13/04/2020

USA : L’EARN IT Act pourrait pousser Signal à quitter les USA

Le projet de loi EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies – Loi sur l’élimination des négligences abusives et rampantes des technologies interactives) est un projet de loi déposé en mars qui vise à réduire les protections légales des applications et des sites Web dont le but déclaré est d’éradiquer l’exploitation des enfants en ligne. Si les entreprises ne respectent pas ces règles, elles pourraient perdre une certaine protection en vertu de l’article 230 de la Communications Decency Act, qui protège les entreprises de toute responsabilité vis-à-vis des publications des utilisateurs. Plusieurs organisations et législateurs s’opposent à cette nouvelle loi. De son côté, Signal a averti mercredi 8 avril qu’une éventuelle adoption de cette loi saperait le chiffrement de bout en bout. Dans un billet sur son blog, Signal a déclaré qu’en cas d’adoption du projet de loi, l’application serait dans l’obligation de quitter le marché américain. En plus de l’ensemble de personne qui, à travers le monde, utilisent Signal, cette application est recommandé par l’armée américain et est également utilisé par des sénateurs américains ainsi que des membres de la Commission Européenne.

Signal

Dossier(s): Amérique du Nord Sécurité IT Tags: Etats-Unis, Internet, Loi de répression, Technique de répression

12/04/2020

Internet: Change.org ou les dangers de la pétition en ligne

Le 31 mars, en plein confinement, Proximus dont l’État belge est le principal actionnaire, annonce le déploiement d’une 5G light sur des fréquences inutilisées de la 3G, dans 30 communes belges. Cela alors que les enchères pour la 5G n’ont pas encore été ouvertes en Belgique, que les normes diffèrent selon les régions, et que le débat sur les conséquences de la 5G en terme de santé publique est loin d’être fini. Une internaute bruxelloise lance une pétition en ligne qu’elle adresse au gouvernement belge et intitule « Pas de 5G ». Le soir-même, 30.000 personnes l’ont signée. Dix jours plus tard, 105.000 signatures sont recueillies. Mais le 10 avril au matin, ceux qui veulent trouver la pétition se voient dire que la page est introuvable. En réalité, la pétition (dont le texte est encore accessible ici via le cache de Google) a été supprimée parce  « qu’une partie du contenu de votre pétition enfreint le règlement de la communauté ».

Cet épisode met une nouvelle fois en lumière la fragilité des initiatives politiques face aux grandes plateformes Internet – à l’image de Change.org qui, malgré sa mission de « donner à toute personne le pouvoir de créer le changement qu’elle souhaite voir », est avant tout une entreprise commerciale. La plateforme californienne revendique à ce jour 359.920.771 utilisateurs dans 196 pays. Parmi ses sources de profit: la revente des adresses mail des signataires de pétitions et leur profilage en fonction de leurs opinions politiques. Oxfam a reconnu acheter de telles données à Change.org (pour relancer les signataires avec des demandes d’argent). Change peut vendre (ou à déjà vendu) les listes de signataires à des sociétés de publicité au service d’entreprises dénoncées par les pétitions pour définir et affiner des opérations de relations publiques annulant l’effet des dénonciations… Change peut les vendre aussi au au « destinataire de la pétition ». Le règlement européen sur la protection des données entrera en vigueur à la fin du mois de mai 2018 entravera cette politique (un onglet devrait permettre d’activer/désactiver l’autorisation d’utilisation des données) sans la supprimer tout à fait.

Dossier(s): Confinement Sécurité IT Tags: Belgique, Etats-Unis, Internet

01/03/2020

Internet: Le nombre de coupures d’accès par les Etats en forte augmentation

L’ONG Access Now, qui défend un accès libre au Web, vient de publier son rapport pour 2019, qui met en avant les nouvelles modalités de coupure de l’accès à internet par certains gouvernements. De nombreux gouvernements ont pris l’habitude de fermer de plus en plus internet, souvent pour étouffer la dissidence politique et presque toujours en période de contestation sociale ou d’élections. L’ONG a compté un nombre record de 213 coupures brutales en 2019 (75 en 2016, 196 en 2018). Cette méthode est devenue récurrente dès lors que les gouvernements veulent véritablement isoler des régions entières, ainsi la décision prise par le premier ministre indien le 5 août 2019 de couper l’accès au web dans les régions à tendance séparatiste du Jammu et du Cachemire. Le rapport décortique les justifications apportées par les gouvernements pour étayer leur politique répressive. Là, on observe que la lutte contre les « fausses nouvelles » et les « discours haineux » sont utilisées comme des excuses pour consolider la censure et les coupures massives.  On peut demander une copie du rapport 2019 d’Access en écrivant à l’adresse : melody@accessnow.org

