Secours Rouge

Abattre le capitalisme, construire la solidarité.

Sortie habituelle de la nouvelle version de Tails. Plusieurs failles de sécurité ont été corrigées ainsi que plusieurs bugs non-critiques introduits dans la version 3.0. N’oubliez donc pas de mettre à jour Tails, soit via l’utilitaire de mise à jour automatique (qui démarrera automatiquement dans Tails), soit via la mise à jour manuelle si l’automatique ne fonctionne pas, soit en faisant une nouvelle installation. Tout est décrit ici.

Tails

Des activistes ont physiquement bloqué l’accès à Rozcomnadzor (Service fédéral de supervision des communications, des technologies de l’information et des médias de masse), l’agence qui censure l’accès à internet en Russie. La censure sur internet est ordinairement forte, mais elle a récemment pris des proportions peu communes: en plus des contenus illégaux, l’agence bloque de plus en plus de services qui permettent de contourner la censure (VPN, Proxys, Tor,…) et d’autres services qui permettent l’anonymat (Tor,…). Ce mois-ci, l’accès à Google, Yandex et vKontakte a même été brièvement coupé, ainsi que l’accès à la messagerie “sécurisée” Telegram. Les activistes se sont donc mis devant les portes de l’agence à Saint-Petersbourg en entassant des boites en carton sur lesquelles étaient inscrit “Citoyens bloqués de Russie”.

Des manifestants bloquent les accès de l’agence qui censure internet

Des manifestants bloquent les accès de l’agence qui censure internet

L’équipe de Tails présente aujourd’hui la nouvelle version de Tails, la version 3.0. C’est la première version à être basée sur Debian 9. C’est une version majeure, et à ce titre il y a beaucoup de nouveautés visibles:
– Rafraichissement de l’expérience utilisateur pour le démarrage (toutes les options sont sur un seul écran.
– Rafraichissement de l’expérience utilisateur l’arrêt du système, l’écran devient complètement noir et est moins suspect.
– Rafraichissement du bureau (thème sombre de Gnome, plus moderne et plus discret).
– Tails tentera d’être synchronisé sur les dates de sortie de Debian (il parait d’ailleurs trois jours à l’avance puisque Debian 9 sort le 17 juin).
– Amélioration de la zone de notifications.
– Tails ne supporte plus les ordinateurs 32 bits.
– Icedove redevient Thunderbird.
– Et beaucoup d’autres mises à jour.

Tails

Suite aux rencontres de la communauté SPIP à Toulouse, des versions de maintenance ont été publiées le 9 juin. Il s’agissait des versions 3.0.26 (pour la branche 3.0.X)n 3.1.5 (pour la branche 3.1.X) et 3.2 (pour la branche beta). Un certain nombre de corrections de bugs ont été apportées (8 pour la 3.0, 25 pour la 3.1, 40 pour la 3.2). Pas de failles de sécurité selon l’équipe de Spip. Mais ce 12 juin, une nouvelle série de mises à jour a été publiée : 3.1.6 et 3.2 beta 3. La branche 3.0 n’est pas concernée par le problème. Le problème en question est une faille de sécurité plus ancienne.

Mettez au plus vite votre site à jour.

Mise à jour de Spip

Un gestionnaire de mots de passe ne permet pas simplement de se souvenir de dizaines de mots de passe, il permet également d’en générer de nouveaux plus puissants sans avoir à se soucier de pouvoir s’en souvenir. Mais la majorité des gestionnaires de mots de passe est propriétaire (utilisant des technologiques fermées), payante, ou peu sécurisée. L’alternative la plus connue étant gratuite et open-source est Keepass, un logiciel à l’interface austère. De ce constat, deux développeurs finlandais ont créé Buttercup, un gestionnaire de mots de passe chiffré et open-source. Des clients existent déjà pour Windows, Mac et Linux et des applications pour iOS et Android sont en cours de développements. Il existe également des extensions pour Chrome et Firefox afin que les mots de passe soient automatiquement “tapés” au besoin. Le gestionnaire peut sauvegarder un conteneur de mots de passe localement sur un ordinateur ou le stocker dans le cloud. Le protocole WebDAV est supporté nativement ainsi que les services OwnCloud et Dropbox. Les développeurs sont très réactifs concernant la résolution des bugs. Buttercup est écrit en NodeJS.

Un logiciel à essayer ici.

Buttercup

Buttercup

Au moins deux nouvelles armes faisant usage de la faille ‘ETERNALBLUE’ de la NSA ont été répertoriées. “Au moins”, car ces attaques ne sont pas toujours aussi visibles que l’attaque Wannacry (voir notre article). Preuve en est, l’une de ces deux attaques, répandant le virus ‘Adylkuzz’ a été perpétrée avant Wannacry, elle a commencé entre le 24 avril et le 2 mai dernier. Elle n’a pas été tout de suite détectée car ce n’était pas un ransomware comme Wanacry (exigeant de l’utilisateur une rançon contre ses données) mais un crypto-miner, c’est à dire un logiciel qui “fabrique” de la monnaie virtuelle, en l’occurence du Monero (une autre monnaie comparable au bitcoin). Les hackers infectent donc des milliers d’ordinateurs pour les intégrer à leur parc informatique et augmenter leur puissance de calcul. Ce fonctionnement n’est pas aisément détectable par l’utilisateur, hormis le fait que son ordinateur est lent car concentré à sa tâche de minage. Cette attaque est beaucoup plus rentable pour les hackers (jusqu’ici, Wannacry n’a récolté que 80.000$), sans pour autant provoquer un vent de panique générale.

Passons à la troisième attaque, UIWIX, qui rassemble le pire des deux premiers. UIWIX est un ransomware, et il utilise la faille ETERNALBLUE de la NSA, mais il n’est pas basé sur le code de Wannacry, c’est un tout autre ransomware. Il est ‘fileless’, ce qui signifie qu’il ne s’installe pas dans le disque dur de la cible mais dans sa mémoire vive, rendant sa détection difficile. Il infecte via une DLL (entrée dans la base de registre de Windows) et non via un fichier exécutable. Qui plus est, UIWIX s’auto-détruit s’il détecte qu’il est dans une machine virtuelle, ceci afin d’éviter d’être analysé. Les éditeurs d’anti-virus installent en effet des “honeypots” (des appâts à virus, “pots de miel” littéralement) afin de détecter les nouvelles menaces. Enfin, contrairement à Wannacry, UIWIX ne dispose pas d’un killswitch qui permet de désactiver sa propagation.

La bonne nouvelle: c’est que ces trois virus utilisent la même faille ETERNALBLUE. Si vous avez entrepris de vous protéger contre Wannacry, vous êtes déjà protégés de ces héritiers. En revanche, si vous n’êtes pas encore protégés, voici les simples étapes à entreprendre.

1. Quelque soit votre version de Windows: démarrez Windows Update (menu démarrer, tapez “update” ou “mise à jour”), et faites une mise à jour. Ouvrez votre antivirus et vérifier que sa base de données a été mise à jour récemment (durant les trois derniers jours).
2. Si vous êtes sous Windows 10, vous êtes à priori protégés. Microsoft avait bouché cette faille il y a plusieurs mois.
3. Si vous êtes sous Windows XP, 2000 ou Vista, il est temps de passer à un système moderne. Windows 10 est bien plus sécurisé que ces prédécesseurs. Certes, il n’est pas respectueux de la vie privée de ses utilisateurs, mais aucune version de Windows ne l’est.
4. Enfin, vous pouvez fermer le service SMB de Windows qui est utilisé par la faille ‘ETERNALBLUE’. Pour celà: “Panneaux de configuration” -> “Programmes et fonctionnalités” -> “Activer ou désactiver des fonctionnalités Windows”, et décocher la case correspondant au service SMB (le service SMB vous est inutile si vous n’utilisez pas le réseau local, voir SMB sur Wikipedia).

Désactivation du service SMB dans Windows.

Désactivation du service SMB dans Windows.

L’application de messagerie sécurisée Signal est à présent approuvée pour une utilisation par les sénateurs états-uniens. Des recommandations technologiques sont régulièrement faites aux sénateurs pour protéger leurs communication d’un éventuel espionnage. Cette approbation vient s’ajouter à la longue liste d’arguments pour l’utilisation de Signal. L’utilisation de Signal est encouragée par Snowden, son fonctionnement est encensé par les cryptographes les plus aguerris, la puissance de son protocole de chiffrement est utilisée par Google, Facebook et Whatsapp (entre autres). Son utilisation est simple, intuitive et ludique. Signal est censuré dans les dictatures de la péninsule arabique et du Maghreb et a contourné cette censure en moins de trois jours grâce à des développeurs extrêmement réactifs. Lorsque les e-mails de Hillary Clinton ont été piratés, son équipe est passée à Signal. Nous avons déjà exposé les failles de Telegram sur ce site, Signal n’en souffre pas. Signal est open-source et gratuit. Les appels audios et vidéos sont de plus en plus rapides et sans latence. L’application permet désormais d’envoyer n’importe quel type de pièce-jointe de moins de 100Mo. Vous l’avez compris, nous vous encourageons à utiliser cette application dès à présent et à encourager son utilisation.

Pour télécharger Signal, rendez-vous sur signal.org

Partage de pièces-jointes sur Signal.

Une immense cyber-attaque de portée mondiale a frappé des milliers d’ordinateurs hier, chiffrant irrémédiablement les disques durs des victimes, si ceux-ci refusent de payer une rançon de 300$. Les ‘ransomwares’ (ou ‘rançongiciels’) sont bien connus depuis quelques années. Leur principe est simple: un virus chiffre tout ou partie d’un disque dur et exige ensuite de la victime une rançon a payer en bitcoins sur un site .onion, dans le dark web. Les ransomwares sont extrêmement rentables pour les auteurs de ces attaques. De nouveaux ransomwares apparaissent chaque jour et ont donné naissance à une véritable industrie sur le dark web. Des plateformes permettent à présent de créer un tel logiciel et de le personnaliser gratuitement sous réserve qu’un pourcentage de l’argent récolté soit reversé à la plateforme. Les ransomwares se propagent comme n’importe quel virus, et bien souvent via des pièces-jointes.

