FBI



[Jacques Cheminat – Silicon.fr – 13/05/2014]

La source ne semble pas se tarir. Si Edward Snowden est un homme très demandé, les documents qu’il a révélés continuent de fournir des renseignements sur les méthodes d’espionnage de la NSA. Les dernières révélations en date ont été faites par The Guardian et plus exactement Glenn Greenwald, un des journalistes disposant des documents confiés par « le lanceur d’alertes » et qui vient de publier un livre « No Place, to Hide ». Dans cet ouvrage, on y apprend que la NSA injecte des backdoors dans du matériel IT américain destiné à l’export. Parmi ces équipements, on retrouve des routeurs, mais aussi des serveurs. Le journaliste cite un rapport du département « Access and Target Development » de l’agence américaine de renseignement qui montre qu’il « reçoit et intercepte régulièrement des routeurs, des serveurs et d’autres équipements réseaux destinés à l’exportation pour des clients internationaux ».

A l’occasion de cette interception, « la NSA implante des backdoors dans les appareils, les reconditionne et les renvoie avec le cachet d’usine ». L’agence peut ainsi écouter et surveiller n’importe quel réseau. Selon le document, il ne semble pas que les constructeurs soient au courant de cette pratique. Au mois de décembre dernier, Der Spiegel avait publié un article sur les documents d’Edward Snowden montrant que la NSA disposait d’un catalogue de méthodes de hacking pour les équipements réseaux de Juniper, Cisco et Huawei. (suite…)

Publicités

[Jacques Cheminat – Silicon.fr – 4 juillet 2014]

Un média allemand a découvert que la NSA surveillait les utilisateurs du réseau d’anonymisation Tor et Tails en s’appuyant sur Xkeyscore. L’analyse du code source de l’outil d’espionnage amène à penser qu’il existe un autre Edward Snowden.

La NSA a, comme toute agence de renseignements, horreur d’avoir des services qui lui résistent. Et c’est bien le cas de Tor et de l’OS Tails. Le premier, « The Onion Router », est un réseau informatique distribué mondial et décentralisé avec des milliers de serveurs à travers le monde. Il a été promu par le Département d’Etat pour aider les dissidents politiques à éviter la censure dans leurs pays. Il sert également de repères pour les cybercriminels. Tails de son côté est une distribution Linux qui a pour but de préserver l’anonymat.

A la fin de l’année dernière, The Guardian évoquait déjà, d’après les documents d’Edward Snowden, une tentative d’espionnage du réseau d’anonymisation en passant non par le réseau lui-même, mais par des failles des navigateurs. L’objectif ne semble pas avoir été complétement couronné de succès, puisqu’une enquête des médias allemands ARD et WRD montre quel’agence américaine continue sa surveillance active du réseau Tor, mais également de l’OS Tails. (suite…)


five_stages_NSA

NSA_Scandal(adaptation française – Gregor Seither – IES News Service)


[Le Monde 07/06/2013]

Vous utilisez Gmail, Facebook, Yahoo!, Hotmail, Skype, Youtube, ou des services Apple en ligne ? Les informations du Washington Post et The Guardian devraient vous intéresser. Elles révèlent qu’un programme secret, au nom de code « Prism », est en place depuis 2007 : il permet aux services de renseignement américains (le FBI et à la NSA) de se connecter aux serveurs de ses services, via un portail direct, pour consulter librement toutes les informations contenues sur les utilisateurs qui sont en dehors des Etats-Unis. Le tout sans avoir besoin d’une ordonnance de justice. La plupart des compagnies concernées ont démenti, mais l’affaire fait scandale aux Etats-Unis >> http://lemde.fr/15Gf6w1

Plus de détails en anglais sur le Washington Post : http://lemde.fr/15Gf7jM ; le Guardian : http://lemde.fr/15Gfdba ; et le New York Times : http://lemde.fr/15Gfcnq


[Le Monde Informatique – 04/09/2012]

12 millions d’identifiants iOS auraient été dérobés sur l’ordinateur d’un agent du FBI. C’est le groupe de hackers AntiSec qui déclare être parvenu à s’emparer de la banque de données grâce à une faille Java exploitée en mars dernier.

Le groupe de hackers, formé d’Anonymous et d’anciens membres de LulzSec, assure avoir dérobé près de 12 millions d’identifiants iOS au FBI. Opérant sous le nom AntiSec, le collectif a déjà fait parler de lui à de nombreuses reprises. Aujourd’hui, il assure être en possession de plus de 12 millions d’identifiants UDID (Unique Device Identifier) propres à chaque appareil iOS d’Apple. Les hackers reprochent ainsi au FBI d’être en possession d’une base de données enrichie d’informations personnelles très précises.  (suite…)


La majorité des photos grand public prises avec un appareil numérique et que l’on trouve aujourd’hui sur Internet contiennent des données de géolocalisation…. trop pratique pour les services de renseignement ! Et avec EXIF Viewer, c’est aussi simple qu’un clic-droit !

[Read-Write-Web – 27 juillet 2010 par Fabrice Epelboin et Sarah Perez]

L’International Computer Science Institute (ICSI), une orga­ni­sa­tion sans but lucra­tif rat­ta­chée à l’université de Berkeley en Californie, devrait publier sous peu ses der­niers tra­vaux concer­nant le «cyber­ca­sing», un terme uti­lisé par les cher­cheurs pour dési­gner la façon dont les textes, pho­tos et vidéos conte­nant des don­nées de géo­lo­ca­li­sa­tion peuvent être uti­li­sées à des fins criminelles.

En uti­li­sant des sites tes que Craigslist, Twitter et Youtube, les cher­cheurs ont été en mesure de croi­ser des infor­ma­tions conte­nus dans des conte­nus acces­sibles à tous en ligne pour déter­mi­ner avec pré­ci­sion l’adresse pos­tale de vic­times poten­tielles, dont celles d’individus ayant publié leurs conte­nus de façon ano­nyme. L’expérience n’a pas duré des semaines, ni même quelques jours ou quelques heures, les adresses ont toutes été obte­nues avec une pré­ci­sion redou­table en quelques minutes.

Les consom­ma­teurs ne réa­lisent pas à quel point il est facile de les localiser

La pre­mière étude de l’ISCU, «Cybercasing the Joint: On the Privacy Implications of Geotagging», écrite par Gerald Friedland et Robin Sommer, a été publiée en mai der­nier et sera pré­sen­tée en aout au work­shop de l’USNIX dans le cadre d’une thé­ma­tique dédiée aux sujets bru­lants concer­nant la sécu­rité.

L’étude passe en revue la rapide popu­la­ri­sa­tion des ser­vices en ligne uti­li­sant la géo­lo­ca­li­sa­tion, liée à l’explosion du mar­ché des smart­phones. Les objets numé­riques nomades d’aujourd’hui font un usage inten­sif des sys­tèmes GPS embarqués ou de la tri­an­gu­la­tion par WiFi pour ajou­ter des don­nées de géo­lo­ca­li­sa­tion aux conte­nus qu’ils aident à pro­duire et à dif­fu­ser, que ce soit un sta­tut sur Twitter, une photo pla­cée sur Flickr ou une vidéo envoyée sur YouTube.

Le pro­blème cen­tral avec ce type d’application, selon les cher­cheurs, repose sur le fait que la plu­part des uti­li­sa­teurs ne sont pas conscients que de telles infor­ma­tions sont par­ta­gées, en par­ti­cu­lier auprès d’un public aussi large, voir du monde entier. L’iPhone, par exemple, inclue une geo­lo­ca­li­sa­tion par­fois supé­rieure en pré­ci­sion à ce qu’un GPS ordi­naire est en mesure de faire, à toutes les pho­tos qu’il prend, pré­viennent les scien­ti­fiques, une pré­ci­sion qui peut même être de l’ordre du mètre quand les condi­tions sont favo­rables, révé­lant ainsi l’adresse pos­tale d’une pho­to­gra­phie prise en intérieure.

Mais le fait de publier sur le web des don­nées géo­lo­ca­li­sées aussi pré­cises dans des textes, des pho­tos et des vidéos par­ta­gées n’est qu’une par­tie du pro­blème. La dis­po­ni­bi­lité auprès du grand public d’outils de recherche dédiés à la géo­lo­ca­li­sa­tion est tout aussi trou­blant. Il est aisé pour qui­conque désor­mais de lan­cer des recherches de façon auto­ma­ti­sées pou­vant mener à une fuite de don­nées per­son­nelles, et fai­sant pla­ner un réel risque en matière de vie pri­vée. Qui plus est, des ser­vices comme Google Street View et d’autres «cartes anno­tées» aident à sim­pli­fier le tra­vail en per­met­tant de croi­ser les don­nées issues de dif­fé­rentes ressources.

A titre d’exemple, lors de l’enquête que nous avions effec­tué concer­nant les pseudo-islamistes sur Facebook, c’est à par­tir d’une vidéo publiée sur Youtube – et se vou­lant ano­nyme – du chef de l’un de ces groupes isla­mistes, que nous avions pu le loca­li­ser à Oakland, avec une pré­ci­sion telle que nous avions pu obte­nir son adresse pos­tale pré­cise en uti­li­sant Google Street View, et du coup, son iden­tité à l’aide d’un simple annuaire, puis à tra­vers d’autres outils, celle de son asso­ciée, de ses entre­prises, ainsi qu’une mul­ti­tude de détails sur sa vie pri­vée nous per­met­tant d’affirmer que son mode de vie était en telle contra­dic­tion avec l’islam radi­cal qu’il prê­chait qu’il ne pou­vait s’agir que d’une opé­ra­tion d’intox, ce qui fut confirmé par la suite.

En d’autres termes, le fait que des don­nées géo­lo­ca­li­sées soient dis­po­nibles en ligne n’est que la par­tie émer­gée de l’iceberg, sous la sur­face, il existe une mul­ti­tude d’outils qui per­mettent de les ana­ly­ser avec une pré­ci­sion redoutable.

Des exemples de Cybercasing via Craiglist, Twitter et Youtube

Pour démon­trer à quel point il est facile de déter­mi­ner l’adresse pos­tale d’un inconnu, Friedland et Sommer ont com­mencé par une visite sur Craigslist, un site de petites annonces très popu­laire aux Etats-Unis. Ils y ont trouvé des pho­tos geo­tag­gées qu’ils ont com­paré à l’aide de Google Street View, ce qui leur a per­mit de déter­mi­ner l’adresse pos­tale de celui qui avait publié l’annonce. Plus utile encore, dans le cas d’une uti­li­sa­tion cri­mi­nelle de tels outils, la men­tion au sein de l’annonce d’horaires durant lesquels le ven­deur pré­fé­rait qu’on l’appelle, révé­lant les heures auxquelles sont domi­cile avait toutes les chances d’être inoccupé.

Dans d’autres démons­tra­tions, les cher­cheurs sont par­tis de Twitter, qui per­met à ceux qui l’utilisent depuis un mobile de geo­tag­ger leurs tweets. Des appli­ca­tions tierces uti­li­sées cou­ram­ment en conjonc­tion avec Twitter, comme Twitpic, qui per­met d’y publier des pho­tos, publient égale­ment des don­nées de géo­lo­ca­li­sa­tion. Un simple plu­gin Firefox appelé Exif Viewer per­met en un clic droit sur l’image de révé­ler la loca­li­sa­tion pré­cise de l’endroit d’où a été emis le tweet, placé sur une carte (au cas où vous sou­hai­te­riez vous y rendre).

Une troi­sième expé­rience, pro­ba­ble­ment la plus per­tur­bante, a mon­tré com­bien il était facile d’automatiser ce type d’atteinte à la vie pri­vée. Alors que les expé­ri­men­ta­tions pré­cé­dentes révèlent l’emplacement des uti­li­sa­teurs en quelques minutes, la tâche reste manuelle. Pour Youtube, cepen­dant, les cher­cheurs ont écrit un script très simple qui recon­nait auto­ma­tique­ment les vidéos tour­nées à une cer­taine dis­tance d’un empla­ce­ment ini­tial, en l’occurrence, celle du domi­cile d’une vic­time poten­tielle. Une dis­tance «de vacances», selon leur ter­mi­no­lo­gie, a été fixée à 100km (pour la dis­tin­guer d’une dis­tance de trajet domicile-lieu de tra­vail). Le script a ainsi trouvé 106 cor­res­pon­dances révé­lant qui était en vacances dans une zone de test à Berkeley. En regar­dant de près les résul­tats affi­chés par le script, les cher­cheurs ont trouvé, entre autre, la vidéo d’une per­sonne qui était clai­re­ment dans les Caraïbes avec sa famille, poin­tant ainsi un domi­cile inoc­cupé, cible idéale pour un cambriolage.

Un pro­blème qui va bien au delà des usages criminels

Pour aller au delà du « cyber­ca­sing », qui se foca­lise exclu­si­ve­ment sur les usages à des fins cri­mi­nelles de la géo­lo­ca­li­sa­tion, il convient de poin­ter de poten­tiels usages qu’il serait bon d’appréhender au plus vite si l’on veut pou­voir les abor­der avec un mini­mum de sérénité.

Dans un cadre fami­lial, le télé­phone mobile est déjà lar­ge­ment uti­lisé pour géo­lo­ca­li­ser les enfants, et là encore, il s’agit pour l’instant (sauf dans le cas de cer­taines tech­no­lo­gies dédiées et encore peu répan­dues), d’une pro­cé­dure manuelle, repo­sant la plu­part du temps sur l’appel d’un parent inquiet et le fait que l’adolescent, à l’autre bout du fil, ne men­tira pas quant à son empla­ce­ment. Cela pour­rait chan­ger rapi­de­ment. Des logi­ciels espions per­mettent dès à pré­sent de pla­cer sur une télé­phone mobile un pis­teur, qui peut poten­tiel­le­ment rap­por­ter en temps réel l’emplacement du télé­phone (et par exten­sion de son usa­ger), ainsi que d’en sto­ker un his­to­rique à des fins de consul­ta­tions ulté­rieures par des parents deve­nus surveillants.

Une atteinte à la vie pri­vée des ado­les­cents qui pour­rait avoir des impacts non négli­geables, la mai­trise du men­songe étant – si l’on s’en réfère à Piaget -, une phase cri­tique dans le déve­lop­pe­ment de la per­son­na­lité. La pan­op­tique vir­tuelle pour­rait avoir des conséquences qu’il serait bon d’étudier avec sérieux auprès de spé­cia­listes de la psy­cho­lo­gie de l’enfant avant de se retrou­ver devant le fait accomplit.

Dans le monde du tra­vail, où il est cou­rant de voir les employeurs four­nir à leurs sala­riés un équi­pe­ment mobile de type smart­phone, on pour­rait égale­ment assis­ter à de grave dérives, d’autant que la géo­lo­ca­li­sa­tion n’est pas ici une nou­veauté, elle est uti­lisé dans les trans­ports rou­tiers, par exemple, depuis très long­temps, pour pis­ter et sur­veiller, et opti­mi­ser le tra­vail des employés. Mais la géné­ra­li­sa­tion du géo-monitoring à une large part du sala­riat pour­rait, là aussi, poser des pro­blèmes qu’il serait bon de trai­ter de façon pré­ven­tive, le cor­pus légis­la­tif n’étant pas for­cé­ment adapté a cette nou­velle donne technologique.

Quelles solu­tions peut-on imaginer ?

Le but de l’étude n’est pas de pro­po­ser des solu­tions à ce nou­veau pro­blème apporté par l’ère du numé­rique, mais de per­mettre au plus grand nombre de sai­sir l’ampleur du pro­blème. A l’heure où le légis­la­teur se foca­lise sur Google Street View, il est bon d’apporter des éléments de réflexion qui pour­raient per­mettre au moins obtus d’entre eux de réa­li­ser que le pro­blème va bien au delà de Google et que la mise au pilori sys­té­ma­tique d’un bouc émis­saire du numé­rique n’aura comme effet que de lais­ser le pro­blème pros­pé­rer. Street View n’est que l’arbre qui cache la forêt, c’est un écosys­tème tout entier qui est en train de prendre place autour de la géo­lo­ca­li­sa­tion, un écosys­tème qui pour­rait par ailleurs par­fai­te­ment se pas­ser de Google si celui-ci était poussé à s’en retirer.

La régu­la­tion d’un écosys­tème aussi com­plexe ne sera pas chose aisée, mais elle s’avère indis­pen­sable, et deman­dera une étroite col­la­bo­ra­tion entre cher­cheurs, experts, et légis­la­teurs, faute de quoi elle sera inef­fi­cace, au mieux, et atten­ta­toire aux liber­tés numé­riques, au pire.

L’obligation de faire men­tion et de per­mettre un opt-out lors de la trans­mis­sion de don­nées geo­lo­ca­li­sées est une piste à étudier, ainsi que celle d’une pos­si­bi­lité lais­sée à l’utilisateur de mai­tri­ser la pré­ci­sion de la geo­lo­ca­li­sa­tion qu’il publie. Il y a, d’un point de vue tech­nique, pro­ba­ble­ment beau­coup de choses à implé­men­ter au niveau même des APIs, mais dans l’immédiat, la seule chose qu’il soit pos­sible de faire est de sen­si­bi­li­ser le plus grand nombre  à ces enjeux, en pre­nant soin de pré­ci­ser qu’un mou­ve­ment conser­va­teur consis­tant à inter­dire tout sim­ple­ment la géo­lo­ca­li­sa­tion serait un frein consi­dé­rable à l’économie numé­rique liée à l’internet mobile, dont la plu­part des experts s’accordent à dire que son poten­tiel est plus grand encore que celui apporté par le web depuis une quin­zaine d’années.

Dans l’immédiat, et à moins de mai­tri­ser l’outil tech­no­lo­gique que vous avez dans les mains (ce que très peu de gens sont en mesure de faire et que beau­coup s’imaginent être en mesure d’effectuer), il est pru­dent de ne pas publier ses pho­tos de vacances à par­tir de votre lieu de vil­lé­gia­ture, et d’attendre patiem­ment votre retour pour les par­ta­ger avec vos amis. L’alternative consiste à mai­tri­ser l’outil, mais si ce billet vous a appris quoi que ce soit que vous igno­riez jusqu’ici, c’est que vous en êtes loin.

http://fr.readwriteweb.com/2010/07/27/a-la-une/des-chercheurs-mettent-en-garde-sur-les-dangers-du-gotagging/


Génial… vu la sécurité totalement foireuse de ces box, vu la tendance des utilisateurs à choisir des mots de passe (quand ils en choisissent) totalement bidons… on va avoir droit à des séquences de « caméra cachée » involontaires sur Youtube. Et les flics se frottent les mains… un coup de hack et hop, surveillance sans mandat juridique !

[PCInpact – 26/04/2010]

Darty propose gratuitement la vidéo surveillance à ses clients. Et l’accès à distance en plus…

DartyBox, malgré un niveau de recrutement de nouveaux abonnés très faible comparé à ses concurrents, n’abandonne pas pour autant. De nouveaux services gratuits sont ainsi désormais proposés à ses clients, pour certains depuis quelques semaines :

Par exemple :

* Un service de vidéo-surveillance grâce à une caméra IP Wi-Fi branchée chez-vous. Il sera alors possible de visualiser ce que verra cette caméra que ce soit via un autre ordinateur ou votre smartphone, puisque Darty annonce qu’une application iPhone et iPod Touch sera mise à disposition (gratuitement) dans les prochaines semaines.

« La caméra possède une fonction de détection de mouvements couplée à un service gratuit et illimité d’alertes emails comprenant une capture photo de l’évènement ayant déclenché cette alerte » explique le FAI.

« Une fonction de sauvegarde de la séquence vidéo est également proposée. L’installation a été simplifiée grâce à l’utilisation du WiFi WPS permettant une connexion en WiFi en quelques minutes. »

http://www.pcinpact.com/actu/news/56450-dartybox-video-surveillance-acces-distance.htm

Page suivante »