Après des semaines de déni, le gouvernement grec a dû reconnaître que les services de Renseignements (l’EYP) ont espionné un eurodéputé, et probablement des journalistes en infectant leurs téléphones avec un logiciel d’espionnage, le Predator. Tout commence le 28 juin dernier, un eurodéputé socialiste soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté. Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie. Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données. Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé. Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

Selon une enquête du Conseil irlandais pour les libertés civiles (ICCL), basée sur des chiffres publics, mais aussi certaines sources confidentielles portant sur l’ampleur du RTB (real-time bidding), Google et les autres grands acteurs tech nous géolocalisent presque en permanence. Particulièrement en cause, le RTB qui est un type de publicité reposant sur la mise aux enchères d’un espace de diffusion.

Concrètement, lorsqu’un utilisateur consulte une page web avec un encart publicitaire, son profil est automatiquement analysé par différents annonceurs potentiels, qui ont alors accès à plusieurs informations le concernant, et notamment sa géolocalisation. En croisant un certain nombre de données, les entreprises se livrent alors à une vente aux enchères, qui déterminera par la suite quelle publicité afficher en fonction du profil utilisateur, et du prix mis sur la table. Cette opération ne prend que quelques centaines de millisecondes.

Google partagerait ainsi 71 milliards de géolocalisations RTB en Europe chaque année. Un Européen est donc géolocalisé en moyenne 376 fois par jour. Et ce chiffre est de moitié inférieur à celui enregistré aux États-Unis, où aucun règlement ne garantit la sécurité des données en ligne. Selon l’ICCL, ces résultats sont d’autant plus inquiétants qu’ils pourraient être loin de la réalité. Les chiffres du rapport indiquent en effet qu’il s’agit là d’une “estimation basse”, qui n’inclut pas les diffusions RTB de Facebook ou Amazon.

Lire l’étude de l’ICCL

Dossier(s): Sécurité IT

Une équipe internationale de chercheurs français, israéliens et australiens vient de développer une technique capable d’identifier des utilisateurs sur la base d’une “empreinte” laissée par le GPU (puce disposée sur la carte graphique) de leur système. Sur une chaîne de production, il est impossible d’obtenir deux éléments parfaitement identiques. Au niveau des cartes graphiques, cela se traduit par de petites variations au niveau des performances. Souvent négligeables en pratique, elles peuvent toutefois être quantifiées par des outils d’analyse très précis.

C’est ce qui a été exploité par ces chercheurs qui ont développé un script qui fait tourner des petits bouts de code sur des sous-unités précises du GPU. Or, à cause des petites différences liées au processus de production, chaque sous-unité affiche des performances très légèrement différentes. Ces dernières sont alors compilées pour en extraire une sorte d’empreinte digitale unique. Celle-ci permet ensuite d’identifier individuellement une unité… et donc théoriquement de suivre l’utilisateur à la trace. Et cela concerne aussi les appareils équipés de cartes dédiées que de GPU intégrés, comme les smartphones, Chromebooks, et autres appareils plus modestes. Et comme il s’agit d’une empreinte basée presque entièrement sur des paramètres physiques, elle est particulièrement stable, et donc exploitable sur une longue durée.

pour en savoir plus

Les différences de performances entre deux GPU, synthétisées sous forme de graphique

Dossier(s): Sécurité IT

La police de Santa Clara avait besoin d’informations sur un utilisateur de Signal dans le cadre d’une enquête. Les agents avaient donc demandé à la messagerie le nom, l’adresse postale, le numéro de téléphone, l’adresse IP et même les heures de connexion du suspect. Autant de données que Signal n’a pu délivrer, ne les ayant pas elle-même. La messagerie, chiffrée de bout en bout, ne stocke tout simplement pas les informations personnelles de ses utilisateurs. « Nous voici au second semestre 2021 », a ainsi expliqué Signal sur son blog, « Signal ne sait toujours rien de vous, mais le gouvernement continue de demander. » « Le vaste ensemble d’informations personnelles qui sont généralement faciles à récupérer dans d’autres applications n’existe tout simplement pas sur les serveurs de Signal », rappelle Signal. La messagerie a précisé qu’elle n’avait pas accès aux messages, à la liste de discussion, aux groupes, aux contacts, aux noms de profil ou avatar ou même aux GIF recherchés par ses utilisateurs. Les seules informations qu’elle peut fournir sont la date de création du compte et la dernière connexion de l’utilisateur.

Menée dans le cadre d’Europol en coordination avec Eurojust, une opération a visé le Dark Web. Baptisée « DarkHunTOR », elle a consisté en une série d’actions menées en Australie, Bulgarie, France, Allemagne, Italie, Pays-Bas, Suisse, Royaume-Uni et États-Unis. Aux États-Unis, quelque 65 personnes ont été arrêtées, 47 en Allemagne, 24 au Royaume-Uni, quatre en Italie et quatre aux Pays-Bas. Les forces de l’ordre ont entre autres saisi 26,7 millions d’euros en numéraire et monnaies électroniques, 25 000 comprimés d’ecstasy, 45 armes à feu, etc. En Italie, la police a également fermé des places de marché illégales nommées « DeepSea » et « Berlusconi » qui présentaient à elles deux plus de 100 000 annonces de produits illégaux.

L’opération faisait suite au démantèlement en janvier sous la conduite de la police allemande de la plateforme « DarkMarket », présentée alors par les enquêteurs comme le « plus vaste » point de vente du Dark Web, était lié à un coup de filet remontant à septembre 2019 en Allemagne contre un important hébergeur de services illégaux du Dark Web. Ce datacenter illégal était installé dans un ancien bunker de l’Otan dans le sud-ouest de l’Allemagne.

This, Jane, is the internet

Dossier(s): Sécurité IT Tags:

Un nouveau projet de loi du gouvernement fédéral prévoit d’obliger les fournisseurs de services de télécommunication de permettre aux forces de l’ordre (police, justice, sécurité de l’Etat…) de déchiffrer ce qui est échangé dans les applications de messageries cryptées de type Whatsapp ou Signal par certains utilisateurs spécifiques. Autrement dit, les fournisseurs de services seront obligés de « désactiver » le cryptage pour des utilisateurs visés par des enquêtes policières et judiciaires.

Le problème généralement soulevé, c’est qu’il n’existe aucun moyen de simplement « désactiver » le cryptage pour certains utilisateurs. Par conséquent, c’est l’ensemble des communications cryptées qui deviendra accessible, et non plus exclusivement celles de personnes qui intéressent la police et la justice. Certains dénoncent que l’affaiblissement du cryptage rendra les Belges beaucoup plus vulnérables aux attaques malveillantes. La protection de la vie privée est aussi évoquée. Cinquante ONG, universités et entreprises impliquées dans la protection de la vie privée et le cryptage ont publié une lettre ouverte contre le projet de loi. L’autorité belge de protection des données a déjà fait part de ses vives préoccupations dans un avis antérieur sur le projet de loi.

Mais surtout et plus fondamentalement, comme de nombreuses propositions de lois du même genre, celle-ci ne semble pas comprendre les techniques et technologies impliquées ni proposer de solution réaliste à son application.

Dossier(s): Sécurité IT Tags:

Il y a quelques jours, nous avons relayé le fait que Protonmail avait fournit des informations à la police française via une demande Europol vers la Suisse, dans le cadre d’une enquête contre les occupant·e·s d’un bâtiment de la place Sainte Marthe, militant·e·s pour le climat. Les adresses IP n’étant effectivement pas enregistrées par défaut par Protonmail, la société a activé l’enregistrement d’IP pour l’adresse e-mail visée par le mandat.

Protonmail a depuis réagi à l’information en déclarant avoir agit dans le cadre de ses obligations vis à vis de la loi suisse et de ses propres conditions d’utilisation, qui précisent que les IP ne sont pas enregistrées « par défaut » mais qu’elles peuvent être enregistrées pour des adresses spécifiquement visées par une requête légale. Protonmail suggère à ses utilisateurs et utilisatrices qui auraient des besoins « spécifiques » en matière de vie privée d’utiliser le site .onion, accessible uniquement via TOR. Il est toutefois toujours impossible d’ouvrir un nouveau compte sans devoir fournir un numéro de téléphone ou de carte de crédit.

Les protocoles e-mail sont réputés pour être des technologies fondamentalement difficiles à sécuriser. Auparavant, la seule façon de garantir le chiffrement de ses e-mails était d’utiliser le logiciel OpenPGP, mais là encore avec une immense faille puisque la plupart des méta-données (émetteur, destinataire, sujet, date et heure) sont très difficiles ou impossibles à chiffrer, dû au fonctionnement même des e-mails. En plus de ça, OpenPGP est difficile à utiliser, et encore plus à utiliser collectivement avec des personnes aux compétences informatiques variables. L’arrivée de fournisseurs d’e-mails chiffrés associatifs (comme Riseup) ou commerciaux (comme Protonmail ou Tutanota) a massivement augmenté la facilité d’utilisation du chiffrement des e-mails, comparés aux fournisseurs classiques comme Gmail et Outlook. Le fait que le contenu des e-mails n’ait pas pu être transmis à la police française est donc un point important à noter. Protonmail n’est pas anonyme (pas plus que Tutanota qui peut également être légalement forcé d’enregistrer l’adresse IP d’un utilisateur spécifique, par la justice allemande). L’utilisation d’un bon VPN ou de TOR est la seule façon d’être anonyme vis-à-vis de son fournisseur d’accès à internet ou des sites web visités.

Ces dernières années ont enfin vu se développer de nouveaux protocoles de messagerie chiffrée comme Signal ou Session qui permettent le chiffrement de la quasi-totalité des méta-données par défaut. Contrairement à OpenPGP qui utilise toujours la même clé pour chiffrer, ces nouveaux protocoles utilisent de nouvelles clés pour chaque message.

Malgré le fait que Protonmail est transmis cette information, il est toujours préférable d’utiliser un tel service plutôt qu’un fournisseur d’e-mail classique, en gardant à l’esprit que contrairement à Signal, les méta-données des e-mails ne sont généralement pas chiffrées. En toutes circonstances, sur tous les appareils que vous utilisez (smartphones, tablettes, ordinateurs) et pour toute activité sur le web, nous recommandons fortement l’utilisation d’un VPN réputé en matière de vie privée comme Mullvad, ou de TOR.

Une équipe de chercheurs de l’université Ben Gourion s’est spécialisée dans les attaques dites airgap, ou attaques déconnectées, qui visent des systèmes isolés du réseau global, et donc théoriquement inviolables pour un pirate. Ces chercheurs étaient parvenus, l’an dernier, à espionner une conversation en filmant une ampoule. Depuis, ils sont parvenus à capter le son d’un haut-parleur à distance en filmant sa LED d’alimentation. Dans de nombreux appareils, le voyant d’alimentation est connecté directement à la ligne électrique. L’intensité du voyant est donc corrélée à la consommation d’énergie, qui dépend directement du son émis. En braquant un télescope (muni d’un capteur électro-optique et un convertisseur analogique/numérique) sur la LED choisie, les chercheurs ont pu mesurer les variations de son intensité. Un algorithme a ensuite interprétés ces variations et reconstitué le signal sonore…

Cette technique nécessite de savoir quelle intensité de la LED correspond à quel signal sonore. Pour connaître cette donnée, différente pour chaque appareil, il faut donc construire une courbe de réponse, ce qui implique de pouvoir étudier l’appareil en amont. Mais outre cette restriction, le système fonctionne remarquablement bien : les chercheurs sont parvenus à extraire des phrases intelligibles à une distance de 35 mètres. La technique fonctionne avec des enceintes standard, mais pas seulement. Elle est aussi applicable à des appareils domotiques ou des équipements d’une infrastructure réseau.

Plus les jours passent depuis la publication de l’enquête sur le Projet Pegasus, et plus la liste des victimes s’allonge. Le consortium mené par l’organisation Fordidden Stories a notamment pu mettre la main sur une liste comprenant pas moins de 50 000 smartphones infectés par Pegasus. Amnesty International vient de mettre en place un outil vous permettant de vérifier si votre smartphone a été infecté ou non par le logiciel espion. Celui-ci est disponible ici. La vérification peut être assez longue et fastidieuse car l’outil cherche à vérifier en détail chacun de vos fichiers pour voir si Pegasus s’y trouve. Pour l’heure, il s’agit du seul moyen de vérifier si l’on a été contaminé ou non par ce malware. La liste des victimes ne sera en effet jamais rendue publique. De plus, de nombreuses révélations peuvent encore avoir lieu, tandis que les chercheurs s’appliquent toujours à disséquer Pegasus pour en déceler les secrets.