L’année dernière, la boite d’espionnage informatique privée Hacking Team avait fait parler d’elle en se faisant déposséder de tous ses fichiers par des hackers plus malin qu’elle. Voir nos précédents articles. Apparemment, ce piratage n’aura pas été fatal pour la firme italienne, puisqu’un nouveau spyware dirigé contre Mac OSx a été découvert via la plateforme antivirus de Google « VirusTotal« . La signature numérique correspond à celle de Hacking Team et a été faite trois mois après la grande fuite de données, ce qui indique non seulement que ce n’est pas un bout de code utilisé par quelqu’un qui aurait récupéré ceux de Hacking Team, mais également que la société continue d’utiliser son ancienne plateforme vérolée.

Selon les quelques ingénieurs qui se sont penchés sur le spyware uploadé sur VirusTotal, le code n’a rien d’impressionant, il utilise quelques techniques de dissimulation supplémentaires que celles utilisées auparavant. Le spyware a déjà été rajouté dans les bases de données de plusieurs antivirus (19 sur les 55 contrôlés par VirusTotal).

La fiche dédiée chez VirusTotal.

Durant ce week-end, des hackers ont pris le contrôle de l’une des distributions Linux les plus populaires, à savoir Linux Mint. Les hackers ont laissé le site tel quel mais ont modifié le fichier correspondant à l’édition Cinnamon de la distribution en y incluant une backdoor qui connecte l’utilisateur à un site appelé « Absentvodka » en Bulgarie. Si vous avez téléchargé Linux Mint Cinnamon ce 20 février, il va falloir recommencer (ou comparer vos MD5 avec les bons ici). Les hackers ont également volé la base de données du forum avec les pseudos, mots de passe et adresses e-mails des utilisateurs.

Le plus inquiétant dans ce qui s’est produit est que cela correspond à un scénario cauchemardesque dans lequel une autorité (le FBI par exemple) prendrait le contrôle d’un site (celui de Tails par exemple) et distribuerait sa propre version du système d’exploitation favori des militants. Le fait même de comparer le hash MD5 du fichier ne suffit plus si on ne peut être sûr de la personne qui contrôle l’information affichée sur notre écran.

Blog de Linux Mint

Ces derniers jours, Apple a refait parler de lui pour avoir refusé de fournir une backdoor au FBI (voir notre précédent article) dans une affaire de terrorisme. L’iphone est -apparemment- incrackable car il superpose une seconde sécurité au-delà du code à 4 chiffres: s’il est erroné 10 fois, le contenu du téléphone est effacé. Si un ordinateur peut tester très rapidement les 10.000 combinaisons possible, c’est impossible dans ce cas.

Un engin nommé « IP Box » et utilisé sous le manteau chez certains réparateurs de téléphone permet de contourner cette sécurité. La machine introduit un code et détecte selon le changement de luminosité de l’écran si le code est erroné, si c’est le cas, la machine redémarre l’iphone avant que celui-ci n’ait pu enregistré dans sa mémoire qu’un code erroné avait été introduit, il est donc incapable de compter jusqu’à 10. Cette technique a son inconvénient, elle est extrêmement lente puisqu’il faut redémarrer le téléphone, ce qui prend environ 40 secondes. Il faut donc 4 jours et demi pour venir à bout de toutes les possibilités. Il y a un moyen assez simple de se prémunir contre l’IP Box, il suffit simplement de choisir un code qui contient plus de chiffres: pour cracker un code à 7 chiffres (10.000.000 de possibilités) il faudrait ainsi 12 ans et demi. Devant cette info -qui date en fait de mars 2015- la lettre que Tim Cook a écrit il y a quelques jours semble bien faible vu qu’il parait peu probable que le FBI ne connaisse pas l’existence d’un tel engin.

Mise à jour: Sans la fonction « d’autodestruction » qui détruit les données après 10 essais erronés, il est tout de mème -à priori- difficile de tenter toutes les possibilités puisque Apple prétend ralentir volontairement le procédé pour qu’un essai prenne 80 millisecondes, quelque soit la puissance de la machine de l’attaquant. Dans ce cas de figure, il faut un code pin à 11 chiffres. Il faudrait alors 253 ans pour tester toutes les possibiltiés (et 127 ans en moyenne compte tenu du fait que le bon pin peut tomber plus tôt que prévu.

