Pour rappel, Mega est un service de stockage en ligne chiffré et sécurisé et hébergé en Nouvelle-Zélande. Auparavant disponible uniquement via navigateur, puis via des extensions navigateur (qui permettait d’utiliser uniquement le déchiffrement en local) sur Chrome et Firefox. Mega a ensuite sorti des applications pour Android et iOS. Enfin, Mega a publié deux ‘clients de synchronisation’ pour Windows et Mac OSX, qui permettaient de synchroniser un dossier de son disque dur avec son compte Mega, en se passant complètement du navigateur. A présent, Méga complète sa panoplie en publiant un client de synchronisation pour Linux. Le code-source des clients sera publié prochainement. Telecharger MegaSync pour Linux.

Cyborg Unplug est un objet qui se branche simplement à une prise de courant et détecte systématiquement tous les objets ayant une antenne wifi allumée à proximité. E analysant les adresses MAC (identifiant unique porté par chaque antenne), celui-ci détermine si l’appareil est un ‘cyborg nuisible’, un appareil connu poser des problèmes de vie privée. La liste actuelle de ces cyborgs : Google Glass, Dropcam, drônes cibils, caméras et micros de surveillance,… La liste de ses méchants robots pourra être mise à jour en connectant Cyborg Unplug à un routeur (via un cable Ethernet), il télechargera une liste à jour via le réseau TOR.

Concrètement, le Cyborg Unplug est branché dans un maison, dans un lieu public ou, pourquoi pas, dans un mediacenter, un squat ou un centre social. Celui-ci détecte tout appareil posant des problèmes de vie privée dans un rayon de 30 mètres et fait retentir une alarme lorsqu’un tel engin est détecté. En plus de cela, Cyborg Unplug pourra empécher le robot de se connecter au Wifi public en lui envoyant des packets de dé-authentification, le déconnectant à chaque tentative. Le Cyborg Unplug est la suite directe du projet ‘glasshole.sh’, un bout de code qui bannit les Google Glasses des réseaux wifi. Cyborg Unplug est soutenu par la campagne américaine ‘Stop the Cyborgs’ et a été créé par Julian Oliver, un hacker berlinois habitué de ce genre de gadgets high-tech. L’objet sera disponible à la vente en 2 versions à partir du 30 septembre. La première version avertira de la présence de robots via une diode alors que la seconde fera retentir une alarme. L’appareil pourra être utilise en ‘Territory Mode’ (protège des réseaux wifi sélectionnés) ou en ‘All Out Mode’ éjecte les robots de TOUS les réseaux wifi environnants (ce qui n’est pas légal). Les porteurs du projet travaillent à présent sur un système équivalent pour le Bluetooth (sous forme d’un dongle USB à brancher sur le Cyborg Unplug), de cette façon une paire de Google Glass pourra être éjectée du smartphone qui lui fournit une connection via la 3G. L’engin est libre et open-source mais ne protège pas des appareils qui enregistrent des données sans utiliser internet, juste de ceux qui envoient leurs données sur le net. Le site internet du projet est ici.

Le sommet de l’OTAN qui s’ouvre aujourd’hui à Newport actera un nouveau traité qui reconnaitra pour la première fois les cyber-attaques comme des actes de guerres « requérant une action collective immédiate de la part des pays atlantistes » (article 5). Les armées de l’OTAN pourront donc intervenir militairement (à l’aide d’armes réelles) en représailles à une attaque informatique si celle-ci entraine des dommages économiques ou des morts. L’OTAN avait pourtant refusé en 2010 d’ajouter les cyber-attaques contre les réseaux électrique et les systèmes financiers.

Plus drôle toutefois : les armées membres de l’OTAN ont refusé de communiquer sur leurs forces cyber-militaires. Les bureaux d’études qui préparent la ratification du traité ont donc été forcées d’utiliser les documents qu’a fait fuiter Edward Snowden il y a un peu plus d’un an pour avoir une approximation des moyens américains et britanniques. Cette réforme intervient alors que l’Ukraine refait une demande d’adhésion à l’OTAN et que la Russie est accusée d’avoir fait plusieurs attaques informatiques contre les Etats-Unis. Ce sommet de l’OTAN aura lieu au Pays de Galle. Plusieurs attaques incendiaires ont eu lieu contre celui-ci en Grande-Bretagne (comme ici).

Une carte interactive créée par la société de sécurité Norse répertorie les cyberattaques ayant cours en ce moment même dans le monde. Les Etats-Unis sont la première cible des cyberattaques venant pour la plupart de Chine. Mais les Américains ne se défendent pas si mal étant donné qu’ils sont les deuxièmes agresseurs. La Belgique, elle, subit trop peu d’attaques pour être représentée sur ce schéma interactif. Toutefois, certains pays d’Europe comme la France, l’Allemagne ou la Bulgarie sont des cibles très appréciées des hackers. Si toutes les tentatives de piratage ne sont pas répertoriées, cette carte vous donne quand même un bon aperçu de cette guerre 2.0.

Voir la carte interactive

Des chercheurs de l’Université de Tel-Aviv voulaient prouver qu’il était théoriquement possible de voler des clés de (dé)chiffrement, rien qu’en touchant un ordinateur. Comme dans de nombreuses expériences : le procédé est extrêmement simple, c’est la puissance de l’algorithme qui fait tout le travail. L’attaquant doit simplement toucher le chassis ou n’importe quelle partie en métal (cela ne marche pas avec du plastique) de l’ordinateur pendant quelques secondes, cela fonctionne aussi avec les bouts de cables USB, VGA et ethernet. Le potentiel électrique est enregistré par un bracelet puis ‘déchiffré’ par l’algorythme de la machine de l’attaquant, capable de différencier les bits 0 et 1.
Bien entendu cette attaque est complètement théorique puisqu’elle suppose que l’attaquant ait accès à cette technologie, ait un accès physique à l’ordinateur de la cible et que la cible soit en train de déchiffrer à ce moment précis… Lors de leur expérience, les chercheurs se sont attaqués à des clés GnuPG que l’algorythme a pu différencier et ré-assembler. Les chercheurs estiment que les conditions de laboratoire peuvent être facilement miniaturisées dans un smartphone pour rendre l’attaquant autonome. Le but de l’étude était de prouver que la tendance actuelle était d’augmenter la sécurité logicielle mais que la sécurité matérielle était encore très négligée.
Les chercheurs proposent quelques contre-mesures pour les attaques matérielles en général : les cages de faraday (des pièces entières en cage de faraday), des machines isolées électriquement et des découpleurs photo-électriques et des connexions par fibre optique (contre les attaques « sur cable »).

Résumé de l’attaque

Un site américain s’est à collecter toutes les données supprimées par Google dans le cadre du « droit à l’oubli » pour rétablir la vérité… Articles de presse, pages Web et messages personnels se retrouvent à nouveau accessibles à tous… Sur sa page Web, le créateur de hiddenfromgoogle explique que s’il ne remet pas en question le droit à l’oubli, il explique ne pas vraiment être satisfait par la méthodologie, qui permet à une firme privée de juger de la pertinence de données. Selon lui, c’est à un organisme gouvernemental de juger de l’importance d’une requête, pour éviter que le droit à l’information ne soit bafoué, certaines requêtes ayant poussé Google à supprimer des articles de presse de son moteur de recherche…

GPG (PGP ou encore GnuPG) est probablement le logiciel de chiffrement le plus sûr de la planète. En plus d’être très sécurisé (c’est le seul logiciel recommandé par Edward Snowden!) il est open-source, gratuit, libre,… Et à présent, encore plus simple à installer.
L’extension Enigmail qui permet d’utiliser GPG via le logiciel de messagerie Thunderbird a été mis à jour et à présent plus intelligent. Plutôt que de chiffrer par défaut, Enigmail détectera à présent si vous posséder la clé de votre correspondant. Si vous avez la clé, il chiffrera automatiquement. Si vous ne l’avez pas il enverra le message en clair. Il ne faudra donc plus désactiver ou activer manuellement cette option à chaque envoi de message et il n’y a plus de risque d’oublier d’activer le cryptage. En plus de cela, cette nouvelle version 1.7 a d’autres nouveautés (voir ici)
Si vous utilisez déjà Enigmail : celui-ci devrait déjà avoir été mis à jour.

Voir ici nos tutoriels pour le chiffrement des e-mails et des données sur Windows et Mac.

Cette vidéo montre le temps nécessaire à un simple logiciel de cassage de mots de passe par « force brute » (essai successif de toutes les combinaisons possibles) pour cracker un mot de passe en fonction de son degré de complexité.

NB: Les liens d’origine ont été supprimés de cet article, la seule application de messagerie que nous recommandons est Signal, qui peut être téléchargé pour toutes les plateformes (Windows, MacOS, Linux, Android et iOS) sur signal.org.

Minilock est une application Chrome développée par le créateur du très efficace Cryptocat. L’application permet de chiffrer/déchiffrer un fichier rapidement et simplement. L’application est basée sur le principe de GPG et d’une double paire de clés, à ceci près que le programme utilise l’adresse e-mail de l’utilisateur comme clé secrète et rend donc l’utilisation du programme très légère et simple. C’est une version de développement, donc elle n’est pas sûre, mais c’est à essayer.

Ce sont des temps difficiles pour TOR. Il y a quelques jours, un département d’état américain a fait annuler une conférence « Comment hacker TOR ? », démontrant ainsi que si le premier objectif de la NSA est de briser TOR, l’administration US en est elle-même un gros consommateur. Ensuite, l’état russe a proposé une prime pour toute personne qui sera capable de compromettre la sécurité des utilisateurs de TOR.

Finalement, c’est le site officiel de TOR lui-même qui a annoncé avoir été piraté. Un groupe de noeuds vérolés à su rejoindre le réseau en janvier 2014 et remplacer des en-têtes de fichiers pour usurper des certificats. On ignore combien de personnes ont été touchées. Le réseau TOR indique que l’attaque ciblait les utilisateurs des ‘hidden services’ (une partie de web invisible et utilisée pour les contenus illégaux). Toute personne qui a utilisé les hidden services de TOR (sites qui se terminent en .onion) entre janvier et juillet 2014 a donc potentiellemenbt vu sa sécurité compromise.

Pour connaître les détails techniques, voici le communiqué officiel en anglais