23/06/2014

Internet : Veracrypt et Truecrypt.ch s’unissent

Depuis la fin du projet Truecrypt, trois équipes de développeurs ont mis en chantier des projets de forks (« embranchements », nouvelles versions basées sur l’ancien code). Les trois équipes sont Truecrypt.ch (alias TCNext), Veracrypt (un fork français) et CipherShed. Truecrypt.ch et Veracrypt ont annoncés joindre leurs efforts dans un projet commun. Pour rappel, suite à l’abandon du projet originel de Truecrypt, le logiciel de chiffrement le plus populaire au monde, un fork doit être développé assez rapidement. Celui-ci a la tâche difficile d’auditionner le code, de l’évaluer, de l’améliorer et de le publier.

Les travaux autour de Truecrypt sont rendus difficiles par un climat paranoïaque sur le net. Récemment des internautes ont prétendus révéler un message caché prouvant que Truecrypt était contrôlé par la NSA. De plus, l’ancienne équipe de Truecrypt a déconseillé de partir de l’ancien code et de ré-écrire depuis le début.

Vous pouvez suivre les avancées de Truecrypt.ch sur leur site officiel.

Dossier(s): Archives Sécurité IT Tags: Internet

21/06/2014

USA: Premier vote d’un amendement anti-NSA

Les représentants ont voté par 293 voix contre 123 en faveur d’un amendement à une loi sur le budget de la défense pour l’exercice budgétaire 2015, qui commence le 1er octobre. Cet amendement n’a pas été examiné ni approuvé par le Sénat, et le vote de jeudi n’a donc pas d’effet immédiat. Les parlementaires entendent combler une faille juridique et interdire à la NSA d’exploiter des données personnelles électroniques de citoyens américains sans avoir obtenu préalablement d’ordonnance judiciaire.

La NSA peut aujourd’hui cibler sans ordonnance judiciaire des cibles étrangères sur internet, notamment via le programme Prism qui vise les utilisateurs de Facebook, Gmail et d’autres services. Mais l’agence collecte dans ce cadre des communications d’Américains. Et elle a reconnu avoir à plusieurs reprises exploité les informations ainsi recueillies sur ses serveurs, sans l’autorisation d’un juge. Or la Constitution et les lois américaines requièrent que le gouvernement obtienne préalablement une ordonnance de justice avant de pouvoir effectuer des recherches sur des citoyens américains.

L’amendement de jeudi mettrait fin à cette faille en interdisant à la NSA de procéder sans ordonnance à toute recherche incluant des Américains, même lorsque leurs communications sont collectées par erreur. Le texte interdirait aussi à la NSA et la CIA d’exiger des concepteurs de logiciels qu’ils incluent des « portes d’entrée » secrètes pour que la NSA puisse contourner les verrous d’encodage et accéder aux données personnelles des utilisateurs – ce que l’agence est accusée d’avoir fait depuis plusieurs années.

Dossier(s): Amérique du Nord Archives Tags: Etats-Unis, Internet

18/06/2014

USA: Débat sur la « neutralité » du net

Un groupe de sénateurs démocrates vient de déposer un projet de loi pour sauver la « neutralité du net » ce principe garantissant une égalité de traitement entre tous les acteurs du web. Celui-ci est menacé par un nouveau cadre réglementaire, en discussions au sein de la Federal Communications Commission (FCC), l’administration US qui a autorité sur les télécoms. Ces dernières semaines, plus de 120.000 personnes ont participé au débat public ouvert par la FCC, en majorité pour le maintient de cette neutralité.

Ce projet de loi vise à interdire la création de « voies rapides », qui permettraient aux opérateurs de facturer une vitesse de connexion plus élevée aux sites et services, notamment ceux qui consomment beaucoup de bande passante (ce qui amène également des grosses sociétés comme Google, YouTube ou Amazon à faire du lobby contre ce projet). Ceux qui ne veulent ou ne peuvent pas payer devront se contenter d’un débit plus lent. Mais le parti républicain, qui contrôle la Chambre des représentants, estime que l’administration n’a pas à se mêler de ce dossier, et refuse d’accroître le contrôle de la FCC sur les opérateurs. Début janvier, un tribunal américain avait jugé que la FCC ne possédait pas l’autorité pour leur imposer de respecter la neutralité du net.

Dossier(s): Amérique du Nord Archives Tags: Etats-Unis, Internet

10/06/2014

France : Consulter des « sites terroristes » sera bientôt illégal.

Un projet de loi propose de nouvelles mesures anti-terroristes. Trois mesures sont proposées : premièrement rendre passible de 30’000€ d’amende et 2 ans d’emprisonnement la consultation de ‘sites terroristes’ hors d’un cadre professionnel (journalisme), ensuite de rendre plus rapide et pro-active la fermeture de ces sites par les F.A.I. (ceux-ci devront rechercher et bloquer eux-mêmes les sites sous peines de sanctions), et enfin la création de cyber-patrouilles chargées de faire appliquer le tout.

L’internet français est sujet à de nombreuses lois farfelues souvent assez facilement contournables à l’aide d’un VPN.

Dossier(s): Archives France - Autres sujets Tags: France, Internet, Technique de répression

03/06/2014

Turquie: Retour de YouTube

L’autorité turque chargée des technologies de l’information et de la communication (BTK) a levé l’interdiction de YouTube qui aura été en vigueur pendant 67 jours et la vignette d’interdiction n’apparaît plus sur le site de cette institution gouvernementale. La Cour constitutionnelle turque a ordonné jeudi dernier la levée du blocage de l’accès au site, imposé par le gouvernement islamo-conservateur il y a deux mois, jugeant que cette interdiction était en infraction avec les droits et libertés des individus.

Les autorités turques ont bloqué le 27 mars l’accès à la plateforme d’échange de vidéos pour des raisons de « sécurité nationale », après la diffusion de l’enregistrement pirate d’une réunion confidentielle de hauts responsables turcs évoquant le scénario d’une intervention militaire dans la Syrie voisine. Twitter avait de même été bloqué en mars sur décision du Premier ministre pour enrayer la diffusion sur internet d’écoutes téléphoniques pirates le mettant en cause dans un vaste scandale de corruption.

Dossier(s): Archives Turquie-Kurdistan Tags: Internet, Turquie

02/06/2014

Internet : Des nouvelles rassurantes de Truecrypt

Truecrypt est depuis plusieurs années le logiciel de chiffrement de données le plus populaire au monde. Il est multiplateforme (Windows, OSX, Linux, Android), simple d’utilisation et surtout éprouvé. Malgré cela, plusieurs défauts avaient entachés sa réputation ces derniers mois : une équipe éventuellement américaine (et en tout cas anonymes), une communauté de codeurs trop réduites, un code très complexe à analyser, d’éventuelles failles implantées par la NSA, etc… La fin de cette saga : il y a quelques jours le site officiel annonce la fin de Truecrypt en faisant planer le mystère autour de son utilisation. On en sait maintenant un peu plus sur les nombreuses questions que les utilisateurs se posent. Nous avons ici synthétisé les questions les plus importantes.

Est-ce-que les conteneurs Truecrypt créés avant la fin officielle sont toujours sûrs ? Oui, ils le sont, tant que le mot de passe et le système d’exploitation sont sûrs.

Est-ce-que les conteneurs nouvellement créés avec Truecrypt seront aussi sûrs ? A priori oui. Aucune faille d’envergure n’a été découverte.

Quelle version de Truecrypt dois-je utiliser ? Il existe à présent deux versions officielles de Truecrypt. Truecrypt 7.1a et Truecrypt 7.2. Cette seconde mouture est la version ‘mourante’ du logiciel : vous ne pourrez pas créer de nouveaux conteneurs, juste ouvrir ceux déjà créés. Vous pouvez continuer à utiliser la version 7.1a à court-terme.

Que va-t’il se passer dans un avenir proche ? Truecrypt est un logiciel très puissant et extrêmement complexe. Le code de Truecrypt va à présent être ‘audité’, vérifié et amélioré par une nouvelle communauté de développeurs. La procédure aboutira à ce qu’on appelle « un fork », une version clonée de Truecrypt qui évoluera indépendamment des anciens développeurs. Ceci peut prendre du temps, nous posterons une info sur ce site lorsqu’une nouvelle version fiable sera disponible.

Comment se tenir au courant sur l’avancée du fork ?
– Site sur l’audit en cours
– Truecrypt.ch, l’un des projets de fork, en Suisse.

Que ne faut-il surtout pas faire ? Télécharger une version de Truecrypt provenant d’une source non-vérifiée et non-vérifiable. Si vous voulez télécharger Truecrypt 7.1a, téléchargez la depuis une source sécurisée comme le site de l’analyste Steve Gibson (ici)

Dossier(s): Archives Sécurité IT Tags: Etats-Unis, Internet, Suisse

02/06/2014

Internet : Snowden demande l’asile au Brésil

Edward Snowden recherche toujours un moyen de passer de la Russie à l’Amérique Latine sans passer par la case prison. Au départ, celui-ci visait Cuba, mais la révocation de son passeport l’avait coincé en Russie. Ce dernier pays à fournit un statut de réfugié à Snowden pour un an, le temps que celui-ci trouve un éventuel moyen de rejoindre l’Amérique Latine ou plusieurs pays -Cuba, Equateur, Venezuela,…- lui promettaient un statut de réfugié politique ou humanitaire. Chacun de ses pays pourrait également tenter de négocier l’asile en échange de précieux documents confidentiels de la NSA, ce que Snowden refuse de négocier. La nouvelle destination serait donc le Brésil. Reste à trouver un moyen de se déplacer jusque là sans être intercepté par les services américains.

Dossier(s): Archives Sécurité IT Tags: Brésil, Etats-Unis, Internet, Russie

02/06/2014

Internet : Vous pouvez maintenant demander à Google de vous oublier !

L’Union Européenne oblige désormais Google à fournir un droit à l’oubli aux personnes renseignées sur son moteur de recherches. Un formulaire est dés maintenant disponible en ligne et très simple d’utilisation. Toute personne peut demander un retrait sous certaines conditions (appréciation de la légitimité du contenu,…) Le formulaire est très simple à remplir, il faudra fournir nom, prénom, url en question, copie de la carte d’identité, raison de la demande, etc… Un avocat peut faire la demande à la place de son client.

Dans un premier temps, c’est Google qui gérera les demandes de suppression, il est possible que l’UE doive contribuer au traitement des données qui pourrait être énorme : 12’000 demandes ont déjà été faites.

Le remplissage du formulaire n’est que la première étape puisqu’il faudra attendre son tour et que Google évaluera si la demande est justifiée ou non.

Lien vers le formulaire

Dossier(s): Archives Sécurité IT Tags: Belgique, Internet, Union-Européenne

29/05/2014

Internet : Truecrypt, c’est terminé !

La page web officielle de Truecrypt a été modifiée hier soir et signale que Truecrypt a été compromis. La nouvelle page demande aux utilisateurs de migrer vers Bitlocker ou vers la solution officielle de Mac OSX, deux logiciels qui ont été infiltrés -entre autres- par la NSA.

Attention : ne migrez surtout pas. La page pourrait avoir été modifiée par un attaquant. La sécurité de Truecrypt avait déjà été mise en doute lors des scandales de Snowden. Le plus prudent est de ne pas mettre à jour Truecrypt, ne pas migrer vers un autre programme, voir ne pas utiliser Truecrypt : attendre et voir.

Nous resterons attentifs à l’évolution de la situation et vous conseillerons une éventuelle alternative pour le chiffrement de données.

EDIT : La page aurait bien été modifiée par l’équipe officielle de Truecrypt (qui a toujours été anonyme). Truecrypt a souvent été critiquée car open-source mais non-libre. En outre, son code était public mais trop complexe pour être vérifié. Enfin, l’anonymat de son équipe posait de gros problèmes de sécurité, entre autres de savoir si le logiciel était américain ou non.

Des tutoriels seront fournis bientôt pour chiffrer des données sans Truecrypt, en attendant vous pouvez utilisez les logiciels suivants :

Sous Linux : Utilisez le logiciel de chiffrement fournis dans l’Utilitaire de Disques.

Sous Windows : Utilisez Axcrypt

Sous Mac OSx : Il n’y a malheureusement pas d’alternative pour Mac à l’heure actuelle.

Sous Android : Vous pouvez utilisez Cryptonite

Dossier(s): Archives Sécurité IT Tags: Internet

28/05/2014

Internet : Un bouton Panic pour linux et Osx en cas de pépin

Un « bouton panic » permet d’empécher une attaque « Cold boot » contre une machine. Centry (tel est son nom), démontera les partitions Truecrypt, videra le cache des mots de passe, nettoiera la RAM et forcera l’extinction de l’ordinateur. Il enverra également un signal à d’autres machines pour les prévenir du danger.

Une attaque Cold Boot consiste à refroidir un ordinateur (par exemple perquisitionné) pour récupérer le contenu de la RAM (et donc, des mots de passe en clair).

Ce petit programme n’est malheureusement disponible que sur Mac OSX et linux. Mais il existe une alternative sur Android.

Le Github du projet Centry

Beaucoup plus abouti, ‘In the clear’ pour Android permet d’effacer sms, contacts, photos, etc… en cas d’arrestation et d’envoyer un sms à une personne de votre choix.

Dossier(s): Archives Sécurité IT Tags: Internet