Corée du Sud : la surveillance provoque un exode de Kakao vers Telegram

En Corée du Sud, l’annonce de mesures répressives contre le réseau Kakao Talk pour en extirper des messages agressifs à l’encontre de la présidente du pays, Park Geun-hye, a eu d’intéressantes conséquences. Moins d’un mois plus tard, une partie des utilisateurs de cette application a littéralement fui pour adopter une concurrence proposant des sessions protégées de messagerie : Telegram.

La situation rend en tout cas Telegram relativement heureuse. Markus Ra, de l’équipe du support technique, a ainsi indiqué à The Verge : « Les gens viennent fréquemment vers Telegram à la recherche d’une sécurité supplémentaire, certains d’entre eux depuis des pays ayant des problèmes de censure. Ce qui nous rend particulièrement heureux, c’est que les utilisateurs restent après que les scandales de vie privée ont disparu ».

Bon Telegram est une application libre mais dépendants de serveurs opaques qui peuvent potentiellement déchiffrer les messages transmis. Donc un remake du scénario de 2010 où BBM a livré les messages de ses utilisateurs à l’Angleterre lors des attentats du métro à Londres est plausible.

Mais cela montre que lorsque la pression monte, les utilisateurs font le pas. Et que comme trop souvent, une fois le logiciel dans les moeurs par la masse, il reste. Allez, une petite backdoor imposée à Microsoft par les US et on passe tous sur Linux :)

Source PCinpact

J'aime(1)Ferme-la !(0)

Finfisher, l’outil d’intrusion allemand

Finfisher est une société qui vent des outils d’intrusion (en gros des virus, malware et autres outils de piratage) avec l’aval du gouvernement Allemand. Grâce à leur gamme de logiciels, décrits dans ce document, les acheteurs peuvent envoyer une demande d’installation de malware à un utilisateur (SMS proposant une mise à jour sur un téléphone, email avec pièce jointe executable, demande d’installation d’un faux plugin Firefox, insertion d’un applet java dans une page web, modification de mise à jour en ligne pour Mac OSX, etc…). Ce malware, non détecté par la plupart des antivirus, va permettre d’espionner intégralement le PC à distance.

De ce je comprends des docs, les méthodes employées sont connues :

  • envoi d’une mise à jour pour un logiciel. Si le logiciel ne fait pas de vérification de signature pour s’assurer que le contenu de la mise à jour provient bien de l’éditeur et n’a pas été altérée, c’est bingo.
  • pièces jointes exécutable dans les mails, en utilisant l’écriture inversée utf-8 pour masquer le « .exe »
  • infection du MBR du disque dur principal en bootant sur une clé USB. Utile pour récupérer les clés de chiffrement.
  • copie de l’intégralité de la RAM du pC et déblocage d’une session Windows/Mac/Linux par le port Firewire.
  • interception SSL (surement avec un certificat installé par le malware)
  • copie des mots de passes stockés dans le navigateur web

Ce qui est plus inquiétant, c’est qu’une une entreprise ou l’état Belge aurait acheté pour 500’000€ de licences à Finfisher qui semblent toujours actives. On peut savoir pour quoi faire?

On prend un risque très fort à vouloir garder des failles ouvertes pour espionner les autres sans craindre de se faire espionner soi même.

 

J'aime(2)Ferme-la !(0)

La vidéoconférence par WebRTC est elle sécurisée?

Actuellement, le schéma WebRTC actuellement proposé par moult sites web comme Talky.io, vLine etc… est similaire. C’est le serveur web qui est responsable de la première mise en relation des clients et de leur authentification.

Le premier utilisateur rejoint une « salle » identifiée par une URL et chaque client qui se connecte à cette URL se joint à la « salle » de visioconférence.

Cela pose un problème de sécurité. Qu’est ce qui m’assure que :

  • le serveur web ne va pas s’interposer entre les clients pour enregistrer toutes les conversations? (il s’assurer que l’IP d’échange de données est bien celle de chaque correspondant)
  • qu’un client caché n’est pas aussi présent dans la salle? (il faudrait vérifier et comprendre le code source livré par le site web à chaque exécution)
  • que mon correspondant ou moi-même ne sommes pas l’objet d’un MITM sur un nœud de connexion réseau. Par exemple, un routeur de mon FAI ou de mon réseau local pourrait relayer la vidéo.

Ces problèmes sont présents actuellement dans les services proposés au grand public. Je vous invite à lire cet article : WebRTC Security – an overview & privacy/MiTM concerns (including a MiTM example) pour aller plus loin sur le sujet.

J'aime(0)Ferme-la !(0)

Pourquoi Yahoo est contraint de livrer des données personnelles à la NSA

En 2008, Yahoo s’opposait à donner suite aux demande de données sur ses clients par la NSA. Yahoo a récemment publié comment elle s’est finalement pliée à la demande de la NSA.
Ces milliers de pages de documents déclassifiés sont très intéressants.

Premièrement, entre 1978 et 2007, la NSA avait besoin d’émettre un ordre FISA (service de renseignement envers les puissances étrangères) pour accéder à des données personnelles. Ces ordres ne permettaient que d’espionner les citoyens des puissances étrangères (ou agissant pour elles).

Cette limitation provient en partie du 4ème amendement de la constitution des états unis qui protège les citoyens américains d’intrusion dans leur vie privée sans mandat judiciaire et ciblé.

En 2005, Georges Bush est attrapé pour avoir permis à la NSA d’espionner les communications internationales de citoyens américains depuis 2002. Ces écoutes visaient officiellement à traquer les terroristes, mais étaient en tout état de cause contraire à la loi FISA de 1978.

Pour rendre légale ces écoutes, la loi FISA est amendée en 2007 par le Protect America Act. Celui-ci permet dorénavant à la NSA :

  • d’espionner les communications depuis ou vers des citoyens étrangers sans nécessiter d’autorisation
  • supprime la nécessité d’apporter de preuve que le citoyen visé est étranger ou en dehors des états unis.

Cela ouvre ainsi le champ à la surveillance électronique de masse des communications des citoyens non-américains. PRISM commence à voir le jour et la NSA voudrait que les services de communications mondiaux comme Yahoo donnent à la NSA un accès en masse aux données de leurs clients.

Il y a cependant une ambiguïté juridique, lorsque l’on espionne la communication entre un citoyen français et un citoyen américain, on espionne le citoyen américain en piétinant le garde fou du 4ème amendement ! De plus, puisque aucune preuve que le citoyen visé est bien hors US ou non américain n’est due par la NSA pour émettre un ordre d’écoute, cela ouvre la porte à bien des abus.

Ce sont ces points qu’à soulevé Yahoo pour refuser de donner un accès aux données de ses clients à la NSA. Cependant, la FISC, a conclu que ceux-ci n’étaient que des effets de bord minimes conformes à l’esprit de la loi. Yahoo à 250’000 $ de pénalité par jour tant qu’il refusait de se plier à la demande de la NSA.

Vous savez maintenant comment la NSA peut légalement et avec tout le confort lire vos emails (Gmail, Yahoo), écouter vos appels Skype, etc…

J'aime(3)Ferme-la !(0)

Encore des stars à poil sur Internet

Ce week-end, a été publié encore une flopée de photos et vidéos de stars Hollywood dans des positions des plus embarrassantes si vous voyez ce que je veux dire.

Je suis impressionné que des mecs aient pu récolter des photos si compromettantes sur des personnes si ciblées.
Est ce que le système de données personnelles centralisé (vendu sous le petit nom moins angoissant « cloud ») qui permet entre autres à une poignée d’individus (les patrons des admins) de surveiller les autres (nous) ne se retourne pas finalement en partie contre eux ?

A un moment donné, ce système géant il faut bien le maintenir en fonctionnement, et malgré toute l’automatisation des machines il faut un grand nombres d’informaticiens pour maintenir cela en marche avec les délégations de pouvoir et d’accès qui vont avec.
Quel admin n’a jamais eu accès (je n’ai pas dit « accédé ») aux données confidentielles de ses clients?

Comme je doute qu’il y ait (pour l’instant) un traitement différencié pour les VIPs (et comment choisirait-on les VIPs?), il y a une palanquée de personnes qui ont accès aux photos, à la géolocalisation, aux carnets de contacts, agendas, etc… des système de données personnelles mondiaux. Et ceci quand ils veulent puisque tout est archivé pour l’éternité.

Comme, contrairement à beaucoup de chose, quand on copie les données, on n’empêche pas le système de tourner et on peut faire en sorte que ça ne se voit pas (admin power), il me parait moins étonnant que des admin, à priori quelconques, voient des choses croustillantes et décident de les garder sous le coude (coucou Mr Snowden).

Là où il fallait autrefois des moyens de fou furieux pour espionner une célébrité, il n’est plus besoin que de quelques touches de clavier pour les informaticiens ayant accès aux données en production.
Miam !

J'aime(3)Ferme-la !(1)

iCloud et bruteforce

Vous n’avez pas échapper à la mauvaise nouvelle, malgré leur confiance dans iCloud, des gens se sont retrouvés à poil sur Internet. Certains sites informatiques tels que Numerama ou Reflet pensent qu’une attaque par brutefore des services d’Apple a pu permettre cela.

Je suis très sceptique sur le bruteforce par Internet. La latence est un ennemi assez redoutable.
Prenons en exemple le script Python incriminé pour bruteforcer iCloud nommé iBrute.
En insérant un basique timer, on peut compter 2 tentatives par secondes depuis une ligne ADSL.

Sachant qu’un password d’AppleID contient au minimum 8 caractères dont au moins un nombre et une majuscule. Ce qui fait, dans le pire des cas (6 chiffres, un caractère minuscule, un caractère majuscule) : 10⁶*26²*8*7 = 38*10⁹ possibilités.

Ce qui veut dire qu’il faudrait 602 années pour trouver le mot de passe à coup sûr avec une attaque de ce type.

Par contre, si votre mot de passe est composé d’un mot du dictionnaire, du langage commun, ou d’une référence que connaît l’attaquant, la recherche peut être bien plus courte. A titre de référence, le dictionnaire Larousse contient 135’000 mots soit environ le même nombre de possibilités qu’un mot de passe à 5 chiffres. Imaginons que votre mot de passe AppleID soit maintenant un mot français de 6 lettres (16000 possibilités), dont la première lettre est majuscule, suivi d’un nombre à 2 chiffres soit 16000*10² =1.6*10e6 possibilités. Il faudrait alors seulement 9 jours pour le trouver à coup sûr avec l’attaque par bruteforce citée ici si l’attaquant se focalisait sur ce pattern.

La moralité de cette histoire, c’est que si votre mot de passe est suffisamment complexe et surtout évite les mots communs, vous être tranquille face à une attaque par bruteforce de votre compte AppleID par Internet.

La blague de cette histoire, c’est que pour couper court à la polémique, Apple a décidé de bloquer l’accès au compte iCloud après 25 tentatives infructueuses. L’utilisateur est alors forcé à changer son mot de passe sur cette page. Vous voyez déjà le truc, il est possible d’empêcher quelqu’un d’accéder à son compte en lançant en continu des tentatives de connections avec le script cité ci-dessus. Pourquoi Apple bannit le mot de passe et non l’IP de l’attaquant comme le font classiquement les systèmes fail2ban, mystère…

J'aime(6)Ferme-la !(0)

Un attentat aux USA en 2009 planifié par le FBI

C’est une histoire invraisemblable.

En 2009, un agent du FBI aide 4 noirs musulmans dans le Bronx à programmer un attentat. Il leur promet 250’000 $. Il leur fournit un lance-missile avec une faux missile et des fausses bombes C4 en matériau inerte. Il planifie leur arrestation juste au moment où ils posent les bombes inertes, ce qui donne lieu à une belle médiatisation de l’action du FBI. Et les musulmans se font condamner à 25 ans de prison !

Si vous ne le croyez pas, voici la page Wikipedia, les documents du procès devant la Justice américaine dont ce jugement qui semble dénué de raison et un documentaire réalisé par HBO où l’on peut voir les enregistrements effectués par l’agent du FBI.

J'aime(0)Ferme-la !(0)

Avec HSTS, forcez vos visiteurs à revenir en HTTPS sur votre site web

HSTS permet à un site web en HTTPS de notifier au navigateur web qu’il doit toujours revenir le voir en HTTPS et non en HTTP.

Concrètement, ça prend la forme d’une entête spéciale envoyée par le serveur lors de la consultation d’une page web en HTTPS. Donc il faut que votre visiteur visite au moins une fois votre site web en HTTPS pour que la règle soit prise en compte.

Pour l’activer sur Apache, rajoutez cette ligne à votre virtualhost SSL :

Header add Strict-Transport-Security: "max-age=15768000; includeSubdomains"

J'aime(2)Ferme-la !(0)

Forcer l’usage d’HTTPS à Firefox

Certains sites web sont accessibles en HTTP et HTTPS mais l’on voudrait toujours les visiter en HTTPS pour éviter de se faire sniffer son mot de passe ou son cookie, ou laisser quelqu’un savoir ce que l’on consulte sur un site web (genre la NSA ou l’admin réseau).

Pour cela, le plugin pour Firefox NoScript a une fonction bien pratique qui permet de forcer l’accès de certains sites (ou de tous les sites) en HTTPS.

noscript https

Il existe aussi le plugin Firefox HTTPS everywhere développé par l’Electronic Frontier Fondation mais bizarrement celui-ci n’est pas disponible dans le dépôt d’addons de Mozilla.

J'aime(3)Ferme-la !(2)

Si quelqu’un vous dit qu’il n’a rien à cacher, c’est qu’il n’y a tout bonnement pas assez réfléchi

Si vous pensez réellement que vous n’avez rien à cacher, par pitié, faites en sorte de me le dire tout de suite car je saurais alors que je ne devrais pas vous confier de secrets car apparemment vous ne savez pas les garder.

En premier lieu, il faut soulever que le verbe cacher se rapporte toujours à quelqu’un ou quelque chose. Il faudrait donc préciser « à qui » vous n’avez rien à cacher. Est-ce à votre collègue, votre père, votre petit ami, à la police, au pouvoir politique en place, à Dieu? La question est bien plus claire avec ce détail essentiel.

Aujourd’hui, en l’état du débat, il s’agit de garder une « vie privée » au regard de l’Etat (police et pouvoir politique) qui nous épie par l’intermédiaire d’écoutes massives de nos traces numériques.

Il y a une chose que nous devons comprendre, c’est qu’on est franchement honnête avec les moteurs de recherche. Montrez-moi votre historique de recherche, et j’y trouverai quelque chose de compromettant ou d’embarrassant en cinq minutes. Nous sommes plus francs avec les moteurs de recherche qu’avec nos familles. Les moteurs de recherche en savent plus sur vous que des membres de votre famille. Et c’est ce genre d’informations que l’on donne aux États-Unis.

Rappelons-nous des prédictions de George Orwell sur la surveillance. Il s’avère que George Orwell était optimiste. Nous voyons désormais une échelle bien plus grande de pistage des citoyens qu’il n’aurait pu imaginer. Ce type de surveillance de masse signifie que la NSA pourra recueillir nos données et les garder grosso modo pour toujours (…) Cela ouvre la porte à des types de risques radicalement nouveaux nous concernant tous. Il s’agit en fait de la surveillance généralisée de masse de tous les citoyens.

« La surveillance change l’histoire. (…) Voici une citation du Président du Brésil, Mme Dilma Rousseff. Elle a été l’une des cibles de la surveillance de la NSA. Ses emails ont été lus, elle a pris la parole au Siège des Nations Unies, elle a dit : « S’il n’y a pas de droit à la vie privée, il ne peut y avoir de réelle liberté d’expression et d’opinion, et par conséquent, il ne peut y avoir de vraie démocratie. »

Les citations proviennent de Mikko Hypponen

J'aime(6)Ferme-la !(1)