Le chiffrement tel que nous le connaissons aujourd’hui est basé sur 3 problèmes mathématiques très difficiles à résoudre (factorisation de nombres entiers, logarithme discret et logarithme de courbe elliptique). Pour trouver une clé privée en partant d’une clé publique par exemple, il faut impérativement pouvoir résoudre le problème mathématique correspondant au chiffrement de la cible, ce qui est à peu près impossible.

L’ordinateur quantique serait un ordinateur d’un nouveau genre, capable de faire des calculs d’une façon que les ordinateurs actuels ne peuvent physiquement pas espérer atteindre. Un ordinateur quantique d’une puissance suffisante pourrait donc trouver une clé privée à partir d’une clé publique, en un temps acceptable. Bien entendu, la NSA investit des ressources dans la recherche pour cette ordinateur futuriste, Saint Graal des chercheurs informatiques. Plusieurs ordinateurs quantiques ont été construits ces 20 dernières années, ils sont toutefois actuellement trop faibles ou instables.

Il n’est pas étonnant d’apprendre qu’en plus de vouloir construire l’ordinateur quantique, la NSA prépare également des formes de chiffrements qui lui sont résistantes. Une grande partie des chiffrements et des systèmes de sécurité que nous utilisons aujourd’hui sont d’ailleurs nés à la NSA ou dans d’autres départements militaires ou sécuritaires américains qui -en plus d’avoir besoin de déchiffrer les secrets de leurs opposants- doivent être capables de chiffrer les communications gouvernementales américaines.

La NSA annonce donc clairement qu’elle souhaite migrer les systèmes informatiques vers des formes de chiffrements qui résisteront à un éventuel ordinateur quantique « dans un futur pas trop distant » (sic). En attendant, la NSA presse tout le monde (gouvernement, civils, industriels,…) de continuer à utiliser les standards de la ‘Suite B’, et particulièrement les ‘algorithmes de courbes elliptiques’ (ECC). Détail intéressant, la NSA conseille aux industriels de ne pas dépenser trop d’argent dans des transitions cryptographiques, ce qui pourrait signifier qu’un nouveau standard sera définit bientôt, parmi les nombreux candidats déjà élaborés.

Un processeur quantique conçu par Google et D-Wave

« Adobe Flash doit mourrir », c’est l’opinion d’une partie grandissante de la communauté de la sécurité informatique. Chaque année, des centaines de failles critiques sont découvertes dans ce logiciel, parfois très anciennes. Dernier exemple en date, une faille très ancienne qui était utilisée par la société italienne Hacking Team pour fournir ses logiciels espions. Cette faille avait forcé les principaux éditeurs de systèmes d’exploitation ainsi qu’Adobe (qui publie le logiciel Flash) a mettre à jour en urgence leurs programmes. Les énormes problèmes de sécurité de Flash sont reconnus depuis plusieurs années et de plus en plus de ‘géants du net’ boycottent ce programme : Apple et Google en ont rendu l’installation difficile sur leurs systèmes d’exploitations pour smartphones et tablettes (iOS et Android), Youtube a cessé d’utiliser Flash pour la lecture de ses vidéos, suivi par Dailymotion. Récemment, suite à la fuite de Hacking Team, Firefox a désactivé les ‘modules complémentaires’ de Flash, et l’un des dirigeants de la sécurité de Facebook a fait un appel public a ‘tuer Flash’.

Ce 30 août enfin, Google annonce qu’il bloquera la plupart des publicités en Flash qui apparaissent sur les sites que les utilisateurs visitent. Ceci devrait également accélérer la chute de Flash.

Macromedia Flash, créé en 1996 et racheté en 2005 par Adobe a été extrêmement populaire puisqu’il a permit plus de dynamisme et d’interactivité dans les pages web pendant des années. Remplacé progressivement par de nouvelles technologies beaucoup plus sûres, beaucoup plus légères et ne nécessitant pas d’installation supplémentaire, comme les canvas HTML5 par exemple.

Si vous n’avez pas encore désinstallé Flash, rendez-vous sur ce site, dans la partie ‘Join the Fight’.

Le site ‘Occupy Flash’ promeut l’abandon d’Adobe Flash.

En juillet 2012, plusieurs grandes entreprises avaient formé ce que l’on appelle la FIDO Alliance (Fast IDentity Online), dans un effort de créer un moyen à la fois sécurisé et facile à utiliser, qui permettrait de ne plus avoir à retenir de mots de passe. Les membres de cette alliance sont tous de grandes multinationales dans le domaine de l’IT mais aussi dans la finance, dont Google, Microsoft, Lenovo, Samsung Electronics, BlackBerry, ARM Holdings, Bank of America Corporation, PayPal, RSA, Visa, Synaptics, ainsi que d’autres.

Fido

Fin 2014, FIDO publiait les spécifications 1.0 des deux systèmes d’authentification proposés. Le premier est un protocole sans mot de passe qui porte le nom d’Universal Authentication Framework (UAF) et se base sur l’utilisation de l’authentification biométrique, le second, dénommé Universal Second Factor (U2F), est destiné aux infrastructures existantes à base de mot de passe, renforcées par l’introduction d’un second facteur d’authentification, sous forme d’un périphérique externe (ex : clé USB, Bluetooth, NFC…). Mi août, FIDO vient de valider 62 systèmes répondant à ces spécifications, comme Synaptics, SK Plant, Sensory, MicroStrategy, GoTrust, Feitian, et Egis.

fido

95 % de l’Internet n’est pas indexé par les moteurs de recherche ordinaires. Le Deep Web [web profond], la partie cachée de l’Internet, qui n’est pas nécessairement secrète, mais n’est pas accessible avec les moteurs de recherche courants. Le Dark Web, par contre, est une couche d’application et un protocole qui permet aux gens de communiquer de façon anonyme et cryptée. Les utilisateurs passent par des réseaux cryptés comme Tor, le projet Invisible Internet et Freenet. Ils se rencontrent sur des forums en ligne, dont beaucoup sont fermés et auxquels on ne peut accéder qu’en étant parrainé par un ou deux utilisateurs.

La société Sixgill a développé une technologie de pointe en cybersécurité qui lui permet de découvrir et de surfer dans les « meilleurs » sites du Dark Web, pour essayer de comprendre les gens qui se cachent derrière. Sixgill est une entreprise B2B, ce qui signifie que ses clients sont d’autres entreprises. Elle ne travaille pas avec les victimes individuelles de piratage, qui sont pour la plupart des victimes passives, et emploi d’anciens policiers (la police israélienne emploie des cyber-enquêteurs expérimentés, entre autres l’unité nationale Lahav 433),

Présentation de la société Sixgill

Windows 10, disponible depuis plusieurs mois en béta, et disponible depuis le 29 juillet en version publique et finale a plusieurs outils de surveillance intégrés. Ces outils ont été intégrés par Microsoft lors de la phase de test. Selon Microsoft, il s’agissait d’analyser les comportements des testeurs pour améliorer le système d’exploitation. Que ce soit vrai ou pas importe peu : il faut désactiver ces outils. Un petit programme baptisé « Windows Tracking Disable Tool » propose de les désactiver de façon automatique en quelques secondes. Le programme est d’une simplicité déconcertante, mais malheureusement il est difficile de savoir d’où provient une erreur s’il y en a. Impossible de savoir si le programme espion était déjà désactivé/effacé ou s’il n’a simplement pas pu être désactivé.

Pour utiliser ce programme, rendez-vous là et téléchargez ‘Run.exe’. Ensuite, ouvrez votre dossier téléchargement, clic-droit, Executer en tant qu’administrateur. Cochez tout, cochez ‘Disable’ et cliquez sur ‘Go private’.

Windows 10, comme tous ses prédécesseurs, espionne largement ses utilisateurs. Par contre, il comble de nombreuses failles de sécurité, c’est donc une bonne chose de mettre à jour. Il existe des systèmes d’exploitation orientés pour l’anonymat et la vie privée, Windows n’en est pas un, Tails oui.

Windows Tracking Disable Tool

Des milliers de chercheurs, scientifiques, universitaires et patrons d’entreprises technologiques (Stephen Hawking, Steve Wozniak et Elon Musk pour ne citer qu’eux) ont appelé à une interdiction des « armes autonomes », c’est à dire des « robots tueurs ». Ce qui est désigné par là, ce sont des machines dotées d’une intelligence artificielle et qui peuvent prendre la décision de tuer sans qu’il y ait une décision humaine derrière. Cet appel a eu lieu lors d’une grande conférence sur l’intelligence artificielle -qui a connu des développements fulgurants ces derniers mois et années- à Buenos Aires. Les armes offensives autonomes sont désignées comme la « troisième révolution militaire », après l’invention de la poudre et de la bombe nucléaire, puisqu’elles permettent de causer de grands dommages sans pertes humaines pour son propriétaire. Si cette dernière est difficile à fabriquer et qu’il est difficile de s’en procurer les ingrédients, les robots tueurs seront probablement ‘faciles’ à fabriquer et bon marché. De nombreuses machines autonomes sont déjà utilisées sur les champs de bataille (ou en phase de l’être), qu’on pense aux drones, devenus omniprésents dans les zones de conflits, ou au robots qui assistent les militaires dans leurs opérations (comme ceux de Boston Dynamics), avec la différence notable qu’elles ne disposent pas d’intelligence artificielle, ni du pouvoir de tuer sans décision humaine. Les appelants précisent que les armes autonomes (et l’intelligence artificielle) ne sont plus une question de décennies mais d’années.

Si ces armes venaient à être interdites avant même leur création, ce ne serait pas une première, les lasers aveuglants ont été interdits avant d’avoir été développés à grande échelle en 1998.

Un prototype de robot militaire

Une faille du système d’exploitation mobile Android peut permettre à des pirates informatiques de prendre le contrôle d’un smartphone. Les attaquants n’ont besoin que du numéro de téléphone, et en l’utilisant ils peuvent exécuter des programmes à distance via un fichier délivré par MMS. La faille repose sur la fonctionnalité « Stagefright », qui pré-télécharge automatiquement les extraits vidéo attachés à des textos pour éviter à leur destinataire d’avoir à attendre pour les regarder. Les pirates peuvent cacher des trojans dans ces fichiers vidéo. La faille est encore plus grave si l’utilisateur utilise par défaut l’application Hangouts, qui traite la vidéo automatiquement sans que l’utilisateur n’ait besoin d’ouvrir le MMS.

Le logiciel par défaut Android dispose, quant à lui, d’un comportement différent puisqu’il faut que l’utilisateur ouvre le MMS – sans avoir besoin de jouer la vidéo contenue à l’intérieur – pour être infecté. D’après la société de sécurité informatique, quelque 95% des smartphones opérant sous Android, soit environ 950 millions d’appareils, sont à risque. Des patchs de sécurité ont été produit pour y remédier, mais ce n’est que le début d’une très longue procédure de mise à jour car ce n’est pas Google qui contrôle les mises à jour d’Android sur les appareils utilisant le logiciel, mais les fabricants des téléphones et même parfois les opérateurs téléphoniques.

Un trojan peut infecter Android via Stagefright

La boite de sécurité informatique Rook Security vient de publier un outil pour détecter les malwares développés par l’entreprise d’espionnage privée italienne Hacking Team. Rook Security annonce que les virus détectés dans les 400Go de données fuitées seront ajoutées au détecteur.

Télécharger ici. (MILANO INSTALLER – MSI WINDOWS INSTALLER PACKAGE)
– Décompresser l’archive,
– Lancer RookMilano.msi
– Touche ‘Démarrer’ et rechercher l’application ‘Rook Milano’
– Appuyer 3 fois sur Enter pour accepter les conditions d’utilisations.
– Appuyer sur d puis sur Enter pour lancer un scan profond.

Un ‘rootkit’, est un type de virus qui résiste à la réinstallation du système, au formatage ou même au changement de disque dur. Pour faire cela, le rootkit s’installe directement dans le BIOS de la machine (le BIOS, dans le cas des ordinateurs récents s’appelle ‘UEFI’). On sait que Hacking Team utilisait un rootkit pour s’assurer de la persistance de son virus RCS. Ainsi, même en réinstallant le système ou en changeant de disque dur, RCS poursuivait son activité.

Le rootkit de Hacking Team fonctionnait sur les UEFI de marques Insyde et AMI (American Megatrends Inc.) Pour connaître la marque de votre BIOS/UEFI, ouvrez le panneaux ‘Informations Système’ de Windows.

Le rootkit de Hacking Team doit à priori être installé directement sur la machine. La police doit donc avoir un accès physique à l’ordinateur, mais il n’est pas impossible qu’une installation à distance puisse exister. Le rootkit est téléchargé depuis une clé USB et installe trois modules dans le BIOS. Ntfs.mod donne au rootkit la possibilité de lire/écrire sur un disque dur formaté en NTFS. Rkloader.mod détecte l’évenement de démarrage de l’ordinateur pour lancer le 3e module, dropper.mod, qui contient les agents malicieux. Ces deux agents sont scout.exe et soldier.exe.

A chaque fois que l’ordinateur est redémarré, le rootkit vérifie donc que l’agent scout.exe est installé dans le répertoire /user/appdata/roaming/microsoft/windows/start menu/programs/startup/[suite de caractères]/. Deux autres agents assistent scout, soldier.exe et scoute.exe. Vous pouvez éventuellement rechercher dans votre ordinateur après ces fichiers. Notez que si vous les trouvez, vous êtes infectés, mais que si vous ne les trouvez pas, vous n’êtes pas tiré d’affaire.

La grande question est donc la suivante : comment se protéger de telles attaques ? Les rootkits sont particulièrement terrifiants puisqu’ils résistent aux formatages, réinstallations, changements de disques durs. Dans le cas de Hacking Team, quelques ‘petits’ gestes peuvent donner du fil à retordre aux espions :

• Mettre à jour son BIOS/UEFI. Ceci est une manœuvre difficile et dangereuse. Adressez vous à quelqu’un qui s’y connait. La mise à jour permettra de patcher le BIOS contre les dernières failles de sécurité découvertes.
• Activer la fonction SecureFlash.
• Protéger le BIOS/UEFI par un mot de passe (si vous vous êtes toujours demandé à quoi ça pouvait bien servir, voilà).

Enfin, hormis ce rootkit, les révélations de la fuite de Hacking Team ont permis de découvrir trois failles critiques dans Adobe Flash. Vu que ce logiciel est de moins en moins utilisé aujourd’hui (la plupart des sites de vidéo n’en ont plus besoin), il devrait être désactivé et désinstallé.

L’installation des agents Scout et Soldier.

Nous écrivions hier (ici) que la société italienne ‘Hacking Team’ avait été piratée. On sait à présent qu’il va falloir un certain temps avant de réaliser à quel point ils ont été ridiculisés. ‘Hacking Team’ est une société d’espionnage privée qui vent des logiciels espions à des gouvernements, des polices, des services de renseignements et autres agences gouvernementales. Leur produit phare, RCS, est un virus qui peut infecter n’importe quel système d’exploitation pour rapporter des informations au commanditaire. Jusqu’à présent, la Belgique ne semble pas faire partie de la liste des clients de cette société, mais il va falloir un certain temps pour que les 400Go de données soient traités par les différents analystes.

Qui plus est, le hacker a communiqué avec des journalistes : il aurait prit tout ce qu’il y avait à prendre sur les serveurs, plus d’1To (1000Go) de données. On peut donc supposer que d’autres informations pourraient fuiter sous peu. C’est (selon notre décompte, possiblement incomplet) au moins la quatrième fois que ‘Hacking Team’ fait face à une fuite. Depuis plusieurs années, des versions de son virus apparaissent sur la toile (envois anonymes à des éditeurs d’antivirus, à Wikileaks,…), forçant probablement les développeurs à ré-écrire leur virus pour éviter d’être détectés.

Dans l’une des conversations e-mail interne à l’entreprise, on peut voir deux employés discuter de PGP « Pourquoi n’utilisons nous pas PGP pour protéger nos e-mails? » demande le premier. L’autre lui répond « Nous n’avons rien à cacher ». ‘Hacking Team’ vendait pourtant son logiciel au Soudan, ce cas particulier étant illégal. Dans les abondantes conversations, on peut aussi voir des développeurs de Tor, de Wikileaks et d’autres ingénieurs en sécurité être insultés grassement, le PDG de ‘Hacking Team’ qui fait part de son avis concernant le bombardement de l’Iran à des fonctionnaires américains, etc…

Les clients de ‘Hacking Team’ ont reçu ce matin un e-mail leur conseillant très vivement de désactiver les copies de RCS qui sont en circulation. RCS est à présent compromis et pourra être détecté, en plus d’être repris par d’autres hackers : puisque la firme italienne avait installé -sans le dire à ses clients- une porte dérobée dans son logiciel, qui lui permettait de reprendre la main. Devant un tel bide, la société pourrait peut-être mettre la clé sous la porte.

Concernant la méthode, on sait à présent que ce sont deux employés -haut placés- de la société qui ont été piratés (leur mot de passe était ‘mot de passe’…) Ceux-ci avaient accès à la totalité du contenu des serveurs de la société. Le pirate serait la même personne qui avait piraté Gamma (éditeur de l’autre célèbre virus espion ‘FinFisher’). Il a publié les 400Go sur Bittorrent. Le fichier torrent a été diffusé via le site de partage de fichiers Mega. Les fichiers peuvent également être consultés -avec prudence- sur ce site.

Edit : Deux communiqués viennent d’être publiés : le premier de Hacking Team, qui prétend avoir été victime d’une attaque « d’un très haut niveau technique, possiblement venue d’un groupe politique organisé ou d’un gouvernement ». Ce qui ne tient absolument pas debout. Le second est le témoignage de divers experts informatiques qui relativisent la « puissance de feu » de Hacking Team : les failles utilisées sont toutes très anciennes (Win32k, Flash, Word, Java,…), les attaques contre Mac OSX n’ont pas été mises à jour récemment et les attaques contre iOS et Android nécéssitaient la plupart du temps un appareil rooté/jailbraiké.

Christian Pozzi va avoir du mal à retrouver du travail tout de suite. Son mot de passe: