Libertés Numériques
78.9K views | +6 today
Follow
Libertés Numériques
Veille sur la sécurité et les libertés individuelles à l'heure d'Internet.
Your new post is loading...
Your new post is loading...
Scooped by Aurélien BADET
Scoop.it!

Les Pays-Bas votent un financement du chiffrement

Les Pays-Bas votent un financement du chiffrement | Libertés Numériques | Scoop.it
Le parlement néerlandais a adopté contre l'avis du gouvernement un financement d'un demi million d'euros pour aider à sécuriser le protocole de chiffrement SSL.

Alors que le débat sur le chiffrement bat son plein actuellement des deux côtés de l’Atlantique, la seconde chambre parlementaire des Pays-Bas envoie un message. Comme le rapporte The Register qui s’inspire d’une information publiée sur le site néerlandais Security.nl, les députés ont décidé de voter un financement public de différents projets liés aux certificats SSL.

La fragilité d’OpenSSL avait été mise à nue en 2014 avec la divulgation de la faille Heartbleed exploitée par la NSA, qui avait également mis à découvert un manque chronique de financement des outils libres de chiffrement.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

FREAK : une faille majeure née de la lutte des US contre le chiffrement

FREAK : une faille majeure née de la lutte des US contre le chiffrement | Libertés Numériques | Scoop.it
Les Etats-Unis ne voulaient pas d’un chiffrement fort, et la faille FREAK affectant le TLS/SSL est un héritage de cette politique. Une attaque FREAK permet ainsi de forcer l’utilisation d’un chiffrement ancien et vulnérable et donc d’intercepter des données en principe protégées. Mise à jour : l'interview d'Antoine Delignat-Lavaud, chercheur au sein de l’équipe Prosecco qui a dévoilé ces failles.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Comment supprimer Superfish sur un ordinateur Lenovo

Comment supprimer Superfish sur un ordinateur Lenovo | Libertés Numériques | Scoop.it
Après avoir présenté ses excuses pour son adware Superfish qui pose de sérieux problèmes de sécurité en installant d'office un certificat auto-signé pour contourner le chiffrement des communications SSL, Lenovo nous a fourni son guide de désinstallation de Superfish traduit en français, visible ci-dessous.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Des hackers préparent des attaques exploitant la faille OpenSSL Heartbleed

Des hackers préparent des attaques exploitant la faille OpenSSL Heartbleed | Libertés Numériques | Scoop.it

Alors que les professionnels de la sécurité invitent les administrateurs de sites à patcher leur plate-forme OpenSSL pour combler la faille Heartbleed , certains informations indications que les cybercriminels sont déjà dans les starting-blocks.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Heartbleed : la NSA aurait su et rien dit

Heartbleed : la NSA aurait su et rien dit | Libertés Numériques | Scoop.it
Selon Bloomberg, l'agence de sécurité américaine aurait eu connaissance de la faille présente dans OpenSSL depuis deux ans, mais aurait préféré ne rien dire pour pouvoir l'exploiter.



more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Yahoo Mail : Le chiffrement SSL 2048-bits activé par défaut pour plus de sécurité

Comme annoncé fin novembre, Yahoo augmente d’un cran la sécurité de son Webmail en activant par défaut le chiffrement en 2048 bits pour toutes les connexions à ce service. Une façon comme une autre de tenter de parer à l’espionnage massif pratiqué par la NSA.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Google's certificate announcement contains a hidden surprise for Windows XP users

Google's certificate announcement contains a hidden surprise for Windows XP users | Libertés Numériques | Scoop.it

Last week Google made an announcement about its use of SSL/TLS with advice to customers on how to ensure the can continue to connect to Google's services.

Duck wrote an excellent overview of the big change - the switch to 2048-bit certificates - but a less prominent aspect of the announcement should also be a concern to IT administrators, particularly those managing the 33% of desktops that are still running Windows XP*.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Brève : Pensez à désactiver RC4 dans SSL / TLS

Brève : Pensez à désactiver RC4 dans SSL / TLS | Libertés Numériques | Scoop.it

La faiblesse de l’algorithme de chiffrement RC4 est bien connue, et cela depuis longtemps (notamment depuis le désastre sécuritaire du protocole WiFi WEP). Pourtant, RC4 demeure encore très utilisé pour assurer la sécurité des flux sous TLS /SSL. Une connexion TLS /SSL sur deux serait encore chiffrée à l’aide de cet algorithme.

Des chercheurs britanniques annoncent avoir découvert une nouvelle attaque contre RC4 et être en mesure de déchiffrer 220 octets d’un stream de données chiffré avec cet algorithme dans le cadre d’une connexion TLS/SSL. L’avantage de leur attaque est qu’elle n’exige aucune finesse (pas de timing précis à respecter, notamment). Mais son défaut majeur est qu’elle nécessite l’interception au préalable d’une très grande quantité de données, et qu’elle n’est donc pas très pratique à mettre en oeuvre.

