Les versions actuelles du Tor Browser Bundle (TBB) contiennent un bug qui permet d'obtenir des informations sur les sites web visités et qui échapperait donc au système d'anonymisation de Tor.

Sur la version 2.2.35-9 de TBB pour Windows et la version 2.2.35-10 pour Mac et Linux, la version incluse de Firefox n'envoie pas de requêtes DNS sur le réseau Tor si le navigateur utilise les WebSocket. Cela signifie tout simplement qu'un pirate peut écouter votre connexion et sera en mesure d'identifier les sites que l'utilisateur qui les visite.

La seule solution consiste à désactiver complètement l'utilisation des WebSocket dans le navigateur. Vous pouvez le faire dans la configuration avancée de Firefox en tapant about:config dans la barre d'adresse et en mettant l'option network.websocket.enabled à false.

Les développeurs de Tor travaillent actuellement sur un patch pour cette faille de sécurité et sortiront une nouvelle version de TBB bientôt. Plus d'informations disponibles dans un rapport de bug sur le tracker du projet Tor.

La version 0.11 de la distribution Linux Tails conçue pour préserver sa vie privée et son anonymat est disponible.

Tails, un acronyme pour "The Amnesic Incognito Live System", est un système basé sur une Debian Live qui inclut un certains nombres d'applications, comme un navigateur web, un client de messagerie et un client de messagerie instantanée, qui ont été pré-configurés avec un niveau de sécurité avancé. Tous ces programmes ont été mis en place pour utiliser le réseau Tor, assurant ainsi que toutes les connexions sortantes sont anonymisées en faisant rebondir le trafic entre plusieurs nœuds.

La nouvelle version de Tails, qui peut être utilisée à partir d'un lecteur DVD ou d'une clé USB et est basée sur le noyau Linux 3.2.15. Le navigateur web Iceweasel a été amélioré et est maintenant basé sur Iceweasel 10.0.4 qui utilise l'Extended Support Release (ESR) de Firefox. Vidalia, le contrôleur graphique pour Tor, a été mis à jour vers sa version stable 0.2.17. Dans la version 0.11, le programme d'installation personnalisé pour installer Tails sur une clé USB peut créer un volume persistant avec l'espace libre disponible sur votre clé.

D'autres changements incluent de nouvelles options dans l'écran de connexion de Tails Greeter, des améliorations de l'internationalisation tels que le soutien pour des langues supplémentaires dont le Français, et diverses corrections de bugs. Les développeurs conseillent fortement à tous les utilisateurs de mettre à niveau leur version actuelle de Tails en raison de nombreuses failles de sécurité trouvées dans la version précédente.

Plus de détails sur cette nouvelle version, y compris une liste complète des changements et des améliorations, peuvent être trouvés dans l'annonce de la version officielle et dans le changelog. Tails 0.11 est disponible en téléchargement via une image ISO sur le site du projet et la documentation est fournie en français également pour les plus réticents à l'anglais.

Le spécialiste en communication sécurisées NCP Engineering envisage de rendre plus attrayant Android pour les employés d'entreprises en déployant un client VPN IPSec pour la plateforme mobile.

Cette application met en oeuvre le protocole IKE v1/2 aux normes IPSec, est à basé sur le certificat PKCS#12, XAUTH et des clés pré-partagées.

NCP dit également que son application peut fonctionner avec n'importe quelle passerelle en mentionnant entres autres Cisco, Juniper, Lancom et les produits de SonicWall. Une différence notable par rapport au projet Fishbowl de la NSA qui n'accepte pas n'importe quelle passerelle. Une version de preview du client NCP Secure est disponible sur Google Play.

Alors pourquoi ce client VPN pour Android est-il intéressant ? A partir de la version 4.0 (Ice Cream Sandwich) d'Android, le client VPN fourni avec Android ne prend pas en charge de nombreuses passerelles populaires, y compris celles de Cisco qui sont beaucoup utilisées dans les entreprises à travers le monde. Bien que des instructions soient disponibles pour permettre aux versions antérieures d'Android d'utiliser ces passerelles, celles-ci demandent à ce que le smartphone soit rooté. Dans Ice Cream Sandwich, différents problèmes avec la mise en oeuvre VPN existent depuis la version 4.0.3.

