Billets classés sous la catégorie « Sécurité »

Catherine MathysGlenn Greenwald: celui qui suscite la controverse

par

 publié le 27 octobre 2014 à 17 h 56

Dans une salle comble, on attendait avec impatience l’arrivée de Glenn Greenwald, avocat de droit constitutionnel, auteur, mais surtout journaliste émérite, qui a publié les désormais célèbres révélations d’Edward Snowden sur les programmes de surveillance de masse de la National Security Agency (NSA). Il était l’invité de la Conférence annuelle Beaverbrook 2014 de l’Université McGill. Heureusement, l’événement était aussi diffusé en direct et une vidéo de la présentation est désormais sur le site Internet de l’institution.

Greenwald : un personnage controversé

538px-Glenn_greenwald_portrait

Glenn Greenwald ne laisse habituellement personne indifférent. De son propre aveu, partout où il passe, il se retrouve au centre d’une controverse. C’était le cas le mois dernier, lors de son passage en Nouvelle-Zélande, alors qu’il affirmait que le premier ministre John Key avait approuvé la surveillance massive de ses citoyens. C’était encore le cas la semaine dernière, quand il a publié 40 minutes avant la fusillade d’Ottawa un article sur les événements de Saint-Jean-sur-Richelieu, dans lequel il mentionnait que le Canada ne pouvait pas s’étonner de ce genre d’attaques après 12 années très actives sur le plan militaire.

Notre peur collective

Avec les deux incidents des derniers jours, la table était mise pour les questions que Glenn Greenwald souhaitait aborder. Il a commencé sa conférence en mentionnant qu’il comprenait notre peur collective, mais que nous réagissions comme tous les autres pays à qui ce type d’incidents était déjà arrivé : comment une telle chose pouvait-elle se produire chez nous? Selon lui, la réponse est simple. Notre façon de nous percevoir comme peuple ne correspond pas à la réalité et c’est à cette réalité, opérationnalisée par le gouvernement, que les incidents répondent.

En guise d’exemple, il a parlé d’un article qui avait fait grand bruit au Brésil il y a quelques années et dans lequel il affirmait que le Canada menait une campagne de cyberespionnage contre le ministère des Mines et de l’Énergie du Brésil. Il savait que l’article ferait grand bruit au Brésil, puisque les Brésiliens sont les victimes de cet espionnage, mais il a été surpris de la grande couverture médiatique que ses propos ont suscitée au Canada. Après en avoir discuté avec des collègues canadiens, il a donné deux explications. La première, c’est que la révélation de ce cyberespionnage a aussi révélé l’existence du Centre de la sécurité des télécommunications (CSTC) aux Canadiens, l’équivalent canadien de la NSA. L’autre raison, et peut-être la plus grave, selon lui, c’est que cette nouvelle entrait en parfaite contradiction avec la perception qu’avaient les Canadiens d’eux-mêmes.

Le cyberespionnage: une menace pour la démocratie

Selon Greenwald, le cyberespionnage n’est pas qu’un enjeu de surveillance électronique. C’est aussi et surtout un enjeu de démocratie. En effet, si la population n’est pas au courant des outils dont dispose le gouvernement pour faire certains gestes, comment peut-elle réagir? Selon lui, quand un gouvernement réussit à faire adhérer une population à une perception d’elle-même qui n’est pas conforme à la réalité, il s’agit de propagande.

Le journaliste américain dit que la même chose est arrivée aux États-Unis en 2001, après les attentats du World Trade Center. La première question que les Américains se sont posée était : « Mais pourquoi nous détestent-ils? » Puisque le gouvernement ne pouvait pas dire la vérité, il en a inventé une, soit la haine de notre liberté, telle que mentionnée dans ce discours du président Bush à la suite des événements du 11 septembre.

Selon Greenwald, les gouvernements embellissent la vérité pour faire croire à leurs citoyens qu’ils sont libres et qu’ils n’ont rien fait de mal. Les Occidentaux font par exemple grand bruit des emprisonnements de leurs journalistes, sans parler de leurs propres actions. Il mentionne le cas de Roxana Sabari, emprisonnée 100 jours en Iran en 2009, et des quelque 8000 mentions médiatiques de son cas. Il dit que personne ou presque ne s’est intéressé au sort du journaliste Sami al-Haj, emprisonné à Guantanamo pendant 7 ans. Greenwald prétend qu’une centaine d’articles l’auraient mentionné tout au plus. Selon lui, on porte peu d’attention aux victimes de nos actions militaires. Ces 12 années de violence finissent par nourrir un désir de vengeance.

