Une faille du Tor Browser a été révélée ce 10 septembre par l’entreprise Zerodium, cette faille est plus précisément liée à l’extension « NoScript » de Mozilla Firefox, installée par défaut, et permet à l’attaquant d’exécuter du code Javascript sur la machine de la cible, même si celle-ci a défini les paramètres de sécurité les plus agressifs (qui désactivent l’exécution de Javascript). Pour utiliser la faille, l’attaquant, qui peut simplement être un site visité par la cible, doit définir le type de contenu de son script comme étant du Json (« notation d’objet javascript », un format textuel), le script peut ensuite être utilisé pour révéler l’adresse IP de la cible ou d’autres informations permettant de l’identifier. La faille ne fonctionne plus à partir de Tor Brower 8.X, car Mozilla Firefox a été mis à jour vers « Quantum », une refonte massive.

Zerodium est une entreprise d’acquisition et de vente de « failles 0Day », qui sont des failles n’ayant fait l’objet d’aucune publication. Il y a un an, Zerodium avait proposé jusqu’à $1.000.000 pour des failles 0Day fonctionnelles permettant d’attaquer Tor ou le système d’exploitation Tails afin de revendre ces failles aux services de police qui voudraient lui acheter.

Si vous utilisez Tor Browser ou Tails Linux, vous devriez mettre à jour avant toute utilisation.

Une démonstration de l’attaque:

Faille critique de Tor Browser

Faille critique de Tor Browser

Les employés du gouvernement américain, des agences publiques et mêmes les fournisseurs ne pourront utiliser la plupart des équipements de Huawei et de ZTE suite à la promulgation de la loi Defense Authorization Act. En fait, cette loi proscrit l’utilisation d’appareils et d’équipement servant à consulter ou diffuser les données des utilisateurs. De fait, cela touche les smartphones et les routeurs de Huawei et ZTE (et d’une poignée d’autres constructeurs chinois moins connus) ; néanmoins, les clients du gouvernement américain peuvent toujours utiliser des composants qui n’exploitent pas les données d’utilisateurs. En vérité, bien peu d’appareils.

Cette interdiction est la conséquence de plusieurs années de débats touchant à la sécurité nationale américaine. ZTE ne s’en sort pas si mal, le Sénat US ayant d’abord voté une mesure interdisant purement et simplement l’entreprise de travailler avec des constructeurs américains, ce qui lui aurait barré la route de composants indispensables pour ses produits. La Chambre des représentants a finalement revu le projet de loi pour permettre à ZTE de survivre, un texte qui a été accepté par le Sénat.

Un ZTE blade

Un ZTE blade

Dossier(s): Archives Sécurité IT Tags:

Tails, « The Amnesic Incognito Live-System », un système d’exploitation très bien sécurisé, intègre dans sa dernière version béta le support des disques chiffrés via Veracrypt. Veracrypt est le successeur de Truecrypt, c’est une application qui permet de chiffrer disques durs internes et externes, clés USB et autres support de mémoire. Veracrypt (et avant lui Truecrypt) est probablement l’un des utilitaires les plus puissants pour le chiffrement sur Windows (sur Linux, on peut lui préférer LUKS). Si Tails intègre nativement le chiffrement LUKS, il était impossible de monter directement un disque veracrypt depuis le système d’exploitation, il fallait donc jusqu’à aujourd’hui passer par un support intermédiaire pour passer des données d’une partition Windows chiffrée avec Veracrypt vers la partition chiffrée de Tails. Tails avait interrogé ses utilisateurs volontaires et il apparaissait que 40% d’entre eu utilisent Veracrypt en plus de Tails.

Concrètement, la partition Veracrypt peut être montée directement depuis l’Utilitaire de Disques (« Disks ») si elle a une extension .hc. Sinon, Tails a développé une application ‘VeraCrypt Mounter’ pour monter les partitions sans extension. Pour télécharger l’image disque intégrant Veracrypt, le lien est ici. C’est une version béta, donc des erreurs peuvent probablement se produire. Les erreurs déjà remontées se trouvent ici. Et les erreurs que vous pourriez découvrir doivent être remontées vers tails-testers@boum.org.

Sur le site de Tails, la page réservée à l’intégration de Veracrypt.
Le site de Veracrypt.
Et le site de Tails.

Tails

Tails

Dossier(s): Archives Sécurité IT Tags:

PGP est considéré comme l’un des systèmes de chiffrement les plus puissants au monde depuis sa création en 1991. Parmi ses applications, on retrouve le chiffrement des e-mails, généralement réalisé à l’aide de logiciels tiers (Enigmail, Kleopatra, GPA,…) L’annonce il y a une dizaine de jours d’une faille dans PGP a donc provoqué beaucoup d’inquiétudes et de scepticisme. Des chercheurs allemands avaient annoncé une attaque contre PGP, et avaient publié un jour plus tôt que prévu la faille sur le site efail.de, provoquant la colère de certains éditeurs qui utilisent PGP, comme Protonmail qui critiquent que la faille ait été mal communiquée aux éditeurs et que le communiqué de presse ait été très alarmiste puis relayé par un média faisant autorité, le site de l’EFF.

La faille Efail permet à un attaquant de déchiffrer des e-mails dans certains cas précis. Premièrement, l’attaquant doit avoir accès aux e-mails de ses cibles. L’attaquant altère ensuite légèrement le contenu d’un e-mail et l’envoie aux destinataires originels. Lorsque le destinataire déchiffrera le message, une balise html cachée enverra une copie déchiffrée de l’e-mail à la victime, c’est une exfiltration directe. En pratique, le code html appellera un contenu distant (par exemple une image censée être appelée dans le client mail de la victime), et tentera de charger ce contenu depuis son propre site. Si le site de l’attaquant était « secoursrouge.org/ », il ajouterait à l’URL le contenu de l’e-mail, donnant un résultat à peu près similaire à ceci: « secoursrouge.org/LaRéunionSecrèteAuraLieuÀ21h ». L’attaquant pourra donc voir les messages déchiffrés en regardant quelles adresses ont été chargées sur son site. Un second type d’attaque plus complexe et nommé « CBC/CFB gadget » est expliqué sur le site efail.de

Heureusement la faille est déjà patchée dans Enigmail et dans plusieurs autres clients, dont Enigmail, le plus populaire. Pour les plus scrupuleux, il faudra utiliser PGP en ligne de commande et/ou désactiver le rendu HTML de son client e-mail.

Le mode d'exfiltration directe de Efail

Le mode d’exfiltration directe de Efail

La police des Galles du Sud a arrêté un trafiquant de drogues sur base d’une photo de sa main tenant un sachet d’ecstasy, envoyée via la messagerie Whatsapp. Une empreinte digitale partielle (voir l’illustration) apparaissait sur la photo et a pu confondre le dealer et a permis la condamnation de 11 personnes. La messagerie n’est pas en cause, un téléphone contenant de nombreux messages est entrée en possession de la police scientifique. La qualité croissante des photos prises par les smartphones a permis dans ce cas à la police de rester dans la course technologique.

La photo avec l'empreinte digitale partielle

La photo avec l’empreinte digitale partielle

Signal s’est récemment doté d’une Fondation, la « Signal Foundation », et a reçu une grosse somme d’argent de la part de Brian Acton (co-fondateur de Whatsapp qui travaille à présent chez Signal). Ce changement devait permettre d’engager du monde et d’améliorer cette application de messagerie sécurisée que nous ne cessons de recommander.

Les mises à jour ne se sont pas fait attendre: Signal a changé son système de bases de données de façon à le rendre plus sécurisé. Signal utilise à présent SQLCipher ce qui lui a permis de rétablir la fonction de sauvegarde chiffrée. Il est donc à présent possible de sauvegarder la totalité de l’application (images et clés comprises) pour réinstaller l’application sur un autre téléphone. Dans le futur, cette mise à jour vers SQLCipher pourrait permettre de faire des recherches de mots-clés à l’intérieur des messages. Pour activer la sauvegarde sécurisée, il suffit de se rendre dans Paramètres, Chats et Médias, Backups.

Une autre mise à jour de sécurité importante est le « registration lock » ou « verrou d’enregistrement ». Pour expliquer de quoi il s’agit, il faut expliquer un type d’attaque sur numéro de téléphone, le « port out ». Il s’agit simplement de tenter de voler un numéro de téléphone. Il est en fait assez simple de voler un numéro de téléphone en prétendant à un opérateur téléphonique qu’on vous a volé votre téléphone (ou en demandant à un autre opérateur de transférer le numéro chez eux), celui-ci fournit alors une carte sim utilisable immédiatement. L’attaquant dispose ainsi du numéro de téléphone de sa cible jusqu’à ce qu’elle se rende compte de ce qui est train de se passer et récupère le contrôle de son numéro. Mais durant les quelques heures où l’attaquant prend le contrôle, il peut installer Signal, récupérer les messages qui lui parviennent dans ce laps de temps, usurper l’identité de sa cible et envoyer des messages à certaines personnes pour récupérer des infos sensibles. Le registration lock est donc un simple code pin qui sera exigé lors d’une nouvelle installation de Signal vers un numéro de téléphone donné. En cas d’oubli, le registration lock expirera après 7 jours, un laps de temps bien plus long que ce qui est nécéssaire pour se rendre compte qu’un numéro de téléphone a été volé. Pour activer: Paramètres, Vie privée, Registration Lock Pin.

Autres mises à jour, il est à présent possible d’utiliser les lecteurs d’empreintes digitales plutôt que les codes pin ou phrases de passe pour verrouiller l’application. De nombreuses nouvelles sonneries audio sont disponibles (sur iOS), il est également possible depuis un moment d’activer le « clavier incognito » sur Android, pour éviter que les frappes clavier ne soient envoyées chez Google.

Partage de pièces-jointes sur Signal.

Partage de pièces-jointes sur Signal.

Dossier(s): Archives Sécurité IT Tags:

Le groupe OffSecurity a réalisé une compilation de vidéos d’attaque DDoS (Déni de service) qu’elle a réalisées en 2017 et 2018 contre plusieurs sites fascistes et islamistes (Groupe Union Défense, Action Française, Mouvement National-Socialiste Américain NSM88, AKP, et Aube Dorée). Cette vidéo a été dédiée aux Antifascist Forces in Afrin, au Revolutionary Abolitionist Movement et au Secours Rouge. Merci 😉

Signal est actuellement le service de messagerie le plus sûr tout en étant le plus simple à utiliser. Lorsque le service est apparu il y a quelques années, l’avis général concernant la sécurité informatique était que la difficulté d’utilisation n’était pas négociable. Et des moyens de communication sécurisés comme PGP étaient malheureusement délaissés car trop difficiles à utiliser pour le grand public. Signal a changé cette situation en offrant un service de messagerie doté un chiffrement extrêmement puissant, une grande simplicité d’utilisation, une disponibilité multi-plateforme (Android, iOS, Windows, MacOS, Linux,…), etc. Signal est à présent utilisé par des millions d’utilisateurs, et son protocole de chiffrement est utilisé par plus d’un milliard de personnes puisqu’il a été intégré nativement à Whatsapp et dans les modes incognito des services de messagerie les plus répandus (Google Allo, Facebook Messenger, Skype,…) Malheureusement, malgré toutes ces qualités, Signal souffre encore de quelques défauts, le plus gros d’entre eux étant qu’il est actuellement impossible d’utiliser le service sans numéro de téléphone (une situation qui changera dans l’avenir). D’autres problèmes, comme le fait qu’il est impossible de faire des recherches dans le contenu des messages ou d’exporter une installation complète (clés de chiffrement, photos et médias compris) sont en passe d’être résolu puisque Signal a récemment procédé à de grosses mises à jour de son système de bases de données qui permettront plus de flexibilité des données. Tous ces problèmes, et les lenteurs à les résoudre sont dues au fait qu’il n’y a que trois développeurs qui travaille sur Signal, et même si le projet est open-source, les développeurs sont très scrupuleux à intégrer des fonctionnalités codées par des inconnus sans avoir vérifié leur contenu. Signal a également toujours refusé d’être subventionné par des sociétés à but lucratif, de faire des levées de fond ou d’intégrer des publicités. L’essentiel de son fonctionnement était donc financé soit par l’intégration du protocole de chiffrement dans d’autres services (Google Allo, Facebook Messenger, Whatsapp, etc.) ou par la ‘Freedom of the Press Foundation’ (l’ONG fondée par Edward Snowden).

La ‘Signal Foundation’ (société sans but lucratif) nouvellement fondée permettra à Signal de profiter de dons, d’étendre l’équipe de développeurs et de travailler sur de nouveaux outils. Elle profite déjà d’un premier financement de $50 millions, probablement principalement payés par Brian Acton, co-fondateur de Whatsapp qui a déjà travaillé avec Signal par le passé.

Signal Foundation

Signal Foundation

Les développeurs de ‘The Guardian Project’, déjà à l’initiative de plusieurs applications à l’usage des militants, viennent de publier « Haven« , une application qui permet de transformer un smartphone Android inutilisé en détecteur de présence. L’application fait simplement usage des différents capteurs (caméras, microphones, mouvements, etc.) pour enregistrer un journal d’événements localement sur le téléphone. L’application est sponsorisée par la « Freedom of the Press Foundation », l’ONG d’Edward Snowden. C’est Snowden lui même qui est à l’origine de l’idée, voir la vidéo plus bas. L’application a été conçue comme une protection contre ce qui est appelée dans le domaine de la sécurité informatique « Evil Maid Attack » (« Femme de chambre démoniaque »). C’est à dire un scénario qui vise une personne déjà protégée. Par exemple, un militant laisse son ordinateur chiffré (avec Veracrypt par exemple), se pensant protégé. Mais lorsqu’il est absent, un intrus rentre chez lui, installe un virus KeyLogger afin d’enregistrer ce qui est tapé au clavier. Le militant rentre chez lui, allume son ordinateur, tape son mot de passe pour le déchiffrer, et ignore qu’il vient de donner son mot de passe à un adversaire. Selon Snowden, l’application protègera contre ce genre de scénario, mais pourra également servir à prévenir des alliés si un militant est kidnappé, peut également protéger une femme d’un agresseur ou d’un harceleur, etc.

L’application peut être configurée pour ne fonctionner que durant certaines heures. Le niveau de sensibilité des capteurs peut être réglé pour coller au genre de menaces dont on souhaite se protéger Correctement configurée, l’application peut envoyer des SMS, et elle peut même envoyer des messages via l’application Signal (que nous vous conseillons d’utiliser !) Même en-dehors de toute connectivité, l’application conserve un journal, et enregistre les sons et images détectés.

Haven est disponible pour Android ici.

Haven vous prévient si quelqu’un s’introduit chez vous en votre absence.

Haven vous prévient si quelqu’un s’introduit chez vous en votre absence.

En plus de son application éponyme, Signal met à disposition son protocole de chiffrement aux autres applications de messagerie instantanée. WhatsApp (dans sa totalité), Google Allo (mode incognito) et Facebook Messenger (mode incognito) profitaient déjà du protocole. L’application de conversation instantanée de Microsoft, Skype, profite désormais également de ce protocole de chiffrement en mode incognito. Le mode est appelé « conversations privées » et est disponible dès maintenant pour les utilisateurs de la preview de Skype (Skype Insiders). Signal promet de continuer à implémenter son protocole de chiffrement dans d’autres applications.

Signal protège Skype

Signal protège Skype

Dossier(s): Archives Sécurité IT Tags: