L’équipe de Tails présente aujourd’hui la nouvelle version de Tails, la version 3.0. C’est la première version à être basée sur Debian 9. C’est une version majeure, et à ce titre il y a beaucoup de nouveautés visibles:
– Rafraichissement de l’expérience utilisateur pour le démarrage (toutes les options sont sur un seul écran.
– Rafraichissement de l’expérience utilisateur l’arrêt du système, l’écran devient complètement noir et est moins suspect.
– Rafraichissement du bureau (thème sombre de Gnome, plus moderne et plus discret).
– Tails tentera d’être synchronisé sur les dates de sortie de Debian (il parait d’ailleurs trois jours à l’avance puisque Debian 9 sort le 17 juin).
– Amélioration de la zone de notifications.
– Tails ne supporte plus les ordinateurs 32 bits.
– Icedove redevient Thunderbird.
– Et beaucoup d’autres mises à jour.

Tails

Tails

Dossier(s): Archives Sécurité IT Tags:

Suite aux rencontres de la communauté SPIP à Toulouse, des versions de maintenance ont été publiées le 9 juin. Il s’agissait des versions 3.0.26 (pour la branche 3.0.X)n 3.1.5 (pour la branche 3.1.X) et 3.2 (pour la branche beta). Un certain nombre de corrections de bugs ont été apportées (8 pour la 3.0, 25 pour la 3.1, 40 pour la 3.2). Pas de failles de sécurité selon l’équipe de Spip. Mais ce 12 juin, une nouvelle série de mises à jour a été publiée : 3.1.6 et 3.2 beta 3. La branche 3.0 n’est pas concernée par le problème. Le problème en question est une faille de sécurité plus ancienne.

Mettez au plus vite votre site à jour.

Mise à jour de Spip

Mise à jour de Spip

Dossier(s): Archives Sécurité IT Tags:

Un gestionnaire de mots de passe ne permet pas simplement de se souvenir de dizaines de mots de passe, il permet également d’en générer de nouveaux plus puissants sans avoir à se soucier de pouvoir s’en souvenir. Mais la majorité des gestionnaires de mots de passe est propriétaire (utilisant des technologiques fermées), payante, ou peu sécurisée. L’alternative la plus connue étant gratuite et open-source est Keepass, un logiciel à l’interface austère. De ce constat, deux développeurs finlandais ont créé Buttercup, un gestionnaire de mots de passe chiffré et open-source. Des clients existent déjà pour Windows, Mac et Linux et des applications pour iOS et Android sont en cours de développements. Il existe également des extensions pour Chrome et Firefox afin que les mots de passe soient automatiquement « tapés » au besoin. Le gestionnaire peut sauvegarder un conteneur de mots de passe localement sur un ordinateur ou le stocker dans le cloud. Le protocole WebDAV est supporté nativement ainsi que les services OwnCloud et Dropbox. Les développeurs sont très réactifs concernant la résolution des bugs. Buttercup est écrit en NodeJS.

Un logiciel à essayer ici.

Buttercup

Buttercup

Dossier(s): Archives Sécurité IT Tags:

Au moins deux nouvelles armes faisant usage de la faille ‘ETERNALBLUE’ de la NSA ont été répertoriées. « Au moins », car ces attaques ne sont pas toujours aussi visibles que l’attaque Wannacry (voir notre article). Preuve en est, l’une de ces deux attaques, répandant le virus ‘Adylkuzz’ a été perpétrée avant Wannacry, elle a commencé entre le 24 avril et le 2 mai dernier. Elle n’a pas été tout de suite détectée car ce n’était pas un ransomware comme Wanacry (exigeant de l’utilisateur une rançon contre ses données) mais un crypto-miner, c’est à dire un logiciel qui « fabrique » de la monnaie virtuelle, en l’occurence du Monero (une autre monnaie comparable au bitcoin). Les hackers infectent donc des milliers d’ordinateurs pour les intégrer à leur parc informatique et augmenter leur puissance de calcul. Ce fonctionnement n’est pas aisément détectable par l’utilisateur, hormis le fait que son ordinateur est lent car concentré à sa tâche de minage. Cette attaque est beaucoup plus rentable pour les hackers (jusqu’ici, Wannacry n’a récolté que 80.000$), sans pour autant provoquer un vent de panique générale.

Passons à la troisième attaque, UIWIX, qui rassemble le pire des deux premiers. UIWIX est un ransomware, et il utilise la faille ETERNALBLUE de la NSA, mais il n’est pas basé sur le code de Wannacry, c’est un tout autre ransomware. Il est ‘fileless’, ce qui signifie qu’il ne s’installe pas dans le disque dur de la cible mais dans sa mémoire vive, rendant sa détection difficile. Il infecte via une DLL (entrée dans la base de registre de Windows) et non via un fichier exécutable. Qui plus est, UIWIX s’auto-détruit s’il détecte qu’il est dans une machine virtuelle, ceci afin d’éviter d’être analysé. Les éditeurs d’anti-virus installent en effet des « honeypots » (des appâts à virus, « pots de miel » littéralement) afin de détecter les nouvelles menaces. Enfin, contrairement à Wannacry, UIWIX ne dispose pas d’un killswitch qui permet de désactiver sa propagation.

La bonne nouvelle: c’est que ces trois virus utilisent la même faille ETERNALBLUE. Si vous avez entrepris de vous protéger contre Wannacry, vous êtes déjà protégés de ces héritiers. En revanche, si vous n’êtes pas encore protégés, voici les simples étapes à entreprendre.

1. Quelque soit votre version de Windows: démarrez Windows Update (menu démarrer, tapez « update » ou « mise à jour »), et faites une mise à jour. Ouvrez votre antivirus et vérifier que sa base de données a été mise à jour récemment (durant les trois derniers jours).
2. Si vous êtes sous Windows 10, vous êtes à priori protégés. Microsoft avait bouché cette faille il y a plusieurs mois.
3. Si vous êtes sous Windows XP, 2000 ou Vista, il est temps de passer à un système moderne. Windows 10 est bien plus sécurisé que ces prédécesseurs. Certes, il n’est pas respectueux de la vie privée de ses utilisateurs, mais aucune version de Windows ne l’est.
4. Enfin, vous pouvez fermer le service SMB de Windows qui est utilisé par la faille ‘ETERNALBLUE’. Pour celà: « Panneaux de configuration » -> « Programmes et fonctionnalités » -> « Activer ou désactiver des fonctionnalités Windows », et décocher la case correspondant au service SMB (le service SMB vous est inutile si vous n’utilisez pas le réseau local, voir SMB sur Wikipedia).

Désactivation du service SMB dans Windows.

Désactivation du service SMB dans Windows.

L’application de messagerie sécurisée Signal est à présent approuvée pour une utilisation par les sénateurs états-uniens. Des recommandations technologiques sont régulièrement faites aux sénateurs pour protéger leurs communication d’un éventuel espionnage. Cette approbation vient s’ajouter à la longue liste d’arguments pour l’utilisation de Signal. L’utilisation de Signal est encouragée par Snowden, son fonctionnement est encensé par les cryptographes les plus aguerris, la puissance de son protocole de chiffrement est utilisée par Google, Facebook et Whatsapp (entre autres). Son utilisation est simple, intuitive et ludique. Signal est censuré dans les dictatures de la péninsule arabique et du Maghreb et a contourné cette censure en moins de trois jours grâce à des développeurs extrêmement réactifs. Lorsque les e-mails de Hillary Clinton ont été piratés, son équipe est passée à Signal. Nous avons déjà exposé les failles de Telegram sur ce site, Signal n’en souffre pas. Signal est open-source et gratuit. Les appels audios et vidéos sont de plus en plus rapides et sans latence. L’application permet désormais d’envoyer n’importe quel type de pièce-jointe de moins de 100Mo. Vous l’avez compris, nous vous encourageons à utiliser cette application dès à présent et à encourager son utilisation.

Pour télécharger Signal, rendez-vous sur signal.org

Partage de pièces-jointes sur Signal.

Partage de pièces-jointes sur Signal.

Une immense cyber-attaque de portée mondiale a frappé des milliers d’ordinateurs hier, chiffrant irrémédiablement les disques durs des victimes, si ceux-ci refusent de payer une rançon de 300$. Les ‘ransomwares’ (ou ‘rançongiciels’) sont bien connus depuis quelques années. Leur principe est simple: un virus chiffre tout ou partie d’un disque dur et exige ensuite de la victime une rançon a payer en bitcoins sur un site .onion, dans le dark web. Les ransomwares sont extrêmement rentables pour les auteurs de ces attaques. De nouveaux ransomwares apparaissent chaque jour et ont donné naissance à une véritable industrie sur le dark web. Des plateformes permettent à présent de créer un tel logiciel et de le personnaliser gratuitement sous réserve qu’un pourcentage de l’argent récolté soit reversé à la plateforme. Les ransomwares se propagent comme n’importe quel virus, et bien souvent via des pièces-jointes.

Pour mener des cyber-attaques importantes, il faut infecter beaucoup d’ordinateurs. Les pirates doivent donc tenter de contrefaire au mieux des e-mails officiels afin de convaincre les cibles de télécharger une pièce-jointe. La cyber-attaque de ce 12 mai, qui a notamment visé Telefonica en Espagne, le service national de santé britannique, le ministère de l’intérieur russe, fedex aux USA, Renault en France. 75.000 systèmes seraient infectés à travers le monde par le virus, nommé WanaCry. Il ne s’agit pas uniquement de gens qui ont cliqué sur une pièce-jointe infectée: les hackers se sont servis d’une faille découverte par la NSA pour qu’une fois un système infecté, il infecte les autres ordinateurs présents sur le même réseau. En plus de cela, 5.000.000 d’e-mails infectés étaient envoyés chaque heure.

Le groupe de hackers ‘Shadow Brokers’ avait mis en ligne plusieurs cyber-armes dérobées à la NSA l’année dernière, mettant aux enchères les plus dangereuses, avant de se dissoudre à la fin de l’année. La NSA (comme la CIA) utilise des failles 0Day (non-découvertes) pour construire son cyber-arsenal, ce qui a pour effet de mettre en danger des milliers d’ordinateurs. Les personnes se retrouvant en possession de la faille devenant tout puissants sur les systèmes infectés, l’attaque d’hier en est un très bon exemple. Nous avons déjà parlé à plusieurs reprises de ces failles. La faille, ETERNALBLUE, avait été dévoilée le 14 avril 2017 par les Shadow Brokers (avec comme commentaire « c’est probablement la publication la plus dangereuse jusque là » Mais elle avait déjà été patchée par Microsoft le 14 mars 2017.

L’attaque d’hier a donc couplé l’utilisation d’un ransomware à l’utilisation d’une faille 0Day dévoilée par les Shadow Brokers. Les failles ont toutes été patchées par les éditeurs de système d’exploitation depuis, mais comme la plupart des gens ne mettent pas à jour leur système, ils sont restés vulnérables. Des cyber-attaques comme celles d’hier vont se reproduire: non seulement des hackers cherchent quotidiennement des failles 0Day, mais des institutions comme la NSA et la CIA investissent des millions de dollars dans leur recherche et se font voler leurs arsenaux. Le fait que la plupart des systèmes ne soient pas patchés et mis à jour assez rapidement rend le parc informatique mondial globalement vulnérable.

La propagation a pu être stoppée grâce à l’activation d’un « kill switch » par un développeur britannique, mais des variantes du virus devraient paraître sous peu. C’est donc le bon moment pour faire une mise à jour de votre système. Vu l’ampleur de l’attaque, Microsoft aurait décidé de publier exceptionnellement une mise à jour pour les anciennes versions de Windows non supportées, à partir de XP.

WannaCry

WannaCry

Le dernier smartphone de Samsung, le Galaxy S8, ne sont pas encore sur les étals que déjà quelques utilisateurs ont pu mettre la main dessus. Une première faille a déjà été découverte qui remet en cause la sécurité du verrouillage du smartphone et la nouvelle technologie utilisée, la reconnaissance faciale. C’était l’une des grandes nouveautés de Samsung pour son smartphone haut de gamme : la possibilité de déverrouiller le smartphone par reconnaissance faciale, tout simplement en le mettant devant son visage, donc sans recours au code ou au pictogramme.

Mais une vidéo postée iDeviceHelp et relayée par Gizmodo montre une personne qui réussi à débloquer un Galaxy S8 avec une photo afichée par un autre téléphone qui l’on passe devant le scanner de reconnaissance faciale. Il suffit que quelqu’un ait une photo du propriétaire sur son smartphone pour qu’il puisse débloquer le téléphone. Le Galaxy S8 embarque cependant d’autres solutions biométriques beaucoup plus sûres : le lecteur d’empreintes digitales et le scanner d’iris.

Le show vidéo de Samsung sur la reconnaissance faciale du Galaxy S8

Le show vidéo de Samsung sur la reconnaissance faciale du Galaxy S8

Dossier(s): Archives Sécurité IT

Les utilisateurs de Signal peuvent désormais envoyer et recevoir des pièces jointes de de n’importe quel type sur iOS, Android et ordinateur. Auparavant, les pièces-jointes étaient limitées à certains formats: images, audio et vidéo. On peut désormais envoyer un document (pdf, doc, odt,…), une application (apk, exe,…), un fichier compressé (zip, rar, 7zip,…) ou n’importe quel type de fichier. La taille du fichier est elle-même limitée, mais la limite est bien plus haute que pour un e-mail par exemple, à priori elle est fixée à 100Mb. Signal dispose donc à présent de toutes les fonctionnalités dont disposait déjà PGP, la disponibilité des pièces-jointes en fait une alternative de plus en plus crédible.

Nous vous encourageons à utiliser Signal plutôt que d’autres messageries (Facebook Messenger, Whatsapp, Telegram, Hangouts, Allo,…), les SMS classiques ou les e-mails non-chiffrés. Signal est une puissante application de messagerie, extrêmement simple d’utilisation et sponsorisée par Edward Snowden.

Partage de pièces-jointes sur Signal.

Partage de pièces-jointes sur Signal.

Des développeurs du plus célèbre des moteurs de recherches de fichiers .torrent viennent de lancer « Njalla » un fournisseur de noms de domaines qui permet à ses clients de ne fournir ni nom, ni adresse e-mail. Le « truc » est que le domaine appartient sur le papier à Njalla, mais la gestion est laissée entièrement à l’acheteur. Les membres de Pirate Bay expliquent qu’ils ne pouvaient pas trouver un fournisseur de noms de domaines qu’ils avaient envie d’utiliser, ils ont donc décidé de l’ouvrir. Njalla précise qu’il ne donnera pas les données de ses clients à moins d’y être forcé, il accepte les paiements en bitcoins et via paypal, il est possible de communiquer avec eux via e-mail et xmpp, ils disposent d’une clé pgp. Les sites d’extrême-droite sont interdits ainsi que ceux « qui affectent la santé ou la sécurité d’autrui ». Les domaines coûtent entre 15€ et 60€ selon le tld (.be, .fr, .com,…) Ils peuvent êtres transférés vers et depuis Njalla à tout moment.

« Pensez à nous comme votre ami un peu saoul (mais toujours responsable) qui prendra les coups pour vous. Aussi longtemps que vous restez dans les limites raisonnables de la loi et que vous n’êtes pas d’extrême-droite, nous soutiendrons votre liberté d’expression, vos étranges opinions politiques, vos forums excentriques, ou peu importe quoi d’autre ».

En lappon

En lappon

Dossier(s): Archives Sécurité IT Tags:

La version 2.12 vient d’être publiée sur le site officiel de Tails. Comme nouveautés: GNOME Sound Recorder a été ajouté dans la liste des programmes, I2P a été retiré (au moins temporairement, le temps qu’un développeur puisse se concentrer sur ce logiciel), le noyau Linux a été mis à jour vers Tails 4.9.13. La prochaine version de Tails sera normalement Tails 3.0, ce qui en fera une version majeure, elle devrait sortir le 13 juin.

Tails « The Amnesiac Incognito Live System » est un système d’exploitation live, ce qui signifie qu’il s’installe sur un DVD ou une clé USB plutôt que sur le disque dur d’un ordinateur. On peut ainsi démarrer un ordinateur sur ce système, et une fois ceci fait toutes les connexions sont redirigées via Tor, le système d’exploitation habituel de l’ordinateur n’est pas solicité, on peut également stocker de façon sécurisée des données sur la clé USB où Tails est installé. Tails sera le sujet de notre Cryptoparty de ce dimanche 23 avril. De 16h à 18h, atelier Tails, de 18h à 20h session libre. Venez et n’oubliez pas de prendre au moins une (si possible 2) clé usb avec vous, d’au minimum 4Go.

Cryptoparty ce dimanche 24 avril

Cryptoparty ce dimanche 24 avril