Toujours sur base de documents qui lui ont été transmis par Edward Snowden, The Guardian a fait une nouvelle révélation ce vendredi. On peut lire dans le quotidien que la NSA (Agence nationale de sécurité américaine) a versé des millions de dollars à des entreprises telles que Yahoo, Google ou encore Microsoft pour qu’ils procèdent à des modifications techniques permettant de mieux identifier les données des citoyens américains. Seule la société Yahoo a réagi jusqu’à présent, déclarant que ‘la loi fédérale oblige le gouvernement américain à dédommager les fournisseurs dans le cas où ces derniers doivent modifier leurs programmes afin d’exécuter des procédures judiciaires’. Google, de son côté, continue à nier toute implication dans le programme américain Prism, malgré qu’elle soit nommément citée dans un document de la NSA en tant que ‘fournisseur’.

Lavabit (chez qui Snowden avait une adresse e-mail) et Silent Circle, deux fournisseurs d’adresses e-mails sécurisées ont fermé ces derniers jours pour des raisons assez floues. Le fondateur de Lavabit déclare sur son site :

“Chers utilisateurs, j’ai été forcé de faire un choix difficile […]. Après avoir longtemps réfléchi, j’ai décidé de suspendre le service. J’aurais aumé pouvoir légalement partager les évenements qui m’ont conduit à cette décision, mais je ne peux pas. Je pense que vous avez le droit de savoir, et le premier amendement me donnerait le droit de parler librement. Malheureusement, les lois passées par le Congrès en ont décidé autrement. Comme les choses sont : il m’est interdit de partager mes expériences des 6 dernières semaines, même si j’en ai fait deux fois la demande.”

Silent Circle, un service du même genre a lui aussi reçu des demandes d’informations sur ses clients (c’est un service payant), il a prit la décision radicale d’effacer la totalité des données avant qu’il ne soit trop tard. Le boss de Silent Circle a lui déclaré
“Ca n’a pas d’importance ce que vous tentez de faire avec vos e-mails, ce sont les faiblesses inhérentes aux protocoles e-mails (NdT : Quand les e-mails ont été créés il y a 40 ans, personne ne pensait à l’anonymat et à la sécurité sur le net). Donc on s’est débarrassé de Silent Mail. On a tout effacé, tout brûlé et jeté dans l’océan avec des cadenas et des chaines autour. Les gens ont perdu tous leurs e-mails, mais les réactions allaient de “Pourquoi feriez vous ça” à “Merci de l’avoir fait”.

D’autres services sécurisés, comme le collectif anti-autoritaire Riseup.net indique subir ce genre de pressions eux-aussi :
“Nous préférons laisser tomber le tout plutôt que de se soumettre à une surveillance répressive de la part de notre gouvernement, ou n’importe quel autre gouvernement. Nous faisons tout ce que nous pouvons, aussi rapidement que possible afin d’essayer de trouver des options qui nous empêcheraient de fermer, au cas où nous sommes confrontés à une telle décision. En collaboration avec d’autres groupes, nous travaillons pour développer et déployer une nouvelle infrastructure radicale qui nous permettra d’offrir les services de messagerie d’une manière qui est mille fois plus sécuritaire qui nous empêchera encore d’avoir accès aux données de n’importe quel utilisateur. Nous avons travaillé sur cette question depuis plus d’un an, mais nous avons encore beaucoup de travail à faire avant qu’il soit finalisé.

Le raz-de-marée Edward Snowden est loin de s’arréter puisque le gouvernement US est actuellement dans une phase de chasse contre ces outils anti-répressifs.

Si les collectifs américains (légalement forcés de fournir tout ce qu’on leur demande) cherchent des alternatives. D’autres services très prometteurs sont en développement. Notemment Heml.is (par un fondateur de la Pirate Bay, en Suède) et le service d’e-mails de Mega en Nouvelle-Zélande semblent constituer des alternatives performantes.

Mise à jour : Ce problème ne constitue en fait pas une faille. Le système est intégré par exemple à Mozilla Firefox depuis des années. La faille est comme toujours ailleurs : ne pas protéger son ordinateur (firewall et antivirus), enregistrer les mots de passe importants,… Le fait que les mots de passe soient enregistrés est connu depuis bien longtemps et n’est donc pas une faille. Le “développeur de logiciel” expose donc une “faille” qui n’en est pas une.

Vous pouvez tout de même lire l’article précédemment, ces précisions prises en compte.

Un développeur de logiciel vient de découvrir une énorme faille de sécurité dans Google Chrome. Il s’est en effet rendu compte que dans la fonction ‘advanced settings’, il est possible de voir tous les mots de passe existant sur l’ordinateur utilisé. Il suffi de cliquer sur le lien de changement de fonctions de Chrome pour voir tous les mots de passe noircis. En cliquant juste à côté, cela le fait simplement apparaître en texte normal. Dès lors, n’importe qui qui utilise l’ordinateur peut accéder à tous ces mots de passe dès le moment où Chrome y est actif. Interpellé à ce sujet par la presse, le patron du développement de Chrome a déclaré être au courant de cette mauvaise fonction et a justifié sa non-fixation: ‘Nous ne voulons pas donner aux utilisateurs un faux sens de sécurité et encourager les attitudes à risque. Nous voulons être très clairs sur le fait que lorsque vous donnez accès à quelqu’un à votre compte utilisateur de système opératoire (OS), alors ils peuvent tout obtenir’. Ce qu’il ne dit pas, c’set que tous les mots de passe sont donc stockés dans une forme réversible et que n’importe quel hacker (ou grande entreprise, agence de renseignements, NSA,…) peut écrire un ‘cheval de Troie’ pour voler l’enregistrement de mots de passe. Ou comment toujours plus faciliter l’accès à nos données…

Dossier(s): Archives Sécurité IT Tags:

Nous avons régulièrement parlé de l’affaire Edward Snowden et de ces révélations.
L’afflux de scandales et d’informations, qu’elles émanent de Whistleblowers ou d’autres personnes est tellement énorme, qu’il est facile de se perdre. Que peut donc faire la NSA ? C’est ce que nous allons résumer ici.

Pour commencer et situer chacun : la NSA (National Security Agency) est la plus vaste agence de renseignements (d’espionnage) américaine. Sa particularité par rapport aux dizaines d’autres organisations d’espionnage etats-uniennes est qu’elle a deux missions principales : la première est “le renseignement d’origine électro-magnétique”, c’est à dire à l’espionnage d’à peu près toute communication transitant par un dispositif éléctronique. La seconde mission est la sécurisation des systèmes de communications du gouvernement américain. La NSA emploie de façon officielle, directe et indirecte, aux Etats-Unis, plus de 60’000 employés, dont 35’000 directement. La NSA constitue probablement l’organisation de renseignements la plus puissante au monde.

Edward Snowden, lui, est consultant informatique. Il a travaillé pour diverses agences, dont le FBI et la NSA. Il y a quelques semaines, Edward Snowden a fait défection : il a prit contact avec divers journeaux anglo-saxons, leur fournissant documents et confessions avant de prendre la fuite à Hong-Kong et enfin de recevoir un statut de réfugié en Russie. Snowden est à présent considéré comme un “Whistleblowers” (un “lanceur d’alertes”).

Lors de ses révélations, Snowden donnent beaucoup d’histoires : le monitoring complet du net chinois, l’espionnage de la plupart des chefs d’états étrangers, etc… Les deux plus importants concernent PRISM et X-Keyscore, deux programmes qui permettent de surveiller “à peu près tout” sur internet.

Les lois américaines sur l’espionnage des télécommunications sont régulées par les “FISA”, des lois spéciales qui disent que :
– Les entreprises américaines sont obligées de fournir les données demandées. Google, Facebook, Microsoft, Amazon, Yahoo, Apple : qu’ils soient volontaires ou non dans leur collaboration avec la NSA, ils doivent le faire quand même. Même si à l’un ou l’autre cas près, la plupart de ces entreprises ont collaboré sans faire d’histoires.
– Le seul cas véritablement illégal d’espionnage selon FISA est celui-ci : l’espionnage injustifié d’une communication entre deux citoyens américains alors qu’ils sont sur le territoire américain.
– Toute demande FISA est mandatée par un juge de façon secrète.
– Un citoyen américain sur le territoire américain peut légalement être espionné sur la simple justification qu’il est en contact avec une cible étrangère, alors qu’une cible étrangère n’a pas besoin d’être justifiée.

Les diverses fuites ont démontré dernièrement que :
– N’importe qui ayant accès à X-Keyscore peut espionner n’importe qui, selon la phrase de Snowden : “Vous, votre comptable, un juge fédéral ou votre président”.
– Un champs “justification” est présent dans chacun de ces logiciel, dans les faits ces justifications ne sont pas contrôlées, c’est très rare et sans conséquences selon Snowden.
– Malgré tout, il a été dit par d’anciens employés de la NSA qu’en 2007, 20’000 milliards d’informations avaient été collectées (mais pas stockées vu le volume), et ce uniquement entre des citoyens américains.
– En 2010, le volume de données espionnées par la NSA est tel que la plupart des informations ne peuvent rester que 3 à 5 jours sur les serveurs de la NSA. Pour les plus gros sites (ceux qui produisent quotidiennement 20 terrabytes ou plus), le volume est si énorme que leurs données ne restent que 24h. Les métadonnées quant à elles sont stockées 30 jours. Le problème a été résolu en créant des bases de données annexes dans lesquelles les analystes peuvent déposer certaines informations collectées et les mettent dans d’autres bases de données.

Dans l’image ci-dessous, voyez 4 de ces bases de données. Plus elles sont basses dans la pyramide, plus elles offrent de contenus potentiels à l’espion.
– TrafficThief (“Voleur de traffic”): l’écoute d’adresses e-mails précisées. Dans le jargon de la NSA “Strong Selector” veut dire “Adresse e-mail”. Un moyen sûr d’identifier “une cible”.
– Pinwale : l’enregistrement de contenus sur base de mots du dictionnaires.
– MARINA,
– Xkeyscore.

Quelques bases de données de la NSA

Quelques bases de données de la NSA

A elle seule en 2012, Xkeyscore récoltait au minimum sur une période de 30 jours 41 milliards d’enregistrements différents.

Mais pratiquement, à quoi un agent de la NSA qui se met devant son ordinateur a t’il accès :
– Il peut consulter en live et en archives les messages et activités de quelqu’un sur un réseau social en ne connaissant que son nom d’utilisateur.
– Il peut accéder à n’importe quel serveur HTTP. C’est à dire, 99% des usages d’un utilisateur lambda.
– Il peut accéder grâce au point précédent la liste des adresses IP qui ont visité un site internet via HTTP.
– Il peut faire des recherches sur à peu près n’importe qui sans disposer de son adresse e-mail en faisant des recherches par mot-clé.
– Il peut consulter l’historique, les recherches, toute l’activité d’un internaute.

En bref, XKeyscore peut “presque tout savoir”. Les fuites ne disent malheureusement pas quels sont les accès de la NSA à d’autres protocoles que HTTP. Même si on sait qu’il lui est simple (comme à n’importe quel hacker) de simuler une connexion HTTPS pour y faire transiter un utilisateur cible.

Nous ne savons pas non plus si la NSA est aujourd’hui capable de casser les principales méthodes de cryptage comme RSA et AES. Cependant, cela semble peu probable malgré l’arsenal technologique dont dispose cette agence.

Sur le premier semestre 2012, 849 demandes d’informations avaient été adressées au réseau social Twitter par les autorités. Au cours du second semestre de la même année, il en avait reçu 1009. Durant les six premiers mois de 2013, le réseau a été approché 1157 fois pour des demandes de données. Selon le dernier rapport sur la transparence publié par la société ce mercredi, 78% des requêtes provenaient des Etats-Unis, le second pays demandeur étant le Japon, avec 8% des demandes. Twitter a déclaré avoir fourni les informations demandées dans 67% des cas, tout en précisant que la loi lui interdisait de révéler le contenu des informations réclamées.

Dossier(s): Archives Sécurité IT Tags:

Le Security Research Labs a découvert une faille dans le cryptage des cartes SIM embarquées dans les smartphones et téléphones mobiles. Cette brèche permettrait de prendre le contrôle des mobiles. Au total, pas moins de 750 millions de téléphones portables seraient concernés par cette possible menace. L’opération prend deux minutes à peine et qu’il suffit d’un simple ordinateur pour opérer sur un mobile. Il est possible d’installer à distance un logiciel sur un appareil qui fonctionne de manière totalement indépendante de votre téléphone. Pour cela il suffit d’envoyer un SMS maquillé que le téléphone assimile comme provenant de l’opérateur. Il n’y a plus qu’à récupérer la signature du téléphone donnant accès à tout un tas de données chiffrées.

Cette faille provient d’une méthode de cryptage développé dans les années 1970 et appelé Data Encryption Standard ou DES. Après avoir trouvé la brèche, l’expert allemand de Security Research Labs a procédé à des tests sur près d’un millier de cartes SIM de téléphones fonctionnant sur des réseaux européens et nord-américains durant deux ans. Près d’un quart des cartes SIM ainsi testées utilisaient ce vieux système d’encodage que l’on retrouve sur près de la moitié des 6 milliards de téléphones mobiles utilisés dans le monde.

Dossier(s): Archives Sécurité IT

De nombreuses associations et sociétés qui fournissent des services de sécurité informatique ont annoncé avoir eu une explosion de demandes ou d’inscriptions depuis le scandale PRISM. C’est ce qu’on notamment annoncé MEGA, DuckDuckGo, et Riseup. Les principaux acteurs dans ce domaine reconnaissent donc que la sécurité informatique reste bien trop compliquée pour les utilisateurs lambda. Mais cette situation pourrait changer rapidement, voyez plutôt.

MEGA, le successeur de Megaupload qui offre un service de stockage en ligne chiffré et apparemment fiable de 50 Giga-octets a plusieurs projets intéressants : un service de messagerie instantanée sécurisée (d’ici 4 à 6 semaines), un service d’e-mails cryptés d’ici 6 à 9 mois. Mais aussi beaucoup d’autres services ‘en cloud’, notamment de la bureautique. Site

HEMLIS, traduction suédoise de ‘secret’ est le nouveau projet de l’un des fondateurs du site ‘The Pirate Bay’. Le but est à nouveau de créer une application mobile (iOS et Android) de messagerie sécurisée. Le projet à recueilli en quelques heures les 100’000$ nécéssaires à son développement. L’application sera gratuite et sans pub. Certaines fonctions seront néanmoins payantes pour permettre aux développeurs de faire tourner les serveurs de Hemlis. Site

DUCKDUCKGO, un moteur de recherche anonyme, compatible HTTPS et respectueux de la vie privée vient de lancer une application tournant sous Android et se substituant facilement à Google Now. Site. Lien Play Store.

RISEUP, un collectif liberttaire américain fournit de nombreux outils informatiques à des activistes dans le monde entier. Notamment, des listes e-mails, des VPN, mais surtout des adresses e-mails compatibles aux normes SSL et STARTTLS et sans logs. Le nombre de demande a triplé d’un mois à l’autre depuis le scandale PRISM et ils demandent à leurs utilisateurs un soutien financier pour l’achat de nouveaux serveurs. Site.

L’informatique qui était déja en grande transformation avec l’extension du cloud et la substitution croissante des ordinateurs par des tablettes et smartphones pourrait donc se transformer encore plus avec le coup de pied d’Edward Snowden qui montre la nécessité de se protéger sur le net.

Les problèmes de faille subis par les devices Android affecteraient 99% des terminaux. La faille existe depuis Android 1.6 (Donut) et permet la modification du code d’une application dont l’APK a déjà été reconnu valide par le Play Store et ce, sans affecter sa signature numérique. Pour ce faire, les développeurs pirates (ou policiers) n’ont qu’à proposer à l’utilisateur une mise à jour directe vérolée de leur application, qui une fois installée leur permettrait de prendre le contrôle total de l’appareil infecté. A l’heure actuelle, seul le Galaxy S4 de Samsung est immunisé contre cette faille, ce qui implique qu’une solution est possible pour les autres terminaux mobiles.

android-2.jpg

Dossier(s): Archives Sécurité IT

Un graphiste américain a mis au point une police de caractères spécialement pensée pour tromper les outils de reconnaissance automatique de caractères. Baptisée ZXX — un clin d’oeil à une cote utilisée dans les bibliothèques du monde pour identifier les documents sans contenu linguistique —, cette police de caractères se résume en une série de lettres, symboles et chiffres, dessinée pour ajouter du bruit dans la communication écrite et du coup faire capoter les logiciels de reconnaissance de caractère. Pour un fichier informatique, ça ne sert strictement à rien, les caractères étant encodés de la même façon peut importe la police utilisée. La police est accessible gratuitement sur le net.

zxx.jpg

Dossier(s): Archives Sécurité IT

Une technique basée sur le principe de la cage de Faraday pour désactiver les ondes sur n’importe quel appareil électronique. Pas besoin d’enlever sa batterie (et donc utile pour les smartphones ‘unibody’ où il n’est pas possible de la retirer.) Intéressante aussi en ceci qu’elle n’envoie pas à l’opérateur un signal “téléphone coupé” (le fait pour deux suspects d’avoir coupé un téléphone au même moment a déjà été considéré comme élément à charge devant les tribunaux). Testé et approuvé par le Secours Rouge !