Billets classés sous la catégorie « Sécurité »

Martin LessardCoupable par corrélation

par

 publié le 18 juin 2013 à 16 h 41

C’est Edward Snowden, 29 ans, ex-agent de la CIA, ancien analyste de l’agence de sécurité nationale (NSA) aujourd’hui tapi dans l’ombre à Hong Kong, qui a révélé que le programme secret PRISM espionnait les Américains (et tous les étrangers).

Depuis, on a appris l’ampleur de la surveillance quand les grands fournisseurs de services en ligne ont révélé la quantité de demandes qui leur étaient adressées par les services secrets et auxquelles ils ne pouvaient se soustraire :

  • Yahoo a révélé que la compagnie avait reçu entre 12 000 et 13 000 demandes d’informations privées de la part des agences de sécurité dans la dernière année et demie.
  • Apple a reçu entre 4000 et 5000 demandes de révélation de données personnelles rien qu’entre décembre dernier et mai 2013!
  • Microsoft? Entre 6000 et 7000 entre les mois de juillet et décembre 2012.
  • Facebook? Entre 9000 et 10 000 demandes durant la même période.
  • Et on imagine bien que Google, aussi, subit la même pression.

Alors, si vous pensez que vous êtes seul à avoir accès à votre compte, pensez-y à deux fois.

Corrélation de mots-clés

Remarquez, je n’ai rien à me reprocher. Qu’importe! Eux, ils trouveront bien quelque chose à me reprocher.

Par exemple : pour mon travail, j’emploie des mots comme smart, power, pirates, hacker, malware, virus, denial of service, cloud.

Malheur à moi, les services de renseignements détectent ces mots, car ils font partie d’une liste de mots controversés entourant le terrorisme. Une liste encore plus longue se trouve ici. Vous serez surpris de la quantité de mots (innocents et moins innocents) qu’ils surveillent.

Je vous ai déjà expliqué ici tout le bien que je pense des amalgames générés par un profilage par mots-clés (lire Comment Google me voit).

Mais si ce n’était que ça! Je deviens aussi coupable par association! Mon meilleur ami, qui est accessoiriste de films, doit régulièrement prendre et envoyer des photos d’armes par courriel.

Je n’ose même pas imaginer la panique dans les sous-sols des agences quand ils capteront cette photo!

Tintin chez les espions

Tant et aussi longtemps que nous utiliserons des services américains en ligne, nous sommes exposés à cette surveillance indigne d’une démocratie.

Quand je pense que le travail de surveillance est sous-traité à des jeunes de 29 ans, comme Edward Snowden, et que, en plus, les services secrets n’arrivent même pas à le contrôler! On n’est pas sortis de l’auberge!

Pour un Tintin comme lui, qui fait les choses pour le « bien commun », il y a combien de Rastapopoulos qui exploitent ces informations à mauvais escient?

Jusqu’à preuve du contraire, il n’y a qu’une équation à retenir : utiliser des services en ligne américains = porte dérobée sur notre vie privée.

Martin LessardPRISM : à l’écoute de votre ombre numérique

par

 publié le 10 juin 2013 à 11 h 37

Le scandale a commencé quand on a appris la semaine dernière que le gouvernement des États-Unis récoltait quotidiennement les registres d’appels de millions d’Américains abonnés à Verizon, l’une des plus grandes compagnies de téléphone du pays (et a dégénéré en intégrant aussi dans l’affaire les géants du web).

Cet espionnage, du nom de code PRISM, n’est pas de l’écoute électronique à grande échelle. Les services secrets américains reçoivent seulement des métadonnées comme le lieu, la date et la durée des appels, et les numéros de téléphone qui y ont participé.

Le citoyen lambda, qui n’a pas les connaissances suffisantes pour comprendre les enjeux, doit se dire qu’il n’y a rien de grave à ça, surtout si c’est pour la cause antiterroriste. Erreur.

Publier moins vite que son ombre

Le citoyen croit qu’il contrôle son identité numérique en ligne en sélectionnant les traces qu’il laisse sur les réseaux sociaux.

Il fait attention à ce qu’il écrit, s’assure de ne pas trop en révéler sur lui et retire ce qu’il pense être de l’ordre de la sphère privée. Bref, il garde en mémoire ce qu’on lui dit depuis longtemps : les médias sociaux sont des endroits publics.

Mais l’identité numérique n’est pas seulement ces traces visibles. Il y a ce qu’on appelle l’ombre numérique, des traces qui ne sont pas des messages, des données qu’on laisse tout automatiquement avec chaque système avec lequel on interagit.

Prises isolément, ces données captées par ces systèmes ne révèlent aucune information significative sur vous, mais si elles sont colligées avec d’autres bases de données et traitées avec de puissants algorithmes, il est possible d’en déduire des informations privées sur vous.

Ces données sont tellement révélatrices que la NSA, à la source du scandale de la semaine dernière, ne s’est même pas montrée désireuse de faire de l’écoute secrète à grande échelle. Les métadonnées lui suffisent.

Vos déplacements sont aussi une signature

Une étude dans Nature l’a démontré : les déplacements des humains sont tellement prévisibles qu’il est possible d’identifier quelqu’un, et ce, avec une précision de 95 %, avec quelques données seulement.

Comme votre voix, votre look ou votre démarche, ce sont des formes de signature qui font que l’on peut vous reconnaître du coin de l’oeil. La « signature » de vos déplacements vous identifie de la même façon. Ce sont en plein ces données que les services secrets amassent chaque jour.

En colligeant une vaste quantité de données tirées de la géolocalisation de votre téléphone dit intelligent et en combinant l’heure et le lieu, les chercheurs font remarquer que nous sommes plutôt grégaires. Comme les vaches, nous suivons le même chemin durant la semaine.

Selon l’heure et le lieu de l’appel, il serait donc possible de savoir assez précisément qui appelle qui. Et alors des motifs commencent à apparaître, une toile de connexion se forme, et il est possible de voir émerger des comportements qui seraient autrement restés invisibles.

Par exemple, on pourrait voir des terroristes fomenter un coup. Telle est la prétention derrière PRISM.

Ne sous-estimez pas la technologie, nous sommes arrivés là. Nous sommes tous devenus de petits points sur un écran dans le sous-sol d’une agence de sécurité quelque part aux États-Unis.

Et si par malheur votre comportement est jugé suspect par le système, vous ne le saurez même pas.

Sauf que vous allez peut-être un jour vous faire refouler à la frontière américaine ou vous faire refuser un emploi administratif ou une demande de crédit. Et vous ne saurez pas pourquoi.

Vous aurez été trahi par votre ombre numérique…

Autre billet sur le sujet

Vos « J’aime » vous trahissent 
Big data : les mauvaises connexions

Martin LessardCybersécurité : l’enjeu au niveau des États

par

 publié le 5 juin 2013 à 17 h 20

La Maison-Blanche à Washington a le mérite de mettre ses priorités à la bonne place. « Nous pensons qu’il est nécessaire d’avoir des discussions directes et franches sur la cybersécurité avec d’autres pays, notamment la Chine ». La cybersécurité et l’espionnage commercial par Internet sont devenus des sujets de discorde entre les deux plus grandes économies du monde.

Justement, ce vendredi, en Californie, Barack Obama reçoit le nouveau président chinois, Xi Jinping pour amorcer une série de discussions sur la cybersécurité.

De nombreux programmes d’armement américains ont été piratés et les États-Unis ne se cachent pas pour dire que les attaques informatiques semblent liées à l’armée et au gouvernement chinois.

À part quelques gouvernements, peu de gens perçoivent la cybersécurité comme une problématique urgente. C’est une erreur.

Un espace à protéger comme les autres

Dans les relations internationales contemporaines, l’informatique ressort comme un instrument de guerre et Internet est son champ de bataille.

La cyberguerre peut prendre au moins quatre formes :

- L’extension d’une guerre traditionnelle. À l’été 2008, le soutien russe à des séparatistes en Géorgie n’a pas seulement été limité à des combats aux sols, mais il a aussi donné lieu au piratage des sites officiels de la Géorgie.

- Une guerre non conventionnelle. Les activités terroristes, comme celles d’Al-Qaïda, sur les réseaux sociaux posent un problème aux services de sécurité des États : la riposte de ces derniers s’apparente trop souvent à de la censure. Mais quand les États s’y mettent, ça peut aussi déraper, comme ce fut le cas avec Stuxnet, un virus destiné aux centrifugeuses iraniennes et qui a infecté des milliers d’ordinateurs.

- Une guerre culturelle.  Pensons à Anonymous ou à Wikileak, de culture anarchiste, qui s’attaquent à l’infrastructure informationnelle (serveurs ou courriers diplomatiques) d’un pays ou d’une compagnie au gré des causes à défendre — souvent pour défendre les citoyens contre leur propre gouvernement.

- Une guerre commerciale. Vous n’êtes pas près d’entendre des compagnies révéler qu’elles se sont fait espionner ou voler des secrets commerciaux ou des propriétés intellectuelles. La Russie et la Chine sont principalement pointées du doigt par les Américains.

Loin de constituer juste un espace pour regarder des vidéos de chats qui sautent dans des boîtes, Internet est de plus en plus un espace civique, politique et économique de premier plan. Projetez-vous seulement dans 5 ou 10 ans, et ce sera partout.

Si une cyberattaque, comme celle contre l’Estonie en 2007, où d’importants sites gouvernementaux et bancaires ont été bloqués par des attaques par déni de service, se produisait ici, bonjour les dégâts.

L’espace numérique est un enjeu stratégique

Insidieusement, les nouveaux outils numériques se sont insérés dans tous les aspects de nos vies.

De la simple recherche de recettes en ligne à l’utilisation de Google Maps qui vous donne le chemin jusqu’à l’épicerie, des transferts bancaires aux achats en ligne, des agendas aux courriels, tout passe au format numérique : trafic routier en direct, accès météo, nos fichiers dans l’infonuagique, vos bitcoins… Que ferons-nous si Internet est mis à genoux pendant quelques jours?

Il ne s’agira pas de se priver de quelques vidéos de chats. C’est l’accès à vos placements qui sera bloqué, vous raterez vos réunions faute de savoir qu’elles avaient lieu, vos numéros de téléphone importants seront introuvables, vos documents à remettre demain se verront inaccessibles, etc.

Bien sûr, cette guerre sans ligne de front ne fait pas de victimes physiques (quoique, je ne voudrais pas être dans un hôpital si ça arrive); il ne faut pas la comparer avec les atrocités d’un vrai conflit. Mais arrêter ou ralentir quelques jours l’économie d’une ville, d’une région ou d’un État est une tactique de guerre très efficace.

Plus nous attachons notre économie, nos vies personnelles et notre vie en société aux nouveaux outils numériques, plus dure sera la chute.

Il ne s’agit pas ici d’effectuer un retour « aux sources » et de vivre sans technologie, mais bien de considérer cet « espace informationnel » comme les autres et de s’assurer, pour commencer, de posséder un plan numérique, de la même façon qu’il y a un Plan Nord (développement territorial), un plan de soutien de la filière automobile (durabilité écologique) ou un plan stratégique pour l’agriculture et les pêcheries (sécurité alimentaire).

Signe des temps, dans le récent Livre blanc sur la défense et la sécurité nationale 2013 de la France, le préfixe cyber y est mentionné 38 fois. Dans la version 2008, il apparaissait seulement 4 fois. La cybersécurité n’est plus perçue comme une partie de wargame entre ados attardés.

Nadia SeraioccoUtiliser son propre appareil pour le travail : avantageux pour les compagnies?

par

 publié le 29 mai 2013 à 9 h 53

À chacun son appareil et son système d’exploitation…

Au départ, quand les compagnies informatiques comme Cisco ont brossé le portrait d’un milieu de travail où chacun utilise son ordinateur et ses appareils mobiles, on ne voyait que des économies à réaliser au passage. Tout avait l’air simple : on réduit les dépenses consacrées à l’achat d’appareils et aux programmes de données et on ajuste les réseaux internes en conséquence. C’est ce dernier point qui a compliqué un peu la donne et, dans certains cas, fait grimper la facture.

À chacun son nuage et son appareil

La philosophie du BYOD (« bring you own device » : chacun apporte son appareil) vient des employés qui souhaitaient utiliser leur propre appareil et leur propre service d’infonuagique au boulot, mais surtout en dehors des heures de bureau. Car avoir sur soi en tout temps deux téléphones et jongler avec deux ordinateurs peut se révéler fastidieux. Cisco, dont le gagne-pain est d’améliorer les processus de réseautique, n’y voit que du bon. Sur son site, l’entreprise promet aux compagnies qui joindront le mouvement une productivité accrue et des dépenses réduites. Les employés, plus heureux, perdraient moins de temps, augmenteraient leur productivité (de 37 minutes par semaine) et débourseraient de leur poche tout près de 1000 $ en équipement chaque année, ce que Cisco évalue comme autant d’économies. Les journalistes d’affaires et les entreprises voient la chose autrement.

Le BYOB et les coûts associés au soutien

Dans Forbes, Alison Ackerman mettait en doute ces économies et surtout la façon de les comptabiliser. Le centre de recherche Nucleus abonde dans le même sens, notant que la hausse de productivité déclarée par les employées n’est pas un facteur objectif ou même quantifiable. C’est en fait plutôt un facteur d’enthousiasme à l’égard des tâches à accomplir… Mais peut-on vraiment chiffrer cette variable et la mettre dans la colonne des gains? Pas vraiment. Cela dit, dans la colonne des pertes, on peut inscrire les rabais accordés aux entreprises pour les achats en gros et le soutien technique pour les différents types d’appareils qui devront avoir accès au réseau de la compagnie. En d’autres termes, cette dernière devra investir plus dans son soutien technique.

Comment déployer le BYOD sans augmenter les dépenses?

Le modèle profitable que Cisco présente peut pourtant fonctionner selon certains paramètres. Pour ce faire, il faut réduire le soutien technique et le nombre d’employés à qui l’on offre le programme BYOD avec remboursement total ou partiel de l’appareil utilisé pour le travail. Une autre solution est aussi de mettre en place un réseau secondaire, moins sécurisé, qui permette l’ajout de certains appareils sans avoir à offrir un soutien technique accru. Mais encore là, toute l’information de la compagnie ne pourra pas être accessible sur ce réseau moins sécurisé, et les choix d’appareils devront être limités.

Jusqu’à maintenant, beaucoup des services informatiques des grandes entreprises n’ont pas vu suffisamment d’avantages à ce système. On peut facilement imaginer que les solutions citées plus haut ne sont applicables que dans certaines compagnies où le nombre d’employés et la culture interne le permettent. Dans plusieurs cas, l’économie réelle sera de laisser les employés s’acquitter eux-mêmes des coûts de leur équipement, ce qui ne convient pas à tous les milieux de travail et est carrément inimaginable dans le secteur public.

Autres sources sur le sujet :

Dans CIO, « BYOD : If you think you’re saving money think again » et « BYOD planning and costs : everything you need to know« 

Mots-clés : , ,

Martin LessardLe fusil qui tire tout seul

par

 publié le 17 mai 2013 à 11 h 14

Je sais bien qu’on emploie le mot intelligent à tort et à travers. Il y a le téléphone intelligent, la ville intelligente et la voiture intelligente.

Mais le fusil intelligent (smart rifle)?!

Image : Retronaute

Offerte depuis cette semaine, voilà une arme qui possède une différence majeure avec les autres : quand vous appuyez sur la gâchette, elle ne tire pas tout de suite.

Où se trouve « l’intelligence »? C’est le fusil qui décide du moment idéal pour tirer, en prenant en compte plusieurs paramètres, comme le vent, le mouvement et la distance de la cible.

Équipée d’un laser pour évaluer les distances et d’un ordinateur balistique pour effectuer les calculs, l’arme peut faire mouche à tout coup à plus de 600 mètres.

Le tireur appuie sur un bouton, le laser « marque » la cible et la balle ne part que lorsque les conditions pour l’atteindre sont réunies.

Inutile de dire que le plus novice des novices devient un tireur d’élite après seulement quelques heures d’entraînement.

Arme intelligente, tireur…

« Think of it like a smart rifle. You have a smart car; you got a smartphone; well, now we have a smart rifle, » dit le président de la jeune compagnie qui a mis au point cette arme (source).

Avec une telle définition de l’intelligence, me faire lobotomiser me paraît la seule chose éthique qui me reste à faire.

Non seulement l’esthétique de la vidéo fait frémir (aucun humain; que de l’infographie 3D), mais la morale à deux sous en filigrane (le devoir de servir la nation) provoque la nausée. Elle devient encore plus irrépressible quand on découvre les accessoires…

  • L’arme possède aussi un moniteur qui est comme un véritable jeu vidéo. Il affiche des informations, comme la distance de la cible, la vitesse du vent, l’angle d’inclinaison du canon, une boussole et le niveau des piles (voir vidéo).
  • L’arme est aussi munie de WiFi et d’une prise USB. Il est possible de capturer une vidéo et de l’envoyer en temps réel à une tablette électronique à proximité. Vous pouvez l’enregistrer et l’envoyer immédiatement sur les réseaux sociaux, comme Twitter, Facebook, YouTube (voir vidéo).

Bien sûr, il y a aussi la possibilité de mettre un mot de passe pour empêcher l’accès aux fonctionnalités balistiques avancées à une personne non autorisée – il faut bien justifier l’expression arme intelligente, n’est-ce pas?

Sniper city

Vendue au prix de 22 000 $, cette nouvelle arme ne tombera guère au début qu’entre les mains des plus riches qui feront des safaris au succès assuré. Mais, déjà, Remington Arms, un grand fabricant d’armes à feu, souhaite acquérir la technologie pour en faire des armes à 5000 $ (source).

Si vous pensez que l’arme imprimable 3D était la menace ultime, vous venez de changer d’échelle. Derrière chaque arme, il y aura maintenant un tireur d’élite.

P.-S. : Et s’il est vrai que, dans les réseaux sociaux, les bonnes nouvelles se répandent plus vite que les mauvaises (comme discuté ici sur Triplex), je crois que le présent billet sera le moins relayé sur les réseaux sociaux de toute l’histoire de Triplex.

« Billets précédents