Surveillance



Dans ce cas, il faudrait carrément attaquer l’intégralité des fournisseurs d’accès Internet pour permettre à la propagande de circuler dans ses tuyaux…

Tuerie d’Orlando: des familles de victimes attaquent Facebook, Twitter et Google
[ LEXPRESS.fr –  21/12/2016 ]

Trois familles ont déposé une plainte lundi contre les réseaux sociaux, qu’ils accusent d’avoir concouru au processus de radicalisation d’Omar Mateen, l’auteur de l’attentat d’Orlando.

Les familles de trois victimes de l’attentat d’Orlando, Tevin Crosby, Juan Raon Guerrero et Javier Jorge-Reyes, on déposé une plainte contre Facebook, Twitter et Google, qu’elles accusent d’avoir contribué à la radicalisation du tueur, Omar Mateen.

Dans leur plainte, déposée lundi devant la cour fédérale de Détroit (Michigan), les familles reprochent aux trois réseaux sociaux d’avoir « procuré au groupe terroriste EI des comptes, que [ses membres] ont utilisé pour partager leur propagande extrémiste, collecter de l’argent et attirer de nouvelles recrues ».

« Soutien matériel »
A leurs yeux, l’auteur du massacre perpétré dans une boîte de nuit de Floride le 12 juin dernier (49 morts et 53 blessés), qui n’avait jamais rejoint les rangs de Daech avant son attaque, n’a eu que ces outils numériques pour s’imprégner de la doctrine des djihadistes.

LIRE AUSSI >> « Le djihadiste américain agit seul mais pense appartenir à une communauté »

« Ce soutien matériel a été essentiel dans l’essor de l’EI et lui a permis de mener ou de faire mener de nombreuses attaques terroristes », dénoncent les familles dans leur plainte.

Des plaintes qui aboutissent rarement
Ce n’est pas la première fois que les trois géants du web sont visés par de telles plaintes, qui n’ont toutefois jamais abouti. Aux Etats-Unis, les réseaux sociaux sont en effet protégés par la section 230 du Communication Decency Act (CDA), adopté en 1996, qui exonère les hébergeurs de la responsabilité de contenus postés par les utilisateurs.

En août dernier, un juge a débouté une action de groupe contre Twitter, qui imputait au réseau social une part de responsabilité dans une attaque de Daech en Jordanie. A ce titre, le magistrat avait invoqué le CDA pour rejeter la plainte.

http://www.lexpress.fr/actualite/monde/tuerie-d-orlando-des-familles-de-victimes-attaquent-facebook-twitter-et-google_1862382.html


[Ariane Beky, SILICON.FR – 13 octobre 2016]

Des clés de chiffrement de 1024 bits utilisées pour sécuriser les sites Web, les VPN et les serveurs Internet peuvent inclure des « trappes » indétectables, selon des chercheurs.

Des clés de chiffrement de 1024 bits utilisées pour sécuriser les échanges et les communications sur Internet (sites Web, VPN et serveurs), peuvent utiliser des nombres premiers munis de « trappes »indétectables. L’exploit permettrait à des pirates de déchiffrer plusieurs millions de communications chiffrées, et d’identifier les propriétaires des clés. C’est ce qui ressort des travaux d’une équipe de chercheurs : Joshua Fried et Nadia Heninger, de l’Université de Pennsylvanie, Emmanuel Thomé et Pierrick Gaudry, de l’équipe projet CARAMBA (Inria-CNRS-Université de Lorraine).

« Nous démontrons dans nos travaux que la création et l’exploitation de trappes des nombres premiers (trapdoored primes) pour les standards d’échange de clés Diffie-Hellman et du DSA (Digital Signature Algorithm) est faisable pour les clés de 1024 bits avec des ressources informatiques universitaires modernes », déclarent les chercheurs dans leur article technique. Ils disent avoir « effectué un calcul de logarithmes discrets dans une trappe des nombres premiers, en deux mois sur un cluster académique ».

Traffic HTTPS et VPN déchiffrés

Les standards internationaux de cryptographie reposent sur des nombres premiers dont l’origine devrait être vérifiable. Mais, aujourd’hui, trop de serveurs communiquent en s’appuyant sur des nombres premiers dont l’origine est invérifiable : 37% des sites en HTTPS (parmi le million de sites les plus visités du top Alexa) et 13% des VPN IPsec, rappelle Inria.

Pour son propriétaire, une clé de chiffrement dotée d’une trappe ressemble à toute autre clé fiable. Pour les attaquants qui exploiteraient la trappe, en revanche, la sécurité de la clé peut être brisée à travers la résolution plus rapide du problème du logarithme discret. Selon les chercheurs, l’échelle de difficulté pour un pirate deviendrait « très facile » pour une clé de 768 bits, « facile » pour une clé de 1024 bits, mais hors de portée pour du 2048 bits…. pour le moment.

Chaque échange sécurisé par le standard Diffie-Hellman, qui utiliserait le nombre premier p, par exemple, pourrait être déchiffré par un attaquant ayant résolu le logarithme discret pour p. Des documents exfiltrés par Edward Snowden ont montré que la NSA américaine a utilisé cette approche.

http://www.silicon.fr/trappes-millions-cles-chiffrement-160064.html


[Le Monde Informatique – 25/03/2016]

Pour empêcher l’exécution du rançongiciel Locky dans les ordinateurs sur lesquels il s’active par le biais de macros Word, la société de recherche en sécurité Lexsi a développé 4 parades, bloquant notamment le chiffrement des fichiers. Le fonctionnement de ces vaccins est décrit dans un billet de blog.

Un expert français de la société de recherche en sécurité Lexsi a trouvé plusieurs façons d’arrêter la propagation du ransomware Locky qui se diffuse par l’intermédiaire de macro-commandes intégrées à des fichiers Microsoft Word. Dans un billet, Sylvain Sarméjeanne expose les modifications que l’on peut apporter à un ordinateur pour le « vacciner » contre ce programme malveillant qui chiffre les fichiers d’un PC et réclame une rançon pour fournir la clé de déchiffrement. Cette méthode de vaccination avait déjà été appliquée au ver Conficker.C, rappelle ce spécialiste en rétro-ingénierie.

Relativement récent parmi les rançonlogiciels, Locky sévit tout de même depuis plusieurs semaines. Il est principalement distribué par le biais de messages spams qui tentent d’abuser les utilisateurs en se faisant par exemple passer pour des factures demandant l’ouverture d’une pièce jointe. Le malware s’exécute si les macros malveillantes sont activées dans le document Word, malgré la mise en garde généralement affichée par le traitement de texte qui avertit de la présence de macros dans les fichiers.

Créer des clés de registre et forcer la clé publique RSA
Par vaccin, Sylvain Sarméjeanne entend « toute modification mineure du système ayant pour objet de bloquer, sans intervention utilisateur, tout ou partie des effets néfastes liés à l’exécution d’un programme malveillant ». Le chercheur en sécurité en propose 4 dont un qui « utilise le fait de pouvoir forcer la clé publique RSA avec laquelle sont chiffrées les clés AES ». Le premier vaccin consiste à créer une clé de registre avec des ACL (Access control list) interdisant toute ouverture. L’une des premières choses que fait Locky est en effet de créer la clé de registre HKCU\Software\Locky après avoir vérifié les paramètres de langue du système. Au passage, on voit que le malware prend la précaution de pas infecter les systèmes configurés en langue russe.

Le deuxième vaccin réside dans la création de deux autres clés de registre, l’une d’elles empêchant le chiffrement les fichiers. Les deux derniers vaccins proposent de stopper l’avancée du malware, d’une part via une clé RSA corrompue et d’autre part via l’utilisation forcée d’une clé publique RSA sous le contrôle de l’utilisateur qui dispose de la clé privée associée. Ces méthodes de parade sont détaillées sur le billet publié par Lexsi. Il s’agit d’actions préventives pour se protéger contre la perte de fichiers que pourrait entraîner une attaque via Locky. Elles impliquent donc de prendre les devants en anticipant une éventuelle infection.

http://www.lemondeinformatique.fr/actualites/lire-lexsi-trouve-un-vaccin-pour-stopper-la-propagation-de-locky-64309.html


[Reynald Fléchaux – SILICON.FR – 24 novembre 2015]

Dans un guide de 34 pages, l’Etat Islamique détaille les mesures et outils de sécurisation des communications qu’il préconise. Une récupération des conseils classiques habituellement adressés aux journalistes et opposants politiques.

Le magazine Wired publie un guide de 34 pages détaillant les mesures de protection des communications que l’Etat Islamique (EI) conseille à ses affidés. Mis au jour par des chercheurs du centre de combat contre le terrorisme de l’académie militaire américaine de West Point, qui ont exploré les forums, les réseaux sociaux et les canaux de chat de l’EI, le document, à l’origine en arabe, a été produit voici un an par une société du Koweït, Cyberkov, afin de protéger des journalistes et activistes à Gaza.

Ce guide détaille les bonnes pratiques permettant de protéger les contenus de ses communications et sa localisation et compile un grand nombre d’applications et de services connus pour offrir un haut niveau de confidentialité à leurs utilisateurs. On y retrouve le navigateur Tor (anonymat sur Internet), Tails (OS), des services de messagerie chiffrée (Cryptocat, Wickr, SureSpot, Sicher ou encore Telegram), des services d’e-mails sécurisés (Hushmail ou ProtonMail), des moyens de protéger les communications mobiles (BlackPhone, LinPhone, Silent Circle), du chiffrement de volumes (TrueCrypt) ou encore du stockage de données dans le Cloud (Mega, SpiderOak). Y figure également une application (Mappr) pour falsifier ses données de géolocalisation.


[Rémi Noyon – Rue89 – 02/02/2015] En plus de son efficacité douteuse, le site gouvernemental Stop-djihadisme se prête à tous les détournements. On y trouve notamment une plaquette qui renseigne sur « les premiers signes » de l’embrigadement d’un proche dans le salafisme djihadiste. Parmi ces « signes » évoqués sous forme de pictogrammes (à gauche ci-dessus) :

  • « Ils se méfient des anciens amis, qu’ils considèrent maintenant comme des “impurs” » ;
  • « Ils rejettent des membres de leur famille » ;
  • « Ils abandonnent l’école ou la formation professionnelle car l’enseignement dispensé fait parti du complot », etc.

Vient ensuite le numéro vert mis à disposition des « familles » qui « sont souvent démunies pour identifier les signes qui peuvent laisser présager un embrigadement, puis un départ ». radicalisation

La plaquette de La Quadrature

Sur Twitter, Clément Sénéchal, « l’homme qui tweetait pour Mélenchon », se moque gentiment :

« Passé la journée au téléphone avec le ministère de l’Intérieur : j’avais des doutes sur à peu près tous mes potes. »

Certains vont plus loin. Jérémie Zimmermann, l’un des co-fondateurs de La Quadrature du Net, qui défend un Internet libre et ouvert, vient de relayer une plaquette intitulée : « Dérive autoritaire. Les premiers signes qui doivent alerter » (à droite ci-dessus). attentifs_ensemble Reprenant les codes du site Stop-djihadisme, cette infographie liste les risques :

  • « Restriction de la liberté d’expression » ;
  • « Interdiction de manifestations pacifiques » ;
  • « Banalisation de messages racistes » ;
  • « Généralisation et extension de la surveillance des citoyens » ;
  • « Prévalence d’intérêts économiques sur l’intérêt général » ;
  • « Partenariats avec des régimes violant les droits de l’homme » ;
  • « Répression violente des manifestations » ;
  • « Instrumentalisation des menaces pour justifier des mesures sécuritaires » ;
  • « Contournement de la démocratie et du contrôle du pouvoir judiciaire. »

Ça ne vous rappelle rien ? http://rue89.nouvelobs.com/2015/02/01/derive-autoritaire-les-premiers-signes-doivent-alerter-257453


[Yves Eudes – Le Monde.fr | 27.10.2014]

Dans les smartphones saisis au cours de leurs enquêtes, les gendarmes ont appris à exploiter une nouvelle mine de renseignements : les données techniques des photos prises par les suspects et leur entourage.

Lorsque vous prenez une photo avec un téléphone, vous créez, sans le savoir, un fichier technique en mode texte qui s’intègre à l’image. Ces métadonnées, écrites dans un format baptisé EXIF (Exchangeable Image File Format), sont invisibles et inaccessibles pour l’utilisateur de base, mais il est possible de les extraire, par exemple grâce à un logiciel baptisé EXIFTool, téléchargeable gratuitement.

Le résultat est spectaculaire : le fichier EXIF d’une photo prise par un Samsung Galaxy S comporte 104 lignes, celui d’un iPhone 4S d’Apple 160 lignes. Tout y est, notamment les codes d’identification de votre appareil et ses réglages (vitesse d’obturation, longueur de focale, sensibilité, etc.). Avec en prime, en bas du tableau, le jour et l’heure, à la seconde près, où la photo a été prise, ainsi que le lieu, exprimé en coordonnées GPS (longitude, latitude et altitude), avec une précision de quelques centimètres. Ces fonctions sont activées par défaut sur tous les téléphones, et peu de gens prennent la peine de s’aventurer dans le menu « Réglages » pour les bloquer. A noter que les appareils photo numériques haut de gamme génèrent le même type de métadonnées.

Des dizaines de détails

A lui seul, le contenu visuel de vos photos raconte un peu de votre vie (vacances, travail, sorties, et fréquentations sociales, familiales, intimes…). Quand on y ajoute la date et le lieu de chaque cliché, on obtient un début de reconstitution de vos itinéraires et de votre emploi du temps.

Pour les enquêteurs de la gendarmerie nationale, les albums photo des suspects constituent un nouveau trésor. (suite…)


[Jacques Cheminat – Silicon.fr – 13/05/2014]

La source ne semble pas se tarir. Si Edward Snowden est un homme très demandé, les documents qu’il a révélés continuent de fournir des renseignements sur les méthodes d’espionnage de la NSA. Les dernières révélations en date ont été faites par The Guardian et plus exactement Glenn Greenwald, un des journalistes disposant des documents confiés par « le lanceur d’alertes » et qui vient de publier un livre « No Place, to Hide ». Dans cet ouvrage, on y apprend que la NSA injecte des backdoors dans du matériel IT américain destiné à l’export. Parmi ces équipements, on retrouve des routeurs, mais aussi des serveurs. Le journaliste cite un rapport du département « Access and Target Development » de l’agence américaine de renseignement qui montre qu’il « reçoit et intercepte régulièrement des routeurs, des serveurs et d’autres équipements réseaux destinés à l’exportation pour des clients internationaux ».

A l’occasion de cette interception, « la NSA implante des backdoors dans les appareils, les reconditionne et les renvoie avec le cachet d’usine ». L’agence peut ainsi écouter et surveiller n’importe quel réseau. Selon le document, il ne semble pas que les constructeurs soient au courant de cette pratique. Au mois de décembre dernier, Der Spiegel avait publié un article sur les documents d’Edward Snowden montrant que la NSA disposait d’un catalogue de méthodes de hacking pour les équipements réseaux de Juniper, Cisco et Huawei. (suite…)


[Jacques Cheminat – Silicon.fr – 4 juillet 2014]

Un média allemand a découvert que la NSA surveillait les utilisateurs du réseau d’anonymisation Tor et Tails en s’appuyant sur Xkeyscore. L’analyse du code source de l’outil d’espionnage amène à penser qu’il existe un autre Edward Snowden.

La NSA a, comme toute agence de renseignements, horreur d’avoir des services qui lui résistent. Et c’est bien le cas de Tor et de l’OS Tails. Le premier, « The Onion Router », est un réseau informatique distribué mondial et décentralisé avec des milliers de serveurs à travers le monde. Il a été promu par le Département d’Etat pour aider les dissidents politiques à éviter la censure dans leurs pays. Il sert également de repères pour les cybercriminels. Tails de son côté est une distribution Linux qui a pour but de préserver l’anonymat.

A la fin de l’année dernière, The Guardian évoquait déjà, d’après les documents d’Edward Snowden, une tentative d’espionnage du réseau d’anonymisation en passant non par le réseau lui-même, mais par des failles des navigateurs. L’objectif ne semble pas avoir été complétement couronné de succès, puisqu’une enquête des médias allemands ARD et WRD montre quel’agence américaine continue sa surveillance active du réseau Tor, mais également de l’OS Tails. (suite…)


[Serge Leblal – Le Monde Informatique – 12/06/2014]

Depuis l’arrêt brutal de TrueCrypt qui a laissé sans voix de nombreux spécialistes de la sécurité, les alternatives fleurissent en Europe. Parmi celles-ci, VeraCrypt développée par une société française Idrix.

Depuis sa disparition entourée de nombreux mystères (failles, pression de la NSA, équipe piégée ou infiltrée…) TrueCrypt a laissé de nombreux utilisateurs totalement démunis, notamment parmi les professions libérales et les nombreuses associations/ONG qui appréciaient la sécurité et la simplicité d’utilisation de cet outil de chiffrement à la volée. Il est bien sûr possible d’utiliser BitLocker Drive Encryption livré avec les versions pro de Windows 7 et 8 mais sa mise en oeuvre est vraiment fastidieuse et beaucoup n’ont pas vraiment envie de laisser leurs petits secrets à la discrétion d’un éditeur américain.

Depuis la disparition de TrueCrypt trois forks ont vu le jour : Ciphersed.org,TrueCrypt.ch (une version développée en Suisse pour échapper aux fourchettes des autorités américaines), et enfin VeraCrypt, proposé par la société française Idrix. Cette dernière a revu le code de TrueCrypt pour renforcer sa sécurité et proposer un produit capable de mieux résister au déchiffrement brut.

On retrouve le système de conteneurs propre à TrueCrypt mais sans possibilité d’ouvrir les anciens conteneurs créés avec ce dernier. Les deux formats sont malheureusement incompatibles. VeraCrypt n’est pour l’instant disponible que pour Windows mais des versions Linux et Mac OS X sont attendues dans les prochains mois. Une condition sine qua none pour pouvoir envoyer des fichiers à un utilisateur travaillant sur une autre plate-forme OS que la sienne.

http://www.lemondeinformatique.fr/actualites/lire-veracrypt-une-alternative-francaise-a-truecrypt-57737.html


[Dominique Filipponne – Le Monde Informatique – 12/06/2014]

La fin brutale du freeware Open Source TrueCrypt spécialisé dans le chiffrement de disques et de fichiers a laissé place à l’incompréhension dans le milieu de la sécurité. Entre hack massif et arrêt forcé à la Lavabit, les suppositions vont bon train.

Les développeurs à l’origine du logiciel de chiffrement Open Source TrueCrypt lancé en 2004 ont annoncé ce week-end la fin de tout développement concernant cette solution. « Utiliser TrueCrypt n’est pas sécurisé et contient des failles de sécurité qui ne sont pas corrigées », ont indiqué les développeurs sur le site de leur projet.

« Nous avons eu l’une des annonces les plus étranges de toute l’histoire de l’Open Source », a indiqué Steve Pate, architecte en chef chez HyTrust à propos de cet arrêt surprise de TrueCrypt, qui tourne sur Windows, Mac OS/X et Linux. Steve Pate indique que TrueCrypt a été développé par un groupe d’ingénieurs logiciels inconnus avec qui il n’a jamais pu entrer en contact, faute de réponses.

Des failles identifiées mais sans importance

A ce jour, TrueCrypt a été téléchargé des millions de fois ces dernières années, et jusqu’à ce jour, aucun problème de sécurité majeur n’a été publiquement identifié. Tom Ritter, ingénieur de sécurité à iSec Partners, a fait savoir de son côté que sa société a analysé les composants de TrueCrypt sans trouver de preuve de l’existence d’une porte dérobée (backdoor). « Il y avait quelques failles mais aucune d’importance », a également noté Tom Ritter. Ce dernier a aussi précisé qu’à sa connaissance il n’existait aucune alternative Open Source fiable de chiffrement de disques et de fichiers à TrueCrypt. (suite…)


Faille de sécurité sur Internet Explorer : oui, c’est grave. Et si vous lâchiez enfin IE ?

[Jean-Philippe Louis – Nouvel Observateur – 29/04/2014]

En novembre 2013, Windows en avait plus qu’assez qu’on se moque de son navigateur Internet avec cette célèbre vanne :  – À quoi sert Internet Explorer ?  – À télécharger Mozilla Firefox ! Hu hu…

Lourd.

Du coup, la firme de Redmond allait mettre une torgnole aux haterz en tentant de reconstruire la marque Internet Explorer et montrer que, non, le navigateur n’est pas si fragile.

Le bouclier d’Explorer est une passoire

Ainsi, une publicité lancée par la marque sous forme de manga – parce qu’on parle aux geeks quand même hein – symbolisait cette volonté. On y voyait une fille poursuivie par des robots, s’enfuir puis se rebeller, avant de défoncer les méchants grâce à un bouclier magique. Je pense qu’ici, la symbolique est assez claire. Méchant = hackers. Fille = Internet Explorer. Subtil.

Certes, c’était assez bien dessiné et ça nous rappelait les glorieuses heures de « Sailor Moon ». Mais dans la réalité, le bouclier de cette fille ressemblerait plus à une passoire. Le week-end dernier, on apprenait en effet qu’Internet Explorer était victime d’une énorme faille de sécurité. Encore.

 Grâce à cette faille, un hacker peut prendre le contrôle de votre système et installer des virus, effacer des données etc. Le site The Wire explique :

« C’est en fait comme si vous laissiez la porte de votre maison ouverte, vous ne savez pas qui entre, ce qu’il veut, ce qu’il a pris ».

En clair, cette faille est dangereuse, d’autant que la version d’Internet Explorer 6, fonctionnant sous Windows XP, n’est plus mise à jour depuis le 8 avril dernier. Du coup, il n’y a aucune chance de voir un patch de sécurité être développé.  

(suite…)


L’article date de 2006 mais n’a rien perdu de son actualité…. 

EN PUBLIANT LES DONNÉES « ANONYMES », AOL NOUS OFFRE UN APERÇU TROUBLANT DE LA VIE DE SES UTILISATEURS

[Declan McCullagh – C/Net – 7 Août, 2006 – Trad. Gregor Seither ]

La publication par AOL des historiques de recherche de plus de 650 000 de ses utilisateurs est bien plus qu’un des plus gros scandales de l’année en matière de défense de la vie privée.  Les 21 millions de requêtes de recherche publiées ont également révélé au grand jour un nombre incalculable de tranches de vie allant de la plus banale jusqu’à l’illicite et la bizarre. 

De son côté AOL a présenté ses excuses en affirmant qu’il s’agissait au départ d’une initiative à des fins scientifique et a retiré la gigantesque base de données de son site Web. Il était trop tard: La base de données avait déjà été copiée et hébergée sur des sites mirroirs.

Bien sûr, les autorités ont vite tenté de rassurer les gens en disant que toutes ces données étaient « anonymes » et qu’on n’y trouvait ni identifiant utilisateur, ni noms d’internautes. Au lieu de cela, chaque requête est associé à un numéro d’identification unique attribué à chaque utilisateur. Ceci signifie que vous pouvez trier la base par numéro d’utilisateur et ainsi voir quels sont les recherches que cet utilisateur « anonyme » a fait via AOL Search au cours des trois derniers mois. (Google, Yahoo, et MSN Search ne sont pas inclus dans la base de requêtes publiée par AOL). Et même « anonymes » (on verra plus loin que ce n’est pas très difficile d’identifier avec précision des personnes, sur la base de ce qu’ils recherchent), ces données en disent beaucoup sur chaque utilisateur.

En se basant sur les informations ainsi extraites de la liste massive de termes de recherche, il est par exemple possible de deviner que l’utilisateur AOL 710794 est un golfeur, qu’il est en surpoids, qu’il est l’heureux propriétaire d’une Porsche 944 modèle 1986 et d’une Cadillac SLS modèle 1998 et qu’il est un fan de l’équipe universitaire masculine de basketball du Tennessee. Ce même utilisateur, # 710794, est intéressé par le district scolaire du comté de Cherokee à Canton, en Géorgie, et s’intéresse à la Suwanee Sports Academy à Suwanee, Géorgie, qui propose des cours aux jeunes espoirs de la région, mais aussi à la branche Géorgienne de « Youth Basketball of America ».

Jusque là, rien d’extraordinaire. Les choses se corsent quand on découvre que l’utilisateur 710794 fait également régulièrement des recherches avec le mot clé «lolitas», un terme couramment utilisé pour décrire les photos et vidéos de mineurs dévettus ou engagés dans des actes sexuels.
Vous voyez où je veux en venir ? Vous trouverez ci-dessous des extraits de termes de recherche triés par utilisateur, compilés à partir des logs publiés par AOL. Les logs sont dans l’ordre chronologique. (suite…)


LA PREMIÈRE LECON A RETENIR DE HEARTBLEED C’EST LA FAIBLESSE DU OPEN SOURCE  : Si la saga Heartbleed est loin de se refermer, ses premiers développements sont déjà riches d’enseignements. Sur certaines faiblesses du développement open source d’abord. « On prend ainsi conscience qu’une large part du chiffrement dans le monde dépend de quelques développeurs à temps partiel, remarque Arnaud Bidou. Le code incriminé a été validé et enregistré le 31 décembre 2011… à 23 heures ! Et les équipes de OpenSSL se sont affranchies des vérifications de conditions d’allocation mémoire (la source du bogue, NDLR). La fondation OpenSSL a expliqué avoir besoin de 6 personnes à plein temps pour travailler plus sereinement. Aujourd’hui, leur équipe est bien plus restreinte. Il serait peut-être temps de se pencher sur le financement d’une des principales infrastructures de sécurité du Web ».

[Reynald Fléchaux – SILICON – 18/04/2014]

Résolue la faille Heartbleed ? Loin de là. La librairie OpenSSL à l’origine de la vulnérabilité est embarquée dans de multiples équipements logiciels et matériels employés par quasiment toutes les DSI. Equipements qui devront être mis à jour. Et la seule application des patches est insuffisante.

Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché.

En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.

Un outil de test gratuit pour mesurer la vulnérabilité de vos serveurs et domaines est proposé par Qualys –  disponible sur : https://www.ssllabs.com/ssltest/index.html

1) Mesurer les risques

C’est évidemment la première question qui se pose aux DSI : quelles sont les informations que Heartbleed a pu permettre de dérober ? La réponse est simple : on n’en sait rien. Et c’est bien tout le problème. « A ce jour, on n’a aucune idée des dommages réels que va causer Heartbleed. Il est impossible de savoir quelles sont les données qui ont été exposées, surtout à posteriori, et qui les a récupérées. D’où les questions qui se posent sur son éventuelle utilisation par la NSA», remarque Renaud Bidou, le directeur technique de l’éditeur DenyAll. Concrètement, Heartbleed est un bogue (un classique problème d’allocation de mémoire) dans l’implémentation d’un protocole appelé Heartbeat, ajouté à OpenSSL en février 2012 afin d’améliorer les performances. La faille permet de récupérer 64 000 octets de mémoire. « Et cela concerne toutes les implémentations des versions infectées de OpenSSL : serveurs Web, VPN, reverse proxy… Dans ces 64 000 octets peuvent figurer des login et mots de passe mais aussi la clef privée du serveur, présente notamment lors d’un redémarrage de la machine », ajoute Renaud Bidou.

Bref, beaucoup d’informations extrêmement intéressantes pour des cybercriminels. Les couples login/mots de passe leur permettent d’effectuer des opérations illégitimes. La récupération de la clef privée ouvre encore davantage le champ des possibles. « C’est extrêmement sérieux : car, une fois en possession de ce sésame, un assaillant peut se faire passer pour le serveur légitime, via une attaque de type Man-in-the-middle », note Arnaud Soullié, auditeur sénior chez Solucom. « Nous sommes dans une phase de gestion de crise, après ce qu’il faut bien qualifier de dysfonctionnement majeur », résume Marc Cierpisz, manager du centre d’excellence Team Risk & Security de Devoteam. Gourou de la cybersécurité, Bruce Schneier avait d’ailleurs réagi en assurant que, sur une échelle de 1 à 10, Heartbleed valait un 11. (suite…)


[Etienne Wery – Droit & Technologies – 08/04/2014]

C’est un vrai coup de tonnerre. La directive qui constitue le pilier pour tout ce qui touche aux enquêtes judiciaires et à la lutte contre le terrorisme est invalidée : elle comporte une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée. Le système s’écroule.

Nous nous étions fait l’écho de l’avis très critique de l’avocat général ; l’arrêt rendu ce jour est de la même veine.

La directive en cause

La directive sur la conservation des données a pour objectif principal d’harmoniser les dispositions des États membres sur la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication. Elle vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme.

Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur. En revanche, elle n’autorise pas la conservation du contenu de la communication et des informations consultées.

Cette directive est ancienne (2006) et a depuis lors été transposée dans les Etats membres ou la loi est en vigueur depuis longtemps. En vigueur mais contestée. (suite…)


Espionnage : comment Orange et les services secrets coopèrent

[Jacques Follorou – LE MONDE | 20.03.2014]

On apprend souvent davantage de choses sur soi par des gens qui n’appartiennent pas à votre famille. Les Britanniques, un peu malgré eux, viennent de nous éclairer sur les liens hautement confidentiels qui existent entre les services secrets français, la Direction générale de la sécurité extérieure (DGSE) et l’opérateur historique de télécommunication France Télécom, qui a pris le nom d’Orange en février 2012.

Selon un document interne des services secrets techniques britanniques (GCHQ), l’équivalent de l’Agence nationale de sécurité (NSA) américaine, la DGSE entretient une coopération étroite avec « un opérateur de télécommunication français ». L’ancienneté de leurs liens, la description des savoir-faire spécifiques de l’entreprise ainsi que l’enquête du Mondepermettent de conclure qu’il s’agit bien de France Télécom-Orange.

Selon le GCHQ, la DGSE et l’opérateur historique français travaillent ensemble pour améliorer les capacités nationales d’interception sur les réseaux de communication et collaborent pour casser les cryptages de données qui circulent dans les réseaux. France Télécom est un acteur important du système de surveillance en France.

COLLECTE DE DONNÉES LIBRE DE TOUT CONTRÔLE

Cette note, extraite des archives de la NSA par son ex-consultant Edward Snowden, assure que la relation entre la DGSE et l’opérateur français constitue un atout majeur par rapport à ses homologues occidentaux. L’une des forces de la DGSE résiderait dans le fait qu’elle ne se contente pas des autorisations accordées par le législateur pour accéder aux données des clients de France Télécom-Orange. Elle dispose surtout, à l’insu de tout contrôle, d’un accès libre et total à ses réseaux et aux flux de données qui y transitent.

Cette collecte libre de tout contrôle, par le biais de l’opérateur français, portant sur des données massives, concerne aussi bien des Français que des étrangers. Elle est utilisée par la DGSE, qui la met à la disposition de l’ensemble des agences de renseignement françaises au titre de la mutualisation du renseignement technique et de sa base de données. Ces données sont également partagées avec des alliés étrangers comme le GCHQ. Enfin, l’opérateur français développe, en partenariat avec la DGSE, des recherches en cryptologie. (suite…)


Quand on est au pouvoir, on nomme des juges « copains » qui ensuite se chargent de vous protéger… ça marche comme ça la politique !

Placé sur écoute, Nicolas Sarkozy menacé par une nouvelle affaire

[Gérard Davet  – Fabrice Lhomme  – LE MONDE | 07.03.2014]

L’affaire est sans précédent. Un ex-président de la République et deux de ses anciens ministres de l’intérieur placés sur écoutes téléphoniques. Gilbert Azibert, l’un des plus hauts magistrats français, suspecté de renseigner discrètement Nicolas Sarkozy sur l’affaire Bettencourt, en échange d’une sinécure à Monaco. La Cour de cassation, plus haute juridiction de l’ordre judiciaire, accusée d’être sous influence, ses principaux membres susceptibles d’être interrogés par les policiers. Tous les ingrédients d’un scandale d’Etat sont réunis.

Sarkozy placé sur écoutes
Le point de départ de l’affaire remonte au 19 avril 2013, lorsqu’une information judiciaire pour « corruption » est ouverte à Paris. Confiée aux juges Serge Tournaire et René Grouman, elle vise un éventuel soutien financier de la Libye à la campagne présidentielle de Nicolas Sarkozy, en 2007. Discrètement, les magistrats prennent une décision forte : ils mettent l’ancien président sur écoute ainsi que deux de ses anciens ministres de l’intérieur, Claude Guéant et Brice Hortefeux.

En décembre 2013, plusieurs conversations enregistrées entre M. Hortefeux et l’ancien patron de la police judiciaire de Paris, Christian Flaesch, fuitent dans Le Monde. Elles révèlent une proximité gênante entre l’homme politique et l’enquêteur, entraînant la mise à l’écart du policier. L’épisode inquiète les sarkozystes. M. Sarkozy lui-même devient laconique sur son téléphone « officiel ». Les juges s’interrogent, et finissent par découvrir que l’ex-chef de l’Etat dispose d’un second portable, enregistré sous un nom fictif. A son tour, cet appareil est placé sous surveillance. Les écoutes révèlent des échanges avec un autre téléphone mobile acquis avec une identité d’emprunt: il s’agit du portable acheté par Me Herzog pour échanger en toute confidentialité avec son client. (suite…)


how_to_disappear

Vous êtes décidé à disparaître d’Internet et effacer vos traces une fois pour toutes ? Le graphique ci-desosus (en anglais) publié par  Who Is Hosting This vous indique les neuf étapes à accomplir pour effacer votre présence en ligne.

C’est un résumé du  Guide du Suicide Numérique publié jadis par LIFEHACKER – allant des effacements de profils jusqu’aux demandes de suppression des  listes de collecte de données. Mais il explique aussi comment gérer les comptes qui ne peuvent être supprimés en falsifiant les informations et en contactant votre fournisseur téléphonique afin de ne plus figurer dans les annuaires.  (suite…)


[Gregor Seither – IES News Service – 24/02/2014]

Les analystes de sécurité ont déterminé que la vulnérabilité est causée par une ligne de code « goto fail » égarée dans le code source du système d’exploitation. Le développeur Jeffrey Grossman a confirmé que la vulnérabilité a débuté dans iOS 6.0, mais n’existait pas dans iOS 5.1.1, ce qui lui donne une période de vulnérabilité totale de près de 18 mois.
John Gruber de Daring Fireball fait le lien entre la date de sortie de iOS 6.0, le 24 Septembre 2012, et la révélation d’une présentation PowerPoint confidentielle sur le programme PRISM de la NSA, dans laquelle il est dit que Apple a été ajouté au programme PRISM en Octobre 2012. Bien que Gruber s’empresse d’affirmer que la proximité entre ces deux dates est probablement une coïncidence, ce ne serait pas la première fois que la NSA ait mis en place des mesures de cyber-guerre pour invalider l’efficacité des méthodes de sécurité en ligne.

http://daringfireball.net/2014/02/apple_prism


[i7sur7.be – 18/01/2014]

Il est noir, ressemble à un smartphone quelconque, mais le Blackphone a un truc en plus: ses concepteurs promettent à son propriétaire des communications sécurisées, à l’abri des « grandes oreilles » gouvernementales ou des pirates informatiques.

En plein débat sur l’étendue de la surveillance des services de renseignement américains, le lancement du Blackphone, conçu par la firme américaine Silent Circle et l’espagnol Geeksphone, ne saurait bénéficier de meilleure publicité. Mais le patron de Silent Circle Mike Janke se défend d’avoir voulu jouer le coup de pub. Il explique à l’AFP que sa société travaillait sur l’appareil bien avant que l’ex-consultant de l’agence de renseignement NSA Edward Snowden ne commence à divulguer des documents secrets sur l’espionnage américain.

« Nous avons fait cela parce que le problème des communications sécurisées n’était pas réglé », raconte cet ancien Navy Seal qui s’est allié à des frères d’armes et des experts en cryptographie de la Silicon Valley pour créer Silent Circle. « Nous offrons aux utilisateurs la possibilité de communiquer de manière encryptée par le biais de vidéos, de textes ou d’appels vocaux sur des réseaux compatibles IP », souligne M. Janke. Sa société n’en est pas à son coup d’essai. Par le passé elle a collaboré avec des multinationales ou même avec le gouvernement tibétain en exil.

C’est d’ailleurs ce savoir-faire qui a poussé « pratiquement tous les grands fabricants de smartphones à se tourner vers nous » pour travailler à un appareil sécurisé. Finalement, le choix de Silent Circle s’est porté sur la petite société espagnole Geeksphone qui a tout récemment lancé un smartphone qui tourne sur Firefox. Silent Circle, raconte Mike Janke, a doté son Blackphone de PrivatOS, une version modifié d’Android, le système développé par Google.

« Google ne sait pas qui vous êtes »
L’appareil doit être dévoilé le 24 février au Mobile World Congress, la grand-messe de la téléphonie mobile à Barcelone. Son prix est encore tabou, mais M. Janke assure que le Blackphone sera vendu déverrouillé pour un prix inférieur à l’iPhone 5s ou au Galaxy S4 de Samsung. Bien évidemment, l’appareil offre toute la gamme de services d’un smartphone, à une différence près: « Vous pouvez toujours aller sur Google et surfer sur internet, mais Google ne sait pas qui vous êtes », insiste M. Janke.

Le centre de stockage de données, dont la capacité est « minimale », est situé en Suisse, explique l’entrepreneur. « Tout ce que nous savons sur vous c’est le nom que vous nous donnez et un numéro de téléphone à 10 chiffres », indique-t-il. Ainsi, même si un mandat était délivré en Suisse, la société ne serait en mesure de ne transmettre qu’un nom, celui du propriétaire du téléphone. Mike Janke table sur « plusieurs millions » d’exemplaires vendus dans l’année suivant le lancement du Blackphone.

L’intérêt est mondial, « parce que la NSA n’est pas seule, 72 pays ont des moyens similaires à la NSA. Ils nous espionnent et s’espionnent entre eux. Que vous viviez au Kenya, en Allemagne ou en Argentine, les menaces sont partout les mêmes », assure-t-il. « Nous sommes sûrs que l’encryptage fonctionne », insiste-t-il. Selon lui, les agences de renseignement ne se fatiguent pas à tenter de forcer les communications encryptées –une technique qui prend trop de temps– et préfèrent insérer des virus informatiques dans des courriels, capables ensuite d’intercepter des messages.

« Le téléphone 100% sécurisé n’existe pas », nuance du coup M. Janke. « Rien ne peut vous protéger contre vos propres agissements. Mais ce téléphone en fait énormément pour protéger votre vie privée ».

http://www.7sur7.be/7s7/fr/4133/Multimedia/article/detail/1776718/2014/01/18/Le-Blackphone-le-cauchemar-des-espions.dhtml


DOCUMENTS TÉLÉCHARGÉS SUR « EXTRANET » : INTERNAUTE CONDAMNÉ
[Arrêts Sur Images – David Medioni –  06/02/2014]

Condamné pour avoir trouvé des documents en accès libre sur Google.  C’est la décision que vient de prendre la Cour d’appel de Paris à l’encontre d’Olivier Laurelli, alias Bluetouf, co-fondateur de Reflets.info. Sa faute : être tombé au hasard du surf sur des documents de l’Anses (Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail) en accès libre. En première instance, Laurelli a été relaxé. C’était sans compter sur le parquet qui a décidé de poursuivre « coûte que coûte » ce qu’il considére comme un piratage et sur la Cour d’appel qui considère que Laurelli est de « mauvaise foi ».

Chercher des documents sur Google peut s’avérer dangereux. Le blogueur, journaliste, hacktiviste Olivier Laurelli, alias Bluetouff, co-fondateur de Reflets.info, vient d’en faire les frais. Laurelli a été condamné, mercredi 5 février, par la Cour d’appel de Paris à payer 3 000 euros d’amende pour avoir téléchargé des documents de l’Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail (Anses). La Cour d’appel a ainsi considéré que mettre en accès libre des données jugées « confidentielles » par leur propriétaire (mais non sécurisées) relevait du piratage. En langage juridique, cela donne « accès frauduleux dans un système de traitement automatisé de données« , et « vol » de documents.

L’histoire démarre les 27 et 28 août 2012, lorsque Laurelli lors d’un long surf sur internet pour trouver des documents sur la Syrie, tombe sur des documents de travail de l’Anses. Il poursuit sa recherche dans ce sens, étonné de les trouver en accès libre. Il les télécharge et les conserve. Quelque mois plus tard, l’un de ses collègues utilise l’un des fichiers pour illustrer un article sur les nanos-argents. C’est alors que l’Anses se rend compte du problème et contacte la police. L’enquête tombe entre les mains de la DCRI qui remonte très vite à Laurelli puisque ce dernier ne s’était pas masqué, ne considérant pas cette recherche comme du piratage.

Il passe 30 heures en garde à vue et est finalement mis en examen. En première instance, le tribunal de Créteil considère qu’il n’y a pas lieu à le condamner. Motif: il n’est pas possible de sanctionner le fait d’accéder librement à des données non sécurisées. Le tribunal relaxe donc Bluetouff au motif que c’est l’Anses qui a, sur ce dossier, manqué de vigilance. En clair, si les données étaient archivées sur Google, elles n’étaient pas sécurisées et donc l’Anses ne pouvait pas se prévaloir d’un piratage. (@si vous en parlait ici).

RELAXÉ EN PREMIÈRE INSTANCE, LE PARQUET A POURSUIVI « COÛTE QUE COÛTE »

De fait, Bluetouff a trouvé ces données sur l’extranet de l’Anses. Un extranet n’est ni l’internet, ni l’intranet, c’est une extension du système d’information d’une entreprise ou d’une institution accessible pour des partenaires déterminés sur mots de passe et login. Exemple : lorsque l’on se connecte à son espace personnel de banque grâce à un login et un mot de passe, on est sur l’extranet de la banque. Problème: le jour du surf de Laurelli, l’extranet de l’Anses est disponible sur Google, sans sécurité.

D’ailleurs, l’Anses, elle-même avait choisi de ne pas se porter partie civile, penaude qu’elle était de cette faille de sécurité. C’est le parquet qui a décidé de « poursuivre coûte que coûte », ainsi que le note Numérama. Et nos confrères d’ajouter: « le parquet, dont le représentant a confirmé à l’audience qu’il n’a « pas compris la moitié des termes que j’ai entendus aujourd’hui », avait choisi de poursuivre coûte que coûte. Au nom de la mauvaise foi : « Vous saviez que cet extranet était normalement protégé. »

Ainsi, si l’on en croit les attendus de la Cour d’appel, Laurelli – fin connaisseur du net – aurait dû s’abstenir de télécharger des documents laissés en accès libre car il savait pertinemment que ceux-ci auraient dû être protégés. Raisonnement pour le moins étrange, mais qui dénote, comme le soulève Mediapart dans un papier détaillé, une réelle déconnexion de la justice avec les choses de l’internet.

Plus largement, cette décision interroge sur ses conséquences. Est-ce à dire que toute personne qui trouvera des documents -non sécurisés – en ligne devra présumer qu’ils auraient pu ou du être protégés et qu’il ne doit, pour le coup, pas les utiliser ? C’est ce que craint l’avocat de Laurelli, Maître Olivier Itéanu, cité par PCINpact« C’est un avertissement à tous ceux qui sont dans l’investigation, dans la recherche d’informations sur Internet. C’est quelque part un appel à l’auto-censure. Si on est poursuivi parce qu’on a trouvé une information et qu’on est condamné, je trouve que c’est grave », alerte ainsi Itéanu dans PCINpact.

http://www.arretsurimages.net/breves/2014-02-06/Documents-telecharges-sur-extranet-internaute-condamne-id16871


[L’Expansion.com – publié le 20/01/2014]

Quel est le mot de passe le plus commun en 2013? Selon le classement de Slashdata, la combinaison qui revient le plus souvent est « 123456 ». Elle détrône le traditionnel « password » (« motdepasse » en anglais) qui arrive en deuxième position.

S’en suivent « 12345678 », « qwerty » (début de la première ligne des claviers américains) ou encore « abc123 » et « iloveyou » qui arrive en neuvième position.

Autant de mots de passe vulnérables et faciles à deviner.

>> Retrouvez le classement complet sur le site de Splashdata

http://lexpansion.lexpress.fr/high-tech/les-pires-mots-de-passe-de-2013_424556.html

 

 

[L’Expansion.com avec AFP – publié le 27/02/2013 ]

Un millier de mots de passe parmi les plus commun permet d’accéder à la très grande majorité des services théoriquement protégés sur internet, indique une étude Deloitte publiée mercredi.

Le constat n’est pas nouveau mais il n’en est pas moins inquiétant. Plus de 90% des mots de passe utilisés par accéder à différents services comme un compte en banque, des mails ou encore les réseaux sociaux via un ordinateur, une tablette ou un téléphone, sont vulnérables en raison de leur répétition, assure une étude de l’entreprise Deloitte. Publié mardi au Panama, le rapport assure qu’avec les 1.000 mots de passe les plus communs pour les utilisateurs (parmi les six millions observés pour l’étude), il est possible d’accéder à 91% des services théoriquement protégés.

Les mots de passe manquent d’originalité…

Cette possibilité d’accéder à des comptes bancaires, des profils sur les réseaux sociaux, des sites de vente ou quel qu’autre service en ligne, les rend très vulnérables aux attaques de pirates. En outre, 79% des utilisateurs concentrent 500 des mots de passe les plus courants, 40% les 100 plus répandus et 14% les 10 plus communs.

… ils sont facilement dispnibles sur les réseaux sociaux

Les mots de passe les plus courants sont les noms de membres de la famille conjugués avec les dates de naissance, des informations très faciles à obtenir sur les réseaux sociaux par les « hackers », qui ensuite, à travers des programmes, introduisent massivement des séries de mots de passe hypothétiques, jusqu’à tomber sur la bonne combinaison.

… et ils sont difficiles à mémoriser

« Le problème le plus grave des mots de passe est leur réutilisation. L’être humain, pour une question de mémoire, retient cinq, six, sept mots de passe, et naturellement, on les utilise pour tout, ce qui les rends très fragiles », a expliqué à l’AFP Francisco Martin, responsable de Deloitte au Panama. »Cela ne serait pas si grave si au moins on prenait le temps de mettre des mots de passe qui ne soient pas si aisément déchiffrables », a-t-il ajouté. Selon cette étude, 9,8% des usagers utilisent la combinaison « password 123456 ou 12345678 », 8,5% « password ou 123456 » et un 4,7% « password ».

Le mobile n’arrange pas les choses

Le rapport signale également que les mots de passe créés sur des terminaux mobiles ont tendance à être moins sûrs que ceux créés sur ordinateur, en raison de la différence d’accessibilité aux caractères spéciaux. En outre, il faut 4 à 5 seconde pour taper un mot de passe sûr sur un ordinateur de bureau, contre 7 à 30 secondes sur un écran tactile. L’étude portait sur les principales tendances dans l’univers de nouvelles technologies dans 15 pays d’Europe et d’Amérique, en plus de l’Afrique du Sud.

http://lexpansion.lexpress.fr/high-tech/pourquoi-90-des-mots-de-passe-sur-internet-sont-vulnerables_374227.html


[Jacques Cheminat – Le Monde Informatique – 17/01/2014]

Bram Cohen adore les échanges au point d’avoir créé il y a une dizaine d’années BitTorrent. Selon la presse, il se passionne maintenant pour des outils de sécurité et plus exactement sur la stéganographie.

Le chiffrement est aujourd’hui devenu un élément de premier plan dans la lutte contre le piratage de données. Cette technologie permet de rendre secrètes des communications écrites ou vocales. Or il existe d’autres outils de sécurité parmi lesquels la stéganographie, l’art de dissimuler ou de faire passer inaperçu un message dans un autre message. Selon le magazine Forbes, Bram Cohen, inventeur de la solution d’échange de fichiers BitTorrent, travaille depuis un an sur un outil de stéganographie.

Ce logiciel baptisé Dissident X devrait permettre de camoufler des données discrètement dans un site, un document d’entreprise, ou tout autre fichier allant d’une vidéo à un ebook.  Dans son entretien à Forbes, Braham Cohen indique vouloir dépoussiérer les anciennes méthodes de stéganographie. Ainsi, traditionnellement, les messages sont intégrés dans le média bit par bit. Avec DissidentX, il sera possible de chiffrer l’ensemble du fichier via un système de hachage. Par ailleurs, l’outil permettra de coder plusieurs messages au sein d’un même document, mais chaque message aura sa propre clé de déchiffrement. Cela permet d’utiliser qu’un seul fichier pour des destinataires différents avec des clés personnelles. Ces dernières peuvent parfois ouvrir de faux contenus ou des leurres, explique Braham Cohen comme dans le cadre de mouvements militants si un activiste était contraint de livrer sa clé.

Le fondateur de Bittorrent a lancé un prototype de DissidentX l’été dernier, mais doit travailler sur certaines contraintes de la sténographie. On pense notamment à ce que le fichier intégrant le message codé soit exponentiellement plus grand. Les chercheurs de Stanford partie prenante du projet travaillent pour lever cette limite et rogner la taille du contenant.

http://www.lemondeinformatique.fr/actualites/lire-le-createur-de-bittorrent-developpe-un-outil-de-steganopgraphie-56299.html


Affaire Target : 11 Go de données envoyées vers un serveur russe

[Jean Elyan – Le Monde Informatique – 19/01/2014]

Les données piratées sur les terminaux de paiement de Target ont tranquillement transité par le réseau de la chaine de distribution avant d’être dirigées vers un serveur basé aux États-Unis, puis vers la Russie.

Les numéros de cartes de crédit volées aux millions de clients du distributeur Target ont beaucoup voyagé : après une première étape aux États-Unis, les données ont atterri sur un serveur basé en Russie. Des chercheurs de deux entreprises de sécurité chargés d’enquêter sur l’une des violations de données les plus dévastatrices de l’histoire d’Internet, ont analysé le malware qui a infecté les caisses enregistreuses de Target. Ceux-ci ont trouvé quelques éléments qui permettent de mieux cerner la méthode d’attaque utilisée par les pirates. Selon leurs premiers résultats, les attaquants ont réussi à s’introduire dans le réseau de Target. Pendant plus de deux semaines, ils ont pu pirater des données sans se faire repérer. « Selon les indicateurs d’intrusion, la méthode utilisée témoigne d’un haut niveau de compétence et d’innovation dans le mode opératoire », indique dans son rapport du 14 janvier l’entreprise de sécurité iSight Partners, basée à Dallas.

« Pendant plus de deux semaines, le malware a permis aux pirates de détourner plus de 11 Go de données des caisses enregistreuses de Target », a déclaré Aviv Raff, CTO de la société de sécurité Seculert dans une interview réalisée hier par messagerie instantanée avec nos confrères d’IDG (auquel Le Monde Informatique est toujours affilié). Seculert a analysé un échantillon du malware (il circule parmi les chercheurs en sécurité). Comme le détaille Seculert sur son blog, dans un premier temps, les données ont été discrètement déplacées vers un autre serveur situé sur le réseau de Target. « Ensuite, elles ont été transmises en paquets vers un serveur basé aux États-Unis, lui-même détourné par les pirates », a écrit le CTO de Seculert. Selon les logs de ce serveur, à partir du 2 décembre, les données ont été à nouveau déplacées, direction cette fois, un serveur situé en Russie. Selon Aviv Raff, il est difficile de dire si les attaquants sont eux-mêmes en Russie. « Personne ne sait qui est vraiment derrière tout ça », a-t-il déclaré. (suite…)


Tout cet immense appareil de surveillance, de tracking, de profiling… financé par les contribuables pour « garantir leur sécurité » n’a qu’un seul but : identifier en amont la dissidence et la rendre inopérante, pérenniser l’équilibre des forces en place contre la menace d’une révolte ou d’un changement de paradigme…

Comme le dit clairement l’affiche ci-dessous, le simple fait « d’être sur place » ou bien « d’avoir l’air suspect » suffira a faire intervenir les forces de l’ordre.

Militants du futur, il va falloir apprendre à vous déguiser en petite vieille inoffensive…

Allemagne: trois quartiers d’Hambourg sous haute surveillance après des semaines d’émeutes

gefahrengebiet[RFI – 07/01/2014]

Les autorités allemandes ont décidé de placer trois quartiers de Hambourg sous surveillance policière particulière. En cause, de nombreux incidents entre militants d’extrême gauche et forces de l’ordre qui durent depuis plus de trois semaines.  Depuis samedi dernier, 4 janvier, les quartiers d’Altona, de Sankt-Pauli et de Sternschanze ont été classés comme « lieux dangereux ». Ce qui implique un renforcement des contrôles dans ces zones et la confiscation de tout engin pyrotechnique, ainsi que de tout objet pouvant servir à une agression.

La police a déjà effectué près de 300 contrôles et 62 personnes ont été interdites de séjour dans les trois quartiers en question. Le week-end précédant Noël, de violents affrontements avaient opposé la police à des militants d’extrême gauche. Ceux-ci protestaient contre la fermeture du centre Rote Flora, un ancien cinéma squatté depuis presque 25 ans par les militants alternatifs.

Avec le temps, il est devenu le lieu favori de rendez-vous de l’extrême gauche locale. Selon les forces de l’ordre, officiers et bâtiments de police ont été les cibles répétées d’agressions au cours des dernières semaines. Avec l’apogée des protestations le 28 décembre, quand plusieurs fonctionnaires ont été gravement blessés.

http://www.rfi.fr/europe/20140107-allemagne-trois-quartiers-hambourg-sous-haute-surveillance-apres-nombreuses-emeutes


[Génération NT – Matthieu M; – 31/12/2013]

nsa-nightstand_0276000001521102Jacob Appelbaum est un chercheur spécialisé dans la sécurité, et c’est aussi le co auteur de l’article du Spiegel qui a révélé une partie du catalogue des outils dont dispose la NSA pour mener à bien ses opérations de surveillance. Devant une salle remplie de spécialistes, il a ainsi présenté certains des outils utilisés par la NSA pour récupérer des données, intercepter des communications ou fichiers et même pour pirater des réseaux privés.

Outre les outils « clé en main » permettant de prendre le contrôle d’un appareil sous iOS ou de tout téléphone communicant par GSM, Jacob Appelbaum a décrit un dispositif qui vise plus spécifiquement les ordinateurs par injection de paquets, soit le piratage d’un réseau WiFi, qui se démarque par une portée impressionnante allant jusqu’à 13 kilomètres de distance.

L’expert a même indiqué que le piratage pouvait très bien être opéré depuis un drone volant, ce qui multiplie d’autant plus la portée de l’attaque, bien que dans la plupart des cas, ce seraient des vans banalisés qui soient utilisées.

Une brochure de la NSA datant de 2007 a ainsi été présentée, la date laissant supposer que l’agence a encore fait beaucoup de progrès depuis ce temps et que ce qui nous étonne aujourd’hui est certainement très loin des capacités actuelles de l’agence. L’expert partage l’idée que la technique reste toutefois la même et qu’elle aurait été utilisée pour surveiller les communications de Julian Assange à son domicile de l’ambassade de l’équateur à Londres. Des visiteurs de l’ambassade auraient ainsi reçu d’étranges messages de bienvenue d’une société de téléphone ougandaise. Des messages qui provenaient finalement d’une station de la NSA positionnée sur un toit à proximité, camouflé derrière une fausse antenne, les agents auraient alors malencontreusement oublié de réinitialiser leur dispositif après une mission visant l’Ouganda…

Entre temps, le Spiegel vient de publier une fiche interactive présentant une partie des gadgets de la NSA et de leur fonctionnement. Elle est consultable à cette adresse.

 

http://www.generation-nt.com/nsa-serait-capable-pirater-reseau-wi-fi-distance-13-km-actualite-1832442.html


[iShen – MacPlus  31/12/2013]

Voilà qui devrait faire du bruit, même si l’on est plus vraiment surpris par la teneur des propos du hacker/chercheur Jacob Applebaum : La NSA se serait intéressée à l’iPhone et aux moyens de contourner sa sécurité dés l’année 2008, et pourrait aujourd’hui injecter à distance des logiciels espions qui rapporteraient tout, absolument tout ce qui transite par le biais du smartphone d’Apple. Des preuves de logiciels espions sur smartphones Android avaient déjà été fournies il y a quelques mois mais c’est la première fois que l’iPhone est nommément pointé dans un document officiel.

s3222_dropoutjeep-640x828Applebaum assoit ses déclarations sur un document de la NSA (classifié top secret) publié dans Der Spiegel, document décrivant de façon précise les modes de fonctionnement du logiciel DROPOUT JEEP, celui-là même qui casse toutes les clefs de cryptage dans l’iPhone et permet d’accéder à l’intégralité des données par des portes dérobées. En 2008 néanmoins, rien ne dit que le projet était effectif puisqu’il demandait l’accès physique à l’appareil et qu’Apple n’avait pas, selon les documents de Snowden concernant le projet PRISM, de liens particuliers avec la NSA, que ces liens soient contraints ou forcés. Mais les choses semblent avoir changé depuis la mort de Steve Jobs (qui est donc celui qui a dit « non » à la NSA de son vivant, aucun autre patron d’une grande firme technologique américaine ne peut en dire autant) et la NSA indique de façon troublante qu’elle peut implémenter quand elle le souhaite et sans aucune difficulté DROPOUT JEEP dans n’importe quel iPhone, des propos qui selon Applebaum pourraient indiquer une participation active de la part d’Apple à partir du début 2012, même si aucune preuve tangible ne vient étayer ce soupçon. (suite…)


[Daily Show – John Stewart – 09/12/2013]

C’est présenté sous la forme d’une blague… mais c’est tout à fait sérieux !  Il y a quelques années, déjà, la presse nous parlait des « camps d’entrainement terroristes » dans Second Life

Capture d’écran 2013-12-10 à 17.27.04

 

 

 

 

 

 

http://www.thedailyshow.com/watch/mon-december-9-2013/that-thing-they-said-they-re-not-doing–they-re-totally-doing—world-of-watchcraft


[Le Monde.fr | 13.10.2013 ]

Au moment où Facebook annonce supprimer la fonctionnalité qui permettait à ses utilisateurs de ne pas apparaître dans les résultats de recherche du réseau social,Google a annoncé de son côté, vendredi 11 octobre, qu’il allait commencer àutiliser dans des publicités les photos des membres de son réseau social Google+ et les marques ou endroits qu’ils disent aimer avec le bouton « +1 ».

Le géant d’Internet a fait valoir que « des recommandations de personnes qu’on connaît peuvent vraiment aider ». Une pratique déjà adoptée par Facebook. Google a précisé que les utilisateurs pourraient choisir de désactiver cette fonctionnalité, et que ce serait automatiquement le cas pour les moins de 18 ans.

Le site Internet Tech Crunch explique comment faire pour que la photo de son profil sur Google + n’apparaisse pas dans les publicités.

Il suffit de se rendre sur ce lien, une fois logué sur son compte Google. Ensuite, il suffit de s’assurer que l’option située en bas de page –« Based upon my activity, Google may show my name and profile photo in shared endorsements that appear in ads »  – est bien décochée.

http://www.lemonde.fr/technologies/article/2013/10/13/comment-faire-pour-que-ma-photo-google-n-apparaisse-pas-dans-des-pubs_3494856_651865.html

 


Vous ne voulez pas que la NSA vienne fouiner dans votre ordinateur et espionne vos données ? Ne vous connectez pas à Internet.

[Bruce Schneier – WIRED – 7 Octobre 2013 – Traduction: Gregor Seither – IES News Service]

Note: Bruce Schneier est un auteur spécialisé dans les questions de technologies de sécurité. Son dernier livre est paru chez O’Reilly  : « Liars and Outliers: Enabling the Trust Society Needs to Survive ».

Depuis que j’ai commencé à travailler avec les documents révélés par Edward Snowden, j’ai utilisé un certain nombre d’outils pour essayer de me mettre à l’abri des regards indiscrets de la NSA. Parmi les choses que je recommande jusqu’ici est l’utilisation de Tor, (https://www.torproject.org/) de préférer certaines méthodes cryptographiques à d’autres et d’utiliser autant que possible le cryptage du domaine public. (NdT: Tor est une des cibles prioritaires de la NSA, qui attaque directement ses nodes) 

J’ai également recommandé d’utiliser un espace tampon (« air gap« ) qui isole physiquement un ordinateur ou un réseau local d’ordinateurs du réseau Internet. (Le concept du « air gap » est antérieur à l’époque des réseaux sans-fil, il fait référence à l’espace vide qui sépare physiquement l’ordinateur du réseau Internet).

Mais un tel dispositif est plus compliqué à mettre en oeuvre qu’il n’y parait. Alors laissez moi vous expliquer. (suite…)


Et si vous vous dites, comme tant d’autres « j’ai rien à cacher », demandez vous si votre patron est vraiment d’accord que la boite concurrente de la sienne, aux USA ou en Chine ou en Israel, soit en mesure de lire vos courriers, brevets, devis, fichier commercial… etc. ? Parce que, vous pensez vraiment que la NSA-CIA ne traque que des terroristes ? Espionner à tout va cela permet d’avoir plusieurs longueurs d’avance dans les négociations commerciales et de favorise les boites des copains du complexe militaro-industriel…

[Valérie Marchive – LeMagIT – 09/09/2013]

Nouvelles révélations ce week-end sur les capacités d’espionnage de la NSA : selon le quotidien allemand Der Spiegel, la NSA serait capable de piocher dans les données des utilisateurs de smartphones. Nos confrères basent leurs affirmations sur des documents internes à l’agence de renseignement américaine mentionnant les iPhone, les smartphones Android et les Blackberry. La NSA aurait en outre mis en place des groupes de travail dédiés à chaque système d’exploitation pour réussir à accéder aux données spécifiquement.  L’agence pourrait ainsi accéder aux données «d’au moins 38 fonctionnalités» des iPhone.

L’iPhone, sûr malgré tout ?

De quoi inquiéter les utilisateurs en entreprise de ces appareils ? Pas sûr. De fait, la NSA aurait besoin, pour accéder à ces données, d’un accès direct aux sauvegardes du contenu de l’appareil réalisées automatiquement par iTunes lors des synchronisations. Des sauvegardes qui ne sont pas chiffrées par défaut mais qui peuvent l’être sur simple demande de l’utilisateur. Mais nos confrères ne disent mot de ce cas. De nombreux logiciels disponibles sur Internet permettent en outre d’extraire aisément des données de ces sauvegardes d’iPhone lorsqu’elles ne sont pas chiffrées.

Dans la version complète de son article, Der Spiegel explique que la NSA a réussi à «percer les communications BlackBerry» jusqu’à mai/juin 2009. La mise en place d’un nouvel algorithme de compression des données a alors posé problème. Des difficultés apparemment levées en 2010. La NSA aurait bien été capable de «voir et lire» les SMS envoyés depuis des BlackBerry, ainsi que de «collecter et traiter les e-mails envoyés via BIS», le service de messagerie grand public de BlackBerry. Le serveur d’entreprise, BES, serait-il plus sûr ? A l’occasion de son bras de fer avec le gouvernement indien, BlackBerry a régulièrement assuré ne rien pouvoir faire pour aider les autorités à intercepter les communications passant par BES. Mais selon nos confrères, «un e-mail d’une agence gouvernementale mexicaine, qui apparaît sous le titre Collecter des données BES, révèle que [le NSA] l’applique avec succès ». (suite…)


[Valérie Marchive – Le MagIT-09/09/2013]

Selon l’expert Robert Graham, le réseau Tor de communication chiffrée pourrait être perméable aux outils de la NSA.
Dans un billet de blog, le PDG d’Errata Security, explique que, si «l’on n’est pas encore précisément certain des systèmes cryptographiques que la NSA peut casser», «tout le monde semble d’accord pour penser que l’agence peut casser les clés RSA/DH sur 1024 bits ». Et de souligner que «Tor continue d’utiliser ces clés à 1024 bits pour une bonne partie de sa cryptographie, en particulier parce que la plupart des utilisateurs sont restés sur d’anciennes versions du logiciel ». La version 2.4 de Tor utilise des clés plus robustes mais elle ne représenterait que 10 % des déploiements. Les versions 2.3 et antérieures se contentent de clés RSA/DH sur 1024 bits.

En outre, selon le Washington Post, le ministère américain de la défense aurait contribuéau budget de 2 M$ du projet Tor, en 2012, à hauteur de 40 %. D’autres ministères ont également contribué et, au total, la participation du gouvernement américain au projet serait de l’ordre de 60 %. Toutefois, Roger Dingledine, l’un des fondateurs du projet, se veut rassurant, dans les colonnes de nos confrères, affirmant que le gouvernement américain n’a jamais demandé l’installation de portes dérobées dans le code de Tor, soulignant que «tout ce que nous publions est ouvert ». Chacun peut donc vérifier le code.

 http://www.lemagit.fr/actualites/2240204944/Tor-pourrait-etre-vulnerable-a-la-NSA


[Jacques Cheminat – Le Monde Informatique – 10/09/2013]

Si la NSA dépense des milliards de dollars pour casser les technologies de cryptage, des experts en sécurité estiment que, correctement mis en oeuvre, le chiffrement est encore le meilleur moyen pour garantir la confidentialité sur le web.

Le journal The Guardian et d’autres médias ont publié la semaine dernière des documents issus de l’informateur Edward Snowden montrant que la NSA travaille à casser les technologies de chiffrement par différents moyens : backdoor, attaques par force brute, interceptions légales et partenariats avec des acteurs IT. A la lecture de ces documents, il semble que l’agence de renseignement et son homologue britannique GHCQ soit capable de venir à bout de nombreux algorithmes de chiffrement utilisés pour sécuriser les communications en ligne, les services bancaires et les secrets industriels.

Steve Weis, directeur technique chez PrivateCore et titulaire d’un doctorat en cryptographie du MIT a expliqué que malgré les activités de la NSA, les mathématiques utilisées pour le chiffrement sont très difficiles à casser. Il suggère que l’agence a réussi à briser des technologies dépassées ou peu fiables. Ainsi, dans les documents publiés, il y en a un qui suggère que la NSA aurait implanté un backdoor dans une norme de chiffrement approuvée par le NIST et nommée Dual EC DRBG. Cette dernière a pour vocation de générer des nombres aléatoires. « Elle date de 6 ans et a rarement été utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor de la NSA », explique Steve Weis. Il s’interroge sur le fait que les experts de la NSA disposent de la capacité de fracturer des technologies de cryptage plus robustes. « Jusqu’à présent, je n’ai pas constaté que l’algorithme AES (Advanced Encryption Standard) a été cassé », confie le spécialiste.

Une mise en oeuvre correcte et une saine gestion des clés

De son côté Dave Anderson, directeur de Voltage Security, société spécialisée dans le chiffrement, indique « s’il est appliqué correctement, le cryptage assure une sécurité inviolable » et d’ajouter qu’« il s’agit normalement d’une sécurité qui prendrait des millions d’années à des supercalculateurs à casser ». Il émet cependant des limites, « si la mise en oeuvre a été négligée et que le processus de gestion des clés n’est pas bon, alors le niveau de sécurité peut être mis en défaut en quelques heures par un pirate avec un PC moyen de gamme ». (suite…)


Mais bien sûr, comme nous le rappelle Edward Snowden, « il est totalement illusoire de croire que vous êtes anonyme sur Internet. Si vous ne voulez pas que la NSA lise vos mails, alors ne les écrivez pas… »

Silent Text, la messagerie Android anti-NSA

[ Jean Elyan  – LE MONDE INFORMATIQUE – 04/09/2013]

Suite au scandale Prism, aujourd’hui tout le monde sait que les messages électroniques peuvent être interceptés et exploités par la NSA. Pour contrer ces menaces contre les libertés individuelles, des éditeurs comme Silent Circle tente de pousser des parades sans indisposer les autorités américaines.

La société Silent Circle spécialisée dans les communications chiffrées étoffe son offre mobile avec une application de messagerie pour terminaux Android qui crypte et efface en toute sécurité les messages et les fichiers. Selon l’entreprise, avec son application de messagerie, seuls l’expéditeur et le destinataire peuvent voir les messages et les fichiers échangés. L’application nommée Silent Text de Silent Circle permet aux utilisateurs de spécifier une période de temps pendant laquelle le destinataire peut voir le message envoyé avant qu’il ne soit détruit. Elle conserve aussi les clés utilisées pour chiffre et déchiffrer les contenus sur le périphérique de l’utilisateur, si bien que l’entreprise ne peut pas livrer les clefs de cryptage aux autorités légales qui en feraient la demande.

Silent Circle, dont le cofondateur est l’expert en cryptologie Phil Zimmerman, a fermé son service de messagerie crypté début août après les révélations faites par l’ancien consultant de la NSA Edward Snowden mettant à jour les actions de surveillance électronique à grande échelle menées par le gouvernement américain.

Les documents transmis par Edward Snowden au Guardian et au Washington Post font état d’une série de programmes conçus pour intercepter les courriels et les métadonnées échangées par les smartphones afin de repérer d’éventuelles menaces à la sécurité nationale. Ces fuites ont également suscité aux États-Unis et ailleurs un très vif débat sur la protection de la vie privée, posant des questions sur la meilleure façon de protéger les communications électroniques de l’espionnage.

Basée à Washington DC, Silent Circle propose également un service par abonnement, Silent Phone. Le service basé sur une application VoIP chiffrée, fait transiter les appels voix et vidéo WiFi, 3G ou 4G/LTE, par son réseau pair-à-pair pour les sécuriser. Quant à l’application Silent Text, elle génère une clé de chiffrement à chaque nouveau message, détruite après chaque utilisation. « Donc, même si votre appareil est surveillé, il n’y a aucune clef à récupérer quand la conversation est terminée », indique le site web de l’entreprise. Seuls l’expéditeur et le destinataire peuvent afficher le message. Au cas où celui-ci serait intercepté pendant l’acheminement, il resterait illisible, sauf si l’intrus peut récupérer la clé de cryptage ou utiliser la brute-force pour déchiffrer le contenu.

La fonction « Burn Notice » permet à l’expéditeur de limiter le temps pendant lequel le destinataire peut afficher un texte, une vidéo, un enregistrement audio ou une image avant de qu’ils ne soient détruits sur l’appareil du destinataire. L’expéditeur peut également rappeler ou demander la destruction de messages envoyés précédemment. L’application peut gérer des fichiers pouvant atteindre la taille de 100 Mo. La fonction destruction de Silent Text est semblable à celle que l’on trouve dans Wickr, une application de messagerie chiffrée et sécurisée pour iOS.

Silent Circle, comme Lavabit – le fournisseur de messagerie qui aurait été utilisé par Edward Snowden – a fermé ses services de messagerie début août. Ladar Levison, le fondateur de Lavabit, avait fait savoir qu’il subissait des pressions du gouvernement américain, sans donner de détail sur les aspects juridiques. Un peu plus tard, Silent Circle, qui dit n’avoir reçu aucune citation à comparaître, a également choisi de fermer préventivement son service de messagerie électronique. L’entreprise a déclaré qu’elle se concentrerait désormais sur les communications mobiles en temps réel, affirmant que les protocoles utilisés par le courrier électronique étaient vulnérables et susceptibles d’être espionnés.

http://www.lemondeinformatique.fr/actualites/lire-silent-text-la-messagerie-android-anti-nsa-54898.html


[MEDIAPART – JÉRÔME HOURDEAUX – 03/09/2013]

Depuis la révélation, début juin, de l’existence du programme d’espionnage mondial PRISM, de nouveaux documents de l’ex-employé de la NSA sont dévoilés quasiment chaque semaine. Ces derniers jours, on a ainsi appris comment les États-Unis espionnent méthodiquement la France, le Brésil, le Mexique ou encore la chaîne de télévision Al Jazeera.

Depuis son exil russe, Edward Snowden continue, au nez et à la barbe des États-Unis, à divulguer peu à peu de nouveaux documents récupérés alors qu’il travaillait pour la NSA, dépeignant par petite touches le système d’espionnage mondial mis en place par l’agence américaine. Près de quatre mois après la première révélation de l’existence du programme d’espionnage PRISM, le 6 juin dernier par le Guardian, l’ex-employé de la NSA distille encore, quasiment chaque semaine, de nouveaux « leaks » (« fuites ») qui lèvent un nouveau pan du voile sur les pratiques du renseignement américain.

Dimanche, le journal allemand Spiegel, autre récipiendaire des documents d’Edward Snowden, détaillait ainsi la manière dont la NSA avait placé sous surveillance le système informatique du ministère français des affaires étrangères. Un document classé« Top Secret » datant de juin 2010 explique comment le renseignement américain a réussi à infiltrer le « VPN » (« Virtual Private Network », réseau virtuel privé) du quai d’Orsay, c’est-à-dire le réseau interne et, normalement, sécurisé, utilisé par l’ensemble de la diplomatie française.

Selon une liste des cibles de la NSA établie en septembre 2010, cette surveillance aurait également visée les bureaux diplomatiques français à Washington et aux Nations unies, des opérations menées sous les noms de codes de « Wabash » et « Blackfoot ». Le 26 août, le Spiegel avait déjà révélé tous les détails de la mise sur écoute de l’immeuble de l’Union européenne à New York.

La présidente brésilienne Dilma Rousseff a, de son côté, fait l’objet d’une surveillance toute particulière. Selon les nouveaux documents d’Edward Snowden dévoilés dimanche 1er septembre par la chaîne de télévision Globo, la NSA a réussi à installer dans son ordinateur un programme permettant de surveiller tous les contenus auxquels elle accédait sur internet. L’agence voulait ainsi avoir « une meilleure compréhension des méthodes de communication et des interlocuteurs » de la présidente Rousseff.

Le président mexicain Enrique Peña Nieto a, lui, été placé sous surveillance avant même son élection. À partir du mois de décembre 2012, alors qu’il menait campagne pour l’élection présidentielle, l’agence a en effet commencé à intercepter ses mails et messages téléphoniques.

Mais les États ne sont pas les seules cibles du renseignement. Samedi 31 août, le Spiegel a mis en ligne un document établissant pour la première fois que la NSA a également espionné des médias. En l’espèce, le document transmis par Edward Snowden au quotidien allemand évoque la mise sous surveillance de la chaîne de télévision basée au Qatar, Al Jazeera. Dans un document datant de mars 2006, le « centre d’analyse du réseau » de l’agence explique ainsi avoir réussi à pirater le réseau de communication interne de la chaîne et à intercepter les communications de « cibles intéressantes ». (suite…)


En même temps, si ma secrétaire accepte de suivre les ordres d’un « Vice-Président » au téléphone, sans même vérifier son nom dans l’organigramme et sans s’assurer que l’appel est légitime, elle dégage dans la minute… Comme disait Jesse James « It’s morally wrong to let suckers keep their money »

L’ingénierie sociale se renforce d’un cran

[Valéry Marchive – LEMAGIT –  02 sept. 201]

Les cybercriminels semblent gagner en agressivité, ajoutant un canal de communication physique à leurs tentatives de tromperie pour pénétrer les systèmes d’information de leurs cibles.

Les découvertes faites par Symantec en avril dernier, en France, montrent une escalade dans les stratégies déployées par les cybercriminels pour tromper leurs cibles. Dans un billet de blog, l’éditeur explique ainsi que, «en avril 2013, l’assistante d’un vice-président d’une multinationale française a reçu un e-mail faisant référence à une facture hébergée sur un service de partage de fichiers populaire.» Ce qui ressemble, jusque là, à une tentative de hameçonnage ciblé classique prend ensuite une tournure inédite : «quelques minutes plus tard, la même assistante a reçu un appel téléphonique de la part d’un autre vice-président de l’entreprise lui demandant de traiter ladite facture.» Une personne que Symantec décrit comme «parlant avec autorité et utilisant un français parfait.» De quoi largement tromper l’assistante.

Selon Symantec, la facture n’était autre qu’un cheval de Troie chargé de délivrer un outil de prise de contrôle à distance dès son ouverture. Outil permettant d’enregistrer les frappes au clavier, de consulter l’écran, et de ouvrir et télécharger des fichiers. (suite…)


 

UNE PETITE PIQURE DE RAPPEL, CA NE PEUT PAS FAIRE DE MAL…

(mais attention, le FBI a inflitré certains noeuds de TOR, l’anonymat total n’existe pas !)using_TOR

 


Un truc idéal pour pirater les données de tous les smartphones de cadres qui utilisent les bornes de rechargement dans les aéroports… à mon avis les Chinois y ont déjà pensé 🙂

[01 Net – 04/06/2013]

Des chercheurs affirment avoir réussi à injecter un logiciel malveillant dans des mobiles iOS d’Apple via un chargeur USB de leur « conception ».
Faudra t-il bientôt se méfier des chargeurs d’iPhone ou d’iPad ? Des chercheurs américains de l’institut de technologie de l’état de Géorgie à Atlanta, affirment avoir pu infecter des mobiles Apple sous iOS avec un logiciel malveillant, en l’introduisant par un chargeur électrique de leur conception.
Ils prétendent avoir piraté, en moins d’un minute, tous les mobiles fonctionnant avec la dernière version disponible d’iOS, qu’ils ont essayé de compromettre. A leur grand surprise, l’attaque consistant à injecter un malware, s’est jouée de tous les systèmes de sécurité mis en place par Apple.
L’opération n’aurait nécessité ni mobile jailbraké, ni aucune action de l’utilisateur.
Les chercheurs expliquent qu’ils ont soigneusement examiné les mécanismes sécuritaires d’Apple protégeant contre l’installation de logiciels indéterminés puis réussi à tirer partie des possibilités de l’USB pour contourner ces protections.
Leur chargeur « pirate » embarque une mini-carte électronique de type Beagleboard, pouvant fonctionner avec des suites Linux et dotée d’un port USB. Ce choix a été effectué pour démontrer que la conception d’un tel périphérique malveillant, était aisément à la portée de bons techniciens.
Ils présenteront leur travaux et le chargeur « pirate » en question, lors de la conférence Black Hat qui se tiendra à Las Vegas du 27 juillet au 1er août de 2013.
Cette démonstration amène à se méfier d’un périphérique a priori anodin dont le principal « tort », du point de vue sécuritaire, est de se connecter physiquement au mobile qu’il prétend alimenter.
Source :

five_stages_NSA

NSA_Scandal(adaptation française – Gregor Seither – IES News Service)


[Le Monde 07/06/2013]

Vous utilisez Gmail, Facebook, Yahoo!, Hotmail, Skype, Youtube, ou des services Apple en ligne ? Les informations du Washington Post et The Guardian devraient vous intéresser. Elles révèlent qu’un programme secret, au nom de code « Prism », est en place depuis 2007 : il permet aux services de renseignement américains (le FBI et à la NSA) de se connecter aux serveurs de ses services, via un portail direct, pour consulter librement toutes les informations contenues sur les utilisateurs qui sont en dehors des Etats-Unis. Le tout sans avoir besoin d’une ordonnance de justice. La plupart des compagnies concernées ont démenti, mais l’affaire fait scandale aux Etats-Unis >> http://lemde.fr/15Gf6w1

Plus de détails en anglais sur le Washington Post : http://lemde.fr/15Gf7jM ; le Guardian : http://lemde.fr/15Gfdba ; et le New York Times : http://lemde.fr/15Gfcnq


[Mediapart – 23/04/2013]

Pourtant, le 19 mars 2013, pour un tweet, à trois mois du bac, trois élèves de terminale ont été renvoyées définitivement d’un lycée de Limay dans les Yvelines, au risque de mettre en péril leur réussite au baccalauréat.

Au commencement de cette affaire, rien de plus qu’une blague, des plus potaches.

Une lycéenne fait croire sur Facebook que sa professeure d’histoire a prévu un contrôle le lendemain. Trois de ses camarades, qui s’imaginent lésées d’être prévenues si tard, échangent alors quelques tweets peu amènes à l’égard de leur enseignante, sans pour autant la nommer. A peine le canular révélé, les trois mêmes, par ailleurs bonnes élèves et sans histoire, présentent leurs excuses à la professeure qui classe immédiatement l’affaire. Hélas, à son tour alertée, la proviseure convoque un conseil de discipline sur le champ et l’exclusion définitive des trois lycéennes est votée à l’unanimité.

Ni le motif de la sanction ni sa nature n’ont questionné le ministère de l’Education nationale qui, selon la presse, se serait limité à déclarer que « Twitter n’est pas un espace privé et ne peut alors échapper à des mesures disciplinaires ». Certes, les tweets méritaient une sanction. Mais devait-on, pour autant, appliquer la plus sévère des sentences sur l’échelle des sanctions scolaires quand tous reconnaissent que l’exclusion définitive « peut avoir des conséquences préjudiciables à la scolarité de l’élève et apporte rarement une solution durable au problème posé » ?

Manifestement, ce cas d’espèce révèle une négation du principe d’individualisation qui implique qu’il soit tenu compte « du profil de l’élève, des circonstances de la commission des faits et de leur singularité » et qu’il convient « de privilégier le recours à des sanctions éducatives destinées à favoriser un processus de responsabilisation, en faisant prendre conscience à l’élève de l’existence de règles, de leur contenu et des conséquences de leur violation pour lui-même, la victime et la communauté éducative tout entière ».
(…)

Quels doivent être les bonnes pratiques et les bons réflexes des chefs d’établissement et du personnel éducatif ? Eduquer les élèves présuppose leur propre formation et une offre de bonnes pratiques. Panique et brutalité ne peuvent servir de réponse à la fracture numérique qui se creuse au sein de la communauté scolaire, avec d’un côté des adultes souvent dépassés par les évolutions numériques et de l’autre des élèves 2.0.

http://blogs.mediapart.fr/edition/les-invites-de-mediapart/article/230413/trois-lyceennes-expulsees-pour-un-tweet-crise-dautorite-ou-aveu-d-impuissan



Ce sont – bien évidemment – nos chers amis boutonneux et obsédés sexuels de 4chan qui ont découvert la faille 🙂

Il y a des gens qui mettent des Webcam dans leur chambre à coucher ou bien dans leurs toilettes ??????

Ah… et au fait… pour espionner les gens, allez voir par ici : http://pastebin.com/fDkTWZGX  🙂

[Zebulon – 24/01/2013]

La faille de sécurité touchant les systèmes de vidéosurveillance équipés de caméras de la marque TRENDnet n’est toujours pas résolue. Cette faille permet à n’importe quel internaute d’espionner des personnes via les caméras installées à leur domicile. Le blog Console CowBoys a pourtant signalé ce problème il y a un an. TRENDnet tente d’avertir tous les possesseurs de ces caméras victime de cette faille mais malheureusement, certaines personnes n’ont pas enregistré leur matériel sur le site de la société. Ils ne peuvent donc pas être informés de cette faille et ne peuvent pas non plus mettre à jour leur système.

Ces caméras de surveillance devraient normalement fonctionner en circuit fermé et non diffuser les flux sur le net. Plus grave encore, ces flux vidéo sont accessibles par n’importe qui. Des personnes mal attentionnées peuvent donc savoir si vous êtes à votre domicile ou pas. Certaines personnes ont installé ces caméras dans leur chambre à coucher et sont ainsi filmés puis diffusés sur le net pendant leurs ébats amoureux.

Cette semaine, c’est le site The Verge qui mentionne une nouvelle fois le problème. Suite à l’article publié par le blog CowBoys l’année dernière, TRENDnet propose une mise à jour du logiciel ainsi qu’un correctif bloquant l’accès aux images. Malheureusement, des internautes ont constaté que des personnes étaient toujours filmées à leur insu. Il n’y a pas que les particuliers qui sont filmés, des entreprises et des boutiques sont également espionnées.

http://www.zebulon.fr/actualites/10905-images-cameras-privees-trendnet-internet.html


[L’Expansion – Ludwig Gallet – 17/10/2012]

L’Hadopi a publié ce mercredi son rapport d’activité pour 2012. Nouveauté, l’autorité y dévoile ses statistiques sur les abonnés arrivés au dernier stade de la riposte graduée. Quel est leur profil ? Combien sont-ils ? Réponse en chiffres.

On savait que l’Hadopi misait principalement sur la portée pédagogique de la riposte graduée pour lutter contre le téléchargement illégal et la récidive. Preuve en est, si plus d’un million de dossiers ont été ouverts depuis sa création, seule une poignée d’entre eux risque aujourd’hui de se retrouver devant la justice.

Combien sont-ils ?  Peu nombreux. 682.525 premières recommandations ont été envoyées par mail entre le 1er juillet 2011 et le 30 juin 2012, sous la forme d’un simple avertissement établissant un défaut de sécurisation de l’accès à internet. Une mesure apparemment efficace puisque seuls 12% des internautes avertis une première fois reçoivent un deuxième avertissement. Soit 82.256 courriers envoyés.

Arrive ensuite la troisième phase, un tournant sur l’échelle de la riposte graduée. Le traitement des infractions perd en effet de son automaticité. L’Hadopi traite alors au cas par cas, pour décider si oui ou non, le dossier doit être transmis au procureur de la République. Soit seulement 340 internautes à ce stade, dont plus de 75% prennent contact avec l’Hadopi, contre seulement 8% au premier. Il faut dire qu’il seront de toutes façons systématiquement convoqués par l’autorité.

Reste que dans l’immense majorité des cas, les dossiers ne sont pas transmis au procureur. Au 1er octobre, en effet, seuls 18 abonnés ont basculé dans le volet judiciaire de la riposte graduée.

Quel est leur profil ?  Sur 306 dossiers arrivés au troisième stade de la riposte graduée au 1er mai 2012, 89% ont utilisé un seul logiciel de partage. eMule est le plus répandu (49%), suivi de µTorrent (44%), bitTorrent (8%), Limewire (6%) et Azureus (4%). Les statistiques de l’Hadopi, qui ne concernent que des mises à disposition de fichiers et non des téléchargements, précisent que dans un tiers des cas, seule de la musique est échangée. Un autre tiers concerne uniquement des vidéos, et le tiers restant les deux types de contenus.

Seuls 2% des dossiers parvenus à ce stade concerne des accès Wi-Fi communautaires (lieux publics…).  14% des abonnés épinglés pour la troisième fois ont purement et simplement nié les faits. En revanche, 75% reconnaissent que leur connexion a été utilisée à des fins malveillantes (40% par l’abonné lui-même, 60% par un proche). A l’issue de la procédure, 45% des abonnés disent avoir supprimé le logiciel ayant permis le téléchargement. 37% des abonnés entrés en contact avec l’autorité assurent avoir cessé le téléchargement. La moitié d’entre eux assurent même avoir arrêté dès la première ou la deuxième recommandation. Ce sont eux qui prennent le temps de lire leurs mails. Car 36% des abonnés en 3e phase n’ont pas pris connaissance du premier avertissement.

Ces chiffres démontrent que la majorité des contrevenants sont des cas mineurs. Car si ces abonnés sont arrivés au troisième stade, c’est qu’ils ne connaissent pas le fonctionnement des logiciels de « peer to peer ». Car il ne suffit pas d’arrêter de télécharger. Il faut aussi effacer les fichiers téléchargés ou même supprimer le logiciel. Sans quoi ils seront à nouveau épinglés par l’autorité, puisque les plateformes de peer to peer disposent d’une fonction de partage automatique. Parmi les informations les plus fréquemment communiquées aux abonnés, l’explication du partage automatique des logiciels de peer to peer arrive d’ailleurs en tête, dans plus de 86% des cas. (suite…)


[Gregor Seither – IES News Service – 15/10/2012]

Grâce aux données collectées par la société F-Secure et Google Maps, il est possible de visualiser les ordinateur inféctés par le Ver ZeroAccess à travers le monde. Ce botnet existe depuis plusieurs années et est en mutation constante afin de contourner les mesures de sécurité informatique et logiciels antivirus. Sa méthode de progression est simple: une fois l’ordinateur infecté, ce dernier se connecté à un réseau pair-à-pair (P2P) où il reçoit des instructions pour télécharger d’autres logiciels nocifs. L’infection se fait généralement par le biais d’un cheval de troie, caché dans un téléchargement à l’air inoffensif ou via une page Web modifiée pour permettre l’infection de l’ordinateur qui la visite.

Aux dires de la société Sophos le maliciel  ZeroAccess aurait été installé environ 9 millions de fois et serait actuellement actif sur un million d’ordinateurs. Un réseau d’une telle ampleur est très lucratif, si tous les ordinateurs actifs sont utilisés pour des opérations de « Fraude au clic » ou pour  frauder les systèmes de monnaie électronique décentralisée comme Bitcoin, cela peut rapporter jusqu’à 100 000 US$ par jour à son opérateur.

 


Le gouvernement saisit la CNIL du bug de Facebook

[Le Monde.fr avec AFP et Reuters | 25.09.2012 ]

Arnaud Montebourg, le ministre du redressement productif, et Fleur Pellerin, la ministre déléguée chargée des petites et moyennes entreprise, ont demandé à la direction de Facebook de s’expliquer dès mardi auprès de la CNIL au sujet d’une possible défaillance survenue sur le réseau social lundi. Dans un communiqué diffusé dans la nuit de lundi à mardi, les deux ministres précisent qu’ils ont eu « plusieurs échanges avec la direction de Facebook France au sujet d’une possible défaillance technique survenue (…) au moins depuis la mi-journée ».

Les deux ministres « souhaitent que des explications claires et transparentes soient apportées sans délais » aux Français. Ils souhaitent connaître la nature exacte du problème, à savoir : « s’agit-il d’une modification impromptue de la présentation des données qui a désarçonné les utilisateurs ? Ou y a-t-il eu rupture de confidentialité à travers la publication de messages privés ? »

Les deux ministres jugent que l’incident « souligne une fois de plus l’importance de la protection des données personnelles dans l’univers numérique et le manque de transparence quant au traitement de ces données par un acteur tel que Facebook ». (suite…)


[Le Monde Informatique – 04/09/2012]

12 millions d’identifiants iOS auraient été dérobés sur l’ordinateur d’un agent du FBI. C’est le groupe de hackers AntiSec qui déclare être parvenu à s’emparer de la banque de données grâce à une faille Java exploitée en mars dernier.

Le groupe de hackers, formé d’Anonymous et d’anciens membres de LulzSec, assure avoir dérobé près de 12 millions d’identifiants iOS au FBI. Opérant sous le nom AntiSec, le collectif a déjà fait parler de lui à de nombreuses reprises. Aujourd’hui, il assure être en possession de plus de 12 millions d’identifiants UDID (Unique Device Identifier) propres à chaque appareil iOS d’Apple. Les hackers reprochent ainsi au FBI d’être en possession d’une base de données enrichie d’informations personnelles très précises.  (suite…)


[Jacques Cheminat – Le Monde Informatique – 17/02/2012]

Selon le Wall Street Journal, Google et des sociétés de publicité ont installé un cookie dans le navigateur Safari utilisé par les iPhone, iPad et Mac pour connaître le comportement des utilisateurs à des fins publicitaires. Google a immédiatement cessé ce procédé et Apple promet de mettre à jour son navigateur. (suite…)


Désormais, il est donc possible de confondre son chef harceleur ou cruel, en utilisant ce genre de petit appareil discret et pas cher  (http://photo.twenga.fr/camera-espion-stylo.html)  – la variété de l’offre en la matière vous donne une idée de la fréquence d’utilisation de ce genre d’appareil…

[LEGALIS – 02/02/2012]

Affaire Bettencourt : les enregistrements clandestins de conversations validés en cassation

Dans un arrêt du 31 janvier 2012, la chambre criminelle de la Cour de cassation a validé les enregistrements clandestins de conversations téléphoniques de Liliane Bettencourt avec ses interlocuteurs, dont des avocats, effectués par son maître d’hôtel, et produits en tant que preuve. La Cour dispose « qu’en se déterminant ainsi, la chambre de l’instruction a justifié sa décision, dès lors que les enregistrements contestés ne sont pas en eux-mêmes des actes ou des pièces de l’information, au sens de l’article 170 du code de procédure pénale, et comme tels, susceptibles d’être annulés, mais des moyens de preuve qui peuvent être discutés contradictoirement, et que la transcription de ces enregistrements, qui a pour seul objet d’en matérialiser le contenu, ne peut davantage donner lieu à annulation « . La cour suprême a donc admis comme moyen de preuve la transcription de conversations privées entre un avocat et sa cliente. Elle considère ainsi que les dispositions de l’article 66-5 de la loi de 1971, relatives au secret professionnel, ne sont pas applicables en l’espèce.
La Cour rappelle qu’un particulier peut se prévaloir d’une preuve susceptible d’être illicite, notamment de porter atteinte à la vie privée d’une personne, dans la mesure où elle peut être discutée de manière contradictoire pendant la procédure. Ces enregistrements effectués par un particulier et non par l’autorité publique à l’insu de la personne constituent des pièces à conviction. L’arrêt de la cour d’appel de Bordeaux qui avait validé ces enregistrements et la procédure qui en a résulté sont réguliers. Les enquêtes diligentées à Bordeaux peuvent donc se poursuivre.

http://www.legalis.net/spip.php?page=breves-article&id_article=3324


Hadopi, Acta : les lois qui surveillent Internet se multiplient. Mode d’emploi à l’usage des non-geeks pour utiliser le Web sans laisser de traces.

[Martin Untersinger – Rue 89 – 02/02/2012]

Naviguer sur Internet, c’est comme sauter à pieds joints dans du béton frais : on laisse des traces (presque) indélébiles partout. C’est aussi ce que dit Bruce Schneier, expert en sécurité informatique :

« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris aux problèmes ni à la technologie. »

L’informatique, et plus particulièrement Internet, est un formidable moyen de liberté d’expression, mais aussi une machine à surveiller. Or, surfer anonymement peut être souhaitable pour des tas de raisons, et pas seulement pour les paranos. On peut être amené à vouloir être anonyme sur Internet à un moment de sa vie. Liste non exhaustive et non exclusive :

  • échapper au flicage de son patron ;
  • éviter les yeux indiscrets de sa femme/son mari ;
  • déjouer la surveillance des autorités (cela ne vaut que si on habite dans un pays autoritaire, bien entendu), comme le font tant de dissidents, de la Biélorussie à la Syrie ;
  • empêcher de grandes entreprises – de préférence américaines – de collecter une foule de données personnelles ;
  • protéger son travail ou ses sources (si on est journaliste ou militant).

Renforcer son anonymat sur Internet, ce n’est pas « un truc de geek » : on dit souvent que la solution (ou le problème) se trouve entre la chaise et le clavier.

On peut agir, très simplement et toujours gratuitement, pour protéger sa vie privée et surfer anonymement sur Internet. Les solutions qui suivent ne sont pas à appliquer « en bloc », mais sont davantage un catalogue dans lequel piocher en fonction de ses besoins. (suite…)

Page suivante »