Quatorze vulnérabilités critiques ont aujourd’hui été révélées par les chercheurs en sécurité informatique du « Project Zero » de Google, une structure chargée de rechercher les vulnérabilités dites « Zero Day » (c’est à dire inconnues des développeurs). Ces failles affectaient les iPhones aux versions d’iOS 10 à 12 et permettaient aux attaquants de viser sans discrimination de très nombreux utilisateurs puisque la simple visite d’un site infecté via le navigateur de l’iPhone pouvait mener à une infection. L’attaque permettait d’installer dans le téléphone un implant qui avait un accès au Keychain (trousseau de clés de chiffrement), et donc aux mots de passe, clés et certificats de l’utilisateur, ainsi qu’aux bases de données des applications enregistrées localement, ce qui signifie que le virus avait accès probablement accès aux messages des applications de communication sécurisées avant que le message ne soit chiffre (puisque le chiffrement se fait au moment de la communication, de bout-en-bout). On sait que Whatsapp et iMessages sont concernés, ce pourrait être le cas pour Signal mais ce n’est pas confirmé (nous mettrons cet article à jour dès que possible pour ce cas particulier). La sécurité de ces applications n’est en soi pas problématique dans le cas présent, puisque lorsque le système d’exploitation est compromis à ce point, tout est compromis.

Les chercheurs ont d’abord découvert ces failles au-travers des sites qui transmettaient l’infection, des sites recueillant des milliers de visiteurs hebdomadaires et infectant sans discrimination les utilisateurs d’iPhones. Un simple redémarrage du téléphone effaçait bien le malware, mais puisque celui-ci avait accès aux certificats, clés de chiffrement, et tokens d’identification, il faut supposer que les hackers ont pu utiliser les infos récoltées soit pour maintenir un accès constant à l’appareil, soit pour maintenir un accès constant aux comptes et services dont les clés et certificats avaient été volés. Project Zero a découvert un total de 14 vulnérabilités au travers de 5 chaines d’exploit, l’une de ces vulnérabilités n’avait pas encore été corrigée par Apple en février, lorsque Google leur a communiqué ces vulnérabilités. Illustrant encore une fois la gravité de la situation, Google n’a donné que 7 jours à Apple pour corriger au lieu des 90 habituels. Les failles ont été corrigées par la version d’iOS 12.1.4, mais les chercheurs craignent que d’autres campagnes de piratage de masse ne soient en cours.

Apple utilise depuis plusieurs années la sécurité de ses systèmes d’exploitation comme un argument marketing, un argument explosé par les rapports du Project Zero (consultables ici après 7 mois d’analyse approfondies), pendant au moins 2 années complètes, les pirates ont eu accès à des iPhones en ordre de mises à jour.

Apple vient de breveter une technologie « anti-interception », qui empêche les forces de police de localiser la position, les messages et les appels téléphoniques des utilisateurs. Le brevet explicite qu’une méthode développée par l’entreprise californienne permet de crypter les signaux envoyés entre les antennes mobiles et les téléphones portables. Cela a pour but de protéger les écoutes téléphoniques, que pourrait opérer policiers ou hackeurs. La technologie limite donc l’utilisation des boîtes dénommées « Stingray » : ces dernières sont des ponts téléphoniques qui sont utilisées pour suivre les positions des utilisateurs de smartphones, écouter leurs appels et lire leurs messages.

Principe de la géolocalisation par calcul de distances

Si le « mode privé » bloque les cookies et l’accès à l’historique, il ne garantit pas l’anonymat auprès des sites visités: il existe depuis longtemps une technique qui se base sur la récolte de données numériques donnant une identité unique à un internaute pour l’identifier. Cette technique s’appelle le « fingerprinting » ; elle récupère la liste des plugins d’un navigateur, les polices exploitées par l’OS et surtout la taille des fenêtres affichées à l’écran. Mozilla planche pour induire le fingerprinting en erreur avec Firefox en les leurrant. Mozilla a déjà réglé les problématiques de la récolte des plugins et des polices. Il ne lui restait plus que celle de la taille de la fenêtre du navigateur.

La technique baptisée « letterboxing » ajoute artificiellement des bandes grises dans le navigateur autour de la page affichée lorsque la fenêtre est redimensionnée par l’utilisateur. Ces bandes grises sont étalonnées avec des multiples de 200 px et 100 px de la fenêtre pendant l’opération de redimensionnement. Ces bandes ne restent que le temps du rapatriement de ces données sur le serveur de la régie ou du site. Dès que l’opération est réalisée, Firefox rétablit automatiquement l’affichage souhaité. L’utilisateur n’est pas longtemps gêné par ces bandes et le fingerprinting est leurré.

Ce principe a été mis au point depuis 2015 sur le navigateur Tor qui est utilisé pour naviguer sur le réseau du même nom. Or, il se trouve que depuis le mois de juin 2018, The Tor Project est partenaire de Mozilla. Les deux fondations s’attellent à faire de Firefox un navigateur sécurisé, doté d’un mode de surf privé renforcé. Lors de sa sortie en mai, Mozilla Firefox 67 devrait intégrer cette option de letterboxing.

fenêtre en letterboxing

Spip propose depuis le 21 janvier des nouvelles mises à jour. Il s’agit des versions 3.2.3, 3.1.9 et 3.0.28. Ces mises à jour comprennent un bon nombre de correctifs de bugs (34 pour la branche 3.2.x), ainsi que des correctifs de sécurité critiques. Il est donc recommandé de mettre votre site à jour aussi rapidement que possible si vous utilisez Spip pour votre site web.

Les téléchargements sont disponibles ici.

Mise à jour de Spip

Une cryptoparty aura lieu jeudi 3 janvier à 18:30 à l’Allée du Kaai (Avenue du port 53, à1000 Bruxelles). Apportez vos ordinateurs portables et smartphones.

cryptoparty

Une faiblesse du système de sécurisation par empreinte digitale vient d’être mise en évidence par les chercheurs de l’Université de New-York et de l’Université du Michigan. Cette faiblesse vient d’une relève d’empreintes approximative, seuls quelques points de notre empreinte sont identifiés pour verrouiller le téléphone. Ce n’est pas tant une faiblesse du système qu’une obligation, car en augmentant la précision des points de repère de l’empreinte, l’ouverture serait régulièrement bloquée. En effet, suivant l’état du doigt, l’empreinte bouge et se modifie.

En se basant sur plus de 6000 empreintes, les chercheurs ont dégagé des empreintes « passes-partout ». À partir de l’intelligence artificielle, des ajustements sont mis en place afin d’obtenir ce résultat passe-partout qui affiche déjà un taux de réussite de près de 20%.

Relevé électronique d’empreinte digitale

Une faille du Tor Browser a été révélée ce 10 septembre par l’entreprise Zerodium, cette faille est plus précisément liée à l’extension « NoScript » de Mozilla Firefox, installée par défaut, et permet à l’attaquant d’exécuter du code Javascript sur la machine de la cible, même si celle-ci a défini les paramètres de sécurité les plus agressifs (qui désactivent l’exécution de Javascript). Pour utiliser la faille, l’attaquant, qui peut simplement être un site visité par la cible, doit définir le type de contenu de son script comme étant du Json (« notation d’objet javascript », un format textuel), le script peut ensuite être utilisé pour révéler l’adresse IP de la cible ou d’autres informations permettant de l’identifier. La faille ne fonctionne plus à partir de Tor Brower 8.X, car Mozilla Firefox a été mis à jour vers « Quantum », une refonte massive.

Zerodium est une entreprise d’acquisition et de vente de « failles 0Day », qui sont des failles n’ayant fait l’objet d’aucune publication. Il y a un an, Zerodium avait proposé jusqu’à $1.000.000 pour des failles 0Day fonctionnelles permettant d’attaquer Tor ou le système d’exploitation Tails afin de revendre ces failles aux services de police qui voudraient lui acheter.

Si vous utilisez Tor Browser ou Tails Linux, vous devriez mettre à jour avant toute utilisation.

Une démonstration de l’attaque:

Very easy to reproduce the Zerodium Tor Browser 7.x NoScript bypass vulnerability https://t.co/k78ejoavWl #TorBrowser #vulnerability pic.twitter.com/k1mUJZUo77

— x0rz (@x0rz) 10 septembre 2018

Faille critique de Tor Browser

Les employés du gouvernement américain, des agences publiques et mêmes les fournisseurs ne pourront utiliser la plupart des équipements de Huawei et de ZTE suite à la promulgation de la loi Defense Authorization Act. En fait, cette loi proscrit l’utilisation d’appareils et d’équipement servant à consulter ou diffuser les données des utilisateurs. De fait, cela touche les smartphones et les routeurs de Huawei et ZTE (et d’une poignée d’autres constructeurs chinois moins connus) ; néanmoins, les clients du gouvernement américain peuvent toujours utiliser des composants qui n’exploitent pas les données d’utilisateurs. En vérité, bien peu d’appareils.

