FBI



[Jacques Cheminat – Silicon.fr – 13/05/2014]

La source ne semble pas se tarir. Si Edward Snowden est un homme très demandé, les documents qu’il a révélés continuent de fournir des renseignements sur les méthodes d’espionnage de la NSA. Les dernières révélations en date ont été faites par The Guardian et plus exactement Glenn Greenwald, un des journalistes disposant des documents confiés par « le lanceur d’alertes » et qui vient de publier un livre « No Place, to Hide ». Dans cet ouvrage, on y apprend que la NSA injecte des backdoors dans du matériel IT américain destiné à l’export. Parmi ces équipements, on retrouve des routeurs, mais aussi des serveurs. Le journaliste cite un rapport du département « Access and Target Development » de l’agence américaine de renseignement qui montre qu’il « reçoit et intercepte régulièrement des routeurs, des serveurs et d’autres équipements réseaux destinés à l’exportation pour des clients internationaux ».

A l’occasion de cette interception, « la NSA implante des backdoors dans les appareils, les reconditionne et les renvoie avec le cachet d’usine ». L’agence peut ainsi écouter et surveiller n’importe quel réseau. Selon le document, il ne semble pas que les constructeurs soient au courant de cette pratique. Au mois de décembre dernier, Der Spiegel avait publié un article sur les documents d’Edward Snowden montrant que la NSA disposait d’un catalogue de méthodes de hacking pour les équipements réseaux de Juniper, Cisco et Huawei. (suite…)


[Jacques Cheminat – Silicon.fr – 4 juillet 2014]

Un média allemand a découvert que la NSA surveillait les utilisateurs du réseau d’anonymisation Tor et Tails en s’appuyant sur Xkeyscore. L’analyse du code source de l’outil d’espionnage amène à penser qu’il existe un autre Edward Snowden.

La NSA a, comme toute agence de renseignements, horreur d’avoir des services qui lui résistent. Et c’est bien le cas de Tor et de l’OS Tails. Le premier, « The Onion Router », est un réseau informatique distribué mondial et décentralisé avec des milliers de serveurs à travers le monde. Il a été promu par le Département d’Etat pour aider les dissidents politiques à éviter la censure dans leurs pays. Il sert également de repères pour les cybercriminels. Tails de son côté est une distribution Linux qui a pour but de préserver l’anonymat.

A la fin de l’année dernière, The Guardian évoquait déjà, d’après les documents d’Edward Snowden, une tentative d’espionnage du réseau d’anonymisation en passant non par le réseau lui-même, mais par des failles des navigateurs. L’objectif ne semble pas avoir été complétement couronné de succès, puisqu’une enquête des médias allemands ARD et WRD montre quel’agence américaine continue sa surveillance active du réseau Tor, mais également de l’OS Tails. (suite…)


five_stages_NSA

NSA_Scandal(adaptation française – Gregor Seither – IES News Service)


[Le Monde 07/06/2013]

Vous utilisez Gmail, Facebook, Yahoo!, Hotmail, Skype, Youtube, ou des services Apple en ligne ? Les informations du Washington Post et The Guardian devraient vous intéresser. Elles révèlent qu’un programme secret, au nom de code « Prism », est en place depuis 2007 : il permet aux services de renseignement américains (le FBI et à la NSA) de se connecter aux serveurs de ses services, via un portail direct, pour consulter librement toutes les informations contenues sur les utilisateurs qui sont en dehors des Etats-Unis. Le tout sans avoir besoin d’une ordonnance de justice. La plupart des compagnies concernées ont démenti, mais l’affaire fait scandale aux Etats-Unis >> http://lemde.fr/15Gf6w1

Plus de détails en anglais sur le Washington Post : http://lemde.fr/15Gf7jM ; le Guardian : http://lemde.fr/15Gfdba ; et le New York Times : http://lemde.fr/15Gfcnq


[Le Monde Informatique – 04/09/2012]

12 millions d’identifiants iOS auraient été dérobés sur l’ordinateur d’un agent du FBI. C’est le groupe de hackers AntiSec qui déclare être parvenu à s’emparer de la banque de données grâce à une faille Java exploitée en mars dernier.

Le groupe de hackers, formé d’Anonymous et d’anciens membres de LulzSec, assure avoir dérobé près de 12 millions d’identifiants iOS au FBI. Opérant sous le nom AntiSec, le collectif a déjà fait parler de lui à de nombreuses reprises. Aujourd’hui, il assure être en possession de plus de 12 millions d’identifiants UDID (Unique Device Identifier) propres à chaque appareil iOS d’Apple. Les hackers reprochent ainsi au FBI d’être en possession d’une base de données enrichie d’informations personnelles très précises.  (suite…)


La majorité des photos grand public prises avec un appareil numérique et que l’on trouve aujourd’hui sur Internet contiennent des données de géolocalisation…. trop pratique pour les services de renseignement ! Et avec EXIF Viewer, c’est aussi simple qu’un clic-droit !

[Read-Write-Web – 27 juillet 2010 par Fabrice Epelboin et Sarah Perez]

L’International Computer Science Institute (ICSI), une orga­ni­sa­tion sans but lucra­tif rat­ta­chée à l’université de Berkeley en Californie, devrait publier sous peu ses der­niers tra­vaux concer­nant le «cyber­ca­sing», un terme uti­lisé par les cher­cheurs pour dési­gner la façon dont les textes, pho­tos et vidéos conte­nant des don­nées de géo­lo­ca­li­sa­tion peuvent être uti­li­sées à des fins criminelles.

En uti­li­sant des sites tes que Craigslist, Twitter et Youtube, les cher­cheurs ont été en mesure de croi­ser des infor­ma­tions conte­nus dans des conte­nus acces­sibles à tous en ligne pour déter­mi­ner avec pré­ci­sion l’adresse pos­tale de vic­times poten­tielles, dont celles d’individus ayant publié leurs conte­nus de façon ano­nyme. L’expérience n’a pas duré des semaines, ni même quelques jours ou quelques heures, les adresses ont toutes été obte­nues avec une pré­ci­sion redou­table en quelques minutes.

Les consom­ma­teurs ne réa­lisent pas à quel point il est facile de les localiser

La pre­mière étude de l’ISCU, «Cybercasing the Joint: On the Privacy Implications of Geotagging», écrite par Gerald Friedland et Robin Sommer, a été publiée en mai der­nier et sera pré­sen­tée en aout au work­shop de l’USNIX dans le cadre d’une thé­ma­tique dédiée aux sujets bru­lants concer­nant la sécu­rité.

L’étude passe en revue la rapide popu­la­ri­sa­tion des ser­vices en ligne uti­li­sant la géo­lo­ca­li­sa­tion, liée à l’explosion du mar­ché des smart­phones. Les objets numé­riques nomades d’aujourd’hui font un usage inten­sif des sys­tèmes GPS embarqués ou de la tri­an­gu­la­tion par WiFi pour ajou­ter des don­nées de géo­lo­ca­li­sa­tion aux conte­nus qu’ils aident à pro­duire et à dif­fu­ser, que ce soit un sta­tut sur Twitter, une photo pla­cée sur Flickr ou une vidéo envoyée sur YouTube.

Le pro­blème cen­tral avec ce type d’application, selon les cher­cheurs, repose sur le fait que la plu­part des uti­li­sa­teurs ne sont pas conscients que de telles infor­ma­tions sont par­ta­gées, en par­ti­cu­lier auprès d’un public aussi large, voir du monde entier. L’iPhone, par exemple, inclue une geo­lo­ca­li­sa­tion par­fois supé­rieure en pré­ci­sion à ce qu’un GPS ordi­naire est en mesure de faire, à toutes les pho­tos qu’il prend, pré­viennent les scien­ti­fiques, une pré­ci­sion qui peut même être de l’ordre du mètre quand les condi­tions sont favo­rables, révé­lant ainsi l’adresse pos­tale d’une pho­to­gra­phie prise en intérieure.

Mais le fait de publier sur le web des don­nées géo­lo­ca­li­sées aussi pré­cises dans des textes, des pho­tos et des vidéos par­ta­gées n’est qu’une par­tie du pro­blème. La dis­po­ni­bi­lité auprès du grand public d’outils de recherche dédiés à la géo­lo­ca­li­sa­tion est tout aussi trou­blant. Il est aisé pour qui­conque désor­mais de lan­cer des recherches de façon auto­ma­ti­sées pou­vant mener à une fuite de don­nées per­son­nelles, et fai­sant pla­ner un réel risque en matière de vie pri­vée. Qui plus est, des ser­vices comme Google Street View et d’autres «cartes anno­tées» aident à sim­pli­fier le tra­vail en per­met­tant de croi­ser les don­nées issues de dif­fé­rentes ressources.

A titre d’exemple, lors de l’enquête que nous avions effec­tué concer­nant les pseudo-islamistes sur Facebook, c’est à par­tir d’une vidéo publiée sur Youtube – et se vou­lant ano­nyme – du chef de l’un de ces groupes isla­mistes, que nous avions pu le loca­li­ser à Oakland, avec une pré­ci­sion telle que nous avions pu obte­nir son adresse pos­tale pré­cise en uti­li­sant Google Street View, et du coup, son iden­tité à l’aide d’un simple annuaire, puis à tra­vers d’autres outils, celle de son asso­ciée, de ses entre­prises, ainsi qu’une mul­ti­tude de détails sur sa vie pri­vée nous per­met­tant d’affirmer que son mode de vie était en telle contra­dic­tion avec l’islam radi­cal qu’il prê­chait qu’il ne pou­vait s’agir que d’une opé­ra­tion d’intox, ce qui fut confirmé par la suite.

En d’autres termes, le fait que des don­nées géo­lo­ca­li­sées soient dis­po­nibles en ligne n’est que la par­tie émer­gée de l’iceberg, sous la sur­face, il existe une mul­ti­tude d’outils qui per­mettent de les ana­ly­ser avec une pré­ci­sion redoutable.

Des exemples de Cybercasing via Craiglist, Twitter et Youtube

Pour démon­trer à quel point il est facile de déter­mi­ner l’adresse pos­tale d’un inconnu, Friedland et Sommer ont com­mencé par une visite sur Craigslist, un site de petites annonces très popu­laire aux Etats-Unis. Ils y ont trouvé des pho­tos geo­tag­gées qu’ils ont com­paré à l’aide de Google Street View, ce qui leur a per­mit de déter­mi­ner l’adresse pos­tale de celui qui avait publié l’annonce. Plus utile encore, dans le cas d’une uti­li­sa­tion cri­mi­nelle de tels outils, la men­tion au sein de l’annonce d’horaires durant lesquels le ven­deur pré­fé­rait qu’on l’appelle, révé­lant les heures auxquelles sont domi­cile avait toutes les chances d’être inoccupé.

Dans d’autres démons­tra­tions, les cher­cheurs sont par­tis de Twitter, qui per­met à ceux qui l’utilisent depuis un mobile de geo­tag­ger leurs tweets. Des appli­ca­tions tierces uti­li­sées cou­ram­ment en conjonc­tion avec Twitter, comme Twitpic, qui per­met d’y publier des pho­tos, publient égale­ment des don­nées de géo­lo­ca­li­sa­tion. Un simple plu­gin Firefox appelé Exif Viewer per­met en un clic droit sur l’image de révé­ler la loca­li­sa­tion pré­cise de l’endroit d’où a été emis le tweet, placé sur une carte (au cas où vous sou­hai­te­riez vous y rendre).

Une troi­sième expé­rience, pro­ba­ble­ment la plus per­tur­bante, a mon­tré com­bien il était facile d’automatiser ce type d’atteinte à la vie pri­vée. Alors que les expé­ri­men­ta­tions pré­cé­dentes révèlent l’emplacement des uti­li­sa­teurs en quelques minutes, la tâche reste manuelle. Pour Youtube, cepen­dant, les cher­cheurs ont écrit un script très simple qui recon­nait auto­ma­tique­ment les vidéos tour­nées à une cer­taine dis­tance d’un empla­ce­ment ini­tial, en l’occurrence, celle du domi­cile d’une vic­time poten­tielle. Une dis­tance «de vacances», selon leur ter­mi­no­lo­gie, a été fixée à 100km (pour la dis­tin­guer d’une dis­tance de trajet domicile-lieu de tra­vail). Le script a ainsi trouvé 106 cor­res­pon­dances révé­lant qui était en vacances dans une zone de test à Berkeley. En regar­dant de près les résul­tats affi­chés par le script, les cher­cheurs ont trouvé, entre autre, la vidéo d’une per­sonne qui était clai­re­ment dans les Caraïbes avec sa famille, poin­tant ainsi un domi­cile inoc­cupé, cible idéale pour un cambriolage.

Un pro­blème qui va bien au delà des usages criminels

Pour aller au delà du « cyber­ca­sing », qui se foca­lise exclu­si­ve­ment sur les usages à des fins cri­mi­nelles de la géo­lo­ca­li­sa­tion, il convient de poin­ter de poten­tiels usages qu’il serait bon d’appréhender au plus vite si l’on veut pou­voir les abor­der avec un mini­mum de sérénité.

Dans un cadre fami­lial, le télé­phone mobile est déjà lar­ge­ment uti­lisé pour géo­lo­ca­li­ser les enfants, et là encore, il s’agit pour l’instant (sauf dans le cas de cer­taines tech­no­lo­gies dédiées et encore peu répan­dues), d’une pro­cé­dure manuelle, repo­sant la plu­part du temps sur l’appel d’un parent inquiet et le fait que l’adolescent, à l’autre bout du fil, ne men­tira pas quant à son empla­ce­ment. Cela pour­rait chan­ger rapi­de­ment. Des logi­ciels espions per­mettent dès à pré­sent de pla­cer sur une télé­phone mobile un pis­teur, qui peut poten­tiel­le­ment rap­por­ter en temps réel l’emplacement du télé­phone (et par exten­sion de son usa­ger), ainsi que d’en sto­ker un his­to­rique à des fins de consul­ta­tions ulté­rieures par des parents deve­nus surveillants.

Une atteinte à la vie pri­vée des ado­les­cents qui pour­rait avoir des impacts non négli­geables, la mai­trise du men­songe étant – si l’on s’en réfère à Piaget -, une phase cri­tique dans le déve­lop­pe­ment de la per­son­na­lité. La pan­op­tique vir­tuelle pour­rait avoir des conséquences qu’il serait bon d’étudier avec sérieux auprès de spé­cia­listes de la psy­cho­lo­gie de l’enfant avant de se retrou­ver devant le fait accomplit.

Dans le monde du tra­vail, où il est cou­rant de voir les employeurs four­nir à leurs sala­riés un équi­pe­ment mobile de type smart­phone, on pour­rait égale­ment assis­ter à de grave dérives, d’autant que la géo­lo­ca­li­sa­tion n’est pas ici une nou­veauté, elle est uti­lisé dans les trans­ports rou­tiers, par exemple, depuis très long­temps, pour pis­ter et sur­veiller, et opti­mi­ser le tra­vail des employés. Mais la géné­ra­li­sa­tion du géo-monitoring à une large part du sala­riat pour­rait, là aussi, poser des pro­blèmes qu’il serait bon de trai­ter de façon pré­ven­tive, le cor­pus légis­la­tif n’étant pas for­cé­ment adapté a cette nou­velle donne technologique.

Quelles solu­tions peut-on imaginer ?

Le but de l’étude n’est pas de pro­po­ser des solu­tions à ce nou­veau pro­blème apporté par l’ère du numé­rique, mais de per­mettre au plus grand nombre de sai­sir l’ampleur du pro­blème. A l’heure où le légis­la­teur se foca­lise sur Google Street View, il est bon d’apporter des éléments de réflexion qui pour­raient per­mettre au moins obtus d’entre eux de réa­li­ser que le pro­blème va bien au delà de Google et que la mise au pilori sys­té­ma­tique d’un bouc émis­saire du numé­rique n’aura comme effet que de lais­ser le pro­blème pros­pé­rer. Street View n’est que l’arbre qui cache la forêt, c’est un écosys­tème tout entier qui est en train de prendre place autour de la géo­lo­ca­li­sa­tion, un écosys­tème qui pour­rait par ailleurs par­fai­te­ment se pas­ser de Google si celui-ci était poussé à s’en retirer.

La régu­la­tion d’un écosys­tème aussi com­plexe ne sera pas chose aisée, mais elle s’avère indis­pen­sable, et deman­dera une étroite col­la­bo­ra­tion entre cher­cheurs, experts, et légis­la­teurs, faute de quoi elle sera inef­fi­cace, au mieux, et atten­ta­toire aux liber­tés numé­riques, au pire.

L’obligation de faire men­tion et de per­mettre un opt-out lors de la trans­mis­sion de don­nées geo­lo­ca­li­sées est une piste à étudier, ainsi que celle d’une pos­si­bi­lité lais­sée à l’utilisateur de mai­tri­ser la pré­ci­sion de la geo­lo­ca­li­sa­tion qu’il publie. Il y a, d’un point de vue tech­nique, pro­ba­ble­ment beau­coup de choses à implé­men­ter au niveau même des APIs, mais dans l’immédiat, la seule chose qu’il soit pos­sible de faire est de sen­si­bi­li­ser le plus grand nombre  à ces enjeux, en pre­nant soin de pré­ci­ser qu’un mou­ve­ment conser­va­teur consis­tant à inter­dire tout sim­ple­ment la géo­lo­ca­li­sa­tion serait un frein consi­dé­rable à l’économie numé­rique liée à l’internet mobile, dont la plu­part des experts s’accordent à dire que son poten­tiel est plus grand encore que celui apporté par le web depuis une quin­zaine d’années.

Dans l’immédiat, et à moins de mai­tri­ser l’outil tech­no­lo­gique que vous avez dans les mains (ce que très peu de gens sont en mesure de faire et que beau­coup s’imaginent être en mesure d’effectuer), il est pru­dent de ne pas publier ses pho­tos de vacances à par­tir de votre lieu de vil­lé­gia­ture, et d’attendre patiem­ment votre retour pour les par­ta­ger avec vos amis. L’alternative consiste à mai­tri­ser l’outil, mais si ce billet vous a appris quoi que ce soit que vous igno­riez jusqu’ici, c’est que vous en êtes loin.

http://fr.readwriteweb.com/2010/07/27/a-la-une/des-chercheurs-mettent-en-garde-sur-les-dangers-du-gotagging/


Génial… vu la sécurité totalement foireuse de ces box, vu la tendance des utilisateurs à choisir des mots de passe (quand ils en choisissent) totalement bidons… on va avoir droit à des séquences de « caméra cachée » involontaires sur Youtube. Et les flics se frottent les mains… un coup de hack et hop, surveillance sans mandat juridique !

[PCInpact – 26/04/2010]

Darty propose gratuitement la vidéo surveillance à ses clients. Et l’accès à distance en plus…

DartyBox, malgré un niveau de recrutement de nouveaux abonnés très faible comparé à ses concurrents, n’abandonne pas pour autant. De nouveaux services gratuits sont ainsi désormais proposés à ses clients, pour certains depuis quelques semaines :

Par exemple :

* Un service de vidéo-surveillance grâce à une caméra IP Wi-Fi branchée chez-vous. Il sera alors possible de visualiser ce que verra cette caméra que ce soit via un autre ordinateur ou votre smartphone, puisque Darty annonce qu’une application iPhone et iPod Touch sera mise à disposition (gratuitement) dans les prochaines semaines.

« La caméra possède une fonction de détection de mouvements couplée à un service gratuit et illimité d’alertes emails comprenant une capture photo de l’évènement ayant déclenché cette alerte » explique le FAI.

« Une fonction de sauvegarde de la séquence vidéo est également proposée. L’installation a été simplifiée grâce à l’utilisation du WiFi WPS permettant une connexion en WiFi en quelques minutes. »

http://www.pcinpact.com/actu/news/56450-dartybox-video-surveillance-acces-distance.htm


[Les Echos – 14/04/2010]

Maître de conférences en économie à l’université Paris-Sud et auteur de « L’ économie des données personnelles et de la vie privée » , Fabrice Rochelandet décrypte les risques d’internet pour les informations privées.
Les Echos : Internet, particulièrement les réseaux sociaux, se nourrit de plus en plus de données personnelles. Quelles sont les conséquences sur la vie privée ?

Fabrice Rochelandet : L’une des principales conséquences est la multiplication des modes de collecte de données, entre la géolocalisation, les puces RFID, la biométrie… Il y a également une tendance des individus à se dévoiler et publier à outrance leur vie privée sur internet, avec les réseaux sociaux. Il y a quelques années, on parlait de nos informations privées, mais elles restaient dans le cadre privé, familial ou amical. Désormais, ces données sont ouvertes et à la portée de n’importe quel individu.

Quels sont les risques qui en découlent ?

Il y a deux positions très tranchées sur la question : ceux qui souhaitent à tout prix protéger leurs données et les autres qui nient en grande partie tout risque. Je pense qu’il faut avoir une position intermédiaire, car il y a plusieurs degrés de risque. Certains sont quantifiables, comme les spammings, et donc mutualisables. D’autres risques sont moins visibles, tels que la discrimination par les prix, avec des internautes dont les données privées ont été collectées et qui payent des prix différents en fonction de leur métier, de leur salaire… Ca a été notamment le cas d’Amazon, qui faisait payer des prix plus élevés à ses clients fidèles !

Peut-on parler d’un «glissement» de la sphère privée avec internet ?

On peut parler d’une nouvelle définition. Surtout, il n’y a pas de norme sociale de la vie privée. Chacun a sa propre stratégie, et se comporte comme il veut. En raison de cette pluralité de comportements, il n’existe aucune norme et il est impossible de conseiller un comportement sur internet. Les frontières bougent car les gens ont tendance à devenir des personnages publics sur internet. Il est désormais connaître beaucoup de choses d’un individu qu’on ne connaît pratiquement pas, de ses préférences politiques jusqu’à ses attirances sexuelles. C’est assez insidieux puisque cela peut engendrer des changements de comportement. De même, les entreprises peuvent découvrir des informations sur leurs employés, leurs futurs employés et autres postulants. Il y a un décloisonnement des espaces, qui crée de nouvelles formes de relations sociales. Pour autant, je ne crois pas à la fin de la vie privée sur internet. Cette notion évolue, tout simplement, ce qui explique la difficulté actuelle à légiférer ce sujet.

Les gens sont conscients des risques, mais ils s’inscrivent de plus en plus sur les réseaux sociaux… N’y a-t-il pas un paradoxe ?

Ils sont conscients des risques, mais ceux-ci sont futurs, peu visibles et non quantifiables. Personne n’est dupe, mais le bénéfice et la satisfaction immédiats prévalent sur les risques à long terme, comme le fumeur préfère prendre du plaisir immédiatement avec sa cigarette. Ainsi, un adolescent ne prendra que très peu en compte les risques en termes d’emploi de ses publications sur Facebook. Et c’est en dévoilant des informations personnelles que l’on crée du lien.

C’est d’autant plus dommage qu’il existe des outils de cryptage, des solutions de protection et d’anonymation des données, très souvent gratuits. Mais ces solutions sont peu adoptées car installer de tels outils nécessite des compétences précises. En outre, elles signifieraient, pour beaucoup, se démarquer socialement des autres.

Est-ce possible de garder le contrôle de ses données sur le web ?

Oui si l’on n’a pas de portable, ni internet… Et encore, il y a la vidéosurveillance. A moins de «faire le Robinson», il est impossible de garder totalement le contrôle de ses données privées sur internet.

Pour autant, le droit à l’oubli est souvent avancé comme une possible solution…

Le droit à l’oubli permet, certes, de demander à un opérateur d’effacer des données privées. Encore faut-il qu’il le fasse réellement, sans conserver aucune trace. Mais le véritable problème est de retrouver et remonter toute la chaîne de traçabilité de ces données. Le droit à l’oubli est, à la limite, applicable pour un opérateur, mais impossible au-delà en raison de l’asymétrie d’informations. En tout cas, je n’y crois pas un instant.

En parallèle, on recherche des solutions, en s’appuyant sur d’anciennes normes. Auparavant, les échanges se faisaient entre personnes physiques. Désormais, le contexte est totalement différent par rapport aux années 1970, et l’exploitation des données personnelles s’est démultipliée…

Que préconisez-vous alors ?

Il y a deux pistes qui me semblent intéressantes. La première est la labellisation des sites, une pratique récente en France avec la crise mais plus avancée aux Etats-Unis. Outre-Atlantique, elle est réalisée par des filiales de grands groupes à but lucratif… Et certaines études assez sérieuses ont révélé que la probabilité de tricherie était plus importante pour les sites labellisés que les autres… En France, il faudrait une agence indépendante, voire une ONG totalement autonome ou une institution, qui se finance qu’avec les amendes qu’elle récolte pour être crédible.

L’autre solution est la prévention. La loi votée fin mars 2010 au Sénat comporte un volet censé amener les gens à avoir un comportement plus prudent. Mais le problème dans ce cas tient au canal de cette prévention : les professeurs. D’autant que, quand on crée un interdit, les plus jeunes ont tendance à l’outrepasser. Les parents ont été rajoutés par la loi mais ils sont bien souvent dépassés par ces technologies. Cette solution peut être intéressante si elle est mieux ciblée. Faire des campagnes de sensibilisation en utilisant internet et en alertant les internautes dès qu’ils envoient des données personnelles serait plus efficace. Ce peut être une solution. Mais, comme toutes les autres, elle ne peut exister et être respectée que s’il y a une collaboration et une réflexion de tous les spécialistes techniques, juridiques, pédagogiques, psychologiques…

http://www.lesechos.fr/info/hightec/020477802230.htm


Le fantasme sécuritaire, dans sa plus simple expression…

[Alexander Lehmann – Vidéo -Soustitres de Mecanopolis]

Le site de Alexander Lehmann fourmille de petites vidéos géniales : http://alexanderlehmann.net/

http://www.dailymotion.com/video/x9t6ek_tu-es-un-terroriste_news


Les policiers municipaux dans ma commune, je leur fais vachement confiance. L’idée qu’ils pourront – les soirs d’ennui – aller se balader sur les fiches du STIC pour le compte du politicard en campagne local, ça me rassure moyen. La tentation « calomnie Ali Soumaré » elle est loin d’être un cas unique, en France… Sans parler du fait que bon nombre de policiers municipaux sont recrutés par favoritisme politique local et n’auront donc pas de scrupules à ce servir de ces informations pour des opérations politiques… ou bien pour se faire un petit pécule.

Balkany inspire une circulaire qui permet aux policiers municipaux d’accéder au STIC

[ La Lettre du cadre – dimanche 21 mars 2010 –  Geneviève Koubi ]

Circ. 25 févr. 2010. Communication aux services de police municipale d’informations contenues dans les traitements de données à caractère personnel

Une question posée au ministre de l’intérieur, repérée au 6 février 2010 par la Lettre du cadre, a reçu rapidement une réponse par un autre biais que la classique réponse ministérielle. Cette réponse se présente en une circulaire administrative, la circulaire du 25 février 2010 relative à la communication aux services de police municipale, pour les besoins de l’accomplissement de leurs missions, d’informations contenues dans les traitements de données à caractère personnel, du ministre de l’Intérieur, de l’outre mer et des collectivités territoriales [1]. (suite…)


Les « centres de fusion » de Big Brother font partie de l’appareil de renseignement et de surveillance intérieur
Budget astronomique : 75 milliards, 200,000 employés

[ Tom Burghardt – Mondialisation.ca – 5 octobre 2009]

Les centres de fusion auront accès aux renseignements militaires classifiés

Lors d’une allocution le 15 septembre au Commonwealth Club de San Francisco, le directeur du renseignement national, l’amiral Dennis C. Blair, a révélé que l’actuel budget annuel pour la « communauté du renseignement » (CR)de 16 agences se chiffre 75 milliards de dollars et emploie 200 000 personnes à travers le monde, incluant des contractuels de l’entreprise privée.

En dévoilant une version non classifiée de la Stratégie de renseignement national (National Intelligence Strategy, NIS), M. Blair soutient qu’il cherche à abolir « cette vieille distinction entre le renseignement militaire et non militaire », en affirmant que la traditionnelle « ligne de faille » séparant les programmes militaires secrets de l’ensemble des activités de renseignement n’est plus pertinente.

Comme pour souligner la nature radicale des propos de M. Blair, Federal Computer Week rapportait le 17 septembre que « certains officiels non fédéraux ayant les autorisations requises et qui travaillent aux centres de fusions des données du renseignement partout au pays auront bientôt un accès limité à de l’information classifiée liée au terrorisme se trouvant dans le réseau d’information classifiée du département de la Défense » . Selon la publication :

Dans le cadre de ce programme, les officiels étatiques, locaux ou tribaux autorisés pourront accéder à des données pré-approuvées sur le Secret Internet Protocol Router Network. Ils n’auront pas la capacité de téléverser des données ou d’éditer du contenu existant, ont déclaré les officiels. Ils n’auront pas non plus accès à toutes les informations classifiées, mais seulement à celles que les officiels fédéraux mettront à leur diposition.

Les officiels non fédéraux auront accès par le Réseau de données de niveau secret du département de la Sécurité intérieure (Homeland Security, DHS). Selon le DHS, ce réseau est actuellement déployé dans 27 des plus de 70 centres de fusion partout au pays. Des officiels de divers niveaux du gouvernement partagent de l’information liée à la sécurité intérieure par le biais des centres de fusion. (Ben Bain, « DOD opens some classified information to non-federal officials, » Federal Computer Week, 17 septembre 2009)

Depuis les attaques terroristes du 11 septembre 2001, le gouvernement fédéral a encouragé la croissance explosive des centres de fusion. Comme l’envisageaient les sécuritaristes, ces institutions hybrides ont élargi la collecte d’informations et les pratiques de partage à une grande variété de sources, incluant les bases de données commerciales, entre les autorités policières locales et étatiques, le secteur privé et les agences fédérales de sécurité, y compris le renseignement militaire.

Toutefois, les centres de fusion, à l’instar des fameuses « brigades rouges » des années 1960 et 1970, se sont rapidement métamorphosés en galeries marchandes de sécurité nationale, où les officiels surveillent non seulement les présumés terroristes, mais aussi les activistes de gauche et les militants écologistes, considérés comme une menace à l’ordre corporatif existant.

On ignore à ce jour le nombre d’analystes du renseignement militaire dans les centres de fusion, en quoi consiste leur rôle et s’ils se consacrent ou non à la surveillance intérieure. (suite…)


La NSA étatsunienne sait de quoi elle parle, en 1995, dans le cadre de la préparation des lois CDA et Network Surveillance, elle avait obtenu de Microsoft qu’ils intègrent une « porte dérobée » dans leur système d’exploitation afin de que les services secrets U.S. puissent venir fouiller dans l’ordinateur à distance et que la NSA puisse décoder la clé d’encryptage utilisée par l’utilisateur pour protéger ses communications. A l’époque cette mesure était – déjà – justifiée au nom de la lutte contre le terrorisme… on traquait alors les « groupes miliciens » qui avaient soi-disant fait sauter le batiment fédéral de Oklahoma-City et voulaient assassiner Bill Clinton.

En 1998, à la conférence Crypto98, un groupe de chercheurs avait révélé que les DLL intitulés ADVAPI et NSAKEY, installés par défaut dans toutes les copies de Windows, étaient en fait un « rootkit » de la NSA.

http://www.theforbiddenknowledge.com/hardtruth/nsa_backdoor_windows.htm

[Silicon.fr – 20/11/2009]

Après la faille non-patchée découverte sur Windows 7, cette fois un chercheur en sécurité de la très sérieuse NSA (National Security Agency) américaine explique que l’OS de Microsoft n’est pas totalement sécurisé.

Microsoft a donc réagi dans les colonnes de Computerworld en réfutant l’idée de la présence de portes dérobées (backdoor). Une position qui n’étonne aucunement l’ensemble des chercheurs en sécurité. Cela étant, il serait plus qu’étonnant que Microsoft ait délibérément caché cette porte et engagé ainsi sa réputation.

Pour information, les portes dérobées sont un des moyens les plus utilisées par les cyber-espions. Ces derniers utilisent des chevaux de Troie appelés trojans qui permettent d’ouvrir des «portes de service» qui donnent accès aux données de l’ordinateur depuis l’extérieur.

Selon Mikko Hyppönen, directeur des laboratoires de recherche de F-Secure, il s’agit là du moyen principal de piratage. « La porte de service se lance immédiatement et se cache dans le système, souvent à l’aide de techniques de rootkits. Il établit une connexion depuis l’ordinateur infecté vers une adresse réseau spécifique située quelque part dans le monde. Avec l’aide de cette porte de service, le cybercriminel accède aux informations situées sur l’ordinateur cible, ainsi qu’aux informations situées dans le réseau local auquel la cible accède. »

Ainsi la position extrême s’avère être celle de se déconnecter du Web, certains postes contenant des informations critiques. Une solution radicale… mais inapplicable aujourd’hui face à la réalité des besoins de communication en ligne.

http://www.silicon.fr/fr/news/2009/11/20/windows_7_embarque_t_il_une_porte_derobee_


[Gilles J. Guglielmi – Guglielmi.fr – 06/07/2009]
Une proposition de création présentée par la Commission européenne

Big Brother est en gestation. C’est en fait Big Sister, puisqu’il s’agit d’une agence de régulation fondée par l’Union européenne. Orwell ne nous avait pas prévenu que le risque totalitaire viendrait de Bruxelles. Voilà ce que comporte la proposition de règlement du Parlement européen et du Conseil présentée par la Commission européenne le 24 juin 2009, COM(2009) 293 final qui a pour objet de créer une agence chargée de la gestion opérationnelle des systèmes d’information SIS2, VIS et EURODAC.

La Commission européenne présente une proposition de règlement du Parlement européen et du Conseil du 24 juin 2009, COM(2009) 293 final, ayant pour objet de créer une agence qui sera chargée de la gestion opérationnelle des systèmes d’information à grande échelle en application du titre IV du traité CE et, potentiellement, « d’autres systèmes d’information dans le domaine de la liberté, de la sécurité et de la justice ». (suite…)


Et encore, la STASI de l’Allemagne de l’Est avec leurs fiches et leurs classeurs, c’était des petites mains comparé à la puissance des systèmes informatiques d’aujourd’hui. Mais on va encore nous dire qu’on est des conspirationistes, paranos et pas cool…

Quand on sait le nombre de « retraités de l’Armée » qui pantouflent dans les « directions sécurité » des entreprises françaises, qu’est ce qui vous garantit que ces messieurs (voir l’Affaire Canal Plus) ne profiteront pas de leurs contacts pour consulter le fichier sur vous, à l’occasion d’un entretien d’embauche ? Et votre CV finira à la poubelle parce que, il y a 10 ans, quand vous étiez lycéen, vous avez écrit « Sarko facho » sur votre Skyblog.

Alors… toujours cool ?

(Note de copinage : on adore tout ce qu’écrit Jean-Marc Manach et son blog BugBrother vaut largement l’abonnement RSS)

[BugBrother – 19/08/2009]

Cybersurveillance : la DGA nie, mais ment

L’armée française, et ses services de renseignement, disposeront, en 2010, d’un système de surveillance des télécommunications leur permettant d’identifier très précisément toutes les fois où, dans une vingtaine de langues et par exemple, « Nicolas Sarkozy » aura été cité, à la radio, la TV ou sur l’internet, qu’il ait été qualifié de « le nouveau président français », « Monsieur Sarkozy », « le Président », « il », « celui-ci », ou « Sarko », ainsi que toutes les photos et vidéos où il apparaîtra (y compris caricaturé). Mais à en croire les ministères de la Défense et de l’Intérieur, il ne s’agit aucunement d’un système espion de surveillance.

En juillet 2008, un internaute anonyme postait, en commentaire d’un billet que j’avais consacré aux problèmes posés par les fichiers des services de renseignement, une information que je regrette de n’avoir pu alors recouper :

On peut également se demander ce qu’il adviendra des innombrables données collectées par le HERISSON (Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées), un outil informatique commandé par le Ministère de la Défense et la DGA (Délégation Générale pour l’Armement) afin de “pomper” tout média imaginable (des émissions de télévision aux transferts P2P en passant par les réseaux sociaux, les moteurs de recherche ou les tracts sur papier), en extraire les informations pertinentes (identification photographique et vocale de personnes, traduction automatisée…) et les croiser.

Suivait un lien vers l’appel d’offres. Faute de pouvoir accéder au cahier des charges du projet, je n’en faisais rien.

Mars 2009, mon (excellent) confrère Marc Rees met la main dessus, et publie sur PC Inpact un article truculent, qui “laisse entrevoir un système de collecte automatisée, de recherche d’informations et de surveillance de tout ce qui transite sur les réseaux” (radio, TV et internet), et fait le parallèle avec le système de surveillance anglo-saxon Echelon des télécommunications :

Exemple piquant, « Le système offre la possibilité de reconnaître l’entité elle-même de plusieurs manières différentes: Soit par mention explicite. Exemple : « Nicolas Sarkozy », Par mention relative (« le nouveau président français »), par mention partielle (« Monsieur Sarkozy », « le Président »), par anaphore (« il », « celui-ci »), par surnom (« Sarko ») ».

Le cahier des clauses techniques particulières (CCTP) détaille ainsi comment Herisson doit être capable de glaner à peu près tout ce qui passe sur les réseaux, qu’ils transitent sur les chats IRC, mailings listes, forums, réseaux sociaux, newsgroups, flux RSS, blogs, podcasts, flux vidéo, systèmes P2P, FTP… Il doit également être “calibré pour accéder à n’importe quel contenu (texte, image, son et vidéo), quels que soient les langages utilisés (HTML, PHP, ASP, javascript, Flash…), et en prenant en compte la problématique des liens cachés“. (suite…)


La reprise de l’article de Yves Eudes sur le service AKA-AKI nous a valu un paquet de commentaires et courriers. Une bonne partie d’entre eux disent en substance : « Ne soyez pas paranos, ce service est cool, on s’en fout d’être pistés, ça craint rien… ». Profitant d’une rare occasion où la majorité des membres du réseau L&I était rassemblée autour d’un excellent cassoulet, nous avons pondu la réponse suivante :

Dernier commentaire en date, déposé ce matin par « BigBrother » :

Mais…
je ne saisi pas le malaise… certains l’ont déjà signalé mais j’ai personnellement cette appli sur mon téléphone parce que je l’ai voulu, si je ne l’avais pas installé je ne l’aurais pas…
De plus il n’y a qu’un pseudo, éventuellement un âge et éventuellement encore une photo mais rien de personnel (pas de lieu de travail pas de domicile, pas d' »historique de déplacement », pas de nom de famille, pas de numéro de téléphone)…
En plus le bluetooth n’est pas utilisé par cette appli elle utilise uniquement les coordonnées GPS du téléphone ou de la BTS (l’antenne du reseau 3g).
Je pense qu’il faudrait tester les applis avant de crier au loup.
A mon sens il faut vraiment avoir des choses à ce reprocher pour avoir peur de ce genre de chose…
Une société commerciale s’interresse à mon historique web? Et alors? S’il n’ont que ça à faire.
Quelqu’un (on ne sait qui) serait suffisement désoeuvré pour s’interresser à mes déplacements et jubile parce qu’il sait que je suis allé sur les champs elysées entre midi et deux? Super et alors, s’il cette personne n’a que ça a faire…
Vous pensez sincerement qu’il y a une société secrète composée d’une armée de nolife derrière des écrans qui s’interresse à nos vies?

