Si vous pensez vivre dans un monde de bisounours, si vous ne voulez pas devenir parano, complotiste, si vous ne voulez pas gâcher votre week end, ne lisez pas ce long et presque indigeste article du journaliste bien connu pour ses enquêtes détaillées Jospeh MENN :-)
https://www.washingtonpost.com/people/joseph-menn/
LE RESUME
- - Une entreprise censée garantir la légitimité des sites Web en ligne a des liens avec les agences de renseignement américaines et les forces de l’ordre
- Le nom de la société est TrustCor Systems, et plusieurs navigateurs Web, tels que Google Chrome, Apple Safari, Firefox et autres, lui font confiance en tant qu’autorité de certification racine. Une autorité de certification racine est une organisation qui garantit que les sites Web ne sont pas faux et fournit un certificat d’authenticité.
- TrustCor Systems a la même liste d’officiers, d’agents et de partenaires qu’un fabricant de logiciels espions associé à Packet Forensics basé en Arizona qui a vendu "des services" d’interception de communication au agences gouvernementales américaines Via la société de système de surveillance Vostrom Holdings qui appartient à Raymond Saulino le PDG dede TrustCor)
Vostrom Holdings faisait affaire sous le nom de Packet Forensics, une société qui vend des produits d'interception légale
- Larticle du WP souligne également que l’un des partenaires de TrustCor porte le même nom que la société dirigée par quelqu’un cité comme porte-parole de Packet Forensics en 2010, Raymond Saulino. La même personne est apparue l’année dernière en tant que contact pour une entreprise qui aurait pu activer et exploiter plus de 100 millions d’adresses IP dormantes précédemment attribuées au Pentagone.
- Bien que le Pentagone ait récupéré les adresses IP, on ne sait toujours pas pourquoi elles ont été transférées en premier lieu. Selon les chercheurs, l’activation de ces adresses aurait pu donner aux militaires un accès à un trafic Internet massif.
- Une société panaméenne nommée Measurement Systems récoltait secrètement des données via des applications Android dans le Google Play Store. Ils ont également découvert des enregistrements montrant que Measurement Systems avait des liens avec Vostrom Holdings et Packet Forensics.
- Le site Web de TrustCor identifiait deux membres du personnel nommés, tous deux supposés fondateurs. L'un de ces hommes était mort. Le profil Linkedin de l'autre l'a fait quitter l'entreprise en 2019.
La société répertorie deux numéros de téléphone. L'un est hors service. L'autre est une messagerie vocale non surveillée. L'adresse de l'entreprise est un magasin UPS à Toronto. Les audits de sécurité de Trustcor sont effectués par le "Princeton Audit Group" dont l'adresse est une résidence privée à Princeton, NJ.
https://trustcor.com/static/falseclaimsandmedia.txt
Néanmoins Ryan Dickson, responsable du programme technique pour la sécurité de Chrome chez Google, a écrit que sur la base des découvertes des chercheurs, ainsi que de celles de Google, "
A lire également https://groups.google.com/a/mozilla.org ... xX69KFvsm4 pour un bon descriptif et le message de Kathleen Wilson de Mozilla qui a posé une série d'excellentes questions de suivi approfondies pour Trustcor, avec la promesse que si Trustcor ne répondait pas rapidement et de manière satisfaisante, il serait purgé de la racine de confiance de Firefoxa identifié ce qui pourrait être décrit comme des" coïncidences "qui, une fois compilées, pourraient remettre en question l'honnêteté et la sécurité de un propriétaire ou un opérateur d'autorité de certification racine de confiance publique »
(Il existe 169 autorités de certification racine dans Firefox)
Packet Forensics confirme partiellement le soupçon lui-même, selon le Washington Post.
Un dépliant a été distribué lors d'une conférence de l'industrie avec un accès étroitement réglementé en 2010 qui disait :
----------------------------------------------------------« Les communications IP rendent nécessaire l'inspection du trafic crypté à volonté. (…) Votre personnel d'enquête recueillera les meilleures preuves tandis que les utilisateurs seront bercés par un faux sentiment de sécurité par le cryptage du Web, des e-mails ou de la VOIP ».
Une entreprise mystérieuse ayant des liens avec le gouvernement joue un rôle clé sur Internet
TrustCor Systems garantit la légitimité des sites Web. Mais son adresse physique est un magasin UPS à Toronto.
Une société offshore à laquelle les principaux navigateurs Web et d'autres sociétés de technologie font confiance pour garantir la légitimité des sites Web a des liens avec des sous-traitants pour les agences de renseignement américaines et les forces de l'ordre, selon des chercheurs en sécurité, des documents et des entretiens.
Chrome de Google, Safari d'Apple, Firefox à but non lucratif et d'autres permettent à la société, TrustCor Systems, d'agir comme ce que l'on appelle une autorité de certification racine, un point puissant dans l'infrastructure Internet qui garantit que les sites Web ne sont pas faux, guidant les utilisateurs vers eux de manière transparente.
Les registres d'enregistrement panaméens de la société montrent qu'elle a la même liste d'officiers, d'agents et de partenaires qu'un fabricant de logiciels espions identifié cette année comme une filiale de Packet Forensics, basée en Arizona, qui, selon les registres des marchés publics et les documents de la société, a vendu des services d'interception de communication aux États-Unis. agences gouvernementales depuis plus d'une décennie.
L'un de ces partenaires de TrustCor porte le même nom qu'une société holding dirigée par Raymond Saulino, qui a été cité dans un article de Wired de 2010 en tant que porte-parole de Packet Forensics.
https://www.wired.com/2010/03/packet-forensics/
Saulino a également fait surface en 2021 en tant que contact pour une autre société, Global Resource Systems, qui a provoqué des spéculations dans le monde de la technologie lorsqu'elle s'est brièvement activée et a exécuté plus de 100 millions d'adresses IP auparavant inactives attribuées des décennies plus tôt au Pentagone.
Le Pentagone a récupéré le territoire numérique des mois plus tard, et on ne sait toujours pas sur quoi portait le bref transfert, mais les chercheurs ont déclaré que l'activation de ces adresses IP aurait pu donner à l'armée un accès à une énorme quantité de trafic Internet sans révéler que le gouvernement le recevait. .
Le Pentagone n'a pas répondu à une demande de commentaire sur TrustCor. Après la publication de cette histoire, un dirigeant de TrustCor a déclaré que la société n'avait coopéré à aucune demande d'informations du gouvernement ni aidé à la surveillance par un tiers de ses clients pour le compte d'autrui. Mozilla a exigé des réponses plus détaillées et a déclaré qu'il pourrait supprimer l'autorité de TrustCor.
https://www.washingtonpost.com/technolo ... _manual_11Quelques minutes avant que Trump ne quitte ses fonctions, des millions d'adresses IP inactives du Pentagone ont pris vie
Les produits de TrustCor incluent un service de messagerie qui prétend être crypté de bout en bout, bien que des experts consultés par le Washington Post aient déclaré avoir trouvé des preuves pour saper cette affirmation. Une version test du service de messagerie électronique comprenait également un logiciel espion développé par une société panaméenne liée à Packet Forensics, ont déclaré des chercheurs. Google a par la suite interdit tous les logiciels contenant ce code de logiciel espion de son App Store.
Une personne familière avec le travail de Packet Forensics a confirmé qu'il avait utilisé le processus de certificat de TrustCor et son service de messagerie, MsgSafe, pour intercepter les communications et aider le gouvernement américain à attraper des terroristes présumés.
"Oui, Packet Forensics le fait", a déclaré la personne, s'exprimant sous couvert d'anonymat pour discuter des pratiques confidentielles.
L'avocate de Packet Forensics, Kathryn Tremel, a déclaré que la société n'avait aucune relation commerciale avec TrustCor. Elle a refusé de dire s'il en avait eu un auparavant.
La dernière découverte montre comment les complexités technologiques et commerciales du fonctionnement interne d'Internet peuvent être exploitées dans une mesure rarement révélée.
Cependant, des inquiétudes concernant les autorités de certification racine ont déjà été soulevées.
En 2019, une société de sécurité contrôlée par le gouvernement des Émirats arabes unis, connue sous le nom de DarkMatter, a demandé à être mise à niveau vers une autorité racine de haut niveau à partir d'une autorité intermédiaire avec moins d'indépendance.
Cela faisait suite à des révélations sur DarkMatter piratant des dissidents et même certains Américains ; Mozilla lui a refusé le pouvoir root.
En 2015, Google a retiré l'autorité racine du China Internet Network Information Center (CNNIC) après avoir autorisé une autorité intermédiaire à émettre de faux certificats pour les sites Google.
https://thenextweb.com/news/google-to-d ... ust-breach
Avec Packet Forensics, une trace écrite a conduit à son identification par des chercheurs deux fois cette année. Principalement connue pour vendre des dispositifs d'interception et des services de suivi aux autorités, la société a conclu quatre mois un contrat avec le Pentagone de 4,6 millions de dollars pour "le traitement des données, l'hébergement et les services connexes".
https://www.usaspending.gov/award/CONT_ ... NE-_-NONE-
Dans l'affaire précédente des logiciels espions, les chercheurs Joel Reardon de l'Université de Calgary et Serge Egelman de l'Université de Californie à Berkeley ont découvert qu'une société panaméenne, Measurement Systems, avait payé des développeurs pour inclure du code dans une variété d'applications inoffensives pour enregistrer et transmettre les numéros de téléphone, les adresses e-mail et les emplacements exacts des utilisateurs. Ils ont estimé que ces applications ont été téléchargées plus de 60 millions de fois, dont 10 millions de téléchargements d'applications de prière musulmane.
Le site Web de Measurement Systems a été enregistré par Vostrom Holdings, selon les enregistrements de noms de domaine historiques. Vostrom a déposé des documents en 2007 pour faire affaire sous le nom de Packet Forensics, selon les archives de l'État de Virginie. Measurement Systems a été enregistré en Virginie par Saulino, selon un autre dossier d'État.
Après que les chercheurs aient partagé leurs découvertes, Google a démarré toutes les applications avec le code espion de son magasin d'applications Play.
https://www.wsj.com/articles/apps-with- ... 181?page=1
Tremel a déclaré qu '«une société précédemment associée à Packet Forensics était un client de Measurement Systems à un moment donné», mais qu'il n'y avait aucune participation dans la propriété.
Lorsque Reardon et Egelman ont examiné de plus près Vostrom, ils ont découvert qu'il avait enregistré le nom de domaine TrustCor.co , qui dirigeait les visiteurs vers le site principal de TrustCor. TrustCor a le même président, agents et partenaires de la société holding répertoriés dans les registres panaméens que Measurement Systems.
Une société portant le même nom que l'une des sociétés holding derrière TrustCor et Measurement Systems, Frigate Bay Holdings, a déposé des documents pour se dissoudre en mars auprès du secrétaire d'État du Wyoming, où elle a été créée. Les papiers ont été signés par Saulino, qui a indiqué son titre de manager. Il n'a pas pu être joint pour un commentaire.
TrustCor a délivré plus de 10 000 certificats, dont beaucoup pour des sites hébergés par un fournisseur de services de noms de domaine dynamique appelé No-IP, ont déclaré les chercheurs. Ce service permet aux sites Web d'être hébergés avec des adresses de protocole Internet en constante évolution.
Parce que l'autorité racine est si puissante, TrustCor peut également donner à d'autres le droit d'émettre des certificats.
Les certificats pour les sites Web sont visibles publiquement afin que les mauvais soient exposés tôt ou tard. Jusqu'à présent, aucun rapport n'a signalé que les certificats TrustCor aient été utilisés de manière inappropriée, par exemple en se portant garant de sites Web d'imposteurs. Les chercheurs ont émis l'hypothèse que le système n'est utilisé que contre des cibles de grande valeur dans de courtes fenêtres de temps. La personne familière avec les opérations de Packet Forensics a convenu que c'était en fait ainsi qu'il avait été utilisé.
"Ils ont cette position de confiance ultime, où ils peuvent émettre des clés de cryptage pour n'importe quel site Web arbitraire et n'importe quelle adresse e-mail", a déclaré Egelman. "C'est effrayant que cela soit fait par une entreprise privée louche."
La page de leadership du site Web de TrustCor ne répertorie que deux hommes, identifiés comme co-fondateurs. Bien que cette page ne le dise pas, l'un d'eux est décédé il y a des mois, et le profil LinkedIn de l'autre indique qu'il est parti en tant que directeur de la technologie en 2019. Cet homme a refusé de commenter.
Le site Web répertorie un numéro de téléphone de contact au Panama, qui a été déconnecté, et un à Toronto, où aucun message n'a été renvoyé après plus d'une semaine. Le formulaire de contact par e-mail sur le site ne fonctionne pas. L'adresse physique à Toronto indiquée dans son rapport d'audit, 371 Front St. West, abrite un dépôt de courrier UPS Store.
TrustCor ajoute une autre couche de mystère avec son cabinet d'audit externe. Au lieu d'utiliser un grand cabinet comptable qui évalue la sécurité des sociétés d'infrastructure Internet, TrustCor en a sélectionné un appelé Princeton Audit Group, qui donne son adresse en tant que maison de ville résidentielle à Princeton, NJ.
Dans ses commentaires mardi sur une liste de diffusion pour les développeurs de Mozilla, la dirigeante de TrustCor, Rachel McPherson, a déclaré que sa société avait été victime d'attaques complexes qui impliquaient l'enregistrement de sociétés portant des noms similaires à ceux de ses actionnaires, peut-être pour aider à mettre en place une sorte de une attaque par phishing. Elle a dit qu'elle chercherait pourquoi certaines personnes figuraient sur la liste des officiers.
En plus de la puissance de certificat de TrustCor, la société propose ce qui prétend être un e-mail crypté de bout en bout, MsgSafe.io . Mais les chercheurs ont déclaré que l'e-mail n'est pas crypté et peut être lu par l'entreprise, qui l'a présenté à divers groupes préoccupés par la surveillance.
MsgSafe a vanté sa sécurité à une variété de clients potentiels, y compris les partisans de Trump mécontents que Parler ait été abandonné par les magasins d'applications en janvier 2021, et aux utilisateurs du service de messagerie crypté Tutanota qui ont été empêchés de se connecter aux services Microsoft.
https://twitter.com/msgsafeio/status/13 ... rwYVdHYrTQ
"Créez votre e-mail crypté de bout en bout gratuit aujourd'hui avec plus de 40 domaines parmi lesquels choisir et vous êtes assuré de fonctionner avec Microsoft Teams", a tweeté la société en août.
https://twitter.com/msgsafeio/status/15 ... rwYVdHYrTQ
Reardon a envoyé des messages de test sur MsgSafe qui semblaient non cryptés lors de la transmission, ce qui signifie que MsgSafe pouvait les lire à volonté. Egelman a effectué le même test avec le même résultat.
Jon Callas, un expert en cryptographie à l'Electronic Frontier Foundation, a également testé le système à la demande de The Post et a déclaré que MsgSafe avait généré et conservé la clé privée de son compte, afin qu'il puisse déchiffrer tout ce qu'il envoyait.
"La clé privée doit être sous le contrôle de la personne pour être de bout en bout", a expliqué Callas.
Packet Forensics a d'abord attiré l'attention des défenseurs de la vie privée il y a une douzaine d'années.
En 2010, le chercheur Chris Soghoian a assisté à une conférence de l'industrie sur invitation uniquement surnommée le Wiretapper's Ball et a obtenu une brochure Packet Forensics destinée aux clients des forces de l'ordre et des agences de renseignement.
La brochure concernait un matériel informatique destiné à aider les acheteurs à lire le trafic Web que les parties pensaient sécurisé. Mais ce n'était pas le cas.
"La communication IP dicte la nécessité d'examiner le trafic crypté à volonté", lit-on dans la brochure, selon un rapport de Wired qui cite Saulino en tant que porte-parole de Packet Forensics. "Votre personnel d'enquête recueillera ses meilleures preuves tandis que les utilisateurs seront bercés par un faux sentiment de sécurité offert par le cryptage Web, e-mail ou VOIP", ajoute la brochure.
https://www.wired.com/2010/03/packet-forensics/
La brochure indiquait aux clients qu'ils pouvaient utiliser une clé de déchiffrement fournie par une ordonnance du tribunal ou une "clé similaire".
Les chercheurs pensaient à l'époque que la manière la plus probable d'utiliser la boîte était avec un certificat délivré par une autorité pour de l'argent ou en vertu d'une ordonnance du tribunal qui garantirait l'authenticité d'un site de communication imposteur.
Ils n'ont pas conclu qu'une autorité de certification entière elle-même pourrait être compromise.
Selon les experts, l'obtention d'une autorité de certification racine de confiance prend du temps et de l'argent pour l'infrastructure et pour l'audit requis par les navigateurs.
Chaque navigateur a des exigences légèrement différentes. Chez Firefox de Mozilla, le processus prend deux ans et comprend une vérification participative et directe ainsi qu'un audit.
https://wiki.mozilla.org/CA/Application_Process
Mais tout cela se concentre généralement sur des déclarations formelles d'étapes technologiques, plutôt que sur des mystères de propriété et d'intention. La personne familière avec Packet Forensics a déclaré que les grandes entreprises technologiques étaient probablement des participants involontaires au jeu TrustCor : "La plupart des gens ne font pas attention."
"Avec suffisamment d'argent, vous ou moi pourrions devenir une autorité de certification racine de confiance", a déclaré Daniel Schwalbe, vice-président de la technologie chez Web Data Tracker DomainTools.
Mozilla reconnaît actuellement 169 autorités de certification racine, dont trois de TrustCor.
L'affaire met l'accent sur les problèmes de ce système, dans lequel des entreprises technologiques critiques sous-traitent leur confiance à des tiers ayant leurs propres agendas.
"Vous ne pouvez pas amorcer la confiance, cela doit venir de quelque part", a déclaré Reardon. « Les autorités de certification racine sont le noyau de confiance à partir duquel tout est construit. Et ce sera toujours fragile, car cela impliquera toujours des humains, des comités et des prises de décision.
Reardon et Egelman ont alerté Google, Mozilla et Apple de leurs recherches sur TrustCor en avril. Ils ont dit qu'ils avaient peu entendu parler jusqu'à mardi.
Après la publication de cette histoire, Mozilla a donné à TrustCor deux semaines pour répondre à une série de questions, notamment sur ses relations avec Measurement Systems et Packet Forensics, les agents partagés, et comment le code de logiciel espion interdit de Measurement Systems est entré dans une des premières applications MsgSafe.
Source : https://www.washingtonpost.com/technolo ... nnections/