TOR, The Onion Router, un logiciel bien connu pour ses prouesses permettant l’anonymat à ses utilisateurs. Mais, fait moins connu, TOR est également une porte d’entrée du « deep web », un ensemble de réseaux « cachés » au commun des internautes, un internet secret et pratiquement impossible à contrôler pour les agences gouvermentales, ou n’importe qui d’autre. Le deep web de TOR, (les domaines .onion) a fait parler de lui la semaine dernière lors d’une opération massive orchestrée par le FBI contre The Silk Road, le « eBay de la drogue ». Ce qui aurait pu signifier de graves failles de sécurité pour tous les utilisateurs de TOR n’a pas eu lieu : le FBI a pu arrêter le webmaster à causes d’erreurs faites par ce dernier et non par des failles informatiques.

Autre bonne nouvelle pour les usagers de TOR : un document dévoilé par Edward Snowden met en évidence les difficultés de la NSA a infiltrer le protocole TOR. Ceci est toutefois parfois possible dans deux cas. Premier cas: la NSA peut occasionellement utiliser des failles de sécurité présente dans d’autres logiciels (notamment dans le Firefox modifié), ou bien utiliser des cookies laissés par TOR. Pour localiser et infecter un noeud sur le reseau. Cela restant compliqué. Deuxième cas : la NSA crée actuellement des nœuds pour contrôler une part accrue du reseau. Son problème étant que seuls les deux nœuds aux extrémités peuvent déchiffrer les donnees : lorsque les données transitent par la NSA, celle-ci ne peut donc rien en faire. L’idéal actuel de la NSA est de pouvoir contrôler suffisamment de nœuds pour contrôlerune communication d’un bout à l’autre. Mais c’est idéal est inaccessible car une présence aussi énorme serait rapidement repérée par le reste du réseau qui trouverait un moyen d’exclure les nœuds infectés.

On peut considérer à l’heure actuelle que la NSA est capable d’écouter une petite minorité des utilisateurs de TOR et qu’elle ne choisit pas cette minorité. De plus, la NSA doit se montrer sélective, car sa gourmandise la ferait reperer. Un ordinateur bien sécurisé est donc primordial pour se protéger de ces mises sur écoute.

Un petit périphérique USB baptisé USB Rubber Ducky en vente sur le net a la particularité de se comporter exactement comme un clavier dès que vous la branchez, un clavier qui écrira tout seul le code que vous lui aurez dit d’écrire à l’avance. Comme n’importe quel clavier, Ducky est reconnu par les OS modernes (Linux, Mac et Windows) et profite de cette confiance aveugle qu’on les OS en les claviers afin de balancer des payloads à la vitesse de mille mots par seconde.

Ces payload peuvent être des scripts (eux-mêmes téléchargeables par dizaines sur le net) qui permettent, par exemple: d’insérer une backdoor (sous OSX), de faire du DNS poisoning en local, de récupérer la config WiFi d’un Windows, de récupérer le profil d’un utilisateur sur un FTP de votre choix, de créer un réseau WiFi sur la machine visée et même d’injecter un binaire. USB Rubber Ducky ne fonctionne que si l’utilisateur a oublié de bloquer sa session. Ce qui est très souvent le cas. Avec un petit script bien pensé, il suffit que vous vous leviez 1 minute de votre chaise, pour que votre voisin de table récupère des données, un accès distant ou des mots de passe en quelques secondes simplement en insérant sa clé Ducky dans le port USB de votre machine.

Comme vous le savez si vous suivez régulièrement le dossier Snowden via le site du Secours Rouge, la NSA a réussi à outrepasser plusieurs normes de cryptages par internet. Le flux d’informations quotidien est tel qu’il est nécéssaire de re-faire des résumés régulièrement pour que chacun puisse comprendre.

Malheureusement, il est aujourd’hui plus court de résumer ce qui est sûr de ce qui ne l’est pas.

Mais voyons tout d’abord les deux dernières révélations.

Il y a quelques jours, c’était la capacité de la NSA a cracker bon nombres de chiffrements par internet. Nous avons maintenant plus de précisions à ce sujet : la NSA a travaillé pendant plus de 10 ans pour rendre le web transparent à leurs yeux. Le programme Bullrun est une batterie d’outils : la NSA a put obtenir grâce à la bonne volonté ou aux pressions exercées, les clés privées d’un très grand nombre de blindages SSL (le fameux httpS qui protège par exemple les paiements en ligne et les vols de cookies). Il y a aussi des « cassages » logiciels grâce à l’énorme puissance informatique des machines de la NSA.

