06/08/2016

Internet: La NSA ne possède pas tant de failles informatiques qu’on pourrait le penser

L’une des stratégies de cyber-guerre de la NSA est de constituer un stock de failles 0-Day (Une faille Zero Day est une faille de sécurité informatique qui n’a pas été publiée, documentée et corrigée et pour laquelle une attaque est donc théoriquement aisée) dont elle peut se servir pour attaquer ces cibles, à l’intérieur comme à l’extérieur des frontières états-uniennes. Vu le budget très conséquent de l’agence pour acheter ces failles aux hackers qui les découvrent, le stock de 0-Day de la NSA est parfois imaginé comme astronomique, il n’en serait en fait rien selon Jason Healey, un chercheur de l’Université de Columbie. Ce nombre se compterait en dizaines, pas plus, et seule une poignée serait ajoutée chaque année au tas. Il a présenté ses recherches à la dernière Defcon de Las Vegas et a assuré que s’il ne pouvait pas être sûr de ce qu’il avançait il en avait la conviction. L’un des arguments de sa recherche est que la NSA est depuis peu « obligée » de communiquer un certains nombres de ces failles aux fabricants, et qu’on a pas pour autant vu un ras-de-marée de failles critiques arriver. La NSA communiquerait 91% des failles, et des 9% restants, un certain nombre constitue des failles qui sont entre temps découvertes par d’autres chercheurs. Notons que ce chiffre n’inclut pas les failles possédées par d’autres agences comme le FBI.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet

03/08/2016

Iran: Des millions de comptes Telegram compromis par des hackers pro-régimes

Selon des chercheurs en sécurité liés à Amnesty International, au moins douze compte d’utilisateurs de la messagerie instantanée Telegram auraient été compromis et 15 millions de données utilisateurs (les numéros de téléphones correspondants aux comptes) d’Iraniens dérobées par un groupe de hackers connu sous le nom de « Rocket Kitten » qui a déjà par le passé agit dans l’intérêt des services de sécurité iraniens. Certaines attaques auraient débouché sur des arrestations. Cette opération a eu lieu quelque part dans l’année écoulée.

A propos de la méthode utilisée: comme plusieurs de ses concurrents, Telegram utilise une authentification par SMS plutôt que par mot de passe (un code est envoyé par sms et doit être entré dans l’app). Ce moyen pourrait pratiquement être plus simple et sécurisé qu’un mot de passe mais dans ce cas, il y aurait eu une collaboration des télécoms iraniens. Telegram propose toutefois l’authentification classique par e-mail et mot de passe, mais celle-ci pourrait être compromise de la même façon (une interception au niveau du fournisseur). Vingt millions de personnes utilisent Telegram en Iran, le pays fait pression depuis plusieurs années pour obtenir un droit d’espionnage et de censure, Telegram ne maintient donc aucun serveur en Iran pour éviter les saisies. En tout, 100 millions de personnes utilisent cette application dans le monde, elle est très populaire au Moyen-Orient, en Amérique Latine et dans le Tiers-Monde.

Telegram a finit par démentir que ces services aient été piratés pour finalement reconnaître qu’une douzaine de compte a pu être spécifiquement attaquée mais sans que cela ait à voir avec la sécurité de Télégram, ils disent avoir prévenu leurs utilisateurs dans des pays ‘sensibles’ qu’ils faisaient mieux d’utiliser une connexion par mot de passe avec authentification en deux facteurs. Pour ce qui est des 15 millions de numéros de téléphone, Telegram répète que c’est le fonctionnement même du service: les contacts Telegram sont identifiés par les utilisateurs en fonction de leurs numéros de téléphone (en effet, le carnet de contact est établi automatiquement). Des limitations ont récemment été introduites dans l’API pour empêcher ce genre d’identification d’échelle.

Dossier(s): Archives Monde arabe et Iran Tags: Internet, Iran, Technique de répression

01/08/2016

Emirats Arabes Unis: TOR et VPN seront punis de prison

Dans une interview télévisée, le Cheikh Khalifa a annoncé que l’utilisation d’une adresse IP « frauduleuse » dans le but de « commettre un crime ou d’empêcher sa découverte » pourra désormais être punie par une peine de prison ainsi qu’une amende allant de 120.000€ à 490.000€. L’utilisation d’une adresse IP frauduleuse consiste en fait à utiliser un réseau VPN ou TOR pour accéder à internet depuis l’extérieur du pays, ce qui particulièrement utile dans un pays où internet est largement censuré.

Dossier(s): Archives Monde arabe et Iran Tags: Emirats Arabes Unis, Internet

01/08/2016

Internet: L’effacement des messages Whatsapp pas si efficace sur iOS

Malgré le fait qu‘elle implémente le réputé protocole de chiffrement Signal, et que l’application soit régulièrement bloquée au Brésil pour cette raison, Whatsapp souffrirait de quelques failles sur iOS (le système d’exploitations des iphones et ipads), des failles qui mettent à mal le chiffrement. Première faille, l’effacement censé être définitif des conversations ne fonctionne pas sur iOS à cause d’un bug de la bibliothèque de moteur de base de données SQLite qui fait en sorte que des copies des messages sont stockées localement et sur iCloud. Cette faille n’affecte pas seulement Whatsapp, mais également d’autres apps qui utilisent SQLite. iMessage par exemple, souffre du même bug. Il est possible d’effacer ces fonds de bases de données en désinstallant l’application. Notons que Whatsapp propose à ces utilisateurs de stocker leurs messages sur Google Drive ou sur iCloud, ceci mettrait à mal le chiffrement qui n’est pas censé fonctionner sur plus d’un terminal à la fois.

Le second « bug » concerne le chiffrement justement, si les messages sont chiffrés durant leur transit, ils ne sont pas chiffrés lorsqu’ils sont sur l’appareil, une fonction que propose par contre l’application Signal originale. En fin de compte, même si Whatsapp, Google Allo et Facebook Messenger implémentent le protocole Signal dans leurs apps, l’application Signal est probablement plus sécurisée de par sa conception.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

23/07/2016

Internet: Riffle, un réseau TOR invincible

Parmi le club très fermé des applications ultra-sécurisées, TOR occupe une place de choix en offrant à ses utilisateurs de naviguer le web anonymement en redirigeant leur connexion à travers un réseau de volontaires (leurs machines sont appelés nodes ou nœuds). Une course permanente l’oppose toutefois aux services de renseignements américains qui tentent régulièrement de faire apparaitre une masse critique de relais-espions à l’intérieur du réseau TOR. Lors d’une première époque, les attaquants tentaient d’intervenir entre le dernier node et la page de destination pour intercepter des données, mais la stratégie est à présent d’augmenter la proportion de nodes compromis pour être capable de suivre la connexion d’un utilisateur à travers plusieurs nodes et éventuellement retrouver son point de départ pour le désanonymiser, ce sont des attaques Sybil. Les services de renseignements n’ont probablement eu qu’un succès mitigé dans ce genre de stratégie, puisqu’ils étaient rapidement repérés par le réseau TOR à l’aide de « honeypots » (des appâts) que seul un node espion pourrait vouloir espionner. Les espions sont toutefois de plus en plus efficaces, ce qui a poussé des chercheurs du MIT (l’université) et de l’Ecole Polytechnique de Lausanne a développé une alternative à TOR qui se renforce là où TOR faiblit, son nom est Riffle.

De base, Riffle utilise le même principe que TOR ainsi que du réseau .onion, mais il disperse et mélange les paquets de données avant de les envoyer à travers le réseau de telle façon à ce qu’un node compromis qui intercepterait plusieurs paquets ne pourrait pas même les replacer dans le bon ordre et identifier des données. Un protocole de chiffrement/signature permettra également de vérifier les données et d’identifier une éventuelle manipulation par un attaquant externe. Bonus, en plus d’être plus sécurisé, Riffle sera plus rapide (10X plus) et consommera moins de ressources processeur que son grand-frère. Riffle est présenté à la Privacy Enhancing Technologies Symposium qui se déroule du 19 au 22 juillet à Darmstadt. Pour en lire plus, voir le document publié sur le site du MIT.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet

22/07/2016

Internet: L’UE cherche à acquérir des technologies israéliennes contre les ‘loups solitaires’

Suite à l’attentat de Nice, le coordinateur européen pour la « lutte contre le terrorisme » était en visite en Israël, notamment car l’Union Européenne cherche à acquérir des technologies qui permettent à l’état d’Israël de repérer les ‘loups solitaires’ sur les réseaux sociaux (ou pas, voir notre précédent article), c’est à dire des personnes qui passent à l’acte sans être liée à une quelconque organisation et donc sans se faire repérer par ses liens, communications, casiers judiciaires,… Les technologies qui intéressent l’UE seraient donc susceptibles de repérer ces personnes. Mais contrairement aux logiciels qui parcourent automatiquement les réseaux sociaux à la recherche de contenus illégaux, ici c’est plus un « comportement » qui doit être repéré. Les logiciels israéliens font donc intervenir des opérateurs humains pour départager les énormes masses de données. Le Coordinateur a également souligné que les services secrets européens avaient moins de marge de manœuvre que leurs homologues israéliens. Le fonctionnement de ces logiciels qui scannent vraisemblablement les posts Facebook à la recherche de messages d’adieu est d’ailleurs à peu près opaque.

Dossier(s): Archives Sécurité IT Tags: Internet, Israël, Technique de répression, Union-Européenne

19/07/2016

Internet/Turquie: Wikileaks publie 300.000 e-mails de l’AKP et est instantanément attaqué

Suite au coup d’état raté contre le régime turc, Wikileaks vient de publier 294.548 e-mails liés à l’AKP, le parti d’Erdogan. Malheureusement, à l’heure actuelle, une attaque informatique massive -probablement orchestrée par l’AKP ou l’un de ses alliés- rend la consultation de ces documents impossible. En guise d’apéritif, quelques ‘chanceux’ ont pu accéder brièvement aux documents avant l’attaque et en parler sur Twitter, on y parle notamment du trafic de pétrole avec l’Etat Islamique. Plus d’informations dans les prochaines heures donc.

Vous pouvez tenter votre chance sur wikileaks.org/akp-emails/

Dossier(s): Archives Turquie-Kurdistan Tags: Internet, Turquie

19/07/2016

Israël/Palestine: Tous les appels au meurtre ne se valent pas

La chaîne de télévision israélienne 10 TV a tenté une expérience dangereuse en demandant à deux personnes, un Arabe israélien et un Juif israélien de publier chacun sur leur page Facebook un appel au meurtre témoignant de leur prétendue intention de commettre un massacre, le premier envers des Juifs, le second envers des Arabes. Le but de l’expérience était de voir à quelle vitesse réagissait le réseau social, les contacts des auteurs des deux appels, et bien évidemment la police israélienne.

Le premier appel n’a reçu « que » 12 likes en quelques heures, aucun commentaire et aucun partage, de nombreux proches de l’auteur l’ont contacté pour le prévenir que son compte avait probablement été hacké, avant que des membres arabes de la Knesset ne l’appelle également pour lui demander de retirer le post. Il a été convoqué par la police de Nazareth quelques heures plus tard avant d’être interrogé pendant plusieurs heures. Quand au second article, il a reçu plus de 1.200 likes, 34 partages et de nombreux commentaires ‘positifs’ comme « Nous sommes fiers de toi » ou « Tu es un roi », seul un commentaire lui disait « Retire ça, tu vas te faire arrêter ». Ce qui n’est pas arrivé: l’auteur de ce second poste n’a pas été inquiété et n’a vraisemblablement pas même été repéré par la police. Les deux publications sont restées en ligne tout au long de l’expérience et n’ont pas été supprimées par Facebook.

Dossier(s): Archives Monde arabe et Iran Tags: Internet, Israël, Palestine

16/07/2016

Sécurité IT: Des relais espions pour le deep web

Quand un utilisateur de Tor s’y connecte, des couches de cryptage s’ajoutent au message. Ce dernier passe par plusieurs serveurs intermédiaires avant d’arriver à sa destination finale. La force du réseau anonyme Tor s’appuie sur des relais dont environ le quart constitue des relais de sortie. Ce sont eux qui font le pont entre le réseau et le reste d’Internet. On savait déjà que ces relais de sortie pouvaient être manipulés de sorte que le contenu envoyé par les utilisateurs de Tor ne soit plus anonyme. Or, une nouvelle faille vient s’ajouter à celle-ci.

D’autres types de relais-espions viennent d’être dévoilés par une nouvelle étude de l’Université Northeastern. Ces relais modifiés permettent à ceux qui sont derrière de trouver les adresses de sites qui sont supposés être secrets sur le deep web, qui regroupe les sites accessibles mais non indexés et auquel on accède via un réseau comme Tor. Les chercheurs ont créé 4500 adresses cachées en 72 jours en passant par Tor. Ils n’ont jamais parlé de ces sites nulle part et ceux-ci ne contenaient rien d’intéressant. Si ces adresses établissaient des connexions, c’était parce qu’un système espionnait le circuit qui passait par le réseau Tor. Au moins 110 de ces relais-espions ont tenté d’en savoir plus sur les adresses secrètes, les services qu’elles pouvaient fournir ou leur créateurs. Ce type d’attaque avait déjà été envisagé par les administrateurs de Tor qui travaillaient à restructurer leur système de services cachés.

Dossier(s): Archives Sécurité IT Tags: Internet

14/07/2016

IT: Il est possible de ‘pirater’ un smartphone à l’aide de commandes vocales inaudibles par les humains

Si vous avez activé les paramètres nécessaires sur votre smartphone pour activer celui-ci à la voix, il vous est peut-être déjà arrivé d’entendre votre smartphone réagir « tout seul » en comprenant mal un son environnant. Sur les smartphones Android, il est en effet possible de demander quelque chose en disant « OK Google », alors que l’écran est verrouillé. C’est sur cette ‘faille’ que des chercheurs des universités de Georgetown et de UC Berkeley se sont basé pour tenter une attaque vocale alors même que la commande est à priori incompréhensible pour une oreille humaine. Dans la vidéo ci-dessous, on peut les voir énoncer plusieurs commandes (qui sont écrites à la suite et paraissent alors évidentes). Cette expérience vise surtout à démontrer qu’il est apparemment possible de faire effectuer des tâches à distances à un smartphone, aux conditions que son propriétaire ne soit pas dans la pièce pour s’en rendre compte, que l’attaquant ait la possibilité de jouer le son nécessaire (à travers une vidéo Youtube par exemple), et qu’il soit possible d’exécuter une commande intéressante. Ça fait beaucoup de ‘si’, mais ça fonctionne en théorie. Notons que l’expérience a également fonctionné avec Siri, l’équivalent iOS de Google Now.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression