Panne « Rogers » ou « les enjeux de BGP (« protocole de passerelle frontière »)

Depuis maintenant 24 heures, le Canada entier est affecté par une panne complète des services de l’un des plus importants fournisseurs de services Internet (FSI) et de télécommunications au pays, Rogers.

Selon l’organisation NetBlocks, une diminution soudaine et soutenue de 25% de tout le trafic Internet au Canada a été constaté (!). Ce qui signifie, en gros, que le Canada ne peut pas se permettre de perdre les services de Rogers.

Pour l’instant, la théorie principale derrière cette panne, serait une erreur (humaine ou technique) en lien avec BGP (« Border Gateway Protocol » ou le « Protocole de passerelle frontière »).

Continuer la lecture de Panne « Rogers » ou « les enjeux de BGP (« protocole de passerelle frontière »)

Femmes journalistes et en politique sur le web : imposer le silence par la violence

La cyberviolence envers les femmes journalistes et les politiciennes est en forte augmentation depuis la pandémie. En plus de causer des torts considérables à la santé psychologique et à la réputation de celles qui en sont victimes, ces violences fragilisent la démocratie elle-même. Deux récents rapports du MIGS (Montreal Institute for Genocide and Human Rights Studies) et de l’UNESCO s’intéressent aux formes et aux causes de la cyberviolence visant les femmes journalistes et les politiciennes au Canada et ailleurs, tout en mettant en lumière l’impact de cette violence sur la participation des femmes dans l’espace public et sur la santé démocratique.

Continuer la lecture de Femmes journalistes et en politique sur le web : imposer le silence par la violence

Couvrir les brèches de sécurité – Pourquoi?

Les systèmes informatiques sont paralysés. Des inconnus exigent le paiement d’une rançon avant de vous redonner accès à vos données. Comme si ce n’était pas suffisant, ils menacent de les diffuser publiquement. Comble de malheur, un journaliste vous appelle. Il a vu cette cyber attaque annoncée sur le site du groupe responsable. Il a des questions à vous poser…

Couvrir les brèches de sécurité soulève des questions éthiques. Pourquoi en parler? Ces reportages sont-ils d’intérêt public? Voulant explorer ces questions, je me suis entretenu par courriel avec Dissent Doe, Phd, pseudonyme de la personne derrière le site de nouvelles databreaches.net.

Continuer la lecture de Couvrir les brèches de sécurité – Pourquoi?

PGP EFAIL – Ce qu’il faut savoir

Trois chercheurs en sécurité ont publié une recherche documentant deux attaques (side channel) sur le chiffrement de courriels par PGP. Il ne s’agit pas d’une faille dans PGP, mais bien dans son implémentation dans divers clients, tels que Apple Mail, Thunderbird, iOS Mail, etc. Ces vulnérabilités devront être corrigées par les clients de courriel.

En attendant, pas de panique – voici quelques mitigations qui permettent de se protéger et de continuer l’envoi de courriels chiffrés de bout-en-bout :

1 – Déchiffrer les courriels PGP dans une autre application que celle qu’on utilise pour lire les courriels. Oui, ça rajoute une étape, mais on s’assure alors de limiter les possibilités d’attaque sur la confidentialité de nos messages.  

2 – Désactiver le rendu HTML des courriels dans son client. Les vulnérabilités identifiées misent sur la séquence de lecture des différents éléments d’un courriel HTML par le client. Par exemple, certains de ces éléments peuvent être des images ou encore des styles de mises en page… Pour désactiver cette fonction, rendez-vous dans les paramètres de votre client et assurez-vous de décocher les cases – autant dans la composition du message que dans sa signature, s’il y a lieu – qui activent le format HTML. Si cette fonction est désactivée, pas de problème!

3 – Informez vos correspondants de cette vulnérabilité! Si un seul des correspondants se comporte de manière non sécuritaire, la confidentialité des messages peut être atteinte

4 – Faites religieusement vos mises à jour (eh oui, encore ça!).

5 – Utilisez un autre canal de communication confidentiel en attendant de confirmer que vos interlocuteurs savent comment mitiger les risques qu’amène cette vulnérabilité.

 

Il y a de bonnes chances que le client courriel que vous utilisez soit affecté – vous trouverez en page 11 du rapport un tableau identifiant les risques pour chaque client.


Pour en savoir plus :

 

https://efail.de

https://efail.de/efail-attack-paper.pdf

https://www.eff.org/fr/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

 

Surveiller les militants : leçons de Standing Rock

Le magazine en ligne The Intercept a publié à travers une série d’articles des documents prouvant la surveillance des militants à Standing Rock à travers des tactiques destinées à la lutte contre le terrorisme international. Les militants s’opposant aux projets d’oléoducs au Québec et au Canada courent-ils des risques similaires ?

Continuer la lecture de Surveiller les militants : leçons de Standing Rock