Your new post is loading...
Your new post is loading...
La commissaire européenne en charge de la justice, Věra Jourová, a déclaré que « trois ou quatre options » contre le chiffrement des messageries sécurisées seront proposées au mois de juin.
Comment faire en sorte que forces de l’ordre puissent accéder aux messages des applications chiffrées ? C’est à cette question hautement sensible que la Commission européenne entend apporter une réponse en avançant « trois ou quatre options » au mois de juin, dans un contexte où la sécurisation des communications est aujourd’hui remise en question au nom de la lutte contre le terrorisme.
Dans un avis consultatif remis cette semaine, le contrôleur européen de la protection des données prend fermement position en faveur du chiffrement de bout en bout et s'oppose clairement aux portes dérobées (backdoors).
Le chiffrement de bout en bout doit être favorisé au niveau européen et de nouvelles règles communautaires doivent être édictées pour interdire sans ambages toutes les opérations de surveillance ou de déchiffrement des communications. Telles sont les recommandations émises lundi par Giovanni Buttarelli, le contrôleur européen de la protection des données (CEPD).
L’avis consultatif rendu en début de semaine s’inscrit dans le cadre de la révision de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
Guillaume Poupard, le directeur général de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information), affirme que le chiffrement est nécessaire à la protection des données et qu’aucune porte dérobée n’est envisageable sans perte d’intérêt et de sécurité.
En France, des acteurs de la lutte antiterroriste demandent d’endiguer la généralisation du chiffrement. Mais l’ANSSI monte au créneau en considérant le risque trop élevé qu’une telle mesure représenterait.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) défend ouvertement le chiffrement dans une lettre datée du 24 mars, publiée hier par Libération : son directeur général Guillaume Poupard met en effet en garde les ministères de la Défense, de l’Économie, de l’Intérieur et de la Justice contre la tentation d’imposer des backdoors (ou portes dérobées) dans les logiciels utilisant du chiffrement.
Juniper a publié un correctif après la découverte d'un « code non autorisé » sur le code source du firmware de plusieurs de ses équipements réseau, mais les failles très importantes n'auraient pas été totalement corrigées. Le doute reste entier sur l'origine de la faille et les motivations de ceux qui l'ont introduite. Une chose est sûre : elle n'aurait pas existé sans la NSA.
La firme de sécurité Mandiant, filiale de FireEye, a découvert que, sur certains routeurs d'entreprise Cisco, les firmwares avaient été remplacés par des versions malveillantes permettant d'ouvrir des backdoors et de compromettre d'autres systèmes. Le faux logiciel a été trouvé sur 14 modèles de routeurs au Mexique, en Ukraine, en Inde et aux Philippines.
Les responsables de la société italienne Hacking Team vont se souvenir très longtemps de ce lundi 6 juillet. Un pirate informatique a ponctionné plus de 400 Go de données sans que les commerçants de logiciels espions ne s’en aperçoivent. Un nouveau coup de PhineasFisher ?
Dans une lettre signée par plus de 140 entreprises technologiques américaines et envoyée ce jour à la Maison-Blanche, Apple et Google demandent expressément à Barack Obama de ne pas céder aux sirènes des agences de sécurité. Pour rappel, le FBI et la NSA souhaitent que les systèmes informatiques ne soient pas totalement fermés afin qu’ils puissent surveiller paisiblement la population.
Les backdoors (ou portes dérobées) DeathRing et CoolReaper découverts en décembre 2014 ont potentiellement pu toucher des millions d’utilisateurs Android. La menace proviendrait de Chine.
La firme de sécurité américaine Palo Alto Networks, qui a publié un rapport sur le backdoor CoolReaper, expliquant qu’il était présent sur 64 des 77 ROMs examinés, dont 41 signés par le certificat numérique du constructeur. Bien que ces ROMs aient été récupérés sur le site de Coolpad, une autre preuve confirme l’hypothèse selon laquelle le backdoor a été intégré intentionnellement par la société chinoise, puisque le malware est relié à un serveur de commande et de contrôle enregistré dans des domaines appartenant au constructeur.
Les chercheurs de Kaspersky Lab ont identifié un backdoor visant les systèmes Linux, et lié selon eux, à une opération de cyberespionnage baptisée Epic Turla.
Une attaque sophistiquée, également connue sous le nom de Snake ou Uroburos, a été découverte en février dernier, mais le backdoor sévit depuis plusieurs années.
Un spécialiste en sécurité informatique a révélé l'existence de services non documentés utilisant des backdoors dans iOS.
Et si je vous disais qu'il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n'avez jamais entendu parler ?
Microsoft veut ouvrir à Bruxelles d'ici la fin de l'année un "Centre de Transparence", qui permettra aux Etats d'expertiser le code source de Windows, Office ou d'autres produits Microsoft, pour s'assurer de l'absence de backdoors exploitables par les Etats-Unis.
Je ne sais pas si vous stressez la nuit à cause de la NSA ou des méchants hackers chinois qui vont venir dans votre sommeil ravager votre ordinateur à grands coups d'exploits 0day, mais si c'est le cas, commencez par prendre une profonde inspiration car ce qui suis ne va pas vous faire plaisir.
|
While 2016 may not have been the banner year for cryptographic exploits that 2015 was, researchers around the world continued to advance the state of the art.
Le gouvernement en dit davantage sur la manière dont il espère pouvoir lutter contre le recours au chiffrement de bout en bout, qui rend l'interception des messages quasi impossible pour les services de renseignement ou de police judiciaire. Deux options à l'étude : interdiction, ou backdoor.
À la fin du mois d’août, le ministre de l’Intérieur Bernard Cazeneuve a reçu son homologue allemand Thomas de Maizière pour discuter de la lutte contre le terrorisme, et évoquer le sujet sensible de l’accès aux communications chiffrées. Mais le discours de M. Cazeneuve est resté très flou sur les moyens juridiques et techniques à employer pour rendre lisibles des communications chiffrées de bout en bout.
Seule une phrase laissait percevoir la méthode, en demandant que la Commission européenne étudie « la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ».
Un membre de l’assemblée de Californie, Jim Cooper, vient de déposer une proposition de loi qui imposerait aux téléphones portables, vendus à partir du 1er janvier 2017, d’être obligatoirement équipé d’une porte cachée utilisable par les autorités.
Le Royaume-Uni a fait part de son hostilité à l'idée d'imposer des backdoors pour accéder aux données chiffrées. Néanmoins, Londres rappelle que les autorités doivent pouvoir quand même les consulter en cas de nécessité.
Le bras de fer se poursuit entre les défenseurs du chiffrement et les gouvernements américains et anglais. Mardi 7 juillet, une quinzaine d’ingénieurs et de cryptographes mondialement réputés ont publié un article approfondi critiquant la volonté de ces gouvernements d’accéder aux données chiffrées.
Un nouvel outil du cyber-arsenal d’Animal Farm vient d’être analysé par un chercheur en sécurité indépendant. Il se révèle techniquement ingénieux et a été utilisé en Iran en 2013.
Les chercheurs en sécurité continuent leurs enquêtes techniques sur l’arsenal d’Animal Farm, ce groupe dédié au cyber-espionnage, et probablement d’origine française (DGSE). Après Babar, Casper et Evilbunny, c’est au tour du logiciel d’espionnage furtif Dino d’être analysé et c’est Joan Calvet, chercheur en sécurité chez l’éditeur Eset qui s’y frotte.
Dino s’avère être un backdoor, qui, une fois installé sur une machine, permet l’accès de manière totalement transparente à celle-ci depuis l’extérieur. Le binaire gère d’origine une bonne vingtaine de commandes pré-programmées (téléchargement d’un module annexe, fiche détaillée sur la machine, exécution silencieuse, recherche poussée de fichiers, etc). Selon Calvet, le but final de Dino était clairement l’exfiltration de fichiers.
La seconde est dernière phase de l’audit du logiciel de chiffrement de partitions disque TrueCrypt est désormais terminée. Un rapport a été publié, concluant qu’aucune porte dérobée volontaire n’a été décelée, ni aucune vulnérabilité critique.
Alors qu’il a été initié à l’automne 2013, l’audit de TrueCrypt 7.1a est enfin arrivé à son terme. La phase 2 de la cryptanalyse conclu à un rapport complet (PDF) rédigé par les consultants de Cryptography Services (NCC Group). Rappelons que cette version 7.1a sert de base aux nombreux forks open source du logiciel.
La conclusion de l’étude montre qu’aucun backdoor n’a été repéré ni aucune vulnérabilité critique. Seules 4 failles de moindre importance ont pu être découvertes et corrigées, mais toutes très difficilement exploitables. La sécurité de TrueCrypt dans cette version spécifique n’est donc pas menacée.
Le directeur de l’ANSSI est revenu récemment sur les nombreux débats actuels autour du chiffrement sur Internet. Il explique qu’il est indispensable qu’un accès puisse être aménagé pour permettre aux autorités de déchiffrer tout contenu échangé, avec l’aval de la Justice.
Cette réaction semble être dans la mouvance de la déclaration de David Cameron, premier ministre britannique, souhaitant purement et simplement interdire le chiffrement. Guillaume Poupard, le directeur général de l’agence nationale de la sécurité des systèmes d’information (ANSSI), a expliqué à la presse être pour une cryptographie efficace mais contrôlée par des backdoors dédiés aux autorités dans certaines situations définies et encadrées par la Justice.
Ron Wyden, sénateur démocrate de l'Oregon, a présenté un projet de loi visant à empêcher le gouvernement d'exploiter des portes dérobées et des vulnérabilités de sécurité des produits et solutions technologiques pour faciliter ses opérations de surveillance.
Le sénateur américain démocrate de l'Etat de l'Oregon, Ron Wyden, espère bien faire passer aux Etats-Unis un projet de loi ayant pour objectif de préempter les actions du gouvernement en matière d'espionnage des utilisateurs par le biais des produits et solutions technologiques. Baptisé Secure Data Act, ce projet de loi est extrait d'un précédent, plus global nommé Freedom Act et présenté en novembre dernier au Sénat, mais qui n'avait alors pas pu obtenir un vote final en dépit du soutien de l'administration de Barack Obama.
La Chambre des Représentants, dans laquelle siègent les députés américains, a décidé jeudi de voter à une large majorité un amendement qui prive la NSA de la possibilité de financer la création de backdoors dans les logiciels et matériels électroniques.
En décembre dernier Eloi Vanderbeken, un expert sécurité de la société Synacktiv découvrait une porte dérobée dans le firmware de plusieurs modem-routeurs ADSL des fabricants Cisco, Linksys, NetGear et Diamond. Tous les modèles concernés ont pour point commun d’utiliser la même base technologique produite par le taïwanais Sercomm.
La backdoor permettait d’exécuter des commandes directement sur le routeur, sans authentification, via un port TCP non-standard ouvert en écoute (TCP/32764). Un attaquant pouvait ainsi, par exemple, activer l’interface d’administration à distance ou changer le mot de passe du routeur. Evidemment, l’affaire a fait grand bruit.
Il y aurait eu une tentative d’introduction d’une porte dérobée (backdoor) dans le noyau Linux. Ed Felten, professeur d’informatique à l’université de Princeton, revient dans un billet de blog sur l’incident. Retour en 2003.
|