Une Faille des années 90 rend votre Android Browser nul et le restera pour le reste de la vie de votre cell

Une porte dérobée de la NSA met en danger les utilisateurs de Safari et Android

Une faille baptisée « Freak » permet de casser le chiffrement de connexions web sécurisées en OpenSSL. Elle trouve son origine dans un affaiblissement cryptographique, inséré volontairement par la NSA au siècle dernier.

 

agrandir la photo

Panique à bord chez Apple et Google. Un groupe de chercheurs en sécurité a découvert que les navigateurs Web Safari , Chrome (sauf la dernière version 41) et Android Browser (le navigateur par défaut du smartphone) sont vulnérables à des attaques de type « man in the middle » en se connectant à environ 5 millions de sites web sécurisés en TLS/SSL. Et ce n’est pas tout : ils peuvent également être victimes d’attaques par injection de code sur un grand nombre de sites sécurisés dotés du bouton « Like » de Facebook. Parmi les sites touchés : americanexpress.com, vente-privee.com, orange-labs.fr, ce-orange.fr, bouyguestelecom.fr, m6mobile.fr, lapostemobile.fr, groupama.fr, bamibanque.fr, videofutur.fr, interflora.fr, etc.

Des clés de chiffrement limitées à 512 bits

Mais le plus surprenant : cette terrible faille provient d’une porte dérobée créée par le gouvernement américain... dans les années 90 ! A cette époque, Netscape venait de lancer le premier navigateur grand public, ainsi que le protocole sécurisé SSL, qui allait faire le bonheur de l’e-commerce. Mais le pays de l’oncle Sam était très chatouilleux sur l’exportation de technologies de chiffrement, en particulier de l’algorithme RSA utilisé dans SSL. Hors Etats-Unis, celui-ci était donc limité à des clés 512 bits appelées « RSA Export Keys ». C’était suffisant pour protéger les échanges commerciaux, tout en permettant à la NSA de déchiffrer les flux si elle le voulait. Mais aujourd’hui, cette longueur de clé est ridicule : il suffit d’investir une centaine de dollars en serveurs virtuels sur Amazon.com, et on la casse en quelques heures.

Le site de la NSA, modifié à la volée après avoir cassé le chiffrement SSL.

agrandir la photo

Et c’est exactement ce qu’ont fait les chercheurs en sécurité en se connectant sur le site Web... de la NSA (voir ci-dessus). Car figurez-vous qu’un grand nombre de sites Web proposent encore aujourd’hui ces clés RSA au rabais, par souci de rétrocompatibilité. Normalement, cela ne pose pas un grand problème, car dans les navigateurs modernes, la connexion TLS/SSL se crée toujours avec le plus haut niveau de chiffrement disponible, et généralement avec une taille de clé supérieure à 1024 bits.

Mais un bug découvert dans les implémentations d’OpenSSL de Safari et d’Android Browser permet de forcer le navigateur à accepter les clés 512 bits. Un attaquant peut donc, dans un premier temps, casser la clé RSA 512 bits récupérée auprès d’un serveur web. Puis, grâce au bug, intercepter et déchiffrer les flux d’un utilisateur qui s’y connecte (car le serveur utilise toujours la même clé RSA 512 bits). Il pourra donc récupérer des données sensibles, ou modifier les pages à la volée.

Le même bug se trouve également dans le kit de développement Facebook Javascript SDK, utilisé pour insérer des boutons « Facebook Login » ou « Facebook Like » dans les pages Web. Dans ce cas, la faille permet d’injecter n’importe quel code Javascript et, par exemple, récupérer des codes d’accès. Comme elle est liée aux clés RSA 512 bits, cette faille a été baptisée « Freak », pour « Factoring RSA Export Keys ».

Un patch Apple la semaine prochaine

Comment se protéger ? Facebook a d’ores et déjà mis à jour son SDK, tout comme Google qui vient de publier Chrome 41. Apple devrait publier un patch de sécurité pour Safari la semaine prochaine. Pour Android Browser, en revanche, ce sera plus compliqué, (faut changer de cell sinon ce sera comme la faille heartbleed a fallu Android Kitkat)car le processus de mise à jour dépend des constructeurs de smartphone, dont la réactivité est très variable. En cas de doute, rendez vous sur le site freakattack.com pour tester votre navigateur.

 

 Voici pour Firefox:

 

 

 

 

En attendant, il faut éviter d’utiliser les navigateurs intégrés dans les applications et préférer, par exemple, Chrome ou Firefox. Par ailleurs, il veut mieux se tenir à distance des réseaux à l'accès peu sécurisés, comme les hots spots publics. « Cette faille est embarrassante mais pas très grave, car elle peut être comblée assez rapidement. Cette histoire montre aussi que la création de portes dérobées est une très mauvaise idée. Au final, elles échappent toujours au contrôle de celui qui les a créées », souligne Jérôme Saiz, expert du Cercle européen de la sécurité et des systèmes d’information. C’est d’ailleurs le message qu’ont voulu faire passer les chercheurs en sécurité en s’attaquant au site Web de la NSA...

Source.:

Faut-il acheter un moniteur 4K, maintenant ?

Depuis l'Asus PQ321, premier moniteur 4k grand public que nous testions en octobre de l'année 2013, de l'eau a coulé sous les ponts. Si les 3 500 € demandés à l'époque réservaient ce pionnier aux early adopters fortunés, on peut aujourd'hui dégoter des moniteurs Ultra HD « premier prix » autour des 400 €. Mais attention, il y a quelques petites choses à savoir avant de se laisser tenter.

Ceux qui s'apprêtent à changer de moniteur ont peut-être noté que les écrans 4K ou Ultra HD sont désormais abordables. En excluant le Dell P2815Q, qui fait figure d'exception à 335 € sur le Marketplace d'Amazon, notre comparateur indique que le ticket d'entrée se situe en général autour des 400 €. Le choix devient plus conséquent vers les 500 €. Dans tous les cas, la 4K se décline essentiellement dans des diagonales assez grandes, rarement sous les 28 pouces. De quoi hésiter face à certains Full HD de 27 pouces à peine moins chers ? Oui, mais pas forcément pour les raisons suspectées, ni en la faveur de celui que l'on croit.

L'Ultra HD ça change quoi ?

Sans trop s'étendre dans cette partie, nous allons simplement rappeler les tenants et aboutissants de l'Ultra HD, aussi dite 4K. L'appellation vient faire face à celle de Full HD, bien ancrée dans les esprits et les foyers. Elle désigne tout simplement une définition, quatre fois supérieure : 3 840 x 2 160 pixels contre 1 920 x 1 080 pixels. En multipliant par deux le nombre de points dans la largeur et dans la hauteur, on quadruple bien la définition.

L'écran 4K affiche ainsi 8,3 mégapixels quand le Full HD fait avec 2,07 mégapixels. Le résultat, c'est une finesse largement accrue, suffisamment pour qu'une vue normale (10/10e) ne soit plus capable de distinguer deux pixels contigus, une fois installé en face de son moniteur de PC, à une distance moyenne d'une soixantaine de centimètres. Sur un écran de 27 pouces en Full HD, en revanche, il faut plus d'un mètre de recul pour dépasser les limites d'un œil normal.

Crédit photo apops (Fotolia) - infographie Clubic.com

En théorie, que vous promet un écran Ultra HD ?

• Photo :

Avec des résolutions d'appareil photo où le gros du panier se situe entre 12 et 20 mégapixels, utiliser un écran 4K permet d'afficher une portion plus grande de l'image à zoom équivalent. C'est très appréciable quand on se met en taille réelle pour effectuer ses retouches ou contrôler des détails. La finesse du point sert davantage le rendu global, bref, c'est assurément mieux.

• Bureautique :

Avec une densité d'affichage quasi doublée (environ 157 dpi sur un 28'' en 4K contre 82 dpi sur un 27'' en Full HD) sur une surface physique équivalente, on affiche beaucoup plus d'informations. Donc de fenêtres, de tableaux Excel, de pages Web, etc. C'est du confort, que les habitués du multi-écran connaissent, sauf qu'il faut ajuster l'affichage de ses polices pour que les yeux ne forcent pas trop. Et comme nous le verrons plus tard, ce n'est pas aussi simple que cela.

• Film :

Regarder des vidéos en 4K sur un écran 4K, c'est beau ! Reste à trouver ces vidéos 4K… Le contenu commence à se développer, sur YouTube, via des services comme Netflix, ou par le biais des smartphones, qui filment de plus en plus en Ultra HD ; mais ce n'est pas encore la panacée. Et l'upscaling de films en 1080p donne plus un rendu Full HD que 4K. En même temps, quand on regarde un film, on prend souvent du recul : au-delà d'un petit mètre, on ne fait plus la différence entre du 4K ou du Full HD en 24 pouces. On a fait le test avec deux écrans côte à côte.

• Jeu vidéo :

C'est le domaine où la 4K fait le plus parler d'elle. Quand on joue, on reste près de son écran : le bénéfice d'une définition accrue est réel. Un moniteur 4K garantit une immersion plus réaliste et des détails plus précis et fins, ce qui dans certains jeux de précision (FPS et simulateurs notamment) peut apporter un avantage non négligeable. Mais nous verrons aussi que jouer en 4K n'est pas à la portée de toutes les configurations, et donc de toutes les bourses.

Ces promesses peuvent être tenues si les conditions nécessaires sont bien remplies, mais, malgré tout, quelques bémols persistent, comme nous allons le voir.

Les conditions requises avant de franchir le cap de la 4K

Passer sur un moniteur 4K ne fait malheureusement pas basculer, à coup sûr, dans le monde merveilleux de l'ultra haute définition. On doit d'abord s'assurer qu'on rentre dans les clous de deux prérequis techniques.

• Connectique :
  
  pour sortir à 60 images par seconde en 3 840 x 2 160 pixels sur un écran 60 Hz, il faut du DisplayPort 1.2 au minimum ou du HDMI 2.0. Cette dernière connectivité, encore peu répandue, n'est compatible pour l'heure qu'avec les GeForce GTX 970/980 (et bientôt sur la prochaine génération du haut de gamme AMD) et guère implantée sur les moniteurs 4K. Le HDMI 1.4, celui qu'on trouve majoritairement encore aujourd'hui, plafonne à 30 images par seconde en Ultra HD. Il vous faut donc une carte graphique avec DisplayPort 1.2.

• Carte graphique :
  
  la carte graphique doit assez puissante pour supporter les flux conséquents (quatre fois plus de pixels). Ce n'est pas vraiment un problème pour l'affichage statique, en revanche, pour le calcul des rendus en jeu vidéo, ou dans des films… Déjà, il faut au bas mot une Radeon HD 7700 ou une GeForce GTX 650 pour bénéficier du support de la définition 4K sur la connectique DisplayPort 1.2 mentionnée plus haut. D'autres cartes moins ambitieuses disposent de DisplayPort 1.2 mais ne prennent en charge que 2 560 x 1 600 pixels au maximum. Si le DisplayPort 1.2 est nécessaire à la transmission de la 4K, il n'en est pas pour autant garant.

Par ailleurs, la prise en charge matérielle du codec HEVC, qui est utilisé pour la 4K et devrait se démocratiser à l'avenir, constitue un plus pour soulager le processeur de l'ordinateur. Sans quoi, ce dernier devra être suffisamment puissant pour assurer l'encodage/décodage du HEVC. Mais pour l'instant, seule la GTX 960 assure cette fonction chez Nvidia ; et rien chez AMD. La firme au caméléon nous confie au cours d'une discussion non officielle qu'il n'y a pas d'urgence non plus, le contenu restant rare et le codec tout frais...

Les bémols que l'on observe dans la pratique

Votre machine est assez puissante pour digérer de la 4K, notamment en jeu vidéo ? Tant mieux ! Mais attention, si vous optez pour un écran 4K, et a fortiori, d'entrée de gamme, voilà quelques désagréments auxquels vous allez vous exposer.

• Qui dit peu de contenu 4K dit upscaling : il est primordial de corréler contenu et affichage pour obtenir les meilleurs résultats. Quand l'écran dispose d'une définition supérieure à celle du contenu qu'on veut lui faire afficher, il faut opérer entre temps une mise à l'échelle ascendante (ou upscaling). C'est-à-dire une transformation de la définition. Celle-ci, d'ordinaire prise en charge par l'électronique de l'écran dans le monde des téléviseurs, est gérée par la carte graphique quand il s'agit d'un moniteur. Upscaler du contenu en 1080p sur un moniteur 4K fait perdre l'intérêt de l'ultra haute définition. Au mieux, on se retrouve avec un 1080p, en plus grand. Maintenant pour regarder un film — le cas de figure où l'upscaling joue son rôle — si vous vous mettez à 2 m de votre moniteur 28 pouces, vous ne verrez aucune différence.

Test avec le film Super 8 en Full HD

• High DPI : Pour que le bureau et l'environnement de Windows restent utilisables avec pareilles définitions, Microsoft a mis en place le réglage High DPI. L'idée, c'est de grossir les éléments d'interface, comme les icônes et polices d'écriture, pour préserver l'expérience utilisateur. Le hic, c'est que toutes les applications ne sont pas compatibles. Le client Origin par exemple, ou la visionneuse Xnview. Et quand l'échelle n'est pas adaptée, prévoyez la loupe ! Sur notre écran de 24 pouces, c'est assez insoutenable. Aussi nous vous conseillons de ne pas descendre en-dessous de 28 pouces en 4K, ce que les constructeurs s'évertuent à faire de toute manière.

Après ajustement de la taille des éléments et de la police, on constate que toutes les applications ne sont pas encore compatibles

• Techno en régression : alors que les moniteurs Full HD ont largement migré vers des technologies de dalle offrant une meilleure qualité d'affichage (IPS, VA), les écrans 4K d'entrée de gamme redonnent, eux, du service aux matrices TN, connues pour leurs angles de vision plus faibles. On se consolera en se disant que la technologie TN a l'avantage d'être rapide, mais tout de même…

Il n'est donc pas certain que l'achat d'un moniteur 4K amène la révolution attendue, l'acquisition pourrait même prendre des airs de cadeau empoisonné.

Couper la poire en deux avec du WQHD ou de l'Adaptative Sync ?

L'offre la plus alléchante pour l'instant se situe plutôt du côté des définitions intermédiaires, et notamment du WQHD, quatre fois la HD standard (soit 2 560 x 1 440 pixels). Un juste milieu qui force moins sur le matériel et accompagne bien l'accroissement de la diagonale à 27 pouces pour un utilisateur habitué au standard 23-24 pouces en Full HD. Car il faut bien avoir à l'esprit qu'accroître la diagonale sans toucher à la résolution condamne à augmenter le recul nécessaire pour percevoir une qualité équivalente. C'est faisable sur une télé, plus délicat avec un moniteur utilisé sur un bureau, à portée de clavier et de souris. Pour ceux que la notion d'acuité visuelle intéresse, le site du Dr Damien Gatinel, grand spécialiste en ophtalmologie et amateur de high-tech, est une mine d'informations passionnantes.

L'autre option si vous êtes de ceux qui voudraient absolument un moniteur 4K mais seraient un peu court en termes de budget pour se payer une configuration multi GPU, c'est de privilégier un moniteur G-Sync. Là, la technologie de Nvidia fait tout à fait sens : la 4K contraignant à des frame rate en-dessous des 60 fps même avec une GTX 980, il est impossible d'activer la synchronisation verticale sans d'atroces saccades et retards d'affichages. La technologie G-Sync va alors adapter le rafraîchissement de l'écran sur le débit du rendu d'image tenu par le GPU : le déchirement disparaît, les saccades et retards sont réduits au minimum. C'est rudement efficace sur l'écran Acer XB280HK que nous avons utilisé. Et pour amateurs d'AMD, les moniteurs Adaptative-Sync arrivent, voire sont déjà là !


Source.:

Sécurité: Vous n'échapperez jamais à Google, même si vous croyez ne jamais l'utiliser

Principe d'encerclement - Vous n'échapperez jamais à Google, même si vous croyez ne jamais l'utiliser, ni même l'approcher.

Principe d'encerclement

Le Système Google (ou Principe d'encerclement des internautes) est la mise en œuvre d'une stratégie globale d'espionnage, pudiquement appelé tracking, à laquelle aucun internaute du monde ne peut échapper. Sous pretexte, entre autres, d'offrir des services gratuits dans une foule de domaines, chaque parcelle de service est, en réalité, un mécanisme d'espionnage. Ce paragraphe est extrait d'un article (en cours d'écriture au 13.11.2014) sur les cookies. Il concerne Google et ses " services ", mais ce principe est appliqué par tous les grands acteurs du Web.

Vous n'échapperez jamais à Google : Le principe d'encerclement (ou Le Système Google)

• L'internaute utilise, dans 95% des cas en Europe en 2014, le moteur de recherche Google. La première information que Google va capturer sur vous, pour vous tracker et vous profiler, outre les dizaines d'informations "naturelles" dues aux bavardages entre votre ordinateur / navigateur et les serveurs tiers (voir Sommes-nous espionnés), ce sont vos mots clés saisis. Google les passe de votre navigateur à ses serveurs dans l'URL, bourrées d'informations dont les mots clés. Vous n'échapperez pas à Google.
• Si vous n'utilisez pas le moteur de recherche de Google (Google Search), mais un moteur totalement anonyme, comme duckduckgo.com, peut-être utilisez-vous l'outil d'espionnage par excellence, le navigateur Google Chrome.
  Les méthodes de tracking dans Google Chrome, sachant que Google Chrome n'a jamais été un produit open source !
• Et si vous n'utilisez pas Google Chrome, Google sera malgré tout présent quelque part dans la page Web que vous visitez, à votre insu. D'innombrables services gratuits sont offerts aux webmasters et, très certainement, l'un ou plusieurs d'entre eux sont insérés dans la page visitée. Les innombrables serveurs de Google œuvrent tout le temps et sont appelés (requêtes HTTP) par toutes les pages Web de tous les sites Web du monde. Il y a de fortes chances que le service de statistiques pour Webmaster, Google Analytics (statistiques gratuites et bien fichues) soit présent sur la page Web visitée. Le tracking est partout, insoupçonné. Vous n'échapperez pas à Google.
• Une information dont Google veut disposer sur vous, et votre parcours sur le Web, est le temps que vous passez sur une page. Cette information est du plus haut intérêt pour un profiler car elle est significative de l'intérêt que vous portez à son contenu. Comment savoir combien de temps vous passez sur une page ? C'est très simple : l'horodatage d'arrivée sur la page est noté par Google (il le sait d'une manière ou d'une autre, par au moins l'un, ou plusieurs de ses services embarqués dans la page Web visitée). Lorsque vous arrivez sur une autre page Web, le même horodatage de cette nouvelle page est noté, de la même manière. Cela signifie aussi que vous venez de quitter la page précédente. La différence entre les deux horodatages donne le temps passé sur la page précédente. Ce temps passé va servir de coefficient pondérateur de votre centre d'intérêt pour le sujet de la page précédente. Cette information est calculée côté serveur. Vous n'échapperez pas à Google
• Et si le webmaster n'utilise pas l'outil de statistiques de Google, Analytics, mais celui d'un autre service de statistiques (vous êtes tracké et profilé par un deuxième opérateur, inconnu), il utilise sans doute la régie publicitaire Adsense, de Google. Ce n'est pas dans un petit cookie que sont stockées les infinies quantités d'informations que chaque opérateur a sur chaque internaute. Les appels aux adservers provoquent des requêtes HTTP avec passage d'arguments dans les headers des requêtes HTTP et dans l'URL, dans un immense mécanisme temps réel.
  
  
  
  Chaîne de la publicité sur le Web et du Tracking, Profiling, Marketing comportemental, Marketing temps réel
  
  
  
  Vous n'échapperez pas à Google (qui n'a pas besoin de cookie, même pour le capping).
• Et si le webmaster n'utilise pas, non plus, la régie publicitaire de Google, il vous offre sans doute, dès que le site est un peu volumineux et qu'il n'est plus possible de faire des tables des matières pour naviguer dedans, un moteur de recherches internes à son site. Il y en a un, génial et gratuit : celui de... Google ! Le serveur stocke et exploite en temps réel les mots clés de tous les visiteurs du site, dont vous, pour, entre autre, un marketing comportemental temps réel. Vous n'échapperez pas à Google.
• Et si le webmaster n'utilise pas, non plus, le moteur de recherches internes de Google, il utilise sans doute des outils et ressources pour webmasters, des APIs (Application Programming Interface), stockées gratuitement par Google sur les serveurs de Google ! Les appels aux APIs provoquent des requêtes HTTP avec passage d'arguments dans les headers et dans les URLs. Par exemple, le site utilise sans doute une police d’écriture évoluée appelée sur un serveur de Google par l’API GoogleFont. Vous n'échapperez pas à Google.
• Et si le webmaster n'utilise pas, non plus, les API (Application Programming Interface) de Google, il colle probablement un bouton " J'aime " du réseau social de Google, qui pointe sur les serveurs de Google et provoque des requêtes HTTP avec passage d'arguments dans les headers et dans l'URL. Vous n'échapperez pas à Google.
• Et si le webmaster n'utilise pas le réseau social de Google, l'internaute utilise peut-être, comme navigateur internet, Safari ou Firefox ou Google Chrome. Ces trois navigateurs utilisent Google Safe Browsing de manière native. Vous n'échapperez pas à Google.
• Et si l'utilisateur n'utilise pas ces trois navigateurs mais un autre, peut-être utilise t-il les DNS de Google ! Vous n'échapperez pas à Google.
• Et si vous n'utilisez pas les DNS de Google, mais, tout simplement, les DNS de votre FAI (Fournisseur d'Accès Internet), vous regardez sans doute, parfois, une ressource média sur Youtube. Mais Youtube... c'est Google ! Vous n'échapperez pas à Google.
• Et si vous n'allez jamais sur Youtube, peut être cherchez-vous à vous simplifier la vie grâce au service Google Synchronisation. Mais... ce service permet à Google de s'assurer que l'internaute traqué sur tel ordinateur, identifié par sa Mac Address et autres GUID, est bien le même que celui qui utilise tels et tels autres ordinateurs, partout. Il est ainsi possible de consolider tous les espionnages autour de la même personne physique. Vous n'échapperez pas à Google.
• Et même si vous n'utilisez pas le service Google Synchronisation, peut-être consultez-vous des sites en langues étrangères au travers du service de traduction temps réel, en ligne, Google Translate. Tous ces textes, toutes ces phrases que vous faites traduire (quel massacre des langues que ce traducteur !) donnent à Google d'infinis informations sur vos centres d'intérêt afin de vous tracker puis vous profiler (et ne parlons pas des inconscients qui font traduire par Google des documents sensibles, permettant aux USA de l'intelligence économique, industrielle, commerciale, etc. ... !). Vous n'échapperez pas à Google.
• Et même si vous n'utilisez rien de cela mais avez un smartphone :
  
  
  • Plus de la moitié des smartphones du monde tournent sous Android qui est un système d'exploitation propriétaire de Google (sur les 287,8 millions de terminaux livrés au 1er trimestre 2014, 81,1% tournaient sous Android selon IDC).
  • La navigation, sur un smartphone, se fait sous un navigateur propriétaire de Google.
  • Le moteur de recherche sur le Web, depuis un smartphone, est le moteur de Google !
  Si vous avez donneé votre numéro de smartphone à Google, qui vous l'a réclamé au non d'un magnifique allibi : la double authentification (article : Google exge mon numéro de smartphone), Google arrive, les doigts dans le nez, à consolider votre espionnage sur le Web et votre espionnage sur votre smartphone.
  
• Et même si vous n'utilisez pas de smartphone Google Android, vous utilisez peut-être le service de messagerie poubelle GMail. Non seulement vous offrez à l'espionnage de Google et des autorités qui le gouvernent (NSA, Prism et Cie, ...) vos correspondances, mais aussi vos cercles de connaissances. Vous n'échapperez pas à Google.
• Et même si vous n'utilisez pas la poubelle GMail, le webmaster du site que vous visitez est sans doute très fier de vous offrir, sur ses pages, des petits gadgets totalement inutiles mais qui remplissent ses pages, lorsque l'on n'a rien à dire et à écrire. Tous ces gadgets sont offerts par Google et provoquent autant de requêtes HTTP vers des serveurs de Google. Lors du dixneuvième DefCom, le fondateur et développeur de Disconnect indique (vidéo) que 25% des plus grands sites du monde ont, dans leurs pages, des appels, au mois, aux serveurs :
  
  googleapis.com (Google APIs)
  googlesyndication.com (Google AdSense)
  google-analytics.com (Google statistiques pour webmasters)
  doubleclick.net (Google DoubleClick)
  googleadservices.com (Google AdWords)
  
  Parmi les gadgets ne servant à rien sauf à provoquer des requêtes HTTP vers un serveur de Google, notons :
  
  
  • Agenda
    
  • Actualités
    
  • Bloc Note
    
  • Google Maps
    
  • Citation du Jour
    
  • Réseau social Google
    
  • Google Translate
    
  • Compte à rebours
    
  • YouTube Channel Gadget
    
  • Météo
    
  • Montre - Heure
    
  • Calendrier - Date
    
  • Bow Man
    
  • PacMan
    
  • Calculatrice
  Vous n'échapperez pas à Google.
• Etc. ... Chaque " service " de Google est une brique pour construire le mur qui se referme sur chaque internaute, la cage dans laquelle il est enfermé tandis que toutes ses données privées sont à l'extérieur de sa machine, à l'extérieur de lui...
  
  
  En utilisant l'outil gratuit Lightbeam, après quelques minutes de recherches et de visites de quelques sites sérieux, sans aucune fantaisie et sans aucun gadget, Google est partout et m'encercle !
  
  
  
  Principe d'encerclement : après quelques minutes de recherches et de visites de quelques sites, Google est partout et m'encercle !
  
  
  
  
  
  Google espionne et viole la vie privée - Vous êtes enfermé dans le système Google
  
  
  

Microsoft, Amazon, Facebook et Apple, les autres grandes régies publicitaires, développent les mêmes principes d'encerclement (Pourquoi Microsoft rachète Nokia et se lance dans le smartphone ?... Pourquoi croyez-vous que Google en soit venu à avoir son propre navigateur Internet ?...).

Source.:

Lightbeam, remplaçant Collusion, permet de visualiser, graphiquement, qui vous traque sur le Web

Vous êtes observé ?

Observez qui vous observe !

Lightbeam, remplaçant de Collusion (qui fut le premier outil de ce genre), reprend le développement de Collusion, un outil expérimental par Atul Varna, et, cette fois, est développé par la Fondation Mozilla elle-même.
Lightbeam est gratuit et permet de suivre, graphiquement et en temps réel, dans le navigateur Firefox (Firefox uniquement) quels sont les sites et serveurs qui vous pistent, voir ce qui se passe dans notre dos, dans le "Web caché".
Ne pas se méprendre : Lightbeam ne sert qu'à voir, il ne protège pas.
Lightbeam permet de traquer les traqueurs.
Le développement de Lightbeam, comme le fut le développement de son prédécesseur Collusion, est soutenu par La Fondation Ford (the Ford Foundation).

La Fondation Ford

La Fondation Ford, fondée en 1936 à Détroit, la ville de l'automobile américaine, est une organisation philanthropique dont le siège se trouve à New York. Elle s'est donnée pour objectif de soutenir financièrement des projets tels que la défense de la démocratie, la réduction de la misère ou la promotion de la bonne entente entre nations.

La première version publique de Collusion date du 23.02.2012 et a été annoncée officiellement à la TED Conférence, avec une démonstration, le mardi 28 février 2012, par Gary Kovacs, Président de la Fondation Mozilla. La vidéo de cette présentation s'applique totalement à Lightbeam (et, également, au produit français de la CNIL : CookieViz).

Lightbeam - Utilisation

Installer Lightbeam dans Firefox - Lightbeam reste en veille tant qu'il n'est pas activé. Un icône apparait dans la barre des add-on, en haut à droite de Firefox.

Lightbeam - Icone dans Firefox

Lancer une seconde instance de Firefox.
Fermez toutes les autres instances de Firefox qui seraient ouvertes.
Fermez ou réduisez toutes les fenêtres de vos autres tâches et ne conservez que les deux fenêtres des deux instances Firefox.
Dans Firefox, désactiver les bloqueurs et filtres tels qu'AdBlock Plus, AdBlock Edge, Ghostery, Disconnect, NoScript, etc. ...
Faites un clic droit dans une zone libre de la barre de tâches de Windows (la barre complètement en bas de l'écran).
Sélectionner "Afficher les fenêtres côte à côte". Vous avez deux Firefox côte à côte.
Dans la première instance de Firefox, activer Lightbeam (Clic sur son icône). Lightbeam s'ouvre.
Sélectionner la seconde instance de Firefox.
Si quelque chose s'affiche dans la fenêtre de Lightbeam, cela est sans doute dû à votre page de démarrage de Firefox. Effacez tout en cliquant sur " Reset Data ".
Aller sur un site (dans la capture d'écran ci-dessous, c'est le site 01net.com qui est utilisé en test).
Dans l'instance Lightbeam de Firefox, observez un point rond central. C'est le site que vous visitez (sur lequel vous avez demandé, volontairement, à aller). Restez 15 à 20 secondes sur cette page, le temps que de nombreuses requêtes, qui s'exécutent silencieusement, soient appliquées.
Observez, en temps réel, toute une nébuleuse de points triangulaires qui se dessinent autour du point rond du site visité. Ce sont d'autres serveurs d'autres sociétés, vers lesquels le site visité, par des dispositifs insérés dans ses pages (scripts, requêtes vers de ressources distantes, statistiques, pulicités, réseaux sociaux, gadgets affichés, technologies utilisées comme Flash, etc. ...) transmet vos données.
Ici, seuls les pages des titres des menus de navigation ont été suivis, sans aller sur les pages profondes. Toujours en attendant 15 à 20 secondes par page, ce sont 126 serveurs (126 sociétés inconnues) qui viennent, en quelques minutes, de recevoir des données sur moi, alors que je ne suis allé que sur un seul site, 01Net !

Lightbeam - un seul site (01net) visité seulement quelques minutes - 126 sociétés inconnues et insoupçonnées m'ont espionné en même temps.

Pas besoin de Cookie

En cliquant sur les boutons de contrôle de Lightbeam, on peut afficher / masquer certaines informations sur les serveurs tiers contactés lors de la visite d'un site Internet. Il est possible de ne souligner que les serveurs ayant déposé des cookies. On voit alors clairement que, sur la totalité des traqueurs présents sur un site (ici, le site 01Net et 126 traqueurs), de nombreux traqueurs n'utilisent pas de cookie. Les liens en surbrillance indiquent les dépôts de cookies, les autres n'ont pas utilisé de cookie.

Lightbeam - En ne conservant que l'affichage des serveurs ayant déposé un cookie, on peut s'apercevoir que tout le monde n'a pas besoin de cookie pour pratiquer le tracking

En survolant, avec la souris, ces différents triangles, le nom du " domaine " requis sur le serveur distant apparaît et, s'il y arrive, Lightbeam affiche l'icône du domaine au centre du triangle le représentant.
Si vous avez Ghostery installé, bien que désactivé pour le site en cours, il continue d'afficher la liste des serveurs (domaines) tiers, sur chaque page, mais ne les filtre pas. C'est là que vous pouvez sentir la nécessité d'attendre 15 à 20 secondes par page (on peut voir cette liste s'allonger avec le temps, sur une seule page).

Lightbeam - En même temps, il est possible d'observer Ghostery suivre le tracking de ses adhérents (Ghostery Enterprise)

Lightbeam - En même temps, il est possible d'observer Ghostery suivre le tracking de ses adhérents (Ghostery Enterprise)

Lightbeam - En même temps, il est possible d'observer Ghostery suivre le tracking de ses adhérents (Ghostery Enterprise)

Tous ces serveurs tiers (toutes ces sociétés tierces), y compris le serveur du site visité, vont stocker ces données, celles qui sont envoyées par les " Requêtes HTTP ", celles qui sont données par le serveur de votre fournisseur d'accès Internet, celles qui sont stockées dans des Cookies de tracking, celles qui sont dupliquées et cachées dans des Flash Cookies, celles qui sont données par le numéro de série de votre carte réseau (le code MAC), de votre processeur et des composants matériels de supervision de vos droits numériques (antipiratages), etc. … Les capacités de stockage de vos données volées, sur les serveurs tiers, sont illimitées, en quantité et dans le temps. Chacun de ces serveurs (chacune de ces sociétés inconnues) conserve le détail exhaustif de tous vos déplacements sur le Web, depuis des années, depuis votre première connexion. Autrement dit, ils conservent " votre profil ".

Ce que vous faîte FAIT ce que vous êtes.

Ce que vous faîte EST ce que vous êtes.

Tous vous connaissent mieux que vous ne vous connaissez vous-mêmes, mieux que votre mère ne vous connaît.
Quand avez-vous donné votre autorisation pour être filé 24/24
par des dizaines de milliers d'espions ? Jamais !

Tout est dit dans cette vidéo de 06'40" où Gary Kovacs, président de la Fondation Mozilla, présente Collusion (en anglais, sous-titré en français).

Comment je me fais avoir - Comment mon ordinateur se fait infecter.
Je respecte les 10 commandements
Je maintiens mon PC totalement à jour
Je vérifie tous mes plugins, pour tous les navigateurs, d'un seul clic - Explications

Source.:

Pas si mal, les gras saturés?

Nous avons longtemps pensé que les gras saturés avaient la vilaine habitude d’augmenter considérablement le taux de cholestérol sanguin et donc, de nuire à la santé cardiovasculaire. Voilà que les plus récentes études à ce sujet présentent d’autres résultats, au grand bonheur des amateurs de viandes, de beurre et de fromages.En effet, selon une revue de littérature scientifique parue en 2012 dans le Cochrane Review, la proportion des gras dans l’alimentation (saturés versus insaturés) n’augmenterait pas les risques de mortalité en général ni celle reliée aux maladies cardiovasculaires. Toutefois, les gras trans – présents notamment dans le shortening et certaines pâtisseries -, augmentent de façon drastique le taux de cholestérol sanguin et devraient effectivement être éliminés de l’alimentation. C’est pourquoi il est encore payant pour la santé du cœur d’actionner le frein moteur sur tous les aliments contenant des huiles végétales partiellement hydrogénées, à repérer dans la liste d’ingrédients.Mais, avant de vous mettre à manger du beurre à la cuillère, sachez toutefois que la diète méditerranéenne est celle qui a démontré les résultats les plus prometteurs pour protéger la santé cardiovasculaire. Celle-ci mise surtout sur les poissons, les fruits de mer, les légumineuses, les noix et graines, leurs beurres et huiles (olive, lin, amande, avocat) qui malgré tout sont majoritairement composés de gras insaturés, connus pour abaisser le taux de cholestérol sanguin. Qui plus est, les grains entiers, les légumes et les fruits sont aussi au cœur de ce mode d’alimentation. Riches en fibres, ils contribuent également à abaisser les taux de cholestérol et de sucre sanguins.Un élément dont nous ne parlons pas suffisamment est l’apport excédent en sucres ajoutés. Dans la vague d’aliments faibles ou sans gras, l’industrie s’est mise à ajouter régulièrement du sucre pour donner du goût à ses produits. C’est une bien mauvaise idée, surtout lorsque le sucre en question est du fructose. Nous pourrions penser que c’est inoffensif, puisque c’est le sucre que nous retrouvons en partie naturellement dans les fruits. Cependant, ceux-ci contiennent des fibres, ce qui ralentit l’absorption de sucres en général. Dans les aliments transformés, le fructose est surtout présent sous forme de glucose-fructose, connu en anglais sous le nom de high fructose corn syrup. Ce type de fructose a malheureusement tendance à augmenter le taux de triglycérides sanguin, forme sous laquelle le gras est emmagasiné dans le corps. De plus, en présence d’hypertriglycéridémie, il n’est pas rare de voir la glycémie et la cholestérolémie être anormalement élevée. C’est donc une autre très bonne raison de trancher à coup de hache dans votre apport en sucres ajoutés, ceux-ci étant surtout présents dans les desserts, les confiseries, les boissons sucrées, les céréales à déjeuner et même les yogourts aromatisés.Enfin, au-delà de l’alimentation, l’activité physique donne encore et toujours un bon coup de pouce pour ramener le taux de cholestérol sanguin (tout comme la glycémie) vers la normale. Cette composante se retrouve d’ailleurs à la base de la pyramide utilisée pour illustrer les principes de la diète méditerranéenne.





Source.:

La différence entre les amateurs de poitrine et de postérieur

Les hommes ont généralement une préférence pour le derrière ou la poitrine d’une femme et celle-ci en dirait long sur leur personnalité. 
Le blogue Gene Expression, spécialisé en génétique, s’est attardé à la signification des préférences physiques des hommes, en s’appuyant sur le livre Correlates of Heterosexual Somatic Preference, publié en 1968.
Les résultats, partagés sur le site de divertissement Elite Daily ce week-end, sont plus pertinents que jamais 47 ans plus tard!
1. Les hommes qui aiment les femmes rondes ont soif d’accomplissements. Ceux qui préfèrent les silhouettes de taille normale ont tendance à être désorganisés. Une attirance pour les femmes menues est associée à la persévérance au travail.
2. Les hommes qui aiment les poitrines généreuses ont tendance à fréquenter plusieurs femmes et à avoir des intérêts typiquement masculins. La préférence serait intimement liée au besoin d’exhibitionnisme. Ces hommes sont indépendants, moins persévérants au travail et souvent dépendants au tabac.
3. Les hommes qui ont un faible pour les petites poitrines sont généreux et affectueux dans leurs relations interpersonnelles. Ils manquent toutefois de motivation et sont indéterminés quant à leur plan de carrière.
4. Les hommes qui ont un penchant pour les gros derrières ont généralement besoin d’ordre dans leur vie (propreté et organisation). Ils ont le sens des affaires et leurs pensées sont peu complexes. Côté vie privée, ils ont tendance à être plus dépendants et à culpabiliser facilement.
5. À l’opposé, les hommes qui aiment les petits postérieurs sont compétitifs au travail et ne veulent pas être au centre de l’attention. Ils sont souvent moins éduqués et ne sont pas des adeptes de magazines sportifs.
Les grosses poitrines ont toujours été à l’honneur dans le magazine Playboy et demeurent la recherche de prédilection sur les sites pour adultes.
Les temps ont pourtant changé au cours de la dernière décennie, car le postérieur rebondi fait maintenant tourner les têtes.
Le New York Times a récemment annonçé que le derrière sera bientôt la zone érogène de choix en Amérique, devant les seins, les abdominaux et les jambes.
Aucune étude récente n’a été menée à ce sujet.


Source.:

L'anatomie d'une attaque: Les attaques de masse ont laissé place à des attaques ciblées

Plongée au coeur d’une cyberattaque

Cette tribune aborde l’anatomie d’une attaque utilisant la méthode de « spear phishing » pour pénétrer le Système d’Information d’une entreprise. Même si ce cas est de pure fiction, beaucoup d’attaques sont ou ont été très similaires dans le mode opératoire.

Le contexte des menaces informatiques a beaucoup évolué ces dernières années et les attaques de masse ont laissé place à des attaques ciblées, dont le mode opératoire est beaucoup plus complexe. Retour sur l’anatomie d’une attaque.

Nous vous proposons, dans cet article, d’aborder sous forme d’un exemple, l’anatomie d’une attaque utilisant la méthode de « spear phishing » pour pénétrer le Système d’Information d’une entreprise. Même si ce cas est de pure fiction, beaucoup d’attaques sont ou ont été très similaires dans le mode opératoire et la stratégie des cyberattaquants est souvent payante.

La cible

Créons, pour notre scénario, une société commerciale, World Company, leader sur son marché, qui vend des solutions à d’autres entreprises dans un secteur très spécifique et sur un marché international très concurrentiel. La valeur de cette entreprise est son savoir- faire, mais surtout sa base client. C’est ce que les cyberattaquants vont chercher à atteindre, mandatés par une société concurrente d’un pays émergent. Le mode opératoire de l’attaque et les codes malicieux pour pénétrer le Système d’Information vont donc être développés spécifiquement pour cette cible.

Première phase : connaître la cible pour mieux l’atteindre

Le premier travail des cyberattaquants va être d’étudier la cible: l’activité de l’entreprise, ses positions géographiques, son organisation… et finalement ses employés afin de sélectionner les « candidats » propices, c’est-à-dire ceux pouvant accéder aux données convoitées. Les techniques de social engineering permettent d’obtenir un grand nombre d’informations sur les employés ciblés: rôle dans l’entreprise, relations professionnelles, centres d’intérêt, carrière…

C’est ainsi que John Doe est sélectionné pour être le point d’entrée des premières phases de l’attaque. Ingénieur commercial, il a donc accès à la base client ainsi qu’aux données regroupant tout ce qui a été vendu aux clients de son entreprise avec les tarifs, les marges, les taux de remise… John Doe fait régulièrement du golf avec d’anciens collègues. Il est dans la société depuis quelques années et aimerait la quitter en espérant donner un coup de pouce à sa carrière. Les cyberattaquants vont alors envoyer un mail à Doe en usurpant l’identité d’un de ses partenaires de golf. Cet e-mail propose à Doe de se connecter sur le site d’un cabinet de recrutement pour réaliser un test d’aptitude.

John connaît l’expéditeur du mail et donc ne se méfie pas, et clique alors sur le lien. Le site, construit pour les besoins de l’attaque, lui propose de télécharger une petite application pour réaliser ce test. Notre ingénieur exécute le fichier qui lui retourne un message d’erreur indiquant qu’il ne peut pas fonctionner sur son poste de travail. Pour lui, cela ne va pas plus loin. Il ne voit malheureusement pas ce qu’il se passe sur son poste de travail, et ne se rend pas compte qu’il vient d’ouvrir malgré lui une brèche dans le Système d’Information de son entreprise. Doe ne va pas non plus faire appel au support informatique de sa société pour signaler qu’une application qu’il n’aurait pas dû utiliser au travail n’a pas fonctionné !

Deuxième phase : prise de contrôle et infiltration

Vous l’aurez deviné, l’application téléchargée et exécutée est un malware qui va agir silencieusement sur le poste de travail; on parle alors d’attaques furtives. Ce code forgé spécifiquement pour l’attaque est unique, il ne sera donc pas détecté par les outils de sécurité dont la reconnaissance est basée sur des signatures (antivirus par exemple).

Ce malware va dans un premier temps ouvrir un canal de communication chiffré pour joindre le serveur C&C (command and control) des attaquants. Cela va leur permettre de prendre la main sur le poste de travail et de télécharger d’autres codes utilisant des vulnérabilités 0-day, pour usurper ou utiliser les droits de Doe et pour se propager dans le Système d’Information à la recherche des données convoitées.

Le ou les malwares pourront éventuellement se répandre sur d’autres postes de travail pour faciliter la recherche et scanner les différents lecteurs réseau qui hébergent les données de l’entreprise. Cette phase peut prendre plusieurs mois, le temps d’atteindre le but recherché, de manière silencieuse en restant sous les radars des systèmes de sécurité traditionnels (low and slow).

Dernière phase : exfiltration

Une fois le ou les fichiers identifiés, ils vont alors être uploadés vers les serveurs des cybercriminels. Étant donné que nous parlons de fichiers de quelques mégaoctets, ce flux chiffré va encore une fois passer inaperçu. L’histoire se termine dans la majorité des cas par l’effacement de toutes les traces et l’autodestruction des codes malveillants utilisés. L’entreprise victime ne se rendra sûrement pas compte qu’elle a subi un vol de données.

Film catastrophe ?

Face à un tel scénario, finalement très simple dans le mode opératoire (mais pas dans les techniques employées), on pourrait croire qu’il n’y a pas vraiment de solutions pour éviter une attaque de ce type. En réalité, même si le risque zéro n’existe pas, il est possible de s’y préparer pour faire face à ce type de menaces. Étant donné que les cyberattaquants vont cibler les données ou biens essentiels à l’activité de l’entreprise, la stratégie de sécurité doit se focaliser sur ces éléments. Les solutions autour de la sécurité des données peuvent aider les entreprises à prendre des mesures préventives pour protéger ce qui doit l’être.

Par Nicolas Leseur, chef de produit et innovation sécurité, virtualisation, stockage chez Telindus France

agrandir la photo

La sensibilisation des utilisateurs va aussi pouvoir permettre de contrer les premières phases d’une attaque comme celle que nous avons décrite. Doe n’aurait peut-être pas cliqué sur le lien dans le mail qu’il a reçu s’il avait regardé un peu plus en détail. Il se serait alors rendu compte que le nom de son interlocuteur ne correspondait pas à son adresse e-mail habituelle. Il aurait alors pu alerter son RSSI.

De plus, il est fortement déconseillé de lancer un fichier exécutable sur son poste de travail si l’on n’en connaît pas la nature exacte. Les éditeurs de sécurité sont au fait de ce type de menace. Il existe donc de nouvelles solutions permettant, via une analyse en environnement sécurisé et maîtrisé, de tester l’impact d’un code supposé malicieux. Il est alors possible d’investiguer pour rechercher les traces de ces malwares sur le Système d’Information et de les bloquer.

 

Source.:

La NSA peut localiser et intercepter les appels téléphoniques mobiles 3G a travers le monde

Des failles dans les réseaux 3G permettent d’écouter tous les appels

Des chercheurs en sécurité ont trouvé de multiples failles dans le protocole de signalisation SS7, permettant d’intercepter des appels et des SMS, et de géolocaliser les terminaux. Inquiétant.

agrandir la photo

Cette fin d’année ne sera pas bonne pour les opérateurs télécoms et leurs stratégies de sécurité. Plusieurs chercheurs en sécurité vont profiter de la prochaine conférence 31C3 du Chaos Computer Club - qui se déroule du 27  pour montrer des attaques sur les réseaux mobiles 3G, permettant d’intercepter n’importe quel appel ou SMS. Certaines informations sur ces attaques ont d’ores et déjà filtré dans la presse.

Ainsi, Karsten Nohl et d’autres experts de la société allemande Security Research Labs (SRLabs) viennent de démontrer leur méthode à quelques journalistes outre-Rhin. Armé d’une antenne radio à 400 euros et d’un PC portable, ils arrivent à saisir la clé utilisée pour chiffrer les communications 3G de n’importe quel smartphone aux alentours. Comment ? En la demandant à l’opérateur, tout simplement !

Une simple requête protocolaire suffit

En effet, les chercheurs ont détecté une faille dans le protocole de signalisation Signal System 7 (SS7), que tous les opérateurs 3G utilisent pour pouvoir bien acheminer leurs appels à travers le monde. Ce protocole leur permet, en particulier, d’échanger leurs clés de chiffrement sur simple requête, lorsque les appels passent d’un réseau à l’autre. Or, SRLabs a trouvé un moyen pour faire cette requête directement auprès d’un opérateur, ni vu ni connu.  

Karsten Nohl et sa troupe ont réalisé avec succès cette attaque sur les réseaux mobiles de Deutsche Telekom, Vodafone et O2. Les deux premiers ont d’ores et déjà signalé avoir comblé la faille en question, en limitant l’accès à cette fonctionnalité SS7. Mais il est probable que beaucoup d’autres opérateurs 3G dans le monde sont vulnérables.

Précisons que les chercheurs n’ont montré que la lecture de SMS. Ils n’ont pas encore réussi l’écoute d’appels téléphoniques, en raison d’un codage spécifique des données récupérées. « C’est une partie que nous n’avons pas encore bricolée. On récupère des fichiers pour lesquels nous n’avons pas de lecteur approprié, précise Karsten Nohl auprès de Zeit.de. Néanmoins, nous voyons déjà les numéros de téléphone de l’appelé et de l’appelant. Nous savons donc que l’appel a bien été déchiffré. » Bref, ce n’est qu’une question de temps, et les chercheurs de SRLabs pourront également écouter et enregistrer les appels environnants.

Des techniques qui font penser à la NSA

Certes, me direz-vous, mais que faire lorsque la personne ciblée ne se trouve pas à proximité ? Là encore, SRLabs a la réponse. Les chercheurs ont trouvé une autre faille dans SS7 qui permet de localiser n’importe quel téléphone portable dans le monde, si l’on connait son numéro IMSI (International Mobile Subscriber Identity). Celui-ci est unique pour chaque carte SIM. Il suffit ensuite de rendre dans la zone concerné pour procéder à l’interception.

C’est un effort que le chercheur en sécurité Tobias Engel, pour sa part, n’a pas besoin de faire. Car il a trouvé un autre moyen pour écouter les appels 3G sans bouger de chez lui. Là encore, c’est une faille dans SS7 qui lui donne ce pouvoir. Il utilise les fonctions de transfert d’appel de ce protocole pour router les appels à travers une infrastructure dont il a le contrôle, avant de les acheminer vers le bon destinataire. A priori, même pas besoin, dans ce cas, de procéder à un déchiffrement. « Je doute que nous soyons les premiers dans le monde à réaliser à quel point le réseau SS7 est ouvert à tout vent », souligne le chercheur auprès de The Washington Post.

En effet, ces différentes failles peuvent être mises en parallèle avec les multiples révélations d’Edward Snowden sur la capacité de la NSA à localiser et intercepter les appels téléphoniques mobiles. Il est possible que les agents secrets utilisent ce même type d’attaques pour arriver à leur fin. Précisons que les failles détectées ne concernent pas les communications 4G, qui s’appuient sur d’autres protocoles de signalisation. Toutefois, il ne faudrait pas se réjouir pour autant, car il est peu  probable que l’industrie des télécoms ait soudainement pris conscience de la faible sécurité de ses infrastructures.  

La parade : le chiffrement de bout en bout

Comment se protéger dans ces conditions ? Une seule technologie semble, à jour, être une parade efficace : le chiffrement de bout en bout des communications téléphoniques. Plusieurs applis  le permettent aujourd’hui, comme Silent Phone de Silent Circle, ou RedPhone de Whispersystems.  

Karsten Nohl et Tobias Engel donneront tous les détails de leurs découvertes le 27 décembre prochain, respectivement à 18h30 et à 17h15. Ils ne seront pas les seuls à tirer à boulets rouges sur SS7. Les chercheurs de la société française P1 Security seront également de la partie. Le même jour, à 23h00, ils dévoileront une carte globale des vulnérabilités de SS7.

Lire aussi :

Faire planter un réseau mobile national, c'est simple comme un coup de fil, le 24/04/2014

Sources :

Zeit.de, Washington Post

La NSA déchiffre toute les carte SIM

Le plan démoniaque de la NSA pour déchiffrer toutes les communications mobiles

Plutôt que de s’échiner à casser les clés de chiffrement des connexions mobiles, les agences secrètes ont trouvé bien meilleure : ils les volent par millions auprès de ceux qui les fabriquent, comme par exemple Gemalto.

agrandir la photo

Une fois de plus, l’industrie des télécoms nous montre qu’elle est incapable d’assurer la sécurité de ses clients. Publiés par The Intercept, des documents d’Edward Snowden révèlent que la NSA et le GCHQ détroussent les fabricants de cartes SIM tels que Gemalto depuis au moins 2010, afin de mettre la main sur des millions de clés d’authentification censées assurer la protection des communications entre le téléphone mobile et la station de base.

En effet, chaque carte SIM est dotée d’une clé d’authentification unique baptisée « Ki » qui permet à l’opérateur de vérifier l’identité de l’abonné au moment où celui-ci se connecte au réseau : la station de base envoie un message aléatoire au terminal qui le renvoie après l’avoir chiffré avec la clé Ki. L’opérateur, qui détient également la clé Ki, procède à la même opération, puis compare les deux résultats : s’ils sont égaux, bingo, l’utilisateur est connecté.

Les gardiens des clés pas très vigilants

Mais la clé « Ki » ne sert pas seulement à authentifier l’utilisateur, elle est également utilisée pour générer la clé dite « Kc » qui est différente à chaque connexion et qui servira à chiffrer les communications entre le terminal et la station de base. Or, celui qui connait « Ki » peut retrouver « Kc », et donc déchiffrer les communications.

agrandir la photo

On comprend bien l’intérêt pour la NSA de mettre la main sur ces fameuses clés d’authentification : les agents secrets n’ont ainsi plus qu’à intercepter de manière passive les ondes radio à un endroit donné, les stocker dans une base de données puis les consulter tranquillement, quand ils le souhaitent. Les ambassades américaines à Paris ou Berlin sont, par exemple, suffisamment proches des sites gouvernementaux pour réaliser ce type d’interception.

Mais comment la NSA et le GCHQ ont-ils réussi à voler ces clés ? Ces dernières sont générées par les fabricants de cartes SIM. Chacune est codée directement dans une partie théoriquement inviolable de la mémoire de la puce. Mais une copie est transmise à l’opérateur, qui en a besoin pour vérifier l’identité de l’utilisateur. Et c’est là que le bât blesse : les documents d’Edward Snowden montrent que cette transmission est faite un peu à la légère, par e-mail ou FTP, avec un faible niveau de protection, voire aucun. Il suffit donc d’identifier les bonnes personnes dans les bonnes entreprises, et c’est le jackpot.

Siphonnage industriel

D’ailleurs, les agences américaines et britanniques n’y sont pas allées avec le dos de la cuillère. Gemalto, qui est le plus grand fournisseur de cartes SIM dans le monde, a été complètement piraté, à coup d’interceptions et de malwares. « Nous pensons avoir la totalité du réseau », peut-on lire dans l’un des documents. Interrogé par The Intercept, la direction de Gemalto se montre abasourdie par cette révélation. Visiblement, personne n’a rien remarqué. Mais le champion de la carte à puce n’était pas le seul en ligne de mire. Les agents secrets ont également ciblés des concurrents comme Bluefish et Giesecke & Devient, des fabricants de terminaux comme Nokia et Ericsson, des opérateurs comme Belgacom ou Irancell, etc. Tout était bon à prendre pour récolter ces fameuses clés, et de manière quasi-industrielle.

agrandir la photo

Combien en ont-ils récupérés ? Selon les documents d’Edward Snowden, plusieurs millions de clés ont pu être volées en l’espace de trois mois en 2010. A cette époque, la NSA précisait qu’elle était capable de de traiter et archiver entre 12 et 22 millions de clés... par seconde. Et que son objectif était d’arriver à 50 millions. Cette énorme capacité de traitement laisse imaginer le pire. NSA et GCHQ ont peut-être d’ores et déjà la main sur la majorité des clés de cartes SIM dans le monde.

Face à ces révélations, la conclusion est que les communications mobiles ne peuvent plus être considérées comme sécurisées. Ceux qui ont besoin de transmettre des données confidentielles ont intérêt à utiliser des solutions telles que Silent Circle, Cryptocat, TextSecure, Red Phone, OTR, etc. Ces solutions ont l’avantage de chiffrer les communications de bout en bout, avec des techniques avancées comme Perfect Forward Security, qui mettent à l’abri l’utilisateur même si les clés de chiffrement sont volées.   

Source.: