Oversec, une application Android, permet d’utiliser PGP par-dessus n’importe quelle autre application Android, et ainsi de chiffrer et de déchiffrer de façon transparente du contenu, peu importe qu’il provienne d’un sms, d’un message whatsapp, d’un e-mail ou de n’importe quel autre moyen de communication. Oversec recherche dans le texte affiché des données chiffrées, lorsqu’il en trouve, il affiche par-dessus celui-ci la version déchiffrée. Oversec propose également d’obfusquer le texte en le faisant passer pour autre chose afin que le chiffrement ne soit pas évident.
Spip, le système de gestion de contenu (CMS) utilisé par notre propre site (et par de nombreux autres sites, comme la quasi-totalité des sites Indymedia) est passé hier en version 3.1.2. Plusieurs failles XSS ont été découvertes par des « experts en sécurité ». Les failles XSS (pour Cross-Site Scripting) permettent d’injecter du contenu (essentiellement Javascript, mais en fait n’importe quel langage compréhensible par un navigateur) dans des pages web. Ce type d’attaque permet donc d’injecter du contenu, mais également de rediriger un utilisateur. Les éditeurs de Spip parlent de failles non-critiques.
Quoi qu’il en soit, il est recommandé de toujours mettre son site Spip à jour le plus rapidement possible pour éviter un drame, pour se faire: voir « Utiliser le spip_loader pour une mise à jour » sur cette page après avoir fait un backup de votre site.
Google Allo a finalement été publié hier sur le Play Store. La nouvelle messagerie de Google introduit à son tour un bot, Google Assistant, censé répondre comme le ferait un être humain lorsqu’on lui pose des questions. Google Assistant apprend à la longue des utilisateurs qui interagissent avec lui pour être plus précis.
Google avait toutefois « promis » en dévoilant Allo en mai dernier que les conversations ne feraient que transiter par ses serveurs et qu’elles seraient stockées uniquement sur les appareils des utilisateurs. La firme a finalement fait machine arrière, les messages seront stockés sur ses serveurs, au moins jusqu’à ce qu’ils soient supprimer de l’appareil. Comme Whatsapp et Facebook Messenger, Google Allo a mis en place un mode « incognito » qui permet de communiquer via le protocole sécurisé Signal (sponsorisé par Snowden). Toutefois, Snowden a réagit à la publication de Google Allo en critiquant la décision prise par Google et en mettant en garde leurs utilisateurs que les messages pourront être utilisés par la police.
What is #Allo? A Google app that records every message you ever send and makes it available to police upon request. https://t.co/EdPRC0G7Py
La banque de données dynamique iPolice devrait être opérationnelle pour 2021 au plus tard. Elle sera accessible aux polices locales et fédérales ainsi qu’à la Sûreté de l’Etat, à l’Ocam et aux douanes. Ce projet avait été présenté au cours d’une réunion à huis clos de la commission « attentats » (voir notre article). Ce système doit centraliser l’actuelle BMG-Circulation et une vingtaine d’autres banques de données, mais également récolter les informations disponibles sur le web et les réseaux sociaux à propos des personnes faisant l’objet de recherches spécifiques. Le logiciel, pour lequel la réflexion avait commencé après les attentats de Paris, sera également capable de lancer des alertes pour les services d’ordre ou d’établir des connexions entre les individus et les groupes d’individus.
Des chercheurs ont découvert deux failles non-critiques dans le protocole Signal. Le protocole Signal est le mécanisme de chiffrement utilisé par l’application Signal (sponsorisée par Edward Snowden), par WhatsApp, et bientôt par Facebook Messenger et Google Allo. Pas de panique: les deux failles ne permettent pas de déchiffrer du contenu, mais d’altérer les pièces-jointes: elles permettent à d’éventuels d’attaquants d’ajouter des données (avec un maximum de 4Go) aux pièces-jointes qui transitent sur le réseau, rendant non seulement les pièces-jointes illisibles mais permettant d’éventuelles attaques par déni de service sur le réseau. C’est la première fois que des failles sont trouvées dans Signal, elles seront probablement très rapidement corrigées.
En 2010, l’Inde lançait le programme Aadhaar (mot hindi pour « Fondation ») destiné à devenir l’unique moyen d’identification en Inde où les documents d’identité ne sont pas obligatoires. Cette base de données est gérée par « Unique Identification Authority of India » qui délivre à tout citoyen indien demandeur un numéro d’identification unique à 12 chiffres, des campagnes très larges ont été menées ces 6 dernières années et plus d’un milliard de personnes se sont inscrites dans la base, soit 83% de la population mondiale. Ce haut taux d’adhésion est à mettre en relation avec un accès facilité aux aides sociales, alimentaires, à l’administration… Le but premier d’Aadhaar était d’ailleurs -selon ses concepteurs- de lutter contre des fraudes massives dûes au désordre de l’identification. Cette base de données inclut -facultativement mais souvent- des données biométriques telles qu’un scan de l’iris, un scan de la forme du visage et des empreintes digitales. La combinaison des trois rend pratiquement impossible l’usurpation d’identité.
Le gouvernement indien veut à présent pousser le système encore plus loin, il a récemment ajouté une plateforme de paiement et de banque au programme, en demandant aux géants du web d’utiliser la plateforme et le chiffrement d’Aadhaar pour permettre l’authentification sur leurs services: une réunion a été organisée entre le gouvernement et Alphabet/Google, Microsoft, Samsung et Apple, ce dernier ne s’y est pas rendu. Les sociétés étrangères sont réticentes car elles perdraient la main sur les données de leurs utilisateurs et ne pourraient plus cibler leurs publicités, la loi indienne interdit d’ailleurs, en principe, même au gouvernement de faire usage de ces données. Second argument, les géants du web ne font à priori pas confiance à la sécurité d’Aadhaar.
Le fait de considérer les messageries en ligne et les VoIP (voix par internet) comme des opérateurs de téléphonie est de longue date demandé par les opérateurs classiques qui dénoncent « de la concurrence déloyale » puisque certaines obligations sont imposées aux opérateurs mais pas aux services en ligne. Ces obligations sont notamment de permettre d’appeler un service d’urgence (112) et de permettre la mise sur écoute par la police, c’est d’ailleurs les nouvelles demandes des agences de renseignement qui poussent le retour ce projet de législation. Cette transformation ne se fera pas forcément facilement, puisque les développeurs de ces applications de communication sont bien souvent les géants du web: Google (Hangouts, Duo, Allo), Facebook (Messenger, Whatsapp), Microsoft (Skype), etc… qui eux demandent la création d’un statut à part. Encore une raison de passer à Signal.
Le gouvernement entend intensifier les screenings des travailleurs exerçant dans les professions liées aux télécommunications, aux transports publics et potentiellement d’autres. Pour ce faire, la loi relative aux certificats de sécurité (document obtenu après un screening positif dans les bases de données de la police et de la Sûreté de l’État) devra être étendue. Des budgets supplémentaires seraient alors alloués au SPF pour engager plus de personnel pour screener tout ce petit monde. La réforme est attendue avant le fin de l’année.
Le député LR (Les Républicains) Arnaud Viala a déposé un projet de loi pour couper les allocations des personnes condamnées pour des « exactions en manifestation ». Dans ce projet, les cas des « casseurs » ayant des personnes à charge seraient examinés par le conseil d’état. La suspension courrait pour un an. Ce projet de loi est très inspiré d’un projet équivalent déposé par le FN en juin dernier mais qui proposait lui de couper les allocations pour une durée allant jusqu’à 5 ans.
Le Procureur Delmulle propose que l’on élargisse ou que l’on crée de nouveaux statuts dans le cadre de la lutte antiterroriste. Il s’agit des informateurs, des infiltrants et des repentis. Pour ce qui est des informateurs (des civils qui ne font « que » donner des informations contre rémunération), il propose qu’on augmente le budget de leur gestion. Pour ce qui est des « infiltrants » (des policiers qui infiltrent des structures et peuvent donc ‘légalement’ disposer d’une fausse identité et commettre des faits répréhensibles), il propose que l’on permette à des civils d’exercer ce rôle, arguant qu’il serait parfois impossible de trouver des policiers qui ont le profil adéquat. Enfin, il propose de créer un statut de « repenti » pour ceux qui échangeraient des informations contre des réductions de peine.
Campagne à propos des photos dans les manifestations
Campagnes de soutien médical aux combattant·es du Rojava