En 2013, le plus célèbre logiciel de chiffrement de fichiers tirait sa révérence après des années de service, sans vraiment expliquer pourquoi. Après coup, il semblerait que Truecrypt ait subit des pressions de la part des autorités américaines, mais il est difficile d’en savoir plus. En octobre 2013, une campagne de financement participatif avait récolté assez d’argent pour financer un audit indépendant et professionnel de ce programme. Car si Truecrypt est en effet ‘opensource’ (on peut ‘lire’ le logiciel), il n’était pas relu dans les faits : peu de communauté autour de lui, et un code extrêmement long et complexe. Si Truecrypt avait contenue un backdoor de la NSA (une porte arrière), il aurait été difficile de le savoir, quand bien même cette backdoor n’aurait pas été cachée. C’est à présent chose faite : un an et demi plus tard, l’Open Crypto Audit Project vient de rendre son rapport public : Truecrypt n’a pas été vérolé par la NSA ou par un autre service de renseignement. Les chercheurs ont découvert 4 failles dans Truecrypt, 2 faibles, et 2 fortes. Malgré tout, aucune de ces failles ne permettait de pirater facilement une clé de chiffrement de Truecrypt. Deux ans après sa dernière mise à jour, Truecrypt reste donc le meilleur logiciel de chiffrement : gratuit, open-source et audité( Il faudra être prudent de télécharger la version 7.1a) La publication de cet audit va aussi permettre aux nombreux candidats de recommencer à développer Truecrypt. L’un des plus prometteurs est Truecrypt.ch (alias TCNext). Vous pouvez également télécharger la dernière version fiable de Truecrypt sur leur site. Consultez leur site ici.

S’il est depuis longtemps avéré que les systèmes d’exploitation d’Apple (OSx et iOS) sont autant sujets aux virus et aux attaques informatiques que les autres systèmes d’exploitation : cette information fait mauvaise presse à le marque qui utilise régulièrement l’argument fallacieux de l’absence de virus sur Mac et iphone pour vendre ses machines. Plusieurs antivirus ont ainsi été supprimés de l’App Store -le magasin d’applications officiel d’Apple- parce qu’ils se présentaient comme des solutions de sécurité. C’est donc l’occasion de rappeler que, oui, une machine Apple peut être infecté.

En janvier, peu après les attentats de Paris, David Cameron affirmait vouloir interdire les « espaces surs » et notamment les applications de messageries privées cryptées, telles que WhatsApp, Snapchat, Hangout, Skype: « Dans notre pays, pouvons-nous autoriser un moyen de communication entre des personnes, même des extrémistes (…) que nous ne pouvons pas lire ? Non, il ne faut pas » Cette volonté de s’attaquer aux espaces « surs » faisait écho aux déclarations du directeur du FBI, qui dénonçait les nouvelles méthodes de chiffrement d’Apple et Google.

Cependant, lors d’une séance d’information devant les députés, les membres du bureau parlementaire des sciences et des technologies (The Parliamentary Office of Science and Technology ou POST), qui délivre des conseils indépendants aux députés sur diverses questions scientifiques et techniques, ont jugé que si les objectifs du Premier ministre étaient « nobles », ils n’en étaient pas moins irréalisables. Les experts en informatiques ont estimé que toute tentative législative d’interdiction ou de blocage du réseau Tor au Royaume-Uni serait « technologiquement impossible ». Le rapport du POST prend la Chine en exemple: en tentant de bloquer le réseau, elle n’a fait qu’engendrer la création de « bridges », des relais passerelles TOR, très difficiles à bloquer.

Récemment, les navigateurs ont introduit une nouvelle fonctionnalité nommée « WebRTC » qui permet principalement d’utiliser la discussion par caméra/micro (VoIP) dans le navigateur. C’est sur cette technologie que fonctionne le nouveau service de chat « Firefox Hello ». Seulement, une faille dans WebRTC permet aux sites visités de voir votre adresse IP « réelle » lorsque vous voudriez la dissimuler l’aide de TOR ou d’un VPN.

Il est possible de désactiver WebRTC à l’aide d’extensions comme ScriptSafe pour Chrome. Malheureusement, cette extension empèche d’autres fonctionnalités de fonctionner…

Dés qu’une extension sera disponible (ou que la faille dans WebRTC aura été corrigée), nous écrirons un article.

Vous connaissez peut-être Cryptocat, un service de communication chiffré parmi les plus faciles à utiliser et les plus sécurisés. Celui-ci ne nécessite pas de s’inscrire ou d’installer quoi que ce soit. Il a récemment eu une petite publicité puisque les journalistes qui ont publié le ‘swissleaks’ l’utilisaient.

Le créateur de Cryptocat, Nadim Kobeissi (cette création lui a valu d’être arrêté et interrogé en voyageant aux USA. Le FBI a également tenté de le piéger via Sabu qui avait piégé l’anarchiste Jeremy Hammond), vient de lancer un nouveau programme nommé ‘Peerio’, qui permet non seulement l’échange d’e-mails cryptés entre ses utilisateurs, mais également un stockage chiffré de bout-en-bout d’un 1Go, permettant d’envoyer de gros documents sensibles. Peerio fonctionne sur le même principe que PGP mais a simplifié grandement son utilisation.

Les avantages de Peerio sont nombreux : gratuit, pas de pub, chiffrés sur le trajet, sur le serveur. Peerio se définit lui-même comme réunissant le meilleurs des ‘deux mondes’ : cela ne sert à rien de protéger la route vers un data-center pas protégé, comme cela ne sert à rien de mettre ses données dans un data-center très bien protégé dont le fournisseur est le seul à avoir la clé. Avec Peerio , la connexion est sécurisée et les développeurs n’ont aucun accès aux données.
Il est à noter que Peerio a un autre énorme avantage : il est open-source et le code a été audité, ce qui signifie que le code a été vérifié.

Peerio est disponible sous la forme d’une application Chrome, ce qui signifie qu’il peut être utilisé via n’importe quel système d’exploitation bureau (Windows, OSx, Linux et Chrome OS). Les applications Android et iOS sont en construction et devraient être disponibles sous peu.

Peerio, le futur de la messagerie sécurisée ?

Depuis 1991, PGP (puis OpenPGP et GnuPG) est le système de chiffrement civil le plus efficace au monde. Son efficacité venant de son fonctionnement, il n’a pas subit d’énormes changements ces dernières années, il doit toutefois être maintenu, hébergé et protégé par des développeurs non-anonymes (pour être sûr de sa provenance), etc… En plus de son utilité pratique pour tous ceux qui se soucient de leur vie privée, GPG a inspiré et a été la base de très nombreux logiciels. Pourtant, malgré l’importance cruciale de ce logiciel pour l’existence même du net, l’unique développeur permanent de GPG mettait en garde (ici) les utilisateurs il y a quelques jours : moins d’un tiers de l’argent annuel nécéssaire au maintien de GPG a été récolté en 2014. Ceci mettant en péril l’existence de ce logiciel. Pourtant, au regard d’autres logiciels, il ne nécessite que 120.000$/an pour continuer à vivre. Ce cri d’alarme a retenti comme il le fallait : la ‘Core Infrastructure Initiative’ (une initiative de sécurisation des connexions OpenSSL sur internet regroupant les géants du net) a versé 60.000$, Facebook et Stripe ont chacun versé 50.000$ et finalement la Wau Holland Stiftung (une fondation proche du Chaos Computer Club) a versé 19.000€ et 57 bitcoins (un total de 34.000$). L’argent nécessaire est donc récolté, pour cette année.

On pourrait s’interroger sur la participation des géants du net dans le financement d’un tel logiciel, les raisons sont pourtant simples : ces sommes sont dérisoires pour eux (l’équivalent d’un gros serveur et d’un salaire de développeur), une petite publicité, mais c’est aussi simplement parce que malgré les discours hostiles au chiffrement informatique, internet ne peut -de par sa nature- tout simplement pas se passer d’un chiffrement fort et indéchiffrable.

Pour faire une donation à GnuPG, cliquez ici.

Werner Koch, le principal développeur de GnuPG.

Les nouvelles conditions d’utilisation de Facebook s’appliquent maintenant. – à tout moment et sans demander votre permissionSi vous en tant qu’utilisateur acceptez les nouvelles conditions d’utilisation, vous autorisez Facebook à utiliser votre GPS, Bluetooth et wifi pour déterminer votre emplacement. Le site social pourra non seulement demander votre emplacement, mais en profiter aussi à des fins commerciales. Il n’y aura pas d’option pour garder votre emplacement secret.

Facebook pourra non seulement suivre ce que vous postez, ce que vous aimez, partagez, envoyez dans vos messages privés et ce que vous pensez des autres (tant sur le site que dans les applis Facebook et Messenger). Votre comportement de navigation, qui pourra être ‘suivi’ par Facebook. En outre, le réseau social saura quels appareils vous utiliserez: type, numéro de téléphone, fournisseur,… Et puis, il y a encore WhatsApp, Instagram, Oculus, l’appli de ‘fitness-tracking’ Moves, le service publicitaire vidéo LiveRail,…: toutes des entreprises que Facebook a englouties et dont il collecte par conséquent aussi les données des utilisateurs. C’est ainsi que WhatsApp transmettrait par exemple à qui et quand vous envoyez des messages.

Nous vous avons déjà parlé de l’EFF (Electronic Frontier Foundation), une association anti-surveillance états-unienne qui publie régulièrement quantités de matériels utiles contre la surveillance en ligne. Dernièrement publiés, un detecteur de spywares gouvernementaux et un comparatif des niveaux de sécurité de toutes les grandes messageries en ligne. Voici une page depuis longtemps en ligne mais qui n’avait jamais été publiée ici : le ‘guide d’auto-défense à la surveillance’. Ecrit en anglais (en espagnol et en arabe pour certaines pages) et pour un contexte américain, mais largement utilisable ailleurs. Le guide contient tout ce qui est utile : analyse de risques, effacement sécurisé, chiffrement, communication sécurisée…

Pour consulter ce guide : cliquez-ici

Logo du guide de l’EFF

Lors d’une conférence du mythique Chaos Computer Club, des documents de la NSA ont été analysés par Jacob Appelbaum (l’un des architectes de TOR qui a déjà représenté Wikileaks dans le passé et a contribué à montrer les failles de Truecrypt et d’autres logiciels) et Laura Poitras (réalisatrice du film Citizenfour). (Voir la vidéo) On sait à peu près ce qui était indéchiffrable en 2012. La NSA pourrait avoir avancé en 2 ans, mais cela est peu probable.
Commençons par ce qui est déchiffrable : les connexions https et les connexions vpn. Pour le VPN, difficile de savoir si le piratage se fait au niveau du fournisseur ou bien du protocole. Difficile donc de savoir si des VPN comme celui de Riseup sont concernés. En 2012, la NSA craquait 20.000 connexions VPN par heure et 10 millions de connexions HTTPS par jour ! Tout ce qui concerne le chiffrement via les fournisseurs de services est également facilement attaquable pour la NSA : le projet d’implémentation de PGP à l’intérieur de Gmail par exemple sera un jeu d’enfants à déchiffrer.
Concernant TOR, ils ont du mal mais ils y arrivent : leur recette favorite étant de pirater directement l’ordinateur de la cible pour intercepter les données avant qu’elles ne transitent par TOR.
Du coté de l’indéchiffrable : c’est toujours PGP et OTR (Off the Record) qui sont les bêtes noires des services secrets. Truecrypt est également très solide, même si le projet a été abandonné (et reprit par d’autres équipes prometteuses comme Truecrypt.ch et Veracrypt).
On peut se sentir à l’abris de la NSA en Europe : mais l’enjeu est que si la NSA ne peut pas attaquer ces logiciels, il y a peu de chance qu’une autre agence y parvienne.

Pour bien choisir son outil de communication, voir l’infographie de l’EFF.

Si vous utilisez TAILS, cette distribution linux sur live-cd et live-usb très sécurisée et très efficace, et que vous avez l’habitude de la mettre à jour sur votre clé USB, vous devriez installer la dernière version (1.2.2) manuellement sur votre clé USB. La raison est que l’hébergeur de Tails, Boum.org changera de certificat le 3 janvier prochain et qu’il ne pourra donc plus prouver son identité aux anciennes versions de Tails qui recevront un message d’erreur si elles tentent de se mettre à jour.

Pour télécharger la dernière version de ce formidable outil, rendez vous sur le site de TAILS.