Des développeurs du plus célèbre des moteurs de recherches de fichiers .torrent viennent de lancer « Njalla » un fournisseur de noms de domaines qui permet à ses clients de ne fournir ni nom, ni adresse e-mail. Le « truc » est que le domaine appartient sur le papier à Njalla, mais la gestion est laissée entièrement à l’acheteur. Les membres de Pirate Bay expliquent qu’ils ne pouvaient pas trouver un fournisseur de noms de domaines qu’ils avaient envie d’utiliser, ils ont donc décidé de l’ouvrir. Njalla précise qu’il ne donnera pas les données de ses clients à moins d’y être forcé, il accepte les paiements en bitcoins et via paypal, il est possible de communiquer avec eux via e-mail et xmpp, ils disposent d’une clé pgp. Les sites d’extrême-droite sont interdits ainsi que ceux « qui affectent la santé ou la sécurité d’autrui ». Les domaines coûtent entre 15€ et 60€ selon le tld (.be, .fr, .com,…) Ils peuvent êtres transférés vers et depuis Njalla à tout moment.

« Pensez à nous comme votre ami un peu saoul (mais toujours responsable) qui prendra les coups pour vous. Aussi longtemps que vous restez dans les limites raisonnables de la loi et que vous n’êtes pas d’extrême-droite, nous soutiendrons votre liberté d’expression, vos étranges opinions politiques, vos forums excentriques, ou peu importe quoi d’autre ».

La version 2.12 vient d’être publiée sur le site officiel de Tails. Comme nouveautés: GNOME Sound Recorder a été ajouté dans la liste des programmes, I2P a été retiré (au moins temporairement, le temps qu’un développeur puisse se concentrer sur ce logiciel), le noyau Linux a été mis à jour vers Tails 4.9.13. La prochaine version de Tails sera normalement Tails 3.0, ce qui en fera une version majeure, elle devrait sortir le 13 juin.

Tails « The Amnesiac Incognito Live System » est un système d’exploitation live, ce qui signifie qu’il s’installe sur un DVD ou une clé USB plutôt que sur le disque dur d’un ordinateur. On peut ainsi démarrer un ordinateur sur ce système, et une fois ceci fait toutes les connexions sont redirigées via Tor, le système d’exploitation habituel de l’ordinateur n’est pas solicité, on peut également stocker de façon sécurisée des données sur la clé USB où Tails est installé. Tails sera le sujet de notre Cryptoparty de ce dimanche 23 avril. De 16h à 18h, atelier Tails, de 18h à 20h session libre. Venez et n’oubliez pas de prendre au moins une (si possible 2) clé usb avec vous, d’au minimum 4Go.

Quoi ?
La cryptoparty est un évènement qui a pour but d’encourager le chiffrement, la protection de la vie privée et l’anonymat. Elle est ouverte à tout le monde, quels que soient le niveau technique et les attentes.

Où ?
Au Sacco-Vanzetti, 54 Chaussée de Forest à 1060 Saint-Gilles. Wifi, café et boissons sur place.

Pourquoi ?
Alors que la surveillance généralisée est avérée et que des outils simples et gratuits existent, ils restent sous-utilisés. L’évenement est organisé par le Secours Rouge, qui encourage depuis plusieurs années l’utilisation du chiffrement dans le milieu militant.

Comment ?
Tout ce dont vous avez besoin est un ordinateur portable, une tablette ou un smartphone. Si vous avez des questions que vous n’avez jamais osé poser, si vous avez des réponses que vous n’avez jamais osé partager, si vous avez envie de participer à des discussions sur la pratique militante de la sécurité informatique, ou si vous avez juste envie de boire un café, la Cryptoparty est ce que vous cherchez.

Quand?
La seconde Cryptoparty aura lieu ce dimanche 23 avril de 16h à 20h. La première partie (16h-18h) sera consacrée à Tails. Munissez vous d’une ou deux clés USB de minimum 4Go.

Trois explosions ont frappé un bus de joueurs de l’équipe de Dortmund hier soir. une lettre de revendications, vraisemblablement islamiste, a été retrouvée rapidement sur place. Mais une autre revendication signée « Antifa » a été postée sur Indymedia Linksunten un peu plus tard, à 23h53, intitulée « Attaque sur le bus BVB » et imitant maladroitement le style des communiqués antifas. Le message a très rapidement été supprimé par les modérateurs de la plateforme, mais le site d’extrême-droite pi-news (« politicaly incorrect ») a reposté la capture d’écran de la revendication en prétendant qu’elle était authentique. La police a annoncé qu’elle enquêtait également au sujet de cette revendication, et la presse a massivement relayé la « fake news ».

Edit 15h: Le parquet allemand a déclaré au sujet de la fausse revendication: « Après un premier examen, nous avons de très sérieux doutes sur son authenticité ».

