News

Facebook, Cambridge Analytica, et votre vie

By SwissTengu @SwissTengu @SwissTengu — 2018-03-30T14:44:22
On l'a vu, lu, entendu, Facebook s'est fait prendre la main dans le sac à données personnelles. Ou, plutôt, une société tiers, qui a simplement profité de ce que Facebook met à disposition.

D'aucun parlent de "vol de données". Ce n'est pas le cas. D'autres parlent de "manipulations" des votations. On y reviendra. Quoi qu'il en soit, la cacophonie entourant cette "découverte" nous laisse un peu perplexes. Voici pourquoi.

Facebook ne vous vole rien

C'est bête à dire, mais tout ce que Facebook sait de vous, c'est vous-même qui mettez ces informations à dispositions, que ce soit au travers de vos publications, "likes", commentaires, ou par l'emploi du "login facebook" pour des sites/applications tiers.
Ce que Facebook fait de tout cela est expliqué dans les fameuses "conditions générales d'utilisation", que vous avez acceptées lors de votre inscriptions. Vous recevez en outre des informations dès que Facebook effectue des modifications de ces fameuses CGU. On peut reprocher pas mal de choses à Facebook. Mais de vous voler des données, non, on ne peut décemment pas.

La manipulation

Là encore, il faut savoir raison garder : si on est manipulé, c'est qu'on prête le flanc, de part notre crédulité, notre propre bêtise, ou notre enfermement.  Mais on ne peut, réellement, manipuler les gens que s'ils se laissent faire. Alors oui, pour éviter la manipulation sur les réseaux, il y a plusieurs choses à garder en tête, comme par exemple :
  • garder un esprit critique
  • toujours valider ce qu'on lit (que ce soit sur Internet ou même dans des journaux)
  • demander/chercher une seconde opinion
  • ne jamais avaler tout droit la soupe de (dés)information
  • sortir de notre "bulle de confort"
Le dernier point est sans doute le plus important et, potentiellement, le plus compliqué, surtout si on est dans un système tel que Facebook. Pourquoi nous demandez-vous ? On va l'aborder :).

Le modèle économique

Facebook marche à la publicité. Ce qu'ils vendent aux annonceurs, c'est une certaine garantie que les publicités affichées apporteront des clients. Et la manière la plus "simple" de faire cela, c'est d'exploiter les données que nous lui fournissons - et de dresser des profiles à même de satisfaire les attentes des annonceurs.
C'est aussi simple que cela. On utilise une plateforme "gratuite", qui exploite nos données pour nous afficher de la publicité - que ce soit sur Facebook directement, ou sur des sites employant les plugins de Facebook.

Il n'est donc pas étonnant que Facebook récolte les données et les traite. Et, encore une fois, les conditions ne cachent pas ce traitement.

Cambridge Analytica

Ce n'est pas la seule entité à exploiter Facebook - n'importe quelle application qe vous activez dans votre compte peut accéder à vos données - les permissions demandées vous montrent bien ce à quoi elles accèdent.
Cambridge a juste créé une application (un test psychologique), demandant l'accès aux données de manière complètement transparente, et a ensuite exploité le tout, dans le but de créer des annonces/articles/autres de manière à, peut-être tenter d'influencer en confortant les gens dans leurs positions.

CA a juste poussé les choses plus loin que les autres annonceurs et développeurs qui utilisent Facebook. La seule raison qui explique le soudain "omg-effect", c'est que ça a été démontré par un lanceur d'alerte, et que c'est en lien avec le président actuel des USA, qui n'est pas dans le cœur de tout le monde… Mais ce ne sont pas les premiers, ni les seuls, ni les derniers.
Même si Facebook assure travailler à améliorer la confidentialité, il y aura toujours le facteur humain : les gens vons continuer d'accepter sans regarder, ce qui laissera les données en "libre accès".

More »»

Marc Elsberg : un auteur à suivre

By SwissTengu @SwissTengu @SwissTengu — 2016-10-19T14:08:27
Nous avons découvert il y a peu Marc Elsberg1, un auteur allemand. Son premier livre, Black-out, nous plonge dans une Europe où le réseau électrique s'effondre, à cause du manque de conscience des fournisseurs de solutions "smart grid"2 au niveau de la sécurité et des risques.

Ce premier livre, bien que présenté comme une fiction, met le doigt sur pas mal de problèmes qui, effectivement, existent. La pertinence technique, tout en usant de quelques simplifications (lire la postface), permet de se faire une idée très claire des problèmes posés par l'Internet des objets3 (en s'intéressant particulièrement aux grosses infrastructures et à leur gestion via des logiciels dédiés).

Le lire et le recommander permettra de vous confronter, ainsi que vos proches, à des réalités qui sont souvent méconnues4. Il est très intéressant de lire la postface du livre, l'auteur y décrivant les étapes d'écriture ainsi que les événements survenus pendant ou juste après l'édition. On se rappel de Stuxnet5, par exemple, qui avait fait les gros titres par son ciblage précis de certaines infrastructures sensibles.

Plus récemment, mais sans rapport direct avec la gestion d'infrastructures critiques, on peut se rappeler du DDoS6 ayant eu pour origine plusieurs dizaines de millier de caméras connectées…

Encore en 2016, trop d'objets connectés manquent de sécurité. Même nos routeurs, passerelles Internet fournies par nos fournisseurs de services, sont vulnérables à de multiples niveaux7 !

Le second livre de Marc Elsberg, Zero, nous plonge dans un monde légèrement plus avancé que maintenant, mais au final pas tant que ça. Les technologies décrites dans ce second livre existent et sont mises en applications, seuls certains points techniques sont une anticipation à court terme de ce qu'on va avoir.
Le monde décrit est ainsi : une société collecte, agrège et analyse les données personnelles des utilisateurs de ses applications (on a déjà cela, les exemples ne manquent pas). En contre-partie, les utilisateurs ont droit à deux services :
  • la gestion de la revente de leurs données personnelles (ce genre de plate-forme existe déjà)
  • des applications intégrées qui permettent d'améliorer son style de vie (là par contre, on n'y est pas encore tout à fait).

En parallèle de cela, un groupe de hacker, Zero (qui n'est pas une référence à Anonymous, eux-mêmes étant cités dans le livre, de même que Lulzsec et d'autres) veut démontrer que la surveillance généralisée ne sert à rien, et que le traitement des données personnelles est déséquilibré.

Là aussi, l'auteur s'est renseigné, documenté. Il expose les problèmes liés aux données personnelles dans un monde de plus en plus connecté. Il évalue les différents points de vue en tentant d'apporter des arguments nuancés et circonstanciés.

La lecture de ce livre peut, là encore, éveiller l'intérêt et permettre une prise de conscience de l'état de notre sphère privée.

De manière générale, nous sommes heureux de voir ce genre de livres sortir et, surtout, rencontrer un certain succès (Black-out a été très bien vendu, et peut même être intégré dans le cursus scolaire allemand). Zero est bien parti pour rencontrer le même succès.

Bonnes lectures !

More »»

Conférence "Bonnes pratiques à l'ère du numérique"

By SwissTengu @SwissTengu @SwissTengu — 2016-10-13T17:20:02
EthACK a donné mercredi 12 octobre une conférence sur les bonnes pratiques à l'ère du numérique. Elle s'est déroulée à l'EPS d'Écublens, en présence d'une cinquantaine de personnes.

Le but était de sensibiliser le personnel enseignant sur les problématiques du numérique, sous l'angle "protection des données et sécurité". La durée prévue était d'environ 90 minutes, laissant ainsi largement de temps aux auditeurs et auditrices pour poser leurs questions, nombreuses, et faire part de leurs inquiétudes quant au fait qu'il n'est, au final, pas possible de réellement maîtriser ce qui transite sur les réseaux.

La conférence s'est déroulée en deux parties, une première faisant un rapide état des lieux au niveau des utilisations et menaces potentielles1, puis une seconde présentant les règles de bases pour une "hygiène numérique".

Diverses discussions quant à la pertinence ou non d'utiliser des applications mobiles pour communiquer avec les élèves ont été menées durant les deux périodes de questions. EthACK a aussi pu relever un problème intéressant auquel sont confrontés tous les membres du personnel enseignant : l'utilisation d'appareils privés dans le cadre professionnel.
Si cela peut sembler une bonne idée, cette pratique, courante et pas limitée au cadre scolaire, pose beaucoup de problèmes, parmi lesquels:
  • impossibilité de "débrancher" du travail
  • risques de perte/vol de données personnelles à caractère privées dans le cadre du travail
  • risques de perte/vol de données professionnelles dans le cadre privé

D'autres sujets, tels que les réseaux sociaux, ont été abordés. Il en est ressorti que peu de personnes présentes avaient un compte Facebook ou assimilé, et le peu qui en avait un n'était pas "ami" avec leurs élèves, ce qui est un bon point : là aussi, être "ami" avec des élèves peut poser des problèmes, tels que la neutralité/impartialité, le transfert bidirectionnel de données personnelles, les possibles implications personnelles/émotionnelles que cela peut créer.

Des questions plus précises, tel que la gestion des mots de passes2, ainsi que le rôle des enseignants dans l'éducation numérique des élèves.

Les slides employées pour cette présentation sont disponibles3.

Si vous aussi voulez organiser une conférence/présentation sur ce genre de sujets, que ce soit au sein de votre école, de votre entreprise ou même de votre association, n'hésitez pas à nous contacter.

Pour EthACK,
SwissTengu

More »»

LRens : et après ?

By SwissTengu @SwissTengu @SwissTengu — 2016-09-25T20:05:36
Le peuple a voté : 65.5% des votants a accepté la nouvelle Loi sur le renseignement. Adieu, sphère privée, donc. On va pouvoir remercier les Médias suisses (publics, privés) pour ne pas avoir abordé les éléments suivants lors de la campagne :

Bref. On est dans la mouise, aussi à poil que les citoyens américains ou français. Suite à ce vote, les citoyens ont deux possibilités : faire une totale confiance au SRC et aux commissions de surveillance2, ou se défendre bec et ongle pour protéger leur sphère privée et celles de leurs proches3.

Il est évident que EthACK, de par ses origines, est pour la défence (voire l'attaque). Nous avons jusqu'à septembre 2017 pour fourbir notre arsenal numérique et protéger au mieux nos systèmes, qu'ils soient privés ou d'entreprise.

La loi sur le renseignement permet pas mal de choses, certes. Elle peut même être assimilée au Patriot Act4 américain, vu qu'elle obligera les entreprises basées en Suisse à fournir des données au SRC. Elle permet aussi aux membres du SRC d'écouter toutes les connexions du pays5, voire de compromettre des systèmes informatiques nationaux6 ou étrangers7.
Mais nous ne sommes pas sans défense, heureusement. De plus en plus de services offrent différentes choses, auquelles il faut réellement commencer à prêter une attention particulière si ont veut que nos conversations privées restent privées :

Connexion chiffrée
À ce niveau, pas de miracle : les services ne fournissant pas de connexion sécurisée (http, smtp, imap, pop3) sont à proscrire. Seules les connexions chiffrées (httpS, smtpS, imapS, pop3S) sont à employer. Si les fournisseurs de services que vous employez ne mettent pas ces protocoles chiffrés à disposition, il serait bon de les contacter pour les inciter à le faire le plus rapidement possible.

Chiffrement côté client
Cela concerne principalement les "services clouds", dans le sens (erroné) "stockage en ligne". Il convient de s'assurer que les clients pour desktop, mobile, tablet ou autres chiffrent les données sur l'appareil avant d'envoyer quoi que ce soit. Dans un second temps, il faut absolument s'assurer que vous et vous seuls êtes en possession de la clef de déchiffrement. Sinon, ça ne sert à rien, vos données sont à poil chez le fournisseur de service.

Multi-factor authentication
Dans la mesure du possible, pensez à activer le MFA8 sur les services que vous employez. C'est une protection supplémentaire qui évitera les problèmes le jour où le service sera compromis, que ce soit par des hackers doués ou des hackers ayant mis la main sur les divers achats du SRC suite à une fuite de données à ce niveau…

Localisation des services
Avec la LRens, l'emplacement des serveurs ainsi que des sociétés les exploitant est moins important. Les USA sont évidemment à éviter à cause de leurs multiples lois (Patriot Act, FISA9, etc), mais il devient moins évident que la Suisse soit mieux : le SRC peut obliger n'importe quel fournisseur de service à donner des informations. D'ici que des sociétés comme Threema10 soit dans le colimateur du SRC, il ne faudra pas long.

Conditions générales et autres documents
Comme toujours, il faut lire les conditions générales d'utilisations de même que la politique de confidentialité (privacy policy) avant de souscrire à un service. Oui, ces textes sont longs. Oui, ils sont souvent en anglais. Oui, ils sont très barbants à lire. Mais faites-le !

Aussi, assurez-vous que vous employez un mot de passe différent pour chaque service ou que, s'il s'agit d'une dérivation d'un mot de passe principal, cette dérivation ne soit pas simple à trouver.

Au niveau de EthACK, nous allons tâcher de fournir des tutoriaux, et de sortir un nouveau cycle de conférences pour expliquer les tenants et aboutissants de cette loi. 

Dans l'intervalle, il vous faudra vous renseigner et déjà consolider l'existant. Faites déjà le tri, et profitez pour modifier vos mots de passe et vous assurer que chaque service en utilise un différent.

Stay safe.

