Mise à jour du site

Notre site souffrait de lenteurs et d’indisponibilités réccurentes depuis plusieurs mois maintenant. Suite aux travaux de la nuit dernière, il ne devrait à terme plus y avoir de problèmes de performances. Des bugs peuvent encore se produire, principalement : le site peut être indisponible ou le certificat https/ssl (qui assure le chiffrement de la connexion entre vous et notre site) peut apparaître comme périmé. Ces problèmes sont dûs à la propagation DNS (c’est à dire, une période de 24h durant lesquelles certains serveurs ne sont pas au courant que le domaine “secoursrouge.org” mène désormais vers l’adresse d’un nouveau serveur).

Si vous rencontrez toujours des problèmes le 21 mai, vous pouvez tenter de nettoyer votre navigateur, pour le forcer à télécharger le site depuis son nouvel emplacement. Mais si vous arrivez à lire cet article depuis notre site vous n’êtes pas concerné-es.

Lancement de l’Agenda Zone Midi

Le site de notre local, le Sacco-Vanzetti, est actuellement remplacé par un agenda qui sera commun avec d’autres lieux du sud de Bruxelles (principalement Saint-Gilles, Anderlecht et Forest). Ce nouveau site peut être visité à l’adresse zonemidi.org. L’adresse saccovanzetti.space redirigera bientôt vers la page dédiée sur l’Agenda Zone Midi, c’est à dire zonemidi.org/sacco-vanzetti/

 

Le projet de loi EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies – Loi sur l’élimination des négligences abusives et rampantes des technologies interactives) est un projet de loi déposé en mars qui vise à réduire les protections légales des applications et des sites Web dont le but déclaré est d’éradiquer l’exploitation des enfants en ligne. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l’article 230 de la Communications Decency Act, qui protège les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs. Plusieurs organisations et législateurs s’opposent à cette nouvelle loi. De son côté, Signal a averti mercredi 8 avril qu’une éventuelle adoption de cette loi saperait le chiffrement de bout en bout. Dans un billet sur son blog, Signal a déclaré qu’en cas d’adoption du projet de loi, l’application serait dans l’obligation de quitter le marché américain. En plus de l’ensemble de personne qui, à travers le monde, utilisent Signal, cette application est recommandé par l’armée américain et est également utilisé par des sénateurs américains ainsi que des membres de la Commission Européenne.

Signal

Signal

Le 31 mars, en plein confinement, Proximus dont l’État belge est le principal actionnaire, annonce le déploiement d’une 5G light sur des fréquences inutilisées de la 3G, dans 30 communes belges. Cela alors que les enchères pour la 5G n’ont pas encore été ouvertes en Belgique, que les normes diffèrent selon les régions, et que le débat sur les conséquences de la 5G en terme de santé publique est loin d’être fini. Une internaute bruxelloise lance une pétition en ligne qu’elle adresse au gouvernement belge et intitule « Pas de 5G ». Le soir-même, 30.000 personnes l’ont signée. Dix jours plus tard, 105.000 signatures sont recueillies. Mais le 10 avril au matin, ceux qui veulent trouver la pétition se voient dire que la page est introuvable. En réalité, la pétition (dont le texte est encore accessible ici via le cache de Google) a été supprimée parce  « qu’une partie du contenu de votre pétition enfreint le règlement de la communauté ».

Cet épisode met une nouvelle fois en lumière la fragilité des initiatives politiques face aux grandes plateformes Internet – à l’image de Change.org qui, malgré sa mission de « donner à toute personne le pouvoir de créer le changement qu’elle souhaite voir », est avant tout une entreprise commerciale. La plateforme californienne revendique à ce jour 359.920.771 utilisateurs dans 196 pays. Parmi ses sources de profit: la revente des adresses mail des signataires de pétitions et leur profilage en fonction de leurs opinions politiques. Oxfam a reconnu acheter de telles données à Change.org (pour relancer les signataires avec des demandes d’argent). Change peut vendre (ou à déjà vendu) les listes de signataires à des sociétés de publicité au service d’entreprises dénoncées par les pétitions pour définir et affiner des opérations de relations publiques annulant l’effet des dénonciations… Change peut les vendre aussi au au “destinataire de la pétition”. Le règlement européen sur la protection des données entrera en vigueur à la fin du mois de mai 2018 entravera cette politique (un onglet devrait permettre d’activer/désactiver l’autorisation d’utilisation des données) sans la supprimer tout à fait.

Capture d'écran de change

L’ONG Access Now, qui défend un accès libre au Web, vient de publier son rapport pour 2019, qui met en avant les nouvelles modalités de coupure de l’accès à internet par certains gouvernements. De nombreux gouvernements ont pris l’habitude de fermer de plus en plus internet, souvent pour étouffer la dissidence politique et presque toujours en période de contestation sociale ou d’élections. L’ONG a compté un nombre record de 213 coupures brutales en 2019 (75 en 2016, 196 en 2018). Cette méthode est devenue récurrente dès lors que les gouvernements veulent véritablement isoler des régions entières, ainsi la décision prise par le premier ministre indien le 5 août 2019 de couper l’accès au web dans les régions à tendance séparatiste du Jammu et du Cachemire. Le rapport décortique les justifications apportées par les gouvernements pour étayer leur politique répressive. Là, on observe que la lutte contre les “fausses nouvelles” et les “discours haineux” sont utilisées comme des excuses pour consolider la censure et les coupures massives.  On peut demander une copie du rapport 2019 d’Access en écrivant à l’adresse : melody@accessnow.org

Les coupures du net en 2019

La justification des coupures du net

 

La Russie doit tirer le bilan lundi du test des équipements devant lui permettre d’isoler son internet des serveurs mondiaux et dont le but officiel est de garantir son fonctionnement même en cas de cyberguerre mondiale. Ces essais interviennent dans le cadre d’une loi controversée, dénoncée comme instaurant des dispositifs de censure, entrée en vigueur début novembre (voir notre article). Il s’agit notamment de tester, dans des zones spécialisés, les mécanismes de réaction à des “menaces” au fonctionnement stable et sécurisé de l’internet en Russie, selon le ministère russe des Communications. Des tests ont déjà eu lieu à divers niveaux depuis près de deux semaines.

Concrètement, le trafic internet sera réorganisé de manière à réduire la quantité de données transmises via l’étranger. A cette fin, les fournisseurs d’accès devront installer d’ici 2021, l’année des prochaines législatives en Russie, sur leurs réseaux une infrastructure spéciale fournie par les autorités mais dont la nature n’a pas été révélée. Cette technologie permettra au gendarme russe des télécoms, Roskomnadzor, d’effectuer au besoin une “inspection profonde de paquets” (DPI), soit une analyse de tout le trafic qui transite par les serveurs russes et de rediriger ce flux vers des sites ou des services spécifiques. Roskomnadzor aura également la possibilité de faire basculer le trafic national sous son “contrôle centralisé” en cas de “menace à son intégrité”. Concrètement, il pourra bloquer tout site ou contenu directement, une tâche qui incombe actuellement aux opérateurs avec des succès variables.

Manifestation d'opposition à la loi

 

 

Mozilla, l’éditeur du navigateur Firefox, a annoncé début octobre son intention d’intégrer OpenPGP et Enigmail a son logiciel de messagerie et de gestion d’e-mails, Thunderbird. Le portage est actuellement prévu pour la version 78 qui devrait être publiée en été 2020. Cette décision fait suite à une modification du code de Thunderbird qui rendra l’extension Enigmail incompatible après la version 68 du logiciel (c’est la version actuelle, 68.2). Malheureusement, pour des raisons de licences incompatibles (les licences sont les conditions de modification, distribution, intégration de logiciels) l’affaire ne sera pas simple. Si les développeurs ne trouvent pas une bibliothèque alternative à GnuPG pour implémenter le protocole OpenPGP dans leur logiciel, ils seront obligés d’en écrire une pour l’occasion. Ils seront aidé par Patrick Brunschwig, qui développe Enigmail depuis 17 ans.

Pendant des années, le logiciel de chiffrement PGP a été la principale façon sécurisée de communiquer, notamment dans les sphères militantes. Son utilisation était complexe, notamment car elle nécessitait l’installation de trois logiciels : Thunderbird, une bibliothèque PGP (GPG pour Linux, GPG4WIN pour Windows, GPGTools pour MacOS ou OpenKeychain pour Android, entre autres) et le plug-in Enigmail qui faisait le lien entre les deux pré-cités. PGP ne profitait en outre pas d’une large communauté d’utilisateurs, ce qui rendait son utilisation encore plus difficile. L’arrivée d’applications mobiles de messagerie instantanée très sécurisées et très simples d’utilisation comme Signal (la seule que nous recommandons) a changé la donne. Signal est très largement utilisé et ne nécessite pas une formation pour être utilisé. La décision de Mozilla semble donc être bien tardive.

Dossier(s): Dossiers Tags:

Tails a annoncé aujourd’hui la version 4.0, une mise à jour majeure donc, de son système d’exploitation sécurisé, référence de nombreux militants. Au menu des nouveautés, Tails est désormais basé sur Debian 10, KeePassX est remplacé par KeePassXC, Onionshare et Tor Browser sont accompagnés de nouvelles fonctionnalités, MAT (Metadata Anonymisation Toolkit) est à présent directement intégré à l’explorateur de fichiers (il suffit d’un clic-droit et “effacer métadonnées), le “Tails Greeter” (menu d’accueil qui permet de déchiffrer un stockage persistant ou de définir un mot passe administrateur) a été amélioré pour les utilisateurs non-anglophones et le clavier à l’écran (utilisable avec la souris pour déjouer les keyloggers) est plus simple à utiliser. Enfin, Tails 4.0 est plus performant : il est 20% plus rapide à démarrer, utilise 250Mb de RAM en moins, et pèse 47Mb de moins que les versions précédentes. Le support des périphériques Thunderbolt a été ajouté ainsi que le tethering depuis un iphone. La liste officielle des changements peut être consultée ici.

Pour commencer à utiliser Tails, c’est ici.

Tails

Tails

Les développeurs de VeraCrypt (le descendant de TrueCrypt) viennent d’annoncer une nouvelle version de leur puissant logiciel de chiffrement, la version 1.24. La mise à jour précédente (1.23-hotfix-2) datait d’il y a précisément un an.

Au menu des nouveautés, pour tous les systèmes d’exploitation : la longueur maximum des mots de passe augmente à 128bits pour les volumes de chiffrement simples (non-système). La génération matérielle de nombres aléatoires Jitterentropy peut être utilisée à la place de RDRAND et le logiciel détectera mieux les fonctionnalités des processeurs pour optimiser la génération. Uniquement pour Windows : VeraCrypt prend désormais en charge le chiffrement des clés et mots de passe dans la mémoire vive (RAM), utilisant 10% des ressources sur les processeurs modernes, l’activation de cette fonctionnalité (désactivée par défaut) a pour effet secondaire de ne pas permettre l’hibernation de Windows; la mémoire utilisée par VeraCrypt est désormais inaccessible aux utilisateurs non-administrateurs (ce qui permet de bloquer certaines tentatives d’attaques); les clés de chiffrement sont désormais effacées de la mémoire vive lors d’un arrêt/redémarrage du système (ce qui permet de bloquer des tentatives d’attaques “cold-boot”); une option a été ajoutée pour effacer les clés de la mémoire-vive lorsqu’un appareil est connecté à l’ordinateur et que le volume chiffre tout le système; nouveau point d’entrée driver permettant à d’autres applications d’effacer les clés de la mémoire en cas d’urgence; la gestion des bootloaders MBR et UEFI est largement améliorée; le bootloader VeraCrypt a été largement amélioré; un bug très ennuyant à également été corrigé (la mise à jour Windows Update cassait le boot VeraCrypt sur certains systèmes). Pour MacOS et Linux, quelques bugs ont été corrigés.

Vous pouvez consulter la liste complète des changements (en anglais) ici, et télécharger VeraCrypt ici.

Veracrypt

Des cyber-attaques ont visé plusieurs de nos sites internet en début de journée, finissant par rendre injoignables plusieurs sites du Secours Rouge et du Secours Rouge International pendant deux heures. Ce genre d’attaques visant à rendre nos sites instables ou injoignables ont lieu régulièrement à basse intensité (au point qu’il est parfois difficile de savoir s’il s’agit d’attaques, si nous sommes la cible ou s’il s’agit d’un usage intensif indéterminé sur le serveur) et elles étaient particulièrement intenses ces derniers jours, mais elles ont passé un cap ce matin. Lorsque nos techniciens ont bloqué une première fois l’attaquant, celui-ci est revenu à la charge avec plusieurs dizaines d’autres machines, ne laissant aucun doute sur ses intentions ou sa cible. Il est à l’heure actuelle difficile de connaître l’identité des auteurs de ces attaques même si le but est évident : mettre nos sites hors-ligne ou les rendre inutilisables pour leurs utilisateurs.

La situation semble être revenue à la normale pour l’instant et nous informerons via notre page Facebook si une telle attaque devait se reproduire.