Depuis l’attentat du 22 novembre à Londres, les eurocrates repartent à l’assaut des applications de messagerie chiffrée. Après avoir affirmé que l’auteur de l’attaque était un « loup solitaire », ils arguent que Whatsapp est une « niche de protection pour les terroristes ». La Commission européenne lancera en juin une offensive visant à obtenir des accès backdoors sur ces applications. La commission travaille sur plusieurs plans, allant du passage d’accords individuels avec chaque éditeur de logiciel, jusqu’à la législation brute. Ces options seraient en fait plutôt des étapes: des contrats seraient passés pour maintenir l’espionnage en attendant une loi.

D’énormes embuches se trouvent toujours sur le chemin de ceux qui voudraient réguler les applications sécurisées: les backdoors une fois créées seront immanquablement utilisées par d’autres oreilles que celles des gouvernements et la sécurité globale affaiblie. Des applications extrêmement efficaces comme Signal ne « cachent » pas le contenu échangé par leurs utilisateurs, ils ne le possèdent tout simplement pas. Une véritable mainmise du chiffrement n’est donc probablement pas encore à portée de main pour les législateurs européens.

Une équipe de chercheurs de l’Université Baptiste de Hong Kong a développé un nouveau système d’identification biométrique qui s’appuie sur le mouvement des lèvres lorsque le mot de passe est énoncé. Dans sa base de données, on retrouve des informations concernant la texture des lèvres, leurs formes et la vitesse de leurs mouvements. Pour pouvoir s’authentifier, il suffira de prononcer son mot de passe devant l’appareil : Le système est capable de distinguer le même mot de passe prononcé par deux personnes différentes.

Ce système biométrique serait plus efficace que les systèmes précédents. L’inconvénient principal des empreintes digitales est d’empêcher toute forme de renouvellement en cas de vol de donnée. Dans le même ordre, l’activation vocale est parasitée par les bruits environnants. Et cette nouvelle reconnaissance biométrique ne rejette pas non plus à la marge des personnes pouvant souffrir d’une élocution ou d’une ouïe défaillante. La barrière de la langue est également un obstacle qu’elle permet de surmonter. Les concepteurs pensent que cet outil pourrait parfaitement s’intégrer aux systèmes de reconnaissance faciale pour faire d’une pierre deux coups…

Une mise à jour majeure de l’application de messagerie sécurisée Signal a été publiée. Le plus gros changement visible: les appels sont beaucoup plus stables et légers et permettent la vidéo à présent. Signal a transité vers la technologie WebRTC pour ce faire. Cela implique un autre changement: les services Google Play ne sont plus requis, il reste recommandé de télécharger Signal via le Play Store (afin par exemple de profiter des mises à jour de sécurité aussitôt qu’elles sont publiées, mais les fichiers APK sont également disponibles à l’adresse suivante. Note: ne téléchargez jamais un APK de Signal en-dehors du site officiel de Signal.

Autres changements au menu: sur iOS (ce changement est déjà disponible sur Android), Signal utilise désormais CallKit, une API (interface) d’Apple qui permet à Signal de se comporter comme l’application téléphone par défaut. On peut désormais répondre aux appels directement depuis l’écran de verrouillage. Les appels sont inscrits dans le journal d’appel par défaut, etc. Pour protéger les utilisateurs qui synchronisent leur journal d’appel sur iCloud, le nom de l’appelant est par défaut « Signal User », cela peut être changé dans les paramètres.

Troisième changement, pour accélérer les appels Signal et diminuer la latence, les appels peuvent désormais être téléchargés en peer-to-peer, ce qui implique qu’un attaquant peut tenter de localiser une personne en l’appelant. L’utilisation du peer-to-peer ne se fera que dans deux cas: si l’utilisateur fait l’appel (donc qu’il ne le reçoit pas) ou s’il reçoit un appel de quelqu’un dans son carnet d’adresses.

Moxie Marlinspike, le fondateur et principal développeur de Signal a été interviewé par la radio NPR aux Etats-Unis. Lors de cette interview, Moxie a mis en évidence plusieurs choses. Premièrement, que le fait que la CIA contourne tout le système Android pour pouvoir accéder à des conversations chiffrées à posteriori, sans arriver à casser le chiffrement en lui-même « Si vous envoyez un message chiffré et que quelqu’un regarde par dessus votre épaule le chiffrement n’aide pas non plus ». Il met également en évidence qu’il ne s’agit pas de surveillance de masse et que la CIA doit avoir des cibles précises dans ce cas précis « Ce n’est pas comme si un agent de la CIA appuyait sur un bouton et avait soudainement accès à votre téléphone. Vous auriez été impliqué auparavant, par exemple en étant incité à installer une app de la CIA, ou à cliquer sur un lien et à installer quelque chose par là. Ce n’est pas de la surveillance de masse et c’est une distinction importante ». Lorsqu’on lui demande si des améliorations liées à la sécurité auront lieu à cause de ces révélations « Les vulnérabilités sont dans des choses comme Android. En outre, les révélations de ce dossier ne sont jusqu’ici pas très impressionnantes, techniquement. C’était embarrassant pour la CIA que ces informations sortent, mais c’était aussi embarrassant que ce soit ça leur niveau de sophistication. On pourrait penser que la CIA a des capacités incroyables alors que je pense que la vérité est toute autre. » Il apparait en effet que de nombreuses failles que la CIA utilise, par exemple pour cibler des appareils Android, ont déjà été corrigées (même si, vu la lenteur des constructeurs à déployer les mises à jour de sécurité, cela concerne tout de même de très nombreux appareils). La totalité de l’interview peut être lue et écoutée en anglais ici.

