Dernier rappel! Comme les années précédentes, le Secours Rouge organise une formation au cryptage informatique. Celui-ci est (encore) légal en Belgique et permet de préserver la confidentialité de vos données et de vos mails. La formation de ce jeudi portera donc sur GPG (ou GnuPG, l’implémentation libre du célèbre logiciel PGP de cryptage par clés asymétriques).

L’installation n’est pas toujours aisée mais l’utilisation est enfantine. Si vous apportez votre portable (sous Mac ou sous Windows), nous vous installerons (ou vous aiderons à installer) le logiciel et nous vous montrerons comment l’utiliser.

Au Pianofabriek, ce 14 novembre à 19H30, salle Bujumbura, entrée libre.

gnupg

Tout comme divers autres grands groupes le font régulièrement, Apple vient de rendre publique la liste des demandes de renseignements reçues de la part des différents gouvernements sur la période entre janvier et juin de cette année. Les Etats-Unis ont été les plus gros demandeurs, mais le gouvernement américain n’a pas autorisé Apple à diffuser l’ensemble des informations en promulguant une ‘ordonnance de non-publication’. Dès lors, la société n’a pu que signaler avoir reçu entre 1000 et 2000 demandes du gouvernement américain concernant 2000 à 3000 comptes. Outre les Etats-Unis, le Royaume-Uni a introduit 127 demandes, l’Espagne 102, l’Allemagne 93, l’Australie 74 et la France 71.

Un quotidien américain a fait de nouvelles révélations hier, citant des documents d’Edward Snowden. Pour contourner l’interdiction, imposée par la loi américaine, d’intercepter des informations sur des Américains depuis le territoire américain, la NSA a mis au point un système d’interception de listes de courriels ‘au vol’. C’est-à-dire que l’agence collecte les informations lorsqu’elles sont en cours d’échange et pas lorsqu’elles se trouvent stockées sur les serveurs. En outre, les listes de contact ainsi collectées contiennent beaucoup plus d’informations que les métadonnées téléphoniques. On y retrouve des adresses physiques, des numéros de téléphone,… et même parfois les premières lignes du mail. Cette technique a permis à la NSA, en une seule journée en 2012, d’intercepter 444.743 listes de contacts de comptes Yahoo!, 82857 de comptes Facebook, 33.697 de comptes Gmail et 22.881 d’autres fournisseurs. En extrapolant ces chiffres, on se rend compte que des dizaines de millions d’Américains sont concernés par cette collecte.

TOR, The Onion Router, un logiciel bien connu pour ses prouesses permettant l’anonymat à ses utilisateurs. Mais, fait moins connu, TOR est également une porte d’entrée du « deep web », un ensemble de réseaux « cachés » au commun des internautes, un internet secret et pratiquement impossible à contrôler pour les agences gouvermentales, ou n’importe qui d’autre. Le deep web de TOR, (les domaines .onion) a fait parler de lui la semaine dernière lors d’une opération massive orchestrée par le FBI contre The Silk Road, le « eBay de la drogue ». Ce qui aurait pu signifier de graves failles de sécurité pour tous les utilisateurs de TOR n’a pas eu lieu : le FBI a pu arrêter le webmaster à causes d’erreurs faites par ce dernier et non par des failles informatiques.

Autre bonne nouvelle pour les usagers de TOR : un document dévoilé par Edward Snowden met en évidence les difficultés de la NSA a infiltrer le protocole TOR. Ceci est toutefois parfois possible dans deux cas. Premier cas: la NSA peut occasionellement utiliser des failles de sécurité présente dans d’autres logiciels (notamment dans le Firefox modifié), ou bien utiliser des cookies laissés par TOR. Pour localiser et infecter un noeud sur le reseau. Cela restant compliqué. Deuxième cas : la NSA crée actuellement des nœuds pour contrôler une part accrue du reseau. Son problème étant que seuls les deux nœuds aux extrémités peuvent déchiffrer les donnees : lorsque les données transitent par la NSA, celle-ci ne peut donc rien en faire. L’idéal actuel de la NSA est de pouvoir contrôler suffisamment de nœuds pour contrôlerune communication d’un bout à l’autre. Mais c’est idéal est inaccessible car une présence aussi énorme serait rapidement repérée par le reste du réseau qui trouverait un moyen d’exclure les nœuds infectés.

On peut considérer à l’heure actuelle que la NSA est capable d’écouter une petite minorité des utilisateurs de TOR et qu’elle ne choisit pas cette minorité. De plus, la NSA doit se montrer sélective, car sa gourmandise la ferait reperer. Un ordinateur bien sécurisé est donc primordial pour se protéger de ces mises sur écoute.

Un petit périphérique USB baptisé USB Rubber Ducky en vente sur le net a la particularité de se comporter exactement comme un clavier dès que vous la branchez, un clavier qui écrira tout seul le code que vous lui aurez dit d’écrire à l’avance. Comme n’importe quel clavier, Ducky est reconnu par les OS modernes (Linux, Mac et Windows) et profite de cette confiance aveugle qu’on les OS en les claviers afin de balancer des payloads à la vitesse de mille mots par seconde.

Ces payload peuvent être des scripts (eux-mêmes téléchargeables par dizaines sur le net) qui permettent, par exemple: d’insérer une backdoor (sous OSX), de faire du DNS poisoning en local, de récupérer la config WiFi d’un Windows, de récupérer le profil d’un utilisateur sur un FTP de votre choix, de créer un réseau WiFi sur la machine visée et même d’injecter un binaire. USB Rubber Ducky ne fonctionne que si l’utilisateur a oublié de bloquer sa session. Ce qui est très souvent le cas. Avec un petit script bien pensé, il suffit que vous vous leviez 1 minute de votre chaise, pour que votre voisin de table récupère des données, un accès distant ou des mots de passe en quelques secondes simplement en insérant sa clé Ducky dans le port USB de votre machine.

Comme vous le savez si vous suivez régulièrement le dossier Snowden via le site du Secours Rouge, la NSA a réussi à outrepasser plusieurs normes de cryptages par internet. Le flux d’informations quotidien est tel qu’il est nécéssaire de re-faire des résumés régulièrement pour que chacun puisse comprendre.

Malheureusement, il est aujourd’hui plus court de résumer ce qui est sûr de ce qui ne l’est pas.

Mais voyons tout d’abord les deux dernières révélations.

Il y a quelques jours, c’était la capacité de la NSA a cracker bon nombres de chiffrements par internet. Nous avons maintenant plus de précisions à ce sujet : la NSA a travaillé pendant plus de 10 ans pour rendre le web transparent à leurs yeux. Le programme Bullrun est une batterie d’outils : la NSA a put obtenir grâce à la bonne volonté ou aux pressions exercées, les clés privées d’un très grand nombre de blindages SSL (le fameux httpS qui protège par exemple les paiements en ligne et les vols de cookies). Il y a aussi des « cassages » logiciels grâce à l’énorme puissance informatique des machines de la NSA.

TOR par exemple ne peut être considéré comme sûr actuellement : car les noeuds (les machines à travers lesquelles les connexions anonymes se propagent) ne sont pas mises à jour. Si la dernière version de TOR est 2.3.25, les machines tournant encore sous TOR 2.2 sont concernées par Bullrun. Profitez-en pour mettre votre logiciel à jour. Précisons que TOR n’a pas participé au programme et n’est pas complice de la faille !

Enfin, ce matin, ce sont les révélations peu surprenantes de la mise en place de portes dérobées chez iOS (Apple), Blackberry et Android (Google), qui permet à la NSA d’accéder facilement aux données des smartphones. Petit bonus pour iOS (ipad, iphone et ipod), la NSA peut pirater l’ordinateur connecté à l’iphone ! On retiendra comme seule surprise de cette histoire, que l’infiltration s’est faite chez certaines sociétés et à certains moments de façon secrète. C’est à dire que la NSA aurait placé ces portes dérobées de façon clandestine, sans même que la société concernée ne soit au courant ! Il y a cependant peu d’informations à ce sujet.

Pour en revenir à notre résumé. Faisons un point sur les différents systèmes sûrs, pas sûrs et inconnus.

Sont à considérer comme non-sûrs :
– Les systèmes d’exploitation Windows, OSX, iOS, Android et Blackberry.
– La plupart des connexions SSL.
– Tout chiffrement s’effectuant en ligne (sur une machine distante).
– Toute solution fournie par un éditeur sitée aux Etats-Unis.

Sont à considérer comme provisoirement non-sûrs :
– TOR,
– Le chiffrement local transmis via javascript (par exemple Mega), le temps que ceux-ci remplacent éventuellement leurs propositions logicielles.

Sont à considérer comme sûrs :
– Les systèmes open-source ET libres : majoritairement Linux (Firefox OS pour les smartphones).
– Le chiffrement par GPG.
– HTTPS Everywhere, est partiellement sûr. Comme annoncé par l’éditeur (EFF) « On ne peut pas vous protéger de tout, mais c’est mieux que rien ».
– Le chiffrement de disque sous Linux.

Beaucoup de gens se posent également la question de la sécurité sous Truecrypt. Celui-ci n’est jusqu’ici concerné par aucun programme révélé par Snowden. Cependant, le risque existe. Si le logiciel est open-source, il n’est pas libre. Il y a donc peu de participants à son développement, et son code est si complexe qu’il n’a jamais été « fouillé ». Truecrypt est donc potentiellement « non-sûr ». Il pourrait être interessant de privilégier du chiffrement par GPG ou bien par l’outil « Utilitaire de disques » de Linux.

Seize pays ont introduit des demandes d’informations à la société Yahoo au cours des six premiers mois de l’année. Au total, 29.000 demandes d’informations sur les utilisateurs de Yahoo, dont 12.444 émanant des des autorités américaines. 37% d’entre elles ont été satisfaites, et dans 55% des cas, Yahoo affirme avoir fourni des informations ‘sans contenu’, tels que les noms ou la géolocalisation. Seuls 2%des requêtes américaines ont essuyé un refus. Parmi les pays demandeurs, outre les USA, l’Australie, l’Inde, la France, l’Allemagne ou encore l’Italie.

Des révélations publiées hier soir indiquent la capacité de la NSA a décrypter les communications chiffrées par internet. Les articles publiés sur les sites des journaux en ligne sont très peu exhaustifs, voici donc une mise au point.

Le cryptage utilisé majoritairement dans les communications par internet est le SSL/TLS. Ceci est une catastrophe à divers points de vue, mais pas à tous. Le SSL/TLS sert à chiffrer beaucoup de choses, comme par exemple : le HTTPS, les transferts d’e-mails, les VPN, la VoIP sécurisée,…

Exemples : le SSL est un « blindage ». Il sert à protéger une communication entre deux machines communiquant ensemble. Le protocole HTTPS sert par exemple à sécuriser les paiements en ligne. Le SSL sur e-mail sert à sécuriser les e-mails en transfert, les VPN servent à créer un réseau virtuel privé et blindé à l’intérieur d’un réseau plus grand (comme internet par exemple).

Les précédentes révélations de Snowden indiquaient la capacité à pénétrer n’importe quel protocole non-sécurisé (HTTP, FTP,…). C’est donc l’autre moitié des protocoles qui est concernée par cette faille (HTTPS, SFTP, VPN,…).

Les révélations de Snowden depuis le début appellent à un recyclage évident d’internet tel qu’on le connait. Rien de ce que nous faisons par internet n’est sûr. Des protocoles de communication aussi basique que les e-mails sont pratiquement considérés comme « insécurisables ».

La NSA prend donc une allure d’école du crime : quand on crée des backdoors, on ne peut jamais être sûr d’être le seul à les utiliser.

A propos de GPG : pas de panique, GPG est toujours sûr puisqu’il n’a aucun rapport avec SSL. Le vrai drame serait que la NSA aie les moyens de briser les algorythmes de chiffrement qu’elle utilise elle-même : les chiffrements AES. Et ces algorythmes, nous les utilisons tous chaque jour.

Une diapositive du GCHQ, service secret britannique

L’IP Tracking n’est pas nouveau, il est très souvent utilisé, par exemple, sur les sites de compagnies aériennes pour augmenter le prix d’un ticket d’avion lorsqu’une personne retourne régulièrement en voir le prix.
C’est une forme d’espionnage par internet, et il est donc utile de s’en protéger. Cela est relativement simple : par l’utilisation du Tor Bundle.

Il existe cependant une extension pour Chrome et Firefox qui permet d’être beaucoup plus rapide que Tor. De plus, cette extension vous permettra de voir des sites censurés dans votre pays en prétendant une adresse IP aléatoire (le plus souvent américaine).
Télécharger Stealthy pour Firefox.
Télécharger Stealthy pour Chrome

Toujours sur base de documents qui lui ont été transmis par Edward Snowden, The Guardian a fait une nouvelle révélation ce vendredi. On peut lire dans le quotidien que la NSA (Agence nationale de sécurité américaine) a versé des millions de dollars à des entreprises telles que Yahoo, Google ou encore Microsoft pour qu’ils procèdent à des modifications techniques permettant de mieux identifier les données des citoyens américains. Seule la société Yahoo a réagi jusqu’à présent, déclarant que ‘la loi fédérale oblige le gouvernement américain à dédommager les fournisseurs dans le cas où ces derniers doivent modifier leurs programmes afin d’exécuter des procédures judiciaires’. Google, de son côté, continue à nier toute implication dans le programme américain Prism, malgré qu’elle soit nommément citée dans un document de la NSA en tant que ‘fournisseur’.