Secours Rouge

Abattre le capitalisme, construire la solidarité.

Mozilla, l’éditeur du navigateur Firefox, a annoncé début octobre son intention d’intégrer OpenPGP et Enigmail a son logiciel de messagerie et de gestion d’e-mails, Thunderbird. Le portage est actuellement prévu pour la version 78 qui devrait être publiée en été 2020. Cette décision fait suite à une modification du code de Thunderbird qui rendra l’extension Enigmail incompatible après la version 68 du logiciel (c’est la version actuelle, 68.2). Malheureusement, pour des raisons de licences incompatibles (les licences sont les conditions de modification, distribution, intégration de logiciels) l’affaire ne sera pas simple. Si les développeurs ne trouvent pas une bibliothèque alternative à GnuPG pour implémenter le protocole OpenPGP dans leur logiciel, ils seront obligés d’en écrire une pour l’occasion. Ils seront aidé par Patrick Brunschwig, qui développe Enigmail depuis 17 ans.

Pendant des années, le logiciel de chiffrement PGP a été la principale façon sécurisée de communiquer, notamment dans les sphères militantes. Son utilisation était complexe, notamment car elle nécessitait l’installation de trois logiciels : Thunderbird, une bibliothèque PGP (GPG pour Linux, GPG4WIN pour Windows, GPGTools pour MacOS ou OpenKeychain pour Android, entre autres) et le plug-in Enigmail qui faisait le lien entre les deux pré-cités. PGP ne profitait en outre pas d’une large communauté d’utilisateurs, ce qui rendait son utilisation encore plus difficile. L’arrivée d’applications mobiles de messagerie instantanée très sécurisées et très simples d’utilisation comme Signal (la seule que nous recommandons) a changé la donne. Signal est très largement utilisé et ne nécessite pas une formation pour être utilisé. La décision de Mozilla semble donc être bien tardive.

Dossier(s): Dossiers Tags:

Tails a annoncé aujourd’hui la version 4.0, une mise à jour majeure donc, de son système d’exploitation sécurisé, référence de nombreux militants. Au menu des nouveautés, Tails est désormais basé sur Debian 10, KeePassX est remplacé par KeePassXC, Onionshare et Tor Browser sont accompagnés de nouvelles fonctionnalités, MAT (Metadata Anonymisation Toolkit) est à présent directement intégré à l’explorateur de fichiers (il suffit d’un clic-droit et “effacer métadonnées), le “Tails Greeter” (menu d’accueil qui permet de déchiffrer un stockage persistant ou de définir un mot passe administrateur) a été amélioré pour les utilisateurs non-anglophones et le clavier à l’écran (utilisable avec la souris pour déjouer les keyloggers) est plus simple à utiliser. Enfin, Tails 4.0 est plus performant : il est 20% plus rapide à démarrer, utilise 250Mb de RAM en moins, et pèse 47Mb de moins que les versions précédentes. Le support des périphériques Thunderbolt a été ajouté ainsi que le tethering depuis un iphone. La liste officielle des changements peut être consultée ici.

Pour commencer à utiliser Tails, c’est ici.

Tails

Tails

Les développeurs de VeraCrypt (le descendant de TrueCrypt) viennent d’annoncer une nouvelle version de leur puissant logiciel de chiffrement, la version 1.24. La mise à jour précédente (1.23-hotfix-2) datait d’il y a précisément un an.

Au menu des nouveautés, pour tous les systèmes d’exploitation : la longueur maximum des mots de passe augmente à 128bits pour les volumes de chiffrement simples (non-système). La génération matérielle de nombres aléatoires Jitterentropy peut être utilisée à la place de RDRAND et le logiciel détectera mieux les fonctionnalités des processeurs pour optimiser la génération. Uniquement pour Windows : VeraCrypt prend désormais en charge le chiffrement des clés et mots de passe dans la mémoire vive (RAM), utilisant 10% des ressources sur les processeurs modernes, l’activation de cette fonctionnalité (désactivée par défaut) a pour effet secondaire de ne pas permettre l’hibernation de Windows; la mémoire utilisée par VeraCrypt est désormais inaccessible aux utilisateurs non-administrateurs (ce qui permet de bloquer certaines tentatives d’attaques); les clés de chiffrement sont désormais effacées de la mémoire vive lors d’un arrêt/redémarrage du système (ce qui permet de bloquer des tentatives d’attaques “cold-boot”); une option a été ajoutée pour effacer les clés de la mémoire-vive lorsqu’un appareil est connecté à l’ordinateur et que le volume chiffre tout le système; nouveau point d’entrée driver permettant à d’autres applications d’effacer les clés de la mémoire en cas d’urgence; la gestion des bootloaders MBR et UEFI est largement améliorée; le bootloader VeraCrypt a été largement amélioré; un bug très ennuyant à également été corrigé (la mise à jour Windows Update cassait le boot VeraCrypt sur certains systèmes). Pour MacOS et Linux, quelques bugs ont été corrigés.

Vous pouvez consulter la liste complète des changements (en anglais) ici, et télécharger VeraCrypt ici.

Veracrypt

Des cyber-attaques ont visé plusieurs de nos sites internet en début de journée, finissant par rendre injoignables plusieurs sites du Secours Rouge et du Secours Rouge International pendant deux heures. Ce genre d’attaques visant à rendre nos sites instables ou injoignables ont lieu régulièrement à basse intensité (au point qu’il est parfois difficile de savoir s’il s’agit d’attaques, si nous sommes la cible ou s’il s’agit d’un usage intensif indéterminé sur le serveur) et elles étaient particulièrement intenses ces derniers jours, mais elles ont passé un cap ce matin. Lorsque nos techniciens ont bloqué une première fois l’attaquant, celui-ci est revenu à la charge avec plusieurs dizaines d’autres machines, ne laissant aucun doute sur ses intentions ou sa cible. Il est à l’heure actuelle difficile de connaître l’identité des auteurs de ces attaques même si le but est évident : mettre nos sites hors-ligne ou les rendre inutilisables pour leurs utilisateurs.

La situation semble être revenue à la normale pour l’instant et nous informerons via notre page Facebook si une telle attaque devait se reproduire.

Il y a quelques jours, nous relayions sur notre site que les iPhones (régulièrement promus par Apple comme bien plus sécurisés que leurs concurrents) avaient été ciblés par des attaques massives indiscriminées durant plus de deux ans, même s’ils étaient en ordre de mises à jour et de patches de sécurité. Ce que le “Project Zero” (la cellule de sécurité de Google qui enquête sur ce genre de failles) n’avait pas révélé en plus de son analyse, ce sont les sites utilisés par les attaquants, ainsi que les cibles. Le magazine TechCrunch a ainsi révélé le 1er septembre que selon ses sources, l’attaque ciblait la communauté Ouïghour de la région du Xinjiang, en Chine, une info qui désigne un suspect évident comme commanditaire de l’attaque. Autre info que Google s’est bien gardée de communiquer: les pages infectées comportaient également des codes malicieux ciblant les appareils sous Windows et sous Android, sans qu’on en sache plus sur l’étendue, l’intensité et le succès de ces attaques là. Ces infections ont fini par toucher des utilisateurs en-dehors de la Chine car les sites infectés étaient indexés par Google, c’est ainsi que le FBI a demandé à Google de retirer les résultats de son moteur de recherche, et finalement comme cela que Google a lui-même enquêté sur ces attaques via le “Project Zero”.

Google, Apple, le FBI, ainsi que le Consulat de Chine à New-York ont tous refusé ” de confirmer ou d’infirmer” la moindre de ces informations. Le rapport technique détaillé des attaques peut-être consulté (en anglais) sur le blog du “Project Zero”.

Les 5 chaines d'escalade de privilège découvertes

Quatorze vulnérabilités critiques ont aujourd’hui été révélées par les chercheurs en sécurité informatique du “Project Zero” de Google, une structure chargée de rechercher les vulnérabilités dites “Zero Day” (c’est à dire inconnues des développeurs). Ces failles affectaient les iPhones aux versions d’iOS 10 à 12 et permettaient aux attaquants de viser sans discrimination de très nombreux utilisateurs puisque la simple visite d’un site infecté via le navigateur de l’iPhone pouvait mener à une infection. L’attaque permettait d’installer dans le téléphone un implant qui avait un accès au Keychain (trousseau de clés de chiffrement), et donc aux mots de passe, clés et certificats de l’utilisateur, ainsi qu’aux bases de données des applications enregistrées localement, ce qui signifie que le virus avait accès probablement accès aux messages des applications de communication sécurisées avant que le message ne soit chiffre (puisque le chiffrement se fait au moment de la communication, de bout-en-bout). On sait que Whatsapp et iMessages sont concernés, ce pourrait être le cas pour Signal mais ce n’est pas confirmé (nous mettrons cet article à jour dès que possible pour ce cas particulier). La sécurité de ces applications n’est en soi pas problématique dans le cas présent, puisque lorsque le système d’exploitation est compromis à ce point, tout est compromis.

Les chercheurs ont d’abord découvert ces failles au-travers des sites qui transmettaient l’infection, des sites recueillant des milliers de visiteurs hebdomadaires et infectant sans discrimination les utilisateurs d’iPhones. Un simple redémarrage du téléphone effaçait bien le malware, mais puisque celui-ci avait accès aux certificats, clés de chiffrement, et tokens d’identification, il faut supposer que les hackers ont pu utiliser les infos récoltées soit pour maintenir un accès constant à l’appareil, soit pour maintenir un accès constant aux comptes et services dont les clés et certificats avaient été volés. Project Zero a découvert un total de 14 vulnérabilités au travers de 5 chaines d’exploit, l’une de ces vulnérabilités n’avait pas encore été corrigée par Apple en février, lorsque Google leur a communiqué ces vulnérabilités. Illustrant encore une fois la gravité de la situation, Google n’a donné que 7 jours à Apple pour corriger au lieu des 90 habituels. Les failles ont été corrigées par la version d’iOS 12.1.4, mais les chercheurs craignent que d’autres campagnes de piratage de masse ne soient en cours.

Apple utilise depuis plusieurs années la sécurité de ses systèmes d’exploitation comme un argument marketing, un argument explosé par les rapports du Project Zero (consultables ici après 7 mois d’analyse approfondies), pendant au moins 2 années complètes, les pirates ont eu accès à des iPhones en ordre de mises à jour.

Les 5 chaines d'escalade de privilège découvertes

Dossier(s): Sécurité IT Tags: ,

En août 2017, suite au G20 à Hambourg, le ministère de l’intérieur allemand avait interdit la plateforme “Indymedia Linksunten”, la plus grande plateforme d’extrême gauche en Allemagne (voir notre article), parce qu’elle enfreindrait la loi des associations. La procédure judiciaire ouverte à ce moment-là, entre autres pour “constitution d’une organisation criminelle”, a été suspendue après deux ans faute d’indices qui permettraient d’identifier des opérateurs responsables du site.

Le raid du 25 août 2017 dans les appartements de plusieurs personnes suspectées de gérer “Linksunten” ont mené à la saisine de plusieurs supports de données chiffrés. Le Landeskriminalamt (police judiciaire régionale) de Bade-Wurtembert n’a pas réussi à déchiffrer ces données, malgré le soutien de plusieurs administrations et de services secrets comme la police fédérale ou le Verfassungsschutz (service de renseignement allemand). Les données qui étaient accessibles aux investigateurs ne leur permettaient pas d’identifier les personnes dont les appartements avaient été fouillés comme les opérateurs de la plateforme. De nouvelles révélations pourraient mener à la réouverture de l’enquête.

Interdiction de la plateforme Open-Posting Indymedia Linksunten en 2017

Interdiction de la plateforme Indymedia Linksunten en 2017

Notre site internet est à présent actif depuis une quinzaine d’années, dont une bonne partie via le système de gestion de contenu (CMS) Spip. Aujourd’hui, il compte plus de 16.000 articles et près de 12.000 documents (images, PDF,…) Nous envisagions depuis un moment le fait que Spip deviendrait insuffisant pour nos besoins. Si Spip a permis à notre site (et à de nombreux sites de la sphère militante) de se maintenir aussi longtemps à un rythme ascendant, plusieurs éléments nous ont poussés aujourd’hui vers un changement de plateforme: sécurité, communauté active, le savoir et les outils à disposition, la compatibilité avec d’autres logiciels, etc. nous avons fait le choix d’abandonner définitivement Spip pour WordPress. Nous avions déjà choisi d’utiliser WordPress avec d’autres sites internet que nous maintenons ou auxquels nous participons (Secours Rouge International, Campagnes de soutien aux Combattant.e.s du Kurdistan, Agenda du Local Sacco-Vanzetti, Red Voices of India, etc.) La première étape de ce déménagement vient de commencer, avec l’import de notre ancien site dans ce nouveau. Quelques fonctionnalités ont été ajoutées (compatibilité avec les smartphones, partage vers Facebook et Twitter,…) et d’autres sont à venir.

Il y a évidemment des bugs, des images qui n’ont pas été importées, d’anciens codes qui ne sont plus compatibles avec WordPress, etc. Pour permettre à nos visiteurs de pouvoir toujours consulter nos articles nous avons mis plusieurs outils en place, dans chaque page article vous aurez la possibilité de consulter la version de l’article sur notre ancien site, si le lien est lui-même brisé, vous pourrez en un clic lancer une recherche sur l’ancien site pour retrouver le contenu correspondant. Enfin, tous les articles importés de l’ancien site dispose d’un formulaire “rapporter un bug” que nous vous invitons à remplir si vous en trouvez, afin de rendre ce site plus fonctionnel.

En plus des liens dans chaque article, une page est également dédiée.

Une fois que cette étape de débogage sera terminée, la suite des étapes comprendra une restructuration du contenu, une refonte graphique plus profonde, la possibilité de nous contacter de façon sécurisée via le site, l’ajout de nouvelles fonctionnalités, le partage du site avec d’autres sections francophones du Secours Rouge International, et bien d’autres.

Bienvenue !

Nouveau site du Secours Rouge

Plusieurs milliers de personnes sont descendues dans la rue le 10 mars en Russie contre le projet de loi visant à doter le pays d’un “internet souverain”. Une manifestation a été organisée à Moscou, et des rassemblements de plus petite envergure se sont tenus à travers le pays. Au lendemain de protestations, le Kremlin a défendu sa proposition de loi visant à se doter d’un internet indépendant, en assurant ne pas vouloir “couper” le web russe mais le protéger d’attaques extérieures.

Le projet de loi prévoit d’empêcher les sites russes de fonctionner grâce à des serveurs étrangers, ce qui est naturellement perçu comme une tentative de contrôler les contenus, voire d’isoler progressivement l’internet russe. Voté en première lecture par les parlementaires en février, le projet de loi devra encore être étudié plusieurs fois par les deux chambres du Parlement.

La manifestation de Moscou

La manifestation de Moscou

Si le “mode privé” bloque les cookies et l’accès à l’historique, il ne garantit pas l’anonymat auprès des sites visités: il existe depuis longtemps une technique qui se base sur la récolte de données numériques donnant une identité unique à un internaute pour l’identifier. Cette technique s’appelle le “fingerprinting” ; elle récupère la liste des plugins d’un navigateur, les polices exploitées par l’OS et surtout la taille des fenêtres affichées à l’écran. Mozilla planche pour induire le fingerprinting en erreur avec Firefox en les leurrant. Mozilla a déjà réglé les problématiques de la récolte des plugins et des polices. Il ne lui restait plus que celle de la taille de la fenêtre du navigateur.

La technique baptisée “letterboxing” ajoute artificiellement des bandes grises dans le navigateur autour de la page affichée lorsque la fenêtre est redimensionnée par l’utilisateur. Ces bandes grises sont étalonnées avec des multiples de 200 px et 100 px de la fenêtre pendant l’opération de redimensionnement. Ces bandes ne restent que le temps du rapatriement de ces données sur le serveur de la régie ou du site. Dès que l’opération est réalisée, Firefox rétablit automatiquement l’affichage souhaité. L’utilisateur n’est pas longtemps gêné par ces bandes et le fingerprinting est leurré.

Ce principe a été mis au point depuis 2015 sur le navigateur Tor qui est utilisé pour naviguer sur le réseau du même nom. Or, il se trouve que depuis le mois de juin 2018, The Tor Project est partenaire de Mozilla. Les deux fondations s’attellent à faire de Firefox un navigateur sécurisé, doté d’un mode de surf privé renforcé. Lors de sa sortie en mai, Mozilla Firefox 67 devrait intégrer cette option de letterboxing.

fenêtre en letterboxing

fenêtre en letterboxing