Plus de détails techniques sont disponibles sur la page web des chercheurs. A l’origine de la faiblesse : la piètre qualité du générateur de nombres pseudo-aléatoires de l’algorithme. Le blog de l’éditeur Sophos propose à ce sujet une excellente analyse de l’attaque.

Inutile toutefois de paniquer pour l’instant : l’attaque ne sera probablement pas mise en oeuvre dans la nature avant un moment. Toutefois les chercheurs proposent malgré tout un scénario impliquant l’envoi répété de cookies d’authentification Gmail à l’insu de l’utilisateur afin d’accumuler une quantité d’information suffisante pour tenter de casser la connexion TLS/SSL.

Même alourdies par de telles limitations, une fois découvertes les attaques ont généralement tendance à s’améliorer. Les chercheurs conseillent donc dès à présent supprimer RC4 de la liste des algorithmes acceptés par vos navigateurs et vos serveurs. Et on ne peut qu’approuver !

Sophos conseille quant à lui de privilégier désormais AES-GCM (Galois/Counter Mode).

A noter que RC4 avait fait un retour en force lorsque des attaques avaient été publiées contre TLS en mode CBC (BEAST, Lucky Thirteen). Mais ces dernières attaques sont désormais contournables et l’usage du mode CBC est à nouveau considéré fiable lorsque les contre-mesures adaptées sont appliquées.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Using Yahoo Mail? You should turn on this privacy option as soon as possible

Using Yahoo Mail? You should turn on this privacy option as soon as possible | Libertés Numériques | Scoop.it
It has taken Yahoo a ridiculously long time, but it is finally rolling out an option that will help protect users' privacy when accessing their web-based email - HTTPS.

Yahoo Mail has lagged behind competitors such as Hotmail (in the process of being rebranded Outlook.com) and Gmail by not allowing users to access their email through HTTPS.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Let's Encrypt émet son premier certificat SSL/TLS gratuit

Let's Encrypt émet son premier certificat SSL/TLS gratuit | Libertés Numériques | Scoop.it

Le projet de cryptage Let's Encrypt, dont l'ambition est de favoriser l'usage du chiffrement SSL, a livré son premier certificat SSL/TLS gratuit, inaugurant ainsi le début de son programme bêta. Le projet prévoit de distribuer d'autres certificats dans les prochains mois.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Komodia : L’empire de l’espionnage israélien derrière Superfish

Komodia : L’empire de l’espionnage israélien derrière Superfish | Libertés Numériques | Scoop.it
Vous n’avez surement jamais entendu parlé de Komodia. Il s’agit de la technologie israélienne utilisée par le malware Superfish au cœur du scandale Lenovo, présente aussi dans d’autres produits, du logiciel de contrôle parental au cheval de Troie, en passant par des injecteurs de pubs et des logiciels espions. Un véritable empire.
Le scandale provoqué par le mouchard Superfish, que Lenovo a implanté à l’insu des consommateurs dans ses machines, n’est en fait que la partie visible d’un empire bien plus vaste, tissé par un acteur inconnu du grand public : Komodia. Cette société israélienne a fourni à l’éditeur californien Superfish la technologie nécessaire permettant d’intercepter les flux chiffrés en SSL et d’y insérer des publicités non sollicitées. Pour faire cela, Komodia s’appuie sur un certificat racine auto-signé qui lui permet d’usurper l’identité de n’importe quel site accessible en connexion HTTPS. C’est un peu le même principe qu’avec les fameux « proxy SSL » qui permettent aux employeurs de surveiller les échanges web de leurs salariés.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

0,2% des certificats SSL utilisés pour se connecter à Facebook seraient des faux

0,2% des certificats SSL utilisés pour se connecter à Facebook seraient des faux | Libertés Numériques | Scoop.it

ne équipe de chercheurs a tenté de quantifier le problème des faux certificats SSL, utilisés notamment dans le cadre d’attaques de type Man-in-the-Middle (MitM, ou attaque de l’homme du milieu).

La tâche est évidemment complexe car il faut pour cela non seulement avoir accès à une quantité suffisante des connexions HTTPS à travers la planète pour que le résultat soit statistiquement valable, mais il faut surtout être capable de détecter les faux certificats côté client sans pour autant être capable de modifier le navigateur.

Ils y sont parvenu en menant une analyse des connexions SSL destinées à Facebook pendant quatre mois, et les résultats de leur étude sont intéressants.

Près de 0,2% des 3,5 millions de connexions HTTPS qu’ils ont observé utilisent de faux certificats SSL (il s’agit ici bien de véritables connexions initiées par des internautes dans le cadre de leur navigation quotidienne vers Facebook).



more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Heartbleed : les sites touchés, patchés et ce qu'il faut faire

Heartbleed : les sites touchés, patchés et ce qu'il faut faire | Libertés Numériques | Scoop.it
Depuis la découverte du bug Heartbleed, une course contre la montre s'est engagée pour corriger cette vulnérabilité. Du côté des principaux services en ligne, des correctifs ont été déployés. Cependant, des interrogations demeurent. En outre, les usagers doivent aussi agir pour leur propre sécurité.



more...
No comment yet.