Archives par mot-clé : NSA

[SECHebdo] Avril 2017 – 2 : Shadow Brokers, Macron, Conférence ANSSI, 0Day Office, Brickerbot, etc.

Bonjour à tous!

Nous venons de tourner le second SECHebdo du mois d’avril 2017 sur Youtube. Comme d’habitude, si vous avez raté l’enregistrement, vous pouvez le retrouver sur notre chaîne Youtube:

Ou bien au format podcast audio:

Lire

Notre discord : discord.comptoirsecu.fr
A bientôt pour d’autres émissions/podcasts!

Liste des news:

Flattr this!

#TheDayWeFightBack, Pour que 1984 ne reste qu’une fiction

Je suis tombé, totalement par hasard en surfant sur le blog de Cloudflare, sur cette initiative.

todaywefightback-banner

Je suis assez étonné que le projet n’ait pas fait plus de bruit pour sa journée de lancement (11 février). Cet avis est partagé par Techcrunch, qui a intelligemment fait un comparatifs de l’implication des sites web entre la protestation contre SOPA/PIPA et TheDayWeFightBack.

Je comprends que le danger puisse sembler moins tangible, moins imminent, mais je m’attendais à plus de communications étant donné son lien avec LE sujet sécurité de ces derniers mois : la surveillance de masse.

Nous vous en parlons régulièrement au Comptoir Sécu, dans nos articles comme dans nos podcasts. Les révélations de Snowden ont fait au début beaucoup de bruit, même dans la presse non spécialisée. Et pourtant, quelle réaction constatons-nous ? Rien, ou du moins très peu de choses.

Les fuites continuent de sortir régulièrement, et pourtant la presse généraliste semble s’en être totalement désintéressée, à la recherche de « nouveaux scoops », comme si les lecteurs s’étaient lassés.

Quelle est la réaction de nos politiques ? Une colère et une indignation affichée contre ces procédés. Que font-ils à part la moue devant les caméras ? Ils en profitent pour laisser passer des lois comme la LPM…

Pendant que l’on « nourrit la plèbe » avec des articles sur Dieudonné ou les affaires de coucheries de notre président, rien ne s’améliore du côté de la surveillance de masse, bien au contraire.

Participer à cette pétition n’aura peut-être pas beaucoup d’effets, surtout en Europe, mais c’est un premier pas, une façon de montrer que nous ne sommes pas indifférents.

Pour ceux qui pensent que cela ne les concerne pas, que ce combat se situe aux US et ne touche pas l’Europe, encore moins la France. Dites-vous qu’Internet n’a pas de frontières, et que l’extrême majorité des services que vous utilisez sur Internet sont anglo-saxons.

Vous pensez toujours que vous n’avez rien à cacher ? Prenez au moins 5 minutes pour écouter cette chansonnette. La forme n’est peut-être pas des plus radieuses, mais le fond est là.

J’enfoncerai le clou avec un petit point Godwin qui me tient à cœur, le Poème attribué à Niemöller :

Lorsque les nazis sont venus chercher les communistes,
je n’ai rien dit,
je n’étais pas communiste.

Lorsqu’ils ont enfermé les sociaux-démocrates,
je n’ai rien dit,
je n’étais pas social-démocrate.

Lorsqu’ils sont venus chercher les syndicalistes,
je n’ai rien dit,
je n’étais pas syndicaliste.

Lorsqu’ils sont venus me chercher,
il ne restait plus personne
pour protester.

thedaywefightback-takeaction

Flattr this!

Blackphone et autres téléphones « NSA-proof » : Sont-ils réellement efficaces ?

Nous sommes depuis avant hier envahis par des articles sur le fameux Blackphone , que ce soit sur Numérama, Techcrunch, 01Net, Korben… Vous l’avez compris, la vie privée a le vent en poupe ces derniers temps grâce à Snowden. Un produit qui n’aurait intéressé que certains paranoïaques, les professionnels du renseignement et potentiellement le senior management est désormais vendu auprès du grand public.

Je ne vais pas trop m’attarder sur le Blackphone en lui-même, mais parler de ces téléphones sécurisés de façon générale. J’aimerai vous montrer à quel point il faut prendre des pincettes sur leur aspect « NSA-proof ».

Vous remarquerez que j’ai dit « ces téléphones ». Blackphone se vend comme le premier téléphone à mettre la protection de la vie privée au-dessus de tout. Disons que c’est une interprétation très singulière. Les smartphones sécurisés ne sont pas chose nouvelle. On vous a déjà parlé lors d’un Comptoirs Sécu du Hoox, ou encore de l’hilarant Quasar IV : premier smartphone adoptant les principes du Ninjutsu ! Certes ces téléphones parlent de confidentialité et non de vie privée, vous admettrez que l’un va rarement sans l’autre dans le cadre d’utilisation d’un particulier.

Je ne pourrai m’étendre sur les détails techniques du Blackphone. Tout simplement parce que nous n’avons aucune information concrète disponible pour le moment à ce sujet.

Vie privée dans les communications (appels, SMS)

Ici il ne faut pas s’attendre à beaucoup de surprises. Blackphone va probablement réutiliser le travail effectué par SilentCircle . C’est tout naturel étant donné qu’ils participent à l’élaboration du produit.

SilentCircle est similaire à Whatsapp/Viber/GoogleVoice/Skype et consorts. En d’autres termes, vous n’utilisez pas le réseau cellulaire, mais votre forfait data pour les appels et messages textes. La valeur ajoutée des produits SilentCircle est qu’ils assurent un chiffrement de vos communications de bout en bout entre vous et le destinataire.

J’y vois déjà deux problèmes dans une utilisation courante voir exclusive :

  1. Il faut que l’interlocuteur soit aussi un utilisateur de l’application pour que cela fonctionne
  2. La qualité de l’appel dépend de votre connexion Internet et affecte votre quota mensuel

Bien entendu, il vous sera possible de contacter des personnes qui n’ont pas un Blackphone ou une application SilentCircle. Par contre le chiffrement s’arrêtera aux serveurs de SilentCircle, le reste de la connexion sera transmise via le réseau cellulaire traditionnel.

En clair. Il n’y aura pas de miracles sur ce point, pour ne pas être écoutable, il ne faut pas utiliser le réseau GSM. Cela limite très fortement le nombre de vos conversations qui seront effectivement protégées de la méchante NSA.

Parlons maintenant de ces fameux échanges sécurisés. Si le chiffrement de bout en bout permet de s’assurer que SilentCircle ne peut écouter les conversations qui transitent par ses serveurs, car elle n’a pas la clé, ils ont au moins des métadonnées.

Par métadonnées j’entends :

  1. qui vous appelez
  2. quand et à quelle heure
  3. pendant combien de temps.

Ce genre d’informations à elles seules peuvent révéler énormément d’informations sur vous. Je vous laisse regarder quelques croustillants exemples. Peut-être effacent-ils les métadonnées, je n’ai pas trouvé l’information sur le site de SilentCircle.

Vie privée et applications

Je pars du principe que l’OS du Blackphone, PrivatOS, sera compatible avec le Play Store, sans cela c’est l’échec commercial assuré auprès du grand public.

Votre téléphone n’est plus un Nokia 3310, ils font bien plus que des appels et des SMS. Vous avez maintenant une multitude d’applications, souvent gratuites, qui adorent récupérer toutes les informations possibles et imaginables vous concernant. Je vous parle de Facebook, Google+, Instagram, Whatsapp, LinkedIn… à peu près tout ce que vous voulez.

Souvenez-vous de cet adage :

Si un produit est gratuit, VOUS êtes le produit.

Ces applications raffolent de vos données, car elles les revendent aux publicitaires. Vous avez beau avoir un téléphone sécurisé, tout ce que vous mettrez, volontairement ou non, sur les serveurs de vos applications favorites, sera récoltable par les agences de renseignement.

Vous êtes prêt à vous séparer de toutes les applications susceptibles de collecter des données personnelles ? Parce que moi non.

La seule avancée que j’envisage de la part de Blackphone est de vous laisser le choix des permissions systèmes accordées aux applications. Lorsque vous téléchargez une application sur le Play Store, on vous impose toute une liste de permissions demandées par l’application. On pense par exemple à « Accéder au carnet d’adresses », « Voir l’identifiant de l’appelant » ou « Voir votre position GPS ».

Vous voulez utiliser l’application X, mais ne comprenez pas pourquoi elle veut voir les numéros de téléphone de tous vos amis et vous voulez lui refuser cette autorisation ? Impossible sur un Android non modifié, c’est tout ou rien. La possibilité de revoir les droits des applications est disponible sur des versions « modifiées » d’Android telles que Cyanogen , je n’en attends pas moins de PrivatOS.

Pour ce qui est du surf, ils parlent d’un VPN, qui effectivement peut cacher votre IP, c’est l’IP du VPN qui se connecte au site Internet. On vous a déjà montré précédemment qu’il était possible d’identifier quelqu’un par un tas d’autres données, et si vous vous connectez sur un compte nominatif quelconque, la confidentialité est à coup sûr perdue, même sur les autres sites qui ne manqueront pas de mettre un mouchard Facebook ou Google+ sur leur page…

Excusez-moi, on me dit dans mon oreillette qu’officiellement ça s’appelle un bouton « like » ou « +1 ».

Vie privée et géolocalisation

Même si PrivOS a retiré tout mouchard éventuel de Google, que vous n’avez pas installé Google Maps ou que vous avez explicitement coupé la fonction GPS de votre téléphone, on peut encore vous suivre à la trace.

Votre téléphone, pour être joignable, cherche en permanence les antennes GSM à proximité et communique avec celles-ci en s’identifiant. Il en est de même pour votre connexion Edge/3G/4G. Ainsi, par le principe de triangulation, on peut facilement vous géolocaliser à quelques dizaines de mètres prêts.

Vous ne voulez pas que l’on sache ou vous êtes en permanence ? Ne prenez pas de smartphone.

Vie privée et système d’exploitation

Sur ce point, il y a beaucoup de potentiel. Nous ne maîtrisons pas le système d’exploitation fourni dans nos téléphones, que ce soit Windows Phone, iOS, Android, BlackBerry ou autre. Vous n’êtes généralement pas administrateur de ce système et ne savez pas tout ce qu’il contient.Par conséquent, vous avez beau utiliser des applications sécurisées, si l’environnement d’exécution vous trahit, ça ne change pas grand-chose.

Laissez-moi m’essayer à une analogie :

Alice veut envoyer un message à Bob, mais elle veut être sûre que personne d’autre ne puisse le lire, surtout pas, Mr NSA. Elle oublie donc d’emblée l’idée d’envoyer son message dans une simple lettre par la poste.

Elle a défini un protocole ingénieux avec Bob. Ils ont chacun un lot de boites noires qui se ferment à clé. Chacun possède un exemplaire de la clé. Dès qu’Alice veut écrire à Bob, elle met son message dans la boite noire, la ferme à clé et envoie la boite à Bob sans la clé. Bob, qui possède un exemplaire de la clé, ouvre le coffre chez lui et lit le message.

Si l’on part du principe que la serrure est suffisamment forte pour être considéré inviolable, on est bon niveau confidentialité, n’est-ce pas ?

… Sauf si Mr NSA peut rentrer dans la maison d’Alice et Bob comme bon lui semble ! Il pourra mettre une caméra de surveillance qui filmera Alice en train d’écrire le message et Mr NSA pourra donc lire le contenu par-dessus l’épaule d’Alice qui le rédige. Il pourra aussi venir discrètement faire un double des clés, ouvrir la boite noire quand elle transite par la poste, lire le message, refermer la boite et la laisser arriver chez Bob. Les possibilités sont nombreuses.

Remplacez le protocole de la boite noire par le logiciel de SilentCircle et la maison par le système d’exploitation : même cas de figure.

Si Blackphone fait correctement son travail, audite scrupuleusement le code source d’Android, trouve toutes les backdoors potentielles et les retire du code, on pourra être davantage serein sur l’efficacité des communications sécurisées.

Vie privée et matérielle, processeur baseband et carte SIM

Je ne vais pas me perdre dans les détails pour cette dernière partie, car je la maîtrise très peu. Sachez juste que votre téléphone ne se résume pas à son OS et ses applications. Android/iOS/etc.. ne sont pas les seuls systèmes d’exploitation de votre téléphone, il y a à minima :

  • Le firmware du processeur « baseband » qui se charge de toute la partie communication avec les antennes téléphoniques (appels, SMS, data)
  • Le processeur de votre carte SIM, celui-ci contient un micro-kernel pour accéder aux données chiffrées dans la puce.

Chaque système d’exploitation s’envoie des instructions en se faisant une confiance aveugle. Problème : ces micrologiciels sont fournis par les fabricants du téléphone. Ils sont livrés compilés et ne donnent pour ainsi dire jamais les sources.

Pour pallier à ce problème, Blackphone, plus précisément Geeksphone qui semble s’occuper de la partie matérielle, devrait utiliser un baseband open source. Cela permettrait de l’auditer et donc de vérifier l’absence de backdoors exploitables.

Apparemment il existe au moins un baseband open source. Je doute fortement qu’il soit compatible avec le matériel de dernière génération qui sera utilisé dans le Blackphone.

D’ailleurs, dans la liste des téléphones compatible, il y a le fameux OpenMoko. Si vous avez de vrais geeks dans votre entourage, peut-être avez-vous déjà vu cette bouse ce bijou ? La dernière fois que j’en ai vu un, dès que son utilisateur mettait le téléphone en veille, le driver gérant le son ne fonctionnait plus et il fallait redémarrer l’appareil… merveilleux.

Imaginons une situation idyllique ou ce baseband serait open source et fonctionnel… reste le matériel. Certains experts soupçonnent la NSA d’avoir fait implanter des backdoors dans les processeurs Intel et AMD. Avec toutes les révélations de ces derniers mois, plus grand-chose ne nous semble impossible… Honnêtement sur cette partie je ne vois aucune façon d’obtenir le moindre réconfort. Il est sûr que Blackphone ne maîtrisera pas la fabrication du matériel et la sous-traitera en Asie comme tout le monde.

Un code source, ça s’audite et l’on peut le recompiler nous même pour être certains que la version binaire est bien celle que nous avons auditée. Pour auditer le matériel, il va falloir jouer avec l’oscilloscope et le microscope électronique, ce n’est déjà pas la même tisane. Pour ce qui est de refondre les pièces selon les plans, en partant du principe qu’ils soient fournis, je vous souhaite bien du courage.

En fait le Blackphone ne sert à rien…

Je ne dis pas ça, et j’espère de tout cœur que nous aurons des avancées dans le domaine de la vie privée grâce à ce matériel. Même si tout n’est pas revu et 100 % fiable, une grosse partie du travail sera fait. Le téléphone restera peut-être vulnérable à une attaque ciblée, mais passera certainement entre les mailles du filet d’une grande partie de la surveillance de masse.

Bien sûr, tout cela ne dépendra pas que de l’appareil, mais de l’utilisation que vous en ferez.

Flattr this!

[Episode 10] Où l’on étudie les caméras de surveillance et le Li-Fi

Avec un peu de retard dans la programmation nous vous livrons pour Noël un nouvel épisode tout propre !

Au programme:

  • Les news (1:40)
  • Dossier sur les caméras de surveillance (33:43)
  • Une  pause musicale avec Home Alone- 5oh! (1:04:05)
  • Le What’s Next sur le Li-Fi(1:06:51)

Bonne écoute à toutes et tous et Joyeux Noël !

Lire

Liens et références:

//News

Morgan:

 Google uproxy
Coin
Justin:
Comment utiliser linkedin pour des attaques ciblées
LinkedIn sur IOS
Loïs:
BadBIOS, l’Ebola du Malware
Emploi et jeune dans le cyber
//Dossier
//What’s Next
//Musique
Pause musicale: Home Alone – 5oh!
Le lien direct du podcast: ici

Flattr this!