T.
  • 1Nos élus ne savent pour la plupart pas comment fonctionne Internet ou les smartphones, sans parler même des réseaux sous-jacent
  • 2Bah, à priori, 65.5% des votants semblent vouloir à tous prix y croire, tout comme croire que cette nouvelle loi va réellement nous protéger contre des menaces qui, jusqu'à maintenant, on fait une quantité incalculable de morts : 0
  • 3Ne soyons pas égoïstes — et n'oublions pas que la plus solide des chaînes ne dépend que de son maillon le plus faible…
  • 4https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
  • 5Ne nous voilons pas la face, la présence des sondes au cœur du réseau pour les connexions "externes" vont aussi écouter ce qu'il se passe ailleurs : rien que la RTS passe par Akamai, du coup les visites effectuées sortent du pays. Et combien de vos contacts utilisent GMail ? ;)
  • 6Article 26
  • 7Article 37
  • 8https://en.wikipedia.org/wiki/Multi-factor_authentication
  • 9https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
  • 10N'oublions pas que le code source de l'application n'est pas disponible…

More »»

LRens : tirons les leçons de l'Allemagne

By SwissTengu @SwissTengu @SwissTengu — 2016-09-17T15:08:57
Les suisses vont voter le week-end prochain. Parmi les différents objets, la Loi sur le Renseignement, aka #LRens1.

Dans le but de doter le SRC de moyens d'interceptions et d'investigations poussés, la loi introduit diverses possiblités jusqu'à maintenant hors de portée :
  • utilisation des IMSI-Catchers2
  • utilisation de chevaux de Troie3
  • exploration du réseau câblé4
  • et d'autres choses tout autant joyeuses.
La loi prévoit des garde-fous, ce qui est louable, mais sont-ils suffisants ?

La nouvelle loi prévoit que les communications "helvético-suisses" ne seront pas écoutées comme le sont celles "entrantes et sortantes" du pays. Cette exception ne sert à rien : une communication entre Lausanne et Zürich peut fort bien passer par la France et l'Allemagne, au gré des routes sur Internet. Du coup elle sera interceptée sans aucune demande d'autorisation spécifique.
De plus, le fait de soumettre les filtres/mots-clefs à une procédure de validation ne protège en rien les abus : l'exemple allemand5 est très parlant à ce sujet. La variante suisse de la loi sur le renseignement n'est pas sans rappeler la version allemande, et il serait de bon ton de voir ce qui s'est passé chez nos voisins avant de foncer tête baissée.
Rien n'empêchera non plus que les fameux "GovWare" se retrouvent dans la nature — l'infomatique de la Confédération démontre chaque année (si ce n'est chaque mois) les manifiques compétences de notre pays en la matière…

Il va sans dire qu'il sera intéressant, dans le cas où cette loi est acceptée6, de surveiller QUI fournira les outils de surveillance à notre service de renseignements. Sans doute des sociétés étrangères, comme c'est déjà le cas pour Fedpol7

Des précédents

Il ne faut pas oublier que le SRC, et les services de renseignement suisse, ont une histoire quelque peu trouble :
  • le "scandale des fiches"8 dans les années 1980
  • (au moins) un vol de données directement au sein du SRC9
  • (au moins) un employé a eu un comportement "indélicat" avec un média suisse10
  • … et combien d'autres choses qui ne sont pas sorties au grand jour ?
Les questions légitimes

Au vu de tout cela, quelques questions se posent :
  • avons-nous suffisament confiance dans notre gouvernement et les services de renseignement pour leur laisser ces "joujoux" en libre accès ?
  • avons-nous réellement besoin de ces nouvelles mesures ?
  • est-ce que notre droit à la vie privée ne risque vraiment rien face à ces nouvelles mesures ?
  • est-ce qu'on peut réellement se dire "le GovWare est en sécurité dans les infrastructures de la Confédération", surtout si l'on reprend le cas RUAG11, censé "être au top" ?
Toutes ces questions doivent trouver une réponse positive avant de pouvoir voter "oui" le 25 septembre. Une fois cette loi et ses mesures acceptées, il sera beaucoup plus difficile de revenir en arrière.

Notons au passage que l'OFCOM s'est bien gardé de publier les ID des cellules GSM/3G/4G12… Et ce dès le début de la publication de l'emplacement de ces mêmes cellules, empêchant ainsi les citoyens de s'assurer que les antennes employées par leurs appareils sont bien des antennes officielles. Avant même la mise en application de la LRens. De quoi se poser quelques questions sur ce sujet précis, et l'utilisation des IMSI-Catchers dans la Suisse de manière générale.

Ah, et, pour celles et ceux qui vont répondre "bah je n'ai rien à cacher, moi", je vous invite à lire cet excellent billet du non moins excellent François Charlet : https://francoischarlet.ch/2016/rien-a-cacher/

Bonnes lectures, et votez avec sagesse, pas sous le coup de l'émotion.

More »»