Il y a quelques jours, nous relayions sur notre site que les iPhones (régulièrement promus par Apple comme bien plus sécurisés que leurs concurrents) avaient été ciblés par des attaques massives indiscriminées durant plus de deux ans, même s’ils étaient en ordre de mises à jour et de patches de sécurité. Ce que le « Project Zero » (la cellule de sécurité de Google qui enquête sur ce genre de failles) n’avait pas révélé en plus de son analyse, ce sont les sites utilisés par les attaquants, ainsi que les cibles. Le magazine TechCrunch a ainsi révélé le 1er septembre que selon ses sources, l’attaque ciblait la communauté Ouïghour de la région du Xinjiang, en Chine, une info qui désigne un suspect évident comme commanditaire de l’attaque. Autre info que Google s’est bien gardée de communiquer: les pages infectées comportaient également des codes malicieux ciblant les appareils sous Windows et sous Android, sans qu’on en sache plus sur l’étendue, l’intensité et le succès de ces attaques là. Ces infections ont fini par toucher des utilisateurs en-dehors de la Chine car les sites infectés étaient indexés par Google, c’est ainsi que le FBI a demandé à Google de retirer les résultats de son moteur de recherche, et finalement comme cela que Google a lui-même enquêté sur ces attaques via le « Project Zero ».

Google, Apple, le FBI, ainsi que le Consulat de Chine à New-York ont tous refusé  » de confirmer ou d’infirmer » la moindre de ces informations. Le rapport technique détaillé des attaques peut-être consulté (en anglais) sur le blog du « Project Zero ».

Les 5 chaines d'escalade de privilège découvertes

Quatorze vulnérabilités critiques ont aujourd’hui été révélées par les chercheurs en sécurité informatique du « Project Zero » de Google, une structure chargée de rechercher les vulnérabilités dites « Zero Day » (c’est à dire inconnues des développeurs). Ces failles affectaient les iPhones aux versions d’iOS 10 à 12 et permettaient aux attaquants de viser sans discrimination de très nombreux utilisateurs puisque la simple visite d’un site infecté via le navigateur de l’iPhone pouvait mener à une infection. L’attaque permettait d’installer dans le téléphone un implant qui avait un accès au Keychain (trousseau de clés de chiffrement), et donc aux mots de passe, clés et certificats de l’utilisateur, ainsi qu’aux bases de données des applications enregistrées localement, ce qui signifie que le virus avait accès probablement accès aux messages des applications de communication sécurisées avant que le message ne soit chiffre (puisque le chiffrement se fait au moment de la communication, de bout-en-bout). On sait que Whatsapp et iMessages sont concernés, ce pourrait être le cas pour Signal mais ce n’est pas confirmé (nous mettrons cet article à jour dès que possible pour ce cas particulier). La sécurité de ces applications n’est en soi pas problématique dans le cas présent, puisque lorsque le système d’exploitation est compromis à ce point, tout est compromis.

Les chercheurs ont d’abord découvert ces failles au-travers des sites qui transmettaient l’infection, des sites recueillant des milliers de visiteurs hebdomadaires et infectant sans discrimination les utilisateurs d’iPhones. Un simple redémarrage du téléphone effaçait bien le malware, mais puisque celui-ci avait accès aux certificats, clés de chiffrement, et tokens d’identification, il faut supposer que les hackers ont pu utiliser les infos récoltées soit pour maintenir un accès constant à l’appareil, soit pour maintenir un accès constant aux comptes et services dont les clés et certificats avaient été volés. Project Zero a découvert un total de 14 vulnérabilités au travers de 5 chaines d’exploit, l’une de ces vulnérabilités n’avait pas encore été corrigée par Apple en février, lorsque Google leur a communiqué ces vulnérabilités. Illustrant encore une fois la gravité de la situation, Google n’a donné que 7 jours à Apple pour corriger au lieu des 90 habituels. Les failles ont été corrigées par la version d’iOS 12.1.4, mais les chercheurs craignent que d’autres campagnes de piratage de masse ne soient en cours.

Apple utilise depuis plusieurs années la sécurité de ses systèmes d’exploitation comme un argument marketing, un argument explosé par les rapports du Project Zero (consultables ici après 7 mois d’analyse approfondies), pendant au moins 2 années complètes, les pirates ont eu accès à des iPhones en ordre de mises à jour.

Les 5 chaines d'escalade de privilège découvertes

Dossier(s): Sécurité IT Tags: ,

En août 2017, suite au G20 à Hambourg, le ministère de l’intérieur allemand avait interdit la plateforme « Indymedia Linksunten », la plus grande plateforme d’extrême gauche en Allemagne (voir notre article), parce qu’elle enfreindrait la loi des associations. La procédure judiciaire ouverte à ce moment-là, entre autres pour « constitution d’une organisation criminelle », a été suspendue après deux ans faute d’indices qui permettraient d’identifier des opérateurs responsables du site.

Le raid du 25 août 2017 dans les appartements de plusieurs personnes suspectées de gérer « Linksunten » ont mené à la saisine de plusieurs supports de données chiffrés. Le Landeskriminalamt (police judiciaire régionale) de Bade-Wurtembert n’a pas réussi à déchiffrer ces données, malgré le soutien de plusieurs administrations et de services secrets comme la police fédérale ou le Verfassungsschutz (service de renseignement allemand). Les données qui étaient accessibles aux investigateurs ne leur permettaient pas d’identifier les personnes dont les appartements avaient été fouillés comme les opérateurs de la plateforme. De nouvelles révélations pourraient mener à la réouverture de l’enquête.

Interdiction de la plateforme Open-Posting Indymedia Linksunten en 2017

Interdiction de la plateforme Indymedia Linksunten en 2017

Notre site internet est à présent actif depuis une quinzaine d’années, dont une bonne partie via le système de gestion de contenu (CMS) Spip. Aujourd’hui, il compte plus de 16.000 articles et près de 12.000 documents (images, PDF,…) Nous envisagions depuis un moment le fait que Spip deviendrait insuffisant pour nos besoins. Si Spip a permis à notre site (et à de nombreux sites de la sphère militante) de se maintenir aussi longtemps à un rythme ascendant, plusieurs éléments nous ont poussés aujourd’hui vers un changement de plateforme: sécurité, communauté active, le savoir et les outils à disposition, la compatibilité avec d’autres logiciels, etc. nous avons fait le choix d’abandonner définitivement Spip pour WordPress. Nous avions déjà choisi d’utiliser WordPress avec d’autres sites internet que nous maintenons ou auxquels nous participons (Secours Rouge International, Campagnes de soutien aux Combattant.e.s du Kurdistan, Agenda du Local Sacco-Vanzetti, Red Voices of India, etc.) La première étape de ce déménagement vient de commencer, avec l’import de notre ancien site dans ce nouveau. Quelques fonctionnalités ont été ajoutées (compatibilité avec les smartphones, partage vers Facebook et Twitter,…) et d’autres sont à venir.

Il y a évidemment des bugs, des images qui n’ont pas été importées, d’anciens codes qui ne sont plus compatibles avec WordPress, etc. Pour permettre à nos visiteurs de pouvoir toujours consulter nos articles nous avons mis plusieurs outils en place, dans chaque page article vous aurez la possibilité de consulter la version de l’article sur notre ancien site, si le lien est lui-même brisé, vous pourrez en un clic lancer une recherche sur l’ancien site pour retrouver le contenu correspondant. Enfin, tous les articles importés de l’ancien site dispose d’un formulaire « rapporter un bug » que nous vous invitons à remplir si vous en trouvez, afin de rendre ce site plus fonctionnel.

En plus des liens dans chaque article, une page est également dédiée.

Une fois que cette étape de débogage sera terminée, la suite des étapes comprendra une restructuration du contenu, une refonte graphique plus profonde, la possibilité de nous contacter de façon sécurisée via le site, l’ajout de nouvelles fonctionnalités, le partage du site avec d’autres sections francophones du Secours Rouge International, et bien d’autres.

Bienvenue !

Nouveau site du Secours Rouge

Plusieurs milliers de personnes sont descendues dans la rue le 10 mars en Russie contre le projet de loi visant à doter le pays d’un « internet souverain ». Une manifestation a été organisée à Moscou, et des rassemblements de plus petite envergure se sont tenus à travers le pays. Au lendemain de protestations, le Kremlin a défendu sa proposition de loi visant à se doter d’un internet indépendant, en assurant ne pas vouloir « couper » le web russe mais le protéger d’attaques extérieures.

Le projet de loi prévoit d’empêcher les sites russes de fonctionner grâce à des serveurs étrangers, ce qui est naturellement perçu comme une tentative de contrôler les contenus, voire d’isoler progressivement l’internet russe. Voté en première lecture par les parlementaires en février, le projet de loi devra encore être étudié plusieurs fois par les deux chambres du Parlement.

La manifestation de Moscou

La manifestation de Moscou

Si le « mode privé » bloque les cookies et l’accès à l’historique, il ne garantit pas l’anonymat auprès des sites visités: il existe depuis longtemps une technique qui se base sur la récolte de données numériques donnant une identité unique à un internaute pour l’identifier. Cette technique s’appelle le « fingerprinting » ; elle récupère la liste des plugins d’un navigateur, les polices exploitées par l’OS et surtout la taille des fenêtres affichées à l’écran. Mozilla planche pour induire le fingerprinting en erreur avec Firefox en les leurrant. Mozilla a déjà réglé les problématiques de la récolte des plugins et des polices. Il ne lui restait plus que celle de la taille de la fenêtre du navigateur.

La technique baptisée « letterboxing » ajoute artificiellement des bandes grises dans le navigateur autour de la page affichée lorsque la fenêtre est redimensionnée par l’utilisateur. Ces bandes grises sont étalonnées avec des multiples de 200 px et 100 px de la fenêtre pendant l’opération de redimensionnement. Ces bandes ne restent que le temps du rapatriement de ces données sur le serveur de la régie ou du site. Dès que l’opération est réalisée, Firefox rétablit automatiquement l’affichage souhaité. L’utilisateur n’est pas longtemps gêné par ces bandes et le fingerprinting est leurré.

Ce principe a été mis au point depuis 2015 sur le navigateur Tor qui est utilisé pour naviguer sur le réseau du même nom. Or, il se trouve que depuis le mois de juin 2018, The Tor Project est partenaire de Mozilla. Les deux fondations s’attellent à faire de Firefox un navigateur sécurisé, doté d’un mode de surf privé renforcé. Lors de sa sortie en mai, Mozilla Firefox 67 devrait intégrer cette option de letterboxing.

fenêtre en letterboxing

fenêtre en letterboxing

Spip propose depuis le 21 janvier des nouvelles mises à jour. Il s’agit des versions 3.2.3, 3.1.9 et 3.0.28. Ces mises à jour comprennent un bon nombre de correctifs de bugs (34 pour la branche 3.2.x), ainsi que des correctifs de sécurité critiques. Il est donc recommandé de mettre votre site à jour aussi rapidement que possible si vous utilisez Spip pour votre site web.

Les téléchargements sont disponibles ici.

Mise à jour de Spip

Mise à jour de Spip

Adnan Sütcü, un allemand d’origine turque, se rendant en Turquie pour l’enterrement de sa mère, a été arrêté le 27 décembre à l’aéroport d’Ankara. Il sera libéré après avoir subi un interrogatoire de plusieurs heures sur des publications Facebook. Il est depuis sous contrôle judiciaire avec interdiction de quitter le territoire et accusé de publication anti-étatique (pour soutien à des organisations terroristes kurdes).

Le département anti-cybercriminalité de la police turque enquête sur les comptes de réseaux sociaux depuis 2017. En 2018, 42 406 comptes de médias sociaux ont été examinés en Turquie et plus de 18 000 actions en justice ont été engagées contre des utilisateurs. Une organisation allemande de journalisme a mis en garde les journalistes et voyageurs/blogueurs d’éviter de se rendre en Turquie suite aux nombreuses arrestations de ressortissants allemands pour avoir posté ou liké des publications sur des réseaux sociaux. Actuellement, cinq allemands seraient en prison en Turquie pour «raisons politiques».

Adnan Sütcü

Adnan Sütcü

Emmanuel Macron a annoncé lundi, dans un discours au Forum sur la gouvernance de l’Internet, la mise en place d’un groupe de travail commun avec Facebook. Le groupe de Mark Zuckerberg a donné son accord à une expérience de six mois, début 2019, dans laquelle des représentants des autorités françaises devraient pouvoir accéder aux outils, aux méthodes et au personnel du réseau social chargés de faire la chasse aux contenus « haineux ». Ce groupe, d’une petite dizaine de personnes, sera composé pour moitié de salariés de Facebook. Et pour l’autre moitié de membres sélectionnés par le secrétariat d’Etat au numérique, et issus d’autorités et ministères français.

Le fonctionnement du groupe reste flou à ce stade : son programme de travail sera précisé lors de ses premières réunions. Ce test s’inscrit aussi dans une offensive plus vaste, menée à Paris ou à Bruxelles, pour réguler les contenus en ligne en changeant les règles établies depuis 2000 par la directive sur le commerce électronique, qui distingue les statuts d’éditeur, responsable des contenus et celui d’hébergeur. La création d’un troisième statut appelé « accélérateur de contenus » est envisagée : celui-ci concernerait les réseaux sociaux et les moteurs de recherche comme Facebook, YouTube ou Google, qui ne produisent pas leurs contenus mais les éditorialisent en les classant, notamment via des algorithmes.

Mark Zuckerberg et Emmanuel Macron à l’Elysée, le 23 mai

Mark Zuckerberg et Emmanuel Macron à l’Elysée, le 23 mai