Les révélations de Snowden, WikiLeaks et d’autres taupes ont remis la sécurité informatique à la mode, le cryptage est devenu un véritable argument commercial. Les dernières versions des systèmes d’exploitation de Google (Android 5.0 Lollipop), et d’Apple (iOS 8) suivent cette tendance en proposant le chiffrement par défaut de leurs smartphones et tablettes. L’option était déjà disponible sur Android depuis quelques années, elle sera désormais appliquée automatiquement sur tous les nouveaux appareils vendus. Le patron du FBI, James Comey, a pesté contre cette décision, arguant le besoin des polices d’accéder aux données des smartphones.
Rappelons tout de même que, même s’il est peu probable que Google et Apple accèdent publiquement à cette demande, cela ne diminue pas les risques d’accès par les autorités puisqu’ils bénéficient de nombreuses autres ressources : la NSA emploie des agents infiltrés dans les firmes technologiques, dispose d’équipes qui recherchent des failles inconnues dans les logiciels, passe des accords secrets avec certaines firmes et lorsqu’elles refusent, les attaque juridiquement et impose des clauses de confidentialité drastiques sur l’issue du procès. Les constructeurs peuvent aussi poser leurs propres backdoors (comme Samsung), la sécurité informatique sous cette forme est si fragile qu’elle n’est finalement qu’un argument commercial.

Sur le site de financement participatif Kickstarter, une machine rencontre un succès exceptionnel. Anonabox est un tout petit boitier qui permet de faire passer par TOR tout le trafic internet d’un routeur internet. Cet engin a été conçu avec le sens du détail et de très nombreuses qualités : il ne coûte que 45$ (35€), ne nécessite aucune configuration (brancher, et c’est tout), est open-source tant au niveau du matériel que du code, il est encore plus facile à utiliser que le navigateur TOR puisque des programmes non-supportés (comme Skype et Filezilla) fonctionneront tout de suite, sans configuration supplémentaire.

Les développeurs de ce super-gadget s’engagent également à tester chaque boitier individuellement (et à le signer à la main pour preuve de bonne foi). Ceux-ci confessent avoir eu l’idée après avoir été engagés par un directeur d’école pour filtrer le réseau de l’établissement : ils n’ont pas réussis à trouver un moyen incontournable de censurer le net et ont préféré inventer un moyen simple et efficace pour contourner la censure et protéger son anonymat sur le net. Le développement a prit 4 ans pendant lesquels le printemps arabe a pu fournir plus d’inspiration au projet. Le boitier est très petit de manière à pouvoir être branché discrètement dans un lieu public, être jeté dans des toilettes au besoin. Le détail a été poussé jusqu’a donner des coins arrondis à l’engin pour être dissimulé… Les développeurs avaient demandé 7’500$, ils ont récoltés plus de 348’000$ en 48h, c’est dire si la mode est à la sécurité informatique simple et pas chère. Voir la page Kickstarter.

Si Microsoft a habitué ses utilisateurs a être espionné en intégrant des backdoors dans toutes les versions de son système d’exploitation, la béta destinée aux développeurs va beaucoup plus loin que ses prédécesseurs. Microsoft va renouveler tous ses systèmes d’exploitation en 2015 en les unifiant. Les téléphones, tablettes, ordinateurs, objets connectés et Xbox fabriqués par Microsoft utiliseront un seul OS : Windows 10. La béta disponible gratuitement depuis plusieurs jours et destinée à tester le système utilise des méthodes très intrusives pour rapporter les habitudes des utilisateurs et les bugs. Premièrement : Windows 10 collecte la liste des programmes installés, la liste des appels, des SMS, etc… Le véritable scandale est dans l’utilisation d’un Keylogger, un programme qui enregistre les frappes claviers et transmet donc ce qui est tapé par l’utilisateur à la firme américaine. Microsoft a également le droit d’enregistrer vocalement les utilisateurs de Windows 10 pour tester la reconnaissance vocale. Toutes ses indiscrètions sont avouées par Microsoft dans ses conditions d’utilisation, c’est peut-être là qu’est la vraie nouveauté. Il est très probable que ces conditions d’utilisation soient réservées à l’utilisation de la version béta même si les services répressifs ont toujours pû compter sur l’aide Microsoft.

