Les manifestations de masse aux États-Unis ont propulsé l’application de messagerie sécurisée Signal parmi les applications les plus téléchargées du pays. Elle est à présent 8è au classement des apps les plus téléchargées dans la catégorie réseaux sociaux. Hier soir, Signal a déployé une mise à jour bien utile puisqu’il est désormais possible de flouter des visages dans une photo que l’on envoie : « Nous avons travaillé sur de nouvelles façons d’aider tous ceux et celles qui sont dans la rue pour le moment. Une chose est sûr, 2020 est une bonne année pour se couvrir le visage. La dernière version de Signal pour Android et iOS introduit une fonctionnalité de floutage dans son éditeur d’image. » En plus de cela, Signal distribuera de vrais masques gratuitement aux manifestant·e·s.

Deux vulnérabilités importantes ont été découvertes dans la dernière version d’iOS, le système d’exploitation des iPhone. Les deux failles ont été corrigées par Apple dans la version bêta d’iOS, et le seront de manière complète dans la prochaine mise à jour du logiciel. Les deux failles auraient été activement utilisées dans des tentatives d’espionnage d’un opérateur téléphonique japonais, des employés de services de sécurité en Arabie saoudite et en Israël, et un cadre d’une entreprise suisse. Des cibles qui suggèrent qu’elles pourraient avoir été exploitées par un groupe lié à un état. La dangerosité des failles est jugée sérieuse par plusieurs experts indépendants. L’une d’entre elles est une faille dite « zero click ». Elle peut fonctionner sans que la personne ciblée n’entreprenne aucune action, comme cliquer sur un lien frauduleux.

L’exploitation de la faille, observée pour la première fois en 2019, passait par l’envoi d’un courriel piégé, mais le destinataire n’avait pas besoin de l’ouvrir pour qu’il déclenche la faille. L’analyse des téléphones a posteriori semble par ailleurs montrer que le courriel avait été automatiquement effacé. Les failles dites « zero day », qui n’ont jamais été documentées auparavant, sont rares sur iOS. Elles sont le plus souvent découvertes par des experts qui les revendent sur des marchés spécialisés, où elles s’échangent pour de très fortes sommes. Dans la plupart des cas, l’exploitation de ces failles est un processus complexe et coûteux : la majorité des acheteurs de ce « produit » très particulier sont des services de renseignement, des groupes mafieux ou des entreprises du secteur de l’espionnage.

Le projet de loi EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies – Loi sur l’élimination des négligences abusives et rampantes des technologies interactives) est un projet de loi déposé en mars qui vise à réduire les protections légales des applications et des sites Web dont le but déclaré est d’éradiquer l’exploitation des enfants en ligne. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l’article 230 de la Communications Decency Act, qui protège les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs. Plusieurs organisations et législateurs s’opposent à cette nouvelle loi. De son côté, Signal a averti mercredi 8 avril qu’une éventuelle adoption de cette loi saperait le chiffrement de bout en bout. Dans un billet sur son blog, Signal a déclaré qu’en cas d’adoption du projet de loi, l’application serait dans l’obligation de quitter le marché américain. En plus de l’ensemble de personne qui, à travers le monde, utilisent Signal, cette application est recommandé par l’armée américain et est également utilisé par des sénateurs américains ainsi que des membres de la Commission Européenne.

Signal

Le 31 mars, en plein confinement, Proximus dont l’État belge est le principal actionnaire, annonce le déploiement d’une 5G light sur des fréquences inutilisées de la 3G, dans 30 communes belges. Cela alors que les enchères pour la 5G n’ont pas encore été ouvertes en Belgique, que les normes diffèrent selon les régions, et que le débat sur les conséquences de la 5G en terme de santé publique est loin d’être fini. Une internaute bruxelloise lance une pétition en ligne qu’elle adresse au gouvernement belge et intitule « Pas de 5G ». Le soir-même, 30.000 personnes l’ont signée. Dix jours plus tard, 105.000 signatures sont recueillies. Mais le 10 avril au matin, ceux qui veulent trouver la pétition se voient dire que la page est introuvable. En réalité, la pétition (dont le texte est encore accessible ici via le cache de Google) a été supprimée parce  « qu’une partie du contenu de votre pétition enfreint le règlement de la communauté ».

