Darren Pauli, du Reg , révèle que Virus Total (le scanner multi-moteurs en ligne) est sur le point d’ajouter une sandbox destinée aux applications Apple.
3 trous Adobe corrigés « hors calendrier » et, une fois n’est pas coutume, qui ne concernent pas du tout Flash Player. C’est Coldfusion qui est visé. Aucun exploit « dans la nature » n’a été repéré.
Xavier Mertens, (@xme lorsqu’il gazouille), reverser et analyste de malware réputé en Europe, signe, sur le journal du Sans, l’autopsie d’un virus-macro Word . Attention, la mise en page est faite à la diable et censure 80% du texte… un couper-coller de la page vers un éditeur est nécessaire.
La sphère politique internationale, suite aux attentats de vendredi dernier, a rapidement réagi en criant haro sur le chiffrement. A tel point que l’on aurait pu croire revenues les grandes heures de la DCSSI, du Wep 48 bits et de l’assimilation « vous chiffrez, donc vous avez quelque chose à vous reprocher ».
Depuis le début de la semaine passée, la rédaction de CNIS Mag a insisté sur l’absence totale de preuves techniques permettant d’affirmer que les outils de chiffrement avaient joué un rôle majeur dans ces terribles évènements, et qu’il ne s’agissait là que d’une instrumentalisation cynique de la part d’un quarteron d’élus (tous pays confondus) faisant le jeu des extrémistes. C’est également l’avis de Dan Froomkin, de The Intercept, lequel écrit en substance « plusieurs signes indiquent que les communications du réseau terroriste n’étaient absolument pas chiffrées ». Ceux-ci auraient même employé de simples SMS durant leurs échanges, et les informations tactiques relatives à leurs attaques (notamment le plan de la salle de concert) étaient stockées sans la moindre protection sur leurs terminaux mobiles. Techdirt publie un billet allant également en ce sens.
Au temps pour les adversaires du secret de la correspondance.
Cela ne sous-entend quand même pas que l’organisation Daech ignore tout des outils de chiffrement. Plusieurs sites témoignent du contraire, à commencer par ceux qui apparaissent depuis peu sur le Darknet. Mais c’est également le cas de toute organisation clandestine… ou entreprise commerciale jouant un rôle à l’International : chiffrer, c’est se protéger des vols d’identité, préserver des secrets de fabrication, parer l’espionnage de tractations commerciales stratégiques… Lorsqu’un gouvernement Européen tente de faire passer une loi « anti chiffrement » (à l’instar du projet Britannique « Investigatory Powers Bill »), cela pourrait bien être pour d’autres raisons comme par exemple accroître les capacités de surveillance intérieure (autrement dit celles de ses propres citoyens) ? Améliorer les moyens d’espionnage industriel ? Et chasser le terroriste et le crime organisé dans tout ça ? Sans doute. Le jour où des personnes qui n’hésitent pas à tuer par pure idéologie, religieuse ou non, ou encore des groupes qui orchestrent des réseaux mafieux se soucieront du respect des lois sur l’usage du numérique en vigueur dans le monde …
Carnegie Mellon précise, dans un communiqué officiel, que les propos de Roger Dingledine, directeur du projet Tor, sont inexacts et que les travaux de l’Université sur le contournement des mécanismes de protection de Tor seraient (sans l’affirmer précisément) la conséquence d’une assignation du FBI. Assignation à laquelle l’Université se doit de répondre, comme tout établissement alimenté par le budget Fédéral.
Rien dans ce communiqué ne nie clairement le fait que le FBI ait financièrement subventionné les recherches en question (ce qui serait d’ailleurs assez logique compte tenu du système économique qui régit la recherche universitaire US. Les chercheurs ne sont pas payés directement par le FBI, mais le département de recherche ne peut se permettre de travailler gratuitement).
Nul passage ne vient non plus nier le fait que l’établissement a travaillé sur un ou des moyens visant à intercepter des contenus transitant via le réseau chiffré.