C'est au moment où Justin Watt, un blogueur, a regardé son blog lors d'un séjour dans un hôtel, qu'il a remarqué une petite barre grise en haut de page qui ne devrait pas être là. Watt dit qu'il a d'abord pensé à un problème de CSS lié à une mise à jour du navigateur mais en examinant le code source, il est devenu évident que c'était plus que ça.

Le code source côté serveur n'a pas bougé mais lorsque le site est affiché sur le navigateur, il y aurait du CSS supplémentaire après la balise head et du Javascript également injecté après la balise body. Mais ce n'est pas seulement pour son blog, tous les sites web contiennent cette injection de code sur leurs pages.

Donc quelque part entre Internet et son ordinateur il y a un traitement étrange. Le Javascript semble être injecté pour servir de publicité bien que Watt ne voyait pas de publicités supplémentaires. Il y aurait aussi des effets secondaires : le code injecté empêcherait le visionnage de vidéos YouTube intégrées dans Google Reader et seul un carré noir serait présent.

Des recherches plus poussées ont révélé que l'hôtel Courtyard Marriott à New York's Times Square, utiliserait la passerelle hotspot RG Nets. RG Nets en question appelle son produit Revenue eXtraction Gateway (RXG) et promet à ses utilisateurs des revenus supplémentaires en affichant des annonces (voir aussi leur Injection Advertising Demo). Après étude de l'article de Watt, le Marriott a déclaré qu'il n'était pas au courant et n'a pas non plus approuvé ces pratiques. Il a d'ailleurs désactivé ce service.

L'histoire nous montre une fois de plus qu'il faut toujours faire preuve de prudence lorsque vous utilisez un réseau public. Pensez à utiliser un VPN dans la mesure du possible. Cela contribue à se protéger à la fois contre l'espionnage et ce genre de modifications (en supposant qu'il est possible de mettre en place un VPN à travers ce type de passerelle).

Lors de la conférence RSA la semaine dernière, la NSA a publié les spécifications relatif à leur réseau téléphonique sécurisé basé sur Android appelé projet Fishbowl. De la même manière, le gouvernement Allemand va migrer ses solutions de smartphones sécurisés sur Windows Mobile et Symbian vers Android.

Le système de la NSA est opérationnel sur des téléphones Android personnalisés et fabriqués par Motorola qui emploient de multiples couches de chiffrement et envoient tout le trafic à travers de réseaux VPN différents. Ces téléphones embarquent également une application spécialisée dans la VoIP en lieu et place du dialer habituel d'Android. La NSA souligne que le système n'est pas nécessairement lié à Android. Cette plateforme a été choisie car elle est facile à modifier.

Pendant ce temps il a été révélé au CeBIT que le gouvernement allemand a recours à deux solutions distinctes en matière de téléphones sécurisés. La première est un système appelé SiMKo de T-Systems et la seconde SecuSUITE de Secusmarts. Ces deux systèmes proviennent de sociétés allemandes et ont été initialement développées pour des systèmes d'exploitation différents : Windows Mobile pour SiMKo et Symbian pour SecuSUITE. Ils sont maintenant adaptés pour Android et selon les deux sociétés, les téléphones utilisent des cartes MicroSD spéciales qui intègrent des clés cryptographiques et des certificats qui sont nécessaires pour chiffrer le traffic. Cette technologie ne pouvait pas être adaptée à l'iPhone car il manque un slot microSD et adapter /modifier iOS n'était pas possible en raisons des restrictions et de l'architecture imposée par ce système d'exploitation.

En début d'année, la NSA a sortie sa version modifiée et sécurisée d'Android et avec les récents changements opérés sur son système, il semble que celui-ci soit en cours d'adoption par un nombre croissant d'organisations soucieuses de détenir des smartphones sécurisés. Cela semble être dû la plupart du temps par le fait que ce système propose de nombreuses options matérielles ainsi que la facilité avec laquelle ce système d'exploitation open-source peut être personnalisé.

Il serait donc peut-être envisageable que notre gouvernement se lance dans un projet similaire non?