Cet épisode met une nouvelle fois en lumière la fragilité des initiatives politiques face aux grandes plateformes Internet – à l’image de Change.org qui, malgré sa mission de « donner à toute personne le pouvoir de créer le changement qu’elle souhaite voir », est avant tout une entreprise commerciale. La plateforme californienne revendique à ce jour 359.920.771 utilisateurs dans 196 pays. Parmi ses sources de profit: la revente des adresses mail des signataires de pétitions et leur profilage en fonction de leurs opinions politiques. Oxfam a reconnu acheter de telles données à Change.org (pour relancer les signataires avec des demandes d’argent). Change peut vendre (ou à déjà vendu) les listes de signataires à des sociétés de publicité au service d’entreprises dénoncées par les pétitions pour définir et affiner des opérations de relations publiques annulant l’effet des dénonciations… Change peut les vendre aussi au au « destinataire de la pétition ». Le règlement européen sur la protection des données entrera en vigueur à la fin du mois de mai 2018 entravera cette politique (un onglet devrait permettre d’activer/désactiver l’autorisation d’utilisation des données) sans la supprimer tout à fait.

Même brisé, brûlé, fondu, percé, noyé, cuit, le smartphone peut quand même livrer ses secrets selon le NIST, l’agence technologique du département du Commerce des États-Unis. Même s’il ne peut être allumé ou branché à un ordinateur, un téléphone mobile très endommagé garde bien souvent en mémoire les données enregistrés sur ses circuits imprimés. Le NIST a utilisé une cinquantaine de téléphones sous Android et iOS, ajoutant et supprimant des données au fil de leur utilisation, puis a tenté d’en détruire certains. Ses techniciens ont ensuite principalement pratiqué deux méthodes pour récupérer les données « supprimées ». La première, celle du “J-Tagging”, consiste à retrouver le “tap” ou port d’accès de test de l’hardware de l’appareil. Chaque circuit intégré (des téléphones autres que des iPhones) respecte un “JTAG”, un standard de fabrication. Celui-ci se caractérise par un port spécial, utilisé uniquement par les fabricants pour tester le fonctionnement des circuits intégrés. Les experts du NIST et de la police scientifique sont capables de détourner ce “tap” pour accéder à l’ensemble des données gravées sur le circuit grâce à des logiciels d’interprétation. L’autre méthode dite du “chip-off” consiste à broyer les puces présentent sur un circuit intégré pour atteindre ses broches et ainsi atteindre le circuit intégré sous-jacent. Ces méthodes physiques ont donné accès à bien plus d’informations que si un logiciel d’extraction avait été utilisé.

Les services de police aux États-Unis accordent une grande importance à la possibilité d’accéder aux données contenues dans les smartphones (voir notre article) ces données pouvant notamment être utilisées comme preuves devant un tribunal. Si les enquêteurs semblent parvenir à accéder aux données contenues dans les iPhones, l’opération serait de plus en plus difficile en ce qui concerne le cryptage Android (jusqu’à il y a un an la situation était inversée). Par exemple, Cellebrite, l’une des sociétés les plus importantes que les agences gouvernementales embauchent pour craquer des smartphones, possède un outil de piratage qui peut pénétrer dans n’importe quel iPhone,  y compris l’iPhone X. L’outil extrait des données telles que les enregistrements GPS , des messages, des journaux d’appels, des contacts et même des données provenant d’applications spécifiques telles qu’Instagram, Twitter, LinkedIn, etc.

Cependant, ce même outil de cracking Cellebrite a beaucoup moins de succès avec le cryptage Android installé sur des modèles de smartphone couramment utilisés. Par exemple, l’outil n’a pas pu extraire de données de médias sociaux, de navigation Internet ou de GPS à partir d’appareils tels que le Google Pixel 2 et le Samsung Galaxy S9. Dans le cas du Huawei P20 Pro, le logiciel de craquage n’a littéralement rien obtenu. Notons cependant que le cryptage Android n’est pas à toute épreuve. Le processus nécessite simplement plus de main-d’œuvre, de temps et de ressources.

Tails a annoncé aujourd’hui la version 4.0, une mise à jour majeure donc, de son système d’exploitation sécurisé, référence de nombreux militants. Au menu des nouveautés, Tails est désormais basé sur Debian 10, KeePassX est remplacé par KeePassXC, Onionshare et Tor Browser sont accompagnés de nouvelles fonctionnalités, MAT (Metadata Anonymisation Toolkit) est à présent directement intégré à l’explorateur de fichiers (il suffit d’un clic-droit et « effacer métadonnées), le « Tails Greeter » (menu d’accueil qui permet de déchiffrer un stockage persistant ou de définir un mot passe administrateur) a été amélioré pour les utilisateurs non-anglophones et le clavier à l’écran (utilisable avec la souris pour déjouer les keyloggers) est plus simple à utiliser. Enfin, Tails 4.0 est plus performant : il est 20% plus rapide à démarrer, utilise 250Mb de RAM en moins, et pèse 47Mb de moins que les versions précédentes. Le support des périphériques Thunderbolt a été ajouté ainsi que le tethering depuis un iphone. La liste officielle des changements peut être consultée ici.

Pour commencer à utiliser Tails, c’est ici.

Tails

Les développeurs de VeraCrypt (le descendant de TrueCrypt) viennent d’annoncer une nouvelle version de leur puissant logiciel de chiffrement, la version 1.24. La mise à jour précédente (1.23-hotfix-2) datait d’il y a précisément un an.

Au menu des nouveautés, pour tous les systèmes d’exploitation : la longueur maximum des mots de passe augmente à 128bits pour les volumes de chiffrement simples (non-système). La génération matérielle de nombres aléatoires Jitterentropy peut être utilisée à la place de RDRAND et le logiciel détectera mieux les fonctionnalités des processeurs pour optimiser la génération. Uniquement pour Windows : VeraCrypt prend désormais en charge le chiffrement des clés et mots de passe dans la mémoire vive (RAM), utilisant 10% des ressources sur les processeurs modernes, l’activation de cette fonctionnalité (désactivée par défaut) a pour effet secondaire de ne pas permettre l’hibernation de Windows; la mémoire utilisée par VeraCrypt est désormais inaccessible aux utilisateurs non-administrateurs (ce qui permet de bloquer certaines tentatives d’attaques); les clés de chiffrement sont désormais effacées de la mémoire vive lors d’un arrêt/redémarrage du système (ce qui permet de bloquer des tentatives d’attaques « cold-boot »); une option a été ajoutée pour effacer les clés de la mémoire-vive lorsqu’un appareil est connecté à l’ordinateur et que le volume chiffre tout le système; nouveau point d’entrée driver permettant à d’autres applications d’effacer les clés de la mémoire en cas d’urgence; la gestion des bootloaders MBR et UEFI est largement améliorée; le bootloader VeraCrypt a été largement amélioré; un bug très ennuyant à également été corrigé (la mise à jour Windows Update cassait le boot VeraCrypt sur certains systèmes). Pour MacOS et Linux, quelques bugs ont été corrigés.

Vous pouvez consulter la liste complète des changements (en anglais) ici, et télécharger VeraCrypt ici.

Des cyber-attaques ont visé plusieurs de nos sites internet en début de journée, finissant par rendre injoignables plusieurs sites du Secours Rouge et du Secours Rouge International pendant deux heures. Ce genre d’attaques visant à rendre nos sites instables ou injoignables ont lieu régulièrement à basse intensité (au point qu’il est parfois difficile de savoir s’il s’agit d’attaques, si nous sommes la cible ou s’il s’agit d’un usage intensif indéterminé sur le serveur) et elles étaient particulièrement intenses ces derniers jours, mais elles ont passé un cap ce matin. Lorsque nos techniciens ont bloqué une première fois l’attaquant, celui-ci est revenu à la charge avec plusieurs dizaines d’autres machines, ne laissant aucun doute sur ses intentions ou sa cible. Il est à l’heure actuelle difficile de connaître l’identité des auteurs de ces attaques même si le but est évident : mettre nos sites hors-ligne ou les rendre inutilisables pour leurs utilisateurs.

La situation semble être revenue à la normale pour l’instant et nous informerons via notre page Facebook si une telle attaque devait se reproduire.