Nous continuons à conseiller l’utilisation de l’application de messagerie sécurisée Signal, le fait que la CIA doive contourner tout le système Android pour réussir à obtenir des messages est d’ailleurs un nouvel argument pour l’utiliser. Pour télécharger Signal, visitez signal.org

Cette série d’article est consacrée à « Vault 7 », une longue série de documents fuités par Wikileaks et concernant la CIA et ses immenses capacités d’espionnages. Lire la première partie, concernant les failles 0Day ici.

Les backdoors sont des accès cachés à l’utilisateur, dans une application afin de prendre le contrôle d’un système. On accuse régulièrement des éditeurs de logiciels (Google, Apple, Microsoft,…) de mettre des backdoors en place pour permettre aux renseignements d’accéder aux données des utilisateurs. Mais lorsque ces éditeurs deviennent frileux (c’était, au moins en apparence, le cas après les révélations de Snowden, la vie privée était devenu un argument marketing), les agences de renseignements peuvent tenter d’infiltrer un développeur dans une société informatique ou de soudoyer quelqu’un qui y travaille afin de mettre en place une backdoor à l’insu même de l’éditeur. Ces faits sont confirmés par les documents de Vault7.

Un autre type d’attaque consiste à attaquer des ordinateurs qui ne sont pas connectés à internet. A cette fin, plusieurs attaques ont été imaginées. L’une d’entre elles est un ensemble d’applications portables vérolées (comme VLC, Chrome, Thunderbird, 7Zip…) qui, une fois placée sur une clé USB, seront lancées sur l’ordinateur de la cible. Tout en se lançant normalement, elles extrairont des données vers la clé USB. La CIA a également développé un système pour infecter des CD et DVD « vierges » sans que cela ne soit détecté par le logiciel de gravure.

La CIA a également développé énormément d’attaques visant les appareils sous android. Par exemple, la faille Spottsroide permet d’activer le mode « Moniteur Wifi » d’un appareil et ainsi de voler des données circulant sur un réseau wifi (et donc, possiblement depuis d’autres appareils connectés sur le même réseau. Spottsroide pouvait entre autres être activé à travers le lecteur de musique Apollo (installé par défaut sous les roms Cyanogenmod).

Le cadre légal qui entoure les agences américaines a été modifié suite à l’affaire Snowden. Les agences sont théoriquement obligées de rapporter les failles informatiques dont elles connaissent l’existence afin d’éviter qu’elles ne servent à une puissance « ennemie ». La CIA a créé un réseau interne à elle-même afin de dissimuler ces failles, un comportement dangereux compte tenu du nombre de personnes qui avaient accès à ces failles (5000 à la CIA, plus les personnes qui ont découvert ces failles en-dehors de l’agence). D’autres scandales politiques couvent après la révélation des documents: on y découvre par exemple que la CIA, lorsqu’elle ne peut pas rester indétectable en faisant une cyber-attaque, laisse des traces numériques caractéristiques d’autres agences, et fait croire que l’attaque a été opérée par un autre pays (nommément, la Russie).

La nouvelle version du système d’exploitation ultra-sécurisé Tails est sortie ce 8 mars. Au menu des changements: Tails 2.11 sera la dernière version à supporter I2P, un réseau d’anonymisation autrefois beaucoup plus populaire (qui n’a plus été mis à jour depuis un an). Tails explique cette fin de support par le temps et le risque que prennent le maintien de tels logiciels. Tails a d’abord tenté de trouver un développeur pour s’en charger. Tails maintient cependant que si un développeur veut s’en charger, il sera le bienvenu.

Autres changements: les utilisateurs utilisant un processeur 32-bit seront avertis qu’ils ne pourront pas utiliser la version 3.0 de Tails (qui sera la prochaine grosse mise à jour de fond). Tor Browser et le noyau Linux ont été mis à jour, des fouilles ont été bouchées et d’autres modules du noyau de Linux pour des protocoles réseaux rares ont été désactivés.

La prochaine version Tails 2.12 est prévue pour le 18 avril prochain environ.