Tag "français"

Pourquoi les USA et l'Europe n'ont pas la même vision de la vie privée ?

Par FCharlet @FCharlet @FCharlet — 2014-03-25T06:59:25

Les États-Unis et l'Europe semblent mal se comprendre en matière de protection des données. Il arrive par exemple qu'on entende ou lise de la part d'Européens que les États-Unis n'ont pas de loi sur la protection des données. Si les deux systèmes sont bel et bien différents, il n'est cependant pas certain que l'un soit meilleur que l'autre. Explications.

N.B. Cet article a aussi été publié sur le site de François Charlet.

Conception de la vie privée

Tout d'abord, il n'y a pas de divergence fondamentale dans la conception même de la vie privée entre les États-Unis et l'Europe.

L'art. 12 de la Déclaration Universelle des Droits de l'Homme stipule ceci :

Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Il est probable que la vie privée soit un élément plus sensible dans l'ADN des Européens que dans celui des Américains. L'Histoire européenne, en particulier ce qui a trait à la Gestapo et au KGB soviétique, n'y est évidemment pas étrangère. Par exemple, l'Europe l'a consacrée comme un droit fondamental à l'art. 7 de la Charte des droits fondamentaux (la "Constitution européenne" en quelque sorte). Et on en retrouve à peu près la même substance dans chaque constitution de chaque pays de l'UE, y compris la Suisse. L'État a donc une responsabilité envers ses citoyens.

Aux États-Unis, le Bill of Rights 1 ne garantit pas explicitement le droit à la vie privée. Le mot "privacy" n'existe même pas dans la Constitution américaine. Il a plus ou moins implicitement été déduit du neuvième amendement par les tribunaux et la Cour Suprême.

L'énonciation dans la Constitution de certains droits ne devra pas être interprétée de façon à dénier ou à limiter d'autres droits conservés par le peuple. (9ème amendement)

Alors que l'UE a une conception de la vie privée axée sur la participation active et la coopération des autorités avec le secteur privé, les États-Unis – où l'économie est plus orientée vers le consommateur qu'en Europe – donnent plus de liberté à la corporate governance.2

L'élément sécuritaire joue un rôle énorme depuis les attentats du 11 septembre 2001. Pendant que l'UE se chargeait de renforcer les libertés individuelles, les États-Unis s'armaient du Patriot Act. Cet élément à lui seul a créé un gouffre systémique et culturel entre l'UE et les États-Unis : les valeurs ont très rapidement évolué, ainsi que le rôle du gouvernement et, plus important encore, la notion même de vie privée.

Implémentation

On ne se trouve pas devant une différence philosophique sur la conception de la vie privée, mais plutôt sur la manière de la protéger et de l'implémenter. Les principes en eux-mêmes sont similaires des deux côtés de l'Atlantique. Ce sont surtout les façons de penser qui divergent.

En Europe, l'UE et les différents États donnent, en règle générale, plus de droits à leurs citoyens en adoptant des directives et lois générales couvrant la quasi-totalité de la matière, puis en colmatant les vides ou en précisant certains éléments au moyen de lois spéciales. Les Européens bénéficient donc, sur le papier en tout cas, d'un grand nombre de garde-fous qui protègent et assurent leur vie privée.

Les États-Unis, à l'inverse, n'ont pas de loi générale, globale. Il n'y a pas d'équivalent américain de la directive 95/46/CE ou de la loi fédérale sur la protection des données (LPD) en Suisse. L'approche américaine est ad hoc, c'est-à-dire qu'il y a des dispositions sur la protection des données dans chaque loi ou réglementation pour chaque domaine (s'il y a des considérations à prendre en compte pour protéger la vie privée, évidemment) ; ces dispositions sont issues des lois, de l'autorégulation 3 et des diverses réglementations publiques 4. En gros, le système juridique américain de la protection de la vie privée est un patchwork.

Pour en revenir à la façon de penser des uns et des autres, on pourrait voir les Européens comme plus idéalistes que les Américains, ces derniers étant plus pragmatiques que les premiers.

Ce pragmatisme se traduit, par exemple, par le souci pour les entreprises américaines d'être "blindées" au cas où une class action serait lancée à leur encontre. Il est effectivement important pour ces sociétés de rédiger des politiques de confidentialité suffisamment claires et transparentes. Cela leur évitera d'être accusées et trainées devant les tribunaux par une cohorte de consommateurs qui estiment avoir été induits en erreur. Cette peur bleue de la class action s'explique en particulier par le fait que les dommages en terme de réputation peuvent être colossaux, à l'instar des dommages et intérêts à payer (de l'ordre des millions de dollars, voire des milliards).

En Europe, ce genre de cas est pratiquement inexistant en matière de vie privée. Plutôt que d'agir eux-mêmes, les citoyens européens (et suisses) ont la possibilité de se plaindre à leur autorité de protection des données. Cependant, le pouvoir de sanction de ces dernières n'est de loin pas aussi dissuasif qu'une class action ou qu'une intervention de la Federal Trade Commission (qui s'implique de plus en plus dans le domaine de la protection des données).5 Autant dire que les sanctions que peuvent prendre les autorités européennes de protection des données sont minuscules (et plus rares) en comparaison. Et encore faut-il qu'elles les prennent car l'application des directives par ces autorités n'est pas très efficace.

Aperçu des bases légales

Union européenne

La clé de voute de la législation européenne sur la protection des données est la directive 95/46/CE. Elle est complétée par la directive 2002/58/CE.

La directive 95/46/CE s'applique au traitement automatique de données personnelles et aux données contenues ou appelées à figurer dans un fichier papier. La directive ne s'applique pas au traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques, ni aux traitements de données mis en œuvre pour l'exercice d'activités comme la sécurité publique, la défense ou la sûreté de l'État. Elle établit une série de principes fixant les conditions d'un traitement licite.

La directive 2002/58/CE a pour but de protéger les données personnelles dans le domaine des télécommunications et des technologies de l'information. Elle règle en particulier les questions relatives aux cookies, spywares, communications non sollicitées (spam), à la sécurité des traitements de données, la confidentialité des communications, et la rétention des données (métadata).

États-Unis

Au niveau fédéral, les dispositions sur la vie privée sont sectorielles. Ainsi, certains domaines sont concernés, d'autres non. Par exemple, trois lois fédérales sont particulièrement importantes en la matière : le Children's Online Privacy Protection Act (COPPA), le Health Insurance Portability and Accountability Act (HIPAA) et le Fair and Accurate Credit Transaction Act (FACTA).

Au niveau des États, il existe également (mais pas partout) des bases légales sur la protection de la vie privée.

Conclusion

Il est difficile de répondre à la question "quel est le meilleur système". Les divergences culturelles et historiques créent des écarts entre les valeurs et les attentes des citoyens des deux continents.

Les règles aux États-Unis sont restrictives en ce qui concerne la collecte de données médicales et financières, alors qu'elles sont très larges et souples en ce qui concerne le marketing. Cela a le mérite de promouvoir l'innovation, mais on peut se demander si le marché ne devrait pas s'effacer un peu plus pour laisser un peu de place au citoyen et à ses droits. La dernière tentative de la Maison-Blanche pour y arriver était le Consumer Privacy Bill of Rights, mais il ne constitue finalement qu'un code de conduite volontaire à l'attention des marchés.

A l'évidence (du moins pour les Européens), l'approche européenne a de nombreux avantages, notamment celui d'être cohérent et structuré, tant dans l'espace que dans le temps, ce qui permet d'assurer et de faciliter les flux de données au niveau international. Elle est pourtant vue comme lourde et contraignante par les États-Unis qui offrent à leur marché une certaine agilité.

Il y a quelques jours, le Parlement européen a adopté un rapport pour renforcer et mettre à jour les directives concernant la protection des données. Cela aura un impact certain sur les relations avec les États-Unis qui devront s'adapter aux nouvelles règles plus strictes s'ils veulent pouvoir traiter les données des citoyens de l'UE.

Le véritable test sera, pour les États-Unis et l'UE, de ne pas agrandir le fossé entre eux. Des changements pourraient être exigés du côté de Google et Facebook notamment... Il n'est pas certain que l'accord Safe Harbor reste en vie bien longtemps en son état actuel.

Commentaire

En tant qu'Européen (pas de passeport, mais de culture), je reconnais avoir de la peine à estimer que le système américain protège efficacement la vie privée. Certes, la class action est un moyen de pression qui peut faire des ravages et il serait important de le consacrer en Europe. Et il est aussi bon d'utiliser la carotte plutôt que le bâton. Mais je ne suis pas entièrement convaincu, et l'absence (au moins) d'une loi fédérale fixant des principes s'appliquant à tous les États se fait sentir.

S'il est très peu probable que les États-Unis adoptent une réglementation comme celle de l'UE6, il y a néanmoins des pistes qu'ils peuvent explorer. En particulier, rendre contraignante et complète la transparence des sociétés qui gèrent des données personnelles. Et sanctionner pénalement les sociétés qui ne se conforment pas à ces règles.

Néanmoins, l'État ne peut pas agir tout seul. Les consommateurs doivent jouer le rôle d'incitateur. Après tout, ce sont eux qui tiennent l'un des couteaux par le manche. S'ils réussissaient à motiver les sociétés à offrir des informations claires et compréhensibles sur leurs politiques de confidentialité, par exemple en n'utilisant que les services qui répondent à ces exigences et en abandonnant les autres, ce serait déjà un pas dans la bonne direction.

A mon avis, les États-Unis et l'UE ont tous les deux des choses à s'apprendre et à partager quant à leur approche de la vie privée.

  • 1La "Déclaration des droits", qui est le nom collectif des dix premiers amendements à la Constitution américaine.
  • 2Vue de l'Europe, cette conception donne l'air d'être plus intéressée à protéger l'économie que les consommateurs.
  • 3Règles adoptées par les associations ou fédérations de la branche concernée
  • 4Celles de la Federal Trade Commission (FTC), par exemple.
  • 5A titre d'exemple, la FTC a infligé des amendes de plusieurs dizaines de millions de dollars et a obligé des sociétés à se soumettre à des audits pendant une vingtaine d'années !
  • 6Le Congrès a déjà de la peine à boucler un budget, le résultat législatif d'un compromis sur la protection de la vie privée serait certainement médiocre.

More »»

On est neutre, on veut un réseau à l'identique !

Par SwissTengu @SwissTengu @SwissTengu — 2014-03-27T07:10:59
La Suisse est un pays neutre. Comme tel, elle ne prend pas part aux conflits ou autres (oui, enfin, elle vend ses armes, y a pas de raisons…).

Seulement, ce principe de neutralité n'est pas appliqué sur le Net. En effet, comme le montrent certaines offres d'opérateurs mobiles, le principe de Neutralité des Réseaux n'est pas respecté.

//share.tengu.ch/screens/mtv-mobile_.png


Trop chouette, on a droit à du trafic WhatsApp gratuitement en Suisse, et 100Mo de données WhatsApp sont offertes pour nos contacts depuis l'étranger.

Quel est donc le problème, demandez-vous ? Petit apperçu:
- Le fournisseur de service surveille de près ce que vous faites, de manière à pouvoir déduire précisément votre trafic WhastApp.
- Le fournisseur vous pousse, avec ce genre d'offre, à acheter un service tiers — WhatsApp est gratuit la première année, puis coûtera 1$ par an (source). Certes, ce n'est pas une fortune, mais le principe reste douteux.
- Le fournisseur vous pousse à souscrire à une application américaine, fermée, qui plus est rattachée à Facebook, autre plate-forme américaine, connue pour son absence de respect de la vie privée.
- Le fournisseur, en pratiquant ainsi de la différenciation quant aux contenus tout en vous offrant un (petit) avantage financier, vous habitue doucement à ne plus trouver normal d'accéder au Net complet de manière égale et illimitée.

Une douce manière de vous habituer, consommateurs, à voir l'accès à Internet filtré, limité, trié, favorisé au gré des accords entre entreprises privées. On peut aussi être sûr que pas mal de monde va souscrire à ce genre d'abonnement, du fait qu'il reste financièrement intéressant.

Il serait très intéressant d'avoir l'avis du PFPDT par rapport à ce type d'offres. Certes, la neutralité des réseaux n'est pas dans la loi suisse. Mais il n'est pas trop tard pour y songer sérieusement, et faire le nécessaire.

Les partis politiques conscients de l'importance d'un réseau neutre et égalitaire, comme le Parti Pirate, les Verts ou encore les Socialistes, ne devraient pas attendre pour faire des propositions dans ce sens au Parlement. Il faut réveiller nos élus, et les motiver à proscrire les actions poussant à favoriser certains contenus au détriment d'autres.

Sacrifier nos libertés et nos droits au nom de la sacro-sainte économie est une erreur grossière.

More »»

Catégories en relation

Notre Sécurité, oui... mais à quel prix ?

Par cwicket @cwicket @cwicket — 2014-03-27T16:31:14
Depuis les premières révélations d'Edward Snowden, qui à mon sens n'en sont pas réellement (plutôt une confirmation de ce que beaucoup savaient déjà), nous ne savons plus réellement si nous possédons encore une once de vie privée sur Internet.

Certains partent déjà du principe que non, par défaut, il n'y a aucune vie privée. Et Ils n'ont pas tout à fait tort.
D'autres estiment que si , on peut se protéger, en chiffrant sa propre connexion Internet. En passant par un VPN.

Pour avoir envisagé moi-même la création de ma propre activité dans ce domaine, je puis déjà vous affirmer que le monde du VPN est déjà très paranoïaque envers lui même. Il est difficille d'approcher un fournisseur de ce type de service. il est probablement encore plus difficille de lui faire confiance. Et pour celles et ceux qui ont déjà souscrit à ce type de services, ce billet va vous paraitre archi paranoïaque :)

Détrompez-vous, mon seul but est de vous avertir que si vos données ont de la valeur, celà est encore plus vrai dans le monde de la sécurité informatique.

Il faut aussi comprendre qu'un service de chiffrement de connexion gratuit est probablement beaucoup plus suspect q'un fournisseur de services payants. Dans le premier cas , vous ne pouvez vous en prendre qu'à vous même en cas d'intrusion sur votre machine ou vos données personnelles. Dans le deuxième cas, il y a toujours au moins un référent que vous pouvez rechercher à contacter, à savoir au minimum la plateforme de paiement par laquelle vous serez passé pour souscrire à votre offre. C'est peu, j'en conviens en terme de confiance et de fiabilité, mais c'est mieux que rien.

Ensuite la majeure partie des services de chiffrements de connexion conservent des logs. Il faut cesser de penser que certains ont une éthique minimum de respects des droits de l'internaute etc..c'est un mythe. Et ce pour une raison toute simple. Si vous même ou l'une de vos connaissance passe du côté obscur en jouant au cybercriminel, en se masquant derrière un VPN, il faudra bien que le fournisseur de service puisse prouver sa bonne foi aurpès des autorités, s'il ne veut pas risquer un procès pour complicité.

D'un autre côté il ne faut pas non plus partir du principe que les Autorités maitrisent le sujet sur le bout des doigts; nous en avons eu un exemple dernièrement en France, avec l'affaire Bluetouff / vs ANSES vs gogleu :) Cette affaire peut prêter à sourire, elle n'en est pas moins l'exemple flagrant de méconnaissance pénale dans ce domaine.
pour rappel : http://bluetouff.com/2013/04/2...

Notre sécurité sur la Toile a donc un prix, à savoir celui que vous y mettrez. Vous pouvez aussi faire preuve de bon sens, garder une atitude responsable et assumer vos actes si jamais vous souhaitez en découdre. Je ne juge personne, mais je rappelle juste qu'il y a des règles, et que notre protection personnelle n'entre pas en conflit de nature avec ces règles. On peut critiquer les abus de certains services secrets, mais dans ce cas, il faut aussi savoir assumer ses propres abus dans le domaine de la cybercriminalité.

Je concluerai ce billet en rappelant à tous qu'il est inutile de céder à la panique et à la tentation de passer dans l'extrême pour se protéger. il faut raison garder, tête froide conserver, et surtout à l'affût de l'information demeurer. Car il est bien question d'information au final, après tout une donnée n'est-elle pas de nature une information....

Comprenne qui voudra

More »»

De l'ouverture des applications issues des services publics

Par SwissTengu @SwissTengu @SwissTengu — 2014-03-28T10:19:19
En Suisse, il y a beaucoup de services publics.

Une grande majorité est accessible en ligne, et des applications pour mobiles (smartphones et/ou tablettes) commencent à devenir courante. Une preuve d'ouverture aux nouvelles technologies, permettant d'atteindre plus de citoyens à travers le Réseau.

Seulement, il y a un problème : ces applications ne sont accessibles que via les "stores" dédiés à votre OS (GooglePlay, iTunes/AppStore etc). Et, en fait, aucune de ces applications n'est opensource à l'heure actuelle.

Pourtant, pour des applications issues des services publics, accessibles publiquement, payées par les deniers publics (aka les impôts), il semblerait normal que les applications mobiles soient ouvertes et librement accessibles par tous les moyens possibles.

Nous nous sommes permis de contacter certains des services fournissant une application de qualité : Meteosuisse, et les CFF.

Les premiers nous ont laissé entendre qu'il était impossible de sortir l'application des "markets" officiels, du fait qu'elle utilise certaines fonctionnalités propres aux plate-formes des fabriquants, telle que le GCM, permettant de pousser les alertes sur les appareils.

Une solution élégantes serait de permettre à l'application de passer dans un autre mode, à l'image de Threema, qui permet de se passer complètement des services des plate-formes de distribution.

Il semblerait aussi que l'application utilise une API fermée, à laquelle le public ne peut pas accéder. Pour un service public, payé par nos impôts, c'est un peu fort de tabac, non ?

Les CFF, de leur côté, on plutôt fait valoir les problèmes qu'une distribution en-dehors des "markets" poseraient au niveau du support utilisateur. Ils ont aussi insisté sur le fait qu'ils ne proposent pas de support quand on utilise une ROM alternative (ils ont cité CyanogenMod uniquement — il serait drôle de les contacter pour un problème et de leur parler de, au hasard, Slimroms, ou Paranoidandroid…).

On peut aussi parler des applications de la RTS, dont certaines utilisent aussi les outils fournis par les plate-formes officielles et ne permettant pas de s'en passer.

Quels sont les problèmes que cela pose aux utilisateurs ?

Oui, quels sont les problèmes ? Après tout, on n'a pas à se plaindre, les applications sont gratuites, accessibles par une majorité des utilisateurs… Mais aussi, elles forcent les utilisateurs à rentrer dans le moule : avec cette politique, un utilisateur ne pourra pas satisfaire son besoin de maîtriser l'OS de son smartphone (en installant une ROM alternative) et continuer d'accéder à des services publics, pour lesquels il continuera néanmoins à payer au travers de ses impôts, taxes etc.

Certains signaleront qu'on paie pour le chômage sans forcément en bénéficier. Certes. Mais comparer les deux (un service public disponible de toutes façons gratuitement) et les assurances sociales, c'est un peu capilotracté.

De manière à remettre les citoyens au centre, leur permettre de reprendre en main les technologies, il serait temps que les services publics fassent deux choses :
- ouvrent le code source de leurs applications
- fournissent les binaires directement sur leurs sites

L'ouverture du code source permettra différentes choses, comme par exemple une participation des citoyens au développement de l'application, que ce soit au niveau de la correction des bugs ou l'ajout de capacités. Elle permettra en outre aux utilisateurs avancés de pouvoir la compiler pour leurs appareils, même s'ils ne sont pas officiellement supportés. En outre, un contrôle citoyen de ce que fait l'application n'est jamais inutile.

Fournir les binaires directement depuis les sites permettra aux personnes désirant sortir des petites cages dorées que sont les appareils mobiles, tout en continuant de bénéficier des applications. Ce point est important : actuellement, pas mal de personnes rechignent à faire le pas vers la liberté justement parce que certaines applications ne leur seront plus accessibles. Certes, pas mal sont issues du secteur privé, mais cela ne doit pas empêcher les services publics de faire le bon choix, et de laisser la liberté aux citoyens.

On peut féliciter les quelques applications (web) dont le code source se trouve sur github. Il faudrait que toutes les applications de nos administrations publiques se retrouvent ainsi en ligne.

More »»

Catégories en relation

Un petit crawler s'en allait à travers le Net…

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-07T19:31:43
Il y a peu, je me suis mis en tête de faire un petit crawler pour documenter une idée. Ce crawler ne fait rien de bien spécial, il se contente d'aller interroger un annuaire d'entreprises suisses (en fait, l'annuaire central, connu sous le nom de Zefix) et d'agréger des informations basée sur 1-2 autres sites.

Au début, je ne pensais pas trop "éthique". J'avais mon idée, une petite enquête sur une société précise, et les liens que son conseil d'administration pouvait avoir avec d'autres entités privées.

Seulement…

Seulement, ce crawler me montre une chose : n'importe qui peut agréger des données. N'importe qui ayant un minimum de connaissance dans un langage de programmation quelconque (ou ayant les moyens de se payer une telle personne ;) ) peut se constituer une base de donnée, basée sur des contenus accessibles plus ou moins librement sur le Net.
Dans le cas qui m'intéresse, toutes les données sont accessibles sans problème, et me permettent de récolter les points suivants :
nom, prénom
lieu d'origine
lieu d'habitation (avec historique plus ou moins suivi je vous prie)
rôle au sein de l'entreprise (pour autant que ce soit au sein du CA, Direction ou assimilé)

En fouillant un tout petit peu plus, je suis certain de pouvoir aller interroger d'autres sites nettement plus personnels : après tout, fort de ces informations de base, rien n'empêche de remonter sur Facebook, Linkedin ou autres. Absolument rien.

Sauf si…

Sauf si vous ne possédez pas de compte sur ces plate-formes, ou si vous avez réussi à régler votre niveau de protection au plus haut.
Ce qui implique de suivre, jour après jour, les modifications des conditions générales d'utilisation, les modifications automatiques des réglages…

Se protéger sur le Net n'est absolument pas simple : entre les services publics qui publient des choses sur vous (obligés par la loi), les "réseaux sociaux", les "réseaux professionnels" etc, nos données personnelles sont divulguées à tous les vents.
Le pire dans tout ça : dans une grande majorité des cas, la source est nous-même, de part notre méconnaissance de l'utilisation de nos données faites par des services tiers, voire, comble du comble, notre désintérêt quant au devenir de nos données.

À force de voir partout des informations sur tout le monde, on perd la notion de propriété de nos données. On perd cette identité qui nous définit, on perd notre part de "soi". Sous prétexte du "j'ai rien à cacher", on divulgue tout et n'importe quoi, on donne sans discernement. On s'habitue à voir de plus en plus d'entités privées entrer de plus en plus profondément dans notre esprit, notre manière de penser, notre manière d'être, les laissant ainsi nous dicter nos actes au travers de publicités et conseils savament distillés en fonction de nos goûts, de nos envies, de nos visites et relations.

L'humain doit revenir à la réalité. Il doit reprendre possession de son "soi". Il doit trier, filtrer ce qu'il divulgue, pour le salut de sa personnalité. En arriver à tweeter son accouchement montre à quel point on a perdu la notion de ce que sont nos données. Tout comme le buzz actuel sur Instagram, où on nous fait, à nouveau, pénetrer dans l'intimité des gens, une intimité jusque là préservée.

Humains, reprenez vos données. Reprennez conscience de leur valeur, tant morale que financière. Parce que oui, ces données que vous semez à tous les vents se revendent à prix d'or sur les marchés : tout savoir de vous permet d'assurer que vous allez cliquer sur telle ou telle publiciter, valider tel ou tel choix sur un site marchand, permettant ainsi de vous cibler.

Vous êtes une cible. À vous de changer la donne, à vous de reprendre les cartes si maladroitement distribuées.

Réveillez-vous !

T.

More »»

Trois règles simples

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-09T09:51:11
Cette récente information1 nous fait penser qu'il serait nécessaire de rappeler quelques petites règles fondamentales, à appliquer dès qu'on commence à utiliser des services en ligne.
Des règles certes très simples, mais qui semblent trop souvent oubliées au fond d'un tiroir poussiéreux.

Ton mot de passe, unique par service tu choisiras
Un mot de passe, par les temps qui courent, est une donnée volatile, stockée hors de votre contrôle. De manière à éviter qu'un petit malin ne puisse prendre possession de votre vie numérique dans son entier en ayant deviné un seul et unique mot de passe, il convient d'en générer un par service.
Pour cela, plusieurs manières de faire existent :
- utilisation d'un "keyring", une application conservant vos mots de passe, du genre de keepassx
- "dérivation" d'un mot de passe maître en fonction du service, de la date de création du compte etc

La seconde méthode est un peu plus compliquée à mettre en place : il convient d'avoir en tête plusieurs "matrices" permettant de transformer le mot de passe maître en une chaîne de caractères unique. Ces matrices doivent vous permettre de "calculer" le mot de passe. Dans l'idéal, le facteur "temps" doit être pris en compte, de manière à pouvoir changer de mot de passe relativement souvent.

Exemple de "dérivation" :
    Mot de passe d'origine: jaimelestartesauxpommes
    matrice 1 : prise en compte de l'année : 2014 -> 37, 2015 -> 39, … (addition des chiffres de l'année + l'âge qu'on aura l'année en question)
    matrice 2 : prise en compte du service : gmail -> magil, amazon -> zamaon, … (inversion de quelques lettres, mais peut être plus solide)
    matrice 3 : dérivation du nom d'utilisateur : tengu -> grath, michel -> zvpury (vous avez reconnu rot13 j'espère ;) )
Résultat pour un mot de passe créé en 2014, pour amazon, avec l'utilisateur "tartampion@gmail.com" : gnegnzcvba@tznvy.pbzjaimelestartesauxpommes37zamaon

La première manière est, sans doute, la plus simple. Surtout par la présence de services en ligne, du genre de lastPass… Sauf que là encore, au final, votre mot de passe est stocké hors de votre contrôle. D'autres systèmes, comme Keepass, permettent de conserver vos mots de passe sur des appareils que vous contrôlez.

Ton mot de passe, de tes données personnelles tu ne dériveras pas
Il va de soi qu'un mot de passe doit être inconnu des tiers. Le but d'un mot de passe est de vous identifier vous, de manière unique (avec la composante "nom d'utilisateur", évidemment).
Employer comme mot de passe votre adresse, votre téléphone, le nom de votre chat/chien/partenaire/ami/voisine/… ou toute autre date de naissance est d'une stupidité grossière.
Il va sans dire que le gadgets biométriques (bonjour iPhone 5S, bonjour galaxy S4) sont sans doute le pire système : impossibilité de changer l'authentification (à moins de chagner de doigts — donc possibilité de changer 10 fois, maximum 20…), faux sentiment de sécurité (le CCC l'a, une nouvelle fois, prouvé2…) et, accessoirement, la possibilité de voir des données biométriques dans la nature. Woohooo.

Là encore, les solutions présentées plus haut permettent d'avoir des mots de passe assez solides, difficiles à deviner, mais vous permettant de vous en souvenir

Ton mot de passe, une phrase de passe tu en feras
Le problème, avec les technologies actuelles, c'est qu'un mot de passe de 8 caractères est faible. Prenez n'importe quelle machine de travail récente, elle vous l'explosera en un temps record. Certes, différentes manières permettent de protéger le mot de passe (hash, salt etc), mais plus les technologies avancent, plus ces techniques deviennent illusoires.
Maintenant, si vous prenez une phrase, ou une série de mots dont vous seuls pouvez en connaître la teneur et le sens, permet d'obtenir une chaîne de caractères longue, complexe (imaginez avec les accents, ponctuations, differents langues etc), tout en vous permettant de vous en souvenir.
En outre, la dérivation depuis une phrase de base reste possible. Le stockage dans keepass ou autres reste aussi tout à fait possible. Un exemple pouvant tout à fait aller : " Pferd Tier boire manger Wasser Nicht Karotten Stall dormir poulin". Cette suite de mot ne veut rien dire, mais peut vous évoquer quelque chose. Pour illustrer la chose, je vous renvois sur le site de XKCD3 ;).

De manière générale, il convient aussi de changer régulièrement de mot de passe. On entend assez souvent des histoires de bases de données utilisateurs dans la nature, de fuites de mots de passe et autres informations personnelles.

Le dernier exemple en date, la faille OpenSSL Heartbleed4 permettant, entre autre, de voir des identifiants fuiter, permet de mesurer l'ampleur de la tâche quand on parle de la sécurisation des données.
Certes, cette faille fait peur à cause des implications qu'elle a pour les services bancaires en ligne, mais il ne faut pas s'arrêter à ça : Twitter, Steam, DropBox et tant d'autres services en ligne du genre semblent être vulnérables. Imaginez la mine d'informations que ces services représentent. Pas seulement des informations financières (allons, ne faites pas les innocents, vous avez déjà déposé des documents financiers dans votre dropbox ;) ), mais aussi des données personnel : photos, messages, documents. TOUT serait, potentiellement, disponible.
Et ce depuis plusieurs mois, voire années…

Aussi, un service de la Confédération est dédié à surveiller ce qu'il se passe sur le Net. Il est recommandé de suivre leur site5 ainsi que leur page facebook6 (argh, oui…)

Alors, prêt à regénérer vos mots de passe et, surtout, à passer à des phrases de passe ?

More »»

Catégories en relation

Coup de tonnerre : la directive sur la conservation des données de communication est invalidée

Par FCharlet @FCharlet @FCharlet — 2014-04-09T17:41:19

La Cour de justice de l'Union européenne (CJUE) a rendu ce matin un arrêt des plus attendus, car il concernait la validité de la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

Cette directive

vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme. Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur. En revanche, elle n'autorise pas la conservation du contenu de la communication et des informations consultées.

La CJUE a été requise d'examiner la validité de la directive sous l'angle du respect du droit fondamental à la vie privée et du droit fondamental à la protection des données à caractère personnel.

Constats préliminaires (mais ô combien importants)

La CJUE constate d'abord que les données en question

permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l'endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l'abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.

Elle retient donc justement que, prises dans leur globalité, ces données

sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés.

Dès lors, et cela ne surprendra personne, la CJUE déclare que,

en imposant la conservation de ces données et en en permettant l'accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Elle ajoute d'ailleurs que, sur un plan personnel et du point de vue des citoyens,

le fait que la conservation et l'utilisation ultérieure des données sont effectuées sans que l'abonné ou l'utilisateur inscrit en soit informé est susceptible de générer dans l'esprit des personnes concernées le sentiment que leur vie privée fait l’objet d'une surveillance constante.

Ingérence justifiée dans les droits fondamentaux ?

Tout d'abord, la CJUE estime que la conservation des données n'est, dans le cas présent

pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.

Cette première déclaration surprend, sachant que les "métadonnées" peuvent dévoiler un grand nombre d'éléments personnels au sujet d'un individu, chose que la CJUE a elle-même relevée dans son arrêt. Le fait que le contenu des communications ne puisse pas être connu ne devrait pas nécessairement faire pencher la balance dans l'autre sens.

La CJUE ajoute encore que l'intérêt poursuivi par la directive (prévention, recherche, détection et poursuite d'infractions graves) répond effectivement à un objectif d'intérêt général.

Là-dessus, il n'y a pas grand-chose à contester.

Cependant, la CJUE estime que l'adoption de cette directive par le Parlement européen va au-delà des limites imposées par le respect du principe de proportionnalité. Bien que le but de la directive soit conforme à un intérêt public reconnu, la CJUE déclare que l'ingérence dans les droits fondamentaux des citoyens n'est pas suffisamment encadrée et devrait se limiter au strict nécessaire.

1. – Tout d'abord, aucune différenciation, limitation ou exception n'est opérée (entre les individus, les moyens de communication, et les données) en fonction de l'objectif de lutte contre les infractions graves.

En d'autres termes, toute infraction n'est pas forcément grave, et tous les individus ne sont pas forcément des criminels.

2. – Ensuite, la directive ne prévoit aucun critère objectif qui permette de garantir que les autorités nationales compétentes n'accèdent aux données et ne les utilisent qu'aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées comme suffisamment graves pour justifier l'ingérence.

En d'autres termes, il manque de sérieuses protections contre l'accès aux données conservées. La directive renvoie au droit national pour définir ce qu'est une infraction grave, ce qui ne permet pas de déterminer de critère objectif en la matière. Enfin, aucune condition matérielle ou procédurale n'est prévue par la directive sur la question des conditions d'accès aux données par les autorités nationales.

3. – De plus, la durée de conservation d'au moins 6 mois (mais au maximum 24 mois), sans distinction entre les catégories de données en fonction des personnes en cause ou de l'utilité des données, apparait comme disproportionnée, car la directive ne précise pas les critères objectifs sur la base desquels on détermine la durée de conservation.

4. – Puis, la protection contre le risque d'abus contre l'accès et l'utilisation illicites des données n'est pas suffisamment garantie.

La directive autorise les fournisseurs de service à prendre en compte des considérations économiques pour déterminer le niveau de sécurité à adopter, et elle ne garantit pas la destruction irréversible de ces données lorsque la conservation arrive à son terme.

5. – Enfin, la directive n'impose pas de conservation des données sur le territoire de l'Union européenne. C'est-à-dire que les données en question doivent être conservées sur sol européen de façon à ce que le contrôle des exigences de protection et de sécurité des données puisse être réalisé par une autorité indépendante.

Commentaire

Cette décision est une victoire pour les citoyens. Malgré que leurs données soient désormais conservées sans base légale valide dans l'UE, la CJUE a courageusement décidé de fustiger le travail du Parlement européen et de le renvoyer à ses études.

La sécurité et la lutte contre le terrorisme ne sont donc pas des éléments qui permettent de faire tout et n'importe quoi, et surtout n'importe comment, au mépris des droits fondamentaux. Notamment la protection des données et la vie privée.

Cependant, les victimes principales sont les fournisseurs de service dont le pays a transposé la loi, car ils se trouvent dans une situation embarrassante où la base même de la loi qu'ils doivent appliquer est désormais absente, et contredite. Ainsi, ils pourraient décider de ne pas appliquer la loi en question, mais pourraient de ce fait s'exposer à des sanctions, en attendant que la loi soit abrogée.

Les États membres devront donc réformer leur législation nationale, en attendant une nouvelle version de la directive. La CJUE a d'ailleurs clairement déclaré

qu'il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé [...]. Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalide.

Un citoyen européen pourrait donc, dès aujourd'hui, assigner en justice son fournisseur de service pour faire constater comme illégale la rétention des données le concernant, demander la cessation de cette activité et la destruction des données.

More »»

SmartTV vs SmartUsers

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-14T04:55:03
C'est pratique, hein, une TV connectée. Une app à installer, et on a accès à un catalogue de vidéos. Sans parler du contrôle de la TV depuis son smartphone, ou que sais-je encore.

Mais, comme d'habitude, on perd de vue 1-2 choses, devant le côté pratique de ces appareils… Chaque fois qu'on nous simplifie la vie, il faut se demander "pourquoi". Qu'est-ce que les constructeurs ont à gagner, réellement, en offrant telle ou telle fonction ?
Et, plus particulièrement, "comment la financent-ils ?"

On l'a déjà vu passer sur le Net : certains constructeurs ne sont pas très au fait de la sécurité, permettant ainsi des fuites de données depuis leurs TV1.

"Mais… une TV ne possède aucune donnée ?!"
Oui, mais, en fait… Si : vos goûts, vos horaires voire, si votre TV possède une caméra2, votre image3, votre logement. Autant d'informations pouvant intéresser du monde et, comme vous le verrez, pas forcément que les constructeurs…
Sans parler même du fait que ce genre d'appareil va se mettre à l'écoute de votre réseau pour :
    découvrir les différents services (DLNA4, ça vous parle ?)
    découvrir vos partages windows (protocole SMB5)
    … sans doute d'autres choses du genre, pour vous simplifier la vie, évidement
De même, il accédera à Internet pour effectuer ses mises à jour. Entre autres.

"Oui mais, enfin, ça leur rapporte quoi ?"
Savoir que tel ou tel film/série/documentaire a été vu par telle catégorie de personnes (le modèle de votre TV fixe le prix donc, potentiellement, votre classe sociale) peut représenter un intérêt certain. Une interaction "future" serait, pourquoi pas, trouver le meilleur moment pour vous balancer une publicité susceptible de vous intéresser (la caméra peut remonter votre niveau d'attention en fonction de vos yeux, de ce que vous faites etc).

":( … et qui d'autre pourrait être intéressé ?"
Si la TV remonte votre activité (i.e. si vous êtes là ou non), vu le niveau de sécurité de la majorité des réseaux domestiques (et d'entreprise…), un simple sniffing permettrait de savoir de façon précise si vous êtes chez vous, si vous êtes là à certaines heures uniquement (et lesquelles) etc. Le genre de personne intéressé par ça : démarcheurs, cambrioleurs etc6
Oh, et, bien entendu, l'organisme chargé de percevoir la redevance TV, tant qu'on y est : imaginez la simplicité de savoir si vous avez un écran juste en voyant passer ce que ce dernier leak comme informations… (Bon, en vrai, la modification de la LRTV fera que tout le monde paiera la redevance7 — on reviendra d'ailleurs sur 2-3 points).

"Mais pourquoi on ne nous avertit pas à l'achat ??"
Simple : qui s'en soucie, réellement ? Pourquoi se tirer une balle dans le pied en avouant que la sécurité a été mise de côté pour réduire les coûts de développement, pourquoi laisser entendre que des contrats pouvant potentiellement mener à l'exploitation de données collectées à votre insu ont été passés ?

De toutes façons, vous n'avez rien à cacher, si ? ;)

Moralité : avoir un appareil intelligent, c'est bien. Mais à condition que nous, utilisateur final de l'appareil en question, soyons plus intelligent que lui.

More »»

La collecte massive d'échantillons ADN dans une enquête pénale en Suisse

Par FCharlet @FCharlet @FCharlet — 2014-04-21T22:00:08

Dans le cadre d'une enquête pénale visant à identifier l'auteur d'un viol sur une adolescente de 16 ans qui a eu lieu dans un lycée en France en 2013, la justice française a ordonné de récolter l'ADN de 527 personnes de sexe masculin, majeures et mineures. La victime ne peut pas donner de description de l'agresseur mais l'ADN de ce dernier se trouve sur les habits de la victime. Ces 527 personnes sont supposées avoir été présentes dans l'établissement au moment des faits. Le prélèvement sera effectué par frottis de la muqueuse jugale.

En Suisse

Tout d'abord, il faut savoir qu'une telle opération est relativement exceptionnelle, et accessoirement coûteuse (voir à ce sujet l'OGEmol, soit l'ordonnance générale sur les émoluments). Elle implique d'ailleurs la mise en place d'une dispositif conséquent pour la récolte.

Au niveau juridique, les lois applicables sont le Code de procédure pénale suisse (CPP) ainsi que la loi fédérale sur l'utilisation de profils d'ADN dans les procédures pénales et sur l'identification de personnes inconnues ou disparues (LADN). La loi fédérale sur la protection des données (LPD) est applicable également.

Conditions

L'art. 255 CPP permet au ministère public de requérir le prélèvement d'un échantillon et l'établissement d'un profil d'ADN. Il peut être prélevé sur le prévenu, les victimes et les personnes décédées notamment. La police a également la possibilité d'ordonner un prélèvement non invasif (c'est-à-dire buccal, pas de prise de sang).

Le prélèvement massif est possible comme en France. La police possède certains indices quant à la personne qui a commis l'infraction mais ils sont trop imprécis pour fonder des soupçons contre une personne en particulier. Elle suppose néanmoins que certaines personnes partagent avec l'auteur de l'infraction un ou plusieurs signes distinctifs particuliers.

L'art. 256 CPP prévoit que dans le but d'élucider un crime,

le tribunal des mesures de contrainte peut, à la demande du ministère public, ordonner le prélèvement d'échantillons sur des personnes présentant des caractéristiques spécifiques constatées en rapport avec la commission de l'acte, en vue de l'établissement de leur profil d'ADN.

L'art. 3 al. 2 LADN précise pour sa part :

Lors d'enquêtes de grande envergure entreprises pour élucider un crime, un prélèvement, par exemple un frottis de la muqueuse jugale, peut être effectué aux fins d'analyse de l'ADN sur des personnes présentant des caractéristiques spécifiques constatées en rapport avec la commission de l'acte, afin d'exclure qu'elles aient pu en être les auteurs ou afin de les confondre.

La notion de crime est définie dans le Code pénal suisse (CP), à l'art. 10. Lu a contrario, l'art. 256 CPP exclut donc la possibilité de procéder à une prélèvement de grande envergure pour rechercher l'auteur d'un délit (art. 10 CP) ou d'une contravention (art. 103 CP).

Les "caractéristiques spécifiques" qui seraient similaires à celles de l'auteur du crime doivent avoir un lien avec l'infraction. Le message du Conseil fédéral de 2006 (p. 1224) donne l'exemple de la couleur de peau qui ne serait pas une caractéristique "en lien avec l'infraction". Le fait d'avoir un âge semblable à l'auteur ou d'habiter dans le même village seraient probablement des caractéristiques valables.

La demande du ministère public doit être examinée et autorisée par un tribunal indépendant : le tribunal des mesures de contrainte (art. 18 CPP).

Refus possible ?

Une mesure de contrainte est une atteinte aux droits fondamentaux des personnes concernées par la procédure pénale (art. 196 et 197 CPP, notamment). Les mesures de contrainte qui portent atteinte aux droits fondamentaux des personnes qui n'ont pas le statut de prévenu doivent être appliquées avec une retenue particulière (art. 197 al. 2 CPP).

Un individu répondant aux caractéristiques peut-il refuser de se soumettre à l'analyse ? Selon la Constitution fédérale, art. 119 al. 2 lit. f,

le patrimoine génétique d'une personne ne peut être analysé, enregistré et communiqué qu'avec le consentement de celle-ci ou en vertu d'une loi.

Le CPP constituant une telle loi (adoptée par le Parlement fédéral et soumise au référendum facultatif), il n'est donc pas possible de refuser le prélèvement. Cependant, il serait théoriquement envisageable de faire recours contre la décision du tribunal des mesures de contrainte autorisant le prélèvement (art. 379 et suivants CPP, et art. 393 et suivants CPP). Le recours n'aurait, à mon avis, que peu de chances de succès en général, et comme il n'a pas d'effet suspensif, il est très probable que le prélèvement sera quand même effectué. Un recours à la force est possible mais uniquement en dernier recours et son exécution doit être proportionnée (art. 200 CPP).

Le Tribunal fédéral avait jugé qu'il n'était "pas contraire à la liberté personnelle de soumettre à une prise de sang et à une analyse d'ADN une personne soupçonnée d'avoir commis de graves délits sexuels, en raison de sa ressemblance à un portrait-robot. Si l'analyse d'ADN aboutit à un résultat négatif, l'échantillon de sang et les données personnelles doivent être détruits".

Il avait également retenu qu'un frottis de la muqueuse jugale (ou une prise de sang) ayant pour but d'établir un profil ADN porte atteinte au droit à la sphère intime, à l'intégrité corporelle, ainsi qu'au droit à l'autodétermination en matière de données personnelles. Cependant, comme la gravité de l'atteinte se détermine selon des critères objectifs, un prélèvement de cheveux, une prise de sang, l'établissement et la conservation (aux fins d'identification) de données personnelles telles que des photographies ou des profils ADN n'ont pas été jugés graves. Un frottis de la muqueuse jugale ainsi qu'une prise de sang sont considérées comme des atteintes légères à l'intégrité corporelle par le Tribunal fédéral.

Dès lors, l'absence de possibilité de refuser le prélèvement est "compensée" par le fait que les données ADN des personnes dont il s'avère, après analyse, qu'elles ne peuvent pas être les auteurs de l'infraction, ne seront pas saisies dans la base de donnée fédérale CODIS où sont répertoriés les profils ADN et les traces. C'est ce que prévoit l'art. 11 al. 4 lit. c LADN. De plus, les échantillons et les produits dérivés doivent être détruits.

A ce stade, il faut relever que le fait d'ordonner une analyse ADN ne signifie pas que le résultat de cette analyse sera forcément enregistré dans la base de donnée CODIS. En effet, après la décision autorisant l'analyse, une deuxième décision doit être prise afin d'autoriser l'enregistrement.

Concernant l'ADN analysé, il faut savoir que l'analyse forensique de l'ADN est réalisée sur la partie non codante du génome.

Cela signifie que les informations enregistrées dans la banque de données ADN ne permettent en aucun cas de connaître les caractéristiques physiques ou psychiques des personnes concernées, ni même d'éventuelles maladies (une exception est possible en cas de trisomie 21). (Source)

Fin 2013, la banque de données CODIS contenait 159'575 profils ADN de personnes. En utilisant les chiffres 2012 de l'Office fédéral de la statistique, sachant que 8,039 millions de personnes résidaient en Suisse à fin 2012, cela signifie qu'un peu moins de 2% de la population se trouve dans cette base de données.

CODIS est gérée par Fedpol (art. 8 de l'ordonnance LADN) qui est considérée comme maitre de fichier au sens de la LPD. La LADN prévoit un droit d'être renseigné sur la présence d'un profil ADN à son nom (art. 15 LADN).

Commentaire

La question qui me taraude est celle de la proportionnalité du prélèvement d'une telle quantité d'échantillons pour résou dre une enquête.

Certes, comparer des profils ADN est en général tout à fait indiqué pour résoudre des affaire se rapportants à des délits d'ordre sexuel puisqu'il y a en principe des contacts corporels susceptibles de laisser des traces.

Certes, il existe un intérêt public prépondérant à la résolution d'une enquête pénale, d'autant plus lorsqu'elle concerne un crime. Il existe aussi un intérêt visant à prévenir d'autres infractions.

Certes, de tels prélèvements permettent d'écarter des soupçons que la police pourrait avoir, ou de les confirmer avec un très haut degré de fiabilité scientifique.

Certes, les échantillons, résultats et analyses sont détruits si la culpabilité de la personne est exclue.

Mais l'ampleur de la mesure me choque un peu. Cependant, si on parvient à confondre l'auteur de l'infraction, le sentiment d'avoir été utile prendra peut-être le dessus...

More »»

Parlons données personnelles…

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-22T06:05:22
Lors de mon passage à la RTS1, j'ai mentionné quelques  chiffres. Le temps ne m'a pas permis de citer les sources de manière très claire.

Comme dit, TOUT est disponible. En ligne. Il suffit juste de savoir où chercher. Voici quelques informations permettant de vous faire votre propre opinion quant à la protection accordée à vos données.

Le site
Tout d'abord, il faut connaître le site, le registre des fichiers : https://www.datareg.admin.ch/
Ce site permet d'obtenir la liste des fichiers contenant les informations personnelles, ainsi qu'un résumé très succinct sur l'utilisation de ces données, et, plus important, le "maître du fichier"; autrement dit l'entité, privée ou publique, se servant du fichier en question.

Le moteur de recherche en soi n'est pas un modèle d'opendata. Mais il permet déjà de pouvoir se faire une idée de l'étendu des dégâts. Si vous prenez la recherche avancée, sélectionnez "personne privée" dans "déclarant", puis un type de données dans "données personnelles traitées", vous verrez ainsi les différentes entités privées ayant déclaré un fichier de données, traitant des données sélectionnées.

Exemples
On ne peut malheureusement pas faire de lien direct vers l'ensemble des résultats, mais voici quelques exemples de ce qu'on peut trouver :

Ce ne sont que trois exemples parmi les dizaines de fichiers exploités à votre insu par des privés. Et on peut aussi s'intéresser à ce que les entités gouvernementales possèdent sur nous.
L'expression "renseignements économiques" englobe : vos données fiscales, votre note de "débiteur" (utilisée pour savoir si on vous accordera ou non votre prochain crédit/leasing/aide financière) etc.

Problèmes
La plupart des citoyens n'ont aucune idée de l'existence même de ces fichiers, et encore moins de leur contenu. Pourtant, ils nous concernent. Données collectées à notre insu, exploitées, vendues même2 et, surtout, employées contre vous. Ces fichiers serviront à vous refuser un crédit ou toute autre prestation ayant ne serait-ce qu'un petit risque.
  • Qui nous dit que ces fichiers sont corrects ?
  • Qui nous dit qu'ils sont à jour ?
  • Pourquoi ne toucherions-nous pas quelque chose pour l'exploitation de NOS données ?
Après tout, on nous balance à la tête le droit d'auteur, nous devrions répondre "droit de propriété" sur nos données !

Un second problème existe : pour récupérer vos données, vous devrez payer. Oh, pas le propriétaire du fichier (à priori), mais la Poste. Oui. La Poste, parce que toutes les demandes doivent passer en lettre-signatures.
Ah, aussi… vous devrez transmettre une copie d'une pièce d'identité. Pour prouver que vous êtes "vous". Mais ces mêmes personnes ne demandent pas de pièce d'identité pour vendre ces mêmes données !!!

Cette situation n'est plus tenable. Elle ne l'a jamais réellement été, mais la présence du Net, des appareils connectés, des caméras à tous les coins de rue rendent cette situation encore moins tenable, et complètement inacceptable.
De manière à récupérer nos données, il faut changer des lois. Et rendre les préposés à la protection des données et à la transparence un peu plus crédibles : ces derniers n'ont absolument aucun pouvoir punitif ! Une société qui transgresse les règles déjà laxistes ne risque rien, à part 1-2 gros titres dans les journaux. Pas d'amende, rien, que pouic.

Solutions
Mettre ces entreprises sous les projecteurs, mettre en lumière leurs pratiques serait un bon début.
Les Médias seraient un excellent vecteur, surtout ceux qui possèdent un département "data", avec des personnes dont le job est de traiter des données, les récolter, les vérifier et les mettre en forme pour rendre le tout compréhensible.

Une fois la lumière faite sur ces pratiques, donner les moyens pour se protéger : modifier les lois de manière à interdire la collecte et, surtout, la revente des informations à l'insu de leurs propriétaires légitimes; ajoutons à cela le pouvoir nécessaire aux préposés pour qu'ils puissent réguler ce marché.

Reprenons nos données en main. Nos finances ne regardent que nous, les impôts et, possiblement, l'office des poursuites si on y a affaire. Nos données personnelles n'ont juste rien à faire entre les mains d'entités privées tapies dans l'ombre qui n'attendent qu'une chose : en apprendre le maximum sur nous, et revendre ces données.

T.

More »»

Ressources en français

Par kl4v @subtruth @subtruth — 2014-05-01T21:27:56

Lors de la dernière CryptoParty à Fribourg, un manque de ressources en français a été déploré. En voici quelques unes:

Si vous connaissez d'autres bonnes ressources en français, ajoutez-les dans les commentaires!

Au contraire, il serait intéressant de répertorier aussi les mauvaises ressources - comme par exemple bon nombre d'articles de la presse mainstream.

More »»

MELANI au coeur de la Stratégie nationale de protection de la Suisse

Par moustik @seba_schopfer @seba_schopfer — 2014-05-02T18:48:22
J'ai eu sur l'écran le rapport "Stratégie nationale de protection de la Suisse contre les cyberrisques" (SNPC)

Rapport annuel 2013 du comité de pilotage de la SNPC.

Il est très intéressant et rapporte de manière très complète les structures de MELANI et autres protocoles mis en place concernant la prévention, l'observation, la réaction des risques et menaces sur le web ainsi que les acteurs (économiques et étatiques) et leur résilience. Je reste quand même un peu sur ma faim car ce rapport d'activité est déjà, si j'ai bien compris, un peu obsolète dans la gestion des risques sur le web car il reste sur une vision de réseautage des risques.

Il ne fait aucune mention ni de listing des nouvelles menaces identifiées (smartphones, appareils physiques connectés comme les appareils d'assistance médicale) et ni des moyens mis en place ou des processus d'études de protection de ces moyens. Bien qu'on trouve l'explication sur les processus d'identifications des nouvelles menaces et de consolidation des réseaux, les termes "internet" et "cyberespace" se cantonnent à la structure des réseaux sociaux et à l'utilisation de la technologie de l'information et du média (TIC). C'est déjà une erreur quand on sait que les appareils ménagés sont connectés.

De nos jours, le cracking, le hacking, le fishing ne touchent pas uniquement le cyber-espace et les TIC, mais bien les objets du quotidien. Le rapport se focalise beaucoup sur les risques macros, tels que les structures de fournisseurs (électricité, eau, etc..) englobant de ce fait le risque général sur la population. Le rapport explique de manière générale, le risque, la menace, mais ne fait pas mention des risques micros, par exemple le vol généralisé via la technologie NFC.

Les termes de définition étant globaux (cyberrisques), on peut supposer que ces risques et menaces sont déjà pris en compte ou à l'étude. Mais alors, où se trouve les listings permettant aux citoyens et aux entreprises de s'informer ou de voir l'évolution ? Je ne vois pas d'organe d'information du citoyen autre que MELANI dont la publicité est inexistante, ni de listing publics des menaces. Est-ce que cette structure n'a au final de but que de reléguer l'information et les outils aux entreprises sans que le citoyen ne puisse lui-même agir ou faire partie intégrante du processus d'information ?

Voici là seule page d'alerte possible pour le citoyen souhaitant participer à la protection de la Suisse et de sa population. Personnellement je la trouve plutôt invisible quand on sait qu'il faut être très réactif concernant les menaces du web et la détection des nouvelles menaces du web. Il n'y a pas d'explicatif et d'invitation participative concernant les tendances et nouvelles menaces.

Qui plus est, je reste un peu dubitatif concernant la page d'annonces et études par MELANI. Où se trouve le laboratoire des dernières menaces détectées ? Qui sont les protagonistes étudiants ces menaces ?

Pourquoi personne n'ose dire à nos politiciens en place que l’État ne doit pas être réactionnaire mais proactif concernant la sécurité du web et de la connectivité? Le monde numérique bouge très vite. Les moyens de défense doivent donc anticiper les menaces et les nouvelles menaces avec la participation du citoyen qui est acteur plus que n'importe qui du cyber-espace et du détournement des outils économiques et sociaux. Les moyens traditionnels ne s'appliquent pas à l'univers du cyberrisque. Le traitement de l'information à fait évoluer le rôle du citoyen. MELANI doit donc plus que tout prendre en compte celui-ci, tout autant que les écoles, les entreprises et les organes étatiques.

MELANI est jeune et nous devons l'aider à être plus réactif et surtout à évoluer afin d'être un outil au service du citoyen et pour le citoyen autant que pour la protection de l'état et de son territoire.

More »»

Catégories en relation

Le Patriot Act, ce n'est pas juste un nom

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-05T06:04:20
Grosse nouvelle dans les journaux en ligne : les sociétés américaines fournissant des services en ligne de type cloud, messagerie ou autres doivent être en mesure de fournir les données aux autorités (normal…), y compris si les contenus sont hébergés en-dehors des USA (pas normal)1

Mais, en soit, ce n'est pas une nouveauté : le Patriot Act2 prévoyait déjà ce genre de choses. Depuis 2001.

La décision de la justice fédérale ne montre qu'une chose : le Patriot Act est bel et bien appliqué, en parallèle des autres mesures "préventives" telles que remontées par Snowden.

Quelles sont les implications ?
Relativement simple : si vous voulez réellement avoir une vie privée, évitez les services "made in US". Y compris ceux arborant fièrement un "Hosted in Switzerland" ou assimilés. Le lieu d'hébergement n'entre plus en ligne de compte (et, en fait, n'est jamais entré dans le débat à cause du PA).
Aussi, il faut faire attention aux fournisseurs tiers : par exemple, le mail de Sunrise est basé sur la technologie de Google3. Je vous laisse réfléchir aux implications.

On peut aussi se demander ce qu'il en est des appliances que certaines entreprises mettent à disposition : par exemple, Google… Leurs appliances sont dans des réseaux d'entreprise, sont employées pour indexer des documents locaux… Légalement, est-ce que les USA peuvent demander à Google de fournir les contenus de ces appliances ? Après tout, c'est un appareil leur appartenant, loué à une entreprise (ou autre entités… l'État, qui sait ?).

On peut aussi se demander ce qu'il advient de la sécurité des certificats SSL fournis par une société US. Qui nous dit que Verisign ou autres n'a pas été une fois ou l'autre forcé de fournir un certificat contre-fait aux autorités pour leur permettre d'écouter le traffic d'un site ?

Pour revenir à la Suisse, je vous rappelle juste que la fameuse Suisse ID4 est, entre autres, fournie par QuoVadis, filiale d'une société US… Que se passera-t-il le jour où les USA voudront, pour une raison ou une autre, obtenir des informations via ce biais ? QuoVadis pourra-t-il les envoyer promener ? J'en doute. Fortement.

Pour revenir à la Suisse toujours, la plupart des certificats SSL des sites du gouvernement sont fournis soit par le BIT5, soit par des entités US du type de Verisign, Thawte etc. Ah, et  je ne mentionnerai pas le fait que le BIT est "couvert" par Baltimore CyberTrust6… 

Mais je n'ai toujours rien à cacher !
Faux : tout le monde a quelque chose à cacher, un jour, une fois.
Imaginez ce qu'il se passerait si, au hasard, vos mails dans lesquels vous conversez à propose d'un problème de santé arrivait entre les mains de, au hasard, une assurance maladie ?
Imaginez ce qu'il se passerait si, au hasard, votre video-conversation avec votre copain/copine se retrouvait exposée sur le Net ? Vidéo comprises ?

Plus concrètement : des données médicales transitent en clair sur des serveurs de Micorsoft (personnes employant les services Office365), ça ne vous dérange pas ? Ces données médicales concernent les personnes bénéficiant de soins en EMS ou "appartements protégés". Rien n'est chiffré, des numéros de dossier et autres données personnelles voire confidentielles se promènent dans la nature.

Et, entre nous, vous n'avez jamais employé un VPN une fois ? Ou été faire un petit tour sur Tor, ou I2P ou Freenet pour voir comment c'est ? Si oui, vous êtes suspects pour les USA (et, sans doute d'autres gouvernements), parce que ces technologies, bien que neutres, sont employées par des terroristes.
Cela peut donc vous faire sortir dans les résultats de personnes à mettre sous surveillance. 

Toujours rien à cacher ? Réfléchissez bien avant de répondre.

Que pouvons-nous donc faire ?
Comme dit précédemment, trier les services. Chiffrer ce que vous pouvez. Sensibiliser vos proches à la problématique

Malheureusement, tant que les pays et l'UE ne font rien pour protéger leurs citoyens, on ne peut pas faire beaucoup plus : on a besoin des services fournis par ces entités, qu'on le veuille ou non. On est, au final, pieds et poings liés, à la mercie d'une puissance étrangère voulant instaurer sa paranoïa, son contrôle et la pudibonderie à travers le monde.

Aussi, ce jugement n'implique rien de nouveau. Il ne faut pas perdre de vue qu'il n'est que l'application d'une loi de 2001, passée dans un climat de peur post-traumatique par un paranoïaque notoire, Georges W. Bush. Ce gouvernement a ouvert la boîte de Pandore et, malheureusement, bien trop de pays et de sociétés privées se sont engouffrés dans cette ouverture. Des business models entiers reposent sur la paranoïa, la peur de l'autre, la peur de l'étranger, la peur du "non-contrôle". Business models qui, en plus, ne s'assument pas7.

More »»

Catégories en relation

Retourne-moi, je te dirai qui tu es

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-08T06:02:49
On va parler smartphone aujourd'hui. Vous savez, votre pimpant iPhone5S, ou Nexus7, ou S4… Bref, l'appareil qui sert à téléphoner en tweetant sur facebook.

Ce superbe jouet, bijou de technologie, que vous ne pouvez pas ne pas changer chaque année pour la nouvelle version "plus mieux bien qu'est plus fine et légère" est, en fait, un mouchard de première catégorie. Même avec un jailbreak, même avec une ROM personnalisée.

Voici quelques petites choses pour vous en convaincre, au cas où vous penseriez "meuh nan c'est bon, j'ai SlimKat sur mon nexus4".

Les applications, royaume de la délation
Regardez le nombre d'applications installées sur votre appareil. Elles sont chouettes, hein ? Elles vous simplifient la vie, vous divertissent, vous mettent en contact avec vos proches, gèrent votre liste de course, vos documents, synchronisent le tout dans le "claaouuuudde" du fabriquant… Le top quoi.
Regardons d'un peu plus près ce qu'il se passe…

Une application, c'est un truc que vous installez sur votre appareil, et qui demande des droits. Par exemple, accéder au contenu de votre carte SD, accéder à Internet. Accéder à votre appareil photo, au micro. Empêcher l'appareil de se mettre en veille. Votre position (que ce soit "grossière" ou "précise"), votre carnet d'adresse, l'identifiant de téléphone… Bref, plein de droits. Une tonne de droits.
Et, comme les choses sont bien faites, vous ne pouvez pas choisir quels droits vous allez réellement octroyer à l'application (du moins sur un smartphone d'origine, sans jailbreak ou autres).
C'est tout ou rien. Et comme l'application est trop top-moumoute avec ses oiseaux qu'on lance sur des extra-terrestres sauteurs sur fond de chatons, vous ne pouvez pas vous en passer, donc vous acceptez. Mais qu'est-ce que cela signifie, réellement ?

Allez, prenons Angry Birds Seasons pour rire. Ce jeu simple, dont la seule interaction se fait avec les doigts sur l'écran, vous demande, entre autres, votre position (grossière), un accès complet au Net, les informations sur les réseaux Wifi que votre appareil connaît, vos différents comptes enregistrés sur le téléphone… Et quelques autres encore1.

En quoi  un jeu à la con ne se jouant même pas via le réseau demande autant d'accès ??
Simple : publicités ciblées selon votre région. Avec, pourquoi pas, retransmissions de certaines informations à des partenaires… Vous jouez à ce jeu dans un MacDo ? Bah allez, on va vous balancer de la pub en rapport, pourquoi pas des coupons MacDo, ou, pour rire, l'adresse du Burger King le plus proche ;).

Les applications demandent des informations, et, surtout, vous ne savez pas ce qu'elles en font. Ni, réellement, pourquoi ces applications ont de tels besoins.

Et, avec la suite, vous verrez que même si vous supprimez toutes les données d'une application de votre appareil, et installez un autre mouchard du même éditeur, il y a fort à parier qu'il pourra vous dire précisément que c'est VOUS. Même s'il n'accède pas à vos comptes. Même s'il n'accède pas à votre carnet d'adresses. Même si vous avez fait une remise à zéro d'usine.

Les capteurs, ces sombres délateurs
Votre gyroscope, votre GPS, votre caméra, votre flash, votre écran tactile, tous ces capteurs sont uniques. Malgré des contrôles de qualités, chaque capteur a des petits défauts. Des petites différences qui le rendent unique.
Et, vous savez quoi ? Les applications ont un accès permanent à, au moins, 3 capteurs : le gyroscope, l'accéléromètre et l'écran. Trois des capteurs pouvant donner, en fait, le plus d'informations…

Le gyroscope situe l'appareil dans l'espace : est-il à plat, retourné, renversé, vertical, à l'envers, penché… Est-ce qu'il est en déplacement ?
On arrive même à déterminer le mode de déplacement et la direction, avec l'aide de l'accéléromètre. Et, chaque fois qu'on demande une information au gyroscope, on obtient en même temps une information qui le rend unique2.
Et, si vous regardez bien… Le gyroscope est accessible par toutes les applications. C'est un droit de base. Vous installez quelque chose sur un appareil mobile, il doit bien savoir comment s'afficher. Woohoo.
Il en va de même pour l'accéléromètre.

Mais ce n'est pas tout : les interactions avec l'écran tactile vont encore plus loin : on arrive, en conjonction avec nos chers gyroscope et accéléromètre, à déterminer si c'est bien VOUS qui employez l'appareil. À votre manière de taper, de glisser le doigt, à l'inclinaison de votre appareil… Autant de détails permettant de vous identifier de manière presque certaine3

À l'heure actuelle, les applications ont les données "brute de forge" : le système d'exploitation de l'appareil ne fait pas de nivellement de l'information, il ne la rend pas moins précise. Tout le monde peut donc obtenir des informations permettant de vous identifier de manière unique. Comme on est, en général, connecté 24/7 à un réseau, qu'il soit mobile ou wifi, ces données peuvent sans autre être renvoyées sur des serveurs, qui vont les analyser et les stocker. Et permettre de vous lier de manière unique à une série d'applications, même si aucune de celles-ci ne se trouve en même temps sur le même appareil.

Et on ne parlera pas non plus de Siri et autres Android voice command qui écoutent les conversations à l'affût d'un "Ok Google" ou "Siri" pour déclencher le mode "reconnaissance vocale"… Dont le traitement est fait à distance (sauf, à priori, la détection du mot-clef démarrant la reconnaissance vocale).

Alors, toujours aussi amoureux de vos petits gadgets ? Saviez-vous seulement qu'ils permettaient de vous tracer de la sorte, même en étant prudent et conscient des risques ?

On va finir par revenir sur le bon vieux 3210 : batterie tenant facilement une semaine, solide, simple, basique.

More »»

Catégories en relation

Snapchat, ou l'illusion de l'éphémère

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-10T14:21:30
Snapchat. Une application permettant d'échanger des messages éphémères avec ses contacts.
Les messages, dont la durée de vie est limitée, sont censés être effacés du smartphone de votre contact de manière irrémédiable, permettant ainsi d'éviter des fuites de photos génantes ou assimilé.

Sauf que…

Pour plusieurs raisons, cette publicité est mensongère. Entre autres :
  • les transmissions sont chiffrées de manière vaseuse1;
  • les transmissions passent par de multiples serveurs et autres appareils avant d'arriver à destination;
  • on ne maîtrise pas l'appareil de destination;
  • on ne peut pas assurer que l'écran ne sera pas photographié, ou qu'aucune capture d'écran ne sera faite;

En gros, Snapchat, c'est de la poudre verte2 avec de la licorne magique dedans : "faites-nous confiance, mais surtout ne grattez pas trop la couche de vernis".

On va creuser et expliquer pourquoi les différents points ci-dessus posent plus de problèmes qu'autre chose.

Chiffrement
Plusieurs problèmes se posent : le contenu est certes chiffré lors de la transmission, mais avec une clef de chiffrement unique. Se retrouvant sur TOUS les appareils possédant l'application. Je vous laisse voir le potentiel de nuisance que cela permet. Sur Android, elle se trouverait ici : com.snapchat.android.util.AESEncrypt3.
Il s'avère aussi qu'ils utilisent un mode AES-1284 pourri, nommé ECB5, qui produit un chiffrement faible en comparaison de CBC6 : ECB ne possède pas de vecteur d'initialisation, permettant ainsi de comparer plusieurs textes chiffrés (et donc de pouvoir retrouver la clef de chiffrement). Il permet aussi "facilement" de tronquer ou altérer un message chiffrer.

Au cas où, des bouts de code permettant de déchiffrer les contenus de Snapchat se balladent dans la nature7

Transmissions
Hey, on est sur Internet : un paquet IP passe par de multiples plate-formes, appareils etc. Chacun de ces intermédiaire garde en tous cas une trace du passage du paquet, et, selon son emplacement, poourrait enregistrer la transmission dans son ensemble, et donc reproduire le contenu. Associé à un chiffrement faible, je vous laisse voir ce que ça permet.

La destination
Un iOS ou Android avec accès root permet de faire ce que l'on veut, on a accès à tout le système de fichier, donc, aussi, aux fichiers temporaires créés par Snapchat.
Donc, assez simplement, on peut copier les contenus.

Appareil externe
Et, même si on arrive à faire un truc réellement chiffré de bout en bout, avec un minimum de traces sur le réseau (allez, via vpn + chiffrement fort, pour rire), rien, absolument RIEN n'empêche le destinataire de prendre une photo. 

L'éphémère n'existe pas quand on parle du monde numérique. Entre les traces sur les divers appareil réseaux, le manque de sécurité, le manque de contrôle sur l'appareil de destination, on ne peut absolument pas garantir que les contenus sont "effacés définitivement".

Pour celles et ceux qui pensent qu'on peut effectivement effacer du contenu d'Internet, je vous invite à aller consulter la page sur ce qui est appelé "Effet Streisand"8 et d'en tirer les conclusions qui s'imposent.

En passant : Snapchat vient d'avouer deux choses9 :
  • elle a menti à ses usagers quant à l'effacement des messages
  • elle collectait des données à l'insu des utilisateurs

Encore des envies de faire confiance à cette application ?

More »»

Pourquoi faut-il se protéger de la surveillance de masse ?

Par c0nst4nt1nj3 — 2014-05-10T12:37:15

Depuis l’avènement d’internet et des nouvelles technologies, nous savons que l’on est beaucoup plus vulnérable en ce qui concerne nos données personnelles. Malgré cela, beaucoup ne se soucient pas de ces risques. Analysons de plus près les différentes raisons qui font que peu à peu l’on abandonne notre droit à la vie privée et à l’anonymat en échanges de services soi-disant gratuit mais qui dans les faites nous utilise comme produit. N’oublions pas que si un service est gratuit, c’est que la plupart du temps, nous en somme le produit. Ou face à des gouvernements qui sous le couvert de la sécurité national mettent en place des systèmes de récolte de données et d’espionnage tel que PRISM, le Patriot Act ou encore la LSCPT en Suisse.

Je ne suis pas un criminel donc je ne suis donc pas un suspect.

C’est une affirmation que l’on retrouve souvent lorsque l’on parle avec l’utilisateur lambda. Néanmoins, ceci est un raisonnement biaisé par le fait que ce n’est pas nous qui décidons de qui est suspect ou non ainsi que de ce qui est une donnée importante ou non. Rappelons-nous de l’affaire des fiches qui a vu de nombreux syndicalistes, membres du Parti Socialistes et des étudiants pacifiques et sans histoires être considérés comme des criminels potentiels, placés dans la même catégorie que les criminels nazis et dont les données intimes et personnelles ont été collectées et conservées dans des fichiers secret des services de renseignement Suisse. Eux aussi, ne se sont jamais considérés comme suspects avant de voir leurs noms sur ces fiches et ceci entre 10 et 40 ans après leur fichage. [1][2]
Ensuite, il y a les risques d’erreurs des autorités de surveillance. Il faut en outre avoir confiance non pas seulement à l’autorité de surveillance, mais en chaque maillon de la chaîne. Il a été déclaré par Noé Le Blanc qu’environs 15% du temps passé par les opérateurs des sociétés responsable en sécurité n’étaient que du voyeurisme. [3] 

En plus, il faut aussi dire que l’usurpation d’identité n’est pas reconnue en Suisse et que l’on est responsable de la sécurité de ses propres installations informatiques. En d’autres termes, il suffirait pour un pirate d’accéder à votre WIFI ou de se faire passer pour vous pour que vous soyez responsable de ses agissements et ainsi être considéré comme suspect.
Les vrais criminels savent comment déjouer la surveillance de l’État, à la différence des utilisateurs lambda.

J’ai confiance en mon gouvernement et il faut bien traquer les criminels.

Nous avons déjà parlé de l’affaire des fiches qui montre que même en Suisse, nous ne pouvons faire confiance à notre gouvernement, mais il faut aussi dire que les lois changes. Qui peut dire si dans 20 ou 30 ans, des lois ne violeraient pas notre liberté ?  Qui sait si dans plusieurs années nous ne vivrons pas une révolution ou la mise en place d’un État totalitaire ou policier ? Il y a cent ans, les règles de bonnes mœurs n’était pas les mêmes que maintenant et les lois étaient beaucoup plus restrictives sur certains point alors que d’autre étaient beaucoup ouvertes en comparaison avec le 21ème siècle. Rien ne peut donc prédire quels seront nos libertés et obligations futures. Une fois que la surveillance généralisée sera mise en place par le gouvernement, il ne sera plus possible de revenir en arrière.

La Suisse, elle aussi veut mettre en place une surveillance généralisée dans le cadre de la révision de la LSCPT (Loi sur les communications). La révision veut forcer les fournisseurs d’accès ainsi que tous les acteurs mettant à disposition des infrastructures connectée de garder les données des utilisateurs durant 12 mois et prévoit l’utilisation de chevaux de Troie et autres virus informatiques pour espionner les portables et ordinateurs des utilisateurs. [4][5]
En outre, notre gouvernement ainsi que plusieurs autres sont déjà surveillé par la NSA, comme le prouve le récent scandale des écoutes téléphoniques de la chancelière allemande ainsi que de plusieurs autres dirigeants européens révélées par Snowden. [6]

Pour finir, notre gouvernement et notre législation ne nous protège pas des écoutes et de la surveillance étrangère. En effet, nos lois ne s’appliquent pas lorsque les serveurs se trouvent à l’étranger ou que celui-ci appartient à une société étasunienne. Ainsi, le Patriot Act instauré par G.Bush suite au climat de terreur engendré par les attentats du 11 septembre oblige toutes les sociétés américaines  à fournir leurs données aux autorités US. [7]

Les données collectées ne sont que des métadonnées.

Certains avancent l’argument que les données collectées ne sont que des bribes d’information, ce qui ne seraient pas significatifs. Bien sûr, un click ne peut pas définir notre personnalité. Mais ce qui est à présent proposé par les entreprises de marketing, c’est le croisement de toutes ces données et là, le résultat est dangereusement plus précis. [8]

Les gouvernements utilisent donc les mêmes techniques pour constituer une véritable carte d’identité des habitudes ainsi que le profil social des utilisateurs. [9]
Sur les smartphone, le résultat est encore plus dangereux. En plus du système GPS qui peut être activé à distance et de manière invisible, ces appareils sont truffés de capteurs, capteur d’empreintes, accéléromètre, gyroscope, écran tactile… En regroupant les informations de ces capteurs, permettent de déterminer si c’est bien vous qui utilise l’appareil grâce à nos habitude de gestuelles sur l’écran, la position et l’inclinaison de l’appareil etc. [10]
 
De toute façon, je n’ai rien à cacher.

En êtes-vous bien sûr ? Que se ferons-nous lorsque des informations sur notre état de santé pourront être accessibles par des assurances maladie directement sur le net? Que ferons-nous lorsque l’on pourra être décrédibilisé à cause de nos opinions échangées sur le net ? Un éventuel futur employeur pourrait utiliser certaines informations non-relatives à vos compétences professionnelles  pour vous refuser un emploi si elles sont facilement accessibles sur le net.
Une partie très importante de ce problème se retrouve dans les grandes entreprises. Si un ingénieur utilise un service étranger ou que l’entreprise elle-même se repose sur des services externes pour sa communication, comment éviter l’espionnage industriel ? 

Que devient-il du secret professionnel ? Les médecins, avocats aussi sont concernés par la surveillance généralisée sans aucune distinction. Lorsque l’on surveille un suspect, on surveille aussi sont correspondant et toutes les conversations confidentielles comme lors de l’affaire des écoutes de N.Sarkozy. [11]
Lorsque l’on passe un appel téléphonique, combien sommes-nous à nous éloigner du groupe pour passer cet appel ? Nous n’avons pourtant rien à cacher et nous le faisons quand même. Alors pourquoi accepter que cela soit différent dans nos communications numériques ?

Autre exemple. Que penseriez-vous si la poste ouvrait vos lettres, les scannerait  et les conserverait à vie ? Tout le monde trouverait cela scandaleux. Alors pourquoi permettre à des sociétés comme Google ou Hotmail de lire nos mails ? 

Récemment, une cliente m’a fait part qu’elle utilisait son Google Agenda comme journal intime. Tenir un journal intime n’est pas un acte illégale et ne montre pas pour autant que nous avons des choses importantes à cacher, pourtant il n’est accessible que par nous-même. Alors pourquoi permettre à ces sociétés et aux gouvernements d’avoir accès à un journal intime en ligne ? 

Conclusion

La protection des données est un réel enjeu pour notre liberté. Sur ce sujet, nous ne pouvons malheureusement faire confiance ni en notre gouvernement, ni à la majorité des géants du WEB. Même si l’on croit que nous n’avons rien à cacher et même si nous n’avons rien à cacher, notre vie privée nous appartient et ne doit pas être oubliée sous prétexte que l’espion se fait plus discret et qu’il est caché derrière un écran.
 
1.       https://fr.wikipedia.org/wiki/Scandale_des_fiches
2.       http://www.admin.ch/cp/f/1996May2.104722.5686@idz.bfi.admin.ch.html
3.       http://bugbrother.blog.lemonde.fr/2009/01/23/les-cameras-de-videosurveillance-sont-aussi-efficaces-que-des-boites-en-carton-peintes-en-noires-sur-des-poteaux/
4.       http://www.lematin.ch/high-tech/La-surveillance-va-exploser-son-prix-aussi/story/11703653
5.       http://www.ictjournal.ch/fr-CH/News/2013/09/27/Alexis-Roussel-Parti-Pirate-La-revision-de-la-LSCPT-debouchera-sur-la-surveillance-de-trafics-entiers.aspx?pa=2
6.       http://www.lefigaro.fr/international/2013/10/28/01003-20131028ARTFIG00316-obama-savait-que-merkel-etait-sur-ecoute.php
7.       https://www.ethack.org/article/43/le_patriot_act_ce_n_est_pas_juste_un_nom
8.       http://lecercle.lesechos.fr/entrepreneur/marketing-communication/221166693/marketing-big-data-nouveau-traitement-donnees-non-str
9.       http://www.lemonde.fr/technologies/article/2013/09/29/la-nsa-reconstitue-le-profil-social-de-certains-americains_3486697_651865.html
10.   https://www.ethack.org/article/44/retourne-moi_je_te_dirai_qui_tu_es
11.   http://www.lexpress.fr/actualite/societe/justice/les-juges-devaient-ils-ecouter-l-avocat-de-nicolas-sarkozy_1498617.html

More »»

Votre profil Facebook presque indélébile grâce à Profile Engine

Par Prosouth — 2014-05-13T08:51:43
Aujourd'hui, je viens vous parler d'une société dont vous ignorez peut-être l'existence: Profile Technology Ltd. Cette société est basée en Nouvelle-Zélande et développe un moteur de recherche basé sur des archives de profils rachetés à Facebook. Cette société dégage des revenus avec de la publicité sur les profils.

Cette publication de données personnelles pose deux principaux problèmes:
  • Le droit à l'oubli selon la Chartes du droit à l'oubli numérique
  • La perte de maitrise de ses données personnelles une fois qu'elles sont vendues à des tiers


Concernant le second point, trouvez-vous celà normal qu'une entreprise privées basée de l'autre côté de la planète vous demande votre pièce d'identité afin de pouvoir desactiver votre profil des résultats? 


J'aimerai plutôt parler de la démarche à entreprendre pour supprimer son profil...


 



Sources : 
    
    http://fr.wikipedia.org/wiki/Chartes_du_droit_%C3%A0_l'oubli_num%C3%A9rique
    http://profileengine.com/#/about
    

More »»

SSL ou l'absence de la moindre assurance

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-19T07:26:27
SSL. Heartbleed. TLS Triple Handhshake. gnuTLS. Des noms, des abréviations, des failles, des trous de sécurité. 

Ils font les gros titres, ou restent invisibles pour les personnes non-techniques, ou les simples utilisateurs. 

Pourtant, il est nécessaire de comprendre comment tout cela marche, ce que c'est réellement, pour comprendre pourquoi et comment ces "trucs" sont censés nous protéger — que ce soit des données transmises à notre banque, ou simplement protéger le fait qu'on est sur, au hasard EthACK, à lire un contenu quelconque. 

Le document va se découper en 5 parties : 
  • HTTPS: à quoi ça sert, en fait ? 
  • HTTPS: le petit cadenas, et sa signification 
  • Explications des attaques possibles sur une connexion "sécurisée" 
  • Certificats invalides : comment se comporter
  • Extensions utiles pour Firefox et Chromium 

HTTPS : son utilité
Au début d'Internet, tout était plein de bisounours, de poney et de licornes. Rien n'était chiffré, c'était la fête du slip, de toutes façons il y avait quoi, 100 personnes capables d'employer le Réseau. Puis ça s'est démocratisé. Et l'humain étant ce qu'il est (curieux, fouille-merde etc), on s'est rendu compte qu'il faudrait sécuriser un poil les choses, entre autres chiffrer les communications.  HTTPS1 est né.

Le petit cadenas que vous voyez dans votre navigateur a plusieurs significations : il vous indique que la connexion est chiffrée, ET que le site possède un certificat signé par une autorité ET que votre système (ou du moins votre navigateur) reconnaît cette autorité comme "valide". 

Cool, donc on a une chaîne de confiance complète. Oui, mais. 

Le problème, c'est l'empilement de significations : dans le cas d'un certificat auto-signé (self-signed certificate), le navigateur va vous hurler dessus, parce que seule le premier point est valide; le reste, par contre, "booohh je connais pas, alors je te plante un bon gros avertissement". 
Et c'est là que le bât blesse. Et c'est là que se pose tout le problème de la conception même du truc. 

SSL (et HTTPS par extension logique) repose sur la confiance. On a des autorités de certification (grosses entités, du genre de Norton, StartSSL, Komodo etc) qui ont réussi à convaincre qu'elles sont biens, qu'elles suivent les règles, et qu'on peut leur faire confiance. Partant de là, la plupart des systèmes et des navigateurs intègrent directement leur certificat d'autorité. Un système Debian de base possède plus de 400 certificats d'autorité, signifiant qu'il fait d'office confiance à plus de 400 entités. Dont VOUS, utilisateurs, ne savez rien ou presque. 

Vu que c'est basé sur la confiance, un certificat auto-signé débarquant comme un coquelicot dans un champ de maïs va faire un peu tache : on ne le connaît pas, on ne sait pas qui c'est, on ne sait pas le niveau de confiance qu'on peut lui accorder. Pensez, un étranger, ça ne peut qu'être mauvais2
Forcément. 

Du coup, vous ramassez un warning. Et, comme vous ne savez pas trop ce que c'est, que, comme la plupart des gens, vous cliquez sur "OK" au moindre message de votre système (allez, avouez), vous allez forcer votre navigateur à passer outre. Et là, en fait, vous êtes potentiellement dans la merde.

HTTPS, le petit cadenas
Comme dit précédemment, le cadenas signifie que la connexion entre votre navigateur (Firefox, Chromium, Safari etc) et le site que vous visitez est censée être chiffrée (et authentifiée par une entité tiers que vous ne connaissez pas).
Cela implique, logiquement, que personne ne peut venir écouter ce que vous faites. Dans un monde idéal, si votre fournisseur d'accès se met à écouter votre trafic, il ne pourrait voir passer que des connexions vers des adresses IP, sans savoir quel site vous visitez réellement. 

En simplifiant, une connexion HTTP standard se fait ainsi : 
  • le navigateur demande au système "hey gros, c'est quoi l'IP de www.ethack.org ?" 
  • s'ensuit une résolution DNS interne (le système a la réponse en cache, ouva demander plus loin) 
  • le navigateur ouvre une connexion (socket) vers le serveur répondant à l'IP, et lui envoie ensuite des informations, appelées "header  HTTP"  

Parmi ces headers, "Host" est celui qui permettra au serveur de savoir quel site est appelé. C'est pratique dans le cas où plusieurs sites sont hébergés sur le même serveur. 

Dans le cas d'une connexion HTTPS, donc chiffrée, les headers sont envoyés à travers le tunnel SSL créé lors de la connexion initiale. C'est donc protégé contre les écoutes indélicates 

Du moins, c'est la théorie… 

Les attaques
MitM. Drôle d'acronyme hein ? Sa signification est nettement moins sympa : Man in the Middle, littéralement "l'homme du milieu". De quel milieu ? De votre connexion. En effet, cette attaque permet à quelqu'un de se mettre entre vous et le serveur, et d'écouter ce que vous faites. 
Hmm… mais… attendez. On a dit tantôt que la communication était chiffrée, et donc évitait ce genre de trucs… Comment que c'est-y-tu-donc possible ?! 

Plusieurs manières permettent de faire un MitM avec succès. En voici X des principales : une demandant à l'utilisateur de réfléchir, l'autre lui demandant d'être prudent de manière générale. 

Le certificat auto-signé
C'est la plus simple, et celle qui s'évite le plus facilement : votre navigateur va lever une alerte rouge vif en expliquant que le certificat n'est pas valide. En regardant les détails, vous apprendrez qu'il est signé par une autorité inconnue, voire pas du tout signé. Vous allez donc accepter le certificat les yeux fermés, comme d'habitude… ? 
Non. 

S'il s'agit d'un site officiel, par exemple votre banque, ou un site de l'état, ou un site marchand, accepter ce certificat et passer outre vous expose à un vol de données (au minimum). Par contre, s'il s'agit de votre site personnel, ou du site d'un pote (qui vous a averti que le certificat était auto-signé)… il est possible de passer outre l'avertissement. 
Mais ça demande un poil de réflexion et de logique. 

Le certificat volé
Hey, vous vous souvenez de Heartbleed ? Des clefs privées (le truc qui n'est pas censé se trouver dans la nature) ont été volées3. Ce qui permet de remonter un site avec le certificat et la clef volée en moins de 10 secondes. Et, en plus, d'avoir un certificat *valide*. 
Hmm… attendez. Donc on peut se retrouver avec un certificat valide mais qui est pas valide ?! Ouep. Et Heartbleed n'est pas le seul moyen de le faire. 

Mais… et la chaîne de confiance ?! Bah elle est brisée. 

Suite à Hearbleed, les différentes mesures aurait dû être prises par les sites sérieux : 
  • mettre les serveurs à jour immédiatement 
  • générer de nouvelles clefs privées et certificats 
  • révoquer les anciens certificats 
  • communiquer sur le problème et la résolution de manière complète
  • contrôlent que les certificats soient valides de manière approfondie suite à ce genre de problèmes. 

Seulement… Cela n'a pas été fait partout : 
  • certains sites n'étaient pas affectés par la faille (mais communication absente — que croire, que faire ?!) 
  • certains sites n'ont pas révoqués les certificats (mais les ont quand même changés, c'est déjà pas mal) 
  • certains sites n'ont pas encore fait les mises à jour (un sacré paquet à ce qu'on dit) 

Dans tous les cas : la communication était absente, vaseuse au mieux. Les révocations, si elles ont été faites, ne sont prise en compte que dans Firefox, ce dernier étant configuré par défaut pour prendre en compte les CRL, Certificate Revocation List, des autrités de certifications. Chromium possède cette option, mais elle n'est pas activée par défaut. 

Ce qui signifie une chose assez grave, en fait : la chaîne de confiance est cassée (encore…). L'utilisateur standard n'a AUCUN moyen de réellement s'assurer que son site bancaire est bien le bon, que personne n'écoute ses communications. 

Et il y a les trucs funs, genre la dernière trouvaille au niveau du protocole TLS, employé pour ainsi dire partout (pour une fois que tout le monde ou presque se met d'accord, faut évidemment qu'il y ait un truc vaseux…). 
Ou encore des virus/vers/troyens qui installent des certificats à votre insu, évitant ainsi à votre navigateur de lever des alertes sur les certificats auto-signés…

Bref. Les accès chiffrés, c'est bien, mais on ne peut simplement pas faire confiance. Actuellement, il faut contrôler les dates de création des certificats, le signataire, et encore bien d'autres choses si on veut bien faire. 

Heureusement, certaines extensions Firefox (et normalement aussi disponibles sur Chromium) peuvent nous aider dans cette tâche (on en verra un peu plus bas). 

Comment se comporter face à un certificat détecté comme faux
Comme mentionné plus haut, il n'y a pas 42 façons de se comporter : par défaut, "fuir". Si on ne comprend pas, si on ne sait pas, on ne va pas sur le site. Point. 

Si, par contre, on a le temps d'analyser et de comprendre, on peut se risquer à ne pas fuir de suite : une analyse attentive du problème peut, dans certains cas, mener à avertir l'éditeur du site pour lui signaler que son certificat est faux/mal installé/échu ou autres. Ça m'est déjà arrivé de le faire. Plus d'une fois. 

De manière générale, sur Firefox, on a la possibilité de contrôler le certificat avant de l'accepter. Cela nous donnera la raison précise de l'erreur relevée. Mais, comme dit plus haut : dans le doute, refuser. Il en va de la sécurité des données que vous seriez amené à transmettre, de la sécurité de vos communications. Un certificat invalide n'est pas anodin.

Les extensions
La première qui vient en tête, c'est Certificate Patrol4. Elle va se charger automatiquement de quelques checks, vous simplifiant la vie et améliorant ainsi la sécurité. 
Elle ne fera pas de miracle, mais vous permettra de savoir quand un site change de certificat (en vous montrant les différences au niveau des dates, autorité de certification ou autres). Elle note aussi le risque que représente le changement d'un certificat, par exemple s'il arrivait à échéance le niveau sera moins élevé que s'il avait été émis quelques jours plus tôt, puis remplacé. 
Le seul problème avec cette application est le niveau de verbosité : vous risquez d'être assez vite dégoûté du nombre de popups qu'elle crée, surtout si vous employez google, facebook ou autres gros sites du genre, qui semblent incapables d'avoir le même certificat sur leurs différents points d'entrée (un comble…). 

Une autre extension, HTTPS Everywhere5, est un bon complément à la précédente : elle vous fera passer automatiquement à la version SSL du site quand disponible. Le seul problème : elle se base sur une liste définie de sites — elle n'ira par exemple pas chercher toute seule si un site propose une version SSL ou non. D'un autre côté, pour avoir testé une extension qui faisait cela, ce n'est pas plus mal : certains sites ne fournissent pas le même contenu en SSL, voire sont cassés… Autant dire que ce genre de choses ne devrait pas exister à l'heure actuelle !

En conclusion
HTTPS, c'est joli, ça part d'un bon sentiment. Mais, de par le fonctionnement même de la chose, ça ne peut plus marcher. On sait, en tous cas depuis les révélations de Snowden, que la confiance ne suffit plus. Quand vous allez sur le site de votre banque, il vous fut procéder à quelques contrôles. Quant vous recevez un mail soi-disant de votre banque, ou de facebook ou autres, il vous faut avoir un esprit critique. Vous ne pouvez tout simplement plus cliquer aveuglément partout.
Ouvrez les yeux, soyez attentif. C'est, à l'heure actuelle, la seule manière d'éviter les pièges évidents. Et même ainsi, personne n'est à l'abri d'une erreur.

More »»

Catégories en relation

myEnigma — quelques précisions

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-22T05:57:35
/static/images/myEnigma.png

myEnigma1 est une application suisse permettant, un peu comme Whatsapp, d'échanger des messages, images et documents avec ses contacts. L'avantage par rapport à Whatsapp est qu'elle est suisse, à priori chiffrée, et que les serveurs sont localisés en Suisse.

J'ai pu obtenir une interview de l'entreprise Qnective AG2, société basée à Zürich.

Les questions posées couvraient les points suivants :
  • Sécurité : quelles sont les mesures prises face aux failles type Heartbleed, s'ils s'étaient fait attaquer, etc
  • Statistiques : comment est employée l'application, où, combien, etc
  • Plans futurs
  • Légal : si le gouvernement a émi des demandes d'accès, logs, etc
  • Divers questions d'ordre plus générale
  • Utilisation (j'ai pu faire quelques tests)

Sécurité
Malheureusement, ils ne sont pas très communicatifs, principalement au niveau de la sécurité présente autour de leurs systèmes…
À chaque fois, j'ai reçu un « on ne partage pas d'information sur nos mesures de sécurité », ce qui, de nos jours, peut être mal vu. Les questions couvraient Heartbleed, TLS, les attaques qu'ils auraient subies — mais aucune communication n'est faite à ce niveau.
Un white paper3 est disponible et explique 2-3 choses, mais reste très vague quant aux algorithmes et librairies employées. Sur le papier, cela semble tout de même solide (modulo la partie en rapport à TLS qui, dernièrement, a montré quelques faiblesses4

La seule chose obtenue à ce niveau concernait l'ouverture du code source à des fins de « community review », mais je doute que cela se fasse. La réponse elle-même est ironique par rapport à la constatation précédente :
Trust is mainly related to the people behind an application. Our business model is based on providing secure mobile communication. We consider to open source as soon as patents are not impacted.
« La confiance dépend principalement des gens derrière l'application. Notre business model est de fournir des communications mobiles sécurisées. On pourrait ouvrir les sources dès que cela n'impactera pas des brevets »

La confiance… Tout est là.

Statistiques
Je n'ai pas pu obtenir de statistiques par rapport au nombre d'utilisateurs ou même le nombre de messages transitant sur leurs serveurs… Par contre, il semblerait que myEnigma soit principalement employé en Allemagne, Suisse, Italie et Espagne. Le Brésil et d'autres pays d'Amérique du Sud semblent intéressés, ce qui fait que l'application sera traduite prochainement en espagnol et portugais.
Mais pas en français, par contre…

Futur
Pas de dates annoncées, mais pas mal de nouvelles fonctionnalités devraient venir durant l'année : emoticon pour la version Android, ainsi qu'un nouveau design sont actuellement en cours de développement.
Aussi, l'application est actuellement gratuite, mais une notion de licence (« free » pour le moment) au sein de l'application, ainsi qu'une mention de coût et de modification à ce niveau dans la FAQ m'a fait poser la question pour avoir plus de précisions.
Ils considèrent plusieurs modèles économiques, le principal étant un abonnement annuel qui, je cite, « ne dépassera pas le coût d'une tasse de café (Starbucks exclu) ». Donc compter une thune par année environ.

Demandes légales
Pour le moment, ils n'ont reçu aucune demande légale au niveau des communications. De plus, le chiffrement se faisant au moment de l'émission du contenu, ils n'ont à priori aucun moyen de savoir ce qui transite sur leurs serveurs.
Au niveau des logs, ils ne semblent pas être soumis aux lois sur les télécommunications, parce qu'ils ne se considèrent pas comme étant un fournisseur de service de télécommunication… Sur ce point, je suis dubitatif, je l'avoue.

Divers
Pour les utilisateurs d'Android découplés de Google, l'application est disponible sur demande en-dehors de Play. Il suffit d'en faire la demande par email5 au support.
Bon point. Bien qu'un lien de téléchargement disponible directement sur le site serait nettement plus    pratique à mon sens…

Par contre, du fait qu'ils sont en train d'implémenter le support de GCM6, il faudra peut-être s'attendre à ce que l'APK ne soit plus disponible, à moins qu'ils ne laissent l'ancien mode disponible pour les « déconnectés ». Ce qui serait logique.

Aussi, les messages ne sont pas conservés sur les serveurs : du moment qu'ils sont délivrés, ils sont effacés. Ce qui, au passage, empêche d'avoir le même compte sur de multiples appareils.

Utilisation
J'ai un peu tester l'application. Le problème premier a été de trouver un contact possédant aussi cette application : parmi mes contacts, très peu (4) sont sur l'application. Et, de ce que j'ai pu remarquer, aucun de ces contacts ne semble encore employer myEnigma.
Ce premier problème résolu (merci François), l'utilisation est relativement simple. L'interface demande effectivement d'être revisitée et améliorée pour rendre les choses plus simples et plus compréhensibles.
L'application est assez fluide. On a moyen d'activer des logs pour voir un peu ce qu'il se passe. Cela permet de savoir à quoi on se connecte, mais pas vraiment plus à première vue.
M'enfin, ça m'a permis de déterminer qu'ils utilisent un certificat SSL signé par SwissSign, société suisse appartenant à la Poste Suisse — ce qui, en soit, est un détail, mais je trouve que c'est une bonne chose.

Pour ma part, je préfère une autre application (dont je parlerai dans un prochain article) — mais il faudra surveiller les améliorations, principalement au niveau interface.

En conclusion : myEnigma a du potentiel. Si tant est qu'on ait un accès un peu plus grand aux informations de sécurité. Et que l'interface soit revue et simplifiée.

More »»

Threema — détails et informations

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-02T06:32:55
/static/images/threema.png
Threema est une application de communication sécurisée. Dans le même genre que myEnigma, elle permet d'échanger des messages, images et documents de manière sécurisée, les contenus étant à priori chiffrés.

J'ai pu obtenir quelques informations de plus de la part de l'éditeur, Threema GmbH1, société suisse, dont les serveurs applicatifs dédiés à Threema sont localisés en Suisse.

Les questions couvraient les points suivants :
  • Sécurité : quelles sont les mesures prises face aux failles type Heartbleed, s'ils s'étaient fait attaquer, etc
  • Statistiques : comment est employée l'application, où, combien, etc
  • Plans futurs
  • Légal : si le gouvernement a émi des demandes d'accès, logs, etc
  • Divers questions d'ordre plus générale

Sécurité
Bonne nouvelle, Threema n'utilise pas de version d'OpenSSL affectée par Heartbleed. De même, le mode de fonctionnement n'implique pas d'authentification par certificat SSL, ce qui exclu aussi la petite faille dans le protocol TLS2.
Aussi, ils ne semblent pas avoir encore subi d'attaques « concertées » dirigées spécialement sur leurs services. Selon Manuel Kasper, à part le « bruit habituel d'Internet » (scan, tentatives de connexion SSH et autres du genre), ils n'ont rien remarqué.

Aussi, ils ne considèrent pas encore ouvrir le code source à des fins d'audit communautaire, et ce principalement à cause du modèle économique de l'application.
Par contre, il semblerait que cela n'ai pas empêché une analyse approfondie du fonctionnement de Threema3, ainsi qu'une validation des processus de chiffrement.

Statistiques
Threema possède environ 2.8 millions d'utilisateurs, et environ 40 millions de messages transitent quotidiennement sur leurs serveurs.
La majorité des utilisateurs provient de l'Allemagne, suivi par la Suisse, l'Autriche et les USA.

Futur
Ils préfèrent ne pas annoncer les nouveautés avant de les sortie — mais ils travaillent sur des nouvelles fonctionnalités.

Demandes légales
Kasper System n'a pas eu de demandes d'accès. Ce qui, de toutes façons, ne ferait pas grand chose, vu que les messages et contenus sont, à priori, chiffrés.
Ils n'ont pas non plus modifié leur politique de logs4 (à savoir : rien n'est enregistré), ce qui est plutôt  bien.

Divers
À priori, Threema ne fait pas partie du « pack gouvernemental », ce qui est assez dommage vu la qualité de l'application.
Aussi, leur canal de communication est plus germanophone, ce qui explique qu'on n'en entend pas beaucoup en Suisse romande.

À noter aussi que Threema s'obtient, pour Android, en-dehors de Play5, ce qui permet en plus de payer en bitcoins !
De base, l'application utilise le GCM6, mais permet aussi de passer en mode « pull »: l'application va elle-même contrôler si des messages sont en attente à intervalle régulier (toutes les 15 minutes).

Conclusion
De manière générale, j'adore cette application : simple, efficace, elle permet de mettre à portée de tous une solution de chiffrement propre.
La validation de ses contacts permet en outre de s'habituer à contrôler soi-même « qui est qui ». À ce niveau, on est très proche de GPG/PGP, s'agissant de signer les clefs et de régler le niveau de contrôle effectué.

More »»

Est-ce que les banques Suisses, et leurs clients ont été espionnées par les Etats-Unis?

Par gabriel.klein — 2014-05-26T06:31:35
Nombreuses ont été les entreprises Suisses à subir les foudres des Etats-Unis. UBS, Crédit Suisse et prochaine victime, les caisses de pensions.

Le but de cet article n'est pas de blanchir les banques... Elles ont agi de manière particulièrement stupide et doivent en assumer les conséquences. Quand votre environnement change, une société intelligente doit savoir s'adapter rapidement – or là, elles ont profité de la débâcle de l'UBS pour récupérer ses clients « toxiques » au lieu de se faire discret. 

Cet article ne va pas vous donner de réponse, car je n’en ai pas! Juste parler de ce qui est technologiquement possible et d'exemples dans lesquels certains outils ont été utilisés par les États-Unis pour mettre en place une surveillance massive.

Mais on peut quand même citer Glenn Greenwald :
« Il y a en outre des indices que la NSA a espionné le système bancaire helvétique. Les services secrets américains ont montré un grand intérêt notamment aux flux monétaires, signale le journaliste américain. »
http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Revenons quelques années en arrière! Je suis les États-Unis, des avions viennent de s'abattre sur des tours. Je deviens alors parano et désire mettre en place des outils me permettant de combattre le terrorisme. C'est pour cette raison qu'a été signé le Patriot Act. http://en.wikipedia.org/wiki/Patriot_Act https://ethack.org/article/43/le_patriot_act_ce_n_est_pas_juste_un_nom

Le Patriot Act c'est quoi? C'est entre autre donner aux services de sécurité (NSA), sans autorisation préalable et sans en informer les utilisateurs, d'accéder aux données informatiques détenues par les particuliers et les entreprises. Cela permet aux services secrets américains d'obliger les sociétés américaines à leur donner accès à tous les moyens permettant d'espionner des utilisateurs étrangers. Accès aux mails envoyés par Google, accès à vos communications Facebook, accès à vos communications Skype (dont le prix d'achat de $8.5 milliards a étonné beaucoup de professionnels… http://www.wired.com/2011/05/microsoft-buys-skype-2/ ), accès à votre ordinateur / système d'exploitation, accès à votre téléphone mobile, et la liste est encore longue!

Je suis la NSA, on me demande rapidement de trouver et prévenir d'éventuelles attaques. Quel va être ma première action? Trouver les flux financiers! C'est-à-dire mettre les banques sous écoutes.

Les banques Suisses sont une cible de choix!
www.swissinfo.ch/eng/politics/internal_affairs/Spies_target_banks_for_the_secrets_they_hold.html?cid=7493558

Première solution... pourquoi chercher trop loin. Swift est un traité entre l'union européenne et les Etats-Unis leur permettant de voir les transferts inter-banques.
http://www.spiegel.de/international/europe/nsa-spying-european-parliamentarians-call-for-swift-suspension-a-922920.html et http://fr.wikipedia.org/wiki/Accord_Swift
Les pays offrent les informations dont j'ai besoin sur un plateau doré... pourquoi ne pas en profiter!

Deuxième solution... Travailler avec Microsoft et Apple pour intégrer dans leur système d'exploitation des chevaux de Troie permettant de tracer toutes les données.
http://fr.wikipedia.org/wiki/NSAKEY http://www.forbes.com/sites/erikkain/2013/12/30/the-nsa-reportedly-has-total-access-to-your-iphone/. Facile, mais cela veut dire que tous les utilisateurs vont transférer des données étranges hors de leur téléphone ou ordinateur. Ce n'est pas très discret, et il y aura toujours des gens qui vont se demander par exemple pourquoi Apple gardait l'historique du déplacement des utilisateurs... http://www.theguardian.com/technology/2011/apr/20/iphone-tracking-prompts-privacy-fears

Si Microsoft ou Apple refusent de collaborer, pourquoi ne pas utiliser un programme qui voit déjà tout ce qui passe entre votre ordinateur et Internet. On a presque tous un anti-virus à l'exemple de Norton (Symantec), et/ou un firewall. Ces outils sont, par conception, obligés de vous espionner pour voir si il n'y a pas quelque chose en train de vous attaquer - ils sont ainsi très bien placés. Mais est-ce que leur seule fonction est vraiment de vous protéger?

Troisième solution... Cette solution est théorique, et je suis certain que les Etats-Unis nous considérant comme alliés n'ont pas implémenté cette possibilité! Ils n'espionnent pas leurs alliés (ironique)! http://www.dw.de/report-nsa-spying-on-merkel-aides/a-17452381

Mon but en tant que la NSA est que la solution soit discrète et que je puisse lancer des programmes d'espionnage sans que personne s'en rende compte!

Ma première étape sera de détourner tout le trafic entre les utilisateurs et ma cible. Par exemple le Crédit Suisse! Pour y arriver j'aurais premièrement besoin de modifier les routeurs afin qu'ils fassent passer toutes les communications qui arrivent sur une banque par mes propres ordinateurs. Lorsque vous allez sur Internet, votre communication passe par plusieurs "routeurs" qui prennent ce que vous envoyez et le redirige au bon endroit. Par exemple pourquoi ne pas modifier les routeurs soit en demandant à l'entreprise qui en fabrique le plus (CISCO) de le faire, soit en installant une version alternative du logiciel qui tourne sur ces routeurs. http://pro.clubic.com/it-business/securite-et-donnees/actualite-702087-nsa-soupconnee-installe-logiciels-espions-routeurs-fabriques-usa.html http://freedomhacker.net/2014-04-router-firmware-built-with-backdoor-vulnerability-tcp-32764-reactivated

J'ai maintenant la possibilité de voir tout ce qui arrive sur une banque, une administration Suisse! Mais tout est chiffré...

Mon second problème est de rendre cela plus discret. Envoyer pleins des paquets aux Etats-Unis, c'est pas vraiment très discret! Le plus simple est d'installer des machines qui espionnent directement en Suisse. Pas trop loin des banques! Après j’envoie régulièrement un résumé des transactions entre les clients et leur banque: cette personne a envoyé cette somme d'argent à cette autre personne.

Cette attaque est nomée : man-in-the-middle.

Heureusement la communication est chiffrée par du HTTPS / SSL. L'idée du SSL c'est que vous avez une autorité tierce (il y a environ 500 autorités de certifications). Par exemple la plus populaire est Verisign (appartenant aussi à Symantec qui fait Norton). Ces autorités ont signé un "deal" avec par exemple Mozilla, Microsoft et Apple pour qu'elles soient considérés comme étant des partenaires de confiance. Quand vous allez sur l'UBS, vous allez être certain que vous communiquez bien avec l'UBS et non un hacker – car Verisign le certifie ! Verisign est une société Américaine, donc soumise au Patriot Act;) ( https://ethack.org/article/48/ssl_ou_l_absence_de_la_moindre_assurance )

Une solution serait d'avoir un faux certificat signé dans notre cas par verisign. (J'utilise une approche similaire pour faire du développement: http://portswigger.net/burp/help/proxy_using.html ). Je pense discuter avec la banque, mais en fait je discute avec un serveur de la NSA (certifié par verisign). Derrière le serveur de la NSA discute avec la banque en se faisant passer pour moi.

Je pense : Utilisateur → {internet} → https://www.ubs.com – Certifié par Verisign

En réalité : Utilisateur →{internet, Certifié par Verisign} → NSA →{internet, Certifié par Verisign} → https://www.ubs.com

SSL est un très bon moyen de vous protéger contre les hackers, mais est-ce que c'est un bon moyen de vous protéger contre les Etats? Non!

Une fois que l’on a volé ou pris des informations, surtout à vos alliés, il faut blanchir ces informations. Est-ce que le piratage des données bancaires a initié une initiative de blanchiment appelée “FATCA”? FATCA permet de légitimiser les informations collectée, et de pouvoir les utiliser au niveau légal. L’espionnage permet d’évaluer les impacts, et savoir contre qui diriger ses “canons” légaux.

http://fr.wikipedia.org/wiki/Foreign_Account_Tax_Compliance_Act


Est-ce que cela veut dire que je ne dois plus utiliser Internet?

Non! Cela veut simplement dire qu'on doit savoir que ce qu'on fait actuellement sur Internet peut être intercepté par un État tierce. Qu'il ne peut pas utiliser ces données ouvertement. Faire par exemple un payement sur Internet reste une opération sans trop de risques. Leur but n'est pas de vous vider votre compte bancaire (pour l'instant...)


Comment fixer Internet?

Internet est basé sur l'idée qu'on fait confiance à énormément de sociétés. Microsoft, Apple, Google, Swisscom, Cisco, Symantec (Verisign, Norton), Komodo.

Dans l'état actuel, Internet ne peut pas être fixé si ce n'est installer des logiciels tiers (donc faire confiance encore à d'autres sociétés). Une première étape est d'utiliser Linux, par exemple http://www.ubuntu.com


Marché libéral ?

Pour citer un article :
«Le fait est que la NSA cible certains secteurs qui sont souvent en concurrence avec des entreprises américaines», fait remarquer Glenn Greenwald. Il faut être très naïf, dit-il, pour croire qu'elle ne le fait pas pour obtenir des avantages économiques.
http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Il ne faut pas se faire d'illusion. Dans certains domaines « critiques » à l’exemple de la finance et des systèmes de communication, les US n'hésitent pas à tricher. Ils appellent cette triche brevets, jury populaires, sécurité nationale, évasion fiscale, etc

http://www.regards-citoyens.com/article-quand-la-nsa-pipe-les-des-ce-que-les-tres-grandes-oreilles-de-washington-conferent-comme-pouvoirs-120733910.html

On peut parler d'Huawei qui ne peut plus vendre aux Etats-Unis pour « risque à la sécurité ». Les Etats-Unis avaient vivement déconseillé à leur alliés d'utiliser les produits d'Huawei. Est-ce que c'était pour pourvoir continuer à les espionner ?
http://spectrum.ieee.org/tech-talk/computing/hardware/us-suspicions-of-chinas-huawei-based-partly-on-nsas-own-spy-tricks
http://gizmodo.com/5932204/should-the-world-be-scared-of-huawei

On peut parler des cartes biaisées entre Samsung et Apple par les Etats-Unis avec des brevets utilisés comme arme pour faire du protectionnisme biaisé.
http://lexpansion.lexpress.fr/high-tech/proces-apple-samsung-les-zones-d-ombres-du-verdict_1339203.html

Et est-ce que les attaques contre les banques Suisse n'ont pas pour but de les faire sortir du marché Américain ? La finance étant un secteur « critique » pour les USA.


Conclusion

On a vu:
- Que les États-Unis ont le besoin de mettre les banques Suisse sous écoute.
- Qu'ils en ont la possibilité technique avec la complicité de sociétés américaines.
- Que les sociétés américaines sont obligées de participer (Patriot Act)
- Que les États-Unis ne peuvent pas utiliser d'éventuelles données collectées ouvertement. Ils doivent « blanchir » les données. Ce qu’ils font au travers de traités comme FATCA.
- Que les États-Unis sont particulièrement virulents contre les banques Suisses, comme s’ils avaient des informations évaluant les "dommages".

En résumé pas de preuves directes... mais des éléments qui concordent.

Pourquoi cela nous touche aussi?
- Car on risque de devoir passer à la caisse au travers de l'État... pour renflouer des banques.
- Car on risque de devoir passer à la caisse directement au travers de nos comptes bancaires, de taux d'intérêts moins attractifs.
- Car les banques peuvent déduire les amendes de leurs impôts – donc c'est des centaines de millions qu'il faudra financer autrement.
- Les USA attaquent aussi les banques cantonales, donc l’actionnaire principal est les cantons. Qui dit pertes dans les banques cantonales dit potentiellement augmentation des impôts cantonaux.
- Car certains fonds de pensions Suisse vont devoir payer des amendes, donc être renfloués ou payer moins d'argent à des individus en Suisse.
- Car il y a nombre de Suisses qui ont aussi la nationalité américaine et qui ne peuvent plus ouvrir de comptes dans leur propre pays!


Note

Merci aux quelques personnes qui m’ont donné un retour sur le texte!

More »»

Prenez mon service super-sécurisé©, c'est pas cher ! Et hébergé en Suisse© !

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-28T08:55:18
ProtonMail. Lavaboom. Email made in Germany. Hébergé en Suisse. Unbreakable by the NSA. Messages éphémères. Paiement de notre service en Bitcoin.

Vous avez déjà vu passer l'une ou l'autre de ces choses. Mais qu'est-ce que ça vaut ? Qu'est-ce que ça signifie, réellement ? Après tout, les "affiches" sont jolies, on nous annonce plein de choses, les sites sont propres et font pro. Pourquoi ne pas directement souscrire, et ainsi se protéger contre les Grandes Oreilles ?

La réponse tient avec un mot : confiance. Ces services reposent sur le fait que vous allez faire confiance à un tiers "qui présente bien".

On va faire une revue des différents arguments mis en avant par ces nouveaux services, et voir ce qui est plausible, ce qui est risible, impossible, etc.
Désolé pour les titres en anglais — la plupart des services sont principalement dans cette langue. Notez aussi que la liste ci-après ne sera pas exhaustive — on peut compter sur les commerciaux pour trouver de nouvelles tournures pour dire exactement la même chose qu'avant, mais avec plus de buzz-words.

Zero-knowledge (aka Fully Anonymous)
"On ne sait rien de vous". En gros, vous vous inscrivez sur le service en donnant le minimum d'informations. Enfin, d'autres disent que c'est juste le fait qu'aucun contenu non-chiffré n'atterri sur leurs serveurs.
La seconde explication sera traitée dans la suite de ce billet.

La première, par contre, est assez intéressante : dans ces services, vous devez fournir un pseudo (voire nom et prénom) pour créer un compte. Oh et, ils ont votre adresse IP (ou celle de votre proxy, ok). Oh et, aussi, ils auront, bien entendu, les fameuses "méta-données" dont la NSA et autres services sont si friands : destinataires, titres, si ça contient des pièces jointes… Déjà bien assez d'information permettant de vous placer dans un réseau.

Zero Access to User Data
"Promis, on n'a aucun accès à vos données". Hm, comme dit précédemment, les méta-données sont toujours présentes. Un mail est assez catastrophique à sécuriser : la plupart des en-têtes restent en clair, même si vous chiffrez le contenu.
Un exemple très simple :
Return-Path:
Delivered-To: TO@bar.tld
Received: by smtp.bar.tld Postfix, from userid 103)
        id 5D6721005DD; Fri, 23 May 2014 15:50:02 +0200 (CEST)
Received: from mail-ee0-f50.google.com (mail-ee0-f50.google.com [74.125.83.50])
        (using TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits))
        (No client certificate requested)
        by smtp.bar.tld (Postfix) with ESMTPS id 37E5C100075
        for ; Fri, 23 May 2014 15:50:01 +0200 (CEST)
Received: by mail-ee0-f50.google.com with SMTP id e51so3775736eek.9
        for ; Fri, 23 May 2014 06:49:54 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20120113;
        h=message-id:date:from:user-agent:mime-version:to:subject
         :content-type:content-transfer-encoding;
        bh=tHrFvH6uyBo4RTYnTcsooefPF/gtLdXRFa54ZZiyQX4=;
        b=jmbW/YbuKKmUExx6nR+ewgE8MxDK6+69cd5tn+Ee1l3CWsbYwsEXljbLNuhONfSSFG
         y9AO9rXxidL9yYNkMdeWcjerXXfIXAhzBRheoF4dalQDbX1w/L7jus9DHHFZYymU/M10
         pBdBMmE2xqVf3HBiReQ88jmcK3djOK3eRhKiU88wVHWoja7hMiq4rNmSVcl+HfGrYVTa
         X2TcnFOwP0VRafbNKxB8trOBKcqpEiTyUH+U//lqdCMhnsGHEmDVDhEDB/4os4iui6AV
         nMbg6mwY5lAYkiSUUb/I0Tk+9WyuKLo1/ML2D3Mt7Mj7sokCFRrMRv49jjICMwrTeGth
         Xd5A==
X-Received: by xx.yy.zz.aa with SMTP id v42mr3971464eel.84.1400852994494;
        Fri, 23 May 2014 06:49:54 -0700 (PDT)
Received: from ?IPv6:::1? ([::f009])
        by mx.google.com with ESMTPSA id n1sm8527925eey.12.2014.05.23.06.49.53
        for
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Fri, 23 May 2014 06:49:53 -0700 (PDT)
Message-ID: <537F5202.3020308@gmail.com>
Date: Fri, 23 May 2014 15:49:54 +0200
From: FROM
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0
MIME-Version: 1.0
To: TO
Subject: foo bar blah
X-Enigmail-Version: 1.6
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Antivirus: avast! (VPS 140522-0, 22.05.2014), Outbound message
X-Antivirus-Status: Clean

Miam-miam toutes les informations :). Ce d'autant qu'on peut, avec le contenu, savoir d'autres informations via la clef de chiffrement…

Aucun accès aux données ? Non. C'est faux, et même un mensonge…

Self Destructing Messages
Sans doute mon préféré :). Imaginez : vous envoyez un message, votre correspondant le lit et pafff, il disparaît. De quoi se la jouer Jim Phelps1 non ?
Sauf qu'en fait… comment dire… Nan, ça marche pas comme ça :
votre message est passé par quelques machines, il se trouve en cache sur différents serveurs, dans le cache du navigateur de votre correspondant, sans doute dans le cache d'un ou deux proxys… Bref, dire qu'il sera détruit de manière définitive est une jolie histoire pour Bisounours.

End-to-End Encryption
Mon second préféré. Surtout quand les clefs servant à déchiffrer les contenus se trouvent sur des serveurs2.…
Le problème : ces services de mail passent, "pour offrir le plus de simplicité", par une interface web uniquement. Interface chargeant du javascript servant, entre autres, à gérer la partie cryptographie (et UI, etc).
Le problème du Javascript, enfin LES problèmes, sont divers et variés :
  • La transmission des scripts est un problème de sécurité en soi — rien ne peut empêcher une injection de contenu…
  • Avoir confiance dans les interpréteurs JS des navigateurs est une erreur (souvenez-vous de Firefox et TOR)3
d'autres sites en parlent4 mieux que moi — je ne vais pas m'étendre plus dessus.
On ne va pas non plus parler de toutes les possibilités offertes par le simple fait d'empiler 42 couches d'abstractions pour détourner, casser, ou contourner la cryptographie5

Quelle alternative?
Toute  technologie liée à la sécurité dont l'efficacité n'a pas été démontrée  de manière empirique n'est pas différente d'une confiance aveugle.
  (traduction libre d'une citation de Dan Geer, page 28 du document PDF  en lien ci-dessus)

Méfiez-vous  des buzz-words et des solutions qui ont l'air trop belles pour être  vrai. Tournez-vous plutôt vers ce qui a fait ses preuves et est toujours  valable (quoique sans budget marketing).
Par  exemple: une implémentation correcte d'OpenPGP fonctionne avec votre  adresse e-mail actuelle (pas besoin d'en créer de nouvelle), vous en  avez la maîtrise complète et, en plus, c'est gratuit.
Certes, vous devrez l'utiliser dans un client mail comme Thunderbird - cela ne fonctionnera pas en webmail.
Certes,  vous allez devoir passer un peu de temps pour comprendre les rouages et  configurer correctement. Cela impliquera demander de l'aide et  peut-être visiter des CryptoParties6. Ce n'est pas offert sur un plateau.
Certes, une fois que vous serez acquis à la chose, il va falloir convaincre le monde autour de vous d'y passer.
Mais  c'est le prix à payer pour un niveau de sécurité qui va au-delà de  simples promesses (pour ne pas dire mensonges) et dont vous avez le  contrôle.

La naissance de tous ces services n'est pas innocente. Les révélations de Snowden, les divers articles dans les médias et autres poussent les gens conscients de la valeur de leurs données, ou simplement ne voulant pas être sous surveillance constante, à se précipiter vers des services disant fournir un minimum de protection..

Le problème que cela pose : tout et n'importe qui peut prétendre fournir un tel service. Sans compter le fait qu'on ne peut décemment pas ne pas voir des pots de miel7… Mais voir le mal partout n'est pas non plus la solution (encore que…).
Je ne dis pas qu'aucun de ces services n'est valable (… comment ça, "pas crédible" ?) mais il faut avouer qu'il convient de se poser quelques questions devant la pléthore de services.
Surtout les gratuits, d'ailleurs — bien que le fait qu'un service soit payant ne le blanchisse pas non plus.

Protéger sa vie privée et ses communications, OUI. Mais pas n'importe comment, pas via n'importe quel service. L'esprit critique doit prévaloir sur le côté "cool" et "bonne présentation" des solutions proposées.

T.

Note: merci aux relecteurs :)

More »»

OnionShare — la fausse bonne idée

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-04T08:22:21
On en parle dans certains milieux, comme "la" solution pour transmettre des documents confidentiels pouvant servir de base pour des leaks.

Mais une série de questions se posent :
  • Est-ce que cette solution est réellement bonne ?
  • Est-ce qu'elle répond réellement à un besoin ?
  • Est-ce qu'elle ne crée pas plus de problèmes qu'elle n'en règle ?
  • Quand, comment et dans quelles conditions employer cela ?
  • J'ai mon .onion, j'en fais quoi maintenant ?

Il y en a tout un tas d'autres, mais celles-ci sont sans doute les plus importantes, car elles souvlèvent 2-3 problèmes au niveau de la communication sur OnionShare1.

OnionShare, la bonne solution?
Oui et non : ça permet de simplifier la mise en place d'un service caché2 sur le réseau TOR, mais ne règle en tous cas pas l'extraction des données. Imaginez un Snowden en train de faire tourner TOR sur son ordinateur au boulot… Ou sur le laptop d'entreprise qu'on lui a fourni… Les réseaux contenant des données sensibles sont (normalement) surveillés de près, pour éviter des intrusions3 ou, justement, des fuites. Le cloisonnement des accès réseau est aussi de mise en général, tout cela mis bout à bout rend l'utilisation de TOR (ou tout autre service "bizarre") suspect aux yeux des administrateurs réseau, qui n'hésiteront pas à sonner la charge en cas de doute.

Employer TOR sur le réseau de son entreprise4, c'est le meilleur moyen de se faire déboulonner dans les 30 secondes qui suivent le lancement du service.Il convient donc de définir clairement le périmètre d'utilisation de cet outil.

Le besoin
Le besoin auquel est censé répondre OnionShare n'est pas clairement défini : "partagez des fichiers de manière sécurisée"… Cool. Mais dans quel contexte ? Comme expliqué plus haut, cette solution ne peut pas répondre au besoin d'extraire les documents. Elle ne peut répondre qu'à "envoyer les documents à des tiers", et ce uniquement une fois qu'on les a sorti de là où ils étaient avant.

À ce niveau, ne pas délimiter le besoin en présentant l'application peut avoir de graves conséquences pour l'utilisateur : s'il se dit juste "ah cool je serai anonyme via ça pour sortir des secrets de mon lieu de travail", il se foure le doigt dans l'œil. Le manque d'information concernant les risques pose un réel problème — problème qu'on retrouve dans la grande majorité des services et solutions techniques proposées ces derniers temps : quel besoin couvrent-elles réellement, et est-ce que ce besoin correspond bien au mien, dans quel contexte son utilisation ne m'expose pas plus que sans passer par elle… etc.

Les problèmes que cette solution pose
Comme précédemment dit, cette solution technique pose pas mal de problèmes : le contexte d'utilisation, le fait qu'on passe par de multiples couches logicielles qu'on ne comprend pas forcément, l'absence de guide et d'explications concrètes font qu'il serait mieux, à mon sens, de décourager l'utilsation d'OnionShare pour les néophytes. Le problème étant que, justement, OnionShare s'adresse aux néophytes…
Il est fort dommage de ne pas disposer d'une meilleure documentation de la part de l'auteur de ce script, qui se contente de balancer son projet sans aucun support réel.
C'est même criminel, en fait…

Contextes d'utilisation
Comme annoncé, cette solution ne s'utilise pas n'importe comment : de manière à éviter de se faire repérer, il conviendra de ne pas l'utiliser depuis son lieu de travail; à la rigueur depuis la maison, et encore. Aussi, on évitera de l'utiliser dans l'état sur une machine appartenant à son employeur… À moins de passer par Tails5, qui permet de s'isoler du système installé et de ne pas laisser de trace (du moins rien de flagrant).
Comme il s'agit tout de même de lancer un serveur web et de monter un nœud TOR, il faut faire les choses proprement : tenir compte des avertissements quant à l'utilisation de TOR (présents sur le site de TOR6) et de rester prudent.

Il faut garder en tête qu'OnionShare n'est pas un moyen de sortir les données. Vraiment. Sinon, on court droit à la catastrophe, avec en prime une décrédibilisation complète de TOR et des services associés… Certains diraient que c'est le but recherché, pour ma part je n'irai pas jusque là ;).

Bon, ok, j'ai pigé, j'ai un .onion sur un laptop chez un pote… et après ?
Après, il faut transmettre le lien. Pour ça, le mail est en général la manière la plus simple… Mais encore faut-il le faire correctement. Le README mentionne "Jabber7 et OTR8" — c'est une autre manière, permettant en outre de ne pas laisser de preuve flagrante.
Dans tous les cas, il faut chiffrer l'information avant de l'envoyer : que ce soit via GPG, S/MIME, OTR ou autres, balancer le lien de l'onion à travers le réseau sans capote, c'est tout aussi suicidaire que lancer OnionShare sur le réseau de l'employeur… Il vous faudra donc faire le nécessaire avant pour assurer la transmission de l'information. Et faire preuve de prudence…
Mais là encore, aucune information, pas le moindre indice quant aux possibilités, pas de lien vers des solutions logicielles permetant de se protéger la moindre.

En résumé
OnionShare est un outil. Comme tous les outils, il doit s'apprivoiser, se comprendre. En général, on lit le manuel d'utilisation, sauf qu'il n'y en a pas… Aussi, c'est un outil servant à se rendre plus discret sur la toile, son but premier étant de pouvoir mettre à disposition des fichiers de manière anonyme et sécurisée. Pas un simple presse-agrumes électrique. De cet outil peut dépendre la liberté si ce n'est la vie de personnes soucieuses de rétablir un peu de morale et d'éthique dans ce monde vérolé.
À ce niveau, OnionShare ne fournit PAS les garanties nécessaires, et ce pour plusieurs raisons :
  • il suffit d'aller voir les issues ouvertes9 pour se rendre compte qu'il n'est pas utilisable à l'heure actuelle
  • certaines issues sont critiques10, OnionShare partant du principe que TOR est ouvert à tous les vents
  • la documentation en rapport à l'installation de TOR est foireuse, torproject insistant lourdement sur le fait que les packages ubuntu/debian ne sont PAS à jour, et à éviter à tous prix
  • le fait de mentionner le simple fait d'installer TOR au lieu d'insister sur l'utilisation du Tor Browser Budle est un signe qui ne trompe pas : le public-cible n'est PAS les journalistes ou autres hacktivists débutants.

Le Tor Browser Bundle11 intègre tout, que ce soit un navigateur (Firefox), TOR et des configurations du tout pour assurer un minimum de sécurité. OnionShare aurait dû se mettre par-dessus ça. Et ne se baser que sur ça, en premier lieu. Et ne pas mentionner d'installer TOR sur le système. Et mettre les liens qui vont bien pour télécharger TBB, les liens vers la doc d'utilisation etc.

Même si OnionShare part d'une bonne idée et de bons sentiments, il ne faut surtout pas perdre de vue qu'actuellement, on ne peut pas se permettre de jouer les apprentis-sorciers. La surveillance généralisée est en place, et si on a des choses à sortir de quelque part, il faut s'attendre à ce que les issues soient sous surveillance, que ce soit au niveau du réseau ou les accès physiques.

Oh, et, en passant,  l'interface de gestion pour TOR Vidalia12) permet de créer des services cachés… OnionShare perd tout intérêt, à part pour la jolie page web qu'il crée (bon, et le proxy HTTP13 vers le service caché, ok).

Aussi, il vous faut garder ceci en tête : ce n'est pas parce que vous avez un joli marteau que vous saurez planter les clous droits. L'outil ne fait pas le boulot, il faut savoir l'utiliser. Les outils de cryptographie, d'anonimisation et assimilés sont exactement pareils.

Prêt à venir aux prochaines cryptoparties14 ? ;)

More »»

Catégories en relation

End-To-End : le pour, le contre et le truandage

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-10T06:38:36
/static/images/EndToEnd-Icon.png
Google a créé le buzz ces derniers temps avec son plugin Chrome End-To-End1, permettant de chiffrer les mails dans leur interface webmail, en implémentant OpenPGP2 en javascript.
Rien que ça. Idée intéressante, "trendy" vu les révélations de Snowden et la poursuite de la collecte des données personnelles sous toutes ses formes.

Seulement, il convient de se poser quelques questions :
  • Quand on sait que la crypto dans javascript est pourrie, que penser de cette annonce ?
  • Quand on sait que la génération de nombres aléatoires en javascript est une plaie, que penser des clefs générées par ce biais ?
  • Quelle confiance peut-on avoir dans le navigateur conservant les clefs privées ?
  • Quand on sait que Google compte sur le contenu de vos emails pour « mieux vous connaître », « vous proposer les bonnes publicités », « améliorer votre expérience », que pouvons-nous penser de cette extension ?
  • Comment gérer l'utilisation de plusieurs appareils ? Après tout, la clef privée est dans votre instance Chrome sur votre laptop, comment faire pour employer ça sur votre desktop ?

On va tâcher de répondre à ces questions de manière précise. Ça risque de partir dans la technique, mais on va faire en sorte de rendre ces parties facultatives :).

/static/images/js-crypto.jpg
Javascript et la cryptographie : amour impossible ?
Le problème principal est le passif de Javascript : pas mal de personnes se sont cassées les dents en tentant de reproduire des algorithmes de chiffrement, qui se sont révélés vulnérables à différentes attaques3.

Aussi, il y a le problème de la transmission du code au navigateur, la connexion au serveur pouvant être compromise de multiples manières. À priori, ce problème précis n'existe pas avec l'extension End-To-End, puisque tout est embarqué dans le navigateur (si tant est que le téléchargement et l'installation de l'extension ne sont pas compromis ;) ).

Le principal problème avec End-To-End est le fait que les développeurs semblent avoir créé une nouvelle implémentation — il ne semblait pas exister de librairies répondant à leurs besoins au moment où ils ont démarré le projet.
Il faudra donc attendre un certain temps avant de pouvoir faire confiance dans cette nouvelle librairie (et je ne parle que de la librairie, pas de son utilisation), de manière à laisser le temps aux différentes communautés pour valider les implémentations, auditer le code correctement, etc.

À ce niveau, on peut saluer la transparence des développeurs qui mentionnent clairement, dès le départ, que ce projet est en version « alpha » et n'est pas encore utilisable dans l'état.
Donner plus de précisions quant aux raisons aurait été sympa, mais je pinaille un peu sur ce point.

Après, on peut aussi se pencher sur les problèmes de V8, le moteur javascript de Chrome : https://code.google.com/p/v8/issues/list — je vous laisse apprécier les quelques perles qui s'y trouvent.

/static/images/random4.jpg
Javascript, l'aléatoire made-in Debian
Le fameux Math.random()4 retourne une valeur comprise entre [0, 1) (0 inclus, 1 exclu). Le problème principal est que la valeur retournée est basée sur le temps, et peut donc être retrouvée de manière assez simple.
Il ne s'agit donc pas d'un « vrai » nombre aléatoire, tout au plus d'une dérivation et de quelques manipulations5.
Et voir que la librairie en question fait appel à ça me semble un peu… vaseux. On peut donc se poser quelques questions quant à la solidité des clefs générées, le générateur aléatoire étant une des causes principales de faiblesse…

Après, Google semble avoir créé un « truc » qui génère des nombres aléatoires, mais j'avoue que mes compétences pour valider leur procédé sont très limitées (voire absentes)…
Mais employer sha1 est une mauvaise idée6.
Sans parler du fait que SHA1 a été démontré comme « peu sûr », des attaques (théoriques) ayant été démontrées7.

L'extension tente en premier d'employer le générateur natif, mais là encore, il est possible que ce ne soit pas gagné8

On peut donc raisonnablement douter de la solidité et de l'unicité des clefs produites — de là, il est tout autant raisonnable de douter de la sécurité offerte par cette extension.

Le navigateur, coffre-fort des clefs privées ?
C'est l'une des deux choses qui me dérangent le plus : le fait que les clefs privées soient conservées dans le navigateur.
Quelle confiance peut-on avoir, réellement, dans cette application exécutant une multitude de codes divers et (a)variés, dont vous ne maîtrisez même pas la source ?
À ce niveau, les dévs font preuve de transparence et annoncent la couleur : les clefs se trouvant dans le LocalStorage9 ne sont pas protégés contre les accès — leur seule protection est le fait qu'elles soient chiffrées, donc « protégées par un mot de passe »…
Les clefs « en cours d'utilisation », donc déchiffrées et chargées en mémoire, sont protégées par le sandboxing (cloisonnement) des processus au sein de Chrome — là encore, rien n'assure à 100 % que rien ni personne n'arrivera à exploiter une faille quelconque.
Même que c'est précisé : si on active l'envoi automatique des rapports de bugs, il est possible que des bouts de mémoire contenant des éléments de la clef privée soient envoyés lors d'un crash…

On ne peut que se baser sur la confiance qu'on a pour ces développeurs et Google en général. 0, pour moi.

Et le business-model de Google, dans tout ça ?
Bah oui, n'oublions pas comment Google finance le fait de vous fournir un webmail avec 10'000 fonctionnalités, un antispam de qualité, etc : les publicités contextuelles10 !
/static/images/gmail-ads.jpg

Comment comptent-ils faire si tout le monde chiffre ses mails ? Ils ne peuvent, selon leurs propres dires, pas accéder à votre clef privée et donc, logiquement, il leur est impossible de déchiffrer vos correspondances de manière à vous envoyer des publicités ciblées !

De là, plusieurs possibilités :
  • Google se tire une balle dans le pieds (on y croit)
  • Google a laissé une porte ouverte dans son extension pour accéder aux contenus (pratique pour la NSA)
  • Google compte sur le fait que peu de monde utilisera son extension, tout en se rachetant une image un peu moins « evil »

Pour ma part, j'hésite entre la seconde et la troisième, avec un penchant pour cette dernière — la seconde serait possible si et seulement si le code n'était pas ouvert. On peut compter sur les communautés pour se poser les mêmes questions et auditer de manière stricte cette extension.

Bon, j'ai craqué, je l'utilise. Mais j'ai deux ordis…
Pas de miracle, il vous faudra exporter d'un côté, importer de l'autre. Et, évidemment, il sera fortement déconseillé de s'envoyer son keyring par mail.
Clef USB (voire disquettes selon qui vous conseille), volumes chiffrés, etc seront de mise pour un transfert en toute sécurité.
Pas grand chose d'autre à dire sur ce sujet, au final.

Autres considérations
Vouloir pousser les gens à employer des outils cryptographiques est bien. Vouloir simplifier l'utilisation de ces outils est encore mieux. Mais fournir un bout de code douteux, même avec des avertissements, n'est pas une bonne chose :

Il convient de ne pas se précipiter sur cet outil. Pour les multiples raisons invoquées précédemment. Pour d'autres raisons, aussi : après tout, on parle de Google. Google, l'entité qui vous traque où que vous alliez, quelque soit votre appareil, quelque soient vos intentions.
Leurs innovations sont certes intéressantes, mais il s'agit avant tout d'une société privée, ayant des budgets à tenir, des actionnaires à contenter, des retours sur investissements à générer.

Il faudra surtout attendre que des personnes externes à Google se penchent sur le code, sur les implémentations des concepts cryptographiques, etc. Ce n'est pas simple. Cela demande de solides connaissances en mathématiques et en programmation — le fait que ce soit en Javascript ne va pas non plus aider, à mon avis.

Il faut aussi garder en tête que l'extension, dans son état actuel, ne chiffre pas les pièces jointes. Il vous faudra donc les chiffrer à part. Seul le contenu du mail sera chiffré — les données annexes telles que le sujet, les destinataires seront en clair.

Et, à priori, End-to-End ne semble pas prévu pour un autre webmail que celui de Google, ce qui pose 2-3 problèmes annexes ;).

Pourquoi truandage ?
Le mot est peut-être un peu fort. Mais considérons les points suivants tels qu'abordés dans ce billet :
  • Google a besoin de vos contenus pour augmenter les chances que vous cliquiez sur une publicité
  • Google est soumis au Patriot Act, loi le forçant à s'assurer que les autorités US ont accès à vos informations et correspondances
  • Les dirigeants de Google ne sont pas réputés pour valoriser la protection des données personnelles11

Bref. Tout cela me fait penser à une jolie arnaque dont les utilisateurs finaux feront, une fois de plus, les frais.

Pour ma part, je reste avec mon Icedove et Enigmail…

More »»

Catégories en relation

Ce qu'il faut retenir de l'arrestation de Dominique Giroud

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-12T13:19:21
La récente arrestation de Dominique Giroud pour faits de piratages informatiques1 rappelle que les journalistes sont des proies de choix pour les hackers peu scrupuleux :
  • ils ont des informations, souvent inédites
  • ils ont des informateurs, qu'ils se doivent de protéger
  • ils ont du matériel informatique qu'ils ne maîtrisent pas forcément
  • ils n'ont que peu, voire aucune connaissance des outils cryptographiques qui leur permettraient de se protéger

Elle rappelle aussi que la Suisse possède un service de renseignements. Et qu'à voir, ses membres ne sont pas au-dessus de tout soupçon, vu que l'un d'entre eux aurait accepté de renseigner Dominique Giroud.

Quels sont les problèmes, au fond :
  • nos journalistes ne sont pas assez protégés et, pire, ne savent manifestement pas se protéger (on n'a pas le détail quant à la manière dont le hacking aurait eu lieu).
  • on peut y voir un certain manque de contrôle de la part du SRC sur son personnel. Ce n'est, en outre, pas la première fois.
  • de là, la population suisse n'est pas non plus en sécurité.

Plutôt inquiétant non ?

Heureusement, il y a des solutions. Et qui sont relativement simples :
les médias devraient pousser les journalistes à se former aux 2-3 concepts de base de la sécurité autour de leur matériel. Pour cela, se tenir au courant des cryptoparties, approcher les hackers et les hackerspaces semble une bonne idée. Faire en sorte que les journalistes, principalement ceux dits "d'investigation"  suivent une formation leur permettant d'être à l'aise avec des outils cryptographiques de base, pour permettre une communication sécurisée tant pour les informateurs que les journalistes, ainsi qu'une conservation des éléments journalistiques sûre.

Un renforcement des procédures de contrôle au niveau du SRC semble aussi nécessaire. Entre les vols2, des données stockées illégalement3 et, de manière générale, un certain laxisme, ce n'est pas vraiment rassurant.
Ce service a accès à nos informations, accès à des technologies leur permettant de s'introduire dans des systèmes. Qui nous dit qu'aucun d'entre eux ne le fait pour son profit personnel, ou celui d'un proche ou d'une connaissance ? Rien, absolument rien.

Cela ne concerne pas que les journalistes, mais bien tous les citoyens. Ces derniers doivent, eux aussi, apprendre à se protéger contre les oreilles indiscrètes. Même (voire surtout) si on pense ne rien avoir à cacher. Cette excuse pour ne rien faire est fausse, archi-fausse : ce n'est pas NOUS qui décidons de ce qui est réellement important pour les services de renseignements. Mais eux. Le fait que vous parliez à Rachid, originaire de Libye, peut vous sembler anodin. Il n'en n'est rien pour les renseignements.

Ne perdons pas de vue non plus que le Département fédéral de justice et police, plus précisément la police fédérale (fedpol) est en train de se doter des outils nécessaires (et suffisants) pour une écoute massive sur les réseaux : des produits Verint, un budget de plusieurs millions de francs annuels4 et, dans la foulée, un centre de données.

De bien jolies choses en vue.

More »»

Pensées dystopiques d'un sysadmin

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-20T07:53:03
Dystopie : Également appelée contre-utopie, il s'agit d'un récit de fiction dépeignant une société imaginaire organisée de telle façon qu'elle empêche ses membres d'atteindre le bonheur. Une dystopie peut également être considérée comme une utopie qui vire au cauchemar et conduit donc à une contre-utopie. L'auteur entend ainsi mettre en garde le lecteur en montrant les conséquences néfastes d’une idéologie (ou d’une pratique) présente à notre époque. (Wikipedia1)

Ce récit se veut volontairement alarmiste et dénué du moindre espoir. Le but est de montrer jusqu'où peuvent aller des petites réformes sans importance, ou des achats de notre gouvernement. Les bases sont réelles, et le récit s'appuie dessus.
Je vous laisse le soin de trouver ce qui relève de l'imagination.

Le temps d'avant

Tout commença par la volonté de notre gouvernement de revisiter le droit d'auteur. Une envie poussée par les lobbies des ayant-droits bénéficiants des droits voisins, ainsi que par une Conseillère fédérale, elle-même musicienne, donc proche du "milieu".
Le but était simple : pousser les utilisateurs à acheter plutôt qu'à pirater. But louable, au final, puisqu'il aurait ainsi permis aux artistes de vivre et de produire plus de contenus, donc enrichir le catalogue accessible par les consommateurs, etc, etc.
Pour cela, le gouvernement proposa, entre autres, de ne pas punir les personnes qui téléchargeaient, mais de ne s'intéresser qu'à celles qui partagaient des œuvres soumises au droit d'auteur. Pour être plus précis, le gouvernement allait créer divers degrés pour définir les infractions, et s'intéresser principalement aux "infractions graves"… Jusque là, rien de réellement anormal : tout travail mérite salaire, n'est-ce pas ?

Chose intéressante, dont personne ne se formalisa, le même Département chargé d'effectuer la révision du droit d'auteur était aussi responsable des interceptions légales, à travers la police fédérale. Avec les technologies de communication qui évoluaient, il était obligé de mettre son matériel et ses infrastructures à jour, de manière à répondre à sa mission : permettre aux différents corps de police d'obtenir des preuves numériques contre les hackers en tous genres.
Rien de plus normal donc, la lutte contre le crime sur le Net était aussi importante que la lutte contre le crime "dans la vraie vie", n'est-ce pas ?

Au niveau du droit d'auteur, le gouvernement s'arrangea pour obtenir des statistiques nationales d'utilisation de la bande passante. Des données "anonymisées", à savoir qu'il ne recevait que des numéros d'identification de client associés à leur consommation tant en téléchargement qu'en partage. Il était notoirement connu qu'une personne qui téléchargeait beaucoup avait tendance à partager tout autant — les pirates étaient friands de logiciels pair-à-pair, après tout.
En se basant sur les données de quelques mois, le gouvernement fut en mesure de créer des moyennes lui permettant de filtrer pour trouver les gros consommateurs de bande passante. Ces moyennes étaient évolutives en fonction de l'utilisation réelle des clients des fournisseurs d'accès. Les pirates étaient malins, ils réduisaient leur consommation, passaient par différentes connexions etc. Il ne fallait pas les laisser passer.

Côté interception légale, le département acheta  différents produits étrangers : la Suisse ne possédait, selon nos dirigeants, aucune entreprise pouvant fournir les services et capacités demandés. Le produit choisi était israélo-américain, ces derniers avaient alors l'habitude des écoutes. Le produit était réputé pour son efficacité, la Suisse avait déjà travaillé avec ce fournisseur par le passé, ce dernier connaissait donc les besoins.
Le fait que cette société fut impliquée dans un scandale d'écoute massive au niveau mondial ne refroidit pas notre gouvernement, de même que les soupçons quant à l'implication de services secrets de nations étrangères dans cette entreprise.
Après tout, cette dernière fournissait toutes les garanties concernant la confidentialité et la sécurité des produits. On pouvait leur faire confiance.
Les produits allaient permettre de suivre à la trace les communications des suspects, à leur insu; ils allaient permettre de décoder, à la volée, certains contenus, même s'ils étaient servis par SSL, puisqu'il permettait de faire un "man-in-the-middle2" SSL.

Coïncidence intéressante, tant la réforme du droit d'auteur que la mise en action des produits de surveillance étaient prévues pour fin 20XX… Comme le calendrier était bien fait, le Département pu ainsi mettre à contribution ses nouveaux jouets fraîchement installés : le moindre client dont la connexion montrait un volume décrété comme "anormal" se vit mis sous surveillance.
Et ce, qu'il fasse du partage ou non — si ça se trouvait, c'était peut-être un terroriste en puissance. Ne disait-on pas "qui vole un œuf vole un bœuf" ? Si on pouvait assurer la sécurité de la Nation, après tout, pourquoi s'en priver ? Le peuple comprenait, n'est-ce pas ? C'était pour sa sécurité, le bien collectif.

De manière à pouvoir obtenir les preuves suffisantes pour envoyer un message d'avertissement puis, en cas de récidive, dénoncer le contrevenant, le gouvernement sélectionnait les connexions suspectes, et contactait le fournisseur d'accès pour que ce dernier mette en place les 2-3 choses nécessaires pour que les enquêteurs puissent  récolter les informations voulues. Et ce, bien entendu, totalement à  l'insu de l'utilisateur, après tout c'était un suspect, il convenait  donc de le prendre la main dans le sac.

De fil en aiguille, une majorité de personnes fut mise sur écoute. Les motifs, divers et variés, allait de la suspicion de partage d'œuvres soumises au droit d'auteur à la pédo-pornographie, en passant par une suspicion de terrorisme saupoudrée d'un zeste de zoophilie et d'une pincée d'extrémisme radical.
  • Vous aviez décidé de profiter de votre bande passante pour héberger une série de torrents distribuant des logiciels opensources3 ? Hop, sous surveillance. Vilain pirate !
  • Vous faisiez tourner une application d'audit de sécurité pour contrôler vos serveurs depuis chez vous ? Hop, sous surveillance. Vilain hacker !
  • Vous aviez décidé de faire profiter de votre bande passante aux utilisateurs de Tor4 ? Hop, sous surveillance. Vilain pédophile !
  • Vous aviez choisi un sujet sur l'islamisme radical comme travail de maturité et deviez donc visiter des sites mis sur liste noire ? Hop, sous surveillance. Vilain terroriste !

Mais bon, comme on était des bons petits Suisses dociles, nous ne faisions rien pour empêcher cela. La modification de la loi sur la surveillance, pourtant décriée par pas mal de personnes, passa comme une lettre à la poste. Elle permit d'employer des logiciels de type chevaux de Troy et autres joyeusetés dignes de la mafia.
Sauf que c'était pour notre bien, pour nous protéger, alors nous avons accepté.

Les ayant-droits ont eu, finalement, un accès direct aux données récoltées et aux infrastructures de collecte — il s'agissait aussi de faire des économies. Ouvrir une enquête pour chaque connexion était cher, sans parler de toute la paperasse à faire pour transmettre les informations des contrevenants. C'était plus simple si les ayant-droits pouvaient se mettre directement en contact avec les fournisseurs d'accès, et pouvaient diriger les sondes où bon leur semblait.

On mit aussi en place des caméras un peu partout, d'abord dans les centres urbains, les lieux de passage, les garages souterrains. Puis sur des routes moins fréquentées (il fallait s'assurer qu'aucun délit ne soit commis). Les frontières n'y coupèrent pas : il fallait bien empêcher tous ces clandestins, créateurs de troubles, voleurs d'emploi et responsables de tant de maux.
La Suisse prit part aux différentes actions communes de l'Europe pour assurer la sécurité sur le plan continental. Les données étaient partagées, la Suisse envoyant les données de ses citoyens, et recevant celles des pays voisins. Chaque état savait donc, en temps réel, où se trouvaient ses citoyens. Cela offrait beaucoup d'avantages, entre autres la possibilité d'assurer des missions de sauvetage, ou de retrouver des personnes disparues, etc.

Au cours des ans, le système s'améliora, se perfectionna. Les 10 millions de Suisses et Suissesses furent tous mis sur écoute, 24 heures sur 24, sept jours sur sept. Plus ou moins à leur insu, les journalistes n'en parlaient pas trop, eux-même sous étroite surveillance pour éviter que le peuple ne panique, ou ne décide soudain de se soulever contre cette surveillance inutile autant qu'intrusive.
Les gouvernements se succédèrent et se ressemblèrent, chacun ajoutant sa pierre à l'outil de surveillance globale :
  • ici un centre de données,
  • là un contrat pour une nouvelle technologie capable de casser le chiffrement PGP5 et S/MIME6 à la volée,
  • là-bas encore la constitution d'une équipe de hackers payés pour cracker les ordinateurs des particuliers,
  • ou encore cette équipe d'ingénieurs pouvant installer des malwares sur n'importe quel modem (dont la vente était strictement réglementée et suivie).

Et on mit en place la nouvelle carte unique, électronique, pour les transports nationaux, de même que la vignette électronique pour l'autoroute. Ou encore les « radars tronçons », autant de technologies permettant un suivi pas à pas des citoyens. Pour notre bien, hein : il s'agissait de nous simplifier la vie, et d'assurer notre sécurité.

Puis un extrémiste se fit nommer au pouvoir. Puis un autre… Et pour finir, ils furent majoritaires : des idées arrêtées, une volonté de régner seuls, ou du moins avec des personnes de même sensibilité. Des lois furent poussées, passées de force suite à des pressions sur les récalcitrants, pressions basées sur les éléments récoltés par les grandes oreilles nationales. Les lois ? Élection du parlement par les conseillers fédéraux; élection des nouveaux conseillers fédéraux par ceux qui sont actuellement en place. Le tour était joué, de toutes façons le peuple n'allait plus voter depuis bien longtemps : l'intérêt pour la politique ayant pour ainsi dire disparu, les votations n'étaient que des alibis pour faire passer des initiatives vaseuses et donner l'impression que le peuple avait son mot à dire sur la marche du pays.

Puis l'utilisation des oreilles changea. Petit à petit. On commença à voir des opposants disparaître ou se taire. Voire se terrer. On se posa bien quelques questions, au début. Mais on était suisse : le gouvernement ne voulait que notre bien, il l'a toujours voulu. Pourquoi cela changerait ? Certes, les sept Conseillers en place étaient un peu allumés, mais bon, le parlement était là pour les tenir. Non ?

Cela continua. Jusqu'à aujourd'hui. Maintenant, le fait même de se rappeler du temps d'avant, où la surveillance généralisée n'était qu'une vague idée rangée au rayon "cauchemars de geeks", peut être puni par la loi. Le fait de penser, même seul chez soi, que la surveillance est néfaste, est puni. On nous a bardé de gadgets, des lunettes qui filment tout ce que nous voyons, des capteurs de pression sanguine, d'humidité, de température… Même nos ondes cérébrales sont analysées en temps réel !

Se rappeler du temps d'avant. Avant que nous ne laissions se mettre en place ce système, brique après brique, jour après jour. Quand nous avions, candidement, traité de fous celles et ceux qui nous disaient "ça va mal finir". Que ne donnerions-nous pas à présent pour retourner "là-bas" et les soutenir, faire en sorte que le plus de monde possible les écoute, les entende et les comprenne.

Il est trop tard maintenant. Nous sommes des petits Suisses, dans des petites boîtes, avec nos gadgets, nos cartes à puce, nos données biométriques marchandées à notre insu, pistés, tracés, étudiés sous toutes les coutures, tout le temps. Nous sommes les héritiers d'un pays alors libre, démocratique. Héritiers spoliés par des années d'entourloupes, de petits pas dans une direction bien sombre, au nez et à la barbe de la majorité du peuple.

Qu'avons-nous fait ?! Ou, plutôt, que n'avons-nous PAS fait ?!

Brave peuple suisse, si obéissant, si tranquille. Même un mouton qu'on mènerait à l’abattoir se débattrait plus…


Et si…

Et si tout cela n'était pas juste le fruit de l'imagination d'un doux dingue ? Après tout, la révision du droit d'auteur est bien sur les rails7, prévue pour fin 2015. La Conseillère fédérale du Département impliqué, Simonetta Somaruga, est bien pianiste8.

L'achat d'un système d'écoute a été ordonné9, sa mise en production est prévue pour fin 2015. Il s'agit bien du même département fédérail, à savoir le DFJP.
La société "partenaire" a bien été mouillée dans les écoutes massives de la NSA10, et il y a bien des suspicions de liens avec le Mossad et la NSA11.

En outre, le DFJP est en phase de faire accepter son budget pour financer son évolution12. On note aussi une augmentation pour 2013 des mises sur écoute13. Des accords sont en train d'être passés entre les Douanes et la Police pour une meilleure coopération au niveau des frontières, permettant ainsi un meilleur suivi14.

La Suisse a ouvert une consultation pour participer à EUROSUR15, système européen de surveillance des frontières.
Potentiellement, la loi sur la transparence de l'état pourrait être remise en cause16, rendant le fonctionnement du gouvernement à nouveau opaque pour les citoyens.

La LSCPT est en cours de révision en ce moment même17, autorisant l'utilisation de troyens et autres logiciels intrusifs.
Et quand on sait que l'OFIT possède une CA intégrée dans la plupart des systèmes18, on a de quoi se faire du souci… Un MitM sera transparent, à moins de posséder une extension dans son navigateur19.

L'abonnement général des CFF pourrait bien être remplacé par une carte à puce20, tout comme la vignette autoroutière pourrait évoluer vers une forme électronique21.

Les «radars tronçons» sont déjà présents22.
La participation aux votations n'est de loin pas une chose dont on peut s'enorgueillir23, pour dire qu'on est en démocratie…

Tout est en place. Il suffit juste d'une pichenette pour faire basculer le système dans son ensemble d'un côté ou de l'autre de la frontière entre un état démocratique ouvert et un état totalitaire. Il est plus que temps de réagir, reprendre les choses en main. Certains commencent déjà, comme par exemple Balthasar Glättli24 qui a fait passer une motion pour que la Neutralité du Net soit inscrite dans la loi suisse sur les télécommunications.
Le même parlementaire a aussi posé quelques questions qui risquent de fâcher le DFJP : http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20145063
La lutte s'organise. Mais c'est lent. Bien trop lent face à la vitesse d'évolution des technologies.

More »»

Catégories en relation

Travail en déplacement : tenir compte de l'environnement

Par SwissTengu @SwissTengu @SwissTengu — 2014-07-16T06:29:12
Ahh, les vacances… C'est cool, les vacances, l'occasion de prendre l'avion, le train, le bus. L'occasion de faire des trajets plus longs que d'habitude. L'occasion de voir des gens, enfin, de les croiser. Des inconnus, certains en déplacement pour affaires, d'autres, comme vous, en vacances.

De manière générale, avec les moyens techniques actuels, de plus en plus de personnes travaillent durant leurs temps de transport. Le temps, c'est de l'argent, n'est-ce pas ? Chaque seconde compte.

Seulement, il faut faire attention. Le train n'est pas votre bureau. L'avion non plus. Votre chambre d'hôtel pourrait s'en approcher. Mais là aussi, il y a quelques précautions à prendre.

Durant un de mes trajets, j'ai pu voir en pratique comment les gens se comportent dans les transports : on allume un laptop, on se met dans une position confortable, dossier un peu baissé. L'écran à luminosité maximale, police de caractère confortable pour un myope. Et comme on veut bien voir depuis notre position, on incline l'écran comme il faut.
Tout ceci, sans prêter la moindre attention à ce qu'il se passe derrière soi.

Vous voyez où je veux en venir ? Non ? :)

Ne pas regarder ce qu'il se passe derrière soi, commencer à travailler sur des données professionnelles et s'absorber dans sa tâche vous coupent du monde extérieur; vous êtes dans votre bulle. Confortable et en sécurité. Du coup, vous lisez vos mails, les noms des contacts apparaissent en gros dans votre client Outlook ou IBM Notes. Des noms, des informations, parfois des chiffres, des données marketing. Peut-être des données médicales, qui sait ?
Toujours sans prendre garde à ce qu'il se passe derrière vous.

Est-ce plus clair ? Non, toujours pas ? :)

Absorbé dans votre travail, vous avez besoin de passer un coup de téléphone pour une raison ou une autre. Facile, le mobile est là, à portée de main. Pas d'oreillette, de toutes façons, c'est toujours en panne, ces machins Bluetooth. Ni une ni deux, vous appelez votre secrétaire, à tous hasard. Et vous discutez boulot.
Des noms fusent, des informations. Des chiffres, encore. Pourquoi pas, à nouveau, des données médicales sur un patient. Ou, allez, soyons fou, des données judiciaires sur un client dont vous êtes l'avocat.
Là encore, vous êtes dans votre bulle. Le monde extérieur à votre boulot n'existe pas.

Et pourtant… Des gens sont là. Des particuliers, des employés, des vacanciers, des gens en déplacement d'affaire, tout comme vous.
Même des concurrents, qui sait ? Des personnes engagées pour récolter les bribes de discussions, de noms, de données diverses, tout ce que vous laisserez échapper de votre conversation téléphonique, ou défilant sur votre écran 17", dont la position permet à la personne derrière vous de tout voir, tout suivre.

De ma place, dans un transport, j'ai pu voir, sans aucun effort, quelqu'un préparer une présentation sur les chiffres, opportunités, dangers etc de son entreprise.
Manifestement, un responsable marketing d'une entreprise bossant dans le médical, sans doute proche des banques de sang, proche des maladies graves etc…
Je n'ai pas cherché à en savoir plus que ce que j'ai pu avoir. Ça suffisait largement :
  • nom de la personne
  • nom de ses plus proches collaborateurs
  • nom de l'entreprise
  • chiffres de l'année dernière
  • possibilités et planning de l'année en cours
  • projections diverses sur les ventes
  • mise en perspective des risques (telle ou telle action dans le milieu pourrait mettre en danger les revenus de la société)
  • … et encore pas mal de choses

De quoi mettre en place un peu d'ingénierie sociale1 parfaitement ciblée. Et pourquoi pas, contacter un concurrent direct qui pourrait être intéressé par certains éléments. Pensez, connaître les craintes et faiblesses de son "adversaire", il n'y a pas mieux pour lui couper l'herbe sous le pied !

Le cas que je décris n'a pas impliqué d'appel. En avion, c'est un peu délicat ;).

Qu'est-ce que la personne aurait pu faire pour éviter de dévoiler tout son univers ? Pas mal de choses, en fait, à commencer par éviter de baisser son dossier. Ou baisser celui d'à côté aussi, ce qui aurait passablement gêné ma vue (il était venu exprès devant moi parce que la rangée était libre — à voir il avait pensé au voisin et à la travée. Ou c'était juste par confort).
Ensuite, un truc tout simple : régler la luminosité de l'écran. La baisser permet d'avoir un contraste bloquant la vision lointaine. Aussi, des protections physiques d'écran permettent de réduire passablement la visibilité depuis les côtés : à moins d'être bien en face, on ne verra qu'un carré noir2.

Solutions pas chères, permettant de protéger son environnement de travail ainsi que son employeur. Et donc son job, au final.

Il va sans dire que l'appel à un collègue est à éviter dans la mesure du possible : un mail sera plus sûr. Enfin, s'il est chiffré, évidemment ;).

Concernant la chambre d'hôtel, il y a aussi pas mal à dire. Il est clair qu'il y a peu de chance qu'un voisin indélicat ne vienne lire par-dessus votre épaule. Encore que, parfois, c'est "chambre commune" ;). Ou encore, du "personnel indélicat"3… En fait, ne laissez jamais votre matériel sans surveillance, c'est plus sûr ;).
Non, le problème est plus au niveau de la connexion réseau : les hôtels offrent de plus en plus du wifi gratuit. Certains proposent un câble dans la chambre, offrant un poil plus de sécurité, mais ce n'est même pas l'idéal (on verra pourquoi plus bas).

Commençons par le wifi : vous arrivez dans un hôtel, vous voyez un ESSID genre "mon-hotel-guest", ouvert. Que faites-vous ? 99% des gens vont se connecter. Là, comme ça. Sans demander à l'hôtel s'ils ont un Wifi, son nom etc.
Vous venez de vous connecter à une borne pirate, vos communications sont enregistrées, déchiffrées (après tout, pourquoi ne pas tenter un MitM4 SSL, au bluff)…

Si, par hasard, il s'agit bien du bon réseau (ce qui est, en occident du moins, la majorité des cas), ne vous croyez pas à l'abri pour autant : sniffers, packet interception et autres ont toutes les chances de tourner sur le réseau, surtout autour des grands hôtels, réputés pour une clientèle riche ;). Rien de tel que de tomber par hasard sur des partages Windows (ou MacOS, voire Linux) sans authentification permettant d'accéder à TOUS vos documents.
Parce que vous l'aviez activé une fois, pour dépanner et que vous avez bêtement oublié de désactiver.

Le problème se pose aussi avec les câbles : bien que le risque de tomber sur un réseau pirate est moindre (mais non nul !), les sniffers et autres étant moins présents (mais pas complètement absents !) parce qu'il faut se trouver dans une chambre, votre ordinateur a toutes les chances de se retrouver à poil face aux autres.

On peut se protéger contre ces divers cas. Mais ça demande un peu d'infrastructure, principalement côté "entreprise", d'ailleurs : un VPN, par exemple, vous permettra de naviguer en eau trouble sans trop de problème. Enfin, seulement SI votre appareil est fermé au monde extérieur, en refusant par exemple toutes les connexions entrantes à l'aide d'un firewall.
De manière générale, quand vous devez aller bosser en mode "road warrior"5, il convient d'avoir un ordinateur dédié à cela. Avec le minimum d'informations dessus.
Dans l'idéal, c'est un appareil mis à disposition par votre entreprise, préparé pour votre voyage. Qui est réinitialisé à 100% lors de chaque retour. Qui n'est jamais branché sur le réseau de l'entreprise. Sauf via VPN, en vous faisant arriver dans une zone spéciale du réseau.

À ce niveau, les contraintes sont nettement plus du côté de l'entreprise que de l'employé : ce dernier devrait, au final, simplement réserver une machine, passer la prendre avant de partir, et la rendre en rentrant. Point.

Il est malheureux de constater que, trop souvent, ces élémentaires précautions sont ignorées : pas le temps, pas les moyens financiers d'avoir assez de matériel en réserve, pas le personnel pour gérer correctement cela; pas de procédure en place pour les cas de perte, vol, matériel compromis.

Il faut aussi garder en tête que ces précautions ne concernent pas que les entreprises du CAC406 : des PMEs, startups sont tout aussi susceptibles d'êtres des cibles, surtout si elles sont dans des domaines porteurs. Sans parler des journalistes, dont un vol de données peut mener à des conséquences désastreuses : sources d'informations dévoilées, articles volés, chantage, et j'en passe.

Les particuliers aussi devraient avoir une certaine hygiène numérique : éviter de se promener avec les photos de sa copine en dentelle ou de son copain en string léopard. Ou ses déclarations d'impôt au format numérique. Ou des données relatives à son train de vie, son adresse etc.
M'enfin, dans ce dernier cas, on a de toutes façons tout sur Facebook, vous me direz ;).

Pensez à regarder autour de vous quand vous utilisez du matériel connecté : ça ne coûte rien. Ça ne vous fera pas passer pour un paranoïaque, malgré ce que vous pouvez penser. Un regard circulaire, pas besoin de s'attarder sur le premier quidam passant par là. Demandez les accès Wifi à la réception de l'hôtel. Mettez-vous dans un coin pour travailler. Évitez d'être dos à une fenêtre (en plus, c'est mauvais pour la lisibilité sur l'écran, à cause des reflets).

Prenez conscience de votre environnement et, qui sait, vous ferez peut-être même des rencontres en vous intéressant à ce qui vous entoure ;).

T.

More »»

Droit à l'oubli : deux mois après, où en est-on ?

Par FCharlet @FCharlet @FCharlet — 2014-07-30T06:03:58

Le 13 mai 2014, la Cour de justice d'Union européenne (CJUE) a rendu un arrêt en matière de droit à oubli sur Internet. Cet arrêt impose aux moteurs de recherche actifs en Europe d'effacer des données faisant nommément référence à une personne si elles sont obsolètes, non pertinentes ou inappropriées. Un mois après les premiers effacements et deux mois après la décision de justice, où en est-on ?

Évidemment, ceux pour qui la pilule a vraiment du mal à passer, ce sont les principaux concernés, à savoir les moteurs de recherche – Google en particulier vu son quasi-monopole dans le domaine. Alors que Microsoft a mis en place un formulaire pour demander les déréférencements en Europe, à l'instar de Google, ce dernier n'a pas mis les pieds contre le mur, comme on pouvait le penser. Bien au contraire, c'est tout l'inverse qui s'est produit.

Selon les derniers chiffres, 91'000 demandes ont été adressées à Google. Elles concernent environ 328'000 liens. Google a rejeté 30% des demandes, 15% sont encore en cours d'analyse. En résumé, Google a donné suite à plus de la moitié des demandes.

Alors que, sur le fond, la décision de la CJUE est une belle avancée pour la protection des données et de la sphère privée, elle a introduit une responsabilité énorme, et quasi malsaine : il revient aux moteurs de recherche d'être juges à la place des juges. Aux moteurs de recherche de décider, au cas par cas, si l'information répond aux conditions posées par la CJUE pour être supprimée des résultats de recherches européens. La Cour confirme donc qu'on peut avoir des autorités extrajudiciaires privées sur Internet.

Google avait annoncé vouloir prendre le temps nécessaire pour analyser l'arrêt. Comme la CJUE ne faisait que donner son interprétation du droit européen à la justice espagnole qui l'avait demandée, Google pouvait attendre le verdict de la justice espagnole pour combattre l'interprétation du droit européen. Mais la firme de Mountain View a décidé de faire du zèle : elle a mis en place son formulaire, et a commencé à communiquer sur le nombre de requêtes soumises, traitées, admises, etc.

Cependant, Google veut montrer que la décision est absurde. Tout d'abord, ses dirigeants ont rappelé qu'il suffit d'utiliser une version non européenne du moteur de recherche pour retrouver tous les résultats qui ont été retirés en Europe. Puis, l'entreprise s'est lancée dans un exercice de censure, s'abritant derrière la décision de la CJUE pour justifier les retraits. Ceux-ci sont communiqués aux sites concernés, mais ne mentionnent pas le nom de la personne demanderesse, ni le motif du retrait : Google annonce le déréférencement de la page, et c'est tout1.

La CJUE nous laisse la responsabilité de décider si oui ou non, ce résultat doit être retiré, en fonction de critères extrêmement vagues et imprécis pouvant être interprétés très largement. On nous laisse le choix de décider si une information est obsolète, inappropriée ou non pertinente. C'est une erreur et nous allons le montrer. Nous allons improviser, et voir ce que ça donne.

Voilà, en substance, le message que veut faire passer Google2.

Seulement, tout cela n'est qu'un message. Google roule les mécaniques, donne l'impression qu'il censure à tout va, mais c'est n'est qu'un exercice de communication, savamment orchestré.

En effet, après analyse de la CNIL (Commission nationale de l'informatique et des libertés, en France) notamment, c'est seulement l'association du nom de la personne ayant demandé le déréférencement avec la page web en question qui est supprimée des résultats du moteur de recherche. Donc, il suffit de taper la requête différemment dans le moteur de recherche – version européenne – pour faire réapparaitre la page désindexée.

Et quand on lit la presse au sujet des demandes qui ont été adressées à Google, ce dernier ne communique que sur des cas où des individus qui ont fait des choses peu avouables dans le passé souhaitent utiliser le droit à l'oubli pour blanchir leur CV.

Un pur exercice de communication, donc. Mais il fonctionne. Et il a le mérite de mettre en exergue ce problème de la responsabilité qui pèse sur les moteurs de recherche. D'ailleurs, plusieurs pages web retirées (au sujet desquelles Google avait fait du bruit) ont été réintroduites, Google invoquant des erreurs de sa part.

Mais un début de réponse "politique" se précise. Google devant agir dans le brouillard, et traiter des données, informations et pages web sans connaitre tout le contexte et sans avoir toutes les données en main pour soupeser les demandes, il faut essayer de trouver un équilibre. Si l'on souhaite vraiment responsabiliser les moteurs de recherche, ou en attendant qu'on corrige ce biais, il faut leur donner des guides, et poser des barrières.

Le 24 juillet, les différentes autorités européennes de protection des données (G29, pour Groupe 29) se sont réunies avec les moteurs de recherche. L'objectif est d'élaborer des lignes directrices afin de traiter les plaintes de personnes qui peuvent saisir ces autorités en cas de refus des moteurs de recherche à leur demande de déréférencement. Car Google agace beaucoup avec son attitude. Et le fait que le droit à l'oubli ne s'applique que sur les version européennes des moteurs de recherche rend quasiment inefficace la décision de la Cour.

Ces lignes directrices sont attendues à l'automne 2014. Sur le principe, le droit à l'oubli est une bonne chose si Internet n'a pas réellement cette "faculté d'oublier". Mais les modalités d'application actuelles doivent être précisées pour que cet outil visant à protéger la vie privée ne devienne pas un outil de censure, un outil qui écorne la liberté d'information, voire qui permet de réécrire l'histoire.

Il n'a pas été créé dans ce but, il faudrait donc éviter qu'il y parvienne. Mais sans le dénier de son sens. Et sans ouvrir d'autres boîtes de Pandore. Un beau challenge.

Bonus

Les questions posées par le G29 et auxquelles Google doit répondre. (Source)
  1. What information do you request from a data subject pri or to considering a delisting request e.g. URLs, justification? Do you ask further motivation from the data subjects to substantiate their request?
  2. Do you filter out some requests based on the location, nationality, or place of residence of the data subject? If so, what is the legal basis for excluding such requests?
  3. Do you delist results displayed following a search:
    1. Only on EU / EEA domains?
    2. On all domains pages accessible from the EU / EEA or by EU/EEA residents?
    3. On all domains on a global basis?
  4. What criteria do you use to balance your economic interest and/or the interest of the general public in having access to that information versus the right of the data subject to have search results delisted?
  5. What explanations / grounds do you provide to data subjects to justify a refusal to delist certain URLs?
  6. Do you notify website publishers of delisting? In that case, which legal basis do you have to notify website publishers?
  7. Do you provide proper information about the delisting process on an easily accessible webpage? Have you developed a help center explaining how to submit a delisting claim?
  8. Can data subjects request delisting only using the electronic form that you provide, or can other means be used?
  9. Can data subjects request delisting in their own language?
  10. If you filter out some requests based on the location, nationality, or place of residence, what kind of information must be provided by the data subject in order to prove his nationality and / or place of reside nce?
  11. Do you ask for a proof of identify or some other form of authentication and if yes, what kind? For what reason? What safeguards do you put in place to protect any personal data that you process for the purpose of processing delisting requests?
  12. Do you accept general claims for delisting (e.g. delist all search results linking to a news report)?
  13. When you decide to accept a delisting request, what information do you actually delist? Do you ever permanently delist hyperlinks in response to a removal request, as opposed to delisting?
  14. Do you delist search results based only on the name of the data subject or also in combination of the name with another search term (i.e. Costeja and La Vanguardia)
  15. How do you treat removal requests with regard to hyperlinks to pages that do not (no longer) contain the name of the data subject? [Examples: hyperlink to anonymised ruling, hyperlink to page where name of data subject was removed]. Do you immediately recrawl the sites after a removal request?
  16. Does your company refuse requests when the data subject was the author of the information he/she posted himself/herself on the web? If so, what is the basis for refusing such requests?
  17. Do you have any automated process defining if a request is accepted or refused?
  18. What technical solution do you use to ensure that links to material to which a removal agreement applies are not shown in the search results?
  19. Which of your services do you consider delisting requests to be relevant to?
  20. Do you notify users through the search results’ page inf ormation that some results have been removed according to EU law? In that case, which is the legal basis for this? What is the exact policy? In particular, it appears that this notice is sometimes displayed even in the absence of removal requests by data subjects. Can you confirm or exclude that this is actually the case and, if so, could you elaborate on the applicable criteria?
  21. Have you considered sharing delisted search results with other search engines providers?
  22. What is the average time to process the requests?
  23. What statistics can you share at this stage (percentage of requests accepted / partially accepted / refused)? How many have you answered in total? How many per day?
  24. Will you create a database of all removal requests or removal agreements?
  25. What particular problems have you faced when implementing the Court’s ruling? Are there particular categories of requests that pose specific problems?
  26. Could you please provide us with contact details in case we need to exchange on a specific case?
  • 1A l'inverse, Bing annonce que "les informations indiquées dans ce formulaire peuvent être partagées avec des tierces personnes concernées par votre demande, y compris les éditeurs des sites où figure le contenu que nous avons décidé de supprimer suite à votre demande et les autorités et autres organismes publics chargés de la protection des données."
  • 2Sauf que si l'on peut critiquer la décision de la Cour, Google s'amuse avec la censure, la liberté d'information et la protection des données. Cette attitude est à mon sens plutôt alarmante et démontre, s'il en est besoin, que Google ne se préoccupe pas vraiment de la vie privée.

More »»

Nos grands malades de l'occident…

Par SwissTengu @SwissTengu @SwissTengu — 2014-08-10T10:21:22
C'est triste à dire. Mais il faut se rendre à l'évidence : la plupart des démocraties occidentales auto-proclamées sont malades. Mise en place de moyens de surveillance de masse, mise en place de lois permettant à des petits saigneurs de données de prendre le contrôle, sans parler de l'inertie legislative complète suite aux révélations de Snowden, il y a maintenant plus d'un an.

Entre des pays qui font passer des lois urgentes1 pour autoriser les pratiques douteuses de leurs services de renseignement (Ah, oopss, c'était illégal, tant pis on légalise maintenant !), d'autres qui poussent pour modifier l'existant2 pour permettre toutes les dérives dignes des états totalitaires, l'Occident va bien.

Mais… Tout va très bien, Madame la Marquise, tout va très bien, tout va très bien…

Les citoyens sont protégés, après tout. Surveillés de toutes parts, que ce soit par des privés ou leur état, chaque fait, chaque geste et, dans un futur pas si éloigné3, chaque pensée est consigné, analysé, enregistré. Des conclusions, correctes ou fausses, sont tirées de vos agissements. "Ah, il aime les chaussures à bouts pointus". "Ah, il s'intéresse à la guerre israélo-palestinienne, et a un penchant en faveur de la Palestine". "Ah, lui, il part au Soudan, et on sait qu'il a des pensées un peu radicales, d'après les sites qu'il visite". "Lui, là, il a des pensées divergentes par rapport à notre manière de diriger".

Autant de choses dont les gens n'ont pas conscience. Et pour cause : les médias sont muets. Aucune enquête digne de ce nom n'a eu lieu dans les principales démocraties européennes. À part l'Angleterre, et encore, c'est pas effet boomrang.

Mais… Tout va très bien, Madame la Marquise, tout va très bien, tout va très bien…

On pointe du doigt la Chine. La Corée du Nord. Maintenant l'Australie4. Les USA. Mais la Suisse ne vaut pas mieux. Notre petite démocratie est sur une mauvaise pente : des modifications de loi permettant une rétention prolongée, l'utilisation de logiciels espions (chevaux de Troie) etc sont en train d'être décidées.
Des achats de matériel d'écoute5, d'origine israélienne et américaine6, ont été faits, de manière à répondre à des demandes provenant, à entendre le DFJP, de la Police Fédérale.
Sauf qu'après discussions, fedpol ne pourrant pas les utiliser ou, du moins, l'efficacité n'est pas celle annoncée, et le matériel semble passer à côté des besoins de police (que ce soit fedpol, ou les polices cantonales).
De là, à qui profitera ce matériel d'écoute de masse ? Un autre département7 voudra sans doute le rentabiliser — ou alors ça passera dans les pertes et profits, tout en donnant, une nouvelle fois, l'occasion de critiquer les décisions de nos dirigeants, qui semblent complètement déconnectés de la réalité. Un comble, pour un pays comme la Suisse, prospère, stable, en paix. Ou du moins est-ce l'image qu'on nous en donne. On est en droit de se demander comment cela est possible vu les problèmes à la tête du gouvernement.

On ne parlera pas non plus de nos voisins — pays au bord de la crise, ou mouillés jusqu'au cou dans des écoutes massives de citoyens du monde.

Mais… Tout va très bien, Madame la Marquise, tout va très bien, tout va très bien…

Des crises sont créées, amplifiées dans des buts qu'on ne préfère ne pas connaître. Des peuples se déchirent pour permettre à leurs dirigeants de montrer qu'ils ont la plus longues.



More »»

Catégories en relation

iCloud a des fuites…

Par SwissTengu @SwissTengu @SwissTengu — 2014-09-02T05:59:03
Vous l'avez sans doute vu passer : des célébrités se sont retrouvées littéralement mises à nu sur le Net1, suite au "piratage" de leur compte iCloud, sur lequel elles mettaient des photos quelque peu dénudées.

Sans entrer dans la technique, que pouvons-nous retenir de ce non-évènement ? Pas mal de choses, même si au final il s'agit surtout d'une répétition de ce qui a été traité par le passé à de nombreuses reprises par la presse spécialisée (et ce site).

Tes données personnelles tu trieras
Bah oui. Vous n'allez pas balancer votre dossier médical disant que vous avez, exemple bête, une maladie vénérienne sur le Net… ?
Il convient donc de trier ce que l'on envoie, ce que l'on publie, ce que l'on stocke sur le Net. Des photos personnelles peuvent, bien entendu, avoir leur place sur votre compte iCloud, Google Drive, Facebook ou Twitter. Mais pas toutes. Instinctivement, vous n'allez pas publier la même chose sur Twitter que ce que vous stockez sur votre stockage personnel en ligne.
Pourquoi ?
Parce que vous avez, tout de même, une notion de "privacité", du degré d'intrusion dans votre vie privée que représente telle ou telle photo (ou information).

Confiance aux services tiers tu ne feras pas
On l'a dit. Redit. Répété. Et encore répété, crié, chanté, hurlé : les services en ligne ne sont pas sûrs !
Partez du principe que les solutions mises en avant par des prestataires ne sont pas suffisament sécurisées. Cela est vrai tant pour vos emails, que votre e-banking ou encore Facebook. Ou iCloud. Ou Google Drive.
L'erreur est humaine, et ce sont des humains qui développent ces applications. On ne parlera pas des multiples problèmes remontés au sein même de nos ordinateurs, le nombre de mises à jour de sécurité à appliquer sur votre Windows, MacOSX ou Linux (pas de discrimination) le montre tous les jours (ou toutes les semaines).

Des failles, des erreurs, des mauvais contrôles, des oublis. Autant de surfaces d'attaque potentielles. Certes, la plupart n'est pas simple à trouver. Ça demande un peu de recherche, des tests, de la réflexion, des connaissances et, surtout, une idée de départ : "Et si je fais ça, est-ce que ça marche ?"

Sur ton smartphone le minimum tu conserveras
C'est bête à dire, mais se reposer sur son smartphone pour conserver des données, ce n'est pas vraiment une bonne idée. En effet, cet appareil a une furieuse tendance à se faire voler, se faire oublier ou se perdre. De plus, il est de base configuré pour envoyer toutes vos informations sur le Net, que ce soit via votre compte Google, iTunes ou encore RIM…
Oui, cet appareil que vous conservez dans votre poche n'est rien d'autre qu'un mouchard dont l'utilisation est si aisée que vous en oubliez l'essentiel : la synchronisation de vos données entre tous vos appareils implique qu'elles passent par Internet et, plus précisément, des services tiers. Que vous ne connaissez pas. Dont vous ne connaissez pas le degré réel de sécurité.

Sans même tomber dans la paranoïa complète, ni remettre une couche avec Snowden et les écoutes/interceptions massives, j'ai peine à croire que Google et Apple ne possèdent pas un seul "employé indélicat" capable de prendre le temps de fouiller vos affaires, surtout si vous avez un nom connu.
L'humain est curieux. Certains le sont même plus que la moyenne, et n'ont que peu si ce n'est pas de moral (ou scrupules).

C'est triste à dire, mais le fait est qu'on ne peut pas faire confiance. Même aux grosses entreprises internationales. Chez elles aussi, ce sont des humains qui font des choses, avec les erreurs potentielles que cela implique.
Plus l'entreprise est grosse, plus la plus petite erreur peut avoir des conséquences énormes.
Là, ce sont des photos qui ont filtré. Mais on ne sait pas s'il n'y avait pas, dans le lot, des documents comportant, au hasard, des données de carte bancaire… Ou des informations sur des contrats… Ou toutes autres choses pouvant, potentiellement, intéresser tant des criminels que des concurrents.
On sait que ces célébrités se sont faites avoir. Mais qui nous dit que ce n'est rien par rapport à ce qui a été fait dans l'ombre ?

Vos données sont précieuses. Que ce soit vos photos, vos mails, vos SMS, vos conversations téléphoniques, vos contrats (d'emploi, d'assurance ou autres).
Ne les diffusez pas n'importe comment. Conservez-les, dans la mesure du possible, chez vous. En-dehors du réseau serait l'idéal.

Réfléchissez avant de synchroniser vos données !

More »»

Dis tous tes secrets à Kevlar

Par SwissTengu @SwissTengu @SwissTengu — 2014-09-03T12:41:13
Un site1 permet, à première vue, de s'échanger des secrets via un lien à durée de vie limitée : dès qu'on accède au lien secret, le message est effacé de manière définitive du serveur hébergeant l'application.

Sympa non ? Vous voulez dire un truc sans que cela se sache, et vous ne voulez pas envoyer un mail chiffré ? Bah hop, ce site est fait pour vous !

Son apparence sobre et propre, les assurances concernant le fait que les messages sont effacés dès la visite du lien, etc sont là pour vous montrer que ça rigole pas. Serious Business!





OK, j'arrête, je vais plus tenir :]. Ce site est un tel ramassi de mauvaises choses que je le soupçonne d'être un cas d'école, une démonstration de la crédulité des gens.

On va dresser une liste non-exhaustive des petites choses qui devraient vous sauter aux yeux dès que vous arrivez sur le site.

SSL ? Kesako ??
Premier point : le site n'est pas en SSL. Autrement dit, vous envoyez tout en clair sur le Net. N'importe qui se situant entre votre ordinateur et le serveur applicatif peut intercepter le contenu sans le moindre effort.
Au temps pour vos secrets ;)

Google Analytics in da place
Bah oui… Faut bien voir combien de personnes sont venues… Je ne dis pas que GA arrive à intercepter ce que vous écrivez hein, on se comprend bien… Juste qu'il est là.

Google Fonts in da place
Oh bin tiens, hop, polices google en place aussi. Là encore, je ne dis pas que ça permet à Google de vous écouter. Juste que c'est là, que les cookies, c'est magique et qu'ils savent donc qui vous êtes et ce que vous faites. Gosh


Et non, y a pas de chiffrement Javascript côté client. Tout passe, réellement, en clair.

En creusant un poil plus loin, on peut aussi voir les choses suivantes :

Cloudflare
Le site est servi via Cloudflare, société américaine soumise comme il se doit au Patriot Act et autres FISA2… Du coup on peut se demander comment ils gèrent les logs de leurs services ;).
Ah, le DNS est aussi géré via Cloudflare, en toute bonne logique.

Vous en voulez encore ?

Comment ça marche ?
On ne sait pas. C'est magique :). Plus sérieusement, il y a l'air d'y avoir un peu de crypto (côté serveur uniquement), mais ce n'est même pas dit…

Politique de confidentialité ?
Rien à ce sujet. On ne sait rien sur l'auteur de ce site. On ne sait rien sur le pays de stockage. On ne sait rien sur la plate-forme. On ne sait rien sur les logiciels. On ne… bon, bref, c'est une boîte noire.

Ce truc pue. Vraiment. C'est un joli frontend qui se contente d'enregistrer vos secrets, sans qu'on sache ce qu'il enregistre au final : votre IP ? votre empreinte de navigateur ? 
On ne sait pas non plus si les données sont chiffrées côté serveur, si elles sont réellement effacées ou autres.

Je me demande combien de personnes ont réellement tenté de mettre un "vrai" secret là-dessus. Je me demande combien de personnes vont aller, après lecture de ce billet, tester l'application
Je me demande combien de personnes se sont posés les mêmes questions que moi.

Le piège est parfait. Je me réjouis que d'autres informations filtrent sur ce site. Au détour du Net, on peut tomber sur 1-2 billets3, mais le pseudo ne mène pas très loin… Enfin, potentiellement à quelques comptes github.
Chose intéressante, Adam Butler semble être lié à la marque Kevlar. Ce qui me fait penser à un faux pseudo. Ou pas.

Bref. Ça demande quelques éclaircissements.

En attendant : je vous conseille fortement de ne pas faire confiance à ce genre de sites (il n'est de loin pas le seul) et à toujours, je dis bien TOUJOURS, avoir un regard critique face à ces services.
Idem pour ceux que vous pouvez installer sur votre smartphone, comme Snapchat par exemple ;).

Là encore : n'oubliez pas d'allumer le cerveau. Vraiment.

More »»

Catégories en relation

La rétention des données est une mauvaise voie

Par kl4v @subtruth @subtruth — 2014-09-04T12:06:20
Vos données de communication (avec qui, quand, depuis où et pour quelle durée vous communiquez) sont conservées pendant plusieurs mois. Les fournisseurs d'accès aux infrastructures de télécommunication (comme Orange, Cablecom etc – ci-après: telcos) sont légalement contraints de les garder. Ce sont des métadonnées, le contenu des communication n'est pas conservé – du moins il n'y a pas d'obligation de le faire. Sous injonction d'un juge, les telcos doivent remettre ces données à l'autorité d'enquête compétente, qui peut ainsi retracer rétroactivement l'activité de communication des personnes concernées.

Quel est le problème ?



Il y en a plusieurs. Voici les principaux :

1. Le problème fondamental est le renversement de la présomption d'innocence : conserver en prévision d'un crime les données de tout le monde revient à considérer tout le monde comme suspect d'avance. Cela va à l'encontre d'un principe fondateur de l'Etat de droit.

2. C'est une prérogative vaste de l’État, pour beaucoup incompatible avec les principes universels de protection de la vie privée, d'autant que si ces données sont consultées, c'est sans connaissance ni assentiment des personnes concernées.

Cette pratique pose la question de la confiance vis-à-vis de l’État. Le recours aux données conservées n'a lieu que dans des cas de criminalité grave – paraît-il. La pratique fait souvent apparaître une autre image, comme dans le cas suisse. S'il y a déjà une dissonance entre discours et pratique, comment croire qu'il ne peut y avoir d'abus ? Ce sans compter le passif déjà lourd de la Suisse en la matière (voir les affaires des fiches).

D'aucuns pensent que les métadonnées n'ont pas de valeur comparées au contenu. Au contraire. Elles permettent un profilage avancé et rendent leur propriétaire transparent.

Pour rappel : l'argument du rien à se reprocher, donc rien à cacher a été rendu caduque en théorie au plus tard par Richelieu (prétendument), et en pratique par les régimes totalitaires du 20e siècle. Avec la prévalence d'internet, le risque est plus élevé aujourd'hui. Nous vivons une époque où il est mal avisé de laisser s'installer des infrastructures de surveillance – qui sait qui en aura le contrôle demain, quand il sera trop tard ?

3. Globalement, la rétention des données n'est pas utile pour combattre le crime. Bien que ses défenseurs martèlent qu'elle est essentielle dans la lutte contre la criminalité, ils ne présentent pas de chiffres. Et pour cause : elle ne résiste pas à l'empirie. Elle s'inscrit dans une tendance troublante consistant à vendre de la fausse sécurité.

4. Elle coûte cher aux telcos, qui doivent disposer du matériel pour conserver toutes ces données.

Massacre constitutionnel en Europe, renforcement probable en Suisse



Le principe de la rétention des données est en vigueur dans de nombreux pays. En Suisse, elle est inscrite dans la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Dans l'Union Européenne, des lois nationales similaires se basent sur la Directive 2006/24/CE du Parlement et du Conseil du 15 mars 2006. Or cette directive a été retournée cette année. Depuis, on assiste à un massacre constitutionnel épique des lois nationales sur la rétention des données:

*Autrichevictoire d'une ONG devant la plus haute cour de justice;
*Danemarkl'a abandonnée par lui-même, la considérant inadaptée pour lutter contre la criminalité;
*Roumanieabrogation, sous pression de la société civile;
*Slovaquievictoire d'une ONG devant la plus haute cour de justice;
*Suèdeles telcos ont arrêté par elle-mêmes de conserver les données, au mépris de la loi nationale (!)

(L'Allemagne est un cas intéressant: elle avait abrogé sa propre loi déjà en 2010. Le nouveau gouvernement Merkel voulait réintroduire la rétention des données, mais la fin de la directive européenne 2006/24/CE a donné un coup d'arrêt à ce plan.)

Il faut s'attendre à des décisions similaires ailleurs. Et en Suisse ?

En Suisse, la révision de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication prévoit l'extension de la rétention des données de 6 à 12 mois.

Les telcos suisses s'opposent à cette révision, tout comme l'industrie de l'informatique. Si la révision passe au Parlement, il y aura un référendum. Une coalition existe déjà (comprenant entre autres toutes les jeunesses de partis sauf celle du PDC), et Société Numérique a déposé une plainte auprès du Tribunal administratif fédéral pour l'abrogation de la rétention des données

Reste à espérer que ce sujet gagne un peu de visibilité médiatique. A l'exception de la WOZ, les médias ont jusqu'ici largement ignoré le fait que la Suisse fait fausse route.

L'opposition liberté / sécurité est fausse. Les deux vont de pair.

More »»

Répugnant : "le chiffrement des smartphones va empêcher de sauver des enfants en danger"

Par FCharlet @FCharlet @FCharlet — 2014-11-26T07:00:05

Voilà typiquement le genre de recyclage honteux et dégoûtant que font les puissants de ce monde qui cherchent à diminuer les droits et libertés fondamentales des citoyens : on déclare que c'est pour le bien de vos enfants ! Ironiquement, c'est lorsque des fabricants comme Apple et Google annoncent que leurs smartphones seront chiffrés par défaut (et qu'ils ne connaitront pas la clé de déchiffrement) que les gouvernements régurgitent des arguments exécrables en ayant des trémolos dans la voix.

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.(Benjamin Franklin)

Méprisable déclaration

Eric Holder, donc, a déclaré le 30 septembre 2014 lors de la Conférence bisannuelle de l'Alliance globale contre les abus sexuels contre les enfants commis en ligne (Biannual Global Alliance Conference Against Child Sexual Abuse Online) que

Moreover, we would hope that technology companies would be willing to work with us to ensure that law enforcement retains the ability, with court-authorization, to lawfully obtain information in the course of an investigation, such as catching kidnappers and sexual predators. It is fully possible to permit law enforcement to do its job while still adequately protecting personal privacy. When a child is in danger, law enforcement needs to be able to take every legally available step to quickly find and protect the child and to stop those that abuse children. It is worrisome to see companies thwarting our ability to do so.

De plus, nous aimerions que les sociétés du domaine de la technologie travaillent de concert avec nous pour faire en sorte que les autorités de poursuite gardent la possibilité d'obtenir des informations, sur autorisation d'un tribunal, dans le cours d'une enquête pour trouver et attraper les kidnappeurs et prédateurs sexuels, par exemple. Il est tout à fait envisageable de permettre à ces autorités de faire leur travail en protégeant de manière adéquate la sphère privée. Quand un enfant est en danger, ces autorités ont besoin de faire toutes les démarches légales à leur disposition pour retrouver rapidement et protéger l'enfant et arrêter ceux qui en abusent. Il est regrettable de voir des sociétés limiter notre possibilité de le faire. (Traduction et mises en page par mes soins)

Après le FBI qui se plaint que le chiffrement des données permet aux délinquants d'agir au-dessus des lois, voilà qu'on emploie des discours d'un cynisme que je n'oserais sans doute même pas utiliser au tribunal. Le directeur du FBI a même osé déclarer que l'iPhone est désormais le "smartphone du pédophile". Il n'y en a décidément pas un pour rattraper l'autre.

Ce mois encore, le Département américain de la Justice en a remis une couche et a averti Apple qu'un enfant allait mourir parce que la police ne pourra pas accéder aux données sur un smartphone1. Quelle finesse. Exhumer les cadavres d'enfants et les brandir pour justifier un programme de surveillance montre précisément que les gouvernements n'ont aucune morale.

Corde sensible

Utiliser la corde sensible. Voilà la méthode d'Eric Holder. Et son discours irrespectueux n'a absolument rien et en aucune manière à voir avec la problématique du chiffrement par défaut des smartphones.

Notez dans son discours (car le Diable se cache dans le détail) le mot "adequatly" ou "de manière adéquate" lorsqu'il parle de la protection de la sphère privée. Pour un gouvernement qui utilise des portes dérobées (backdoors) pour surveiller ses citoyens, entre autres, je trouve que la formulation "adequately protecting personal privacy" a une saveur particulière.

Alors qu'Holder vient de reconnaitre qu'il faut protéger de manière adéquate la sphère privée, il attaque, et de la pire des manières, l'un des moyens qu'a le citoyen de parvenir à protéger effectivement et efficacement sa sphère privée, tant du gouvernement que d'autres personnes. La sphère privée se protège grâce au chiffrement des données, pas au moyen de portes dérobées.

Auparavant, Apple et Google (entre autres) avaient les clés pour ouvrir votre smartphone sur requête des gouvernements. Aujourd'hui, l'utilisateur a les clés de son smartphone. Quoi de plus normal !

Gardons les pieds sur terre

Pour revenir à l'abuseur d'enfants, voici dans le désordre ce à quoi les propos abjects d'Eric Holder m'ont fait réfléchir.

Tout d'abord, il ne semble pas avoir pensé que si, par exemple, les communications entre smartphones étaient chiffrées, il serait beaucoup plus compliqué pour d'éventuelles personn es malveillantes d'écouter ces communications et s'en servir pour faire du mal aux enfants.

Ensuite, de supposés abuseurs d'enfants ne sont PAS une problématique qui justifie une surveillance massive et généralisée de tout un chacun.

D'ailleurs, dans le cas d'enlèvements d'enfants, on répète que ce sont les premières 24 à 48 heures qui sont déterminantes et qui permettent souvent de retrouver les enfants. Dans ce genre de situations, ce n'est pas l'accès à un smartphone qui va permettre de retrouver l'enfant, mais un travail d'enquête "classique". D'autant que l'accès, l'analyse des données du smartphone, même non chiffré, va prendre plus de temps que 24 petites heures. Un travail de police classique ramènera un enfant à sa famille. L'analyse du smartphone permettra peut-être, des jours plus tard, de retrouver le corps de l'enfant et le kidnappeur.

Après quoi, et peut-être que je me trompe totalement, mais je doute que des parents choisissent pour leur enfant un monde emprunt de totalitarisme si l'autre choix possible est un potentiel, mais statistiquement faible risque d'abus. Autrement dit, que choisir entre la très forte probabilité de mener une vie dans un État policier qui fournit l'illusion qu'on vit dans une bulle, protégé, ou de vivre plus librement, mais avec un risque minime d'être la victime d'un abuseur ?

Ensuite, je suis convaincu que plus personne n'a confiance en la NSA, le FBI, et les agences nationales de nos pays. Après les éléments révélés par Snowden en 2013, la réponse du berger à la bergère ne s'est pas fait attendre : on nous surveille, on viole nos droits fondamentaux, alors on se protège, on chiffre nos données, on se réapproprie ce qu'on nous avait "secrètement" dérobé. Voilà la conséquence de l'espionnage à grande échelle. L'auteur de cet espionnage vient maintenant pleurnicher qu'il ne peut plus le faire et utilise des arguments fallacieux et sordides pour nous convaincre de faire machine arrière.

