FBI



[Les Echos – 14/04/2010]

Maître de conférences en économie à l’université Paris-Sud et auteur de « L’ économie des données personnelles et de la vie privée » , Fabrice Rochelandet décrypte les risques d’internet pour les informations privées.
Les Echos : Internet, particulièrement les réseaux sociaux, se nourrit de plus en plus de données personnelles. Quelles sont les conséquences sur la vie privée ?

Fabrice Rochelandet : L’une des principales conséquences est la multiplication des modes de collecte de données, entre la géolocalisation, les puces RFID, la biométrie… Il y a également une tendance des individus à se dévoiler et publier à outrance leur vie privée sur internet, avec les réseaux sociaux. Il y a quelques années, on parlait de nos informations privées, mais elles restaient dans le cadre privé, familial ou amical. Désormais, ces données sont ouvertes et à la portée de n’importe quel individu.

Quels sont les risques qui en découlent ?

Il y a deux positions très tranchées sur la question : ceux qui souhaitent à tout prix protéger leurs données et les autres qui nient en grande partie tout risque. Je pense qu’il faut avoir une position intermédiaire, car il y a plusieurs degrés de risque. Certains sont quantifiables, comme les spammings, et donc mutualisables. D’autres risques sont moins visibles, tels que la discrimination par les prix, avec des internautes dont les données privées ont été collectées et qui payent des prix différents en fonction de leur métier, de leur salaire… Ca a été notamment le cas d’Amazon, qui faisait payer des prix plus élevés à ses clients fidèles !

Peut-on parler d’un «glissement» de la sphère privée avec internet ?

On peut parler d’une nouvelle définition. Surtout, il n’y a pas de norme sociale de la vie privée. Chacun a sa propre stratégie, et se comporte comme il veut. En raison de cette pluralité de comportements, il n’existe aucune norme et il est impossible de conseiller un comportement sur internet. Les frontières bougent car les gens ont tendance à devenir des personnages publics sur internet. Il est désormais connaître beaucoup de choses d’un individu qu’on ne connaît pratiquement pas, de ses préférences politiques jusqu’à ses attirances sexuelles. C’est assez insidieux puisque cela peut engendrer des changements de comportement. De même, les entreprises peuvent découvrir des informations sur leurs employés, leurs futurs employés et autres postulants. Il y a un décloisonnement des espaces, qui crée de nouvelles formes de relations sociales. Pour autant, je ne crois pas à la fin de la vie privée sur internet. Cette notion évolue, tout simplement, ce qui explique la difficulté actuelle à légiférer ce sujet.

Les gens sont conscients des risques, mais ils s’inscrivent de plus en plus sur les réseaux sociaux… N’y a-t-il pas un paradoxe ?

Ils sont conscients des risques, mais ceux-ci sont futurs, peu visibles et non quantifiables. Personne n’est dupe, mais le bénéfice et la satisfaction immédiats prévalent sur les risques à long terme, comme le fumeur préfère prendre du plaisir immédiatement avec sa cigarette. Ainsi, un adolescent ne prendra que très peu en compte les risques en termes d’emploi de ses publications sur Facebook. Et c’est en dévoilant des informations personnelles que l’on crée du lien.

C’est d’autant plus dommage qu’il existe des outils de cryptage, des solutions de protection et d’anonymation des données, très souvent gratuits. Mais ces solutions sont peu adoptées car installer de tels outils nécessite des compétences précises. En outre, elles signifieraient, pour beaucoup, se démarquer socialement des autres.

Est-ce possible de garder le contrôle de ses données sur le web ?

Oui si l’on n’a pas de portable, ni internet… Et encore, il y a la vidéosurveillance. A moins de «faire le Robinson», il est impossible de garder totalement le contrôle de ses données privées sur internet.

Pour autant, le droit à l’oubli est souvent avancé comme une possible solution…

Le droit à l’oubli permet, certes, de demander à un opérateur d’effacer des données privées. Encore faut-il qu’il le fasse réellement, sans conserver aucune trace. Mais le véritable problème est de retrouver et remonter toute la chaîne de traçabilité de ces données. Le droit à l’oubli est, à la limite, applicable pour un opérateur, mais impossible au-delà en raison de l’asymétrie d’informations. En tout cas, je n’y crois pas un instant.

En parallèle, on recherche des solutions, en s’appuyant sur d’anciennes normes. Auparavant, les échanges se faisaient entre personnes physiques. Désormais, le contexte est totalement différent par rapport aux années 1970, et l’exploitation des données personnelles s’est démultipliée…

Que préconisez-vous alors ?

Il y a deux pistes qui me semblent intéressantes. La première est la labellisation des sites, une pratique récente en France avec la crise mais plus avancée aux Etats-Unis. Outre-Atlantique, elle est réalisée par des filiales de grands groupes à but lucratif… Et certaines études assez sérieuses ont révélé que la probabilité de tricherie était plus importante pour les sites labellisés que les autres… En France, il faudrait une agence indépendante, voire une ONG totalement autonome ou une institution, qui se finance qu’avec les amendes qu’elle récolte pour être crédible.

L’autre solution est la prévention. La loi votée fin mars 2010 au Sénat comporte un volet censé amener les gens à avoir un comportement plus prudent. Mais le problème dans ce cas tient au canal de cette prévention : les professeurs. D’autant que, quand on crée un interdit, les plus jeunes ont tendance à l’outrepasser. Les parents ont été rajoutés par la loi mais ils sont bien souvent dépassés par ces technologies. Cette solution peut être intéressante si elle est mieux ciblée. Faire des campagnes de sensibilisation en utilisant internet et en alertant les internautes dès qu’ils envoient des données personnelles serait plus efficace. Ce peut être une solution. Mais, comme toutes les autres, elle ne peut exister et être respectée que s’il y a une collaboration et une réflexion de tous les spécialistes techniques, juridiques, pédagogiques, psychologiques…

http://www.lesechos.fr/info/hightec/020477802230.htm

Publicités

Le fantasme sécuritaire, dans sa plus simple expression…

[Alexander Lehmann – Vidéo -Soustitres de Mecanopolis]

Le site de Alexander Lehmann fourmille de petites vidéos géniales : http://alexanderlehmann.net/

http://www.dailymotion.com/video/x9t6ek_tu-es-un-terroriste_news


Les policiers municipaux dans ma commune, je leur fais vachement confiance. L’idée qu’ils pourront – les soirs d’ennui – aller se balader sur les fiches du STIC pour le compte du politicard en campagne local, ça me rassure moyen. La tentation « calomnie Ali Soumaré » elle est loin d’être un cas unique, en France… Sans parler du fait que bon nombre de policiers municipaux sont recrutés par favoritisme politique local et n’auront donc pas de scrupules à ce servir de ces informations pour des opérations politiques… ou bien pour se faire un petit pécule.

Balkany inspire une circulaire qui permet aux policiers municipaux d’accéder au STIC

[ La Lettre du cadre – dimanche 21 mars 2010 –  Geneviève Koubi ]

Circ. 25 févr. 2010. Communication aux services de police municipale d’informations contenues dans les traitements de données à caractère personnel

Une question posée au ministre de l’intérieur, repérée au 6 février 2010 par la Lettre du cadre, a reçu rapidement une réponse par un autre biais que la classique réponse ministérielle. Cette réponse se présente en une circulaire administrative, la circulaire du 25 février 2010 relative à la communication aux services de police municipale, pour les besoins de l’accomplissement de leurs missions, d’informations contenues dans les traitements de données à caractère personnel, du ministre de l’Intérieur, de l’outre mer et des collectivités territoriales [1]. (suite…)


Les « centres de fusion » de Big Brother font partie de l’appareil de renseignement et de surveillance intérieur
Budget astronomique : 75 milliards, 200,000 employés

[ Tom Burghardt – Mondialisation.ca – 5 octobre 2009]

Les centres de fusion auront accès aux renseignements militaires classifiés

Lors d’une allocution le 15 septembre au Commonwealth Club de San Francisco, le directeur du renseignement national, l’amiral Dennis C. Blair, a révélé que l’actuel budget annuel pour la « communauté du renseignement » (CR)de 16 agences se chiffre 75 milliards de dollars et emploie 200 000 personnes à travers le monde, incluant des contractuels de l’entreprise privée.

En dévoilant une version non classifiée de la Stratégie de renseignement national (National Intelligence Strategy, NIS), M. Blair soutient qu’il cherche à abolir « cette vieille distinction entre le renseignement militaire et non militaire », en affirmant que la traditionnelle « ligne de faille » séparant les programmes militaires secrets de l’ensemble des activités de renseignement n’est plus pertinente.

Comme pour souligner la nature radicale des propos de M. Blair, Federal Computer Week rapportait le 17 septembre que « certains officiels non fédéraux ayant les autorisations requises et qui travaillent aux centres de fusions des données du renseignement partout au pays auront bientôt un accès limité à de l’information classifiée liée au terrorisme se trouvant dans le réseau d’information classifiée du département de la Défense » . Selon la publication :

Dans le cadre de ce programme, les officiels étatiques, locaux ou tribaux autorisés pourront accéder à des données pré-approuvées sur le Secret Internet Protocol Router Network. Ils n’auront pas la capacité de téléverser des données ou d’éditer du contenu existant, ont déclaré les officiels. Ils n’auront pas non plus accès à toutes les informations classifiées, mais seulement à celles que les officiels fédéraux mettront à leur diposition.

Les officiels non fédéraux auront accès par le Réseau de données de niveau secret du département de la Sécurité intérieure (Homeland Security, DHS). Selon le DHS, ce réseau est actuellement déployé dans 27 des plus de 70 centres de fusion partout au pays. Des officiels de divers niveaux du gouvernement partagent de l’information liée à la sécurité intérieure par le biais des centres de fusion. (Ben Bain, « DOD opens some classified information to non-federal officials, » Federal Computer Week, 17 septembre 2009)

Depuis les attaques terroristes du 11 septembre 2001, le gouvernement fédéral a encouragé la croissance explosive des centres de fusion. Comme l’envisageaient les sécuritaristes, ces institutions hybrides ont élargi la collecte d’informations et les pratiques de partage à une grande variété de sources, incluant les bases de données commerciales, entre les autorités policières locales et étatiques, le secteur privé et les agences fédérales de sécurité, y compris le renseignement militaire.

Toutefois, les centres de fusion, à l’instar des fameuses « brigades rouges » des années 1960 et 1970, se sont rapidement métamorphosés en galeries marchandes de sécurité nationale, où les officiels surveillent non seulement les présumés terroristes, mais aussi les activistes de gauche et les militants écologistes, considérés comme une menace à l’ordre corporatif existant.

On ignore à ce jour le nombre d’analystes du renseignement militaire dans les centres de fusion, en quoi consiste leur rôle et s’ils se consacrent ou non à la surveillance intérieure. (suite…)


La NSA étatsunienne sait de quoi elle parle, en 1995, dans le cadre de la préparation des lois CDA et Network Surveillance, elle avait obtenu de Microsoft qu’ils intègrent une « porte dérobée » dans leur système d’exploitation afin de que les services secrets U.S. puissent venir fouiller dans l’ordinateur à distance et que la NSA puisse décoder la clé d’encryptage utilisée par l’utilisateur pour protéger ses communications. A l’époque cette mesure était – déjà – justifiée au nom de la lutte contre le terrorisme… on traquait alors les « groupes miliciens » qui avaient soi-disant fait sauter le batiment fédéral de Oklahoma-City et voulaient assassiner Bill Clinton.

En 1998, à la conférence Crypto98, un groupe de chercheurs avait révélé que les DLL intitulés ADVAPI et NSAKEY, installés par défaut dans toutes les copies de Windows, étaient en fait un « rootkit » de la NSA.

http://www.theforbiddenknowledge.com/hardtruth/nsa_backdoor_windows.htm

[Silicon.fr – 20/11/2009]

Après la faille non-patchée découverte sur Windows 7, cette fois un chercheur en sécurité de la très sérieuse NSA (National Security Agency) américaine explique que l’OS de Microsoft n’est pas totalement sécurisé.

Microsoft a donc réagi dans les colonnes de Computerworld en réfutant l’idée de la présence de portes dérobées (backdoor). Une position qui n’étonne aucunement l’ensemble des chercheurs en sécurité. Cela étant, il serait plus qu’étonnant que Microsoft ait délibérément caché cette porte et engagé ainsi sa réputation.

Pour information, les portes dérobées sont un des moyens les plus utilisées par les cyber-espions. Ces derniers utilisent des chevaux de Troie appelés trojans qui permettent d’ouvrir des «portes de service» qui donnent accès aux données de l’ordinateur depuis l’extérieur.

Selon Mikko Hyppönen, directeur des laboratoires de recherche de F-Secure, il s’agit là du moyen principal de piratage. « La porte de service se lance immédiatement et se cache dans le système, souvent à l’aide de techniques de rootkits. Il établit une connexion depuis l’ordinateur infecté vers une adresse réseau spécifique située quelque part dans le monde. Avec l’aide de cette porte de service, le cybercriminel accède aux informations situées sur l’ordinateur cible, ainsi qu’aux informations situées dans le réseau local auquel la cible accède. »

Ainsi la position extrême s’avère être celle de se déconnecter du Web, certains postes contenant des informations critiques. Une solution radicale… mais inapplicable aujourd’hui face à la réalité des besoins de communication en ligne.

http://www.silicon.fr/fr/news/2009/11/20/windows_7_embarque_t_il_une_porte_derobee_


[Gilles J. Guglielmi – Guglielmi.fr – 06/07/2009]
Une proposition de création présentée par la Commission européenne

Big Brother est en gestation. C’est en fait Big Sister, puisqu’il s’agit d’une agence de régulation fondée par l’Union européenne. Orwell ne nous avait pas prévenu que le risque totalitaire viendrait de Bruxelles. Voilà ce que comporte la proposition de règlement du Parlement européen et du Conseil présentée par la Commission européenne le 24 juin 2009, COM(2009) 293 final qui a pour objet de créer une agence chargée de la gestion opérationnelle des systèmes d’information SIS2, VIS et EURODAC.

La Commission européenne présente une proposition de règlement du Parlement européen et du Conseil du 24 juin 2009, COM(2009) 293 final, ayant pour objet de créer une agence qui sera chargée de la gestion opérationnelle des systèmes d’information à grande échelle en application du titre IV du traité CE et, potentiellement, « d’autres systèmes d’information dans le domaine de la liberté, de la sécurité et de la justice ». (suite…)


Et encore, la STASI de l’Allemagne de l’Est avec leurs fiches et leurs classeurs, c’était des petites mains comparé à la puissance des systèmes informatiques d’aujourd’hui. Mais on va encore nous dire qu’on est des conspirationistes, paranos et pas cool…

Quand on sait le nombre de « retraités de l’Armée » qui pantouflent dans les « directions sécurité » des entreprises françaises, qu’est ce qui vous garantit que ces messieurs (voir l’Affaire Canal Plus) ne profiteront pas de leurs contacts pour consulter le fichier sur vous, à l’occasion d’un entretien d’embauche ? Et votre CV finira à la poubelle parce que, il y a 10 ans, quand vous étiez lycéen, vous avez écrit « Sarko facho » sur votre Skyblog.

Alors… toujours cool ?

(Note de copinage : on adore tout ce qu’écrit Jean-Marc Manach et son blog BugBrother vaut largement l’abonnement RSS)

[BugBrother – 19/08/2009]

Cybersurveillance : la DGA nie, mais ment

L’armée française, et ses services de renseignement, disposeront, en 2010, d’un système de surveillance des télécommunications leur permettant d’identifier très précisément toutes les fois où, dans une vingtaine de langues et par exemple, « Nicolas Sarkozy » aura été cité, à la radio, la TV ou sur l’internet, qu’il ait été qualifié de « le nouveau président français », « Monsieur Sarkozy », « le Président », « il », « celui-ci », ou « Sarko », ainsi que toutes les photos et vidéos où il apparaîtra (y compris caricaturé). Mais à en croire les ministères de la Défense et de l’Intérieur, il ne s’agit aucunement d’un système espion de surveillance.

En juillet 2008, un internaute anonyme postait, en commentaire d’un billet que j’avais consacré aux problèmes posés par les fichiers des services de renseignement, une information que je regrette de n’avoir pu alors recouper :

On peut également se demander ce qu’il adviendra des innombrables données collectées par le HERISSON (Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées), un outil informatique commandé par le Ministère de la Défense et la DGA (Délégation Générale pour l’Armement) afin de “pomper” tout média imaginable (des émissions de télévision aux transferts P2P en passant par les réseaux sociaux, les moteurs de recherche ou les tracts sur papier), en extraire les informations pertinentes (identification photographique et vocale de personnes, traduction automatisée…) et les croiser.

Suivait un lien vers l’appel d’offres. Faute de pouvoir accéder au cahier des charges du projet, je n’en faisais rien.

Mars 2009, mon (excellent) confrère Marc Rees met la main dessus, et publie sur PC Inpact un article truculent, qui “laisse entrevoir un système de collecte automatisée, de recherche d’informations et de surveillance de tout ce qui transite sur les réseaux” (radio, TV et internet), et fait le parallèle avec le système de surveillance anglo-saxon Echelon des télécommunications :

Exemple piquant, « Le système offre la possibilité de reconnaître l’entité elle-même de plusieurs manières différentes: Soit par mention explicite. Exemple : « Nicolas Sarkozy », Par mention relative (« le nouveau président français »), par mention partielle (« Monsieur Sarkozy », « le Président »), par anaphore (« il », « celui-ci »), par surnom (« Sarko ») ».

Le cahier des clauses techniques particulières (CCTP) détaille ainsi comment Herisson doit être capable de glaner à peu près tout ce qui passe sur les réseaux, qu’ils transitent sur les chats IRC, mailings listes, forums, réseaux sociaux, newsgroups, flux RSS, blogs, podcasts, flux vidéo, systèmes P2P, FTP… Il doit également être “calibré pour accéder à n’importe quel contenu (texte, image, son et vidéo), quels que soient les langages utilisés (HTML, PHP, ASP, javascript, Flash…), et en prenant en compte la problématique des liens cachés“. (suite…)

« Page précédentePage suivante »