Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

• mp4
• webm

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Jericho Chat est un programme de communication chiffrée utilisant un vrai générateur de nombres aléatoires (TRNG: True Random Number Generator) et des masques jetables. L'objectif est d'offrir un programme libre, open source, dont les communications sont chiffrées, pour les journalistes, les avocats, les militants et les citoyens du monde qui ont besoin d'une réelle assurance que leurs communications ne soient pas censurées, contrôlées, ni surveillés par des gouvernements de régimes totalitaires ni par les agences de renseignement les plus puissantes.

Pour vaincre les meilleures agences de renseignement du monde, vous devez élever votre jeu à leur niveau. Cela signifie l'utilisation de chiffrement qu'ils ne pourront jamais, jamais rompre, indépendamment des progrès en mathématiques, physique quantique, cryptanalyse ou technologique (NdM : la méthode de masque jetable utilisée est théoriquement/mathématiquement impossible à casser, bien qu'en pratique elle reste vulnérable car nécessitant d'échanger des clés et de les conserver secrètes).

En 2ème partie, un résumé très succinct des possibilité du programme. Je ne peux que vous conseiller de lire la page d'accueil et les pages d'information technique du site qui sont en anglais.

Préambule : bonjour tout le monde, j'ai écrit cet article il y quelques jours (NdM: sur son blog, puis republié par Reflets.info), j'en profite pour le partager avec vous. La version originale possède énormément de liens et je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page.

En 1988, on commença à parler du programme Echelon ; vient ensuite Frenchelon ; et bien sûr le lanceur d'alerte Edward Snowden. La Quadrature du Net a mis en place le site nsa-observer pour regrouper les infos. Dans la suite de la dépêche, un petit tour d'horizon rapide de ce site.

ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.

Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.

Ce jeudi 5 juin 2014, une année après les premières révélations d'Edward Snowden sur les programmes de surveillance de la NSA, l'association Fight for the Future lance l'opération Reset The Net. L'objectif est clair : « Ne demandez pas le respect de votre vie privée, prenez-le en main ».

L'Express a lancé il y a deux jours une pétition pour que la France accorde l'asile à Edward Snowden. Plusieurs libristes éminents (Philippe Aigrain et Francois Pellegrini) font partie des premiers signataires. Plus de 120 000 signatures ont été recueillies à cette heure.

Cet article du Monde récapitule les points clefs du débat. Il remarque en particulier que le PS et l'UMP sont opposés à cette demande.

Un autre article du Monde (dont le contenu est malheureusement réservé aux abonnés) indique que l'avis du Président de la République ou du gouvernement n'est pas nécessaire, compte-tenu de la Constitution. En voici le passage-clef :

Au lendemain de la seconde guerre mondiale, elle a voulu inscrire dans sa Constitution que « tout homme persécuté en raison de son action en faveur de la liberté a droit d'asile sur les territoires de la République ». Le préambule de la Constitution de 1946 est devenu en 1958 partie intégrante de la Constitution de la Ve République. Quarante ans plus tard, par la loi du 11 mai 1998, sur la base d'un rapport que j'ai remis au gouvernement en 1997, l'asile constitutionnel est devenu effectif et concrètement porteur de droits et de protection.

Merci aux participants de cette dépêche collective, c.-à-d. ack, Adrien Dorsaz, alendroi, Anthony Jaguenaud, BAud, baud123, Bruce Le Nain, deor, etbim, fabienwang, Florent Zara, frayd, gUI, HLFH, j, jcr83, jeberger, Jiehong, Laurent Pointecouteau, lenod, M5oul, Mildred, Nicolive, nullard3d, Nÿco, olivierweb, palm123, SidStyler, SKy, tetraf, Thom, titiii, tux-tn, ver2terre, Viish, Vincent Gay, vlamy, Xinfe et Yves Bourguignon

Aujourd'hui, le net est occupé en grande partie par les services de grosses entreprises privées. Ceci pose de nombreux problèmes : logiciels privateurs, centralisation des données, pistage permanent, censure, exploration de données, dépendance à des tiers, etc.

Cette série décrit (et critique) des alternatives soit utilisables en auto-hébergement, soit via des services basés sur des logiciels libres. Dans cette première dépêche, nous allons nous intéresser aux moteurs de recherche. Les commentaires sont là pour préciser des oublis ou corriger les éventuelles erreurs.

GNUnet est un framework sous licence GPL pour le réseau peer-to-peer (pair à pair) sécurisé éponyme. Le réseau GNUnet est complètement décentralisé et ne repose sur aucun service centralisé de confiance. Le but de ce projet est de fournir une base logicielle solide pour construire un réseau global sécurisé, notamment en ce qui concerne l’anonymat.

La particularité de GNUnet par rapport aux autres réseaux peer-to-peer est qu’il place la barre très haut au niveau de la sécurité et de l’anonymat. Le réseau est ainsi conçu pour fonctionner dans un monde où un adversaire pourrait voir l’ensemble du traffic sur Internet, et possèderait beaucoup de nœuds traîtres dans le réseau, pouvant ainsi voir bon nombre des échanges entre les nœuds innocents. Bref, pas si loin de la réalité.

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Bonne chance !