Plus d’informations sur The Intercept (journal fondé par Glenn Greenwald)

Dans ses plans « anti-terroristes », Facebook propose à présent d’offrir des espaces publicitaires gratuitement à ceux qui « discréditent les discours extrêmistes ». Ceux qui partageront des contenus textuels, des images ou des vidéos contre le « terrorisme » pourront recevoir gratuitement 1.000$ de crédit sur la plateforme de pub du réseau social.

Facebook présente

L’année dernière, Apple était cité dans une affaire de stupéfiants dans un tribunal new-yorkais (voir notre article) pour avoir refusé de déchiffrer l’iphone de l’accusé. Hier soir, Tim Cook publiait une « Lettre à ses consommateurs » pour expliquer le « conflit » qui l’oppose au FBI dans un dossier terroriste cette fois. Le FBI a demandé à Apple de fournir un logiciel qui serait capable de déchiffrer le seul iphone du tueur de San Bernardino. Apple se défend en affirmant que le chiffrement ne peut être craqué et que si la firme fournissait un outil pour cracker « ce seul iphone », elle mettrait en péril la sécurité de tous ses clients.

Comme toujours, impossible de savoir ce qui est vrai de ce qui est faux (Snowden avait lui-même évoqué les pleurnicheries des espions américains alors qu’ils avaient accès à tout les systèmes qu’ils souhaitaient infiltrer). Que les iphones soient inviolables ou pas (comme nous vous le disions dans un précédent article, ils sont en tout cas vulnérables), c’est une opération de pub réussie pour Apple.

EDIT: En fait, il est déjà possible de cracker les iphones…

Difficile de savoir si c’est un bug involontaire ou un fonctionnement délibéré (la première option étant plus probable vu que le mode « Navigation privée » n’est pas vraiment efficace quoi qu’il arrive pour se protéger face à la répression), mais il s’avère que le mode ne « Navigation privée » de Microsoft Edge, le navigateur qui a succédé au détestable Internet Explorer, n’est pas du tout efficace.

Le mode de navigation privée est une fonctionnalité qui est aujourd’hui présente sur tous les navigateurs web modernes, et qui permet tant qu’il est ouvert de ne conserver aucune donnée sur l’ordinateur (historique, cookies, recherches,…) sauf que celui de Edge stocke les données dans le dossier WebCache de l’ordinateur. Pire encore, les fichiers ouverts en navigation privée sont spécifiquement marqués (pour pouvoir être réouverts en cas de crash, un non-sens absolu). Pire encore, si la synchronisation de fichiers de Windows est activée, cette historique sera synchronisée entre tous les ordinateurs connecté à l’identifiant Microsoft de l’utilisateur. Microsoft a été mis au courant du bug et a promis de le régler. En attendant, mieux vaut utiliser le mode de navigation privée de Firefox.

Le mode de navigation pas du tout privée de Microsoft Edge

Il y a un an, nous vous avions parlé d’une nouvelle application de messagerie et de stockage cloud, le tout chiffré. Peerio était le dernier né du jeune cryptographe libanais Nadim Kobeissi, à qui l’on doit notamment l’application Cryptocat.

Peerio était très prometteur car simple, attrayant, multi-plateforme et qu’il amenait avec lui Nadim Kobeissi comme une « guarantie » (si cela pouvait exister en sécurité informatique). Malheureusement, après quelques semaines le projet a tourné court: Kobeissi claque la porte. La direction de Peerio avait prévu comme business model de fournir Peerio gratuitement, mais de vendre des versions « privées » aux entreprises. Lors de l’une des premières entrevues avec une entreprise, celle-ci demande immanquablement s’il est possible de mettre une backdoor dans l’application, ce à quoi la direction de Peerio acquiesce. C’est à ce moment que Kobeissi, le cryptographe de Peerio, quitte le navire. Comme nous l’apprennent les récents événements, ll ne sera pas remplacé par quelqu’un à sa hauteur.

Il y a quelques jours, Cure53, une boite de pentesting (sécurité IT) berlinoise a rendu ses conclusions au sujet de Peerio, et de nombreuses failles (17 dont deux graves) ont été découvertes dans le code. L’une des failles est particulièrement grave puisqu’elle concerne directement le code critique de chiffrement en y utilisant la fonction javascript eval();. Ce qui permet d’exécuter une attaque XSS en envoyant un message à la cible.

Le rapport de Cure53 peut être consulté à cette adresse. Une alternative viable, grand publique, « approuvée par Snowden » et déjà utilisée par de nombreux militants semblent être l’application Signal de Whisper System. Cette dernière a récemment été publiée en tant qu’application Chrome (à la manière de Peerio). Et bien évidemment PGP, qui n’est pas prêt de céder à des failles aussi énormes.

Faille critique dans le code de Peerio.

De très nombreux militants connaissent le site riseup.net qui fournit depuis de nombreuses années des outils internet aux révolutionnaires. Après les adresses e-mails, les listes de diffusion (que nous utilisons par exemple pour notre newsletter), les VPN et les outils de collaboration bureautique, Riseup vient aujourd’hui de faire sortir « We Riseup » de sa beta, considérant ainsi que le logiciel est assez mature pour être utilisé par tous.

We Riseup est basé sur le logiciel « Crabgrass » également développé par Riseup. Pour le définir simplement, Crabgrass reprend de nombreuses fonctionnalités qu’offrent aujourd’hui les réseaux sociaux. Il est prévu pour servir d’outils aux divers groupes politiques en offrant des fonctions de travail collaboratif et de réseautage. Des dizaines de milliers de personnes l’utilisent déjà à l’heure actuelle.

Comme avec toute technologie internet: il faut se rappeler de ne jamais l’utiliser pour quelque chose de sensible. Riseup souligne qu’il n’y a pas de chiffrement coté client (et qu’il n’en existe à l’heure actuelle pas d’assez fiable que pour l’utiliser) et qu’il faut se comporter comme si Riseup pouvait accéder aux données. Notons également que les comptes de « We Riseup » sont indépendants des autres services de Riseup, il faudra donc créer un nouveau compte.

Riseup Crabgrass

Rejoignant Google, Facebook et Twitter, Microsoft a également annoncé qu’il préviendra les utilisateurs de son service d’e-mails, Outlook, si ceux-ci sont espionnés par un état. Comme pour les trois cas précédents, impossible de vérifier la sincérité de la firme bien connue pour mettre son nez dans les ordinateurs de ses clients.

Seul Twitter a, à l’heure actuelle, prouvé sa bonne fois en prévenant plusieurs militants des libertés numériques, dont plusieurs français, qu’ils étaient espionnés.

L’un des utilisateurs de Twitter espionné

Contrairement à ce que sa réputation laisse entendre, les logiciels d’Apple comportent de nombreuses failles de sécurité. Un classement des logiciels ayant eu le plus de failles pour l’année écoulée donne aux deux produits phares de la pomme (OSx et iOS) des scores plus déplorables encore que ceux d’Adobe Flash (pourtant largement considéré comme la passoire la plus utilisée au monde).

Selon le site CVE Details qui archive les failles de sécurité découvertes, OSx arrive en tête du classement avec 384 failles, suivi de près par son cousin mobile iOS qui fait 375 failles. Les mauvais élèves habituels Adobe Flash, Adobe Air et Internet Explorer complètent le top 5 avec respectivement 316, 246 et 231 failles chacun. Enfin, Google Chrome (187 failles), Mozilla Firefox (178 failles), Windows Server 2012 (155 failles), Ubuntu (152 failles) et Windows 8.1 (151 failles) complètent la liste des logiciels ayant eu le plus grand nombre de failles rapportées.

Le classement par éditeur met lui aussi Apple dans l’embarras: Apple (654 failles), Microsoft (571 failles), Cisco (488 failles), Oracle (479 failles), Adobe (460 failles), Google (323 failles), IBM (312 failles), Mozilla (188 failles), Canonical (153 failles), Novell (143 failles).

Points positifs pour la sécurité informatique en cette année 2015: la mort annoncée d’Adobe Flash (au profit des technologies HTML5) et d’Internet Explorer (au profit de Microsoft Edge) qui, eux, justifiaient pleinement leur réputation de dangers publics.

Ces chiffres annoncent une fois de plus l’importance de mettre à jour ses logiciels, puisque les failles informatiques sont largement utilisées par les services de police et de renseignements pour espionner les internautes.

Quelques unes des applications les moins sûres de 2015