Les claviers sans fil pourraient aussi servir à espionner !

Après les souris (MouseJack), les claviers sans fil… Avec une simple antenne et un dongle USB, plus quelques lignes de code écrites en Python, un pirate peut enregistrer « toutes » les frappes réalisées par l’utilisateur d’un clavier sans fil bon marché ou générer ses propres frappes, selon la start-up américaine Bastille. Et ce dans un rayon de plusieurs dizaines de mètres autour de la cible.

Claviers sans fil vulnérables

« Lorsque nous achetons un clavier sans fil, nous nous attendons à ce que le fabricant ait conçu et intégré la sécurité nécessaire au coeur du produit », a déclaré Marc Newlin, ingénieur et chercheur chez Bastille. « Nous avons testé les claviers de 12 fabricants et nous avons constaté, malheureusement, que 8 d’entre eux (soit les deux tiers) sont vulnérables à une attaque [que l’on nomme] KeySniffer ».

Ces claviers sans fil utilisent le plus souvent des protocoles radio propriétaires peu testés et non sécurisés pour se connecter à un PC, à la différence du standard de communication Bluetooth. Ils sont d’autant plus faciles à détecter car leur signal est toujours actif… Les fabricants concernés (dont HP, Toshiba et Kensington) ont tous été alertés. Selon Bastille, la plupart, voire tous les claviers exposés à KeySniffer ne peuvent pas être mis à jour et devront être remplacés.

Absence de chiffrement

En 2010 déjà, les développeurs de Dreamlab Technologies ont exposé une faille dans un clavier sans fil Microsoft. Le « renifleur » et programme Open Source KeyKeriki a capté le signal et déchiffrer les données transmises à un ordinateur… Mais la découverte de Bastille, KeySniffer, est différente. Elle montre que des fabricants produisent et vendent encore des claviers wireless sans chiffrement.

La start-up recommande aux internautes d’utiliser un clavier filaire pour se protéger.

Article original de Ariane Beky

Réagissez à cet article

Attentat dans une église : la messagerie chiffrée Telegram utilisée par un terroriste ?

Il faut s’attendre à voir très vite renaître le débat sur le chiffrement et l’obligation qui pourrait être faite aux fournisseurs de messageries électroniques de laisser les services de Renseignement accéder aux communications. La Voix du Nord affirme qu’Adel Kermiche, l’un des deux coauteurs de la tuerie de l’église de Saint-Étienne-du-Rouvray, près de Rouen, utilisait la messagerie chiffrée Telegram, à des fins djihadistes. Il aurait envoyé un message sur un canal de discussion une heure avant l’attaque.

« Selon nos informations, Adel Kermiche avait ouvert sur Telegram une « private channel » (haqq-wad-dalil), une chaîne lui permettant de s’adresser à une audience ultra-sélectionnée. Il avait choisi pour nom de code Abu Jayyed al-Hanafi et la photo de Abou Bakr al-Baghdadi, chef suprême de l’État islamique, comme représentation », écrit le quotidien régional.

TÉLÉCHARGER (SIC) CE QUI VA VENIR ET PARTAGER LE EN MASSE ! ! ! !

Selon les membres arabophones de la rédaction de Numerama, haqq-wad-dalil signifierait quelque chose comme « preuve de la vérité » ou « guide de la vérité ».

La Voix du Nord ajoute que « le terroriste correspondait depuis des mois via ce canal avec près de 200 personnes, dont une dizaine de Nordistes », qui étaient d’abord approchés par Facebook. Le matin de l’attentat, le 26 juillet 2016 à 8h30, il aurait envoyé sur ce salon un message qui disait : « Télécharger (sic) ce qui va venir et partager le en masse ! ! ! ! ».

Le quotidien ne dit rien d’un éventuel document qui aurait pu être mis en partage par la suite, ce qui ne laisse la voie qu’à des spéculations. Peut-être Kermiche avait-il prévu de filmer son acte odieux, ou des revendications, et espérait trouver des relais à sa diffusion à travers ses contacts sur Telegram.

Si cette information se confirme ce serait, à notre connaissance, la première fois qu’un lien direct est effectué entre un attentat terroriste en France et l’utilisation de messageries chiffrées.

COMMENT SURVEILLER TELEGRAM ?

La Voix du Nord ne dit pas par quel biais le message aurait été découvert. Il est possible que les enquêteurs aient trouvé ce message en accédant à l’historique Telegram du terroriste, depuis son téléphone mobile qui n’aurait pas été bloqué. Le plus probable est toutefois que l’information provienne d’un autre utilisateur du salon haqq-wad-dalil, puisque le quotidien cite le témoignage de l’un d’entre eux, qui explique que les échanges pouvaient y être « écrits ou oraux mais toujours détruits rapidement ».

Il est connu depuis de très nombreux mois que Telegram, qui dispose de plus de 100 millions d’utilisateurs à travers le monde, est aussi utilisé par des djihadistes qui recherchent la sécurité d’une messagerie chiffrée.

Après avoir refusé d’opérer la moindre censure, en tout en continuant à livrer la moindre information personnelle sur ses utilisateurs, Pavel Durov a fini par décider en novembre 2015 de fermer des salons de discussion liés à l’État islamique, pour mettre fin aux accusations de complicité passive. Il avait appelé les internautes à les signaler pour permettre leur fermeture.

Théoriquement, les canaux de discussion peuvent être infiltrés par les agents des services de renseignement. Reste qu’en l’absence de communication d’informations sur les utilisateurs, il peut être difficile de remonter jusqu’à l’auteur d’un message présentant une menace particulièrement élevée.

Article original de Guillaume Champeau

Réagissez à cet article

Connaissez-vous le réseau plus anonyme et rapide que Tor ?

A l’image de Tor, le plus célèbre des réseaux de ce type, Riffle permet de surfer et de communiquer en théorie en parfait anonymat en s’appuyant sur le protocole de chiffrement “en oignon”. Cela signifie qu’il est composé d’une multitude de couches de routeurs, autant de “noeuds” par lesquels transitent les flux d’informations sur le réseau, garantissant ainsi l’anonymat de ses utilisateurs. Les données personnelles de l’internaute (adresse IP, pays) ne peuvent ainsi plus être localisées par les sites visités. Cette alternative serait toutefois selon ses créateurs bien plus sécurisée et fiable que Tor et consorts.

Selon le MIT, l’avantage de Riffle repose sur ses serveurs, capables de permuter l’ordre de réception des messages rendant l’analyse du trafic encore plus complexe et favorisant donc l’anonymat des utilisateurs. Si, par exemple, les messages provenant d’expéditeurs Alice, Bob et Carol atteignent le premier serveur dans l’ordre A, B, C, ils peuvent être renvoyés dans un ordre complètement différent au serveur suivant, et ainsi de suite. Les utilisateurs du réseau deviennent alors en théorie parfaitement impossibles à identifier.

Dernier point non négligeable, Riffle proposerait une meilleure bande passante, garantissant une navigation plus fluide et des échanges de fichiers accélérés.

Cette annonce intervient alors que la sécurité de Tor a récemment été mise à mal par des chercheurs de la Northeastern University de Boston (États-Unis) qui a découvert plus d’une centaine de “nœuds-espions”, en réalité des serveurs, capables d’identifier des services cachés et éventuellement de les pirater.

Davantage de détails sur Riffle, toujours en phase de développement, seront communiqués lors de sa présentation officielle à la conférence Privacy Enhancing Technologies Symposium (PETS), qui se déroulera du 19 au 22 Juillet à Darmstadt (Allemagne).

Article original de Etienne Froment

Réagissez à cet article

Alerte ! Arnaque sur Pokémon Go : Comment se protéger ?

C’est une constante depuis que le monde est monde : chaque phénomène, événement ou service est utilisé pour arnaquer des gens. Et si le web n’a pas inventé l’arnaque, il l’a très certainement raffinée. Bien entendu, la folie Pokémon Go n’y échappe pas : aujourd’hui, si vous traînez sur Twitter, vous allez peut-être voir quelqu’un de vos contacts vous demander si vous « avez besoin Pokécoins », avec un lien dirigeant vers une page web. Celle-ci se présente comme un service de triche vous permettant de gagner de la monnaie virtuelle en quelques clics.

Il s’agit d’un scam : vous allez devoir cliquer sur plusieurs pubs et entrer vos informations personnelles dans plusieurs formulaires avant d’avoir accès à votre « cadeau ». Il ne viendra jamais, bien entendu. Ne cliquez donc absolument pas sur ce lien et si vous y êtes tombé par hasard, fermez tout de suite la fenêtre.

Cela dit, cette arnaque exploite aussi à merveille le vecteur de contamination rapide qu’est Twitter en réussissant à tweeter la publicité à partir de comptes parfaitement légitimes qui peuvent être vos collègues et amis. Comment ? Elle utilise une autorisation nommée « pokemonAPP », ou « Pokémon. » qui aurait été, d’après nos informations, laissée en repos il y a quelques mois lors d’un test « Quel Pokémon êtes-vous ? ». Il était donc facile de tomber dans le panneau en voulant s’amuser et, sans y faire trop attention, laisser le contrôle de son compte à un éditeur mal intentionné.

Pour éviter d’avoir de mauvaises surprises et de répandre malgré vous l’arnaque, voilà la marche à suivre :

• Allez sur Twitter.
• Cliquez sur Paramètres puis sur Applications (ou cliquez directement ici).
• Révoquez l’accès à PokemonAPP, Pokemon, et à toutes les applications qui vous semblent suspectes.

Évidemment, tout cela n’a rien à voir avec Pokémon Go, Niantic, Nintendo ou la Pokémon Company.

Merci à tous pour les signalements sur Twitter.

Article original de Julien Cadot

Réagissez à cet article

LastPass affecté par une faille critique d’accès à distance

Les gestionnaires de mots de passe peuvent se montrer d’une grande aide pour celui qui tient à conserver en un seul endroit une multitude de codes d’accès. Surtout, ils satisfont d’un coup plusieurs exigences en matière de sécurité informatique qui sont parfois contradictoires ou inapplicables au-delà d’un certain seuil.

Regardons un instant ce que l’on demande en règle générale à l’usager : l’utilisation d’un mot de passe unique par service, tout en respectant un strict formalisme qui va de la longueur du mot de passe (x caractères au minimum) à sa complexité (des lettres, des chiffres, des symboles, des majuscules et des minuscules, en mélangeant le tout), en passant par son renouvellement (sait-on jamais).

Bien entendu, il est évidemment tout à fait déconseillé de les noter simplement sur un bout de papier (on n’est jamais trahi que par les siens) ou de les enregistrer dans un fichier sur le PC (qui peut se faire pirater). Or, la seule mémorisation n’est pas une solution d’avenir : au-delà de quelques services, l’utilisateur s’y perdrait. D’où l’intérêt de passer par des gestionnaires de mots de passe.

Mais leur utilité ne doit pas faire oublier le fait que ces programmes sont par essence imparfaits.

Malgré tout le soin qui peut être apporté pendant leur conception, ces logiciels (les plus connus sont Dashlane, 1Password, KeePass et LastPass) peuvent être sensibles à certaines attaques. On l’a vu par exemple avec LastPass, qui est annoncé comme vulnérable au hameçonnage et qui a essuyé une intrusion dans son infrastructure, a priori sans dommage pour les mots de passe eux-mêmes.

Dans ce contexte, des initiatives comme celle lancée par la Commission européenne, qui consiste à organiser un audit du code source de KeePass — qui est un logiciel libre, ce qui facilite grandement les choses — sont à accueillir avec bienveillance. Elles contribuent à un rehaussement général du niveau de fiabilité de ce type de logiciel, à défaut de le rendre invulnérable, ce qui est illusoire.
La contribution d’un chercheur comme Tavis Ormandy est aussi précieuse, même si de prime abord elle provoque légitimement une inquiétude sur le degré de finition de certains logiciels. En effet, l’intéressé indique avoir déniché dès le premier coup d’œil une série de problèmes critiques qui lui ont sauté aux yeux. Il a ajouté avoir fait suivre un rapport complet à LastPass pour qu’il les règle.

La nature des vulnérabilités repérées n’est pas précisée par Tavis Ormandy. Le blog Naked Security, édité par l’éditeur d’antivirus Sophos, écarte pour le moment la piste de la faille 0-Day. Une telle vulnérabilité désigne les brèches n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. Elles sont les plus dangereuses, car elles sont secrètes et peuvent être exploitées en toute discrétion.
Tout juste sait-on que la vulnérabilité en question permettrait un accès complet à distance. L’on peut imaginer que des détails supplémentaires seront donnés ultérieurement, lorsque LastPass aura fini son intervention. Dans un autre tweet, Tavis Ormandy ajoute qu’il va se pencher dans la foulée sur 1Password et regarder s’il peut repérer des fragilités dans ce gestionnaire.

Dans le cadre d’une divulgation responsable, les spécialistes en sécurité informatique sont en effet invités à signaler d’abord aux sociétés les failles qu’ils repèrent dans les logiciels qu’elles éditent, et cela en toute discrétion. Ce n’est qu’ensuite qu’une diffusion publique peut avoir lieu, une fois les correctifs appliqués, de façon à ce que des personnes mal intentionnées ne puissent pas en profiter.
Tavis Ormandy est une pointure dans le domaine de la sécurité informatique.

Il s’est illustré à diverses reprises en signalant des brèches critiques dans un certain nombre de logiciels, comme Linux, Windows, la plateforme de jeux Uplay conçue par Ubisoft ou encore le shell Bash. Il a aussi épinglé les éditeurs d’antivirus Sophos et Trend Micro. Il travaille depuis quelques années dans l’équipe Project Zero mise sur pied par Google pour traquer les failles 0-Day, qui regroupe quelques personnalités. À tel point qu’elle est présentée comme une dream team.

Article original de Julien Lausson

Réagissez à cet article

Attention, des antivirus auraient des trous de sécurité !

Où l’on reparle de ces produits antivirus qui abritent des failles permettant de contourner les mécanismes de défense de Windows… En septembre 2015, l’expert en sécurité informatique Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero, avait publié une étude à ce sujet.

Deux de ses confrères – en l’occurrence, Tomer Bitton et Udi Yavo, de la start-up israélienne enSilo, spécialisée dans la détection des attaques en temps réel – avaient approfondi la problématique.

Dans leur rapport, ils pointaient du doigt trois éditeurs (AVG, Kaspersky, McAfee), tout en suggérant que d’autres logiciels étaient probablement concernés par la vulnérabilité qu’ils avaient découverte.

La vulnérabilité en question permet, sans nécessiter de privilèges de niveau administrateur, d’exécuter du code malveillant en déjouant des technologies de type ASLR (distribution aléatoire de l’espace d’adressage) ou DEP (prévention de l’exécution des données).

Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).

Problème : dans de nombreux cas, cette zone est toujours à la même adresse. Un tiers parvenu à prendre le contrôle d’un programme et de son pointeur d’instructions peut donc facilement copier son code malveillant dans ladite zone… et l’exécuter.

Detours de Microsoft sur la sellette

La conférence Black Hat USA 2016, qui aura lieu du 30 juillet au 4 août à Las Vegas, sera, pour Tomer Bitton et Udi Yavo, l’occasion de faire le point sur l’avancée de leurs travaux.

À première vue, il y a des choses à dire : une demi-douzaine de failles ont été dénichées dans plus d’une quinzaine de produits. Mais ce sont potentiellement des milliers de logiciels qui sont affectés. Tout du moins tous ceux qui s’appuient sur la bibliothèque Microsoft Detours, destinée notamment à intercepter des fonctions d’applications et de processus, puis à en réécrire le code pour des fonctions cibles.

Les principaux antivirus exploitent cette technique dite de « hooking » pour détecter des comportements malveillants, entre autres au niveau des fonctions d’allocation de la mémoire (VirtualAlloc, VirtualProtect…). L’essentiel des programmes « intrusifs », comme ceux qui analysent les performances du système, en font aussi usage, dixit ITespresso.

Malheureusement, l’implantation des mécanismes d’injection de code depuis le noyau n’est pas toujours bien effectuée – que ce soit par import de tables, fonctions asynchrones ou modification du point d’entrée de la fonction cible.

enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.

Article original de Silicon

Réagissez à cet article

Vous utilisez des objets connectés? Gare à vos données

Ils mesurent toutes les performances. Seulement voilà: d’après une étude publiée par l’entreprise de cybersécurité AV-Test le 18 juillet 2016, les objets connectés utilisés pour surveiller sa forme ne sont pas sécurisés. Pire encore, ils présentent des failles de sécurité pouvant permettre à des pirates informatiques d’accéder à leurs données et de les manipuler.

Des appareils utilisés par les assureurs

Pour en arriver à cette conclusion, AV-Test a examiné sept appareils utilisant Android, le système d’exploitation mobile de Google, et repéré des vulnérabilités similaires à celles qu’elle avait déjà identifiées il y a un an. Beaucoup d’appareils manquent de connexions sécurisées ou de protection contre les accès non autorisés. Les fabricants « ne font souvent pas assez attention à l’aspect de la sécurité », indique l’étude.

Elle fait pourtant valoir qu’il faudrait prendre davantage au sérieux la sécurité de ces appareils dont l’usage s’élargit, certaines assureurs santé commençant même à les utiliser pour fixer leurs tarifs ou proposer des remises.

Trois appareils avec des risques de piratages importants

Dans le détail, les appareils affichent des niveaux de sécurité variés. Selon l’étude, le risque le plus élevé est présenté par les appareils de Runtastic, Striiv et Xiaomi, où AV-Test relève 7 à 8 vulnérabilités potentielles sur un total de dix. AV-Test indique notamment que « ces appareils peuvent être suivis à la trace plutôt facilement » et qu’ils utilisent des systèmes d’identification et de protection contre les accès non autorisés incohérents ou inexistants, ou encore que leur programme n’est pas assez protégé pour garantir la sécurité des données collectées.

« Pire que tout, Xiaomi stocke toutes les données de manière non cryptée sur le smartphone », s’inquiète l’étude. Les appareils les plus sûrs, avec 2 à 3 risques potentiels pour la sécurité, sont la montre Pebble Time, le bracelet Band 2 de Microsoft et le moniteur d’activité et de sommeil Basis Peak.

L’Apple Watch tire son épingle du jeu

La montre connectée Apple Watch, évaluée selon des critères différents car elle utilise un autre système d’exploitation, a pour sa part, selon les chercheurs d’AV-Test, une « note de sécurité élevée », malgré des « vulnérabilités théoriques ».

L’Apple Watch est « presque impossible à suivre à la trace », mais dévoile certaines caractéristiques d’identification quand elle est en mode avion alors que ça « ne devrait pas être le cas », détaillent-ils. L’appareil « utilise essentiellement des connexions cryptées qui ont des sécurités supplémentaires », mais ses mises à jour se font par une connexion non cryptée, notent-ils aussi.

D’après le cabinet de recherche IDC, plus de 75 millions d’appareils connectés « fitness » ont été vendus en 2015 dans le monde, et le niveau devrait franchir la barre des 100 millions cette année.

Article original de Stephen Lam

Réagissez à cet article

Piratage de l’électricité, de l’eau et de la nourriture : comment les cybercriminels peuvent ruiner votre vie ?

Cependant, même ceux qui connaissent tout en matière de cybersécurité, qui utilisent des mots de passe fiables et qui les changent régulièrement, qui reconnaissent des messages d’hameçonnage au premier coup d’œil et qui protègent leurs dispositifs avec une excellente solution de sécurité, même ceux qui font tout, ne sont pas totalement à l’abri. Tout simplement parce que nous vivons en société.

Le problème est que nous avons le contrôle sur nos objets personnels, mais pas sur celui des équipements industriels, qui est loin de notre portée.

Vous avez dit cybersécurité ?

Nos experts en cybersécurité ont mené une étude afin de découvrir où nous en sommes concernant la sécurité des systèmes de contrôle industriel.

Shodan, le moteur de recherche pour les dispositifs connectés, nous a montré que 188 019 systèmes industriels dans 170 pays sont accessibles sur Internet. La majorité d’entre eux sont localisés aux Etats-Unis (30,5%) et en Europe, essentiellement en Allemagne (13,9%), Espagne (5,9%) et en France (5,6%).

View image on Twitter

Follow

Kaspersky Lab

✔@kaspersky

Industrial #cybersecurity threat landscape https://kas.pr/MY6j  #klreport

8:29 PM – 11 Jul 2016

• 2020 Retweets

• 99 likes

92% (172 982) des systèmes de contrôle industriel (SCI) détectés sont vulnérables. Lamentablement, 87% ont un niveau de risque moyen de bugs et 7% connaissent des problèmes critiques.

Ces cinq dernières années, les experts ont méticuleusement examiné de tels systèmes et y ont découvert de nombreuses failles de sécurité. Durant ce laps de temps, le nombre de vulnérabilités dans les composants SCI a multiplié par dix.

Parmi les systèmes que nos experts ont analysés, 91,6% ont utilisé des protocoles non sécurisés, en donnant l’opportunité aux cybercriminels d’intercepter ou de modifier les données utilisant des attaques de l’homme du milieu.

Egalement, 7,2% (environ 13 700) des systèmes appartiennent à de grandes compagnies aéronautiques, des transports et de l’énergie, pétrolières et gazières, métallurgiques, de l’industrie alimentaire, de la construction et autres secteurs primordiaux.

View image on Twitter

Follow

Kaspersky Lab

✔@kaspersky

Maritime industry is easy meat for cyber criminals – http://ow.ly/Nio2a 

12:25 AM – 23 May 2015

• 3232 Retweets

• 1313 likes

En d’autres termes, des hackers qualifiés peuvent influencer n’importe quel secteur économique. Leurs victimes (les entreprises piratées) porteraient préjudice à des milliers ou millions de personnes en leur fournissant de l’eau contaminée ou de la nourriture immangeable, ou en leur coupant le chauffage en plein hiver.

Qu’est-ce que cela implique pour nous tous ?

Les possibles effets et conclusions dépendent des entreprises que les cybercriminels visent, et quel SCI elles utilisent.

Nous avons connaissance de quelques exemples de piratages industriels. En décembre 2015, la moitié des maisons de la ville ukrainienne Ivano-Frankivsk s’étaient retrouvées sans électricité à cause du piratage d’un générateur électrique. La même année avait également eu lieu une attaque de l’entreprise Kemuri Water.

Comme si cela ne suffisait pas, l’aéroport Frédéric Chopin de Varsovie avait aussi été la cible d’une attaque. Et un an plus tôt, des hackers avaient perturbé l’opération d’un haut-fourneau dans une aciérie en Allemagne.

Globalement, la sécurité des systèmes de contrôle industriel laisse encore à désirer. Kaspersky Lab a émis à plusieurs reprises des mises en garde concernant ces risques, mais d’éternels insatisfaits trouvent en général la parade : informez-nous de cas réels où ces vulnérabilités ontvraiment été exploitées. Malheureusement, on peut désormais le faire.

Bien évidemment, une personne seule ne peut pas faire grand-chose pour résoudre un problème systémique. Un équipement industriel ne peut pas être changé du jour au lendemain ou même en l’espace d’une année. Toutefois, et comme nous l’avons déjà dit, la défense la plus importante en matière de cybersécurité est de rester informés. Plus de personnes sont au courant du problème, et plus il y a de chances pour que les infrastructures industrielles soient à l’abri d’attaques néfastes.

Article original de John Snow

Réagissez à cet article

La police peut-elle obliger un suspect à débloquer son iPhone avec son doigt ?

La question s’est certainement déjà posée dans les commissariats et dans les bureaux des juges d’instruction, et elle devrait devenir plus pressant encore dans les années à venir : alors qu’un suspect peut toujours prétendre avoir oublié son mot de passe, ou refuser de répondre, les enquêteurs peuvent-ils contraindre un individu à débloquer son téléphone lorsque celui-ci est déblocable avec une simple empreinte digitale ?

Le débat sera tranché aux États-Unis par un tribunal de Los Angeles. Le Los Angeles Times rapporte en effet qu’un juge a délivré un mandat de perquisition à des policiers, qui leur donne le pouvoir de contraindre physiquement la petite amie d’un membre d’un gang arménien à mettre son doigt sur le capteur Touch ID de son iPhone, pour en débloquer le contenu.

Le mandat signé 45 minutes après son placement en détention provisoire a été mis en œuvre dans les heures qui ont suivi. Le temps était très court, peut-être en raison de l’urgence du dossier lui-même, mais aussi car l’iPhone dispose d’une sécurité qui fait qu’au bout de 48 heures sans être débloqué, il n’est plus possible d’utiliser l’empreinte digitale pour accéder aux données. Mais l’admissibilité des preuves ainsi collectées reste sujette à caution et fait l’objet d’un débat entre juristes.

EN MONTRANT QUE VOUS AVEZ OUVERT LE TÉLÉPHONE, VOUS DÉMONTREZ QUE VOUS AVEZ CONTRÔLE SUR LUI

Certains considèrent qu’obliger un individu à placer son doigt sur le capteur d’empreintes digitales de son iPhone pour y gagner l’accès revient à forcer cette personne à fournir elle-même les éléments de sa propre incrimination, ce qui est contraire à la Constitution américaine et aux traités internationaux de protection des droits de l’homme. « En montrant que vous avez ouvert le téléphone, vous montrez que vous avez contrôle sur lui », estime ainsi Susan Brenner, une professeur de droit de l’Université de Dayton. Le capteur Touch ID ne sert pas uniquement à débloquer le téléphone, mais aussi à le déchiffrer, en fournissant une clé qui joue le rôle d’authentifiant du contenu.

D’autres estiment qu’il s’agit ni plus ou moins que la même chose qu’une perquisition à domicile réalisée en utilisant la clé portée sur lui par le suspect, ce qui est chose courante et ne fait pas l’objet de protestations. Ils n’y voient pas non plus de violation du droit de garder le silence, puisque le suspect ne parle pas en ne faisant que poser son doigt sur un capteur.

ET EN FRANCE ?

Pour le moment, le sujet n’est pas venu sur la scène législative en France. Mais il pourrait y venir par analogie avec d’autres techniques d’identification biométrique.

En matière de recherche d’empreintes digitales ou de prélèvement de cheveux pour comparaison, l’article 55-1 du code de procédure pénale punit d’un an de prison et 15 000 euros d’amende « le refus, par une personne à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre une infraction, de se soumettre aux opérations de prélèvement ». De même en matière de prélèvements ADN, le code de procédure pénale autorise les policiers à exiger qu’un prélèvement biologique soit effectué sur un suspect, et «  le fait de refuser de se soumettre au prélèvement biologique est puni d’un an d’emprisonnement et 30 000 euros d’amende ».

