Quand un utilisateur de Tor s’y connecte, des couches de cryptage s’ajoutent au message. Ce dernier passe par plusieurs serveurs intermédiaires avant d’arriver à sa destination finale. La force du réseau anonyme Tor s’appuie sur des relais dont environ le quart constitue des relais de sortie. Ce sont eux qui font le pont entre le réseau et le reste d’Internet. On savait déjà que ces relais de sortie pouvaient être manipulés de sorte que le contenu envoyé par les utilisateurs de Tor ne soit plus anonyme. Or, une nouvelle faille vient s’ajouter à celle-ci.

D’autres types de relais-espions viennent d’être dévoilés par une nouvelle étude de l’Université Northeastern. Ces relais modifiés permettent à ceux qui sont derrière de trouver les adresses de sites qui sont supposés être secrets sur le deep web, qui regroupe les sites accessibles mais non indexés et auquel on accède via un réseau comme Tor. Les chercheurs ont créé 4500 adresses cachées en 72 jours en passant par Tor. Ils n’ont jamais parlé de ces sites nulle part et ceux-ci ne contenaient rien d’intéressant. Si ces adresses établissaient des connexions, c’était parce qu’un système espionnait le circuit qui passait par le réseau Tor. Au moins 110 de ces relais-espions ont tenté d’en savoir plus sur les adresses secrètes, les services qu’elles pouvaient fournir ou leur créateurs. Ce type d’attaque avait déjà été envisagé par les administrateurs de Tor qui travaillaient à restructurer leur système de services cachés.

This, Jen, is the internet

Si vous avez activé les paramètres nécessaires sur votre smartphone pour activer celui-ci à la voix, il vous est peut-être déjà arrivé d’entendre votre smartphone réagir « tout seul » en comprenant mal un son environnant. Sur les smartphones Android, il est en effet possible de demander quelque chose en disant « OK Google », alors que l’écran est verrouillé. C’est sur cette ‘faille’ que des chercheurs des universités de Georgetown et de UC Berkeley se sont basé pour tenter une attaque vocale alors même que la commande est à priori incompréhensible pour une oreille humaine. Dans la vidéo ci-dessous, on peut les voir énoncer plusieurs commandes (qui sont écrites à la suite et paraissent alors évidentes). Cette expérience vise surtout à démontrer qu’il est apparemment possible de faire effectuer des tâches à distances à un smartphone, aux conditions que son propriétaire ne soit pas dans la pièce pour s’en rendre compte, que l’attaquant ait la possibilité de jouer le son nécessaire (à travers une vidéo Youtube par exemple), et qu’il soit possible d’exécuter une commande intéressante. Ça fait beaucoup de ‘si’, mais ça fonctionne en théorie. Notons que l’expérience a également fonctionné avec Siri, l’équivalent iOS de Google Now.

L’application Signal à été popularisée par Edward Snowden qui en pensait le plus grand bien. Les développeurs de Signal ont dernièrement permis à d’autres développeurs d’intégrer le protocole de chiffrement de Signal dans leurs propres applications. On a donc pu voir Whatsapp adopter ce protocole pour la totalité de ses communications, écrites et vocales. Tout comme Google avec sa future application Allo (qui sera probablement déployée dans les prochaines semaines aux côtés de la mise à jour Android Nougat), Facebook adoptera un système de conversations secrètes qui pourront être utilisées à côté des conversations normales. Si Google et Facebook n’ont pas généralisé le chiffrement c’est probablement pour permettre aux « bots » d’intervenir dans les conversations, et de ce côté il n’y a aucune illusion à se faire, ces prémices d’intelligence artificielle se nourrissent des conversations des utilisateurs.

Le chiffrement est actuellement disponible pour quelques utilisateurs et devrait être disponible pour tout le monde d’ici à la fin de l’été.

Facebook Messenger adopte Signal

Le fondateur de Megaupload Kim Dotcom s’était rendu mondialement célèbre en étant le patron du site d’échanges de fichiers Megaupload avant que le FBI ne vienne le fermer lors d’une énorme opération en Nouvelle-Zélande en janvier 2012. Un an plus tard, il avait ouvert un nouveau site « Mega », offrant 50Go de stockage cloud (bien plus que la concurrrence, même actuelle) chiffré dans le navigateur. Mega n’a probablement pas été extrêmement sécurisé, mais il avait le mérite d’être massif et tout de même plus sécurisé que les autres services du même acabit. Le chiffrement était un argument de marketing et surtout une manière de protéger légalement la société qui ne pouvait censurer ce qu’elle ignorait. Encore une fois, la créature de Dotcom lui a échappé, cette fois-ci aux mains de ses co-dirigeants. Finalement, ce 5 juillet, Kim a commencé a parler sur Twitter d’un nouveau service « beaucoup mieux que Mega » avec 100Go de stockage gratuit et chiffrés à la volée, synchronisation entre les appareils, plus simple d’utilisation et surtout des transferts illimités (ce qui signifie que c’est seulement ce qui est hébergé sur le moment qui est payant et pas le nombre de fois qu’on l’uploade, contrairement à Mega qui facture à outrance cette opération). Si Kim Dotcom tient absolument à ce que des gens utilisent ses logiciels pour protéger leurs fichiers, il pourrait cette fois tenter d’en garder le contrôle.

A new site is in the making:
100gb free cloud storage
On-the-fly encryption
Sync all your devices
NO TRANSFER LIMITS#5thRaidAnniversary

— Kim Dotcom (@KimDotcom) 5 juillet 2016

Kim Dotcom

Le protocole Signal qui chiffre l’application éponyme ainsi que les communications faites sur Whatsapp sera implémenté dans la nouvelle app de messagerie Google Allo. Contrairement aux deux intégrations précédentes, le protocole Signal ne sera activé que lors du mode « Incognito », puisque l’application utilise des intelligences artificielles qui sont capables de lire les messages lorsqu’ils ne sont pas envoyés en mode incognito. Le protocole Signal est largement accepté comme sûr et est sponsorisé par Edward Snowden en personne.

Google Allo et Signal

BlackBerry a reconnu indirectement lundi avoir collaboré avec la police fédérale canadienne dans le démantèlement d’une organisation mafieuse de Montréal qui utilisait son système de messagerie, tout en insistant sur le fait que son système de sécurité est « impénétrable ». Le PDG John Chen a réitéré la position de longue date de BlackBerry selon laquelle « les sociétés de technologies, en tant qu’entreprises responsables, devraient se conformer aux demandes d’accès [à des informations, NDLR] légales et raisonnables ». Cette déclaration vient alimenter un débat public récurrent sur la manière d’équilibrer vie privée des utilisateurs et sécurité, déclenché par le refus d’Apple d’aider le FBI américain à décrypter l’iPhone.

[fond violet]

Blackberry reconnait avoir aidé la police

Apple a reçu quelque 30.000 requêtes de données formulées par des gouvernements du monde entier au second semestre 2015, et a fourni des informations dans la majorité des cas, rapporte le groupe informatique dans son dernier rapport de transparence. Apple a fourni des données au gouvernement américain dans 80% des 4.000 requêtes formulées sur cette période. Le groupe américain a reçu précisément 30.687 requêtes de données par différents gouvernements, qui concernaient 167.000 appareils. Au premier semestre 2015, Apple avait reçu 26.000 demandes qui concernaient 360.000 appareils.

Le gouvernement américain avait engagé une action en justice contre Apple qui refusait de débloquer l’iPhone ayant appartenu à l’un des auteurs de l’attentat de San Bernardino (Californie) le 2 décembre. Apple justifiait son refus au nom de la protection des données. Le gouvernement a finalement renoncé à son action judiciaire et utilisé les services de hackers professionnels pour débloquer le smartphone, mais plusieurs tribunaux ont été saisis de cas similaires.

Le siège d’Apple à Cupertino, en Californie

Une équipe de sécurité informatique du ministère américain de la sécurité intérieure (CERT) a publié une alerte après l’annonce qu’Apple, qui a développé ce logiciel, n’allait plus mettre à jour les défenses de QuickTime et que le programme présentait deux vulnérabilités qui pourraient être exploitées par des cyberpirates. L’exploitation de vulnérabilités de QuickTime pour Windows pourrait permettre à des attaquants de prendre le contrôle à distance des systèmes affectés. Selon le CERT, la seule réduction des risques disponible est de désinstaller QuickTime pour Windows. Le conseil ne s’applique pas aux versions de QuickTime fonctionnant sur des ordinateurs Apple.

CERT

Depuis que Mozilla souhaite se concentrer uniquement sur le navigateur Firefox, Thunderbird est laissé dans un relatif abandon où ce sont surtout les failles de sécurité qui sont bouchées, de « nouvelles » fonctionnalités (agenda, gestion de contacts,…) sont ajoutées de temps à autres alors que l’utilisation du programme souffre de nombreux bugs et lenteurs qui font espérer que Thunderbird soit bientôt repris par une autre association.

Thunderbird vient toutefois de passer en version 45, cette mise à jour devrait régler plusieurs bugs, et espérons le rendre le logiciel utilisable en évitant la crise de nerfs. Si votre version ne se met pas à jour (encore un bug courant, pour vérifier voyez la capture d’écran), vous pouvez vous rendre sur le site de Thunderbird pour télécharger la dernière version que vous n’aurez qu’à exécuter pour forcer la mise à jour.

Si les utilisateurs de MacOS et de Linux peuvent se consoler en utilisant d’autres logiciels de messageries qui supportent le chiffrement OpenPGP, Thunderbird est malheureusement sans alternative crédible sur Windows à l’heure actuelle.

Vérifier votre version de Thunderbird.

Des documents judiciaires publiés au Canada montrent que la police montée et la gendarmerie canadiennes ont pu, dans le cadre d’une très vaste enquête sur le crime organisé, intercepter des BBM. Les BBM (« BlackBerry Messages ») sont envoyés par le biais d’une application exclusive aux téléphones BlackBerry, et sont chiffrés pour rendre leur interception et leur lecture extrêmement difficile. Pour décoder ces messages, tous les téléphones de l’entreprise sont équipés d’une clé générale mais secrète – sauf dans le cas des utilisateurs de Business enterprise servers, une version destinée aux grandes entreprises qui permet de changer cette clef.

En 2010, la police fédérale canadienne avait lancé une gigantesque opération de lutte contre le crime organisé. Dans le cadre de l’enquête, plus d’un million de messages ont été interceptés. Parmi eux, de nombreux BBM qui ont pu être décodés par les enquêteurs. Ni BlackBerry ni la police n’ont confirmé avoir utilisé la clé globale pour ce faire, mais le ministère public canadien a reconnu son utilisation. Les forces de l’ordre ont demandé et obtenu le droit de ne pas détailler la technique utilisée pour déchiffrer ces messages. Il est probable que les polices canadiennes disposent, encore aujourd’hui, de ces clés de déchiffrement, car les modifier est une opération complexe qui doit être réalisée sur l’ensemble des terminaux BlackBerry utilisés.

BBM