Enfin, la panique (compréhensible au vu du changement de paradigme) du gouvernement est due au fait qu'il perd la possibilité de s'adresser directement à quelques sociétés pour obtenir les renseignements dont il a "besoin". Avec ce nouveau système qui se développe, le gouvernement devra s'adresser à un nombre considérablement plus élevé d'interlocuteurs qui seront également beaucoup moins coopératifs, à l'inverse des sociétés comme Google, Microsoft et Apple, quoi qu'elles en disent.

Et c'est une excellente chose. Tant pour les citoyens que pour nos têtes blondes.

More »»

Banques vulnérables à POODLE — mais pas seulement.

Par SwissTengu @SwissTengu @SwissTengu — 2014-12-18T16:26:18
Un article, paru dans Le Matin du jour1, met en avant des problèmes de configuration des serveurs e-banking de deux organismes bancaires suisses.

Les commentaires, outre le fait qu'ils passent juste à côté du sujet principal, montrent aussi le manque de connaissances des utilisateurs de ces services. La réponse d'une des banques citées2 est, quant à elle, un ramassis de langues de bois.

Penchons-nous un tout petit peu sur le fond du problème.

POODLE
Sous ce joli nom tout mignon se cache un truc un peu vicieux. On ne va pas entrer dans les détails, déjà expliqués en long3, en large4 et en travers5.
Ce qu'il faut retenir, c'est que c'est exploitable moyennant un peu de connaissances techniques, et que ça permet, entre autres, de récupérer un cookie6 de session7, permettant à un attaquant de vous personnifier auprès des services demandant une authentification (comme une banque, par exemple).

Il est certain que les instituts bancaires ont des mesures de sécurité empêchant un cookie d'être réutilisé. On imagine sans peine que les adresses IP sont contrôlées lors de chaque action, de même que les éléments fournis par les navigateurs des clients. De toutes façons, les informations utilisables pour de tels contrôles sont enregistrées pour le suivi des transactions, leur validation, etc. Avec ou sans POODLE, Heartbleed ou autres à venir.

Il est donc clair que le système e-banking en soi est sécurisé ou, du moins, ne devrait pas être assez mauvais pour que POODLE soit réellement efficace.

C'est quoi le problème alors ?
Le problème, enfin, les problèmes, sont mutliples.

En premier, le silence des banques face à POODLE. Mais pas seulement : peu ont communiqué suite à Heartbleed8 qui a pourtant été pas mal médiatisé. En gros, on paie les banques pour un service et un accès par voie électronique (e-banking), mais on ne sait jamais réellement si elles sont au courant des failles, ni ce qu'elles font pour nous protéger, nous, les clients qui leur confions notre argent.

Outre le silence, le temps de réaction est affligeant : il faut compter des semaines si ce n'est des mois avant de voir le correctif appliqué.

Dans le cas précis de la BCV, on pourra aussi noter leur superbe résultat sur SSLlabs9, montrant qu'ils n'ont pas forcément les moyens de contester quoi que ce soit : leur configuration SSL est mauvaise, du certificat SSL mal fait jusquà la configuration de leur serveur web. Même leur certificat intermédiare est faux et comporte des éléments en trop…

/static/images/bcv-fail.png

Dans le cas de la Raiffeisen, pareil, leur résultat10 est tout aussi parlant, bien que meilleur que la BCV. Ce qui n'est, en soit, pas très dur…

/static/images/raiffeisen-fail.png

Et alors… C'est sécurisé, oui ou non ?
Oui. Enfin… On ne peut que l'espérer, à savoir que le protocole de connexion est pourri, donc on doit faire confiance au backend (l'application d'e-banking) pour qu'elle possède les contrôles nécessaires, et qu'elle soit exempte de failles exploitables. Errare humanum est, comme disait l'autre.

Sans tomber dans la paranoïa complète, voici quelques conseils pour éviter les problèmes en attendant que la situation soit claire :
  • Ne jamais employer une connexion publique sans fil
  • Éviter de passer par les connexions mobile (oui, même avec leur app, le réseau DATA mobile est insécure)
  • Contrôlez que le certificat soit bien émis par une autorité reconnue (VeriSign pour la BCV,  et QuoVadis Global pour Raiffeisen)
  • Dans la mesure du possible utilisez la connexion de votre domicile.

Note: l'émetteur du certificat. À ce niveau, rien n'est gravé dans le marbre, surtout en sachant que ces deux banques ont "prévu de corriger le problème" début 2015. 

Mot de la fin
Ce qui est consternant dans toute cette histoire, c'est le manque de communication des banques.
Si elles savent qu'elles sont protégées, pourquoi ne pas le mettre sur leur page d'accueil ?
Quand on les contacte par mail, en passant par leur messagerie interne (accessible uniquement par les clients donc), pourquoi ne répondent-elles pas ?

Ce qui est aussi consternant, c'est de voir que des instituts censés protéger leurs usagers ne semblent pas prendre réellement au sérieux l'image qu'elles donnent d'elles-mêmes : en effet, se ramasser un F pour un truc aussi basique qu'une configuration SSL, ça ne donne pas confiance.

Pour notre part, cela nous fait nous interroger sur les compétences de leurs équipes (ou prestataires) à gérer correctement une infrastructure.
Du coup, est-ce que nos données sont réellement protégées ?
Est-ce que tout est réellement mis en œuvre pour éviter les fuites ou les vols ?

Autant de questions qui, nous le craignons, resteront sans réponse. Le manque de transparence à ce niveau est mauvais, et n'inspire en tous cas pas la confiance requise pour confier son argent et ses données à de tels instituts.

En comparaison, la connexion fournie par EthACK est plus sécurisée que celle de ces deux banques11. Et on ne vous fait rien payer pour ça ;).

/static/images/ethack-ssl.png


More »»

Rétrospective 2014

Par SwissTengu @SwissTengu @SwissTengu — 2015-01-01T11:48:24
Nouvelle année, nouveaux défis, nouveaux leaks, nouvelles menaces. Mais qu'avons-nous vu et fait l'année passée ? Petite rétrospective ;).

EthACK a été lancé le 25 mars 2014. Suite aux divers articles, leaks et autres parlant de surveillance de masse, et de l'absence de réponse de la part de notre gouvernement, un petit groupe (très petit… trop même) a décidé de se bouger.

EthACK a commencé par sortir quelques articles critiques sur des solutions "clef en main" pour protéger ses données personnelles et, ainsi, tenter de passer outre les filets de la NSA et autres services.

Des contributeurs, plus ou moins réguliers, se sont mis à publier. Des avis, des études de cas, des critiques et des idées.
Des lecteurs ont commencé à venir, et à poser des commentaires, certains articles rencontrant ainsi un petit succès.

Mais le sujet de la protection des données est dur : éveiller l'intérêt des personnes à ce sujet est une tâche compliquée, chaque personne étant différente et ayant une vision ainsi qu'une utilisation différente des outils.
La compréhension de la menace que représentent les écoutes de masses, les interceptions de mail/sms/appels, du danger de l'indifférence de nos dirigeants est extrêmement limitée à l'heure actuelle : seule une poignée de gens semble y prêter attention; dans cette poignée, seule une part minuscule agit en conséquence.
Il y a encore pas mal de boulot !

En parallèle, EthACK a lancé quelques projets, le premier étant orWall1, une application android permettant de filtrer à l'envi le trafic de son appareil, en mettant en avant l'utilisation de Tor2.
Cette première application a, on doit l'avouer, rencontré un bon succès : ouverte et libre, elle a pu se faire une petite place dans l'écosystème Tor sur Android, avec, en plus, le soutien de certaines personnes de Tor Project3 et Guardian Project. Rien que ça.

D'autres projets sont venus s'ajouter : fogmail4 et fogstore5, deux concepts qui veulent permettre, une fois finalisé, de déployer des solutions mail et de stockage de données de manière simplifiée. C'est un sacré défit : après tout, se lancer dans ce genre de choses, c'est se heurter à pas mal de problèmes :
  • choix des logiciels et applications
  • faire en sorte que ce soit le plus générique possible
  • expliquer les concepts, et promouvoir le tout auprès de personnes dont les compétences techniques ne sont peut-être (certainement) pas suffisantes
  • convaincre que notre approche est meilleure que "bah y a gmail et google drive ou dropbox voyoons !" (sans doute le plus dur en fait ;))

Le but de ces deux projets n'est pas que tout le monde puisse monter un tel service — il s'adresse plus aux hackerspaces et communautés du genre, la plupart ayant des contacts permettant de monter une infrastructure robuste, répondant aux différents critères imposés par les choix logiciels.

Le dernier projet en date, banquignols, devrait sortir tout soudain, le temps de consolider les données récoltées, finaliser le site web et faire les communiqués en relation. Nous n'en dirons pas plus pour le moment à ce sujet ;).

En plus de tout cela, EthACK a aussi commencé à donner des conférences6 autour de la protection des données. Succès mitigé jusqu'à maintenant, il faudra sans aucun doute revoir la communication à ce niveau. Voire le choix des jours (qui ne sont pas de notre fait).

Niveau chiffres : nous n'avons pas réellement de statistiques. Mais nous pouvons annoncer une moyenne de 300 visites par jours, avec des pics à plus de 1400 visiteurs. Pas trop mal, on va dire ;).
Nous nous sommes basés sur les 30 derniers jours de log7, vu que nous n'avons rien de plus… Donc à prendre avec des pincettes ;).

Et la suite ?
Des conférences, bien sûr.
Le suivi et l'évolution des différents projets lancés, cela va de soit.
L'analyse les réponses de notre gouvernement, ainsi que des entités privées "majeures" face aux différentes attaques en ligne.
Peut-être aussi des partenariat avec d'autres entités, comme La Quadrature du Net8, que nous avons approchée lors du dernier Chaos Communication Congress9 à Hambourg.

Vu ce qui a été présenté au 31c3, il est fort probable qu'on parle de nous sur différents sujets — la sécurité des différentes infrastructures critiques semble plus que jamais bancale. Et ça fait un peu peur, en fait, quand on y réfléchit la moindre : vos données, que vous confiez à des entités diverses et (a)variées, ne sont pas correctement protégées; du moins, pas de la manière la plus efficace. Les mises à jour importantes ne sont pas faites, à cause de l'historique des applications (on peut penser aux différents e-bankings épinglés dernièrement, mais il y en a beaucoup, beaucoup d'autres). La communication sur le sujet est aussi biaisée si ce n'est absente.

Bref… On ne va pas chômer en 2015.

More »»

Catégories en relation

La fin des démocraties occidentales ?

Par SwissTengu @SwissTengu @SwissTengu — 2015-01-10T20:06:08
Un danger pire que les terroristes existe : un état démocratique qui panique. Ou qui agit dans la panique. Ou, encore pire, qui fait mine d'agir dans la panique tout en appliquant un plan prédéfini qui n'attendait qu'une bonne occasion pour sortir de son tiroir.

C'est ce qu'on est en train de voir en ce moment même, suite à l'horrible attentat survenu en France1 en milieu de semaine.
Des politiciens de tous bords crient "sécurité", crient "renseignement". Ils veulent, "pour notre sécurité", "pour notre biens", sortir l'artillerie lourde, déballer leur joujoux de surveillance massive des réseaux, des citoyens. Pour s'assurer, dans un premier temps, que nous ne sommes pas des terroristes potentiels. Puis, par la suite, qui sait ? S'assurer que nous ne sommes pas un fraudeur du fisc ou encore, allez, qu'on n'est pas en train de frauder l'aide sociale, les assurances, notre employeur. Ou qu'on n'a pas de meurs légères. Bref.

Mettre en place, maintenant, des outils tels que ceux vendus par Verint2 est une monumentale erreur3. Nous sommes, actuellement, dans une démocratie. Plus ou moins. Enfin, on peut encore voter, s'exprimer sans finir crucifié sur la place publique, ou se faire jeter sur un bûcher..

Le problème, c'est "après". Si l'extrême droite (ou n'importe quelle autre extrême) arrive au pouvoir suite à des votations malheureuses, que se passera-t-il ? La mise en place de ces outils est le premier pas nécessaire vers un état totalitaire, un état de NON-droit, un état dans lequel la simple expression sera condamnée.

Fabulations, pensées dystopiques me direz-vous ? Réfléchissez. On a déjà vécu cette situation il y a moins de 20 ans. 2001, vous vous souvenez ? Certes, ça a touché les USA, pas l'Europe. Mais, 14 ans après, qu'avons-nous appris ? Que nous a montré Edward Snowden ? Que nous a montré Assange et Wikileaks ?

La surveillance, telle que mise en place par les USA, ne sert à rien. À part à remplir des centres de données, et créer des scandales un peu partout à travers le globe. Et les idées de surveillance préventive4 sont abominables de non-sens.

"Mais chez nous, ça sera mieux", allez-vous penser ou dire. "Et après tout, c'est pour nous protéger". Protéger contre quoi ? Les deux "terroristes" étaient connus, déjà sous surveillance même. Et est-ce que cela les a empêché de faire leur action ? Non. Rien. Que pouic.

"C'est le manque de moyen, c'est bien la preuve qu'on doit renforcer les mesures !" — bullshit. Plus il y a de données, plus il faut trier, analyser. Les algorithmes ne font pas tout, il faut de la logique, du "cœur" humain derrière pour valider (ou invalider) les données.
Ce n'est pas une question de moyen techniques.

La meilleure lutte contre ce genre de "choses", contre la terreur, c'est la connaissance. L'enseignement est la meilleure réponse. Ainsi que la liberté. La Norvège a très bien réagi, suite à l'attentat de 20115 :
Je m'accroche à la croyance que la liberté est plus forte que la peur, je m'accroche à la croyance en une démocratie et une société norvégienne ouverte. Je m'accroche à la croyance en notre capacité à vivre librement et en sécurité dans notre propre pays

La France6 et, à voir, la Suisse7, semble être sur la pente inverse… Et moi, entendre ce genre de propos, ça me fait peur. Peur de perdre ma liberté de penser, d'agir, ma liberté de vivre selon mes principes, ma liberté de vous écrire ce que je pense.

Une phrase a été dite, redites et répétée sur Twitter :
Les terroristes tuent des personnes. Après les états tuent la démocratie.

Une autre, faussement attribuée8 à Voltaire, est à garder en tête dès qu'on commence à vouloir toucher aux moyens de communication :
je ne suis pas d’accord avec ce que vous dites, mais je me battrai jusqu’au bout pour que vous puissiez le dire


Phrases à méditer. Ne laissons pas l'émotionnel dicter nos actions, ne laissons pas l'émotionnel dicter les actions de nos gouvernements. La démocratie est en danger. Réellement. Nous ne pouvons pas laisser faire.

De plus, mettre tout ceci en place serait une insulte pour les morts de Charlie Hebdo. Une insulte pour les personnes tuées pour avoir défendu un droit humain de base : la liberté d'expression. La surveillance est le plus sûr moyen de tuer ce droit.

More »»

Catégories en relation

Aux promoteurs de la surveillance

Par SwissTengu @SwissTengu @SwissTengu — 2015-01-11T12:41:42
Note: les formules sont au masculin pour des facilités de rédactions, mais il est évident qu'elles sont aussi à comprendre au féminin ou toute autres formes.


Chers politiciens, chers journalistes, chers concitoyens,

Vous qui faites la promotion de la surveillance préventive, vous qui comptez sur l'émotion suscitée1 par les tragiques événements survenus en France, vous faites fausse route.

Par deux fois au moins, on a pu voir que la surveillance, même sur des sujets connus, ne sert à rien : Boston et Paris. Lors de ces deux événements, les services nationaux, voire internationaux, connaissaient les instigateurs, écoutant tout ce qu'ils pouvaient dire, lisant tout ce qu'ils pouvaient écrire.
Mais est-ce que cela a servi ? Les faits le montrent : non.

Vous qui pensez mieux protéger nos compatriotes en assurant une surveillance généralisée des faits et gestes de tout le monde, je vous invite à répondre à ces quelques questions :
Est-ce que vous apprécieriez que, pour des motifs de préventions, vos emails, vos appels téléphoniques, vos SMS, vos discussions sur Skype, vos snapchats, vos whatsapp, etc, soient tous enregistrés sans distinction "à des fins d'études au cas où" ?
Est-ce que vous apprécieriez d'avoir un émetteur GPS dans votre véhicule ainsi qu'un drone personnel vous suivant partout ?
Est-ce que vous apprécieriez de savoir que toutes ces données sont enregistrées sur des serveurs maintenus par, au hasard, l'OFIT2 ou, plus drôle, le SRC3, tous deux notoirement connus pour leurs compétences limitées ?

Je ne suis pas certain que quiconque répondra honnêtement "oui" a chacune de ces questions. Peut-être la dernière, parce que "on va leur donner les moyens de s'améliorer".

Maintenant, il reste encore deux questions importantes à se poser :
A-t-on la moindre preuve que ces mesures de surveillance sont efficaces ? Pour le moment, on a plutôt des contre-exemples…
Êtes-vous sûrs que ces outils de surveillance ne seront pas employés à des fins privées voire, pire, politiques dans un proche futur ?

On peut être en droit de se demander "à qui profitent les contrats"4 pour l'achat de matériel d'écoute, la maintenance et la formation des agents.
On peut être sceptique quant à l'utilité de ces dépenses.
On peut penser que l'argent mis dans ces moyens serait mieux investi dans, au hasard, l'éducation et l'intégration.
Autant profiter de pouvoir se poser ces questions publiquement avant de se faire enfermer pour un motif aussi bête que "entrave à la protection et à la sécurité du bon peuple".

Vous qui pensez que la protection des données et de la vie privée doit passer après un faux sentiment de sécurité, vous vous perdez. Vous êtes prêts à sacrifier une des libertés fondamentales de l'être humain sur l'autel de l'économie sécuritaire.
Parce qu'il est impossible, vu les communications actuelles, de cibler uniquement des usagers.
Parce qu'il est impossible, dans le cas d'écoutes préventives, de filtrer ce que l'on agrège. Internet et le réseau qu'il représente est un lieu de partage, d'échange multilatéral.

Tout le monde est impliqué à quelque niveau que ce soit. Même vous : vous allez cliquer sur un lien envoyé par une connaissance. Ou, plus probable, une connaissance va cliquer sur un lien, et du fait que vous connaissez cette personne, vous serez dans le viseur des appareils de surveillance (ou, qui sait, d'un drone…).

Parce que ce n'est pas seulement vous et moi qui seront des cibles. Mais nos familles. Nos proches. Nos amis. Des connaissances, même lointaines. De toutes façons, quels seraient les critères appliqués pour ces écoutes préventives ? Nous avons tous une connexion avec un "terroriste potentiel" à un niveau proche de nous5.

Devons-nous abandonner une liberté fondamentale ? Ne peut-on réellement rien faire d'autre ? La Norvège semble penser autrement, en tous cas. Fermer des portes n'aide en rien à se protéger, au contraire, on sera plus vite enfermé dans une petite boîte trop étroite pour l'expression et l'apprentissage.

Vos vœux de surveillance vont nous précipiter dans un âge sombre, où chacun fera attention à ce qu'il dit ou pense, de peur de finir sur une liste quelconque de personnes. Vos vœux de surveillance nous rendra soupçonneux, méfiant. "Le voisin n'est pas sorti de chez lui depuis 2 jours, il prépare un attentat j'en suis sûr". "Cette personne ne marche pas droit, je suis sûr qu'elle prépare quelque chose".

L'effet "panoptique"6 brisera nos sociétés démocratiques, et nous renverra quelques siècles en arrière. Le soupçon, transformé en peur et en haine, rendra de nouveau la chasse aux sorcières possibles, avec les mêmes conséquences, les mêmes causes.

Nous sommes en 2015. Notre société vaut mieux que cela. Nous devons apprendre de notre passé. Nous devons éviter de faire les mêmes erreurs. Nous avons assez d'exemples documentés pour nous rendre compte que la surveillance, préventive ou simplement généralisée, ne vaut rien, ne sert à rien, n'apporte pas plus de sécurité.

Restons debout, mais ne nous enchaînons pas avec de la vidéosurveillance et de l'écoute de masse. Ne serait-ce que par respect envers celles et ceux qui sont morts pour défendre nos libertés.

More »»

Catégories en relation

Quand la justice va-t-elle trop vite?

Par Babel @ChristophePache @ChristophePache — 2015-01-15T11:00:06
Toujours suite aux événements marquants de la semaine dernière, et je dis "toujours" car tout se veut relié d'une façon ou d'une autre à ces atrocités, la justice jugera très prochainement une personne suspectée d'encourager des crimes liés à des actes terroristes1. Et tout cela en une semaine!

Au passage, évitons de penser qu'un tribunal puisse "limiter" la liberté d'expression. Je ne cherche pas la polémique là-dessus. Ce ne sont que les terroristes qui limitent la liberté d'expression, bien sûr.

Bizarrement, ce qui me choque le plus dans cette nouvelle, c'est la célérité de la justice à traiter ce potentiel scélérat. En effet, on fait étalage de la lenteur de la justice et des problèmes que cela peut engendrer. Je ne parlerai pas ici de l'importance de l'immédiateté de la peine sur le caractère dissuasif de la sanction, mais simplement de la surpopulation carcérale. En fait, les prisons sont engorgées en partie à cause de la lenteur de la justice comme l'indique une recommandation de l'Assemblée parlementaire du Conseil de l’Europe: les "personnes en attente de jugement qui peuvent représenter dans certains pays jusqu'à 50 % de l'ensemble des détenus"2. Nous pourrions ajouter à cela le tort et la peine que cela peut infliger aux victimes.

Il semblerait donc que la justice soit particulièrement véloce quand il s'agit de traquer une personne sur l'Internet. Quand la durée moyenne pour obtenir une décision d'un juge se monte à plusieurs mois 3, il ne s'agit pas d'un concours de circonstances si les médias annoncent le jugement avant que le crime n'ait eut le temps de refroidir. Il y a un signal fort. Ce cas "pourrait faire jurisprudence" 4.. Cela s'appelle de la prévention. C'est un gros panneau indiquant "Faites bien attention à ce que vous postez sur l'Internet" et "Vous n'êtes pas anonyme". A première vue rien de mauvais.

Mais est-ce vraiment le rôle de la justice? Pourquoi choisir de faire passer une affaire comme prioritaire quand tant d'affaires mettent des années à être jugées? La justice n'est-elle pas censée juger de manière impartiale tout un chacun? Qui définit l'importance d'une affaire?

Ce signal adressé par la justice via les médias très friants de ce genre d'événement, signifie donc aussi que tout acte relié à La tragédie sera châtié en priorité. A la rapidité à laquelle les idées se forment et s'échangent sur l'Internet s'oppose donc une justice à deux vitesses. Bien que toujours débordée et malgré ses manques de moyen pour répondre à de nombreux problèmes, la justice s'arrange pour se montrer digne de la situation. Elle est contextualisée. Elle ne se contente pas d'appliquer le droit. A ce niveau, ce n'est plus du judiciaire mais de l'exécutif

On a déjà constaté avec quelle peine la justice, cette machine lourde et poussiéreuse, modifie son allure pour masquer sa latence 5. Quels nouveaux raccourcis boîteux pour traquer les idées virtuelles au prix du droit à la vie privée? Ne rêvons pas, ce n'est pas le code de procédure qui sera simplifié; il se complexifie tous les ans. Ce qui va changer, ce sont les démarches administratives pour s'introduire dans notre vie privée.


More »»

Banquignols — Test de connexion SSL

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-04T13:00:06
EthACK vient de lancer l'application Banquignols1. Le but est de tester et noter la qualité des connexions offertes par différentes banques en Suisse (environ 180).

L'application prend en compte les protocoles offerts, ainsi que les algorithmes de chiffrement supportés, en plus de quelques autres critères. Notre objectif est d'attirer l'attention du public sur le fait que les banques, censées être garantes du secret de vos avoirs, ne semblent pas toutes faire le maximum pour assurer une connexion sécurisée au plus près des bonnes pratiques actuelles.

Attention cependant : une mauvaise note ne veut pas dire que vos données sont accessibles par tout le monde, loin de là : du moment qu'une connexion SSL/TLS est présente, cela signifie que le contenu de vos interactions avec le site est chiffré.
Du coup, ce n'est pas votre voisin qui pourra savoir combien vous gagnez. Par contre, si le chiffrement est faible, ça peut être à la portée d'un état.

Aussi, l'application ne fait aucun test d'intrusion ou de recherche de failles au niveau des applications ­— les implications légales sont trop importantes pour qu'on se permette de faire cela sans un minimum de préparation, de prise de contact et, surtout, d'acceptation de la part des entités testées.
Du coup, la BCGE, qui pourtant a eu une fuite de données non négligeable, s'en sort avec une note potable.

Ce qui est inquiétant : la moyenne, à l'heure actuelle, n'est que de 7.70 sur 10 pour les sites de e-banking. Elle devrait être d'au moins 8.5 voire 9, sachant que, sur un plan purement technique, le 9 est "facilement" accessible. Le 10, par contre, avec notre barème, est peu probable à l'heure actuelle (un peu de challenge ne fait pas de mal ;) ).

Si vous vous sentez concernés par la sécurité qu'offre votre banque, et que la note vous inquiète, n'hésitez pas à la contacter. Nous avons approché une des banques présentes dans le listing qui présentait une note particulièrement basse, et, en suivant nos indications et en profitant de nos actions pour accélérer des procédures, la banque en question a pu remonter sa note de quelques points.

Pas toutes les banques vont réagir comme celle-ci — mais si un certain nombre de demandes arrivent, peut-être que ça les fera bouger.

Encore une fois, la sécurité n'est pas en cause (du moins, on ne peut pas s'en rendre réellement compte avec nos tests), il s'agit avant tout d'une question de principe : offrir au client le top au niveau confidentialité de sa connexion.

Dans l'idéal, voici ce qu'une banque devrait fournir :
  • connexion sécurisée sur l'ensemble du site, pas que le e-banking
  • forcer la connexion sécurisée
  • désactiver les protocoles SSLv2 et v3, et ne laisser que TLSv1, v1.1 et v1.2
  • avoir une clef privée dont la taille est au minimum de 2048 bits
  • employer un algorithme de signature SHA2 au lieu de SHA1
  • offrir une majorité de ciphers (algorithmes de chiffrement) fournissant la confidentialité persistente
  • désactiver les ciphers réputés peu sûrs (il y en a un wagon)
  • ordonner correctement les ciphers, et forcer l'ordre du serveur (ce point n'est pas testé)

En plus, s'agissant d'une banque, les données et points d'accès devraient être en Suisse.

Au final, ce n'est pas compliqué. Certaines banques laissent SSLv3 activé parce qu'elles ont remarqué qu'elles ont une majorité de clients avec des vieux navigateurs. Il faut savoir que ces personnes tournent avec un Internet Explorer 6 sur du Windows XP en général, et que le combo IE6/XP ne sont plus du tout supportés… Du coup, leur système n'est pas à jour, et possède sans nul doute des failles importantes.
On peut donc se demander si ça ne rendrait pas service à ces personnes de se retrouver bloquer, et obligées à mettre à jour leur machine. Pas forcément avec du Windows, en passant ;).

Concernant l'application elle-même, le code source est ouvert et est hébergé sur github2. Si vous pensez que certains tests peuvent être ajoutés, ou que vous voulez l'employer pour votre propre compte, ne vous gênez surtout pas ;).

Nous espérons que ce site éveillera les consciences, et forcera les banques à réagir comme celle que nous avons contactée : appliquer des correctifs (et nous rencontrer pour discuter sécurité et protection des données).

Nous tenons encore à le répéter : les tests ne sont en aucun cas intrusifs. Il s'agit d'une "prise d'empreinte", complètement passive, et ne diffère pas trop d'une utilisation standard des sites.

More »»

Superfish, ou comment Lenovo tue la confiance en SSL/TLS

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-19T18:03:34
Lenovo ont fait fort, très fort : en installant une application d'un partenaire commercial, ils viennent de tuer le fonctionnement même de SSL/TLS et de la chaîne de confiance autour de cet écosystème.

Pire que POODLE, Heartbleed et autres failles au niveau des protocoles, on vous présente Superfish.

Superfish, c'est le nom d'une société (Superfish Inc) américaine. Elle fournit, entre autres, une application insérant de la publicité dans vos pages Web, en faisant tourner sur votre machine un serveur, et en forçant les connexions de votre navigateur à passer par lui (un mot : un proxy1).

Là où le bât blesse, c'est que ce proxy insère aussi du contenu dans les connexions chiffrées (vous savez, le petit httpS, avec le cadenas). Or, les connexions sécurisées sont, justement, censée éviter ce genre de comportement.

Comment se fait-il qu'un tiers se trouvant entre vous et, disons, Facebook (ou Twitter, ou votre banque) arrive ainsi à injecter du contenu ? Simple : l'application de Superfish génère des certificats à la volée, déchiffre le contenu, et rechiffre derrière.

Sauf que, normalement, votre navigateur devrait crier : le certificat de votre site n'est pas valide, parce que Superfish n'est pas une autorité de certification reconnue… Et bien, cher lecteur, chère lectrice, grâce à Lenovo, Superfish est considéré comme une autorité de confiance par votre ordinateur !

En effet, Lenovo ont commis une énorme bourde : ils ont installé le certificat de Superfish au cœur de votre système, en lui octroyant, en plus, la confiance maximale ! Du coup, les certificats créés à la volée par le proxy de Superfish sont considérés comme valides.

Mais ce n'est pas tout : pour signer les certificats générés, l'application de Superfish possède la clef. Évidemment. Sans cette clef, le proxy ne pourrait pas signer le certificat généré, et donc il n'y aurait pas moyen d'éviter que votre navigateur ne crie au scandale.
Évidemment, la clef est chiffrée. Mais comme elle est disponible sur quelques milliers de machines2, qu'elle circule déjà sur le Net3, on ne peut pas vraiment dire que ce détail va retenir des hackers de s'y mettre4.
Du coup, n'importe qui peut signer un certificat via l'autorité de Superfish.

Vous voyez où on veut en arriver ? Non ? Bon, reprenons :
vous êtes sur votre site d'achat favori, en SSL/TLS, donc connexion chiffrée. Vous faites vos petites affaires, pensant "c'est bon, je peux donner ma carte bancaire, y a le cadenas". Mais est-ce le bon certificat ? Combien d'entre nous vérifie l'émetteur du certificat ? Combien prennent le temps de réellement vérifier ? Pas des masses.

On ne parlera pas non plus de l'effet avec les mails de phishing5 — à ce niveau, Superfish pourrait être renommé en SuperPhish. Les possibilités sont infinies, à partir du moment où le nombre de cibles potentielles se mesure par le nombre de clients d'un des plus gros distributeurs de matériel informatique.

Et, cette fois, n'importe qui peut vous écouter : de votre voisin, au petit hacker boutonneux. Et sans aucun effort, surtout sur votre réseau local donc la clef WPA est "mon chien s'appelle Fido" voire, plus trivial, votre numéro de téléphone. En quelques manipulations très simples, voire enfantines, on peut faire en sorte que votre trafic passe par une machine sous notre contrôle, possédant les applications nécessaires6, et vos actions sur le Net n'ont plus aucun secret.

Ce qu'a fait Lenovo, c'est juste briser la chaîne de confiance, déjà mise à mal maintes reprises7

En installant de manière globale cette autorité, Lenovo a démontré que les fabricants ne savent pas ce qu'ils font. Qu'on ne peut pas leur faire confiance. Que le système complet des autorités de certification n'est pas fiable : s'il faut, à chaque fois qu'on achète un ordinateur ou, plus généralement, dès qu'on installe quelque chose dessus, s'assurer que le cercle de confiance n'est pas compromis, on n'est pas près de s'en sortir. Personne ne prend la peine de contrôler le keyring système. Plus de 600 autorités diverses, des autorités privées, étatiques, locales… La tâche est impossible. Comment savoir lesquelles sont ne serait-ce qu'utiles ? De là à déterminer nous-même lesquelles sont de confiance…

Mais c'est un autre sujet (tout aussi intéressant cela dit : quelle confiance peut-on avoir dans les autorités de certification ?).

Revenons sur Superfish. Dans le cas où vous avez récemment acheté un ordinateur Lenovo (bien qu'à notre sens il ne faille en aucun cas limiter à cette seule marque), voici les différents points pour vous assurer que vous n'êtes pas compromis par ce certificat vérolé :
  • Exécutez certmgr.msc (Windows+r pour avoir l'invite de commande)
  • Allez dans la partie "Autorités de certification racine"
  • Cherchez "Superfish Inc."

Si vous la trouvez, supprimez-la.

Vous pouvez aussi passer par ce site8 qui vous donnera une indication — mais l'option "vérification manuelle" décrite ci-dessus est la plus sûre.

Il vous faut aussi contrôler dans les logiciels installés que les produits de Superfish Inc sont absents. Histoire d'éviter qu'ils tournent, se mettent à jour ou que d'autres joyeusetés de ce genre n'arrivent.

Cette histoire montre à quel point nous, consommateurs, sommes dépendants des fournisseurs.
Cela montre aussi à quel point les fournisseurs ne peuvent pas avoir notre confiance — or, en sécurité, malheureusement, beaucoup de choses se basent sur la confiance (pour l'utilisateur final).
Nous, consommateurs, n'avons pas les connaissances nécessaires pour repérer les erreurs (volontaires ou non) commises sur des produits qu'on achète.

More »»

Catégories en relation

Vol de clefs de chiffrement : conséquences possibles

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-20T15:53:18
Décidément, la semaine est chargée : après Lenovo et ses partenariat commerciaux boiteux, on apprend que nos chers amis de la NSA et du GCHQ ont volé plusieurs millions de clefs cryptographiques employées par les cartes SIM.
La principale cible est le fournisseur Gemalto1 l'annonce provient de First Look2, après analyse des documents fournis par Edward Snowden3, en 2013.

Gemalto ne confirme ni n'infirme4 l'annonce pour le moment. Mais il convient de s'intéresser à ce que signifie, pour la protection de nos communications, un pareil vol.

Mobile ID
Vous savez, ce moyen merveilleux de valider votre identité5 auprès de certaines entités, comme Postfinance6 par exemple.

Il se base, bêtement, sur la carte SIM et sa sécurité… Sécurité qui est donc, à priori, explosée ou, à tout le moins, fortement diminuée. Au temps pour la simplification des authentifications.

Cartes SIM pour paiement sans contact
Oui, le NFC peut aussi se retrouver directement intégré à votre carte SIM7, profitant là encore des capacités de sécurisation de ce petit bidule.

Bon, donc là aussi, ça prend une baffe.

Communications
La partie "crypto" embarquée dans les cartes SIM a plusieurs rôles, dont celui de vous authentifier auprès des antennes. Ou encore de chiffrer vos communications avec ces antennes. Et ce sont ces clefs de chiffrement qui ont été volées. Donc la clef de vos communications.

Déjà que la communication mobile n'était pas un exemple de sécurité8, mais là ça devient carrément catastrophique.

Nos fournisseurs nationaux de téléphonie mobile se gardent bien de répondre aux différentes questions posées sur les réseaux sociaux. Les médias ne semble pas non plus s'y intéresser (pensez donc, HSBC se fait enfin tacler, et DSK est relaxé) — du coup, il y a fort à parier que rien ne filtrera dans notre beau pays peuplé de licornes roses et de bisounours tout mignons.

En tant que client, vous, cher lecteur, devriez pouvoir accéder au service client et insister pour savoir si votre fournisseur de service emploie des cartes SIM fournies par Gemalto, et ce qu'il compte faire dans le cas où les révélation de Snowden se révèlent, une fois de plus, exactes.

Il en va de la sécurité de vos données, de vos communications. Vous n'avez, certes, "rien à cacher" : vous n'êtes pas un terroriste en phase de radicalisation, ni un pédophile croqueur de chatons. Mais cela n'est en aucun cas une raison pour laisser faire — une puissance étrangère qui agit de la sorte devrait être mise au pilori.
On n'est pas loin d'un acte de guerre, d'autant que Gemalto n'est ni un fournisseur d'armes, ni un trafiquant, ni un ennemi. Juste une entreprise privée bossant dans la crypto. Ça aurait pu être n'importe qui d'autre.
D'ailleurs, il semblerait que Gemalto ne soit pas la seule à s'être faite exploser.

Il est plus que temps de saisir les autorités, de faire ouvrir des enquêtes sur les agissements de la NSA, du GCHQ, des liens du SRC9 et du DFJP10 avec les services et fournisseurs étrangers11.
Et, pourquoi pas, le DDPS12 tant qu'on y est, plus particulièrement la partie "Armée Suisse" :  les drones achetés proviennent d'un pays ne respectant pas vraiment les droits de l'homme et faisant tout pour annihiler une population locale…

Nous, citoyens suisses, avons les moyens de faire bouger les choses. Nous pouvons alerter nos représentants au gouvernement. Nous pouvons imposer des changements.

Nous devons le faire, pour que notre démocratie perdure malgré la multiplication des attaques extérieures. Ça commence par la protection de notre sphère privée.

More »»

Établissement d'une surveillance de masse pour votre bien

Par SwissTengu @SwissTengu @SwissTengu — 2015-04-16T15:37:44
La surveillance. La solution finale (pardon, "miracle") pour empêcher les attentats terroristes. Et, le pire, certains y croient. Et ne sourcillent même pas quand un élu annonce que "pour protéger la liberté, il faut renoncer à certaines libertés".

Un échange sur Twitter1 montre à quel point on est mal. Enfin, pour autant qu'on puisse prendre au sérieux un échange sur Twitter, évidemment — mais troll ou non, les arguments reflètent malheureusement un état d'esprit des plus mauvais pour la Démocratie.

Une confiance aveugle dans un système mort et enterré depuis des lustres. Des arguments populistes, dans le genre "on a déjà assez pleuré de morts comme ça, ça suffit !" en référence aux attentats survenus en France… qui ont fait moins de mort en quinze ans que la cigarette à elle seule en une année, ou les accidents de la route, un crash d'avion (réellement involontaire et accidentel) ou simplement… la grippe.

Pourtant, aucune de ces causes de mortalité n'est prise en compte. Seul compte le vilain terroriste qui vous fait péter 12 personnes d'un coup, certes de manière violente. La menace ultime après le pédophile, la menace qui atteint les enfants, les parents ET le reste de la population, même les célibataires, les homosexuels, les handicapés… Bref, on a enfin l'Ennemi, le vrai, celui qui ralliera tout le monde contre lui.
Celui qui permettra, enfin, de faire passer des lois "pour la protection du bon peuple", de s'affranchir de cette maudite "sphère privée" qui empêche les services de tout savoir sur tout le monde, principalement au niveau de l'opposition politique, les mouvements alternatifs voire altermondialistes. En gros, de virer enfin ce système démocratique qui nous empêche de faire ce qu'on veut comme on veut.
Oh, bien sûr, ce n'est pas présenté ainsi : on va y aller doucement. Un contrôle par une autorité quelconque, à l'indépendance douteuse. Ensuite on va établir les "mesures d'urgences", ou encore "d'exception". Un peu comme Vigipirate2, établi il y a tant d'années3, que personne ne remet en cause et qui, surtout, n'aura pas empêché les 3 derniers gros attentats survenus en France (oui, le pays sur le continent, pas ailleurs).

Vigipirate est d'ailleurs un excellent exemple de comment va se passer la mise en place d'une surveillance généralisée en France et, sans doute, dans d'autres pays, dont la Suisse. On profite d'une situation "d'urgence" ou, du moins, décrite comme telle, pour faire passer une série de mesures. On pousse déjà pas mal pour avoir un gros pack de lois et mesures permettant, entre autres, de les modifier par la suite.
On assure que c'est "temporaire", mais on s'arrange pour que ce soit reconductible4. On s'arrange aussi pour que les tâches restent flouent ou, du moins, assez larges pour ajouter petit à petit des missions, des cibles.
Par exemple, on prendra pour cible les personnes employant des systèmes de chiffrement "employés par des terroristes"5 — sous-entendu "qui ne sont sans doute pas troués ni validés par une autorité étatique". Du coup, Tor, FreeNet, i2p et autres tombent sous le coup de cette surveillance dédiée.
Leurs utilisateurs seront donc classés dans "cibles potentielles". À surveiller.
On habitue les gens à voir des personnes armées, en treillis, dans les rues. On habituera les gens à surveiller ce qu'ils disent, ce n'est pas bien compliqué. On pourra les éduquer à cela dès la maternelle de toutes façons.

En parallèle, on va mettre en place de la censure de sites d'opinion (ou de presse). Oh, propagande et apologie du terrorisme uniquement. Bon évidemment, des fois, ça dérape6 mais comme il n'y a pas de juge impliqué, c'est vite plus compliqué. Et puis bon, Il y a sans doute un motif justificatif après tout. C'est juste un site.

Du coup, on va aussi gentiment voir qui accède, ou tente d'accéder, aux sites censurés de la sorte. Après tout, ces gens peuvent représenter une menace.
On ramassera donc des chercheurs, des curieux, des "j'ai pas tapé la bonne URL-ooopsss". Et, peut-être, quelques menaces réelles. Et encore. Faudrait vraiment être con pour accéder à ces contenus par Internet en clair avec un but "malsain"…

Toujours en parallèle, on va argumenter que la sécurité, c'est super-important, et qu'il faut donc un budget conséquent. Donc qu'il faut procéder à des coupes budgétaires ailleurs, parce que la sécurité, c'est le plus important. On verra bien quoi couper, mais l'éducation semble toujours le bon candidat. En plus, un peuple "bête", c'est un peuple suiveur, plein de moutons. L'idéal pour renforcer encore l'emprise de l'état.

Et on aura beau avertir les gens, leur dire "non c'est pas bon"7, "non c'est dangereux"8, on continuera à passer pour des paranoïaques en puissance ayant des choses malsaines à cacher.

Pour ma part, je n'ai "rien à cacher". Ce n'est pas pour autant que je vais accepter des intrusions dans ma vie privée, surtout en sachant que ces intrusions ne serviront pas les buts annoncés9.

More »»

Catégories en relation

Victoire magistrale : une Cour d'appel américaine déclare illégales les écoutes de la NSA

Par FCharlet @FCharlet @FCharlet — 2015-05-08T09:21:10

C'est un roc ! C'est un pic ! C'est un cap ! Que dis-je, c'est un cap ? C'est une péninsule ! Ou tout simplement, c'est énorme. Voilà comment l'on peut qualifier la décision rendue hier par la Cour d'appel du Deuxième Circuit aux États-Unis. Les écoutes massives des appels téléphoniques et la collecte des métadonnées y relatives par la NSA sont illégales selon le droit fédéral américain !

Et ce jugement intervient au moment où les autorités américaines débattent du renouvellement de la section 215 du Patriot Act, car elle expire en juin 2015. Certes, il ne tranche pas la question de la constitutionnalité du programme d'écoute, mais la Cour d'appel déclare clairement que la section 215 n'autorise pas la collecte massive de données (quelles qu'elles soient).

We hold that the text of § 215 cannot bear the weight the government asks us to assign to it, and that it does not authorize the telephone metadata program. [p.82]

Résumé

Ce jugement renverse une décision d'une cour de district qui avait déclaré irrecevable en 2013 la remise en question du point de vue constitutionnel de la collecte massive des données par la NSA. Cette action avait été introduite par l'ACLU, l'American Civil Liberties Union, à l'encontre de l'Office of the Director of National Intelligence. La Cour d'appel casse donc la décision de la cour de district et lui renvoie l'affaire pour nouvelle décision. La constitutionnalité de la collecte de données n'a pas été tranchée par la Cour d'appel, mais il est à supposer que cette question devra être analysée par la Cour de district.

Quoi qu'il en soit, la Cour d'appel a clairement dit que la section 215 n'autorise pas le gouvernement à collecter massivement des données relatives aux appels téléphoniques. Elle contredit donc directement la NSA et le gouvernement qui affirmaient bien évidemment le contraire.

Ce jugement ne met pas immédiatement un coup d'arrêt à cette collecte, mais s'il n'est pas renversé par une juridiction supérieure, cela pourrait envoyer un signal fort pour l'arrêt de ce programme de surveillance. D'ailleurs, au vu de la proximité calendaire avec le vote du Congrès sur le renouvellement de la section 215, cela pourrait forcer celui-ci à clairement préciser que la collecte massive de données est (ou non) autorisée. C'est d'ailleurs ce que précise la Cour d'appel.

We do so comfortably in the full understanding that if Congress chooses to authorize such a far‐reaching and unprecedented program, it has every opportunity to do so, and to do so unambiguously. Until such time as it does so, however, we decline to deviate from widely accepted interpretations of well‐established legal standards. [p. 82]

Cela change complètement la donne pour le Congrès : si le programme de surveillance doit continuer dans sa forme actuelle, seule une réforme de ce programme et de la loi qui lui sert de fondement ne permettra de lui garantir sa survie.

Cependant, il reste encore le problème de la violation du 4e amendement, soutenue par l'ACLU. Cet amendement protège contre des perquisitions et saisies non motivées et requiert un mandat (circonstancié) pour toute perquisition. Ce grief n'a pas été analysé par la Cour d'appel, à dessein. Les juges ont préféré analyser la matière sous l'angle téléologique. Autrement dit, que voulait le législateur lorsqu'il a adopté la section 215 ? Certainement pas un programme de cette ampleur qui collecte même des données sur les citoyens américains.

La Cour dégage également en corner l'argument selon lequel les métadonnées ne sont pas des données personnelles et ne portent par conséquent pas atteinte à la sphère privée.

Elle démolit aussi la position du gouvernement qui affirmait que le Congrès avait voulu autoriser un tel programme de collecte de données. Les juges ont, bien au contraire, nié cette interprétation et jugé que le Patriot Act est destiné à une surveillance ciblée dans des cas déterminés et limités dans le temps.

The records demanded are not those of suspects under investigation, or of people or businesses that have contact with such subjects, or of people or businesses that have contact with others who are in contact with the subjects – they extend to every record that exists, and indeed to records that do not yet exist, as they impose a continuing obligation on the recipient of the subpoena to provide such records on an ongoing basis as they are created. [p. 61]

La Cour d'appel conteste encore l'argument du gouvernement selon lequel le Congrès aurait implicitement approuvé la collecte massive de données lors du renouvellement de la section 215 en 2010 et 2011. Les juges notent que la plupart des membres du Congrès n'étaient même pas au courant de cette collecte, et que pour pouvoir affirmer cela, il faudrait apporter des preuves relatives aux discussions en plénum du Congrès sur ce sujet.

Congress cannot reasonably be said to have ratified a program of which many members of Congress – and all members of the public – were not aware. [p. 79]

La Cour ne s'arrête pas là et enfonce complètement le Département de Justice. Ce dernier soutenait que les décisions prises par la Cour FISA (qui tranchait les requêtes de surveillance dans le plus grand secret) n'étaient pas soumises au système judiciaire classique et qu'elles ne pouvaient donc pas être revues par celui-ci. Selon le DoJ, le secret de ces décisions l'empêche absolument.

Upon closer analysis, however, that argument fails. The government has pointed to no affirmative evidence, whether “clear and convincing” or “fairly discernible,” that suggests that Congress intended to preclude judicial review. Indeed, the government’s argument from secrecy suggests that Congress did not contemplate a situation in which targets of § 215 orders would become aware of those orders on anything resembling the scale that they now have. That revelation, of course, came to pass only because of an unprecedented leak of classified information. That Congress may not have anticipated that individuals like appellants, whose communications were targeted by § 215 orders, would become aware of the orders, and thus be in a position to seek judicial review, is not evidence that Congress affirmatively decided to revoke the right to judicial review otherwise provided by the APA in the event the orders were publicly revealed. [p. 38]

Un peu plus bas, la Cour rajoute une couche qui démontre bien à quel point les juges ne sont pas (mais alors absolument pas) convaincus par les arguments du gouvernement et de sa manière de procéder.

In short, the government relies on bits and shards of inapplicable statutes, inconclusive legislative history, and inferences from silence in an effort to find an implied revocation of the APA’s authorization of challenges to government actions. [p. 52]

Commentaire

Bien que ce jugement n'aille pas au bout de sa "pensée" (à savoir : fermer les programmes de collecte massive de données), j'en jubile intérieurement comme jamais.

Tout d'abord, c'est une victoire magistrale pour le 4e amendement de la Constitution des États-Unis. Puis, si l'affaire doit revenir devant cette Cour d'appel après la décision de la Cour de district, on a désormais une idée de la manière dont elle pourrait définitivement trancher l'affaire (à moins d'un recours à la Cour suprême). Le seul bémol étant de s'être arrêté un peu à mi-chemin, mais la suite de la procédure (qui prendra sûrement des années) s'annonce haletante et passionnante.

Aujourd'hui est un grand jour et ma foi en la justice se regonfle un peu, grâce à la lueur d'espoir qui vient de s'allumer...

More »»

C'est juste pour le terrorisme

Par SwissTengu @SwissTengu @SwissTengu — 2015-07-01T06:28:18
De plus en plus, on entend des sorties "c'est contre le terrorisme", "c'est pour la sécurité des citoyens", etc.
De plus en plus, on entend aussi des choses dans le genre "il faut forcer les développeurs à donner les clefs de chiffrement".

On entend aussi des personnes qui mettent les deux ensemble : "dans le cadre de la lutte contre le terrorisme, il faut qu'on puisse obliger les entités à fournir les clefs de chiffrement" (bon, ok, comme toujours ils disent "de décryptage"… mais passons).

Arrêtons-nous deux minutes et réfléchissons à tout cela. On se rend compte en moins de 30 secondes que cette idée implique donc un cas d'exception. "Pour lutter contre le terrorisme". Et dans ces cas d'exceptions, on demande des mesures d'exception. "Fournir les clefs de chiffrement".

Mis à part le fait que du moment qu'une exception est créée, des personnes à l'esprit très brillant vont aussitôt s'engouffrer pour proposer d'appliquer cette exception à un autre cas, puis un autre, ce jusqu'à ce que l'exception devienne norme — cela, de toutes façons, on va nous sortir que non, le cadre légal est précis. Et blah-blah-blah. Bref.

Non, ce qui est intéressant, c'est d'imaginer comment une entité mettra à disposition des clefs de chiffrement. Des exemples comme Threema ont été cités. Le fond de commerce de cette application étant le chiffrement asymétrique1 et le fait que les clefs de chiffrement sont sur les appareils, je les vois mal commencer à vouloir récolter les clefs "à des fins de possible enquête et déchiffrement ultérieur". Ou créer une backdoor pour que les clefs puissent être rappatriées (encore que…).
En cas de soupçon de ce genre de pratique, Threema pourra mettre la clef sous la porte.

Une application dont le code est ouvert, dans le genre de Telegram par exemple, ne pourra simplement pas implémenter cela sans s'attirer les foudres de la communauté.
Et, dans le cas où l'application utilise une autre technique de chiffrement (OTR2, à tous hasards), ça devient encore plus drôle : les clefs changent, et la clef "actuelle" ne permet pas de déchiffrer les messages précédents, et ne permettra pas de déchiffrer les messages suivants.

Bref… La transmission elle-même n'est de loin pas assurée, ni assurable. Ça détruira le modèle économique de pas mal d'entreprises, avec les conséquences qu'on peut imaginer. Ouep, je vous ressort le discours d'Economiesuisse ;). Des fois il peut avoir du bon.

Bon, admettons, pafff, coup de baguette magique, y a une solution. La police (et, ne nous voilons pas la face, les services de renseignements divers et (a)variés) peuvent demander (ou s'octroyer) l'accès aux clefs de chiffrement et de déchiffrement. On sait pas comment, mais ça marche ;). Bref.

Comment ces clefs seront-elles stockées ? Je ne sais pas pour vous, mais j'ai pas mal de raisons de douter de la capacité tant du SRC3 que des autres, Fedpol4 comprise, pour conserver des données confidentielles sans la moindre fuite.

Résumons vite-fait : les clefs peuvent difficilement être transmises par les entités fournissant les services de messagerie chiffrées, et le stockage de ces clefs est lui-même des plus incertains.

Ajoutons à cela le fait que les exceptions sont faites pour devenir des normes par la force des choses ("pensez aux enfants", "pensez à l'espionnage industriel", etc), les outils crpytographiques (du moins ceux à bases de clefs statiques) ne serviront plus à rien. Ni pour les vilains, ni pour les gentils.
Le problème étant : les vilains, ils ne sont pas complètement stupides — du moins pas tous. Ils ont des capacités, entre autres financières, pour obtenir des systèmes de communication sécurisés, décentralisés. Des moyens qui les mettront donc hors de portée des services de renseignement et de la police. Laissant les gentils à la portée du premier hacker venu ayant assez de baloches pour hacker fedpol ou toute autre entité à la sécurité vaseuse. Et la sécurité générale ne sera pas meilleure, mais, bien au contraire, encore plus mauvaise, du moins pour les citoyens — on pourra compter sur les États pour se fournir en applications et systèmes, aux frais des citoyens.

En somme, vous l'aurez compris, ces propositions sont dangereuses, et n'apportent rien au niveau sécurité. Un peu comme les projets de lois sur le renseignement, en somme : accumulation de données, pour rien, représentant une masse tellement énorme qu'elles ne seront pas traitées.
Un peu comme en France5, où des dossiers complets sont ignorés, des dangers dé-fichés, des données passant dans l'angle mort…

La surveillance globale telle que préconisée par la plupart des services ne sert à rien — les USA sont en avance à ce niveau… Boston n'a pas pu être évité, et le nombre d'attentats "annulés" change à chaque audition.

More »»

Catégories en relation

Je chiffres, tu chiffres, on est des terroristes

Par SwissTengu @SwissTengu @SwissTengu — 2015-07-02T13:37:11
Titre raccoleur n'est-ce pas ? Et pourtant, on y vient, à grands pas voire avec un TGV (qui ne sera pas en grève, lui).

Actuellement, pas mal d'échanges sont chiffrés à notre insu : les communication avec votre banque (… encore que1…), les communications avec certains sites (dont EthACK évidemment), vos messages WhatsApp2 (… encore que3…), etc, etc.
Le chiffrement se démocratise enfin, entre autres grâce aux révélations de Snowden, qui a mis en lumière les pratiques de la NSA. Mais en parallèle, certaines entités, gouvernementales et/ou privées, tentent au contraire de rendre le chiffrement inopérant. Pourquoi me direz-vous ? Simple.

Le chiffrement, cette bête noire
Le but du chiffrement : garder les communications secrètes, les protéger contre les autres. Du coup, pour des raisons de sécurité nationale (ou autres trucs assimilés), certains sont en train de pousser pour que les clefs de chiffrement soient transmises aux forces de l'ordre (sans se préocuper des conséquences), voire d'interdire purement et simplement certaines applications ou formesde chiffrement.
Parce que "les terroristes" (ou "les pédophiles" ou n'importe quelle menace actuelle "qui fait peur") peuvent, via ces outils, passer outre les mailles des filets des forces de l'ordre.
Logiquement, parce que "les terroristes" utilisent des voitures pour se déplacer, il faudra les interdire. Parce que "les terroristes" utilisent des explosifs, il faudrait les interdire… On peut aller loin, avec les analogies.

Le problème, c'est que les citoyens ne savent pas ce qu'est le chiffrement. Ils ne comprennent pas sa nécessité, se cachant derrière Goebbels et son fameux "vous n'avez rien à craindre si vous n'avez rien à cacher" et autres sorties fallacieuses de ce genre.

Le chiffrement, à quoi ça sert alors ?
Comme dit tantôt, à garder secret un échange d'informations. Point. Le chiffrement est un outil, et se fiche complètement de ce pour quoi il est employé : ça peut être la photo de votre chat, un mail à votre conjoint(e), un sms à votre enfant, etc.
Le chiffrement vous assure que le contenu que vous lui confiez ne sera lisible que par le seul destinataire — ou, dans le cas où vous conservez en local, que seul vous pourrez accéder au contenu plus tard.
Le chiffrement ne sert pas que pour les communications : on parle aussi de chiffrer des disques durs, clefs USB, etc. Sur le principe, c'est pareil. On a du contenu, et on veut le protéger contre les autres.

On peut vouloir chiffrer son disque dur dans bien des cas, sans pour autant être un vilain pédoterroriste tueur de chatons : un comptable chiffrera son laptop et ses communications pour éviter que le vol ou la perte de son appareil, ou l'interception de ses échanges ne causent de tort à ses clients; un graphiste pourrait vouloir chiffrer pour des raisons similaires, par exemple pour protéger une avant-première d'un site web; un développeur pourrait vouloir chiffrer son appareil et ses communications dans le cas où il est en possession de codes d'accès.
Les exemples ne manquent pas. Tous sont légitimes, comme le fait de respirer, de se déplacer.

Quel rapport avec le titre ?
Comme expliqué, le chiffrement est en train de se démocratiser. Et de faire parler de lui, forcément. Et de faire peur, principalement à celles et ceux qui ne comprennent pas que c'est une chose naturelle comme d'aller dans des toilettes pour pisser au lieu de le faire dans la rue, à la vue de tous (bon, oui, dépend de la culture, du pays, etc).
Le problème, avec les lois que sont en train de mettre en place nos grandes démocraties auto-proclamées, est que le simple fait de chiffrer va lever des alertes : un contenu qu'on ne peut pas lire est, dans l'esprit de certains, forcément suspect. Après tout, c'est bien connu, "les terroristes" utilisent tous GMail avec GPG — et ils représentent une majorité, parce que les autres "n'ont rien à cacher".
Du coup, si vous vous lancez dans, disons, des mails "sexy" avec votre conjoint(e) et que vous décidez, suite aux quelques soucis de fuites de mail, de chiffrer les contenus, hop, vous êtes dans le viseur.
Si vous conversez avec des clients via des cannaux sécurisés et chiffrés, hop, vous êtes suspects — vous avez des choses à cacher !

Le problème avec les écoutes de masse telles que pratiquées par les USA, la France4 et, sans doute, la Suisse5 (dans une moindre mesure certes), c'est que par défaut tout le monde est suspect. Vous employez des connexions chiffrées ? Hop, suspect. Vous n'utilisez pas gmail, mais un petit fournisseur indépendant ? Hop, suspect. Vous avez un autocollant sur la caméra de votre smartphone et/ou de votre tablette ? Hop, suspect. Vous vous insurgez contre la surveillance de masse, et contribuez à étendre le chiffrement en informant ? Hop, suspect.

Mais on est en démocratie, comment est-ce possible ?
Oui, nous sommes en démocratie, si on compare avec d'autres pays, comme la Syrie, la Chine. Mais notre statut n'est pas non plus des plus brillants. En Suisse, nous avons encore quelques moyens de faire faire un boulot correct à nos élus, mais certains partis politiques tentent de réduire6 le pouvoir du peuple sur notre état.
Aussi, les différents attentats (réussis ou déjoués) en Europe et dans les régions avoisinantes confortent le besoin de sécurité des citoyens, donc des états. Le martellement incessant des médias sur les attaques sanglantes, les alertes, etc n'aide évidemment pas à se sentir rassuré dans notre monde actuel.
Une excellente vidéo7 explique d'ailleurs tout cela — je vous invite fortement à la regarder, la comprendre, et à faire de même avec les autres vidéos de la chaîne8.

De manière générale, on peut partir du principe qu'il n'y a plus de démocratie dans le monde actuel. Triste constat, mais avec le durcissement des lois, le contrôle de l'état (voire directement des forces de l'ordre et/ou des renseignements), on arrive à des sociétés panoptiques9, où tout le monde surveille tout le monde, sur la base que si votre voisin sort du cadre, c'est qu'il est déviant, donc potentiellement dangereux. Nos sociétés actuelles ne sont plus basées sur la confiance entre les citoyens, mais sur la peur, la méfiance.

Mais si je chiffre, je risque quelque chose ?
À priori non. Pas tout de suite. Enfin ça dépend de vos correspondants. Au pire, dans l'état actuel, certains pays voyant passer vos communications pourraient être tentés d'enregistrer les contenus (et les métadonnées) en vue d'une utilisation ultérieure.

Le chiffrement peut aussi être un garant de la démocratie : il protège la liberté d'expression, il protège l'information. Il protège potentiellement les auteurs des informations, particulièrement dans le cas d'un pays totalitaire, comme la Chine par exemple. L'existence même des outils cryptographiques est un bienfait, y compris reconnus par les Nations Unies10

On voit donc que vous ne risquez, en théorie, rien, puis que vous usez d'un droit humain, celui de protéger votre sphère privée. Après, y a la pratique ;).

More »»

La Surveillance, la solution à tous les maux ?

Par SwissTengu @SwissTengu @SwissTengu — 2015-07-06T07:12:13
Snowden1, Assange2, Manning3, Wikileaks4, Orwell5, XKEYSCORE6, PRISM7.

Des noms qui tournent, ou ont tournés dernièrement. Le point commun ? Tous sont liés à la surveillance de masse, ou plutôt des masses, autrement dit nous, citoyens du monde.

Que l'on soit suisse, français, anglais, allemand, américain, tunisien, syrien, chinois ou japonais, on est tous impacté par ces noms : les premiers ont montrés que de la science-fiction (Orwell et son 19848) à la réalité (XKEYSCORE, PRISM, etc) il n'y a qu'un pas. Lequel a été franchis il y a des années9.
Sous couvert de "sécurité nationale", des pays ont mis en place des systèmes de surveillance passant au crible tous nos échanges. Privés, professionnels ou intimes, tous sont passés à la loupe. Les metadata (méta-données), mises en avant pour minimiser l'impact de cette surveillance, sont autant de données permettant de vous lier à des personnes, créer votre emploi du temps voire, selon lesquelles, deviner le contenu (un titre de mail trop parlant par exemple).
Aussi, on découvre "bizarrement" que cette surveillance aurait aussi servi à des fins économiques10, bien loin de la sécurité nationale donc (encore que certains pourront argumenter qu'une économie saine est bonne pour la sécurité — reste à définir "économie saine" quand on voit le montant des dettes des principaux acteurs de la surveillance de masse…)

Nous sommes surveillés par des pays étrangers, censés être des alliés11. Cette surveillance, déjà inacceptable quand pratiquée par des pays lointains, est en train d'être amenée dans notre pays, la Suisse.
La Suisse, pays dont la démocratie est vantée aux quatre coins du monde, est en train de se doter de lois et moyens techniques pour pratiquer une surveillance de masse et des intrusions informatiques.

Après avoir vu fleurir les caméras de vidéosurveillance12 dans nos villes et villages, après avoir mis en place, dans certaines zones, de "réseaux de solidarité entre voisins"13 poussant à la délation (appelons-le par son vrai nom, "Surveillance du voisinage"14 ou, en version originale, "neighborhood watch"15), voici que nos services de renseignement (et fedpol16, etc) veulent pouvoir agir au cœur du réseau.
Uniquement à des fins d'enquêtes, à priori, même si le spectre de la "surveillance préventive"17 refait surface dans la foulée.

Les fantasmes de Minority Report18 et, plus particulièrement, PreCrime19 (mais évidemment sans les dérapages hein, nos services de police et les employés du SRC20 ne sont "pas des Pieds Nickelés"21, selon notre bon Ueli Maurer, chef du DDPS22. Après tout, si on pouvait prévenir les crimes divers et variés avant qu'ils ne se produisent, ne serait-ce pas là le meilleur du meilleur du meilleur23 au niveau sécurité ?

Le problème est qu'introduire ces différentes choses dans la vie de tous les jours va avoir des impacts allant bien au-delà de notre sécurité.

Premièrement, la surveillance ne va pas améliorer la sécurité, ou du moins pas de manière significative.
Exemple bête et flagrant : les USA. Malgré la surveillance de la NSA et des autres services sur l'intérieur comme l'extérieur, les différentes tueries intestines n'ont pas pu être déjouées. Des attentats, commis par des tireurs isolés ou en très petits groupes, découplés des organisations criminelles "standards". Certains le faisant pour des motifs personnels, d'autres par accès de folie, ou encore d'autres le faisant au nom d'une foi, d'une idée, d'un idéal.

Autre exemple, la France. Bon, c'est un peu différent, la surveillance n'était pas encore officiellement avalisée par l'état au moment des faits, mais entre Merah24 et Charlie Hebdo25, l'usine en Isère26, il y a de quoi faire.
Le pire dans ces cas précis : les différents protagonistes (surnommés "terroristes" par les médias pour faire peur) étaient connus à un moment ou un autre par les différents services chargés de la protection de l'état et de ses citoyens.

De quoi se poser des questions légitimes sur le bien fondé d'une surveillance de masse telle que préconisée (et pratiquée) par un nombre croissant de politiciens.

Deuxièmement, l'humain change de comportement quand il est surveillé.
C'est un fait. Quand on sait qu'on nous observe, on n'agit pas pareil. C'est d'ailleurs un des principes du panoptisme27 : le fait que tout le monde regarde tout le monde induit un comportement différent sur l'ensemble des personnes.
Cette surveillance de tous les instants par "on ne sait qui", que ce soit des caméra (et leurs opérateurs), des drones (et leurs opérateurs), des "boîtes noires"28 et leurs algorithmes "révolutionnaires", ou de simples voisins ou passants, a une furieuse tendance à rappeler ce qu'il se passait au Moyen-Âge : la Chasse aux sorcières29. Avec toutes les dérives que cela implique de facto.

Vous avez des vues sur quelque chose que votre voisin possède ? Hop, vous n'avez qu'à le dénoncer pour quelque chose, genre "il a été dans une mosquée". Après tout, si on va dans une mosquée, selon les médias, c'est qu'on est presque à coup sûr membre d'un réseau quelconque de djihadistes en puissances, prêts à tout faire péter.

Dans un état de droit, la surveillance de masse n'a pas sa place.
Dans un état de droit, le renseignement se doit d'être sous le contrôle de personnes qualifiées, et accessibles par le peuple pour s'assurer du bon déroulement des choses.
Quand un état de droit se permet d'acheter du matériel d'écoute30 et des drones31 à un pays qui n'est pas des plus respectueux des droits de l'Homme et qui pourrait être accusé de crime de guerre32 à l'encontre de civiles, ça dénote d'un certain désintérêt voire d'une volonté d'ignorer les droits propres à chaque être humains, en particulier le droit à la sphère privée et à l'intégrité des citoyens.

Troisièmement, on a tous quelque chose à cacher.
L'argument "clef" des pro-surveillance est et restera encore longtemps "si vous ne voulez pas de ça, c'est que vous avez quelque chose à cacher". Simple réalité : on a tous quelque chose à cacher. Même ces personnes. Allez leur demander de lire leurs SMS et emails, et de passer leurs communications téléphoniques sur haut-parleur. Vous verrez de suite leur tête. Et vous les entendrez bredouiller des trucs évasifs pour tenter de noyer le poisson.

On a tous des choses à cacher, c'est instinctif. On a aussi, pour la plupart, notre "jardin secret", avec nos pensées intimes, nos fantasmes, nos idées. L'humain possède une chose appelée "imagination". Il est inventif, pour le meilleur et pour le pire — et cela ne pourra pas être altéré ni contrôlé. Du moins je l'espère.

Ce n'est pas parce que je chiffre mes communications que moi, citoyen moyen, ai quelque chose à me reprocher.
Ce n'est pas parce que je chiffre le contenu de mes disques durs que moi, citoyen sans histoire, ai quelque chose à me reprocher.
Ce n'est pas parce que j'utilise Tor sur mes appareils pour accéder à Internet que moi, citoyen anonyme, ai quelque chose à me reprocher.

Il s'agit simplement de m'assurer que le contenu de mon message, sensible ou non, n'est lisible que par le ou les destinataires.
Il s'agit simplement de m'assurer qu'en cas de vol ou perte de mes appareils, personne ne puisse accéder aux contenus des disques.
Il s'agit simplement de protéger ma navigation contre des oreilles indiscrètes, que ce soit un état, un fournisseur d'accès ou encore simplement les sites sur lesquels je vais.

Les différentes lois actuellement en discussions au Parlement sont des menaces contre notre sphère privée, des menaces contre notre démocratie. Des menaces réelles, immédiates.
L'utilisation de chevaux de Troie33 manipulés par l'État est une porte ouverte à tous les abus possibles et imaginables. Cela va d'une mauvaise sécurisation du logiciel, ouvrant des portes dérobées des deux côtés (centre de contrôle et poste infecté) à des utilisations à des fins personnelles, la fuite du code applicatif sur les réseaux, etc.
De plus, la mise en place de ce type de logiciels, appelés GovWare, implique une participation des logiciels anti-virus et autres firewalls pour ignorer sciemment les signatures de ces logiciels, créant ainsi la possibilité pour des malwares (virus, vers, etc) de passer outre les contrôles si tant est que des fuites au niveau des concepteurs des GovWare arrivent. Et elles arriveront.
On peut noter en passant que HackingTeam, un fournisseur de ce type de logiciels, se sont fait "légèrement" exploser34. Ça donne confiance, non ? 

Aussi, la Suisse semble vouloir valider l'utilisation35 des "IMSI Catchers"36. Cette technologie, déjà bien employée dans des dictatures et des pays moins démocratiques que la Suisse, permet d'intercepter les communications mobiles en se faisant passer pour une antenne normale.
Sachant que pour d'obscure raisons l'OFCOM37 ne publie pas les propriétaire des antennes mobiles sur la carte les positionnant38, je vous laisse imaginer l'ambiance paranoïaque qu'on pourra vivre : est-ce que le MMS me montrant nu que j'envoie à ma femme est bien passé par une antenne de mon fournisseur de service ? Et encore plein d'exemples de ce genre.

Ces différentes technologies sont certes attirantes et, il faut l'avouer, les vendeurs savent attirer les états. Mais il convient de s'arrêter un moment dans cette course aux informations et réfléchir au fond de la chose : est-ce qu'une caméra va me protéger d'un braquage ? Est-ce qu'une sonde réseau va me protéger d'un lien dans un email malicieux ? Est-ce qu'une "antenne voyou" (IMSI-Catcher) me protégera contre les appels de télémarketing ?

Pour toutes ces questions, une seule réponse : non.

Ces technologies ne protègent pas. Elles renseignent, mais dans des proportions telles qu'on ne trouve plus rien. Trop d'informations tue l'information — et ce n'est pas juste une jolie phrase.
Sinon, comment se fait-il que les USA aient autant de problèmes de sécurité intérieur, d'attentats et de mouvements de foule ?
Sinon, comment se fait-il que la France ait subi les derniers attentats, alors qu'une surveillance officieuse était en place et que, encore une fois, les protagonistes étaient connus ?

La Suisse a encore une chance de pouvoir éviter le pire, et de refuser la mise en place de ces moyens. Autre argument pour refuser ces nouvelles lois : actuellement, la Suisse est une démocratie apaisée, on supporte nos voisins suisse-allemands, on ne se flanque pas sur la tronche, et nos voisins nous laissent en paix; le gouvernement est encore composé de gentilles licornes roses, plus ou moins en harmonie les unes avec les autres. Mais cela peut changer. On le voit chez nos voisins avec la montée de la Droite, les durcissements de lois etc.
Imaginez toutes ces technologies entre les mains de l'UDC; entre les mains de fanatiques quelconques; en bref, entre les mains des mauvaises personnes qui, pour une raison ou une autre (argent, idéologie, etc) trouveront un intérêt à détourner ces outils. On ne parle pas de détourner une voiture, un avion, des fonds, ce qui impacterait une petite quantité de personnes, mais de moyens touchant toute une population, voire un continent, voire le monde entier.

Mettre ces "jouets" entre les mains d'organismes dont les collaborateurs sont capables de perdre ou se faire voler des données39 voire, pire, d'utiliser ces outils à des fins personnelles40 revient à un suicide démocratique.

Voulons-nous vraiment en arriver là ? Voulons-nous torpiller la confiance (déjà maigre pour certain) qu'on a dans notre gouvernement ?

À vous de voir. Pour ma part, mon choix est fait.

More »»

Je sécurise mes contenus en zip ou assimilés

Par SwissTengu @SwissTengu @SwissTengu — 2015-08-04T18:15:32
Non, ce n'est pas une blague. Y a même tout un article1 sur une personne, sans doute très bien et consciencieuse, qui explique avec sérieux protéger les informations "très sensibles" envoyées par mail sur un PDF protégé par un mot de passe ou en zip.

Si le premier semble une bonne idée, il convient de rappeler que les mots de passe PDF ne sont pas gage de sécurité, une simple recherche2 permet de s'en rendre compte.

Quant au second… Si "unzip " permet d'accéder au contenu, on ne peut pas vraiment parler de protection. Certains vont parler des mots de passe sur les archives ZIP (voire RAR)… Là encore, non3.

Malheureusement pour cette personne, les données confidentielles pour lesquelles elle signe des NDA4 sont en fait à poils sur le Net. Super.

Maintenant que ces choses sont dites et (je l'espère) claires… "Comment qu'on peut faire pour protéger les contenus confidentiels qu'on communique à droite ou à gauche !?"

Différents systèmes existent, certains pas du tout conviviaux mais offrant une sécurité au top, d'autres carrément plus cools et clic-o-convi tout en offrant une sécurité à priori correcte.

Le pas convi : GPG via Enigmail ou GPGTools
On a tous ou presque entendu parler de GPG5 ou PGP6 et, surtout du fait que cet outil est tout sauf intuitif, pratique et orienté "utilisateur final" : il faut faire des "échanges de clefs", il faut "régler le niveau de confiance", "signer des clefs", "générer des certificats de révocation"… Autant de termes barbares, le tout le plus souvent géré dans des interfaces peu intuitives.
Sans même parler du fait qu'il faut se souvenir d'un nouveau mot de passe…

Bref. GPG est sympa tout plein, mais, franchement, à part des geeks barbus et quelques illuminés, pas grand monde l'utilise. Dommage. Parce que l'outil en soi est excellent.

Le convi : les solutions "tout en un"
Heureusement, des solutions existent et, il faut l'avouer, elles sont séduisantes : imaginez une interface à-la gmail, vous offrant tout le confort d'un client mail tout en vous offrant un moyen de communication chiffré.

C'est le cas, entre autres, de Protonmail7, une solution basée en Suisse, et Tutanota8, une solution libre basée en Allemagne.

Ces solutions offrent une interface simple, efficace et, du moins sur le papier, assurent que les communications effectuées par ce biais sont chiffrées de bout en bout, sans aucun moyen tant pour le fournisseur du service que quiconque autre que vous et le destinataire d'accéder au contenu du mail ou de ses pièces jointes.

Contrairement à GPG, ces deux applications ne demandent pas un "échange de clef", ni la gestion d'un trousseau de clefs, ni rien de tout ce genre.

Dans le cas où votre contact n'a pas de compte sur l'un de ces services, mais que vous voulez chiffrer le contenu, il vous suffit de défnir un mot de passe, que vous vous communiquez par un "side-channel", à savoir un moyen de communication tiers (sms, appel vocal, email sur d'autres adresses, etc).

Notez au passage qu'actuellement, il semblerait que seul Tutanota permet à votre correspondant "externe" au système de vous répondre de manière sécurisée, bien que Protonmail soit sur le point de fournir une mise à jour allant aussi dans ce sens.

Les solutions pour communiquer de manière sécurisée existent. Il tient à vous de vous renseigner et de les promouvoir ;). Parlez-en autour de vous, et ne comptez pas sur ZIP, RAR ou PDF pour protéger vos contenus.

Parce que oui, manifestement, n'importe qui a quelque chose à cacher. Même une traductrice indépendante. Il n'y a donc pas besoin d'être un perdoterroriste tueur de chatons pour avoir besoin de protéger ses données.

À bon entendeur, salut !

More »»

Soutien à Netzpolitik

Par SwissTengu @SwissTengu @SwissTengu — 2015-08-05T12:03:14
Parce que la liberté de la presse est une des bases de nos démocraties déclinantes, EthACK s'associe au mouvement de soutien international au site allemand Netzpolitik1 dont deux journalistes et leurs sources font l'objet d'une enquête pour «haute trahison» suite à la publication de documents sur des projets de l'Office de la protection de la Constitution (services de renseignement intérieur) pour surveiller Internet.

Une lettre ouverte2, signée par des journalistes du monde entier, demande l'abandon des poursuites :

«Les charges contre Netzpolitik.org et leur source inconnue pour trahison sont une attaque contre la liberté de la presse. La poursuite pour trahison des journalistes qui effectuent un travail essentiel pour la démocratie est une violation du cinquième article de la constitution allemande. Nous demandons l'arrêt des poursuites contre les journalistes de Netzpolitik.org et leurs sources.»

L'annonce de l'ouverture de la procédure a suscité de nombreuses réactions tant en Allemagne qu'à l'international. Vendredi, le ministère de la justice allemand a annoncé la mise à la retraite du procureur ayant décidé de l’ouverture de l’enquête.
Mais la plainte n'a pas encore été retirée, et les poursuites ne sont, pour le moment, pas encore abandonnées.

More »»

Catégories en relation

Fin de la sphère privée en Suisse ?

Par SwissTengu @SwissTengu @SwissTengu — 2015-11-19T07:30:04
Le nouveau préposé fédéral à la protection des données et à la transparence a été nomminé par le Conseil Fédéral1, au terme d'une sélection dont l'obscurité et l'absence complète de transparence laisse songeur.

Le choix du Conseil Fédéral est plus que surprenant : prendre le directeur suppléant de Fedpol2 comme PFPDT a de quoi poser pas mal d'interrogations.

En effet, Fedpol n'a aucun intérêt à ce que la sphère privée soit correctement protégée. La LRens3 ainsi que la révision de la LSCPT4 sont autant de sujets délicats, où Fedpol et les renseignements sont clairement en opposition avec la protection des données.

On peut aussi s'interroger sur le foutage de gueule flagrant suivant l'éviction de Jean-Philippe Walter, actuel préposé suppléant : sa candidature a été rejetée sèchement sous prétexte qu'il "est trop vieux" (61 ans). Or, le nomminé a 55 ans… Pas pour dire, mais c'est vraiment n'importe quoi. Le poste de préposé est attribué pour 4 ans, la différence d'âge à ce niveau ne compte absolument pas.
Ou alors il faudrait aussi shooter les politiciens qui ont plus de 60 ans, histoire d'être cohérent :Þ.

