Contrairement à ce que sa réputation laisse entendre, les logiciels d’Apple comportent de nombreuses failles de sécurité. Un classement des logiciels ayant eu le plus de failles pour l’année écoulée donne aux deux produits phares de la pomme (OSx et iOS) des scores plus déplorables encore que ceux d’Adobe Flash (pourtant largement considéré comme la passoire la plus utilisée au monde).

Selon le site CVE Details qui archive les failles de sécurité découvertes, OSx arrive en tête du classement avec 384 failles, suivi de près par son cousin mobile iOS qui fait 375 failles. Les mauvais élèves habituels Adobe Flash, Adobe Air et Internet Explorer complètent le top 5 avec respectivement 316, 246 et 231 failles chacun. Enfin, Google Chrome (187 failles), Mozilla Firefox (178 failles), Windows Server 2012 (155 failles), Ubuntu (152 failles) et Windows 8.1 (151 failles) complètent la liste des logiciels ayant eu le plus grand nombre de failles rapportées.

Le classement par éditeur met lui aussi Apple dans l’embarras: Apple (654 failles), Microsoft (571 failles), Cisco (488 failles), Oracle (479 failles), Adobe (460 failles), Google (323 failles), IBM (312 failles), Mozilla (188 failles), Canonical (153 failles), Novell (143 failles).

Points positifs pour la sécurité informatique en cette année 2015: la mort annoncée d’Adobe Flash (au profit des technologies HTML5) et d’Internet Explorer (au profit de Microsoft Edge) qui, eux, justifiaient pleinement leur réputation de dangers publics.

Ces chiffres annoncent une fois de plus l’importance de mettre à jour ses logiciels, puisque les failles informatiques sont largement utilisées par les services de police et de renseignements pour espionner les internautes.

Quelques unes des applications les moins sûres de 2015

Quelques unes des applications les moins sûres de 2015

Le groupe israélien Rayzone a présenté le « InterApp » qui, selon la publicité, serait capable de hacker n’importe quel smartphone/tablette pour en dérober les informations (contacts, emails, historiques, sms,..) La cible devrait simplement avoir activé le wifi. Perplexes devant cet appareil, plusieurs journalistes ont demandé à la firme d’en dire plus sur le fonctionnement de l’InterApp, mais se sont vu répondre que l’engin n’était vendu qu’aux gouvernements et qu’aucun élément ne serait divulgué quant à son fonctionnement.

InterApp

InterApp

Dossier(s): Archives Sécurité IT

Tous les internautes connaissent « l’erreur 404 » affichée par un site lorsqu’une page demandée n’existe pas ou plus. L’IESG (Internet Engineering Steering Group) qui crée la plupart des standards d’internet vient d’émettre une notice pour standardiser le genre d’erreur qui doit être affichée lorsqu’une page est inaccessible pour des raisons légales et qu’elle est bloquée par les autorités. Auparavant, dans un pareil cas, c’était soit l’erreur 404 qui s’affichait, soit l’erreur 403 (contenu interdit pour le visiteur qui affiche la page), ce pourra dorénavant « l’Erreur 451 », dont le nom ne doit rien au hasard: il est inspiré du roman de Ray Bradbury « Fahrenheit 451 », tirant lui-même son nom de la température de combustion du papier.

Notons que dans le cas où un site n’aurait pas l’autorisation de préciser qu’un contenu a été censuré, il affichera probablement une erreur 404.

fahrenheit451-1.jpg

Les utilisateurs de GPG connaissent bien Thunderbird, ce client de messagerie couplé au plug-in Enigmail permet une utilisation aisée de GPG, la manière la plus sûre à l’heure actuelle de chiffrer ses e-mails. Thunderbird était l’un des logiciels phare de la Mozilla Foundation mais il a été délaissé ces dernières années au profit du navigateur Firefox.

Ces derniers jours, la direction de Mozilla a laissé entendre qu’elle souhaiterait refiler Thunderbird à celui qui en voudra, avant de suggérer que la Document Foundation (qui publie LibreOffice) serait un candidat idéal. On peut à présent voir dans les forums officiels de Libre Office que cette proposition a été entendue et que les développeurs de Libre Office songeraient bien à reprendre Mozilla Thunderbird sous leurs ailes.

Thunderbird est depuis quelques années uniquement actualisé pour ce qui concerne les failles de sécurité. S’il représentait à la base un très bon client de messagerie, il est à présent de moins en moins fonctionnel et ergonomique, voir de plus en plus lent. Si Thunderbird venait à être « donné » à la Document Foundation, il pourrait reprendre vie et et pourquoi pas rendre du même coup l’utilisation d’Enigmail et de GPG plus populaire et agréable.

Mozilla Thunderbird

Mozilla Thunderbird

Rejoignant Facebook et Gmail, Twitter préviendra également ses utilisateurs s’il pense qu’un état les à espionné. Ce processus ne concerne très probablement que les saisies « extra-légales ». Comme pour Facebook et Google, impossible de savoir comment Twitter différencie une attaque gouvernementale d’une attaque informatique « criminelle ».

