29/01/2016

Internet: Le mode « navigation privée » de Microsoft Edge n’est pas du tout privé

Difficile de savoir si c’est un bug involontaire ou un fonctionnement délibéré (la première option étant plus probable vu que le mode « Navigation privée » n’est pas vraiment efficace quoi qu’il arrive pour se protéger face à la répression), mais il s’avère que le mode ne « Navigation privée » de Microsoft Edge, le navigateur qui a succédé au détestable Internet Explorer, n’est pas du tout efficace.

Le mode de navigation privée est une fonctionnalité qui est aujourd’hui présente sur tous les navigateurs web modernes, et qui permet tant qu’il est ouvert de ne conserver aucune donnée sur l’ordinateur (historique, cookies, recherches,…) sauf que celui de Edge stocke les données dans le dossier WebCache de l’ordinateur. Pire encore, les fichiers ouverts en navigation privée sont spécifiquement marqués (pour pouvoir être réouverts en cas de crash, un non-sens absolu). Pire encore, si la synchronisation de fichiers de Windows est activée, cette historique sera synchronisée entre tous les ordinateurs connecté à l’identifiant Microsoft de l’utilisateur. Microsoft a été mis au courant du bug et a promis de le régler. En attendant, mieux vaut utiliser le mode de navigation privée de Firefox.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

18/01/2016

USA: Le FBI ne trouve pas de hackers sobres à engager

Contrairement à la NSA, le FBI a un train de retard en matière de sécurité informatique. Afin de protéger les diverses infrastructures gouvernementales américaines et de mettre au point des systèmes de surveillance plus efficaces, le Bureau doit engager une grande quantité de hackers. Selon le directeur du FBI -James Comey- lui-même, c’est un chemin semé d’embûches: la culture hacker est actuellement plutôt anti-policière, et les hackers trouvent facilement des emplois bien plus lucratifs et bien moins légaux qu’au sein de la police fédérale américaine.

Lors d’une conférence devant une école de criminologie new-yorkaise, le patron du FBI a suggéré que son agence n’avait d’autres choix que de laisser les hackers fumer de l’herbe sur leur lieu de travail, ayant lui-même du refuser des recrues qui se présentaient sous influence à leur entretien d’embauche. Malgré ces déclarations, il y a peu de chances que les règles du FBI ne s’assouplissent, James Folley a essuyé de nombreuses critiques après avoir évoqué ce sujet.

Dossier(s): Amérique du Nord Archives Tags: Etats-Unis, Internet, Technique de répression

16/01/2016

Internet: Peerio est compromis

Il y a un an, nous vous avions parlé d’une nouvelle application de messagerie et de stockage cloud, le tout chiffré. Peerio était le dernier né du jeune cryptographe libanais Nadim Kobeissi, à qui l’on doit notamment l’application Cryptocat.

Peerio était très prometteur car simple, attrayant, multi-plateforme et qu’il amenait avec lui Nadim Kobeissi comme une « guarantie » (si cela pouvait exister en sécurité informatique). Malheureusement, après quelques semaines le projet a tourné court: Kobeissi claque la porte. La direction de Peerio avait prévu comme business model de fournir Peerio gratuitement, mais de vendre des versions « privées » aux entreprises. Lors de l’une des premières entrevues avec une entreprise, celle-ci demande immanquablement s’il est possible de mettre une backdoor dans l’application, ce à quoi la direction de Peerio acquiesce. C’est à ce moment que Kobeissi, le cryptographe de Peerio, quitte le navire. Comme nous l’apprennent les récents événements, ll ne sera pas remplacé par quelqu’un à sa hauteur.

Il y a quelques jours, Cure53, une boite de pentesting (sécurité IT) berlinoise a rendu ses conclusions au sujet de Peerio, et de nombreuses failles (17 dont deux graves) ont été découvertes dans le code. L’une des failles est particulièrement grave puisqu’elle concerne directement le code critique de chiffrement en y utilisant la fonction javascript eval();. Ce qui permet d’exécuter une attaque XSS en envoyant un message à la cible.

Le rapport de Cure53 peut être consulté à cette adresse. Une alternative viable, grand publique, « approuvée par Snowden » et déjà utilisée par de nombreux militants semblent être l’application Signal de Whisper System. Cette dernière a récemment été publiée en tant qu’application Chrome (à la manière de Peerio). Et bien évidemment PGP, qui n’est pas prêt de céder à des failles aussi énormes.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

13/01/2016

France/Internet: Wikipédia bloque le Ministère de l’Intérieur pour « vandalisme » et « foutage de gueule »

L’encyclopédie en ligne Wikipédia peut être éditée par n’importe qui. Elle est toutefois conçue de façon à ce qu’un article mensonger ou modifié à la faveur/défaveur subjective d’une page soit rapidement détecté par la communauté. Si une personne « vandalise » donc trop souvent des articles en les modifiant à ses fins propres, elle peut être bannie pour une certaine durée.

C’est la mésaventure qui vient d’arriver au Ministère de l’Intérieur français. Le compte qui en émanait a apporté 4.000 modifications à des pages depuis 2007 dont une bonne partie contenaient des grossièretés ou des irrégularités. Le compte a déjà été bloqué huit fois depuis 2008 pour des durées allant de trois jours à un mois. On sait par exemple que la page concernant le préfet de police Bernard Boucault avait été raccourcie, que la page concernant « Wikipédia » lui-même avait été recouverte d’insultes. Une liste non-exhaustive est disponible sur la page de discussion qui a abouti à l’expulsion du « vandale ».

L’adresse IP utilisée étant celle du Ministère, plus aucune modification ne pourra avoir lieu depuis ce lieu pendant un an. Le cas se présente habituellement pour des collèges où les élèves s’amusent à modifier les pages Wikipédia, la sanction concerne dans ce cas également l’établissement entier. C’est l’administrateur « Jules78120 » qui a posé le geste final pour bloquer l’adresse IP 212.234.218.196, en soulignant que le Ministère se permettait en plus de pister ceux qui lui faisaient des remarques et d’inventer des règles fantaisistes alors même qu’il était découvert… Le Ministère de l’Intérieur n’a pas souhaité réagir à la polémique pour l’instant.

Dossier(s): Archives France - Autres sujets Tags: France, Internet, Technique de répression

11/01/2016

Internet: « we.riseup » sort de beta après 8 ans de développement

De très nombreux militants connaissent le site riseup.net qui fournit depuis de nombreuses années des outils internet aux révolutionnaires. Après les adresses e-mails, les listes de diffusion (que nous utilisons par exemple pour notre newsletter), les VPN et les outils de collaboration bureautique, Riseup vient aujourd’hui de faire sortir « We Riseup » de sa beta, considérant ainsi que le logiciel est assez mature pour être utilisé par tous.

We Riseup est basé sur le logiciel « Crabgrass » également développé par Riseup. Pour le définir simplement, Crabgrass reprend de nombreuses fonctionnalités qu’offrent aujourd’hui les réseaux sociaux. Il est prévu pour servir d’outils aux divers groupes politiques en offrant des fonctions de travail collaboratif et de réseautage. Des dizaines de milliers de personnes l’utilisent déjà à l’heure actuelle.

Comme avec toute technologie internet: il faut se rappeler de ne jamais l’utiliser pour quelque chose de sensible. Riseup souligne qu’il n’y a pas de chiffrement coté client (et qu’il n’en existe à l’heure actuelle pas d’assez fiable que pour l’utiliser) et qu’il faut se comporter comme si Riseup pouvait accéder aux données. Notons également que les comptes de « We Riseup » sont indépendants des autres services de Riseup, il faudra donc créer un nouveau compte.

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet

10/01/2016

Secours Rouge: Le film « Les 3 histoires du Secours Rouge International » est en ligne

Le film « Les trois histoires du Secours Rouge » projeté lors de l’exposition qui a eu lieu le mois dernier à Bruxelles est à présent en ligne sur Youtube, en anglais sous-titré français. Vous pouvez activer/désactiver les sous-titres à l’aide du bouton prévu par Youtube dans le coin inférieur droit de la vidéo.

Bon visionnage !

Dossier(s): Archives Belgique - Autres sujets Secours Rouge Bruxelles Tags: Belgique, Internet, Secours Rouge International, Secours Rouge/APAPC

05/01/2016

Internet: Microsoft annonce qu’il préviendra les utilisateurs d’Outlook s’ils sont espionnés

Rejoignant Google, Facebook et Twitter, Microsoft a également annoncé qu’il préviendra les utilisateurs de son service d’e-mails, Outlook, si ceux-ci sont espionnés par un état. Comme pour les trois cas précédents, impossible de vérifier la sincérité de la firme bien connue pour mettre son nez dans les ordinateurs de ses clients.

Seul Twitter a, à l’heure actuelle, prouvé sa bonne fois en prévenant plusieurs militants des libertés numériques, dont plusieurs français, qu’ils étaient espionnés.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

03/01/2016

Technologie: Apple a produit les logiciels les plus vulnérables de 2015

Contrairement à ce que sa réputation laisse entendre, les logiciels d’Apple comportent de nombreuses failles de sécurité. Un classement des logiciels ayant eu le plus de failles pour l’année écoulée donne aux deux produits phares de la pomme (OSx et iOS) des scores plus déplorables encore que ceux d’Adobe Flash (pourtant largement considéré comme la passoire la plus utilisée au monde).

Selon le site CVE Details qui archive les failles de sécurité découvertes, OSx arrive en tête du classement avec 384 failles, suivi de près par son cousin mobile iOS qui fait 375 failles. Les mauvais élèves habituels Adobe Flash, Adobe Air et Internet Explorer complètent le top 5 avec respectivement 316, 246 et 231 failles chacun. Enfin, Google Chrome (187 failles), Mozilla Firefox (178 failles), Windows Server 2012 (155 failles), Ubuntu (152 failles) et Windows 8.1 (151 failles) complètent la liste des logiciels ayant eu le plus grand nombre de failles rapportées.

Le classement par éditeur met lui aussi Apple dans l’embarras: Apple (654 failles), Microsoft (571 failles), Cisco (488 failles), Oracle (479 failles), Adobe (460 failles), Google (323 failles), IBM (312 failles), Mozilla (188 failles), Canonical (153 failles), Novell (143 failles).

Points positifs pour la sécurité informatique en cette année 2015: la mort annoncée d’Adobe Flash (au profit des technologies HTML5) et d’Internet Explorer (au profit de Microsoft Edge) qui, eux, justifiaient pleinement leur réputation de dangers publics.

Ces chiffres annoncent une fois de plus l’importance de mettre à jour ses logiciels, puisque les failles informatiques sont largement utilisées par les services de police et de renseignements pour espionner les internautes.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

30/12/2015

Internet: L’erreur 451 remplacera l’erreur 404 en cas de censure

Tous les internautes connaissent « l’erreur 404 » affichée par un site lorsqu’une page demandée n’existe pas ou plus. L’IESG (Internet Engineering Steering Group) qui crée la plupart des standards d’internet vient d’émettre une notice pour standardiser le genre d’erreur qui doit être affichée lorsqu’une page est inaccessible pour des raisons légales et qu’elle est bloquée par les autorités. Auparavant, dans un pareil cas, c’était soit l’erreur 404 qui s’affichait, soit l’erreur 403 (contenu interdit pour le visiteur qui affiche la page), ce pourra dorénavant « l’Erreur 451 », dont le nom ne doit rien au hasard: il est inspiré du roman de Ray Bradbury « Fahrenheit 451 », tirant lui-même son nom de la température de combustion du papier.

Notons que dans le cas où un site n’aurait pas l’autorisation de préciser qu’un contenu a été censuré, il affichera probablement une erreur 404.

Dossier(s): Archives Sécurité IT Tags: Internet, Technique de répression

27/12/2015

Turquie: Anonymous revendique la cyberattaque contre la Turquie

Dans une vidéo mise en ligne, les Anonymous menacent le gouvernement de la Turquie, s’il n’arrête pas de soutenir le Daesh, de continuer à attaquer son internet, ses serveurs, ses noms de domaines, ses banques et mettre ses sites gouvernementaux hors connexion. Après les serveurs et les noms de domaines, ils menacent de s’en prendre aux aéroports, actifs militaires, connexions privées de l’État et infrastructures bancaires.

Il y a une semaine, des serveurs turcs ont été la cible des cyberattaques d’Anonymous. Cette manoeuvre serait la cyberattaque la plus intense jamais arrivée dans l’histoire du pays. Selon la firme de recherche en sécurité Radware, plus de 400.000 sites turcs auraient été mis hors connexion. Le gouvernement turc a finalement été contraint de bloquer l’accès Internet à des sites venant de l’extérieur du pays. Les noms de domaine officiels turcs (les sites se terminant par «.tr») ont été mis hors d’usage pour stopper la cyberattaque.

Dossier(s): Archives Turquie-Kurdistan Tags: Internet, Turquie