13/09/2016

UE: La commission va tenter de donner un statut d’opérateur à Whatsapp, Skype et autres

Le fait de considérer les messageries en ligne et les VoIP (voix par internet) comme des opérateurs de téléphonie est de longue date demandé par les opérateurs classiques qui dénoncent « de la concurrence déloyale » puisque certaines obligations sont imposées aux opérateurs mais pas aux services en ligne. Ces obligations sont notamment de permettre d’appeler un service d’urgence (112) et de permettre la mise sur écoute par la police, c’est d’ailleurs les nouvelles demandes des agences de renseignement qui poussent le retour ce projet de législation. Cette transformation ne se fera pas forcément facilement, puisque les développeurs de ces applications de communication sont bien souvent les géants du web: Google (Hangouts, Duo, Allo), Facebook (Messenger, Whatsapp), Microsoft (Skype), etc… qui eux demandent la création d’un statut à part. Encore une raison de passer à Signal.

Dossier(s): Archives Reste de l'Europe Tags: Internet, Technique de répression, Union-Européenne

07/09/2016

Allemagne: Rapport accablant contre les services de renseignements

En Allemagne, les révélations d’Edward Snowden sur les activités de surveillance de la NSA ont notamment déclenché une enquête du commissaire fédéral pour la protection des données (BfDI). Il a pu se rendre dans l’une des installations conjointes de la NSA et du Service fédéral de renseignement (BND), à Bad Aibling, dans le sud du pays. Il en a tiré une analyse juridique, classifiée, que s’est procurée le site allemand spécialisé Netzpolitik. Le commissaire a dénombré 18 violations sévères de la loi, et a adressé 12 plaintes formelles liées à ces manquements.

Le BND a créé et utilisé au moins sept bases de données sans aucun fondement légal. Ces bases, écrit-il, doivent être détruites immédiatement. Parmi celles-ci figure XKeyscore, l’outil qui permet aux services américains et à leurs plus proches alliés de chercher dans la masse de trafic internet intercepté. Cet outil permet de scanner l’intégralité du trafic internet dans le monde, à la fois les métadonnées [qui communique avec qui, quand et combien de temps] et le contenu. Le BfDI reproche aussi au BND d’avoir procédé à la collecte de données sur des personnes « irréprochables », estimant que pour chaque cible visée par les services, des données sur 15 personnes innocentes étaient collectées. Lorsqu’il a voulu consulter plus en détail les métadonnées interceptées, le commissaire s’est heurté à un problème très matériel : il y en avait trop pour que le système informatique du BND puisse les afficher, même en réduisant aux données interceptées sur une seule journée. Et pour cause : le BND stocke l’intégralité des métadonnées qu’il intercepte.

Le BND a également failli à son obligation de filtrer les données des citoyens allemands avant de les transférer à son partenaire, la NSA, explique le BfDI. En effet, le système de filtre souffre de défaillances importantes et systémiques. Enfin, le commissaire indique dans son rapport que le BND a entravé son inspection, notamment en ne le laissant pas accéder à tous les bâtiments où ce dernier collabore avec la NSA ou encore en supprimant des données en amont de la visite d’inspection. Selon Netzpolitik, le gouvernement allemand s’apprête à faire voter une loi qui rendrait légaux une grande partie des faits reprochés au BND.

Dossier(s): Allemagne Archives Tags: Allemagne, Internet

30/08/2016

Sécurité IT: La preuve que Bleachbit est efficace

« Même Dieu ne peut pas les lire » a déclaré le républicain Trey Gowdy à propos des e-mails d’Hillary Clinton. Ceux-ci ont été effacés de façon apparemment très efficace par l’administration de la candidate du Parti Démocrate. Andrew Ziem, le développeur de Bleachbit a appris via Fox News que Clinton avait utilisé son logiciel de nettoyage de traces informatiques. BleachBit est donc très probablement le logiciel gratuit le plus efficace pour nettoyer son pc. Il est disponible pour Windows et Linux ici. Un manuel d’utilisation est disponible sur notre site, ici.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Technique de répression

26/08/2016

Internet: Premier exemple d’une attaque sérieuse à distance contre un iphone

Ahmed Mansoor, un militant démocrate émirati a reçu un étrange SMS lui promettant des détails sur la torture dans les prisons du pays au bout d’un lien. Plutôt que de cliquer le lien directement, Ahmed l’a transmis au laboratoire canadien Citizen Lab qui a analysé le lien avec la société de sécurité informatique Lookout. Le lien téléchargeait un malware très élaboré qui opérait un jailbraik (une obtention des droits super-utilisateurs, équivalent du ‘root’ android), le virus aurait ensuite pu s’installer pour enregistrer les frappes clavier (et dérober ainsi les messages, même chiffrés) et activer le micro à la demande pour enregistrer. Le malware utilisait plusieurs failles 0-Day (des failles non-documentées et non-patchées, à priori inconnues) qui permettaient l’exécution arbitraire de code, un accès à la mémoire du kernel et un accès aux privilèges du kernel. Toutes combinées, elles permettent le jailbraik à distance d’un appareil sous iOS et donc l’exécution de n’importe quelle application. Apple a patché les trois failles en urgence dans un patch publié ce matin (iOS 9.3.5). Citizen Lab a lié ce malware à une d’une boite de cyber-guerre israélienne, le NSO Group. C’est la troisième fois que Ahmed Mansoor est la cible d’une entreprise de cette nature, il avait déjà été ciblé par Finfisher en 2011 et par Hacking Team en 2012.

Dossier(s): Archives Sécurité IT Tags: Emirats Arabes Unis, Internet, Israël, Technique de répression

19/08/2016

IT: Veracrypt, le descendant de Truecrypt s’offre une mise à jour et un audit

Suite à l’arrêt du projet Truecrypt, le plus efficace des outils de chiffrement grand public, plusieurs développeurs avaient repris le flambeau pour poursuivre le développement de Truecrypt. Veracrypt, l’un de ces forks (un logiciel basé sur un autre) est passé ce 17 août en version 1.18a. Au menu des mises à jour: l’implémentation du chiffrement de l’EFI (le remplaçant des BIOS), des nouveaux algorythmes de chiffrements (Camellia, Kuznyechik, Magma et Streebog).

Autre bonne nouvelle, le moteur de recherche DuckDuckGo a fait une donation de 25.000$ qui servira à faire un audit. L’audit est organisé par l’OSTIF (Open Source Technology Improvement Fund) qui a confié l’analyse à la société française Quarkslab en lui demandant de communiquer le résultat de l’audit de façon chiffrée aux développeurs de Veracrypt (la société française Idrix) afin que les éventuelles failles découvertes ne soient pas utilisées avant d’être patchées.

Dossier(s): Archives Sécurité IT Tags: France, Internet, Technique de répression

14/08/2016

IT: Des chercheurs piratent un disque dur en l’écoutant

Des chercheurs ont mis au point un virus nommé DiskFiltration qui, une fois installé sur un ordinateur, peut transmettre des informations à un attaquant en émettant des sons « cachés ». Le virus prend le contrôle du petit bras du disque dur qui peut ensuite communiquer « discrètement » avec un micro caché. L’expérience a surtout démontré que cela était possible mais très compliqué pour le genre de difficulté que l’opération suppose. Premièrement, ce type d’attaque viserait essentiellement des ordinateurs qui ne sont pas connectés à internet pour qu’on veuille en voler les données via une telle technique: il faut donc avoir un accès physique à l’ordinateur puisque le virus ne peut y être installé autrement. Ensuite, il faut que le micro qui reçoit les sons soit à moins de 1,8 mètres de l’ordinateur pour pouvoir l’entendre. Enfin, le virus ne fonctionne évidemment qu’avec des disques durs mécaniques (donc pour les disques SSD et les clés USB, c’est foutu). Et plus gros problème encore, le virus ne peut intercepter que 180 bits par minute, ce qui est très lent.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

09/08/2016

Sécurité IT: La série de failles Quadrooter met la sécurité d’Android à l’épreuve

Au dernier comptage, en septembre 2015, il y avait 1,4 milliard de smartphones et tablettes tournant sous Android dans le monde. Un nombre aussi astronomique pose des questions de sécurité: ces appareils fonctionnent sous des versions d’Android différentes (la dernière, Android 7.0 Nougat est attendue dans les prochains jours), avec des processeurs différents et des applications pré-installées différentes. Cette fracturation pose régulièrement des problèmes: on se rappelle de Stagefright, et de Shellshock. La nouvelle faille géante, Quadrooter, vise les 900 millions d’appareils qui tournent sous des processeurs du fondeur Qualcomm. C’est un ensemble de quatre failles qui permettent à une application « de source inconnue » (téléchargée en dehors du Play Store) et ne demandant « aucune autorisation particulière » de prendre un accès root sur l’appareil et d’y faire ensuite tout ce qu’on voudrait lui faire réaliser. Trois des quatre failles ont déjà été patchées par Qualcomm, mais les mises à jour mettront très longtemps à arriver, si elles arrivent un jour. Les Nexus recevront eux probablement le patch dans la mise à jour de sécurité de septembre.

Heureusement, depuis Android 4.2, Google a déployé une couche de sécurité « Verify Apps » dont le rôle est précisément de lutter contre ce genre d’applications qui exploitent l’accès root. Google a annoncé que 90% des appareils étaient protégés par cette fonction qui bloquera automatiquement l’installation.

Checkpoint, qui a découvert la faille, a mis en ligne une application pour savoir si votre appareil est vulnérable (attention, ce n’est pas parce qu’il est vulnérable qu’il est infecté). Pour la télécharger, c’est ici. Inutile d’acheter l’antivirus de Checkpoint pour ne pas être infecté: évitez simplement d’installer des applications qui ne proviennent pas du Play Store.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

06/08/2016

Internet: La NSA ne possède pas tant de failles informatiques qu’on pourrait le penser

L’une des stratégies de cyber-guerre de la NSA est de constituer un stock de failles 0-Day (Une faille Zero Day est une faille de sécurité informatique qui n’a pas été publiée, documentée et corrigée et pour laquelle une attaque est donc théoriquement aisée) dont elle peut se servir pour attaquer ces cibles, à l’intérieur comme à l’extérieur des frontières états-uniennes. Vu le budget très conséquent de l’agence pour acheter ces failles aux hackers qui les découvrent, le stock de 0-Day de la NSA est parfois imaginé comme astronomique, il n’en serait en fait rien selon Jason Healey, un chercheur de l’Université de Columbie. Ce nombre se compterait en dizaines, pas plus, et seule une poignée serait ajoutée chaque année au tas. Il a présenté ses recherches à la dernière Defcon de Las Vegas et a assuré que s’il ne pouvait pas être sûr de ce qu’il avançait il en avait la conviction. L’un des arguments de sa recherche est que la NSA est depuis peu « obligée » de communiquer un certains nombres de ces failles aux fabricants, et qu’on a pas pour autant vu un ras-de-marée de failles critiques arriver. La NSA communiquerait 91% des failles, et des 9% restants, un certain nombre constitue des failles qui sont entre temps découvertes par d’autres chercheurs. Notons que ce chiffre n’inclut pas les failles possédées par d’autres agences comme le FBI.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet

03/08/2016

Iran: Des millions de comptes Telegram compromis par des hackers pro-régimes

Selon des chercheurs en sécurité liés à Amnesty International, au moins douze compte d’utilisateurs de la messagerie instantanée Telegram auraient été compromis et 15 millions de données utilisateurs (les numéros de téléphones correspondants aux comptes) d’Iraniens dérobées par un groupe de hackers connu sous le nom de « Rocket Kitten » qui a déjà par le passé agit dans l’intérêt des services de sécurité iraniens. Certaines attaques auraient débouché sur des arrestations. Cette opération a eu lieu quelque part dans l’année écoulée.

A propos de la méthode utilisée: comme plusieurs de ses concurrents, Telegram utilise une authentification par SMS plutôt que par mot de passe (un code est envoyé par sms et doit être entré dans l’app). Ce moyen pourrait pratiquement être plus simple et sécurisé qu’un mot de passe mais dans ce cas, il y aurait eu une collaboration des télécoms iraniens. Telegram propose toutefois l’authentification classique par e-mail et mot de passe, mais celle-ci pourrait être compromise de la même façon (une interception au niveau du fournisseur). Vingt millions de personnes utilisent Telegram en Iran, le pays fait pression depuis plusieurs années pour obtenir un droit d’espionnage et de censure, Telegram ne maintient donc aucun serveur en Iran pour éviter les saisies. En tout, 100 millions de personnes utilisent cette application dans le monde, elle est très populaire au Moyen-Orient, en Amérique Latine et dans le Tiers-Monde.

Telegram a finit par démentir que ces services aient été piratés pour finalement reconnaître qu’une douzaine de compte a pu être spécifiquement attaquée mais sans que cela ait à voir avec la sécurité de Télégram, ils disent avoir prévenu leurs utilisateurs dans des pays ‘sensibles’ qu’ils faisaient mieux d’utiliser une connexion par mot de passe avec authentification en deux facteurs. Pour ce qui est des 15 millions de numéros de téléphone, Telegram répète que c’est le fonctionnement même du service: les contacts Telegram sont identifiés par les utilisateurs en fonction de leurs numéros de téléphone (en effet, le carnet de contact est établi automatiquement). Des limitations ont récemment été introduites dans l’API pour empêcher ce genre d’identification d’échelle.

Dossier(s): Archives Monde arabe et Iran Tags: Internet, Iran, Technique de répression

01/08/2016

Emirats Arabes Unis: TOR et VPN seront punis de prison

Dans une interview télévisée, le Cheikh Khalifa a annoncé que l’utilisation d’une adresse IP « frauduleuse » dans le but de « commettre un crime ou d’empêcher sa découverte » pourra désormais être punie par une peine de prison ainsi qu’une amende allant de 120.000€ à 490.000€. L’utilisation d’une adresse IP frauduleuse consiste en fait à utiliser un réseau VPN ou TOR pour accéder à internet depuis l’extérieur du pays, ce qui particulièrement utile dans un pays où internet est largement censuré.

Dossier(s): Archives Monde arabe et Iran Tags: Emirats Arabes Unis, Internet