Selon des rumeurs, TOR aurait annoncé travaillé avec un navigateur internet « qui représenterait 10 à 20% des utilisateurs » (Firefox est le seul dans ce cas puisque Internet Explorer et Safari représentent moins de 10% chacun et que Chrome représente plus de 30%). Sans confirmer quoi que ce soit, la source indiquait que TOR pourrait être intégré au mode « Navigation Privée » du navigateur en question. Si cette nouvelle s’avérait exacte, cela représenterait un énorme défi pour TOR qui devrait augmenter drastiquement son infrastructure (à moins que la procédure pour faire tourner un noeud ne soit simplifiée). Ceci représenterait surtout un défi pour les agences répressives puisque cette nouvelle pourrait conduire des dizaines de millions de personnes à utiliser TOR, facilement.

En réaction aux actes de piratage qui ont secoué récemment le monde du web, Google et Apple ont adopté de nouvelles mesures très drastiques en termes de sécurité en vue de donner plus d’assurance aux utilisateurs de leurs services quant à la protection de leur confidentialité. Elles ont décidé de généraliser la cryptologie sur leurs appareils et services. Les galaxies à Larry Page et Tim Cook ont pris la résolution de ne plus décrypter les données d’un utilisateur, même sur demande de la police.

Cette mesure n’est pas du goût du FBI. La police fédérale américaine l’a fait savoir par la voix de son directeur, James Comey. Lors d’une conférence de presse animée ce jeudi 25 septembre, le patron du FBI a indiqué que cela l’ennuyait de voir Google et Apple prendre des mesures qui permettaient aux utilisateurs de se « placer hors d’atteinte de la loi ». Cependant James Comey a annoncé que ses services avaient engagé des discussions avec les deux géants américains.

Riseup.net, un fournisseur militant de services internet basé aux Etats-Unis a désormais un nouveau VPN. Auparavant, deux serveurs VPN routaient le trafic VPN de Riseup (l’un à New-York, l’autre à Seattle), le VPN n’était pas très rapide en Europe et était un peu compliqué à utiliser, cette époque semble être révolue. Riseup s’est associée à Bitmask pour présenter une solution terriblement simple à utiliser, même pour les moins geeks. Mais qu’est-ce-qu’un VPN ? A l’origine, les VPN -Virtual Private Networks- ont été créés pour permettre à des gens de se connecter à un intranet à distance (particulièrement pour permettre à des employés de travailler depuis chez eux…). Le service devait pour cela re-router tout le trafic internet d’un ordinateur et lui attribuer une adresse IP locale sur un intranet. Le processus VPN a été ‘détourné’ de son utilisation d’origine pour en faire un outil de vie privée extrêmement efficace : ces VPN sécurisés détournent donc tout le trafic internet d’une machine, le chiffre et le font resortir par un serveur : un bon VPN protège donc des attaques sur un réseau Wi-Fi (les attaques Man-in-the-Middle), permettent de contourner la censure (puisque la connexion resort dans un pays où la censure n’est pas la même), empêche le fournisseur d’accès à internet de surveiller ce qu’il se passe sur votre connexion, empêche un patron de voir ce que les travailleurs font sur un Wi-Fi d’entreprise, empêche le gestionnaire d’un hotspot Wi-Fi public de voir ce qu’on y fait,… Les possibilités sont nombreuses et on peut aller jusqu’à dire qu’un bon VPN est plus efficace que TOR (Sur TOR, les données sont déchiffrées entre les deux derniers noeuds, pas sur le VPN).

Riseup change donc son architecture : il y a désormais trois types de comptes. Les comptes verts concernent tout le monde (ce sont les gestionnaires de mailing-lists), les comptes rouges concernent les services actuels (les adresses e-mail @riseup.net, les comptes Crabgrass et l’ancien VPN). Les nouveaux comptes sont les comptes noirs. Ceux-ci permettent d’utiliser le nouveau VPN. Il ne faut actuellement pas d’invitation pour les utiliser (inscrivez-vous ici). On ne peut actuellement pas utiliser le même pseudo sur un compte rouge et un compte noir car les anciens pseudos sont réservés : lorsque le service ‘noir’ sortira de la phase béta, les utilisateurs pourront fusionner leurs comptes.

BitMask fournira le logiciel. Bitmask est une émanation de Leap, qui est un groupe dont le but est de rendre utilisable par tout le monde des technologies de sécurité informatique compliquées. Pour celà, Bitmask configure lui-même tout avec des paramètres de sécurité maximum. Pour l’instant, Bitmask n’existe que pour Android et Linux, mais les développeurs promettent une version Mac OSx pour très bientôt et une version pour Windows un peu plus tard. Pour utiliser le nouveau VPN Riseup : Créez un compte noir Riseup (ici) et téléchargez BitMask sur la même page. BitMask est également publié sur le Google Play Store (ici). Démarrez Bitmask, tapez sur le ‘+’ et dans la case ‘Domain Name’ écrivez ‘riseup.net’. Identifiez-vous ensuite avec votre compte noir Riseup. BitMask est encore un jeune logiciel : ne l’utilisez pour rien de compromettant.

Ce sont des temps difficiles pour internet. Après les scandales NSA et la faille Heartbleed, une ‘nouvelle’ faille a été mise au jour par des chercheurs en sécurité informatique. Cette faille est en faite vieille de 22 ans (une époque où les programmes n’étaient pas pensés pour faire face à internet) et permet de s’introduire dans le bash linux. Le bash est la console de commandes des sites linux : cet écran noir que l’on voit souvent dans les films et qui fait passer instantanément n’importe qui pour un expert informatique. La faille permet d’exécuter du code sans l’autorisation de l’administrateur. Elle permet donc en théorie d’attaquer tout système linux : ceci concerne évidemment les machines basées sur Linux (Linux, OSx, Android,…) mais également les serveurs qui tournent majoritairement en utilisant ce système. Il y a fort à parier que cette faille était méconnue (ou largement) des hackers puisque de nombreux systèmes auraient déjà été piratés si cela avait été le cas. Depuis sa publication, cette situation a changé et des administrateurs de sites internet rapportent avoir été attaqués grâce à ShellShock. Vu la loquacité d’Edward Snowden, on saura probablement dans les prochains jours si cette faille était connue des services de renseignements.

EDIT : Des patches de sécurité pour les serveurs ont déjà été publiés pour plusieurs systèmes : Debian, Red Hat, et CentOS. Google a également annoncé avoir patché tous ses serveurs, Apple publiera dans les prochains heures un correctif. Si vous possédez une machine ou un serveur tournant sous Linux (Ubuntu inclus), Android ou Mac OSx : n’oubliez pas de mettre à jour votre système pour bénéficier de la mise à jour de sécurité dés qu’elle sera disponible. Plusieurs milliers de machines ont déjà été infectées cette nuit. Celles-ci ont été intégrées dans un Botnet (un réseau d’ordinateurs obéissants pouvant lancer des attaques, DDOS par exemple).

Pour rappel, Mega est un service de stockage en ligne chiffré et sécurisé et hébergé en Nouvelle-Zélande. Auparavant disponible uniquement via navigateur, puis via des extensions navigateur (qui permettait d’utiliser uniquement le déchiffrement en local) sur Chrome et Firefox. Mega a ensuite sorti des applications pour Android et iOS. Enfin, Mega a publié deux ‘clients de synchronisation’ pour Windows et Mac OSX, qui permettaient de synchroniser un dossier de son disque dur avec son compte Mega, en se passant complètement du navigateur. A présent, Méga complète sa panoplie en publiant un client de synchronisation pour Linux. Le code-source des clients sera publié prochainement. Telecharger MegaSync pour Linux.

Cyborg Unplug est un objet qui se branche simplement à une prise de courant et détecte systématiquement tous les objets ayant une antenne wifi allumée à proximité. E analysant les adresses MAC (identifiant unique porté par chaque antenne), celui-ci détermine si l’appareil est un ‘cyborg nuisible’, un appareil connu poser des problèmes de vie privée. La liste actuelle de ces cyborgs : Google Glass, Dropcam, drônes cibils, caméras et micros de surveillance,… La liste de ses méchants robots pourra être mise à jour en connectant Cyborg Unplug à un routeur (via un cable Ethernet), il télechargera une liste à jour via le réseau TOR.

Concrètement, le Cyborg Unplug est branché dans un maison, dans un lieu public ou, pourquoi pas, dans un mediacenter, un squat ou un centre social. Celui-ci détecte tout appareil posant des problèmes de vie privée dans un rayon de 30 mètres et fait retentir une alarme lorsqu’un tel engin est détecté. En plus de cela, Cyborg Unplug pourra empécher le robot de se connecter au Wifi public en lui envoyant des packets de dé-authentification, le déconnectant à chaque tentative. Le Cyborg Unplug est la suite directe du projet ‘glasshole.sh’, un bout de code qui bannit les Google Glasses des réseaux wifi. Cyborg Unplug est soutenu par la campagne américaine ‘Stop the Cyborgs’ et a été créé par Julian Oliver, un hacker berlinois habitué de ce genre de gadgets high-tech. L’objet sera disponible à la vente en 2 versions à partir du 30 septembre. La première version avertira de la présence de robots via une diode alors que la seconde fera retentir une alarme. L’appareil pourra être utilise en ‘Territory Mode’ (protège des réseaux wifi sélectionnés) ou en ‘All Out Mode’ éjecte les robots de TOUS les réseaux wifi environnants (ce qui n’est pas légal). Les porteurs du projet travaillent à présent sur un système équivalent pour le Bluetooth (sous forme d’un dongle USB à brancher sur le Cyborg Unplug), de cette façon une paire de Google Glass pourra être éjectée du smartphone qui lui fournit une connection via la 3G. L’engin est libre et open-source mais ne protège pas des appareils qui enregistrent des données sans utiliser internet, juste de ceux qui envoient leurs données sur le net. Le site internet du projet est ici.

Le sommet de l’OTAN qui s’ouvre aujourd’hui à Newport actera un nouveau traité qui reconnaitra pour la première fois les cyber-attaques comme des actes de guerres « requérant une action collective immédiate de la part des pays atlantistes » (article 5). Les armées de l’OTAN pourront donc intervenir militairement (à l’aide d’armes réelles) en représailles à une attaque informatique si celle-ci entraine des dommages économiques ou des morts. L’OTAN avait pourtant refusé en 2010 d’ajouter les cyber-attaques contre les réseaux électrique et les systèmes financiers.

Plus drôle toutefois : les armées membres de l’OTAN ont refusé de communiquer sur leurs forces cyber-militaires. Les bureaux d’études qui préparent la ratification du traité ont donc été forcées d’utiliser les documents qu’a fait fuiter Edward Snowden il y a un peu plus d’un an pour avoir une approximation des moyens américains et britanniques. Cette réforme intervient alors que l’Ukraine refait une demande d’adhésion à l’OTAN et que la Russie est accusée d’avoir fait plusieurs attaques informatiques contre les Etats-Unis. Ce sommet de l’OTAN aura lieu au Pays de Galle. Plusieurs attaques incendiaires ont eu lieu contre celui-ci en Grande-Bretagne (comme ici).