L’équipe s’appuie sur le travail de produits gratuits tels que Signal, qui offre un cryptage fort pour les messages texte et les appels vocaux, et Tor, qui offre une navigation Web anonyme en acheminant le trafic via une série de serveurs pour dissimuler l’emplacement de la personne qui effectue le recherche.
Le dernier effort, qui sera détaillé lors de la conférence annuelle massive sur le piratage Def Con à Las Vegas la semaine prochaine, vise à fournir une base pour la messagerie, le partage de fichiers et même les applications de réseautage social sans récolter aucune donnée, le tout sécurisé par le type de bout en bout. -end cryptage qui rend l’interception difficile même pour les gouvernements.
Appelé Veilid et prononcé vay-lid, le code peut être utilisé par les développeurs pour créer des applications pour les appareils mobiles ou le Web. Ceux les applications se transmettront du contenu entièrement crypté en utilisant le protocole Veilid, selon ses développeurs. Comme avec le logiciel de partage de fichiers BitTorrent, qui distribue simultanément différents éléments du même contenu, le réseau deviendra plus rapide à mesure que davantage d’appareils se rejoindront et partageront la charge, selon les développeurs. Dans de tels réseaux « peer-to-peer » décentralisés, les utilisateurs téléchargent des données les uns des autres plutôt qu’à partir d’une machine centrale.
Comme pour certaines autres entreprises open source, le défi consistera à persuader les programmeurs et les ingénieurs de consacrer du temps à la conception d’applications. qui sont compatibles avec Veilid. Bien que les développeurs puissent facturer de l’argent pour ces applications ou vendre des publicités, les sources de revenus potentielles sont limitées par l’incapacité de collecter des informations détaillées qui sont devenues une méthode principale pour diffuser des publicités ciblées ou présenter un produit à un ensemble spécifique d’utilisateurs.
L’équipe derrière Veilid n’a pas encore publié de documentation expliquant ses choix de conception, et le travail collaboratif sur une première application de messagerie, destinée à fonctionner sans nécessiter de numéro de téléphone, doit encore produire une version de test.
Mais le projet naissant a d’autres avantages.
Il arrive au milieu du désarroi, de la concurrence et d’une volonté d’expérimenter parmi les utilisateurs de réseaux sociaux et de chat mécontents de Twitter et Facebook. Et cela renforce l’opposition aux mesures croissantes prises par les gouvernements, y compris récemment le Royaume-Uni, pour saper le cryptage fort avec des lois exigeant la divulgation à la demande du contenu ou de l’identité des utilisateurs. Apple, la société mère de Facebook, Meta et Signal, ont récemment menacé de retirer certains services britanniques si ce pays Facture de sécurité en ligne est adopté tel quel.
Les militants des droits civiques et les partisans du droit à l’avortement ont également été alarmés par l’utilisation par la police de messages envoyés par SMS et Facebook Messenger pour enquêter sur les avortements dans les États qui ont interdit la procédure après les six premières semaines de grossesse.
“C’est formidable que les gens développent un cadre de chiffrement de bout en bout pour tout”, a déclaré Cindy Cohn, directrice exécutive de l’association à but non lucratif Electronic Frontier Foundation. “Nous pouvons aller au-delà du modèle commercial de surveillance.”
Le FBI n’a pas répondu à une demande de commentaire, mais les forces de l’ordre se plaignent souvent que le cryptage de bout en bout rend difficile l’analyse des messages à la recherche de complots criminels et la récupération des preuves par la police après coup.
Après trois ans de codage, Veilid entre dans le monde avec un pedigree comme peu d’autres dans le monde du piratage et de la sécurité.
Veilid est la sortie la plus importante depuis plus d’une décennie de Cult of the Dead Cow, le groupe de piratage américain le plus ancien et le plus influent et à l’origine du mot hacktivisme, combinant piratage et activisme. Le groupe, qui porte son acronyme cDc, tire son nom d’un ancien lieu de rencontre, un abattoir abandonné à Lubbock, au Texas.
Après des débuts modestes en écrivant des histoires pour les babillards en ligne des années 1980 pré-web, lorsqu’un adolescent Beto O’Rourke était actif dans le groupe, Cult of the Dead Cow comprend désormais certains des plus grands noms de la cybersécurité.
Deux ont été parmi les premières personnes à émettre des avertissements publics sur les failles de sécurité dans les logiciels largement utilisés et à coordonner les divulgations avec les fournisseurs lorsqu’ils ont corrigé les programmes.
Cette paire comprend Peiter Zatko, largement connu sous le nom de Mudge, qui était responsable de programme à la Defense Advanced Research Projects Agency du Pentagone, ou DARPA, et responsable de la sécurité pour le facilitateur de paiements en ligne Stripe. Il a ensuite été embauché par le fondateur de Twitter, Jack Dorsey, pour y superviser la sécurité. Il a témoigné au Congrès l’année dernière que les pratiques de Twitter étaient si mauvaises qu’elles violaient les précédents accords de l’entreprise avec la Federal Trade Commission. La FTC enquête actuellement.
Un autre, Christien Rioux, a écrit un outil open source pour le piratage des machines Windows, Back Orifice 2000, qui a été publié à Def Con en 1999. Rioux a ensuite cofondé Veracode, qui a créé des programmes pour analyser les logiciels à la recherche de failles de sécurité enfouies : cette société est vaut maintenant plus de 2 milliards de dollars.
