Une équipe de sécurité informatique du ministère américain de la sécurité intérieure (CERT) a publié une alerte après l’annonce qu’Apple, qui a développé ce logiciel, n’allait plus mettre à jour les défenses de QuickTime et que le programme présentait deux vulnérabilités qui pourraient être exploitées par des cyberpirates. L’exploitation de vulnérabilités de QuickTime pour Windows pourrait permettre à des attaquants de prendre le contrôle à distance des systèmes affectés. Selon le CERT, la seule réduction des risques disponible est de désinstaller QuickTime pour Windows. Le conseil ne s’applique pas aux versions de QuickTime fonctionnant sur des ordinateurs Apple.

CERT

Depuis que Mozilla souhaite se concentrer uniquement sur le navigateur Firefox, Thunderbird est laissé dans un relatif abandon où ce sont surtout les failles de sécurité qui sont bouchées, de « nouvelles » fonctionnalités (agenda, gestion de contacts,…) sont ajoutées de temps à autres alors que l’utilisation du programme souffre de nombreux bugs et lenteurs qui font espérer que Thunderbird soit bientôt repris par une autre association.

Thunderbird vient toutefois de passer en version 45, cette mise à jour devrait régler plusieurs bugs, et espérons le rendre le logiciel utilisable en évitant la crise de nerfs. Si votre version ne se met pas à jour (encore un bug courant, pour vérifier voyez la capture d’écran), vous pouvez vous rendre sur le site de Thunderbird pour télécharger la dernière version que vous n’aurez qu’à exécuter pour forcer la mise à jour.

Si les utilisateurs de MacOS et de Linux peuvent se consoler en utilisant d’autres logiciels de messageries qui supportent le chiffrement OpenPGP, Thunderbird est malheureusement sans alternative crédible sur Windows à l’heure actuelle.

Vérifier votre version de Thunderbird.

Des documents judiciaires publiés au Canada montrent que la police montée et la gendarmerie canadiennes ont pu, dans le cadre d’une très vaste enquête sur le crime organisé, intercepter des BBM. Les BBM (« BlackBerry Messages ») sont envoyés par le biais d’une application exclusive aux téléphones BlackBerry, et sont chiffrés pour rendre leur interception et leur lecture extrêmement difficile. Pour décoder ces messages, tous les téléphones de l’entreprise sont équipés d’une clé générale mais secrète – sauf dans le cas des utilisateurs de Business enterprise servers, une version destinée aux grandes entreprises qui permet de changer cette clef.

En 2010, la police fédérale canadienne avait lancé une gigantesque opération de lutte contre le crime organisé. Dans le cadre de l’enquête, plus d’un million de messages ont été interceptés. Parmi eux, de nombreux BBM qui ont pu être décodés par les enquêteurs. Ni BlackBerry ni la police n’ont confirmé avoir utilisé la clé globale pour ce faire, mais le ministère public canadien a reconnu son utilisation. Les forces de l’ordre ont demandé et obtenu le droit de ne pas détailler la technique utilisée pour déchiffrer ces messages. Il est probable que les polices canadiennes disposent, encore aujourd’hui, de ces clés de déchiffrement, car les modifier est une opération complexe qui doit être réalisée sur l’ensemble des terminaux BlackBerry utilisés.

BBM

TAILS, « The Amnesiac Incognito Live System » est très apprécié des personnes soucieuses de leur anonymat et de leurs données. C’est un système d’exploitation complet à déployer sur un DVD ou sur une clé USB, une fois démarré toutes les connexions passent par TOR. A l’arrêt de la machine, toutes les données qui n’ont pas été sauvegardées dans un éventuel répertoire chiffré sur la clé USB sont détruites.

SubgraphOS, développé par l’association éponyme à Montréal propose lui aussi une distribution linux ultra-sécurisée mais va en théorie plus loin que TAILS. Différence majeure: SubgraphOS peut être installé de façon « permanente », là où TAILS ne peut -par philosophie- qu’être installé sur un support externe. Subgraph propose également un client e-mail et une implémentation d’OpenPGP originales, sans passer par les clients habituels de Linux (Thunderbird et GnuPG)

Pour télécharger et tester Subgraph, c’est ici. Notez que Subgraph n’est disponible que depuis le 16 mars et qu’il reste probablement des failles critiques, il vaut mieux ne pas l’utiliser pour autre chose que du test à l’heure actuelle.

SubgaphOS

L’application Whatsapp (propriété de Facebook), totalisant plus d’un milliard d’utilisateurs actifs vient d’annoncer avoir généralisé le chiffrement bout-en-bout (end-to-end) sur l’ensemble de son réseau, ce qui veut dire qu’en théorie, ni Whatsapp, ni Facebook, ni le FBI, ni personne d’autre que votre correspondant ne peut lire les messages échangés via cette plateforme.

Signal est de plus en plus utilisé par les personnes soucieuses de la confidentialité de leurs communications, il a acquit une certaine crédibilité après avoir reçu les louanges d’Edward Snowden (ce dernier finance d’ailleurs l’app à travers sa fondation). Le protocole de chiffrement de Signal est à présent déployé sur l’un des plus vastes moyens de communication existant à l’heure actuelle (Plus de messages sont échangés chaque jour sur Whatsapp que via SMS par exemple). Il faut garder à l’esprit que si on peut considérer que le contenu des messages et des appels est relativement bien protégé: Whatsapp n’en devient pas anonyme pour autant.

Plus d’infos :
– le post sur le blog de Whatsapp
– le post sur le blog de Signal
– la documentation plus détaillée sur le site de Whatsapp

A billion people just got end-to-end encryption via @WhatsApp.
"Sometimes quantity has a quality all its own. – @yishan
Next: #anonymity?

— torproject (@torproject) 5 avril 2016

Le protocole Signal porté sur Whatsapp

De Google à Facebook en passant par Microsoft ou Yahoo!, de nombreux géants de la Silicon Valley et du secteur technologique soutiennent Apple dans son combat contre la justice américaine qui voudrait l’obliger à déverrouiller ses iPhone. Un communiqué commun de leur lobby, la Computer & Communications Industry Association (CCIA) et d’autres acteurs du secteur devait être déposé jeudi devant la justice californienne, qui s’occupe de ce dossier. La justice américaine a demandé qu’Apple aide le FBI à accéder au contenu d’un iPhone utilisé par l’un des auteurs de l’attentat de San Bernardino, qui a fait 14 morts début décembre en Californie. Dans cette affaire, les parties doivent présenter leurs arguments lors d’une audience devant un tribunal fédéral de Californie le 22 mars.

Lire le communiqué de la CCIA

bannière de la CCIA

Depuis plusieurs semaines, un bras de faire médiatique et judiciaire oppose le FBI à Apple au sujet du chiffrement des iphones. Edward Snowden manquait à ce débat, il s’est finalement exprimé sur le sujet, et a sans surprise mis la police fédérale américaine en accusation. Selon Snowden, le FBI possède déjà de nombreux moyens de déchiffrer un iphone chiffré, en plus de celle que nous vous avions expliqué ici, le FBI aurait pu accéder à la sauvegarde iCloud de l’iphone, extraire physiquement la puce de l’iphone (nécéssitant une perceuse et de l’acide, mais rien que le Bureau ne puisse pas trouver), ou réinitialiser le compteur de tentatives échouées.

Le but du FBI n’est donc pas de déverrouiller le seul iphone du tueur de San Bernardino, mais de se faciliter le travail pour tous les cas futurs en créant un cadre technologique et une jurisprudence qui lui serait favorable. De plus, en s’attaquant à un géant comme Apple, le FBI se garantirait que les sociétés « plus petites » ne pourraient pas refuser de collaborer.

Snowden pense que le FBI

L’année dernière, la boite d’espionnage informatique privée Hacking Team avait fait parler d’elle en se faisant déposséder de tous ses fichiers par des hackers plus malin qu’elle. Voir nos précédents articles. Apparemment, ce piratage n’aura pas été fatal pour la firme italienne, puisqu’un nouveau spyware dirigé contre Mac OSx a été découvert via la plateforme antivirus de Google « VirusTotal« . La signature numérique correspond à celle de Hacking Team et a été faite trois mois après la grande fuite de données, ce qui indique non seulement que ce n’est pas un bout de code utilisé par quelqu’un qui aurait récupéré ceux de Hacking Team, mais également que la société continue d’utiliser son ancienne plateforme vérolée.

Selon les quelques ingénieurs qui se sont penchés sur le spyware uploadé sur VirusTotal, le code n’a rien d’impressionant, il utilise quelques techniques de dissimulation supplémentaires que celles utilisées auparavant. Le spyware a déjà été rajouté dans les bases de données de plusieurs antivirus (19 sur les 55 contrôlés par VirusTotal).

La fiche dédiée chez VirusTotal.

Durant ce week-end, des hackers ont pris le contrôle de l’une des distributions Linux les plus populaires, à savoir Linux Mint. Les hackers ont laissé le site tel quel mais ont modifié le fichier correspondant à l’édition Cinnamon de la distribution en y incluant une backdoor qui connecte l’utilisateur à un site appelé « Absentvodka » en Bulgarie. Si vous avez téléchargé Linux Mint Cinnamon ce 20 février, il va falloir recommencer (ou comparer vos MD5 avec les bons ici). Les hackers ont également volé la base de données du forum avec les pseudos, mots de passe et adresses e-mails des utilisateurs.

Le plus inquiétant dans ce qui s’est produit est que cela correspond à un scénario cauchemardesque dans lequel une autorité (le FBI par exemple) prendrait le contrôle d’un site (celui de Tails par exemple) et distribuerait sa propre version du système d’exploitation favori des militants. Le fait même de comparer le hash MD5 du fichier ne suffit plus si on ne peut être sûr de la personne qui contrôle l’information affichée sur notre écran.

Blog de Linux Mint

Ces derniers jours, Apple a refait parler de lui pour avoir refusé de fournir une backdoor au FBI (voir notre précédent article) dans une affaire de terrorisme. L’iphone est -apparemment- incrackable car il superpose une seconde sécurité au-delà du code à 4 chiffres: s’il est erroné 10 fois, le contenu du téléphone est effacé. Si un ordinateur peut tester très rapidement les 10.000 combinaisons possible, c’est impossible dans ce cas.

Un engin nommé « IP Box » et utilisé sous le manteau chez certains réparateurs de téléphone permet de contourner cette sécurité. La machine introduit un code et détecte selon le changement de luminosité de l’écran si le code est erroné, si c’est le cas, la machine redémarre l’iphone avant que celui-ci n’ait pu enregistré dans sa mémoire qu’un code erroné avait été introduit, il est donc incapable de compter jusqu’à 10. Cette technique a son inconvénient, elle est extrêmement lente puisqu’il faut redémarrer le téléphone, ce qui prend environ 40 secondes. Il faut donc 4 jours et demi pour venir à bout de toutes les possibilités. Il y a un moyen assez simple de se prémunir contre l’IP Box, il suffit simplement de choisir un code qui contient plus de chiffres: pour cracker un code à 7 chiffres (10.000.000 de possibilités) il faudrait ainsi 12 ans et demi. Devant cette info -qui date en fait de mars 2015- la lettre que Tim Cook a écrit il y a quelques jours semble bien faible vu qu’il parait peu probable que le FBI ne connaisse pas l’existence d’un tel engin.

Mise à jour: Sans la fonction « d’autodestruction » qui détruit les données après 10 essais erronés, il est tout de mème -à priori- difficile de tenter toutes les possibilités puisque Apple prétend ralentir volontairement le procédé pour qu’un essai prenne 80 millisecondes, quelque soit la puissance de la machine de l’attaquant. Dans ce cas de figure, il faut un code pin à 11 chiffres. Il faudrait alors 253 ans pour tester toutes les possibiltiés (et 127 ans en moyenne compte tenu du fait que le bon pin peut tomber plus tôt que prévu.

Plus d’informations sur The Intercept (journal fondé par Glenn Greenwald)