L’EFFACEMENT DES DONNEES AU COEUR DE LA SECURITE DES ENTREPRISES

[L'informaticien - 11/12/2009]

Les données ne restent plus cantonnées dans le périmètre de l’entreprise. Pourtant de nombreuses données sensibles sont disséminées dans la nature lors de la fin de vie d’un matériel.
Malgré certaines obligations légales, le processus d’effacement des données est souvent oublié. Pour la plupart des utilisateurs, effacer des données, les mettre dans la corbeille et vider la corbeille suffisent à leur faire croire que la donnée est détruite.
Hélas c’est loin d’être le cas. Un formatage du disque ne détruit pas les données mais juste la table les reliant à l’endroit où elles on été inscrites. Pourtant 700 ordinateurs portables sont perdus ou volés sur le seul aéroport de Roissy chaque semaine.
Par an, 1600 téléphones mobiles sont volés avec violence suivant une statistique récente des services de police. Même la réécriture multiple ne permet pas réellement d’effacer des données inscrites sur le disque dur.
Il n’existe en fait que trois méthodes définitives, l’écrasement total des données d’un disque dur, la démagnétisation et le broyage du disque dur. Selon différents alinéas de l’article 226 du code pénal, les entreprises ont cependant l’obligation de détruire certaines données présentes sur les disques durs avant de les réutiliser, de les remettre sur le marché ou de les détruire.
Le non respect de ces mesures est passible de 5ans d’emprisonnement au maximum et d’une amende de 300 000 E. Cela éviterait quelques cas fâcheux comme celui d’un ordinateur acheté 77 £ sur EBay et qui contenait des informations sur des millions de clients de la RBS (Royal Bank of Scotland) et de sa filiale Natwest ou encore un disque acheté d’occasion en ligne qui comprenait des données sur les missiles déployés en Irak par l’armée américaine ! Une étude récente démontre d’ailleurs que 40 % des disques durs achetés d’occasion contiennent des données récupérables et que 30 % contiennent des données aussi sensibles que des numéros de cartes bancaires !

http://www.linformaticien.com/Actualit%C3%A9s/tabid/58/newsid496/7470/l-effacement-de-donnees-au-c-ur-de-la-securite-des-entreprises/Default.aspx

 

POUR ERIC SCHMIDT, DE GOOGLE, LA VIE PRIVEE C’EST QUE POUR LES GENTILS QUI NE FONT RIEN DE MAL…

[Standblog - 11/12/2009]

Eric Schmidt, patron de Google, vient de commettre un superbe dérapage sur le thème de la vie privée^[1] :

Je pense qu’il faut faire preuve de jugeotte. S’il y a quelque chose que vous faites et que personne ne doit savoir, peut-être qu’il faudrait commencer par ne pas le faire. Si vous avez besoin qu’on respecte à ce point votre vie privée, le fait est que les moteurs de recherche – y compris Google – enregistrent et conservent des informations pendant un certain temps. Il faut bien réaliser que nous, aux USA, sommes soumis au Patriot Act et donc qu’il est possible que toutes ces informations soient mises à la disposition des autorités à leur demande.

La réaction de l’excellent Bruce Schneier, expert en sécurité de renom, date de 2006, mais elle est toujours valable, et il vient de la publier à nouveau à l’occasion de la bévue du patron de Google :

La notion de vie privée nous protège de ceux qui ont le pouvoir, même si nous ne faisons rien de mal au moment où nous sommes surveillés. Nous ne faisons rien de mal quand nous faisons l’amour ou allons aux toilettes. Nous ne cachons riens délibérément quand nous cherchons des endroits tranquilles pour réfléchir ou discuter. Nous tenons des journaux intimes, chantons seuls sous la douche, écrivons des lettres à des amoureux secrets pour ensuite les brûler. La vie privée est un besoin humain de base.

(…) Si nous sommes observés en toute occasion, nous sommes en permanence menacés de correction, de jugement, de critique, y compris même le plagiat de nous-même. Nous devenons des enfants, emprisonnés par les yeux qui nous surveillent, craignant en permanence que – maintenant ou plus tard – les traces que nous laissons nous rattraperont, par la faute d’une autorité quelle qu’elle soit qui porte maintenant son attention sur des actes qui étaient à l’époque innocents et privés. Nous perdons notre individualité, parce que tout ce que nous faisons est observable et enregistrable. (…)

Voici la perte de liberté que nous risquons quand notre vie privée nous est retirée. C’est la vie dans l’ex-Allemagne de l’Est ou dans l’Irak de Saddam Hussein. Mais c’est aussi notre futur si nous autorisons l’intrusion de ces yeux insistants dans nos vies personnelles et privées.

Trop souvent on voit surgir le débat dans le sens “sécurité contre vie privée”. Le choix est en fait liberté contre contrôle. La tyrannie, qu’elle provienne de la menace physique d’une entité extérieure ou de la surveillance constante de l’autorité locale, est toujours la tyrannie. La liberté, c’est la sécurité sans l’intrusion, la sécurité avec en plus la vie privée. La surveillance omniprésente par la police est la définition même d’un état policier. Et c’est pour cela qu’il faut soutenir le respect de la vie privée même quand on n’a rien à cacher.

A cette occasion, mon collègue Asa Dotzler explique comment faire pour que votre Firefox passe de Google à Bing, alors qu’il explique que la politique de respect de la vie privée est meilleure chez Microsoft que chez Google. Evidemment, ça fait couler de l’encre virtuel…

http://standblog.org/blog/post/2009/12/11/D%C3%A9rapage-d-Eric-Schmidt-de-Google

 

INTERESSANTE QUESTION: LES PHOTOS DE GOOGLE STREET VIEW

[Benjamin Bayart - Blog FDN -  mercredi 02 décembre]

Une information piochée dans la presse me pose un peu soucis.

Au moins plusieurs pistes de réflexion à partir de cet article:

• le côté “Big Brother” de Google Street View n’est pas nouveau, il a déjà fait couler beaucoup d’encre électronique;
• curieusement, un député qui se pose des questions pas complètement idiotes sur le fait que l’automatisation d’un procédé n’est pas une décision neutre;
• l’habitude qui veut que les politiques aient peur d’Internet, et donc cherchent à interdire un peu tout et n’importe quoi.

Big Brother ?

Sur le premier point, c’est le plus simple: Google Street View met en ligne une quantité énorme de photos prises sur le domaine public, donc qui sont à l’heure actuelle considérées comme publiables. Dés les débuts, la question s’est posée (reconnaître un visage, reconnaître l’immatriculation d’une voiture, voir l’intérieur d’un domicile privé, etc). Et Google y a répondu à sa façon, en faisant un peu de nettoyage automatique sur ses photos.

Mais la question reste, même si la façon de la poser de notre député n’est pas forcément la bonne. On revient à la question posée par Laurent Chemla, dans Confessions d’un voleur. Il compare l’arrivée d’Internet à l’invention du télé-porteur. Effectivement, Internet supprime en bonne partie les distances, et met les données publiques en accès instantané.

Exemple jugé positivement par tout le monde: tous les citoyens ont accès, en permanence, facilement, de partout, aux textes de loi en vigueur mis à jour. Impossible avant Internet. Autre exemple, jugé positivement par beaucoup, et négativement par certains élus: tous les citoyens peuvent suivre en direct ce qui se raconte dans l’hémicycle de l’Assemblée Nationale, et répondre à leurs députés par mail, à peu près en direct. Et, de la même manière, des photographies géo-localisées avec précision (maintenant que les téléphones font aussi GPS et appareil photo) pullulent sur Internet. Google, qui en publie une quantité industrielle, fait l’effort de tenter de flouter les siennes. Mais voilà, en cherchant une adresse postale, on trouve facilement des photos du lieu, que Google industrialise ça, ça ne change pas grand chose, par rapport à tout ce qui se publie de photos partout sur le réseau.

Effectivement, le réseau ne dévoile rien. Ayant une adresse postale, j’ai l’absolue liberté de me rendre devant l’immeuble, pour voir de mes propres yeux. Simplement, je ne le fais pas, en général, parce que c’est loin, c’est long, c’est fatiguant, ça coûte de l’argent. Internet abolissant les distances, en la matière, je supprime la difficulté technique.

Décider que l’on n’a plus le droit d’automatiser ce procédé, c’est poser la question de savoir si c’est le traitement unitaire ou le traitement de masse, qui est interdit. Si ce n’est que le traitement de masse, alors il finira par exister des outils qui chercheront des photos, partout, sur critères de localisation géographique (ça existe déjà), couplés à des bases de données d’adresses (ça, pas encore). Ce sera interdit aussi? Mais quel bout? La publication d’une photo unique? Le fait d’associer une adresse à des coordonnées GPS, et donc l’interdiction des systèmes qui proposent des itinéraires, ou du GPS sur les téléphones, via Internet? Où est la limite?

Une approche enfin de la question des automatismes

Curieusement, monsieur le député se demande si la publication par Google, de façon systématique, de photographies par ailleurs parfaitement légales, et ne posant pas soucis individuellement (parce qu’il est évident que si je poste une photo sur flickr avec l’adresse du lieu, ça restera légal, si j’ai bien compris), doit être interdite.

Et il indique bien, si j’en crois la presse, que c’est l’automatisation qui pose problème. On pourrait faire le même reproche aux radars automatiques, genre, au hasard. Les radars ne font qu’automatiser une tâche de surveillance autrefois unitairement acceptée et dévolue aux forces de police. Maintenant, ce sont des automates qui effectuent un contrôle continu. Bien? Pas bien? Je ne suis pas sûr qu’il se soit posé la question en ces termes…

On peut élargir: tous les systèmes de détection automatique des infractions posent la même question. Ils constituent autant de systèmes de surveillance portant atteinte à la vie privée des citoyens. Ces systèmes ont été jugés acceptables quand on les mettait entre les mains éclairées de policiers humains, autorisés à faire preuve de discernement. Le sont-ils encore aux mains d’automates ?

D’ailleurs, la question de la surveillance pour détecter les infractions est aussi intéressante sous un autre angle. Si on me surveille, pour vérifier que je suis sage, c’est qu’on suppose que je ne le suis pas, a priori. N’est-ce pas une remise en cause, insidieuse mais réelle, de la présomption d’innocence ?

Finalement, c’est bien le fond de la question posée sur la vidéo surveillance: est-il légitime de mettre des vigiles automatiques à tous les coins de rues? Bin oui, des vigiles, les vidéos ne sont pas réservées à la Police sur réquisition de la Justice, mais le plus souvent à des sociétés privées, dans des conditions trop souvent floues.

La question de savoir si tout procédé accepté unitairement peut être automatisé sans autre forme de procès est intéressante. C’est simplement triste qu’elle ne ressorte pas quand c’est l’État qui porte atteinte aux libertés.

La peur d’Internet

Il y a, là, un clivage qu’on voit apparaître de plus en plus souvent. En caricaturant un peu, on arrive à ça…

D’un côté, les gens de l’ancien monde, qui n’aiment pas tellement la transparence des nouveaux usages. On y trouve les Séguéla, qui ont peur d’Internet parce que maintenant les petits moments délicats des personnes publiques peuvent finir en ligne, et circuler, vite, et de manière incontrôlable, sans passer par les filtres finalement assez amicaux de la presse. On y trouve les députés, effrayés à l’idée qu’un troupeau d’Internautes les regarde lire le journal dans l’hémicycle. Les anciens, pour les nommer comme ça, considèrent que c’est dramatique qu’on puisse se voir refuser un travail à cause d’une photo de cuite sur Facebook.

De l’autre côté, les gamins du nouveau monde, qui s’en fichent. Quand on leur décrit le dernier gadget à la mode sur le net, ils foncent regarder, et si les copains adoptent, alors ils adoptent. Ça étale leur vie privée en public? Bah, s’en fichent. Ça concentre le débat sur le buzz plutôt que sur le fond? Bah, pas grave, au moins c’est rigolo et pas prise de tête. Pas pris dans un boulot a cause d’une photo? Bah, ça évitera de travailler pour un débile.

Ce n’est pas un débat entre ceux qui ont compris et ceux qui n’ont pas compris. C’est un débat entre ceux qui sont nés sur Internet, et ceux qui l’ont appris, voire ceux qui ne l’ont toujours pas appris.

Tout comme Beaumarchais nous expliquait qu’il n’y a que les petits hommes qui redoutent les petits écrits (Le Mariage de Figaro), on pourrait dire qu’il n’y a que les petits hommes qui redoutent les petites vidéos. Les anciens de l’époque avaient une vraie peur de la liberté de la presse, alors qu’aujourd’hui le plus obtu des politiques, le plus archaïque des hommes publics, a compris qu’il peut en jouer, et a appris à en jouer. Les gamins d’aujourd’hui, je n’en doute pas, deviendront des politiques qui sauront parfaitement utiliser la transparence imposée par Internet. Probablement avec pas mal de démagogie dedans, mais qui osera prétendre que les politiques de l’époque de la presse ou de la télévision ne recourraient pas à la même démagogie…

Forcément, quand on garde à l’esprit cette grille de lecture, on se dit que ce pauvre député, si au moins il s’est mis à réfléchir un peu sur les impacts du numérique au lieu de les nier (attitude qui était encore très en vogue il y a seulement quelques années), n’est pas encore sorti de sa peur. Il a commencé à comprendre la marque que le numérique impose sur la société, mais ce n’est pour le moment que pour en être fasciné (je cite ses propos repris de l’article), et en avoir peur.

L’idée de vouloir interdire de publier des photos de bâtiments est idiote. C’est une mauvaise réponse. Même si la question (vie privée, etc) était intéressante. La réponse qu’a choisi Google, peut-être pas idéale, est cependant plus intéressante.

 

LES NETTOYEURS DU NET

[Le Monde 23/11/2009]
Quand on tape sur Google”Paul Lambert” (le nom a été changé à la demande de notre interlocuteur), la première page de résultats affiche une liste de textes informatifs sur l’usine de biocarburants qu’il a créée en Italie.
Les clients, les fournisseurs, les candidats à l’embauche et les concurrents qui cherchent à se renseigner sur cet homme d’affaires découvrent un site d’entreprise très bien fait, des articles élogieux sur ses procédés innovants, des évaluations signées par des experts en marketing et en développement durable.Or, il y a quelques mois, la situation était très différente.
Sur les dix premiers résultats Google, six étaient des documents rappelant que, dans les années 1980 et 1990, l’homme était un trafiquant d’armes international, et qu’il avait été mêlé à deux scandales politico-financiers.
A l’époque, il avait même écrit un livre sur son métier. Puis il s’était expatrié et avait refait sa vie. Par quel miracle, en quelques mois, “Paul Lambert” s’est-il refait une virginité numérique ? Il a fait appel aux services de Hington & Klarsey, une jeune agence basée en Angleterre, spécialisée dans la gestion de la “e-reputation”. L’équipe, qui réunit des informaticiens, des juristes et des gens de communication, a mis au point un procédé très efficace.
Elle mène des recherches pour identifier les auteurs des textes visés et les responsables des sites qui les publient. Puis elle leur demande de supprimer les contenus compromettants, ou au moins de les modifier, en remplaçant le nom de leur client par ses initiales.»…

http://www.lemonde.fr/technologies/article/2009/11/23/les-nettoyeurs-du-net_1270862_651865.html

 

UNE “BACKDOOR” DANS WINDOWS 7 ? CELA EXISTE DEPUIS 15 ANS… A LA DEMANDE DE LA NSA

La NSA étatsunienne sait de quoi elle parle, en 1995, dans le cadre de la préparation des lois CDA et Network Surveillance, elle avait obtenu de Microsoft qu’ils intègrent une “porte dérobée” dans leur système d’exploitation afin de que les services secrets U.S. puissent venir fouiller dans l’ordinateur à distance et que la NSA puisse décoder la clé d’encryptage utilisée par l’utilisateur pour protéger ses communications. A l’époque cette mesure était – déjà – justifiée au nom de la lutte contre le terrorisme… on traquait alors les “groupes miliciens” qui avaient soi-disant fait sauter le batiment fédéral de Oklahoma-City et voulaient assassiner Bill Clinton.

En 1998, à la conférence Crypto98, un groupe de chercheurs avait révélé que les DLL intitulés ADVAPI et NSAKEY, installés par défaut dans toutes les copies de Windows, étaient en fait un “rootkit” de la NSA.

http://www.theforbiddenknowledge.com/hardtruth/nsa_backdoor_windows.htm

[Silicon.fr - 20/11/2009]

Après la faille non-patchée découverte sur Windows 7, cette fois un chercheur en sécurité de la très sérieuse NSA (National Security Agency) américaine explique que l’OS de Microsoft n’est pas totalement sécurisé.

Microsoft a donc réagi dans les colonnes de Computerworld en réfutant l’idée de la présence de portes dérobées (backdoor). Une position qui n’étonne aucunement l’ensemble des chercheurs en sécurité. Cela étant, il serait plus qu’étonnant que Microsoft ait délibérément caché cette porte et engagé ainsi sa réputation.

Pour information, les portes dérobées sont un des moyens les plus utilisées par les cyber-espions. Ces derniers utilisent des chevaux de Troie appelés trojans qui permettent d’ouvrir des «portes de service» qui donnent accès aux données de l’ordinateur depuis l’extérieur.

Selon Mikko Hyppönen, directeur des laboratoires de recherche de F-Secure, il s’agit là du moyen principal de piratage. « La porte de service se lance immédiatement et se cache dans le système, souvent à l’aide de techniques de rootkits. Il établit une connexion depuis l’ordinateur infecté vers une adresse réseau spécifique située quelque part dans le monde. Avec l’aide de cette porte de service, le cybercriminel accède aux informations situées sur l’ordinateur cible, ainsi qu’aux informations situées dans le réseau local auquel la cible accède. »

Ainsi la position extrême s’avère être celle de se déconnecter du Web, certains postes contenant des informations critiques. Une solution radicale… mais inapplicable aujourd’hui face à la réalité des besoins de communication en ligne.

http://www.silicon.fr/fr/news/2009/11/20/windows_7_embarque_t_il_une_porte_derobee_

 

TROP SOURIANTE SUR FACEBOOK ? ALLOCATIONS SUSPENDUES…

On vous l’avait bien dit que le flicage volontaire finirait par se retourner contre vous…

[Ne Rien Louper - 22/11/2009]

Une histoire à peine croyable qui est en train de faire le tour du monde. En effet, Nathalie Blanchard habite au Québec et travaillait pour la société IBM. Mais prise d’une grosse dépression, son médecin lui donne un arrêt de travail pour une longue période. Son médecin lui recommande un voyage qu’elle devait faire. Un voyage au bord de la mer, sous le soleil… mais son assurance maladie était apparemment au courant de ce voyage. Nathalie diffuse quelques photos de ses vacances sur son profil Facebook. Un profil verrouillé donc seules les personnes acceptées par la jeune femme de 29 ans peuvent y avoir accès. Et finalement, l’assurance maladie aurait décidé de suspendre ses indemnités après avoir consulté les photos de Nathalie Blanchard. Des photos où elle apparaît… heureuse! Et donc, à cause de Facebook, on lui aurait dit qu’elle était de nouveau en mesure de retourner travailler.

De son côté, l’assurance maladie aurait déclaré à la télévision américaine qu’elle pouvait prendre en compte des données mises en ligne sur Facebook mais que pour suspendre le versement d’allocations, elle ne se contentait pas des informations diffusées sur le réseau social. Un nouvel examen médical de la jeune femme devrait donc avoir lieu pour déterminer si elle peut reprendre le travail ou pas. Dans tous les cas, cette histoire incroyable soulève un autre problème, celui de la confidentialité de Facebook. Comment l’assurance maladie a-t-elle eu accès aux photos de vacances de Nathalie Blanchard alors que son profil était verrouillé?

http://www.nerienlouper.fr/11691-nathalie-blanchard-heureuse-sur-facebook-donc-indemnites-suspendues/

 

GOOGLE : LES DONNÉES PERSONNELLES, UNE QUESTION DE VIE OU DE MORT

[Alexandre Hervaud - Ecrans.fr - 25/05/2009]

Larry Page, le cofondateur de Google, n’hésite pas à verser dans l’alarmisme pour justifier la collecte de données personnelles par le moteur de recherche.

« Le fait d’avoir ces données personnelles a beaucoup de valeur. Moins on gardera de traces comme celles-là, plus on aura de chances de tous mourir ». On s’est un peu pincé en lisant dans le Telegraph cette déclaration attribuée à Larry Page, cofondateur de Google, présent près de Londres pour le Google Zeitgeist 2009. A deux doigts de penser que le vénérable quotidien anglais nous sortait soit une citation tronquée, soit un poisson d’avril à retardement. Et pourtant, d’autres médias comme la BBC la rapporte également — sans préciser toutefois si la phrase n’a pas été déclarée sur un ton badin, du genre « Barack Obama s’est inspiré de ma campagne ». Ce qui ne changerait de toute manière pas grand chose au propos. Petite remise en contexte.