Pour mener des cyber-attaques importantes, il faut infecter beaucoup d’ordinateurs. Les pirates doivent donc tenter de contrefaire au mieux des e-mails officiels afin de convaincre les cibles de télécharger une pièce-jointe. La cyber-attaque de ce 12 mai, qui a notamment visé Telefonica en Espagne, le service national de santé britannique, le ministère de l’intérieur russe, fedex aux USA, Renault en France. 75.000 systèmes seraient infectés à travers le monde par le virus, nommé WanaCry. Il ne s’agit pas uniquement de gens qui ont cliqué sur une pièce-jointe infectée: les hackers se sont servis d’une faille découverte par la NSA pour qu’une fois un système infecté, il infecte les autres ordinateurs présents sur le même réseau. En plus de cela, 5.000.000 d’e-mails infectés étaient envoyés chaque heure.

Le groupe de hackers ‘Shadow Brokers’ avait mis en ligne plusieurs cyber-armes dérobées à la NSA l’année dernière, mettant aux enchères les plus dangereuses, avant de se dissoudre à la fin de l’année. La NSA (comme la CIA) utilise des failles 0Day (non-découvertes) pour construire son cyber-arsenal, ce qui a pour effet de mettre en danger des milliers d’ordinateurs. Les personnes se retrouvant en possession de la faille devenant tout puissants sur les systèmes infectés, l’attaque d’hier en est un très bon exemple. Nous avons déjà parlé à plusieurs reprises de ces failles. La faille, ETERNALBLUE, avait été dévoilée le 14 avril 2017 par les Shadow Brokers (avec comme commentaire “c’est probablement la publication la plus dangereuse jusque là” Mais elle avait déjà été patchée par Microsoft le 14 mars 2017.

L’attaque d’hier a donc couplé l’utilisation d’un ransomware à l’utilisation d’une faille 0Day dévoilée par les Shadow Brokers. Les failles ont toutes été patchées par les éditeurs de système d’exploitation depuis, mais comme la plupart des gens ne mettent pas à jour leur système, ils sont restés vulnérables. Des cyber-attaques comme celles d’hier vont se reproduire: non seulement des hackers cherchent quotidiennement des failles 0Day, mais des institutions comme la NSA et la CIA investissent des millions de dollars dans leur recherche et se font voler leurs arsenaux. Le fait que la plupart des systèmes ne soient pas patchés et mis à jour assez rapidement rend le parc informatique mondial globalement vulnérable.

La propagation a pu être stoppée grâce à l’activation d’un “kill switch” par un développeur britannique, mais des variantes du virus devraient paraître sous peu. C’est donc le bon moment pour faire une mise à jour de votre système. Vu l’ampleur de l’attaque, Microsoft aurait décidé de publier exceptionnellement une mise à jour pour les anciennes versions de Windows non supportées, à partir de XP.

WannaCry

WannaCry

Le site internet “marine2017.fr” de la candidate d’extrême-droite à la présidentielle française a fait l’objet d’attaques informatiques régulières et ciblées (notamment des attaques DDoS, c’est-à-dire par déni de service) tout au long de la campagne. Le FN prétend avoir identifié plusieurs de ces hackers et avoir transmis l’ensemble des données les concernant aux services de police dans le cadre d’un dépôt de plainte. Le parquet de Nanterre a confirmé qu’un suspect, un jeune homme, a été interpellé cette semaine. Placé en garde à vue, il aurait reconnu les faits, selon le parquet. Du matériel informatique a été saisi.

Le site du FN a fait notamment l’objet d’attaque DoS

Le site du FN a fait notamment l'objet d'attaque DoS

Les utilisateurs de Signal peuvent désormais envoyer et recevoir des pièces jointes de de n’importe quel type sur iOS, Android et ordinateur. Auparavant, les pièces-jointes étaient limitées à certains formats: images, audio et vidéo. On peut désormais envoyer un document (pdf, doc, odt,…), une application (apk, exe,…), un fichier compressé (zip, rar, 7zip,…) ou n’importe quel type de fichier. La taille du fichier est elle-même limitée, mais la limite est bien plus haute que pour un e-mail par exemple, à priori elle est fixée à 100Mb. Signal dispose donc à présent de toutes les fonctionnalités dont disposait déjà PGP, la disponibilité des pièces-jointes en fait une alternative de plus en plus crédible.

Nous vous encourageons à utiliser Signal plutôt que d’autres messageries (Facebook Messenger, Whatsapp, Telegram, Hangouts, Allo,…), les SMS classiques ou les e-mails non-chiffrés. Signal est une puissante application de messagerie, extrêmement simple d’utilisation et sponsorisée par Edward Snowden.

Partage de pièces-jointes sur Signal.