Sans loi spécifique, les policiers peuvent aussi tenter de se reposer sur les dispositions anti-chiffrement du code pénal, puisque l’empreinte digitale sert de clé. L’article 434-15-2 du code pénal punit de 3 ans de prison et 45 000 euros d’amende le fait, «  pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Mais à notre connaissance, elle n’a jamais été appliquée pour forcer un suspect à fournir lui-même ses clés de chiffrement, ce qui serait potentiellement contraire aux conventions de protection des droits de l’homme.

Article original de Guillaume Champeau

Réagissez à cet article

Les meilleurs anti-malware gratuits du moment

L’IObit Malware Fighter : fiable et s’adapte bien
Ce logiciel est gratuit pour repérer et lutter contre les malwares. Utilitaire efficace contre les adwares, chevaux de Troie, vers, keyloggers, etc, il se complète parfaitement avec un antivirus. Il offre une protection instantanée, une analyse heuristique, et le choix de recourir à un scan manuel. Il n’existe qu’en version anglaise et s’adapte à tous systèmes d’exploitation Microsoft, allant de Windows XP à Windows 10.

Le Spybot – Search& Destroy : l’anti-malware recherche et destruction par excellence
Celui-ci, également gratuit a la même capacité que le précédent. Il a deux sortes d’interface, l’une pour les néophytes et l’autre pour les professionnels. Ce logiciel protège les navigateurs contre les menaces et permet une analyse manuelle du système. Disponible seulement en anglais, il s’adapte sur les mêmes systèmes d’exploitation quel’ L’IObit Malware Fighter .

L’AdwCleaner : le suppléant fiable
L’AdwCleaner est un logiciel gratuit qui détecte et supprime les malwares. Il est efficace contre les adwares, toolbars, PUP/LPI ethijackers. C’est un utilitaire qui fonctionne uniquement par analyse manuelle mais il faut disposer de la dernière version. L’AdwCleaner est un excellent complément d’un antivirus ou un autre logiciel anti-malwares. Il est disponible en langue française et dispose d’une même adaptabilité de système que les deux premiers logiciels.

Emsisoft Anti-Malware : le bilingue
A la différence des trois premiers logiciels, celui-ci est payant. Sa validité est de 30 jours pour épargner votre système contre les menaces de types cheval de Troie, vers, spywares, etc. Il se complète à 100 % avec un antivirus classique. Il offre la possibilité de scanner manuellement le système et permet une surveillance instantanée, de même qu’une analyse heuristique. Il est disponible à la fois en anglais et en français. Cet anti-malware s’adapte sur tous systèmes de Windows XP à Windows 10.

Le Malwarebytes Anti-Malware : bref, mais efficace
Ce logiciel possède un arsenal complet pour tenir éloignés tous les malwares. Il est efficace contre les spamgiciels, les chevaux de Troie, les spywares, etc. Son scanner manuel et analyse heuristique constituent un appui optimal pour un antivirus. Il est également disponible en bilingue. Sa validité n’est que de 14 jours.

TDSS Killer : le tueur de malware
Le TDSS Killer est un anti-malware de Kaspersky. Sa fonction majeure est de détecter et supprimer les infections de type rootkit. Son analyse se fait uniquement en mode manuelle. Le savoir-faire de Kaspersky est une garantie chez le TDSS Killer pour déceler les malwares dissimulés. Son point faible est sa seule disponibilité en anglais.

En somme, même si les antivirus classiques sont conçus pour se parer aux menaces, il arrive que les malwares les contournent. C’est pourquoi il est mieux de se doter d’un logiciel anti-malware efficace. Il est même prudent d’en recourir à plusieurs.

Article original de Sekurigi

Réagissez à cet article