Billets classés sous la catégorie « Sécurité »

Depuis le temps qu’on en parle, vous n’êtes sûrement pas sans savoir que vos communications numériques ne peuvent plus être considérées comme privées. Elles sont cumulées et constituent désormais la majeure partie de votre profil numérique.

Jusqu’à présent, on pensait que ça n’affectait essentiellement que les communications écrites. Détrompez-vous. Le média en ligne The Intercept vient de mettre au jour le système utilisé par la National Security Agency (NSA) pour convertir les mots parlés en transcriptions archivées qui permettent de faciliter les recherches par mots-clés. En voici les grandes lignes.

 

the-intercept

L’ère du big data parlé

Les documents confidentiels transmis aux journalistes en 2013 par Edward Snowden continuent de révéler les coulisses de la surveillance exercée par la NSA sur les communications de tout ordre. Selon les archives de Snowden, la NSA a mis au point un système qui permet de reconnaître certains types de contenu dans un appel téléphonique, puis d’en faire une transcription sommaire qu’il serait ensuite plus facile de consulter. Les analystes de la NSA l’utiliseraient comme une sorte de Google pour la voix depuis près de 10 ans, selon The Intercept.

Ici, quand on parle de communications téléphoniques, on parle autant de téléphone filaire que cellulaire ou encore de services VoIP.

La transcription n’est, semble-t-il, pas parfaite, mais elle permet tout de même l’utilisation de mots-clés pour effectuer des recherches. D’autres programmes permettent ensuite d’extraire la conversation elle-même, de l’analyser et par la suite d’alerter les analystes quand d’autres conversations « d’intérêt » surviennent.

La surveillance de conversations téléphoniques n’est pas une nouvelle méthode en soi. Cela dit, quand elle requiert le temps et l’écoute d’une personne, on sait que la surveillance ne peut être que ciblée. Avec ces programmes de la NSA, bienvenue dans l’ère de l’écoute de masse.

Qui est surveillé de cette manière?

Les documents incluent des exemples d’utilisation de ces programmes lors de conflits en Irak ou en Afghanistan, mais aussi en Amérique latine et possiblement même aux États-Unis.

En fait, comme bien des détails révélés dans les documents de Snowden, bien peu de gens semblent au courant de ce stratagème. The Intercept mentionne que le USA Freedom Act, censé mieux encadrer les programmes de surveillance, ne concerne pas ce type de collection de données qui pourrait donc continuer sans être affecté par la nouvelle loi.

La technologie post-2001

On ne connaît pas l’ampleur de la surveillance qui est effectuée de cette manière. Ce qu’on sait, par contre, c’est que la technologie existe et qu’elle peut être utilisée à notre insu. The Intercept a rencontré un autre lanceur d’alerte contre la NSA, Thomas Drake, qui mentionne que l’intérêt pour ce type de technologie s’est manifesté avec force après les événements du 11 Septembre.

L’outil de première génération rendant possible la recherche de mots-clés provenant de conversations vocales est apparu en 2004 sous le nom de code RHINEHART. Les documents analysés mentionnent que les recherches effectuées à l’époque pouvaient contenir des termes comme « détonateur », « peroxyde d’hydrogène », « Bagdad » ou en encore « Musharraf ».

RHINEHART permettait tant la recherche en temps réel que la recherche d’archives. Toutefois, le perfectionnement de la technologie ne s’est pas fait attendre. Dès 2006, un nouveau système, VoiceRT, permettait d’indexer et d’étiqueter 1 million d’extraits par jour.

RT10-Overview-page6-copy-540x405

Ce dernier a été lui-même remplacé en 2013 par un autre programme du nom de SPIRITFIRE, capable d’analyser encore plus de données, encore plus vite.

Bref, notre sphère privée vient encore de rétrécir ou peut-être est-elle déjà disparue depuis longtemps.

 

Catherine MathysTraque interdite : le web a changé

par

 publié le 16 avril 2015 à 16 h 42

Le web a changé. Et pas pour le mieux. Ce n’est pas juste moi qui le dis. C’est le constat que font plusieurs observateurs et artisans du web en observant son évolution depuis ses débuts.

La grande collecte

Brett Gaylor, jeune documentariste canadien et producteur web, fait partie de ceux-là. On le connaît surtout pour son film Rip! A Remix Manifesto qui explore la créativité numérique. Il a passé toute sa carrière comme disciple du web et de ses potentiels. Mais là, quelque chose a changé.

Donottrack@Brett_sm

« Je crois toujours que le web a le potentiel d’être une force pour que le monde soit égal, pour la justice sociale. Mais la tendance à collecter des quantités croissantes d’information sur nos données et nos comportements sur le web a des conséquences très dommageables sur la société civile. Donc, j’ai senti qu’il était de mon devoir, en tant que quelqu’un qui aime le web et qui travaille à sa création, d’avoir un autre regard, plus approfondi, plus critique, sur le sujet… »

Éveiller les consciences

Concrètement, Brett Gaylor propose qu’on pose ce nouveau regard avec lui à travers Traque interdite. Cette série en sept épisodes vise à éveiller les consciences sur la façon dont les renseignements sur nos comportements en ligne sont recueillis, analysés et, oui, vendus. Je vous parlais du phénomène dans cette émission-ci de La sphère et des entreprises comme Datacoup qui veulent vous aider à récupérer certaines sommes reliées à la valeur des données que vous transmettez.

Dans Traque interdite, on nous propose donc un documentaire en sept parties dans lequel on expose les divers problèmes reliés au fonctionnement du web. Dans les deux premiers épisodes, déjà accessibles en ligne, on découvre la façon dont nos faits et gestes sont suivis sur le web ainsi que la genèse du cercle infernal de la publicité qui se nourrit de nos données.

Les prochains épisodes seront mis en ligne au fur et à mesure, toutes les deux semaines, et ce, en quatre versions : anglaise, française, canadienne-française et allemande. Il faut dire que les collaborateurs du projet sont nombreux. Traque interdite est produite par la maison de production parisienne Upian, l’Office national du film du Canada, le diffuseur public franco-allemand Arte et le diffuseur public allemand Bayerischer Rundfunk. Radio-Canada et la chaîne d’information numérique américaine AJ+ sont les principaux partenaires de diffusion.

D’ailleurs, la série interactive est l’un des cinq projets sélectionnés pour l’édition 2015 de Storyscapes, une vitrine annuelle consacrée aux œuvres transmédias du Festival du film de Tribeca, qui commence aujourd’hui à New York.  

Jouer le jeu du web

Traque interdite est certes un documentaire traditionnel, mais il propose aussi une expérience interactive intéressante. Dans chaque épisode, on vous pose des questions dans le but de vous démontrer la portée réelle de vos comportements en ligne. L’expérience se poursuit entre chaque épisode, avec du contenu supplémentaire accessible sur le blogue de Traque interdite et les réseaux sociaux.

Donottrack_E2_Cover_CA_sm

Mais là où ça devient véritablement intéressant, c’est dans la mise en abîme de cette collecte de données. En effet, Traque interdite nous invite à consentir à communiquer nos données personnelles pour observer en temps réel comment notre identité est traquée en ligne. C’est perturbant de voir l’ampleur de la trace numérique qu’on laisse, mais aussi tout ce qu’il est facile de déduire à partir des données qu’on transmet dans nos allées et venues sur le web. Ce sont ces corrélations et ces associations qui font souvent le plus peur. On peut voir se dresser peu à peu notre profil, notre personnalité, notre vie privée. Et plus on dévoile nos données, plus les épisodes sont personnalisés. Intéressant!

Étrange de voir qu’on divulgue nos données machinalement, sans y penser, tous les jours, et que quand on nous demande directement de les livrer dans ce jeu, on y pense à deux fois. En cela, le documentaire fait déjà son œuvre. Et si on tentait de mieux contrôler ce qu’il advient de nos données?

 

 

fujitsu 1 jpg

Empreintes digitales, biométrie vocale, reconnaissance faciale : l’industrie techno cherche par tous les moyens à trouver une solution de rechange aux mots de passe, l’un des maillons faibles de la sécurité informatique moderne. Alors que les lecteurs d’empreintes digitales sont déjà de plus en plus répandus dans les téléphones, la biométrie oculaire pourrait être la prochaine voie explorée par l’industrie, selon ce qu’il a été possible d’observer au Salon de la mobilité Mobile World Congress (MWC) de Barcelone.

Deux fabricants y ont en effet présenté des appareils capables d’être débloqués du regard : Fujitsu, avec un prototype doté d’une caméra infrarouge, et ZTE, avec une technologie pouvant fonctionner avec un appareil photo normal de téléphone intelligent.

Fujitsu : rapide et performant, mais gros
OLYMPUS DIGITAL CAMERA

De ces deux technologies, celle de Fujitsu est certainement la plus puissante et la plus intéressante.

Un capteur infrarouge posé au-dessus d’un téléphone permet à l’appareil d’illuminer notre iris, afin de l’identifier, exactement comme le ferait un capteur d’empreintes digitales.

La beauté de la technologie ici est son efficacité. L’enregistrement des yeux ne prend que 10 secondes, ce qui est beaucoup moins qu’avec un lecteur d’empreintes digitales, et l’ouverture de l’appareil ou d’une application protégée prend moins de 1 seconde.

Le capteur reconnaît l’utilisateur, sans se tromper, du moins dans les dizaines d’essais effectués au MWC. Notons que, selon Fujitsu, le taux de faux positifs, c’est-à-dire de personnes qui ne devraient pas être approuvées, mais qui le sont tout de même, serait de moins de 1 sur 1 million.

Est-ce que la reconnaissance de l’iris est meilleure que la lecture des empreintes digitales? Pas forcément. La vitesse du prototype de Fujitsu est sensiblement la même que celle de TouchID, d’Apple. Celui-ci semble faire un peu moins de faux négatifs, mais pour cela, il faut tenir le téléphone un peu plus haut et un peu plus près que d’habitude.

Idéalement, les deux technologies pourraient être offertes sur le même appareil, ce qui permettrait d’éliminer carrément tous les codes de déverrouillage ou tous les mots de passe, puisque le second moyen pourrait être utilisé lorsque le premier ne fonctionne pas (si on porte des gants, si on a des lunettes embuées ou s’il y a un bris mécanique par exemple).

Fujitsu devrait lancer un téléphone en Asie avec la technologie d’ici la fin de l’année. Notons, toutefois, qu’il reste encore beaucoup de travail à faire pour que le système soit vraiment parfait. Le module est en effet encore beaucoup trop gros, et qu’il est relativement facile de contourner le système en imprimant la photo infrarouge de quelqu’un et en la plaçant devant l’appareil photo.

Cette dernière faiblesse n’est pas cruciale, puisqu’il est possible de faire la même chose avec une photo à haute résolution de ses empreintes digitales sur un iPhone. En revanche, Fujitsu devra certainement s’assurer que son module ne sera pas trop épais pour pouvoir le vendre à d’autres fabricants, surtout étant donné l’importance que l’industrie accorde à la minceur des appareils.

ZTE : peu convaincant
OLYMPUS DIGITAL CAMERA

ZTE a également présenté un téléphone avec un système du genre, le ZTE Grand S3, qui fonctionne cette fois-ci avec l’appareil photo de l’appareil, et qui regarde les vaisseaux sanguins dans le blanc des yeux plutôt que l’iris.

Pour les fabricants, il s’agit évidemment d’une solution beaucoup plus pratique et moins chère à implanter.

Pour l’utilisateur, par contre, le procédé est moins réussi, même si l’appareil de ZTE a eu droit au Mobile World Congress à une bien meilleure visibilité que celui de Fujitsu. Il est beaucoup plus long de débloquer le téléphone avec ses yeux qu’avec un code, et les faux négatifs semblent plus fréquents.

En conclusion, comme la reconnaissance faciale qui est déjà offerte sur certains téléphones, mais qui n’a jamais vraiment été adoptée parce qu’elle n’était pas suffisamment efficace, la reconnaissance de l’oeil utilisée dans le ZTE Grand S3 risque bien d’être une option enfouie dans le système, que les utilisateurs essayeront quelques semaines avant de la désactiver, tout simplement.

Pour les curieux, notons que j’ai essayé de prendre une photo de moi avec un téléphone et de la mettre devant la caméra du ZTE Grand S3. Sur une dizaine d’essais, l’appareil s’est ouvert une fois.

Le ZTE Grand S3 est déjà vendu en Chine, et une mise à jour de logiciel permettra d’ajouter la nouvelle fonction l’été prochain.

D’autres fabricants pourraient aussi décider d’implanter la technologie avec le temps, mais à moins d’une amélioration importante de la technologie, je ne crois pas que celle-ci va bouleverser le marché de sitôt.

Catherine MathysSommes-nous tous sous surveillance de l’État?

par

 publié le 18 février 2015 à 14 h 17

Hier soir, André Mondoux, professeur à la faculté de communication de l’UQAM et spécialiste des rapports entre médias, technologie et société, prononçait une conférence publique sur le thème suivant : « Sommes-nous tous sous surveillance de l’État? »

C’était l’occasion, pour lui, de faire le point sur l’affaire Snowden et ce qu’elle nous a révélé jusqu’à présent. Comme ces révélations ont été divulguées par petites fuites dans les médias, il est difficile d’en avoir une vue d’ensemble. De plus, l’autre effet pervers de cette lente publication des documents d’Edward Snowden est qu’on finit par s’habituer à cette surveillance omniprésente, selon André Mondoux.

20150217_184550_resized

La pêche de grand fond

On l’aura compris, les programmes de surveillance des Five eyes, les États-Unis, le Canada, l’Angleterre, l’Australie et la Nouvelle-Zélande, ressemblent à une pêche de grand fond où on tente de colliger le maximum de données pour en extraire les fichiers d’intérêt. On ne surveille plus l’exception. Dans un tel état de fait, tout le monde devient suspect.

Les outils que nous utilisons servent de sources pour alimenter ces cinq agences de surveillance. Pour Mondoux, les réseaux sociaux sont une nouvelle façon d’être au monde. Si les religions, les classes, les idéologies ne servent plus à modeler l’identité, on se tourne volontiers vers le web pour s’exprimer, pour exister. Bien sûr, nous ne livrons pas toujours nos données en toute connaissance de cause. Cela dit, nous sommes nombreux à dire que nous n’avons rien à cacher. Dans cette simple affirmation, on sent que le regard extérieur est là. C’est comme si on avait accepté cet état de surveillance, souligne André Mondoux.

Des approches de surveillance hostiles

Dans sa mise en contexte, André Mondoux a présenté les trois axes nécessaires à la mise en place des programmes de surveillance, l’axe industrie-État, l’axe industrie-université et les laboratoires d’idées (think tanks). Il a décrit le cycle de vie des données en partant des directives qui motivent leur collection jusqu’aux méthodes et aux systèmes mis en place pour colliger cette immense masse d’information.

M. Mondoux a surtout mis en lumière l’adoption d’approches de surveillance hostiles sur son propre territoire. En effet, les citoyens d’un pays ont maintenant droit aux traitements autrefois réservés aux étrangers. Plus on a de données, meilleures seront les corrélations.

« On n’oublie jamais son premier document secret »

C’est comme cela qu’André Mondoux a présenté toute une série de documents confidentiels dévoilés par Snowden. Il a donc passé en revue plusieurs des programmes, plus étonnants les uns que les autres : Total Information Awareness, le programme mis en place après le 11 Septembre précédant ainsi PRISM, « la fine fleur du programme de surveillance », a-t-il dit sur un ton ironique. Il a aussi été question de Stormbrew, qui permettait d’intercepter le trafic d’Internet directement sur les câbles eux-mêmes. Le programme Auroragold, permettait, quant à lui, de capter 71 % des réseaux cellulaires de la planète en 2012. Et la liste continue. Muscular, par exemple, était un programme qui pouvait intercepter les données d’utilisateurs dans leur transit vers les serveurs de Yahoo et de Google.

GOOGLE-CLOUD-EXPLOITATION1383148810

Tailored Access Operations est un des programmes les plus surprenants parce que dans ce cas, il ne s’agit plus d’interception de données invisibles, mais d’un système d’interception des ordinateurs en livraison pour y installer des logiciels espions de la NSA. Dans un film de James Bond, on y aurait cru. Il faut croire qu’on vit désormais dans un étrange mélange de réalité et de fiction.

Il y a aussi tous les autres, Cottonmouth, Nightstand, Picasso, Ragemaster, Candygram, sans oublier XKeyscore. Cet article de Ars Technica illustre bien quelques-uns de ces programmes.

Et le Canada dans tout ça?

On a appris récemment l’existence du programme Levitation qui intercepte 10 à 15 millions de fichiers téléchargés par jour. Le Canada participe également au programme Intolerant, qui débusque des informations volées par des pirates à des cibles d’intérêt.

Après l’énumération et la description de tous ces programmes, alors que je sors de la conférence, cette nouvelle sur le rapport de Kapersky sort sur les fils de presse. On y apprend que « durant au moins 14 ans, un groupe de pirates informatiques est parvenu à mener des centaines d’attaques de grande ampleur dans une trentaine de pays, sans jamais être inquiété ». L’enquête suggère que ce programme nommé Equation était relié aux activités de la NSA. Le Canada y a-t-il participé? On sent bien que ce qu’on aperçoit n’est encore que la pointe de l’iceberg. Mais quelle touche finale à la conférence de Mondoux! Est-ce un hasard? ;)

Martin Lessard2015 : montée des attaques cybernétiques?

par

 publié le 22 décembre 2014 à 11 h 54

Des spécialistes de la cybersécurité prédisent que le nombre de menaces d’espionnage et de cas de terrorisme informatique va augmenter en 2015.

En 2014, Target, Home Depot et Sony, pour ne nommer que les plus connues, ont toutes été victimes d’attaques qui ont exposé leur vulnérabilité aux yeux de tous.

Il est clair que si ces grandes compagnies (aux pieds d’argile numériques) ne sont pas arrivées à se protéger adéquatement contre les pirates informatiques, imaginez les plus petites compagnies!

La montée des attaques informatiques

blastware

La cybersécurité devient un préoccupation nationale de premier plan.

Cinq types de dangers vont retenir davantage l’attention des spécialistes en sécurité informatique en 2015 :

Blastware. Effacer toutes les données après l’attaque? Voilà la nouvelle façon pratique pour les pirates de faire disparaître l’origine et la signature du délit.

Cyberrançon. Les pirates font chanter la compagnie sous la menace de bloquer l’accès aux données critiques qu’elles possèdent. Les données deviennent, en quelque sorte, des « otages numériques » en échange desquels une rançon est demandée.

Domotique rimera avec terrain de jeu pour pirates. Les pirates exploitent toujours les lignes de moindre résistance, et les objets connectés de nos maisons en feront partie.

Terrorisme numérique géopolitique. Avec la mobilité et l’infonuagique, l’infrastructure d’un pays se fragilise, donnant du fil à retordre aux agences de protection nationale et menaçant l’économie du pays tout entier.

Hameçonnage. Pas nouveau comme menace, mais probablement la plus importante. Les pirates exploitent l’humain, qui est le maillon faible de la chaîne de sécurité.

L’humain est le maillon faible

touchex

Derrière la majorité des attaques, l’origine de la faille est humaine. Facilement bernés, les humains tombent dans le panneau sans le savoir, se faisant dérober mots de passe, accès et contacts qui permettent ensuite une attaque plus en profondeur dans le système d’une compagnie.

Ça a été le cas dans une attaque contre ICANN, qui gère sur Internet tous les noms de domaine à une échelle internationale. Ça a aussi été le cas pour Sony.

« Typiquement, les attaques par hameçonnage sont destinées à duper les gens en les conduisant à cliquer sur des pages factices où ils entrent leurs adresses et mots de passe, qui sont ainsi récupérés par les pirates informatiques. » (Source)

La sécurité informatique serait tellement mieux s’il n’y avait pas d’humains, pourrait-on ironiser.

Mais comme nous serons encore là en 2015, attendez-vous à entendre parler de plus en plus de ce genre d’attaques et à les voir de plus en plus se rapprocher d’une compagnie près de chez vous.