Tails a annoncé aujourd’hui la version 4.0, une mise à jour majeure donc, de son système d’exploitation sécurisé, référence de nombreux militants. Au menu des nouveautés, Tails est désormais basé sur Debian 10, KeePassX est remplacé par KeePassXC, Onionshare et Tor Browser sont accompagnés de nouvelles fonctionnalités, MAT (Metadata Anonymisation Toolkit) est à présent directement intégré à l’explorateur de fichiers (il suffit d’un clic-droit et « effacer métadonnées), le « Tails Greeter » (menu d’accueil qui permet de déchiffrer un stockage persistant ou de définir un mot passe administrateur) a été amélioré pour les utilisateurs non-anglophones et le clavier à l’écran (utilisable avec la souris pour déjouer les keyloggers) est plus simple à utiliser. Enfin, Tails 4.0 est plus performant : il est 20% plus rapide à démarrer, utilise 250Mb de RAM en moins, et pèse 47Mb de moins que les versions précédentes. Le support des périphériques Thunderbolt a été ajouté ainsi que le tethering depuis un iphone. La liste officielle des changements peut être consultée ici.

Pour commencer à utiliser Tails, c’est ici.

Tails

Les développeurs de VeraCrypt (le descendant de TrueCrypt) viennent d’annoncer une nouvelle version de leur puissant logiciel de chiffrement, la version 1.24. La mise à jour précédente (1.23-hotfix-2) datait d’il y a précisément un an.

Au menu des nouveautés, pour tous les systèmes d’exploitation : la longueur maximum des mots de passe augmente à 128bits pour les volumes de chiffrement simples (non-système). La génération matérielle de nombres aléatoires Jitterentropy peut être utilisée à la place de RDRAND et le logiciel détectera mieux les fonctionnalités des processeurs pour optimiser la génération. Uniquement pour Windows : VeraCrypt prend désormais en charge le chiffrement des clés et mots de passe dans la mémoire vive (RAM), utilisant 10% des ressources sur les processeurs modernes, l’activation de cette fonctionnalité (désactivée par défaut) a pour effet secondaire de ne pas permettre l’hibernation de Windows; la mémoire utilisée par VeraCrypt est désormais inaccessible aux utilisateurs non-administrateurs (ce qui permet de bloquer certaines tentatives d’attaques); les clés de chiffrement sont désormais effacées de la mémoire vive lors d’un arrêt/redémarrage du système (ce qui permet de bloquer des tentatives d’attaques « cold-boot »); une option a été ajoutée pour effacer les clés de la mémoire-vive lorsqu’un appareil est connecté à l’ordinateur et que le volume chiffre tout le système; nouveau point d’entrée driver permettant à d’autres applications d’effacer les clés de la mémoire en cas d’urgence; la gestion des bootloaders MBR et UEFI est largement améliorée; le bootloader VeraCrypt a été largement amélioré; un bug très ennuyant à également été corrigé (la mise à jour Windows Update cassait le boot VeraCrypt sur certains systèmes). Pour MacOS et Linux, quelques bugs ont été corrigés.

Vous pouvez consulter la liste complète des changements (en anglais) ici, et télécharger VeraCrypt ici.

Des cyber-attaques ont visé plusieurs de nos sites internet en début de journée, finissant par rendre injoignables plusieurs sites du Secours Rouge et du Secours Rouge International pendant deux heures. Ce genre d’attaques visant à rendre nos sites instables ou injoignables ont lieu régulièrement à basse intensité (au point qu’il est parfois difficile de savoir s’il s’agit d’attaques, si nous sommes la cible ou s’il s’agit d’un usage intensif indéterminé sur le serveur) et elles étaient particulièrement intenses ces derniers jours, mais elles ont passé un cap ce matin. Lorsque nos techniciens ont bloqué une première fois l’attaquant, celui-ci est revenu à la charge avec plusieurs dizaines d’autres machines, ne laissant aucun doute sur ses intentions ou sa cible. Il est à l’heure actuelle difficile de connaître l’identité des auteurs de ces attaques même si le but est évident : mettre nos sites hors-ligne ou les rendre inutilisables pour leurs utilisateurs.

La situation semble être revenue à la normale pour l’instant et nous informerons via notre page Facebook si une telle attaque devait se reproduire.

Quatorze vulnérabilités critiques ont aujourd’hui été révélées par les chercheurs en sécurité informatique du « Project Zero » de Google, une structure chargée de rechercher les vulnérabilités dites « Zero Day » (c’est à dire inconnues des développeurs). Ces failles affectaient les iPhones aux versions d’iOS 10 à 12 et permettaient aux attaquants de viser sans discrimination de très nombreux utilisateurs puisque la simple visite d’un site infecté via le navigateur de l’iPhone pouvait mener à une infection. L’attaque permettait d’installer dans le téléphone un implant qui avait un accès au Keychain (trousseau de clés de chiffrement), et donc aux mots de passe, clés et certificats de l’utilisateur, ainsi qu’aux bases de données des applications enregistrées localement, ce qui signifie que le virus avait accès probablement accès aux messages des applications de communication sécurisées avant que le message ne soit chiffre (puisque le chiffrement se fait au moment de la communication, de bout-en-bout). On sait que Whatsapp et iMessages sont concernés, ce pourrait être le cas pour Signal mais ce n’est pas confirmé (nous mettrons cet article à jour dès que possible pour ce cas particulier). La sécurité de ces applications n’est en soi pas problématique dans le cas présent, puisque lorsque le système d’exploitation est compromis à ce point, tout est compromis.

Les chercheurs ont d’abord découvert ces failles au-travers des sites qui transmettaient l’infection, des sites recueillant des milliers de visiteurs hebdomadaires et infectant sans discrimination les utilisateurs d’iPhones. Un simple redémarrage du téléphone effaçait bien le malware, mais puisque celui-ci avait accès aux certificats, clés de chiffrement, et tokens d’identification, il faut supposer que les hackers ont pu utiliser les infos récoltées soit pour maintenir un accès constant à l’appareil, soit pour maintenir un accès constant aux comptes et services dont les clés et certificats avaient été volés. Project Zero a découvert un total de 14 vulnérabilités au travers de 5 chaines d’exploit, l’une de ces vulnérabilités n’avait pas encore été corrigée par Apple en février, lorsque Google leur a communiqué ces vulnérabilités. Illustrant encore une fois la gravité de la situation, Google n’a donné que 7 jours à Apple pour corriger au lieu des 90 habituels. Les failles ont été corrigées par la version d’iOS 12.1.4, mais les chercheurs craignent que d’autres campagnes de piratage de masse ne soient en cours.

Apple utilise depuis plusieurs années la sécurité de ses systèmes d’exploitation comme un argument marketing, un argument explosé par les rapports du Project Zero (consultables ici après 7 mois d’analyse approfondies), pendant au moins 2 années complètes, les pirates ont eu accès à des iPhones en ordre de mises à jour.

Apple vient de breveter une technologie « anti-interception », qui empêche les forces de police de localiser la position, les messages et les appels téléphoniques des utilisateurs. Le brevet explicite qu’une méthode développée par l’entreprise californienne permet de crypter les signaux envoyés entre les antennes mobiles et les téléphones portables. Cela a pour but de protéger les écoutes téléphoniques, que pourrait opérer policiers ou hackeurs. La technologie limite donc l’utilisation des boîtes dénommées « Stingray » : ces dernières sont des ponts téléphoniques qui sont utilisées pour suivre les positions des utilisateurs de smartphones, écouter leurs appels et lire leurs messages.

Principe de la géolocalisation par calcul de distances

Si le « mode privé » bloque les cookies et l’accès à l’historique, il ne garantit pas l’anonymat auprès des sites visités: il existe depuis longtemps une technique qui se base sur la récolte de données numériques donnant une identité unique à un internaute pour l’identifier. Cette technique s’appelle le « fingerprinting » ; elle récupère la liste des plugins d’un navigateur, les polices exploitées par l’OS et surtout la taille des fenêtres affichées à l’écran. Mozilla planche pour induire le fingerprinting en erreur avec Firefox en les leurrant. Mozilla a déjà réglé les problématiques de la récolte des plugins et des polices. Il ne lui restait plus que celle de la taille de la fenêtre du navigateur.

La technique baptisée « letterboxing » ajoute artificiellement des bandes grises dans le navigateur autour de la page affichée lorsque la fenêtre est redimensionnée par l’utilisateur. Ces bandes grises sont étalonnées avec des multiples de 200 px et 100 px de la fenêtre pendant l’opération de redimensionnement. Ces bandes ne restent que le temps du rapatriement de ces données sur le serveur de la régie ou du site. Dès que l’opération est réalisée, Firefox rétablit automatiquement l’affichage souhaité. L’utilisateur n’est pas longtemps gêné par ces bandes et le fingerprinting est leurré.

Ce principe a été mis au point depuis 2015 sur le navigateur Tor qui est utilisé pour naviguer sur le réseau du même nom. Or, il se trouve que depuis le mois de juin 2018, The Tor Project est partenaire de Mozilla. Les deux fondations s’attellent à faire de Firefox un navigateur sécurisé, doté d’un mode de surf privé renforcé. Lors de sa sortie en mai, Mozilla Firefox 67 devrait intégrer cette option de letterboxing.

fenêtre en letterboxing

Spip propose depuis le 21 janvier des nouvelles mises à jour. Il s’agit des versions 3.2.3, 3.1.9 et 3.0.28. Ces mises à jour comprennent un bon nombre de correctifs de bugs (34 pour la branche 3.2.x), ainsi que des correctifs de sécurité critiques. Il est donc recommandé de mettre votre site à jour aussi rapidement que possible si vous utilisez Spip pour votre site web.

Les téléchargements sont disponibles ici.

Mise à jour de Spip

Une cryptoparty aura lieu jeudi 3 janvier à 18:30 à l’Allée du Kaai (Avenue du port 53, à1000 Bruxelles). Apportez vos ordinateurs portables et smartphones.

cryptoparty

Une faiblesse du système de sécurisation par empreinte digitale vient d’être mise en évidence par les chercheurs de l’Université de New-York et de l’Université du Michigan. Cette faiblesse vient d’une relève d’empreintes approximative, seuls quelques points de notre empreinte sont identifiés pour verrouiller le téléphone. Ce n’est pas tant une faiblesse du système qu’une obligation, car en augmentant la précision des points de repère de l’empreinte, l’ouverture serait régulièrement bloquée. En effet, suivant l’état du doigt, l’empreinte bouge et se modifie.

En se basant sur plus de 6000 empreintes, les chercheurs ont dégagé des empreintes « passes-partout ». À partir de l’intelligence artificielle, des ajustements sont mis en place afin d’obtenir ce résultat passe-partout qui affiche déjà un taux de réussite de près de 20%.

Relevé électronique d’empreinte digitale

Une faille du Tor Browser a été révélée ce 10 septembre par l’entreprise Zerodium, cette faille est plus précisément liée à l’extension « NoScript » de Mozilla Firefox, installée par défaut, et permet à l’attaquant d’exécuter du code Javascript sur la machine de la cible, même si celle-ci a défini les paramètres de sécurité les plus agressifs (qui désactivent l’exécution de Javascript). Pour utiliser la faille, l’attaquant, qui peut simplement être un site visité par la cible, doit définir le type de contenu de son script comme étant du Json (« notation d’objet javascript », un format textuel), le script peut ensuite être utilisé pour révéler l’adresse IP de la cible ou d’autres informations permettant de l’identifier. La faille ne fonctionne plus à partir de Tor Brower 8.X, car Mozilla Firefox a été mis à jour vers « Quantum », une refonte massive.

Zerodium est une entreprise d’acquisition et de vente de « failles 0Day », qui sont des failles n’ayant fait l’objet d’aucune publication. Il y a un an, Zerodium avait proposé jusqu’à $1.000.000 pour des failles 0Day fonctionnelles permettant d’attaquer Tor ou le système d’exploitation Tails afin de revendre ces failles aux services de police qui voudraient lui acheter.

Si vous utilisez Tor Browser ou Tails Linux, vous devriez mettre à jour avant toute utilisation.

Une démonstration de l’attaque:

Very easy to reproduce the Zerodium Tor Browser 7.x NoScript bypass vulnerability https://t.co/k78ejoavWl #TorBrowser #vulnerability pic.twitter.com/k1mUJZUo77

— x0rz (@x0rz) 10 septembre 2018

Faille critique de Tor Browser