Alors que le projet Truecrypt semble tout simplement tomber à l’eau. L’heure est maintenant à la recherche d’une alternative, nos pistes dans cet article.

Sans que l’on sache trop pourquoi encore aujourd’hui, l’équipe TrueCrypt a annoncé l’abandon du développement de l’application libre la plus utilisée pour le chiffrement local des données. On pourrait continuer de penser que malgré l’avertissement qui est affiché sur le site officiel de TrueCrypt, l’utilisation de l’outil est sûr, (du moins pour ces versions avant 7.2 qui semble être celle qui pose problème) et ceci jusqu’à ce que vous trouviez les pirates exploitant une vulnérabilité qui permet à des données chiffrées avec Truecrypt d’être déchiffrées autrement que par la méthode “normale”.

Étonnamment, les développeurs recommandent BitLocker comme substitut principal, mais il est légitime de ne pas vouloir utiliser l’outil de chiffrement de Microsoft. C’est pourquoi il est important d’étudier les alternatives qui se présentent à Truecrypt aujourd’hui.

Gratuit & OpenSource – DiskCryptor

DiskCryptor est probablement la plus proche alternative actuelle à TrueCrypt . Il permet de chiffrer à la fois des données individuelles mais aussi des disques durs entiers et même vous permet de chiffrer le disque système pour empêcher l’accès aux données sans le mot de passe approprié (comme peut le faire BitLocker). Cette application fonctionne uniquement sur Windows actuellement.

Gratuit & OpenSource – AxCrypt

AxCrypt propose un chiffrement AES 128 bits et supporte les clés de chiffrement. Cependant, cette application ne présente pas toutes les fonctionnalités de TrueCrypt. Idéal pour chiffrer certains fichiers systèmes si nous n’avons pas besoin des fonctionnalités avancées offertes par son prédécesseur.

Gratuit & OpenSource – AES Crypt

AES Crypt est compatible avec Windows, Linux, Mac et Android pour chiffrer des données à partir de l’une de ces plates-formes. Chiffrer et déchiffrer des fichiers facilement avec les droits utilisateurs en raison de l’intégration réussie avec les différents systèmes d’exploitation.

Gratuit – Cloudfogger

Cet outil de chiffrement est spécialement conçu pour fonctionner avec les système Cloud. En raison de l’augmentation du stockage et des craintes que les entreprises privées puissent accéder en ligne à nos données. Cloudfogger nous permet de chiffrer les données avant qu’elles ne passent sur le réseau et lors de leur stockage en ligne pour empêcher quiconque d’y accéder sans autorisation. Il prend en charge le chiffrement AES 256 – bits et détecte automatiquement les clients compatibles après l’installation pour commencer le chiffrement des données de tout le trafic qui est envoyé vers le cloud.

Payant – BestCrypt Container Encryption

Cette application fonctionne de façon très semblable à TrueCrypt , mais c’est un outil commercial sans version gratuite. Il a des versions pour Windows, Mac et Linux afin que tout utilisateur puisse chiffrer sur toutes plate-formes et déchiffrer sur toutes les autres. Comme caractéristique remarquable, cet outil prend en charge les algorithmes de chiffrement AES , CAST , Serpent , Twofish et Blowfish.

Gratuit (usage perso) – Challenger

Challenger peut chiffrer des fichiers, des dossiers et même les disques durs entiers comme le fait TrueCrypt. La version professionnelle est assez complète et n’a pas de limites comme la version gratuite, mais vous devez payer pour cela.

Gratuit & OpenSource – Cryptsetup

Bien que cet outil est uniquement compatible avec Linux, il supporte les disques créés avec TrueCrypt, il peut devenir une excellente alternative à cela (que) dans le système d’exploitation libre.

Gratuit & OpenSource  – Tomb

Tomb vise à être un système libre et 100% open source pour le chiffrement et la sauvegarde des dossiers personnels. Facile à utiliser, écrite dans un code qui est facile à examiner, cette application utilise des composants couramment utilisés. Tomb génère des fichiers de stockage chiffrés qui peuvent être ouverts et fermés à l’aide de keyfiles qui leurs sont associés, ou alors qui sont protégés par un mot de passe également choisi par l’utilisateur. Il est destiné aux OS libres mais il est possible de l’utiliser sous Windows pour l’ouverture de conteneur, bien que ce ne soit pas recommandé pas l’équipe de développement du projet.

Avant de choisir un outil, il faut vérifier certains pré-requis comme le fait qu’il soit audité au niveau de son code, qu’il soit OpenSource dans la mesure du possible et bien entendu qu’il soit toujours maintenu. Il est important de bien étudier les possibilités de l’outil (technique et algo de chiffrement supportés et OS compatibles) et relier le tout avec l’utilisation que nous souhaitons en faire.

I. Présentation

Dans ce tutoriel, nous allons apprendre à activer l’IP forwarding sous Linux, c’est une procédure assez simple et nous allons voir comment rendre ce changement temporaire ou permanent sur le système.  L’IP forwarding permet à un système d’exploitation (ici Linux) de faire suivre des paquets comme le fait un routeur ou plus généralement de les router au travers d’autres réseaux. L’activation de l’IP forwarding est souvent utilisée lorsque l’on fait de l’écoute réseau (attaque Man in the middle notamment) mais aussi plus simplement lorsque l’on cherche à faire d’une machine Linux un routeur entre plusieurs réseaux.

II. Activation temporaire

L’activation et la désactivation de l’IP forwarding, en IPv4 comme ne IPv6, se gère dans les fichiers /proc. Il s’agit de “/proc/sys/net/ipv4/ip_forward” pour l’IPv4 et “/proc/sys/net/ipv6/conf/all/forwarding” pour IPv6. Si l’on fait un “cat” sur ces fichiers, nous verrons qu’ils sont par défaut à 0, pour activer l’IP forwarding de façon temporaire, il suffit de les mettre à 1. On peut alors modifier le fichier à la main ou utiliser la commande sysctl :

sysctl -w net.ipv4.ip_forward=1

Et pour IPv6 :

sysctl -w net.ipv6.conf.all.forwarding=1

Le changement temporaire veut bien sûr dire que les paramètres reviendront à leur valeur par défaut au redémarrage de le machine ou au redémarrage de “sysctl” s’il est fait manuellement.

III. Activation permanente

Pour activer ces changements de manière permanente, il faut aller modifier le fichier de configuration de sysctl pour qu’il charge nos modifications à chaque démarrage, il s’agit du fichier “/etc/sysctl.conf” pour activer l’IP forwarding IPv4, nous allons ajouter ou décommenter cette ligne :

net.ipv4.ip_forward = 1

Pour l’IPv6, nous ferrons de même avec cette ligne

net.ipv6.conf.all.forwarding=1

On pourra ensuite recharger la configuration pour que les changements prennent effet immédiatement :

sysctl -p /etc/sysctl.conf

 

Plusieurs vulnérabilités sérieuses ont été découvertes dans le très connu et très utilisé plug-in “All in One SEO Pack” dédié à WordPress, cela touche des millions de sites.

Si vous utilisez WordPress avec ce plug-in, ne tardez plus, effectuez la dernière mise à jour de All in One SEO Pack 2.1.6 qui corrige ces vulnérabilités. Sans ça, vous exposez votre site à l’attaque de pirates !

Pour être plus précis, trois vulnérabilités sont corrigées. Deux vulnérabilités concernent une élévation de privilège, alors qu’une autre concerne une faille XSS. Les chercheurs en sécurité de chez Sucuri sont à l’origine de ces trouvailles.

Dans le monde, plus de 73 millions de site internet utilisent WordPress, dont plus de 15 millions qui utilisent ce plug-in pour l’optimisation au sein des moteurs de recherche (SEO – Search Engine Optimization).

D’après Sucuri, l’élévation de privilèges permet à un attaquant d’ajouter et de modifier les informations des balises méta d’un site WordPress. Cela peut influencer très négativement le positionnement dans les moteurs de recherche.

“Dans le premier cas, un utilisateur connecté, qui ne possède pas d’autorisation spécifique sur le site WordPress (comme le rôle auteur), pourrait ajouter ou modifier certains paramètres utilisés par le plug-in. Cela inclus différentes balisent méta : les titres, la description et les mots clés.” Précise Sucuri.

Par ailleurs, la vulnérabilité XSS peut être exploitée par les hackers afin d’exécuter du code JavaScript malicieux dans l’interface d’administration. D’après Sucuri, “cela signifie qu’un attaquant pourrait potentiellement injecter du code JavaScript et faire des choses comme changer le mot de passe du compte Administrateur afin de laisser une backdoor dans les fichiers de votre site, cela permettra de revenir plus tard sur le site“.

Comme je vous le disais en début d’article, vous devez mettre à jour ce plug-in immédiatement si vous l’utilisez !

Source

Avec l’émergence des campagnes emailing et au vue de leurs avantages et de leur efficacité à faire passer de l’information pour les entreprises, blogueurs ou particuliers, des services en ligne émergent afin de rentre la tâche plus facile.

Les entreprises comme les particuliers sont à l’ère de la numérisation et changent leurs habitudes. Celles notamment de récupération, lecture et traitement de l’information qui passe de plus en plus par le numérique. Communiquer et être présent sur Internet peut se faire de différentes manières pour une entreprise, un blog ou une association. Le référencement sur les moteurs de recherche, les liens sponsorisés, l’emailing, les blogs, les réseaux sociaux, la vidéo, etc. Ces outils sont à notre disposition pour accompagner notre visibilité. Ces moyens de faire passer l’information, qui autrefois se faisaient via le journal papier, les magazines et autres outils ancestraux, s’orientent de plus en plus vers la dématérialisation.

La stabilité des adresses e-mail en fait un canal très utilisé pour recevoir de l’information. La mise en place des campagnes emailing est rapide, et offre des possibilités d’interaction directe, un ciblage des utilisateurs grâce aux listes de contacts, et une bonne réactivité. Pour les entreprises, les avantages des campagnes emailing sont nombreux.

Le fait est qu’aujourd’hui la plupart des hébergeurs brident le nombre d’envoi de mails par heure, jour et/ou par mois. Il faut savoir que cela est la plupart du temps mis en place, par soucis de sécurité. Cependant, cela vient freiner le travail des Community Manager et des équipes marketing qui ne peuvent alors plus utiliser leurs outils pour les campagnes emailing ou pour envoyer des newsletters.

Bien heureusement, des services en lignes, que l’on peut appeler services “Cloud” ou SaaS (Software As a Service) existent et permettent de contourner cette problématique. On peut par exemple citer mailKitchen, ce dernier propose dans son offre gratuite l’envoi de 15 000 mails par mois vers 5 000 boites différentes.

Auparavant, il est nécessaire de bien étudier ses besoins (fréquence d’envoi et nombre de contacts) et évaluer s’il est plutôt intéressant de prendre une offre gratuite ou payante. Pour les associations, blogueurs ou petite entreprise, de telles offres gratuites peuvent bien souvent suffire !

Étant donné que ce type d’outil n’est pas forcément destiné à des techniciens, les interfaces se veulent le plus souvent intuitives, simples et rapides d’utilisation. Le commercial ou le marketing ne viendra plus vous embêter car il a en retour de ces mails un message lui disant que ces mails sont bloqués, et qu’il a blacklisté votre domaine. Quel soulagement n’est-ce pas ?

Un peu plus sérieusement, certains outils offrent également des interfaces et fonctionnalités de monitoring sur les campagnes emailing effectuées. Cela vous permet de voir l’impact de votre emailing, grâce aux statistiques fournies (Nombre de mails ouverts, nombre de clics, etc). Par exemple, le service MailKitchen cité précédemment propose ce type d’information.

Pour les blogueurs, il est également envisageable d’utiliser ce genre de service pour les newsletters. Il suffit de stocker sur le site du service en ligne une base de données d’emails de vos contacts, qui peuvent correspondent aux personnes s’étant inscrites à votre newsletter. Ensuite, il suffira de rédiger celle-ci directement sur le site pour enfin l’envoyer. A nouveau, c’est une solution peu cher voir gratuite pour ceux qui débutent.

Le très célèbre et très utilisé logiciel de chiffrement de disque dur, TrueCrypt, a annoncé mercredi soir, de façon très curieuse, l’arrêt de son développement.

La mystérieuse page du site officiel

Le site officiel de l’application, est remplacé par une vulgaire page où la première phrase que l’on peut lire est : “ATTENTION : Utiliser TrueCrypt n’est pas sûr, il peut contenir des failles de sécurité non-comblées“.

Toujours d’après cette même page, le développement de ce logiciel est officiellement arrêté… Surprenant pour un logiciel que l’ANSSI a audité et certifié au titre de la CSPN, en septembre 2013. La raison de cet arrêt serait liée directement à la fin du support de Windows XP car ce serait le seul OS populaire sans outil de chiffrement intégré, comme BitLocker.

D’ailleurs, ce même BitLocker est recommandé sur cette page pour les utilisateurs de Windows où l’on retrouve un tutoriel sur la configuration de BitLocker : “Migrer de TrueCrypt à BitLocker“. Difficile de croire que les développeurs de TrueCrypt abandonneraient le développement de l’application au profit de la solution Microsoft.

L’arrivée étrange de la version 7.2

La dernière version stable de TrueCrypt est la 7.1a et date de 2012. Pourtant, une version 7.2 vient d’être mise en ligne sur le site officiel. Étrange comportement…

Rejetée et déconseillée par tout le monde, cette version a pourtant tout pour ressembler à une version officielle. En effet, elle est publiée sur Sourceforce tout en étant signée avec la clé appartenant aux développeurs, comme les précédentes.

Pour en savoir plus, nos confrères anglophones de chez The Register ont testé cette nouvelle version pour Windows, au sein d’une machine virtuelle par précaution.

Sous Windows 8.1, il s’est avéré que la protection SmartScreen a bloquée l’application, alors que sur une version plus ancienne de Windows elle s’exécute directement et affiche la nouvelle page d’accueil du site. Il s’agirait donc plus qu’une répétition inutile quant à la fin du développement de l’application plutôt qu’une nouvelle version évolutive. Mais, quel est l’intérêt de publier une telle version ?

L’audit du code

Depuis Octobre, un audit du code de TrueCrypt est financé afin de vérifier le vrai niveau de sécurité du logiciel, qui pouvait rester indéterminé jusqu’à maintenant malgré que l’ANSSI l’ait approuvée.

Concernant l’audit, la première phase du code révèle quelques problèmes sans remettre en cause la qualité de l’application. Concernant la seconde phase, qui correspond à une analyse cryptographique, elle devait commencer…

Alors, TrueCrypt, c’est réellement terminé ?

Diverses spécialistes en cyber-sécurité comme Brian Krebs, disent tout simplement “au revoir” à l’application TrueCrypt. Le compte parodique de la NSA est le seul à continuer à recommander le logiciel : “TRUECRYPT IS FINE PLEASE CONTINUE USING FOR ALL SECRET DOCUMENTS“.

De leurs côtés les développeurs restent muets… Le mystère tourne autour de l’avenir de TrueCrypt…

Il pourrait s’agir d’une requête légale de l’Etat Américain, qui avait déjà fait fermer les portes du service de messagerie sécurisée Lavabit sans donner d’explication. Ce qui ressemble fortement au cas de figure de TrueCrypt.

Malheureusement et peu importe les raisons de cet abandon, tout cela semble prendre forme. Si vous devez continuer à utiliser l’outil TrueCrypt restait sur la version 7.1a. Et vous, que pensez-vous de tout ça ?

Quelques liens complémentaires :

Lire l’article de The Register

Audit de TrueCrypt

Le tweet sur le compte parodique de la NSA