Une équipe de recherche au Canada, a récemment mis en évidence une faille de sécurité qui permet de suivre les déplacements de certains objets — et par extension, des personnes qui les portent — à travers un mur. L’appareil, baptisé Wi-Peep, est un petit circuit imprimé muni d’une interface Wi-Fi et de quelques autres capteurs tout ce qu’il ya de plus courants (l’ensemble du matériel nécessaire coûte moins de 20 $ et un programmeur avec un minimum d’expérience peut en concevoir le logiciel).  Lorsqu’un réseau est contacté, l’appareil en question ne peut s’y connecter que s’il est authentifié — si l’utilisateur dispose du mot de passe. Dans le cas contraire, le réseau ne reste pas complètement muet. Il renvoie quelques bribes de données en retour, notamment pour indiquer que l’authentification a échoué.

C’est ce comportement, surnommé « politesse du Wi-Fi », que les chercheurs ont su exploiter. Ils ont monté leur Wi-Peep sur un petit drone qui se déplace le long de la façade d’un bâtiment en bombardant tous les points d’accès du réseau de requêtes. Comme il ne dispose pas du mot de passe, il reçoit donc des  réponses négatives. Il mesure alors le temps de réponse associé à chaque signal collecté à partir d’un endroit différent et procéde à de la triangulation. Cela lui permet de déterminer la position physique de chacun de ces appareils avec une marge d’erreur d’un mètre, même à travers un mur opaque et épais. Cela pourrait permettre à des personnes d’ausculter un domicile à la recherche de TV connectées ou d’ordinateurs portables, et/ou de repérer certains systèmes de surveillance et d’alerte. Un tel système peut suivre des personnes physiques à la trace en suivant leurs smartphones ou leurs montres connectées. L’équipe de recherche a proposé une contre-mesure: les fabricants de puces Wi-Fi pourraient introduire des variations aléatoires du temps de réponse, ce qui diminuerait grandement la précision de la triangulation. Reste à voir si les fabricants tiendront compte de ces travaux lors du déploiement du Wi-Fi7, qui devrait commencer en 2024.

Un homme interpellé en possession de cannabis a refusé, pendant sa garde à vue, de donner les mots de passe de ses deux téléphones portables. Il est renvoyé en correctionnelle pour cette affaire, mais aussi pour avoir refusé de remettre la « convention secrète de déchiffrement d’un moyen de cryptologie » susceptible d’avoir été utilisée pour commettre l’infraction, un délit passible de trois ans d’emprisonnement. Le tribunal correctionnel de Lille, puis la cour d’appel de Douai l’avaient relaxé de cette dernière infraction, considérant que le code n’était pas une « convention de déchiffrement », car il ne servait pas à décrypter des données mais uniquement à débloquer un écran d’accueil. Saisie une première fois, la chambre criminelle de la Cour de cassation censure en 2020 la décision de la cour d’appel, estimant qu’elle a eu un raisonnement « général et erroné ». L’affaire est renvoyée à la cour d’appel de Douai qui refuse, en 2021, de suivre cette jurisprudence et confirme la décision de relaxe.

Après un pourvoi du parquet général, c’est en assemblée plénière que la Cour de cassation a réexaminé cette question le 14 octobre. La haute juridiction a a statué, lundi 7 novembre que, dès lors qu’un téléphone portable était équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil pouvait constituer une « clé de déchiffrement » si « l’activation de ce code a[vait] pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès ». Son détenteur est donc tenu de donner aux enquêteurs le code de déverrouillage. En cas de refus, le suspect commet l’infraction de « refus de remettre une convention secrète de déchiffrement ».

 

Après des semaines de déni, le gouvernement grec a dû reconnaître que les services de Renseignements (l’EYP) ont espionné un eurodéputé, et probablement des journalistes en infectant leurs téléphones avec un logiciel d’espionnage, le Predator. Tout commence le 28 juin dernier, un eurodéputé socialiste soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté. Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie. Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données. Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé. Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

Selon une enquête du Conseil irlandais pour les libertés civiles (ICCL), basée sur des chiffres publics, mais aussi certaines sources confidentielles portant sur l’ampleur du RTB (real-time bidding), Google et les autres grands acteurs tech nous géolocalisent presque en permanence. Particulièrement en cause, le RTB qui est un type de publicité reposant sur la mise aux enchères d’un espace de diffusion.

Concrètement, lorsqu’un utilisateur consulte une page web avec un encart publicitaire, son profil est automatiquement analysé par différents annonceurs potentiels, qui ont alors accès à plusieurs informations le concernant, et notamment sa géolocalisation. En croisant un certain nombre de données, les entreprises se livrent alors à une vente aux enchères, qui déterminera par la suite quelle publicité afficher en fonction du profil utilisateur, et du prix mis sur la table. Cette opération ne prend que quelques centaines de millisecondes.

Google partagerait ainsi 71 milliards de géolocalisations RTB en Europe chaque année. Un Européen est donc géolocalisé en moyenne 376 fois par jour. Et ce chiffre est de moitié inférieur à celui enregistré aux États-Unis, où aucun règlement ne garantit la sécurité des données en ligne. Selon l’ICCL, ces résultats sont d’autant plus inquiétants qu’ils pourraient être loin de la réalité. Les chiffres du rapport indiquent en effet qu’il s’agit là d’une “estimation basse”, qui n’inclut pas les diffusions RTB de Facebook ou Amazon.

Lire l’étude de l’ICCL

Dossier(s): Sécurité IT

Une équipe internationale de chercheurs français, israéliens et australiens vient de développer une technique capable d’identifier des utilisateurs sur la base d’une “empreinte” laissée par le GPU (puce disposée sur la carte graphique) de leur système. Sur une chaîne de production, il est impossible d’obtenir deux éléments parfaitement identiques. Au niveau des cartes graphiques, cela se traduit par de petites variations au niveau des performances. Souvent négligeables en pratique, elles peuvent toutefois être quantifiées par des outils d’analyse très précis.

C’est ce qui a été exploité par ces chercheurs qui ont développé un script qui fait tourner des petits bouts de code sur des sous-unités précises du GPU. Or, à cause des petites différences liées au processus de production, chaque sous-unité affiche des performances très légèrement différentes. Ces dernières sont alors compilées pour en extraire une sorte d’empreinte digitale unique. Celle-ci permet ensuite d’identifier individuellement une unité… et donc théoriquement de suivre l’utilisateur à la trace. Et cela concerne aussi les appareils équipés de cartes dédiées que de GPU intégrés, comme les smartphones, Chromebooks, et autres appareils plus modestes. Et comme il s’agit d’une empreinte basée presque entièrement sur des paramètres physiques, elle est particulièrement stable, et donc exploitable sur une longue durée.

pour en savoir plus

Les différences de performances entre deux GPU, synthétisées sous forme de graphique

Dossier(s): Sécurité IT

La police de Santa Clara avait besoin d’informations sur un utilisateur de Signal dans le cadre d’une enquête. Les agents avaient donc demandé à la messagerie le nom, l’adresse postale, le numéro de téléphone, l’adresse IP et même les heures de connexion du suspect. Autant de données que Signal n’a pu délivrer, ne les ayant pas elle-même. La messagerie, chiffrée de bout en bout, ne stocke tout simplement pas les informations personnelles de ses utilisateurs. « Nous voici au second semestre 2021 », a ainsi expliqué Signal sur son blog, « Signal ne sait toujours rien de vous, mais le gouvernement continue de demander. » « Le vaste ensemble d’informations personnelles qui sont généralement faciles à récupérer dans d’autres applications n’existe tout simplement pas sur les serveurs de Signal », rappelle Signal. La messagerie a précisé qu’elle n’avait pas accès aux messages, à la liste de discussion, aux groupes, aux contacts, aux noms de profil ou avatar ou même aux GIF recherchés par ses utilisateurs. Les seules informations qu’elle peut fournir sont la date de création du compte et la dernière connexion de l’utilisateur.

Menée dans le cadre d’Europol en coordination avec Eurojust, une opération a visé le Dark Web. Baptisée « DarkHunTOR », elle a consisté en une série d’actions menées en Australie, Bulgarie, France, Allemagne, Italie, Pays-Bas, Suisse, Royaume-Uni et États-Unis. Aux États-Unis, quelque 65 personnes ont été arrêtées, 47 en Allemagne, 24 au Royaume-Uni, quatre en Italie et quatre aux Pays-Bas. Les forces de l’ordre ont entre autres saisi 26,7 millions d’euros en numéraire et monnaies électroniques, 25 000 comprimés d’ecstasy, 45 armes à feu, etc. En Italie, la police a également fermé des places de marché illégales nommées « DeepSea » et « Berlusconi » qui présentaient à elles deux plus de 100 000 annonces de produits illégaux.

L’opération faisait suite au démantèlement en janvier sous la conduite de la police allemande de la plateforme « DarkMarket », présentée alors par les enquêteurs comme le « plus vaste » point de vente du Dark Web, était lié à un coup de filet remontant à septembre 2019 en Allemagne contre un important hébergeur de services illégaux du Dark Web. Ce datacenter illégal était installé dans un ancien bunker de l’Otan dans le sud-ouest de l’Allemagne.

