Le fondateur de Megaupload Kim Dotcom s’était rendu mondialement célèbre en étant le patron du site d’échanges de fichiers Megaupload avant que le FBI ne vienne le fermer lors d’une énorme opération en Nouvelle-Zélande en janvier 2012. Un an plus tard, il avait ouvert un nouveau site « Mega », offrant 50Go de stockage cloud (bien plus que la concurrrence, même actuelle) chiffré dans le navigateur. Mega n’a probablement pas été extrêmement sécurisé, mais il avait le mérite d’être massif et tout de même plus sécurisé que les autres services du même acabit. Le chiffrement était un argument de marketing et surtout une manière de protéger légalement la société qui ne pouvait censurer ce qu’elle ignorait. Encore une fois, la créature de Dotcom lui a échappé, cette fois-ci aux mains de ses co-dirigeants. Finalement, ce 5 juillet, Kim a commencé a parler sur Twitter d’un nouveau service « beaucoup mieux que Mega » avec 100Go de stockage gratuit et chiffrés à la volée, synchronisation entre les appareils, plus simple d’utilisation et surtout des transferts illimités (ce qui signifie que c’est seulement ce qui est hébergé sur le moment qui est payant et pas le nombre de fois qu’on l’uploade, contrairement à Mega qui facture à outrance cette opération). Si Kim Dotcom tient absolument à ce que des gens utilisent ses logiciels pour protéger leurs fichiers, il pourrait cette fois tenter d’en garder le contrôle.

A new site is in the making:
100gb free cloud storage
On-the-fly encryption
Sync all your devices
NO TRANSFER LIMITS#5thRaidAnniversary

— Kim Dotcom (@KimDotcom) 5 juillet 2016

Kim Dotcom

Avec les progrès de la reconnaissance automatique des images, il sera simple pour la police de reconnaître un suspect ou une victime à partir de ses tatouages, en les comparant à ceux contenus dans une base de données. En France, la société Safran y travaille déjà au sein de sa filiale Morpho, grâce à une technologie acquise auprès de l’Université du Michigan. Le logiciel utilise des caractéristiques telles que la couleur, la forme et la texture pour faciliter l’identification automatique des individus en comparant un tatouage avec des banques d’images stockées dans les bases de données de la police.

Mais il y a plus : aux États-Unis le National Institute for Standards and Technology (NIST) travaille main dans la main avec le FBI pour mettre en œuvre, non seulement une identification des individus à partir de leurs tatouages, mais aussi un profilage psychologique de la personne en fonction des tatouages qu’elle a choisi. Le principe consisterait par exemple à déterminer les symboles de certains groupes ou courant de pensée pour profiler l’individu. Aux USA, un adulte sur 5 est tatoué. Plus la base de données sera riche et finement renseignée, plus les algorithmes d’apprentissage-machine pourront être performants et précis.

Le NIST avait déjà organisé l’an dernier un concours de reconnaissance de tatouages (Tatt-C), en fournissant aux 19 organisations participantes (dont 8 entreprises privées) un échantillon de quelques 15;000 tatouages renseignés, la plupart issus de photos de prisonniers prises sans leur consentement. Mais il s’apprête à lancer une seconde phase en interne, dit d’évaluation (Tatt-E), basée sur 100.000 photos fournies par la police et l’administration pénitentiaire.

Tatouage de prison (USA)

Depuis le survol par des drones de centrales nucléaires à l’automne 2014, l’État français s’est saisi du problème, lançant des appels d’offre pour des programmes de détection et de neutralisation des drones. Aucun attentat n’a encore été commis par un drone de loisir même si en avril 2015, un drone contenant des produits radioactifs avait atterri sur le toit de la maison du premier ministre japonais Shinzo Abe. Un exercice d’entraînement qui a eu lieu en avril dernier à Saint-Étienne imaginait qu’un drone déverse des produis chimiques dans la foule du stade, qui accueillera trois matchs de l’euro. Pour éviter ce scénario catastrophe, dix stades et 24 centres d’entraînement seront pourvus de zone d’interdiction aérienne et équipés de système anti-drones pendant l’Euro de football. La gendarmerie avait déjà développé un système de drones «renifleurs» capables de localiser grâce à des capteurs à technologie infrarouge le télépilote d’un drone malveillant. Mais il s’agirait là de technologies différentes.

.

Le protocole Signal qui chiffre l’application éponyme ainsi que les communications faites sur Whatsapp sera implémenté dans la nouvelle app de messagerie Google Allo. Contrairement aux deux intégrations précédentes, le protocole Signal ne sera activé que lors du mode « Incognito », puisque l’application utilise des intelligences artificielles qui sont capables de lire les messages lorsqu’ils ne sont pas envoyés en mode incognito. Le protocole Signal est largement accepté comme sûr et est sponsorisé par Edward Snowden en personne.

Google Allo et Signal

Jusque-là, en biométrie, pour capter l’iris d’un œil il fallait que que la personne s’approche de près d’un capteur, comme c’est le cas dans les aéroports. Le Cylab Biometrics Center de l’université Carnegie Mellon, à Pittsburgh (Etats-Unis), vient de développer un prototype capable de contrôler un iris jusqu’à douze mètres de distance. Y compris s’il s’agit d’un reflet, comme dans cette vidéo de démonstration et même si la personne est en mouvement.

L’idée consiste à réduire la résolution de l’image captée : à 200 pixels pour le diamètre d’un iris, on peut placer le scanner à huit mètres ; à 150 pixels, on peut reculer à douze mètres. L’opération se base sur l’utilisation de longueurs d’onde de lumière proche infrarouge, projetée par des panneaux lumineux placés de part et d’autre du scanner. L’image ainsi récupérée est ensuite transmise à un logiciel où elle est analysée pour être comparée à une base de données d’iris associés à des photographies et des noms. Chaque iris étant, comme les empreintes digitales, unique et propre à une seule personne.

Identification par l’iris

BlackBerry a reconnu indirectement lundi avoir collaboré avec la police fédérale canadienne dans le démantèlement d’une organisation mafieuse de Montréal qui utilisait son système de messagerie, tout en insistant sur le fait que son système de sécurité est « impénétrable ». Le PDG John Chen a réitéré la position de longue date de BlackBerry selon laquelle « les sociétés de technologies, en tant qu’entreprises responsables, devraient se conformer aux demandes d’accès [à des informations, NDLR] légales et raisonnables ». Cette déclaration vient alimenter un débat public récurrent sur la manière d’équilibrer vie privée des utilisateurs et sécurité, déclenché par le refus d’Apple d’aider le FBI américain à décrypter l’iPhone.

[fond violet]

Blackberry reconnait avoir aidé la police

Apple a reçu quelque 30.000 requêtes de données formulées par des gouvernements du monde entier au second semestre 2015, et a fourni des informations dans la majorité des cas, rapporte le groupe informatique dans son dernier rapport de transparence. Apple a fourni des données au gouvernement américain dans 80% des 4.000 requêtes formulées sur cette période. Le groupe américain a reçu précisément 30.687 requêtes de données par différents gouvernements, qui concernaient 167.000 appareils. Au premier semestre 2015, Apple avait reçu 26.000 demandes qui concernaient 360.000 appareils.

Le gouvernement américain avait engagé une action en justice contre Apple qui refusait de débloquer l’iPhone ayant appartenu à l’un des auteurs de l’attentat de San Bernardino (Californie) le 2 décembre. Apple justifiait son refus au nom de la protection des données. Le gouvernement a finalement renoncé à son action judiciaire et utilisé les services de hackers professionnels pour débloquer le smartphone, mais plusieurs tribunaux ont été saisis de cas similaires.

Le siège d’Apple à Cupertino, en Californie

Une équipe de sécurité informatique du ministère américain de la sécurité intérieure (CERT) a publié une alerte après l’annonce qu’Apple, qui a développé ce logiciel, n’allait plus mettre à jour les défenses de QuickTime et que le programme présentait deux vulnérabilités qui pourraient être exploitées par des cyberpirates. L’exploitation de vulnérabilités de QuickTime pour Windows pourrait permettre à des attaquants de prendre le contrôle à distance des systèmes affectés. Selon le CERT, la seule réduction des risques disponible est de désinstaller QuickTime pour Windows. Le conseil ne s’applique pas aux versions de QuickTime fonctionnant sur des ordinateurs Apple.

CERT

Depuis que Mozilla souhaite se concentrer uniquement sur le navigateur Firefox, Thunderbird est laissé dans un relatif abandon où ce sont surtout les failles de sécurité qui sont bouchées, de « nouvelles » fonctionnalités (agenda, gestion de contacts,…) sont ajoutées de temps à autres alors que l’utilisation du programme souffre de nombreux bugs et lenteurs qui font espérer que Thunderbird soit bientôt repris par une autre association.

Thunderbird vient toutefois de passer en version 45, cette mise à jour devrait régler plusieurs bugs, et espérons le rendre le logiciel utilisable en évitant la crise de nerfs. Si votre version ne se met pas à jour (encore un bug courant, pour vérifier voyez la capture d’écran), vous pouvez vous rendre sur le site de Thunderbird pour télécharger la dernière version que vous n’aurez qu’à exécuter pour forcer la mise à jour.

Si les utilisateurs de MacOS et de Linux peuvent se consoler en utilisant d’autres logiciels de messageries qui supportent le chiffrement OpenPGP, Thunderbird est malheureusement sans alternative crédible sur Windows à l’heure actuelle.

Vérifier votre version de Thunderbird.

Des documents judiciaires publiés au Canada montrent que la police montée et la gendarmerie canadiennes ont pu, dans le cadre d’une très vaste enquête sur le crime organisé, intercepter des BBM. Les BBM (« BlackBerry Messages ») sont envoyés par le biais d’une application exclusive aux téléphones BlackBerry, et sont chiffrés pour rendre leur interception et leur lecture extrêmement difficile. Pour décoder ces messages, tous les téléphones de l’entreprise sont équipés d’une clé générale mais secrète – sauf dans le cas des utilisateurs de Business enterprise servers, une version destinée aux grandes entreprises qui permet de changer cette clef.

En 2010, la police fédérale canadienne avait lancé une gigantesque opération de lutte contre le crime organisé. Dans le cadre de l’enquête, plus d’un million de messages ont été interceptés. Parmi eux, de nombreux BBM qui ont pu être décodés par les enquêteurs. Ni BlackBerry ni la police n’ont confirmé avoir utilisé la clé globale pour ce faire, mais le ministère public canadien a reconnu son utilisation. Les forces de l’ordre ont demandé et obtenu le droit de ne pas détailler la technique utilisée pour déchiffrer ces messages. Il est probable que les polices canadiennes disposent, encore aujourd’hui, de ces clés de déchiffrement, car les modifier est une opération complexe qui doit être réalisée sur l’ensemble des terminaux BlackBerry utilisés.

BBM