Riseup.net, un fournisseur militant de services internet basé aux Etats-Unis a désormais un nouveau VPN. Auparavant, deux serveurs VPN routaient le trafic VPN de Riseup (l’un à New-York, l’autre à Seattle), le VPN n’était pas très rapide en Europe et était un peu compliqué à utiliser, cette époque semble être révolue. Riseup s’est associée à Bitmask pour présenter une solution terriblement simple à utiliser, même pour les moins geeks. Mais qu’est-ce-qu’un VPN ? A l’origine, les VPN -Virtual Private Networks- ont été créés pour permettre à des gens de se connecter à un intranet à distance (particulièrement pour permettre à des employés de travailler depuis chez eux…). Le service devait pour cela re-router tout le trafic internet d’un ordinateur et lui attribuer une adresse IP locale sur un intranet. Le processus VPN a été ‘détourné’ de son utilisation d’origine pour en faire un outil de vie privée extrêmement efficace : ces VPN sécurisés détournent donc tout le trafic internet d’une machine, le chiffre et le font resortir par un serveur : un bon VPN protège donc des attaques sur un réseau Wi-Fi (les attaques Man-in-the-Middle), permettent de contourner la censure (puisque la connexion resort dans un pays où la censure n’est pas la même), empêche le fournisseur d’accès à internet de surveiller ce qu’il se passe sur votre connexion, empêche un patron de voir ce que les travailleurs font sur un Wi-Fi d’entreprise, empêche le gestionnaire d’un hotspot Wi-Fi public de voir ce qu’on y fait,… Les possibilités sont nombreuses et on peut aller jusqu’à dire qu’un bon VPN est plus efficace que TOR (Sur TOR, les données sont déchiffrées entre les deux derniers noeuds, pas sur le VPN).

Riseup change donc son architecture : il y a désormais trois types de comptes. Les comptes verts concernent tout le monde (ce sont les gestionnaires de mailing-lists), les comptes rouges concernent les services actuels (les adresses e-mail @riseup.net, les comptes Crabgrass et l’ancien VPN). Les nouveaux comptes sont les comptes noirs. Ceux-ci permettent d’utiliser le nouveau VPN. Il ne faut actuellement pas d’invitation pour les utiliser (inscrivez-vous ici). On ne peut actuellement pas utiliser le même pseudo sur un compte rouge et un compte noir car les anciens pseudos sont réservés : lorsque le service ‘noir’ sortira de la phase béta, les utilisateurs pourront fusionner leurs comptes.

BitMask fournira le logiciel. Bitmask est une émanation de Leap, qui est un groupe dont le but est de rendre utilisable par tout le monde des technologies de sécurité informatique compliquées. Pour celà, Bitmask configure lui-même tout avec des paramètres de sécurité maximum. Pour l’instant, Bitmask n’existe que pour Android et Linux, mais les développeurs promettent une version Mac OSx pour très bientôt et une version pour Windows un peu plus tard. Pour utiliser le nouveau VPN Riseup : Créez un compte noir Riseup (ici) et téléchargez BitMask sur la même page. BitMask est également publié sur le Google Play Store (ici). Démarrez Bitmask, tapez sur le ‘+’ et dans la case ‘Domain Name’ écrivez ‘riseup.net’. Identifiez-vous ensuite avec votre compte noir Riseup. BitMask est encore un jeune logiciel : ne l’utilisez pour rien de compromettant.

Ce sont des temps difficiles pour internet. Après les scandales NSA et la faille Heartbleed, une ‘nouvelle’ faille a été mise au jour par des chercheurs en sécurité informatique. Cette faille est en faite vieille de 22 ans (une époque où les programmes n’étaient pas pensés pour faire face à internet) et permet de s’introduire dans le bash linux. Le bash est la console de commandes des sites linux : cet écran noir que l’on voit souvent dans les films et qui fait passer instantanément n’importe qui pour un expert informatique. La faille permet d’exécuter du code sans l’autorisation de l’administrateur. Elle permet donc en théorie d’attaquer tout système linux : ceci concerne évidemment les machines basées sur Linux (Linux, OSx, Android,…) mais également les serveurs qui tournent majoritairement en utilisant ce système. Il y a fort à parier que cette faille était méconnue (ou largement) des hackers puisque de nombreux systèmes auraient déjà été piratés si cela avait été le cas. Depuis sa publication, cette situation a changé et des administrateurs de sites internet rapportent avoir été attaqués grâce à ShellShock. Vu la loquacité d’Edward Snowden, on saura probablement dans les prochains jours si cette faille était connue des services de renseignements.

EDIT : Des patches de sécurité pour les serveurs ont déjà été publiés pour plusieurs systèmes : Debian, Red Hat, et CentOS. Google a également annoncé avoir patché tous ses serveurs, Apple publiera dans les prochains heures un correctif. Si vous possédez une machine ou un serveur tournant sous Linux (Ubuntu inclus), Android ou Mac OSx : n’oubliez pas de mettre à jour votre système pour bénéficier de la mise à jour de sécurité dés qu’elle sera disponible. Plusieurs milliers de machines ont déjà été infectées cette nuit. Celles-ci ont été intégrées dans un Botnet (un réseau d’ordinateurs obéissants pouvant lancer des attaques, DDOS par exemple).

Logo Shellshock

Pour rappel, Mega est un service de stockage en ligne chiffré et sécurisé et hébergé en Nouvelle-Zélande. Auparavant disponible uniquement via navigateur, puis via des extensions navigateur (qui permettait d’utiliser uniquement le déchiffrement en local) sur Chrome et Firefox. Mega a ensuite sorti des applications pour Android et iOS. Enfin, Mega a publié deux ‘clients de synchronisation’ pour Windows et Mac OSX, qui permettaient de synchroniser un dossier de son disque dur avec son compte Mega, en se passant complètement du navigateur. A présent, Méga complète sa panoplie en publiant un client de synchronisation pour Linux. Le code-source des clients sera publié prochainement. Telecharger MegaSync pour Linux.

Cyborg Unplug est un objet qui se branche simplement à une prise de courant et détecte systématiquement tous les objets ayant une antenne wifi allumée à proximité. E analysant les adresses MAC (identifiant unique porté par chaque antenne), celui-ci détermine si l’appareil est un ‘cyborg nuisible’, un appareil connu poser des problèmes de vie privée. La liste actuelle de ces cyborgs : Google Glass, Dropcam, drônes cibils, caméras et micros de surveillance,… La liste de ses méchants robots pourra être mise à jour en connectant Cyborg Unplug à un routeur (via un cable Ethernet), il télechargera une liste à jour via le réseau TOR.

Concrètement, le Cyborg Unplug est branché dans un maison, dans un lieu public ou, pourquoi pas, dans un mediacenter, un squat ou un centre social. Celui-ci détecte tout appareil posant des problèmes de vie privée dans un rayon de 30 mètres et fait retentir une alarme lorsqu’un tel engin est détecté. En plus de cela, Cyborg Unplug pourra empécher le robot de se connecter au Wifi public en lui envoyant des packets de dé-authentification, le déconnectant à chaque tentative. Le Cyborg Unplug est la suite directe du projet ‘glasshole.sh’, un bout de code qui bannit les Google Glasses des réseaux wifi. Cyborg Unplug est soutenu par la campagne américaine ‘Stop the Cyborgs’ et a été créé par Julian Oliver, un hacker berlinois habitué de ce genre de gadgets high-tech. L’objet sera disponible à la vente en 2 versions à partir du 30 septembre. La première version avertira de la présence de robots via une diode alors que la seconde fera retentir une alarme. L’appareil pourra être utilise en ‘Territory Mode’ (protège des réseaux wifi sélectionnés) ou en ‘All Out Mode’ éjecte les robots de TOUS les réseaux wifi environnants (ce qui n’est pas légal). Les porteurs du projet travaillent à présent sur un système équivalent pour le Bluetooth (sous forme d’un dongle USB à brancher sur le Cyborg Unplug), de cette façon une paire de Google Glass pourra être éjectée du smartphone qui lui fournit une connection via la 3G. L’engin est libre et open-source mais ne protège pas des appareils qui enregistrent des données sans utiliser internet, juste de ceux qui envoient leurs données sur le net. Le site internet du projet est ici.

Le sommet de l’OTAN qui s’ouvre aujourd’hui à Newport actera un nouveau traité qui reconnaitra pour la première fois les cyber-attaques comme des actes de guerres « requérant une action collective immédiate de la part des pays atlantistes » (article 5). Les armées de l’OTAN pourront donc intervenir militairement (à l’aide d’armes réelles) en représailles à une attaque informatique si celle-ci entraine des dommages économiques ou des morts. L’OTAN avait pourtant refusé en 2010 d’ajouter les cyber-attaques contre les réseaux électrique et les systèmes financiers.

Plus drôle toutefois : les armées membres de l’OTAN ont refusé de communiquer sur leurs forces cyber-militaires. Les bureaux d’études qui préparent la ratification du traité ont donc été forcées d’utiliser les documents qu’a fait fuiter Edward Snowden il y a un peu plus d’un an pour avoir une approximation des moyens américains et britanniques. Cette réforme intervient alors que l’Ukraine refait une demande d’adhésion à l’OTAN et que la Russie est accusée d’avoir fait plusieurs attaques informatiques contre les Etats-Unis. Ce sommet de l’OTAN aura lieu au Pays de Galle. Plusieurs attaques incendiaires ont eu lieu contre celui-ci en Grande-Bretagne (comme ici).

Une carte interactive créée par la société de sécurité Norse répertorie les cyberattaques ayant cours en ce moment même dans le monde. Les Etats-Unis sont la première cible des cyberattaques venant pour la plupart de Chine. Mais les Américains ne se défendent pas si mal étant donné qu’ils sont les deuxièmes agresseurs. La Belgique, elle, subit trop peu d’attaques pour être représentée sur ce schéma interactif. Toutefois, certains pays d’Europe comme la France, l’Allemagne ou la Bulgarie sont des cibles très appréciées des hackers. Si toutes les tentatives de piratage ne sont pas répertoriées, cette carte vous donne quand même un bon aperçu de cette guerre 2.0.

Voir la carte interactive

Des chercheurs de l’Université de Tel-Aviv voulaient prouver qu’il était théoriquement possible de voler des clés de (dé)chiffrement, rien qu’en touchant un ordinateur. Comme dans de nombreuses expériences : le procédé est extrêmement simple, c’est la puissance de l’algorithme qui fait tout le travail. L’attaquant doit simplement toucher le chassis ou n’importe quelle partie en métal (cela ne marche pas avec du plastique) de l’ordinateur pendant quelques secondes, cela fonctionne aussi avec les bouts de cables USB, VGA et ethernet. Le potentiel électrique est enregistré par un bracelet puis ‘déchiffré’ par l’algorythme de la machine de l’attaquant, capable de différencier les bits 0 et 1.
Bien entendu cette attaque est complètement théorique puisqu’elle suppose que l’attaquant ait accès à cette technologie, ait un accès physique à l’ordinateur de la cible et que la cible soit en train de déchiffrer à ce moment précis… Lors de leur expérience, les chercheurs se sont attaqués à des clés GnuPG que l’algorythme a pu différencier et ré-assembler. Les chercheurs estiment que les conditions de laboratoire peuvent être facilement miniaturisées dans un smartphone pour rendre l’attaquant autonome. Le but de l’étude était de prouver que la tendance actuelle était d’augmenter la sécurité logicielle mais que la sécurité matérielle était encore très négligée.
Les chercheurs proposent quelques contre-mesures pour les attaques matérielles en général : les cages de faraday (des pièces entières en cage de faraday), des machines isolées électriquement et des découpleurs photo-électriques et des connexions par fibre optique (contre les attaques « sur cable »).

Résumé de l’attaque

Un site américain s’est à collecter toutes les données supprimées par Google dans le cadre du « droit à l’oubli » pour rétablir la vérité… Articles de presse, pages Web et messages personnels se retrouvent à nouveau accessibles à tous… Sur sa page Web, le créateur de hiddenfromgoogle explique que s’il ne remet pas en question le droit à l’oubli, il explique ne pas vraiment être satisfait par la méthodologie, qui permet à une firme privée de juger de la pertinence de données. Selon lui, c’est à un organisme gouvernemental de juger de l’importance d’une requête, pour éviter que le droit à l’information ne soit bafoué, certaines requêtes ayant poussé Google à supprimer des articles de presse de son moteur de recherche…

GPG (PGP ou encore GnuPG) est probablement le logiciel de chiffrement le plus sûr de la planète. En plus d’être très sécurisé (c’est le seul logiciel recommandé par Edward Snowden!) il est open-source, gratuit, libre,… Et à présent, encore plus simple à installer.
L’extension Enigmail qui permet d’utiliser GPG via le logiciel de messagerie Thunderbird a été mis à jour et à présent plus intelligent. Plutôt que de chiffrer par défaut, Enigmail détectera à présent si vous posséder la clé de votre correspondant. Si vous avez la clé, il chiffrera automatiquement. Si vous ne l’avez pas il enverra le message en clair. Il ne faudra donc plus désactiver ou activer manuellement cette option à chaque envoi de message et il n’y a plus de risque d’oublier d’activer le cryptage. En plus de cela, cette nouvelle version 1.7 a d’autres nouveautés (voir ici)
Si vous utilisez déjà Enigmail : celui-ci devrait déjà avoir été mis à jour.

Voir ici nos tutoriels pour le chiffrement des e-mails et des données sur Windows et Mac.

Cette vidéo montre le temps nécessaire à un simple logiciel de cassage de mots de passe par « force brute » (essai successif de toutes les combinaisons possibles) pour cracker un mot de passe en fonction de son degré de complexité.