This, Jane, is the internet

Dossier(s): Sécurité IT Tags:

Un nouveau projet de loi du gouvernement fédéral prévoit d’obliger les fournisseurs de services de télécommunication de permettre aux forces de l’ordre (police, justice, sécurité de l’Etat…) de déchiffrer ce qui est échangé dans les applications de messageries cryptées de type Whatsapp ou Signal par certains utilisateurs spécifiques. Autrement dit, les fournisseurs de services seront obligés de « désactiver » le cryptage pour des utilisateurs visés par des enquêtes policières et judiciaires.

Le problème généralement soulevé, c’est qu’il n’existe aucun moyen de simplement « désactiver » le cryptage pour certains utilisateurs. Par conséquent, c’est l’ensemble des communications cryptées qui deviendra accessible, et non plus exclusivement celles de personnes qui intéressent la police et la justice. Certains dénoncent que l’affaiblissement du cryptage rendra les Belges beaucoup plus vulnérables aux attaques malveillantes. La protection de la vie privée est aussi évoquée. Cinquante ONG, universités et entreprises impliquées dans la protection de la vie privée et le cryptage ont publié une lettre ouverte contre le projet de loi. L’autorité belge de protection des données a déjà fait part de ses vives préoccupations dans un avis antérieur sur le projet de loi.

Mais surtout et plus fondamentalement, comme de nombreuses propositions de lois du même genre, celle-ci ne semble pas comprendre les techniques et technologies impliquées ni proposer de solution réaliste à son application.

Dossier(s): Sécurité IT Tags:

Il y a quelques jours, nous avons relayé le fait que Protonmail avait fournit des informations à la police française via une demande Europol vers la Suisse, dans le cadre d’une enquête contre les occupant·e·s d’un bâtiment de la place Sainte Marthe, militant·e·s pour le climat. Les adresses IP n’étant effectivement pas enregistrées par défaut par Protonmail, la société a activé l’enregistrement d’IP pour l’adresse e-mail visée par le mandat.

Protonmail a depuis réagi à l’information en déclarant avoir agit dans le cadre de ses obligations vis à vis de la loi suisse et de ses propres conditions d’utilisation, qui précisent que les IP ne sont pas enregistrées « par défaut » mais qu’elles peuvent être enregistrées pour des adresses spécifiquement visées par une requête légale. Protonmail suggère à ses utilisateurs et utilisatrices qui auraient des besoins « spécifiques » en matière de vie privée d’utiliser le site .onion, accessible uniquement via TOR. Il est toutefois toujours impossible d’ouvrir un nouveau compte sans devoir fournir un numéro de téléphone ou de carte de crédit.

Les protocoles e-mail sont réputés pour être des technologies fondamentalement difficiles à sécuriser. Auparavant, la seule façon de garantir le chiffrement de ses e-mails était d’utiliser le logiciel OpenPGP, mais là encore avec une immense faille puisque la plupart des méta-données (émetteur, destinataire, sujet, date et heure) sont très difficiles ou impossibles à chiffrer, dû au fonctionnement même des e-mails. En plus de ça, OpenPGP est difficile à utiliser, et encore plus à utiliser collectivement avec des personnes aux compétences informatiques variables. L’arrivée de fournisseurs d’e-mails chiffrés associatifs (comme Riseup) ou commerciaux (comme Protonmail ou Tutanota) a massivement augmenté la facilité d’utilisation du chiffrement des e-mails, comparés aux fournisseurs classiques comme Gmail et Outlook. Le fait que le contenu des e-mails n’ait pas pu être transmis à la police française est donc un point important à noter. Protonmail n’est pas anonyme (pas plus que Tutanota qui peut également être légalement forcé d’enregistrer l’adresse IP d’un utilisateur spécifique, par la justice allemande). L’utilisation d’un bon VPN ou de TOR est la seule façon d’être anonyme vis-à-vis de son fournisseur d’accès à internet ou des sites web visités.

Ces dernières années ont enfin vu se développer de nouveaux protocoles de messagerie chiffrée comme Signal ou Session qui permettent le chiffrement de la quasi-totalité des méta-données par défaut. Contrairement à OpenPGP qui utilise toujours la même clé pour chiffrer, ces nouveaux protocoles utilisent de nouvelles clés pour chaque message.

Malgré le fait que Protonmail est transmis cette information, il est toujours préférable d’utiliser un tel service plutôt qu’un fournisseur d’e-mail classique, en gardant à l’esprit que contrairement à Signal, les méta-données des e-mails ne sont généralement pas chiffrées. En toutes circonstances, sur tous les appareils que vous utilisez (smartphones, tablettes, ordinateurs) et pour toute activité sur le web, nous recommandons fortement l’utilisation d’un VPN réputé en matière de vie privée comme Mullvad, ou de TOR.