Deux failles informatiques à la gravité critique ont récemment été découvertes, elles ont été baptisées ‘Meltdown’ et ‘Spectre’. Ces deux failles touchent au fonctionnement profond de la grande majorité des processeurs modernes. Une courte explication: pour accélérer leur fonctionnement, les processeurs tentent de définir par avance quelle sera la prochaine fonction à exécuter, ce procédé est nommé « Speculative Execution ». Lorsque l’information transite par là, elle est momentanément accessible, et les deux failles permettent d’y accéder. Les deux failles ont été dévoilées aux constructeurs et aux développeurs de systèmes d’exploitation avant le public. Les systèmes peuvent tous être sécurisés, mais cette sécurisation a un prix: une perte de 5 à 30% de puissance. C’est le fondeur Intel qui est le plus touché, mais les autres fabriquants (ARM, AMD, Qualcomm,…) ne sont pas en reste.

Notre hébergeur a patché certains de ses serveurs hier soir, c’est pour cette raison que notre site internet était hors ligne en début de soirée et durant une partie de la nuit. Au passage, des certificats SSL ont été ajoutés sur nos sous-domaines (le site du Sacco-Vanzetti, Red Voices,…), ce qui est une bonne nouvelle.

Meltdown (

Meltdown (

Dossier(s): Archives Sécurité IT Tags:

La mise à jour mensuelle de Tails vient d’être publiée, il s’agit de la version 3.3. Il est recommandé à tous les utilisateurs de mettre à jour aussi vite que possible. Dans la liste des nouveautés, diverses résolutions de bugs, les mises à jour des des programmes inclus, etc. La grosse nouveauté de cette sortie, c’est que les images (fichiers .iso à graver sur un DVD ou sur une clé USB) sont désormais reproductibles, c’est à dire qu’il est possible de compiler soi-même le fichier en partant du code-source de Tails. Pour cette nouveauté, Tails a reçu une récompense, le « Mozilla Open Source Support Award ». La prochaine version de Tails devrait sortir le 16 janvier.
[
Pour télécharger Tails, c’est ici.->https://tails.boum.org]

Tails

Tails

Après plusieurs semaines de tests beta, Signal vient de publier la première version publique de son nouveau client indépendant pour ordinateur, un client dont l’installation n’est donc plus conditionnée par celle du navigateur Google Chrome, puisque Signal était jusqu’ici disponible sous la forme d’une « Application Chrome ». Mais Google a décidé de sonner le glas de ces applications pour 2018, ce qui a poussé les développeurs de Signal à changer de plateforme (Signal utilise désormais Électron). Aucune nouvelle fonctionnalité donc pour cette version. Il est possible d’importer ses données depuis l’application Chrome qui devrait proposer elle même de faire le changement. L’application indépendante Signal est disponible sur Windows (7, 8, 8.1 et 10), MacOS (10.9 et successifs) et Linux (distributions avec APT, donc Ubuntu, Debian et celles qui en découlent).

Signal est une application de messagerie sécurisée qui permet de communiquer des messages, des pièces-jointes jusqu’à 100Mo, et des appels audio et vidéo (uniquement sur Android et iOS pour l’instant). Toutes les communications sont chiffrées de bout en bout via un mécanisme très puissant, reconnu et approuvé par plusieurs cryptographes reconnus. L’application est sponsorisée par Edward Snowden et considérée (y compris par nous) comme la meilleure application de messagerie sécurisée, devant Telegram, WhatsApp et consorts, tout en restant extrêmement simple à utiliser.

Vous pouvez télécharger Signal (pour téléphone ou ordinateur) ici.

Signal Desktop

Signal Desktop

Tails (The Amnesiac Incognito Live System), l’un des outils les plus puissants pour protéger son anonymat et sa vie privée sur internet demande des fonds pour permettre la poursuite de son travail en 2018. Tails est entièrement gratuit et survit grâce aux dons de ses utilisateurs, d’ONG, d’entreprises (comme Mozilla ou Duckduckgo) ou d’organisations publiques américaines comme l’Open Technology Fund.

En 2017, Tails a compté en moyenne 22.061 démarrages sur son système par jour. Les besoins de Tails sont de 230.000$/an, compte tenu du fait que de nombreux contributeurs au projet sont des bénévoles. Pour faire un don, suivez ce lien. (via BitCoin, Paypal, virement EU, virement US ou Flattr).

Tails

Tails

Dossier(s): Archives Sécurité IT Tags:

Un chercheur de la KU Leuven a trouvé une faille très grave qui vise le protocole de protection de la très grande majorité des réseaux WiFi dans le monde, WPA2. Un attaquant peu ainsi pirater un appareil connecté à un WiFi (ordinateurs, smartphones, objets connectés) et facilement espionner ou injecter du contenu. D’autres protocoles protègent les données au-delà du WiFi, comme HTTPS par exemple. Mais, pour ce dernier exemple (d’autres existent), il est possible en injectant du contenu vers la cible de l’empêcher d’utiliser HTTPS et ainsi de dérober des données.

La première étape est de mettre à jour au plus vite les engins connectés:
Android: Les smartphones Android qui bénéficient des patchs de sécurité mensuels de Google (donc les roms AOSP, LineageOS, les smartphones Nexus et Pixel et d’autres) recevront le patch dans la mise à jour du 6 novembre prochain.
Apple: Tous les produits sous iOS, macOS, watchOS et tvOS (donc tous les produits Apple dont iphone, ipad, macbooks, etc.) recevront la mise à jour dans les prochains jours ou prochaines semaines, le patch est actuellement en phase de test béta.
Linux: Le patch pour Debian est déjà disponible, les distributions basées Debian (dont Ubuntu) à jour sont donc probablement protégées.
Microsoft: Le patch est publié depuis le 10 octobre, il suffit de lancer Windows Update. Si les mises à jour automatiques de Windows 10 sont activées vous êtes probablement déjà protégé.

De façon générale, une bonne technique de protection contre ce genre d’attaques et contre l’espionnage via WiFi est d’utiliser un VPN. Pour choisir un bon VPN, il faut éviter à tout prix d’en utiliser un gratuit, qui fera plus de mal que de bien. Un VPN généralement considéré comme sûr et coûtant 5€/mois pour 4 appareils protégés est Mullvad, qui est également simple d’utilisation, complètement anonyme et permet les paiements anonymes.

KRAck

KRAck

Des chercheurs de la KU Leuven ont découvert une énorme faille informatique dans le protocole de sécurité WiFi le plus utilisé au monde, WPA2. Ils ont commencé à publier leurs découvertes cet après-midi et ont baptisé la faille « KRAck » pour « Key Reinstallation Attacks ». La faille vise le protocole en lui-même et non une implémentation particulière, ce qui signifie que tous les engins capables de se connecter au WiFi (ordinateurs, smartphones, tablettes, télévisions, montres, bracelets, ampoules, cameras, box TV,… bref tout) sont à priori affectés par la faille, indépendamment de leur système d’exploitation. Et différence majeure avec de précédentes failles (comme heartbleed) : c’est le client (donc l’engin connecté, l’ordinateur,…) qui doit être sécurisé et non le serveur (donc le routeur, modem). La faille permet non seulement d’intercepter des données qui sont censées être sécurisées, mais également d’injecter du contenu et des malwares. Un attaquant pourrait donc forcer une cible à télécharger un virus plutôt qu’un logiciel anodin.

Des patchs de sécurité devraient être publiés prochainement, mais il est peu probables que la totalité des objets connectés soient sécurisés dans le futur proche, cette faille a donc un bel avenir devant elle.

Toutes les infos sur KRAck sont disponibles ici.

KRAck

KRAck

Huit mois après la quatrième mise à jour du guide (qui avait elle-même été publiée deux ans après la troisième), le ‘Guide d’autodéfense numérique’ paraît dans sa cinquième édition. Selon ses auteurs « Ce Guide présente « l’absence d’intimité » du monde numérique et propose des méthodes pour ajuster ses pratiques quotidiennes en conséquence. L’évolution de ce monde ne semblant pas prête de s’arrêter, nous avons décidé de travailler sur une cinquième édition, adaptée aux dernières nouveautés. »

Cette cinquième édition contient toujours deux tomes (« hors connexions » et « en ligne »), mis à jour afin de prendre en considération les dernières révélations concernant l’état de la surveillance numérique ainsi que les dernières évolutions légales et techniques – notamment les nouvelles versions des systèmes Debian et Tails.

Le guide peut être consulté en ligne sur guide.boum.org ou commandé en version papier pour 15€ (487 pages, éditions Tahin).

Cinquième édition du ’Guide d’autodéfense numérique’

Cinquième édition du ’Guide d’autodéfense numérique’

La mise à jour mensuelle de Tails vient d’être publiée, il s’agit de la version 3.2. Il est recommandé à tous les utilisateurs de mettre à jour aussi vite que possible. Dans la liste des nouveautés (classées approximativement de la plus compréhensible à la plus nerd…)
– Comme chaque mois, plusieurs failles de sécurité ont été corrigées.
– Le problème qui empêchait d’importer une clé PGP privée a été réglé.
– Ajout du programme ‘Bookletimposer‘ qui permet d’imposer des documents PDF pour publication.
– Un stick USB de 8Go est à présent nécéssaire (contre 4Go auparavant). Les clés USB de 4Go peuvent toujours être mis à jour pour l’instant.
– Thunderbird passe en version 52.3.
– Gnome Screen Keyboard remplace Florence comme clavier virtuel. Florence présentait beaucoup de bugs et de problèmes.
– Le kernel Linux passe en version 4.12.12, avec support des cartes graphiques NVidia Maxwell (donc principalement les GTX 900 Series).
– L’application ‘Tails Installer’ détecte à présent une clé sur laquelle Tails est déjà installée et proposera automatiquement la fonction ‘Clone to Upgrade’ (Cloner pour mettre à jour) pour ceux qui font des mises à jour manuelles.
– Le Bluetooth est -au moins temporairement- désactivé pour empêcher l’attaque BlueBorne.
– Le support pour certains types de connexions internet filières (ethernet) a été ajouté. Il s’agit en particulier du propotocole PPPoE.
– Le port D-Bus de Pidgin a été bloqué afin d’empêcher d’autres applicatiions de modifier sa configuration.
– La ‘randomization’ des adresses ASLR a été augmentée au maximum pour empêcher l’exploitation de failles dûes à une corruption de la mémoire.

