Nous écrivions hier (ici) que la société italienne ‘Hacking Team’ avait été piratée. On sait à présent qu’il va falloir un certain temps avant de réaliser à quel point ils ont été ridiculisés. ‘Hacking Team’ est une société d’espionnage privée qui vent des logiciels espions à des gouvernements, des polices, des services de renseignements et autres agences gouvernementales. Leur produit phare, RCS, est un virus qui peut infecter n’importe quel système d’exploitation pour rapporter des informations au commanditaire. Jusqu’à présent, la Belgique ne semble pas faire partie de la liste des clients de cette société, mais il va falloir un certain temps pour que les 400Go de données soient traités par les différents analystes.

Qui plus est, le hacker a communiqué avec des journalistes : il aurait prit tout ce qu’il y avait à prendre sur les serveurs, plus d’1To (1000Go) de données. On peut donc supposer que d’autres informations pourraient fuiter sous peu. C’est (selon notre décompte, possiblement incomplet) au moins la quatrième fois que ‘Hacking Team’ fait face à une fuite. Depuis plusieurs années, des versions de son virus apparaissent sur la toile (envois anonymes à des éditeurs d’antivirus, à Wikileaks,…), forçant probablement les développeurs à ré-écrire leur virus pour éviter d’être détectés.

Dans l’une des conversations e-mail interne à l’entreprise, on peut voir deux employés discuter de PGP « Pourquoi n’utilisons nous pas PGP pour protéger nos e-mails? » demande le premier. L’autre lui répond « Nous n’avons rien à cacher ». ‘Hacking Team’ vendait pourtant son logiciel au Soudan, ce cas particulier étant illégal. Dans les abondantes conversations, on peut aussi voir des développeurs de Tor, de Wikileaks et d’autres ingénieurs en sécurité être insultés grassement, le PDG de ‘Hacking Team’ qui fait part de son avis concernant le bombardement de l’Iran à des fonctionnaires américains, etc…

Les clients de ‘Hacking Team’ ont reçu ce matin un e-mail leur conseillant très vivement de désactiver les copies de RCS qui sont en circulation. RCS est à présent compromis et pourra être détecté, en plus d’être repris par d’autres hackers : puisque la firme italienne avait installé -sans le dire à ses clients- une porte dérobée dans son logiciel, qui lui permettait de reprendre la main. Devant un tel bide, la société pourrait peut-être mettre la clé sous la porte.

Concernant la méthode, on sait à présent que ce sont deux employés -haut placés- de la société qui ont été piratés (leur mot de passe était ‘mot de passe’…) Ceux-ci avaient accès à la totalité du contenu des serveurs de la société. Le pirate serait la même personne qui avait piraté Gamma (éditeur de l’autre célèbre virus espion ‘FinFisher’). Il a publié les 400Go sur Bittorrent. Le fichier torrent a été diffusé via le site de partage de fichiers Mega. Les fichiers peuvent également être consultés -avec prudence- sur ce site.

Edit : Deux communiqués viennent d’être publiés : le premier de Hacking Team, qui prétend avoir été victime d’une attaque « d’un très haut niveau technique, possiblement venue d’un groupe politique organisé ou d’un gouvernement ». Ce qui ne tient absolument pas debout. Le second est le témoignage de divers experts informatiques qui relativisent la « puissance de feu » de Hacking Team : les failles utilisées sont toutes très anciennes (Win32k, Flash, Word, Java,…), les attaques contre Mac OSX n’ont pas été mises à jour récemment et les attaques contre iOS et Android nécéssitaient la plupart du temps un appareil rooté/jailbraiké.

Christian Pozzi va avoir du mal à retrouver du travail tout de suite. Son mot de passe:

Après plus de trois ans de négociations, les ministres européens de la Justice se sont finalement entendus lundi sur un nouveau cadre européen pour la protection des données personnelles. La nouvelle règlementation met à jour des règles datant de plus de vingt ans. Le droit à l’oubli est désormais garanti pour les internautes, dont les données personnelles pourront bien être supprimées de la toile. Les citoyens devront aussi expressément donner leur consentement pour autoriser le traitement de leurs données à d’autres fins.

Le pouvoir des autorités nationales chargées de la protection des données se voit renforcé de sorte à mieux faire appliquer les règles relatives à la vie privée. Le secrétaire d’Etat pour la Protection de la vie privée a d’ailleurs l’intention de présenter un projet de loi cet automne pour autoriser la Commission de la protection de la vie privée à infliger elle-même des amendes. Dimanche, cette dernière a d’ailleurs annoncé qu’elle attaquait Facebook en justice en raison de violations à la vie privée, une première en Europe. Les gouvernements européens doivent encore négocier les nouvelles règles avec le Parlement européen. Il est escompté que les colégislateurs dégagent un compromis avant la fin de l’année. Si tel était le cas, le nouveau cadre serait alors applicable à partir de 2018.

Depuis les révélations d’Edward Snowden, les géants du net ne savent plus quoi faire pour faire croire à leurs utilisateurs qu’ils ne risquent rien. Dans cet esprit, Facebook vient de rajouter une fonctionnalité intéressante qui permettra aux utilisateurs de rajouter une clé publique OpenPGP dans leur page de contact. Eventuellement, on peut aussi demander au site de chiffrer les e-mails qui sont envoyés (les notifications). Cette fonctionnalité n’a cependant aucun intérêt, puisque le contenu des notifications peut-être déchiffré par des dizaines d’autres façons qu’en regardant dans la boite mail d’un utilisateur…

Cependant, le coté intéressant de cette démarche est qu’à l’heure actuelle, il y a deux moyens de partager des clés OpenPGP : soit de main à main (via clé USB, ou en l’envoyant par e-mail,…) soit via un annuaire. Dans le futur, les internautes à la recherche de la clé PGP d’un destinataire pourront éventuellement la trouver sur Facebook.

Les limites de ce système sont assez claires : certains utilisateurs de PGP l’utilisent avec une adresse e-mail bien précise qu’ils n’utilisent que pour les messages chiffrés, ils ont ainsi un relatif anonymat, qu’ils perdront en faisant héberger leur clé par Facebook. Pour ceux qui utilisent PGP sur leur adresse e-mail habituelle (et donc aisément reliable à leur identité propre), ce système équivaut à placer leur clé PGP dans un annuaire comme un autre. Qui plus est, cet ajout fera de la publicité à OpenPGP, qui en a bien besoin. Facebook avait d’ailleurs contribuer à sauver OpenPGP de la faillite, il y a quelques mois. Voir notre précédent article.. Si Facebook se servait de ce système pour chiffrer les communications de ces utilisateurs, cela serait plus dangereux : le message pourrait être récupéré de plusieurs manières, puisqu’il serait chiffré sur les serveurs de Facebook et non sur l’ordinateur de l’utilisateur.

Pour ajouter une clé publique sur Facebook, visitez ce lien, et dans la rubrique « coordonnées », cliquez sur « ajouter une clé publique ».

Rappelons que PGP (aussi appelé GPG ou OpenPGP) est le système de chiffrement de communications le plus sécurisé au monde. Il fonctionne sur le principe d’un couple de clé (une publique, l’autre privée), mathématiquement lié. Une clé publique permet uniquement de chiffrer, une clé privée ne sert qu’à déchiffrer. Il n’y a donc aucun problème de sécurité à laisser trainer sa clé publique aux yeux de tous. Un service de renseignement en possession d’une clé publique ne saurait rien en faire d’autre qu’envoyer des messages chiffrés à son propriétaire…

Facebook permet à ses utilisateurs d’héberger leur clé PGP sur son site.

L’analyse des documents Snowden continue a apporter son lot d’information. Les services de renseignements des cinq pays de l’alliance « Five eyes » (Etats-Unis, Canada, Royaume-Uni, Nouvelle-Zélande, Australie) ont échafaudé un plan en 2011 et 2012 pour pirater la boutique d’applications de Google et Samsung et espionner les smartphones. L’objectif des « Five eyes » était de renforcer la surveillance des smartphones grâce à des logiciels espions implantés via l’Android Market, boutique d’applications de Google rebaptisée depuis Google Play et utilisée par les téléphones de Samsung. Il prévoyait de pirater les connections à la boutique d’applications, d’implanter des logiciels malveillants afin de récolter des données dans les smartphones. Les agences voulaient également envoyer des informations erronées à des personnes d’intérêt.

Les agences s’inquiétaient de la possibilité d’un « autre Printemps arabe », et de la contagion des mouvements populaires. Elles s’intéressaient surtout à l’Afrique, en particulier le Sénégal, le Soudan et le Congo mais elles visaient également les boutiques d’application de la France, de Cuba, du Maroc, de la Suisse, des Bahamas, des Pays Bas et de la Russie. Des failles avaient été trouvées dans le moteur de recherche UC Browser, une application du géant chinois Alibaba populaire en Chine et en Inde qui a été installée par 500 millions de personnes.

Edward Snowden

Facebook utilise un logiciel permettant d’espionner les conversations privées de ses 900 millions d’utilisateurs, afin de traquer d’éventuels criminels et de les dénoncer à la police. Dans le cas de la pédophilie, cette technologie passe au crible les discussions en recherchant notamment certains mots-clés (sur la base de précédentes discussions de pédophiles condamnés), la différence d’âge entre les deux interlocuteurs, la fréquence de leurs conversations, leur lien d' »amitié » etc. En cas d’alerte, la conversation est signalée aux équipes de FB, qui contactent les autorités. Ce « scan » des conversations ne vise toutefois pas que la pédophilie (exemple naturellement mis en avant par FB) mais « toutes les activités criminelles » et même « toutes les activités qui vont à l’encontre des conditions d’utilisation ».

Dans ces conditions, FB annonce qu’il peut « être amené à partager des informations […] pour empêcher la fraude ou toute autre activité illicite, pour prévenir tout préjudice corporel imminent ou protéger nos intérêts. Ceci peut inclure le partage d’informations avec d’autres sociétés, juristes, tribunaux ou toute autre entité gouvernementale ». En somme, Facebook se réserve le droit de signaler aux autorités (ou d’autres sociétés privées!) toute activité jugée « illicite », sur la base de conversations privées. Au regard de la loi française, Facebook semble violer l’article L241-1 du Code de la sécurité intérieure qui garantit le secret des correspondances émises par la voie des communications électroniques. Le débat sur l’accès aux e-mails ne concerne pas seulement Facebook. En 2010, un internaute américain a déposé une plainte contre Google, qui analyse le contenus des e-mails échangés via Gmail pour proposer de la publicité ciblée.

Windows se prépare à commercialiser la nouvelle version de Windows 10. Pour l’instant, cette version est disponible gratuitement sous forme d’une « Technical Preview », mais les militants ne devraient pas l’utiliser puisqu’elle contient plusieurs mouchards (dont un keylogger), que Microsoft ne se cache pas d’avoir inclus sous prétexte d’utiliser les retours volontaires et involontaires des utilisateurs pour améliorer son système d’exploitation.

Dans le cadre de la mise à jour des anciennes version de Windows vers Windows 10, Microsoft a envoyé des mises à jour vers ces versions, l’une d’entre elle contient un mystérieux programme « Diagnostic Tracking Service » sur lequel Microsoft n’est pas bavard en informations : « Ce service active la récolte de données sur les problèmes des programmes de Windows ». Dans le doute, il vaut mieux désactiver ce service, ce qui est assez simple à faire. Ce programme a été installé via Windows Update sur les versions suivantes de Windows : Windows 7, Windows 8, Windows 8.1, ainsi que Windows Server 2008 et 2012.

Pour désactiver le service :

– Rechercher dans la liste des programmes « Afficher les services locaux » (simplement « Services » en anglais).

– Dans la liste des services, double-cliquer sur « Diagnostic Tracking Service ».

– Dans l’onglet « Général » de la boîte de dialogue qui vient de s’ouvrir, à la ligne « Type de démarrage », sélectionnez « désactivé ». Cliquez ensuite sur le bouton « OK ».

– Ensuite, à nouveau dans la liste des services, faites un clic-droit sur « Diagnostic Tracking Service » et cliquez sur « Arreter ». Vous pouvez ensuite fermer la fenêtre.

Capture d’écran des instructions.

Pour plus de sécurité, nous changeons notre clé PGP que vous pouvez télécharger en cliquant ici.

Une technique ‘bien connue’ pour surveiller le possesseur d’un téléphone est le ‘IMSI Catcher ». Un IMSI Catcher est un engin utilisé par la police qui se substitue à une antenne GSM (et se fait passer pour elle). Une fois connecté à cette fausse antenne, le IMSI Catcher aura les moyens de faire parler un téléphone. Lorsque la police ignore le numéro de téléphone d’un manifestant -par exemple- elle peut activer un IMSI Catcher pour connaître ce numéro.

Il y a quelques jours, les manifestants qui s’étaient rassemblés devant l’Assemblée Nationale -visiblement très au fait des nouvelles technologies- ont d’ailleurs détecter deux IMSI Catchers dans les alentours de la manifestation.

Heureusement, il existe à présent une application pour Android qui détecte si un IMSI Catcher se trouve dans les alentours, si il est activé, si il vous cible, ou si il est en train de vous écouter. Il y a 6 niveaux d’alertes :

1. Repos, l’application charge,

2. Normal, l’application est allumée, rien à signaler,

3. Medium, une antenne-relais chiffre peu ou pas, les communications peuvent être interceptées.

4. Haut, un IMSI Catcher est actif dans les alentours.

5. Dangereux, le IMSI Catcher vous cible spécifiquement.

6. COURREZ, votre téléphone est en train d’être manipulé. Pour ce niveau, les développeurs de l’application conseillent de détruire ou de se débarrasser du téléphone puisqu’il pourrait être compromis irréversiblement.

Cette merveilleuse application est nommée « Android IMSI Catcher Detector ». Elle n’est pas téléchargeable via le Google Play Store (pour des raisons de principes et de sécurité). L’APK (éxécutable Android) peut être téléchargée via ce site (en cliquant sur « Android-IMSI-Catcher-Detector.apk »). Téléchargez ce fichier depuis votre smartphone, allez dans Paramètres -> Sécurité -> Cochez la case « Sources Inconnues ». Ouvrez ensuite l’APK pour l’installer.

Une fois l’application ouverte, voyez le menu « Settings » dans le volet gauche pour activer plus de sécurités. L’application n’est disponible qu’en anglais pour le moment.

Les 6 niveaux d’alerte d’Android IMSI Catcher Detector.

En 2013, le plus célèbre logiciel de chiffrement de fichiers tirait sa révérence après des années de service, sans vraiment expliquer pourquoi. Après coup, il semblerait que Truecrypt ait subit des pressions de la part des autorités américaines, mais il est difficile d’en savoir plus. En octobre 2013, une campagne de financement participatif avait récolté assez d’argent pour financer un audit indépendant et professionnel de ce programme. Car si Truecrypt est en effet ‘opensource’ (on peut ‘lire’ le logiciel), il n’était pas relu dans les faits : peu de communauté autour de lui, et un code extrêmement long et complexe. Si Truecrypt avait contenue un backdoor de la NSA (une porte arrière), il aurait été difficile de le savoir, quand bien même cette backdoor n’aurait pas été cachée. C’est à présent chose faite : un an et demi plus tard, l’Open Crypto Audit Project vient de rendre son rapport public : Truecrypt n’a pas été vérolé par la NSA ou par un autre service de renseignement. Les chercheurs ont découvert 4 failles dans Truecrypt, 2 faibles, et 2 fortes. Malgré tout, aucune de ces failles ne permettait de pirater facilement une clé de chiffrement de Truecrypt. Deux ans après sa dernière mise à jour, Truecrypt reste donc le meilleur logiciel de chiffrement : gratuit, open-source et audité( Il faudra être prudent de télécharger la version 7.1a) La publication de cet audit va aussi permettre aux nombreux candidats de recommencer à développer Truecrypt. L’un des plus prometteurs est Truecrypt.ch (alias TCNext). Vous pouvez également télécharger la dernière version fiable de Truecrypt sur leur site. Consultez leur site ici.

S’il est depuis longtemps avéré que les systèmes d’exploitation d’Apple (OSx et iOS) sont autant sujets aux virus et aux attaques informatiques que les autres systèmes d’exploitation : cette information fait mauvaise presse à le marque qui utilise régulièrement l’argument fallacieux de l’absence de virus sur Mac et iphone pour vendre ses machines. Plusieurs antivirus ont ainsi été supprimés de l’App Store -le magasin d’applications officiel d’Apple- parce qu’ils se présentaient comme des solutions de sécurité. C’est donc l’occasion de rappeler que, oui, une machine Apple peut être infecté.