23/09/2016

Internet: Google Allo est moins sécurisé que prévu

Google Allo a finalement été publié hier sur le Play Store. La nouvelle messagerie de Google introduit à son tour un bot, Google Assistant, censé répondre comme le ferait un être humain lorsqu’on lui pose des questions. Google Assistant apprend à la longue des utilisateurs qui interagissent avec lui pour être plus précis.

Google avait toutefois « promis » en dévoilant Allo en mai dernier que les conversations ne feraient que transiter par ses serveurs et qu’elles seraient stockées uniquement sur les appareils des utilisateurs. La firme a finalement fait machine arrière, les messages seront stockés sur ses serveurs, au moins jusqu’à ce qu’ils soient supprimer de l’appareil. Comme Whatsapp et Facebook Messenger, Google Allo a mis en place un mode « incognito » qui permet de communiquer via le protocole sécurisé Signal (sponsorisé par Snowden). Toutefois, Snowden a réagit à la publication de Google Allo en critiquant la décision prise par Google et en mettant en garde leurs utilisateurs que les messages pourront être utilisés par la police.

What is #Allo? A Google app that records every message you ever send and makes it available to police upon request. https://t.co/EdPRC0G7Py

— Edward Snowden (@Snowden) 21 septembre 2016

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

16/09/2016

Sécurité IT: Pour la première fois, deux failles non-critiques découvertes dans Signal

Des chercheurs ont découvert deux failles non-critiques dans le protocole Signal. Le protocole Signal est le mécanisme de chiffrement utilisé par l’application Signal (sponsorisée par Edward Snowden), par WhatsApp, et bientôt par Facebook Messenger et Google Allo. Pas de panique: les deux failles ne permettent pas de déchiffrer du contenu, mais d’altérer les pièces-jointes: elles permettent à d’éventuels d’attaquants d’ajouter des données (avec un maximum de 4Go) aux pièces-jointes qui transitent sur le réseau, rendant non seulement les pièces-jointes illisibles mais permettant d’éventuelles attaques par déni de service sur le réseau. C’est la première fois que des failles sont trouvées dans Signal, elles seront probablement très rapidement corrigées.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

14/09/2016

Internet: L’Inde a créé la plus grande base de données biométrique au monde et veut forcer Google et Apple à l’utiliser

En 2010, l’Inde lançait le programme Aadhaar (mot hindi pour « Fondation ») destiné à devenir l’unique moyen d’identification en Inde où les documents d’identité ne sont pas obligatoires. Cette base de données est gérée par « Unique Identification Authority of India » qui délivre à tout citoyen indien demandeur un numéro d’identification unique à 12 chiffres, des campagnes très larges ont été menées ces 6 dernières années et plus d’un milliard de personnes se sont inscrites dans la base, soit 83% de la population mondiale. Ce haut taux d’adhésion est à mettre en relation avec un accès facilité aux aides sociales, alimentaires, à l’administration… Le but premier d’Aadhaar était d’ailleurs -selon ses concepteurs- de lutter contre des fraudes massives dûes au désordre de l’identification. Cette base de données inclut -facultativement mais souvent- des données biométriques telles qu’un scan de l’iris, un scan de la forme du visage et des empreintes digitales. La combinaison des trois rend pratiquement impossible l’usurpation d’identité.

Le gouvernement indien veut à présent pousser le système encore plus loin, il a récemment ajouté une plateforme de paiement et de banque au programme, en demandant aux géants du web d’utiliser la plateforme et le chiffrement d’Aadhaar pour permettre l’authentification sur leurs services: une réunion a été organisée entre le gouvernement et Alphabet/Google, Microsoft, Samsung et Apple, ce dernier ne s’y est pas rendu. Les sociétés étrangères sont réticentes car elles perdraient la main sur les données de leurs utilisateurs et ne pourraient plus cibler leurs publicités, la loi indienne interdit d’ailleurs, en principe, même au gouvernement de faire usage de ces données. Second argument, les géants du web ne font à priori pas confiance à la sécurité d’Aadhaar.

Dossier(s): Archives Reste de l'Asie et Océanie Tags: Inde, Internet, Technique de répression

13/09/2016

UE: La commission va tenter de donner un statut d’opérateur à Whatsapp, Skype et autres

Le fait de considérer les messageries en ligne et les VoIP (voix par internet) comme des opérateurs de téléphonie est de longue date demandé par les opérateurs classiques qui dénoncent « de la concurrence déloyale » puisque certaines obligations sont imposées aux opérateurs mais pas aux services en ligne. Ces obligations sont notamment de permettre d’appeler un service d’urgence (112) et de permettre la mise sur écoute par la police, c’est d’ailleurs les nouvelles demandes des agences de renseignement qui poussent le retour ce projet de législation. Cette transformation ne se fera pas forcément facilement, puisque les développeurs de ces applications de communication sont bien souvent les géants du web: Google (Hangouts, Duo, Allo), Facebook (Messenger, Whatsapp), Microsoft (Skype), etc… qui eux demandent la création d’un statut à part. Encore une raison de passer à Signal.

Dossier(s): Archives Reste de l'Europe Tags: Internet, Technique de répression, Union-Européenne

07/09/2016

Allemagne: Rapport accablant contre les services de renseignements

En Allemagne, les révélations d’Edward Snowden sur les activités de surveillance de la NSA ont notamment déclenché une enquête du commissaire fédéral pour la protection des données (BfDI). Il a pu se rendre dans l’une des installations conjointes de la NSA et du Service fédéral de renseignement (BND), à Bad Aibling, dans le sud du pays. Il en a tiré une analyse juridique, classifiée, que s’est procurée le site allemand spécialisé Netzpolitik. Le commissaire a dénombré 18 violations sévères de la loi, et a adressé 12 plaintes formelles liées à ces manquements.

Le BND a créé et utilisé au moins sept bases de données sans aucun fondement légal. Ces bases, écrit-il, doivent être détruites immédiatement. Parmi celles-ci figure XKeyscore, l’outil qui permet aux services américains et à leurs plus proches alliés de chercher dans la masse de trafic internet intercepté. Cet outil permet de scanner l’intégralité du trafic internet dans le monde, à la fois les métadonnées [qui communique avec qui, quand et combien de temps] et le contenu. Le BfDI reproche aussi au BND d’avoir procédé à la collecte de données sur des personnes « irréprochables », estimant que pour chaque cible visée par les services, des données sur 15 personnes innocentes étaient collectées. Lorsqu’il a voulu consulter plus en détail les métadonnées interceptées, le commissaire s’est heurté à un problème très matériel : il y en avait trop pour que le système informatique du BND puisse les afficher, même en réduisant aux données interceptées sur une seule journée. Et pour cause : le BND stocke l’intégralité des métadonnées qu’il intercepte.

Le BND a également failli à son obligation de filtrer les données des citoyens allemands avant de les transférer à son partenaire, la NSA, explique le BfDI. En effet, le système de filtre souffre de défaillances importantes et systémiques. Enfin, le commissaire indique dans son rapport que le BND a entravé son inspection, notamment en ne le laissant pas accéder à tous les bâtiments où ce dernier collabore avec la NSA ou encore en supprimant des données en amont de la visite d’inspection. Selon Netzpolitik, le gouvernement allemand s’apprête à faire voter une loi qui rendrait légaux une grande partie des faits reprochés au BND.

Dossier(s): Allemagne Archives Tags: Allemagne, Internet

30/08/2016

Sécurité IT: La preuve que Bleachbit est efficace

« Même Dieu ne peut pas les lire » a déclaré le républicain Trey Gowdy à propos des e-mails d’Hillary Clinton. Ceux-ci ont été effacés de façon apparemment très efficace par l’administration de la candidate du Parti Démocrate. Andrew Ziem, le développeur de Bleachbit a appris via Fox News que Clinton avait utilisé son logiciel de nettoyage de traces informatiques. BleachBit est donc très probablement le logiciel gratuit le plus efficace pour nettoyer son pc. Il est disponible pour Windows et Linux ici. Un manuel d’utilisation est disponible sur notre site, ici.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Technique de répression

26/08/2016

Internet: Premier exemple d’une attaque sérieuse à distance contre un iphone

Ahmed Mansoor, un militant démocrate émirati a reçu un étrange SMS lui promettant des détails sur la torture dans les prisons du pays au bout d’un lien. Plutôt que de cliquer le lien directement, Ahmed l’a transmis au laboratoire canadien Citizen Lab qui a analysé le lien avec la société de sécurité informatique Lookout. Le lien téléchargeait un malware très élaboré qui opérait un jailbraik (une obtention des droits super-utilisateurs, équivalent du ‘root’ android), le virus aurait ensuite pu s’installer pour enregistrer les frappes clavier (et dérober ainsi les messages, même chiffrés) et activer le micro à la demande pour enregistrer. Le malware utilisait plusieurs failles 0-Day (des failles non-documentées et non-patchées, à priori inconnues) qui permettaient l’exécution arbitraire de code, un accès à la mémoire du kernel et un accès aux privilèges du kernel. Toutes combinées, elles permettent le jailbraik à distance d’un appareil sous iOS et donc l’exécution de n’importe quelle application. Apple a patché les trois failles en urgence dans un patch publié ce matin (iOS 9.3.5). Citizen Lab a lié ce malware à une d’une boite de cyber-guerre israélienne, le NSO Group. C’est la troisième fois que Ahmed Mansoor est la cible d’une entreprise de cette nature, il avait déjà été ciblé par Finfisher en 2011 et par Hacking Team en 2012.

Dossier(s): Archives Sécurité IT Tags: Emirats Arabes Unis, Internet, Israël, Technique de répression

19/08/2016

IT: Veracrypt, le descendant de Truecrypt s’offre une mise à jour et un audit

Suite à l’arrêt du projet Truecrypt, le plus efficace des outils de chiffrement grand public, plusieurs développeurs avaient repris le flambeau pour poursuivre le développement de Truecrypt. Veracrypt, l’un de ces forks (un logiciel basé sur un autre) est passé ce 17 août en version 1.18a. Au menu des mises à jour: l’implémentation du chiffrement de l’EFI (le remplaçant des BIOS), des nouveaux algorythmes de chiffrements (Camellia, Kuznyechik, Magma et Streebog).

Autre bonne nouvelle, le moteur de recherche DuckDuckGo a fait une donation de 25.000$ qui servira à faire un audit. L’audit est organisé par l’OSTIF (Open Source Technology Improvement Fund) qui a confié l’analyse à la société française Quarkslab en lui demandant de communiquer le résultat de l’audit de façon chiffrée aux développeurs de Veracrypt (la société française Idrix) afin que les éventuelles failles découvertes ne soient pas utilisées avant d’être patchées.

Dossier(s): Archives Sécurité IT Tags: France, Internet, Technique de répression

14/08/2016

IT: Des chercheurs piratent un disque dur en l’écoutant

Des chercheurs ont mis au point un virus nommé DiskFiltration qui, une fois installé sur un ordinateur, peut transmettre des informations à un attaquant en émettant des sons « cachés ». Le virus prend le contrôle du petit bras du disque dur qui peut ensuite communiquer « discrètement » avec un micro caché. L’expérience a surtout démontré que cela était possible mais très compliqué pour le genre de difficulté que l’opération suppose. Premièrement, ce type d’attaque viserait essentiellement des ordinateurs qui ne sont pas connectés à internet pour qu’on veuille en voler les données via une telle technique: il faut donc avoir un accès physique à l’ordinateur puisque le virus ne peut y être installé autrement. Ensuite, il faut que le micro qui reçoit les sons soit à moins de 1,8 mètres de l’ordinateur pour pouvoir l’entendre. Enfin, le virus ne fonctionne évidemment qu’avec des disques durs mécaniques (donc pour les disques SSD et les clés USB, c’est foutu). Et plus gros problème encore, le virus ne peut intercepter que 180 bits par minute, ce qui est très lent.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

09/08/2016

Sécurité IT: La série de failles Quadrooter met la sécurité d’Android à l’épreuve

Au dernier comptage, en septembre 2015, il y avait 1,4 milliard de smartphones et tablettes tournant sous Android dans le monde. Un nombre aussi astronomique pose des questions de sécurité: ces appareils fonctionnent sous des versions d’Android différentes (la dernière, Android 7.0 Nougat est attendue dans les prochains jours), avec des processeurs différents et des applications pré-installées différentes. Cette fracturation pose régulièrement des problèmes: on se rappelle de Stagefright, et de Shellshock. La nouvelle faille géante, Quadrooter, vise les 900 millions d’appareils qui tournent sous des processeurs du fondeur Qualcomm. C’est un ensemble de quatre failles qui permettent à une application « de source inconnue » (téléchargée en dehors du Play Store) et ne demandant « aucune autorisation particulière » de prendre un accès root sur l’appareil et d’y faire ensuite tout ce qu’on voudrait lui faire réaliser. Trois des quatre failles ont déjà été patchées par Qualcomm, mais les mises à jour mettront très longtemps à arriver, si elles arrivent un jour. Les Nexus recevront eux probablement le patch dans la mise à jour de sécurité de septembre.

Heureusement, depuis Android 4.2, Google a déployé une couche de sécurité « Verify Apps » dont le rôle est précisément de lutter contre ce genre d’applications qui exploitent l’accès root. Google a annoncé que 90% des appareils étaient protégés par cette fonction qui bloquera automatiquement l’installation.

Checkpoint, qui a découvert la faille, a mis en ligne une application pour savoir si votre appareil est vulnérable (attention, ce n’est pas parce qu’il est vulnérable qu’il est infecté). Pour la télécharger, c’est ici. Inutile d’acheter l’antivirus de Checkpoint pour ne pas être infecté: évitez simplement d’installer des applications qui ne proviennent pas du Play Store.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression