Pourquoi WhatsApp ne sera jamais sécurisé

Espionnage-595x240

Le monde semble choqué par le fait que WhatsApp a transformé tout téléphone en logiciel espion. Tout sur votre téléphone, y compris les photos, les courriels et les textes, était accessible aux attaquants simplement parce que vous aviez WhatsApp installé. Explication de Pavel Durov, fondateur de la messagerie Telegram.

L’année dernière, WhatsApp a dû reconnaître que son problème était très similaire: un simple appel vidéo était tout ce dont un pirate avait besoin pour accéder à l’intégralité des données de votre téléphone [1] .

Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble apparaître à sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, et ressemblent beaucoup à des portes dérobées (backdoor).

Un chercheur en sécurité ne peut pas vérifier le code source de Whatsapp. Contrôler s’il y a des portes dérobées dans son code. WhatsApp ne publie pas son code source. Ils font exactement le contraire: WhatsApp masque délibérément les fichiers binaires pour s’assurer que personne ne soit en mesure de les étudier.

WhatsApp et sa société mère Facebook peuvent même être amenés à implémenter des backdoors – via des processus secrets tels que ceux réclamés par le FBI [3]. Il n’est pas facile de lancer une application de communication aux États-Unis. Une semaine aux États-Unis, en 2016, a valu 3 tentatives d’infiltration du matériel d’employés de Telegram par le FBI [4] [5] .

Imaginez ce que 10 années dans cet environnement peuvent entraîner pour une société aux États-Unis.

Telegram

Backdoor

Je comprends que les agences de sécurité justifient d’installer des portes dérobées pour combattre le terrorisme, les pédophiles, les professionnels de la déstabilisation. Le problème ? Criminels et gouvernements autoritaires peuvent s’y pencher aussi. Il n’est pas étonnant que les dictateurs semblent aimer WhatsApp.

Son manque de sécurité leur permet d’espionner leur propre peuple. Voilà pourquoi WhatsApp continue d’être librement disponible dans des pays comme la Russie ou l’Iran. Pour rappel,  Telegram y est interdit par les autorités [6]. Au Sri Lanka, après les attentats du 21 avril, les réseaux sociaux mis hors-services [6b].

Telegram en réponse directe à la pression personnelle exercée par les autorités russes. À cette époque, en 2012, WhatsApp transférait encore des messages en texte brut. Non seulement les gouvernements ou les pirates, mais aussi les opérateurs de téléphonie mobile et les administrateurs wifi avaient accès à tous les textes WhatsApp [7] [8] .

Plus tard, WhatsApp a ajouté un chiffrement, qui s’est rapidement révélé être un stratagème marketing: la clé pour déchiffrer les messages était disponible pour au moins plusieurs gouvernements… y compris la Russie [9].

Chiffrement

Il y a 3 ans, WhatsApp a annoncé la mise en œuvre d’un chiffrement de bout en bout.

Cela coïncide avec une demande insistante pour sauvegarder les discussions dans le « cloud ». Lors de cette opération, WhatsApp n’explique pas à ses utilisateurs que, lors de la sauvegarde, les messages n’ont plu de chiffrement de bout en bout. Ils deviennent accessibles aux pirates et aux espions.

Les personnes suffisamment résilientes pour ne pas craquer face aux fenêtres permanentes leur demandant de sauvegarder leurs discussions dans « Le Nuage » peuvent toujours être identifiées via un certain nombre d’astuces : l’accès aux sauvegardes de leurs contacts aux modifications de clé de chiffrement invisibles [9b] .

Les métadonnées générées par les utilisateurs de WhatsApp.

Les journaux décrivant les identités des personnes en discussions [10] . En plus de cela, vous avez un mélange de vulnérabilités critiques qui se succèdent.

L’année dernière, les fondateurs de WhatsApp ont quitté la société en raison d’inquiétudes concernant la confidentialité des utilisateurs [15].

Définitivement liés par un silence contractuel. Ils ne peuvent pas discuter en coulisses sans risquer de perdre leur fortune et leur liberté. Ils ont admis, cependant, qu’ »ils avaient vendu la vie privée de leurs utilisateurs » [16] . (Merci à Yousse)

Zuckerberg désolé, Facebook renforcé

Le PDG était auditionné par les élus américains sur les scandales touchant Facebook. Rien de tel n’est prévu à Bruxelles.

Cinq heures mardi devant le sénat américain. Quatre heures de plus devant la chambre des représentants mercredi à Washington. Mais pas une minute à Bruxelles. Mark Zuckerberg a passé cette semaine à s’excuser et à donner des gages de bonne volonté aux hommes politiques d’outre-Atlantique pour tenter d’éteindre le feu qui gagne la maison Facebook et ses deux milliards d’utilisateurs. L’Europe, elle, attendra. Même si 2,7 millions de ses citoyens sont concernés par le plus grand scandale de la courte histoire du réseau social. Les données des profils de 87 millions d’internautes ont été aspirées, à leur insu, par l’entreprise Cambridge Analytica pour alimenter la campagne de Donald Trump en 2016.

Quatorze ans à s’excuser

Le dirigeant trentenaire est aujourd’hui sommé de s’expliquer sur cette affaire, mais aussi sur tous les autres problèmes survenus ces derniers mois. « Nous n’avons pas fait assez (…) Cela va des fake news, de l’interférence étrangère dans le processus électoral à l’incitation à la haine, tout comme aux données concernant la vie privée. C’est mon erreur et j’en suis désolé », a-t-il récité par coeur à deux reprises.

Il a ensuite fait la liste des mesures déjà prises et d’autres à venir afin d’éviter que de tels problèmes ne se reproduisent. Une sénatrice a fait remarquer que Facebook s’était très souvent excusé tout au long de ces quatorze dernières années. Un de ses collègues a demandé le nom de l’hôtel dans lequel séjournait le PDG et à qui il avait adressé des messages ces derniers jours et s’est heurté à un refus catégorique. « Je pense que c’est pourtant le sujet qui nous préoccupe. Votre droit à la vie privée », a répondu l’édile. Ambiance.

La France, l’Allemagne, le Royaume-Uni, concernés

Mark Zuckerberg a dû également s’expliquer sur la vente illégale de médicaments sur son réseau ou les moyens d’y lutter contre le terrorisme et a reconnu avoir été lui-même la victime du vol de ses informations personnelles. Toutes ces heures de débats, les citoyens européens auraient sans doute apprécié d’en bénéficier aussi. Le parlement britannique a déjà essuyé un refus. La France aurait pu faire la même demande, elle qui n’a pas été épargnée par les derniers grands scandales frappant aujourd’hui Facebook.

Dans son document remis au sénat américain, son patron souligne qu’au moment de l’élection présidentielle française, l’an dernier, 30 000 faux comptes ont été trouvés et fermés par sa société dans l’Hexagone. L’entreprise Cambridge Analytica et son application This is your digital life ont exploité les données de 87 millions de personnes, mais soixante-seize Français seulement auraient installée l’application.

Pour autant, jusqu’à 211 591 de leurs amis seraient concernés. Moins qu’au Royaume-Uni (plus d’un million de personnes) ou en l’Allemagne (310 000), mais plus qu’en Belgique (61 000). Paradoxalement, l’Europe, ce grand absent des débats, n’aura sans doute jamais été aussi souvent pris en exemple par les élus américains. Quitte à susciter des rires narquois dans l’assistance.

Le maître des données

Car cette affaire survient à la veille de l’entrée en vigueur de la mise en oeuvre du Règlement général sur la protection des données (RGPD) sur le Vieux Continent, le 25 mai prochain. Un texte destiné à défendre les citoyens sur la collecte, le stockage, la circulation et la suppression de leurs informations personnelles. Cette loi va également permettre de sanctionner les contrevenants, qui pourront payer jusqu’à 20 millions d’euros d’amende, et une enquête vient d’être ouverte par les autorités européennes, menée par l’Irlande et l’Angleterre. « Le monde entier va regarder comment l’Europe va se coordonner pour sanctionner Facebook, indique Etienne Drouard, associé au cabinet d’avocats K&L Gates. Ce sera le premier test, une occasion unique, pour les pays de l’Union. »

Interrogé à ce sujet, Mark Zuckerberg a estimé que Bruxelles « avait bien fait les choses » et qu’il n’était pas opposé à une approche similaire aux Etats-Unis, sans rien promettre toutefois. En attendant le vote d’une loi américaine plus contraignante sur les données personnelles, Facebook applique déjà des mesures qui pourraient, comme le souligne Etienne Drouard, accroître son pouvoir: « Afin d’éviter de revivre l’épisode Cambridge Analytica, Facebook est en train de réduire le volume d’informations qu’il partageait jusqu’ici avec des entreprises tierces, notamment avec des sociétés de ciblage marketing comme Axciom. Le service aspirera donc toutes les données et ne régurgitera plus rien. Du coup, Facebook sera le seul à savoir à qui adresser un message publicitaire, à quel moment et pour qui ». Finalement, « Zuck » et sa création pourraient sortir de cette crise plus forts que jamais.

Windows 10, la fin des mots de passe ?

microsoft-authenticator-893Avec Authenticator, il n’y aura bientôt plus de mots de passe sur Windows 10. Si tout se passe comme prévu…

(CCM) — La dernière preview de Windows 10 offre la possibilité de passer outre l’authentification par mots de passe. Pour le moment, la fonctionnalité est réservée au seul OS Windows 10 S, mais Microsoft Authenticator pourrait rapidement être déployé sur toutes les versions.

Microsoft a une position très tranchée sur le sujet sensible des mots de passe. Il y a peu, l’entreprise américaine disait comprendre ses utilisateurs qui ne supportent plus de devoir entrer à chaque fois leur mot de passe. Dans la dernière version de Windows 10 (17093), l’éditeur ouvre la voie vers la fin du mot de passe pour son OS. Mais pour l’instant, seule la version S est concernée. Pour arriver à son objectif, Microsoft veut utiliser son application Authenticator, disponible sur smartphones Android.

La technologie d’identification repose sur une connexion à un compte Microsoft dans le cloud, sans avoir à recourir à un mot de passe. Après avoir entré son identifiant, l’utilisateur reçoit une notification sur son smartphone et approuve la tentative de connexion. C’est ce même cheminement qui va être suivi par Windows 10 S pour déverrouiller l’accès aux données. Avec Authenticator, un code est envoyé et permet la configuration de Windows Hello par PIN ou reconnaissance faciale. En cas de succès, la fonctionnalité pourrait être étendue à l’ensemble des versions de Windows 10.

Le WPA3 arrive pour sécuriser le WiFi

WIFI ZONELa WiFi Alliance officialise le WPA3 pour renforcer la sécurité des réseaux sans-fil.

(CCM) — Après plusieurs semaines de délibérations, le nouveau standard WP3 vient d’être finalisé par les groupes de travail de la WiFi Alliance. L’évolution de la norme devrait constituer un apport majeur en matière de sécurisation des échanges sur les réseaux sans-fil.

Depuis octobre 2017 et la révélation d’une immense faille dans la sécurité du WiFi, l’urgence se fait de plus en plus pressante. Il devient absolument indispensable de renforcer la sécurité des transmissions de données en WiFi, alors que la technologie se déploie dans les foyers, les entreprises et les lieux publics. La norme la plus récente – WPA2 – a montré de sérieux signes de vulnérabilité, sans parler des protocoles WEP ou WPA. Avec le WPA3, une sécurité 192 bits est prévue pour les réseaux nécessitant une protection élevée connectivité avec un niveau élevé de protection.

De plus, le standard WPA3 prévoit de renforcer la sécurisation des échanges en WiFi lorsque des mots de passe « faibles » sont utilisés. De même, des configurations d’accès plus simples et plus sûres vont être proposées pour tous les terminaux sans interface visuelle. La nouvelle norme doit être déployé dans le courant de l’année 2018. C’est en tout cas la promesse faite dans l’annonce de la WiFi Alliance (lien en anglais). En regroupant des géants de la tech incontournables comme Intel, Cisco, Microsoft, Apple ou Huawei, l’association gère depuis 2000 les normes de sécurité des réseaux sans fil en WiFi.

Désactiver les mises à jour de Windows 10

win10Microsoft, par souci de sécurité, impose à ses utilisateurs la mise à jour de Windows 10 en passant par son service Windows Update.

Pourquoi désactiver les mises à jour de Windows 10 ?

Ce service utilise malheureusement énormément de données, utilise la bande passante de votre connexion sans crier gare (les mises à jour étant automatiques), et il peut également redémarrer votre ordinateur de manière intempestive, même si vous êtes en train de vous en servir.

Pour éviter ces désagréments, vous pouvez simplement désactiver le service Windows Update. Ainsi, Windows 10 ne téléchargera plus les mises à jour de manière inopinée.
Voici comment procéder :

Désactiver le service Windows Update

Attention : nous ne recommandons pas de désactiver les mises à jour automatiques de Windows 10. En faisant cela, les mises à jour de sécurité ne seront plus installées, et votre ordinateur deviendra plus vulnérable.

Ouvrez la fenêtre Exécuter (Touche Windows + R), et renseignez services.msc :

Ouvrez la fenêtre Exécuter (Touche (Windows + R), services.msc
 (Windows + R), services.msc

Validez avec « OK », puis dans la nouvelle fenêtre qui vient de s’ouvrir, faites défiler la liste jusqu’à la ligne Windows Update, faites un clic-droit dessus et sélectionnez « Propriétés » :

2

Changez le type de démarrage en sélectionnant « Désactivé » dans le menu déroulant, puis validez avec « OK » :

3

Pour réactiver Windows Update, il faudra refaire toutes les étapes précédentes, en cochant « Manuel », puis chercher les nouvelles mises à jour.

Source: CCM

La réalité augmentée version Google

La réalité augmentée version Google

Google lance son ambitieux SDK ARCore, pour booster la réalité augmentée sur les smartphones Android.

(CCM) — Pour développer la réalité augmentée sous Android, Google a besoin que plus d’éditeurs se lancent dans le développement d’applications dédiées. C’est pour cela que le géant californien met à leur disposition ARCore, un kit de développement.

Il est encore trop tôt pour savoir si le SDK marque véritablement une nouvelle étape dans l’adoption de la réalité augmentée dans l’écosystème Android. Mais Google y met les moyens. D’ores et déjà, un parc d’une centaine de millions de terminaux Android est capable d’exploiter ARCore. Pour cela, il suffit de tourner sous Android 7.0 Nougat. Aucun double capteur vidéo n’est nécessaire. Les éditeurs devraient donc y trouver leur compte.

Le SDK ARCore met à leur disposition un suivi de mouvement précis, basé sur les capteurs du smartphone. Il analyse également la position des surfaces planes sur lesquelles les objets en réalité augmentée peuvent reposer (table, sol, étagère…). Enfin, ARCore promet aux graphistes de prendre en compte l’environnement lumineux dans le rendu des objets, pour plus de réalisme. Le site de Google dédié à la réalité augmentée (lien en anglais) présente tous les détails du SDK ARCore et son intégration dans les moteurs de rendu Unreal et Unity proposés par Android.

Des portes dérobées sur des applis Android

Des portes dérobées sur des applis Android

Plus de 500 applications Android parmi les plus populaires viennent d’être supprimées du Play Store, par sécurité. 

(CCM) — A cause des backdoors qu’elles contenaient, des applications cumulant plus de 100 millions de téléchargements viennent d’être bloquées par le Play Store de Google. Ces portes dérobées permettaient à des pirates d’installer des logiciels malveillants à l’insu des propriétaires des smartphones. 

Un kit de développement (SDK) utilisé par le logiciel publicitaire Igexin est à l’origine de l’alerte de sécurité lancée par le Play Store. Ce software est utilisé pour personnaliser les diffusions de publicités sur smartphones et tablettes Android. De très nombreuses applications l’ont installé, dont des applis météo populaires, des jeux – dont certains dépassent les 50 millions de téléchargements – ou des radios Internet. Il n’y a rien d’anormal à cela, puisque les éditeurs de ces applications gratuites se rémunèrent par la publicité. Le problème vient du fait que le SDK en question présente plusieurs vulnérabilités. 

