Billets classés sous la catégorie « Sécurité »

Mercredi, à l’occasion de la Journée internationale des droits de l’homme, Amnistie internationale présentait une conférence virtuelle d’Edward Snowden. Vous pouvez voir son discours ici. Ce billet fait suite à la première partie du résumé de ses propos.

Une collecte de données « en vrac »

Pour Edward Snowden, le problème des programmes de surveillance de masse, c’est qu’on a inventé et implanté des systèmes qui surveillent des populations entières plutôt que des individus suspects. Ces programmes ne peuvent pas faire de discrimination et cibler seulement certains individus. Ils sont donc tenus de surveiller tout le monde. Snowden dit avoir vu un changement de pratique dans les 10 dernières années.

Auparavant, quand il y avait une surveillance, elle ne visait qu’un seul individu soupçonné d’agissements illégaux. Depuis les attentats du 11 Septembre, ce principe a changé pour devenir une collecte de données « en vrac ». Ces données sont ensuite analysées par des algorithmes qui décident de ce que sont ces individus, de ce qu’ils font et de ce que le gouvernement doit penser d’eux. Snowden cite l’exemple du Huffington Post qui affirmait que l’Agence de sécurité nationale (NSA) surveillait les habitudes de visionnement de pornographie de ceux qu’elle considérait comme ayant des idées politiques radicales sans toutefois que ces individus aient commis d’acte répréhensible. Le but était de les discréditer sur la place publique en raison de leurs affiliations politiques. Quand de telles initiatives secrètes changent la philosophie du gouvernement en place sans qu’on rende des comptes aux citoyens, on est vite sur une pente glissante. Même si on nous assure que les intentions sont nobles et nécessaires, on se rend compte que des individus innocents sont traités injustement.

L’efficacité n’est pas un argument pour défendre un acte criminel

Lorsque l’intervieweur demande à Snowden de décrire sa réaction à la lecture du rapport sur les techniques d’interrogatoire de la CIA, dévoilé la veille par la commission du renseignement du Sénat, celui-ci mentionne qu’il travaillait à la CIA durant les dernières années de mise en place de ce fameux programme de torture. Lui-même n’avait pas de rapport avec ce dernier, mais beaucoup de ses collègues exprimaient des inquiétudes.

Il trouve que le rapport qui vient d’être publié est exceptionnel pour plusieurs raisons. Il se dit attristé et fâché par ce qu’il y a trouvé. Il estime que les principes érigés par le procès de Nuremberg après la Seconde Guerre mondiale sont bafoués et il craint tant pour l’autorité morale des États-Unis que pour le respect des lois internationales. Si les États-Unis permettent à leurs agents de pratiquer la torture sans autre forme de condamnation, à quoi peut-on s’attendre de la part des pays sous l’emprise d’une dictature? Non seulement ce programme de torture a-t-il causé la mort d’individus sans que personne n’en soit tenu pour responsable, mais les agents impliqués ont même reçu des bonis en argent. Sans le procès des responsables, Snowden ne voit pas comment la société peut aller de l’avant.

2000px-CIA.svg

Contrairement aux programmes de surveillance de la NSA mis au jour par un lanceur d’alerte, ce sont des sénateurs qui ont dénoncé le programme de torture. N’est-ce pas là une bonne nouvelle? Edward Snowden ne le croit pas. Dans le rapport, on parle de plusieurs lanceurs d’alertes qui ont tenté de dénoncer la situation, mais qui ont été rabroués. En effet, certains témoins d’actes de torture en sont venus aux larmes et d’autres ont même demandé à être transférés pour ne plus avoir à cautionner ce genre d’actes. Malgré les efforts de certaines de ces personnes, les autorités n’ont pas mis fin au programme. En fait, le directeur de la CIA, José A. Rodriguez Jr. a simplement rétorqué à l’époque que leurs propos n’aidaient pas la cause. Selon Snowden, si de tels actes criminels ont pu continuer à être commis, ce n’est pas parce que personne ne le savait, mais parce que le grand public ne le savait pas. Le programme ne s’est arrêté que lorsque les journaux l’ont informé de ces actes.

La publication du rapport est un bon pas dans le sens où elle amène à reconnaître certains gestes, mais elle ne fait rien pour la responsabilisation de ceux qui les ont commis. Les résultats de ce genre de programmes importent peu. Le fait qu’ils soient ou non efficaces ne peuvent pas en dédouaner les auteurs. Jusqu’où les autorités iront-elles? Si ce genre de crimes peut se justifier dans certaines circonstances, qu’est-ce qui ne pourrait pas l’être? Snowden donne l’exemple du viol. Un gouvernement pourrait revendiquer que le viol est une méthode « efficace » contre la crise démographique et, donc, que cela « aide » la société dans son ensemble. L’efficacité n’est pas un argument en faveur d’une activité criminelle quelle qu’elle soit.

L’Europe : berceau d’une réforme de la collecte de données

Adward Snowden dit qu’il n’est qu’un lanceur d’alerte et qu’il n’a plus accès à aucun dossier secret depuis Hong Kong. Toutefois, ce qu’il peut confirmer (et redire), c’est que les programmes de surveillance de masse sont en vigueur dans tous les pays qui peuvent se permettre d’avoir une agence de renseignement. Snowden souhaite qu’on se pose la question de la moralité des actions des autorités même si celles-ci défendent l’efficacité d’une méthode. Est-il moralement acceptable de violer les droits d’une population entière ou même d’un seul individu pour un gain, quel qu’il soit? Snowden ne croit pas que le débat ait véritablement eu lieu en France, lieu de la conférence.

images (2)

Snowden croit que les grandes lignes d’une réforme sur la collecte de données commence en Europe avec des préoccupations autour de la protection de l’information, notamment. Il juge que le plus important est de créer des standards internationaux pour indiquer ce qui est acceptable ou non. Snowden donne l’exemple du Royaume-Uni où le GCHQ (Government Communications Headquarters), l’agence de renseignement, a piraté les communications du câblodistributeur belge Belgacom. Elle a agi en contrevenant à la loi belge, mais aussi aux lois internationales. C’est très dangereux de voir des États membres de l’Union européenne s’adonner à des cyberattaques contre d’autres États de l’UE. En ce moment, comme il n’y a pas de façons de gérer le problème, pas de recours, les autres pays membres pourraient faire la même chose parce qu’ils y verraient aussi un avantage pour eux-mêmes. Quand plusieurs se mettent à attaquer une seule et même infrastructure, celle-ci va finir par tomber. Ce genre de choses est arrivé dans le passé et va continuer de se produire.

Pour une meilleure protection des lanceurs d’alerte

En forçant les tribunaux à scruter ces programmes à loupe, les citoyens vont pouvoir se demander s’il est justifié d’utiliser de telles méthodes, de véritables gestes de guerre faits en temps de paix relative. Snowden voit une occasion pour la société civile de reprendre le contrôle. S’il est possible d’imaginer de quelle façon la surveillance de masse peut être utile, il n’y aucune preuve de cette utilité dans les 10 dernières années. La surveillance de masse n’a pas empêché les attentats du marathon de Boston, ni ceux de Madrid et de Londres malgré les milliards et tout l’effectif humain investis. Ces ressources ne pourraient-elles pas servir à meilleur escient sans pour autant menacer nos droits et libertés?  Snowden croit que oui.

Avec le rapport sur la torture, il voit un gouvernement qui aurait dû reconnaître ses torts. Le peuple ne savait pas ce qui se passait et maintenant qu’il le sait, le système judiciaire ne cherchera pas à punir les coupables. Snowden a terminé l’entrevue sur un vibrant plaidoyer pour la protection des lanceurs d’alerte à l’intérieur d’un pays. Si quelqu’un révèle des preuves d’actes répréhensibles, son pays devrait l’aider à corriger ces problèmes et lui assurer une protection contre d’éventuelles représailles. De toute évidence, à la lumière des réactions des autorités américaines au rapport sur la torture, le souhait de Snowden n’est pas en voie de se réaliser.

 

Catherine MathysEdward Snowden: « nous vaincrons » (1/2)

par

 publié le 11 décembre 2014 à 13 h 05

Hier, à l’occasion de la Journée internationale des droits de l’homme, Amnistie internationale présentait une conférence d’Edward Snowden par le truchement de Google Hangouts puisque celui-ci se trouve à Moscou depuis juin 2013, lorsque son passeport américain lui a été révoqué. Vous pouvez voir son discours ici. Voici un résumé des propos qu’il a tenus.

image-suvreendirect

Snowden, un citoyen comme les autres

Edward Snowden dit qu’il va bien, qu’il mène une vie relativement normale, qu’il utilise le métro moscovite dans ses déplacements quotidiens comme tous les autres citoyens de la ville. La seule grande différence entre la vie qu’il mène actuellement et celle qu’il avait avant la divulgation des renseignements de la NSA, c’est qu’il ne vit pas chez lui, dans sa maison, et qu’il lui est impossible d’y retourner.

Il se dit en sécurité, mais affirme travailler beaucoup plus qu’avant les événements de 2013. Il consacre beaucoup de temps et d’effort à la recherche de solutions globales de sécurité avec l’aide des communautés technique et scientifique. Il cherche à améliorer les normes de sécurité de nos communications en ligne sans égard aux lois qui régissent chaque pays. Il dit également s’impliquer dans des groupes activistes et de défense des droits, ce qui est nouveau pour lui. Comme il travaillait auparavant dans une structure gouvernementale, cette tentative d’implanter des changements sans faire partie du pouvoir en place est bien différente de ce qu’il a toujours connu, mais Snowden se sent tout de même comblé.

Mais au fond, les choses ont-elles changé?      

Selon Snowden, la conscience et l’opinion publiques ont changé de façon considérable partout dans le monde depuis qu’il a fait ses révélations. Pour lui, il s’agit d’un changement significatif puisqu’il ne visait pas à changer le monde ou les politiques du gouvernement américain; il voulait simplement que les élus d’une démocratie représentative soient là justement pour représenter le peuple et non une institution ou une classe en particulier. Mais cela n’est possible qu’à condition que les citoyens votent. Quand des programmes et des institutions du gouvernement se mettent en œuvre de façon secrète, c’est le début d’un divorce entre le peuple et ceux qui le dirigent. Les citoyens étant exclus des décisions et des principes qui régissent la société, comment peuvent-ils voter en toute connaissance de cause?

Snowden explique que le gouvernement lui-même est fondé sur l’idée du consensus. Il tire sa légitimité de la direction que nous, les citoyens, souhaitons lui donner quand nous allons voter. Si nous ne comprenons pas les politiques, pouvoirs ou programmes que le gouvernement revendique et la direction qu’il prend dans ses relations internationales en notre nom, mais sans notre consentement, nous devenons ses sujets. Snowden croit que nous devrions au moins le savoir.

Le progrès se fait attendre

Snowden cite une étude récente réalisée ici, au Canada, qui mesure les connaissances des utilisateurs d’Internet de partout dans le monde quant à leur sécurité en ligne. Les recherches démontrent que 60 % des trois milliards d’utilisateurs ont entendu parler des révélations qu’il a faites l’an dernier. Parmi ces 60 %, 40 % auraient fait des changements pour sécuriser davantage leurs communications en ligne. C’est donc à peu près 7,2 millions de personnes qui ont été interpellées par cet enjeu.

Au plan individuel, ça avance. Mais les gouvernements, eux, ne semblent pas vouloir changer. Snowden demande de faire preuve de patience. «Ce genre de choses ne se fait pas du jour au lendemain », affirme-t-il. Mais il voit des exemples partout en Europe, et même aux États-Unis, où le système judiciaire est mis à profit pour remettre en question des programmes de surveillance. Il fait, par exemple, référence à ce jugement de la cour de paix de l’Union européenne qui déclare les directives de rétention de données invalides. Aux États-Unis, des panels ont été chargés de réviser les programmes de la NSA.

Tout part du citoyen

Chaque révision de programme a permis de constater que les gestes posés n’ont jamais empêché une seule attaque terroriste, mais il s’agit au moins d’un premier pas. Elles nous ont aussi incités à réfléchir de façon plus poussée sur la réelle valeur de ces programmes et sur les coûts qu’ils engendrent. Voulons-nous donc renier une grande partie de nos libertés? Souhaitons-nous que nos activités soient interceptées, enregistrées et analysées en secret et ensuite stockées pour une durée indéterminée? Bien que la surveillance se soit amplifiée dans certaines parties du monde, comme aux États-Unis, en Australie et au Royaume-Uni, on voit aussi qu’elle commence à être remise en question. Snowden croit qu’un jour, les citoyens vaincront, qu’ils n’accepteront plus que leurs actions, bonnes ou mauvaises, soient constamment jugées.

Maxime JohnsonDashlane veut changer tous vos mots de passe d’un coup

par

 publié le 11 décembre 2014 à 10 h 38

dashlane

Dans la foulée de la faille de sécurité Heartbleed, qui aurait touché plus de 500 000 sites web plus tôt cette année, le gestionnaire de mots de passe Dashlane a dévoilé cette semaine un nouvel outil, Password Changer, qui permet à ses membres de modifier automatiquement plusieurs de leurs mots de passe en un seul clic.

Dashlane est un logiciel qui enregistre de façon sécuritaire tous les mots de passe d’une personne au même endroit, mais aussi ses cartes d’identité, ses reçus et ses cartes de crédit. Le service permet ensuite d’ouvrir une session sur n’importe quel site web, sans avoir à entrer ses mots de passe.

Dashlane n’est pas le seul gestionnaire du genre, mais sa nouvelle fonction pour changer automatiquement ses mots de passe – obtenue grâce à l’acquisition de l’entreprise en démarrage PassOmatic - est pour l’instant unique sur le marché.

Pour l’instant, environ une cinquantaine de sites web sont compatibles avec Password Changer, notamment Amazon, eBay, Facebook, Google, PayPal et Twitter, mais d’autres sites devraient être ajoutés avec le temps.

Le processus est d’une simplicité extrême, puisqu’il suffit de cliquer sur les mots de passe que l’on souhaite changer dans le logiciel Dashlane (Mac ou PC), et de nouveaux mots de passe sécuritaires sont ensuite attribués en quelques secondes seulement. Malheureusement, il est toutefois impossible de choisir soi-même son mot de passe dans le processus de mise à jour automatique, même lorsqu’on ne modifie qu’un site à la fois.

Voilà qui aurait pu être utile plus tôt cette année, lorsque les internautes plus consciencieux ont dû passer des heures à modifier tous leurs mots de passe à la suite de la découverte de la faille Hearthbleed.

Notons que pour une sécurité accrue, Dashlane devrait aussi proposer bientôt un outil pour changer ses mots de passe automatiquement tous les 30 jours.

Peut-on quitter Dashlane par la suite?
Malheureusement, si la modification automatique de ses mots de passe offre de nombreux avantages, celle-ci pourrait aussi compliquer la situation chez les utilisateurs qui ne souhaitent plus utiliser de gestionnaire de mots de passe ou qui souhaitent tout simplement se tourner vers un fournisseur de service moins cher, puisqu’ils ne connaîtront plus aucun de leurs mots de passe.

Il s’agit là d’une inquiétude légitime, mais heureusement, Dashlane permet d’exporter ses données assez facilement si on le désire. Les importer dans un autre gestionnaire demandera un certain temps, mais les avantages de Password Changer semblent pour l’instant supérieurs aux inconvénients liés au fait de quitter le service par la suite.

Dashlane Password Changer est accessible sur invitation pour l’instant. Il est possible d’ajouter son nom à la liste d’attente ici. La fonctionnalité est offerte avec la version gratuite de Dashlane, mais ceux qui souhaitent tirer pleinement profit du gestionnaire préféreront s’équiper de la version Premium, à 39,99 $ par année. Il s’agit là d’un prix malheureusement assez élevé, sachant que les versions Premium de LastPass et de PasswordBox sont offertes à 12 $ par année seulement.

Que vous utilisiez toujours le même mot de passe pour tous vos comptes ou que vous soyez très vigilant, au point de changer régulièrement vos données d’authentification, vous devriez, dans tous les cas, pouvoir y trouver votre compte.

passwordbox

Intel a annoncé hier l’acquisition de la jeune entreprise montréalaise PasswordBox, qui offre un service permettant de sauvegarder tous ses mots de passe dans un seul endroit. Tant pour Intel que pour PasswordBox, il s’agit toutefois là d’une solution temporaire, en attendant l’arrivée d’un avenir sans mots de passe.

C’est vêtu d’un chandail de hockey à l’effigie de sa compagnie que le chef de la direction de PasswordBox, Daniel Robichaud, a annoncé officiellement la nouvelle, hier, à la Maison Notman, à Montréal.

« Nous voulons créer un produit qui pourra toucher 1 milliard d’utilisateurs, et c’est ce qu’un partenaire comme Intel pourra nous permettre de réaliser », a annoncé l’entrepreneur en série, qui n’a pas dévoilé le montant de la transaction.

Il a avoué avoir considéré plusieurs options pour l’avenir de son entreprise, mais que ses ambitions pour PasswordBox étaient mieux servies au sein du géant américain des microprocesseurs.

La jeune compagnie qui compte une cinquantaine d’employés en ce moment devrait doubler la superficie de ses bureaux d’ici la fin décembre, et elle espère embaucher de nombreux développeurs et ingénieurs au cours des mois à venir.

Le mot de passe : une solution temporaire
OLYMPUS DIGITAL CAMERA

Même si les mots de passe sont pour l’instant au cœur du service de PasswordBox, ceux-ci représentent un mal nécessaire pour la compagnie, qui se veut un pont entre « le monde actuel avec des mots de passe » et le monde futur, offrant « quelque chose de meilleur », explique Daniel Robichaud.

Une vision d’ailleurs partagée par Intel. « Les mots de passe ne disparaîtront pas tout de suite, mais on espère les remplacer le plus rapidement possible », a ajouté Mark Hocking, vice-président et directeur général d’Intel Security, la division d’Intel qui chapeaute notamment la compagnie de sécurité informatique McAfee.

Les ratés des mots de passe sont nombreux. Difficiles à retenir et relativement faciles à pirater, ceux-ci sont bien souvent le talon d’Achille de la sécurité en ligne. Même si un gestionnaire de mots de passe comme PasswordBox contribue à réduire les risques, les experts en sécurité informatique s’entendent généralement pour dire qu’un autre genre de protection serait préférable.

« Il y a heureusement beaucoup d’avenues prometteuses, comme la biométrie et l’information contextuelle », ajoute le directeur général d’Intel Security.

Selon ce dernier, Intel travaille présentement sur différentes technologies pour remplacer les mots de passe, et la compagnie devrait faire une annonce majeure à ce sujet au cours des prochains mois.

On en saura alors peut-être un peu plus sur l’avenir des mots de passe, mais aussi, par la même occasion, sur celui de PasswordBox.

securite

Google a dévoilé plus tôt cette semaine le nouvel outil Appareils et sécurité, qui permet de voir facilement quels sont les appareils qui se connectent à notre compte Google. Une fonction pratique, qui permet de s’assurer qu’aucun étranger n’accède à nos données.

L’outil, accessible à partir de l’onglet Sécurité dans les paramètres de notre compte Google, recense tous les appareils – ordinateurs, tablettes, téléphones – utilisés pour nous connecter à notre compte au cours des 28 derniers jours.

La liste s’affiche d’une manière conviviale, avec des icônes et des noms pour reconnaître facilement le type d’appareil utilisé.

securite 2

Il est ensuite possible de cliquer sur chacun des éléments pour voir notamment quel navigateur a été utilisé et à partir de quelle ville les connexions ont été effectuées. Dans le cas des tablettes et téléphones, il est aussi possible d’enlever l’accès à notre compte et de retrouver nos appareils Android sur une carte géographique. Aucune action n’est toutefois possible avec les ordinateurs.

Dans tous les cas, ceux qui découvrent une connexion suspecte avec cet outil devraient modifier leur mot de passe sur-le-champ. Il serait aussi sage d’activer la validation en deux étapes, qui permet de protéger notre compte même lorsque notre mot de passe a été compromis.

L’outil Appareils et sécurité de Google est accessible à cette adresse.