Comme nous l’avions déjà signalé dans ces pages, l’Union Européenne souhaite réduire à 6 mois (maximum) la durée de rétention des données personnelles par les moteurs de recherche. Beaucoup trop court pour Google, qui a déjà fait « l’effort », en septembre dernier, de réduire de moitié sa durée de conservation des données en passant de 18 mois à 9 mois. Et pour appuyer son propos, Larry Page n’a pas trouvé meilleur argument que… la grippe porcine. Selon lui, réduire la fameuse durée pourrait diminuer la « valeur » des données, empêchant notamment Google de prévoir avec succès la propagation des maladies et d’épidémies comme la grippe porcine. D’où la citation toute en finesse qui ouvre cet article.

Les réactions n’ont pas tardé. Sur le site Econsultancy, pourtant mesuré et professionnel, un article sobrement intitulé Google’s Larry Page is crazy a fustigé l’exagération du cofondateur de Google. Son rédacteur, Patricio Robles, écrit : « je ne doute pas de l’utilité publique de certaines données collectées par Google. Mais quand Page suggère qu’on a plus de chances de mourir si Google ne peut pas stocker ses données, je ne peux pas m’empêcher de penser que Page passe peut-être trop de temps à faire la fête dans l’avion de Google. »

Eric Schmidt, Sergey Brin and Larry Page – CC Joi

Eric Schmidt, PDG de Google récemment pointé du doigt pour sa proximité douteuse avec Apple, désapprouve également la décision de l’Union Européenne via un argument qui laisse songeur : « historiquement, quand les marchés commencent à être règlementés, le niveau d’innovation ralentit dramatiquement ». Le même Eric Schmidt invitait paradoxalement lundi les 6000 étudiants de l’Université de Pennsylvanie à « éteindre leurs ordinateurs », à « découvrir ce qui est humain autour de vous ». Un mode de vie analogique, en quelque sorte, par ailleurs moyen radical d’éviter la collecte de ses données personnelles pour une longue durée. Il fallait y penser. 

http://www.ecrans.fr/Google-Les-donnees-personnelles,7275.html

 

TON MOT DE PASSE ? JE TE LE DEVINE EN TROIS SECONDES, GRACE AU WEB 2.0

FORGOT YOUR PASSWORD ?

[Stéphanie Bruhière - Mediashift - 28/05/2009]

Vous croyez votre compte bancaire ou votre boîte e-mail parfaitement protégée par un mot de passe ultra-confidentiel et une question secrète dont la réponse ne serait connue que de vous ? Vous pensiez qu’en mettant deux majuscules, trois chiffres et un dièse dans votre mot de passe, personne ne pourrait pirater vos comptes sur internet ?

Grosse erreur d’après Herbert H. Thompson, journaliste au Scientific American. En effet, celui-ci a souhaité montrer à quel point il était facile et à la portée de tous de pirater le compte d’une tierce personne en passant simplement par le lien « mot de passe oublié ». Pour appuyer ses arguments, il a donc tenté d’accéder au compte bancaire d’une victime de son choix en utilisant la fonction de récupération de mot de passe. Pour cela, il a donc pris pour cible une amie de sa femme au sujet de laquelle il ne connaissait que des informations relativement basiques : son nom, l’Etat où elle résidait, son âge, son lieu de travail et le nom de sa banque. Une première recherche Google à partir du nom de famille de lui dévoile un blog et un vieux CV. Le blog notamment, s’avère extrêmement utile : il y obtient des informations sur sa famille et sur son enfance, ainsi que son adresse e-mail du collège et son adresse G-Mail actuelle.

Il se connecte ensuite sur le site bancaire de l’amie de sa femme. Le lien du fameux « mot de passe oublié ? » le renvoie à la consultation de G-Mail. En effet, un courriel y a été envoyé afin de cliquer sur un lien pour réinitialiser le mot de passe. Il s’agit donc alors d’accéder à la boîte email.

La démarche est la même : G-Mail renvoie le journaliste vers une autre adresse email, renseignée lors de la création du compte. Dans le cas présent, il s’agit de celle que la victime avait au collège, information obtenue auparavant grâce à la recherche Google.

C’est sur ce compte qu’Herbert Thompson va pouvoir agir en cliquant sur le « mot de passe oublié ». Il doit alors répondre à une « question secrète » personnelle afin de changer le mot de passe. Or avec à sa disposition le blog et l’ancien CV, le journaliste a toutes les informations nécessaires pour y répondre. La suite est particulièrement aisée : il accède ainsi au compte G-Mail de l’amie de sa femme à partir duquel il aura accès à l’e-mail envoyé par la banque.

L’expérience est troublante. En effet, depuis quelques temps, les questions secrètes se sont sophistiquées. En plus du traditionnel nom de jeune fille de notre mère, on nous demande également de choisir entre notre héros d’enfance ou notre animal préféré par exemple. Il ne nous viendrait pas à l’esprit qu’un « hacker » puisse connaître ces informations en apparence très personnelles. Or à l’ère des blogs, des curriculum vitae en ligne et des réseaux sociaux sur lesquels l’on n’hésite plus à parler de Doudou, le hamster de notre enfance, il est désormais aisé pour les pirates de découvrir la réponse à ces questions destinées à protéger nos comptes sur internet.

Aux Etats-Unis, il est même possible d’acheter clandestinement des répertoires de renseignements personnels du type « nom de votre animal préféré » pour environ 15 dollars par lot. Si l’on ne dispose pas encore de statistiques précises, cette stratégie est soupçonnée dans de nombreux cas de piratage à l’heure actuelle.

Cet exemple met une fois encore l’accent sur les dangers qu’il peut y avoir à trop dévoiler sa vie sur le net. Les données divulguées restent sur la toile, souvent longtemps après leur diffusion. Cela constitue une véritable mine d’or pour les pirates, d’autant plus que cela ne requiert aucune compétence informatique particulière. La solution se situe alors entre la maîtrise des informations personnelles que l’on diffuse et des changements de mots de passe régulier.

Dès lors, si vous croyiez être le seul à connaître le surnom que vous donnaient vos parents quand vous aviez six ans, il est possible qu’une dizaine de « hackers » soient désormais au courant. Au-delà de l’embarras personnel que cela peut vous causer, c’est surtout tout vos comptes sur le web qui sont menacés.

http://blog.mediashift.fr/2009/05/28/forgot-your-password/

 

A POIL SUR INTERNET… UN ATOUT POUR VOTRE CARRIÈRE FUTURE

[Chronique : Tout nu sur Facebook, par Franck Nouchi - LE MONDE | 29.09.09 ]

Dimanche 27, sur le site Slate.fr, Jean-Francois Copé a posté un article intitulé “La liberté et Internet“. Extrait :

“Le droit à l’oubli a-t-il encore un avenir quand les photos de soirée d’un jeune de 17 ans peuvent être stockées et exploitées contre lui dix ans plus tard quand il cherchera du travail ?” (…)

Dès dimanche, 10 h 03, les commentaires commençaient à affluer. On en passe et des meilleurs, pour ne retenir que cette assertion du dénommé “Ropib” : “Le droit à l’oubli : il n’y a que les vieux qui considèrent que la photo de quelqu’un en soirée doit être prise en compte au moment de son embauche. Quelqu’un qui vit à son époque sait qu’on peut faire la fête à un moment, être crédible à un autre, avoir de multiples appartenances. Demain c’est celui qui n’aura pas de photo de lui tout nu sur Facebook qui sera suspecté de n’avoir aucune vie sociale et donc de ne pas savoir se comporter correctement avec les autres.”

http://www.lemonde.fr/opinions/article/2009/09/29/tout-nu-sur-facebook-par-franck-nouchi_1246755_3232.html

 

TOUT INNOCENT N’EST EN FAIT QU’UN COUPABLE POTENTIEL QUI S’IGNORE

Avec la crise, la société capitaliste renoue avec les fondamentaux de l’Ordre Moral bourgeois qui veut que – en dehors de la petite synarchie d’entre-nous qui gouverne le monde – la population est un ensemble grouillant et dangereux qu’il faut surveiller en permanence “afin de prévenir l’acte criminel avant même sa conception par le malfrat” comme le théorisait déjà Victor Hugo à travers le personnage de Javert.

Et comme tout le monde est suspect au regard de l’Autorité et que Brice Hortefeux reprend sur le site Web de son Ministère le mot d’ordre inventé par Feliks Dzierżyński, fondateur du KGB  – si vous n’avez rien à vous reprocher, alors pourquoi voudriez vous nous cacher quelque chose ? – vous comprendrez qu’il n’y a aucune raison pour laquelle l’Autorité vous accorderait encore la moindre vie privée.

“La vie privée, c’est pour les gens qui ont quelque chose à cacher. Les citoyens honnêtes n’ont pas de rideaux à leurs fenêtres. L’Ordre Social repose sur le contrôle par le regard social sur les activités de chacun” cette phrase qui ne déparerait pas dans la bouche d’Alain Bauer, provient en fait d’un Ministre du gouvernement Taliban en Afghanistan, dans les années 1990.

Londres veut ficher 11 millions d’adultes en contact avec des enfants

[Sonia Delesalle-Stolper - Libération - 16/09/2009]

Le projet du gouvernement travailliste provoque une énorme polémique, y compris parmi les associations de protection de l’enfance

Pris dans la tourmente d’une vague de critiques sans précédent, le gouvernement britannique opère depuis quelques jours un rétropédalage en accéléré. En cause ? L’introduction début octobre d’un nouveau système de contrôle du casier judiciaire de toutes les personnes en contact régulier avec les enfants dans le cadre d’activités diverses.

Ce système est né d’un drame. En 2002, deux fillettes d’une dizaine d’années étaient violées et tuées par Ian Huntley, qui travaillait comme homme à tout faire dans l’école où les enfants étaient scolarisés. Ian Huntley avait déjà fait l’objet de poursuites pour abus sexuels sur des mineurs, mais son dossier s’était perdu dans les méandres de l’administration.

Une commission a donc travaillé trois ans pour élaborer un nouveau système supposé renforcer la sécurité des enfants. Ce programme prévoit que quiconque travaillant avec des enfants ou des adultes vulnérables, que ce soit pour un salaire ou sur la base du volontariat, devra désormais se soumettre à une vérification de son casier judiciaire.

En l’état, ce système s’appliquerait à tout adulte participant à une activité avec des enfants de manière « fréquente » (une fois par mois) ou « intensive » (au moins trois fois par mois). En bref, tous les entraîneurs et parents volontaires qui participent aux activités de différents clubs de sports, les parents volontaires pour venir faire lire les enfants à l’école, une activité très répandue au Royaume-Uni, mais aussi les opticiens, dentistes, médecins et professeurs particuliers seraient concernés. Le contrôle s’appliquerait même aux parents recevant un enfant étranger dans le cadre d’un échange linguistique organisé par l’école.

Le refus de se soumettre à ce contrôle serait puni d’une amende de 5.000 livres et d’une mention dans le casier judiciaire. Au total, 11,3 millions de personnes seraient concernées par ces nouveaux contrôles, soit un Britannique sur cinq ! (1) (Lire la suite…)

 

UNE AGENCE EUROPÉENNE RÉUNIRA TOUS LES FICHIERS DE POLICE, JUSTICE ET ASILE

[Gilles J. Guglielmi - Guglielmi.fr - 06/07/2009]
Une proposition de création présentée par la Commission européenne

Big Brother est en gestation. C’est en fait Big Sister, puisqu’il s’agit d’une agence de régulation fondée par l’Union européenne. Orwell ne nous avait pas prévenu que le risque totalitaire viendrait de Bruxelles. Voilà ce que comporte la proposition de règlement du Parlement européen et du Conseil présentée par la Commission européenne le 24 juin 2009, COM(2009) 293 final qui a pour objet de créer une agence chargée de la gestion opérationnelle des systèmes d’information SIS2, VIS et EURODAC.

La Commission européenne présente une proposition de règlement du Parlement européen et du Conseil du 24 juin 2009, COM(2009) 293 final, ayant pour objet de créer une agence qui sera chargée de la gestion opérationnelle des systèmes d’information à grande échelle en application du titre IV du traité CE et, potentiellement, « d’autres systèmes d’information dans le domaine de la liberté, de la sécurité et de la justice ». (Lire la suite…)

 

45% DES EMPLOYEURS SCRUTENT LES SITES DE SOCIALISATION

[NOUVELOBS.COM | 21.08.2009]
Près de la moitié des employeurs sondés indiquent avoir utilisé les sites de socialisation pour obtenir des renseignements sur les candidats aux emplois qu’ils proposent, contre seulement 22% l’an dernier.

Aux Etats-Unis, près de la moitié des employeurs étudient le profil des candidats aux postes qu’ils proposent sur les sites de socialisation comme Facebook, selon un sondage qui conseille aux demandeurs d’emploi de faire attention à ce qu’ils partagent en ligne, apprend-on vendredi 21 août. Selon ce sondage effectué pour CareerBuilder.com, premier site en ligne d’annonces d’emplois aux Etats-Unis, 45% des employeurs sondés ont indiqué avoir utilisé les sites de socialisation pour obtenir des renseignements sur les candidats aux emplois qu’ils proposent, contre seulement 22% l’an dernier. Et parmi ceux qui ne le font pas, 11% ont l’intention de s’y mettre.

35% ont écarté des candidats sur la base de ces infos
Les demandeurs d’emploi devraient en conséquence “faire attention aux informations qu’ils partagent en ligne”, écrit CareerBuilder.com dans un communiqué. Parmi les employeurs sondés, 35% ont en effet indiqué avoir écarté des candidats en raison de ce qu’ils ont trouvé sur les réseaux sociaux. Ils l’ont fait notamment après avoir vu des “photographies ou des informations provocantes ou déplacées” ou des contenus faisant référence à l’alcool ou la drogue. Certains ont aussi écarté des candidats qui disaient du mal de leur précédent employeur, de collègues ou de clients, ou qui savaient mal communiquer sur eux-mêmes, écrivaient des commentaires discriminatoires, partageaient des informations confidentielles venant d’un précédent employeur ou mentaient sur leurs qualifications. A l’inverse, 18% des employeurs ont indiqué avoir sélectionné des candidats grâce aux informations trouvées sur des réseaux sociaux. Parmi les employeurs qui cherchent des informations en ligne, 29% utilisent Facebook, 26% LinkedIn et 21% MySpace, 11% recherchent sur les blogs et 7% sur le site de micro-blogs Twitter.

Sondage effectué par Harris Interactive auprès de 2.667 recruteurs et professionnels des ressources humaines du 22 mai au 10 juin 2009 avec une marge d’erreur de plus ou moins 1,9%.

http://tempsreel.nouvelobs.com/actualites/vu_sur_le_web/20090821.OBS8315/45_des_employeurs_scrutent_les_sites_de_socialisation.html

 

LE LOGICIEL QUI MENACE LA PLANÈTE FINANCE

[Marc Mayor - MoneyWeek - 12/08/2009]

Le 4 juillet 1776, le roi George III écrivait dans son journal : “Rien d’important ne s’est passé aujourd’hui.” Le même jour, les Etats-Unis proclamaient leur indépendance. Une future superpuissance était née, et l’homme le mieux informé du monde ne le savait pas.

Le 4 juillet 2009, Sergey Aleynikov fut amené devant un juge. La veille, ce programmeur avait été arrêté par des agents de la police fédérale américaine à l’aéroport de Newark, suspecté d’avoir volé des algorithmes top secrets à son ancien employeur, la banque Goldman Sachs. Les médias généralistes n’ayant pas couvert la nouvelle, le grand public en sait aussi peu à propos de cette affaire que le roi d’Angleterre sur la déclaration d’indépendance, deux cent trente-trois années plus tôt. Pourtant, il n’est pas impossible que cette affaire marque la fin d’une ère pour la finance mondiale.

Le Groupe de travail sur les marchés financiers avait été créé par le président Ronald Reagan moins de six mois après le krach du 19 octobre 1987, qui avait fait perdre aux Bourses mondiales un quart de leur valeur en un seul jour. Sous la présidence du secrétaire du Trésor, il réunit le patron de la Réserve fédérale ainsi que les responsables du marché des actions et des marchés à terme. Goldman Sachs assiste ce groupe dans ses interventions sur le marché et se tient à la disposition de la Bourse de New York pour fournir de la liquidité dans des cas particuliers. Pour cette raison, l’établissement a accès à certains codes de sécurité, notamment sur le réseau du New York Stock Exchange.

Le système le plus complexe sur lequel a travaillé Sergey Aleynikov permet d’installer des logiciels capables de capturer des flux de texte passant par des serveurs informatiques. Sur le Nyse, de telles informations contiennent des indications d’intérêt pour un achat ou une vente, des prix de titres ainsi que des notifications d’exécution de transactions. Quiconque disposant de ces informations avant le public serait comparable à un joueur de poker seul capable de voir les cartes de ses adversaires ; cette affaire pourrait donc être liée aux prix fantômes dont je vous parlais en mai.

L’assistant du procureur Joseph Facciponti a déclaré : “La banque [Goldman Sachs] a soulevé la possibilité qu’il y ait un danger que quelqu’un qui sache comment utiliser ce logiciel puisse s’en servir pour manipuler le marché d’une manière injuste.” Si tel est le cas, cela signifie que, avant la prétendue malversation, Goldman Sachs disposait d’un outil qui lui permettait de manipuler les marchés.

Le vendredi 3 juillet, le Nyse livrait les derniers chiffres de program trading, qui donne le nombre d’actions achetées et vendues par des algorithmes, le tout classé par établissement. Goldman Sachs, qui auparavant disposait d’une part de marché de 60%, avait subitement disparu de la liste d’une semaine à l’autre. C’est d’autant plus surprenant que le groupe avait déclaré, en mai, avoir gagné plus de 100 millions de dollars par jour de trading au cours de 34 jours (sur un total de 63) sur le premier trimestre dernier.

Dans ce cas, pourquoi arrêter ? Il n’en faut pas davantage pour échafauder des théories : le groupe bancaire a peut-être accès avant les autres, en raison des services rendus au gouvernement et à la Bourse de New York, à des informations liées au marché des actions et contrats à terme. Il est possible que la banque ait engagé Sergey Aleynikov pour installer son application sur les serveurs du Nyse, de manière à disposer d’un avantage comparable à celui du joueur de poker mentionné ci-dessus. Armée de cet outil, il lui aurait été quasiment impossible de perdre. La banque pourrait ainsi avoir raflé une centaine de millions par jour ouvrable en toute impunité. En admettant ce scénario, cette affaire est-elle vraiment susceptible de changer les marchés à jamais ? C’est possible.

Selon l’assistant du procureur, “le programme se trouve quelque part sur un serveur allemand, et nous ne savons pas actuellement qui d’autre y a accès et ce qu’il adviendra de ce logiciel”. Sans vouloir faire dans le profilage, le fait est que Sergey Aleynikov est originaire de Russie. Lequel pays est la patrie des hackers les plus doués de la planète : selon Alex Spillius, du Telegraph, une cyber-attaque venue de Russie et visant les systèmes du Pentagone en novembre avait eu tellement d’impact que le président Bush et le secrétaire à la Défense Robert Gates avaient dû en être avertis. Si l’algorithme en question tombait entre les mains de tels pirates, cela pourrait provoquer des dégâts importants sur les Bourses mondiales.

En 2006, Steve Knopper, du magazine Wired, avait tenté une expérience amusante : acheter un ordinateur tout neuf, puis l’exposer au pire de l’Internet, après avoir désactivé pare-feu et logiciel d’antivirus. Le journaliste avait alors ouvert des pourriels, puis téléchargé quantité de pornographies, de musique piratée et autres jeux informatiques sur la Toile. Résultat : après dix-huit jours de ce régime, il fut contraint d’amener sa machine, qui ne démarrait plus, au support technique. Moins de quatre heures plus tard, le technicien l’informait que toute tentative de réparation était futile. Espérons que l’arme de destruction massive issue de Goldman Sachs n’ait pas le même impact sur les Bourses mondiales.

http://www.moneyweek.fr/conseils/01325/logiciel-informatique-goldman-sachs-actions.html

 

UN PATRON SUR TROIS ÉCARTE DES CANDIDATS SUR LA BASE DE LEUR PROFIL SUR LES RÉSEAUX SOCIAUX

[Jean-Charles Condo - BENEFICE.NET -  20 août 2009 ]

Selon un récent sondage réalisé pour le site CareerBuilder, près d’un employeur américain sur deux utiliserait maintenant les réseaux sociaux tels que Facebook et LinkedIn pour recruter des candidats.  Les répondants signalent toutefois que les contenus inappropriés trouvés dans ces réseaux peuvent également servir à éliminer des candidatures.

