Billets classés sous la catégorie « Sécurité »

Catherine MathysSommes-nous tous sous surveillance de l’État?

par

 publié le 18 février 2015 à 14 h 17

Hier soir, André Mondoux, professeur à la faculté de communication de l’UQAM et spécialiste des rapports entre médias, technologie et société, prononçait une conférence publique sur le thème suivant : « Sommes-nous tous sous surveillance de l’État? »

C’était l’occasion, pour lui, de faire le point sur l’affaire Snowden et ce qu’elle nous a révélé jusqu’à présent. Comme ces révélations ont été divulguées par petites fuites dans les médias, il est difficile d’en avoir une vue d’ensemble. De plus, l’autre effet pervers de cette lente publication des documents d’Edward Snowden est qu’on finit par s’habituer à cette surveillance omniprésente, selon André Mondoux.

20150217_184550_resized

La pêche de grand fond

On l’aura compris, les programmes de surveillance des Five eyes, les États-Unis, le Canada, l’Angleterre, l’Australie et la Nouvelle-Zélande, ressemblent à une pêche de grand fond où on tente de colliger le maximum de données pour en extraire les fichiers d’intérêt. On ne surveille plus l’exception. Dans un tel état de fait, tout le monde devient suspect.

Les outils que nous utilisons servent de sources pour alimenter ces cinq agences de surveillance. Pour Mondoux, les réseaux sociaux sont une nouvelle façon d’être au monde. Si les religions, les classes, les idéologies ne servent plus à modeler l’identité, on se tourne volontiers vers le web pour s’exprimer, pour exister. Bien sûr, nous ne livrons pas toujours nos données en toute connaissance de cause. Cela dit, nous sommes nombreux à dire que nous n’avons rien à cacher. Dans cette simple affirmation, on sent que le regard extérieur est là. C’est comme si on avait accepté cet état de surveillance, souligne André Mondoux.

Des approches de surveillance hostiles

Dans sa mise en contexte, André Mondoux a présenté les trois axes nécessaires à la mise en place des programmes de surveillance, l’axe industrie-État, l’axe industrie-université et les laboratoires d’idées (think tanks). Il a décrit le cycle de vie des données en partant des directives qui motivent leur collection jusqu’aux méthodes et aux systèmes mis en place pour colliger cette immense masse d’information.

M. Mondoux a surtout mis en lumière l’adoption d’approches de surveillance hostiles sur son propre territoire. En effet, les citoyens d’un pays ont maintenant droit aux traitements autrefois réservés aux étrangers. Plus on a de données, meilleures seront les corrélations.

« On n’oublie jamais son premier document secret »

C’est comme cela qu’André Mondoux a présenté toute une série de documents confidentiels dévoilés par Snowden. Il a donc passé en revue plusieurs des programmes, plus étonnants les uns que les autres : Total Information Awareness, le programme mis en place après le 11 Septembre précédant ainsi PRISM, « la fine fleur du programme de surveillance », a-t-il dit sur un ton ironique. Il a aussi été question de Stormbrew, qui permettait d’intercepter le trafic d’Internet directement sur les câbles eux-mêmes. Le programme Auroragold, permettait, quant à lui, de capter 71 % des réseaux cellulaires de la planète en 2012. Et la liste continue. Muscular, par exemple, était un programme qui pouvait intercepter les données d’utilisateurs dans leur transit vers les serveurs de Yahoo et de Google.

GOOGLE-CLOUD-EXPLOITATION1383148810

Tailored Access Operations est un des programmes les plus surprenants parce que dans ce cas, il ne s’agit plus d’interception de données invisibles, mais d’un système d’interception des ordinateurs en livraison pour y installer des logiciels espions de la NSA. Dans un film de James Bond, on y aurait cru. Il faut croire qu’on vit désormais dans un étrange mélange de réalité et de fiction.

Il y a aussi tous les autres, Cottonmouth, Nightstand, Picasso, Ragemaster, Candygram, sans oublier XKeyscore. Cet article de Ars Technica illustre bien quelques-uns de ces programmes.

Et le Canada dans tout ça?

On a appris récemment l’existence du programme Levitation qui intercepte 10 à 15 millions de fichiers téléchargés par jour. Le Canada participe également au programme Intolerant, qui débusque des informations volées par des pirates à des cibles d’intérêt.

Après l’énumération et la description de tous ces programmes, alors que je sors de la conférence, cette nouvelle sur le rapport de Kapersky sort sur les fils de presse. On y apprend que « durant au moins 14 ans, un groupe de pirates informatiques est parvenu à mener des centaines d’attaques de grande ampleur dans une trentaine de pays, sans jamais être inquiété ». L’enquête suggère que ce programme nommé Equation était relié aux activités de la NSA. Le Canada y a-t-il participé? On sent bien que ce qu’on aperçoit n’est encore que la pointe de l’iceberg. Mais quelle touche finale à la conférence de Mondoux! Est-ce un hasard? ;)

Martin Lessard2015 : montée des attaques cybernétiques?

par

 publié le 22 décembre 2014 à 11 h 54

Des spécialistes de la cybersécurité prédisent que le nombre de menaces d’espionnage et de cas de terrorisme informatique va augmenter en 2015.

En 2014, Target, Home Depot et Sony, pour ne nommer que les plus connues, ont toutes été victimes d’attaques qui ont exposé leur vulnérabilité aux yeux de tous.

Il est clair que si ces grandes compagnies (aux pieds d’argile numériques) ne sont pas arrivées à se protéger adéquatement contre les pirates informatiques, imaginez les plus petites compagnies!

La montée des attaques informatiques

blastware

La cybersécurité devient un préoccupation nationale de premier plan.

Cinq types de dangers vont retenir davantage l’attention des spécialistes en sécurité informatique en 2015 :

Blastware. Effacer toutes les données après l’attaque? Voilà la nouvelle façon pratique pour les pirates de faire disparaître l’origine et la signature du délit.

Cyberrançon. Les pirates font chanter la compagnie sous la menace de bloquer l’accès aux données critiques qu’elles possèdent. Les données deviennent, en quelque sorte, des « otages numériques » en échange desquels une rançon est demandée.

Domotique rimera avec terrain de jeu pour pirates. Les pirates exploitent toujours les lignes de moindre résistance, et les objets connectés de nos maisons en feront partie.

Terrorisme numérique géopolitique. Avec la mobilité et l’infonuagique, l’infrastructure d’un pays se fragilise, donnant du fil à retordre aux agences de protection nationale et menaçant l’économie du pays tout entier.

Hameçonnage. Pas nouveau comme menace, mais probablement la plus importante. Les pirates exploitent l’humain, qui est le maillon faible de la chaîne de sécurité.

L’humain est le maillon faible

touchex

Derrière la majorité des attaques, l’origine de la faille est humaine. Facilement bernés, les humains tombent dans le panneau sans le savoir, se faisant dérober mots de passe, accès et contacts qui permettent ensuite une attaque plus en profondeur dans le système d’une compagnie.

Ça a été le cas dans une attaque contre ICANN, qui gère sur Internet tous les noms de domaine à une échelle internationale. Ça a aussi été le cas pour Sony.

« Typiquement, les attaques par hameçonnage sont destinées à duper les gens en les conduisant à cliquer sur des pages factices où ils entrent leurs adresses et mots de passe, qui sont ainsi récupérés par les pirates informatiques. » (Source)

La sécurité informatique serait tellement mieux s’il n’y avait pas d’humains, pourrait-on ironiser.

Mais comme nous serons encore là en 2015, attendez-vous à entendre parler de plus en plus de ce genre d’attaques et à les voir de plus en plus se rapprocher d’une compagnie près de chez vous.

Catherine Mathys2015 : l’année du chiffrement pour tous?

par

 publié le 19 décembre 2014 à 15 h 13

Samedi dernier à La sphère, l’équipe, comme la tradition le veut, passait l’année en revue. Alors, qu’est-ce que j’ai retenu de 2014? Selon moi, il s’agissait de l’année de l’éveil à la trace numérique. Je trouve les preuves de cette nouvelle sensibilisation dans la prolifération d’applications de toutes sortes qui promettent une meilleure protection (réelle ou non) de notre identité et de nos données en ligne. On aime de plus en plus que nos messages s’effacent, que notre identité soit cachée ou que nos communications soient chiffrées pour éviter une éventuelle interception.

En ce qui concerne le chiffrement, j’ai surtout parlé de Protonmail à l’émission, un logiciel issu d’une association entre le CERN et le MIT. Cela dit, un acteur prometteur entrera dans la danse en 2015, il s’agit de Peerio, le nouveau produit de Nadim Kobeissi qui nous avait donné Cryptocat en 2012, devenu un des logiciels de chiffrement les plus populaires de nos jours.

20141210_122341_resized

Il est venu en parler à Radio-Canada à l’occasion des Midis lab le 10 décembre dernier. La vidéo de la conférence n’est malheureusement pas disponible avant le lancement officiel du produit.

Les journalistes et les communications chiffrées

Les communications chiffrées ne datent pas d’hier. On les utilise depuis les années 80. Cela dit, ce genre de logiciel a toujours demandé un peu d’efforts et de patience. Dans l’affaire Snowden, Glenn Greenwald, un des journalistes auquel il s’est confié, n’a pas su comment s’en servir au début de leurs communications. Snowden s’est donc tourné vers Laura Poitras qui connaissait mieux ce genre de logiciels, comme je l’expliquais dans un précédent billet.

Ici, quand on parle de logiciels de chiffrement, on veut dire que la seule personne qui peut accéder à notre contenu est celle qu’on a choisie. Le réseau lui-même, que ce soit les serveurs ou le fournisseur, ne peut pas y avoir accès. Kobeissi travaille depuis quatre ans au développement de technologies de chiffrement et de communications privées sur Internet. Bien qu’il sache que ses outils sont aussi utiles pour l’activisme politique que pour les milieux médical et légal, il s’intéresse tout particulièrement aux journalistes comme public cible.

logo (2)

D’ailleurs, Greenwald s’est fait la main et a même utilisé Cryptocat à Hong Kong dans ses discussions avec d’autres journalistes avant sa première rencontre avec Snowden. Ce que Kobeissi aime particulièrement de cette anecdote, c’est que son logiciel est le seul à avoir correctement fonctionné. Il est particulièrement fier de la facilité d’utilisation de ses produits et tout indique qu’il est voie de récidiver avec Peerio.

Qu’est-ce que Peerio?

Si tous les contenus ne sont pas confidentiels et ne requièrent pas d’autres formes de protection, Kobeissi est d’avis que tous les journalistes devraient au moins connaître les risques associés à leurs communications en ligne et les outils à leur disposition pour mieux contrôler la transmission de leurs données.

Le jour où un journaliste sera contacté avec la possibilité de transmettre des informations confidentielles sur un dossier, il devra savoir comment faire pour ne pas se retrouver comme Greenwald à devoir passer son tour pour des raisons techniques.

Nadim Kobeissi et son équipe travaillent depuis six mois à développer ce nouvel outil spécifique aux journalistes qu’est Peerio. Il est en phase bêta privée, alors il n’est accessible que sur invitation pour le moment.

Dans une vidéo présentée lors de la conférence, on nous mentionne que des services qui assurent le chiffrement de nos communications existent déjà. Par contre, ces services ne chiffrent le contenu que lors de sa transmission, pas sur leurs serveurs. Si d’autres chiffrent tant la transmission que le stockage de l’information, ils conservent l’accès à nos données.

Dans le cas de Peerio, les informations sont chiffrées avant de quitter notre ordinateur avec une clé qui nous appartient. Les serveurs de Peerio contiennent donc toute une série de dossiers chiffrés auxquels l’entreprise elle-même ne peut accéder. L’aspect intéressant de ce logiciel est qu’il permet de garder le contrôle complet sur nos données. Ainsi, si nous souhaitons en détruire une partie, elle disparaîtra de toutes les boîtes de messagerie qui la contiennent du même coup.

Nadim Kobeissi explique son nouveau produit en disant qu’il s’agit à la fois d’un compte de messagerie de type Gmail et d’un service de stockage de type DropBox accessibles sur toutes les plateformes fixes ou mobiles. Il s’agit d’un logiciel libre, et l’inscription y sera gratuite.

À suivre en 2015!

Mercredi, à l’occasion de la Journée internationale des droits de l’homme, Amnistie internationale présentait une conférence virtuelle d’Edward Snowden. Vous pouvez voir son discours ici. Ce billet fait suite à la première partie du résumé de ses propos.

Une collecte de données « en vrac »

Pour Edward Snowden, le problème des programmes de surveillance de masse, c’est qu’on a inventé et implanté des systèmes qui surveillent des populations entières plutôt que des individus suspects. Ces programmes ne peuvent pas faire de discrimination et cibler seulement certains individus. Ils sont donc tenus de surveiller tout le monde. Snowden dit avoir vu un changement de pratique dans les 10 dernières années.

Auparavant, quand il y avait une surveillance, elle ne visait qu’un seul individu soupçonné d’agissements illégaux. Depuis les attentats du 11 Septembre, ce principe a changé pour devenir une collecte de données « en vrac ». Ces données sont ensuite analysées par des algorithmes qui décident de ce que sont ces individus, de ce qu’ils font et de ce que le gouvernement doit penser d’eux. Snowden cite l’exemple du Huffington Post qui affirmait que l’Agence de sécurité nationale (NSA) surveillait les habitudes de visionnement de pornographie de ceux qu’elle considérait comme ayant des idées politiques radicales sans toutefois que ces individus aient commis d’acte répréhensible. Le but était de les discréditer sur la place publique en raison de leurs affiliations politiques. Quand de telles initiatives secrètes changent la philosophie du gouvernement en place sans qu’on rende des comptes aux citoyens, on est vite sur une pente glissante. Même si on nous assure que les intentions sont nobles et nécessaires, on se rend compte que des individus innocents sont traités injustement.

L’efficacité n’est pas un argument pour défendre un acte criminel

Lorsque l’intervieweur demande à Snowden de décrire sa réaction à la lecture du rapport sur les techniques d’interrogatoire de la CIA, dévoilé la veille par la commission du renseignement du Sénat, celui-ci mentionne qu’il travaillait à la CIA durant les dernières années de mise en place de ce fameux programme de torture. Lui-même n’avait pas de rapport avec ce dernier, mais beaucoup de ses collègues exprimaient des inquiétudes.

Il trouve que le rapport qui vient d’être publié est exceptionnel pour plusieurs raisons. Il se dit attristé et fâché par ce qu’il y a trouvé. Il estime que les principes érigés par le procès de Nuremberg après la Seconde Guerre mondiale sont bafoués et il craint tant pour l’autorité morale des États-Unis que pour le respect des lois internationales. Si les États-Unis permettent à leurs agents de pratiquer la torture sans autre forme de condamnation, à quoi peut-on s’attendre de la part des pays sous l’emprise d’une dictature? Non seulement ce programme de torture a-t-il causé la mort d’individus sans que personne n’en soit tenu pour responsable, mais les agents impliqués ont même reçu des bonis en argent. Sans le procès des responsables, Snowden ne voit pas comment la société peut aller de l’avant.

2000px-CIA.svg

Contrairement aux programmes de surveillance de la NSA mis au jour par un lanceur d’alerte, ce sont des sénateurs qui ont dénoncé le programme de torture. N’est-ce pas là une bonne nouvelle? Edward Snowden ne le croit pas. Dans le rapport, on parle de plusieurs lanceurs d’alertes qui ont tenté de dénoncer la situation, mais qui ont été rabroués. En effet, certains témoins d’actes de torture en sont venus aux larmes et d’autres ont même demandé à être transférés pour ne plus avoir à cautionner ce genre d’actes. Malgré les efforts de certaines de ces personnes, les autorités n’ont pas mis fin au programme. En fait, le directeur de la CIA, José A. Rodriguez Jr. a simplement rétorqué à l’époque que leurs propos n’aidaient pas la cause. Selon Snowden, si de tels actes criminels ont pu continuer à être commis, ce n’est pas parce que personne ne le savait, mais parce que le grand public ne le savait pas. Le programme ne s’est arrêté que lorsque les journaux l’ont informé de ces actes.

La publication du rapport est un bon pas dans le sens où elle amène à reconnaître certains gestes, mais elle ne fait rien pour la responsabilisation de ceux qui les ont commis. Les résultats de ce genre de programmes importent peu. Le fait qu’ils soient ou non efficaces ne peuvent pas en dédouaner les auteurs. Jusqu’où les autorités iront-elles? Si ce genre de crimes peut se justifier dans certaines circonstances, qu’est-ce qui ne pourrait pas l’être? Snowden donne l’exemple du viol. Un gouvernement pourrait revendiquer que le viol est une méthode « efficace » contre la crise démographique et, donc, que cela « aide » la société dans son ensemble. L’efficacité n’est pas un argument en faveur d’une activité criminelle quelle qu’elle soit.

L’Europe : berceau d’une réforme de la collecte de données

Adward Snowden dit qu’il n’est qu’un lanceur d’alerte et qu’il n’a plus accès à aucun dossier secret depuis Hong Kong. Toutefois, ce qu’il peut confirmer (et redire), c’est que les programmes de surveillance de masse sont en vigueur dans tous les pays qui peuvent se permettre d’avoir une agence de renseignement. Snowden souhaite qu’on se pose la question de la moralité des actions des autorités même si celles-ci défendent l’efficacité d’une méthode. Est-il moralement acceptable de violer les droits d’une population entière ou même d’un seul individu pour un gain, quel qu’il soit? Snowden ne croit pas que le débat ait véritablement eu lieu en France, lieu de la conférence.

images (2)

Snowden croit que les grandes lignes d’une réforme sur la collecte de données commence en Europe avec des préoccupations autour de la protection de l’information, notamment. Il juge que le plus important est de créer des standards internationaux pour indiquer ce qui est acceptable ou non. Snowden donne l’exemple du Royaume-Uni où le GCHQ (Government Communications Headquarters), l’agence de renseignement, a piraté les communications du câblodistributeur belge Belgacom. Elle a agi en contrevenant à la loi belge, mais aussi aux lois internationales. C’est très dangereux de voir des États membres de l’Union européenne s’adonner à des cyberattaques contre d’autres États de l’UE. En ce moment, comme il n’y a pas de façons de gérer le problème, pas de recours, les autres pays membres pourraient faire la même chose parce qu’ils y verraient aussi un avantage pour eux-mêmes. Quand plusieurs se mettent à attaquer une seule et même infrastructure, celle-ci va finir par tomber. Ce genre de choses est arrivé dans le passé et va continuer de se produire.

Pour une meilleure protection des lanceurs d’alerte

En forçant les tribunaux à scruter ces programmes à loupe, les citoyens vont pouvoir se demander s’il est justifié d’utiliser de telles méthodes, de véritables gestes de guerre faits en temps de paix relative. Snowden voit une occasion pour la société civile de reprendre le contrôle. S’il est possible d’imaginer de quelle façon la surveillance de masse peut être utile, il n’y aucune preuve de cette utilité dans les 10 dernières années. La surveillance de masse n’a pas empêché les attentats du marathon de Boston, ni ceux de Madrid et de Londres malgré les milliards et tout l’effectif humain investis. Ces ressources ne pourraient-elles pas servir à meilleur escient sans pour autant menacer nos droits et libertés?  Snowden croit que oui.

Avec le rapport sur la torture, il voit un gouvernement qui aurait dû reconnaître ses torts. Le peuple ne savait pas ce qui se passait et maintenant qu’il le sait, le système judiciaire ne cherchera pas à punir les coupables. Snowden a terminé l’entrevue sur un vibrant plaidoyer pour la protection des lanceurs d’alerte à l’intérieur d’un pays. Si quelqu’un révèle des preuves d’actes répréhensibles, son pays devrait l’aider à corriger ces problèmes et lui assurer une protection contre d’éventuelles représailles. De toute évidence, à la lumière des réactions des autorités américaines au rapport sur la torture, le souhait de Snowden n’est pas en voie de se réaliser.

 

Catherine MathysEdward Snowden: « nous vaincrons » (1/2)

par

 publié le 11 décembre 2014 à 13 h 05

Hier, à l’occasion de la Journée internationale des droits de l’homme, Amnistie internationale présentait une conférence d’Edward Snowden par le truchement de Google Hangouts puisque celui-ci se trouve à Moscou depuis juin 2013, lorsque son passeport américain lui a été révoqué. Vous pouvez voir son discours ici. Voici un résumé des propos qu’il a tenus.

image-suvreendirect

Snowden, un citoyen comme les autres

Edward Snowden dit qu’il va bien, qu’il mène une vie relativement normale, qu’il utilise le métro moscovite dans ses déplacements quotidiens comme tous les autres citoyens de la ville. La seule grande différence entre la vie qu’il mène actuellement et celle qu’il avait avant la divulgation des renseignements de la NSA, c’est qu’il ne vit pas chez lui, dans sa maison, et qu’il lui est impossible d’y retourner.

Il se dit en sécurité, mais affirme travailler beaucoup plus qu’avant les événements de 2013. Il consacre beaucoup de temps et d’effort à la recherche de solutions globales de sécurité avec l’aide des communautés technique et scientifique. Il cherche à améliorer les normes de sécurité de nos communications en ligne sans égard aux lois qui régissent chaque pays. Il dit également s’impliquer dans des groupes activistes et de défense des droits, ce qui est nouveau pour lui. Comme il travaillait auparavant dans une structure gouvernementale, cette tentative d’implanter des changements sans faire partie du pouvoir en place est bien différente de ce qu’il a toujours connu, mais Snowden se sent tout de même comblé.

Mais au fond, les choses ont-elles changé?      

Selon Snowden, la conscience et l’opinion publiques ont changé de façon considérable partout dans le monde depuis qu’il a fait ses révélations. Pour lui, il s’agit d’un changement significatif puisqu’il ne visait pas à changer le monde ou les politiques du gouvernement américain; il voulait simplement que les élus d’une démocratie représentative soient là justement pour représenter le peuple et non une institution ou une classe en particulier. Mais cela n’est possible qu’à condition que les citoyens votent. Quand des programmes et des institutions du gouvernement se mettent en œuvre de façon secrète, c’est le début d’un divorce entre le peuple et ceux qui le dirigent. Les citoyens étant exclus des décisions et des principes qui régissent la société, comment peuvent-ils voter en toute connaissance de cause?

Snowden explique que le gouvernement lui-même est fondé sur l’idée du consensus. Il tire sa légitimité de la direction que nous, les citoyens, souhaitons lui donner quand nous allons voter. Si nous ne comprenons pas les politiques, pouvoirs ou programmes que le gouvernement revendique et la direction qu’il prend dans ses relations internationales en notre nom, mais sans notre consentement, nous devenons ses sujets. Snowden croit que nous devrions au moins le savoir.

Le progrès se fait attendre

Snowden cite une étude récente réalisée ici, au Canada, qui mesure les connaissances des utilisateurs d’Internet de partout dans le monde quant à leur sécurité en ligne. Les recherches démontrent que 60 % des trois milliards d’utilisateurs ont entendu parler des révélations qu’il a faites l’an dernier. Parmi ces 60 %, 40 % auraient fait des changements pour sécuriser davantage leurs communications en ligne. C’est donc à peu près 7,2 millions de personnes qui ont été interpellées par cet enjeu.

Au plan individuel, ça avance. Mais les gouvernements, eux, ne semblent pas vouloir changer. Snowden demande de faire preuve de patience. «Ce genre de choses ne se fait pas du jour au lendemain », affirme-t-il. Mais il voit des exemples partout en Europe, et même aux États-Unis, où le système judiciaire est mis à profit pour remettre en question des programmes de surveillance. Il fait, par exemple, référence à ce jugement de la cour de paix de l’Union européenne qui déclare les directives de rétention de données invalides. Aux États-Unis, des panels ont été chargés de réviser les programmes de la NSA.

Tout part du citoyen

Chaque révision de programme a permis de constater que les gestes posés n’ont jamais empêché une seule attaque terroriste, mais il s’agit au moins d’un premier pas. Elles nous ont aussi incités à réfléchir de façon plus poussée sur la réelle valeur de ces programmes et sur les coûts qu’ils engendrent. Voulons-nous donc renier une grande partie de nos libertés? Souhaitons-nous que nos activités soient interceptées, enregistrées et analysées en secret et ensuite stockées pour une durée indéterminée? Bien que la surveillance se soit amplifiée dans certaines parties du monde, comme aux États-Unis, en Australie et au Royaume-Uni, on voit aussi qu’elle commence à être remise en question. Snowden croit qu’un jour, les citoyens vaincront, qu’ils n’accepteront plus que leurs actions, bonnes ou mauvaises, soient constamment jugées.