Tails

Tails

La société Taser (récemment renommée Axon) bien connue pour être le leader mondiale en pistolets électriques et en body-cams policières travaille actuellement sur un nouveau projet, toujours au service des forces de l’ordre. Le projet est appelé « Evidence.com » et vise à fournir une application visant à permettre à tout le monde de filmer et d’uploader des photos et vidéos dans le cadre d’enquêtes, principalement via l’usage d’une application pour smartphone. Les matériaux ainsi récoltés seront mis à disposition des forces de l’ordre (selon Axon, la plateforme ne concernera que des enquêtes précises, mais il y a fort à parier que cela ne restera pas le cas indéfiniment), mais nourrira également des bots qui affineront leur intelligence artificielle sur base de cette base de données, cela afin de renforcer le département AI d’Axon. Ce département vise selon ses propres mots à « automatiser le travail administratif et à anticiper l’activité criminelle ». Axon a déjà des contrats très juteux avec de nombreuses agences de maintien de l’ordre aux USA et ailleurs, il offrira le matériel informatique aux agences, mais celles-ci devront payer un abonnement mensuel pour utiliser ce que le PDG d’Axon appelle déjà « Dropbox for Cops ».

A l’annonce du projet Evidence.com, de nombreuses critiques ont visé Axon et le fait que des données légales seront aux mains d’une grosse boite privée. Axon s’en est défendu, précisant que les données ne seront pas hébergées sur les serveurs de la société même mais sur le service de cloud de Microsoft (Azure). L’ACLU (Union pour les Droits Civils Américaine) a également rappelé qu’elle maintenait depuis plusieurs années une application « Mobile Justice App » destinée à filmer les violences policières et à les uploader aussi vite que possible sur les serveurs de l’ACLU puisque les copwatchers sont en général rapidement mis hors d’état de filmer par la police.

Evidence.com

Evidence.com

Le WiFi gratuit que l’on peut trouver dans les centres commerciaux permet de suivre précisément le chemin des clients. Une étude de l’INRIA démontre qu’il ne suffit pas de couper le WiFi de son téléphone pour devenir invisible: une option, appelée “Always allow scanning”, continue d’envoyer des « probe requests » pour scanner en permanence les environs à la recherche de points de WiFi. Or ces « probe requests » contiennent l’adresse MAC du téléphone, qui est unique à chaque téléphone. L’étude, qui ne porte que sur un très petit nombre de smartphones Android, montre des disparités entre les versions d’Android et les options des interfaces constructeurs. Sur les vieux téléphones (aux versions 2.2 ou 2.3 d’Android) l’option « Always allow scanning » n’existe pas. Ils ne peuvent donc pas être tracés. Sur les smartphones plus récents, l’option n’est ni toujours facile de la désactiver, ni toujours possible de la désactiver. C’est le cas par exemple sur le OnePlus One — où l’option n’est présente nulle part dans les menus — et sur le Nexus S qui, même une fois l’option désactivée, continue d’émettre des « probe requests ».

Quant aux autres smartphones qui permettent de la désactiver, l’option apparaît sous diverses appellations en fonction de la version d’Android et surtout de l’interface constructeur. Sur un Galaxy S7, il faut se rendre dans Connexions > Position > Améliorer la précision > Analyse Wi-Fi. Mais sur un Xperia X, il faut aller dans Localisation > Recherche (dans un menu caché en haut à droite de l’écran) > Recherche WiFi. Difficile de faire plus difficile d’accès. C’est beaucoup plus simple sur iOS, puisqu’il de se rendre dans le menu Confidentialité où l’on peut gérer les principaux paramètres de localisation du téléphone. Google a cependant fait des efforts sur les dernières versions d’Android. En effet, lorsque l’option est activée, mais que le WiFi est coupé, les probe requests envoient une adresse MAC générée aléatoirement.

L’option “Always allow scanning” sur le Galaxy S7

L’option “Always allow scanning” sur le Galaxy S7

Dossier(s): Archives Sécurité IT