Les dirigeants d’Europol, du FBI, de la police australienne ont révélé les dessous d’une opération baptisée « Trojan Shield ». Ces services ont spéculé sur le fait qu’après le démantèlement en juillet 2020 de la plateforme de communication chiffrée EncroChat  (voir notre article) et le blocage des communications par Sky ECC, les opérateurs d’activités illicites allaient chercher un nouvel outil. Une application de messagerie et de voix sur IP chiffrée (comme Signal ou Telegram) fonctionnant sur des téléphones personnalisés a donc été secrètement conçue par la police australienne et opérée par le FBI. Ces smartphones spéciaux étaient vendus environ 2000 dollars au marché noir avec seulement trois fonctionnalités : envoyer des messages, faire des vidéos et brouiller la voix.

Le smartphone a été poussé de façon assez subtile avec des « criminels influenceurs » pour paraitre crédible. Le service de messagerie était déguisé en application de calculatrice et il suffisait de taper un code pour y accéder. Dénommé Anom, ce service a été utilisé sur plus de 12 000 appareils appartenant à au moins 300 réseaux jugés criminels dans plus de 100 pays. Plus de 27 millions de messages ont ainsi pu être analysés en dix mois, avant que les forces de police passent à l’action dans 16 pays. Cette opération a débouché sur plus de 800 arrestations et la saisie de plus de 8 tonnes de cocaïne, 22 tonnes de cannabis, 8 tonnes d’amphétamine et méthamphétamine, 250 armes à feu, 55 véhicules de luxe et plus de 48 millions de dollars en devises et crypto-monnaies.

 

Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Publicité de Clearview AI

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.


Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Dossier(s): Sécurité IT Tags: , ,

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

De nombreux utilisateurs abandonnent actuellement WhatsApp et migrent vers Signal. Cette migration est causée par les nouvelles conditions d’utilisation de WhatsApp qui impose aux utilisateurs de partager certaines données avec Facebook. Parmi les données qui seront collectées par Facebook, on trouve notamment “l’heure, fréquence et durée de vos activités et interactions”, “vos adresses IP et d’autres données comme les codes géographiques des numéros de téléphone et votre localisation générale (ville et pays)” ou encore “votre photo de profil”. Les utilisateurs qui refuseraient ce partage risquent de voir leur compte supprimé le 8 février. Les changements de condition d’utilisation ne sont pas exactement les mêmes en Europe qu’ailleurs pour cause du Règlement Général de Protection des Données (RGPD), mais Whatsapp y récolte comme partout une quantité abusive de données sur ses utilisateurs.

Dès le 7 janvier, Signal enregistrait une explosion des inscriptions. Quelques jours plus tard, Signal s’imposait comme l’application la plus téléchargée sur Android et iOS un peu partout dans le monde. En 2020, la Mozilla Foundation avait désigné Signal “application de communication la plus sécurisée”. Signal, en effet, reste la meilleure application de messagerie sécurisée et nous conseillons depuis des années son utilisation (voir nos articles ici et ici). Plus d’infos sur Signal ici.

Dossier(s): Sécurité IT Tags:

Le 10 décembre, l’entreprise israélienne Cellebrite, qui vend des produits d’exfiltration de données de smartphone aux forces de l’ordre (voir notre article), a annoncé avoir trouvé une solution pour déchiffrer l’application Signal. « Déchiffrer les messages et les pièces jointes envoyés par Signal a été impossible… jusqu’à maintenant », pouvait-on lire dans une note de blog supprimée depuis. Derrière des explications techniques sur une récupération de clé secrète, Cellebrite annonçait en réalité qu’elle pouvait lire vos textes en ayant en possession de votre téléphone… déverrouillé. Ce que n’importe qui aurait pu faire simplement en ouvrant l’application pour consulter les messages. Bref, un grand « effet d’annonce », largement relayé, pour ce qui n’est en réalité qu’une petite amélioration rendant l’exportation des données plus confortable à partir du moment où l’on a déjà un accès total au téléphone…

 

Dossier(s): Sécurité IT Tags:

Amazon a dévoilé son nouvel outil biométrique: Amazon One. Ce lecteur d’empreinte capture une image de la paume de la main à plusieurs centimètres de distance et en seulement quelques secondes. Des lecteurs Amazon One n’ont été pour l’instant déployés que dans deux magasins semi-automatisés Amazon Go à Seattle, aux États-Unis. Pour les utiliser pour la première fois, il faut qu’un client ait un compte Amazon sur lequel les identifiants de sa carte bancaire sont déjà enregistrés. Devant le lecteur Amazon One, il doit d’abord présenter sa carte puis sa paume afin que les serveurs d’Amazon associent les deux.

 

Une campagne de surveillance menée par des services iraniens contre les dissidents du régime, qui dure depuis six ans, a été mise au jour. Depuis 2014, Rampant Kitten (le groupe de piratage à l’origine à l’origine de cette campagne) lançait des attaques pour espionner leurs victimes, notamment via le détournement de comptes Telegram, l’extraction de codes d’authentification à deux facteurs via des SMS, des enregistrements téléphoniques, l’accès aux informations de compte KeePass et la distribution de pages de phishing malveillantes à l’aide de faux comptes de service Telegram.

Ils ont utilisé des documents malveillants pour attaquer leurs victimes et voler autant d’informations que possible stockées sur l’appareil infecté. Le document intitulé « Le régime craint la propagation des canons révolutionnaires.docx » (traduction) permettait à Rampant Kitten de mener ses attaques. Une fois ouvert, le fichier chargeait un modèle de document à partir d’un serveur distant (afalr-sharepoint [.] Com), qui se fait passer pour un site Web d’une organisation à but non lucratif qui aide les dissidents iraniens. Il téléchargeait ensuite un code de macro malveillant, qui exécute un script batch pour télécharger et exécuter une charge utile de l’étape suivante. Cette charge utile vérifie ensuite si le service de messagerie Telegram est installé sur le système des victimes. Si tel est le cas, il extrait trois exécutables de ses ressources. Ces exécutables incluent un voleur d’informations qui prend les fichiers Telegram de l’ordinateur de la victime, vole des informations de l’application de gestion des mots de passe KeePass, télécharge tout fichier qui se termine par un ensemble d’extensions prédéfinies, enregistre les données du presse-papiers et prend des captures d’écran. Rampant Kitten utilise également des pages de phishing usurpant l’identité de Telegram.

Une application Android malveillante a également été découverte. Elle était déguisée en service pour aider les Iraniens en Suède à obtenir leur permis de conduire. Une fois que les victimes téléchargaient l’application, la porte dérobée volait leurs messages SMS et contournait la double authentification (2FA) en transférant tous les messages SMS contenant des codes 2FA vers un numéro de téléphone contrôlé par un attaquant. L’une des fonctionnalités uniques de cette application malveillante est de transférer tout SMS commençant par le préfixe G- (le préfixe des codes d’authentification à deux facteurs de Google) vers un numéro de téléphone qu’il reçoit du serveur C2. Il convient de noter que l’application lance également une attaque de phishing ciblant les identifiants du compte Google (Gmail) des victimes. Il récupère également les données personnelles (comme les contacts et les détails du compte) et enregistre l’environnement du téléphone.

Plus d’infos ici et ici.

Gmail et Telegram compris par des pirates au service du régime

Gmail et Telegram compris par des pirates au service du régime

Les chercheurs chinois de DBAPPSecurity viennent de trouver une faille dans Bluetooth. Baptisée “BlueRepli” elle permet à un pirate de s’introduire dans des smartphones Android et d’y dérober des informations, parmi lesquelles les SMS et les contacts du répertoire. Cette faille est dite “zero day”, c’est à dire inconnue jusqu’à aujourd’hui. La menace est importante parce que la cible est un système quasiment universel, et que tous les appareils sont une cible potentielle, indépendamment de la prudence avec laquelle leur utilisateur a utilisé le web. Pour se connecter en Bluetooth, un utilisateur doit effectuer une opération dite d’appairage, pendant laquelle les deux appareils vont faire connaissance. Une fois présentés, ils peuvent se connecter très rapidement et automatiquement, sans action supplémentaire. Il suffit pour cela d’activer le Bluetooth, de mettre les deux appareils sous tension et de les rapprocher à une distance raisonnable. Grâce à cette faille, un pirate peut enregistrer son propre appareil auprès de la cible en tant qu’objet appairé en Bluetooth. Il se connecte à la cible, en se faisant passer pour un appareil connu, sans explication ni autorisation.

Tant que Google n’aura pas corrigé la faille dans son système d’exploitation, le Bluetooth demeurera une porte grande ouverte. Ce n’est probablement qu’une question de temps avant que les équipes d’Android ne corrigent cette nouvelle brèche. S’il n’est pas possible de désinstaller le Bluetooth comme on le ferait avec une application malveillante, mieux vaut garder un œil sur les mises à jour de votre appareil Android dans les prochains temps.

La sécurité de Bluetooth compromise

Dossier(s): Sécurité IT Tags:

Jeudi 2 juillet, au siège d’Eurojust, l’agence de coopération judiciaire de l’Union européenne, à La Haye, des enquêteurs néerlandais et français ont révélé qu’ils étaient parvenus contourner les systèmes de sécurité des téléphones EncroChat. Ces appareils ont commencé à arriver entre les mains des experts de la gendarmerie française en 2017, en marge d’affaires de trafic de stupéfiants. A l’apparence anodine, ils disposaient de fonctionnalités cachées rendant leurs communications impossibles à intercepter et leurs données illisibles. Leurs données pouvaient être totalement supprimées en saisissant un simple code sur le téléphone.

Ces téléphones, dont la caméra, le micro ou le GPS étaient parfois physiquement détruits pour limiter tout risque de pistage, étaient commercialisés par EncroChat au prix de 1.000 euros et assorti d’un abonnement d’environ 3 000 euros l’année. Chaque appareil disposait même d’un service après-vente, disponible vingt-quatre heures sur vingt-quatre et sept jours sur sept. En 2020, selon les autorités néerlandaises, 50.000 appareils EncroChat étaient actifs, dont 12.000 dans les seuls Pays-Bas.

Les enquêteurs français ont découvert les serveurs formant le soubassement technique du réseau EncroChat étaient situés en France. Un logiciel capable de siphonner le contenu des appareils et de lire les échanges avant qu’ils soient chiffrés a été envoyé sur des milliers de téléphones. Ceux-ci ont été écoutés pendant des semaines. Les responsables d’Encrochat ont fini par s’apercevoir que quelque chose clochait sur leurs appareils. Le 13 juin, ils font parvenir en urgence, en anglais, un message à tous leurs utilisateurs : « Une ou plusieurs entité(s) gouvernementales ont lancé une attaque pour compromettre [certains de nos appareils]. Nous ne pouvons plus en garantir la sécurité. Nous vous conseillons de les éteindre et de vous en débarrasser immédiatement. » La justice française, qui vise, notamment, le chef de « fourniture d’un moyen de cryptologie », n’a pas (encore?) lancé de poursuite contre EncroChat.

Un téléphone Encrochat

Un téléphone Encrochat