Le lecteur de PDF Flexpaper utilisé sur Wikileaks.org présente des risques de sécurité pour les utilisateurs

Posté par Koyaanisqatsi, 18 décembre 2014

WL ForumNous avons été mis au courant d’un risque potentiel de sécurité avec le logiciel open-source que Wikileaks utilise avec une bibliothèque Flash pour afficher les fichiers PDF au format .SWF
Le logiciel utilisé est Flexpaper qui utilise des flashvars non-statiques qui pourraient entraîner des attaques par Cross-Site Scripting.

Flexpaper est une bibliothèque Flash open-source pour charger les fichiers PDF https://code.google.com/p/flexpaper/ (Les développeurs sont conscients de la vulnérabilité et elle sera résolue dans les versions futures).

Deux vulnérabilités XSS et l’usurpation de contenus peuvent être utilisées par des usagers malveillants. Que ce soit pour affecter la vie privée des utilisateurs de Wikileaks, par exemple: l’utilisation de composants Flash spécifiquement pour désactiver et rendre visible un dispositif [de protection] derrière les utilisateurs du réseau Tor ou donner un lien vers du contenu externe pour discréditer Wikileaks, une chose que Wikileaks devrait éviter étant donné la nature des contenus publiés sur les serveurs de Wikileaks.

Une mention du dernier exemple du FBI pour désactiver et rendre visible les dispositifs [de protection] des utilisateurs: http://hackread.com/fbi-used-metasploit-decloak-expose-tor-users/

Compte tenu du fait que la plupart des navigateurs utilisent des plugins pour permettre la lecture des PDF, nous exhortons Wikileaks à donner directement le lien des fichiers PDF au lieu d’utiliser un logiciel tiers qui pourrait mettre en danger les utilisateurs.

Nous tenons à remercier Francisco Alonso @revskills http://twitter.com/revskills pour nous avoir fourni cette information.

Source: http://www.wikileaks-forum.com/security-support/608/-flexpaper-pdf-viewer-used-on-wikileaks-org-presents-security-risk-for-users/32700/;topicseen et https://twitter.com/wikileaks_forum/status/545868886009077760

Publicités

Un ex-avocat de la NSA: la cyber-guerre se déroule entre les entreprises de haute technologie et le gouvernement américain

Stewart Baker sur scène au Sommet du Web à Dublin

Stewart Baker a déclaré qu’Apple et Google pourraient être en train de limiter leur activité dans des marchés comme la Chine et la Russie par le chiffrement des données des utilisateurs

The Guardian, Jemima Kiss, 4 novembre 2014

La bataille sur le cryptage des données de service des utilisateurs Internet a planté les entreprises technologiques américaines contre le gouvernement américain lui-même, a déclaré mardi l’ancien avocat général de la NSA, Stewart Baker.

Prenant la parole lors au Sommet du Web à Dublin, Baker a affirmé que les mouvements opérés par Google et Apple et d’autres afin de crypter les données de l’utilisateur étaient plus hostiles à la collecte occidentale de renseignements que pour la surveillance établie par la Chine ou la Russie.

« Le département d’Etat a financé certains de ces outils, tels que Tor, qui a été utilisé dans les révolutions du Printemps Arabe ou pour passer le pare-feu chinois, mais ces crypto-guerres opposent principalement le gouvernement américain et les entreprises américaines, » a-t-il dit dans une conversation avec l’éditeur des projets spéciaux, James Ball.

Lire la suite: http://www.theguardian.com/technology/2014/nov/04/nsa-cyberwar-stewart-baker-cloudflare-snowden

Jacob Appelbaum compare les programmes de la NSA à « l’occupation militaire de tout l’Internet »

Jacob Appelbaum au Parlement Européen

Jacob Appelbaum, expert en sécurité informatique, parle dans cette vidéo d’une « capacité offensive » des systèmes de la NSA (au contraire d’une capacité défensive souvent avancée par les services secrets pour justifier l’espionnage massif), en citant notamment les programmes FoxAcid et Quantum, et en expliquant exactement comment ces systèmes fonctionnent quand les services secrets américains choisissent de cibler un individu particulier dans le cadre de l’espionnage de la NSA.

Cet expert en informatique qualifie le système de la NSA comme étant un outil « incroyablement effrayant ». Des sélecteurs de la NSA permettent d’atteindre directement un ordinateur et d’activer la surveillance à distance. Jacob Appelbaum insiste en comparant cela au cantonnement des soldats, car ces systèmes permettent de cibler les usagers chez eux et de les surveiller sans aucune nécessité pour la NSA de se déplacer. C’est une militarisation de l’espace internet.

Le système TOR, développé par des hackers dont fait partie Jacob Appelbaum, est, toujours selon l’expert informatique, un moyen efficace d’échapper aux nombreux systèmes de surveillance de la NSA. Même si le système TOR n’est certainement pas parfait, il permet néanmoins de crypter les informations et de compliquer la tâche de la NSA dans l’accès aux données des personnes ciblées, protégeant ainsi une partie des utilisateurs.

Voir aussi la vidéo: « Jacob Appelbaum au Parlement Européen » (traduite en français)

Jacob Appelbaum se fait beaucoup de souci pour le futur de votre vie privée

Jacob Appelbaum à BerlinPhoto: Jacob Appelbaum à Berlin

Selon le magazine Rolling Stone, Jacob Appelbaum serait le « mec le plus dangereux du cyberespace ». Mais il ne l’est pas, et cette étiquette le fait chier. Appelbaum est en réalité un expert en cybersécurité et l’un des développeurs du Tor Project ; un collaborateur de WikiLeaks qui a récemment coécrit un livre avec Julian Assange et un ami de Laura Poitras, la confidente d’Edward Snowden, Laura Poitras avec qui il enquête sur la NSA pour Der Spiegel.

En 2010, Jacob est devenu une cible des services de renseignement étatsuniens du fait de ses liens avec WikiLeaks ; son matériel électronique a été saisi et Jacob a été placé en détention un paquet de fois. Pas particulièrement amateur de la persécution dont il faisait l’objet, Appelbaum est parti en Allemagne où il s’est fait approcher par tous les principaux partis politiques pour être leur expert en informatique ; il fait également office de consultant pour tous les films traitant de cybersurveillance et de sécurité sur Internet.

Le jour de notre interview, ses collègues du Chaos Computer Club – le plus grand collectif de hackers européen – s’attelaient à déjouer, avec succès, le fameux système de déverrouillage par empreinte digitale de l’iPhone 5S. Et Appelbaum promettait d’importants développements du réseau Tor. On s’est assis ensemble pour parler de la possibilité d’existence de la liberté individuelle dans le monde moderne.

Lire l’interview de Jacob Appelbaum: http://www.vice.com/fr/read/jacob-appelbaum-se-fait-beaucoup-de-souci-pour-le-futur-de-votre-vie-privee

TOR, le logiciel d’anonymisation en ligne, utilisé dans le monde entier

TOR project

Suite au projet récent du Japon d’interdire le réseau TOR (comme vous pouvez le lire dans l’article du Monde), nous avons décidé de vous faire découvrir ce logiciel d’anonymisation en ligne, qui est utilisé – entre autres – par des militants de WikiLeaks, mais aussi par plein d’autres personnes à travers le monde, un logiciel qui permet de surfer sur internet sans être pisté par les moteurs de recherche, tels que Google, Yahoo, etc. TOR peut être utilisé par des personnes qui souhaitent simplement préserver leur vie privée sur internet, pour que leurs recherches ne soient pas collectées à leur insu, ou bien il peut être utilisé par toute personne souhaitant protéger ses informations au regard d’activités professionnelles spécifiques, tels que les médias, les milieux liés à l’économie et aux affaires, les milieux hacktivistes ou militants, ou bien par des personnes exerçant des activités à haut-risque, comme les professions de l’armée ou des services de renseignement.

Que peut-on lire sur le site du projet TOR?

1. Qu’est-ce que TOR?

TOR est un logiciel libre et un réseau ouvert qui vous aide à vous défendre contre une forme de surveillance du réseau qui menace les libertés individuelles et la vie privée, les activités commerciales et relations confidentielles, et la sécurité d’Etat connue sous le nom d’analyse du trafic.
Pour en savoir plus au sujet de TOR

2. Pourquoi l’Anonymat est important?

TOR vous protège en faisant rebondir vos communications autour d’un réseau distribué en relais, maintenus par des volontaires partout dans le monde: il empêche qu’une tierce personne scrute votre connexion internet en prenant connaissance des sites que vous visitez, et cela empêche les sites que vous visitez de connaître votre emplacement physique. TOR fonctionne avec beaucoup d’applications existantes que vous avez, y compris les navigateurs Web, les clients de messagerie instantanée, les connexions à distance, ainsi que d’autres applications basées sur le protocol TCP.
Pour devenir bénévole avec TOR

3. Qui utilise TOR?

La famille et les amis: Des gens comme vous et votre famille utilisent TOR pour se protéger, pour protéger leurs enfants, et pour protéger leur dignité en utilisant internet.
Les hommes d’affaires: Les hommes d’affaires utilisent TOR pour chercher la compétition, pour garder leurs stratégies économiques confidentielles, et pour faciliter la reddition des comptes internes.
Les militants: Les militants utilisent TOR pour signaler de manière anonyme les abus dans des zones en danger. Les lanceurs d’alerte utilisent TOR pour signaler la corruption en toute sécurité.
Les médias: Les journalistes et les médias utilisent TOR pour protéger leurs recherches et leurs sources en ligne.
L’armée et les forces de l’ordre: Les militaires et les forces de l’ordre utilisent TOR pour protéger leurs communications, leurs enquêtes, et la collecte de renseignement en ligne.

TOR-logo-2011Pour télécharger TOR, il suffit de cliquer sur Download, en haut de page.

Image Creative Commons

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives

  • Publicités