Cette interdiction est la conséquence de plusieurs années de débats touchant à la sécurité nationale américaine. ZTE ne s’en sort pas si mal, le Sénat US ayant d’abord voté une mesure interdisant purement et simplement l’entreprise de travailler avec des constructeurs américains, ce qui lui aurait barré la route de composants indispensables pour ses produits. La Chambre des représentants a finalement revu le projet de loi pour permettre à ZTE de survivre, un texte qui a été accepté par le Sénat.

Un ZTE blade

Tails, « The Amnesic Incognito Live-System », un système d’exploitation très bien sécurisé, intègre dans sa dernière version béta le support des disques chiffrés via Veracrypt. Veracrypt est le successeur de Truecrypt, c’est une application qui permet de chiffrer disques durs internes et externes, clés USB et autres support de mémoire. Veracrypt (et avant lui Truecrypt) est probablement l’un des utilitaires les plus puissants pour le chiffrement sur Windows (sur Linux, on peut lui préférer LUKS). Si Tails intègre nativement le chiffrement LUKS, il était impossible de monter directement un disque veracrypt depuis le système d’exploitation, il fallait donc jusqu’à aujourd’hui passer par un support intermédiaire pour passer des données d’une partition Windows chiffrée avec Veracrypt vers la partition chiffrée de Tails. Tails avait interrogé ses utilisateurs volontaires et il apparaissait que 40% d’entre eu utilisent Veracrypt en plus de Tails.

Concrètement, la partition Veracrypt peut être montée directement depuis l’Utilitaire de Disques (« Disks ») si elle a une extension .hc. Sinon, Tails a développé une application ‘VeraCrypt Mounter’ pour monter les partitions sans extension. Pour télécharger l’image disque intégrant Veracrypt, le lien est ici. C’est une version béta, donc des erreurs peuvent probablement se produire. Les erreurs déjà remontées se trouvent ici. Et les erreurs que vous pourriez découvrir doivent être remontées vers tails-testers@boum.org.

Sur le site de Tails, la page réservée à l’intégration de Veracrypt.
Le site de Veracrypt.
Et le site de Tails.

Tails

PGP est considéré comme l’un des systèmes de chiffrement les plus puissants au monde depuis sa création en 1991. Parmi ses applications, on retrouve le chiffrement des e-mails, généralement réalisé à l’aide de logiciels tiers (Enigmail, Kleopatra, GPA,…) L’annonce il y a une dizaine de jours d’une faille dans PGP a donc provoqué beaucoup d’inquiétudes et de scepticisme. Des chercheurs allemands avaient annoncé une attaque contre PGP, et avaient publié un jour plus tôt que prévu la faille sur le site efail.de, provoquant la colère de certains éditeurs qui utilisent PGP, comme Protonmail qui critiquent que la faille ait été mal communiquée aux éditeurs et que le communiqué de presse ait été très alarmiste puis relayé par un média faisant autorité, le site de l’EFF.

La faille Efail permet à un attaquant de déchiffrer des e-mails dans certains cas précis. Premièrement, l’attaquant doit avoir accès aux e-mails de ses cibles. L’attaquant altère ensuite légèrement le contenu d’un e-mail et l’envoie aux destinataires originels. Lorsque le destinataire déchiffrera le message, une balise html cachée enverra une copie déchiffrée de l’e-mail à la victime, c’est une exfiltration directe. En pratique, le code html appellera un contenu distant (par exemple une image censée être appelée dans le client mail de la victime), et tentera de charger ce contenu depuis son propre site. Si le site de l’attaquant était « secoursrouge.org/ », il ajouterait à l’URL le contenu de l’e-mail, donnant un résultat à peu près similaire à ceci: « secoursrouge.org/LaRéunionSecrèteAuraLieuÀ21h ». L’attaquant pourra donc voir les messages déchiffrés en regardant quelles adresses ont été chargées sur son site. Un second type d’attaque plus complexe et nommé « CBC/CFB gadget » est expliqué sur le site efail.de

Heureusement la faille est déjà patchée dans Enigmail et dans plusieurs autres clients, dont Enigmail, le plus populaire. Pour les plus scrupuleux, il faudra utiliser PGP en ligne de commande et/ou désactiver le rendu HTML de son client e-mail.

Le mode d’exfiltration directe de Efail