TOR par exemple ne peut être considéré comme sûr actuellement : car les noeuds (les machines à travers lesquelles les connexions anonymes se propagent) ne sont pas mises à jour. Si la dernière version de TOR est 2.3.25, les machines tournant encore sous TOR 2.2 sont concernées par Bullrun. Profitez-en pour mettre votre logiciel à jour. Précisons que TOR n’a pas participé au programme et n’est pas complice de la faille !

Enfin, ce matin, ce sont les révélations peu surprenantes de la mise en place de portes dérobées chez iOS (Apple), Blackberry et Android (Google), qui permet à la NSA d’accéder facilement aux données des smartphones. Petit bonus pour iOS (ipad, iphone et ipod), la NSA peut pirater l’ordinateur connecté à l’iphone ! On retiendra comme seule surprise de cette histoire, que l’infiltration s’est faite chez certaines sociétés et à certains moments de façon secrète. C’est à dire que la NSA aurait placé ces portes dérobées de façon clandestine, sans même que la société concernée ne soit au courant ! Il y a cependant peu d’informations à ce sujet.

Pour en revenir à notre résumé. Faisons un point sur les différents systèmes sûrs, pas sûrs et inconnus.

Sont à considérer comme non-sûrs :
– Les systèmes d’exploitation Windows, OSX, iOS, Android et Blackberry.
– La plupart des connexions SSL.
– Tout chiffrement s’effectuant en ligne (sur une machine distante).
– Toute solution fournie par un éditeur sitée aux Etats-Unis.

Sont à considérer comme provisoirement non-sûrs :
– TOR,
– Le chiffrement local transmis via javascript (par exemple Mega), le temps que ceux-ci remplacent éventuellement leurs propositions logicielles.

Sont à considérer comme sûrs :
– Les systèmes open-source ET libres : majoritairement Linux (Firefox OS pour les smartphones).
– Le chiffrement par GPG.
– HTTPS Everywhere, est partiellement sûr. Comme annoncé par l’éditeur (EFF) « On ne peut pas vous protéger de tout, mais c’est mieux que rien ».
– Le chiffrement de disque sous Linux.

Beaucoup de gens se posent également la question de la sécurité sous Truecrypt. Celui-ci n’est jusqu’ici concerné par aucun programme révélé par Snowden. Cependant, le risque existe. Si le logiciel est open-source, il n’est pas libre. Il y a donc peu de participants à son développement, et son code est si complexe qu’il n’a jamais été « fouillé ». Truecrypt est donc potentiellement « non-sûr ». Il pourrait être interessant de privilégier du chiffrement par GPG ou bien par l’outil « Utilitaire de disques » de Linux.

Seize pays ont introduit des demandes d’informations à la société Yahoo au cours des six premiers mois de l’année. Au total, 29.000 demandes d’informations sur les utilisateurs de Yahoo, dont 12.444 émanant des des autorités américaines. 37% d’entre elles ont été satisfaites, et dans 55% des cas, Yahoo affirme avoir fourni des informations ‘sans contenu’, tels que les noms ou la géolocalisation. Seuls 2%des requêtes américaines ont essuyé un refus. Parmi les pays demandeurs, outre les USA, l’Australie, l’Inde, la France, l’Allemagne ou encore l’Italie.

Des révélations publiées hier soir indiquent la capacité de la NSA a décrypter les communications chiffrées par internet. Les articles publiés sur les sites des journaux en ligne sont très peu exhaustifs, voici donc une mise au point.

Le cryptage utilisé majoritairement dans les communications par internet est le SSL/TLS. Ceci est une catastrophe à divers points de vue, mais pas à tous. Le SSL/TLS sert à chiffrer beaucoup de choses, comme par exemple : le HTTPS, les transferts d’e-mails, les VPN, la VoIP sécurisée,…

Exemples : le SSL est un « blindage ». Il sert à protéger une communication entre deux machines communiquant ensemble. Le protocole HTTPS sert par exemple à sécuriser les paiements en ligne. Le SSL sur e-mail sert à sécuriser les e-mails en transfert, les VPN servent à créer un réseau virtuel privé et blindé à l’intérieur d’un réseau plus grand (comme internet par exemple).

Les précédentes révélations de Snowden indiquaient la capacité à pénétrer n’importe quel protocole non-sécurisé (HTTP, FTP,…). C’est donc l’autre moitié des protocoles qui est concernée par cette faille (HTTPS, SFTP, VPN,…).

Les révélations de Snowden depuis le début appellent à un recyclage évident d’internet tel qu’on le connait. Rien de ce que nous faisons par internet n’est sûr. Des protocoles de communication aussi basique que les e-mails sont pratiquement considérés comme « insécurisables ».

La NSA prend donc une allure d’école du crime : quand on crée des backdoors, on ne peut jamais être sûr d’être le seul à les utiliser.

A propos de GPG : pas de panique, GPG est toujours sûr puisqu’il n’a aucun rapport avec SSL. Le vrai drame serait que la NSA aie les moyens de briser les algorythmes de chiffrement qu’elle utilise elle-même : les chiffrements AES. Et ces algorythmes, nous les utilisons tous chaque jour.

Une diapositive du GCHQ, service secret britannique

L’IP Tracking n’est pas nouveau, il est très souvent utilisé, par exemple, sur les sites de compagnies aériennes pour augmenter le prix d’un ticket d’avion lorsqu’une personne retourne régulièrement en voir le prix.
C’est une forme d’espionnage par internet, et il est donc utile de s’en protéger. Cela est relativement simple : par l’utilisation du Tor Bundle.

Il existe cependant une extension pour Chrome et Firefox qui permet d’être beaucoup plus rapide que Tor. De plus, cette extension vous permettra de voir des sites censurés dans votre pays en prétendant une adresse IP aléatoire (le plus souvent américaine).
Télécharger Stealthy pour Firefox.
Télécharger Stealthy pour Chrome

Toujours sur base de documents qui lui ont été transmis par Edward Snowden, The Guardian a fait une nouvelle révélation ce vendredi. On peut lire dans le quotidien que la NSA (Agence nationale de sécurité américaine) a versé des millions de dollars à des entreprises telles que Yahoo, Google ou encore Microsoft pour qu’ils procèdent à des modifications techniques permettant de mieux identifier les données des citoyens américains. Seule la société Yahoo a réagi jusqu’à présent, déclarant que ‘la loi fédérale oblige le gouvernement américain à dédommager les fournisseurs dans le cas où ces derniers doivent modifier leurs programmes afin d’exécuter des procédures judiciaires’. Google, de son côté, continue à nier toute implication dans le programme américain Prism, malgré qu’elle soit nommément citée dans un document de la NSA en tant que ‘fournisseur’.

Lavabit (chez qui Snowden avait une adresse e-mail) et Silent Circle, deux fournisseurs d’adresses e-mails sécurisées ont fermé ces derniers jours pour des raisons assez floues. Le fondateur de Lavabit déclare sur son site :

« Chers utilisateurs, j’ai été forcé de faire un choix difficile […]. Après avoir longtemps réfléchi, j’ai décidé de suspendre le service. J’aurais aumé pouvoir légalement partager les évenements qui m’ont conduit à cette décision, mais je ne peux pas. Je pense que vous avez le droit de savoir, et le premier amendement me donnerait le droit de parler librement. Malheureusement, les lois passées par le Congrès en ont décidé autrement. Comme les choses sont : il m’est interdit de partager mes expériences des 6 dernières semaines, même si j’en ai fait deux fois la demande. »

Silent Circle, un service du même genre a lui aussi reçu des demandes d’informations sur ses clients (c’est un service payant), il a prit la décision radicale d’effacer la totalité des données avant qu’il ne soit trop tard. Le boss de Silent Circle a lui déclaré
« Ca n’a pas d’importance ce que vous tentez de faire avec vos e-mails, ce sont les faiblesses inhérentes aux protocoles e-mails (NdT : Quand les e-mails ont été créés il y a 40 ans, personne ne pensait à l’anonymat et à la sécurité sur le net). Donc on s’est débarrassé de Silent Mail. On a tout effacé, tout brûlé et jeté dans l’océan avec des cadenas et des chaines autour. Les gens ont perdu tous leurs e-mails, mais les réactions allaient de « Pourquoi feriez vous ça » à « Merci de l’avoir fait ».

D’autres services sécurisés, comme le collectif anti-autoritaire Riseup.net indique subir ce genre de pressions eux-aussi :
« Nous préférons laisser tomber le tout plutôt que de se soumettre à une surveillance répressive de la part de notre gouvernement, ou n’importe quel autre gouvernement. Nous faisons tout ce que nous pouvons, aussi rapidement que possible afin d’essayer de trouver des options qui nous empêcheraient de fermer, au cas où nous sommes confrontés à une telle décision. En collaboration avec d’autres groupes, nous travaillons pour développer et déployer une nouvelle infrastructure radicale qui nous permettra d’offrir les services de messagerie d’une manière qui est mille fois plus sécuritaire qui nous empêchera encore d’avoir accès aux données de n’importe quel utilisateur. Nous avons travaillé sur cette question depuis plus d’un an, mais nous avons encore beaucoup de travail à faire avant qu’il soit finalisé.

Le raz-de-marée Edward Snowden est loin de s’arréter puisque le gouvernement US est actuellement dans une phase de chasse contre ces outils anti-répressifs.

Si les collectifs américains (légalement forcés de fournir tout ce qu’on leur demande) cherchent des alternatives. D’autres services très prometteurs sont en développement. Notemment Heml.is (par un fondateur de la Pirate Bay, en Suède) et le service d’e-mails de Mega en Nouvelle-Zélande semblent constituer des alternatives performantes.

Mise à jour : Ce problème ne constitue en fait pas une faille. Le système est intégré par exemple à Mozilla Firefox depuis des années. La faille est comme toujours ailleurs : ne pas protéger son ordinateur (firewall et antivirus), enregistrer les mots de passe importants,… Le fait que les mots de passe soient enregistrés est connu depuis bien longtemps et n’est donc pas une faille. Le « développeur de logiciel » expose donc une « faille » qui n’en est pas une.

Vous pouvez tout de même lire l’article précédemment, ces précisions prises en compte.

Un développeur de logiciel vient de découvrir une énorme faille de sécurité dans Google Chrome. Il s’est en effet rendu compte que dans la fonction ‘advanced settings’, il est possible de voir tous les mots de passe existant sur l’ordinateur utilisé. Il suffi de cliquer sur le lien de changement de fonctions de Chrome pour voir tous les mots de passe noircis. En cliquant juste à côté, cela le fait simplement apparaître en texte normal. Dès lors, n’importe qui qui utilise l’ordinateur peut accéder à tous ces mots de passe dès le moment où Chrome y est actif. Interpellé à ce sujet par la presse, le patron du développement de Chrome a déclaré être au courant de cette mauvaise fonction et a justifié sa non-fixation: ‘Nous ne voulons pas donner aux utilisateurs un faux sens de sécurité et encourager les attitudes à risque. Nous voulons être très clairs sur le fait que lorsque vous donnez accès à quelqu’un à votre compte utilisateur de système opératoire (OS), alors ils peuvent tout obtenir’. Ce qu’il ne dit pas, c’set que tous les mots de passe sont donc stockés dans une forme réversible et que n’importe quel hacker (ou grande entreprise, agence de renseignements, NSA,…) peut écrire un ‘cheval de Troie’ pour voler l’enregistrement de mots de passe. Ou comment toujours plus faciliter l’accès à nos données…

Nous avons régulièrement parlé de l’affaire Edward Snowden et de ces révélations.
L’afflux de scandales et d’informations, qu’elles émanent de Whistleblowers ou d’autres personnes est tellement énorme, qu’il est facile de se perdre. Que peut donc faire la NSA ? C’est ce que nous allons résumer ici.

Pour commencer et situer chacun : la NSA (National Security Agency) est la plus vaste agence de renseignements (d’espionnage) américaine. Sa particularité par rapport aux dizaines d’autres organisations d’espionnage etats-uniennes est qu’elle a deux missions principales : la première est « le renseignement d’origine électro-magnétique », c’est à dire à l’espionnage d’à peu près toute communication transitant par un dispositif éléctronique. La seconde mission est la sécurisation des systèmes de communications du gouvernement américain. La NSA emploie de façon officielle, directe et indirecte, aux Etats-Unis, plus de 60’000 employés, dont 35’000 directement. La NSA constitue probablement l’organisation de renseignements la plus puissante au monde.

Edward Snowden, lui, est consultant informatique. Il a travaillé pour diverses agences, dont le FBI et la NSA. Il y a quelques semaines, Edward Snowden a fait défection : il a prit contact avec divers journeaux anglo-saxons, leur fournissant documents et confessions avant de prendre la fuite à Hong-Kong et enfin de recevoir un statut de réfugié en Russie. Snowden est à présent considéré comme un « Whistleblowers » (un « lanceur d’alertes »).

Lors de ses révélations, Snowden donnent beaucoup d’histoires : le monitoring complet du net chinois, l’espionnage de la plupart des chefs d’états étrangers, etc… Les deux plus importants concernent PRISM et X-Keyscore, deux programmes qui permettent de surveiller « à peu près tout » sur internet.

Les lois américaines sur l’espionnage des télécommunications sont régulées par les « FISA », des lois spéciales qui disent que :
– Les entreprises américaines sont obligées de fournir les données demandées. Google, Facebook, Microsoft, Amazon, Yahoo, Apple : qu’ils soient volontaires ou non dans leur collaboration avec la NSA, ils doivent le faire quand même. Même si à l’un ou l’autre cas près, la plupart de ces entreprises ont collaboré sans faire d’histoires.
– Le seul cas véritablement illégal d’espionnage selon FISA est celui-ci : l’espionnage injustifié d’une communication entre deux citoyens américains alors qu’ils sont sur le territoire américain.
– Toute demande FISA est mandatée par un juge de façon secrète.
– Un citoyen américain sur le territoire américain peut légalement être espionné sur la simple justification qu’il est en contact avec une cible étrangère, alors qu’une cible étrangère n’a pas besoin d’être justifiée.

Les diverses fuites ont démontré dernièrement que :
– N’importe qui ayant accès à X-Keyscore peut espionner n’importe qui, selon la phrase de Snowden : « Vous, votre comptable, un juge fédéral ou votre président ».
– Un champs « justification » est présent dans chacun de ces logiciel, dans les faits ces justifications ne sont pas contrôlées, c’est très rare et sans conséquences selon Snowden.
– Malgré tout, il a été dit par d’anciens employés de la NSA qu’en 2007, 20’000 milliards d’informations avaient été collectées (mais pas stockées vu le volume), et ce uniquement entre des citoyens américains.
– En 2010, le volume de données espionnées par la NSA est tel que la plupart des informations ne peuvent rester que 3 à 5 jours sur les serveurs de la NSA. Pour les plus gros sites (ceux qui produisent quotidiennement 20 terrabytes ou plus), le volume est si énorme que leurs données ne restent que 24h. Les métadonnées quant à elles sont stockées 30 jours. Le problème a été résolu en créant des bases de données annexes dans lesquelles les analystes peuvent déposer certaines informations collectées et les mettent dans d’autres bases de données.

Dans l’image ci-dessous, voyez 4 de ces bases de données. Plus elles sont basses dans la pyramide, plus elles offrent de contenus potentiels à l’espion.
– TrafficThief (« Voleur de traffic »): l’écoute d’adresses e-mails précisées. Dans le jargon de la NSA « Strong Selector » veut dire « Adresse e-mail ». Un moyen sûr d’identifier « une cible ».
– Pinwale : l’enregistrement de contenus sur base de mots du dictionnaires.
– MARINA,
– Xkeyscore.

Quelques bases de données de la NSA

A elle seule en 2012, Xkeyscore récoltait au minimum sur une période de 30 jours 41 milliards d’enregistrements différents.

Mais pratiquement, à quoi un agent de la NSA qui se met devant son ordinateur a t’il accès :
– Il peut consulter en live et en archives les messages et activités de quelqu’un sur un réseau social en ne connaissant que son nom d’utilisateur.
– Il peut accéder à n’importe quel serveur HTTP. C’est à dire, 99% des usages d’un utilisateur lambda.
– Il peut accéder grâce au point précédent la liste des adresses IP qui ont visité un site internet via HTTP.
– Il peut faire des recherches sur à peu près n’importe qui sans disposer de son adresse e-mail en faisant des recherches par mot-clé.
– Il peut consulter l’historique, les recherches, toute l’activité d’un internaute.

En bref, XKeyscore peut « presque tout savoir ». Les fuites ne disent malheureusement pas quels sont les accès de la NSA à d’autres protocoles que HTTP. Même si on sait qu’il lui est simple (comme à n’importe quel hacker) de simuler une connexion HTTPS pour y faire transiter un utilisateur cible.

Nous ne savons pas non plus si la NSA est aujourd’hui capable de casser les principales méthodes de cryptage comme RSA et AES. Cependant, cela semble peu probable malgré l’arsenal technologique dont dispose cette agence.