Ce d'autant que Adrian Lobsiger va avoir le cul entre deux chaises : il devra conseiller/surveiller les lois et les pratiques au niveau de la protection des données de part son rôle de PFPDT, et d'autre part il s'assure de la légalité du traitement des données contenues dans les systèmes d'information de Fedpol.
Le second dépendant des lois poussées par le premier, on peut très vite voir les problèmes que cela va poser à très court terme. Croire que tout va bien se passer et qu'on n'aura pas de conflit d'intérêt est faire montre d'une certaine candeur qui, bien que rafraîchissante, n'en reste pas moins dangereuse pour notre sphère privée.

Déjà que les récents événements en France pousse pour plus de surveillances et des mesures drastiques contre le chiffrement des données5, mettre une tête de pont de Fedpol à la tête de la protection des données en Suisse, c'est signer l'arrêt de mort de notre sphère privée, et annoncer en grande pompe l'avènement d'une société de surveillance de masse. Pour notre sécurité, cela va de soi.

Le Conseil Fédéral joue un jeu dangereux avec cette nommination. Un jeu dont le résultat sera plus que probablement l'annulation des années de boulot de Hanspeter Thür et de son collègue, Jean-Philippe Walter. Nous perdons aussi un Romand ou un Tessinois, et nous retronvons donc de nouveau avec une barrière linguistique (on ne peut pas penser que Jean-Philippe Walter va continuer à jouer le suppléant avec le nouveau Préposé).

Bref. Il faut faire comprendre à l'Assemblée Fédérale que ce choix est mauvais, pire, dangereux. Il faut amener le Conseil Fédéral à reconsidérer la candidature de Jean-Philippe Walter, qui a certains avantages, comme par exemple la connaissance des dossiers en cours6, des relations tant politiques que privées, etc.

More »»

Non, il ne faut pas plus de surveillance.

Par SwissTengu @SwissTengu @SwissTengu — 2015-11-20T14:47:16
"Laissez les services de renseignement faire leur travail", "Donnez plus de moyens pour la surveillance", "La Gauche se fiche de la sécurité avec leur référendum" etc, etc.

On en étale partout, en long, en large, en travers. On le crie, le hurle ou le beugle. Les partisans de la surveillance à tout va et à tous prix s'en donnent à cœur joie depuis quelques jours, depuis le vendredi 13 novembre, enfin, le samedi 14…

Seulement, on oublie l'essentiel : les services de renseignement de tous poils ont déjà trop de données. Ou alors ne savent pas exploiter correctement celles qu'ils ont déjà, légalement (ou peu s'en faut), collecté sur les réseaux et autres.

Comment expliquer sinon que, lors des derniers attentats (et pas que ceux du 13, mais encore les précédents, et encore ceux d'avant, et ainsi de suite), comment expliquer donc que tout ou partie, voire majorité des personnes impliquées soient toujours "connues des services" ?

Les renseignements sont là, existent, mais ne sont pas exploités. Par manque de moyens certes, mais pas des moyens de collecte, non, des moyens d'analyse. Des moyens humains aussi, pour, en cas de gros doute bien raisonnable, mettre une personne physiquement sous surveillance, ou se taper l'administratif ayant pour but d'obtenir une mise sur écoute ciblée.

Les renseignements sont là, mais dorment. Par manque de moyens techniques pour assurer une exploitation, ainsi que la création des recoupements nécessaires.

Mais cela, nos beugleurs, ils l'oublient. Pour eux, c'est une question de quantité, pas de qualité. Une différence de plus en plus oubliée car, dans notre société de consommation, on consomme. Toujours plus. Toujours plus gros. Mais sans prêter attention à la qualité.

Pour preuve j'en veux les quelques centaines de perquisitions administratives en France de ces derniers jours, donnant lieux à des arrestations, découvertes d'armes, etc. Autant de choses qui auraient sans doute pu avoir lieu, si on avait donné les moyens humains aux différents secteurs concernés : plus d'analystes, plus d'hommes sur le terrain, plus de juges.

Mais pas plus de données : elles sont déjà là, présentes, et collectées.

On veut changer la LSCPT, on veut créer une LRens. Soit. Oui, il faut un cadre légal. Il faut que tout soit transparent, que les citoyens comprennent comment ça marche. C'est important. Mais ces lois, au lieu de donner plus de moyens de collecte, devraient surtout se concentrer sur les synergies et relations possibles au sein des données existantes.

Quoi qu'en disent certains, une augmentation des moyens de surveillance créera obligatoirement une diminution de notre sphère privée. Soit technique, soit morale. Si on se sait surveillé, on n'agit, on ne pense plus pareil. On se plie plus volontiers pour rentrer dans le petit cadre dans lequel on voudrait nous voir.
La surveillance, même passive, influe sur les comportements.

La surveillance n'apportera pas plus de sécurité. Elle n'apportera tout au plus qu'un sentiment, faux, de sécurité, à celles et ceux qui y croient. C'est un peu comme les caméra de vidéosurveillance, renommée parfois "vidéoprotection" : elles sont là, passives, leur œil froid braqué dans une direction ou l'autre, captant tout. Mais ce n'est ni elle, ni la personne derrière l'écran de contrôle (quand il y en a) qui viendra vous protéger contre le pickpocket, ou l'autre sagouin qui vous arrachera votre sac à main. Tout au plus cela pourra servir de preuve, ou au moins de témoin. Et encore. Même pas sûr.

La surveillance telle qu'imaginée par nos élus, dirigeants et gouvernements, n'apportera pas plus de sécurité, non. Mais plus de contrôle sur le bon peuple protégé. Le "bon suisse" étant, de réputation, passablement porté à la délation, on peut de suite imaginer ce qu'un renforcement de la surveillance pourra amener. Parce qu'un tel renforcement passera, obligatoirement, par une diminution de nos droits à la vie privée. Et certains comportements intrusifs jusque là punis ne le seront plus. Ou moins.

Vouloir, dans le but d'augmenter la sécurité, augmenter la surveillance, tout en argumentant que c'est pour "protéger nos libertés", est un mensonges. Surtout quand on parle de notre "liberté d'agir, de penser". Agissez-vous pareil dans la même situation s'il y a une caméra que s'il n'y en n'a pas ? Bien sûr que non. Même infimes, des modifications de comportement sont là. On fera plus attention à son apparence, on regardera à un endroit neutre plutôt qu'un autre, on marchera droit, plus lentement, ou plus vite, bref. Notre comportement change.
Est-ce cela la liberté qu'on veut nous vendre avec la LRens et la modification de la LSCPT ? Une liberté d'être surveillé, une liberté de voir nos comportements changer de manière inconsciente ?

Pour ma part, une telle liberté, je n'en veux pas.
Pour ma part, j'ai nettement moins peur de me ramasser un groupe de terroriste sur mon lieu de détente que de voir un gouvernement partir en vrille avec des moyens de surveillances quasiment illimités.
Pour ma part, je prends la liberté de dire NON à la LRens et à la modification de la LSCPT.
Pour ma part, je prends la liberté de choisir ma vie, mon comportement, mon mode de pensée.

Pour toutes ces raisons, nous devons, coûte que coûte, refuser les modifications de la LSCPT, et débouter la LRens. Pour conserver nos libertés. Pour conserver notre mode de vie. Pour rester nous-même, des citoyens libres dans une démocratie libre.

More »»

Surveillance externalisée

Par SwissTengu @SwissTengu @SwissTengu — 2016-03-16T10:40:22
En Suisse, on est en train de suivre l'exemple de nos voisins français : on révise des lois sur la surveillance de nos concitoyens pouvant potentiellement être des vilains terroristes (ou pédonazis tueurs de chatons, c'est parfaitement permutable).

On a déjà réussi à échapper à l'extension de la durée de rétention des données, qui reste à 6 mois au lieu de 12 (et même 6 mois semblent longs, si on écoute certains enquêteurs, principaux intéressés par ce sujet).
Par contre, on ne va pas échapper à la peste ni au choléra, le tout saupoudré d'un touche d'Ebola pour bien faire. Oui, tout ça, rien que pour nous.

J'm'explique:
    À l'heure actuelle, le Conseil des État, dans sa grande sagesse, a accepté l'utilisation des IMSI-Catchers
    À l'heure actuelle, le Conseil des État, dans sa non moins grande sagesse, a accepté l'utilisation des GovWare
    À l'heure actuelle, le Conseil des État, toujours faisant preuve de sagesse, a accepté que les métadonnées récoltées dans le cadre d'enquêtes ne soient pas obligatoirement stockées en Suisse. Pour des raisons de coût. Bah oui. Ça coûte cher, des disques dans un datacenter en Suisse.

Vous avez bien lu1.

Mais soyons rassurés : il y a "de nombreux garde-fous", après tout : seul un tribunal pourra activer les mesures de surveillance, et ce seulement en cas de "crime grave". Ah et le transfert des données à l'autorité de poursuite pénale compétente devra être sécurisé.
Sauf que je n'ai pas vu la définition de "crime grave". Et parler de sécurité au niveau du gouvernement reviendrait à discuter de physique nucléaire avec des moutons privés d'iode depuis trop longtemps. Et, pour moi, "nombreux", c'est un peu plus grand, comme nombre…

Quant à l'utilisation des IMSI-Catchers, il sera très intéressant de voir quel recours un simple citoyen aura, dans le cas où ses communications se sont retrouvées interceptées parce qu'il avait le malheur d'être dans le mauvais quartier au mauvais moment. La protection des citoyens passe aussi par la protection et le respect de sa vie privée, et une telle technologie ne la garantit absolument pas.
Si nos élus refusent de nous respecter en tant qu'individu, en tant qu'entité possédant un cercle privé, je ne vois aucune raison de les respecter eux en tant qu'individu et entité. Ça va dans les deux sens.

Pour ce qui est du fameux GovWare : je me réjouis comme un fou qu'il se retrouve bêtement dans la nature. On peut se rappeler de ce que le CCC avait sorti sur le logiciel Allemand2. Il ne faut pas oublier non plus ce que représente un tel logiciel, d'un point de vue technique : une porte ouverte, passant sous le radar des antivirus (bon OK, leur utilité est limitée de toutes façons ;)), pouvant sortir d'un réseau sécurisé, etc.

Un aubaine pour la police, mais aussi pour d'autres usages moins légaux.
Mais bon, après tout, le citoyen n'a pas besoin de se sentir "numériquement en sécurité", n'a pas besoin de penser que son ordinateur, son smartphone et sa tablette sont à lui seul, et que personne ne peut accéder aux photos de vacances contenues dans ces différents appareils, ou aux numéros de carte bancaire, mot de passe et autres accès. La notion de "citoyen numérique" n'existe pas, au final.

On peut faire confiance à notre gouvernement pour tout mettre en œuvre pour assurer la sécurité de moyens à sa disposition, comme le SRC a tout mis en œuvre pour éviter la fuite de données3. Confiance, vous dis-je !

Non, tout va bien, on est entre de bonnes mains, et la sécurité de l'état prime sur notre sphère privée, c'est bien connu et, surtout, bien établi. Après tout, puisque nous n'avons jamais rien à cacher, pourquoi s'en faire ? Pourquoi vouloir protéger notre compte en banque, le contenu de nos ordinateurs, les codes d'accès à des machines distantes, des contrats, des documents classifiés, etc ? Nous sommes en démocratie, l'État ne pourra jamais basculer en mode totalitaire ou, du moins, en mode "état d'urgence". Aucun de nos voisins ne l'a jamais fait, alors pourquoi la Suisse ?

Citoyens, Citoyennes, il est temps d'expliquer à nos élus ce qu'on attend d'eux, temps de leur expliquer ce qu'est un IMSI-Catcher, ce qu'est un GovWare, de telle sorte qu'ils arrivent à comprendre les implications réelles pour nous, le bon peuple suisse. Plus que temps même, parce qu'une fois tout cela en place, il faudra ramer pour revenir en arrière et faire les choses proprement.

Pour rappel, si vous demandez à un membre du comité de surveillance comment un de ces trucs marche, vous aurez droit à des yeux de poisson frits.
Ils ne savent pas, ne comprennent pas et, pire, ne cherchent manifestement pas à comprendre, outre les 2-3 documents glissés sous leur porte juste avant les discussions, débats ou votes. Notre démocratie dite "de milice" est bien, admirée dans le monde entier, mais elle a aussi ses limites : on pourrait se croire à l'armée, où on flanque le coiffeur à la cuisine, l'artificier comme chauffeur DURO, ou encore le montagnard dans un sous-marin.

More »»

IMSI-Catcher, quoi de mieux qu'un exemple ?

Par SwissTengu @SwissTengu @SwissTengu — 2016-04-05T08:06:03
Nos élus veulent de la surveillance. Ils veulent, pour notre sécurité, autoriser l'usage de chaluts pour collecter des données. Entre les Govware et les IMSI-Catcher, notre sphère privée s'amenuise comme peau de chagrin. Certains poussent même pour clore le débat démocratique et passer en mode "Alerte Généraaaaaale"1 et appliquer des lois soumises au vote populaire par référendum via des lois d'urgence2

Mais il convient de s'assurer que nos élus, si friands de ces technologies, comprennent réellement de quoi on parle.
Après tout, rien ne nous dit et encore moins nous prouve qu'ils savent de quoi ils parlent, en-dehors des rapports glissés sous une porte et lu en diagonale cinq minutes avant les débats. C'est le problème de la politique de milice : des non-spécialistes tentent de parler de sujets spéciaux, demandant une compréhension assez vaste.

Du coup, EthACK a une proposition : 
De manière à bien expliquer et montrer comment un IMSI-Catcher fonctionne, nous voudrions faire une démonstration live d'un appareil approchant. Évidemment, nous n'avons (et n'aurons) pas les moyens d'acheter un vrai IMSI-Catcher (sans parler de l'utilité par la suite), mais il y a moyen, pour une somme "modeste", de faire un appareil de démonstration assez proche de la réalité3.

De manière à pouvoir faire cela, nous sommes donc à la recherche des éléments suivants :
  • Juriste(s) pouvant nous aider à mettre sur pied un événement de telle sorte à ce qu'on ne finisse pas à l'ombre, et que le matériel ne se fasse pas confisqué
  • Fonds pour acheter le matériel requis4
  • Aide pour l'organisation (stand, flyers, etc)
  • Des soutiens politiques et associatifs
  • Des volontaires pour l'écoute de leurs appareils dans le cas où l'écoute "débridée" serait trop compliquée à faire passer

Nous avons déjà créé deux campagnes de levées de fond5, ainsi qu'une adresse bitcoin dédiée6.

Au niveau juridique, il y a beaucoup de questions ouvertes : qui avertir, comment présenter la chose, comment publier les résultats (en live donc, aucune donnée ne sera enregistrée), etc. La démonstration elle-même est "simple" et intéressante, mais nous ne bénéficions pas de la couverture juridique telle que fournie par un document émis par un juge dans le cadre d'une enquête pénale.

Niveau finance, tout surplus sera investit dans la mise en place de l'événement, ainsi que pour la partie "juridique" au besoin.

EthACK conservera les appareils (dans la mesure du possible) de manière à pouvoir procéder à des démonstrations ultérieures, ainsi qu'à des possibles développements.

Dans l'idéal, la démonstration principale devrait se faire dans un lieu public, fréquenté et connu, voire symbolique — mais cela dépendra des retours au niveau juridique (on nous parle déjà d'AVC — faut-il s'attendre à une pénurie dans la branche ?), ainsi que des soutiens (politiques et associatifs) que nous pourrons trouver. Dans tous les cas, on fera quelque chose avec du monde, et du bruit. Même dans un coin perdu.

Dans l'esprit "démonstration", les connexions (préalablement anonymisées) seront affichées en grand, avec quelques démonstrations sur des appareils ciblés (en notre possession) par rapport aux contenus qu'un tel appareil peut récupérer.
Au vu des logiciels impliqués, on pourra aussi se passer des données des passants et spectateurs pour ne se concentrer que sur les appareils des organisateurs et volontaires. Mais ce sera potentiellement moins frappant.

Cela devrait donner un coup de pouce pour le référendum contre la LSCPT7.

More »»

Fausse bonne idée: un identifiant unique pour le Big Data

Par pdehaye @podehaye @podehaye — 2016-06-22T20:06:58
La nouvelle régulation européenne sur la protection des données prendra effet en mai 2018. On peut s'attendre à ce que la loi suisse correspondante, la Loi fédérale de 19921, soit aussi mise à jour et suive une trajectoire semblable.

Cette nouvelle régulation européenne renforce des droits existants et en introduit de nouveaux. Par exemple, elle permettra à tout un chacun d'accéder à ces données  (droit renforcé) dans un format interopérable (droit nouveau). L'espoir est d'éviter des phénomènes de "lock-in" et de permettre au consommateur de prendre ses données dans un service et de les amener ailleurs. L'effort est louable, et introduit énormément de complexité pour les entreprises. Comment celles-ci peuvent-elles s'assurer que l'individu demandant l'accès à ses données est bien celui ou celle qu'il dit être? Comment éviter des situations où un mari demanderait, en vue de l'épier, les données de navigation de sa femme basé sur une adresse MAC par exemple? La situation actuelle requiert d'associer à toute demande des papiers d'identité, et prévoit l'illégalité de la demande au nom de quelqu'un d'autre, mais les sociétés sont quand même frileuses: d'abord ces données sont souvent leur véritable fonds de commerce, ensuite toute communication par erreur de données à la mauvaise personne les exposerait à de gros risques. 

C'est dans ce contexte qu'aura lieu à Bruxelles la semaine prochaine un workshop, intitulé Unique Identifier for Personal Data Usage Control in Big Data2. Le titre est clair: le but de ce workshop est de définir un standard pour un identifiant unique et global pour l'ensemble des contextes "Big Data". Le même identifiant vous servirait sur Facebook, la SNCF (partenaire) ou votre caisse de santé (AOK Krankenkasse est un autre partenaire). Sans aucun doute, cela simplifierait la vie des sociétés qui cherchent à respecter la loi, substituant à votre passeport papier votre passeport numérique, sous la forme d'un identifiant unique. 

Les détails disponibles sont encore assez limités, mais on peut vite voir dans le Concept3 que l'approche est en elle-même problématique. Un identifiant unique dans tous ces contextes différents (réseaux sociaux, transports, assurances) enlève une multitude de barrières techniques à des usages qui ne sont pas encore complètement régulés. Ce workshop propose de résoudre le problème technique du respect de la loi d'une manière simpliste, et d'ignorer cette foule de risques qu'un identifiant unique introduirait. En fait, la partie la plus cruciale du concept se retrouve reléguée comme note de bas de page:

The proposers argue therefore for the creation of an open forum composed of individuals, companies, lawyers, academics, journalists, and health practitioners, international, governmental and non-governmental organizations, to continue after the CEN Workshop ends. They would share their best practices and how these practices can evolve according to the different dimensions of their activities and the contexts. The objective of such forum (with a broader scope than a CEN Workshop) would thus be to combine the respect of fundamental human rights with the integration of the dynamism of situations and contexts, sharing dynamic go-ahead usages and fostering a positive momentum.


En gros: ne nous embêtez pas, laissez-nous faire du commerce d'abord, après on vous parque dans ce "forum" comme ça vous pourrez travailler sur les "bêtises" qu'on a faites. 

Quelles bêtises exactement? 
  • comme dit précédemment, un identifiant unique enlèverait les barrières techniques au partage de données entre sociétés, ce qui n'est pas forcément un désir de tous les consommateurs et est certainement un résultat distinct du simple respect de la loi;
  • un identifiant unique forcerait les consommateurs à perdre le peu de contrôle qu'ils ont sur leurs données (sécurité par obscurité et/ou compartimentalisation des profils);
  • cet identifiant unique pourrait être volé et mener encore plus facilement au vol d'identité;
  • cet identifiant ne vieillira pas correctement avec la personne: pour les jeunes enfants, le droits d'accès peut être exercé par les parents, mais bien avant l'âge de majorité ce droit échoit en fait à l'adolescent même, dont la personnalité doit aussi être protégée des parents. Les parents devraient donc connaître cet identifiant tôt dans la vie de l'enfant, et l'"oublier" plus tard;
  • cet identifiant ne résout pas les problèmes associés à l'exercice du droit d'accès lorsqu'une société n'a pas d'informations très "riches" sur un individu (par exemple, des sociétés de pub en ligne, pour lesquelles le droit d'accès s'exercerait via le contenu d'un cookie). En fait il encourage les sociétés à collecter plus de données, ce qui mène à plus de problèmes;
  • pour accéder au contenu détenu par une société, cet identifiant demanderait de communiquer un passepartout pour la vie digitale de l'individu, valable sur un ensemble de sites/sociétés.

(beaucoup de ces critiques sont semblables à celle émises par le préposé fédéral à la protection des données sur l'utilisation du numéro AVS dans les services fiscaux4)

A en juger par l'agenda, ce workshop aura très peu de représentants de la société civile présents. J'espère y participer à distance, et formuler un maximum de ces critiques tôt dans le processus de standardisation. 

Paul-Olivier Dehaye
PS: L'auteur est aussi le fondateur de PersonalData.IO5, un service dédié à l'exercice facile de son droit d'accès aux données personnelles, sans en compromettre la sécurité. 

More »»

LRens : tirons les leçons de l'Allemagne

Par SwissTengu @SwissTengu @SwissTengu — 2016-09-17T15:08:57
Les suisses vont voter le week-end prochain. Parmi les différents objets, la Loi sur le Renseignement, aka #LRens1.

Dans le but de doter le SRC de moyens d'interceptions et d'investigations poussés, la loi introduit diverses possiblités jusqu'à maintenant hors de portée :
  • utilisation des IMSI-Catchers2
  • utilisation de chevaux de Troie3
  • exploration du réseau câblé4
  • et d'autres choses tout autant joyeuses.
La loi prévoit des garde-fous, ce qui est louable, mais sont-ils suffisants ?

La nouvelle loi prévoit que les communications "helvético-suisses" ne seront pas écoutées comme le sont celles "entrantes et sortantes" du pays. Cette exception ne sert à rien : une communication entre Lausanne et Zürich peut fort bien passer par la France et l'Allemagne, au gré des routes sur Internet. Du coup elle sera interceptée sans aucune demande d'autorisation spécifique.
De plus, le fait de soumettre les filtres/mots-clefs à une procédure de validation ne protège en rien les abus : l'exemple allemand5 est très parlant à ce sujet. La variante suisse de la loi sur le renseignement n'est pas sans rappeler la version allemande, et il serait de bon ton de voir ce qui s'est passé chez nos voisins avant de foncer tête baissée.
Rien n'empêchera non plus que les fameux "GovWare" se retrouvent dans la nature — l'infomatique de la Confédération démontre chaque année (si ce n'est chaque mois) les manifiques compétences de notre pays en la matière…

Il va sans dire qu'il sera intéressant, dans le cas où cette loi est acceptée6, de surveiller QUI fournira les outils de surveillance à notre service de renseignements. Sans doute des sociétés étrangères, comme c'est déjà le cas pour Fedpol7

Des précédents

Il ne faut pas oublier que le SRC, et les services de renseignement suisse, ont une histoire quelque peu trouble :
  • le "scandale des fiches"8 dans les années 1980
  • (au moins) un vol de données directement au sein du SRC9
  • (au moins) un employé a eu un comportement "indélicat" avec un média suisse10
  • … et combien d'autres choses qui ne sont pas sorties au grand jour ?
Les questions légitimes

Au vu de tout cela, quelques questions se posent :
  • avons-nous suffisament confiance dans notre gouvernement et les services de renseignement pour leur laisser ces "joujoux" en libre accès ?
  • avons-nous réellement besoin de ces nouvelles mesures ?
  • est-ce que notre droit à la vie privée ne risque vraiment rien face à ces nouvelles mesures ?
  • est-ce qu'on peut réellement se dire "le GovWare est en sécurité dans les infrastructures de la Confédération", surtout si l'on reprend le cas RUAG11, censé "être au top" ?
Toutes ces questions doivent trouver une réponse positive avant de pouvoir voter "oui" le 25 septembre. Une fois cette loi et ses mesures acceptées, il sera beaucoup plus difficile de revenir en arrière.

Notons au passage que l'OFCOM s'est bien gardé de publier les ID des cellules GSM/3G/4G12… Et ce dès le début de la publication de l'emplacement de ces mêmes cellules, empêchant ainsi les citoyens de s'assurer que les antennes employées par leurs appareils sont bien des antennes officielles. Avant même la mise en application de la LRens. De quoi se poser quelques questions sur ce sujet précis, et l'utilisation des IMSI-Catchers dans la Suisse de manière générale.

Ah, et, pour celles et ceux qui vont répondre "bah je n'ai rien à cacher, moi", je vous invite à lire cet excellent billet du non moins excellent François Charlet : https://francoischarlet.ch/2016/rien-a-cacher/

Bonnes lectures, et votez avec sagesse, pas sous le coup de l'émotion.

More »»

LRens : et après ?

Par SwissTengu @SwissTengu @SwissTengu — 2016-09-25T20:05:36
Le peuple a voté : 65.5% des votants a accepté la nouvelle Loi sur le renseignement. Adieu, sphère privée, donc. On va pouvoir remercier les Médias suisses (publics, privés) pour ne pas avoir abordé les éléments suivants lors de la campagne :

Bref. On est dans la mouise, aussi à poil que les citoyens américains ou français. Suite à ce vote, les citoyens ont deux possibilités : faire une totale confiance au SRC et aux commissions de surveillance2, ou se défendre bec et ongle pour protéger leur sphère privée et celles de leurs proches3.

Il est évident que EthACK, de par ses origines, est pour la défence (voire l'attaque). Nous avons jusqu'à septembre 2017 pour fourbir notre arsenal numérique et protéger au mieux nos systèmes, qu'ils soient privés ou d'entreprise.

La loi sur le renseignement permet pas mal de choses, certes. Elle peut même être assimilée au Patriot Act4 américain, vu qu'elle obligera les entreprises basées en Suisse à fournir des données au SRC. Elle permet aussi aux membres du SRC d'écouter toutes les connexions du pays5, voire de compromettre des systèmes informatiques nationaux6 ou étrangers7.
Mais nous ne sommes pas sans défense, heureusement. De plus en plus de services offrent différentes choses, auquelles il faut réellement commencer à prêter une attention particulière si ont veut que nos conversations privées restent privées :

Connexion chiffrée
À ce niveau, pas de miracle : les services ne fournissant pas de connexion sécurisée (http, smtp, imap, pop3) sont à proscrire. Seules les connexions chiffrées (httpS, smtpS, imapS, pop3S) sont à employer. Si les fournisseurs de services que vous employez ne mettent pas ces protocoles chiffrés à disposition, il serait bon de les contacter pour les inciter à le faire le plus rapidement possible.

Chiffrement côté client
Cela concerne principalement les "services clouds", dans le sens (erroné) "stockage en ligne". Il convient de s'assurer que les clients pour desktop, mobile, tablet ou autres chiffrent les données sur l'appareil avant d'envoyer quoi que ce soit. Dans un second temps, il faut absolument s'assurer que vous et vous seuls êtes en possession de la clef de déchiffrement. Sinon, ça ne sert à rien, vos données sont à poil chez le fournisseur de service.

Multi-factor authentication
Dans la mesure du possible, pensez à activer le MFA8 sur les services que vous employez. C'est une protection supplémentaire qui évitera les problèmes le jour où le service sera compromis, que ce soit par des hackers doués ou des hackers ayant mis la main sur les divers achats du SRC suite à une fuite de données à ce niveau…

Localisation des services
Avec la LRens, l'emplacement des serveurs ainsi que des sociétés les exploitant est moins important. Les USA sont évidemment à éviter à cause de leurs multiples lois (Patriot Act, FISA9, etc), mais il devient moins évident que la Suisse soit mieux : le SRC peut obliger n'importe quel fournisseur de service à donner des informations. D'ici que des sociétés comme Threema10 soit dans le colimateur du SRC, il ne faudra pas long.

Conditions générales et autres documents
Comme toujours, il faut lire les conditions générales d'utilisations de même que la politique de confidentialité (privacy policy) avant de souscrire à un service. Oui, ces textes sont longs. Oui, ils sont souvent en anglais. Oui, ils sont très barbants à lire. Mais faites-le !

Aussi, assurez-vous que vous employez un mot de passe différent pour chaque service ou que, s'il s'agit d'une dérivation d'un mot de passe principal, cette dérivation ne soit pas simple à trouver.

Au niveau de EthACK, nous allons tâcher de fournir des tutoriaux, et de sortir un nouveau cycle de conférences pour expliquer les tenants et aboutissants de cette loi. 

Dans l'intervalle, il vous faudra vous renseigner et déjà consolider l'existant. Faites déjà le tri, et profitez pour modifier vos mots de passe et vous assurer que chaque service en utilise un différent.

Stay safe.

T.
  • 1Nos élus ne savent pour la plupart pas comment fonctionne Internet ou les smartphones, sans parler même des réseaux sous-jacent
  • 2Bah, à priori, 65.5% des votants semblent vouloir à tous prix y croire, tout comme croire que cette nouvelle loi va réellement nous protéger contre des menaces qui, jusqu'à maintenant, on fait une quantité incalculable de morts : 0
  • 3Ne soyons pas égoïstes — et n'oublions pas que la plus solide des chaînes ne dépend que de son maillon le plus faible…
  • 4https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
  • 5Ne nous voilons pas la face, la présence des sondes au cœur du réseau pour les connexions "externes" vont aussi écouter ce qu'il se passe ailleurs : rien que la RTS passe par Akamai, du coup les visites effectuées sortent du pays. Et combien de vos contacts utilisent GMail ? ;)
  • 6Article 26
  • 7Article 37
  • 8https://en.wikipedia.org/wiki/Multi-factor_authentication
  • 9https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
  • 10N'oublions pas que le code source de l'application n'est pas disponible…

More »»

Conférence "Bonnes pratiques à l'ère du numérique"

Par SwissTengu @SwissTengu @SwissTengu — 2016-10-13T17:20:02
EthACK a donné mercredi 12 octobre une conférence sur les bonnes pratiques à l'ère du numérique. Elle s'est déroulée à l'EPS d'Écublens, en présence d'une cinquantaine de personnes.

Le but était de sensibiliser le personnel enseignant sur les problématiques du numérique, sous l'angle "protection des données et sécurité". La durée prévue était d'environ 90 minutes, laissant ainsi largement de temps aux auditeurs et auditrices pour poser leurs questions, nombreuses, et faire part de leurs inquiétudes quant au fait qu'il n'est, au final, pas possible de réellement maîtriser ce qui transite sur les réseaux.

La conférence s'est déroulée en deux parties, une première faisant un rapide état des lieux au niveau des utilisations et menaces potentielles1, puis une seconde présentant les règles de bases pour une "hygiène numérique".

Diverses discussions quant à la pertinence ou non d'utiliser des applications mobiles pour communiquer avec les élèves ont été menées durant les deux périodes de questions. EthACK a aussi pu relever un problème intéressant auquel sont confrontés tous les membres du personnel enseignant : l'utilisation d'appareils privés dans le cadre professionnel.
Si cela peut sembler une bonne idée, cette pratique, courante et pas limitée au cadre scolaire, pose beaucoup de problèmes, parmi lesquels:
  • impossibilité de "débrancher" du travail
  • risques de perte/vol de données personnelles à caractère privées dans le cadre du travail
  • risques de perte/vol de données professionnelles dans le cadre privé

D'autres sujets, tels que les réseaux sociaux, ont été abordés. Il en est ressorti que peu de personnes présentes avaient un compte Facebook ou assimilé, et le peu qui en avait un n'était pas "ami" avec leurs élèves, ce qui est un bon point : là aussi, être "ami" avec des élèves peut poser des problèmes, tels que la neutralité/impartialité, le transfert bidirectionnel de données personnelles, les possibles implications personnelles/émotionnelles que cela peut créer.

Des questions plus précises, tel que la gestion des mots de passes2, ainsi que le rôle des enseignants dans l'éducation numérique des élèves.

Les slides employées pour cette présentation sont disponibles3.

Si vous aussi voulez organiser une conférence/présentation sur ce genre de sujets, que ce soit au sein de votre école, de votre entreprise ou même de votre association, n'hésitez pas à nous contacter.

Pour EthACK,
SwissTengu

More »»

Marc Elsberg : un auteur à suivre

Par SwissTengu @SwissTengu @SwissTengu — 2016-10-19T14:08:27
Nous avons découvert il y a peu Marc Elsberg1, un auteur allemand. Son premier livre, Black-out, nous plonge dans une Europe où le réseau électrique s'effondre, à cause du manque de conscience des fournisseurs de solutions "smart grid"2 au niveau de la sécurité et des risques.

Ce premier livre, bien que présenté comme une fiction, met le doigt sur pas mal de problèmes qui, effectivement, existent. La pertinence technique, tout en usant de quelques simplifications (lire la postface), permet de se faire une idée très claire des problèmes posés par l'Internet des objets3 (en s'intéressant particulièrement aux grosses infrastructures et à leur gestion via des logiciels dédiés).

Le lire et le recommander permettra de vous confronter, ainsi que vos proches, à des réalités qui sont souvent méconnues4. Il est très intéressant de lire la postface du livre, l'auteur y décrivant les étapes d'écriture ainsi que les événements survenus pendant ou juste après l'édition. On se rappel de Stuxnet5, par exemple, qui avait fait les gros titres par son ciblage précis de certaines infrastructures sensibles.

Plus récemment, mais sans rapport direct avec la gestion d'infrastructures critiques, on peut se rappeler du DDoS6 ayant eu pour origine plusieurs dizaines de millier de caméras connectées…

Encore en 2016, trop d'objets connectés manquent de sécurité. Même nos routeurs, passerelles Internet fournies par nos fournisseurs de services, sont vulnérables à de multiples niveaux7 !

Le second livre de Marc Elsberg, Zero, nous plonge dans un monde légèrement plus avancé que maintenant, mais au final pas tant que ça. Les technologies décrites dans ce second livre existent et sont mises en applications, seuls certains points techniques sont une anticipation à court terme de ce qu'on va avoir.
Le monde décrit est ainsi : une société collecte, agrège et analyse les données personnelles des utilisateurs de ses applications (on a déjà cela, les exemples ne manquent pas). En contre-partie, les utilisateurs ont droit à deux services :
  • la gestion de la revente de leurs données personnelles (ce genre de plate-forme existe déjà)
  • des applications intégrées qui permettent d'améliorer son style de vie (là par contre, on n'y est pas encore tout à fait).

En parallèle de cela, un groupe de hacker, Zero (qui n'est pas une référence à Anonymous, eux-mêmes étant cités dans le livre, de même que Lulzsec et d'autres) veut démontrer que la surveillance généralisée ne sert à rien, et que le traitement des données personnelles est déséquilibré.

Là aussi, l'auteur s'est renseigné, documenté. Il expose les problèmes liés aux données personnelles dans un monde de plus en plus connecté. Il évalue les différents points de vue en tentant d'apporter des arguments nuancés et circonstanciés.

La lecture de ce livre peut, là encore, éveiller l'intérêt et permettre une prise de conscience de l'état de notre sphère privée.

De manière générale, nous sommes heureux de voir ce genre de livres sortir et, surtout, rencontrer un certain succès (Black-out a été très bien vendu, et peut même être intégré dans le cursus scolaire allemand). Zero est bien parti pour rencontrer le même succès.

Bonnes lectures !

More »»

Facebook, Cambridge Analytica, et votre vie

Par SwissTengu @SwissTengu @SwissTengu — 2018-03-30T14:44:22
On l'a vu, lu, entendu, Facebook s'est fait prendre la main dans le sac à données personnelles. Ou, plutôt, une société tiers, qui a simplement profité de ce que Facebook met à disposition.

D'aucun parlent de "vol de données". Ce n'est pas le cas. D'autres parlent de "manipulations" des votations. On y reviendra. Quoi qu'il en soit, la cacophonie entourant cette "découverte" nous laisse un peu perplexes. Voici pourquoi.

Facebook ne vous vole rien

C'est bête à dire, mais tout ce que Facebook sait de vous, c'est vous-même qui mettez ces informations à dispositions, que ce soit au travers de vos publications, "likes", commentaires, ou par l'emploi du "login facebook" pour des sites/applications tiers.
Ce que Facebook fait de tout cela est expliqué dans les fameuses "conditions générales d'utilisation", que vous avez acceptées lors de votre inscriptions. Vous recevez en outre des informations dès que Facebook effectue des modifications de ces fameuses CGU. On peut reprocher pas mal de choses à Facebook. Mais de vous voler des données, non, on ne peut décemment pas.

La manipulation

Là encore, il faut savoir raison garder : si on est manipulé, c'est qu'on prête le flanc, de part notre crédulité, notre propre bêtise, ou notre enfermement.  Mais on ne peut, réellement, manipuler les gens que s'ils se laissent faire. Alors oui, pour éviter la manipulation sur les réseaux, il y a plusieurs choses à garder en tête, comme par exemple :
  • garder un esprit critique
  • toujours valider ce qu'on lit (que ce soit sur Internet ou même dans des journaux)
  • demander/chercher une seconde opinion
  • ne jamais avaler tout droit la soupe de (dés)information
  • sortir de notre "bulle de confort"
Le dernier point est sans doute le plus important et, potentiellement, le plus compliqué, surtout si on est dans un système tel que Facebook. Pourquoi nous demandez-vous ? On va l'aborder :).

Le modèle économique

Facebook marche à la publicité. Ce qu'ils vendent aux annonceurs, c'est une certaine garantie que les publicités affichées apporteront des clients. Et la manière la plus "simple" de faire cela, c'est d'exploiter les données que nous lui fournissons - et de dresser des profiles à même de satisfaire les attentes des annonceurs.
C'est aussi simple que cela. On utilise une plateforme "gratuite", qui exploite nos données pour nous afficher de la publicité - que ce soit sur Facebook directement, ou sur des sites employant les plugins de Facebook.

Il n'est donc pas étonnant que Facebook récolte les données et les traite. Et, encore une fois, les conditions ne cachent pas ce traitement.

Cambridge Analytica

Ce n'est pas la seule entité à exploiter Facebook - n'importe quelle application qe vous activez dans votre compte peut accéder à vos données - les permissions demandées vous montrent bien ce à quoi elles accèdent.
Cambridge a juste créé une application (un test psychologique), demandant l'accès aux données de manière complètement transparente, et a ensuite exploité le tout, dans le but de créer des annonces/articles/autres de manière à, peut-être tenter d'influencer en confortant les gens dans leurs positions.

CA a juste poussé les choses plus loin que les autres annonceurs et développeurs qui utilisent Facebook. La seule raison qui explique le soudain "omg-effect", c'est que ça a été démontré par un lanceur d'alerte, et que c'est en lien avec le président actuel des USA, qui n'est pas dans le cœur de tout le monde… Mais ce ne sont pas les premiers, ni les seuls, ni les derniers.
Même si Facebook assure travailler à améliorer la confidentialité, il y aura toujours le facteur humain : les gens vons continuer d'accepter sans regarder, ce qui laissera les données en "libre accès".

More »»