Ce sont les experts en cyber-sécurité de Lookout Security Intelligence (lien en anglais) qui ont révélé l’existence de cette backdoor, permettant d’installer des logiciels espions sur les terminaux Android. Potentiellement, les historiques d’appels, les contacts et les coordonnées GPS – entre autres – peuvent être récupérés par des hackers en exploitant la faille. Pour prévenir ce risque, Google a décidé de supprimer du Play Store toues les applications utilisant le logiciel publicitaire incriminé.

Microsoft invente une baguette VR

Microsoft a déposé le brevet d’un acessoire de réalité augmenté en forme de baguette.

wand-1239(CCM) — Depuis plus d’un an, Microsoft s’est beaucoup investie dans la réalité virtuelle, la réalité augmentée et la réalité mixée. Notamment avec ses casques Windows Mixed Reality, créés par des constructeurs tiers et pour l’instant réservé aux développeurs. Mais cela fait un petit moment que la firme de Redmond n’a pas communiqué sur ses propres casques HoloLens. Il se pourrait pourtant que Microsoft prépare quelque chose, puisque la firme a déposé le brevet (lien en anglais) d’un « dispositif d’entrée de réalité augmentée »,c’est à dire un contrôleur manuel.

Le brevet, repéré et partagé sur Twitter (lien en anglais), dévoile un outil en forme de longue baguette, à mi-chemin entre la Wiimote et le stylet Google Draw imaginé pour les Google Glass(lien en anglais), qui reprend le principe du Clicker livré avec Hololens. L’appareil prend la forme d’une longue baguette pourvue d’une poignée, d’une gachette et de 2 boutons. On peut le voir brièvement apparaître dans la vidéo ci-dessous (en anglais).

Booster son ordi avec une clef USB

48066-rLdmCV6MS7JNIvyB-s-Booster son ordi avec une clef usb

Une astuce bien pratique et peu onéreuse pour augmenter les performances de votre ordinateur : il faut dédier une clef USB offrant un minimum de 2;5Mo/s en lecture et 1;75 en écriture ce qui est la caractéristique courante d’une bonne clef usb pour vérifier ses caractéristiques on peu utiliser cet utilitaire :

il suffit de connecter la clef sur un port usb on fait un clique droit sur le nom de la clef depuis l’explorateur de fichiers puis cliquer sur « propriétés « ouvrez l’onglet « ReadyBoost « et valider en cliquant sur « OK «

Attention au malware Faketoken

Ce malware de l’année dernière refait surface, pour s’attaquer aux données bancaires sur mobile.

(CCM) — Les experts de Kaspersky alertent les mobinautes du retour de Faketoken, le virus qui vole les données bancaires. L’éditeur de solutions de sécurité informatique explique sur son blog (lien en anglais) comment ce malware de l’année dernière à pu réapparaître dans ses radars de détection des risques.

Mis à jour, le chevshutterstock-177915332-mama-mia-2882 (1)al de Troie utilise de nouvelles techniques perfectionnées pour tromper ses victimes. Automatiquement, il est capable de se brancher sur des applis marchandes parmi les plus populaires (taxis, hôtels, banques…) pour les imiter à la perfection et récupérer les informations de paiement confidentielles des utilisateurs pris au piège.

Pour installer Faketoken sur les mobiles, les hackers utilisent tout simplement de faux liens de téléchargement de photos envoyés par SMS. Jusqu’à maintenant, cette méthode a été particulièrement efficace pour prendre le contrôle de très nombreux smartphones en installant un virus. Une fois en place, le malware Faketoken est capable de tout savoir des applis les plus utilisées du propriétaire. Il peut alors en copier l’interface et intercepter les échanges d’informations, notamment les précieuses données bancaires du propriétaire.

Selon Kaspersky, la diffusion de Faketoken est pour le moment limitée à la Russie. Avant son arrivée ici, il est toujours temps de mettre à jour son antivirus pour mobile.