Oversec, une application Android, permet d’utiliser PGP par-dessus n’importe quelle autre application Android, et ainsi de chiffrer et de déchiffrer de façon transparente du contenu, peu importe qu’il provienne d’un sms, d’un message whatsapp, d’un e-mail ou de n’importe quel autre moyen de communication. Oversec recherche dans le texte affiché des données chiffrées, lorsqu’il en trouve, il affiche par-dessus celui-ci la version déchiffrée. Oversec propose également d’obfusquer le texte en le faisant passer pour autre chose afin que le chiffrement ne soit pas évident.

Oversec peut être téléchargé sur le Play Store, pour plus d’infos, le code-source (ouvert), etc… voir le site d’Oversec.

IT: Utiliser PGP partout dans Android grâce à Oversec

Spip, le système de gestion de contenu (CMS) utilisé par notre propre site (et par de nombreux autres sites, comme la quasi-totalité des sites Indymedia) est passé hier en version 3.1.2. Plusieurs failles XSS ont été découvertes par des « experts en sécurité ». Les failles XSS (pour Cross-Site Scripting) permettent d’injecter du contenu (essentiellement Javascript, mais en fait n’importe quel langage compréhensible par un navigateur) dans des pages web. Ce type d’attaque permet donc d’injecter du contenu, mais également de rediriger un utilisateur. Les éditeurs de Spip parlent de failles non-critiques.

Quoi qu’il en soit, il est recommandé de toujours mettre son site Spip à jour le plus rapidement possible pour éviter un drame, pour se faire: voir « Utiliser le spip_loader pour une mise à jour » sur cette page après avoir fait un backup de votre site.

Mise à jour Spip 3.1.2

Google Allo a finalement été publié hier sur le Play Store. La nouvelle messagerie de Google introduit à son tour un bot, Google Assistant, censé répondre comme le ferait un être humain lorsqu’on lui pose des questions. Google Assistant apprend à la longue des utilisateurs qui interagissent avec lui pour être plus précis.

Google avait toutefois « promis » en dévoilant Allo en mai dernier que les conversations ne feraient que transiter par ses serveurs et qu’elles seraient stockées uniquement sur les appareils des utilisateurs. La firme a finalement fait machine arrière, les messages seront stockés sur ses serveurs, au moins jusqu’à ce qu’ils soient supprimer de l’appareil. Comme Whatsapp et Facebook Messenger, Google Allo a mis en place un mode « incognito » qui permet de communiquer via le protocole sécurisé Signal (sponsorisé par Snowden). Toutefois, Snowden a réagit à la publication de Google Allo en critiquant la décision prise par Google et en mettant en garde leurs utilisateurs que les messages pourront être utilisés par la police.

Google Allo et Signal

Google Allo et Signal

Des chercheurs ont découvert deux failles non-critiques dans le protocole Signal. Le protocole Signal est le mécanisme de chiffrement utilisé par l’application Signal (sponsorisée par Edward Snowden), par WhatsApp, et bientôt par Facebook Messenger et Google Allo. Pas de panique: les deux failles ne permettent pas de déchiffrer du contenu, mais d’altérer les pièces-jointes: elles permettent à d’éventuels d’attaquants d’ajouter des données (avec un maximum de 4Go) aux pièces-jointes qui transitent sur le réseau, rendant non seulement les pièces-jointes illisibles mais permettant d’éventuelles attaques par déni de service sur le réseau. C’est la première fois que des failles sont trouvées dans Signal, elles seront probablement très rapidement corrigées.

Facebook Messenger adopte Signal

Facebook Messenger adopte Signal

En 2010, l’Inde lançait le programme Aadhaar (mot hindi pour « Fondation ») destiné à devenir l’unique moyen d’identification en Inde où les documents d’identité ne sont pas obligatoires. Cette base de données est gérée par « Unique Identification Authority of India » qui délivre à tout citoyen indien demandeur un numéro d’identification unique à 12 chiffres, des campagnes très larges ont été menées ces 6 dernières années et plus d’un milliard de personnes se sont inscrites dans la base, soit 83% de la population mondiale. Ce haut taux d’adhésion est à mettre en relation avec un accès facilité aux aides sociales, alimentaires, à l’administration… Le but premier d’Aadhaar était d’ailleurs -selon ses concepteurs- de lutter contre des fraudes massives dûes au désordre de l’identification. Cette base de données inclut -facultativement mais souvent- des données biométriques telles qu’un scan de l’iris, un scan de la forme du visage et des empreintes digitales. La combinaison des trois rend pratiquement impossible l’usurpation d’identité.

Le gouvernement indien veut à présent pousser le système encore plus loin, il a récemment ajouté une plateforme de paiement et de banque au programme, en demandant aux géants du web d’utiliser la plateforme et le chiffrement d’Aadhaar pour permettre l’authentification sur leurs services: une réunion a été organisée entre le gouvernement et Alphabet/Google, Microsoft, Samsung et Apple, ce dernier ne s’y est pas rendu. Les sociétés étrangères sont réticentes car elles perdraient la main sur les données de leurs utilisateurs et ne pourraient plus cibler leurs publicités, la loi indienne interdit d’ailleurs, en principe, même au gouvernement de faire usage de ces données. Second argument, les géants du web ne font à priori pas confiance à la sécurité d’Aadhaar.

Une Indienne scannant ses iris.

Une Indienne scannant ses iris.

Le fait de considérer les messageries en ligne et les VoIP (voix par internet) comme des opérateurs de téléphonie est de longue date demandé par les opérateurs classiques qui dénoncent « de la concurrence déloyale » puisque certaines obligations sont imposées aux opérateurs mais pas aux services en ligne. Ces obligations sont notamment de permettre d’appeler un service d’urgence (112) et de permettre la mise sur écoute par la police, c’est d’ailleurs les nouvelles demandes des agences de renseignement qui poussent le retour ce projet de législation. Cette transformation ne se fera pas forcément facilement, puisque les développeurs de ces applications de communication sont bien souvent les géants du web: Google (Hangouts, Duo, Allo), Facebook (Messenger, Whatsapp), Microsoft (Skype), etc… qui eux demandent la création d’un statut à part. Encore une raison de passer à Signal.

Facebook Messenger adopte Signal

En Allemagne, les révélations d’Edward Snowden sur les activités de surveillance de la NSA ont notamment déclenché une enquête du commissaire fédéral pour la protection des données (BfDI). Il a pu se rendre dans l’une des installations conjointes de la NSA et du Service fédéral de renseignement (BND), à Bad Aibling, dans le sud du pays. Il en a tiré une analyse juridique, classifiée, que s’est procurée le site allemand spécialisé Netzpolitik. Le commissaire a dénombré 18 violations sévères de la loi, et a adressé 12 plaintes formelles liées à ces manquements.

Le BND a créé et utilisé au moins sept bases de données sans aucun fondement légal. Ces bases, écrit-il, doivent être détruites immédiatement. Parmi celles-ci figure XKeyscore, l’outil qui permet aux services américains et à leurs plus proches alliés de chercher dans la masse de trafic internet intercepté. Cet outil permet de scanner l’intégralité du trafic internet dans le monde, à la fois les métadonnées [qui communique avec qui, quand et combien de temps] et le contenu. Le BfDI reproche aussi au BND d’avoir procédé à la collecte de données sur des personnes « irréprochables », estimant que pour chaque cible visée par les services, des données sur 15 personnes innocentes étaient collectées. Lorsqu’il a voulu consulter plus en détail les métadonnées interceptées, le commissaire s’est heurté à un problème très matériel : il y en avait trop pour que le système informatique du BND puisse les afficher, même en réduisant aux données interceptées sur une seule journée. Et pour cause : le BND stocke l’intégralité des métadonnées qu’il intercepte.

Le BND a également failli à son obligation de filtrer les données des citoyens allemands avant de les transférer à son partenaire, la NSA, explique le BfDI. En effet, le système de filtre souffre de défaillances importantes et systémiques. Enfin, le commissaire indique dans son rapport que le BND a entravé son inspection, notamment en ne le laissant pas accéder à tous les bâtiments où ce dernier collabore avec la NSA ou encore en supprimant des données en amont de la visite d’inspection. Selon Netzpolitik, le gouvernement allemand s’apprête à faire voter une loi qui rendrait légaux une grande partie des faits reprochés au BND.

Les installations du BND à Bad Aibling

Les installations du BND à Bad Aibling

« Même Dieu ne peut pas les lire » a déclaré le républicain Trey Gowdy à propos des e-mails d’Hillary Clinton. Ceux-ci ont été effacés de façon apparemment très efficace par l’administration de la candidate du Parti Démocrate. Andrew Ziem, le développeur de Bleachbit a appris via Fox News que Clinton avait utilisé son logiciel de nettoyage de traces informatiques. BleachBit est donc très probablement le logiciel gratuit le plus efficace pour nettoyer son pc. Il est disponible pour Windows et Linux ici. Un manuel d’utilisation est disponible sur notre site, ici.

Bleachbit

Bleachbit

Ahmed Mansoor, un militant démocrate émirati a reçu un étrange SMS lui promettant des détails sur la torture dans les prisons du pays au bout d’un lien. Plutôt que de cliquer le lien directement, Ahmed l’a transmis au laboratoire canadien Citizen Lab qui a analysé le lien avec la société de sécurité informatique Lookout. Le lien téléchargeait un malware très élaboré qui opérait un jailbraik (une obtention des droits super-utilisateurs, équivalent du ‘root’ android), le virus aurait ensuite pu s’installer pour enregistrer les frappes clavier (et dérober ainsi les messages, même chiffrés) et activer le micro à la demande pour enregistrer. Le malware utilisait plusieurs failles 0-Day (des failles non-documentées et non-patchées, à priori inconnues) qui permettaient l’exécution arbitraire de code, un accès à la mémoire du kernel et un accès aux privilèges du kernel. Toutes combinées, elles permettent le jailbraik à distance d’un appareil sous iOS et donc l’exécution de n’importe quelle application. Apple a patché les trois failles en urgence dans un patch publié ce matin (iOS 9.3.5). Citizen Lab a lié ce malware à une d’une boite de cyber-guerre israélienne, le NSO Group. C’est la troisième fois que Ahmed Mansoor est la cible d’une entreprise de cette nature, il avait déjà été ciblé par Finfisher en 2011 et par Hacking Team en 2012.

Ahmed Mansoor

Ahmed Mansoor

Suite à l’arrêt du projet Truecrypt, le plus efficace des outils de chiffrement grand public, plusieurs développeurs avaient repris le flambeau pour poursuivre le développement de Truecrypt. Veracrypt, l’un de ces forks (un logiciel basé sur un autre) est passé ce 17 août en version 1.18a. Au menu des mises à jour: l’implémentation du chiffrement de l’EFI (le remplaçant des BIOS), des nouveaux algorythmes de chiffrements (Camellia, Kuznyechik, Magma et Streebog).

Autre bonne nouvelle, le moteur de recherche DuckDuckGo a fait une donation de 25.000$ qui servira à faire un audit. L’audit est organisé par l’OSTIF (Open Source Technology Improvement Fund) qui a confié l’analyse à la société française Quarkslab en lui demandant de communiquer le résultat de l’audit de façon chiffrée aux développeurs de Veracrypt (la société française Idrix) afin que les éventuelles failles découvertes ne soient pas utilisées avant d’être patchées.

Veracrypt

Veracrypt