27-30.12.2013
CCH Hambourg
~9000 participants
Généralités
* L’étendue et le spectre des moyens d’espionnage de NSA/QCHG sont vastes. Exemples:
- copie et sauvegarde du trafic en masse des câbles sous-marins et de toute l’infrastructure des fournisseurs d’accès internet (ISPs) US
- accès aux serveurs de services internet de toutes les compagnies américaines comme Google, Facebook, Yahoo, … (webmail, cloud)
- portes dérobées dans tous les softwares possibles
- écoute et/ou transmission par radio (keylogging, CPU?)
- manipulation du hardware (par exemple en détournant les ordinateurs achetés via Amazon pour leur injecter du malware avant leur réception par les acheteurs)
- émetteurs WIFI cachés dans les prises USB (contourner l’air gap == espionnage de machines non-reliées à internet)
Sans Snowden, on ne saurait rien de cela – d’où sa victoire incontestée du Balls Of Steels Award 2013.
* Au-delà de la surveillance de masse, les individus que NSA/GCHQ ciblent précisément n’ont pratiquement pas de moyen de leur échapper. Pour ce qui est des ordinateurs, cela nécessiterait une connaissance parfaite et un contrôle régulier de tout le hardware et software des machines utilisées par la cible. Les injections de hardware sont pratiquement indétectables.
* La NSA prétend que la surveillance de toute machine utilisant iOS est fiable à 100%. Est-ce que Apple a contribué directement à cette situation?
* La NSA conserve tous les mails chiffrés par défaut, « pour plus tard » (ce qui tend à prouver qu’elle ne peut pas en casser (tout) le chiffrement pour l’instant).
* L’essentiel des softwares de surveillance de la NSA se basent sur de l’open source.
* Avantage de la NSA: moyens énormes. Défaut: trop de gens impliqués → risque humain (whistle blowing, accidents, non-respect des consignes de sécurité interne (volontaire ou non)).
* Les services comme Google, Facebook, etc., ne sont pas enthousiasmés par leur obligation de collaborer avec les autorités US dans le cadre de la surveillance de masse. Ils ne veulent surtout pas que des tiers (privés ou publiques) accèdent aux données de leurs utilisateurs/clients et – lorsque obligés – préfèrent fournir les données demandées par eux-mêmes plutôt que de laisser entrer quelqu’un dans leurs fermes de serveurs. Par contre, pas de problème avec la collaboration dans des cas individuels. Ces services ne peuvent pas être considérés comme sûrs.
* Entre 2009 et maintenant, plusieurs grands services (Google en premier) sont passés à HTTPS par défaut, ce qui est positif.
* Les grands fournisseurs d’accès à internet US (AT&T, Verizon, comcast) collaborent pleinement avec la NSA et continueront à le faire.
* En compromettant des technologies qui sont à la base d’internet et de la confiance des utilisateurs (et qui donc profitent à tous, y compris aux services de renseignements), la NSA se tire une balle dans le pied et compromet sa propre mission à long terme.
* L’attitude à l’égard des hackers « white hats » a changé, en tout cas aux USA. Au lieu de collaborer avec les hackers, les firmes auxquelles sont communiqué des failles de sécurité ont tendance à leur envoyer des injonctions de leurs avocats afin d’en empêcher la publication. D’où la frustration des hackers, dont certains se tournent vers les marchés noirs ou les agences de renseignements pour vendre leurs découvertes, et/ou rejoignent des firmes qui vendent des exploits, comme VUPEN et Hacker Team.
* Les applications open source demeurent préférables au reste en général, spécialement pour tout ce qui concerne la sécurité. La possibilité de considérer le code source rend l’introduction de porte dérobées vite repérable.
* Tor n’a pas été compromis. Les utilisateurs de Tor arrêtés ces derniers temps l’ont été à cause d’imprudences et de mauvaise OPSEC, pas à cause de Tor. Tor n’aura jamais de porte dérobée, disent ses principaux programmeurs. Les exploits utilisant Tor sont rendus possibles par une mauvais implémentation du Tor Browser (=> Firefox), pas par Tor en tant que tel.
* Au même titre et dans l’ensemble, la cryptographie n’est pas cassée si elle est implémentée de manière correcte (« Trust the math » – Bruce Schneier). La solution: math + open source = cryptomagie. Un maillon faible semble être les générateurs d’aléatoire utilisés pour créer des clés de chiffrement – certains sont apparemment trop prévisibles.
* Des compagnies de sécurité occidentales continuent de vendre des techniques de surveillance a des régimes de non-droit et participent ainsi activement à la militarisation de l’internet.
* Il y a une forte pression des autorités US et autres sur les producteurs de hardware. Les solutions à la « Trusted Computing » de Microsoft sont un rêve pour la NSA.
* La protection des données personnelles est un droit de l’Homme. Elle est inscrite dans les conventions UN et EU. Bien qu’il existe des autorités de protection des données dans tous les pays de l’UE, il reste des problèmes liés à leur moyens d’action et à leur indépendance. Il est remarquable que les avancées dans ce domaine sont dues à l’UE, particulièrement à la Cour européenne de Justice qui a par exemple condamné l’Allemagne et l’Autriche pour leur mauvaise mise en œuvre du droit européen en la matière. Il est nécessaire de développer et d’harmoniser la protection des données au niveau international.
* Définition des données personnelles au niveau EU (à venir dans la prochaine révision de la loi sur la protection des données): « everything that can identify and/or single out a person » .
Détails qui mettent de mauvaise humeur
* L’État surveillance en Inde est gigantesque. Il mélange biométrie et surveillance complète de toutes les télécommunications. L’Inde copie de manière aveugle ce qu’elle voit à l’Ouest. Elle n’est pas la seule – d’où la nécessité et l’opportunité pour l’UE de développer un autre modèle sur son propre territoire et d’établir ainsi un standard.
* Les cartes d’ID chinoises, obligatoires, contiennent de nombreuses données personnelles et sont de véritables mouchards en temps réels. L’appartenance à un « groupe à risque » (avocat, défenseur des droits de l’homme, prostituée, séropositif, …) y est inscrit, limitant drastiquement la liberté d’action. Par exemple: il n’est pas possible de prendre un billet de train sans montrer sa carte ID – le faire sera observé en temps réel.
Détails qui mettent de bonne humeur
* Les imprimantes 3D se répandent et se démocratisent.
* Les travaux ± artistiques de Julian Oliver et Adam Bartholl
* Reverse-enginnering du software des tamagotchis → environnement de développement open source
* Hack des signaux RDS en Finlande → permet théoriquement de créer son propre panneau d’attente de transport public personnel
Recommandations
* Les supports utilisant flash (cartes SD, USB sticks, SSD) contiennent tous un microprocesseur exploitable. –> préférer les supports statiques tels que DVD pour la sauvegarde de données.
* RSA 2048 ne peut plus être considéré sûr → créer de nouvelles clés openPGP à minimum 4096 bits.
* Le firmware est un point négligé → nécessité de blinder le BIOS, désactiver toutes les interfaces qui ne sont pas essentielles + évaluer des alternatives de firmware open source comme coreboot.
* exploit contre LUKS → trouver une alternative de chiffrement de disque dur en mode XTS,
* détecter une modification du hardware est très difficile → limiter au maximum l’éventualité d’un accès physique à la machine par un attaquant. L’accès physique est un cas de figure plus probable que d’autres (vol, Evil Maid Attack). Les attaques qui peuvent en découler sont variées et peuvent être durables et sérieuses.
* RC4 compromis (après que son créateur (RSA) a admis y avoir programmé une backdoor pour la NSA pour 10 mio USD) → s’en débarrasser partout. [Problème: RC4 est nécessaire pour regarder YouTube via HTTPS – utiliser l’option enable RC4 de l’extension CypherFox pour Firefox.]
* HTTPS (même cassé), Tor et openGPG restent sûrs (si configurés correctement) → à utiliser le plus possible et en faire la promotion.
* Certificats SSL de plus en plus manipulés → considérer CAcert
Conférenciers + (sans surprise)
- Jacob Applebaum, Tor
- Peter Schaar, ancien préposé à la protection des données allemand
- Christophe Soghoian, ACLU
Conférenciers + (découverts)
- Claudio Guarnieri & Morgan Marquis-Boire
- Maria Xynou, CIS
- windoona, hackeuse amateure
Conférenciers –
- evacide, EFF
- Philipp Brennan, SecondMuse