Le lecteur de PDF Flexpaper utilisé sur Wikileaks.org présente des risques de sécurité pour les utilisateurs

Posté par Koyaanisqatsi, 18 décembre 2014

WL ForumNous avons été mis au courant d’un risque potentiel de sécurité avec le logiciel open-source que Wikileaks utilise avec une bibliothèque Flash pour afficher les fichiers PDF au format .SWF
Le logiciel utilisé est Flexpaper qui utilise des flashvars non-statiques qui pourraient entraîner des attaques par Cross-Site Scripting.

Flexpaper est une bibliothèque Flash open-source pour charger les fichiers PDF https://code.google.com/p/flexpaper/ (Les développeurs sont conscients de la vulnérabilité et elle sera résolue dans les versions futures).

Deux vulnérabilités XSS et l’usurpation de contenus peuvent être utilisées par des usagers malveillants. Que ce soit pour affecter la vie privée des utilisateurs de Wikileaks, par exemple: l’utilisation de composants Flash spécifiquement pour désactiver et rendre visible un dispositif [de protection] derrière les utilisateurs du réseau Tor ou donner un lien vers du contenu externe pour discréditer Wikileaks, une chose que Wikileaks devrait éviter étant donné la nature des contenus publiés sur les serveurs de Wikileaks.

Une mention du dernier exemple du FBI pour désactiver et rendre visible les dispositifs [de protection] des utilisateurs: http://hackread.com/fbi-used-metasploit-decloak-expose-tor-users/

Compte tenu du fait que la plupart des navigateurs utilisent des plugins pour permettre la lecture des PDF, nous exhortons Wikileaks à donner directement le lien des fichiers PDF au lieu d’utiliser un logiciel tiers qui pourrait mettre en danger les utilisateurs.

Nous tenons à remercier Francisco Alonso @revskills http://twitter.com/revskills pour nous avoir fourni cette information.

Source: http://www.wikileaks-forum.com/security-support/608/-flexpaper-pdf-viewer-used-on-wikileaks-org-presents-security-risk-for-users/32700/;topicseen et https://twitter.com/wikileaks_forum/status/545868886009077760

La NSA Firefoxée: Mozilla fait équipe avec Tor pour améliorer la vie privée sur Internet

Russia Today, 11 novembre 2014

TOR-logo-2011Le navigateur Internet Mozilla fait équipe avec Tor pour donner aux utilisateurs d’Internet une plus grande sécurité en ligne. Le nouveau projet Polaris est conçu pour lutter contre la censure sur Internet et faire des intrusions semblables à la NSA une chose du passé.

Les révélations d’Edward Snowden concernant l’étendue de l’espionnage de la National Security Agency sur le grand public, a frappé durement les passionnés d’informatique et d’Internet. Un sondage mené par Harris Poll pour le compte de la société Internet Mozilla, le mois dernier, a révélé que les trois quarts des personnes interrogées estiment que leurs renseignements personnels sur le web sont moins sûrs qu’ils ne l’étaient il y a un an.

Mozilla, qui est responsable pour le navigateur Firefox, et qui célèbre son 10ème anniversaire, cherche de nouveau à regagner la confiance du public en faisant appel à l’aide de Tor, qui est un outil logiciel populaire destiné à protéger l’anonymat en ligne. Tor, qui est un acronyme pour « The Onion Router », fonctionne en faisant passer son chemin au hasard autour de serveurs, qui sont gérés par des volontaires partout dans le monde. Cela rend beaucoup plus difficile pour les entreprises de surveillance de garder une trace des mouvements d’une personne en ligne.

Lire la suite: http://rt.com/news/204411-mozilla-privacy-internet-tor/

Voir l’annonce de l’initiative Polaris sur le blog Mozilla: https://blog.mozilla.org/privacy/2014/11/10/introducing-polaris-privacy-initiative-to-accelerate-user-focused-privacy-online/

Un ex-avocat de la NSA: la cyber-guerre se déroule entre les entreprises de haute technologie et le gouvernement américain

Stewart Baker sur scène au Sommet du Web à Dublin

Stewart Baker a déclaré qu’Apple et Google pourraient être en train de limiter leur activité dans des marchés comme la Chine et la Russie par le chiffrement des données des utilisateurs

The Guardian, Jemima Kiss, 4 novembre 2014

La bataille sur le cryptage des données de service des utilisateurs Internet a planté les entreprises technologiques américaines contre le gouvernement américain lui-même, a déclaré mardi l’ancien avocat général de la NSA, Stewart Baker.

Prenant la parole lors au Sommet du Web à Dublin, Baker a affirmé que les mouvements opérés par Google et Apple et d’autres afin de crypter les données de l’utilisateur étaient plus hostiles à la collecte occidentale de renseignements que pour la surveillance établie par la Chine ou la Russie.

« Le département d’Etat a financé certains de ces outils, tels que Tor, qui a été utilisé dans les révolutions du Printemps Arabe ou pour passer le pare-feu chinois, mais ces crypto-guerres opposent principalement le gouvernement américain et les entreprises américaines, » a-t-il dit dans une conversation avec l’éditeur des projets spéciaux, James Ball.

Lire la suite: http://www.theguardian.com/technology/2014/nov/04/nsa-cyberwar-stewart-baker-cloudflare-snowden

Jacob Appelbaum se fait beaucoup de souci pour le futur de votre vie privée

Jacob Appelbaum à BerlinPhoto: Jacob Appelbaum à Berlin

Selon le magazine Rolling Stone, Jacob Appelbaum serait le « mec le plus dangereux du cyberespace ». Mais il ne l’est pas, et cette étiquette le fait chier. Appelbaum est en réalité un expert en cybersécurité et l’un des développeurs du Tor Project ; un collaborateur de WikiLeaks qui a récemment coécrit un livre avec Julian Assange et un ami de Laura Poitras, la confidente d’Edward Snowden, Laura Poitras avec qui il enquête sur la NSA pour Der Spiegel.

En 2010, Jacob est devenu une cible des services de renseignement étatsuniens du fait de ses liens avec WikiLeaks ; son matériel électronique a été saisi et Jacob a été placé en détention un paquet de fois. Pas particulièrement amateur de la persécution dont il faisait l’objet, Appelbaum est parti en Allemagne où il s’est fait approcher par tous les principaux partis politiques pour être leur expert en informatique ; il fait également office de consultant pour tous les films traitant de cybersurveillance et de sécurité sur Internet.

Le jour de notre interview, ses collègues du Chaos Computer Club – le plus grand collectif de hackers européen – s’attelaient à déjouer, avec succès, le fameux système de déverrouillage par empreinte digitale de l’iPhone 5S. Et Appelbaum promettait d’importants développements du réseau Tor. On s’est assis ensemble pour parler de la possibilité d’existence de la liberté individuelle dans le monde moderne.

Lire l’interview de Jacob Appelbaum: http://www.vice.com/fr/read/jacob-appelbaum-se-fait-beaucoup-de-souci-pour-le-futur-de-votre-vie-privee

TOR, le logiciel d’anonymisation en ligne, utilisé dans le monde entier

TOR project

Suite au projet récent du Japon d’interdire le réseau TOR (comme vous pouvez le lire dans l’article du Monde), nous avons décidé de vous faire découvrir ce logiciel d’anonymisation en ligne, qui est utilisé – entre autres – par des militants de WikiLeaks, mais aussi par plein d’autres personnes à travers le monde, un logiciel qui permet de surfer sur internet sans être pisté par les moteurs de recherche, tels que Google, Yahoo, etc. TOR peut être utilisé par des personnes qui souhaitent simplement préserver leur vie privée sur internet, pour que leurs recherches ne soient pas collectées à leur insu, ou bien il peut être utilisé par toute personne souhaitant protéger ses informations au regard d’activités professionnelles spécifiques, tels que les médias, les milieux liés à l’économie et aux affaires, les milieux hacktivistes ou militants, ou bien par des personnes exerçant des activités à haut-risque, comme les professions de l’armée ou des services de renseignement.

Que peut-on lire sur le site du projet TOR?

1. Qu’est-ce que TOR?

TOR est un logiciel libre et un réseau ouvert qui vous aide à vous défendre contre une forme de surveillance du réseau qui menace les libertés individuelles et la vie privée, les activités commerciales et relations confidentielles, et la sécurité d’Etat connue sous le nom d’analyse du trafic.
Pour en savoir plus au sujet de TOR

2. Pourquoi l’Anonymat est important?

TOR vous protège en faisant rebondir vos communications autour d’un réseau distribué en relais, maintenus par des volontaires partout dans le monde: il empêche qu’une tierce personne scrute votre connexion internet en prenant connaissance des sites que vous visitez, et cela empêche les sites que vous visitez de connaître votre emplacement physique. TOR fonctionne avec beaucoup d’applications existantes que vous avez, y compris les navigateurs Web, les clients de messagerie instantanée, les connexions à distance, ainsi que d’autres applications basées sur le protocol TCP.
Pour devenir bénévole avec TOR

3. Qui utilise TOR?

La famille et les amis: Des gens comme vous et votre famille utilisent TOR pour se protéger, pour protéger leurs enfants, et pour protéger leur dignité en utilisant internet.
Les hommes d’affaires: Les hommes d’affaires utilisent TOR pour chercher la compétition, pour garder leurs stratégies économiques confidentielles, et pour faciliter la reddition des comptes internes.
Les militants: Les militants utilisent TOR pour signaler de manière anonyme les abus dans des zones en danger. Les lanceurs d’alerte utilisent TOR pour signaler la corruption en toute sécurité.
Les médias: Les journalistes et les médias utilisent TOR pour protéger leurs recherches et leurs sources en ligne.
L’armée et les forces de l’ordre: Les militaires et les forces de l’ordre utilisent TOR pour protéger leurs communications, leurs enquêtes, et la collecte de renseignement en ligne.

TOR-logo-2011Pour télécharger TOR, il suffit de cliquer sur Download, en haut de page.

Image Creative Commons

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives