mai 24th, 2016

Présenté comme une riposte à Whatsapp, Google Allo, outil de messagerie instantané sécurisé, est frappé soit d’un « bug », soit d’une « feature » selon que l’on travaille ou non pour la Dontbeevil Company. Suite à un billet de blog signé Thai Duong, expert sécurité chez Google, l’on apprend que le mode de chiffrement de bout en bout intégré dans Allo n’est pas activé par défaut.

Sans cette limitation, expliquent les porte-paroles du Premier Surveillant de l’Internet Mondial, Google Assistant ne pourrait plus fonctionner correctement. Assistant, la version N+1 de Google Now, l’adversaire du Siri d’Apple, a besoin de textes en clair pour analyser les moindres désirs de la population Androïdisée. Mais c’est compter sans Allo qui, à sa manière, rejoue une pièce connue du théâtre de boulevard pour RSSI et CSO intitulée « si je chiffre mes flux, je suis incapable de voir passer virus et fuite d’information ».

Sans surprise, un Twitt assassin émis par Edward Snowden déconseille l’usage de cet outil de communication, en raison du sentiment de fausse sécurité qu’il pourrait procurer. Chris Soghoian (Aclu), émet une hypothèse tout à fait plausible. Selon lui, il s’agit là d’une position purement politique, destinée à éviter tout futur affrontement avec les services de police tant des USA que du reste du monde. Le différend qui a opposé Apple et le FBI au cours de l’affaire de la tuerie de San Bernardino a tempéré les ardeurs des fournisseurs de services et opérateurs.

Vent debout en pleine affaire Apple vs FBI, prête à défendre chèrement de son corps la liberté de chiffrer contre les assauts barbares d’un Etat Policier Américain, l’Enisa, l’agence Européenne de sécurité des S.I. revient sur ses positions et ne serait plus tout à fait opposée, selon les circonstances, à l’usage de portes dérobées au sein de certains systèmes de chiffrement des communications ou des contenus. Un retournement de veste tout en subtilité : « This has led to proposals to introduce mandatory backdoors or key escrow to weaken encryption. While this would give investigators lawful access in the event of serious crimes or terrorist threats, it would also increase the attack surface for malicious abuse…”declare le communiqué commun rédigé en collaboration avec les services d’Europol.

L’Enisa renoue donc avec une vision « innocente » d’un monde dans lequel les truands et terroristes observeraient scrupuleusement les lois en vigueur et s’efforceraient d’acheter des outils de chiffrement réputés perclus de moyens de contournement. Et d’argumenter sur l’importance d’un usage « proportionnel » des outils intrusifs d’enquête utilisés par les services de police, en concluant « For the investigation and disruption of crimes, it is important to use all possible and lawfully permitted means to get access to any relevant information, even if the suspect encrypted It”.

Un “ oui mais ” qui, s’il devient effectif, va renouer avec certaines pratiques de la DCSSI * à l’époque et ce, sans particulièrement résoudre les questions de « simple police », qui fragilisera encore plus les systèmes d’information des entreprises Européennes.

*Ancêtre de notre actuelle Anssi, à l’origine de la limitation « 40 bits » des clefs de chiffrement en France et de leur assimilation à une « arme de guerre ».

Les cookies ne plaisent plus ? Les géants de la publicité, Google en tête, se montrent plus discrets et plus intrusifs en remplaçant les classiques « petits gâteaux» par des méthodes de relevé d’empreintes numériques (alias fingerprinting). C’est ce qu’il ressort d’une analyse de l’Université de Princeton, qui a passé au crible le comportement de près d’un million de sites de « premier niveau ». Et l’une des méthodes les plus inattendues est le profilage du couple Navigateur/Carte son de l’ordinateur, lorsqu’interrogé par un simple appel de l’API AudioContext. Une page de démonstration est d’ailleurs disponible sur le site universitaire, tant pour convaincre les incrédules que pour enrichir la base de connaissance des chercheurs. L’analyse repose sur une série de Transformées de Fourier rapides (FFT) et s’apparente à de la détection d’empreintes d’émetteurs radio.

D’autres techniques peuvent fournir de précieuses indications. L’adresse IP du poste, par exemple, en exploitant une autre API, WebRTC (Web Real-Time Communication), plateforme d’échange entre deux navigateurs, ou encore le composant graphique HTML5 Canvas.

Si l’on fait abstraction des considérations techniques détaillées par l’étude de Princeton, il apparaît qu’il devient quasiment impossible d’échapper au flicage des grands opérateurs de services Internet. Il était possible, jusqu’à présent, de limiter, voire d’interdire les cookies, mais il est absolument impensable d’échapper à une méthode de relevé d’empreinte. Quand bien même les requêtes détaillées par l’étude seraient bloquées par un firewall ou des paramètres de sécurité (au détriment de certaines fonctionnalités graphiques ou audio lors de l’ouverture de pages Web), rien n’interdirait aux chasseurs de statistiques de changer de méthode du jour au lendemain. Aujourd’hui la signature d’une carte audio, demain celle de l’horloge temps réel de chaque ordinateur, de chaque téléphone portable, après demain la réponse de tel ou tel composant d’instrumentation… et il y a peu de probabilité qu’un éditeur d’antivirus ou antispyware ose contrecarrer les tentatives d’identification d’un Google, d’un Yahoo ou d’un Amazon.