Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

La médiathèque de Haguenau et le GULL de Strasbourg vous propose un Samedi du Libre, le 8 octobre de 10 h à 17 h, à la médiathèque de Haguenau.

Les Samedis du Libre ont lieu une fois par trimestre, depuis 2009, à la médiathèque de Haguenau. Durant ces journées, vous pourrez découvrir, échanger et vous informer au sujet de nombreux logiciels libres (GNU/Linux, LibreOffice, The GIMP, Mozilla Firefox, etc.).

Les membres du LUG — Linux User Group — de Strasbourg vous guideront dans l’installation et l’utilisation de ces ressources, notamment dans l’installation de la distribution Linux Mint, sur votre propre ordinateur.

L’entrée est libre et gratuite. Pour plus d’informations, n’hésitez pas à consulter le site de la médiathèque de Haguenau.

Dans la même foulée que Firefox, la version 7.0 de Thunderbird, le client de messagerie électronique libre, a été annoncée comme disponible immédiatement par Mozilla Messaging.

Mozilla annonce peu de nouveautés pour cette version, c’est essentiellement une mise à jour du moteur Gecko vers la même version que Firefox 7.0, plus les correctifs liés à cette mise à jour.

NdA : merci à ashgan et the_glu pour avoir contribué à cette dépêche.

Firefox 7.0, navigateur Web de la fondation Mozilla, est disponible au téléchargement, en 83 langues, moins de deux mois après la sortie de Firefox 6, et quatre mois après celle de Firefox 5. Il y a de quoi se réjouir, car même si cette version n’apporte que très peu de nouveautés, elle réduit de manière drastique la mémoire consommée. Le mastodonte a donc maigri très sensiblement, et les efforts ne sont pas terminés.

La plus notable des améliorations de cette version, et celle qui emporte toutes les attentions, c’est la consommation mémoire, qui a subi une cure d’amaigrissement stricte et radicale. En effet, on progresse de 20 à 30 %, voire 50 % dans certains cas. C’est grâce à l’initiative MemShrink que l’on atteint ces résultats aujourd’hui. Cela a pour effet direct d’accélérer le démarrage et le chargement de page, ainsi que plus généralement la réactivité du logiciel. Maintenant, on peut donc fermer des onglets pour réduire la mémoire occupée, au lieu de redémarrer. Concrètement, parmi les améliorations, on peut citer la correction de fuites mémoire du ramasse‐miettes de JavaScript, ce souci consommait de la mémoire croissante dans un onglet, alors qu’aucune utilisation humaine n’en était faite.

NdA : Merci aux contributeurs de cette dépêche : Altor, deasy et claudex.

Les autres nouveautés sont listées en seconde partie de cette dépêche.

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

Le test Acid 3 existe depuis 2008 et permet de vérifier « certains aspects du DOM 2, d’ECMAScript, des CSS, du SVG, du XML et des URI » (source Wikipédia). Il permet de comparer simplement les navigateurs avec une note sur 100. Ce test a été mis à jour le 17 septembre dernier, « en excluant par des commentaires les parties du test qui ont pu changer dans les spécifications ».

Le test Acid 4 est attendu et devrait se focaliser sur l’implémentation de SVG et CSS 3.

Frédéric Béziès revient dans son blog sur le test HTML 5 test, concernant l’implémentation de HTML 5 (en cours de définition).

Quelques résultats sont fournis dans la seconde partie de la dépêche.