Dossier(s): Techniques de la répression Tags: Internet, Technique de répression

23/12/2019

Russie: Le système « d’internet souverain » en test

La Russie doit tirer le bilan lundi du test des équipements devant lui permettre d’isoler son internet des serveurs mondiaux et dont le but officiel est de garantir son fonctionnement même en cas de cyberguerre mondiale. Ces essais interviennent dans le cadre d’une loi controversée, dénoncée comme instaurant des dispositifs de censure, entrée en vigueur début novembre (voir notre article). Il s’agit notamment de tester, dans des zones spécialisés, les mécanismes de réaction à des « menaces » au fonctionnement stable et sécurisé de l’internet en Russie, selon le ministère russe des Communications. Des tests ont déjà eu lieu à divers niveaux depuis près de deux semaines.

Concrètement, le trafic internet sera réorganisé de manière à réduire la quantité de données transmises via l’étranger. A cette fin, les fournisseurs d’accès devront installer d’ici 2021, l’année des prochaines législatives en Russie, sur leurs réseaux une infrastructure spéciale fournie par les autorités mais dont la nature n’a pas été révélée. Cette technologie permettra au gendarme russe des télécoms, Roskomnadzor, d’effectuer au besoin une « inspection profonde de paquets » (DPI), soit une analyse de tout le trafic qui transite par les serveurs russes et de rediriger ce flux vers des sites ou des services spécifiques. Roskomnadzor aura également la possibilité de faire basculer le trafic national sous son « contrôle centralisé » en cas de « menace à son intégrité ». Concrètement, il pourra bloquer tout site ou contenu directement, une tâche qui incombe actuellement aux opérateurs avec des succès variables.

Dossier(s): Reste de l'Europe Tags: Internet, Loi de répression, Russie

26/10/2019

Internet : Mozilla veut, enfin, intégrer PGP et Enigmail dans Thunderbird

Mozilla, l’éditeur du navigateur Firefox, a annoncé début octobre son intention d’intégrer OpenPGP et Enigmail a son logiciel de messagerie et de gestion d’e-mails, Thunderbird. Le portage est actuellement prévu pour la version 78 qui devrait être publiée en été 2020. Cette décision fait suite à une modification du code de Thunderbird qui rendra l’extension Enigmail incompatible après la version 68 du logiciel (c’est la version actuelle, 68.2). Malheureusement, pour des raisons de licences incompatibles (les licences sont les conditions de modification, distribution, intégration de logiciels) l’affaire ne sera pas simple. Si les développeurs ne trouvent pas une bibliothèque alternative à GnuPG pour implémenter le protocole OpenPGP dans leur logiciel, ils seront obligés d’en écrire une pour l’occasion. Ils seront aidé par Patrick Brunschwig, qui développe Enigmail depuis 17 ans.

Pendant des années, le logiciel de chiffrement PGP a été la principale façon sécurisée de communiquer, notamment dans les sphères militantes. Son utilisation était complexe, notamment car elle nécessitait l’installation de trois logiciels : Thunderbird, une bibliothèque PGP (GPG pour Linux, GPG4WIN pour Windows, GPGTools pour MacOS ou OpenKeychain pour Android, entre autres) et le plug-in Enigmail qui faisait le lien entre les deux pré-cités. PGP ne profitait en outre pas d’une large communauté d’utilisateurs, ce qui rendait son utilisation encore plus difficile. L’arrivée d’applications mobiles de messagerie instantanée très sécurisées et très simples d’utilisation comme Signal (la seule que nous recommandons) a changé la donne. Signal est très largement utilisé et ne nécessite pas une formation pour être utilisé. La décision de Mozilla semble donc être bien tardive.

Dossier(s): Dossiers Tags: Internet

22/10/2019

Internet: Tails, le système d’exploitation sécurisé, passe en version 4.0

Tails a annoncé aujourd’hui la version 4.0, une mise à jour majeure donc, de son système d’exploitation sécurisé, référence de nombreux militants. Au menu des nouveautés, Tails est désormais basé sur Debian 10, KeePassX est remplacé par KeePassXC, Onionshare et Tor Browser sont accompagnés de nouvelles fonctionnalités, MAT (Metadata Anonymisation Toolkit) est à présent directement intégré à l’explorateur de fichiers (il suffit d’un clic-droit et « effacer métadonnées), le « Tails Greeter » (menu d’accueil qui permet de déchiffrer un stockage persistant ou de définir un mot passe administrateur) a été amélioré pour les utilisateurs non-anglophones et le clavier à l’écran (utilisable avec la souris pour déjouer les keyloggers) est plus simple à utiliser. Enfin, Tails 4.0 est plus performant : il est 20% plus rapide à démarrer, utilise 250Mb de RAM en moins, et pèse 47Mb de moins que les versions précédentes. Le support des périphériques Thunderbolt a été ajouté ainsi que le tethering depuis un iphone. La liste officielle des changements peut être consultée ici.

Pour commencer à utiliser Tails, c’est ici.

Tails

Dossier(s): Sécurité IT Tags: Internet, Technique de répression

08/10/2019

IT : Nouvelle version de VeraCrypt (ex-TrueCrypt)

Les développeurs de VeraCrypt (le descendant de TrueCrypt) viennent d’annoncer une nouvelle version de leur puissant logiciel de chiffrement, la version 1.24. La mise à jour précédente (1.23-hotfix-2) datait d’il y a précisément un an.

Au menu des nouveautés, pour tous les systèmes d’exploitation : la longueur maximum des mots de passe augmente à 128bits pour les volumes de chiffrement simples (non-système). La génération matérielle de nombres aléatoires Jitterentropy peut être utilisée à la place de RDRAND et le logiciel détectera mieux les fonctionnalités des processeurs pour optimiser la génération. Uniquement pour Windows : VeraCrypt prend désormais en charge le chiffrement des clés et mots de passe dans la mémoire vive (RAM), utilisant 10% des ressources sur les processeurs modernes, l’activation de cette fonctionnalité (désactivée par défaut) a pour effet secondaire de ne pas permettre l’hibernation de Windows; la mémoire utilisée par VeraCrypt est désormais inaccessible aux utilisateurs non-administrateurs (ce qui permet de bloquer certaines tentatives d’attaques); les clés de chiffrement sont désormais effacées de la mémoire vive lors d’un arrêt/redémarrage du système (ce qui permet de bloquer des tentatives d’attaques « cold-boot »); une option a été ajoutée pour effacer les clés de la mémoire-vive lorsqu’un appareil est connecté à l’ordinateur et que le volume chiffre tout le système; nouveau point d’entrée driver permettant à d’autres applications d’effacer les clés de la mémoire en cas d’urgence; la gestion des bootloaders MBR et UEFI est largement améliorée; le bootloader VeraCrypt a été largement amélioré; un bug très ennuyant à également été corrigé (la mise à jour Windows Update cassait le boot VeraCrypt sur certains systèmes). Pour MacOS et Linux, quelques bugs ont été corrigés.

Vous pouvez consulter la liste complète des changements (en anglais) ici, et télécharger VeraCrypt ici.

Dossier(s): Sécurité IT Tags: Internet, Technique de répression

06/09/2019

Des cyber-attaques visent les sites du Secours Rouge

Des cyber-attaques ont visé plusieurs de nos sites internet en début de journée, finissant par rendre injoignables plusieurs sites du Secours Rouge et du Secours Rouge International pendant deux heures. Ce genre d’attaques visant à rendre nos sites instables ou injoignables ont lieu régulièrement à basse intensité (au point qu’il est parfois difficile de savoir s’il s’agit d’attaques, si nous sommes la cible ou s’il s’agit d’un usage intensif indéterminé sur le serveur) et elles étaient particulièrement intenses ces derniers jours, mais elles ont passé un cap ce matin. Lorsque nos techniciens ont bloqué une première fois l’attaquant, celui-ci est revenu à la charge avec plusieurs dizaines d’autres machines, ne laissant aucun doute sur ses intentions ou sa cible. Il est à l’heure actuelle difficile de connaître l’identité des auteurs de ces attaques même si le but est évident : mettre nos sites hors-ligne ou les rendre inutilisables pour leurs utilisateurs.

La situation semble être revenue à la normale pour l’instant et nous informerons via notre page Facebook si une telle attaque devait se reproduire.

Dossier(s): Secours Rouge Bruxelles Sécurité IT Tags: Belgique, Internet, Secours Rouge International, Secours Rouge/APAPC

05/09/2019

IT: On en sait plus sur la cible (et l’auteur) de l’attaque massive qui a ciblé les iPhones ces 2 dernières années

Il y a quelques jours, nous relayions sur notre site que les iPhones (régulièrement promus par Apple comme bien plus sécurisés que leurs concurrents) avaient été ciblés par des attaques massives indiscriminées durant plus de deux ans, même s’ils étaient en ordre de mises à jour et de patches de sécurité. Ce que le « Project Zero » (la cellule de sécurité de Google qui enquête sur ce genre de failles) n’avait pas révélé en plus de son analyse, ce sont les sites utilisés par les attaquants, ainsi que les cibles. Le magazine TechCrunch a ainsi révélé le 1er septembre que selon ses sources, l’attaque ciblait la communauté Ouïghour de la région du Xinjiang, en Chine, une info qui désigne un suspect évident comme commanditaire de l’attaque. Autre info que Google s’est bien gardée de communiquer: les pages infectées comportaient également des codes malicieux ciblant les appareils sous Windows et sous Android, sans qu’on en sache plus sur l’étendue, l’intensité et le succès de ces attaques là. Ces infections ont fini par toucher des utilisateurs en-dehors de la Chine car les sites infectés étaient indexés par Google, c’est ainsi que le FBI a demandé à Google de retirer les résultats de son moteur de recherche, et finalement comme cela que Google a lui-même enquêté sur ces attaques via le « Project Zero ».

Google, Apple, le FBI, ainsi que le Consulat de Chine à New-York ont tous refusé  » de confirmer ou d’infirmer » la moindre de ces informations. Le rapport technique détaillé des attaques peut-être consulté (en anglais) sur le blog du « Project Zero ».

Dossier(s): Techniques de la répression Tags: Chine, Etats-Unis, Internet, Technique de répression

30/08/2019

Internet : De nombreuses vulnérabilités critiques de l’iPhone révélées

Quatorze vulnérabilités critiques ont aujourd’hui été révélées par les chercheurs en sécurité informatique du « Project Zero » de Google, une structure chargée de rechercher les vulnérabilités dites « Zero Day » (c’est à dire inconnues des développeurs). Ces failles affectaient les iPhones aux versions d’iOS 10 à 12 et permettaient aux attaquants de viser sans discrimination de très nombreux utilisateurs puisque la simple visite d’un site infecté via le navigateur de l’iPhone pouvait mener à une infection. L’attaque permettait d’installer dans le téléphone un implant qui avait un accès au Keychain (trousseau de clés de chiffrement), et donc aux mots de passe, clés et certificats de l’utilisateur, ainsi qu’aux bases de données des applications enregistrées localement, ce qui signifie que le virus avait accès probablement accès aux messages des applications de communication sécurisées avant que le message ne soit chiffre (puisque le chiffrement se fait au moment de la communication, de bout-en-bout). On sait que Whatsapp et iMessages sont concernés, ce pourrait être le cas pour Signal mais ce n’est pas confirmé (nous mettrons cet article à jour dès que possible pour ce cas particulier). La sécurité de ces applications n’est en soi pas problématique dans le cas présent, puisque lorsque le système d’exploitation est compromis à ce point, tout est compromis.

Les chercheurs ont d’abord découvert ces failles au-travers des sites qui transmettaient l’infection, des sites recueillant des milliers de visiteurs hebdomadaires et infectant sans discrimination les utilisateurs d’iPhones. Un simple redémarrage du téléphone effaçait bien le malware, mais puisque celui-ci avait accès aux certificats, clés de chiffrement, et tokens d’identification, il faut supposer que les hackers ont pu utiliser les infos récoltées soit pour maintenir un accès constant à l’appareil, soit pour maintenir un accès constant aux comptes et services dont les clés et certificats avaient été volés. Project Zero a découvert un total de 14 vulnérabilités au travers de 5 chaines d’exploit, l’une de ces vulnérabilités n’avait pas encore été corrigée par Apple en février, lorsque Google leur a communiqué ces vulnérabilités. Illustrant encore une fois la gravité de la situation, Google n’a donné que 7 jours à Apple pour corriger au lieu des 90 habituels. Les failles ont été corrigées par la version d’iOS 12.1.4, mais les chercheurs craignent que d’autres campagnes de piratage de masse ne soient en cours.

Apple utilise depuis plusieurs années la sécurité de ses systèmes d’exploitation comme un argument marketing, un argument explosé par les rapports du Project Zero (consultables ici après 7 mois d’analyse approfondies), pendant au moins 2 années complètes, les pirates ont eu accès à des iPhones en ordre de mises à jour.

Dossier(s): Sécurité IT Tags: Etats-Unis, Internet