Un nouveau projet de loi du gouvernement fédéral prévoit d’obliger les fournisseurs de services de télécommunication de permettre aux forces de l’ordre (police, justice, sécurité de l’Etat…) de déchiffrer ce qui est échangé dans les applications de messageries cryptées de type Whatsapp ou Signal par certains utilisateurs spécifiques. Autrement dit, les fournisseurs de services seront obligés de « désactiver » le cryptage pour des utilisateurs visés par des enquêtes policières et judiciaires.

Le problème généralement soulevé, c’est qu’il n’existe aucun moyen de simplement « désactiver » le cryptage pour certains utilisateurs. Par conséquent, c’est l’ensemble des communications cryptées qui deviendra accessible, et non plus exclusivement celles de personnes qui intéressent la police et la justice. Certains dénoncent que l’affaiblissement du cryptage rendra les Belges beaucoup plus vulnérables aux attaques malveillantes. La protection de la vie privée est aussi évoquée. Cinquante ONG, universités et entreprises impliquées dans la protection de la vie privée et le cryptage ont publié une lettre ouverte contre le projet de loi. L’autorité belge de protection des données a déjà fait part de ses vives préoccupations dans un avis antérieur sur le projet de loi.

Mais surtout et plus fondamentalement, comme de nombreuses propositions de lois du même genre, celle-ci ne semble pas comprendre les techniques et technologies impliquées ni proposer de solution réaliste à son application.

Il y a quelques jours, nous avons relayé le fait que Protonmail avait fournit des informations à la police française via une demande Europol vers la Suisse, dans le cadre d’une enquête contre les occupant·e·s d’un bâtiment de la place Sainte Marthe, militant·e·s pour le climat. Les adresses IP n’étant effectivement pas enregistrées par défaut par Protonmail, la société a activé l’enregistrement d’IP pour l’adresse e-mail visée par le mandat.

Protonmail a depuis réagi à l’information en déclarant avoir agit dans le cadre de ses obligations vis à vis de la loi suisse et de ses propres conditions d’utilisation, qui précisent que les IP ne sont pas enregistrées « par défaut » mais qu’elles peuvent être enregistrées pour des adresses spécifiquement visées par une requête légale. Protonmail suggère à ses utilisateurs et utilisatrices qui auraient des besoins « spécifiques » en matière de vie privée d’utiliser le site .onion, accessible uniquement via TOR. Il est toutefois toujours impossible d’ouvrir un nouveau compte sans devoir fournir un numéro de téléphone ou de carte de crédit.

Les protocoles e-mail sont réputés pour être des technologies fondamentalement difficiles à sécuriser. Auparavant, la seule façon de garantir le chiffrement de ses e-mails était d’utiliser le logiciel OpenPGP, mais là encore avec une immense faille puisque la plupart des méta-données (émetteur, destinataire, sujet, date et heure) sont très difficiles ou impossibles à chiffrer, dû au fonctionnement même des e-mails. En plus de ça, OpenPGP est difficile à utiliser, et encore plus à utiliser collectivement avec des personnes aux compétences informatiques variables. L’arrivée de fournisseurs d’e-mails chiffrés associatifs (comme Riseup) ou commerciaux (comme Protonmail ou Tutanota) a massivement augmenté la facilité d’utilisation du chiffrement des e-mails, comparés aux fournisseurs classiques comme Gmail et Outlook. Le fait que le contenu des e-mails n’ait pas pu être transmis à la police française est donc un point important à noter. Protonmail n’est pas anonyme (pas plus que Tutanota qui peut également être légalement forcé d’enregistrer l’adresse IP d’un utilisateur spécifique, par la justice allemande). L’utilisation d’un bon VPN ou de TOR est la seule façon d’être anonyme vis-à-vis de son fournisseur d’accès à internet ou des sites web visités.

Ces dernières années ont enfin vu se développer de nouveaux protocoles de messagerie chiffrée comme Signal ou Session qui permettent le chiffrement de la quasi-totalité des méta-données par défaut. Contrairement à OpenPGP qui utilise toujours la même clé pour chiffrer, ces nouveaux protocoles utilisent de nouvelles clés pour chaque message.

Malgré le fait que Protonmail est transmis cette information, il est toujours préférable d’utiliser un tel service plutôt qu’un fournisseur d’e-mail classique, en gardant à l’esprit que contrairement à Signal, les méta-données des e-mails ne sont généralement pas chiffrées. En toutes circonstances, sur tous les appareils que vous utilisez (smartphones, tablettes, ordinateurs) et pour toute activité sur le web, nous recommandons fortement l’utilisation d’un VPN réputé en matière de vie privée comme Mullvad, ou de TOR.

Une équipe de chercheurs de l’université Ben Gourion s’est spécialisée dans les attaques dites airgap, ou attaques déconnectées, qui visent des systèmes isolés du réseau global, et donc théoriquement inviolables pour un pirate. Ces chercheurs étaient parvenus, l’an dernier, à espionner une conversation en filmant une ampoule. Depuis, ils sont parvenus à capter le son d’un haut-parleur à distance en filmant sa LED d’alimentation. Dans de nombreux appareils, le voyant d’alimentation est connecté directement à la ligne électrique. L’intensité du voyant est donc corrélée à la consommation d’énergie, qui dépend directement du son émis. En braquant un télescope (muni d’un capteur électro-optique et un convertisseur analogique/numérique) sur la LED choisie, les chercheurs ont pu mesurer les variations de son intensité. Un algorithme a ensuite interprétés ces variations et reconstitué le signal sonore…

Cette technique nécessite de savoir quelle intensité de la LED correspond à quel signal sonore. Pour connaître cette donnée, différente pour chaque appareil, il faut donc construire une courbe de réponse, ce qui implique de pouvoir étudier l’appareil en amont. Mais outre cette restriction, le système fonctionne remarquablement bien : les chercheurs sont parvenus à extraire des phrases intelligibles à une distance de 35 mètres. La technique fonctionne avec des enceintes standard, mais pas seulement. Elle est aussi applicable à des appareils domotiques ou des équipements d’une infrastructure réseau.

Plus les jours passent depuis la publication de l’enquête sur le Projet Pegasus, et plus la liste des victimes s’allonge. Le consortium mené par l’organisation Fordidden Stories a notamment pu mettre la main sur une liste comprenant pas moins de 50 000 smartphones infectés par Pegasus. Amnesty International vient de mettre en place un outil vous permettant de vérifier si votre smartphone a été infecté ou non par le logiciel espion. Celui-ci est disponible ici. La vérification peut être assez longue et fastidieuse car l’outil cherche à vérifier en détail chacun de vos fichiers pour voir si Pegasus s’y trouve. Pour l’heure, il s’agit du seul moyen de vérifier si l’on a été contaminé ou non par ce malware. La liste des victimes ne sera en effet jamais rendue publique. De plus, de nombreuses révélations peuvent encore avoir lieu, tandis que les chercheurs s’appliquent toujours à disséquer Pegasus pour en déceler les secrets.

 

Le gouvernement souhaite obliger les services de communication comme WhatsApp, Facebook Messenger ou Telegram à conserver les métadonnées des utilisateurs. Le contenu des communications n’est pas concerné, mais bien les données relatives à qui communique avec qui, quand et où. Actuellement, le cryptage des données est autorisé « pour garantir la confidentialité des communications et la sécurité des paiements ». Le nouveau projet de loi confirme cet élément, mais prévoit aussi que le cryptage ne soit pas un frein pour conserver les données d’identification des opérateurs, de localisation et de trafic.

La nouvelle législation vise à réagir à l’annulation de la rétention des données par la Cour européenne de justice (voir notre article). Le projet a déjà reçu une première approbation du gouvernement fédéral. Une nouvelle série d’avis est attendue, après quoi le projet de loi sera à nouveau soumis au gouvernement, puis au Parlement. Le gouvernement prévoit de finaliser la loi à l’automne.

 

Les dirigeants d’Europol, du FBI, de la police australienne ont révélé les dessous d’une opération baptisée « Trojan Shield ». Ces services ont spéculé sur le fait qu’après le démantèlement en juillet 2020 de la plateforme de communication chiffrée EncroChat  (voir notre article) et le blocage des communications par Sky ECC, les opérateurs d’activités illicites allaient chercher un nouvel outil. Une application de messagerie et de voix sur IP chiffrée (comme Signal ou Telegram) fonctionnant sur des téléphones personnalisés a donc été secrètement conçue par la police australienne et opérée par le FBI. Ces smartphones spéciaux étaient vendus environ 2000 dollars au marché noir avec seulement trois fonctionnalités : envoyer des messages, faire des vidéos et brouiller la voix.

Le smartphone a été poussé de façon assez subtile avec des « criminels influenceurs » pour paraitre crédible. Le service de messagerie était déguisé en application de calculatrice et il suffisait de taper un code pour y accéder. Dénommé Anom, ce service a été utilisé sur plus de 12 000 appareils appartenant à au moins 300 réseaux jugés criminels dans plus de 100 pays. Plus de 27 millions de messages ont ainsi pu être analysés en dix mois, avant que les forces de police passent à l’action dans 16 pays. Cette opération a débouché sur plus de 800 arrestations et la saisie de plus de 8 tonnes de cocaïne, 22 tonnes de cannabis, 8 tonnes d’amphétamine et méthamphétamine, 250 armes à feu, 55 véhicules de luxe et plus de 48 millions de dollars en devises et crypto-monnaies.

 

Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.

Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

De nombreux utilisateurs abandonnent actuellement WhatsApp et migrent vers Signal. Cette migration est causée par les nouvelles conditions d’utilisation de WhatsApp qui impose aux utilisateurs de partager certaines données avec Facebook. Parmi les données qui seront collectées par Facebook, on trouve notamment “l’heure, fréquence et durée de vos activités et interactions”, “vos adresses IP et d’autres données comme les codes géographiques des numéros de téléphone et votre localisation générale (ville et pays)” ou encore “votre photo de profil”. Les utilisateurs qui refuseraient ce partage risquent de voir leur compte supprimé le 8 février. Les changements de condition d’utilisation ne sont pas exactement les mêmes en Europe qu’ailleurs pour cause du Règlement Général de Protection des Données (RGPD), mais Whatsapp y récolte comme partout une quantité abusive de données sur ses utilisateurs.

Dès le 7 janvier, Signal enregistrait une explosion des inscriptions. Quelques jours plus tard, Signal s’imposait comme l’application la plus téléchargée sur Android et iOS un peu partout dans le monde. En 2020, la Mozilla Foundation avait désigné Signal “application de communication la plus sécurisée”. Signal, en effet, reste la meilleure application de messagerie sécurisée et nous conseillons depuis des années son utilisation (voir nos articles ici et ici). Plus d’infos sur Signal ici.