Plus étonnant, une quinzaine de personnes, dont deux français, ont déjà reçu le message. Du cette information est vraie cela voudrait dire que Twitter prévient également les utilisateurs espionnés par des gouvernements occidentaux. Ils ont reçu ce message :

L'un des utilisateurs de Twitter espionné

L’un des utilisateurs de Twitter espionné

L’application ‘Signal’, qui regroupe les deux anciennes apps TextSecure et Redphone permet de communiquer de façon chiffrée. Sa particularité vient de sa facilité d’utilisation unique : aucun mot de passer, intégration transparente à la place de l’application SMS, signature et identification d’après le numéro de téléphone. Signal est aussi simple à utiliser que n’importe quelle application de SMS et est déjà disponible pour Android et iOS.. De plus, l’application avait été conseillée par Edward Snowden en personne. L’application est à présent disponible sur Mac OSx, Windows, Linux et Chromebooks avec la sortie de la version beta en tant qu’ application Chrome.

Pour participer à cette phase de test, voir le site de Whisper Systems, l’éditeur.

Screenshot de Signal Desktop

Screenshot de Signal Desktop

Dossier(s): Archives Sécurité IT Tags:

Lors du procès d’un dealer de methamphétamine à New-York, dont nous parlions il y a quelques jours, Apple a refusé d’assister la justice américaine que ce soit pour déchiffrer ou extraire les données de l’Iphone de l’accusé. Dans l’épisode précédent, Apple avait refusé aux motifs qu’il était impossible de déchiffrer un appareil tournant sous iOS 8 ou plus récent, et qu’il refusait d’assister la justice pour ne pas « briser la confiance qui le lie à ses clients ». Cette fois ci, le FBI a fait part de son étonnement puisque la marque à la pomme a par le passé assisté la justice à au moins 70 reprises, et qu’il ne comprenait pas ce changement de comportement.

Le juge en charge du procès a répondu au FBI « Ce que vous demandez à Apple c’est qu’il fasse votre travail à votre place », questionnant également Apple sur son changement d’attitude.

Les iPhones semblent réellement indéchiffrables

Les iPhones semblent réellement indéchiffrables

Suite aux révélations d’Edward Snowden concernant l’espionnage mondial de toutes les données accessibles, les ‘géants’ de la Silicon Valley ont entreprit une grande opération de communication autour des données de leurs utilisateurs. L’année dernière, les deux principaux éditeurs de systèmes d’exploitation mobiles, Apple et Google publiaient chacun une mise à jour intégrant le chiffrement, iOS 8 pour Apple, et Android 5.0 pour Google. Il était bien entendu impossible de vérifier la force de ce chiffrement, ni de vérifier que derrière ce chiffrement une porte dérobée n’envoie pas malgré tout les données aux grandes oreilles de la NSA.

En début de semaine, un juge de New-York avait convoqué un porte-parole d’Apple lors d’un procès pour forcer la firme à extraire et/ou à déchiffrer le contenu du téléphone d’un suspect. Le représentant d’Apple a affirmé devant le tribunal qu’il était impossible de déchiffrer un Iphone tournant sous iOS 8 ou une version plus récente du système d’exploitation. Il a également déclaré que « Forcer Apple à extraire des données dans cette affaire, en l’absence d’une injonction légale claire, pourrait menacer la confiance entre Apple et ses clients et ternir substantiellement la marque ».

Notons qu’une fonction de chiffrement est également présente sur Android (à partir d’Android 5.0) mais qu’elle n’est pas activée par défaut puisqu’elle demande beaucoup de puissance et que les appareils tournant sous ce systèmes ont des puissances très inégales.

Les iPhones semblent réellement indéchiffrables

Les iPhones semblent réellement indéchiffrables

Ce 17 octobre, Facebook a annoncé qu’à l’instar de GMail, ils préviendraient leurs utilisateurs qui sont visés par un espionnage extra-légal, c’est à dire effectué sans l’autorisation de Facebook et donc d’une autorité légale. En plus de cet avertissement, Facebook conseillera également à la cible de rajouter une sécurité sur son compte, comme par exemple la double-authentification, enfin Facebook ne montrera cet avertissement que s’il dispose de ‘preuves solides’. Comme d’habitude, difficile de faire la part entre le plan com’ et la réalité. Facebook a refusé de dévoiler la manière dont il différenciait une attaque d’un espion de celle d’un pirate ‘classique’.

L'avertissement affiché par Facebook.

L’avertissement affiché par Facebook.

Le code-source du programme XKeyScore, dévoilé par Edward Snowden, a été analysé par des utilisateurs de Tor qui y ont découvert d’autres comportements hallucinants de la part de la NSA. Ces pratiques visent à acquérir une ’empreinte digitale’ de part des ‘personnes à risque’, de façon à les reconnaître plus tard et à les suivre dans leur utilisation du net. Premièrement, 9 serveurs de Tor sont en permanence sous surveillance, incluant le serveur Tor du département ‘Intelligence Artificielle’ de l’université MIT. Ensuite, le fait de se rendre sur le site de Tor depuis un pays qui ne figure pas dans la liste des ‘Five Eyes’ (USA, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) déclenche automatiquement la génération d’une empreinte qui est rajoutée à la base de données de la NSA.

Autre comportement suspect, le simple fait de ne pas aimer le système d’exploitation Windows. Les utilisateurs de Linux sont largement visés par ce programme qui décrit le ‘Linux Journal’ comme un ‘forum extrémiste’. La distribution Linux ‘Tails’ bien connue de ceux qui se soucient de leur vie privée sur le net est également la cible des collectes d’empreintes de la NSA. De quoi être fixé lorsque les officiels de cette agence annoncent qu’ils ciblent uniquement les ‘personnes suspectes’.

XKeyScore

XKeyScore