Comme vous le savez si vous suivez régulièrement le dossier Snowden via le site du Secours Rouge, la NSA a réussi à outrepasser plusieurs normes de cryptages par internet. Le flux d’informations quotidien est tel qu’il est nécéssaire de re-faire des résumés régulièrement pour que chacun puisse comprendre.

Malheureusement, il est aujourd’hui plus court de résumer ce qui est sûr de ce qui ne l’est pas.

Mais voyons tout d’abord les deux dernières révélations.

Il y a quelques jours, c’était la capacité de la NSA a cracker bon nombres de chiffrements par internet. Nous avons maintenant plus de précisions à ce sujet : la NSA a travaillé pendant plus de 10 ans pour rendre le web transparent à leurs yeux. Le programme Bullrun est une batterie d’outils : la NSA a put obtenir grâce à la bonne volonté ou aux pressions exercées, les clés privées d’un très grand nombre de blindages SSL (le fameux httpS qui protège par exemple les paiements en ligne et les vols de cookies). Il y a aussi des « cassages » logiciels grâce à l’énorme puissance informatique des machines de la NSA.

TOR par exemple ne peut être considéré comme sûr actuellement : car les noeuds (les machines à travers lesquelles les connexions anonymes se propagent) ne sont pas mises à jour. Si la dernière version de TOR est 2.3.25, les machines tournant encore sous TOR 2.2 sont concernées par Bullrun. Profitez-en pour mettre votre logiciel à jour. Précisons que TOR n’a pas participé au programme et n’est pas complice de la faille !

Enfin, ce matin, ce sont les révélations peu surprenantes de la mise en place de portes dérobées chez iOS (Apple), Blackberry et Android (Google), qui permet à la NSA d’accéder facilement aux données des smartphones. Petit bonus pour iOS (ipad, iphone et ipod), la NSA peut pirater l’ordinateur connecté à l’iphone ! On retiendra comme seule surprise de cette histoire, que l’infiltration s’est faite chez certaines sociétés et à certains moments de façon secrète. C’est à dire que la NSA aurait placé ces portes dérobées de façon clandestine, sans même que la société concernée ne soit au courant ! Il y a cependant peu d’informations à ce sujet.

Pour en revenir à notre résumé. Faisons un point sur les différents systèmes sûrs, pas sûrs et inconnus.

Sont à considérer comme non-sûrs :
– Les systèmes d’exploitation Windows, OSX, iOS, Android et Blackberry.
– La plupart des connexions SSL.
– Tout chiffrement s’effectuant en ligne (sur une machine distante).
– Toute solution fournie par un éditeur sitée aux Etats-Unis.

Sont à considérer comme provisoirement non-sûrs :
– TOR,
– Le chiffrement local transmis via javascript (par exemple Mega), le temps que ceux-ci remplacent éventuellement leurs propositions logicielles.

Sont à considérer comme sûrs :
– Les systèmes open-source ET libres : majoritairement Linux (Firefox OS pour les smartphones).
– Le chiffrement par GPG.
– HTTPS Everywhere, est partiellement sûr. Comme annoncé par l’éditeur (EFF) « On ne peut pas vous protéger de tout, mais c’est mieux que rien ».
– Le chiffrement de disque sous Linux.

Beaucoup de gens se posent également la question de la sécurité sous Truecrypt. Celui-ci n’est jusqu’ici concerné par aucun programme révélé par Snowden. Cependant, le risque existe. Si le logiciel est open-source, il n’est pas libre. Il y a donc peu de participants à son développement, et son code est si complexe qu’il n’a jamais été « fouillé ». Truecrypt est donc potentiellement « non-sûr ». Il pourrait être interessant de privilégier du chiffrement par GPG ou bien par l’outil « Utilitaire de disques » de Linux.

Seize pays ont introduit des demandes d’informations à la société Yahoo au cours des six premiers mois de l’année. Au total, 29.000 demandes d’informations sur les utilisateurs de Yahoo, dont 12.444 émanant des des autorités américaines. 37% d’entre elles ont été satisfaites, et dans 55% des cas, Yahoo affirme avoir fourni des informations ‘sans contenu’, tels que les noms ou la géolocalisation. Seuls 2%des requêtes américaines ont essuyé un refus. Parmi les pays demandeurs, outre les USA, l’Australie, l’Inde, la France, l’Allemagne ou encore l’Italie.

Des révélations publiées hier soir indiquent la capacité de la NSA a décrypter les communications chiffrées par internet. Les articles publiés sur les sites des journaux en ligne sont très peu exhaustifs, voici donc une mise au point.

Le cryptage utilisé majoritairement dans les communications par internet est le SSL/TLS. Ceci est une catastrophe à divers points de vue, mais pas à tous. Le SSL/TLS sert à chiffrer beaucoup de choses, comme par exemple : le HTTPS, les transferts d’e-mails, les VPN, la VoIP sécurisée,…

Exemples : le SSL est un « blindage ». Il sert à protéger une communication entre deux machines communiquant ensemble. Le protocole HTTPS sert par exemple à sécuriser les paiements en ligne. Le SSL sur e-mail sert à sécuriser les e-mails en transfert, les VPN servent à créer un réseau virtuel privé et blindé à l’intérieur d’un réseau plus grand (comme internet par exemple).

Les précédentes révélations de Snowden indiquaient la capacité à pénétrer n’importe quel protocole non-sécurisé (HTTP, FTP,…). C’est donc l’autre moitié des protocoles qui est concernée par cette faille (HTTPS, SFTP, VPN,…).

Les révélations de Snowden depuis le début appellent à un recyclage évident d’internet tel qu’on le connait. Rien de ce que nous faisons par internet n’est sûr. Des protocoles de communication aussi basique que les e-mails sont pratiquement considérés comme « insécurisables ».

La NSA prend donc une allure d’école du crime : quand on crée des backdoors, on ne peut jamais être sûr d’être le seul à les utiliser.

A propos de GPG : pas de panique, GPG est toujours sûr puisqu’il n’a aucun rapport avec SSL. Le vrai drame serait que la NSA aie les moyens de briser les algorythmes de chiffrement qu’elle utilise elle-même : les chiffrements AES. Et ces algorythmes, nous les utilisons tous chaque jour.

L’IP Tracking n’est pas nouveau, il est très souvent utilisé, par exemple, sur les sites de compagnies aériennes pour augmenter le prix d’un ticket d’avion lorsqu’une personne retourne régulièrement en voir le prix.
C’est une forme d’espionnage par internet, et il est donc utile de s’en protéger. Cela est relativement simple : par l’utilisation du Tor Bundle.

Il existe cependant une extension pour Chrome et Firefox qui permet d’être beaucoup plus rapide que Tor. De plus, cette extension vous permettra de voir des sites censurés dans votre pays en prétendant une adresse IP aléatoire (le plus souvent américaine).
Télécharger Stealthy pour Firefox.
Télécharger Stealthy pour Chrome

Toujours sur base de documents qui lui ont été transmis par Edward Snowden, The Guardian a fait une nouvelle révélation ce vendredi. On peut lire dans le quotidien que la NSA (Agence nationale de sécurité américaine) a versé des millions de dollars à des entreprises telles que Yahoo, Google ou encore Microsoft pour qu’ils procèdent à des modifications techniques permettant de mieux identifier les données des citoyens américains. Seule la société Yahoo a réagi jusqu’à présent, déclarant que ‘la loi fédérale oblige le gouvernement américain à dédommager les fournisseurs dans le cas où ces derniers doivent modifier leurs programmes afin d’exécuter des procédures judiciaires’. Google, de son côté, continue à nier toute implication dans le programme américain Prism, malgré qu’elle soit nommément citée dans un document de la NSA en tant que ‘fournisseur’.

Lavabit (chez qui Snowden avait une adresse e-mail) et Silent Circle, deux fournisseurs d’adresses e-mails sécurisées ont fermé ces derniers jours pour des raisons assez floues. Le fondateur de Lavabit déclare sur son site :

« Chers utilisateurs, j’ai été forcé de faire un choix difficile […]. Après avoir longtemps réfléchi, j’ai décidé de suspendre le service. J’aurais aumé pouvoir légalement partager les évenements qui m’ont conduit à cette décision, mais je ne peux pas. Je pense que vous avez le droit de savoir, et le premier amendement me donnerait le droit de parler librement. Malheureusement, les lois passées par le Congrès en ont décidé autrement. Comme les choses sont : il m’est interdit de partager mes expériences des 6 dernières semaines, même si j’en ai fait deux fois la demande. »

Silent Circle, un service du même genre a lui aussi reçu des demandes d’informations sur ses clients (c’est un service payant), il a prit la décision radicale d’effacer la totalité des données avant qu’il ne soit trop tard. Le boss de Silent Circle a lui déclaré
« Ca n’a pas d’importance ce que vous tentez de faire avec vos e-mails, ce sont les faiblesses inhérentes aux protocoles e-mails (NdT : Quand les e-mails ont été créés il y a 40 ans, personne ne pensait à l’anonymat et à la sécurité sur le net). Donc on s’est débarrassé de Silent Mail. On a tout effacé, tout brûlé et jeté dans l’océan avec des cadenas et des chaines autour. Les gens ont perdu tous leurs e-mails, mais les réactions allaient de « Pourquoi feriez vous ça » à « Merci de l’avoir fait ».

D’autres services sécurisés, comme le collectif anti-autoritaire Riseup.net indique subir ce genre de pressions eux-aussi :
« Nous préférons laisser tomber le tout plutôt que de se soumettre à une surveillance répressive de la part de notre gouvernement, ou n’importe quel autre gouvernement. Nous faisons tout ce que nous pouvons, aussi rapidement que possible afin d’essayer de trouver des options qui nous empêcheraient de fermer, au cas où nous sommes confrontés à une telle décision. En collaboration avec d’autres groupes, nous travaillons pour développer et déployer une nouvelle infrastructure radicale qui nous permettra d’offrir les services de messagerie d’une manière qui est mille fois plus sécuritaire qui nous empêchera encore d’avoir accès aux données de n’importe quel utilisateur. Nous avons travaillé sur cette question depuis plus d’un an, mais nous avons encore beaucoup de travail à faire avant qu’il soit finalisé.

Le raz-de-marée Edward Snowden est loin de s’arréter puisque le gouvernement US est actuellement dans une phase de chasse contre ces outils anti-répressifs.

Si les collectifs américains (légalement forcés de fournir tout ce qu’on leur demande) cherchent des alternatives. D’autres services très prometteurs sont en développement. Notemment Heml.is (par un fondateur de la Pirate Bay, en Suède) et le service d’e-mails de Mega en Nouvelle-Zélande semblent constituer des alternatives performantes.

Mise à jour : Ce problème ne constitue en fait pas une faille. Le système est intégré par exemple à Mozilla Firefox depuis des années. La faille est comme toujours ailleurs : ne pas protéger son ordinateur (firewall et antivirus), enregistrer les mots de passe importants,… Le fait que les mots de passe soient enregistrés est connu depuis bien longtemps et n’est donc pas une faille. Le « développeur de logiciel » expose donc une « faille » qui n’en est pas une.

Vous pouvez tout de même lire l’article précédemment, ces précisions prises en compte.

Un développeur de logiciel vient de découvrir une énorme faille de sécurité dans Google Chrome. Il s’est en effet rendu compte que dans la fonction ‘advanced settings’, il est possible de voir tous les mots de passe existant sur l’ordinateur utilisé. Il suffi de cliquer sur le lien de changement de fonctions de Chrome pour voir tous les mots de passe noircis. En cliquant juste à côté, cela le fait simplement apparaître en texte normal. Dès lors, n’importe qui qui utilise l’ordinateur peut accéder à tous ces mots de passe dès le moment où Chrome y est actif. Interpellé à ce sujet par la presse, le patron du développement de Chrome a déclaré être au courant de cette mauvaise fonction et a justifié sa non-fixation: ‘Nous ne voulons pas donner aux utilisateurs un faux sens de sécurité et encourager les attitudes à risque. Nous voulons être très clairs sur le fait que lorsque vous donnez accès à quelqu’un à votre compte utilisateur de système opératoire (OS), alors ils peuvent tout obtenir’. Ce qu’il ne dit pas, c’set que tous les mots de passe sont donc stockés dans une forme réversible et que n’importe quel hacker (ou grande entreprise, agence de renseignements, NSA,…) peut écrire un ‘cheval de Troie’ pour voler l’enregistrement de mots de passe. Ou comment toujours plus faciliter l’accès à nos données…

Nous avons régulièrement parlé de l’affaire Edward Snowden et de ces révélations.
L’afflux de scandales et d’informations, qu’elles émanent de Whistleblowers ou d’autres personnes est tellement énorme, qu’il est facile de se perdre. Que peut donc faire la NSA ? C’est ce que nous allons résumer ici.

Pour commencer et situer chacun : la NSA (National Security Agency) est la plus vaste agence de renseignements (d’espionnage) américaine. Sa particularité par rapport aux dizaines d’autres organisations d’espionnage etats-uniennes est qu’elle a deux missions principales : la première est « le renseignement d’origine électro-magnétique », c’est à dire à l’espionnage d’à peu près toute communication transitant par un dispositif éléctronique. La seconde mission est la sécurisation des systèmes de communications du gouvernement américain. La NSA emploie de façon officielle, directe et indirecte, aux Etats-Unis, plus de 60’000 employés, dont 35’000 directement. La NSA constitue probablement l’organisation de renseignements la plus puissante au monde.

Edward Snowden, lui, est consultant informatique. Il a travaillé pour diverses agences, dont le FBI et la NSA. Il y a quelques semaines, Edward Snowden a fait défection : il a prit contact avec divers journeaux anglo-saxons, leur fournissant documents et confessions avant de prendre la fuite à Hong-Kong et enfin de recevoir un statut de réfugié en Russie. Snowden est à présent considéré comme un « Whistleblowers » (un « lanceur d’alertes »).

Lors de ses révélations, Snowden donnent beaucoup d’histoires : le monitoring complet du net chinois, l’espionnage de la plupart des chefs d’états étrangers, etc… Les deux plus importants concernent PRISM et X-Keyscore, deux programmes qui permettent de surveiller « à peu près tout » sur internet.

Les lois américaines sur l’espionnage des télécommunications sont régulées par les « FISA », des lois spéciales qui disent que :
– Les entreprises américaines sont obligées de fournir les données demandées. Google, Facebook, Microsoft, Amazon, Yahoo, Apple : qu’ils soient volontaires ou non dans leur collaboration avec la NSA, ils doivent le faire quand même. Même si à l’un ou l’autre cas près, la plupart de ces entreprises ont collaboré sans faire d’histoires.
– Le seul cas véritablement illégal d’espionnage selon FISA est celui-ci : l’espionnage injustifié d’une communication entre deux citoyens américains alors qu’ils sont sur le territoire américain.
– Toute demande FISA est mandatée par un juge de façon secrète.
– Un citoyen américain sur le territoire américain peut légalement être espionné sur la simple justification qu’il est en contact avec une cible étrangère, alors qu’une cible étrangère n’a pas besoin d’être justifiée.

Les diverses fuites ont démontré dernièrement que :
– N’importe qui ayant accès à X-Keyscore peut espionner n’importe qui, selon la phrase de Snowden : « Vous, votre comptable, un juge fédéral ou votre président ».
– Un champs « justification » est présent dans chacun de ces logiciel, dans les faits ces justifications ne sont pas contrôlées, c’est très rare et sans conséquences selon Snowden.
– Malgré tout, il a été dit par d’anciens employés de la NSA qu’en 2007, 20’000 milliards d’informations avaient été collectées (mais pas stockées vu le volume), et ce uniquement entre des citoyens américains.
– En 2010, le volume de données espionnées par la NSA est tel que la plupart des informations ne peuvent rester que 3 à 5 jours sur les serveurs de la NSA. Pour les plus gros sites (ceux qui produisent quotidiennement 20 terrabytes ou plus), le volume est si énorme que leurs données ne restent que 24h. Les métadonnées quant à elles sont stockées 30 jours. Le problème a été résolu en créant des bases de données annexes dans lesquelles les analystes peuvent déposer certaines informations collectées et les mettent dans d’autres bases de données.

Dans l’image ci-dessous, voyez 4 de ces bases de données. Plus elles sont basses dans la pyramide, plus elles offrent de contenus potentiels à l’espion.
– TrafficThief (« Voleur de traffic »): l’écoute d’adresses e-mails précisées. Dans le jargon de la NSA « Strong Selector » veut dire « Adresse e-mail ». Un moyen sûr d’identifier « une cible ».
– Pinwale : l’enregistrement de contenus sur base de mots du dictionnaires.
– MARINA,
– Xkeyscore.

A elle seule en 2012, Xkeyscore récoltait au minimum sur une période de 30 jours 41 milliards d’enregistrements différents.

Mais pratiquement, à quoi un agent de la NSA qui se met devant son ordinateur a t’il accès :
– Il peut consulter en live et en archives les messages et activités de quelqu’un sur un réseau social en ne connaissant que son nom d’utilisateur.
– Il peut accéder à n’importe quel serveur HTTP. C’est à dire, 99% des usages d’un utilisateur lambda.
– Il peut accéder grâce au point précédent la liste des adresses IP qui ont visité un site internet via HTTP.
– Il peut faire des recherches sur à peu près n’importe qui sans disposer de son adresse e-mail en faisant des recherches par mot-clé.
– Il peut consulter l’historique, les recherches, toute l’activité d’un internaute.

En bref, XKeyscore peut « presque tout savoir ». Les fuites ne disent malheureusement pas quels sont les accès de la NSA à d’autres protocoles que HTTP. Même si on sait qu’il lui est simple (comme à n’importe quel hacker) de simuler une connexion HTTPS pour y faire transiter un utilisateur cible.

Nous ne savons pas non plus si la NSA est aujourd’hui capable de casser les principales méthodes de cryptage comme RSA et AES. Cependant, cela semble peu probable malgré l’arsenal technologique dont dispose cette agence.

Sur le premier semestre 2012, 849 demandes d’informations avaient été adressées au réseau social Twitter par les autorités. Au cours du second semestre de la même année, il en avait reçu 1009. Durant les six premiers mois de 2013, le réseau a été approché 1157 fois pour des demandes de données. Selon le dernier rapport sur la transparence publié par la société ce mercredi, 78% des requêtes provenaient des Etats-Unis, le second pays demandeur étant le Japon, avec 8% des demandes. Twitter a déclaré avoir fourni les informations demandées dans 67% des cas, tout en précisant que la loi lui interdisait de révéler le contenu des informations réclamées.

Le Security Research Labs a découvert une faille dans le cryptage des cartes SIM embarquées dans les smartphones et téléphones mobiles. Cette brèche permettrait de prendre le contrôle des mobiles. Au total, pas moins de 750 millions de téléphones portables seraient concernés par cette possible menace. L’opération prend deux minutes à peine et qu’il suffit d’un simple ordinateur pour opérer sur un mobile. Il est possible d’installer à distance un logiciel sur un appareil qui fonctionne de manière totalement indépendante de votre téléphone. Pour cela il suffit d’envoyer un SMS maquillé que le téléphone assimile comme provenant de l’opérateur. Il n’y a plus qu’à récupérer la signature du téléphone donnant accès à tout un tas de données chiffrées.

Cette faille provient d’une méthode de cryptage développé dans les années 1970 et appelé Data Encryption Standard ou DES. Après avoir trouvé la brèche, l’expert allemand de Security Research Labs a procédé à des tests sur près d’un millier de cartes SIM de téléphones fonctionnant sur des réseaux européens et nord-américains durant deux ans. Près d’un quart des cartes SIM ainsi testées utilisaient ce vieux système d’encodage que l’on retrouve sur près de la moitié des 6 milliards de téléphones mobiles utilisés dans le monde.