Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Pensez-vous que le système de messagerie iMessages d’Apple est sécurisé ?

Si l’ont en croit le discours officiel d’Apple, les messages sont chiffrés et personne à part l’émetteur et le récepteur ne peut les voir ou les lire. Apple a effectivement confirmé qu’il ne pouvaient pas lire ces messages, ce qui a rassuré les clients de la pomme stressés de la NSA.

Mais le problème, c’est que c’est centralisé. Tous les messages transitent via les serveurs d’Apple, ce qui en théorie peut permettre à Apple de lire vos messages. D’après le français Cyril Cattiaux (Pod2G) chercheur pour QuarksLab qui a analysé le protocole utilisé par iMessages, Apple dispose de toutes les conditions pour mettre en place une attaque MITM (Man In The Middle) sur des échanges iMessages.

Les iMessages sont chiffrés avec la clé publique du destinataire qui est récupérée par l’application sur les serveurs d’Apple. Le tout est ensuite envoyé aux serveurs d’Apple. Ces derniers transmettent alors le message au destinataire. Seulement techniquement, rien n’empêcherait Apple, contrairement à ce qu’ils déclarent publiquement, de remplacer ces clés par des clés contrôlées par Apple (ou la NSA…) permettant ainsi un déchiffrement des messages.

Comme le système n’est pas du tout transparent, il est impossible de voir que la clé publique du destinataire a été modifiée. Les utilisateurs doivent donc avoir conscience que la sécurité de leurs iMessages repose uniquement sur la confiance qu’ils accordent à Apple. Avec un serveur public de clés, ce serait alors transparent et on pourrait avoir confiance.

messages_exchange

D’ailleurs, l’attaque MITM est peut être l’option la plus complexe sachant qu’il y a beaucoup plus facile pour Apple. Vous savez sans doute qu’il est possible d’associer plusieurs appareils Apple à 1 compte iMessages. Cela se traduit techniquement par la récupération de plusieurs clés publiques pour chiffrer le message et le mettre à dispo de tous les terminaux. Il suffirait à Apple d’ajouter une de ses clés à la liste des terminaux liés et paf, chaque message reçu par une personne aura été chiffré par sa/ses clés + la clé spéciale ajoutée d’Apple. Le tout en totale transparence pour l’utilisateur… Brrrr…

En conclusion, le chiffrement des iMessages protège des scripts kiddies, mais pas du tout de la NSA et autres agence gouvernementale contrairement à ce qu’à voulu faire croire Apple.

La question maintenant, c’est, l’ont-ils déjà fait ?

index

Ici c’est Apple qui est pris en exemple, mais tous les systèmes de messagerie instantanés qui fonctionnent sur le même modèle peuvent être poutrés de la même façon. La solution réside dans la décentralisation et surtout la transparence !

En attendant, histoire de rassurer tout le monde, les chercheurs de QuarksLab ont mis en ligne une application pour Mac OSX baptisée IMITMProtect qui permet de se protéger de ce genre d’attaque. Malheureusement, ce n’est pas dispo pour la version iOS d’iMessages car l’application ne stocke pas les clés sur le téléphone. Il est donc impossible de les comparer.

@  — 

Si vous êtes dans le business de la pédale ou si vous faites du vélo en amateur tous les week-ends, voici une invention qui risque de révolutionner cette pratique. Il s’agit d’Helios, un guidon « intelligent » pour vélo de course.

Ce guidon embarque une LED puissante à l’avant pour la nuit et 2 LED sur les embouts donnant sur l’arrière faisant ainsi office de clignotants.

couleurs

Mais surtout, il contient un tracker GPS qui vous permettra de localiser votre vélo à partir de votre téléphone ainsi qu’un module Bluetooth qui grâce à l’application mobile vous permettra de choisir la couleur de vos LED (possible aussi en fonction de votre vitesse) et l’allumage automatique de celles-ci lorsque vous êtes en approche.

retrouve

Top pour retrouver son vélo la nuit…

Il est en aluminium renforcé, est totalement résistant à l’eau et dispose d’une autonomie de 7 heures.

https://www.youtube.com/watch?v=4aPBaPaqyys

Ce guidon universel existe en 2 formats et vous pourrez le monter sur n’importe quel vélo de course.

Je trouve ça plutôt cool de voir des objets aussi classiques qu’un guidon de vélo, se « connecter » (au moins à son téléphone). J’imagine qu’à l’avenir ce sera un vrai petit ordinateur de bord capable de nous dire à combien on a roulé en moyenne, sur combien de kilomètres et nous prévenir en cas d’usure des freins…etc.

A suivre !

@  — 

Utilisateurs de Windows, si pour vous la sécurité des données c’est important, c’est le moment de tester AxCrypt.

Il s’agit d’un petit logiciel de chiffrement qui s’intègre parfaitement dans le menu contextuel de Windows et qui permet de protéger n’importe quel fichier avec un chiffrement AES-128 et un mot de passe.

pm

Là où ça devient beau, c’est que vous pouvez travailler avec vos fichiers chiffrés de manière quasi transparente puisque AxCrypt vous autorise à ouvrir, éditer et sauvegarder n’importe quel document comme s’il n’était pas chiffré.

AxCrypt a ce petit côté pratique qui permet aussi de chiffrer un document et l’envoyer à un contact par email sans que celui-ci n’ait besoin d’installer le logiciel. En effet, le fichier chiffré embarque un module de déchiffrement. Tout ce que votre contact a donc besoin de connaitre, c’est le mot de passe.

pass

Un bon complément à des outils comme Dropbox ou pour sécuriser au minimum vos échanges de documents.

AxCrypt est téléchargeable ici.

@  — 

J’adore Mozilla, car ils innovent sans cesse pour rendre le web plus sympa avec les Internautes. Ils oeuvrent pour le bien de tous et Shumway en est encore une preuve.

L’objectif de Mozilla avec Shumway est d’utiliser les technos HTML5 pour afficher des animations SWF sans avoir besoin du plugin Flash. Il s’agit comme à chaque fois d’un projet communautaire (dispo sur Github) qui utilise des standards et qui pourra (si ça fonctionne bien) être intégré d’office dans Firefox (un jour…)

Si vous voulez jouer avec Shumway, pas la peine d’attendre puisque l’extension Firefox est disponible ici (et la doc ici).

D’ailleurs, Mozilla a mis en ligne quelques démos plutôt sympathiques en AS3 et AS2 à tester avec Shumway :

@  — 

C’est pas récent mais voici une petite vidéo qui va bien vous plaire je pense….

Je ne vous en dis pas plus !

Merci à David pour ce grand moment de LOL. De source américaine, il s’agirait d’un fake… hmm…