Emmanuel Macron a annoncé lundi, dans un discours au Forum sur la gouvernance de l’Internet, la mise en place d’un groupe de travail commun avec Facebook. Le groupe de Mark Zuckerberg a donné son accord à une expérience de six mois, début 2019, dans laquelle des représentants des autorités françaises devraient pouvoir accéder aux outils, aux méthodes et au personnel du réseau social chargés de faire la chasse aux contenus “haineux”. Ce groupe, d’une petite dizaine de personnes, sera composé pour moitié de salariés de Facebook. Et pour l’autre moitié de membres sélectionnés par le secrétariat d’Etat au numérique, et issus d’autorités et ministères français.

Le fonctionnement du groupe reste flou à ce stade : son programme de travail sera précisé lors de ses premières réunions. Ce test s’inscrit aussi dans une offensive plus vaste, menée à Paris ou à Bruxelles, pour réguler les contenus en ligne en changeant les règles établies depuis 2000 par la directive sur le commerce électronique, qui distingue les statuts d’éditeur, responsable des contenus et celui d’hébergeur. La création d’un troisième statut appelé “accélérateur de contenus” est envisagée : celui-ci concernerait les réseaux sociaux et les moteurs de recherche comme Facebook, YouTube ou Google, qui ne produisent pas leurs contenus mais les éditorialisent en les classant, notamment via des algorithmes.

Mark Zuckerberg et Emmanuel Macron à l’Elysée, le 23 mai

Mark Zuckerberg et Emmanuel Macron à l’Elysée, le 23 mai

Une faille du Tor Browser a été révélée ce 10 septembre par l’entreprise Zerodium, cette faille est plus précisément liée à l’extension “NoScript” de Mozilla Firefox, installée par défaut, et permet à l’attaquant d’exécuter du code Javascript sur la machine de la cible, même si celle-ci a défini les paramètres de sécurité les plus agressifs (qui désactivent l’exécution de Javascript). Pour utiliser la faille, l’attaquant, qui peut simplement être un site visité par la cible, doit définir le type de contenu de son script comme étant du Json (“notation d’objet javascript”, un format textuel), le script peut ensuite être utilisé pour révéler l’adresse IP de la cible ou d’autres informations permettant de l’identifier. La faille ne fonctionne plus à partir de Tor Brower 8.X, car Mozilla Firefox a été mis à jour vers “Quantum”, une refonte massive.

Zerodium est une entreprise d’acquisition et de vente de “failles 0Day”, qui sont des failles n’ayant fait l’objet d’aucune publication. Il y a un an, Zerodium avait proposé jusqu’à $1.000.000 pour des failles 0Day fonctionnelles permettant d’attaquer Tor ou le système d’exploitation Tails afin de revendre ces failles aux services de police qui voudraient lui acheter.

Si vous utilisez Tor Browser ou Tails Linux, vous devriez mettre à jour avant toute utilisation.

Une démonstration de l’attaque:

Faille critique de Tor Browser

Faille critique de Tor Browser

Le président égyptien al-Sissi a promulgué une loi qui va permettre de surveiller certains comptes d’utilisateurs de réseaux sociaux. Selon cette loi, votée par le parlement en juillet, toute personne ayant plus de 5.000 abonnés en ligne -sur un site personnel, un blog ou les réseaux sociaux- pourra être surveillée. Le Conseil supérieur de régulation des médias sera autorisé à suspendre ou bloquer ces sites ou comptes s’il juge qu’ils “publient ou diffusent de fausses nouvelles” ou “incitent à violer la loi, à la violence ou à la haine”.

Au moins deux ans d’emprisonnement et une amende sont également encourus par “tous ceux qui créent, dirigent ou utilisent un site ou un compte privé dans le but de commettre ou faciliter la commission de crimes punis par la loi”. La nouvelle loi prévoit aussi une peine de prison d’un an et une amende pour “toute personne qui accède délibérément ou par erreur, et sans raison valable, à un site, un compte privé ou un système informatique dont l’accès est interdit”.

À la mi-août le président avait promulgué une loi de “lutte contre la cybercriminalité” permettant aux autorités de bloquer tout site dont le contenu constitue “une menace pour la sécurité nationale” ou pour “l’économie nationale”. Plus de 500 sites d’informations ou d’ONG sont actuellement bloqués en Egypte. Plusieurs internautes et blogueurs, critiques du gouvernement ou connus pour leurs commentaires ou dessins satiriques, ont récemment été arrêtés et placés en détention. Les autorités leur reprochent d’appartenir à des “groupes interdits” et de diffuser des “fausses nouvelles”.

Le maréchal al-Sissi

Le maréchal al-Sissi

Un agent du FBI chargé de la surveillance du dark web avait été contacté sur AlphaBay, où on négocie à peu près n’importe quoi en échange de bitcoin, par un utilisateur nommé Meat Cleaver. Le 3 septembre 2016, “Meat Cleaver” a commandé de l’explosif Semtex, une grenade à fragmentation soviétique F-1, une arme de poing et 100 cartouches. Le colis, devait être adressé à un certain James Geraghty, à Dolphin House. L’agent du FBI a organisé une fausse livraison DHL le matin du 14 septembre 2016. Un policier a alors photographié Jonathan Hawthorn recevant le colis à Dolphin House et signant le reçu au nom de M. Geraghty. Il a été arrêté plus tard dans la matinée avec un sac contenant la grenade (factice) et le (faux) Semtex.

La cour spéciale (sans jury) vient de condamner Jonathan Hawthorn, 45 ans, de Ballintyre Downs, (Ballinteer, Dublin), d’appartenance à l’IRA. Deux autres accusés, James Geraghty (61 ans) et Donal O’Ceallaigh (33 ans) ont par contre été jugés non coupables. Le juge estimant qu’il n’y avait aucune preuve étayant la thèse de la police selon laquelle les deux hommes étaient organisés dans l’IRA avec Jonathan Hawthorn. Celui-ci connaîtra sa peine lors d’une audience en octobre.

Alphabay

Alphabay

Tails, “The Amnesic Incognito Live-System”, un système d’exploitation très bien sécurisé, intègre dans sa dernière version béta le support des disques chiffrés via Veracrypt. Veracrypt est le successeur de Truecrypt, c’est une application qui permet de chiffrer disques durs internes et externes, clés USB et autres support de mémoire. Veracrypt (et avant lui Truecrypt) est probablement l’un des utilitaires les plus puissants pour le chiffrement sur Windows (sur Linux, on peut lui préférer LUKS). Si Tails intègre nativement le chiffrement LUKS, il était impossible de monter directement un disque veracrypt depuis le système d’exploitation, il fallait donc jusqu’à aujourd’hui passer par un support intermédiaire pour passer des données d’une partition Windows chiffrée avec Veracrypt vers la partition chiffrée de Tails. Tails avait interrogé ses utilisateurs volontaires et il apparaissait que 40% d’entre eu utilisent Veracrypt en plus de Tails.

Concrètement, la partition Veracrypt peut être montée directement depuis l’Utilitaire de Disques (“Disks”) si elle a une extension .hc. Sinon, Tails a développé une application ‘VeraCrypt Mounter’ pour monter les partitions sans extension. Pour télécharger l’image disque intégrant Veracrypt, le lien est ici. C’est une version béta, donc des erreurs peuvent probablement se produire. Les erreurs déjà remontées se trouvent ici. Et les erreurs que vous pourriez découvrir doivent être remontées vers tails-testers@boum.org.

Sur le site de Tails, la page réservée à l’intégration de Veracrypt.
Le site de Veracrypt.
Et le site de Tails.

