Archives par mot-clé : pgp

Protonmail permet de passer par TOR pour sécuriser ses correspondances

Le service de courriel sécurisé, ProtonMail, propose son service en passant par une adresse utilisant les nœuds TOR pour sécuriser encore plus les correspondances de ses utilisateurs.

Le service de messagerie chiffrée, ProtonMail, vient d’annoncer le lancement de son service via TOR et l’anonymisation que peut procurer le système TOR et .Onon. L’idée, aider à lutter contre la censure et l surveillance des gouvernements totalitaires. Les développeurs de Protonmail soulignent sur leur blog que l’utilisation de Tor a plusieurs avantages, y compris des couches supplémentaires de chiffrement pour les communications, la protection de l’adresse IP réelle de l’utilisateur, et la possibilité de contourner les mécanismes de censure.

En revanche, l’accès au service aura un impact négatif sur la performance. Attention, le site caché est encore expérimental. Il n’est dont pas aussi fiable que le site « régulier ». Le service passant par TOR peut-être utilisé via l’adresse protonirockerxow.onion.

Il ne peut être utilisé que par le navigateur TOR. Il est uniquement accessible via HTTPS et il utilise un certificat de Digicert, la même société qui a également émis un certificat SSL pour l' »oignon » de Facebook. Des instructions détaillées sur la façon d’accéder au service sur Tor ont été mis à disposition par ProtonMail. Lancé officiellement en 2014, ProtonMail est accessible au public depuis Mars 2016. Le service est accessible via un navigateur Web, ou les applications mobiles iOS et Android.

Protonmail est actuellement le plus grand service de courrier électronique chiffré avec plus de 2 millions d’utilisateurs. Il utilise le système de chiffrement de PGP toujours considéré comme inviolable à ce jour.

GMX lance un service de chiffrement de mail via PGP

Les mails représentent le moyen de communication le plus utilisé sur Internet. Cependant, n’étant généralement pas chiffrés par défaut, leur niveau de sécurité est aussi faible que celui d’une carte postale.

Suite aux nombreuses atteintes aux données sensibles des grandes entreprises ces dernières années, ainsi qu’aux révélations de Snowden, les internautes sont de plus en plus conscients de la vulnérabilité de leurs données en ligne. Grâce au PGP (Pretty Good Privacy), un standard de sécurité mondialement reconnu, GMX offre à tous les utilisateurs la possibilité de facilement chiffrer leurs mails. GMX est le premier fournisseur proposant gratuitement le chiffrement des mails de bout-en-bout. Ce nouveau service est compatible avec tous les appareils les plus fréquemment utilisés.

« Grâce à l’intégration du chiffrement de bout-en-bout, GMX offre à ses clients le contrôle absolu de leur conversations privées. Tous les utilisateurs, quelles que soient leurs compétences techniques, peuvent désormais chiffrer leurs emails afin que leurs destinataires soient les seuls à pouvoir accéder à leur contenu. Via un navigateur ou depuis l’application GMX pour smartphones, il est désormais possible pour tous d’avoir recours au chiffrement grâce à une technologie dont l’installation était autrefois très complexe. C’est un grand pas en faveur de la généralisation du chiffrement » déclare Jan Oetjen, Président de GMX.

L’assistant d’installation configure le PGP pour les utilisateurs
Cette approche permet de résoudre les trois principaux problèmes auxquels ont déjà été confrontés les utilisateurs qui ont souhaité utiliser le chiffrement de bout-en-bout et qui ont pu freiner son adoption : l’installation du PGP, l’échange de clés et l’aide disponible en cas de perte de la clé. GMX a donc lancé son assistant de configuration pour accompagner les premiers pas des utilisateurs jusqu’à l’envoie de leur premier mail chiffré. Après avoir installé le plug-in sur le navigateur, une clé privée et une clé publique est générée automatiquement et attribuée spécifiquement à l’utilisateur. Les e-mails adressés à un destinataire en particulier sont ainsi chiffrés avec la clé publique de ce destinataire et ne peuvent alors être déchiffrés par cette personne qu’en utilisant une clé privée secrète. En transférant simplement les clés entre les appareils, les utilisateurs peuvent également enregistrer rapidement leur clé privée sur leur smartphone pour permettre de la restaurer facilement à partir de l’un de leurs appareils, même en cas de perte.

Une solution basée sur de l’open source
Le chiffrement PGP de ce service a été développé à l’aide du logiciel open source Mailvelope, et peut ainsi être utilisé sur la quasi-totalité des appareils électroniques. Lors d’une connexion via un moteur de recherche, le plug-in s’intègre automatiquement à l’interface habituelle de la messagerie de GMX et chiffre directement le contenu du mail et les pièces-jointes avant l’envoi. Ce plug-in est directement inclus dans les versions Android et iOS de l’application GMX pour les smartphones et tablettes. Cela permet aux utilisateurs de chiffrer et déchiffrer leurs messages sur les appareils les plus couramment utilisés. Même les pièces-jointes sont maintenant facilement chiffrables avec le reste de l’email, et cela quel que soit l’appareil, ce qui auparavant demandé des efforts supplémentaires.

Résoudre le problème du PGP grâce à un répertoire de clé publique dédiée
Avec son répertoire de clé publique dédié, GMX offre la solution à l’un des problèmes majeurs de la technologie PGP : comment les clés publiques des autres utilisateurs peuvent être accessibles de façon sécurisée et comment peut-on s’assurer que ce sont les bonnes clés ? Toutes les clés publiques générées par le moteur du plug-in sont stockées dans un répertoire administré par GMX. Grâce à une signature spécifique, GMX s’assure que les clés contenues par ce répertoire correspondent bien à celles des comptes dans le répertoire. Seuls les utilisateurs connaissent leurs clés privées.

Publier le code source de son service pour en assurer la transparence
GMX assure la transparence de son service en publiant le code source et en mandatant des experts en sécurité, externes à l’entreprise, pour effectuer des audits. Toutes les informations sensibles – comme les clés privées ou les mots de passe – échappent au contrôle de GMX et ne pourront jamais être consultés par eux. Les utilisateurs conservent ainsi la pleine souveraineté de leurs données. Cela signifie tout d’abord que les utilisateurs peuvent choisir quels messages ils souhaitent chiffrer, mais le chiffrement de bout-en-bout signifie également que les utilisateurs sont responsables de la sécurité de leurs appareils, de leurs clés privées. Le chiffrement ne peut être sûr que si l’appareil l’est.

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.