La messagerie préférée des politiques américains attaquée

Plusieurs failles critiques ont été détectées dans l'application de messagerie instantanée Confide, particulièrement utilisée au sein de la Maison Blanche. Ce sont les chercheurs en sécurité d'IOActive qui révèlent la possibilité d'usurper l'identité d'un utilisateur sur les versions mobiles et desktop. Ces vulnérabilités, dévoilées fin février, ont été rapidement corrigées. Cependant, contrairement à ses concurrents, Confide n'a jamais ouvert son code source, ce qui rend les audits plus complexes à effectuer. L'entreprise s'est par ailleurs ailleurs distinguée par un discours marketing très agressif, se targuant d'utiliser "des algorithmes de chiffrement militaires".

The critical vulnerabilities impacting Confide include impersonating another user by hijacking an account session or by guessing a password, learning the contact details of Confide users, becoming an intermediary in a conversation and decrypting messages, and potentially altering the contents of a message or attachment in transit without first decrypting it. (Source)

Twitter Facebook

La CIA n'a pas cassé le chiffrage de Whatsapp et Signal

Après la révélation par Wikileaks de 9000 pages de documents internes à la CIA (nom de code Vault 7), détaillant notamment plusieurs techniques permettant de pirater les téléphones Android et iOS, de nombreux médias ont annoncé que la sécurité de messagerie instantanée Signal et WhatsApp était compromise. Cependant, rien dans ces documents ne démontre que les techniques de chiffrage utilisées par ces applications ont été cassées. Si les conversations restent parfaitement protégées entre chaque utilisateur, ce n'est pas le cas de chaque end-point, qui peut être espionné dès lors que le téléphone est attaqué. Toute l'activité des utilisateurs (saisie au clavier, appareil photo, microphone) peut alors être détournée.

“It isn’t about ‘defeating encryption,’ despite the hype,” says Nicholas Weaver, a computer security researcher at the International Computer Science Institute. “If you compromise a target’s phone, you don’t care about encryption anymore.” (...) “The CIA/WikiLeaks story today is about getting malware onto phones, none of the exploits are in Signal or break Signal Protocol encryption,” said Open Whisper Systems in a response on Twitter. “The story isn’t about Signal or WhatsApp, but to the extent that it is, we see it as confirmation that what we’re doing is working.” (source)

Twitter Facebook

Des assistants personnels qui obéissent aux publicités

Les possesseurs américains de Google Home ou de Amazon Echo ont eu la surprise de voir leur assistant personnel se déclencher lors de certaines publicités diffusées pendant le Super Bowl. Dotés de systèmes de reconnaissance vocale, ces objets connectés n'ont pas su déterminer que les commandes enregistrées étaient émises par un téléviseur et non par leur propriétaire. Rappelons que ces assistants enregistrent en continu les sons afin de détecter certains mots clés ou structure de phrase.

The best way to ensure your TV doesn’t hijack your helper is to use the physical switch on the back of each assistant that turns off the microphone. This is something you need to do manually every time you’re sitting down to watch a sporting event, or some other live TV show bound to include commercials you can’t skip. (source)

Twitter Facebook