Le 7 avril, un informaticien de Google a découvert une faille de sécurité dans un programme qui chiffre les échanges entre votre navigateur et les deux tiers des sites web de la planète. Cette faille s’appelle heartbleed. Le programme touché s’appelle OpenSSL. La confidentialité des échanges (lors d’une connextion à un mail par exemple) n’était pas assurée: les données, y compris les mots de passe, ont pu être déchiffrées par des tierces personnes. La correction doit être faite par les personnes qui gèrent les différents serveurs web. En pratique, pour un utilisateur d’internet, il est recommandé de s’informer si les sites qu’il utilise habituellement ont été touchés, s’ils ont déjà corrigé la faille (les sites importants comme Google, Gmail, Yahoo, Facebook, Twitter ont déjà corrigé la faille). Après correction du bug, il faut changer tous vos mots de passe.

Concernant Tor, il est recommandé de ne plus utiliser le réseau Tor pour des communications sensibles avec des sites web classiques pendant 1 semaine, le temps que les clefs de chiffrement soient automatiquement changées. Si vous utilisez des sites Tor en .onion (services cachés), assurez-vous que leur adresse a changé. Si l’adresse .onion n’a pas changé, le site est vulnérable, ne l’utilisez pas. Le live CD ou live USB Tails n’est pas touché car il utilise une version plus ancienne de OpenSSL.

Google essuie lui aussi le scandale Snowden comme il peut : alors que le patron de la NSA affirme que Google était au courant du programme PRISM, les patrons de Google affirment le contraire. Du point de vue répressif, cela ne change pas grand chose.
Le procédé qui était censé sécuriser les connexions sur internet s’appelle SSL. Théoriquement impénétrable, Snowden a démontré que la NSA avait travaillé dur et clandestinement pendant une très longue durée pour affaiblir sensiblement la force de chiffrement de SSL depuis sa création. D’où le scandale : la NSA a compromis la sécurité même des serveurs financiers, médicaux, etc…
En réalité, Gmail était donc déjà protégé par SSL, mais Google garantit ici un SSL à l’épreuve de la NSA, pour autant les e-mails ne sont bien sûr pas chiffrés : seule la connexion entre les serveurs de Gmail et entre les utilisateurs et Gmail est sécurisée, ceci pour empêcher les mises sur écoute illégales. Les services secrets et policiers pourront toutefois toujours avoir recours à des mises sur écoute légales.
Google devrait probablement proposer des solutions de chiffrement réelles similaires à GPG dans les prochains mois mais ces solutions seront toujours sensibles aux écoutes légales puisque le chiffrement se fera coté serveur et que la clé privée sera hébergée par Google. La seule solution pour protéger des e-mails reste donc l’utilisation de GPG ‘coté client’ (via Thunderbird et Enigmail par exemple).

Edward Snowden continue ses révélations depuis sa cachette en Russie, il a récemment fait de nouvelles révélations lors de la messe geek américaine SXSW en passant par 6 proxys tor différents et ainsi éviter de se faire pourchasser par son ancien patron…
La nouvelle d’aujourd’hui, c’est le programme Turbine, une machine à pirater le monde. Durée moyenne pour prendre le contrôle d’une cible : 8 secondes. Comme la NSA est friande de frappes chirurgicales, Turbine est en mode automatique et prend le contrôle de tout ce qui est à sa portée. Une fois une cible piratée, elle peut également s’attaquer à ses clés USB ou à la webcam. Turbine existe depuis 2004 mais fonctionne vraiment bien depuis 2010. Dans les faits, les agents de la NSA ont face à eux un super-moteur de recherches, mais la NSA peut aussi s’introduire dans des réseaux privés via l’une des machines contrôlées.

Des développeurs de Replicant (un projet de version d’android complètement libre) viennent de faire une découverte en farfouillant sous le capot de terminaux Samsung : une porte dérobée. Une porte dérobée ou ‘backdoor’ est un accès laissé ouvert consciemment (Mais pas forcément par le fabriquant, des espions se sont déjà introduits dans le développement de certains systèmes pour poser les backdoors eux-mêmes) pour permettre à un attaquant de s’introduire dans un système, la plupart du temps il s’agit des forces de l’ordre. La backdoor est dans ce cas ci sur une puce baseband (qui gère les émissions radio) qui peut faire autorité sur le reste du smartphone et déclencher l’appareil photo ou la géolocalisation (ainsi qu’à peu près n’importe quoi d’autre). Comme la puce est une technologie fermée, on peut difficilement connaître le fonctionnement exact de la backdoor. Il n’y a aucune façon de contourner cette faille et il est peu probable que ce soit le cas de si tôt.
Si une backdoor a été trouvée chez Samsung, la plupart des autres marques de smartphones sont sans doute également concernées.

Encore une fois, c’est sans surprendre que Snowden confirme plusieurs informations lors d’un témoignage auprès du Parlement Européen. Première information : c’est effectivement la NSA qui a espionné via des attaques informatiques Bics, la branche internationale de Belgacom active en Afrique, au Moyen-Orient, mais également au Parlement Européen. Le GCHQ britannique a bien aidé. D’autres institutions ont été espionnées lors de ces attaques : l’UE, l’ONU, Unicef, etc…
Seconde information : le département ‘Affaires Etrangères’ de la NSA se concentre actuellement sur des opérations de lobbying et pression auprès des pays européens pour ‘légaliser la surveillance de masse’. En effet, plusieurs pays européens préparent des législations qui donneraient un cadre à la surveillance de masse, soit via la NSA, soit via les agences d’espionnage habituelles.
Enfin, troisième information du jour : Snowden précise que l’utilisation d’un chiffrement (même pas exceptionnellement fort) dans les opérations les plus routinières feraient exploser les coûts d’espionnage de la NSA qui serait bien embetée.

Une faille de sécurité considérée comme très grave par les experts en sécurité informatique touche la totalité des appareils fabriqués par Apple, ordinateurs (OSX) comme mobiles (iOS). Un patch a d’ores et déjà été publié par Apple pour iOS 7 (Mise à jour 7.0.6) et une mise à jour OSx devrait être publiée sous peu. Fidèle à ses habitudes, Apple a publié ce patch comme une simple mise à jour de sécurité sans en signifier l’urgence. La faille de sécurité permet à un hacker d’utiliser une attaque de type Man-In-The-Middle de façon très simple : l’attaquant doit simplement être connecté sur le même réseau que l’attaqué. L’attaque Man-in-the-middle (« l’homme du milieu ») permet à un attaquant de se faire passer pour un site de confiance auprès d’un appareil et ainsi d’altérer le contenu, mais également de voler des données.

Citant de nouveaux documents d’Edward Snowden, le site Wikileaks a révélé avoir été pris pour cible par la NSA. Le site de Julian Assange, spécialisé dans la publication de documents secrets, a affirmé que l’agence de renseignements américaine et son pendant britannique GCHQ ont espionné Wikileaks et ses lecteurs. Un des documents révèle également que depuis 2010, la NSA a inscrit Julian Assange sur ‘une liste de gens qui doivent être la cible d’une chasse à l’homme…’ Ce dernier a réagi par voie de communiqué ‘Wikileaks condamne fermement le comportement sans foi ni loi de l’Agence nationale de sécurité. Nous appelons l’administration Obama à nommer un procureur spécial pour enquêter sur l’étendue de l’activité criminelle de la NSA contre les médias, notamment Wikileaks’.

La société de sécurité californienne Proofpoint a décelé ce qu’il pourrait être la toute première cyberattaque jamais prouvée ayant eu lieu via des objets « intelligents ». Les pirates sont parvenus à pénétrer les systèmes informatiques de divers objets connectés à internet au sein du domicile de personnes, tels que des télévisions et au moins un réfrigérateur, pour créer une plateforme envoyant depuis ces appareils des centaines de milliers de spams ou courriels frauduleux. Plus de 750.000 e-mails malicieux ont ainsi été envoyés, entre le 23 décembre et le 6 janvier.

Cette découverte a des retombées très importantes en termes de sécurité en raison de l’augmentation massive qui est attendue dans l’utilisation de ces objets intelligents, depuis les vêtements jusqu’aux appareils électroménagers.
La plupart de ces objets ne sont que très faiblement protégés et les consommateurs n’ont virtuellement aucun moyen de repérer ou de combattre des infections (par un virus) lorsqu’elles arrivent.

Probablement dans un soucis d’images, l’administration américaine a autorisé les géants du web à publier le nombre de demandes FISA qui -probablement dans un soucis d’image- se sont empressés de les publier. FISA pour « Foreign Intelligence Surveillance Act » (« Loi de surveillance et de renseignement à l’étranger ») est une loi qui permet depuis 1978 aux services secrets américains d’espionner n’importe qui à l’étranger. Cette loi permet par exemple à la NSA d’espionner n’importe qui -américain ou non- tant que cette personne ne se trouve pas sur le sol américain. Bonus : si une société américaine possède l’information, elle est obligée de la fournir au seul motif qu’elle est américaine, et elle ne peut pas dire qu’elle a fournit cette information.
FISA faussait franchement la donne en termes de statistiques d’espionnage puisque les ‘Rapports de transparence’ publiés entre-autres par Facebook et Google annuellement ne comprenait pas les demandes FISA, mais uniquement les demandes d’informations obtenues régulièrement (par exemple par le FBI).
Google a ainsi reçu des demandes concernant 9’000 à 10’000 comptes différents sur les six premiers mois de 2013. En comparaison, les demandes régulières (non-secrètes) aux Etats-Unis ne concernaient ‘que’ 21’000 comptes différents. Dans le cas de Google, pratiquement un tiers des données recueillies l’étaient de façon secrètes.
Vous pouvez consulter vous-même les données aux liens suivant :

Google – Demandes régulières

Google – Demandes FISA

Facebook – Demandes régulières

Facebook – Demandes FISA

Microsoft – Demandes régulières

Yahoo – Demandes régulières : Yahoo n’ayant pas de représentation légale en Belgique, la Belgique ne peut pas faire de demandes régulières, pas de statistiques donc.

Apple – Demandes régulières

Microsoft, Yahoo et Apple – Demandes FISA : Publication imminente.

Vous pouvez trouvez la plupart du temps les statistiques FISA à la page ‘USA’ du rapport de transparence annuel de la société que vous recherchez.

Le Belge Jean-Jacques Quisquater, professeur à l’UCL et expert internationalement reconnu de la protection des données, a été espionné via l’installation d’un logiciel pirate, visiblement par la NSA. C’est en enquêtant sur le piratage massif qui a affecté des clients de Belgacom, dévoilé l’année passée, que les policiers ont découvert qu’un logiciel malveillant avait été installé sur l’ordinateur de cet expert en cryptographie informatique. Ce logiciel a espionné pendant des mois le contenu de l’ordinateur du spécialiste et Jean-Jacques Quisquater a donc livré à son insu des milliers d’informations sur la manière dont les entreprises se protègent contre les pirates informatiques. La NSA chercher à obtenir les informations pouvant l’aider à percer le blindage de communications sécurisées. »

Le procureur fédéral en charge des enquêtes contre l’espionnage a confirmé qu’un dossier a été ouvert sur « l’affaire Quisquater ». C’est sans doute l’agence de sécurité nationale américaine NSA et le GCHQ, un service équivalent au Royaume-Uni, qui travaille la main dans la main avec la NSA, qui sont à l’origine de cet espionnage, mais pour l’instant les enquêteurs n’ont toujours pas pu remonter la source du piratage des clients Belgacom.