08/07/2016

Internet: Facebook Messenger adopte également le chiffrement Signal

L’application Signal à été popularisée par Edward Snowden qui en pensait le plus grand bien. Les développeurs de Signal ont dernièrement permis à d’autres développeurs d’intégrer le protocole de chiffrement de Signal dans leurs propres applications. On a donc pu voir Whatsapp adopter ce protocole pour la totalité de ses communications, écrites et vocales. Tout comme Google avec sa future application Allo (qui sera probablement déployée dans les prochaines semaines aux côtés de la mise à jour Android Nougat), Facebook adoptera un système de conversations secrètes qui pourront être utilisées à côté des conversations normales. Si Google et Facebook n’ont pas généralisé le chiffrement c’est probablement pour permettre aux « bots » d’intervenir dans les conversations, et de ce côté il n’y a aucune illusion à se faire, ces prémices d’intelligence artificielle se nourrissent des conversations des utilisateurs.

Le chiffrement est actuellement disponible pour quelques utilisateurs et devrait être disponible pour tout le monde d’ici à la fin de l’été.

Dossier(s): Archives Sécurité IT Tags: Internet

06/07/2016

Internet: Kim Dotcom veut encore une fois créer un site cloud chiffré gratuit

Le fondateur de Megaupload Kim Dotcom s’était rendu mondialement célèbre en étant le patron du site d’échanges de fichiers Megaupload avant que le FBI ne vienne le fermer lors d’une énorme opération en Nouvelle-Zélande en janvier 2012. Un an plus tard, il avait ouvert un nouveau site « Mega », offrant 50Go de stockage cloud (bien plus que la concurrrence, même actuelle) chiffré dans le navigateur. Mega n’a probablement pas été extrêmement sécurisé, mais il avait le mérite d’être massif et tout de même plus sécurisé que les autres services du même acabit. Le chiffrement était un argument de marketing et surtout une manière de protéger légalement la société qui ne pouvait censurer ce qu’elle ignorait. Encore une fois, la créature de Dotcom lui a échappé, cette fois-ci aux mains de ses co-dirigeants. Finalement, ce 5 juillet, Kim a commencé a parler sur Twitter d’un nouveau service « beaucoup mieux que Mega » avec 100Go de stockage gratuit et chiffrés à la volée, synchronisation entre les appareils, plus simple d’utilisation et surtout des transferts illimités (ce qui signifie que c’est seulement ce qui est hébergé sur le moment qui est payant et pas le nombre de fois qu’on l’uploade, contrairement à Mega qui facture à outrance cette opération). Si Kim Dotcom tient absolument à ce que des gens utilisent ses logiciels pour protéger leurs fichiers, il pourrait cette fois tenter d’en garder le contrôle.

A new site is in the making:
100gb free cloud storage
On-the-fly encryption
Sync all your devices
NO TRANSFER LIMITS#5thRaidAnniversary

— Kim Dotcom (@KimDotcom) 5 juillet 2016

Dossier(s): Archives Sécurité IT Tags: Internet, Nouvelle-Zélande

03/06/2016

USA: Une développeuse de TOR assignée par le FBI

Le FBI souhaiterait pouvoir mettre la main sur une méthode qui lui permettrait de briser l’anonymat proposé par l’excellent outil d’anonymisation TOR. Il s’intéresse donc aux codeurs de TOR. Bilan, le FBI a assigné l’un des développeurs de Tor, Isis Agora Lovecruft (vous avez bien lu), qui a préféré se dérober. Elle pense que le FBI a choisi cette voix pour la contraindre à aider à cracker le système TOR. L’EFF, l’Electronic Frontier Foundation (EFF), la principale organisation à but non lucratif défendant les libertés civiles électroniques aux USA, indique que le FBI doit être plus précis dans sa demande « Que veulent-ils ? demande l’EFF. Il faut savoir ce que veut le le FBI avant qu’elle puisse décider si elle va les rencontrer ». Isis est une informaticienne de premier ordre : spécialiste dans le reverse engineering, le chiffrement et le développement de l’Open Observatory of Network Interference (OONI), une plate-forme dédiée à contrer la censure mondiale. Depuis 2013, elle est plongée dans TOR.

Dossier(s): Amérique du Nord Archives Tags: Etats-Unis, Internet

21/05/2016

Internet: Aprés Whatsapp, Signal protègera la nouvelle messagerie Google Allo

Le protocole Signal qui chiffre l’application éponyme ainsi que les communications faites sur Whatsapp sera implémenté dans la nouvelle app de messagerie Google Allo. Contrairement aux deux intégrations précédentes, le protocole Signal ne sera activé que lors du mode « Incognito », puisque l’application utilise des intelligences artificielles qui sont capables de lire les messages lorsqu’ils ne sont pas envoyés en mode incognito. Le protocole Signal est largement accepté comme sûr et est sponsorisé par Edward Snowden en personne.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet

30/04/2016

Bruxelles/Internet: Conférence du créateur de PGP ce 18 mai

Philip Zimmerman est l’inventeur de PGP « Pretty Good Privacy » qui est depuis 1991 la référence en matière de chiffrement des communications. En tant que Secours Rouge, nous faisons nous-même régulièrement la promotion de PGP via des formations et une utilisation quotidienne. A l’occasion de sa nomination comme Docteur Honoris Causa, Zimmerman donnera ce 18 mai une conférence « encryption, privacy, and avoiding a surveillance state » à l’ULB (local UD2.218A, Campus Solbosch) à 18.30. Les places sont limitées et réservables ici.

Dossier(s): Archives Belgique - Autres sujets Tags: Belgique, Internet

15/04/2016

IT: Mise à jour de Mozilla Thunderbird

Depuis que Mozilla souhaite se concentrer uniquement sur le navigateur Firefox, Thunderbird est laissé dans un relatif abandon où ce sont surtout les failles de sécurité qui sont bouchées, de « nouvelles » fonctionnalités (agenda, gestion de contacts,…) sont ajoutées de temps à autres alors que l’utilisation du programme souffre de nombreux bugs et lenteurs qui font espérer que Thunderbird soit bientôt repris par une autre association.

Thunderbird vient toutefois de passer en version 45, cette mise à jour devrait régler plusieurs bugs, et espérons le rendre le logiciel utilisable en évitant la crise de nerfs. Si votre version ne se met pas à jour (encore un bug courant, pour vérifier voyez la capture d’écran), vous pouvez vous rendre sur le site de Thunderbird pour télécharger la dernière version que vous n’aurez qu’à exécuter pour forcer la mise à jour.

Si les utilisateurs de MacOS et de Linux peuvent se consoler en utilisant d’autres logiciels de messageries qui supportent le chiffrement OpenPGP, Thunderbird est malheureusement sans alternative crédible sur Windows à l’heure actuelle.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

06/04/2016

IT: Subgraph, un nouveau concurrent pour TAILS

TAILS, « The Amnesiac Incognito Live System » est très apprécié des personnes soucieuses de leur anonymat et de leurs données. C’est un système d’exploitation complet à déployer sur un DVD ou sur une clé USB, une fois démarré toutes les connexions passent par TOR. A l’arrêt de la machine, toutes les données qui n’ont pas été sauvegardées dans un éventuel répertoire chiffré sur la clé USB sont détruites.

SubgraphOS, développé par l’association éponyme à Montréal propose lui aussi une distribution linux ultra-sécurisée mais va en théorie plus loin que TAILS. Différence majeure: SubgraphOS peut être installé de façon « permanente », là où TAILS ne peut -par philosophie- qu’être installé sur un support externe. Subgraph propose également un client e-mail et une implémentation d’OpenPGP originales, sans passer par les clients habituels de Linux (Thunderbird et GnuPG)

Pour télécharger et tester Subgraph, c’est ici. Notez que Subgraph n’est disponible que depuis le 16 mars et qu’il reste probablement des failles critiques, il vaut mieux ne pas l’utiliser pour autre chose que du test à l’heure actuelle.

Dossier(s): Archives Sécurité IT Tags: Canada, Internet, Technique de répression

06/04/2016

Internet: Signal offre son chiffrement end-to-end à Whatsapp

L’application Whatsapp (propriété de Facebook), totalisant plus d’un milliard d’utilisateurs actifs vient d’annoncer avoir généralisé le chiffrement bout-en-bout (end-to-end) sur l’ensemble de son réseau, ce qui veut dire qu’en théorie, ni Whatsapp, ni Facebook, ni le FBI, ni personne d’autre que votre correspondant ne peut lire les messages échangés via cette plateforme.

Signal est de plus en plus utilisé par les personnes soucieuses de la confidentialité de leurs communications, il a acquit une certaine crédibilité après avoir reçu les louanges d’Edward Snowden (ce dernier finance d’ailleurs l’app à travers sa fondation). Le protocole de chiffrement de Signal est à présent déployé sur l’un des plus vastes moyens de communication existant à l’heure actuelle (Plus de messages sont échangés chaque jour sur Whatsapp que via SMS par exemple). Il faut garder à l’esprit que si on peut considérer que le contenu des messages et des appels est relativement bien protégé: Whatsapp n’en devient pas anonyme pour autant.

Plus d’infos :
– le post sur le blog de Whatsapp
– le post sur le blog de Signal
– la documentation plus détaillée sur le site de Whatsapp

A billion people just got end-to-end encryption via @WhatsApp.
"Sometimes quantity has a quality all its own. – @yishan
Next: #anonymity?

— torproject (@torproject) 5 avril 2016

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet

16/03/2016

USA: Les géants d’internet défendent le cryptage contre le FBI

De Google à Facebook en passant par Microsoft ou Yahoo!, de nombreux géants de la Silicon Valley et du secteur technologique soutiennent Apple dans son combat contre la justice américaine qui voudrait l’obliger à déverrouiller ses iPhone. Un communiqué commun de leur lobby, la Computer & Communications Industry Association (CCIA) et d’autres acteurs du secteur devait être déposé jeudi devant la justice californienne, qui s’occupe de ce dossier. La justice américaine a demandé qu’Apple aide le FBI à accéder au contenu d’un iPhone utilisé par l’un des auteurs de l’attentat de San Bernardino, qui a fait 14 morts début décembre en Californie. Dans cette affaire, les parties doivent présenter leurs arguments lors d’une audience devant un tribunal fédéral de Californie le 22 mars.

Lire le communiqué de la CCIA

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Technique de répression

14/03/2016

Tech: Démonstration des limites de l’identification biométrique

Lors du Chaos Communication Camp de 2013, quelques mois à peine après la sortie de l’iPhone 5, nous en avions parlé à l’époque, des hackers avaient démontré que la sécurité basée sur des capteurs d’empreinte digitale pouvait être contournée cette protection en photographiant les empreintes digitales avant de les reproduire à l’identique sur une fine pellicule de plastique, un procédé suffisant pour tromper la plupart des capteurs présents sur le marché ainsi que TouchID.

Récemment, des chercheurs de l’université du Michigan ont, en moins de 15 minutes, leurré le système du Samsung Galaxy S6 et du Huawi Honor 7. A condition bien sûr de récupérer l’empreinte digitale du possesseur du téléphone, il leur a suffit de réaliser une impression en haute résolution sur un papier brillant et une encre spécifique via une simple imprimante basique à jet d’encre. Les chercheurs précisent par ailleurs que la tentative de hack sur un iPhone 5s s’est soldée par un échec

La biométrie présente en outre un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent de devenir tous vulnérables en même temps. En outre, les données biométriques ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…

Dossier(s): Archives Techniques de la répression Tags: Etats-Unis, Internet, Technique de répression