12/01/2018

Internet : Signal va chiffrer les conversations incognito de Skype

En plus de son application éponyme, Signal met à disposition son protocole de chiffrement aux autres applications de messagerie instantanée. WhatsApp (dans sa totalité), Google Allo (mode incognito) et Facebook Messenger (mode incognito) profitaient déjà du protocole. L’application de conversation instantanée de Microsoft, Skype, profite désormais également de ce protocole de chiffrement en mode incognito. Le mode est appelé « conversations privées » et est disponible dès maintenant pour les utilisateurs de la preview de Skype (Skype Insiders). Signal promet de continuer à implémenter son protocole de chiffrement dans d’autres applications.

Dossier(s): Archives Sécurité IT Tags: Internet

28/11/2017

Catalogne: Le gouvernement catalan a (mal) utilisé Signal pour organiser le référendum

Joan Manel Gómez Sanz, l’un des 14 haut-responsables catalans arrêtés par l’État espagnol, il était plutôt visé secondairement par la police dans la répression qui a visé le référendum, mais son téléphone portable est devenu un élément clé de l’enquête. Le téléphone n’était pas suffisamment protégé et les enquêteurs ont pu découvrir que les indépendantistes utilisaient la messagerie Signal pour s’organiser. Deux erreurs ont été commises: premièrement le téléphone n’était pas suffisamment protégé (il aurait dû être chiffré -même avec le chiffrement par défaut d’Android- et éteint), et les messages de certaines conversations n’avaient pas de temps de disparition. Ce dernier point a permis aux enquêteurs d’accéder à plusieurs messages échangés, le premier a permis aux enquêteurs de savoir qui communiquait avec qui, à quelle fréquence, etc. Cette « cartographie » de la communication effectuée par la police est un phénomène extrêmement courant mais trop souvent ignorés. Plusieurs discussions sont menées sur les forums de Signal afin d’identifier sur quels points l’application aurait pu être plus efficaces. Par exemple, même lorsque le temps de disparition des messages est réglé, les heures auxquelles ont lieu les appels Signal ne sont pas effacés de la conversation.

Une vidéo (en espagnol) qui explique cette affaire.

Dossier(s): Archives Espagne Tags: Catalogne, Espagne, Internet, Technique de répression

02/11/2017

Internet : Signal peut désormais être utilisé sans Chrome sur un ordinateur

Après plusieurs semaines de tests beta, Signal vient de publier la première version publique de son nouveau client indépendant pour ordinateur, un client dont l’installation n’est donc plus conditionnée par celle du navigateur Google Chrome, puisque Signal était jusqu’ici disponible sous la forme d’une « Application Chrome ». Mais Google a décidé de sonner le glas de ces applications pour 2018, ce qui a poussé les développeurs de Signal à changer de plateforme (Signal utilise désormais Électron). Aucune nouvelle fonctionnalité donc pour cette version. Il est possible d’importer ses données depuis l’application Chrome qui devrait proposer elle même de faire le changement. L’application indépendante Signal est disponible sur Windows (7, 8, 8.1 et 10), MacOS (10.9 et successifs) et Linux (distributions avec APT, donc Ubuntu, Debian et celles qui en découlent).

Signal est une application de messagerie sécurisée qui permet de communiquer des messages, des pièces-jointes jusqu’à 100Mo, et des appels audio et vidéo (uniquement sur Android et iOS pour l’instant). Toutes les communications sont chiffrées de bout en bout via un mécanisme très puissant, reconnu et approuvé par plusieurs cryptographes reconnus. L’application est sponsorisée par Edward Snowden et considérée (y compris par nous) comme la meilleure application de messagerie sécurisée, devant Telegram, WhatsApp et consorts, tout en restant extrêmement simple à utiliser.

Vous pouvez télécharger Signal (pour téléphone ou ordinateur) ici.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Technique de répression

17/07/2017

Indonésie : Télégram capitule face au gouvernement – utilisez Signal

Dans un précédent article, nous expliquions comment le gouvernement indonésien faisait pression contre Télégram pour les forcer à censurer les channels « hébergeant du contenu terroriste ». L’Indonésie avait bloqué la version web de l’application, comme un ultimatum avant le blocage de l’app mobile. Télégram à annoncé ce dimanche qu’il mettait une équipe spéciale en place, ayant la « connaissance de la culture et de la langue indonésienne » afin de « lutter contre le terrorisme ».

C’est pour nous l’occasion de recommander une fois de plus l’utilisation de l’application Signal à la place de toute autre application prétendant protéger la vie privée de ses utilisateurs. Les groupes Signal ne sont pas encore aussi ergonomiques que les channels Télégram, mais il est impossible de par leur structure de connaître leur existence, leur contenu, leurs intervenants, de les censurer,… En acceptant de coopérer, Télégram accepte de rechercher activement le contenu « illégal » et envoie le message qu’il est possible d’interférer dans une application qui utilise un modèle cryptographique fort. Dans les faits : une application comme Signal est incapable de censurer/fournir du contenu ou de dénoncer des utilisateurs. Elle n’a elle même aucune connaissance du contenu ou des utilisateurs.

Utilisez Signal.

Dossier(s): Archives Sécurité IT Tags: Indonésie, Internet, Technique de répression

04/07/2017

NoG20: Les agents SNCF priés de signaler les « militants » et les « zadistes »

Dans les bureaux de la SNCF de l’est de la France, une note interne concernant la « sureté » est apparue. Elle demande aux agents SNCF de signaler (entre autres) les « comportements qui laissent à supposer un comportement militant porté à l’extrême (personne appartenant au mouvement zadiste venant de Notre Dame des Landes mais également des Alpes) », spécialement dans les trains à destination de la Belgique, de l’Allemagne et de la Suisse. Le document a été révélé par le syndicat Sud Rail qui dénonce que les demandes de flicage sont de plus en plus nombreuses, notamment contre les migrants.

Le document peut être consulté ici.

Dossier(s): Archives France - Autres sujets Tags: Allemagne, France

17/05/2017

Internet: Le sénat US va utiliser Signal – vous devriez aussi

L’application de messagerie sécurisée Signal est à présent approuvée pour une utilisation par les sénateurs états-uniens. Des recommandations technologiques sont régulièrement faites aux sénateurs pour protéger leurs communication d’un éventuel espionnage. Cette approbation vient s’ajouter à la longue liste d’arguments pour l’utilisation de Signal. L’utilisation de Signal est encouragée par Snowden, son fonctionnement est encensé par les cryptographes les plus aguerris, la puissance de son protocole de chiffrement est utilisée par Google, Facebook et Whatsapp (entre autres). Son utilisation est simple, intuitive et ludique. Signal est censuré dans les dictatures de la péninsule arabique et du Maghreb et a contourné cette censure en moins de trois jours grâce à des développeurs extrêmement réactifs. Lorsque les e-mails de Hillary Clinton ont été piratés, son équipe est passée à Signal. Nous avons déjà exposé les failles de Telegram sur ce site, Signal n’en souffre pas. Signal est open-source et gratuit. Les appels audios et vidéos sont de plus en plus rapides et sans latence. L’application permet désormais d’envoyer n’importe quel type de pièce-jointe de moins de 100Mo. Vous l’avez compris, nous vous encourageons à utiliser cette application dès à présent et à encourager son utilisation.

Pour télécharger Signal, rendez-vous sur signal.org

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Technique de répression

03/05/2017

Internet: Le support des pièces-jointes est disponible sur Signal

Les utilisateurs de Signal peuvent désormais envoyer et recevoir des pièces jointes de de n’importe quel type sur iOS, Android et ordinateur. Auparavant, les pièces-jointes étaient limitées à certains formats: images, audio et vidéo. On peut désormais envoyer un document (pdf, doc, odt,…), une application (apk, exe,…), un fichier compressé (zip, rar, 7zip,…) ou n’importe quel type de fichier. La taille du fichier est elle-même limitée, mais la limite est bien plus haute que pour un e-mail par exemple, à priori elle est fixée à 100Mb. Signal dispose donc à présent de toutes les fonctionnalités dont disposait déjà PGP, la disponibilité des pièces-jointes en fait une alternative de plus en plus crédible.

Nous vous encourageons à utiliser Signal plutôt que d’autres messageries (Facebook Messenger, Whatsapp, Telegram, Hangouts, Allo,…), les SMS classiques ou les e-mails non-chiffrés. Signal est une puissante application de messagerie, extrêmement simple d’utilisation et sponsorisée par Edward Snowden.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

14/03/2017

Mise à jour de Signal: Appels vidéo pour tous et disponibilité en-dehors du Google Play Store

Une mise à jour majeure de l’application de messagerie sécurisée Signal a été publiée. Le plus gros changement visible: les appels sont beaucoup plus stables et légers et permettent la vidéo à présent. Signal a transité vers la technologie WebRTC pour ce faire. Cela implique un autre changement: les services Google Play ne sont plus requis, il reste recommandé de télécharger Signal via le Play Store (afin par exemple de profiter des mises à jour de sécurité aussitôt qu’elles sont publiées, mais les fichiers APK sont également disponibles à l’adresse suivante. Note: ne téléchargez jamais un APK de Signal en-dehors du site officiel de Signal.

Autres changements au menu: sur iOS (ce changement est déjà disponible sur Android), Signal utilise désormais CallKit, une API (interface) d’Apple qui permet à Signal de se comporter comme l’application téléphone par défaut. On peut désormais répondre aux appels directement depuis l’écran de verrouillage. Les appels sont inscrits dans le journal d’appel par défaut, etc. Pour protéger les utilisateurs qui synchronisent leur journal d’appel sur iCloud, le nom de l’appelant est par défaut « Signal User », cela peut être changé dans les paramètres.

Troisième changement, pour accélérer les appels Signal et diminuer la latence, les appels peuvent désormais être téléchargés en peer-to-peer, ce qui implique qu’un attaquant peut tenter de localiser une personne en l’appelant. L’utilisation du peer-to-peer ne se fera que dans deux cas: si l’utilisateur fait l’appel (donc qu’il ne le reçoit pas) ou s’il reçoit un appel de quelqu’un dans son carnet d’adresses.

Dossier(s): Archives Sécurité IT Tags: Internet

11/03/2017

Internet: Moxie Marlinspike (Signal) relativise les fuites de la CIA

Moxie Marlinspike, le fondateur et principal développeur de Signal a été interviewé par la radio NPR aux Etats-Unis. Lors de cette interview, Moxie a mis en évidence plusieurs choses. Premièrement, que le fait que la CIA contourne tout le système Android pour pouvoir accéder à des conversations chiffrées à posteriori, sans arriver à casser le chiffrement en lui-même « Si vous envoyez un message chiffré et que quelqu’un regarde par dessus votre épaule le chiffrement n’aide pas non plus ». Il met également en évidence qu’il ne s’agit pas de surveillance de masse et que la CIA doit avoir des cibles précises dans ce cas précis « Ce n’est pas comme si un agent de la CIA appuyait sur un bouton et avait soudainement accès à votre téléphone. Vous auriez été impliqué auparavant, par exemple en étant incité à installer une app de la CIA, ou à cliquer sur un lien et à installer quelque chose par là. Ce n’est pas de la surveillance de masse et c’est une distinction importante ». Lorsqu’on lui demande si des améliorations liées à la sécurité auront lieu à cause de ces révélations « Les vulnérabilités sont dans des choses comme Android. En outre, les révélations de ce dossier ne sont jusqu’ici pas très impressionnantes, techniquement. C’était embarrassant pour la CIA que ces informations sortent, mais c’était aussi embarrassant que ce soit ça leur niveau de sophistication. On pourrait penser que la CIA a des capacités incroyables alors que je pense que la vérité est toute autre. » Il apparait en effet que de nombreuses failles que la CIA utilise, par exemple pour cibler des appareils Android, ont déjà été corrigées (même si, vu la lenteur des constructeurs à déployer les mises à jour de sécurité, cela concerne tout de même de très nombreux appareils). La totalité de l’interview peut être lue et écoutée en anglais ici.

Nous continuons à conseiller l’utilisation de l’application de messagerie sécurisée Signal, le fait que la CIA doive contourner tout le système Android pour réussir à obtenir des messages est d’ailleurs un nouvel argument pour l’utiliser. Pour télécharger Signal, visitez signal.org

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Technique de répression

01/03/2017

Sécurité IT: Signal en phase de s’affranchir des services Google

Nous faisons régulièrement la promotion de Signal, une application de messagerie instantanée extrêmement simple d’utilisation et très sécurisée, au point d’être sponsorisée par Edward Snowden. Signal est une application open-source, et à ce titre des débats ont régulièrement lieu entre ses développeurs sur des forums dédiés. Un débat revenait régulièrement, celui de l’utilisation de services Google à deux endroits: d’une part l’utilisation de GCM (Google Cloud Messaging, une plateforme « push » qui permet à l’application de recevoir instantanément un message ou un appel sans devoir vérifier toutes les 15 minutes si un nouveau message a été reçu), d’autre part la dépendance aux Google Play Services (qui permet de distribuer l’application en garantissant qu’elle n’a pas été modifiée, de la mettre à jour automatiquement lorsqu’une faille est présente, de rapporter bugs et statistiques aux développeurs, etc.) Il faut noter qu’à aucun moment Google n’a accès à des informations: dans le premier cas, Google n’a accès qu’à des dates et heures sans pouvoir les mettre en relation avec des messages chiffrés, dans le second ce sont simplement les utilisateurs qui ne veulent pas installer les services Google sur leur smartphone qui sont pénalisés.

De récents changements techniques (en particulier la refonte du système d’appels et de vidéo) ont levé le blocage de principe qui empêchait Signal de fonctionner sur des téléphones où ne sont pas installés les Google Play Services, ces changements ont été apportés par la mise à jour 3.30. Ils requièrent pour l’instant de compiler soi-même un fichier APK depuis le GitHub de l’application (Master). Et pour ceux qui n’ont rien compris à cette dernière phrase, Signal devrait probablement bientôt mettre en ligne un fichier installable sur son propre site, nous ne manquerons pas d’en parler le moment venu. Les changements en détail sont disponibles ici.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression