Billets classés sous la catégorie « Sécurité »

Catherine MathysTraque interdite : le web a changé

par

 publié le 16 avril 2015 à 16 h 42

Le web a changé. Et pas pour le mieux. Ce n’est pas juste moi qui le dis. C’est le constat que font plusieurs observateurs et artisans du web en observant son évolution depuis ses débuts.

La grande collecte

Brett Gaylor, jeune documentariste canadien et producteur web, fait partie de ceux-là. On le connaît surtout pour son film Rip! A Remix Manifesto qui explore la créativité numérique. Il a passé toute sa carrière comme disciple du web et de ses potentiels. Mais là, quelque chose a changé.

Donottrack@Brett_sm

« Je crois toujours que le web a le potentiel d’être une force pour que le monde soit égal, pour la justice sociale. Mais la tendance à collecter des quantités croissantes d’information sur nos données et nos comportements sur le web a des conséquences très dommageables sur la société civile. Donc, j’ai senti qu’il était de mon devoir, en tant que quelqu’un qui aime le web et qui travaille à sa création, d’avoir un autre regard, plus approfondi, plus critique, sur le sujet… »

Éveiller les consciences

Concrètement, Brett Gaylor propose qu’on pose ce nouveau regard avec lui à travers Traque interdite. Cette série en sept épisodes vise à éveiller les consciences sur la façon dont les renseignements sur nos comportements en ligne sont recueillis, analysés et, oui, vendus. Je vous parlais du phénomène dans cette émission-ci de La sphère et des entreprises comme Datacoup qui veulent vous aider à récupérer certaines sommes reliées à la valeur des données que vous transmettez.

Dans Traque interdite, on nous propose donc un documentaire en sept parties dans lequel on expose les divers problèmes reliés au fonctionnement du web. Dans les deux premiers épisodes, déjà accessibles en ligne, on découvre la façon dont nos faits et gestes sont suivis sur le web ainsi que la genèse du cercle infernal de la publicité qui se nourrit de nos données.

Les prochains épisodes seront mis en ligne au fur et à mesure, toutes les deux semaines, et ce, en quatre versions : anglaise, française, canadienne-française et allemande. Il faut dire que les collaborateurs du projet sont nombreux. Traque interdite est produite par la maison de production parisienne Upian, l’Office national du film du Canada, le diffuseur public franco-allemand Arte et le diffuseur public allemand Bayerischer Rundfunk. Radio-Canada et la chaîne d’information numérique américaine AJ+ sont les principaux partenaires de diffusion.

D’ailleurs, la série interactive est l’un des cinq projets sélectionnés pour l’édition 2015 de Storyscapes, une vitrine annuelle consacrée aux œuvres transmédias du Festival du film de Tribeca, qui commence aujourd’hui à New York.  

Jouer le jeu du web

Traque interdite est certes un documentaire traditionnel, mais il propose aussi une expérience interactive intéressante. Dans chaque épisode, on vous pose des questions dans le but de vous démontrer la portée réelle de vos comportements en ligne. L’expérience se poursuit entre chaque épisode, avec du contenu supplémentaire accessible sur le blogue de Traque interdite et les réseaux sociaux.

Donottrack_E2_Cover_CA_sm

Mais là où ça devient véritablement intéressant, c’est dans la mise en abîme de cette collecte de données. En effet, Traque interdite nous invite à consentir à communiquer nos données personnelles pour observer en temps réel comment notre identité est traquée en ligne. C’est perturbant de voir l’ampleur de la trace numérique qu’on laisse, mais aussi tout ce qu’il est facile de déduire à partir des données qu’on transmet dans nos allées et venues sur le web. Ce sont ces corrélations et ces associations qui font souvent le plus peur. On peut voir se dresser peu à peu notre profil, notre personnalité, notre vie privée. Et plus on dévoile nos données, plus les épisodes sont personnalisés. Intéressant!

Étrange de voir qu’on divulgue nos données machinalement, sans y penser, tous les jours, et que quand on nous demande directement de les livrer dans ce jeu, on y pense à deux fois. En cela, le documentaire fait déjà son œuvre. Et si on tentait de mieux contrôler ce qu’il advient de nos données?

 

 

fujitsu 1 jpg

Empreintes digitales, biométrie vocale, reconnaissance faciale : l’industrie techno cherche par tous les moyens à trouver une solution de rechange aux mots de passe, l’un des maillons faibles de la sécurité informatique moderne. Alors que les lecteurs d’empreintes digitales sont déjà de plus en plus répandus dans les téléphones, la biométrie oculaire pourrait être la prochaine voie explorée par l’industrie, selon ce qu’il a été possible d’observer au Salon de la mobilité Mobile World Congress (MWC) de Barcelone.

Deux fabricants y ont en effet présenté des appareils capables d’être débloqués du regard : Fujitsu, avec un prototype doté d’une caméra infrarouge, et ZTE, avec une technologie pouvant fonctionner avec un appareil photo normal de téléphone intelligent.

Fujitsu : rapide et performant, mais gros
OLYMPUS DIGITAL CAMERA

De ces deux technologies, celle de Fujitsu est certainement la plus puissante et la plus intéressante.

Un capteur infrarouge posé au-dessus d’un téléphone permet à l’appareil d’illuminer notre iris, afin de l’identifier, exactement comme le ferait un capteur d’empreintes digitales.

La beauté de la technologie ici est son efficacité. L’enregistrement des yeux ne prend que 10 secondes, ce qui est beaucoup moins qu’avec un lecteur d’empreintes digitales, et l’ouverture de l’appareil ou d’une application protégée prend moins de 1 seconde.

Le capteur reconnaît l’utilisateur, sans se tromper, du moins dans les dizaines d’essais effectués au MWC. Notons que, selon Fujitsu, le taux de faux positifs, c’est-à-dire de personnes qui ne devraient pas être approuvées, mais qui le sont tout de même, serait de moins de 1 sur 1 million.

Est-ce que la reconnaissance de l’iris est meilleure que la lecture des empreintes digitales? Pas forcément. La vitesse du prototype de Fujitsu est sensiblement la même que celle de TouchID, d’Apple. Celui-ci semble faire un peu moins de faux négatifs, mais pour cela, il faut tenir le téléphone un peu plus haut et un peu plus près que d’habitude.

Idéalement, les deux technologies pourraient être offertes sur le même appareil, ce qui permettrait d’éliminer carrément tous les codes de déverrouillage ou tous les mots de passe, puisque le second moyen pourrait être utilisé lorsque le premier ne fonctionne pas (si on porte des gants, si on a des lunettes embuées ou s’il y a un bris mécanique par exemple).

Fujitsu devrait lancer un téléphone en Asie avec la technologie d’ici la fin de l’année. Notons, toutefois, qu’il reste encore beaucoup de travail à faire pour que le système soit vraiment parfait. Le module est en effet encore beaucoup trop gros, et qu’il est relativement facile de contourner le système en imprimant la photo infrarouge de quelqu’un et en la plaçant devant l’appareil photo.

Cette dernière faiblesse n’est pas cruciale, puisqu’il est possible de faire la même chose avec une photo à haute résolution de ses empreintes digitales sur un iPhone. En revanche, Fujitsu devra certainement s’assurer que son module ne sera pas trop épais pour pouvoir le vendre à d’autres fabricants, surtout étant donné l’importance que l’industrie accorde à la minceur des appareils.

ZTE : peu convaincant
OLYMPUS DIGITAL CAMERA

ZTE a également présenté un téléphone avec un système du genre, le ZTE Grand S3, qui fonctionne cette fois-ci avec l’appareil photo de l’appareil, et qui regarde les vaisseaux sanguins dans le blanc des yeux plutôt que l’iris.

Pour les fabricants, il s’agit évidemment d’une solution beaucoup plus pratique et moins chère à implanter.

Pour l’utilisateur, par contre, le procédé est moins réussi, même si l’appareil de ZTE a eu droit au Mobile World Congress à une bien meilleure visibilité que celui de Fujitsu. Il est beaucoup plus long de débloquer le téléphone avec ses yeux qu’avec un code, et les faux négatifs semblent plus fréquents.

En conclusion, comme la reconnaissance faciale qui est déjà offerte sur certains téléphones, mais qui n’a jamais vraiment été adoptée parce qu’elle n’était pas suffisamment efficace, la reconnaissance de l’oeil utilisée dans le ZTE Grand S3 risque bien d’être une option enfouie dans le système, que les utilisateurs essayeront quelques semaines avant de la désactiver, tout simplement.

Pour les curieux, notons que j’ai essayé de prendre une photo de moi avec un téléphone et de la mettre devant la caméra du ZTE Grand S3. Sur une dizaine d’essais, l’appareil s’est ouvert une fois.

Le ZTE Grand S3 est déjà vendu en Chine, et une mise à jour de logiciel permettra d’ajouter la nouvelle fonction l’été prochain.

D’autres fabricants pourraient aussi décider d’implanter la technologie avec le temps, mais à moins d’une amélioration importante de la technologie, je ne crois pas que celle-ci va bouleverser le marché de sitôt.

Catherine MathysSommes-nous tous sous surveillance de l’État?

par

 publié le 18 février 2015 à 14 h 17

Hier soir, André Mondoux, professeur à la faculté de communication de l’UQAM et spécialiste des rapports entre médias, technologie et société, prononçait une conférence publique sur le thème suivant : « Sommes-nous tous sous surveillance de l’État? »

C’était l’occasion, pour lui, de faire le point sur l’affaire Snowden et ce qu’elle nous a révélé jusqu’à présent. Comme ces révélations ont été divulguées par petites fuites dans les médias, il est difficile d’en avoir une vue d’ensemble. De plus, l’autre effet pervers de cette lente publication des documents d’Edward Snowden est qu’on finit par s’habituer à cette surveillance omniprésente, selon André Mondoux.

20150217_184550_resized

La pêche de grand fond

On l’aura compris, les programmes de surveillance des Five eyes, les États-Unis, le Canada, l’Angleterre, l’Australie et la Nouvelle-Zélande, ressemblent à une pêche de grand fond où on tente de colliger le maximum de données pour en extraire les fichiers d’intérêt. On ne surveille plus l’exception. Dans un tel état de fait, tout le monde devient suspect.

Les outils que nous utilisons servent de sources pour alimenter ces cinq agences de surveillance. Pour Mondoux, les réseaux sociaux sont une nouvelle façon d’être au monde. Si les religions, les classes, les idéologies ne servent plus à modeler l’identité, on se tourne volontiers vers le web pour s’exprimer, pour exister. Bien sûr, nous ne livrons pas toujours nos données en toute connaissance de cause. Cela dit, nous sommes nombreux à dire que nous n’avons rien à cacher. Dans cette simple affirmation, on sent que le regard extérieur est là. C’est comme si on avait accepté cet état de surveillance, souligne André Mondoux.

Des approches de surveillance hostiles

Dans sa mise en contexte, André Mondoux a présenté les trois axes nécessaires à la mise en place des programmes de surveillance, l’axe industrie-État, l’axe industrie-université et les laboratoires d’idées (think tanks). Il a décrit le cycle de vie des données en partant des directives qui motivent leur collection jusqu’aux méthodes et aux systèmes mis en place pour colliger cette immense masse d’information.

M. Mondoux a surtout mis en lumière l’adoption d’approches de surveillance hostiles sur son propre territoire. En effet, les citoyens d’un pays ont maintenant droit aux traitements autrefois réservés aux étrangers. Plus on a de données, meilleures seront les corrélations.

« On n’oublie jamais son premier document secret »

C’est comme cela qu’André Mondoux a présenté toute une série de documents confidentiels dévoilés par Snowden. Il a donc passé en revue plusieurs des programmes, plus étonnants les uns que les autres : Total Information Awareness, le programme mis en place après le 11 Septembre précédant ainsi PRISM, « la fine fleur du programme de surveillance », a-t-il dit sur un ton ironique. Il a aussi été question de Stormbrew, qui permettait d’intercepter le trafic d’Internet directement sur les câbles eux-mêmes. Le programme Auroragold, permettait, quant à lui, de capter 71 % des réseaux cellulaires de la planète en 2012. Et la liste continue. Muscular, par exemple, était un programme qui pouvait intercepter les données d’utilisateurs dans leur transit vers les serveurs de Yahoo et de Google.

GOOGLE-CLOUD-EXPLOITATION1383148810

Tailored Access Operations est un des programmes les plus surprenants parce que dans ce cas, il ne s’agit plus d’interception de données invisibles, mais d’un système d’interception des ordinateurs en livraison pour y installer des logiciels espions de la NSA. Dans un film de James Bond, on y aurait cru. Il faut croire qu’on vit désormais dans un étrange mélange de réalité et de fiction.

Il y a aussi tous les autres, Cottonmouth, Nightstand, Picasso, Ragemaster, Candygram, sans oublier XKeyscore. Cet article de Ars Technica illustre bien quelques-uns de ces programmes.

Et le Canada dans tout ça?

On a appris récemment l’existence du programme Levitation qui intercepte 10 à 15 millions de fichiers téléchargés par jour. Le Canada participe également au programme Intolerant, qui débusque des informations volées par des pirates à des cibles d’intérêt.

Après l’énumération et la description de tous ces programmes, alors que je sors de la conférence, cette nouvelle sur le rapport de Kapersky sort sur les fils de presse. On y apprend que « durant au moins 14 ans, un groupe de pirates informatiques est parvenu à mener des centaines d’attaques de grande ampleur dans une trentaine de pays, sans jamais être inquiété ». L’enquête suggère que ce programme nommé Equation était relié aux activités de la NSA. Le Canada y a-t-il participé? On sent bien que ce qu’on aperçoit n’est encore que la pointe de l’iceberg. Mais quelle touche finale à la conférence de Mondoux! Est-ce un hasard? ;)

Martin Lessard2015 : montée des attaques cybernétiques?

par

 publié le 22 décembre 2014 à 11 h 54

Des spécialistes de la cybersécurité prédisent que le nombre de menaces d’espionnage et de cas de terrorisme informatique va augmenter en 2015.

En 2014, Target, Home Depot et Sony, pour ne nommer que les plus connues, ont toutes été victimes d’attaques qui ont exposé leur vulnérabilité aux yeux de tous.

Il est clair que si ces grandes compagnies (aux pieds d’argile numériques) ne sont pas arrivées à se protéger adéquatement contre les pirates informatiques, imaginez les plus petites compagnies!

La montée des attaques informatiques

blastware

La cybersécurité devient un préoccupation nationale de premier plan.

Cinq types de dangers vont retenir davantage l’attention des spécialistes en sécurité informatique en 2015 :

Blastware. Effacer toutes les données après l’attaque? Voilà la nouvelle façon pratique pour les pirates de faire disparaître l’origine et la signature du délit.

Cyberrançon. Les pirates font chanter la compagnie sous la menace de bloquer l’accès aux données critiques qu’elles possèdent. Les données deviennent, en quelque sorte, des « otages numériques » en échange desquels une rançon est demandée.

Domotique rimera avec terrain de jeu pour pirates. Les pirates exploitent toujours les lignes de moindre résistance, et les objets connectés de nos maisons en feront partie.

Terrorisme numérique géopolitique. Avec la mobilité et l’infonuagique, l’infrastructure d’un pays se fragilise, donnant du fil à retordre aux agences de protection nationale et menaçant l’économie du pays tout entier.

Hameçonnage. Pas nouveau comme menace, mais probablement la plus importante. Les pirates exploitent l’humain, qui est le maillon faible de la chaîne de sécurité.

L’humain est le maillon faible

touchex

Derrière la majorité des attaques, l’origine de la faille est humaine. Facilement bernés, les humains tombent dans le panneau sans le savoir, se faisant dérober mots de passe, accès et contacts qui permettent ensuite une attaque plus en profondeur dans le système d’une compagnie.

Ça a été le cas dans une attaque contre ICANN, qui gère sur Internet tous les noms de domaine à une échelle internationale. Ça a aussi été le cas pour Sony.

« Typiquement, les attaques par hameçonnage sont destinées à duper les gens en les conduisant à cliquer sur des pages factices où ils entrent leurs adresses et mots de passe, qui sont ainsi récupérés par les pirates informatiques. » (Source)

La sécurité informatique serait tellement mieux s’il n’y avait pas d’humains, pourrait-on ironiser.

Mais comme nous serons encore là en 2015, attendez-vous à entendre parler de plus en plus de ce genre d’attaques et à les voir de plus en plus se rapprocher d’une compagnie près de chez vous.

Catherine Mathys2015 : l’année du chiffrement pour tous?

par

 publié le 19 décembre 2014 à 15 h 13

Samedi dernier à La sphère, l’équipe, comme la tradition le veut, passait l’année en revue. Alors, qu’est-ce que j’ai retenu de 2014? Selon moi, il s’agissait de l’année de l’éveil à la trace numérique. Je trouve les preuves de cette nouvelle sensibilisation dans la prolifération d’applications de toutes sortes qui promettent une meilleure protection (réelle ou non) de notre identité et de nos données en ligne. On aime de plus en plus que nos messages s’effacent, que notre identité soit cachée ou que nos communications soient chiffrées pour éviter une éventuelle interception.

En ce qui concerne le chiffrement, j’ai surtout parlé de Protonmail à l’émission, un logiciel issu d’une association entre le CERN et le MIT. Cela dit, un acteur prometteur entrera dans la danse en 2015, il s’agit de Peerio, le nouveau produit de Nadim Kobeissi qui nous avait donné Cryptocat en 2012, devenu un des logiciels de chiffrement les plus populaires de nos jours.

20141210_122341_resized

Il est venu en parler à Radio-Canada à l’occasion des Midis lab le 10 décembre dernier. La vidéo de la conférence n’est malheureusement pas disponible avant le lancement officiel du produit.

Les journalistes et les communications chiffrées

Les communications chiffrées ne datent pas d’hier. On les utilise depuis les années 80. Cela dit, ce genre de logiciel a toujours demandé un peu d’efforts et de patience. Dans l’affaire Snowden, Glenn Greenwald, un des journalistes auquel il s’est confié, n’a pas su comment s’en servir au début de leurs communications. Snowden s’est donc tourné vers Laura Poitras qui connaissait mieux ce genre de logiciels, comme je l’expliquais dans un précédent billet.

Ici, quand on parle de logiciels de chiffrement, on veut dire que la seule personne qui peut accéder à notre contenu est celle qu’on a choisie. Le réseau lui-même, que ce soit les serveurs ou le fournisseur, ne peut pas y avoir accès. Kobeissi travaille depuis quatre ans au développement de technologies de chiffrement et de communications privées sur Internet. Bien qu’il sache que ses outils sont aussi utiles pour l’activisme politique que pour les milieux médical et légal, il s’intéresse tout particulièrement aux journalistes comme public cible.

logo (2)

D’ailleurs, Greenwald s’est fait la main et a même utilisé Cryptocat à Hong Kong dans ses discussions avec d’autres journalistes avant sa première rencontre avec Snowden. Ce que Kobeissi aime particulièrement de cette anecdote, c’est que son logiciel est le seul à avoir correctement fonctionné. Il est particulièrement fier de la facilité d’utilisation de ses produits et tout indique qu’il est voie de récidiver avec Peerio.

Qu’est-ce que Peerio?

Si tous les contenus ne sont pas confidentiels et ne requièrent pas d’autres formes de protection, Kobeissi est d’avis que tous les journalistes devraient au moins connaître les risques associés à leurs communications en ligne et les outils à leur disposition pour mieux contrôler la transmission de leurs données.

Le jour où un journaliste sera contacté avec la possibilité de transmettre des informations confidentielles sur un dossier, il devra savoir comment faire pour ne pas se retrouver comme Greenwald à devoir passer son tour pour des raisons techniques.

Nadim Kobeissi et son équipe travaillent depuis six mois à développer ce nouvel outil spécifique aux journalistes qu’est Peerio. Il est en phase bêta privée, alors il n’est accessible que sur invitation pour le moment.

Dans une vidéo présentée lors de la conférence, on nous mentionne que des services qui assurent le chiffrement de nos communications existent déjà. Par contre, ces services ne chiffrent le contenu que lors de sa transmission, pas sur leurs serveurs. Si d’autres chiffrent tant la transmission que le stockage de l’information, ils conservent l’accès à nos données.

Dans le cas de Peerio, les informations sont chiffrées avant de quitter notre ordinateur avec une clé qui nous appartient. Les serveurs de Peerio contiennent donc toute une série de dossiers chiffrés auxquels l’entreprise elle-même ne peut accéder. L’aspect intéressant de ce logiciel est qu’il permet de garder le contrôle complet sur nos données. Ainsi, si nous souhaitons en détruire une partie, elle disparaîtra de toutes les boîtes de messagerie qui la contiennent du même coup.

Nadim Kobeissi explique son nouveau produit en disant qu’il s’agit à la fois d’un compte de messagerie de type Gmail et d’un service de stockage de type DropBox accessibles sur toutes les plateformes fixes ou mobiles. Il s’agit d’un logiciel libre, et l’inscription y sera gratuite.

À suivre en 2015!