L’étude suggère que 45% des employeurs consultent les profils et autres contenus diffusés dans les médias sociaux par les candidats.
Les sites les plus souvent consultés par les employeurs avant une embauche sont Facebook (29%), LinkedIn (26%), MySpace (21%), les blogues (11%) et Twitter (7%). Cette utilisation des médias sociaux est nettement supérieure aux résultats enregistrés l’an dernier, alors que seulement 22% des employeurs disaient consulter les contenus diffusés par les candidats.

Mais les réseaux sociaux sont aussi une arme à double tranchant. Plus d’un employeur sur trois (35%) indique qu’il a écarté des candidats à cause de contenus trouvés sur des sites de réseautage social. Les raisons les plus souvent évoquées par les employeurs sont:

- Photos ou informations inappropriées ou provocatrices (53%);
- Contenus indiquant que le candidat consomme de l’alcool ou des substances illicites (44%);
- Critiques à l’égard d’un employeur précédent ou d’un collègue de travail (35%);
- Le candidat fait preuve de faibles aptitudes dans la communication (29%).

À la lumière de ces résultats, CareerBuilder recommande aux personnes de soigner leur image sur les réseaux sociaux avant d’entreprendre une recherche d’emploi. Les candidats devraient notamment supprimer leurs photos inappropriées, projeter une image optimiste et constructive d’eux-mêmes, être sélectifs quant au choix de leurs amis dans les réseaux sociaux, et ne pas hésiter à effacer des commentaires inappropriés.

Terminé en juin 2009, ce sondage américain a été mené par Harris Interactive auprès de plus de 2600 cadres et spécialistes des ressources humaines.

http://benefice-net.branchez-vous.com/actubn/2009/08/recherche_emploi_facebook_link.html

 

SYSTÈME “HERISSON” : UNE STASI À LA FRANçAISE

Et encore, la STASI de l’Allemagne de l’Est avec leurs fiches et leurs classeurs, c’était des petites mains comparé à la puissance des systèmes informatiques d’aujourd’hui. Mais on va encore nous dire qu’on est des conspirationistes, paranos et pas cool…

Quand on sait le nombre de “retraités de l’Armée” qui pantouflent dans les “directions sécurité” des entreprises françaises, qu’est ce qui vous garantit que ces messieurs (voir l’Affaire Canal Plus) ne profiteront pas de leurs contacts pour consulter le fichier sur vous, à l’occasion d’un entretien d’embauche ? Et votre CV finira à la poubelle parce que, il y a 10 ans, quand vous étiez lycéen, vous avez écrit “Sarko facho” sur votre Skyblog.

Alors… toujours cool ?

(Note de copinage : on adore tout ce qu’écrit Jean-Marc Manach et son blog BugBrother vaut largement l’abonnement RSS)

[BugBrother - 19/08/2009]

Cybersurveillance : la DGA nie, mais ment

L’armée française, et ses services de renseignement, disposeront, en 2010, d’un système de surveillance des télécommunications leur permettant d’identifier très précisément toutes les fois où, dans une vingtaine de langues et par exemple, « Nicolas Sarkozy » aura été cité, à la radio, la TV ou sur l’internet, qu’il ait été qualifié de « le nouveau président français », « Monsieur Sarkozy », « le Président », « il », « celui-ci », ou « Sarko », ainsi que toutes les photos et vidéos où il apparaîtra (y compris caricaturé). Mais à en croire les ministères de la Défense et de l’Intérieur, il ne s’agit aucunement d’un système espion de surveillance.

En juillet 2008, un internaute anonyme postait, en commentaire d’un billet que j’avais consacré aux problèmes posés par les fichiers des services de renseignement, une information que je regrette de n’avoir pu alors recouper :

On peut également se demander ce qu’il adviendra des innombrables données collectées par le HERISSON (Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées), un outil informatique commandé par le Ministère de la Défense et la DGA (Délégation Générale pour l’Armement) afin de “pomper” tout média imaginable (des émissions de télévision aux transferts P2P en passant par les réseaux sociaux, les moteurs de recherche ou les tracts sur papier), en extraire les informations pertinentes (identification photographique et vocale de personnes, traduction automatisée…) et les croiser.

Suivait un lien vers l’appel d’offres. Faute de pouvoir accéder au cahier des charges du projet, je n’en faisais rien.

Mars 2009, mon (excellent) confrère Marc Rees met la main dessus, et publie sur PC Inpact un article truculent, qui “laisse entrevoir un système de collecte automatisée, de recherche d’informations et de surveillance de tout ce qui transite sur les réseaux” (radio, TV et internet), et fait le parallèle avec le système de surveillance anglo-saxon Echelon des télécommunications :

Exemple piquant, « Le système offre la possibilité de reconnaître l’entité elle-même de plusieurs manières différentes: Soit par mention explicite. Exemple : « Nicolas Sarkozy », Par mention relative (« le nouveau président français »), par mention partielle (« Monsieur Sarkozy », « le Président »), par anaphore (« il », « celui-ci »), par surnom (« Sarko ») ».

Le cahier des clauses techniques particulières (CCTP) détaille ainsi comment Herisson doit être capable de glaner à peu près tout ce qui passe sur les réseaux, qu’ils transitent sur les chats IRC, mailings listes, forums, réseaux sociaux, newsgroups, flux RSS, blogs, podcasts, flux vidéo, systèmes P2P, FTP… Il doit également être “calibré pour accéder à n’importe quel contenu (texte, image, son et vidéo), quels que soient les langages utilisés (HTML, PHP, ASP, javascript, Flash…), et en prenant en compte la problématique des liens cachés“. (Lire la suite…)

 

DÉFENDRE SA VIE PRIVÉE, C’EST RINGUE, FAUT ÊTRE COOL

La reprise de l’article de Yves Eudes sur le service AKA-AKI nous a valu un paquet de commentaires et courriers. Une bonne partie d’entre eux disent en substance : “Ne soyez pas paranos, ce service est cool, on s’en fout d’être pistés, ça craint rien…”. Profitant d’une rare occasion où la majorité des membres du réseau L&I était rassemblée autour d’un excellent cassoulet, nous avons pondu la réponse suivante :

Dernier commentaire en date, déposé ce matin par “BigBrother” :

Mais…
je ne saisi pas le malaise… certains l’ont déjà signalé mais j’ai personnellement cette appli sur mon téléphone parce que je l’ai voulu, si je ne l’avais pas installé je ne l’aurais pas…
De plus il n’y a qu’un pseudo, éventuellement un âge et éventuellement encore une photo mais rien de personnel (pas de lieu de travail pas de domicile, pas d’”historique de déplacement”, pas de nom de famille, pas de numéro de téléphone)…
En plus le bluetooth n’est pas utilisé par cette appli elle utilise uniquement les coordonnées GPS du téléphone ou de la BTS (l’antenne du reseau 3g).
Je pense qu’il faudrait tester les applis avant de crier au loup.
A mon sens il faut vraiment avoir des choses à ce reprocher pour avoir peur de ce genre de chose…
Une société commerciale s’interresse à mon historique web? Et alors? S’il n’ont que ça à faire.
Quelqu’un (on ne sait qui) serait suffisement désoeuvré pour s’interresser à mes déplacements et jubile parce qu’il sait que je suis allé sur les champs elysées entre midi et deux? Super et alors, s’il cette personne n’a que ça a faire…
Vous pensez sincerement qu’il y a une société secrète composée d’une armée de nolife derrière des écrans qui s’interresse à nos vies?

“- Oh regarde j’ai kikou92 qui va acheter du pain.
- Bien joué Crucho note-le ça m’en fait 54422 aujourd’hui.
- Pichar! j’en ai un qui retourne au supermarché, c’est “bebe75″ il y est déjà allé ce matin
- Génial j’le note c’est le 521e aujourd’hui qui oubli un truc en faisant ces courses”

C’est vraiment se donner de l’importance

Je suis d’accord avec vous pour que les données privée des fichiers administratifs soient contrôlées (EDVIGE etc) parce que les données sont administrative et policières… mais là… AKA AKI… il faut se destresser.

Keep Cool

Réponse : Oui, on peut aborder la question comme ça, en se disant “Ne soyons pas paranos”, ou bien (comme le disaient nos mamans) “Si on a rien à se reprocher…”.

Le seul problème – et c’est là la clé de tout le débat sur la protection de la vie privée – c’est que on a toujours quelque chose à se reprocher et que ce quelque chose peut être utilisé contre vous, quand vous vous y attendez le moins, de manière parfois disproportionnée et sans que vous ayez la moindre occasion de vous justifier.

C’était déjà le débat avec les photos sur MySpace qui se retrouvaient dans les entretiens d’embauche des RH (http://libertesinternets.wordpress.com/2009/04/03/nos-vies-sur-internet-a-perpete/), les mails “pas sérieux” qui sont versés au dossier d’un salarié pour un futur chantage au licenciement  (http://libertesinternets.wordpress.com/2009/08/17/un-tiers-des-responsables-informatiques-espionnent-leur-collegues/) , ou encore l’application des hollandais qui piste les téléphones portables des hommes politiques et des people pour voir qui se ballade dans le quartier des putes (cf: http://libertesinternets.wordpress.com/2009/04/16/encore-pire-que-aka-aki-le-flicage-sauvage-par-bluetooth/).

Compte tenu du niveau trash de la presse caniveau et des méthodes de plus en plus dégueu de la politique (regarde le niveau de la campagne des Républicains aux USA), tu vois tout ce qu’on peut tirer de ce genre d’infos. “Le député Machin a été repéré dans une rue où il y a des sex-shops – expliquez vous Monsieur Machin !“.

On peut même aller chercher des exemples plus sinistres: si tu as un nom de bougnoule et que ton téléphone portable te flique comme étant allé dans un pays “suspect”, tu peux te retrouver en enfer quand tu rentres chez toi : http://fr.wikipedia.org/wiki/Murat_Kurnaz.

Et si tu choisis un mode de vie alternatif et que tu as le malheur de faire l’amour au mauvais endroit avec ta copine, le flicage de ta vie privée t’enverra en prison pour six mois (http://libertesinternets.wordpress.com/2009/05/29/tarnac-enquete-sur-un-fiasco-qui-en-dit-long-sur-la-france-de-sarkozy/) .

Ou encore le débat avec Google Street View qui ne floutait pas les visages des passants, causant par exemple le licenciement d’un coursier à vélo, surpris entrain de pisser contre un arbre. (http://maps.google.com/maps?f=q&hl=en&q=San+Bruno,+California,+United+States&ie=UTF8&ll=37.625041,-122.482667&spn=0.022331,0.038109&z=15&om=1&layer=c&cbll=37.617952,-122.485275&cbp=1,228.978817071945,0.56251897101312,3)

Avec les données numériques, ce n’est pas compliqué de compiler des milliards de données de déplacements individuels et d’en établir des profils. Les programmes qui font cela existent et sont en usage depuis des années.

Le profil commercial est le Saint Graal de toute l’industrie publicitaire. Tu es bien naif(ve) si tu crois que “les gens ont mieux à faire que…” – non, justement, ils dépensent des millions pour savoir ce que tu fais, ce que tu achètes, où tu vas, combien de temps tu t’arrêtes devant une vitrine… etc. etc. C’est le fluide vital de toute l’industrie du commerce.

Et une fois que tu es “profilé”, qu’on sait ce que tu achètes, ce que tu regardes, ce que tu lis, sur quoi tu bandes (ou mouilles), dans quels endroits tu vas, où tu te trouves en ce moment… quand toute cette information est rassemblée et ordonnée par des entreprises commerciales comme Google ou Clickpoint et bien où est ta vie privée ? Et surtout, qui va la contrôler ? Et surtout de quel droit ces entreprises archivent-elles ces données, sans aucun contrôle du législateur ? Facebook conserve les archives de tes données, même si tu as fermé ton compte. Idem pour Google.

Et tu crois que le simple fait d’anonymiser les données ne permettra pas de te retrouver ? Va donc demander à “Marc L.” ce qu’il en pense (http://libertesinternets.wordpress.com/2009/04/16/3909/).

Qui empêchera ta compagnie d’assurance d’aller acheter ces données chez Clickpoint pour te faire payer des primes plus élevées (parce que ton profil indique que tu achètes des clopes et ne fais pas assez de sport) – voire te refuser un remboursement de soins parce que, sur ton profil MySpace ou Facebook, on te voit entrain de faire du vélo sans casque ? Ce n’est pas de la science-fiction, c’est déjà arrivé.

Et qui va empêcher un avocat de divorce ou bien l’avocat de ton employeur d’exiger de consulter ton Historique Web sur Google ou bien ton historique de déplacements sur Aka-Aki afin de prouver que tu te masturbes tous les jours sur Youporn ou bien que tu n’étais pas au boulot alors que tu étais censé y être (c’est ce qui est arrivé à un commercial à Paris, pisté via son téléphone portable d’entreprise. Il avait fait un détour hors de son secteur pour faire une course personnelle, lors de ses heures de boulot).

On te dira “Si vous êtes innocent, vous n’avez rien à cacher, alors donnez nous votre mot de passe pour consulter votre Historique Web et savoir ainsi qui vous êtes et si vous correspondez bien aux valeurs de notre Entreprise“. Si tu dis non, tu peux être certain que t’auras pas le job.
C’est déjà ce que fait la ville de Bozeman (http://libertesinternets.wordpress.com/2009/06/21/tu-veux-un-job-chez-nous-donne-nous-ton-mot-de-passe-facebook-twitter-gmail/)

Tu penses que nous sommes paranos ?

Peut-être, mais avant de diffuser des milliards d’informations privées sur nous, même si “nous n’avons rien à nous reprocher”, on devrait au moins avoir la possibilité d’en débattre – voire de pouvoir avoir le moyen de contrôler et gérer nos propres données. Or, à ce jour, on a rarement vu les gouvernements (avec leurs faibles moyens, demande un peu à Alex Türk de combien de budget dispose la CNIL) aller faire la loi chez les grosses multinationales comme Google, Yahoo, FaceBook ou ClickPoint…

Voilà, nous espérons t’avoir convaincu que – en tant que consommateur – tu as une importance pour ces gens là, et que tes données ne t’appartiennent plus. Si cela ne te dérange pas, alors c’est ton affaire. Mais le droit le plus élémentaire c’est celui d’avoir une vie privée. Et ce droit, nous avons à coeur de le défendre…. sans nous faire moquer par des gens qui nous traitent de paranos et conspirationistes à cause de cela.

Amicalement

L’équipe de veilleurs d’info de Libertés-Internets

 

LE SMS, ARME DE CONTRÔLE DES FOULES… ET PREUVE DE LA POLICE POUR VOUS CONDAMNER

A notre avis, cette loi ne fait que régulariser une pratique courante. Certains d’entre nous ont travaillé en intérim dans les back-office d’un opérateur téléphonique et peuvent témoigner que la police lisait systématiquement les SMS envoyés dans certaines zones “sensibles”… et tout particulièrement lors des émeutes de 2005. En matière de surveillance, cela tombe sous le sens.

Et quand on voit comment la “révolution verte” en Iran a été déclenchée et continue à être alimentée par des SMS, on se dit que le contrôle (et la manipulation) de ce moyen de communication est fondamental pour tout état sécuritaire…

Autre remarque judicieuse de la part de Maher, notre expert financier : vous noterez qu’on légitime la pratique en disant que c’est pour lutter contre les barbares. Mais si on peut le faire à Grigny, on peut aussi le faire à Montreuil pour savoir ce qui se trame à la CGT, ou bien pour fliquer le parti qui est dans l’opposition, ou bien pour surveiller un concurrent économique et lui piquer ses affaires (ou bien l’intoxiquer)… bref, méfiez vous de vos SMS/MMS comme vous vous méfiez de vos mails.

Les SMS seront lus pour détecter les bandes violentes

[Guillaume Champeau - Numerama - 01/07/2009]

Christian Estrosi, député-maire de Nice, présente ce mardi à l’Assemblée Nationale sa proposition de loi “renforçant la lutte contre les violences de groupes et la protection des personnes chargées d’une mission de service public”. Le texte qui s’inscrit dans un ensemble législatif sécuritaire veut lutter davantage contre les “bandes violentes” qui, selon l’ancien ministre, se multiplieraient. Il cite ainsi le ministère de l’intérieur, qui assure que 5 000 personnes, la moitié de mineurs, appartiendraient à l’une des 222 bandes connues en France. Deux chiffres dont le ministère ne dit pas comment ils ont été trouvés.

Le texte crée un délit de participation à une bande ayant l’intention de commettre des violences. L’article 1er du texte dispose ainsi que “le fait de participer, en connaissance de cause, à un groupement, même formé de façon temporaire, qui poursuit le but, caractérisé par un ou plusieurs faits matériels, de commettre des violences volontaires contre les personnes ou des destructions ou dégradations de biens, est puni de trois ans d’emprisonnement et de 45 000 euros d’amende“.

Interrogé par le Parisien, M. Estrosi précise qu’il “ne s’agit aucunement de réprimer le simple fait d’être en groupe avec une “bande de copains” mais de participer à un groupement qui poursuit le but de commettre des violences ou des destructions ou dégradations de biens“.

Problème : comment faire la différence entre un attroupement de copains venus jouer au baseball aux environs de la promenade des Anglais et une réunion d’individus dangereux venus casser des vitrines ?

Pour M. Estrosi, c’est simple. “Le nouvel arsenal permettra d’agir en amont en détectant les intentions“, dit-il. “C’est assez simple lorsque sont brandies des barres de fer. C’est détectable aussi en surveillant les blogs et les sms envoyés par téléphones portables“. Une proposition qui n’est pas explicitement présente dans le projet de loi, mais qui a été confirmée ce matin par le porte-parole du groupe UMP Jean-François Copé, sur RMC.

Si la surveillance des blogs ne pose pas de problème constitutionnel particulier, puisque les blogs sont par nature publics, ça n’est pas le cas des SMS qui relèvent de la correspondance privée. Leur surveillance ne pourra être réalisée que sous le contrôle du juge, et n’est actuellement permise que dans les cas de suspicions les plus graves.

Mise à jour : les députés ont adopté mardi la proposition de loi de Christian Estrosi renforçant “la lutte contre les violences de groupe“. Les débats ont permis d’en savoir plus sur la surveillance des SMS, qui doit permettre de déceler l’intention “violente” des groupements d’individus.

“L’objectif poursuivi par les participants au groupement sera établi à partir de faits matériels, tels que la possession de barres de fer, le port de cagoules ou la publication de déclarations annonçant la commission d’un délit, notamment sur des blogs – les bandes se défient parfois sur Internet – ou par SMS. Ainsi, en début d’année, à Nice – je l’ai vécu personnellement –, des groupes violents se donnaient rendez-vous par SMS, dont disposaient les SDIG, c’est-à-dire les services de renseignement de la police nationale“, a expliqué Eric Ciotti, le rapporteur UMP de la commission des lois.

Ainsi les services départements d’information générale (SDIG), qui ont parmi leurs attributions issues de la fusion de la DST et des RG la surveillance de la jeunesse, ont la possibilité d’intercepter les SMS envoyés par des individus suspectés. A ce titre, “le SMS est un élément matériel qui sera évalué et apprécié par un magistrat comme constitutif d’un fait matériel prouvant l’intention de commettre un délit individuel“, a précisé M. Ciotti.

http://www.numerama.com/magazine/13235-Les-SMS-seront-lus-pour-detecter-les-bandes-violentes.html

 

UN TIERS DES RESPONSABLES INFORMATIQUES ESPIONNENT LEUR COLLÈGUES

A mon époque, à Cornell, en 1995, les mecs de l’IT trouvaient très drôle de se balader avec un T-Shirt qui indiquait “SYSADMIN : I READ YOUR EMAIL”…

[Nouvelobs.com avec AP - 10/06/2009]
Plus d’un tiers des responsables informatique des entreprises utilisent leurs mots de passe privilégiés pour accéder à des informations confidentielles, comme les salaires de leurs collègues ou les fichiers de clients de l’entreprise.

Les mots de passe sont utilisés pour accéder à des informations confidentielles comme les salaires des collègues (Reuters) L’étude d’une société de sécurité informatique montre, mercredi 10 juin, que plus d’un tiers des responsables informatiques des entreprises espionnent leurs collègues, en utilisant notamment leurs mots de passe privilégiés pour accéder à des informations confidentielles comme leurs salaires ou les procès-verbaux des conseils d’administration.

74% des responsables ont accès aux informations

La société Cyber-Ark a ainsi interrogé plus de 400 administrateurs techniques aux Etats-Unis et en Grande-Bretagne. Quelque 35% d’entre eux ont admis fouiner dans les affaires de leurs collègues et 74% ont reconnu avoir accès à des informations ne relevant pas de leurs responsabilités. Dans l’étude similaire réalisée il y a un an par Cyber-Ark auprès de 300 responsables, 33% d’entre eux disaient fouiller et 47% avoir les moyens d’outrepasser leur rôle.

Fichiers des clients et liste des licenciements les plus prisés

“La recherche d’informations sensibles ne diminue pas”, commente Udi Mokady, directeur général de Cyber-Ark dans un communiqué. Informations des ressources humaines, fichiers des clients, projets de fusions et acquisitions, liste des licenciements sont les données les plus prisées par ces responsables indiscrets. Le marketing arrive à la dernière place de leurs préférences.
http://tempsreel.nouvelobs.com/actualites/international/20090610.OBS0072/un_tiers_des_responsables_informatiques_espionnent_leur.html

 

T’ES FOUTU, TWITTER EST DANS LA RUE

La STASI aurait adoré ça ! Surtout le dernier paragraphe…

Dernière réalisation, peut-être la plus troublante  : une sonnette d’immeuble, objet qui sert déjà d’interface entre l’extérieur et la sphère privée, dotée d’un écran qui affiche en temps réel les gazouillis que vous envoyez dans le cyber-espace. « Si vous savez que ce que vous dites peut être connecté à votre domicile, vous y réfléchirez à deux fois avant de twitter. »

C’est vrai quoi, décoinçons nous ! Affichons partout nos pensées les plus intimes ! Exprimons à tout va nos envies et désirs, à la face de parfaits inconnus… faisons comme si les flics de la pensée, les DRH et les collègues nuisibles au bureau n’existaient pas… Mais on va encore nous dire qu’on est des paranos…

What a brave new world, that has such creatures in it !

[Libération - 4/7/2009]

C’est la star du moment. A en croire la presse internationale, ce sont ces gazouillis de 140 caractères qui ont orchestré la contestation iranienne (abusivement décrite comme « la révolution Twitter »). Le chouchou des réseaux sociaux ferait trembler le géant Google, ébranlant son quasi-monopole sur la recherche sur le Web. Google serait prêt à débourser 250 millions de dollars pour avaler le petit poucet.

We Love the Net, collectif de Net-artistes anticipe ce mariage en accouplant Twitter et Google Street View. Stweet permet de voir « ce qui se dit où ». Le site affiche en temps réel les micromes­sages géolocalisés (option que l’utilisateur de Twitter peut activer) sur le panorama de Google Street View. Les messages défilent en même temps que les photos des villes (Paris, Marseille, Londres, Barcelone, Sydney, Milan, Sapporo, Los Angeles…) proposant une « nouvelle manière de voyager autour du monde, via ces gazouillis urbains ».

L’écran se rafraîchit à chaque fois qu’un nouveau « tweet » (un micromessage) arrive. Par exemple, le 3 juillet au 56 rue Quincampoix à Paris, Silvae écrit « Bon allez ce midi je me trouve des lunettes de soleil #ça-sent-les-vacances. » Au 6 rue Duvivier, Littelfufu envoie « Sweet bossa nova playing, cold mojito, beautifull sunshine, and not worry in the world, life is good to me. » A New York, sur Columbus Avenue 728, Jayhawkbabe écrit  : « Je me sens comme James Bond. Je viens de soudoyer un taxi pour qu’il m’emmène illico à l’aéroport. On roule si vite, je me sens malade. » Voir d’où proviennent les messages modifie complètement la manière dont on les réceptionne.

Cette forme de poésie en temps réel, associée à des photographies de rues (qui sont figées dans le passé) procure une étrange sensation de distorsion. L’impression, un peu indiscrète, de saisir des discussions au vol, comme lorsqu’on se promène dans la rue. « Ce projet artistique propose une représentation inédite de ces données qui circulent sur le Net. Twitter présente un flot incessant de mots humains, de mots urbains. Stweet vise aussi à se réapproprier l’immense espace photographique que crée Google, reprendre possession de ce territoire qu’il s’arroge de manière autoritaire. Il s’agit aussi de sensibiliser le public à l’espace d’observation, voire de surveillance, créé à travers la géolocalisation », explique le collectif.

Avec son projet Default to Public, l’artiste berlinois Jens Wunderling tente de rattacher ces flux immatériels à des lieux physiques. Intrigué par la manière dont les gens s’affichent en ligne sans retenue et leur désir simultané de vie privée dans le monde réel, il a imaginé plusieurs projets autour de Twitter visant à diffuser ces conversations en temps réel dans l’espace public.

La plupart des « tweets », souvent de nature privée, peuvent être vus par les utilisateurs dans le monde entier, constate l’artiste allemand. « Sur le Net, les gens disent ce qu’ils pensent, immédiatement, publiquement. Pourquoi pas dans le monde réel  ? Est-ce en raison de l’anonymat dont ils bénéficient sur le Net  ? Ou est-ce parce qu’ils ne ressentent pas l’Internet comme étant un espace public, alors qu’il touche bien plus de gens et qu’il a une mémoire bien plus persistante  ? »

Wunderling sort les « gazouillis » du réseau pour les mettre dans la rue, sous différentes formes. Par exemple, Tweetscreen est une projection sur les rideaux des fenêtres des messages écrits à proximité. Les utilisateurs de Twitter, dont les messages ont été sélectionnés, sont avertis que leur « tweet » a été montré dans l’espace public. Une autre déclinaison consiste en une borne placée dans un café qui imprime non-stop les « tweets » émis dans le voisinage sur des petits autocollants, permettant aux passants de s’en saisir et de les coller où bon leur semble, disséminant les messages dans la ville. Dernière réalisation, peut-être la plus troublante  : une sonnette d’immeuble, objet qui sert déjà d’interface entre l’extérieur et la sphère privée, dotée d’un écran qui affiche en temps réel les gazouillis que vous envoyez dans le cyber-espace. « Si vous savez que ce que vous dites peut être connecté à votre domicile, vous y réfléchirez à deux fois avant de twitter. »

 

LA VIE DU FUTUR CHEF DU MI-6 ÉTALÉE SUR FACEBOOK

[LEMONDE.FR avec Reuters et AP | 05.07.09]

Qui a dit que les espions étaient des personnages secrets ? Pas la femme de Sir John Sawers, en tout cas. Shelley Sawers a diffusé sur le réseau social Facebook des dizaines de photos et d’informations sur son mari, qui n’est autre que le futur chef des services secrets britanniques, le fameux MI6.

Si les ennemis de la couronne ne seront pas passionnés par les photos de M. Sawers jouant au frisbee sur la plage, ou par celles de sa fille en train d’exécuter une chorégraphie de Liza Minelli, ils pourraient être autrement plus intéressés de noter l’adresse du couple, ses lieux de villégiature favoris ou encore ses fréquentations. “Une énorme brèche dans sa sécurité personnelle”, résume le Mail on Sunday, qui a révélé l’information, dimanche 5 juillet.

Une autre photo mise en ligne par Shelley Sawers révèle que le beau-frère de John fréquente l’historien négationniste David Irving, qui fut emprisonné trois ans en Autriche pour avoir “glorifié le parti nazi” et nié l’existence de la Shoah.

Tous ces détails ont été retirés du site en urgence, mais l’affaire a provoqué un tollé en Grande-Bretagne. “Une bonne part de l’argent du contribuable a servi ces dernières années à faire en sorte que lui et sa famille étaient protégés. Eh bien, ça ne semble plus du tout pertinent, à présent”, a lancé le député conservateur Patrick Mercer.

Avec un flegme tout britannique, le ministre des affaires étrangères, David Miliband, a tenté de dédramatiser un scandale lui aussi tout britannique – le cas Sawers est le dernier d’une longue série d’impairs commis ces derniers temps par les responsables des services de sécurité du Royaume – en déclarant : “Qu’il porte un maillot de bain Speedo n’a rien d’un secret d’Etat.”

Pour l’heure, la nomination de l’actuel ambassadeur de la Grande-Bretagne aux Nations unies n’est pas remise en cause. Elle devrait intervenir en novembre. Sir John Sawers deviendra alors “C”, son nom de code au sein des services secrets de Sa Majesté. Comment le sait-on ? Par Facebook, of course !

(Pour voir Corinne Sawers jouer à Liza Minelli, c’est ici)

 

POURQUOI LA CIA A-T-ELLE INVESTI 40 MILLIONS DE DOLLARS DANS FACEBOOK -

Facebook appartient-il à la CIA ?
[Ernesto Carmona - Argenpress - Traduit par Karen Bellemans et corrigé par Olivier Vilain pour Investig’Action.]

Les grands médias ont célébré Mark Zuckerberg comme l’enfant prodige qui, à l’âge de 23 ans, s’est transformé en milliardaire multimillionnaire grâce au succès de Facebook, mais ils n’ont pas prêté attention à “ l’investissement de capital -risque ” de plus de 40 millions de dollars effectué par la CIA pour développer le réseau social.

(…) La CIA a investi dans Facebook bien avant qu’il ne devienne l’un des réseaux sociaux les plus populaires d’Internet, selon une enquête du journaliste britannique Tom Hodgkinson publiée en 2008 dans le journal  britannique The Guardian (3) et commentée par quelques médias indépendants de langue anglaise, mais sans aucune répercussion dans la grande presse. (Lire la suite…)

 

RÉSEAUX SOCIAUX : VOUS VOUS CROYEZ ANONYMES MAIS IL EST FACILE DE VOUS IDENTIFIER

Réseaux sociaux : l’anonymat ne garantit pas le respect de la vie privée

Reconstituer l’identité d’un internaute à partir des informations disponibles sur les réseaux sociaux est un jeu d’enfant. Un programme brise sans difficulté toutes les défenses mises en place contre ces attaques.

[L'Atelier -23 Mars 2009]

Les données privées des utilisateurs sont une précieuse information, notamment pour les publicitaires ou les développeurs d’applications. Mais lors de sa navigation, un utilisateur est théoriquement anonyme, grâce à un système de protection fourni par son opérateur. Par exemple, les informations liées au nom sont supprimées. Pourtant, une équipe de l’université d’Austin au Texas a réussi à créer un algorithme de re-identification. Ils ont pour cela agrégé les informations disponibles sur les réseaux sociaux visités par l’utilisateur. L’objectif : démontrer – uniquement par la topologie, la structure du réseau – que sur les réseaux sociaux, les données privées peuvent facilement être retrouvées par recoupement.

12% de réussite

Sans avoir besoin de créer d’attaque Sybil, qui force l’accès à l’identité, l’algorithme a réussi à briser les défenses existantes. Lors de son expérimentation, l’équipe a pu, ré-identifier 12% des internautes étudiés, en utilisant leurs informations publiées sur Flickr et Twitter. Ce, alors même que l’équipe n’a travaillé que sur un nombre ténu d’informations disponibles. Avec un nombre plus grand d’informations, les risques d’attaques contre la vie privée seraient encore plus efficaces. L’étude insiste sur la différence à effectuer entre suppression des informations d’identification personnelle et la suppression de toutes les informations “auxiliaires” disponibles, susceptibles d’aider à retrouver l’identité de l’internaute.

L’anonymat n’est pas suffisant

Les chercheurs citent l’exemple de l’Union Européenne, pour qui les données personnelles ne concernent par uniquement le nom, mais également les données sur son identité physique, physiologique, mentale, économique, culturelle ou sociale. Selon les chercheurs, l’anonymat n’est donc pas équivalent de respect de la vie privée. Plus, ils affirment que l’anonymat n’est pas suffisant pour préserver l’identité des internautes sur les réseaux sociaux. Les chercheurs préconisent l’adoption de lois et de pratiques claires quant au respect de la vie privée.

http://www.atelier.fr/securite/10/23032009/reseaux-sociaux-reseau-social-anonymat-vie-privee-donnees–38010-.html

 

TOUT CE QUE VOUS AVEZ TOUJOURS VOULU PIRATER, SANS JAMAIS SAVOIR COMMENT PROCÉDER…

[BugBrother - 26/02/2009]

Le billet intitulé “La durée de vie d’un ordinateur non protégé est de… 4 minutes” a suscité beaucoup de commentaires. Lorna Hutcheson, l’auteur de l’étude que je citais, qui collabore au très respectable SANS Institute après avoir travaillé dans l’armée et les services de renseignements américains, l’écrivait pourtant elle-même :

“On me demande souvent si les statistiques du temps de survie des nouveaux ordinateurs connectés à l’internet sont correctes. La réponse est oui pour la majeure partie des utilisateurs et systèmes. Ca peut être plus long en fonction de votre système, de son utilisateur et de ce à quoi il sert. Mais la durée de survie est d’à peu près 4 minutes pour les ordinateurs non mis à jour”.

J’ai voulu avoir le point de vue d’un professionnel de la sécurité informatique. Désigné par le gouvernement suisse au poste de responsable de la sécurité des systèmes d’information de la République et du Canton du Jura, Bruno Kerouanton est par ailleurs l’un des rares professionnels du genre à être par ailleurs blogueur (bruno.kerouanton.net/blog/).

Et pour vous mettre dans l’ambiance, voici son compte-rendu détonnant, et que je vous incite vivement à lire jusqu’au bout, de LA conférence sécurité de l’année, organisée par le Chaos Computer Club allemand (ou CCC pour les intimes), qui fêtait pour le coup sa vingt-cinquième édition, en décembre dernier :

25C3 : La conférence sécurité où l’on pirate tout !

Ce billet se veut pour une fois à caractère pédagogique pour les non initiés à la sécurité des systèmes d’information. Que les puristes me pardonnent certains raccourcis et simplifications pour la bonne cause…

Je ne citerai pas toutes les présentations (sur quatre jours, il y a eu de quoi raconter beaucoup de choses), mais celles qui (d’après les échos que j’en ai eus par quelques chanceux qui ont pu y participer, et en allant lire les présentations et annonces mentionnées sur le site de l’évènement) m’ont parues les plus intéressantes.

J’ai pris la liberté de redécouper ainsi les thèmes :

1. PREMIERE PARTIE : Tout se pirate… même grand-mère, si si !
2. SECONDE PARTIE : Les questions de fond et existentielles que tout le monde se pose
3. TROISIEME PARTIE : Maman, y’a un monsieur qui me regarde… Big Brother is watching

En gros, je remarque que les attaques électroniques se développent à grande vitesse, j’en suis content car c’est quelque chose que je trouve intéressant, et l’on parle de plus en plus de l’omniprésence de la surveillance qui nous entoure et de la perte progressive des libertés de chacun. Bonne lecture, ne tremblez pas trop ! (Lire la suite…)

 

VOTRE TÉLÉPHONE VOUS ÉCOUTE… MÊME QUAND IL EST ÉTEINT

Un espion qui tient dans la main
[Le Nouvel Observateur - 12/06/2009]
Il est désormais possible de télécharger par connexion sans fil dans n’importe téléphone mobile un programme permettant de le mettre sur écoute. Cet article a été publié dans Newsweek, le 8 juin 2009.

Ne parlez pas : votre téléphone mobile vous écoute peut-être secrètement.
Grâce à de récents développements dans le domaine des logiciels de “spyphone”, ou espionnage téléphonique, un barbouze improvisé peut aujourd’hui télécharger par connexion sans fil dans n’importe téléphone mobile un programme permettant de le mettre sur écoute.

Ces logiciels sont peu couteux, et le transfert ne requiert aucune formation particulière. L’apprenti espion doit pouvoir accéder à votre téléphone afin de presser les touches autorisant le téléchargement, ce qui ne prendra que quelques minutes …” autant environ que de télécharger une sonnerie.

Cette nouvelle génération, plus simple d’emploi, de logiciels d’espionnage sur mobile est depuis l’an dernier disponible à grande échelle …” et ouvre des possibilités stupéfiantes.

Les derniers logiciels peuvent discrètement activer le microphone intégré de l’appareil, quand bien même aucun appel n’est passé, ce qui permet à un espion d’écouter ce qui se dit dans une pièce se trouvant à l’autre bout du monde.

La cible n’en saura pas plus : les données transmises en secret n’apparaissent ni sur les listes d’appels ni sur les factures téléphoniques.

http://tempsreel.nouvelobs.com/actualites/medias/multimedia/20090612.OBS0337dans_newsweek__un_espion_qui_tient_dans_la_main.html

 

JE SAIS EXACTEMENT SUR QUELS SITES VOUS ALLEZ VOUS BALADER, MÊME SI VOUS AVEZ DÉSACTIVÉ JAVASCRIPT !

[Gregor Seither - IES News Service - Juin 2009  ]

La semaine dernière, notre collègue Brendon Boshell de  “Making The Web” a fait une démonstration de page espion dans laquelle il récupérait à leur insu l’historique Web des visiteurs de son site. Cet exploit a suscité pas mal de commentaires, plein de gens disant qu’il suffisait d’être équipé de NoScript, pour bloquer cette tentative d’espionnage. Il revient donc cette semaine avec une version qui fonctionne même si vous avez activé NoScript. Si vous n’avez pas été choqué par sa démonstration antérieure, celle-ci devrait vous choquer.

Cliquez simplement sur “Start Scan” et regardez la liste des sites que vous avez visités s’afficher. Et encore, Brendon ne vous montre que le minimum, il pourrait pousser la chose plus loin et vous dire exactement ce que vous êtes allé regarder sur ces sites : autrement dit, si vous aimez les brunes ou les blondes, les petits nichons ou les gros lolos, les petits garçons ou les nymphettes…

La technique est des plus simples — plus simple encore que la version Javascript. Lors de l’accès à la page, une Iframe cachée charge une autre page qui contient un certain nombre de liens. Si un lien est visité, une image de fond (qui n’est pas vraiment une image de fond) est chargée, conformément au CSS. Cette “image de fond” enregistre les informations, les stocke (et, sur la page de Brendon, vous les affiche dans le champ log).

Normalement, ceci devrait vous mettre mal à l’aise : les sites Web que vous visitez au cours de votre journée ne sont pas censés connaître toutes ces informations sur vous. Cette fonction a le potentiel de permettre à quiconque, et particulièrement les publicitaires ou les agences gouvernementales, de vous pister et d’établir un profil à votre insu.

Si vous vous baladez sur les forums des saboteurs de caténaires et qu’ensuite vous allez sur un site gouvernemental, la police risque de venir défoncer votre porte peu de temps après…

http://www.making-the-web.com/misc/sites-you-visit/nojs/

 

LOPPSI : ON CENSURE ET VOTRE LIBERTÉ DISPARAÎT

[Laurent Chemla - Mediapart - 29/05/2009]

Dormez en paix, braves gens: avec LOPPSI, le gouvernement ne veut que votre bien-être et votre sécurité. Vous serez, enfin, protégés de la profusion des sites pédo-pornographiques: ceux-ci seront filtrés, censurés, effacés. Vous ne risquerez plus de tomber par hasard sur des images choquantes telles que celle-ci.

Les gendarmes, auparavant chargés de surveiller et d’interpeller les pédophiles qui se connectaient sur ces sites pour échanger photos et vidéos (des sites qui pullulaient, ainsi que chacun a pu le constater en naviguant tranquillement sur le web), les gendarmes, donc, n’auront plus qu’à ajouter à une liste noire secrète le nom de ces sites dégoutants pour que disparaissent enfin tous les pédophiles.

Mais si, puisqu’on vous le dit !

Allons! Comment pourrait-on croire une seule seconde qu’on devient pédophile autrement que par la faute d’Internet ? Comment penser que les photos diffusées par ces criminels étaient dans le passé échangées par la Poste ? Comment imaginer que leur “exposition” sur le web a permi depuis quelques années la multiplication des arrestations de réseaux qui sinon seraient restés dans l’ombre ?

Brisons là le second dégré.

Je ne sais pas pour vous, mais dans mon cas je n’ai jamais autant entendu parler de coups de filet concernant des centaines de pédophiles que depuis qu’Internet leur sert d’outil d’échange.

Vous n’aviez pas remarqué ? Combien d’affaires de ballets roses et bleus, avant l’avènement d’Internet ? Et combien de réseaux démantelés depuis ?

Internet est un réseau public. Ce qui s’y échange laisse des traces, que notre police sait remonter. Mais trouver un site pédophile n’est pas chose aisée (en 16 ans d’utilisation intensive d’Internet, je n’en ai personnellement jamais vu) et leur filtrage n’est pas la première chose à faire. Quand un de ces sites est répéré, prenons l’exemple récent déjà cité de “l’opération Nemesis”, il faut des années de surveillance pour remonter jusqu’à ceux qui l’utilisent en s’anonymisant de leur mieux (4 ans d’enquète dans le cas de Nemesis).

Alors cessons de croire une minute à la démagogie facile de l’argument pédophile dans ce qui n’est finalement que l’organisation générale du filtrage du réseau: si une chose est absolument certaine c’est que justement, ce seront les sites pédophiles qui ne seront pas filtrés avant que la police n’ait eu le temps de faire son boulot (à moins de penser que notre gouvernement préfère les laisser libres pourvu que leurs activités se déroulent en dehors d’Internet, ce que je me refuse à croire).

Mais alors ? Alors pourquoi mettre en place un tel filtrage qui, rappelons le, concernera une liste secrète de sites ?

Je vous laisse imaginer, mais je vais vous raconter une histoire.

L’an dernier, à peu près à cette époque, j’étais avec ma famille en vacances en Tunisie. Un bien beau pays, dirigé comme on le sait d’une main de fer par un président omnipotent et où l’expression d’opinions politiques est pour le moins, disons, problématique.

En bon accro que je suis, j’avais bien pris garde en louant notre lieu de résidence à choisir une maison équipée d’Internet. Et dès le premier soir j’ai voulu me connecter sur Mediapart.

Quelle surprise: le navigateur m’a affiché une “error 404, page not found”.

Par acquis de conscience, je me suis connecté (via un VPN chiffré) sur un de mes serveurs en France, et de là, sans le moindre problème, j’ai pu vérifier que mon site préféré existait toujours, et répondait normalement.

Mais voilà: en Tunisie, il existe un système permettant au gouvernement de filtrer l’accès aux sites présents dans une liste noire secrète. Ce qui est, très exactement, ce qui est en train de se mettre en place ici-même.

Pour lutter contre la pédophilie ? Laissez-moi rire.

Il est difficile, particulièrement en période de crise alors que la principale préoccupation de la population concerne l’avenir immédiat, de mobiliser les gens quant à la défense de leurs libertés fondamentales.

Il est facile, quand on médiatise la moindre agression pour dénoncer “la montée de l’insécurité”, de légiférer dans l’urgence et en jouant sur la peur et sur les réactions primaires à quelques mots-clés (et le mot “pédophiles” est sans doute le meilleur) de limiter les droits fondamentaux.

Alors imaginez: faire passer une loi en urgence, pendant les grandes vacances, en période de crise et de “montée de l’insécurité”, le tout pour “lutter contre la pédophilie”…

Qui osera voter contre ?

Du jour où le web a existé, les grands de ce monde (qui jusque là avaient seuls le droit à la parole publique) en ont dénoncé les “dérives pirates, pédophiles et néonazies”.

Les pirates ont été traités par HADOPI. Les pédophiles le seront par la LOPPSI. Les néonazis suivront si besoin est.

Et votre liberté à vous disparaîtra avec eux.

http://www.mediapart.fr/club/edition/internet-et-si-affinites/article/290509/loppsi-censure

 

S.T.I.C. STORY : LE TRIBUNAL ANNULE LA MISE À LA RETRAITE DU CDT PICHON

[Bakchich - 129 - 8/05/209]
Michèle Alliot-Marie, ministre de l’Intérieur, vient d’être désavouée par le tribunal administratif siégeant en référé. Lequel, dans sa grande sagesse, a cassé la décision de mise à la retraite d’office prise à l’encontre du commandant de Police Philippe Pichon.

Celui-ci avait été sanctionné, sans même attendre la décision sur le fond des tribunaux ordinaires, pour avoir communiqué à notre site Bakchich.info deux fiches Stic, concernant Johnny Hallyday et Djamel Debbouze et qui, malgré la législation en vigueur, n’avaient pas été nettoyées par les services de police.

Le juge administratif a contesté l’urgence qu’il y avait à mettre ainsi à pied un fonctionnaire de police et a mis en cause le bien fondé de la décision de la hiérarchie policière. Cerise sur le gâteau, le ministère de l’intérieur est condamné à verser 2 000 euros de dommages et intérêts au policier

http://www.bakchich.info

 

LA SURVEILLANCE DES EMAILS S’INFILTRE DANS HADOPI

La “défense des artistes” et des gros sous des majors n’est qu’un prétexte. Le but est bien de pouvoir créer un maillage de surveillance des citoyens afin de pouvoir alimenter le vieux phantasme sécuritaire bourgeois : attraper le dissident avant même qu’il passe à l’acte.

[Marc Resse - PcInpact - 28/04/2009]

Hier en commission des lois, où l’ambiance fut, dit-on de multiples sources, très tendue, le projet Création et Internet a révélé une facette encore méconnue. Celle du filtrage des e-mails. Voire plus en raison du caractère extrêmement vaste des termes employés. dans le texte que doivent voter les parlementaires Une pièce de plus à rajouter à la liste des points noirs de ce fameux projet de loi.

Subrepticement glissée dans le texte au fil des discussions, est apparue la mention de « communication électronique » lors des débats parlementaires. Dans plusieurs endroits du texte qui a été confirmé hier en Commission des lois, on retrouve cette fameuse mention. Exemples :

« Art. L. 331-30. – Après consultation des concepteurs de moyens de sécurisation destinés à prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne ou de communications électroniques, des personnes dont l’activité est d’offrir l’accès à un tel service ainsi que des sociétés régies par le titre II du présent livre et des organismes de défense professionnelle régulièrement constitués, la Haute Autorité rend publiques les spécifications fonctionnelles pertinentes que ces moyens doivent présenter pour être considérés, à ses yeux, comme exonérant valablement de sa responsabilité le titulaire de l’accès au titre de l’article L. 336-3. » (alinéa 110 article 2)

« La suspension s’applique uniquement à l’accès à des services de communication au public en ligne et de communications électroniques. Lorsque le service d’accès est acheté selon des offres commerciales composites incluant d’autres types de services, tels que services de téléphonie ou de télévision, les décisions de suspension ne s’appliquent pas à ces services » (alinéa 104)

« Art. L. 336-3. – La personne titulaire de l’accès à des services de communication au public en ligne ou de communications électroniques a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’oeuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise » (alinéa 2 article 6)

Comment interpréter ce terme de « communication électronique » d’apparence si anodine ? Pour le faire, on peut se référer à ce schéma qui nous a été transmis par un juriste qualifié, dans l’après-midi.

On découvre ainsi que la « communication électronique » possède deux branches : d’une part la correspondance privée soit les emails, la messagerie instantanée, etc. d’autre part, la communication au public par voix électronique. Celle-ci se subdivise elle-même en deux sous-branches, la communication au public en ligne, mais également la communication au public par voix audiovisuelle, laquelle embrasse depuis la loi sur l’audiovisuelle les services de médias à la demande (SMaD), dont font partie les Youtube, Dailymotion mais également les sites de streaming.

On le voit, utiliser « communication électronique » permet de taper sur bien d’autres secteurs que le monde du P2P et avanttout sur les emails !  Ces questions sont très techniques et il n’est pas certain que les signataires de la pétition SACEM aient été éclairés de ce chapitre. Mais développons et tentons de simplifier. (Lire la suite…)

 

UN FOURNISSEUR D’ACCÈS NE VA PLUS ARCHIVER LES LOGS DE CONNEXION

Je suis curieux de voir comment il va réussir à faire cela : l’archivage des logs à fins de lutte anti-terroriste est rendue obligatoire par une directive européenne… et aux dernières nouvelles la Suède est dans l’UE.

Une brèche dans la folie du “tout-flicage” de la “guerre contre le terrorisme” ?

UN FOURNISSEUR INTERNET SUPPRIME LES ADRESSES IP DE SES CLIENTS
[Agence France-Presse - 28 avril 2009]

Le fournisseur d’accès suédois Tele2 a annoncé lundi qu’il supprimerait dorénavant sous quelques jours les adresses dites IP permettant d’identifier ses clients en Suède, une mesure qui pourrait compliquer l’application d’une nouvelle loi contre le téléchargement illégal.

«Nous allons effacer à partir d’aujourd’hui les adresses IP une fois qu’elles auront été utilisées en interne» soit quelques jours, a indiqué à l’AFP Niclas Palmstierna, le patron de l’opérateur télécom Tele2 en Suède, qui compte 600 000 clients sur Internet dans le pays nordique.

Entrée en vigueur le 1er avril, la nouvelle loi dite Ipred (pour Intellectual Property Rights Enforcement Directive du nom de la directive européenne qui l’a inspirée), autorise la justice suédoise à demander aux fournisseurs d’accès de dire quel client se cache derrière le numéro d’une adresse IP, afin d’engager des poursuites.

Tele2, qui est avec les autres opérateurs nordiques Telenor et TeliaSonera un des principaux fournisseurs d’accès en Suède, imite ainsi Bahnhof, un petit fournisseur d’accès suédois qui le premier avait annoncé son intention de ne pas communiquer les adresses IP.

«Le but (de la suppression des adresses IP) est de respecter l’intégrité de nos clients, qui ont montré beaucoup d’intérêt pour ça. C’est un droit démocratique que votre intégrité soit respectée», a plaidé M. Palmstierna.

Le dirigeant assure néanmoins que les informations, si elles sont encore en la possession de Tele2, seront transmises à la justice. Mais la mesure suscite l’inquiétude de la police.

«Dans certains cas, cela va rendre impossible le travail d’enquête», estime Stefan Kronkvist, le directeur de la section de la police criminelle suédoise en charge de la criminalité en ligne, cité par l’agence TT.

Avec la nouvelle loi et la condamnation le 17 avril à un an de prison de quatre responsables du site de partage de fichiers The Pirate Bay, le téléchargement fait l’objet d’un vif débat en Suède, où existe même depuis 2006 un Parti des pirates, candidat aux élections européennes de juin. 

http://technaute.cyberpresse.ca/nouvelles/internet/200904/28/01-850943-un-fournisseur-internet-supprime-les-adresses-ip-de-ses-clients.php

 

SOCIÉTÉ DE SURVEILLANCE : TECHNIQUES ET STRATÉGIES

Comment on est passé du “surveiller et punir l’infraction” au “prédire et intercepter” par le biais de l’analyse de toutes les données possibles. On en revient toujours au modèle du Panoptique, phantasme sécuritaire bourgeois contre les déviants…

[François-Bernard Huyghe - 24/04/2009]
Tous tracés ! Tous fichés ! Tous observés ! Tous surveillés!
Tel est le sentiment que nous éprouvons à énumérer les moyens techniques qui servent à rassembler des “données personnelles” sur nous, voire à anticiper nos comportements. Vidéo-surveillance, interceptions de télécommunications, balises, puces RFID, multiples fichiers (dont celui des empreintes génétiques), logiciels intrusifs et plus ou moins espions, mais aussi les traces numériques que laissent nos doubles au cours de nos transactions et de nos navigations sur Internet. Les objets les plus familiers comme une laissez-passer dans le métro ou une caisse de pharmacie semblent en savoir sur nous plus que nous ne le soupçonnions.

Dans la société de l’information qui devait être celle de l’instantanéité, notre passé nous poursuit, tout laisse empreinte, toute information est stockée, documentée, rapprochée et, dans tous les cas, susceptibles de réapparaître, y compris à notre insu ou contre notre gré.

Derrière la question technique (ce que peuvent faire les machines à enregistrer et traiter les données), il y a, bien sûr, un débat politique : quelles libertés individuelles et quel droit à l’intimité – deux notions complémentaires mais différentes – nous laissent les pratiques administratives et commerciales ? Les premières touchent à un pouvoir qui pourrait s’exercer sur nous (savoir certaines choses permettrait de nous menacer pour nous contraindre). Le second à un pouvoir que nous désirions exercer librement : permettre à certains et non à d’autres de savoir des choses sur nous.

La notion d’intimité avec toutes ses gradations – toi je t’autorise à savoir mes maladies, toi, ma sexualité, toi, mes angoisses métaphysiques, toi, mes opinions politiques – est d’ailleurs largement remise en cause par des dispositifs comme les blogs où chacun vient se dévoiler mais où il veut, quand il veut, créant ainsi une intimité “extérieure” (ce qui est à la fois intime et extérieur, “extime” pour le psychanalyste Serge Tisseron).

On voit s’entrecroiser trois logiques : politicio-administrative ( y compris dans sa composante sécuritaire ou policière), économique, mais aussi sociale : réseaux sociaux, présentation publique de soi et de son image, demande incessante d’informations sur son réseau et sur son environnement contribuent à rendre chaque vie de plus en plus “documentée”.

On peut considérer la chose de manière plus historique et dire que trois modèles de surveillance. (Lire la suite…)

 

QUI VOUS CHERCHE SUR LE NET ? GOOGLE VOUS LE DIT

[SILICON.FR - 23/04/2009]

Le moteur de recherche permet de se créer un compte incluant ses recherches. Les internautes peuvent ainsi contrôler leur identité numérique, promet-on.

Google essaie de fidéliser ses utilisateurs en permettant aux internautes la création de profils incluant dans les résultats d’une recherche sur un nom. La firme de Mountain View explique que désormais les internautes ont leur mot à dire.

Un point important est donc de voir comment vont s’articuler les résultats de recherche en incluant les noms et prénoms de personnes. Google lance donc la possibilité pour un internaute de se créer une identité numérique afin de pouvoir être vu sur le Web.

Le moteur de recherches offre la possibilité de créer son “profil” qui apparaîtra aux côtés des résultats d’une recherche sur son nom. Le module est alors accessible par la page google.fr/profiles. Chaque internaute peut alors insérer des informations sur son identité, ses motivations, une courte biographie ainsi que, s’il le désire, une photo. Une orientation très Web 2.0 semble t’il même si le vœu de la firme est de pouvoir contrôler ses propres informations présentes sur le Net.

L’intérêt pour Google est ici de favoriser les recherches sur les noms réalisées par des éventuels employeurs mais aussi par des personnes parfois mal intentionnées. Car si cette nouvelle option ne semble pas avoir de véritables caractères révolutionnaires, il apparaît que Google a bien saisi le nouvel attrait généré par les sites de réseaux sociaux pour la recherche de personnes.

C’est ce qu’explique, dans un communiqué, Brian Stoler, le concepteur de l’application pour Google : “En faisant une recherche sur soi-même pour voir ce que les autres trouveraient, les résultats peuvent être variés, et ce n’est pas toujours ce que vous vouliez que les gens voient. Nous voulons améliorer cela et vous offrir plus de choix“. Il oublie de préciser que bien souvent le premier résultat est celui d’un site de réseau social. Le bon référencement de ces sites expliquerait la volonté de Google de mettre une touche de 2.0 dans son moteur.

Subsiste la question de la sécurité du module “profil”. Rien n’empêche quelqu’un de créer un profil en empruntant le nom d‘ un autre et d’y vilipender n’importe quoi puisque les deux seuls moyens de contrôles proposés sont  la vérification du nom et de l’adresse mail. Pour le nom, il faut être inscrit à Google Knol pour qu’il apparaisse comme vérifié.

Pour l’adresse, la certification peut poser problème dans la mesure où  les webmails de type Gmail, Hotmail ou encore Yahoo ne sont pas encore certifiables. Etonnant.

http://www.silicon.fr/fr/news/2009/04/22/google_lance_la_creation_de_profils

 

GRACE À GOOGLE, TOUT LE MONDE SAIT TOUJOURS EXACTEMENT Où VOUS ÊTES…

Je vois déjà les ratés possibles, d’une telle application “ludique”… Comme dit la fliquette : tout le monde est exhibitioniste, pourquoi se faire chier à fliquer les gens quand ils se livrent tous seuls…

GOOGLE PRÉSENTE UN SERVICE DE LOCALISATION DES INDIVIDUS
[Reuters 04/02/2009]
Le premier moteur mondial de recherche sur internet, Google, a dévoilé mercredi un logiciel permettant aux utilisateurs de téléphones portables et autres appareils sans fil d’indiquer automatiquement à leur entourage où ils se trouvent.

Les utilisateurs de Google Latitude pourront, dans 27 pays, transmettre en permanence leur localisation aux personnes qu’ils auront sélectionnées, explique la firme californienne sur son site, précisant qu’ils pourront à tout moment se déconnecter du service.

“Hormis l’aspect ludique, nous reconnaissons la sensibilité de ce type de données, aussi avons nous intégré à l’application des droits de contrôle sur la vie privée “, indique Google dans un blog annonçant le service. “Non seulement vous contrôlez précisément qui a accès à votre position, mais vous décidez également quels endroits peuvent être vus.”

Latitude permet d’être localisé sur une carte Google, accessible depuis un combiné mobile ou un ordinateur personnel.

Ce nouveau service de Google est similaire à celui proposé par la société Loopt. Plusieurs opérateurs dont Verizon Wireless, filiale de Verizon Communications et de Vodafone, offrent le service de Loopt, compatible avec l’iPhone d’Apple.

Latitude sera compatible avec le BlackBerry de Research In Motion et les appareils fonctionnant avec les systèmes d’exploitation Symbian S60, Windows Mobile de Microsoft ou quelques téléphones mobiles T-1 dotés du logiciel Android de Google. L’application pourrait ultérieurement fonctionner avec l’iPhone et l’iTouch de la firme à la pomme et les appareils de Sony Ericsson.

http://www.01net.com/article-actualites/google-presente-un-service-de-localisation-des-individus-high-tech-reuters.-01net.html

 

LE BLOGUEUR EST UN SALE FLIC…

[Police - le blog d'un(e) flic(esse) - 15/04/2009]

Le blogueur est un flic qui s’ignore. Le blogueur aime bien les chiffres, les statistiques et les classements. Les entrailles d’un blog, c’est un peu la planète du businessman, celui qui compte, qui compte tellement qu’il ne sait même plus ce qu’il compte et pourquoi il compte. Celui dont le Petit Prince dit qu’il raisonne comme un ivrogne. Saoulé de chiffres… Et de la sainte statistique.

Un blogueur, c’est un attentif, un curieux dit-il. Il aime savoir. Sans arrière-pensée, bien sûr. Savoir quoi ? Mais qui tu es, pardi ! Et d’où tu viens. Et ce que tu viens faire chez lui. Et le temps que tu y restes. Et si tu reviens. Et combien de fois. Etc. Parce que si tu passes chez certains sans laisser ta carte de visite sous le paillasson, tu les plonges dans une angoisse vertigineuse. C’est terrible, tu sais.

Alors le blogueur a tout un tas de petits outils sophistiqués pour mettre en œuvre son flicage domestique. Il a des compteurs, des géolocalisateurs, et toutes sortes de mouchards. Quand il a un doute, et que son enquête doit avancer, il prélève l’IP de son visiteur (mais qui c’est qui c’est qui c’est !?) avec soin, sans la toucher pour pas y laisser ses empreintes, et il la reverse sur un de ces sites capables d’affiner l’identification et la localisation.

Quand il repère un nom de domaine qui finit par gouv.fr, il écrit un billet en rouge vif sur son blog, et il est fier d’en appeler à la liberté d’expression. Ou de hurler comme un damné à la dictature des écoutes liberticides. Même si c’est agriculture.gouv.fr aux heures de ménage.

Le blogueur est un obsessionnel. Le blogueur ne voit plus le jour, il stagne dans son bouzin comme un flic dans un sous-marin à observer la tronche des passants. Le blogueur est un fonctionnaire des blogs. Façon Vichy. Il aime la surveillance en loucedé, il traque les corbeaux avec des méthodes de taupe. Ou l’inverse. J’en ai même repéré un qui cherche les récidivistes sur son blog. Bonjour le vocabulaire… ça craint. Ça pue sévère. Il doit dormir dans le CSS de son blog celui-là, pour être sûr de ne rien louper.

Ensuite, le blogueur aime bien les hiérarchies. On avait rêvé du monde libre d’internet, de l’homme libre deux point zéro, mais il n’en est rien. La grande messe œcuménique de l’internet et des blogs n’a jamais eu lieu, et il a fallu réinventer des castes, des gourous, des chefs et des soi-disant maîtres à penser… en classant les gens et leurs blogs.

Le blogueur a loupé son pari originel, il a refait sur le ouèbe le monde qu’il conspue dans sa vie sociale. Il est resté un courtisan, un lèche-cul, et ne répugne pas à ramer derrière des autorités illégitimes, incompétentes, ou des élites autoproclamées.

Moi flic, je n’aime pas le chiffre, les statistiques et les chefaillons. Je n’aime pas la hiérarchie non plus. J’ai rêvé de m’en passer, j’ai rêvé de non-grades. Je n’en démordrai pas.

À propos de police, vous me faites bien marrer, tiens, à hululer à propos des renseignements inquisiteurs que pourrait bien contenir la p’tite Edvige, laquelle Edvige ne s’intéressera probablement jamais aux normopathes que vous êtes.

Vous êtes les champions du strip-tease internaute, la plupart des blogs intimes font penser à de pauvres peep-show, où on aurait l’obligation compassionnelle d’applaudir le premier gros tas, le moindre boudin qui montre son cul. Vous dévoilez avec application tout le croustillant de votre intimité ou de vos opinions, vous êtes traçables sur internet via Google, qui se charge mieux que n’importe quel fichier de police de compiler tout ce qui vous concerne, et vous faites les vierges effarouchées à l’idée que des policiers assermentés (dont les faits et gestes sont tout aussi traçables soit dit en passant) puissent avoir accès à des renseignements utiles à la sécurité. La vôtre en l’occurrence. C’est amusant.

Personnellement, je ne sais d’Edvige que ce qui est paru au JO dans sa version béta [1] et dans sa version remaniée-mais-pas-tant-que-ça [2]. Le reste, je m’en fous à peu près complètement.Mais jetez-y donc un petit œil, ça vous évitera de colporter n’importe quoi.

Pour le colportage, l’inquisition et le renseignement sauvage, retournez plutôt vers vos outils habituels, vos divers instruments de décryptage et vos compteurs.Si ça ne suffit pas, complétez l’arsenal par facebook et twitter, vous savez, ces inventions récentes qui vous font approcher le degré zéro de la communication.

Continuez à tout dire et tout montrer, une société bien portante a besoin de spectacles. Surtout du comique et du mélo. Et comptez toujours sur Google qui a une mémoire infinie. Edvige n’est qu’une amatrice sous contrôle…

Sales flics. Que vous êtes.

http://police.etc.over-blog.net/article-29724206-6.html

 

EXERCER SON DROIT D’ACCÈS : UNE REQUÊTE ABSCONSE POUR LES ENTREPRISES…

[Emmanuelle Lamandé - GlobalSecurity Mag - janvier 2009]
Quelles appréciations votre employeur ou votre banquier a-t-il fait figurer dans votre dossier ? Quelles informations figurent dans votre dossier médical ? La loi Informatique et Libertés vous donne un droit d’accès et de regard sur l’utilisation qui est faite de vos données personnelles. Le responsable du traitement a l’obligation de vous communiquer des informations complètes, claires et lisibles, dans un délai de 2 mois.

A l’occasion de la 3ème Université AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) des Correspondants Informatique et Libertés, Gaëlle Gissot et Christian Kopp, membres de la première promotion du Mastère Gestion et Protection des Données Personnelles (ISEP), nous ont présenté les résultats de leur étude visant à déterminer les réactions des entreprises face à une telle requête.

Le droit d’accès est un droit de regard sur nos données, un droit personnel et discrétionnaire, qui s’exerce librement sans besoin de justification. Qu’il s’agisse d’une simple curiosité ou de motivations plus précises, vous avez le droit de savoir si vous figurez dans les fichiers de tel ou tel organisme, et si oui d’en connaître le contenu. Il peut également s’agir d’une vérification de la mise à jour des données. La seule limite à ce type de requête concerne les demandes abusives ou récurrentes. Le responsable du traitement a l’obligation de vous communiquer des informations complètes, claires et lisibles, dans un délai de 2 mois

Cette requête peut s’exercer de différentes manières : sur place, par courrier postal, par email ou via le site Internet. Cependant, pour ce faire, vous devez fournir un justificatif d’identité. Seul le coût de la reproduction des copies, si demandées, sera à votre charge. (Lire la suite…)

 

DIS-MOI CE QUE TU CHERCHES… JE TE DIRAIS QUI TU ES

[Clochix -  mardi 27 janvier 2009]
Si comme moi vous êtes compulsif ou compulsive du Ctrl-K[1], Google ne doit plus ignorer grand chose de vos centres d’intérêt. Faites l’expérience en notant toutes vos recherches de la journée: il est facile d’en déduire ce que vous avez fait, quelles sont les milles pensées qui vous ont traversé la tête. Même sans être excessivement parano, on peut trouver dérangeant que Google mémorise ainsi minute après minute toutes nos recherches. Un grand quotidien du soir citait récemment un exemple fameux de ce que la simple connaissance de ses recherches permet d’apprendre sur quelqu’un, dans un article se demandant Peut-on tout confier à Google. Heureusement, des solutions existent pour éviter de révéler trop de choses à Google par ses recherches. Notes

[1] raccourcis pour accéder à la barre de recherche dans Firefox. Vous pouvez ensuite utiliser Alt-flèche haut/bas pour sélectionner un moteur, puis Alt-Entrée pour ouvrir le résultat de la recherche dans un nouvel onglet, cf la liste des raccourcis clavier

Une méthode simple est d’utiliser les services d’un serveur intermédiaire, un proxy, qui va transmettre nos requêtes à Google et nous rapporter ses réponses. Ainsi, Mister G. ne pourra plus distinguer nos requêtes au milieu de toutes celles que lui envoie le proxy. Évidemment cela ralentit les réponses de quelques millisecondes, mais si le proxy est suffisamment performant, ça devrait être relativement transparent. A vous de voir si la protection de votre vie privée mérite ces quelques secondes de latence et quelques autres menus inconvénients.

Bien sûr, le danger est simplement déporté, puisque c’est le proxy qui connaîtra alors l’historique de nos recherches. Pourquoi lui faire plus confiance qu’à Google ? C’est un risque mesuré. A défaut de lui faire confiance, on peut au moins se dire que cela fragmente les informations que Google collecte sur vous: il ne pourra plus recouper vos recherches avec ce qu’il apprend de vous via votre utilisation de ses services (souvenez-vous, gmail, c’est mal), ses programmes de pub contextuelles (à moins que vous n’utilisiez un bloqueur de pub, comme l’indispensable Adblock), ses services des statistiques, etc.

Pour ma part, j’utilise depuis quelques temps les services de Scroogle. C’est un proxy développé par Daniel Brandt, déjà fondateur il y a quelques années du site Google Watch où il dénonce les dangers de Google en matière de respect de la vie privée.

Outre sa fonction de proxy et la suppression des publicités des résultats, Scroogle présente un autre intérêt non négligeable: il est accessible via une connexion sécurisée, ce qui signifie que les communications entre votre ordinateur et Scroogle peuvent être chiffrées. Pratique si par exemple vous êtes au travail et ne voulez pas que votre employeur intercepte vos recherches avec des termes comme “lettre de démission”, “comment passer plus de temps à la machine à café”, etc.

Et concrètement, on fait comment ?
Installer Scroogle est simple, il suffit de vous rendre sur la page du projet Mycroft qui liste des dizaines de moteurs de recherche que vous pouvez intégrer à Firefox, et de chercher Scroogle, puis de cliquer sur le lien de la version de Scroogle que vous voulez utiliser. Celle-ci sera alors ajoutée à votre barre de recherche et vous pourrez effectuer des recherches avec en la sélectionnant dans le menu à gauche de la barre.

De nombreuses versions du moteur sont disponibles sur Mycroft, en fonction de la langue et de l’utilisation ou non de connexions chiffrées. Je vous conseille d’installer Scroogle (pour interroger la version internationale de Google) et Scroogle FR (pour restreindre la recherche aux sites en français) si vous êtes sur votre ordinateur personnel, ou Scroogle SSL et Scroogle SSL French si vous êtes sur un réseau non sûr.

La présentation des résultats ne ressemble pas tout à fait à celle de Google. Pour ne pas être dépaysé, deux solutions s’offrent à vous:

• installer l’extension Stylish et la feuille de style qui va bien. Celle-ci va simplement modifier l’affichage de la page pour la faire ressembler à la version dont vous avez l’habitude;
• utiliser Greasemonkey et installer un petit script qui va remettre en forme la page de résultat pour coller à la présentation de Google, et rajouter pour chaque résultat quelques liens supplémentaires, pour par exemple afficher la page dans les archives du réseau. Pour installer le script, il suffit d’installer Greasemonkey, redémarrer Firefox, puis cliquer sur le bouton “Install” sur cette page;

Enfin, si vous avez besoin d’un niveau d’anonymat un peu plus élevé, je vous conseille le couple FoxyProxy + Tor. FoxyProxy est une extension Firefox permettant d’utiliser des proxy pour accéder à certains sites. Tor est un logiciel qui aide à préserver la vie privée en faisant transiter chaque requêtes par une suite de serveurs intermédiaires [1]. Il est facile de paramétrer FoxyProxy pour que toute recherche sur Google transite par Tor. Plus sûr mais aussi nettement plus lent.

[1] ce qui allonge notamment les temps de réponses, attention

http://www.clochix.net/post/2008/12/09/Dis-moi-ce-que-tu-cherches

 

FACEBOOK ET GOOGLE CONTINUENT LA CHASSE AUX DONNÉES PERSONNELLES

[ Sébastien Delahaye - Ecrans.fr - 09/12/08]
Les concurrents Facebook et Google ont lancé hier soir, presque simultanément, deux nouveaux outils aux noms similaires et aux fonctionnalités proches… mais totalement incompatibles entre eux. Les deux outils, Facebook Connect et Google Friend Connect, ont pour but de permettre aux internautes d’utiliser les services d’un site tiers (la possibilité de commenter un article, par exemple) sans avoir à s’y créer de compte. A la place du processus d’inscription classique, il est proposé de plutôt utiliser son compte sur Facebook ou Google. La manœuvre permet donc d’éviter de se créer des comptes sur une multitude de sites… avec l’inconvénient de renforcer le contrôle qu’exercent déjà Google et Facebook sur les données individuelles.

Cela peut donner lieu à des situations singulières : le webzine américain TechCrunch, spécialisé dans le suivi des start-ups, a ainsi intégré Facebook Connect à son formulaire de commentaire d’article. En deux clicks, on peut donc relier son compte Facebook à ses réactions sur le site, et faire savoir automatiquement à ses amis Facebook quand on ajoute un commentaire. En parallèle, cela permet à la régie publicitaire de Facebook d’apprendre que l’on apprécie les nouvelles technologies et le web, et donc que des amis sont susceptibles d’avoir des goûts similaires. Des publicités ciblées en rapport pourront donc être affichées ensuite dans le profil Facebook. Et le plus beau dans l’histoire : il n’y a normalement aucun besoin de se créer un compte pour laisser un commentaire sur TechCrunch. (Lire la suite…)

 

COMMENTAIRE JURIDIQUE : L’AFFAIRE MARC L… ET LE DROIT AU RESPECT DE LA VIE PRIVÉE

[Diners Room  - 17 janvier 2009 ]
C’est une inquiétude qui naît de cette immense mémoire assoupie, Internet. A disséminer des bribes de son existence sur le réseau, on risque de se voir un jour saisi par la puissance aveugle des moteurs de recherche. Telle est la mésaventure qu’a connu récemment Marc L…, mis en portrait par un journaliste du Tigre à partir des données accessibles en ligne. Données accessibles, certes, ce qui ne signifie pas qu’elles soient publiques, quoiqu’elles eussent été librement divulguées par le principal intéressé.

— Qu’est-ce à dire, Jules ? Le seul fait de publier des informations sur la toile n’autorise-t-il pas les tiers à les réunir pour en faire la synthèse sous forme de portrait ?

M’est avis que non, au regard de la jurisprudence de la Cour de cassation.

Prenons les choses par ordre.

Une bonne part des informations révélées par l’article relèvent de la vie privée de la personne. Il s’agit d’éléments de la vie sentimentale de l’intéressé, son orientation sexuelle, l’évocation de ses liaisons, de ses amitiés, des éléments relatifs à l’adresse de son domicile ou de son numéro de téléphone portable[1]. Celles-ci sont protégées contre une publication par l’article 9 du Code civil

Chacun a droit au respect de sa vie privée.

L’énigmatique brièveté[2] ne doit pas tromper. Il s’agit de l’armure juridique la plus puissante et nécessaire dans une société écartelée entre le souci de protéger son quant-à-soi et la soif inextinguible de transparence collective.  On déduit notamment de ce texte que les informations nécessaires à l’identification d’une personne ou celles qui permettent d’en connaître sur sa personne sont protégées contre la révélation à autrui ; et a fortiori, contre leur publication par voie de presse. En sorte qu’il est nécessaire d’obtenir l’autorisation de l’intéressé pour rendre licite la divulgation des dites informations.

— Ah, ah, Jules. Mais lorsque la personne a elle-même fait connaître les éléments dont vous nous entretenez, ne s’agit-il pas d’une autorisation ?

Non pas, mais patience… Bien sûr, toute vie sociale serait impossible s’il était possible à l’individu de se retrancher derrière sa vie privée pour faire échec aux droits des tiers. (Lire la suite…)

 

IDENTITÉ NUMÉRIQUE : 10 RÈGLES SIMPLES POUR CONTRÔLER SON IMAGE SUR INTERNET

[Le Presse-Citron - 21 janvier 2009]
Nous l’avons vu récemment, la gestion de l’identité numérique commence au berceau, et les récents déboires d’un internaute ayant constaté à ses dépends que sur le web tout est public, sont là pour nous le rappeler une fois encore.

L’identité numérique reste un concept assez flou pour la plupart des internautes, or il est seulement question de contrôle de l’image et de la réputation, selon les mêmes règles que celles que nous appliquons dans notre vie courante, celle que l’on appelle la vraie vie.

Pas besoin d’être un expert, donc, pour observer ces 10 règles simples qui devraient normalement vous aider à mieux maîtriser votre image sur internet : (Lire la suite…)

 

ROYAUME-UNI : LA POLICE POURRAIT PIOCHER DIRECTEMENT DANS LES PC

[PC Inpact - Vincent Hermann 06/01/2009]
Il y a un tout petit peu plus d’un mois, nous vous avions parlé du plan européen de lutte contre la cybercriminalité. Plusieurs mesures étaient présentées pour un vaste programme qui doit s’étaler sur cinq ans. En première ligne de cette coopération, le partage des informations entre les instances gouvernementales concernées et la collecte des informations à distance. C’est sur cette dernière précisément que le Royaume-Uni présente une force de frappe qui fait déjà frémir les associations de défense des libertés civiles.

Pêcher et partager
Michèle Alliot-Marie avait parlé récemment de la future possibilité de capter des informations à distance. Sans autre détail, on pouvait évidemment se demander ce que recouvrait l’expression, tant les interprétations peuvent être larges et quelque peu angoissantes pour certaines. Le gouvernement anglais vient de poser les premières fondations d’un plan qui permettra à la police nationale d’aller chercher les fameuses informations sur les machines d’à peu près tout le monde, le tout sans aucun avertissement.

Terrorisme, pédophilie, fraudes à l’identité, ventes frauduleuses, infractions financières ou encore les divers trafics illicites, comme celui des armes, sont bien entendu dans la ligne de mire. Cela étant, l’encadrement européen et l’application par le Royaume-Uni rendent certaines possibilités très réelles. Ainsi, la France ou encore l’Allemagne pourront demander au Royaume-Uni des informations sur la machine d’un résident anglais suspecté. Capter et partager les informations, tout est là.

Du feu vert européen à l’exploitation anglaise
Si au niveau européen les ministres se sont surtout attachés à la création d’une plateforme d’échange pour accélérer la traque des cybercriminels, les pays membres sont libres de transcrire les décisions de Bruxelles en accord avec leurs propres lois. Et comme les États-Unis au lendemain du 11 septembre via divers « Acts » axés sécurité, le Royaume-Uni va se doter d’un outil permettant de fouiller des ordinateurs à distance et de collecter des données sans passer par un tribunal et sans avertir les utilisateurs.

Il ne s’agit finalement « que » d’élargir et de simplifier ce qui était déjà possible. Mais le feu vert officiel de l’Europe remet le sujet sous les feux des projecteurs et certains n’hésitent pas à s’engouffrer dans la « brèche ». Et c’est bien ce qui inquiète sur le sol anglais, car ce qui était considéré comme une exception peut devenir très simplement un processus habituel de recherche d’informations, comme si l’on passait de l’artisanat à l’industrialisation.

Des craintes sur un engrenage et une automatisation
Shami Chakrabarti, présidente de l’association Liberty de défense des droits de l’homme, jette un regard sévère sur ce plan. Elle indique ainsi que cette faculté donnée à la police revient à donner le droit à des personnes d’entrer n’importe quand dans un domicile et d’y fouiller en toute impunité, sans demander l’avis de qui que ce soit. Elle a ajouté en outre que sans une véritable loi d’encadrement et une autorisation délivrée par l’instance juridique adéquate, ce sera un « coup dévastateur pour la plus petite notion de vie privée ».

Il existe tout de même un garde-fou : le « responsable » donnant l’autorisation pour une telle traque des données doit justifier dans sa décision que celle-ci est proportionnée. Les méthodes employées sont diverses mais ne sont pas nouvelles pour ceux qui connaissent déjà le petit monde de la sécurité informatique. La police peut envoyer par exemple un courrier électronique contenant un malware qui va dès lors servir d’enregistreur de frappes au clavier et/ou transmettre des informations de manière automatique.

Rien n’est encore tout à fait joué, car le Royaume-Uni, et plus particulièrement le Home Office (justice, sécurité, immigration, science, recherche et contre-terrorisme), doit accorder ses violons avec le reste de l’Europe. D’autant que le projet étant maintenant public et provoquant bien des réactions, beaucoup attendent des explications beaucoup plus poussés sur les mécanismes qui seront mis en action.

http://www.pcinpact.com/actu/news/48227-royaume-uni-police-collecte-donnees.htm

 

ENCORE PLUS DANGEREUX : LE HACK DES COMMUNICATIONS VIA DECT

J’ESPIONNE LES TÉLÉPHONES POUR 23 EUROS
[CNIS Mag - 05/01/2009]
Moins médiatisée –et pourtant considérablement plus dangereuse !- cette communication faite à l’occasion du 25C3 par MM Erik Tews, Ralf-Philipp Weinmann et Andreas Schuler, le hack des communications DECT. Les transparents de cette passionnante causerie ainsi que le Wiki consacré à ces recherches fourmillent de détails sur l’art d’écouter les combinés sans fil de son prochain. Comme pour confirmer l’inutilité relative des travaux de Sotirov (voir article précédent), les certificats du serveur du CCC sont invalides… les plus curieux devront se faire violence et accepter ladite ouverture de cession.

Que nous apprend ce piratage attendu par certains depuis quelques lustres ? Tout d’abord qu’il n’existe aucune communication sans fil qui ne puisse faire l’objet d’une écoute, d’un risque de démodulation par logiciel ou d’un spoofing (injection de fausses informations).

L’on retrouve ici encore la plateforme « Software Defined Radio » de Matt Ettus, qui servit en son temps à hacker les principaux outils de transmission radio : de bluetooth à Wifi, des CPL à la télévision HD « chifrée », en passant par l’interception des signaux RFID ou des réseaux de signalisation RDS. Mais plutôt que d’enrichir le thésaurus des développements GNU Radio, ces hackers du combiné sans fil ont utilisé de biens plus simples accessoires : de vulgaires cartes PCMCIA Com-On-Air, vendues aux environs d’une vingtaine d’Euros.

La portée du hack est incalculable. A part quelques antiques TPV (Terminaux Point de Vente), qui utilisent les liaisons infrarouges, la quasi-totalité des terminaux mobiles de payement par carte de crédit utilise une liaison DECT. On estime, compte-tenu de la baisse des prix atteints en ce domaine, que la grande majorité des foyers français se sert également de terminaux DECT en remplacement des vieux postes téléphoniques S63 des P&T d’autrefois. Les entreprises elle-même sont de grandes consommatrices d’appareils à la norme DECT, et particulièrement les TPE et PME.

C’est donc un véritable « manuel du petit plombier » qu’offrent ces trois chercheurs, manuel augmenté d’un add-in logiciel sous la forme d’une extension spécifique de Kismet, le sniffer « sans fil » le plus connu des passionnés des communications radio.

Certes, le hack nécessite de solides connaissances. Mais le « retour sur investissement » est prometteur. Usurpation de poste et d’identifiant, écoute à distance sans lien physique, « empoisonnement » des données, récupération de mots de passe ou de hashs de codes PIN… il y a des trésors cachés dans cet algorithme de chiffrement DSC originellement déposé par Alcatel.

Et contrairement au monde WiFi, dans lequel la course au débit a peu à peu joué en faveur du renouvellement de parc « vieux Wep » en faveur d’un « nouveau WPA », il n’y a pas, ou très peu, de budget pour changement d’équipement dans l’économie des ménages.

En outre, s’il est parfois possible de mettre à jour, pour un usager aguerri, les outils et firmwares de sécurité d’un appareil Wifi, ce n’est pas le cas sur un équipement téléphonique destiné à une clientèle « non technique ».

http://www.cnis-mag.com/fr/jespionne-les-telephones-pour-23-euros/actualite.html

 

ENCORE PIRE QUE AKA-AKI : LE FLICAGE SAUVAGE PAR BLUETOOTH

Note aux frangins de la NLA en Hollande – si l’envie vous prenait d’aller péter la gueule à ce petit connard de geek qui fabrique le prochain outil de flicage dans son garage en disant “les technologies me passionnent, c’est tout”, je ne pense pas qu’on vous jetterait la pierre.Après tout, le mec qui a développé l’usage du Zyklon B était probablement “passionné de chimie, c’est tout”…

C’est vrai quoi, c’est fun les nouvelles technologies, hein ? Tant qu’on ne s’appelle pas Julien Coupat, ou que l’on n’est pas un militant altermondialiste… ou encore un dissident chinois. Car le petit projet de flicage “fun” de Alex Van Es ne devrait pas rester très longtemps cantonné au registre du repérage des copains dans la rue….

Dans 20 ans, ne pas avoir de téléphone Bluetooth sera impossible (ils seront livrés avec la fonction de traçage d’officle) ou alors ce sera suspect (comme on a déjà déclaré suspects les Neuf de Tarnac parce qu’ils n’avaient pas de téléphone portable).

Et nous vivrons alors dans une société entièrement pistée par GSM, RFID, vidéosurveillance…  ou chacune de nos activités, chacun de nos comportements seront analysés par les experts en marketing… mais aussi par les policiers et par les manipulateurs.

Et alors les bien-pensants s’écrieront  “mais comment avons nous pu laisser faire un truc pareil”

Le remarque de Alex Van Es sur le fait de repérer les téléphones portables des politiques et de voir si on les retrouve dans les quartiers “chauds” de la capitale en dit long sur sa mentalité de petit flic…

Enquête  : Alex is watching you
[Yves Eudes - LE MONDE - 29.11.08]
Un informaticien néerlandais a créé un système de pistage des appareils équipés de Bluetooth, téléphones, ordinateurs et GPS. D’autres passionnés l’ont aidé à créer un miniréseau d’espionnage amateur.

Alex Van Es, un homme grand et massif âgé de 35 ans, vit avec sa compagne dans un joli pavillon de banlieue à Apeldoorn, aux Pays-Bas. Le jour, Alex est informaticien dans une administration. Le soir et le week-end, il s’amuse à fabriquer un système automatisé capable de détecter tous les appareils dotés d’un émetteur Bluetooth, puis de traiter les informations recueillies et de les publier sur son site Web personnel, Bluetoothtracking.org : “Pourquoi je fais ça ? Les technologies de pointe me passionnent, surtout leurs usages inédits. Il n’y a pas à chercher plus loin.”

Partout en Europe, les téléphones mobiles récents sont équipés d’un émetteur-récepteur Bluetooth, pour faire fonctionner une oreillette sans fil ou échanger des photos et des fichiers avec des amis. De même, les nouveaux ordinateurs portables et les GPS de voiture utilisent le Bluetooth pour leurs connexions sans fil de proximité. Or, une fois que cette fonction a été activée, la puce Bluetooth diffuse en continu deux informations : son “adresse” (un matricule d’identification unique) et le nom de l’appareil dans lequel elle est intégrée.

En outre, de nombreux utilisateurs personnalisent leur appareil en entrant un prénom, un surnom familier ou amusant, ou encore le nom de leur entreprise ou de leur chanteur préféré -, autant d’informations permettant de les identifier, par déduction ou par recoupements. En se promenant un soir de novembre sur le site d’Alex Van Es, on découvre par exemple qu’à 17 h 42 le téléphone mobile Nokia modèle 6310-I, matricule 00.60.57.xx.xx.xx, se trouvait à Apeldoorn, au coin de la rue Hoofd et de la rue Deventer.

Ces derniers mois, ce même Nokia a été repéré par Alex Van Es 237 fois à Apeldoorn, entre 7 heures et 22 heures, mais jamais plus tard. Ce jour-là, le site a permis de suivre les déplacements de 558 appareils Bluetooth. Pour chacun d’entre eux, une page Web a été créée en temps réel, avec une carte Google interactive, un tableau récapitulatif, et un graphique ventilant les localisations par tranches horaires. L’ensemble est mis à jour toutes les dix minutes. (Lire la suite…)

 

«PLUS ON EST HABITUÉ À ÊTRE OBSERVÉ, MOINS ON EST SENSIBLE AUX ATTEINTES À LA VIE PRIVÉE»

[Antoinette Rouvroy interviewée par Sylvestre Huet -  Libération du 18 novembre 2008] 
Entretien avec Antoinette Rouvroy, de l’université de Namur (Belgique), qui s’interroge sur la reconfiguration radicale de l’espace public induite par cette possibilité technologique.

Antoinette Rouvroy est chercheuse au Centre de recherche informatique et droit (Crid) à l’université de Namur.

Quelle est votre première réaction devant ce projet d’une webcam mondiale, fenêtre ouverte, et actualisée chaque semaine, sur tout endroit de la Terre?

Ces nouvelles possibilités technologiques favorisent et témoignent d’une reconfiguration de notre conception de l’espace. Et confirment l’actualité de l’analyse de Michel Foucault (1) quant au fait que «l’espace lui-même, dans l’expérience occidentale, a une histoire». Alors qu’au Moyen-Age, cette expérience passait par des notions de hiérarchies de lieux caractérisées par leur caractère sacré ou profane, d’accès ouvert ou restreint, cette possibilité d’une vision de l’espace global de la Terre met cette dernière, en quelque sorte, «à plat».

Dans le nouveau paradigme, la qualité profane ou sacrée des lieux importe moins: l’espace géographique «s’éprouve comme un réseau qui relie des points», tous équivalents, tous potentiellement signifiants. Et, étant moi-même un point dans ce réseau, je veux savoir où je suis, où je vais. De la hiérarchie des lieux, on passe à un système où tous sont comme juxtaposés dans une simultanéité. C’est alors toute l’intelligibilité du réel qui est transformée. La Terre et son image appartiendront, en apparence, à tout le monde. Mais à qui vont-elles appartenir réellement? Cela suscite un énorme intérêt… et un malaise tout aussi grand.

Pourquoi ce malaise?

A l’idée de savoir que l’on est peut-être en train de m’observer, de là-haut, même si je suis difficile à identifier, ma première idée est de m’abriter sous un toit… Surtout si l’on imagine que le croisement entre cette information spatiale et d’autres, comme le signal d’un mobile, peut permettre de savoir que je fais partie de tel groupe visible sur l’image, à tel endroit, même si je reste non identifiable parmi ce groupe.

On imagine sans peine le potentiel que représente ce type d’information pour les gouvernements, la politique sécuritaire, le marketing… Le malaise est d’autant plus grand que n’importe qui peut voir. Le contrôleur est invisible, potentiellement lointain, et je ne connais pas son interprétation de ce qu’il voit. Un tel contrôle invisible reconfigure l’architecture de l’espace public et risque d’inciter à des formes d’autocensure ou de conformisme d’autant plus strictes qu’elles s’opèrent à l’aune de normes inconnues des personnes observées. Et non plus seulement de celles, prévisibles, qui sont propres à un contexte familier.

Quels problèmes juridiques et politiques poserait une telle capacité d’observation, aussi précise et récurrente?

Il est malaisé de prévoir a priori tous les cas de figure, surtout que la technologie peut évoluer vers des images plus définies et plus souvent réactualisées. Elles exacerberaient les problèmes de protection de la vie privée dans les relations entre les personnes et l’Etat. L’Etat de droit ne suppose pas une transparence totale envers les citoyens, mais un principe de proportionnalité. S’il est légitime que l’Etat ait accès à certaines informations personnelles lorsque cela est nécessaire à la préservation d’un intérêt collectif prépondérant, cet accès doit être prévu par la loi et proportionné. Or, là, l’information semble constante et non discriminée et, bien sûr, recueillie sans le consentement des personnes. Un problème amplifié par le fait que la technique spatiale transcende les frontières politiques et juridiques. La surveillance satellitaire peut gêner la liberté d’exprimer ses opinions par une manifestation.

Comme ses images seront d’accès libre, la protection de la vie privée vis-à-vis d’autres personnes privées est en jeu. Les entreprises peuvent y voir un moyen efficace d’espionnage industriel. Quant aux relations internationales, elles seront affectées par la «transparence» auxquels seront soumis les actes des gouvernements en cas de crise, de guerre. Mais pas nécessairement dans le bon sens. Nous faisons une trop grande confiance aux images. Or leur sens réel, pour être intelligible, suppose souvent la connaissance du contexte, elles ne sont qu’une partie de l’information. Le flux d’images peut ainsi revêtir l’apparence de la transparence au service de l’opacité.

Que faire?

Les projets de ce type prennent de vitesse nos capacités à imaginer et à réguler leurs enjeux sociétaux. Personne ne dispose de la boîte à outils juridique adaptée. Il en résulte que les forces (politiques, économiques) qui déterminent l’orientation des technologies disposent d’un pouvoir immense qui échappe au contrôle démocratique. Cette dépolitisation est accentuée par l’érosion de l’attachement à la vie privée que les technologies provoquent (Internet, caméras de surveillance…). Plus on est habitué à être observé, et moins on est sensible aux atteintes à la vie privée. Les gens acceptent maintenant qu’une grande part de leur vie privée puisse faire l’objet d’une surveillance constante, allant jusqu’à exposer eux-mêmes leur vie intime sur Internet. Une question s’impose: arrive-t-on à une situation où, tant que les citoyens ne protestent pas, il ne faut pas freiner ces technologies? Faut-il les protéger sans, voire contre eux-mêmes? Cela nous oblige à repenser les rapports entre droit et technologie et, surtout, à affirmer la nécessité que ces enjeux éthiques, juridiques et politiques puissent être prises en compte dès le stade le plus précoce du design technologique. Les concepteurs ont à rendre compte de leur impact sur l’effectivité des droits et des libertés fondamentales qui conditionnent la vitalité démocratique.

(1) Michel Foucault, Dits et écrits, Architecture, Mouvement, Continuité N°5 (1984).

http://www.ecrans.fr/Plus-on-est-habitue-a-etre-observe,5712.html

 

GEODE : ÉCHAPPERONS-NOUS À LA GÉOLOCALISATION MASSIVE ?

[Hubert Guillaud - InternetActu - 21/10/2008]
Comme on le constate avec nos mobiles, savoir où nous sommes permet de rapidement comprendre le contexte. Dans toutes les conversations distantes, la réponse à la question “où es-tu ?” devient aussi importante que la raison de l’appel. Tant et si bien que la localisation de chacun est devenue un enjeu technologique majeur, un Eldorado où chacun espère trouver le levier qui actionnera le jackpot de la localisation.

Nos téléphones mobiles ont commencé à embarquer un GPS permettant de les géolocaliser facilement par satellite. Reste que le rythme de développement du GPS est encore faible : Nokia prévoit que seulement la moitié de son parc de mobiles sera doté de GPS d’ici 2012. Le GPS est également imparfait : lent (il faut en moyenne 45 secondes pour que la position soit validée), il n’est pas toujours accessible en intérieur et il consomme trop d’énergie pour qu’un téléphone soit localisable toute une journée sans vider sa batterie… C’est pourquoi, dans le domaine du mobile, on utilise plus souvent la technologie de la triangulation via les antennes de téléphonie mobile pour localiser les appareils, en se servant de l’intensité du signal reçu par les antennes.
(Lire la suite…)

 

CORÉE DU SUD : AVANT DE PUBLIER UN CONTENU EN LIGNE, VOUS DEVREZ PROUVER VOTRE IDENTITÉ RÉELLE…

Corée du Sud : une vérification du nom réel des internautes dès 2009, en réaction à la net-mobilisation ?

[Citizen-L - 17/11/2008]

Il est toujours utilise de regarder ce qui se passe en Corée du Sud, car ils ont généralement 6 mois d’avance sur ce qui concerne les nouveaux médias.

Cette fois-ci, c’est la liberté individuelle, ou plus globalement les questions de “privacy” qui sont en jeu :

Korean user generated content (UGC) service providers with a certain traffic volume will have to comply with the Real Name Verification requirement, starting from 2009.

Real Name Verification asks all users to verify their real-world identity before making any user content on the web – blogs, wikis, photos, videos, or even comments. Users won’t be required to use their real names as their IDs, but still they have to verify their particular online ID is mapped onto their real name.

So it’s like this: If you are lonelygirl15, and if you want to upload your videos on Youtube, you can still appear as lonelygirl15 but you gotta tell Youtube that you are actually Jane Doe (or whatever is your real world name) and your actual social security number is 123-45-678. “Hi lonelygirl15, would you mind if we check your real name and social security number before you proceed with the video clip upload?”

La conséquence de la mobilisation organisée en ligne sans précédent du printemps dernier contre l’enjeu sanitaire (affaire US Beef) ?

“La mobilisation s’est concentrée online, via la plateforme Agora. La discussion contre le Président a été extrêmement suivie, reprise sur de nombreux blogs personnels et sur une plateforme d’échange de vidéos qui est devenue en quelques jours numéro 1 : Afreeca qui a laissé ses utilisateurs livecast -er en direct des manifestations. 700 000 personnes ont manifesté. Welcome to the real world. IRL.”

L’argument du gouvernement coréen est de mettre un cadenas aux phénomènes de rumeurs :

Despite the positive side of young people’s passion on the Internet, we still should be cautious about irrationalism in cyberspace that may threaten online democracy (as I mentioned in my last post). Yesterday, South Korean President Lee warned that “the spread of false and incorrect information through the Internet and spam email is threatening the people’s rational thinking and mutual trust.”

En clair, reprendre la main en organisant une information “officielle” qui dénierait le droit de détracteurs-citoyens d’exprimer des avis contraires.

La Corée donnera-t-elle des idées pour notre cher fichier Edvige ?

http://citizenl.hors-sujet.com/?p=569

 

AKA-AKI : LE CAUCHEMAR ABSOLU !!!

Aaaarghh ! Et dire qu’on s’excite à cause de EDVIGE, du STIC ou de la Base-Elèves….

Ca va encore plus vitte que prévu ! Je sens que la puce géolocalisatrice implantée sous la peau avec profil détaillé de l’individu et historique des 20 dernières années de connexions, réseaux sociaux, fréquentations et achats réalisés dans les magasins… n’est pas loin !!!  Même plus besoin de miradors, un gros ordinateur et un réseau Bluetooth suffisent… Et ce truc est un rève pour les obsédés…

Je vous garantis que peu de temps après, des journalistes comme Christophe Cornevin écriront : “Les membres du groupe terroriste ont été repérés par leur comportement suspect. Ils n’avaient pas de puce implantée sous la peu et n’étaient pas inscrits à Aka-Aki…. probablement parce qu’ils avaient des choses inavouables à cacher.”

A quand la création d’un Front de libération de la vie privée qui fera sauter les antennes relais pour créer des “zones non pistées” ?

Mise à jour  #1 : Il y a pire que Aka-Aki… il y a les bricoleurs dans leur garage qui s’amusent à capter et identifier les appareils Bluetooth et à en localiser les déplacements dans la ville. C’est “fun” et ça ouvre la voie à toutes sortes d’utilisations… et de chantages. Lisez par vous même…

MISE A JOUR #2 : Les utilisateurs de Aka-Aki étant virulents dans la défense de leur gadget qui est si cool, nous avons pondu une réponse. A lire ici.

TOUS AMIS, TOUS PISTÉS

[Yves Eudes - Le Monde - 06/04/2009]
Un quartier animé de Berlin, par un soir printanier. Thomas, 31 ans, artiste peintre encore méconnu, s’installe dans son bar habituel et sort son téléphone mobile, un “smartphone” connecté à Internet. Aussitôt, son mini-écran affiche la page d’accueil de Aka-Aki, le nouveau réseau social “géolocalisé” permettant à ses membres de détecter tous les autres membres se trouvant dans les parages, et de communiquer avec eux en temps réel.
D’un coup d’oeil, Thomas constate que des centaines de Berlinois inscrits sur Aka-Aki sont connectés en ce moment, dont dix-sept à moins de dix minutes de marche. Leur nom et leur photo défilent automatiquement. D’un geste, il peut consulter leur profil, contenant toutes sortes de renseignements : ils habitent le quartier, ou y travaillent, ou sont venus pour dîner. Presque tous ont pris l’habitude de coller sur leur profil des stickers (étiquettes) pour expliquer en images leurs goûts et leurs préférences dans tous les domaines. Même ceux qui ne font que passer près du bar, à pied ou en tramway, sont recensés et archivés.

Le système précise que, sur les dix-sept personnes présentes dans le quartier, trois se trouvent à quelques dizaines de mètres de Thomas. La première s’appelle Zina, une jolie brune. Sans hésiter, Thomas lui envoie un message. Zina répond qu’elle habite en face du bar, mais qu’elle n’a pas le temps de venir boire un verre, car elle révise un examen : “Pas grave, se console Thomas, je la retrouverai facilement.” Aka-Aki a enregistré la date et l’heure de la rencontre entre les mobiles de Thomas et de Zina, et a inscrit l’événement sur leurs profils respectifs. S’ils se croisent à nouveau, dans un jour ou dans un an, ils recevront un message d’alerte.

Thomas affirme qu’il a fait plusieurs rencontres grâce à Aka-Aki : “La première fois, je me suis fait draguer par un homosexuel qui ne l’avait pas indiqué sur son profil. Moi, je suis hétéro, dès le lendemain, je l’ai mentionné sur le mien.” Il a aussi fait connaissance avec un autre jeune artiste : “Un matin de bonne heure, j’ai remarqué que son profil était apparu près de chez moi. Même chose les jours suivants, alors je lui ai demandé s’il venait d’emménager dans le secteur. C’était le cas, nous avons très vite sympathisé.”

Soudain, le smartphone de Thomas émet un jingle indiquant qu’un nouveau membre vient de pénétrer dans sa zone de proximité : “C’est un ami à qui j’avais donné rendez-vous plus tard, pour dîner. Lui aussi a vu que j’étais ici plus tôt que prévu, il arrive.”

Thomas et sa bande ont adopté Aka-Aki comme mode de communication principal. Quand deux membres signalent au système qu’ils sont officiellement “amis”, chacun est mis au courant en temps réel de tout ce que fait l’autre. Et lorsque deux membres qui ne se connaissent pas encore se croisent par hasard, le système leur envoie la liste de leurs amis communs, directs et indirects – un premier sujet de conversation possible.

Peter, 28 ans, l’un des copains d’enfance de Thomas, aujourd’hui instituteur en maternelle, est devenu un inconditionnel d’Aka-Aki : “Je mets mon profil à jour aussi souvent que possible, toutes les dix minutes parfois. Quand je fais quelque chose d’intéressant, j’aime bien partager avec mes potes.” Récemment, Peter faisait la queue devant une discothèque, quand il a vu sur son mobile que deux de ses amis étaient déjà à l’intérieur : “Ils m’ont dit que l’ambiance était nulle et la bière trop chère. Nous nous sommes donné rendez-vous ailleurs. Ce qui est vraiment nouveau, c’est qu’on se retrouve spontanément sans être obligés de planifier ni de prendre des rendez-vous contraignants.”

Pour les utilisateurs, Aka-Aki est simple et instinctif, mais en coulisses le système est complexe. Les téléphones se trouvant à moins de 30 m les uns des autres se repèrent grâce à leurs émetteurs Bluetooth – installés pour faire fonctionner les oreillettes sans fil et échanger des photos. Au-delà de 30 mètres, Aka-Aki localise les appareils en interrogeant les nombreux réseaux Wi-Fi qui quadrillent la ville. Il peut aussi capter les signaux GPS, indiquant la longitude et la latitude des smartphones qui en sont dotés. Quand aucun autre système n’est disponible, Aka-Aki repère les mobiles connectés au même relais de téléphone GSM, ce qui fournit une localisation approximative. Si un membre se promène avec un vieux mobile non connecté à Internet, il est quand même inclus dans le réseau : à chaque fois qu’il croise un autre membre, il reçoit un SMS d’alerte.

Après des débuts incertains, Aka-Aki comptait plus de 100 000 membres en mars, surtout en Allemagne, en Autriche et en Suisse. Mais rien n’empêche le reste du monde de se connecter : l’interface est en partie en anglais, et des versions en diverses langues sont en préparation. L’idée est née en 2006 : il s’agissait au départ d’un projet de fin d’études imaginé par cinq étudiants du département publicité de l’Ecole des beaux-arts de Berlin. Le succès de leur invention fut tel auprès de leur entourage qu’ils décidèrent d’interrompre leurs études et de créer une start-up.

Aujourd’hui, la société Aka-Aki, un nom facile à retenir, qui ne veut rien dire (¡joder, chico ! en espagnol, ça veut dire “ici et là” et ça se dit aussi d’un gamin qui a la bougeotte) , compte 17 salariés, tous jeunes et branchés, installés dans un immeuble agréable au centre de Berlin. Son avenir à court terme est assuré grâce à une société allemande de capital-risque. Cela dit, son business model reste flou. Ses jeunes patrons essaient d’imaginer plusieurs scénarios : publicités géolocalisées ultraciblées, promotion d’événements, partage des recettes avec les opérateurs Internet… Ils ont déjà passé un accord avec la compagnie de télécom allemande E-Plus, pour que le trafic Aka-Aki reste gratuit. Aka-Aki pourrait aussi devenir un outil de travail. Roman Haensler, 29 ans, l’un des cofondateurs, lance une piste : “Dans un Salon professionnel, tous les téléphones vont s’échanger des cartes de visite et des CV numériques, ça va décupler le maillage.”

La puissance de Aka-Aki semble illimitée, car un mobile doté de son logiciel ne repère pas seulement les autres membres, il recense tous les appareils émettant un signal Bluetooth : téléphones mobiles ordinaires, ordinateurs, imprimantes, GPS de voiture… Till, 29 ans, chercheur en biologie, fait une démonstration dans un café fréquenté par des étudiants. Dès qu’il entre, son mobile affiche une liste de 22 mobiles, 1 GPS et 7 ordinateurs portables. Le plus souvent, le signal Bluetooth diffuse simplement la marque et le modèle de l’appareil, mais parfois, le propriétaire a entré un pseudo, ou même son vrai nom. Le serveur central de Aka-Aki crée un profil pour chaque appareil et note qu’ils ont été “découverts” par Till en indiquant le jour et l’heure : “C’est comme un jeu de piste, tous mes amis savent que je suis passé par ici, puis par là, et combien de fois. C’est étrange, mais sur Aka-Aki, les objets acquièrent une vie propre.” L’ordinateur du gérant du bar, installé dans une arrière-salle, possède bien sûr son profil depuis longtemps. Il affiche la liste de tous les membres de Aka-Aki ayant fréquenté le lieu, avec pour chacun d’eux le nombre de visites et la date du dernier passage. (Lire la suite…)

 

CYBER-RESISTANCE : COMMENT SURFER ANONYME EN DEUX MINUTES

Une petite piqure de rappel grand public, ça ne fait pas de mal… Merci à l’équipe de Linux Manua pour ce travail de vulgarisation indispensable !

[Linux Manua - 17/03/2009]
En ces temps obscurs de surveillance généralisée et de répression, être anonyme sur le Net devient essentiel – Alors voilà la méthode pour avoir temporairement une adresse IP du Canada, de Russie, des Seychelles et même de Chine (un comble) puis, par exemple :

• dénoncer les lois liberticides visant à surveiller le Web et réprimer les internautes,
• critiquer les puissants sans retenue et sans risquer la répression,
• riposter aux satrapes qui traitent les internautes de terroristes ou de criminels
• télécharger des fichiers interdits par des législations locales dictées par des lobbys mercantiles,

Bien entendu, ces fictions invraisemblables ne concernent pas la France, pays de la Liberté. Mes propos se veulent aussi universels et apolitiques. Plus modestement, vous pouvez avoir envie d’écrire à votre apparatchik local, en donnant le lien vers mon Blog, afin de lui expliquer que tous les efforts ringards pour limiter la Liberté sont vains car les antidotes sont déjà en place : (Lire la suite…)

 

FACEBOOK OU MYSPACE, UNE MINE D’OR POUR LA POLICE

Transmis aux “Kamaraden” dans les manifs qui affichent les photos de leurs exploits sur leur profil Facebook… parfois même en “tag-ant” les noms des copains qui sont avec eux sur la photo…  La maison Poulaga vous remercie 

[Delphine de Mallevoüe et Jean-Marc Leclerc - Le Figaro - 02/04/2009]

En pleine expansion, les sites de socialisation sont utilisés dans les enquêtes les plus délicates. Une évolution récente qui pose des questions inédites.

Myspace, Facebook , Bebo, Co­pains d’avant… Plébiscités par les jeunes, les sites de réseaux sociaux sont également devenus les alliés de la police. Véritables mouchards, ils constituent une nouvelle source d’informations «ouvertes» pour piéger les délinquants. À Rosny-sous-Bois, dans le Service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie, on les utilise dans les en­quêtes les plus délicates : disparition de mineurs, incitation au suicide ou à la haine raciale, diffamation, deal de substances illicites et surtout dans la lutte contre la pédophilie et la pédopornographie.

PHOTO : Dans les locaux de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC),les policiers utilisent des crawlers , des logiciels de recherche spécialisés pour sonder les sites

«Nous n’y sommes pas connectés en permanence, seulement selon nos besoins, explique le colonel Emmanuel Bartier, adjoint au chef de service du STRJD. Il nous faut un motif, comme une infraction, une dé­nonciation ou un soupçon.»

Pour de simples vérifications d’environnement, comme les fréquentations d’un suspect, les enquêteurs accèdent aux informations au même titre que n’im­porte quel surfeur puisqu’elles sont publiques. Il en a été ainsi récemment avec le profil douteux d’un homme d’un certain âge qui comptait exclusivement des profils de jeunes filles dans ses «amis».

«Avant, on tapait à la porte des voisins pour connaître les fréquentations du suspect, aujourd’hui on les connaît en un clic !», se félicite un policier. Seule réserve : «Ces réseaux étant purement déclaratifs, n’importe qui peut créer un profil au nom de quelqu’un d’autre. On ne peut pas prendre les informations pour argent comptant», nuance le chef d’escadron Alain Permingeat, chef de la division de lutte contre la cybercriminalité au STRJD.

Usurpation d’identité
Un internaute a récemment emprunté l’identité d’une femme pour raconter sa prétendue nuit d’amour avec son patron et le discréditer. Or, juridiquement, aucun recours n’est aujourd’hui possible. «Si le délit existe pour une imposture sur papier, rien n’est prévu version numérique», souligne-t-on Place Beauvau. C’est précisément pour combler cette faille que, dans le cadre de sa future loi d’orientation pour la sécurité (Lopsi 2), Michèle Alliot-Marie envisage de renforcer la législation pour lutter contre l’usurpation de l’identité sur Internet. Pour sonder les sites, des crawlers, c’est-à-dire des logiciels de recherche spécialisés, sont parfois utilisés par les services. Notamment dans les enquêtes de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

«À quoi bon multiplier les fichiers de police, puisque les individus étalent aujourd’hui leur vie et leurs penchants sur la Toile, sans même imaginer que ces informations vont devenir numériquement indélébiles», confie un agent des ex-RG.

Pour accéder à des «données plus poussées», comme le profil privé d’un utilisateur ou son adresse IP, qui permet de le localiser, les enquêteurs doivent agir sur réquisition judiciaire à l’hé­bergeur du site. La France semble encore loin de parvenir à l’étroite collaboration qui existe aux États-Unis entre les services et les sites de socialisation.

Ensemble, ils ont entrepris il y a plusieurs mois de faire le ménage des délinquants sexuels. Ainsi, quelque 100 000 comptes Facebook et MySpace ont été supprimés le mois dernier. Dans l’Hexagone, on veille pour notre part «à ce qu’une réquisition de nos services puisse être traitée dans les meilleurs délais», explique un commissaire de police.

Reste que si d’anciens policiers travaillent chez les opérateurs téléphoniques ou les banques, aucun n’a encore été recruté par une grande société du Net.

http://www.lefigaro.fr/actualite-france/2009/04/03/01016-20090403ARTFIG00007-facebook-ou-myspace-une-mine-d-or-pour-la-police-.php

 

NOS VIES, SUR INTERNET, A PERPÈTE…

Exercice à faire : allez sur 123people.com et sur CVgadget.com, saisissez vos noms et prénoms, regardez ce qui sort et demandez vous si c’est l’image que vous voulez donner de vous même. Si ce n’est pas le cas, va falloir songer à une stratégie de “nettoyage de cyber-réputation”

[Yves Eudes - Le Monde - 02/04/2009]

A 31 ans, Fanny est déjà passée par une dizaine d’entreprises, dans le journalisme, la communication, le marketing. Comme beaucoup de semi-précaires, elle laisse son profil affiché en permanence sur les sites Internet d’emploi et les plates-formes communautaires professionnelles comme Linked-In ou Viadeo. Par ailleurs, Fanny utilise Internet pour son plaisir : elle fréquente le site de rencontres Meetic, a un profil Facebook et une page sur MySpace. Elle est aussi l’auteur d’un blog personnel qui porte son nom, où elle publie des textes humoristiques, décalés ou provocateurs.

En septembre 2008, à l’issue d’un stage de formation, Fanny commence une nouvelle période d’essai dans une agence de communication parisienne. Elle est alors contactée par la petite agence de recrutement Elaee, qui lui propose un autre poste. Elle se prépare pour un nouvel entretien d’embauche – elle a l’habitude. Mais elle a oublié un détail. Sur le CV en ligne envoyé à Elaee, elle avait placé un lien vers son blog : “Au départ, il était plutôt orienté pro, je voulais montrer que je savais rédiger un article. Puis j’ai trouvé un job, et mon blog est devenu de plus en plus perso, je racontais ma vie, mes états d’âme, je faisais de l’humour.”

Informée de l’existence du blog, la patronne de la société qui souhaitait l’embaucher va y faire un tour. Là, elle tombe sur un texte dans lequel Fanny explique sur un ton ironique qu’elle se sent très flemmarde. Troublée, la patronne décide de téléphoner à la candidate : “Elle m’a posé des tas de questions sur mon ego, se souvient Fanny, je ne voyais pas où elle voulait en venir.” Quelques jours plus tard, Fanny est informée par l’agence que sa candidature est rejetée. Avec le recul, elle reconnaît son erreur : “J’ai été prise de court. Si j’avais eu plus de temps, j’aurais effacé certains textes de mon blog, et je lui aurais donné une allure sérieuse, motivée et tout.”

Echaudée, Fanny fait une recherche sur elle-même, en tapant son nom dans des moteurs de recherche : “Il y a quelque temps, j’avais participé à une opération de charité sur un site humanitaire. Pour inciter les gens à envoyer de l’argent tout en les faisant rigoler, j’avais écrit que pour un don de 200 euros, je montrerais mes seins. Quand j’ai tapé mon nom dans Google, c’est ce texte qui s’est affiché en haut de la première page. J’étais horrifiée. J’ai réussi à le faire effacer.”

Cela dit, Fanny sait qu’elle n’est pas entièrement innocente : “Les blogueurs ont un peu une posture de stars. On s’exprime sur toutes sortes de sujets, on soutient des causes, on se fait prendre en photo pendant des soirées un peu chaudes, ça laisse des traces.” Depuis, elle a été embauchée dans une autre société de communication, sans renoncer à son blog. (Lire la suite…)

 

FACEBOOK, LE MEILLEUR AMI DU DÉTECTIVE PRIVÉ

Au même titre que vous fermez la porte des cabinets quand vous coulez un bronze.. quand vous êtes sur les réseaux sociaux, réfléchissez à ce que vous donnez à voir. Richard Stalmann disait : “La règle est toujours la même : si c’est quelque chose dont tu n’aimerais pas que ta maman l’apprenne, alors ne le mets pas sur le Net”…

[ Libération 09/03/2009 ]

Comment le Net a bouleversé la pratique de la profession, réunie en Etats généraux vendredi à Paris.

«Vous n’imaginez pas tout ce qu’on peut savoir en quelques clics de souris… Donnez-moi deux heures, et je saurai tout sur vous». Le Nestor Burma moderne, costard cravate et iPhone, vous épie avant tout via la Toile. «C’est comme tout, notre métier évolue avec le temps. Avant on faisait des filatures à vélo, maintenant on utilise Internet et les satellites… Il n’y a rien d’extraordinaire là-dedans», assure Goolam Monsoor, détective privé – ou plutôt, comme on dit dans le métier, «ARP» pour agent de recherches privées. Vendredi, il participait aux Etats généraux de la profession organisés par les trois principaux syndicats pour dépoussiérer l’image du métier.

«95% des infos sont en accès libre»
Premier conseil (de débutant) d’Yves Conversano, directeur de la principale école de détectives privés en France (IFAR): «Consulter les pages blanches.» Plus besoin de stocker les botins de tous les départements français pour rechercher par exemple l’adresse de la maîtresse du mari. «C’est tout bête, parfaitement légal et d’une efficacité redoutable», poursuit le détective qui forme une quinzaine d’étudiants chaque année. «Pourquoi prendre le risque d’enfreindre la loi, alors que 95% des informations sont accessibles facilement et en toute légalité», renchérit Alain Juillet, haut responsable de l’Etat chargé de l’intelligence économique depuis 2003. «C’est un peu comme si toutes les informations étaient servies sur un plateau», résume un agent, vingt ans de métier dans les bottes.

Par exemple, pour connaître le nom d’un gérant d’entreprise, «plus besoin de se taper quatre heures de queue au greffe du tribunal de commerce. On consulte Infogreffe.fr, et c’est une matinée de travail de gagnée». Et tout est à l’avenant : archives de presse, état civil… Internet accélère et simplifie les recherches, même si «le Minitel nous avait déjà bien simplifié la vie», tient à rappeler Alain Bernier, le président du principal syndicat (le CNSP-ARP). Il avoue au passage s’en servir encore un peu aujourd’hui.

Les détectives adorent Facebook
Le GPS améliore aussi «sacrément» le quotidien des détectives. «Quel progrès! Plus besoin de rester planquer des heures dans la voiture pour surveiller la femme d’un mari jaloux. Avec le GPS tracking (intégrés dans de plus en plus de téléphones, ndlr), on peut suivre ses déplacements», souffle un spécialiste des affaires de couple, iPhone à la main.

Mais la dernière révolution dans le métier vient des réseaux sociaux, comme Facebook ou Copains d’avant. «C’est un outil de travail. Quand on commence une enquête, on vérifie si la personne recherchée a un profil sur Facebook, c’est le b-a ba…», assure un jeune détective, fraîchement sorti d’école. Un autre, installé à Lille depuis quinze ans : «Les gens racontent toute leur vie en détail. Et le plus fou: les informations sont exactes, la plupart ne mentent même pas.»

Mais, par «professionnalisme», il assure aller toujours vérifier sur le terrain les informations trouvées sur le Net. Question de principe et d’habitude. «Je préfère le contact humain. On en apprend beaucoup en allant chez les gens. Le classique “Bonjour, je viens pour le recensement” est une valeur sûre».

«Il n’empêche, Facebook est très efficace, bien plus utile que les fichiers policiers comme Edvige. La Cnil ne nous met pas des bâtons dans les roues», s’enflamme Alain Juillet, soulevant des rires (un peu pincés) parmi la grosse centaine d’agents de recherche présents vendredi sur les 1.500 qui exercent sur le territoire.

Facile de créer une adresse mail…
Ils ont beau dire, on peine à comprendre comment ces détectives trouvent tant d’informations privées, en toute légalité, sur le Web. Comment, par exemple, forcer le passage sur Facebook, alors que les utilisateurs peuvent limiter l’accès à une communauté d’amis.

Première réponse, officielle, du directeur de l’école de détectives privés: «Toutes les techniques apprises aux élèves sont parfaitement légales.» Deuxième réponse, plus énigmatique (sourire en coin, certainement un héritage des vieilles séries américaines), du genre «un bon agent, c’est comme un magicien. Il a plein de tours dans son sac. Si on dévoile les ficelles, il n’y a plus de magie…»

Après plusieurs tentatives, on en apprend un peu plus : «N‘importe qui peut créer de faux comptes Facebook… Il suffit de se faire passer pour une vieille connaissance, et les portes s’ouvrent. On peut aussi se créer autant d’adresses mail que nécessaire», en utilisant le nom des amis repérés sur un réseau. Ou alors en utilisant des noms passe-partout qui rassurent : «On a tous des adresses, type M. Dupont ou Mme Durand, hyper efficaces: les gens tombent dans le panneau à chaque fois. Ils nous disent tout ce que l’on veut savoir.»

http://www.liberation.fr/societe/0101553055-les-detectives-prives-a-l-heure-de-facebook

 

LA NSA A ACCÈS À TOUTES LES COMMUNICATIONS DES AMÉRICAINS (ET SURTOUT CELLES DES JOURNALISTES)

C’est l’inverse qui serait surprenant…

Par contre il est significatif que le seul média francophone qui se soit donné la peine de traduire et publier l’interview de Russell Tice soit le site REOPEN 911. A force de se balader sur le Net, nous – les veilleurs d’IES – constatons de plus en plus que les sites méprisés par la grande presse, traités de “blog-pops” ou de “conspirationistes”, hébergent souvent des pépites (bon, pas mal de fumier aussi, il faut fouiller) que la presse “mainstream”, toute imbue de sa “respectabilité” (lire, déférence vis à vis du pouvoir) et obnubilée par la pensée unique n’a pas vues, ou a délibérément écarté, parce que n’entrant pas dans le moule de leur vision du monde…

La presse, quand elle veut ridiculiser ces sites, ne cite que les plus loufoques ou les plus délirants… mais même chez RENSE ou chez PRISON PLANET on trouve des infos intéressantes, si on sait les analyser à la lumière d’autres infos.

Au contraire, il y a fort longtemps que je n’ai pas trouvé une info originale ou intéressante dans “Le Point”, “L’Express” ou “Libération”..

[Bug Brother 23 février 2009]
La “gorge profonde” qui avait révélé que l’administration Bush avait espionné les télécommunications de citoyens américains vient de révéler que si tous les Américains étaient potentiellement écoutés, les journalistes l’étaient tout particulièrement. Russel Tice a passé 20 ans à la NSA, avant d’en être chassé lorsqu’il commença à enquêter, de l’intérieur, sur cette gigantesque opération d’espionnage.

Fin 2005, quand le New York Times avait révélé cette histoire, Bush avait rétorqué que seuls quelques centaines d’Américains avaient été espionnés.  Il a fallu attendre le lendemain meme du départ de Bush de la Maison Blanche pour que Russell Tice se décide à en dire plus sur ce qu’il savait, sur MSNBC : officiellement, il était chargé de surveiller les télécommunications des journalistes, afin… qu’elles ne soient pas écoutées.

Dans les faits, elles l’étaient bien évidemment, et même, selon Tice, un peu plus particulièrement que ne l’étaient celles des autres Américains.  Etonnament, alors que le “scoop” du New York Times avait fait grand bruit (les services US n’ont pas le droit d’espionner les Américains, et encore moins sans mandat), les révélations de Tice sur MSNBC ne semblent guère mobiliser les médias.  Peut-être parce qu’à l’époque, il s’agissait de décrédibiliser George Bush. Peut-être aussi parce que les gens, ou les journalistes, se sont habitués à la possibilité des écoutes massives et généralisées. Ce qui serait bien triste.

Ainsi, le seul site en français à s’être intéressé à l’interview de Russel Tice, au point de la traduire, est ReOpen911 qui, comme son nom l’indique, émet des doutes quant à la version officielle des attentats du 11 septembre 2001. Sa traduction n’est pas des plus brillantes, et je n’ai nullement envie que l’on glose, ici, sur ce qui s’est passé ce jour-là. Je me contente de le citer parce qu’il a traduit l’interview que Russell Tice a accordé à MSNBC.

Il faudra attendre des années encore pour avoir d’autres témoignages, d’autres sources, viennent confirmer, relativiser ou infirmer ce qu’il explique du mode de fonctionnement de la NSA, le plus puissant des services de renseignement, accusé, depuis des années, d’espionner les télécommunications dans le monde entier.

Mais ce qu’il explique recoupe ce que Duncan Campbell, le journaliste anglais à l’origine de la révélation de l’existence du programme anglo-saxon Echelon d’écoutes des télécommunications, avait d’ores et déjà expliqué il y a quelques années, et qui avait entraîné l’Europe à critiquer cette façon toute particulière qu’ont les anglo-saxons d’espionner leurs alliés… et leurs concitoyens.

Extraits :
RUSSEL TICE : La NSA a accès à toutes les communications des Américains, aux fax, aux appels téléphoniques et aux communications passées via leur ordinateur. Et que vous soyez au Kansas, au centre du pays, et que vous n’ayez jamais passé de communication, aucune communication vers l’étranger, cela n’avait pas la moindre importance. Ils surveillaient toutes les communications.

OLBERMANN : Jusqu’à quel point est-il plausible de vouloir de véritables écoutes et une vraie surveillance ? Autrement dit, si tout n’a pas été vraiment lu ou surveillé par la NSA, tout a été collecté, enregistré, archivé par la NSA, non ? Jusqu’à quel point l’information en elle-même a-t-elle été examinée ? Avez-vous une idée ?

TICE : Eh bien, en réalité, même pour la NSA, c’est impossible de collecter réellement toutes les communications. Les Américains ont tendance à être une collectivité bavarde. Nous avons les meilleurs ordinateurs à l’agence, mais ils ne sont certainement pas bons à ce point.

Mais ce qui est fait, c’est en quelque sorte une capacité de regarder les méta-données, l’information sémantique des communications, et de fouiller cette information afin de déterminer quelles communications seraient collectées au final. C’est fondamentalement du filtrage, une sorte de balayage total avec ces méta-données pour sélectionner au final ce que vous allez regarder et ce qui va être collecté, et ce que par la suite un analyste étudiera. Et ce qui peut être intéressant, vous savez, se résume à quelques aiguilles dans une botte de foin.

OLBERMANN : Est-ce qu’il y a quelque part un fichier avec tous les courriels envoyés par tous les reporters du « New York Times » ? Y a-t-il quelque part un enregistrement de toutes les conversations que j’ai eues avec mon petit neveu au nord de New York ? C’est comme ça ?

TICE : Si c’était inclus dans cette branche particulière de la collecte, ce serait la totalité. Oui. Ce serait la totalité.

http://bugbrother.blog.lemonde.fr/2009/02/23/la-nsa-a-acces-a-toutes-les-communications-des-americains-et-surtout-celles-des-journalistes/