ait été démasqué) et a promis que cela ne se reproduirai plus.

Le navigateur sécurisé Brave a violé la confiance de ses utilisateurs

Le navigateur sécurisé Brave a violé la confiance de ses utilisateurs

Dossier(s): Sécurité IT Tags:

Les manifestations de masse aux États-Unis ont propulsé l’application de messagerie sécurisée Signal parmi les applications les plus téléchargées du pays. Elle est à présent 8è au classement des apps les plus téléchargées dans la catégorie réseaux sociaux. Hier soir, Signal a déployé une mise à jour bien utile puisqu’il est désormais possible de flouter des visages dans une photo que l’on envoie : “Nous avons travaillé sur de nouvelles façons d’aider tous ceux et celles qui sont dans la rue pour le moment. Une chose est sûr, 2020 est une bonne année pour se couvrir le visage. La dernière version de Signal pour Android et iOS introduit une fonctionnalité de floutage dans son éditeur d’image.” En plus de cela, Signal distribuera de vrais masques gratuitement aux manifestant·e·s.

Deux vulnérabilités importantes ont été découvertes dans la dernière version d’iOS, le système d’exploitation des iPhone. Les deux failles ont été corrigées par Apple dans la version bêta d’iOS, et le seront de manière complète dans la prochaine mise à jour du logiciel. Les deux failles auraient été activement utilisées dans des tentatives d’espionnage d’un opérateur téléphonique japonais, des employés de services de sécurité en Arabie saoudite et en Israël, et un cadre d’une entreprise suisse. Des cibles qui suggèrent qu’elles pourraient avoir été exploitées par un groupe lié à un état. La dangerosité des failles est jugée sérieuse par plusieurs experts indépendants. L’une d’entre elles est une faille dite “zero click”. Elle peut fonctionner sans que la personne ciblée n’entreprenne aucune action, comme cliquer sur un lien frauduleux.

L’exploitation de la faille, observée pour la première fois en 2019, passait par l’envoi d’un courriel piégé, mais le destinataire n’avait pas besoin de l’ouvrir pour qu’il déclenche la faille. L’analyse des téléphones a posteriori semble par ailleurs montrer que le courriel avait été automatiquement effacé. Les failles dites “zero day”, qui n’ont jamais été documentées auparavant, sont rares sur iOS. Elles sont le plus souvent découvertes par des experts qui les revendent sur des marchés spécialisés, où elles s’échangent pour de très fortes sommes. Dans la plupart des cas, l’exploitation de ces failles est un processus complexe et coûteux : la majorité des acheteurs de ce « produit » très particulier sont des services de renseignement, des groupes mafieux ou des entreprises du secteur de l’espionnage.

Le siège d'Apple à Cupertino, en Californie

Dossier(s): Sécurité IT Tags:

Le projet de loi EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies – Loi sur l’élimination des négligences abusives et rampantes des technologies interactives) est un projet de loi déposé en mars qui vise à réduire les protections légales des applications et des sites Web dont le but déclaré est d’éradiquer l’exploitation des enfants en ligne. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l’article 230 de la Communications Decency Act, qui protège les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs. Plusieurs organisations et législateurs s’opposent à cette nouvelle loi. De son côté, Signal a averti mercredi 8 avril qu’une éventuelle adoption de cette loi saperait le chiffrement de bout en bout. Dans un billet sur son blog, Signal a déclaré qu’en cas d’adoption du projet de loi, l’application serait dans l’obligation de quitter le marché américain. En plus de l’ensemble de personne qui, à travers le monde, utilisent Signal, cette application est recommandé par l’armée américain et est également utilisé par des sénateurs américains ainsi que des membres de la Commission Européenne.

Signal

Signal

Le 31 mars, en plein confinement, Proximus dont l’État belge est le principal actionnaire, annonce le déploiement d’une 5G light sur des fréquences inutilisées de la 3G, dans 30 communes belges. Cela alors que les enchères pour la 5G n’ont pas encore été ouvertes en Belgique, que les normes diffèrent selon les régions, et que le débat sur les conséquences de la 5G en terme de santé publique est loin d’être fini. Une internaute bruxelloise lance une pétition en ligne qu’elle adresse au gouvernement belge et intitule « Pas de 5G ». Le soir-même, 30.000 personnes l’ont signée. Dix jours plus tard, 105.000 signatures sont recueillies. Mais le 10 avril au matin, ceux qui veulent trouver la pétition se voient dire que la page est introuvable. En réalité, la pétition (dont le texte est encore accessible ici via le cache de Google) a été supprimée parce  « qu’une partie du contenu de votre pétition enfreint le règlement de la communauté ».