Rioux et Zatko appartenaient également à un groupe appelé le L0pht, qui a averti le Congrès il y a 25 ans que l’infrastructure d’Internet était désastreusement dangereuse.
Rioux a écrit la grande majorité des plus de 100 000 lignes de code dans le framework Veilid, tandis que d’autres membres de cDc ont été impliqués dans le test et la critique et ont travaillé sur les politiques, la documentation et les premières applications.
«Vous pouvez considérer Tor comme un système de confidentialité pour accéder aux sites Web. Il anonymise votre adresse IP source », a déclaré Rioux au Washington Post, faisant référence à la désignation numérique souvent attribué à un seul ordinateur traçable. Mais Tor est compliqué à utiliser, a déclaré Rioux, “pas très adapté aux mobiles et pas très moderne dans sa construction”.
“C’est un peu comme Tor, mais pour les applications. Tout le monde a des superordinateurs dans ses poches. Pourquoi ne pas faire du cloud les ordinateurs de tout le monde ? »
Rioux et d’autres personnes travaillant sur Veilid ont déclaré que la clé était de faciliter la tâche des développeurs et des utilisateurs, aussi simple que quelque chose comme Facebook. Les applications existantes pourraient créer une version qui fonctionne avec Veilid et permettre à leurs utilisateurs de communiquer sans qu’aucun tiers ne soit plus avisé.
Le projet est géré par une fondation qui a demandé le statut d’organisation à but non lucratif 501c(3). Les trois réalisateurs sont Rioux, une intronisée au cDc plus récente nommée Katelyn Bowden, et un compagnon de route qui a été actif sur la scène du piratage des années 1990 et qui a travaillé dans la sécurité depuis lors, Paul Miller.
Bowden, qui a passé des années à défendre les victimes de la pornographie de vengeance, a déclaré qu’elle était motivée pour aider ceux qui ont peu d’argent ou de pouvoir à avoir les mêmes communications sécurisées que les milliardaires et les experts. Cela inclut les filles et les femmes à la recherche d’informations sur l’avortement, qui peuvent être trahies par les applications de messagerie courantes.
“Il est très rare que vous rencontriez quelque chose qui ne vend pas vos données”, a déclaré Bowden. « Nous donnons aux gens la possibilité de se retirer de l’économie des données. … Redonnez le pouvoir aux utilisateurs, donnez-leur l’autorité sur leurs données et vissez ces personnes qui ont gagné des millions en vendant des informations sur la période.
Certains ingénieurs chevronnés qui ont testé le code du projet ont déclaré qu’il fonctionnait bien.
L’un d’eux, Kirk Strauser, s’est dit heureux que Rioux ait intégré des protocoles éprouvés pour le cryptage plutôt que d’essayer de tout inventer à partir de zéro.
Il a comparé Veilid à un pionnier peer-to-peer Napster — quelque chose de révolutionnaire construit principalement à partir de technologies déjà disponibles dans le monde.
“C’est une nouvelle façon de les combiner pour travailler ensemble”, a déclaré Strauser, qui est l’architecte principal de la sécurité dans une entreprise de santé numérique.
L’un des problèmes les plus complexes pour Veilid est la modération du contenu, qui a été l’un des plus gros problèmes sur Twitter et Facebook.
Certains nouveaux rivaux de ces entreprises établies, telles que Mastodon, ont opté pour ce que l’on appelle la fédération, dans laquelle des groupes avec leurs propres règles se connectent de manière lâche avec d’autres groupes.
Le parent de Facebook, Meta, annonce qu’il rendra son nouveau rival sur Twitter, Threads, compatible avec Mastodonte et autres. Le conseiller informel de Veilid, Micah Schaffer, a déclaré que cela montre que les grandes entreprises envisagent d’utiliser la fédération pour «fournir cette illusion de choix. Ils adoptent la fédération d’une manière qui détourne la responsabilité de leur décision de modération – vous pouvez simplement aller sur un autre serveur.
Le cryptage complet signifie que les modérateurs ne pourront pas voir les interactions nuisibles, ce qui est l’une des raisons pour lesquelles la propre application de réseautage de Veilid demandera aux utilisateurs d’inviter des abonnés spécifiques.
“Veilid ouvre la porte à une nouvelle génération d’applications sociales plus sûres de par leur conception”, a déclaré Schaffer, qui a créé la première équipe de sécurité de YouTube et a ensuite dirigé la politique publique chez Snap.
Rioux a déclaré qu’il espère que sa conversation avec Bowden ouvrant la première journée complète de Def Con, ainsi qu’un atelier technique et une fête, inspireront la masse critique de passionnés dont Veilid a besoin pour réussir.
“Def Con est un vivier d’utilisateurs et de développeurs centrés sur la confidentialité”, a-t-il déclaré. “Nous nous lançons au bon endroit pour faire sortir un lot de personnes très intéressées.”
L’establishment de la confidentialité et de la sécurité surveillera de près ce qui se passe.
“Je suis ravi qu’ils prennent ce taureau par les cornes”, a déclaré l’inventeur Jon Callas, qui a cofondé PGP Corporation et les sociétés de communications sécurisées Silent Circle et Blackphone. “J’ai hâte de voir les détails.”
2023-08-02 15:35:38
1690983543
#Les #hacktivistes #Cult #Dead #Cow #conçoivent #système #cryptage #pour #les #applications #mobiles