« – Oh regarde j’ai kikou92 qui va acheter du pain.
– Bien joué Crucho note-le ça m’en fait 54422 aujourd’hui.
– Pichar! j’en ai un qui retourne au supermarché, c’est « bebe75″ il y est déjà allé ce matin
– Génial j’le note c’est le 521e aujourd’hui qui oubli un truc en faisant ces courses »

C’est vraiment se donner de l’importance 🙂

Je suis d’accord avec vous pour que les données privée des fichiers administratifs soient contrôlées (EDVIGE etc) parce que les données sont administrative et policières… mais là… AKA AKI… il faut se destresser.

Keep Cool

Réponse : Oui, on peut aborder la question comme ça, en se disant « Ne soyons pas paranos », ou bien (comme le disaient nos mamans) « Si on a rien à se reprocher… ».

Le seul problème – et c’est là la clé de tout le débat sur la protection de la vie privée – c’est que on a toujours quelque chose à se reprocher et que ce quelque chose peut être utilisé contre vous, quand vous vous y attendez le moins, de manière parfois disproportionnée et sans que vous ayez la moindre occasion de vous justifier.

C’était déjà le débat avec les photos sur MySpace qui se retrouvaient dans les entretiens d’embauche des RH (https://libertesinternets.wordpress.com/2009/04/03/nos-vies-sur-internet-a-perpete/), les mails « pas sérieux » qui sont versés au dossier d’un salarié pour un futur chantage au licenciement  (https://libertesinternets.wordpress.com/2009/08/17/un-tiers-des-responsables-informatiques-espionnent-leur-collegues/) , ou encore l’application des hollandais qui piste les téléphones portables des hommes politiques et des people pour voir qui se ballade dans le quartier des putes (cf: https://libertesinternets.wordpress.com/2009/04/16/encore-pire-que-aka-aki-le-flicage-sauvage-par-bluetooth/).

Compte tenu du niveau trash de la presse caniveau et des méthodes de plus en plus dégueu de la politique (regarde le niveau de la campagne des Républicains aux USA), tu vois tout ce qu’on peut tirer de ce genre d’infos. « Le député Machin a été repéré dans une rue où il y a des sex-shops – expliquez vous Monsieur Machin !« .

On peut même aller chercher des exemples plus sinistres: si tu as un nom de bougnoule et que ton téléphone portable te flique comme étant allé dans un pays « suspect », tu peux te retrouver en enfer quand tu rentres chez toi : http://fr.wikipedia.org/wiki/Murat_Kurnaz.

Et si tu choisis un mode de vie alternatif et que tu as le malheur de faire l’amour au mauvais endroit avec ta copine, le flicage de ta vie privée t’enverra en prison pour six mois (https://libertesinternets.wordpress.com/2009/05/29/tarnac-enquete-sur-un-fiasco-qui-en-dit-long-sur-la-france-de-sarkozy/) .

Ou encore le débat avec Google Street View qui ne floutait pas les visages des passants, causant par exemple le licenciement d’un coursier à vélo, surpris entrain de pisser contre un arbre. (http://maps.google.com/maps?f=q&hl=en&q=San+Bruno,+California,+United+States&ie=UTF8&ll=37.625041,-122.482667&spn=0.022331,0.038109&z=15&om=1&layer=c&cbll=37.617952,-122.485275&cbp=1,228.978817071945,0.56251897101312,3)

Avec les données numériques, ce n’est pas compliqué de compiler des milliards de données de déplacements individuels et d’en établir des profils. Les programmes qui font cela existent et sont en usage depuis des années.

Le profil commercial est le Saint Graal de toute l’industrie publicitaire. Tu es bien naif(ve) si tu crois que « les gens ont mieux à faire que… » – non, justement, ils dépensent des millions pour savoir ce que tu fais, ce que tu achètes, où tu vas, combien de temps tu t’arrêtes devant une vitrine… etc. etc. C’est le fluide vital de toute l’industrie du commerce.

Et une fois que tu es « profilé », qu’on sait ce que tu achètes, ce que tu regardes, ce que tu lis, sur quoi tu bandes (ou mouilles), dans quels endroits tu vas, où tu te trouves en ce moment… quand toute cette information est rassemblée et ordonnée par des entreprises commerciales comme Google ou Clickpoint et bien où est ta vie privée ? Et surtout, qui va la contrôler ? Et surtout de quel droit ces entreprises archivent-elles ces données, sans aucun contrôle du législateur ? Facebook conserve les archives de tes données, même si tu as fermé ton compte. Idem pour Google.

Et tu crois que le simple fait d’anonymiser les données ne permettra pas de te retrouver ? Va donc demander à « Marc L. » ce qu’il en pense (https://libertesinternets.wordpress.com/2009/04/16/3909/).

Qui empêchera ta compagnie d’assurance d’aller acheter ces données chez Clickpoint pour te faire payer des primes plus élevées (parce que ton profil indique que tu achètes des clopes et ne fais pas assez de sport) – voire te refuser un remboursement de soins parce que, sur ton profil MySpace ou Facebook, on te voit entrain de faire du vélo sans casque ? Ce n’est pas de la science-fiction, c’est déjà arrivé.

Et qui va empêcher un avocat de divorce ou bien l’avocat de ton employeur d’exiger de consulter ton Historique Web sur Google ou bien ton historique de déplacements sur Aka-Aki afin de prouver que tu te masturbes tous les jours sur Youporn ou bien que tu n’étais pas au boulot alors que tu étais censé y être (c’est ce qui est arrivé à un commercial à Paris, pisté via son téléphone portable d’entreprise. Il avait fait un détour hors de son secteur pour faire une course personnelle, lors de ses heures de boulot).

On te dira « Si vous êtes innocent, vous n’avez rien à cacher, alors donnez nous votre mot de passe pour consulter votre Historique Web et savoir ainsi qui vous êtes et si vous correspondez bien aux valeurs de notre Entreprise« . Si tu dis non, tu peux être certain que t’auras pas le job.
C’est déjà ce que fait la ville de Bozeman (https://libertesinternets.wordpress.com/2009/06/21/tu-veux-un-job-chez-nous-donne-nous-ton-mot-de-passe-facebook-twitter-gmail/)

Tu penses que nous sommes paranos ?

Peut-être, mais avant de diffuser des milliards d’informations privées sur nous, même si « nous n’avons rien à nous reprocher », on devrait au moins avoir la possibilité d’en débattre – voire de pouvoir avoir le moyen de contrôler et gérer nos propres données. Or, à ce jour, on a rarement vu les gouvernements (avec leurs faibles moyens, demande un peu à Alex Türk de combien de budget dispose la CNIL) aller faire la loi chez les grosses multinationales comme Google, Yahoo, FaceBook ou ClickPoint…

Voilà, nous espérons t’avoir convaincu que – en tant que consommateur – tu as une importance pour ces gens là, et que tes données ne t’appartiennent plus. Si cela ne te dérange pas, alors c’est ton affaire. Mais le droit le plus élémentaire c’est celui d’avoir une vie privée. Et ce droit, nous avons à coeur de le défendre…. sans nous faire moquer par des gens qui nous traitent de paranos et conspirationistes à cause de cela.

Amicalement

L’équipe de veilleurs d’info de Libertés-Internets


Facebook appartient-il à la CIA ?
[Ernesto Carmona – Argenpress – Traduit par Karen Bellemans et corrigé par Olivier Vilain pour Investig’Action.]

Les grands médias ont célébré Mark Zuckerberg comme l’enfant prodige qui, à l’âge de 23 ans, s’est transformé en milliardaire multimillionnaire grâce au succès de Facebook, mais ils n’ont pas prêté attention à “ l’investissement de capital -risque ” de plus de 40 millions de dollars effectué par la CIA pour développer le réseau social.

(…) La CIA a investi dans Facebook bien avant qu’il ne devienne l’un des réseaux sociaux les plus populaires d’Internet, selon une enquête du journaliste britannique Tom Hodgkinson publiée en 2008 dans le journal  britannique The Guardian (3) et commentée par quelques médias indépendants de langue anglaise, mais sans aucune répercussion dans la grande presse. (suite…)


Réseaux sociaux : l’anonymat ne garantit pas le respect de la vie privée

Reconstituer l’identité d’un internaute à partir des informations disponibles sur les réseaux sociaux est un jeu d’enfant. Un programme brise sans difficulté toutes les défenses mises en place contre ces attaques.

[L’Atelier -23 Mars 2009]

Les données privées des utilisateurs sont une précieuse information, notamment pour les publicitaires ou les développeurs d’applications. Mais lors de sa navigation, un utilisateur est théoriquement anonyme, grâce à un système de protection fourni par son opérateur. Par exemple, les informations liées au nom sont supprimées. Pourtant, une équipe de l’université d’Austin au Texas a réussi à créer un algorithme de re-identification. Ils ont pour cela agrégé les informations disponibles sur les réseaux sociaux visités par l’utilisateur. L’objectif : démontrer – uniquement par la topologie, la structure du réseau – que sur les réseaux sociaux, les données privées peuvent facilement être retrouvées par recoupement.

12% de réussite

Sans avoir besoin de créer d’attaque Sybil, qui force l’accès à l’identité, l’algorithme a réussi à briser les défenses existantes. Lors de son expérimentation, l’équipe a pu, ré-identifier 12% des internautes étudiés, en utilisant leurs informations publiées sur Flickr et Twitter. Ce, alors même que l’équipe n’a travaillé que sur un nombre ténu d’informations disponibles. Avec un nombre plus grand d’informations, les risques d’attaques contre la vie privée seraient encore plus efficaces. L’étude insiste sur la différence à effectuer entre suppression des informations d’identification personnelle et la suppression de toutes les informations « auxiliaires » disponibles, susceptibles d’aider à retrouver l’identité de l’internaute.

L’anonymat n’est pas suffisant

Les chercheurs citent l’exemple de l’Union Européenne, pour qui les données personnelles ne concernent par uniquement le nom, mais également les données sur son identité physique, physiologique, mentale, économique, culturelle ou sociale. Selon les chercheurs, l’anonymat n’est donc pas équivalent de respect de la vie privée. Plus, ils affirment que l’anonymat n’est pas suffisant pour préserver l’identité des internautes sur les réseaux sociaux. Les chercheurs préconisent l’adoption de lois et de pratiques claires quant au respect de la vie privée.

http://www.atelier.fr/securite/10/23032009/reseaux-sociaux-reseau-social-anonymat-vie-privee-donnees–38010-.html


Un espion qui tient dans la main
[Le Nouvel Observateur – 12/06/2009]
Il est désormais possible de télécharger par connexion sans fil dans n’importe téléphone mobile un programme permettant de le mettre sur écoute. Cet article a été publié dans Newsweek, le 8 juin 2009.

Ne parlez pas : votre téléphone mobile vous écoute peut-être secrètement.
Grâce à de récents développements dans le domaine des logiciels de « spyphone », ou espionnage téléphonique, un barbouze improvisé peut aujourd’hui télécharger par connexion sans fil dans n’importe téléphone mobile un programme permettant de le mettre sur écoute.

Ces logiciels sont peu couteux, et le transfert ne requiert aucune formation particulière. L’apprenti espion doit pouvoir accéder à votre téléphone afin de presser les touches autorisant le téléchargement, ce qui ne prendra que quelques minutes …” autant environ que de télécharger une sonnerie.

Cette nouvelle génération, plus simple d’emploi, de logiciels d’espionnage sur mobile est depuis l’an dernier disponible à grande échelle …” et ouvre des possibilités stupéfiantes.

Les derniers logiciels peuvent discrètement activer le microphone intégré de l’appareil, quand bien même aucun appel n’est passé, ce qui permet à un espion d’écouter ce qui se dit dans une pièce se trouvant à l’autre bout du monde.

La cible n’en saura pas plus : les données transmises en secret n’apparaissent ni sur les listes d’appels ni sur les factures téléphoniques.

http://tempsreel.nouvelobs.com/actualites/medias/multimedia/20090612.OBS0337dans_newsweek__un_espion_qui_tient_dans_la_main.html


[Gregor Seither – IES News Service – Juin 2009  ]

La semaine dernière, notre collègue Brendon Boshell de  « Making The Web » a fait une démonstration de page espion dans laquelle il récupérait à leur insu l’historique Web des visiteurs de son site. Cet exploit a suscité pas mal de commentaires, plein de gens disant qu’il suffisait d’être équipé de NoScript, pour bloquer cette tentative d’espionnage. Il revient donc cette semaine avec une version qui fonctionne même si vous avez activé NoScript. Si vous n’avez pas été choqué par sa démonstration antérieure, celle-ci devrait vous choquer.

Cliquez simplement sur « Start Scan » et regardez la liste des sites que vous avez visités s’afficher. Et encore, Brendon ne vous montre que le minimum, il pourrait pousser la chose plus loin et vous dire exactement ce que vous êtes allé regarder sur ces sites : autrement dit, si vous aimez les brunes ou les blondes, les petits nichons ou les gros lolos, les petits garçons ou les nymphettes…

La technique est des plus simples — plus simple encore que la version Javascript. Lors de l’accès à la page, une Iframe cachée charge une autre page qui contient un certain nombre de liens. Si un lien est visité, une image de fond (qui n’est pas vraiment une image de fond) est chargée, conformément au CSS. Cette « image de fond » enregistre les informations, les stocke (et, sur la page de Brendon, vous les affiche dans le champ log).

Normalement, ceci devrait vous mettre mal à l’aise : les sites Web que vous visitez au cours de votre journée ne sont pas censés connaître toutes ces informations sur vous. Cette fonction a le potentiel de permettre à quiconque, et particulièrement les publicitaires ou les agences gouvernementales, de vous pister et d’établir un profil à votre insu.

Si vous vous baladez sur les forums des saboteurs de caténaires et qu’ensuite vous allez sur un site gouvernemental, la police risque de venir défoncer votre porte peu de temps après…

http://www.making-the-web.com/misc/sites-you-visit/nojs/


La « défense des artistes » et des gros sous des majors n’est qu’un prétexte. Le but est bien de pouvoir créer un maillage de surveillance des citoyens afin de pouvoir alimenter le vieux phantasme sécuritaire bourgeois : attraper le dissident avant même qu’il passe à l’acte.

[Marc Resse – PcInpact – 28/04/2009]

Hier en commission des lois, où l’ambiance fut, dit-on de multiples sources, très tendue, le projet Création et Internet a révélé une facette encore méconnue. Celle du filtrage des e-mails. Voire plus en raison du caractère extrêmement vaste des termes employés. dans le texte que doivent voter les parlementaires Une pièce de plus à rajouter à la liste des points noirs de ce fameux projet de loi.

Subrepticement glissée dans le texte au fil des discussions, est apparue la mention de « communication électronique » lors des débats parlementaires. Dans plusieurs endroits du texte qui a été confirmé hier en Commission des lois, on retrouve cette fameuse mention. Exemples :

« Art. L. 331-30. – Après consultation des concepteurs de moyens de sécurisation destinés à prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne ou de communications électroniques, des personnes dont l’activité est d’offrir l’accès à un tel service ainsi que des sociétés régies par le titre II du présent livre et des organismes de défense professionnelle régulièrement constitués, la Haute Autorité rend publiques les spécifications fonctionnelles pertinentes que ces moyens doivent présenter pour être considérés, à ses yeux, comme exonérant valablement de sa responsabilité le titulaire de l’accès au titre de l’article L. 336-3. » (alinéa 110 article 2)

« La suspension s’applique uniquement à l’accès à des services de communication au public en ligne et de communications électroniques. Lorsque le service d’accès est acheté selon des offres commerciales composites incluant d’autres types de services, tels que services de téléphonie ou de télévision, les décisions de suspension ne s’appliquent pas à ces services » (alinéa 104)

« Art. L. 336-3. – La personne titulaire de l’accès à des services de communication au public en ligne ou de communications électroniques a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’oeuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise » (alinéa 2 article 6)

Comment interpréter ce terme de « communication électronique » d’apparence si anodine ? Pour le faire, on peut se référer à ce schéma qui nous a été transmis par un juriste qualifié, dans l’après-midi.
communication électronique

On découvre ainsi que la « communication électronique » possède deux branches : d’une part la correspondance privée soit les emails, la messagerie instantanée, etc. d’autre part, la communication au public par voix électronique. Celle-ci se subdivise elle-même en deux sous-branches, la communication au public en ligne, mais également la communication au public par voix audiovisuelle, laquelle embrasse depuis la loi sur l’audiovisuelle les services de médias à la demande (SMaD), dont font partie les Youtube, Dailymotion mais également les sites de streaming.

On le voit, utiliser « communication électronique » permet de taper sur bien d’autres secteurs que le monde du P2P et avanttout sur les emails !  Ces questions sont très techniques et il n’est pas certain que les signataires de la pétition SACEM aient été éclairés de ce chapitre. Mais développons et tentons de simplifier. (suite…)


Comment on est passé du « surveiller et punir l’infraction » au « prédire et intercepter » par le biais de l’analyse de toutes les données possibles. On en revient toujours au modèle du Panoptique, phantasme sécuritaire bourgeois contre les déviants…

[François-Bernard Huyghe – 24/04/2009]
Tous tracés ! Tous fichés ! Tous observés ! Tous surveillés!
Tel est le sentiment que nous éprouvons à énumérer les moyens techniques qui servent à rassembler des « données personnelles » sur nous, voire à anticiper nos comportements. Vidéo-surveillance, interceptions de télécommunications, balises, puces RFID, multiples fichiers (dont celui des empreintes génétiques), logiciels intrusifs et plus ou moins espions, mais aussi les traces numériques que laissent nos doubles au cours de nos transactions et de nos navigations sur Internet. Les objets les plus familiers comme une laissez-passer dans le métro ou une caisse de pharmacie semblent en savoir sur nous plus que nous ne le soupçonnions.

Dans la société de l’information qui devait être celle de l’instantanéité, notre passé nous poursuit, tout laisse empreinte, toute information est stockée, documentée, rapprochée et, dans tous les cas, susceptibles de réapparaître, y compris à notre insu ou contre notre gré.

Derrière la question technique (ce que peuvent faire les machines à enregistrer et traiter les données), il y a, bien sûr, un débat politique : quelles libertés individuelles et quel droit à l’intimité – deux notions complémentaires mais différentes – nous laissent les pratiques administratives et commerciales ? Les premières touchent à un pouvoir qui pourrait s’exercer sur nous (savoir certaines choses permettrait de nous menacer pour nous contraindre). Le second à un pouvoir que nous désirions exercer librement : permettre à certains et non à d’autres de savoir des choses sur nous.

La notion d’intimité avec toutes ses gradations – toi je t’autorise à savoir mes maladies, toi, ma sexualité, toi, mes angoisses métaphysiques, toi, mes opinions politiques – est d’ailleurs largement remise en cause par des dispositifs comme les blogs où chacun vient se dévoiler mais où il veut, quand il veut, créant ainsi une intimité « extérieure » (ce qui est à la fois intime et extérieur, « extime » pour le psychanalyste Serge Tisseron).

On voit s’entrecroiser trois logiques : politicio-administrative ( y compris dans sa composante sécuritaire ou policière), économique, mais aussi sociale : réseaux sociaux, présentation publique de soi et de son image, demande incessante d’informations sur son réseau et sur son environnement contribuent à rendre chaque vie de plus en plus « documentée ».

On peut considérer la chose de manière plus historique et dire que trois modèles de surveillance. (suite…)


[SILICON.FR – 23/04/2009]

Le moteur de recherche permet de se créer un compte incluant ses recherches. Les internautes peuvent ainsi contrôler leur identité numérique, promet-on.

Google essaie de fidéliser ses utilisateurs en permettant aux internautes la création de profils incluant dans les résultats d’une recherche sur un nom. La firme de Mountain View explique que désormais les internautes ont leur mot à dire.

Un point important est donc de voir comment vont s’articuler les résultats de recherche en incluant les noms et prénoms de personnes. Google lance donc la possibilité pour un internaute de se créer une identité numérique afin de pouvoir être vu sur le Web.

Le moteur de recherches offre la possibilité de créer son « profil » qui apparaîtra aux côtés des résultats d’une recherche sur son nom. Le module est alors accessible par la page google.fr/profiles. Chaque internaute peut alors insérer des informations sur son identité, ses motivations, une courte biographie ainsi que, s’il le désire, une photo. Une orientation très Web 2.0 semble t’il même si le vœu de la firme est de pouvoir contrôler ses propres informations présentes sur le Net.

L’intérêt pour Google est ici de favoriser les recherches sur les noms réalisées par des éventuels employeurs mais aussi par des personnes parfois mal intentionnées. Car si cette nouvelle option ne semble pas avoir de véritables caractères révolutionnaires, il apparaît que Google a bien saisi le nouvel attrait généré par les sites de réseaux sociaux pour la recherche de personnes.

C’est ce qu’explique, dans un communiqué, Brian Stoler, le concepteur de l’application pour Google : « En faisant une recherche sur soi-même pour voir ce que les autres trouveraient, les résultats peuvent être variés, et ce n’est pas toujours ce que vous vouliez que les gens voient. Nous voulons améliorer cela et vous offrir plus de choix« . Il oublie de préciser que bien souvent le premier résultat est celui d’un site de réseau social. Le bon référencement de ces sites expliquerait la volonté de Google de mettre une touche de 2.0 dans son moteur.

Subsiste la question de la sécurité du module « profil ». Rien n’empêche quelqu’un de créer un profil en empruntant le nom d‘ un autre et d’y vilipender n’importe quoi puisque les deux seuls moyens de contrôles proposés sont  la vérification du nom et de l’adresse mail. Pour le nom, il faut être inscrit à Google Knol pour qu’il apparaisse comme vérifié.

Pour l’adresse, la certification peut poser problème dans la mesure où  les webmails de type Gmail, Hotmail ou encore Yahoo ne sont pas encore certifiables. Etonnant.

http://www.silicon.fr/fr/news/2009/04/22/google_lance_la_creation_de_profils


Je vois déjà les ratés possibles, d’une telle application « ludique »… Comme dit la fliquette : tout le monde est exhibitioniste, pourquoi se faire chier à fliquer les gens quand ils se livrent tous seuls…

GOOGLE PRÉSENTE UN SERVICE DE LOCALISATION DES INDIVIDUS
[Reuters 04/02/2009]
Le premier moteur mondial de recherche sur internet, Google, a dévoilé mercredi un logiciel permettant aux utilisateurs de téléphones portables et autres appareils sans fil d’indiquer automatiquement à leur entourage où ils se trouvent.

Les utilisateurs de Google Latitude pourront, dans 27 pays, transmettre en permanence leur localisation aux personnes qu’ils auront sélectionnées, explique la firme californienne sur son site, précisant qu’ils pourront à tout moment se déconnecter du service.

« Hormis l’aspect ludique, nous reconnaissons la sensibilité de ce type de données, aussi avons nous intégré à l’application des droits de contrôle sur la vie privée « , indique Google dans un blog annonçant le service. « Non seulement vous contrôlez précisément qui a accès à votre position, mais vous décidez également quels endroits peuvent être vus. »

Latitude permet d’être localisé sur une carte Google, accessible depuis un combiné mobile ou un ordinateur personnel.

Ce nouveau service de Google est similaire à celui proposé par la société Loopt. Plusieurs opérateurs dont Verizon Wireless, filiale de Verizon Communications et de Vodafone, offrent le service de Loopt, compatible avec l’iPhone d’Apple.

Latitude sera compatible avec le BlackBerry de Research In Motion et les appareils fonctionnant avec les systèmes d’exploitation Symbian S60, Windows Mobile de Microsoft ou quelques téléphones mobiles T-1 dotés du logiciel Android de Google. L’application pourrait ultérieurement fonctionner avec l’iPhone et l’iTouch de la firme à la pomme et les appareils de Sony Ericsson.

http://www.01net.com/article-actualites/google-presente-un-service-de-localisation-des-individus-high-tech-reuters.-01net.html


[Police – le blog d’un(e) flic(esse) – 15/04/2009]

Le blogueur est un flic qui s’ignore. Le blogueur aime bien les chiffres, les statistiques et les classements. Les entrailles d’un blog, c’est un peu la planète du businessman, celui qui compte, qui compte tellement qu’il ne sait même plus ce qu’il compte et pourquoi il compte. Celui dont le Petit Prince dit qu’il raisonne comme un ivrogne. Saoulé de chiffres… Et de la sainte statistique.

Un blogueur, c’est un attentif, un curieux dit-il. Il aime savoir. Sans arrière-pensée, bien sûr. Savoir quoi ? Mais qui tu es, pardi ! Et d’où tu viens. Et ce que tu viens faire chez lui. Et le temps que tu y restes. Et si tu reviens. Et combien de fois. Etc. Parce que si tu passes chez certains sans laisser ta carte de visite sous le paillasson, tu les plonges dans une angoisse vertigineuse. C’est terrible, tu sais.

Alors le blogueur a tout un tas de petits outils sophistiqués pour mettre en œuvre son flicage domestique. Il a des compteurs, des géolocalisateurs, et toutes sortes de mouchards. Quand il a un doute, et que son enquête doit avancer, il prélève l’IP de son visiteur (mais qui c’est qui c’est qui c’est !?) avec soin, sans la toucher pour pas y laisser ses empreintes, et il la reverse sur un de ces sites capables d’affiner l’identification et la localisation.

Quand il repère un nom de domaine qui finit par gouv.fr, il écrit un billet en rouge vif sur son blog, et il est fier d’en appeler à la liberté d’expression. Ou de hurler comme un damné à la dictature des écoutes liberticides. Même si c’est agriculture.gouv.fr aux heures de ménage.

Le blogueur est un obsessionnel. Le blogueur ne voit plus le jour, il stagne dans son bouzin comme un flic dans un sous-marin à observer la tronche des passants. Le blogueur est un fonctionnaire des blogs. Façon Vichy. Il aime la surveillance en loucedé, il traque les corbeaux avec des méthodes de taupe. Ou l’inverse. J’en ai même repéré un qui cherche les récidivistes sur son blog. Bonjour le vocabulaire… ça craint. Ça pue sévère. Il doit dormir dans le CSS de son blog celui-là, pour être sûr de ne rien louper.

Ensuite, le blogueur aime bien les hiérarchies. On avait rêvé du monde libre d’internet, de l’homme libre deux point zéro, mais il n’en est rien. La grande messe œcuménique de l’internet et des blogs n’a jamais eu lieu, et il a fallu réinventer des castes, des gourous, des chefs et des soi-disant maîtres à penser… en classant les gens et leurs blogs.

Le blogueur a loupé son pari originel, il a refait sur le ouèbe le monde qu’il conspue dans sa vie sociale. Il est resté un courtisan, un lèche-cul, et ne répugne pas à ramer derrière des autorités illégitimes, incompétentes, ou des élites autoproclamées.

Moi flic, je n’aime pas le chiffre, les statistiques et les chefaillons. Je n’aime pas la hiérarchie non plus. J’ai rêvé de m’en passer, j’ai rêvé de non-grades. Je n’en démordrai pas.

À propos de police, vous me faites bien marrer, tiens, à hululer à propos des renseignements inquisiteurs que pourrait bien contenir la p’tite Edvige, laquelle Edvige ne s’intéressera probablement jamais aux normopathes que vous êtes.

Vous êtes les champions du strip-tease internaute, la plupart des blogs intimes font penser à de pauvres peep-show, où on aurait l’obligation compassionnelle d’applaudir le premier gros tas, le moindre boudin qui montre son cul. Vous dévoilez avec application tout le croustillant de votre intimité ou de vos opinions, vous êtes traçables sur internet via Google, qui se charge mieux que n’importe quel fichier de police de compiler tout ce qui vous concerne, et vous faites les vierges effarouchées à l’idée que des policiers assermentés (dont les faits et gestes sont tout aussi traçables soit dit en passant) puissent avoir accès à des renseignements utiles à la sécurité. La vôtre en l’occurrence. C’est amusant.

Personnellement, je ne sais d’Edvige que ce qui est paru au JO dans sa version béta [1] et dans sa version remaniée-mais-pas-tant-que-ça [2]. Le reste, je m’en fous à peu près complètement.Mais jetez-y donc un petit œil, ça vous évitera de colporter n’importe quoi.

Pour le colportage, l’inquisition et le renseignement sauvage, retournez plutôt vers vos outils habituels, vos divers instruments de décryptage et vos compteurs.Si ça ne suffit pas, complétez l’arsenal par facebook et twitter, vous savez, ces inventions récentes qui vous font approcher le degré zéro de la communication.

Continuez à tout dire et tout montrer, une société bien portante a besoin de spectacles. Surtout du comique et du mélo. Et comptez toujours sur Google qui a une mémoire infinie. Edvige n’est qu’une amatrice sous contrôle…

Sales flics. Que vous êtes.

http://police.etc.over-blog.net/article-29724206-6.html


[Moreas Blog – 03 février 2009]
Il y a quelques jours, en surfant sur Google Earth, l’attention des policiers helvétiques a été attirée par une étrange parcelle de terrain : un rectangle de 150 mètres sur 50 délimité par une belle couleur jaune, tandis que le centre était tout vert.  Le porte-parole de la police cantonale zurichoise a déclaré dans La Tribune de Genève : « L’homme y cultivait du cannabis et avait fait pousser du maïs tout autour. Comme les plantes de chanvre sont moins hautes, on ne pouvait rien voir de la rue ».

C’est ainsi que les policiers ont réussi un très beau coup en mettant à jour le plus important trafic de cannabis que la Suisse n’ait jamais connu. Au total, seize personnes ont été inculpées et plusieurs tonnes de cannabis, de marijuana et de haschich ont été saisies, ainsi qu’une somme de 400.000 euros.

Pour être tout à fait franc, les policiers enquêtaient sur ce trafic depuis plus d’un an, et Google n’a servi qu’à détecter l’un des producteurs. « Cela relève plus du coup de chance que d’un procédé systématique », a reconnu un enquêteur.

Décidément, l’entreprise de Silicon Valley joue sur tous les tableaux. On apprend qu’elle va nous permettre d’explorer les fonds marins, et, il y a une quinzaine de jours, Google Street View a permis de retrouver une fillette de 9 ans qui avait disparu.

Les faits se déroulent dans le Massachussetts. Dès que l’alerte de la disparition est lancée, les policiers récupèrent la position GPS du téléphone portable de la petite Nathalie, ce qui leur donne une zone de recherche. Ils rentrent les coordonnées dans Google Maps, puis ils analysent la zone à l’aide de Google Street View. Rue par rue, immeuble par immeuble. L’enfant a été retrouvée dans un hôtel. Elle avait été enlevée par sa grand-mère.

Aux E-U, selon une loi de 2005, les opérateurs de téléphonie mobile sont tenus de pouvoir localiser leurs clients dans un rayon maximum de 300 mètres. En conséquence, la plupart des téléphones portables sont munis d’un GPS. Pour la petite fille, c’était… du bon usage d’une loi liberticide.fish2.1233644970.gif

Google, indic de la police ; notre portable, mouchard de la police. On vit quand même une drôle d’époque.

http://moreas.blog.lemonde.fr/2009/02/03/google-indic-de-la-police/


[PC Inpact – Vincent Hermann 06/01/2009]
Il y a un tout petit peu plus d’un mois, nous vous avions parlé du plan européen de lutte contre la cybercriminalité. Plusieurs mesures étaient présentées pour un vaste programme qui doit s’étaler sur cinq ans. En première ligne de cette coopération, le partage des informations entre les instances gouvernementales concernées et la collecte des informations à distance. C’est sur cette dernière précisément que le Royaume-Uni présente une force de frappe qui fait déjà frémir les associations de défense des libertés civiles.

Pêcher et partager
Michèle Alliot-Marie avait parlé récemment de la future possibilité de capter des informations à distance. Sans autre détail, on pouvait évidemment se demander ce que recouvrait l’expression, tant les interprétations peuvent être larges et quelque peu angoissantes pour certaines. Le gouvernement anglais vient de poser les premières fondations d’un plan qui permettra à la police nationale d’aller chercher les fameuses informations sur les machines d’à peu près tout le monde, le tout sans aucun avertissement.

Terrorisme, pédophilie, fraudes à l’identité, ventes frauduleuses, infractions financières ou encore les divers trafics illicites, comme celui des armes, sont bien entendu dans la ligne de mire. Cela étant, l’encadrement européen et l’application par le Royaume-Uni rendent certaines possibilités très réelles. Ainsi, la France ou encore l’Allemagne pourront demander au Royaume-Uni des informations sur la machine d’un résident anglais suspecté. Capter et partager les informations, tout est là.

Du feu vert européen à l’exploitation anglaise
Si au niveau européen les ministres se sont surtout attachés à la création d’une plateforme d’échange pour accélérer la traque des cybercriminels, les pays membres sont libres de transcrire les décisions de Bruxelles en accord avec leurs propres lois. Et comme les États-Unis au lendemain du 11 septembre via divers « Acts » axés sécurité, le Royaume-Uni va se doter d’un outil permettant de fouiller des ordinateurs à distance et de collecter des données sans passer par un tribunal et sans avertir les utilisateurs.

Il ne s’agit finalement « que » d’élargir et de simplifier ce qui était déjà possible. Mais le feu vert officiel de l’Europe remet le sujet sous les feux des projecteurs et certains n’hésitent pas à s’engouffrer dans la « brèche ». Et c’est bien ce qui inquiète sur le sol anglais, car ce qui était considéré comme une exception peut devenir très simplement un processus habituel de recherche d’informations, comme si l’on passait de l’artisanat à l’industrialisation.

Des craintes sur un engrenage et une automatisation
Shami Chakrabarti, présidente de l’association Liberty de défense des droits de l’homme, jette un regard sévère sur ce plan. Elle indique ainsi que cette faculté donnée à la police revient à donner le droit à des personnes d’entrer n’importe quand dans un domicile et d’y fouiller en toute impunité, sans demander l’avis de qui que ce soit. Elle a ajouté en outre que sans une véritable loi d’encadrement et une autorisation délivrée par l’instance juridique adéquate, ce sera un « coup dévastateur pour la plus petite notion de vie privée ».

Il existe tout de même un garde-fou : le « responsable » donnant l’autorisation pour une telle traque des données doit justifier dans sa décision que celle-ci est proportionnée. Les méthodes employées sont diverses mais ne sont pas nouvelles pour ceux qui connaissent déjà le petit monde de la sécurité informatique. La police peut envoyer par exemple un courrier électronique contenant un malware qui va dès lors servir d’enregistreur de frappes au clavier et/ou transmettre des informations de manière automatique.

Rien n’est encore tout à fait joué, car le Royaume-Uni, et plus particulièrement le Home Office (justice, sécurité, immigration, science, recherche et contre-terrorisme), doit accorder ses violons avec le reste de l’Europe. D’autant que le projet étant maintenant public et provoquant bien des réactions, beaucoup attendent des explications beaucoup plus poussés sur les mécanismes qui seront mis en action.

http://www.pcinpact.com/actu/news/48227-royaume-uni-police-collecte-donnees.htm


J’ESPIONNE LES TÉLÉPHONES POUR 23 EUROS
[CNIS Mag – 05/01/2009]
Moins médiatisée –et pourtant considérablement plus dangereuse !- cette communication faite à l’occasion du 25C3 par MM Erik Tews, Ralf-Philipp Weinmann et Andreas Schuler, le hack des communications DECT. Les transparents de cette passionnante causerie ainsi que le Wiki consacré à ces recherches fourmillent de détails sur l’art d’écouter les combinés sans fil de son prochain. Comme pour confirmer l’inutilité relative des travaux de Sotirov (voir article précédent), les certificats du serveur du CCC sont invalides… les plus curieux devront se faire violence et accepter ladite ouverture de cession.

Que nous apprend ce piratage attendu par certains depuis quelques lustres ? Tout d’abord qu’il n’existe aucune communication sans fil qui ne puisse faire l’objet d’une écoute, d’un risque de démodulation par logiciel ou d’un spoofing (injection de fausses informations).

L’on retrouve ici encore la plateforme « Software Defined Radio » de Matt Ettus, qui servit en son temps à hacker les principaux outils de transmission radio : de bluetooth à Wifi, des CPL à la télévision HD « chifrée », en passant par l’interception des signaux RFID ou des réseaux de signalisation RDS. Mais plutôt que d’enrichir le thésaurus des développements GNU Radio, ces hackers du combiné sans fil ont utilisé de biens plus simples accessoires : de vulgaires cartes PCMCIA Com-On-Air, vendues aux environs d’une vingtaine d’Euros.

La portée du hack est incalculable. A part quelques antiques TPV (Terminaux Point de Vente), qui utilisent les liaisons infrarouges, la quasi-totalité des terminaux mobiles de payement par carte de crédit utilise une liaison DECT. On estime, compte-tenu de la baisse des prix atteints en ce domaine, que la grande majorité des foyers français se sert également de terminaux DECT en remplacement des vieux postes téléphoniques S63 des P&T d’autrefois. Les entreprises elle-même sont de grandes consommatrices d’appareils à la norme DECT, et particulièrement les TPE et PME.

C’est donc un véritable « manuel du petit plombier » qu’offrent ces trois chercheurs, manuel augmenté d’un add-in logiciel sous la forme d’une extension spécifique de Kismet, le sniffer « sans fil » le plus connu des passionnés des communications radio.

Certes, le hack nécessite de solides connaissances. Mais le « retour sur investissement » est prometteur. Usurpation de poste et d’identifiant, écoute à distance sans lien physique, « empoisonnement » des données, récupération de mots de passe ou de hashs de codes PIN… il y a des trésors cachés dans cet algorithme de chiffrement DSC originellement déposé par Alcatel.

Et contrairement au monde WiFi, dans lequel la course au débit a peu à peu joué en faveur du renouvellement de parc « vieux Wep » en faveur d’un « nouveau WPA », il n’y a pas, ou très peu, de budget pour changement d’équipement dans l’économie des ménages.

En outre, s’il est parfois possible de mettre à jour, pour un usager aguerri, les outils et firmwares de sécurité d’un appareil Wifi, ce n’est pas le cas sur un équipement téléphonique destiné à une clientèle « non technique ».

http://www.cnis-mag.com/fr/jespionne-les-telephones-pour-23-euros/actualite.html


Note aux frangins de la NLA en Hollande – si l’envie vous prenait d’aller péter la gueule à ce petit connard de geek qui fabrique le prochain outil de flicage dans son garage en disant « les technologies me passionnent, c’est tout », je ne pense pas qu’on vous jetterait la pierre.Après tout, le mec qui a développé l’usage du Zyklon B était probablement « passionné de chimie, c’est tout »…

C’est vrai quoi, c’est fun les nouvelles technologies, hein ? Tant qu’on ne s’appelle pas Julien Coupat, ou que l’on n’est pas un militant altermondialiste… ou encore un dissident chinois. Car le petit projet de flicage « fun » de Alex Van Es ne devrait pas rester très longtemps cantonné au registre du repérage des copains dans la rue….

Dans 20 ans, ne pas avoir de téléphone Bluetooth sera impossible (ils seront livrés avec la fonction de traçage d’officle) ou alors ce sera suspect (comme on a déjà déclaré suspects les Neuf de Tarnac parce qu’ils n’avaient pas de téléphone portable).

Et nous vivrons alors dans une société entièrement pistée par GSM, RFID, vidéosurveillance…  ou chacune de nos activités, chacun de nos comportements seront analysés par les experts en marketing… mais aussi par les policiers et par les manipulateurs.

Et alors les bien-pensants s’écrieront  « mais comment avons nous pu laisser faire un truc pareil »

Le remarque de Alex Van Es sur le fait de repérer les téléphones portables des politiques et de voir si on les retrouve dans les quartiers « chauds » de la capitale en dit long sur sa mentalité de petit flic…

Enquête  : Alex is watching you
[Yves Eudes – LE MONDE – 29.11.08]
Un informaticien néerlandais a créé un système de pistage des appareils équipés de Bluetooth, téléphones, ordinateurs et GPS. D’autres passionnés l’ont aidé à créer un miniréseau d’espionnage amateur.

Alex Van Es, un homme grand et massif âgé de 35 ans, vit avec sa compagne dans un joli pavillon de banlieue à Apeldoorn, aux Pays-Bas. Le jour, Alex est informaticien dans une administration. Le soir et le week-end, il s’amuse à fabriquer un système automatisé capable de détecter tous les appareils dotés d’un émetteur Bluetooth, puis de traiter les informations recueillies et de les publier sur son site Web personnel, Bluetoothtracking.org : « Pourquoi je fais ça ? Les technologies de pointe me passionnent, surtout leurs usages inédits. Il n’y a pas à chercher plus loin. »

Partout en Europe, les téléphones mobiles récents sont équipés d’un émetteur-récepteur Bluetooth, pour faire fonctionner une oreillette sans fil ou échanger des photos et des fichiers avec des amis. De même, les nouveaux ordinateurs portables et les GPS de voiture utilisent le Bluetooth pour leurs connexions sans fil de proximité. Or, une fois que cette fonction a été activée, la puce Bluetooth diffuse en continu deux informations : son « adresse » (un matricule d’identification unique) et le nom de l’appareil dans lequel elle est intégrée.

En outre, de nombreux utilisateurs personnalisent leur appareil en entrant un prénom, un surnom familier ou amusant, ou encore le nom de leur entreprise ou de leur chanteur préféré -, autant d’informations permettant de les identifier, par déduction ou par recoupements. En se promenant un soir de novembre sur le site d’Alex Van Es, on découvre par exemple qu’à 17 h 42 le téléphone mobile Nokia modèle 6310-I, matricule 00.60.57.xx.xx.xx, se trouvait à Apeldoorn, au coin de la rue Hoofd et de la rue Deventer.

Ces derniers mois, ce même Nokia a été repéré par Alex Van Es 237 fois à Apeldoorn, entre 7 heures et 22 heures, mais jamais plus tard. Ce jour-là, le site a permis de suivre les déplacements de 558 appareils Bluetooth. Pour chacun d’entre eux, une page Web a été créée en temps réel, avec une carte Google interactive, un tableau récapitulatif, et un graphique ventilant les localisations par tranches horaires. L’ensemble est mis à jour toutes les dix minutes. (suite…)


[Antoinette Rouvroy interviewée par Sylvestre Huet –  Libération du 18 novembre 2008] 
Entretien avec Antoinette Rouvroy, de l’université de Namur (Belgique), qui s’interroge sur la reconfiguration radicale de l’espace public induite par cette possibilité technologique.

Antoinette Rouvroy est chercheuse au Centre de recherche informatique et droit (Crid) à l’université de Namur.

Quelle est votre première réaction devant ce projet d’une webcam mondiale, fenêtre ouverte, et actualisée chaque semaine, sur tout endroit de la Terre?

Ces nouvelles possibilités technologiques favorisent et témoignent d’une reconfiguration de notre conception de l’espace. Et confirment l’actualité de l’analyse de Michel Foucault (1) quant au fait que «l’espace lui-même, dans l’expérience occidentale, a une histoire». Alors qu’au Moyen-Age, cette expérience passait par des notions de hiérarchies de lieux caractérisées par leur caractère sacré ou profane, d’accès ouvert ou restreint, cette possibilité d’une vision de l’espace global de la Terre met cette dernière, en quelque sorte, «à plat».

Dans le nouveau paradigme, la qualité profane ou sacrée des lieux importe moins: l’espace géographique «s’éprouve comme un réseau qui relie des points», tous équivalents, tous potentiellement signifiants. Et, étant moi-même un point dans ce réseau, je veux savoir où je suis, où je vais. De la hiérarchie des lieux, on passe à un système où tous sont comme juxtaposés dans une simultanéité. C’est alors toute l’intelligibilité du réel qui est transformée. La Terre et son image appartiendront, en apparence, à tout le monde. Mais à qui vont-elles appartenir réellement? Cela suscite un énorme intérêt… et un malaise tout aussi grand.

Pourquoi ce malaise?

A l’idée de savoir que l’on est peut-être en train de m’observer, de là-haut, même si je suis difficile à identifier, ma première idée est de m’abriter sous un toit… Surtout si l’on imagine que le croisement entre cette information spatiale et d’autres, comme le signal d’un mobile, peut permettre de savoir que je fais partie de tel groupe visible sur l’image, à tel endroit, même si je reste non identifiable parmi ce groupe.

On imagine sans peine le potentiel que représente ce type d’information pour les gouvernements, la politique sécuritaire, le marketing… Le malaise est d’autant plus grand que n’importe qui peut voir. Le contrôleur est invisible, potentiellement lointain, et je ne connais pas son interprétation de ce qu’il voit. Un tel contrôle invisible reconfigure l’architecture de l’espace public et risque d’inciter à des formes d’autocensure ou de conformisme d’autant plus strictes qu’elles s’opèrent à l’aune de normes inconnues des personnes observées. Et non plus seulement de celles, prévisibles, qui sont propres à un contexte familier.

Quels problèmes juridiques et politiques poserait une telle capacité d’observation, aussi précise et récurrente?

Il est malaisé de prévoir a priori tous les cas de figure, surtout que la technologie peut évoluer vers des images plus définies et plus souvent réactualisées. Elles exacerberaient les problèmes de protection de la vie privée dans les relations entre les personnes et l’Etat. L’Etat de droit ne suppose pas une transparence totale envers les citoyens, mais un principe de proportionnalité. S’il est légitime que l’Etat ait accès à certaines informations personnelles lorsque cela est nécessaire à la préservation d’un intérêt collectif prépondérant, cet accès doit être prévu par la loi et proportionné. Or, là, l’information semble constante et non discriminée et, bien sûr, recueillie sans le consentement des personnes. Un problème amplifié par le fait que la technique spatiale transcende les frontières politiques et juridiques. La surveillance satellitaire peut gêner la liberté d’exprimer ses opinions par une manifestation.

Comme ses images seront d’accès libre, la protection de la vie privée vis-à-vis d’autres personnes privées est en jeu. Les entreprises peuvent y voir un moyen efficace d’espionnage industriel. Quant aux relations internationales, elles seront affectées par la «transparence» auxquels seront soumis les actes des gouvernements en cas de crise, de guerre. Mais pas nécessairement dans le bon sens. Nous faisons une trop grande confiance aux images. Or leur sens réel, pour être intelligible, suppose souvent la connaissance du contexte, elles ne sont qu’une partie de l’information. Le flux d’images peut ainsi revêtir l’apparence de la transparence au service de l’opacité.

Que faire?

Les projets de ce type prennent de vitesse nos capacités à imaginer et à réguler leurs enjeux sociétaux. Personne ne dispose de la boîte à outils juridique adaptée. Il en résulte que les forces (politiques, économiques) qui déterminent l’orientation des technologies disposent d’un pouvoir immense qui échappe au contrôle démocratique. Cette dépolitisation est accentuée par l’érosion de l’attachement à la vie privée que les technologies provoquent (Internet, caméras de surveillance…). Plus on est habitué à être observé, et moins on est sensible aux atteintes à la vie privée. Les gens acceptent maintenant qu’une grande part de leur vie privée puisse faire l’objet d’une surveillance constante, allant jusqu’à exposer eux-mêmes leur vie intime sur Internet. Une question s’impose: arrive-t-on à une situation où, tant que les citoyens ne protestent pas, il ne faut pas freiner ces technologies? Faut-il les protéger sans, voire contre eux-mêmes? Cela nous oblige à repenser les rapports entre droit et technologie et, surtout, à affirmer la nécessité que ces enjeux éthiques, juridiques et politiques puissent être prises en compte dès le stade le plus précoce du design technologique. Les concepteurs ont à rendre compte de leur impact sur l’effectivité des droits et des libertés fondamentales qui conditionnent la vitalité démocratique.

(1) Michel Foucault, Dits et écrits, Architecture, Mouvement, Continuité N°5 (1984).

http://www.ecrans.fr/Plus-on-est-habitue-a-etre-observe,5712.html


[Hubert Guillaud – InternetActu – 21/10/2008]
Comme on le constate avec nos mobiles, savoir où nous sommes permet de rapidement comprendre le contexte. Dans toutes les conversations distantes, la réponse à la question « où es-tu ? » devient aussi importante que la raison de l’appel. Tant et si bien que la localisation de chacun est devenue un enjeu technologique majeur, un Eldorado où chacun espère trouver le levier qui actionnera le jackpot de la localisation.

Nos téléphones mobiles ont commencé à embarquer un GPS permettant de les géolocaliser facilement par satellite. Reste que le rythme de développement du GPS est encore faible : Nokia prévoit que seulement la moitié de son parc de mobiles sera doté de GPS d’ici 2012. Le GPS est également imparfait : lent (il faut en moyenne 45 secondes pour que la position soit validée), il n’est pas toujours accessible en intérieur et il consomme trop d’énergie pour qu’un téléphone soit localisable toute une journée sans vider sa batterie… C’est pourquoi, dans le domaine du mobile, on utilise plus souvent la technologie de la triangulation via les antennes de téléphonie mobile pour localiser les appareils, en se servant de l’intensité du signal reçu par les antennes.
(suite…)


Corée du Sud : une vérification du nom réel des internautes dès 2009, en réaction à la net-mobilisation ?

[Citizen-L – 17/11/2008]

Il est toujours utilise de regarder ce qui se passe en Corée du Sud, car ils ont généralement 6 mois d’avance sur ce qui concerne les nouveaux médias.

Cette fois-ci, c’est la liberté individuelle, ou plus globalement les questions de “privacy” qui sont en jeu :

Korean user generated content (UGC) service providers with a certain traffic volume will have to comply with the Real Name Verification requirement, starting from 2009.

Real Name Verification asks all users to verify their real-world identity before making any user content on the web – blogs, wikis, photos, videos, or even comments. Users won’t be required to use their real names as their IDs, but still they have to verify their particular online ID is mapped onto their real name.

So it’s like this: If you are lonelygirl15, and if you want to upload your videos on Youtube, you can still appear as lonelygirl15 but you gotta tell Youtube that you are actually Jane Doe (or whatever is your real world name) and your actual social security number is 123-45-678. “Hi lonelygirl15, would you mind if we check your real name and social security number before you proceed with the video clip upload?”

La conséquence de la mobilisation organisée en ligne sans précédent du printemps dernier contre l’enjeu sanitaire (affaire US Beef) ?

“La mobilisation s’est concentrée online, via la plateforme Agora. La discussion contre le Président a été extrêmement suivie, reprise sur de nombreux blogs personnels et sur une plateforme d’échange de vidéos qui est devenue en quelques jours numéro 1 : Afreeca qui a laissé ses utilisateurs livecast -er en direct des manifestations. 700 000 personnes ont manifesté. Welcome to the real world. IRL.”

L’argument du gouvernement coréen est de mettre un cadenas aux phénomènes de rumeurs :

Despite the positive side of young people’s passion on the Internet, we still should be cautious about irrationalism in cyberspace that may threaten online democracy (as I mentioned in my last post). Yesterday, South Korean President Lee warned that “the spread of false and incorrect information through the Internet and spam email is threatening the people’s rational thinking and mutual trust.”

En clair, reprendre la main en organisant une information “officielle” qui dénierait le droit de détracteurs-citoyens d’exprimer des avis contraires.

La Corée donnera-t-elle des idées pour notre cher fichier Edvige ?

http://citizenl.hors-sujet.com/?p=569


Aaaarghh ! Et dire qu’on s’excite à cause de EDVIGE, du STIC ou de la Base-Elèves….

Ca va encore plus vitte que prévu ! Je sens que la puce géolocalisatrice implantée sous la peau avec profil détaillé de l’individu et historique des 20 dernières années de connexions, réseaux sociaux, fréquentations et achats réalisés dans les magasins… n’est pas loin !!!  Même plus besoin de miradors, un gros ordinateur et un réseau Bluetooth suffisent… Et ce truc est un rève pour les obsédés…

Je vous garantis que peu de temps après, des journalistes comme Christophe Cornevin écriront : « Les membres du groupe terroriste ont été repérés par leur comportement suspect. Ils n’avaient pas de puce implantée sous la peu et n’étaient pas inscrits à Aka-Aki…. probablement parce qu’ils avaient des choses inavouables à cacher. »

A quand la création d’un Front de libération de la vie privée qui fera sauter les antennes relais pour créer des « zones non pistées » ?

Mise à jour  #1 : Il y a pire que Aka-Aki… il y a les bricoleurs dans leur garage qui s’amusent à capter et identifier les appareils Bluetooth et à en localiser les déplacements dans la ville. C’est « fun » et ça ouvre la voie à toutes sortes d’utilisations… et de chantages. Lisez par vous même…

MISE A JOUR #2 : Les utilisateurs de Aka-Aki étant virulents dans la défense de leur gadget qui est si cool, nous avons pondu une réponse. A lire ici.

TOUS AMIS, TOUS PISTÉS

[Yves Eudes – Le Monde – 06/04/2009]
Un quartier animé de Berlin, par un soir printanier. Thomas, 31 ans, artiste peintre encore méconnu, s’installe dans son bar habituel et sort son téléphone mobile, un « smartphone » connecté à Internet. Aussitôt, son mini-écran affiche la page d’accueil de Aka-Aki, le nouveau réseau social « géolocalisé » permettant à ses membres de détecter tous les autres membres se trouvant dans les parages, et de communiquer avec eux en temps réel.
D’un coup d’oeil, Thomas constate que des centaines de Berlinois inscrits sur Aka-Aki sont connectés en ce moment, dont dix-sept à moins de dix minutes de marche. Leur nom et leur photo défilent automatiquement. D’un geste, il peut consulter leur profil, contenant toutes sortes de renseignements : ils habitent le quartier, ou y travaillent, ou sont venus pour dîner. Presque tous ont pris l’habitude de coller sur leur profil des stickers (étiquettes) pour expliquer en images leurs goûts et leurs préférences dans tous les domaines. Même ceux qui ne font que passer près du bar, à pied ou en tramway, sont recensés et archivés.

Le système précise que, sur les dix-sept personnes présentes dans le quartier, trois se trouvent à quelques dizaines de mètres de Thomas. La première s’appelle Zina, une jolie brune. Sans hésiter, Thomas lui envoie un message. Zina répond qu’elle habite en face du bar, mais qu’elle n’a pas le temps de venir boire un verre, car elle révise un examen : « Pas grave, se console Thomas, je la retrouverai facilement. » Aka-Aki a enregistré la date et l’heure de la rencontre entre les mobiles de Thomas et de Zina, et a inscrit l’événement sur leurs profils respectifs. S’ils se croisent à nouveau, dans un jour ou dans un an, ils recevront un message d’alerte.

Thomas affirme qu’il a fait plusieurs rencontres grâce à Aka-Aki : « La première fois, je me suis fait draguer par un homosexuel qui ne l’avait pas indiqué sur son profil. Moi, je suis hétéro, dès le lendemain, je l’ai mentionné sur le mien. » Il a aussi fait connaissance avec un autre jeune artiste : « Un matin de bonne heure, j’ai remarqué que son profil était apparu près de chez moi. Même chose les jours suivants, alors je lui ai demandé s’il venait d’emménager dans le secteur. C’était le cas, nous avons très vite sympathisé. »

Soudain, le smartphone de Thomas émet un jingle indiquant qu’un nouveau membre vient de pénétrer dans sa zone de proximité : « C’est un ami à qui j’avais donné rendez-vous plus tard, pour dîner. Lui aussi a vu que j’étais ici plus tôt que prévu, il arrive. »

Thomas et sa bande ont adopté Aka-Aki comme mode de communication principal. Quand deux membres signalent au système qu’ils sont officiellement « amis », chacun est mis au courant en temps réel de tout ce que fait l’autre. Et lorsque deux membres qui ne se connaissent pas encore se croisent par hasard, le système leur envoie la liste de leurs amis communs, directs et indirects – un premier sujet de conversation possible.

Peter, 28 ans, l’un des copains d’enfance de Thomas, aujourd’hui instituteur en maternelle, est devenu un inconditionnel d’Aka-Aki : « Je mets mon profil à jour aussi souvent que possible, toutes les dix minutes parfois. Quand je fais quelque chose d’intéressant, j’aime bien partager avec mes potes. » Récemment, Peter faisait la queue devant une discothèque, quand il a vu sur son mobile que deux de ses amis étaient déjà à l’intérieur : « Ils m’ont dit que l’ambiance était nulle et la bière trop chère. Nous nous sommes donné rendez-vous ailleurs. Ce qui est vraiment nouveau, c’est qu’on se retrouve spontanément sans être obligés de planifier ni de prendre des rendez-vous contraignants. »

Pour les utilisateurs, Aka-Aki est simple et instinctif, mais en coulisses le système est complexe. Les téléphones se trouvant à moins de 30 m les uns des autres se repèrent grâce à leurs émetteurs Bluetooth – installés pour faire fonctionner les oreillettes sans fil et échanger des photos. Au-delà de 30 mètres, Aka-Aki localise les appareils en interrogeant les nombreux réseaux Wi-Fi qui quadrillent la ville. Il peut aussi capter les signaux GPS, indiquant la longitude et la latitude des smartphones qui en sont dotés. Quand aucun autre système n’est disponible, Aka-Aki repère les mobiles connectés au même relais de téléphone GSM, ce qui fournit une localisation approximative. Si un membre se promène avec un vieux mobile non connecté à Internet, il est quand même inclus dans le réseau : à chaque fois qu’il croise un autre membre, il reçoit un SMS d’alerte.

Après des débuts incertains, Aka-Aki comptait plus de 100 000 membres en mars, surtout en Allemagne, en Autriche et en Suisse. Mais rien n’empêche le reste du monde de se connecter : l’interface est en partie en anglais, et des versions en diverses langues sont en préparation. L’idée est née en 2006 : il s’agissait au départ d’un projet de fin d’études imaginé par cinq étudiants du département publicité de l’Ecole des beaux-arts de Berlin. Le succès de leur invention fut tel auprès de leur entourage qu’ils décidèrent d’interrompre leurs études et de créer une start-up.

Aujourd’hui, la société Aka-Aki, un nom facile à retenir, qui ne veut rien dire (¡joder, chico ! en espagnol, ça veut dire « ici et là » et ça se dit aussi d’un gamin qui a la bougeotte) , compte 17 salariés, tous jeunes et branchés, installés dans un immeuble agréable au centre de Berlin. Son avenir à court terme est assuré grâce à une société allemande de capital-risque. Cela dit, son business model reste flou. Ses jeunes patrons essaient d’imaginer plusieurs scénarios : publicités géolocalisées ultraciblées, promotion d’événements, partage des recettes avec les opérateurs Internet… Ils ont déjà passé un accord avec la compagnie de télécom allemande E-Plus, pour que le trafic Aka-Aki reste gratuit. Aka-Aki pourrait aussi devenir un outil de travail. Roman Haensler, 29 ans, l’un des cofondateurs, lance une piste : « Dans un Salon professionnel, tous les téléphones vont s’échanger des cartes de visite et des CV numériques, ça va décupler le maillage. »

La puissance de Aka-Aki semble illimitée, car un mobile doté de son logiciel ne repère pas seulement les autres membres, il recense tous les appareils émettant un signal Bluetooth : téléphones mobiles ordinaires, ordinateurs, imprimantes, GPS de voiture… Till, 29 ans, chercheur en biologie, fait une démonstration dans un café fréquenté par des étudiants. Dès qu’il entre, son mobile affiche une liste de 22 mobiles, 1 GPS et 7 ordinateurs portables. Le plus souvent, le signal Bluetooth diffuse simplement la marque et le modèle de l’appareil, mais parfois, le propriétaire a entré un pseudo, ou même son vrai nom. Le serveur central de Aka-Aki crée un profil pour chaque appareil et note qu’ils ont été « découverts » par Till en indiquant le jour et l’heure : « C’est comme un jeu de piste, tous mes amis savent que je suis passé par ici, puis par là, et combien de fois. C’est étrange, mais sur Aka-Aki, les objets acquièrent une vie propre. » L’ordinateur du gérant du bar, installé dans une arrière-salle, possède bien sûr son profil depuis longtemps. Il affiche la liste de tous les membres de Aka-Aki ayant fréquenté le lieu, avec pour chacun d’eux le nombre de visites et la date du dernier passage. (suite…)


Au même titre que vous fermez la porte des cabinets quand vous coulez un bronze.. quand vous êtes sur les réseaux sociaux, réfléchissez à ce que vous donnez à voir. Richard Stalmann disait : « La règle est toujours la même : si c’est quelque chose dont tu n’aimerais pas que ta maman l’apprenne, alors ne le mets pas sur le Net »…

[ Libération 09/03/2009 ]

Comment le Net a bouleversé la pratique de la profession, réunie en Etats généraux vendredi à Paris.

«Vous n’imaginez pas tout ce qu’on peut savoir en quelques clics de souris… Donnez-moi deux heures, et je saurai tout sur vous». Le Nestor Burma moderne, costard cravate et iPhone, vous épie avant tout via la Toile. «C’est comme tout, notre métier évolue avec le temps. Avant on faisait des filatures à vélo, maintenant on utilise Internet et les satellites… Il n’y a rien d’extraordinaire là-dedans», assure Goolam Monsoor, détective privé – ou plutôt, comme on dit dans le métier, «ARP» pour agent de recherches privées. Vendredi, il participait aux Etats généraux de la profession organisés par les trois principaux syndicats pour dépoussiérer l’image du métier.

«95% des infos sont en accès libre»
Premier conseil (de débutant) d’Yves Conversano, directeur de la principale école de détectives privés en France (IFAR): «Consulter les pages blanches.» Plus besoin de stocker les botins de tous les départements français pour rechercher par exemple l’adresse de la maîtresse du mari. «C’est tout bête, parfaitement légal et d’une efficacité redoutable», poursuit le détective qui forme une quinzaine d’étudiants chaque année. «Pourquoi prendre le risque d’enfreindre la loi, alors que 95% des informations sont accessibles facilement et en toute légalité», renchérit Alain Juillet, haut responsable de l’Etat chargé de l’intelligence économique depuis 2003. «C’est un peu comme si toutes les informations étaient servies sur un plateau», résume un agent, vingt ans de métier dans les bottes.

Par exemple, pour connaître le nom d’un gérant d’entreprise, «plus besoin de se taper quatre heures de queue au greffe du tribunal de commerce. On consulte Infogreffe.fr, et c’est une matinée de travail de gagnée». Et tout est à l’avenant : archives de presse, état civil… Internet accélère et simplifie les recherches, même si «le Minitel nous avait déjà bien simplifié la vie», tient à rappeler Alain Bernier, le président du principal syndicat (le CNSP-ARP). Il avoue au passage s’en servir encore un peu aujourd’hui.

Les détectives adorent Facebook
Le GPS améliore aussi «sacrément» le quotidien des détectives. «Quel progrès! Plus besoin de rester planquer des heures dans la voiture pour surveiller la femme d’un mari jaloux. Avec le GPS tracking (intégrés dans de plus en plus de téléphones, ndlr), on peut suivre ses déplacements», souffle un spécialiste des affaires de couple, iPhone à la main.

Mais la dernière révolution dans le métier vient des réseaux sociaux, comme Facebook ou Copains d’avant. «C’est un outil de travail. Quand on commence une enquête, on vérifie si la personne recherchée a un profil sur Facebook, c’est le b-a ba…», assure un jeune détective, fraîchement sorti d’école. Un autre, installé à Lille depuis quinze ans : «Les gens racontent toute leur vie en détail. Et le plus fou: les informations sont exactes, la plupart ne mentent même pas

Mais, par «professionnalisme», il assure aller toujours vérifier sur le terrain les informations trouvées sur le Net. Question de principe et d’habitude. «Je préfère le contact humain. On en apprend beaucoup en allant chez les gens. Le classique “Bonjour, je viens pour le recensement” est une valeur sûre».

«Il n’empêche, Facebook est très efficace, bien plus utile que les fichiers policiers comme Edvige. La Cnil ne nous met pas des bâtons dans les roues», s’enflamme Alain Juillet, soulevant des rires (un peu pincés) parmi la grosse centaine d’agents de recherche présents vendredi sur les 1.500 qui exercent sur le territoire.

Facile de créer une adresse mail…
Ils ont beau dire, on peine à comprendre comment ces détectives trouvent tant d’informations privées, en toute légalité, sur le Web. Comment, par exemple, forcer le passage sur Facebook, alors que les utilisateurs peuvent limiter l’accès à une communauté d’amis.

Première réponse, officielle, du directeur de l’école de détectives privés: «Toutes les techniques apprises aux élèves sont parfaitement légales.» Deuxième réponse, plus énigmatique (sourire en coin, certainement un héritage des vieilles séries américaines), du genre «un bon agent, c’est comme un magicien. Il a plein de tours dans son sac. Si on dévoile les ficelles, il n’y a plus de magie…»

Après plusieurs tentatives, on en apprend un peu plus : «N‘importe qui peut créer de faux comptes Facebook… Il suffit de se faire passer pour une vieille connaissance, et les portes s’ouvrent. On peut aussi se créer autant d’adresses mail que nécessaire», en utilisant le nom des amis repérés sur un réseau. Ou alors en utilisant des noms passe-partout qui rassurent : «On a tous des adresses, type M. Dupont ou Mme Durand, hyper efficaces: les gens tombent dans le panneau à chaque fois. Ils nous disent tout ce que l’on veut savoir.»

http://www.liberation.fr/societe/0101553055-les-detectives-prives-a-l-heure-de-facebook



C’est l’inverse qui serait surprenant…

Par contre il est significatif que le seul média francophone qui se soit donné la peine de traduire et publier l’interview de Russell Tice soit le site REOPEN 911. A force de se balader sur le Net, nous – les veilleurs d’IES – constatons de plus en plus que les sites méprisés par la grande presse, traités de « blog-pops » ou de « conspirationistes », hébergent souvent des pépites (bon, pas mal de fumier aussi, il faut fouiller) que la presse « mainstream », toute imbue de sa « respectabilité » (lire, déférence vis à vis du pouvoir) et obnubilée par la pensée unique n’a pas vues, ou a délibérément écarté, parce que n’entrant pas dans le moule de leur vision du monde…

La presse, quand elle veut ridiculiser ces sites, ne cite que les plus loufoques ou les plus délirants… mais même chez RENSE ou chez PRISON PLANET on trouve des infos intéressantes, si on sait les analyser à la lumière d’autres infos.

Au contraire, il y a fort longtemps que je n’ai pas trouvé une info originale ou intéressante dans « Le Point », « L’Express » ou « Libération »..

[Bug Brother 23 février 2009]
La “gorge profonde” qui avait révélé que l’administration Bush avait espionné les télécommunications de citoyens américains vient de révéler que si tous les Américains étaient potentiellement écoutés, les journalistes l’étaient tout particulièrement. Russel Tice a passé 20 ans à la NSA, avant d’en être chassé lorsqu’il commença à enquêter, de l’intérieur, sur cette gigantesque opération d’espionnage.

Fin 2005, quand le New York Times avait révélé cette histoire, Bush avait rétorqué que seuls quelques centaines d’Américains avaient été espionnés.  Il a fallu attendre le lendemain meme du départ de Bush de la Maison Blanche pour que Russell Tice se décide à en dire plus sur ce qu’il savait, sur MSNBC : officiellement, il était chargé de surveiller les télécommunications des journalistes, afin… qu’elles ne soient pas écoutées.

Dans les faits, elles l’étaient bien évidemment, et même, selon Tice, un peu plus particulièrement que ne l’étaient celles des autres Américains.  Etonnament, alors que le “scoop” du New York Times avait fait grand bruit (les services US n’ont pas le droit d’espionner les Américains, et encore moins sans mandat), les révélations de Tice sur MSNBC ne semblent guère mobiliser les médias.  Peut-être parce qu’à l’époque, il s’agissait de décrédibiliser George Bush. Peut-être aussi parce que les gens, ou les journalistes, se sont habitués à la possibilité des écoutes massives et généralisées. Ce qui serait bien triste.

Ainsi, le seul site en français à s’être intéressé à l’interview de Russel Tice, au point de la traduire, est ReOpen911 qui, comme son nom l’indique, émet des doutes quant à la version officielle des attentats du 11 septembre 2001. Sa traduction n’est pas des plus brillantes, et je n’ai nullement envie que l’on glose, ici, sur ce qui s’est passé ce jour-là. Je me contente de le citer parce qu’il a traduit l’interview que Russell Tice a accordé à MSNBC.

Il faudra attendre des années encore pour avoir d’autres témoignages, d’autres sources, viennent confirmer, relativiser ou infirmer ce qu’il explique du mode de fonctionnement de la NSA, le plus puissant des services de renseignement, accusé, depuis des années, d’espionner les télécommunications dans le monde entier.

Mais ce qu’il explique recoupe ce que Duncan Campbell, le journaliste anglais à l’origine de la révélation de l’existence du programme anglo-saxon Echelon d’écoutes des télécommunications, avait d’ores et déjà expliqué il y a quelques années, et qui avait entraîné l’Europe à critiquer cette façon toute particulière qu’ont les anglo-saxons d’espionner leurs alliés… et leurs concitoyens.

Extraits :
RUSSEL TICE : La NSA a accès à toutes les communications des Américains, aux fax, aux appels téléphoniques et aux communications passées via leur ordinateur. Et que vous soyez au Kansas, au centre du pays, et que vous n’ayez jamais passé de communication, aucune communication vers l’étranger, cela n’avait pas la moindre importance. Ils surveillaient toutes les communications.

OLBERMANN : Jusqu’à quel point est-il plausible de vouloir de véritables écoutes et une vraie surveillance ? Autrement dit, si tout n’a pas été vraiment lu ou surveillé par la NSA, tout a été collecté, enregistré, archivé par la NSA, non ? Jusqu’à quel point l’information en elle-même a-t-elle été examinée ? Avez-vous une idée ?

TICE : Eh bien, en réalité, même pour la NSA, c’est impossible de collecter réellement toutes les communications. Les Américains ont tendance à être une collectivité bavarde. Nous avons les meilleurs ordinateurs à l’agence, mais ils ne sont certainement pas bons à ce point.

Mais ce qui est fait, c’est en quelque sorte une capacité de regarder les méta-données, l’information sémantique des communications, et de fouiller cette information afin de déterminer quelles communications seraient collectées au final. C’est fondamentalement du filtrage, une sorte de balayage total avec ces méta-données pour sélectionner au final ce que vous allez regarder et ce qui va être collecté, et ce que par la suite un analyste étudiera. Et ce qui peut être intéressant, vous savez, se résume à quelques aiguilles dans une botte de foin.

OLBERMANN : Est-ce qu’il y a quelque part un fichier avec tous les courriels envoyés par tous les reporters du « New York Times » ? Y a-t-il quelque part un enregistrement de toutes les conversations que j’ai eues avec mon petit neveu au nord de New York ? C’est comme ça ?

TICE : Si c’était inclus dans cette branche particulière de la collecte, ce serait la totalité. Oui. Ce serait la totalité.

http://bugbrother.blog.lemonde.fr/2009/02/23/la-nsa-a-acces-a-toutes-les-communications-des-americains-et-surtout-celles-des-journalistes/


[Newssoft – dimanche 27 juillet 2008 ]
Un récent article au titre racoleur prétend qu’il existe des backdoors dans Skype, permettant aux forces de police d’écouter les conversations. Au delà du FUD, il me semble évident (compte-tenu des informations disponibles publiquement) qu’il est possible d’écouter une conversation Skype.

Parmi les arguments qui plaident en faveur de cette hypothèse:

* La présence de failles exploitables à distance dans le logiciel. Dont la nôtre 🙂
Ceci dit, même si les polices française et allemande (entre autres) ont des velléités de « piratage légal », un ex-français travaillant dans la sécurité informatique offensive pourrait confirmer que les « services » sont encore loin du « remote 0day dans Skype » …

* Le mécanisme d’authentification, basé sur une signature RSA, repose sur le jeu de clés Skype.
Il a déjà été démontré (cf. slides 101+) que le remplacement de ces clés dans un client Skype « malveillant » (par exemple, via la fonction de mise à jour automatique[*]) permettait de faire tourner un réseau totalement indépendant du réseau « officiel ». Le point de connexion entre le réseau « officiel » et le réseau « parallèle » simule un client Skype et peut avoir accès à toutes les communications en clair (attaque en homme du milieu).

Bien entendu si Skype coopère en donnant accès à ses clés privées, c’est encore plus simple.

* Le système de plugins permettant d’étendre les fonctionnalités du logiciel n’est pas sûr.
En effet, lors de l’ajout d’un nouveau plugin, une confirmation utilisateur est demandée. Mais cette confirmation ne fait qu’ajouter une entrée dans la liste des plugins, authentifiée par un « code de validation ». Ce code n’est en aucun cas une signature, et n’importe qui connaissant l’algorithme peut le recalculer. Un malware pourrait donc installer silencieusement un plugin Skype.

Compte-tenu des conférences passées présentant les méthodes de travail de la police, la solution du piégeage semble être la plus couramment utilisée.

* Enfin, de nombreux pays imposent aux opérateurs télécom la mise en place d’un mécanisme de Lawful Interception. On ne voit pas pourquoi une société américaine aussi importante (Skype est une société du groupe eBay) pourrait décider de se soustraire à cette obligation.

Maintenant chacun fait ce qu’il veut. Mais vous ne pourrez pas dire que vous ne saviez pas.

La question qui reste en suspens est: y a-t-il une bonne vieille backdoor dans Skype, permettant de prendre le contrôle de n’importe quel client à distance ? Un simple netstat -an devrait permettre de répondre à cette question 😉

http://news0ft.blogspot.com/2008/07/les-backdoors-dans-skype.html


BARBOUZES, SKYPE, FUD ET QUI VEUT GAGNER DES MILLIONS
[CNIS Mag – 17/02/2009]
Lors d’une exposition Londonienne, un industriel aurait laissé entendre que la NSA serait prête à payer très cher une solution technique pour poser des « bretelles » d’écoute sur le réseau de téléphonie IP Skype. C’est Lewis Page, du Reg, qui l’assure. Et, sans s’en rendre compte, l’on se fait prendre au jeu du « si tu savais ce que je sais… ». Car Skype, le chiffrement, les écoutes de barbouzes, les backdoors et l’omnipotence de la NSA sont les 5 mamelles chimériques d’Internet.

Skype,tout d’abord, débuta sa carrière comme l’un des plus gros problèmes d’administration, principalement à cause de ses « supernodes » longtemps impossible à museler et de sa gourmandise en bande passante. Skype encore dont le chiffrement et le routage « Peer to peer » rendait totalement hermétique aux passerelles de sécurité le contenu transféré. Car, outre la voix, Skype est un outil de messagerie instantanée intégrant des fonctions d’échange de fichiers.

Les écoutes de barbouzes, et celles de la NSA tout particulièrement, font partie des « légendes ou rumeurs invérifiées » -ou trop rarement vérifiées. Une légende qui pousserait à faire croire que chaque noyau ou programme de communication développé aux USA ou sous obédience américaine serait systématiquement doté d’une « porte dérobée ». Ceci dans le but d’aider les vaillants défenseurs de la Justice et de la Liberté (lesdits barbouzes). Disons-le tout net, ce genre de culte de l’accès secret, tout comme la « collection de failles logicielles exploitables à distance », font partie des choses normales dans ce monde. Et si ce genre de pratiques choque les défenseurs des libertés individuelles, l’on peut toujours agiter l’épouvantail du Club des pédophiles terroristes et révisionnistes réunis, fabricants de bombes artisanales. Invoquer la liberté de pensée sur le Net aujourd’hui, c’est s’exposer à être accusé de collusion –voir de complicité- avec les criminels récidivistes de tous crins. Dans de telles conditions, qui donc oserait encore s’émouvoir qu’un service d’espionnage cherche à écouter les conversations téléphoniques du monde entier ?

En organisant une « fuite » laissant entendre que la « No Such Agency » rechercherait une méthode pour tracer et déchiffrer les contenus véhiculés, les services de renseignements US poursuivent probablement plusieurs buts. Peut-être est-ce pour endormir la confiance de tous ceux qui penseraient que Skype est inexpugnable. Peut-être également parce qu’il est effectivement difficile de déchiffrer certains contenus dans l’état actuel des choses. Mais invoquer l’origine Européenne de l’entreprise pour expliquer cette inaccessibilité au code source –alors que Skype est une filiale de eBay, entreprise 100%US-, voilà qui relève plus du « prétexte politique » que d’une réalité technique.

L’hypothèse du « pont d’or » offert en échange de ce service de déchiffrement et de suivi des communications pourrait effectivement être, comme le laisse clairement entendre nos confrères du Reg, une forme déguisée d’aide gouvernementale à une entreprise privée, eBay ou l’un de ses proches …

Quand à la véracité de l’existence des backdoors dans Skype, le sujet a largement été couvert en juillet dernier par Nicolas Ruff. Il n’y a strictement aucune raison pour que ni les conditions, ni les arguments techniques invoqués alors n’aient fondamentalement changé depuis.

Rappelons toutefois que le Ministère Français de l’Education Nationale recommande vivement, et ce depuis 2005, de ne surtout pas déployer Skype dans les milieux universitaires en général et les centres de recherche en particulier. Simple principe de précaution.

Remettons nous également en mémoire que parfois, le chiffrement de Skype et son protocole de routage pourraient-être contourné, si l’on en croît la mésaventure survenue en 2006 à un certain Kobi Alexander. Souvenons-nous aussi de ces recherches organisées par des Universitaires de George Mason, Virginie, analysant les possibilités de traçage et de lecture de contenu d’une liaison tunnel par le biais de cookies et de chevaux de Troie. On ne dit pas que c’est « fait », on y raconte simplement que c’est possible sous certaines conditions.

http://www.cnis-mag.com/fr/barbouzes-skype-fud-et-qui-veut-gagner-des-millions/actualite.html


[LE MONDE 2 | 14.11.08 ]
En dix ans d’existence, Google a tellement grandi qu’il a fini par se rendre incontournable. Notre courrier, notre mémoire, bientôt notre dossier médical… chaque jour, les serveurs de l’entreprise accumulent de nouveaux détails sur notre intimité. Mais comment le géant Google gère-t-il nos données personnelles ?

Depuis plusieurs semaines, il soupçonnait si fortement sa femme d’infidélité qu’il ne parvenait plus à obtenir la moindre érection. Il s’était mis en quête d’un conseiller matrimonial, tout en cherchant le meilleur moyen de confondre son épouse. Sonoriser la voiture ? Installer des caméras de surveillance pour bébés dans l’appartement ? Pister l’activité de son téléphone portable ? Le jour où il avait découvert qu’elle le trompait bel et bien, et que l’amant était une amante, il avait sombré dans l’alcool. Au fond de sa déprime, il imaginait mettre un contrat sur les deux femmes. Ce résident de Floride avait cherché un contact auprès d’une mafia au Portugal, son pays d’origine. Désespéré, il avait fini par s’enquérir d’une aide au suicide, avant de se raviser, et de décider de quitter le continent américain.

Comment connaissons-nous autant de détails privés de cette triste histoire vraie ? Quelle autre trahison, en plus de celle de son épouse infidèle, a valu à cet homme de voir ainsi publiquement exposée son intimité ? Celle de son analyste ? D’un membre de sa famille ? D’un proche confident ? Non : de son moteur de recherche. Car ce qui fait le canevas de ce drame domestique n’est rien d’autre, ni rien de plus, que la suite de mots-clés qu’il a recherchés, jour après jour et pendant trois mois, sur le Web.

En août 2006, AOL a divulgué accidentellement un fichier contenant les logs de 658 000 utilisateurs, collectés entre les mois de mars et de mai de la même année. Les logs, c’est-à-dire l’historique des mots-clés recherchés sur Google depuis le portail d’AOL, accolés à la date et à l’heure de leur recherche. Chaque internaute n’est certes identifié que par un numéro – celui de l’époux trahi est 14162375 – mais bien vite, des journalistes et des blogueurs se sont amusés à rechercher, parfois avec succès, des identités réelles derrière les suites de chiffres…

Aux Etats-Unis, l’affaire a frappé les esprits. Car ce n’est pas seulement « une base de données d’intentions humaines », selon l’expression du journaliste américain John Battelle (La Révolution Google, éd. Eyrolles, 282 p., 19,90 €), que révèlent ces logs : c’est aussi et surtout un immense catalogue d’angoisses, de pulsions, de terribles secrets, de noirs fantasmes ou de perversions cachées… L’utilisateur 11574916 cherche « cocaïne dans l’urine ». Le numéro 1515830 se demande « comment dire à votre famille que vous êtes victime d’inceste ». Un autre, le numéro 59920, veut savoir « à quoi ressemble un cou après avoir été étranglé » et quelle « corde utiliser pour cravater quelqu’un »… (suite…)


[Claude-Marie Vadrot, Politis.fr – 19 novembre 2008]

Après les sabotages de lignes TGV le 8 novembre dernier, neuf personnes, bien vite présentées comme des « anarchistes d’ultra-gauche » par les médias et la police, ont été placées en garde à vue. Mais aucun élément n’est venu prouver leur culpabilité et de nombreuses questions restent en suspens.

Dimanche 16 novembre, neuf membres présumés d’une « cellule invisible » qualifiée « d’ultra-gauche, mouvance anarcho-autonome » par la ministre de l’Intérieur, ont été mis en examen pour « destructions en réunion en relation avec une entreprise terroriste ». Quatre d’entre-eux ont été mis en liberté sous contrôle judiciaire et cinq incarcérés. Sans qu’il existe, en l’état actuel de l’enquête, la moindre preuve qu’ils aient de près ou de loin participé aux actes de malveillance qui avaient perturbé une semaine plus tôt le trafic des TGV Nord, Est et Sud-Est. Ce qui n’a pas empêché la plupart des médias de répéter les vraies-fausses informations répandues par les policiers pour accréditer l’existence d’un « groupe de terroristes », basé à Tarnac en Corrèze, en train de préparer des sabotages. Quelques informations méritent pourtant d’être examinées de plus près, d’autant qu’elles n’ont pas été répercutées par la presse.

Le groupe cellule invisible existe-t-il ?
Pour la Sous-direction anti-terroriste (SDAT) et pour la Direction centrale du renseignement intérieur (DCRI), la réponse est positive depuis au moins sept mois, depuis qu’elles ont reçu instructions de « trouver des terroristes français ». Mais ce groupe n’a jamais existé comme structure et le mot choisi à dessein par la police et la justice pour les désigner n’a été inspiré que par la signature collective d’un livre, « L’insurrection qui vient » (éditions La Fabrique). Livre théorique plutôt fumeux qui n’a rien d’un « manuel de sabotage ». Il n’a fait l’objet d’aucune procédure depuis sa parution, le 22 mars 2007, et reste en vente libre pour 7 euros. Une seule réalité : une partie des résidents de Tarnac participaient systématiquement à des manifestations depuis leur installation progressive en 2002.

Le rôle des services spéciaux américains
Le couple « principal » des accusés aurait été repéré en janvier 2008 dans une manifestation organisée devant le bureau de recrutement de l’armée américaine qui se trouve depuis des années sur Times Square, à Manhattan. Ni la première ni la dernière des manifestations dans ce lieu symbolique de New York. Quelques jours plus tard, le couple aurait été interpellé avant la frontière canadienne pour « défaut de papiers ». Premier mystère : ce serait bien la première fois, depuis septembre 2001, que des policiers américains laissent filer des étrangers avec des papiers suspects. Deuxième incohérence : dans leurs premières distillations « d’informations » aux journalistes, les policiers français expliquent que ce couple était soupçonné d’avoir participé à une dégradation du bureau de recrutement. Jusqu’à ce que l’on apprenne que « l’attentat » a eu lieu en avril, Julien et Yldune étant à cette époque revenu en France depuis des mois. La version officielle française dit pourtant que les services spéciaux américains ont (auraient) signalé le couple deux jours après « l’attentat ».

Un groupe sous surveillance ?
Oui. Selon nos informations, au moins depuis deux ans et demi, comme la plupart des groupes ou des individus participant régulièrement à des manifestations. La mise en fiche particulière, avec suivi par des officiers de police, des manifestants considérés comme « actifs » ou « récidivistes » a été ordonnée le 25 mars 2006 par Nicolas Sarkozy lors d’une réunion au ministère de l’Intérieur, au lendemain des premières manifestation anti-CPE. Michèle Alliot-Marie a pris le relais en étendant le système de suivi.

Le groupe était-il infiltré ?
La question se pose : à en croire ceux qui ont approché des membres du groupe, dans le XXe à Paris et en Corrèze, il n’aurait jamais été question, au delà des discours, du moindre passage à l’acte. Si la pose des fers à béton sur des caténaires est prouvée, ce qui n’est pas encore le cas, il se dit dans l’entourage du groupe que parmi les personnes relâchées (il y a eu 21 interpellation le 9 novembre au matin) figurerait un personnage qui a beaucoup insisté, il y a trois mois, pour un passage de la théorie à la pratique, idée qui rencontrait des résistances. L’histoire des milieux anarchistes est riche d’inflitrations-provocations dans lesquelles la police n’intervient qu’après l’acte illégal « suggéré ». Soupçons à rapprocher d’un témoignage accusateur sous X (anonymat donc garanti) fait « spontanément » jeudi dernier par un membre du « groupe » dans une brigade de gendarmerie du Puy-de-Dôme.

La ministre de l’Intérieur réinvente le délit d’opinion
Le 13 novembre, un représentant du Parquet de Paris a déclaré : « Les éléments recueillis ne permettent pas de les présenter comme coupables, le délit d’opinion n’est pas criminalisé en France ». Le procureur de Paris, sur instructions, a estimé le contraire. Au début de l’enquête, le 8 au matin, les gendarmes ont annoncé disposer d’empreintes et de traces ADN. Dimanche, elles n’existaient plus. Les mises en examen, comme l’expliquent les avocats, ont donc été essentiellement faites sur des présomptions puisqu’en l’état actuel de l’enquête, il n’existe aucune preuve. Mais il est vrai que des policiers ont confié aux journalistes à propos de Julien : « Vous savez, il est très intelligent ». Ce qui constitue sans aucun doute une circonstance aggravante.


On va encore nous traiter de « paranos »… mais les bracelets GSM pour nourissons, les systèmes de flicage d’adolescents, les systèmes « Pay-as-you-drive » (qui seront bientot suivis de « Pay-as-you-live » dans lesquels votre assurance santé augmente ses tarifs en fonction de votre mode de vie « sain » ou non…)…

… et bien nous pensons que tout cela aurait mérité un débat de société et la mise en place de quelques garde-fous avant la dissémination à tout va. Mais c’est parce que nous sommes des paranos technophobes certainement…

et aussi peut-être parce que nous sommes assez vieux pour avoir lu Fourrier et Marx, et savons à quel point la notion « Maitriser son petit monde » et « Contrôler la société » sont deux piliers de l’Odre bourgeois.

Derrière l’argument rassurant de la « sécurité » ne se cache qu’une seule chose : l’interdiction de toute déviance. Les Talibans seront les premiers à se réjouir d’une généralisation du « flic GSM » dans la poche de chaque adolescent…

[Le Figaro – Agnès Leclair 30/09/2008]
Les technologies qui permettent de suivre à la trace adolescents en mal d’indépendance ou malades d’Alzheimer sont en plein essor. Bracelets électroniques pour nouveau-nés, dispositifs GPS pour personnes âgées, téléphones portables «espions» pour collégiens… Après la polémique provoquée par le fichier Edvige, la Commission nationale de l’informatique et des libertés (Cnil) rappelle que d’autres moyens de surveillance menacent plus fortement encore le droit à l’intimité. Sans crier gare, ces nouveaux «fils à la patte» s’insinuent dans le quotidien. «Les Français ont peur d’Edvige car c’est un fichier “police” mais ils devraient aussi s’inquiéter de la multiplication des techniques de traçage des personnes développées par des sociétés privées», alerte Alex Türk, président de la Cnil et sénateur du Nord (non inscrit), qui rendra une recommandation sur le sujet début 2009.

L’avènement d’une société «Big Brother» se jouerait donc aujourd’hui. «Avec l’essor du traçage, sans qu’on y prenne garde, nous pourrions nous réveiller dans un monde où l’on ne serait jamais certain de ne pas être suivi en permanence, craint Alex Türk. Pourtant, je ne cherche pas à diaboliser la technologie, ajoute-t-il. Il s’agit de contrôler les usages et non de rejeter en bloc des nouvelles techniques .» Parmi les usages, celui du traçage des personnes dites vulnérables – personnes atteintes par la maladie d’Alzheimer, âgées dépendantes, jeunes enfants – soulève un véritable débat éthique. Au nom de leur protection, la géolocalisation a effectué une véritable percée dans la sphère intime.

Les avis sont très partagés sur l’utilisation de ces technologies qui permettent d’obtenir des renseignements sur l’emplacement géographique et les déplacements des individus grâce à un émetteur. Il est vrai que le premier usage du bracelet électronique – la surveillance des prisonniers – n’a pas contribué à lui façonner une image positive. Mais malgré les réticences, le système fait des émules. Depuis son lancement en France, au printemps 2007, le bracelet électronique pour nourrisson a ainsi fait son entrée dans une petite dizaine de maternités. «Une centaine d’autres sont en train de réfléchir à sa mise en place et nous en sommes encore au début», avance Laurent Levasseur, directeur de la société Blue Linea, qui commercialise le système. Ce dernier se présente sous la forme d’une attache en plastique souple placée à la cheville des nouveau-nés. Le retrait du bracelet ou la sortie du bébé à l’extérieur d’une zone définie déclenche une alarme dans un poste de contrôle. (suite…)


[Commentaire de Démocrypte sur Betapolitique – 12/11/2008]

Comment reconnaître un terroriste du rail ?

1. Un terroriste du rail se reconnaît au fait qu’il est contre la guerre, mais avec une « rare véhémence ».

A tout seigneur, tout honneur, précisons que nos fins limiers ont été mis sur la piste des « terroristes de Tarnac » (Tarnac, 350 habitants, une église du XIème siècle, un château du XVIIème et 40 km de chemins de randonnée) par les américains qui ont signalé leur « chef » à la police française, comme le note le Figaro : « repérés à la fin de janvier pour des troubles à l’ordre public provoqués en marge d’une réunion anarchiste se tenant à Times Square à New York. Avec une rare véhémence, ils protestaient alors devant un centre de recrutement de l’armée américaine qui, d’ailleurs, a été frappé par un attentat le mois suivant. »

2. Un terroriste du rail se fait passer pour un individu « normal » : il trompe son monde en se dissimulant sous les traits de fermiers ou d’épiciers.

Le journal La Montagne avait rencontré les six jeunes femmes et quatre jeunes hommes devenus les « terroristes de Tarnac »… et n’y avait vu que du feu !

Le journal « La Montagne » nous les décrit comme habitants d’un bâtiment appelé « La ferme » qu’ils avaient achetés. Le maire de la commune, Jean Plazanet a déclaré à l’AFP que les jeunes qui l’occupaient l’avaient acheté en 2003. Ils y élevaient des moutons et entretenaient un potager. Cette communauté recevait des visiteurs venant de Grèce ou d’Italie. Ils étaient très bien intégrés dans la commune où l’un gère une épicerie qui fait également office de station-service. Les habitants interrogés ont été unanimes : ils sont très sympa.

« Il y a trois ans, en posant leurs valises sur le plateau, dans un hameau non loin de Tarnac, Gaëtan, 25 ans, et Benjamin, 30 ans, ne pensaient pas devenir commerçants. Lorsqu’ils ont débarqué avec une vingtaine de potes pour retaper une vieille ferme, les rumeurs ont d’ailleurs été bon train. “Tout est parti de notre volonté de travailler là où on vit. Car on n’est pas venu ici pour faire du fric”, explique Gaëtan. Pour preuve, il est également devenu président du comité des fêtes”, observe la Montagne.

3. Un terroriste du rail écrit

Autre élément à charge : il semble qu’ils écrivaient ! Selon Sud-Ouest, ce groupe aurait participé à la rédaction d’un ouvrage intitulé « L’insurrection qui vient », signé d’un énigmatique « Comité invisible » et paru aux éditions de La Fabrique. En voici quelques extraits.

4. Un terroriste du rail est étroitement surveillé par la police, mais parvient toujours a déjouer sa vigilance pour commettre ses forfaits sans jamais laissé ni indice, ni trace.

Voilà qui est accablant pour nos dix de Tarnac, c’est même signé : il n’y a pas de preuves contre eux comme le note le Point. Seul des terroristes peuvent détruire les preuves avec autant d’adresse alors qu’ils sont étroitement surveillé par la police !

5. Les terroristes commettent des attentats même pendant leur garde à vue

C’est ainsi qu’un train percute une plaque de béton posée sur les rails par malveillance près d’Alençon, le 11/11 à 17h30, alors que les 10 jeunes gens étaient en garde à vue.

http://www.betapolitique.fr/Qui-sont-les-vrais-saboteurs-de-la-16829.html#forum20407


[Le Télégramme de Brest – Hervé Chambonnière- 25/09/2008]

Quatrième volet de notre plongée dans les services de renseignement. Quand les RG dérapent.

Renseignements Généraux. Evitons toute méprise : ce service de police et les services départementaux d’information générale (SDIG) qui lui succèdent n’ont jamais été chargés d’autre chose que de « rechercher et centraliser des renseignements destinés à informer le gouvernement ». Des flics au service du politique, pas des juges. La police des coups tordus ? Yves Bertrand, directeur central de cette institution pendant douze ans (1992-2004) – un record – s’en est toujours défendu, et longuement expliqué dans un livre, paru l’an dernier (« Je ne sais rien… mais je dirai (presque) tout » ; Ed. Plon). Extrait : « Le pouvoir pouvait préférer garder pour lui les informations que nous lui transmettions, comme une arme suprême qu’il se réservait le droit de dégainer au moment le plus favorable. Cela constituait, je l’admets, une forme de chantage, qui n’était pas le fait des RG… »

L’informateur assassiné
« Chaque fois que le politique interfère avec le renseignement, cela se termine mal », martèle Jean-Pierre Pochon, un jeune retraité de la police, commissaire aux RG puis à la DST avant de terminer sa carrière comme directeur du renseignement à la DGSE. L’homme sait de quoi il parle : l’informateur qui lui avait permis de décapiter Action Directe a payé cette ingérence de sa vie, à la suite d’une fuite organisée par la gauche arrivée au pouvoir. C’est ce qu’il révèle dans un très instructif et palpitant récit, paru il y a quelques mois (« Les Stores Rouges », Ed. des Equateurs). Les leaders d’AD, amnistiés par le nouveau pouvoir, avaient ensuite revendiqué une longue série de vols à main armée, attentats et assassinats, dont celui du P-dg de Renault, Georges Besse, en 1986. « Si les ponts avec la politique avaient vraiment été coupés, peut être que les RG auraient survécu », suggère un habitué des cabinets ministériels. « S’ils ont disparu, c’est à cause des potins d’Yves Bertrand », tranche cet autre policier.

« Bouclez-la ! »
Un policier qui a longtemps officié en Bretagne témoigne : « Lorsque Paris me demandait d’accrocher des casseroles à quelqu’un, je répondais toujours oui, mais je ne faisais jamais rien », jure-t-il, refusant de citer des noms, « car les protagonistes sont toujours en activité ». A l’inverse, il craignait toujours que son service ne soit mis en cause si une information fuitait. Sa règle : jamais d’écrit ! « Parfois, mes gars me rapportaient qu’un tel était homo, qu’un autre était cocu… Je leur répondais que je ne voulais surtout rien savoir et qu’ils devaient la boucler. Si cela s’ébruitait, on allait encore dire que c’était à cause des RG… »

http://www.letelegramme.com/gratuit/generales/france/rg-la-police-des-coups-tordus-20080924-3856718_1471570.php


[Hervé Chambonnière- Le Télégramme de Brest – 23/09/2008]

Deuxième volet de notre série sur le travail des flics de l’ombre : le renseignement en milieu ouvert. Avec, parfois, de troublantes relations avec banques et syndicats…

En milieu ouvert, on les appelle des « correspondants ». Des élus, des syndicalistes, des salariés, des patrons… N’importe quel quidam en fait. De simples contacts qui, au cours de banales discussions, donnent l’air du temps, livrent quelques infos sur une manif à venir, sur les tensions qui agitent une association ou le mécontentement qui monte dans une profession, etc. « En milieu ouvert, on agit et on se présente ès qualité, insiste un policier. Il n’y a rien de caché ou de secret, même si nos interlocuteurs préfèrent que nous restions discrets… » A quoi carbure un informateur ? « Dans les motivations, on retrouve toute la gamme des sentiments humains », commente un commissaire. L’égo, la jalousie, la convoitise (écarter un concurrent), le jeu (jouer les « agents secrets », briser la routine…), le remords (ou la peur qu’une bêtise irréparable ne soit commise), le dépit, l’amertume, l’argent (en milieu fermé seulement), le patriotisme, l’amitié… « Même en milieu très fermé, le besoin de notabilité, de se sentir important peut jouer », explique-t-il.

« Nous avons parfois obtenu des infos de gens à la tête d’organisations dont personne ne soupçonnerait qu’ils aient pu nous parler », assure cet ancien officier traitant. Il n’en dira pas davantage, « par devoir de réserve », et parce que « ces informations pourraient choquer les gens ».

L’arme fatale : le PV qui saute

Pendant longtemps, faire sauter un PV a été la meilleure « arme » du RG, en milieu ouvert. « Pour nouer un contact, s’attirer la « sympathie » de quelqu’un, il n’y avait rien de tel, confesse un policier. Malheureusement, faire sauter une prune est devenu très difficile… » Même en milieu ouvert, certaines pratiques sont étonnantes. « Pourquoi croyez-vous qu’un syndicaliste se confie à un RG ?, interroge, amusé, un cadre de la police. Tout simplement parce qu’il espère que le fonctionnaire en question fera remonter plus facilement ses revendications auprès du préfet ou de Paris. Cela peut être aussi pour des raisons de sécurité, parce qu’il craint ne pas pouvoir tenir sa base au cours d’une manifestation. » (suite…)


[LE MONDE – 18/09/2008]
Une plainte visant notamment la NSA (Agence de sécurité nationale), le président américain George Bush et le vice-président Dick Cheney a été déposée devant une cour fédérale de Californie «pour faire cesser» la surveillance des communications de plusieurs citoyens américains.

L’ONG de défense des droits des citoyens sur internet Electronic Frontier Foundation (Fondation des frontières électroniques, EFF) a annoncé jeudi avoir déposé cette plainte au nom de cinq citoyens américains, clients d’un des principaux opérateurs des Etats-Unis, qui a participé au programme d’écoutes antiterroristes secrètement autorisé par George Bush au lendemain du 11-Septembre.

Il s’agit, a expliqué l’EFF dans un communiqué, de «faire cesser la surveillance de masse illégale, inconstitutionnelle et continue de leurs communications et des enregistrements de leurs communications».

Depuis qu’elles ont été révélées en décembre 2005, les écoutes antiterroristes sont au coeur d’un vif débat. Les renseignements pouvaient en effet espionner sans mandat d’un juge des conversations téléphoniques et électroniques entre les États-Unis et l’étranger, et donc potentiellement des Américains.

Une loi promulguée le 10 juillet par M. Bush légalise le procédé en autorisant un délai d’une semaine après avoir entamé la surveillance pour demander un mandat, d’une durée portée à un an pour des écoutes de groupes ou de personnes individuelles étrangères. Des Américains peuvent donc toujours être surveillés s’ils sont en communication avec l’étranger.

La plainte vise également les trois ministres de la Justice successifs de l’administration Bush, John Ashcroft, Alberto Gonzales et Robert Mukasey, ainsi que le directeur de cabinet de M. Cheney.

La plainte a été déposée pour que «les membres du gouvernement qui ont illégalement autorisé (les écoutes) en soient tenus pour responsables».

«Notre but est de démanteler ce programme de surveillance massive, le plus rapidement possible», a expliqué Kevin Bankston, avocat de l’EFF.

Cette poursuite contre le président Bush et des membres de son administration devrait constituer un clair avertissement pour le futur occupant de la Maison Blanche: si vous contournez la loi et que vous violez la vie privée des Américains, il y aura des conséquences», a ajouté Cindy Cohn, juriste de l’EFF.

EFF avait déjà entamé une action en justice contre le géant des télécommunications AT&T en 2006, l’accusant d’avoir permis, sans mandat, aux agents de la NSA, chargée du renseignement électronique, d’accéder aux communications de ses clients.

http://www.lemonde.fr/web/depeches/0,14-0,39-37010809@7-60,0.html


Froid dans le dos. A parcourir l’ouvrage des activistes grenoblois de Pièce et Mains d’Œuvre (PMO), Terreur et Possession, enquête sur la police des populations à l’ère technologique, on se dit qu’Orwell était un peu léger avec son 1984 et que le totalitarisme technologique n’est plus de la science-fiction… Alors, on a voulu approfondir. Un entretien aussi glaçant qu’instructif.

[Article 11 – samedi 1er novembre 2008]

« Quand l’histoire pour l’essentiel est devenue l’histoire des sciences et techniques, et plus précisément, celle de l’accélération technologique, la moindre des choses est d’examiner en quoi celle-ci affecte la marche des sociétés et leurs rapports de force. »

Voilà telle qu’énoncée en introduction la démarche intellectuelle à l’œuvre dans Terreur et Possession dernière production des agitateurs d’idées de Pièce et Mains d’Œuvre. Pour ce collectif activiste qui avance masqué (ils refusent par exemple de communiquer sur le nombre et l’identité des auteurs de l’ouvrage), il s’agit d’interroger les mutations technologique à l’œuvre en ce début de XXIe siècle, de montrer à quel point le facteur technologique est tout sauf « neutre ». Au fil des pages, on ne tarde pas à comprendre combien cette question est fondamentale et son importance sous estimée.

Le constat ? Les avancées technologiques, habilement encouragées par un État obsédé par le sécuritaire, renforcent notre servitude et envahissent notre quotidien à une vitesse alarmante. Mais en douce… Technologies de contrôle qui peu à peu s’immiscent partout, des corps aux cerveaux, des cartes bleues aux lieux publics, des passes Navigo aux voitures. Un état des lieux alarmant dressé par les activistes de PMO, dans cet ouvrage comme sur le site du collectif : pièces et mains d’Œuvre. Éclairage . (suite…)


Dans les années 1970, la pratique consistait déjà à « écouter » le bruit des touches de clavier des machines à écrire dans les ambassades US et URSS afin de tenter de savoir ce qui y était tapé. Mais la présente technique est nettement plus insidieuse, si cela fonctionne depuis un récepteur situé dans la rue… On lance un appel à projets : fabriquer un clavier qui soit blindé contre les fuites électromagnétiques. Tout comme on est toujours à la recherche d’une « zappeuse » de puces RFID.

[Rue 89 – AEI Tech – 27/10/2008]
Deux chercheurs en sécurité informatique du Lasec (http://lasecwww.epfl.ch/) (Security and Cryprography Laboratory), à l’EPFL (École polytechnique fédérale de Lausanne), viennent de montrer qu’il est vraiment très facile d’espionner à distance un clavier ordinaire (http://lasecwww.epfl.ch/keyboard/), filaire. Selon la taille et la sophistication de l’antenne utilisée, jusqu’à une distance de 20 mètres. Y compris, bien sûr, à travers un mur. Le sujet n’est pas neuf, mais ces travaux remettent les pendules à l’heure.

Car il n’est pas nécessaire qu’un bidule soit «sans-fil» pour qu’il émette des rayonnements électromagnétiques, autrement dit des ondes. Sans le faire exprès. En fait, tous les claviers avec fil du commerce en émettent. Au point qu’il suffit d’une antenne, d’une électronique et d’un logiciel ad hoc pour y retrouver de quoi identifier chaque caractère tapé au clavier.

Martin Vuagnoux et Sylvain Pasini ont testé quatre techniques d’attaque différentes, sur onze claviers du commerce, d’époques variées. Ils ont réussi à espionner chacun d’entre eux à l’aide de l’une au moins de ces quatre méthodes. Deux vidéos (désolé, en anglais) montrent respectivement une attaque réalisée à un mètre de distance avec une antenne simplette: (voir la vidéo)

http://www.dailymotion.com/video/k3ZICXsFMg22a5Odmq

Et une autre de loin à travers un mur, via une antenne plus sophistiquée: (voir la vidéo)

http://www.dailymotion.com/video/ktnjBnYqiRi35eOdtu

Conséquence: tout ce que vous tapez sur votre clavier peut être écouté depuis une camionnette stationnée de l’autre côté de la rue. Lorsque vous tapez votre mot de passe sur le clavier d’un distributeur de billets : idem.

Voici une nouvelle comme je les aime, du genre qui montre où sont les vrais problèmes. Pour vous protéger contre Big Brother, vous chiffrez vos communications sur Internet? On peut vous écouter en amont, chez vous. Vous évitez les claviers sans fil, parce qu’ils émettent des ondes?  Votre clavier filaire aussi.

http://www.rue89.com/2008/10/28/big-brother-peut-prendre-le-controle-de-votre-clavierr




Au fait, c’est quoi déjà le prénom du chien de ta grand-mère ? Un mot de passe vaut mieux que deux tu l’auras…

[BienBienBien – Nora – 19/09/2008]
Herbert H. Thompson (aucun lien, fils unique) est un développeur très curieux qui a décidé un jour de mener une petite expérience amusante et flippante à la fois intitulée “How I Stole Someone’s Identity” : intrigué par la quantité d’infos personnelles que dévoilent les gens sur le Net, il s’est demandé s’il était si difficile que ça d’usurper l’identité de quelqu’un en accédant à ses différents comptes virtuels. Pour ce faire, il a décidé de s’attaquer spécifiquement aux comptes bancaires d’une connaissance (consentante). Même pas une amie, une simple connaissance dont il ne savait finalement que très peu. Elle lui a simplement donné l’identifiant qu’elle utilisait pour accéder à ses comptes bancaires online (un simple prénom.nom), à lui de jouer pour s’y introduire.

Il raconte alors les (7) différentes étapes de sa quête pour trouver les 2 mots de passe de 2 boîtes mail différentes, afin de réinitialiser LE mot de passe lui permettant d’accéder aux comptes bancaires. Et c’en est flippant de facilité : les questions posées lorsqu’on a perdu son mot de passe sont toujours les mêmes : du plus simple comme la date de naissance, le code postal, au un peu moins simple mais néanmoins trouvable nom de jeune fille de maman, du premier animal de compagnie, deuxième prénom de papa, couleur de votre housse de couette, boisson préférée etc.

Le pire c’est qu’il n’a pas eu à jouer les détectives privés, ni à passer 15 coups de fil; il a trouvé toutes les informations nécéssaires sur le CV et le blog personnel de la “victime”. Comme le fait remarquer très justement Thompson, il ne faut pas oublier que toutes les données que l’on rend disponible online à notre sujet disparaissent rarement totalement du Web. Sa conclusion : Think first, post later. 

http://bienbienbien.net/2008/08/28/un-mot-de-passe-vaut-mieux-que-deux-tu-lauras/


[Kitetoa – 12/09/2008]

Signer une pétition en ligne ou manifester virtuellement ne se fait pas toujours sans risque. En dépit des promesses de protections variées, vos données complètes pourraient bien se retrouver entre des mains bien peu amicales.

Il y a peu de monde pour en disconvenir, le fichier Edvige et sa cousine Cristina sont pour le moins inquiétants. Alors pourquoi ne pas signer la pétition qui a réuni jusqu’ici environ 100.000 opposants au projet gouvernemental de fichage de la population, y compris les mineurs à partir de 13 ans ? Peut-être parce qu’en dépit des promesses de ses promoteurs, vos données -pas seulement votre nom- pourraient bien se retrouver très rapidement dans les ordinateurs de la DST et des RG, nouvellement la direction centrale du renseignement intérieur, pour une injection immédiate dans Edvidge ?

« Les adresses recueillies dans le cadre de cette campagne ne seront pas utilisées à d’autres fins. Les signatures resteront visibles le temps de la campagne. A la fin, seul restera visible le nombre de signataires (les informations anonymisées pourront être rendues disponibles à des fins de recherche). Les signatures sont recueillies par le RAS (Réseau Associatif et syndical, http://www.ras.eu.org) qui héberge cette pétition, et assure la sécurité et la confidentialité de ces données, les seules données apparaissant publiquement sur le site de la pétition étant vos nom, prénom et informations complémentaires éventuellement fournies. » préviennent les propriétaires du site de la pétition. Manque de chance, en 3 minutes chrono, le Kitetoa.com a pu se procurer, sans rien pirater, l’ensemble de la base de données, mot de passe de l’administrateur compris. Les emails et les adresses IP qui identifient les ordinateurs des signataires, considérées comme des données personnelles par la CNIL, sont donc à disposition des ficheurs gouvernementaux s’ils disposent d’un accès Internet et d’un navigateur. On en attendait un peu plus en termes de confidentialité de la part des opposants au fichage de la population.

Bien entendu le RAS a été prévenu. Peu lui chaud, puisque plusieurs jours plus tard, la même base de données était toujours accessible avec un bête navigateur. Ce qui tend à prouver que les organisateurs de la pétition ne se sentent absolument pas concernés par les possibilités ainsi offertes à la police et au gouvernement de ficher avec précision les anti-Edvige, avant même que le controversé fichier ne soit mis en production.

C’est probablement l’idée que le RAS se fait du militantisme engagé et solidaire ?

Le site de la pétition est si bien configuré que, outre l’accès à la base des pétitionnaires, il est également possible de consulter les statistiques. Ceci permet aux curieux de consulter -entre autres choses- les adresses IP qui se sont le plus connectées et de voir jusqu’à quel point la pétition a du succès.

Autre cyber lieu, autre gag : Reporters sans Frontières a un peu privilégié l’aspect médiatique de sa « cybermanifestation devant le stade olympique de Pékin » par rapport à la sécurité des données des cyber-manifestants.

Par la voix de son président, l’inénarrable Robert Ménard, Reporters sans frontières s’énerve de manière assez régulière contre les journalistes emprisonnés et les pressions sur les « cyberdissidents ». L’organisation des JO en Chine a donné un fort coup de projecteur médiatique aux actions de l’organisation de défense de la liberté de la presse. L’une d’elle a par exemple consisté à pirater les ondes d’une radio chinoise pendant les jeux. Une autre, à manifester virtuellement devant le stade olympique de Pékin. Cette cyber-manif se tenait sur le site rsfbeijing2008.org. La campagne aurait réunit quelque 19 094 cyber-manifestants. Seul petit hic dans l’histoire, RSF a visiblement misé un peu plus sur les retombées médiatiques que sur la protection des données des personnes s’engageant à manifester virtuellement contre Pékin.

Ce qui peut évidemment poser un problème dans la mesure où la presse nous explique assez régulièrement que les hackers de l’armée chinoise sont extrêmement performants, au point d’attaquer -paraît-il- régulièrement les sites des ministères américains, allemands, britanniques, et même français. Après la campagne menée contre l’organisation des JO en Chine, les sites de RSF constituent probablement une cible de choix pour lesdits hackers. S’ils se sont attaqués à ces serveurs, ils auront sans doute trouvé, comme le Kitetoa.com, avec un simple navigateur, et sans rien pirater, une liste des cyber-manifestants, avec leur adresse. Et ils auraient même pu en effacer ou en rajouter. RSF n’a pas jugé utile de protéger les accès de l’administration du site avec un simple mot de passe. Un petit plaisantin aurait par exemple pu ajouter les membres du gouvernement français, des conseillers des ministres, le président et sa femme comme cyber-manifestants. Effet garanti…

A vue de cyber-nez, le piratage complet du site de la cyber-manifestation semble trivial. Mais nous n’avons bien entendu pas vérifié nos craintes. Ceci dit, à la veille de la cyber-manif, RSF annonçait que des pirates informatiques avaient accédé à l’administration de son site http://www.rsf.org et placé un virus faisant sonner les alarmes des visiteurs…

Si les hackers chinois à la solde de Pékin sont aussi bons que ce qu’en dit régulièrement la presse, ceux qui ont suivi l’appel de Robert Ménard ne risquent pas d’obtenir un visa pour la Chine avant un bail. Leurs noms et leur ville de résidence étaient accessibles en quelques clics sans piratage.

Amusant renversement de situation après le piratage d’une radio chinoise pendant les jeux…

Autre pétition trouée, mais qui n’intéressera (et encore) que le tout aussi inénarrable Philippe Val, rédacteur en chef de Charlie Hebdo, celle du soutien à Siné. Ses promoteurs avaient, comme les autres, installé un logiciel gratuit de pétition sans apporter les modifications de sécurité nécessaires. Il suffisait donc d’en lire la documentation pour arriver aux données des signataires…

Et tant pis pour les signataires et autres cyber-manifestants…

http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/Admin8/20080910-rsf-sine-et-non-a-edvige-reseau-associatif-et-syndical-laissent-acces-a-toutes-les-donnees-des-signataires-de-leurs-petitions.shtml


[Frederic Rolllin – 09/09/2008]

Après avoir lu les différents points de vue sur la question du fichier Edvige (et de sa cousine Cristina), j’ai eu du mal à me faire opinion precise sur le contenu de ces fichiers, ou plus exactement, sur les modifications qu’ils emportaient par rapport aux versions précédentes de ce qu’il était convenu d’appeler le « fichier des RG ».

Considérant qu’il était de la vocation originelle de ce blog d’essayer d’apporter quelques éclairages sinon dépassionnés, du moins plus structurés sur les questions d’actualité comprenant des aspects juridiques, j’ai essayé de reprendre les choses à la base. Et la présente note est le compte-rendu de cette recherche. Il ne faut donc pas essayer d’y retrouver un argumentaire cohérent en faveur d’une thèse ou d’une autre.

L’histoire, me semble-t-il, ne commence pas en 2008, avec l’adoption du décret précédé de l’avis de la CNIL et de l’avis sans doute largement favorable du Conseil d’Etat. Elle débute en réalité en 2002.

Il se produit en effet ici une conjonction de deux évènements : la volonté des services spéciaux, après les attentats du 11 septembre, d’obtenir les coudées plus franches dans la collecte et le recoupement du renseignement, et la nécessité de transposer dans notre droit interne la directive communautaire 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Et cette conjonction conduira, comme souvent, à un tour de passe passe visant à faire endosser par une supposée initiative communautaire ce qui est en réalité une initiative purement nationale.

http://frederic-rolin.blogspirit.com/archive/2008/09/09/fichier-edvige-un-pas-de-plus-vers-la-soft-dictature.html


[Korben le 28 août 2008]

Utiliser le réseau crypté TOR pour chatter (clavarder comme on dit là bas…), quelle drôle d’idée ! Et pourtant, c’est ce que propose Torchat qui est un genre de MSN peer to peer (p2p) qui connecte les interlocuteurs via un tunnel Tor chiffré et anonyme.

Torchat est une application portable et peut être lancé à partir de n’importe clé USB. Opensource, Torchat a tout pour plaire. Seul hic, le port utilisé est pour le moment statique ou alors il faut recompiler l’appli pour en utiliser un autre mais je suis sûr que dans la prochaine version, cette petite limitation sera résolue.

Pour le moment, on ne peut que chatter en mode texte, mais son créateur prévoit d’intégrer du transfert de fichier, du chat à plus de 2 personnes, un ipfilter et pleins d’autres options de paramètrage.

http://www.korben.info/torchat-le-client-de-messagerie-instantannee-crypte-qui-utilise-tor.html


[Le Post – 10/09/2008]

Depuis le 10 juillet, les personnes qui souhaitent l’annulation du fichier de renseignements Edvige peuvent signer une pétition en ligne, intitulée  » Pour l’abandon du fichier EDVIGE ». Hier, la pétition comptait plus de 130.000 signatures.

1. La liste des pétitionnaires accessible en moins de 3 minutes! « Les pétitionnaires ont donné l’autorisation de donner leur nom, le temps de la campagne », écrit Le Canard Enchaîné de ce mercredi. Et naturellement, « les autres informations, comme l’adresse, l’e-mail ou l’identification de l’ordinateur, doivent rester confidentielles. Le Réseau associatif et syndical (RAS), qui héberge cette pétition, s’y est engagé ».

« Mais la base de données est si mal protégée qu’en moins de trois minutes », un journaliste du Canard « a pu accéder à l’ensemble du fichier » -qui contient de nombreuses infos personnelles sur les signataires de la pétition- « mot de passe de l’administrateur compris ».

Les signataires de la pétition contre Edvige sont-ils déjà fichés dans Edvige?

Big brother, illustration.2. « Les gens qui ont mis en place cette pétition en ligne ont fait l’installation de base sans se soucier vraiment de la sécurité »

Contacté par Le Post, le journaliste du Canard qui a réussi à consulter le fichier explique comment il s’y est pris.

« C’est assez simple. La pétition a été mise en ligne via des logiciels libres, des petits scripts à télécharger, qu’il faut installer sur son serveur ». Ces logiciels présentent de nombreux avantages selon le journaliste: « C’est tout prêt, c’est gratuit, c’est tout beau… ». Le hic: « Si on ne fait pas attention, par exemple en oubliant d’enlever le mot de passe par défaut, il peut y avoir des failles dans la sécurité de ces logiciels. »

Du coup, comme il s’y connait un peu en informatique, « en rentrant une simple URL dans son navigateur », il a réussi à consulter « très facilement » le fichier « sans aucun piratage car le fichier n’est pas protégé ». Qu’a-t-il pu voir sur ce fichier? « La liste des signataires, avec leur nom, leur prénom, leur adresse, leur mail et leur adresse IP ».

« En fait, les gens qui ont mis en place cette pétition en ligne ont fait l’installation de base sans se soucier vraiment de la sécurité », explique le journaliste, qui trouve « assez pathétique » de voir que des gens mettent des pétitions en ligne sans se soucier de la sécurité du fichier. « Il ne faut pas non plus faciliter le travail des services de police! »

3. Impossible de se connecter à la pétition en ligne Ce mercredi matin, il était impossible de se connecter à la pétition en ligne. Est-ce l’hébergeur qui a volontairement détruit cette page pour éviter que d’autres petits malins n’infiltrent la base de données de cette pétition? Le journaliste du Canard ne le pense pas: « Leur serveur a dû être saturé par un trop grand nombre de visites ».

http://www.lepost.fr/article/2008/09/10/1261754_les-signataires-de-la-petition-contre-edvige-deja-fiches-dans-edvige.html

Page suivante »