Cet épisode met une nouvelle fois en lumière la fragilité des initiatives politiques face aux grandes plateformes Internet – à l’image de Change.org qui, malgré sa mission de « donner à toute personne le pouvoir de créer le changement qu’elle souhaite voir », est avant tout une entreprise commerciale. La plateforme californienne revendique à ce jour 359.920.771 utilisateurs dans 196 pays. Parmi ses sources de profit: la revente des adresses mail des signataires de pétitions et leur profilage en fonction de leurs opinions politiques. Oxfam a reconnu acheter de telles données à Change.org (pour relancer les signataires avec des demandes d’argent). Change peut vendre (ou à déjà vendu) les listes de signataires à des sociétés de publicité au service d’entreprises dénoncées par les pétitions pour définir et affiner des opérations de relations publiques annulant l’effet des dénonciations… Change peut les vendre aussi au au “destinataire de la pétition”. Le règlement européen sur la protection des données entrera en vigueur à la fin du mois de mai 2018 entravera cette politique (un onglet devrait permettre d’activer/désactiver l’autorisation d’utilisation des données) sans la supprimer tout à fait.

Capture d'écran de change

Même brisé, brûlé, fondu, percé, noyé, cuit, le smartphone peut quand même livrer ses secrets selon le NIST, l’agence technologique du département du Commerce des États-Unis. Même s’il ne peut être allumé ou branché à un ordinateur, un téléphone mobile très endommagé garde bien souvent en mémoire les données enregistrés sur ses circuits imprimés. Le NIST a utilisé une cinquantaine de téléphones sous Android et iOS, ajoutant et supprimant des données au fil de leur utilisation, puis a tenté d’en détruire certains. Ses techniciens ont ensuite principalement pratiqué deux méthodes pour récupérer les données “supprimées”. La première, celle du “J-Tagging”, consiste à retrouver le “tap” ou port d’accès de test de l’hardware de l’appareil. Chaque circuit intégré (des téléphones autres que des iPhones) respecte un “JTAG”, un standard de fabrication. Celui-ci se caractérise par un port spécial, utilisé uniquement par les fabricants pour tester le fonctionnement des circuits intégrés. Les experts du NIST et de la police scientifique sont capables de détourner ce “tap” pour accéder à l’ensemble des données gravées sur le circuit grâce à des logiciels d’interprétation. L’autre méthode dite du “chip-off” consiste à broyer les puces présentent sur un circuit intégré pour atteindre ses broches et ainsi atteindre le circuit intégré sous-jacent. Ces méthodes physiques ont donné accès à bien plus d’informations que si un logiciel d’extraction avait été utilisé.

illustration

Les services de police aux États-Unis accordent une grande importance à la possibilité d’accéder aux données contenues dans les smartphones (voir notre article) ces données pouvant notamment être utilisées comme preuves devant un tribunal. Si les enquêteurs semblent parvenir à accéder aux données contenues dans les iPhones, l’opération serait de plus en plus difficile en ce qui concerne le cryptage Android (jusqu’à il y a un an la situation était inversée). Par exemple, Cellebrite, l’une des sociétés les plus importantes que les agences gouvernementales embauchent pour craquer des smartphones, possède un outil de piratage qui peut pénétrer dans n’importe quel iPhone,  y compris l’iPhone X. L’outil extrait des données telles que les enregistrements GPS , des messages, des journaux d’appels, des contacts et même des données provenant d’applications spécifiques telles qu’Instagram, Twitter, LinkedIn, etc.

Cependant, ce même outil de cracking Cellebrite a beaucoup moins de succès avec le cryptage Android installé sur des modèles de smartphone couramment utilisés. Par exemple, l’outil n’a pas pu extraire de données de médias sociaux, de navigation Internet ou de GPS à partir d’appareils tels que le Google Pixel 2 et le Samsung Galaxy S9. Dans le cas du Huawei P20 Pro, le logiciel de craquage n’a littéralement rien obtenu. Notons cependant que le cryptage Android n’est pas à toute épreuve. Le processus nécessite simplement plus de main-d’œuvre, de temps et de ressources.

android-nypd.jpg