L’antivirus Avast bloqué en Chine

Les autorités chinoises bloquent l’antivirus depuis quelques jours. Aucune explication officielle ne vient éclairer cette censure, qui pourrait être due à l’intégration d’un VPN à la suite antivirus. 

Depuis vendredi dernier, Avast est inaccessible en Chine. Impossible d’accéder au site de l’éditeur de logiciels antivirus ou à ses serveurs, empêchant de fait les mises à jour. Si les officiels chinois n’ont donné aucun détail quant à ce blocage, la société, contactée par Techcrunch , confirme le blocage et indique «enquêter activement sur cette situation». Les hypothèses quant aux causes de ce blocage sont nombreuses.

On a pu penser, dans un premier temps, à une mesure protectionniste de la part des autorités chinoises. En effet, en août dernier, la totalité des éditeurs d’antivirus étrangers avaient été retirés de la liste officielle des programmes approuvés par Pékin. Toutefois, Symantec et consorts restent accessibles en Chine : seul Avast semble avoir été frappé par le « Great Firewall ».

Le VPN Avast dans le collimateur de Pékin

Autre hypothèse sérieusement évoquée, l’intégration d’Avast SecureLine au logiciel Avast. Ce VPN permet d’accéder aux contenus normalement bloqués en Chine (Google, Facebook, Twitter, etc.).Du fait du récent renforcement des mesures anti-VPN prises par le gouvernement, l’intégration de ce type de service à la suite antivirus a pu être perçu par les autorités comme une attaque contre la « cyber souveraineté » du pays. Et bloqué en conséquence.

D’autres évoquent des représailles suite au refus d’Avast de révéler son code-source au gouvernement. Le 27 février dernier, le Parlement chinois a adopté en seconde lecture un projet de loi relatif à la lutte antiterroriste qui n’est pas sans rappeler certains textes votés en Russie l’an dernier. Selon la loi, les entreprises étrangères doivent fournir aux autorités chinoises leurs clés de chiffrement et leur ouvrir des backdoors pour des raisons, évidemment, de sécurité. Avast aurait déjà fait savoir qu’il ne se plierait pas à de telles exigences, provoquant en représailles le blocage de ses services en Chine.

Source : L’informaticien

Google Chrome et Search alertent sur les sites douteux

Chrome affiche maintenant un pop-up pour mettre en garde contre les téléchargements intempestifs.

Chrome affiche maintenant un pop-up pour mettre en garde contre les téléchargements intempestifs.

Des modifications ont été apportées à Chrome et Search pour prévenir leurs utilisateurs lorsqu’ils arrivent sur un site qui risque d’installer sur leur poste un logiciel non souhaité.

Google a ajouté dans son navigateur une protection contre les risques de téléchargement mal venus. Chrome affichera maintenant un avertissement, sous la forme d’une fenêtre pop-up rouge, poursignaler aux internautes que le site visité pourrait installer sur leur poste des programmes risquant de modifier le fonctionnement de leurs logiciels. Les utilisateurs pourront alors faire marche arrière. De la même façon, le moteur de recherche Search intègre aussi des alertes pour mettre en garde contre les sites douteux.

Google a par ailleurs commencé à désactiver les annonces publicitaires (« ads ») qui conduisent vers de tels sites à travers Search. Depuis mi-décembre, le fournisseur a mis en place une nouvelle politique de sécurité à laquelle les sites proposant du téléchargement doivent se conformer. Celle-ci s’applique à l’ensemble des sites et pas seulement aux pages vers lesquelles pointent les annonces publicitaires. Il est conseillé aux propriétaires de sites de s’enregistrer surWebmaster Tools pour être tenus au courant des problèmes de téléchargement non sollicités sur leur site.

Source : Le monde Informatique

Freak, une faille critique qui menace le chiffrement web

La faille Freak permet à des attaquants de dégrader la sécurité des connexions web en passant d'un chiffrement fort à un mode de chiffrement faible initialement intégré à des logiciels destinés à l’export. (Crédit : D.R.)

La faille Freak permet à des attaquants de dégrader la sécurité des connexions web en passant d’un chiffrement fort à un mode de chiffrement faible initialement intégré à des logiciels destinés à l’export. (Crédit : D.R.)

La vulnérabilité Freak qui touche SSL et TLS affecte de nombreux sites populaires, ainsi que l’OS Android, le navigateur Safari et les applications utilisant une version d’Open SSL antérieure à 1.0.1k.

Une autre faille de sécurité vient d’être découverte dans le protocole SSL (Secure Sockets Layer) et son successeur, TLS (Transport Layer Security). Baptisée Freak (pour Factoring attack on RSA-EXPORT Keys), elle permet à un attaquant d’intercepter du flux chiffré circulant entre postes clients et serveurs. Elle permet en effet de forcer les navigateurs à utiliser un chiffrement sur 512 bits en lieu et place du 2048 bits. La faille touche de nombreux sites très fréquentés et différents logiciels, comme l’OS mobile Android de Google ou le navigateur Safari d’Apple. Les applications qui utilisent une version d’OpenSSL antérieure à 1.0.1k sont également vulnérables, selon le bulletin d’alerte publié sur le site CVE.  Cette faille existe apparemment depuis plusieurs années.

Des mises à jour pour iOS et OS X seront livrées la semaine prochaine, a indiqué Apple. De son côté, Google a indiqué avoir fourni des correctifs à ses partenaires pour protéger les connexions Android vers les sites vulnérables.

Un problème qui prend sa source dans les années 90

Le problème vient de restrictions imposées par le gouvernement américain au début des années 1990. Dans un billet, Ed Felten, professeur d’informatique à l’Université de Princeton, rappelle qu’elles empêchaient les éditeurs de logiciels d’exporter des produits intégrant du chiffrement fort. Certains fournisseurs ont donc commercialisé en dehors des Etats-Unis une version de leurs produits comportant des clés de chiffrement faible. Lorsque la loi a changé, la fonctionnalité destinée au mode export n’a pas été supprimée du protocole car certains logiciels s’y référaient encore, explique Ed Felten.

La faille Freak permet ainsi aux attaquants de dégrader la sécurité des connexions en passant au mode de chiffrement faible initialement intégré à des logiciels destinés à l’export. Les serveurs et postes clients vulnérables sont ceux qui acceptent les suites cipher RSA_EXPORT. Les sites web qui y recourent risquent de voir leurs connexions HTTPS interceptées. Le site freakattack.com fournit une liste des principaux sites qui doivent arrêter de les supporter.

Sources : Le monde Informatique

Le malware Babar décortiqué par des chercheurs en sécurité

Babar pourrait bien avoir été développé par les services secrets français pour suivre et enregistrer les conversations sur les messageries instantanées. (Crédit : D.R.)

Babar pourrait bien avoir été développé par les services secrets français pour suivre et enregistrer les conversations sur les messageries instantanées. (Crédit : D.R.)

Appartenant à la famille des k, mais également capable d’enregistrer des conversations audio en provenance des messageries instantanées, le logiciel malveillant Babar a été décortiqué par des chercheurs de GData. Il pourrait, ainsi que son supposé prédécesseur Evil Bunny, avoir été développé par la France.

Si dans la conscience collective Babar est un gentil éléphant, ce n’est assurément pas le cas dans la vraie vie. Mise à jour dans des documents d’Edward Snowden révélés par Le Monde en mars 2014, l’existence du programme espion Babar sur lequel les services secrets canadiens ont enquêté, est en train de dévoiler ses secrets. Dans un rapport, l’éditeur de sécurité GData a en effet livré des détails sur ce malware qui permet de collecter de façon ciblée des conversations réalisées par le biais de services de messagerie instantanée comme Skype, MSN ou encore Yahoo Messenger. Certaines traces du programme ont été retrouvées sur des serveurs en Iran, Algérie et Egypte mais également en Grèce, Espagne et en France.

Babar prend ainsi la forme d’un logiciel malveillant de type keylogger (enregistreur de frappes), mais est également capable d’écouter le microphone et le haut-parleur du système sur lequel il est installé. Ce programme serait en outre aussi capable de voler le contenu du presse-papier, fréquemment utilisé pour stocker des mots de passe par des applications comme KeePass. Mais contrairement aux derniers logiciels espions particulièrement sophistiqué, comme celui du groupe Equation en lien avec la NSA, Babar ne semble toutefois pas au niveau techniquement parlant. Paul Rascagnères, auteur d’un rapport pour le compte de l’éditeur en sécurité GData, a ainsi expliqué que Babar a été développé par « une équipe disposant de peu de moyens » et que « le logiciel n’est pas très discret non plus et ne se cache pas outre mesure ».

Des portions de code de Babar retrouvés dans Evil Bunny

Une autre chercheuse en sécurité, Marion Marshaleck de la société Cyphort, est parvenue quant à elle à identifier un autre logiciel espion, baptisé EvilBunny qui pourrait être une ancienne version de Babar. Ce dernier présentant plusieurs similitudes dont certaines portions de code source identiques à certaines trouvées dans Babar.

Pour les services secrets canadiens, la France et en particulier de la Direction Générale de la Sécurité Extérieure pourrait bien être à l’origine de Babar et d’Evil Bunny, plusieurs indices ayant émaillé leur recherche (emploi de codes en octets et non en bytes, surnom Titi, diminutif de Thierry, qui apparaît dans les caractéristiques techniques du logiciel…). Pour autant, rien ne permet de formellement le prouver.

Source : Le monde informatique

Piratage Gemalto : La NSA a volé des clés de chiffrement de cartes SIM

Un extrait de slide issu d'un document de l'agence GCHQ fuité par Edward Snowden. (crédit : D.R.)

Un extrait de slide issu d’un document de l’agence GCHQ fuité par Edward Snowden. (crédit : D.R.)

Selon des documents d’Edward Snowden, l’agence américaine de renseignements NSA mais également des communications britanniques GCHQ auraient piraté le fabricant de cartes SIM Gemalto afin de surveiller les communications téléphoniques mondiales.

Les agences de surveillance américaine NSA et britannique GCHQ sont sous le feu des projecteurs. Des nouvelles révélations relatives aux documents d’Edward Snowden font état d’un piratage de grande ampleur ayant visé Gemalto. Ces agences de renseignement seraient en effet parvenus en 2010 à pirater le réseau du géant spécialisé dans la fabrication de cartes SIM et voler des clés de chiffrement pour potentiellement surveiller les clients de centaines d’opérateurs mobiles dans le monde.

Ce piratage d’une rare ampleur aurait permis à la NSA et à la GCHQ (Governement Communications Headquarters) de suivre une très grande part des communications vocales mais également du trafic de données selon The Intercept, et ce, sans aucun accord des gouvernements étrangers. Le volume du trafic mobile intercepté par les deux agences n’est en revanche pas clairement établit.

Gemalto affirme ne pas avoir eu connaissance de cette opération

Un représentant de la NSA, contacté pour l’occasion, n’a pas souhaité commenté cette affaire. De son côté en revanche, Gemalto a officiellement apporté la précision suivante : « Nous ne pouvons à ce stade de l’enquête confirmer les informations de cet article, et n’avions aucune connaissance préalable que ces agences gouvernementales conduisaient cette opération. Gemalto, leader mondial de la sécurité numérique, est particulièrement vigilant en ce qui concerne les hackers malveillants, et a détecté et géré toutes sortes d’attaques au cours de ces dernières années. A ce stade le lien entre ces attaques passées et celle révélée hier ne peut pas être prouvé. »

Selon The Intercept, GCHQ aurait compromis les réseaux informatiques de Gemalto et installé un malware sur plusieurs ordinateurs pour accéder à tout son réseau mais également aux serveurs de paiement des opérateurs mobiles pour lui permettre de manipuler les frais de communication et cacher la surveillance sur les mobiles.

Basé aux Pays-Bas, Gemalto produit près de 2 milliards de cartes SIM chaque année. Près de 450 opérateurs mobiles, incluant AT&T, T-Mobile, Verizon Wirless et Sprint, utilisent ses cartes SIM.

Source : Le monde informatique