Tails

Tails

Le 20 juin dernier, la police allemande a perquisitionné les domiciles de plusieurs administrateurs de “Zwiebelfreunde” (“Les amis des ognons”) une organisation sans but lucratif qui soutient des projets défendant la vie privée et l’anonymat sur le net et maintient plusieurs nœuds de sortie de Tor. Plusieurs domiciles, un hackerspace, un centre social et un cabinet d’avocats ont ainsi été perquisitionnés et les ordinateurs, téléphones, paperasses et disques durs ont été emportés. Zwiebelfreunde n’est ni accusé ni inculpé mais considéré comme témoin dans une affaire: les administrateurs d’un site internet anonyme appelant à des actions contre le congrès du parti d’extrême-droite AfD (Alternative pour l’Allemagne) ont utilisé une adresse e-mail @riseup.net, un fournisseur d’adresse e-mails qui offre une certaine protection à la vie privée de ses utilisateurs. Et Zwiebelfreunde permet (ou permettait selon les cas) de faire des dons à Riseup, ainsi qu’à Tails et à d’autres fournisseurs de services respectueux de la vie privée.

Ainsi les données des personnes qui seraient passées par Zwiebelfreunde pour faire des dons à Tails (avant le 18 octobre 2017) ou à riseup (jusqu’à la perquisition) et en utilisant un compte en banque européen sont entre les mains de la police allemande (numéro iban, nom, montant transféré et date). La police pourrait se servir de ces données pour identifier des réseaux de personnes, mais les dons faits à ces associations n’ont en soi rien d’illégal. Dans le cas de Tails, ils ont changé de sponsor depuis le 18 octobre 2017 et ne sont donc plus concernés. La police a saisi de très nombreux documents qui n’étaient pas visés par le mandat: ce mandat n’était censé concerner que les liens avec riseup.net (dont le seul lien avec Zwiebelfreunde est la récolte de fonds par les derniers) mais ce sont surtout des informations sur les noeuds Tor et Tails qui ont été saisies.

Le communiqué officiel (en anglais) avec la liste de tout ce qui a été saisi et de tout ce qui n’a pas été saisi est ici.

Une bombe atomique imprimée en 3D, saisie lors de la perqui.

Une bombe atomique imprimée en 3D, saisie lors de la perqui.

Depuis quelques semaines, la préfecture de Paris teste un nouveau véhicule d’écoute (un monospace noir Volkswagen, à vitres teintées) classé secret défense. Ce véhicule utilise la technologie des “IMSI Catcher” qui simule une fausse antenne relais à laquelle les téléphones mobiles vont se connecter. Il serait capable d’intercepter les appels téléphonique, de lire les sms et le contenu des agendas électroniques ; des blocs notes ; des répertoires téléphoniques ; des contenus des mails et l’historique internet, dans un rayon de un kilomètre. Le véhicule est également capable de capter simultanément plusieurs conversations téléphoniques et de transmettre sur les téléphones portables de policiers.

Par ailleurs, la puissance d’écoute du véhicule implique des risques importants pour la santé des personnes se trouvant à proximité. L’utilisation des “Ismi Catcher” a été rendue légale pour une loi faites sur mesure en juillet 2015. Cependant ils étaient utilisés bien avant cette loi. Une application Android existe pour tenter de se prémunir de ces engins et de détecter leur présence. Voir pour cela l’article que nous avions rédigé en avril 2015.

Fonctionnement d’un IMSI Catcher

Fonctionnement d'un IMSI Catcher

Plusieurs agents de la BEFTI (Brigade d’enquêtes sur les fraudes aux technologies de l’information) et quelques policiers ont mené une perquisition ce mercredi 27 juin vers 15h30 chez un militant anarcho-communiste dans la Drôme, accusé d’être membre du collectif de hackers militants “0ffsecurity”. Ce collectif venait d’ailleurs de lancer une série d’attaques contre plusieurs sites internet d’extrême-droite, dont Bastion Social, le Rassemblement National et l’AKP. Après la perquisition, et une recherche sur le routeur (à la recherche de [services cachés .onion
->https://fr.wikipedia.org/wiki/.onion]), le militant a été embarqué et auditionné alors que son matériel (ordinateurs et téléphones) était analysé. Les agents recherchaient essentiellement des informations sur le groupe 0ffsecurity ainsi que sur le logiciel botnet YzyRai, une variante de Mirai. Le lendemain matin vers 8h30, l’audition a repris et les questions ont porté sur le piratage en 2016 d’un site appartenant au Ministère des Affaires Étrangères. Ce piratage (défaçage) avait été revendiqué par un groupe pro-daesh, alors que 0ffsecurity réalise fréquemment des actions contre l’État Islamique et l’État turc et en solidarité avec les combattants kurdes qui résistent au Rojava. Le militant a pu être libéré au terme de l’audition et sera re-convoqué en septembre, son matériel a été gardé par la police.

Clin d’oeil à Offsec, au Rojava

Clin d'oeil à Offsec, au Rojava

PGP est considéré comme l’un des systèmes de chiffrement les plus puissants au monde depuis sa création en 1991. Parmi ses applications, on retrouve le chiffrement des e-mails, généralement réalisé à l’aide de logiciels tiers (Enigmail, Kleopatra, GPA,…) L’annonce il y a une dizaine de jours d’une faille dans PGP a donc provoqué beaucoup d’inquiétudes et de scepticisme. Des chercheurs allemands avaient annoncé une attaque contre PGP, et avaient publié un jour plus tôt que prévu la faille sur le site efail.de, provoquant la colère de certains éditeurs qui utilisent PGP, comme Protonmail qui critiquent que la faille ait été mal communiquée aux éditeurs et que le communiqué de presse ait été très alarmiste puis relayé par un média faisant autorité, le site de l’EFF.

La faille Efail permet à un attaquant de déchiffrer des e-mails dans certains cas précis. Premièrement, l’attaquant doit avoir accès aux e-mails de ses cibles. L’attaquant altère ensuite légèrement le contenu d’un e-mail et l’envoie aux destinataires originels. Lorsque le destinataire déchiffrera le message, une balise html cachée enverra une copie déchiffrée de l’e-mail à la victime, c’est une exfiltration directe. En pratique, le code html appellera un contenu distant (par exemple une image censée être appelée dans le client mail de la victime), et tentera de charger ce contenu depuis son propre site. Si le site de l’attaquant était “secoursrouge.org/”, il ajouterait à l’URL le contenu de l’e-mail, donnant un résultat à peu près similaire à ceci: “secoursrouge.org/LaRéunionSecrèteAuraLieuÀ21h”. L’attaquant pourra donc voir les messages déchiffrés en regardant quelles adresses ont été chargées sur son site. Un second type d’attaque plus complexe et nommé “CBC/CFB gadget” est expliqué sur le site efail.de

Heureusement la faille est déjà patchée dans Enigmail et dans plusieurs autres clients, dont Enigmail, le plus populaire. Pour les plus scrupuleux, il faudra utiliser PGP en ligne de commande et/ou désactiver le rendu HTML de son client e-mail.

Le mode d’exfiltration directe de Efail

Le mode d'exfiltration directe de Efail

La police des Galles du Sud a arrêté un trafiquant de drogues sur base d’une photo de sa main tenant un sachet d’ecstasy, envoyée via la messagerie Whatsapp. Une empreinte digitale partielle (voir l’illustration) apparaissait sur la photo et a pu confondre le dealer et a permis la condamnation de 11 personnes. La messagerie n’est pas en cause, un téléphone contenant de nombreux messages est entrée en possession de la police scientifique. La qualité croissante des photos prises par les smartphones a permis dans ce cas à la police de rester dans la course technologique.

La photo avec l’empreinte digitale partielle

La photo avec l'empreinte digitale partielle