Depuis 1991, PGP (puis OpenPGP et GnuPG) est le système de chiffrement civil le plus efficace au monde. Son efficacité venant de son fonctionnement, il n’a pas subit d’énormes changements ces dernières années, il doit toutefois être maintenu, hébergé et protégé par des développeurs non-anonymes (pour être sûr de sa provenance), etc… En plus de son utilité pratique pour tous ceux qui se soucient de leur vie privée, GPG a inspiré et a été la base de très nombreux logiciels. Pourtant, malgré l’importance cruciale de ce logiciel pour l’existence même du net, l’unique développeur permanent de GPG mettait en garde (ici) les utilisateurs il y a quelques jours : moins d’un tiers de l’argent annuel nécéssaire au maintien de GPG a été récolté en 2014. Ceci mettant en péril l’existence de ce logiciel. Pourtant, au regard d’autres logiciels, il ne nécessite que 120.000$/an pour continuer à vivre. Ce cri d’alarme a retenti comme il le fallait : la ‘Core Infrastructure Initiative’ (une initiative de sécurisation des connexions OpenSSL sur internet regroupant les géants du net) a versé 60.000$, Facebook et Stripe ont chacun versé 50.000$ et finalement la Wau Holland Stiftung (une fondation proche du Chaos Computer Club) a versé 19.000€ et 57 bitcoins (un total de 34.000$). L’argent nécessaire est donc récolté, pour cette année.

On pourrait s’interroger sur la participation des géants du net dans le financement d’un tel logiciel, les raisons sont pourtant simples : ces sommes sont dérisoires pour eux (l’équivalent d’un gros serveur et d’un salaire de développeur), une petite publicité, mais c’est aussi simplement parce que malgré les discours hostiles au chiffrement informatique, internet ne peut -de par sa nature- tout simplement pas se passer d’un chiffrement fort et indéchiffrable.

Pour faire une donation à GnuPG, cliquez ici.

Les nouvelles conditions d’utilisation de Facebook s’appliquent maintenant. – à tout moment et sans demander votre permissionSi vous en tant qu’utilisateur acceptez les nouvelles conditions d’utilisation, vous autorisez Facebook à utiliser votre GPS, Bluetooth et wifi pour déterminer votre emplacement. Le site social pourra non seulement demander votre emplacement, mais en profiter aussi à des fins commerciales. Il n’y aura pas d’option pour garder votre emplacement secret.

Facebook pourra non seulement suivre ce que vous postez, ce que vous aimez, partagez, envoyez dans vos messages privés et ce que vous pensez des autres (tant sur le site que dans les applis Facebook et Messenger). Votre comportement de navigation, qui pourra être ‘suivi’ par Facebook. En outre, le réseau social saura quels appareils vous utiliserez: type, numéro de téléphone, fournisseur,… Et puis, il y a encore WhatsApp, Instagram, Oculus, l’appli de ‘fitness-tracking’ Moves, le service publicitaire vidéo LiveRail,…: toutes des entreprises que Facebook a englouties et dont il collecte par conséquent aussi les données des utilisateurs. C’est ainsi que WhatsApp transmettrait par exemple à qui et quand vous envoyez des messages.

Nous vous avons déjà parlé de l’EFF (Electronic Frontier Foundation), une association anti-surveillance états-unienne qui publie régulièrement quantités de matériels utiles contre la surveillance en ligne. Dernièrement publiés, un detecteur de spywares gouvernementaux et un comparatif des niveaux de sécurité de toutes les grandes messageries en ligne. Voici une page depuis longtemps en ligne mais qui n’avait jamais été publiée ici : le ‘guide d’auto-défense à la surveillance’. Ecrit en anglais (en espagnol et en arabe pour certaines pages) et pour un contexte américain, mais largement utilisable ailleurs. Le guide contient tout ce qui est utile : analyse de risques, effacement sécurisé, chiffrement, communication sécurisée…

Pour consulter ce guide : cliquez-ici

Lors d’une conférence du mythique Chaos Computer Club, des documents de la NSA ont été analysés par Jacob Appelbaum (l’un des architectes de TOR qui a déjà représenté Wikileaks dans le passé et a contribué à montrer les failles de Truecrypt et d’autres logiciels) et Laura Poitras (réalisatrice du film Citizenfour). (Voir la vidéo) On sait à peu près ce qui était indéchiffrable en 2012. La NSA pourrait avoir avancé en 2 ans, mais cela est peu probable.
Commençons par ce qui est déchiffrable : les connexions https et les connexions vpn. Pour le VPN, difficile de savoir si le piratage se fait au niveau du fournisseur ou bien du protocole. Difficile donc de savoir si des VPN comme celui de Riseup sont concernés. En 2012, la NSA craquait 20.000 connexions VPN par heure et 10 millions de connexions HTTPS par jour ! Tout ce qui concerne le chiffrement via les fournisseurs de services est également facilement attaquable pour la NSA : le projet d’implémentation de PGP à l’intérieur de Gmail par exemple sera un jeu d’enfants à déchiffrer.
Concernant TOR, ils ont du mal mais ils y arrivent : leur recette favorite étant de pirater directement l’ordinateur de la cible pour intercepter les données avant qu’elles ne transitent par TOR.
Du coté de l’indéchiffrable : c’est toujours PGP et OTR (Off the Record) qui sont les bêtes noires des services secrets. Truecrypt est également très solide, même si le projet a été abandonné (et reprit par d’autres équipes prometteuses comme Truecrypt.ch et Veracrypt).
On peut se sentir à l’abris de la NSA en Europe : mais l’enjeu est que si la NSA ne peut pas attaquer ces logiciels, il y a peu de chance qu’une autre agence y parvienne.

Pour bien choisir son outil de communication, voir l’infographie de l’EFF.

Si vous utilisez TAILS, cette distribution linux sur live-cd et live-usb très sécurisée et très efficace, et que vous avez l’habitude de la mettre à jour sur votre clé USB, vous devriez installer la dernière version (1.2.2) manuellement sur votre clé USB. La raison est que l’hébergeur de Tails, Boum.org changera de certificat le 3 janvier prochain et qu’il ne pourra donc plus prouver son identité aux anciennes versions de Tails qui recevront un message d’erreur si elles tentent de se mettre à jour.

Pour télécharger la dernière version de ce formidable outil, rendez vous sur le site de TAILS.

Sur son blog officiel, le projet TOR a annoncé avoir reçu des informations alarmantes sur une possible attaque majeure contre le réseau TOR. Si le réseau en lui-même est décentralisé, il y a en fait 9 serveurs qui fournissent eux-mêmes la liste des nœuds anonymes aux utilisateurs, ces serveurs sont appelés ‘directory authorities’ (en français ‘autorités des annuaires’). Ce serait contre ces serveurs dispersés aux Etats-Unis et en Europe, que les menaces pèsent. Si des rumeurs pointaient déjà du doigt l’enquête contre les ‘hackers nord-coréens’, le staff de TOR a répondu que ce n’était probablement pas le cas.

A propos des risques : le staff précise que si une telle attaque se produisait : la saisie de l’un ou de plusieurs ‘directory authorities’ ne permettrait pas à la police de trouver des informations sur les utilisateurs de TOR. En outre, si la police ne saisit pas les 9 serveurs d’un coup, le réseaut TOR cessera simplement de faire transiter le réseau par les serveurs saisis. Cette attaque ne pourra donc pas faire tomber le réseau TOR, elle pourra toutefois le faire ralentir et lui coûter cher.

La meilleure solution si vous devez utiliser TOR dans les prochains jour est de vérifier s’il n’y a pas eu d’attaques : sur le blog officiel de TOR, et sur leur compte Twitter. Si l’un ou l’autre est hors ligne, il vaut mieux ne pas utiliser TOR en attendant plus d’informations.

L’EFF (Electronic Frontier Foundation, ONG américaine contre la surveillance numérique) et Amnesty International viennent de dévoiler un logiciel nommé Detekt. Ce programme une fois installé permet de détecter les spywares gouvernementaux les plus connus. Pour le moment, Detekt n’est disponible que pour Windows puisque c’est l’OS le plus utilisé. Detekt fonctionne sous Windows XP, Vista, 7, 8 et 8.1. Notons qu’un bug empêche Detekt de fonctionner sous les versions 64bits de Windows 8.1, le bug devrait être résolu très bientôt.

Pour utiliser Detekt :

Telecharger l’éxécutable sur le site officiel.

Coupez votre connexion internet.

Coupez tous les programmes en cours d’exécution.

Clic-droit sur detekt.exe et ‘Executer en tant qu’administrateur’.

Le protocole qui permet d’accéder à des sites internet (http) est non-sécurisé. Il est très facile pour un hacker (gouvernemental ou privé) de s’interposer entre un utilisateur et un site internet. Pour sécuriser le protocole internet, on a utilisé depuis plusieurs années le chiffrement SSL : cela est visible pour l’utilisateur lorsqu’il visite une adresse qui commence par https. Dans la pratique https permet d’abord de chiffrer (avec une relative efficacité) la connexion entre un utilisateur et un site web, https permet également de garantir l’authenticité d’un site internet (signature). L’utilisateur peut dés lors être certain qu’il accède effectivement au site web qu’il veut visiter et non pas au clone d’une page web, créée par un attaquant. Le problème est que ces chiffrement/signature SSL sont compliqués à mettre en oeuvre pour plusieurs raisons : ils sont techniquement compliqués à mettre en oeuvre, les certificats sont délivrés par des instances bureaucratiques (les ‘CA’ pour Autorités de Certifications), de plus ces certificats sont payants à hauteur d’un minimum de 80€/an.

Lorsque l’on accède à certains sites militants, on peut souvent voir un message « cette connexion n’est pas sécurisée » ou « l’identité de ce site n’a pas pu être vérifiée », ou « le certificat de ce site web a expiré ». Ces messages qui sont souvent des faux-positifs -mais pas toujours- sont pénibles pour les militants soucieux de leur sécurité informatique. Ceci pose des problèmes, particulièrement dans les sites à publication ouverte où l’utilisateur doit être absolument certain qu’il n’est pas sur un site policier et que sa connexion n’est pas espionnée.

Ce problème pourrait être résolu d’ici une année : une alliance entre la fondation de logiciels open-source Mozilla, l’association progressiste américaine EFF (Electronic Frontier Foundation), et des constructeurs veut lancer une nouvelle Autorité de Certification d’ici à l’été 2015. Cette CA, baptisée « Let’s Encrypt » délivrera des certificats SSL gratuits, avec des démarches administratives simplifiées à l’extrême et surtout la gratuité d’utilisation. Let’s encrypt veut réduire le temps d’installation nécéssaire à 30 secondes contre 2 à 3 heures actuellement. La présence de Mozilla et de l’EFF dans l’association permet également de faire confiance à ce projet open-source, malgré la présence d’autres acteurs plus douteux, comme Cisco, qui veulent probablement redorer leur image après les fuites de Snowden.

Le déploiement de Let’s Encrypt est donc une excellente nouvelle pour la sécurité informatique. Voir le site officiel.

De nombreux services de messageries instantanées font leur apparition avec à la clé des avantages que GPG n’a pas toujours : facilité d’utilisation, mobilité, anonymat,… L’Electronic Frontier Foundation, une association américaine qui lutte pour le droit à l’anonymat et à la vie privée vient de publier un comparatif reprenant la plupart des aspects de sécurité de ces services. Le design, le prix, la société propriétaire du logiciel n’est pas pris en compte dans ce test.
GPG est repris dans ce test avec deux inconvénients par rapport à ses concurrents : lorsqu’une clé est compromise, les messages chiffrés avec celle-ci sont également compromis, et que le code n’a pas été entièrement verifié.

Voici en français les divers aspects pris en compte :
– Chiffrement durant la transmission ?
– Chiffrement sur les serveurs du fournisseur du service ?
– Peut-on vérifier l’identité de l’interlocuteur ?
– Les communications passées sont-elles sécurisées si les clés sont volées ?
– Le code est-il ouvert a une vérification indépendante ?
– Est-ce que le code a été effectivement vérifié ?

Vous pouvez consulter ce comparatif (qui reprend aussi bien les services pro-anonymat que les services des géants du web) en cliquant ici.

Notons que les services qui remportent haut la main ce comparatif sont (cliquez sur le nom pour visitez le site web) :
– Cryptocat
– Whispersystems (Redphone et TextSecure)
– Silent Circle (Silent Phone et Silent Text)
– ChatSecure

Voir le comparatif sur le site de l’EFF.

Facebook utilise un système pour détecter les conversations ayant trait à des activités criminelles. Si cette nouvelle ne surprendra pas grand monde, le méthode est tout de même assez pro-active que pour être signalée. Un premier écrémage est effectué par des logiciels robots qui recherchent des mots ou des phrases spécifiques. L’activité réciproque des utilisateurs est également utilisée pour détecter les conversations ‘suspectes’: deux utilisateurs qui n’ont jamais communiqué avant, qui sont situés à des points géographiques différents ou qui n’ont pas d’amis en communs sont donc plus suspects. Cette technique avait déjà été utilisée par le FBI ( « Quelle est la personne que vous cachez à votre entourage ? » ).

Une fois que ce logiciel a fait cet écrémage, il envoie les chats suspects à des employés de Facebook qui décident si ceux-ci valent la peine d’être envoyés à la police. Facebook a déclaré « il est important pour nous d’avoir un logiciel qui génére peu de fau x positifs, nous ne voulons pas dédier une équipe à la sécurité ». Le réseau social s’est également défendu en affirmant que cette surveillance du site avait permis d’arrêter au moins un prédateur sexuel américain et un meurtrier espagnol. Le fait que Facebook peut transmettre les informations à la justice si elle le juge nécessaire est écrit dans ses conditions d’utilisation. Notons également que Facebook Messenger est l’un des moyens de communication les plus prisés au monde, loin devant les SMS.