Notre rapport à la vie privée

Ce que Greenwald a le plus appris des révélations de Snowden, c’est la portée de la surveillance qu’il cherchait à dénoncer. En effet, tout à propos de tout le monde semble intéresser les agences de surveillance. Nous finissons par nous convaincre que nous sommes de bonnes personnes, que ce qu’on dit en ligne n’est pas si intéressant que cela et qu’en bout de piste, ce n’est pas si grave si le gouvernement s’y intéresse.

Cela dit, Greenwald pense que ce n’est pas vrai, que même ceux qui semblent ne pas s’en faire avec la vie privée s’en préoccupent tout de même. Il tient pour preuve le test du courriel. Quand il rencontre quelqu’un qui l’assure que son intimité en ligne ne l’inquiète pas, il lui donne son adresse courriel et lui demande de lui envoyer tous les mots de passe qu’il détient, ceux des médias sociaux, des courriels, des comptes de banque, etc. Bien sûr, personne ne l’a encore fait. C’est ce qui fait dire à Greenwald que tout le monde tient à une forme de sécurité en ligne et que cette surveillance omnipotente des gouvernements ne devrait laisser personne indifférent.

Quand une société se sent continuellement observée, elle devient soumise et ses comportements changent. Les émotions dont il a été témoin la semaine dernière au Canada sont un terreau fertile pour ce qu’il appelle la propagande du gouvernement. Quand on a peur, on perd son libre arbitre et c’est ça qui est dangereux. Selon Greenwald, la conviction et la volonté des gens peuvent faire changer n’importe quoi. Snowden en est un bon exemple.

« Je n’ai rien à cacher. »

Dites cela à Edward Snowden, lui qui est obligé de se cacher pour que vous ayez le droit à une vie privée, et il vous répondra :

« C’est inverser les responsabilités, [ça] revient à dire :  »Je me fiche de ce droit. » C’est le gouvernement qui doit se justifier de ne pas respecter vos droits », dit-il dans une vidéo enregistrée la fin de semaine dernière.

C’est vrai. Par défaut, la vie privée devrait être protégée. Mais comme ce n’est plus le cas en ligne, il nous faut faire l’effort de la protéger nous-mêmes.

Edward Snowden suggère de laisser tomber les services comme Google, Facebook et Dropbox. Ils seraient « dangereux » pour la vie privée.

Et nous, mines déconfites, voyons très bien ce que cela veut dire : se couper de tout ce que le web offre de bien (recherche, réseaux sociaux, partage de fichiers).

Ne plus utiliser Google, synonyme de web pour la plupart des gens, est un pas bien trop grand à suggérer.

Heureusement, il existe quelques solutions, et l’une d’entre elles me semble très prometteuse.

Anonabox, le routeur Tor

anonabox

Sur la plateforme de sociofinancement Kickstarter a été lancé Anonabox, un routeur matériel Tor.

Tor est un réseau composé de routeurs organisés en couches, de telle sorte qu’il rend les flux de communication cryptés et anonymes.

L’Anonabox permet de se brancher directement sur ce réseau Tor sans même s’en rendre compte.

Il suffit de le connecter à votre propre routeur (celui qui permet en ce moment pour vous relier à votre fournisseur Internet) et de sélectionner son signal WiFi.

Sur votre ordinateur, vous continuez à utiliser vos logiciels favoris, même ceux qui ne sont pas compatibles avec Tor, disent les promoteurs.

Ils en sont à leur quatrième génération de prototypes, dont la dernière version tient dans la paume d’une main.

anonaboxgen

Si tout va bien — il y a toujours un certain risque dans le sociofinancement —, les premiers appareils seront livrés début 2015.

MISE À JOUR : depuis la parution de ce billet, la plateforme Kickstarter a suspendu le projet Anonabox. Le projet avait réussi à amasser plus de 600 000 $ mais des voix se sont élevées, notamment sur Reddit, pour accuser le promoteur de mentir sur les origines et les éléments d’Anonabox. Il n’a pas su prouver que toutes les  pièces de son produit lui appartenaient –il ne peut donc pas affirmer que son produit est 100% Open Source. Une suspension sur Kickstarter signifie en général que le projet ne rouvrira pas. Merci à Clément Côté pour la note. (Même si ce produit particulier ne verra pas le jour, le concept en soi n’est pas pris en défaut).

Se protéger soi-même

Ce type de solution matériel — un bidule intermédiaire entre le réseau et nous — permet de redonner confiance au réseau Internet.

Bien sûr, ça n’empêche pas que ce que vous écrivez dans vos profils Facebook ou Twitter soit surveillé (ce sont des comptes publics, après tout), mais la géolocalisation ou le transfert de votre profil à d’autres marchands ne pourra plus se faire.

Quand vous naviguerez sur Internet avec ce routeur Tor, vous ne serez plus fiché par des corporations qui ont la morale élastique à propos de votre vie privée.

Vous pourrez enfin chercher dans la même journée des grenades (les fruits!) et réserver un billet d’avion sans risquer de voir débarquer des agents prêts à vous extrader vers Guantanamo.

Martin LessardDéverrouiller son ordinateur en un battement de coeur?

par

 publié le 26 septembre 2014 à 10 h 53

Mercredi, la jeune entreprise torontoise Bionym a annoncé avoir reçu un financement s’élevant à 14 millions de dollars.

Bionym propose un bracelet qui capture notre pouls pour nous identifier de façon unique et promet de nous débarrasser pour toujours de l’obligation d’entrer nos mots de passe.

Son bracelet, appelé Nymi, est équipé de multiples capteurs qui mesurent le rythme cardiaque de l’utilisateur, ou plus précisément le temps entre les battements.

Ce temps entre les battements serait unique pour chaque individu.

En mesurant ce temps de battement unique, on a une empreinte unique, un peu comme des empreintes digitales.

Avec cette identité unique, c’est un peu comme un mot de passe, on peut déverrouiller par exemple des ordinateurs par Bluethooth Low Energy

À l’intérieur se trouvent des capteurs qui prennent un électrocardiogramme pour connaître la fréquence des battements de votre coeur.

Il est aussi doté d’un accéléromètre et d’un gyroscope, ce qui permet de repérer des mouvements simples et de les associer à une tâche spécifique. Par exemple, un mouvement du bras pourrait déverrouiller le coffre d’une voiture.

La solution biométrique

Ce type de bracelet fait partie d’un énorme mouvement de ce qui a été appelé wearable technologies en anglais, qu’on pourrait traduite par informatique prêt-à-porter.

La technologie quitte morceau par morceau nos ordinateurs pour aller se greffer sur des objets du quotidien, nos vêtements, nos lunettes, nos bijoux ou nos bracelets.

On peut se demander si ce n’est pas un effet de mode, mais il y a pourtant derrière le bracelet d’identification un réel souci de répondre à des problèmes que l’informatique a créés.

Il faut savoir que les mots de passe ne sont pas vraiment sécuritaires dans l’état actuel des choses. Il n’y a pas une semaine qui passe sans qu’on entende que des mots de passe ont été volés sur les serveurs d’une compagnie ou d’une autre.

Bionym se positionne dans ce qu’on appelle une solution de rechange biométrique aux mots de passe.

La biométrie est une technique de reconnaissance basée sur des caractéristiques physiques de notre corps.

Pensez à un cadenas à numéro et à un cadenas à clé. Il s’agit de connaître la combinaison du premier, et tout le monde peut ouvrir le cadenas. Avec une clé, théoriquement, c’est seulement celui qui possède la clé qui peut l’ouvrir.

Mais une clé peut être copiée.

La biométrie permet de transformer une caractéristique unique de notre corps en une clé unique.

Certains téléphones cellulaires utilisent déjà l’empreinte digitale pour se déverrouiller.

Est-ce fiable?

Dans le cas du bracelet Nymi, il n’est pas dur d’imaginer que la compagnie torontoise va utiliser ses 14 millions pour peaufiner sa technologie et nous convaincre qu’il faut avoir confiance en son produit.

Il faut quand même se rappeler que prendre le pouls de quelqu’un, ce n’est pas si compliqué. Et si j’arrive à prendre votre pouls par une poignée de main, équipé de capteurs, est-ce que je serais capable de programmer ensuite le bracelet pour me faire passer pour vous?

Plus facile à dire qu’à faire. Mais si cette image entre dans la tête du grand public, je ne donne pas cher de cette technologie.

C’est là que va passer une partie de l’argent reçu. Bionym va tout faire pour sécuriser son bracelet et nous convaincre que rien de tel ne peut se passer. Nous jugerons sur pièce quand les premiers Nymi arriveront sur le marché. Ils sont en ce moment en prévente sur le site web de la compagnie.

Consolidation en vue

Il n’est pas dur de deviner que cette industrie naissante de l’informatique prêt-à-porter devra bientôt se consolider.

La prolifération des gadgets de ce genre est intenable.

Je ne porterai pas une montre Apple Watch pour communiquer avec mon Mac… et une montre Samsung Galaxy Gear pour communiquer avec mon cellulaire Android… et en plus, un bracelet Nymi pour ouvrir ma voiture.

Si un jour on est tenté de porter un tel objet « mot de passe cardiaque », ça ne sera pas nécessairement un bracelet Nymi.

Ce sera un programme qu’on pourra mettre dans l’objet que l’on veut.

Ça pourrait être des lunettes Google, ou une montre intelligente, ou un bijou intelligent.

Chacun choisira l’objet qu’il portera sur lui comme une clé biométrique pour ouvrir ses appareils électroniques.

Qui sera cette compagnie qui réussira à imposer la première sa plateforme? Bionym est dans la course.

Martin LessardUne puce radio sans pile

par

 publié le 18 septembre 2014 à 10 h 18

L’Internet des objets, on en parle souvent ici, est cette promesse d’un monde où les objets, tous les objets, pourraient être connectés.

Miniaturisation aidant, les puces deviennent de plus en plus petites et de moins en moins chères : on imagine très bien qu’on pourrait un jour équiper tous les objets de notre quotidien d’une puce dotée d’une connexion et capable d’envoyer et de recevoir des commandes.

Dans un avenir pas si lointain, des milliards d’objets pourraient donc ainsi être connectés avec ces puces miniatures.

Mais il y a au moins deux autres défis de taille pour y arriver : ces puces ne doivent pas coûter cher ni être gourmandes en énergie.

Une puce radio à rétrodiffusion ambiante

L’université de Standford a annoncé cette semaine avoir réussi à faire sauter ces deux derniers verrous.

Ses chercheurs ont trouvé la façon d’avoir une puce de la taille d’une fourmi qui coûte à peine un cent et qui fonctionne sans source d’énergie directe!

pucestandford

Pour alimenter la puce, les chercheurs utilisent les ondes radio existantes : cellulaires, télé ou wi-fi. Cette méthode, appelée rétrodiffusion ambiante (ambiant backscatter), fournit suffisamment d’énergie pour que la puce puisse émettre et recevoir des messages.

Cette puce de Standford demande si peu d’énergie pour fonctionner que, si on la branchait avec une pile AAA, elle fonctionnerait 100 ans!

Stanford semble donc avoir réussi à faire sauter les trois verrous à la fois qui ouvrent la voie à l’internet des objets (faible coût, faible taille, faible consommation).

Ils ne sont pas les premiers à travailler sur un tel projet, mais, à ma connaissance, ils sont les seuls à avoir réussi à faire sauter les trois verrous à la fois.

Améliorations à venir

Il y a encore des améliorations à faire, notamment pour augmenter la portée et, surtout, pour assurer une protection contre les pirates informatiques.

Évidemment, pour l’instant, pas question de télécharger des vidéos YouTube, car la vitesse de transfert est de 1Kb/sec, ni de communiquer sur une longue distance (environ deux mètres dans les essais).

L’antenne sur la puce mesure un dixième de la taille d’une antenne wi-fi et fonctionne à la vitesse incroyable de 24 milliards de cycles par seconde. Mais la puce ne peut pas encore traiter des signaux qui oscillent aussi rapidement. On voit cependant que le potentiel de transmettre beaucoup plus d’informations est là.

Pour l’heure, un essaim de ces petites puces pourrait très bien être utilisé, par exemple comme capteur environnemental, en entreprise ou dans les hôpitaux. En plaçant les puces toutes à proximité, elles seraient capables de faire circuler de petits messages binaires pour surveiller ou contrôler leur environnement.

À lire aussi sur Triplex :

Reconnaître les mouvements par ondes télé interposées

Les ampoules connectées

10 microéoliennes sur un grain de riz

1,2 milliard. Voilà la quantité de combinaisons de noms d’utilisateur et de mots de passe obtenues par un nouveau groupe de pirates russes, selon des informations dévoilées cette semaine par la firme de sécurité informatique Hold Security. Une brèche qui pourrait rapporter gros aux pirates, mais aussi à la firme en question.

Le vol du siècle?
twitter

C’est Hold Security, une entreprise de sécurité informatique qui a notamment mis à jour l’année dernière le piratage des serveurs d’Adobe, qui a découvert le nouveau groupe de pirates russes surnommé CyberVor.

Tel que le rapportait le New York Times mardi, avec leur 1,2 milliard de mots de passe, ces jeunes pirates auraient mis la main sur la plus grande collection du genre connue au monde. En tout, ceux-ci auraient accès aux comptes de 420 000 sites web, appartenant autant à des compagnies du Fortune 500 qu’à de très petites entreprises.

Selon Hold Security, CyberVor n’aurait toujours pas revendu la liste, et le groupe s’en servirait plutôt pour envoyer des pourriels via les réseaux sociaux comme Twitter.

Malheureusement, l’entreprise refuse de dévoiler quels sites sont présents sur la liste en question.

Tout ne tient pas la route
La taille du vol a de quoi faire peur. Les possibilités pour un groupe mal intentionné qui met la main sur des informations du genre sont nombreuses, et peuvent inclure par exemple le chantage, le vol d’identité et plus.

Comme plusieurs médias américains l’ont soulevé après la parution de l’article du New York Times, cette histoire ne tient toutefois pas complètement la route.

Ainsi, les moyens utilisés par les pirates russes selon Hold Security ne devraient pas être suffisants pour pirater des sites vraiment importants, comme Google ou Facebook, et tout indique que les pirates ont surtout mis la main sur différentes listes déjà existantes, en vente sur le marché noir, et sur des mots de passe moins importants.

L’utilisation des mots de passe pour envoyer des pourriels sur Twitter – et non pour perpétrer des crimes plus payants – pourrait également indiquer que la liste en question n’est pas des plus pertinentes.

Un crime payant (pour Hold Security)
site full 540

Dans tous les cas, une entreprise devrait sortir gagnante de ce crime : Hold Security.

Non seulement la compagnie profite présentement d’une publicité d’envergure mondiale (leur site web est d’ailleurs souvent inaccessible depuis hier), mais l’entreprise offre aussi plusieurs services payants pour se protéger contre CyberVor et les autres.

Les compagnies peuvent par exemple payer pour être informées si leur site se retrouve dans des listes de sites piratés pour 120 $ par mois (un montant qui pourrait toutefois être revu à 120 $ par année, selon Hold Security), ou encore débourser plus pour une protection plus complète. Un service pour les particuliers sera aussi lancé prochainement, mais son prix n’a toujours pas été annoncé.

Le travail effectué par Hold Security pour mettre à jour le groupe de pirates russes est tout à fait louable, et il est normal que l’entreprise puisse vendre ses services. La gravité de la situation doit toutefois être prise avec un certain grain de sel.

Peu importe les intentions de Hold Security, qu’un groupe de pirates ait en sa possession 1,2 milliard de mots de passe a de quoi inquiéter, même si ceux-ci ne sont pas tous récents.

Mais au lieu de payer une compagnie pour vérifier si vos mots de passe sont présents dans la liste, il serait probablement moins dispendieux (et beaucoup plus efficace) de simplement les changer et d’opter pour des combinaisons variées d’un site à l’autre.

C’est ce que vous devriez faire de toute façon, peu importe la quantité et la qualité des mots de passe obtenus par CyberVor.