Billets classés sous la catégorie « Sécurité »

Prototype d'arme intelligente, image dans calwatchdog.com/

Prototype d’arme intelligente, image dans calwatchdog.com/

Après le téléphone, la montre et les vêtements intelligents, c’est au tour des armes à feu d’être affublées de cet adjectif. En effet, les « smart guns » font présentement la manchette aux États-Unis en raison d’une réaction très négative chez les défenseurs du deuxième amendement, celui qui garantit à tout citoyen américain le droit de porter des armes.

Intelligent, mais jusqu’à quel point?

Le « smart gun » actuel ne permet pas encore l’installation d’applications, la possibilité de modifier le type de munitions ou de viser automatiquement, voire tout autre atout des armes de science-fiction. On parle donc d’arme intelligente, car elle permet d’activer une mesure de sécurité qui n’autorise que le propriétaire de l’arme à l’utiliser. C’est un principe retrouvé dans plusieurs œuvres de fiction, dont le film Cosmopolis de David Cronenberg, la bande dessinée Judge Dredd ou la série Metal Gear.

Les réactions négatives à l’arme intelligente

Cette mesure de sécurité semble en apparence tout à fait désirable, même pour les plus ardents défenseurs du port d’armes. Alors pourquoi y a-t-il des réactions négatives? Un article détaillé de The Verge explique l’origine de la controverse. Un armurier du New Jersey avait annoncé qu’il offrirait un modèle de pistolet intelligent, le Armatix iP1, à partir du 1er mai 2014. L’arme ne fonctionne que si elle se trouve à moins de 25 centimètres d’une montre que doit porter son propriétaire. En quelques heures, l’armurier a reçu de nombreuses plaintes, et lui et sa famille ont même reçu des menaces de mort s’il continuait à offrir l’arme.

L’arme intelligente et rien d’autre

La raison de ces menaces, explique David Kopel du Washington Post, est une loi votée en 2003 au New Jersey. Cette loi indique qu’à partir du moment où une arme de poing intelligente (le terme légal utilisé est « arme de poing personnalisée ») sera commercialisée par un détaillant, la vente de pistolets ordinaires devra être interdite dans un délai maximal de 29 mois. The Verge rappelle qu’à l’origine, l’état du New Jersey croyait que les armes intelligentes deviendraient réalité rapidement, mais leur conception n’a pas été sans son lot de problèmes et de critiques. À l’instar des mesures d’identification personnelles de nos téléphones intelligents qui ne sont pas fiables à 100 %, plusieurs craignaient, dont la National Riffle Association (NRA) et les agences de sécurité, que la mesure de sécurité soit facile à contourner. D’autres groupes, notamment le Violence Policy Center, considèrent que ce dispositif de sécurité, même largement appliqué, ne réglera en rien les problèmes de violence aux États-Unis.

Mais du point de vue philosophique?

Le créateur du Armatix iP1, Ernst Mauch, a réagi lui aussi dans le Washington Post pour défendre le principe et la philosophie de son invention. Selon lui, l’intégration de cette technologie aura un effet positif pour les amateurs de tir et en augmentera même le nombre. L’arme intelligente ne contredirait pas les valeurs de ceux qui défendent le droit au port d’armes. La réaction de groupes comme la NRA serait donc injustifiée, selon M. Mauch.

Dans un contexte où l’arme imprimable 3D sera bientôt réalité (comme en témoigne le dernier clip de l’artiste M.I.A.), est-ce que ce genre de mesure est encore valide? La notion même d’armes à feu est au coeur du problème. Si des dispositifs de sécurité additionnels peuvent paraître désirables, contribueraient-ils vraiment à réduire les crimes violents? Surtout quand on peut s’imprimer une arme ou encore pirater avec un peu d’effort n’importe quelle barrière de sécurité.

 

galaxy-s5-fingerprint-scannerEst-ce que les compagnies de technologie web et de mobilité visent à éradiquer le mot de passe? C’est ce que prétend Russel Brandom, journaliste pour The Verge. Selon lui, ce n’est pas une coïncidence si les chefs de file y investissent temps et énergie. L’industrie du zero password mettrait de l’avant un enjeu qui sera rapidement incontournable dans les années à venir.

Le lecteur d’empreintes digitales comme seul moyen d’identification?

Par exemple, le nouvel appareil de Samsung, le Galaxy S5, est lui aussi équipé d’un lecteur d’empreintes digitales. La différence avec son rival, l’iPhone 5S, est qu’il permet également de se connecter à PayPal. Il ne s’agit donc plus simplement d’activer son téléphone : l’identification par empreintes autorisera aussi des transactions. Évidemment, quelques jours après le lancement, il a été démontré et illustré dans un article de BGR que le lecteur d’empreintes était très facile à pirater. Et le risque de faille, côté sécurité, est encore plus grand que pour l’iPhone 5S. L’appareil d’Apple exige, en plus de l’empreinte, un mot de passe, ce qui n’est pas le cas pour le Galaxy S5. Un porte-parole de PayPal a affirmé dans l’article de BGR que l’authentification par empreintes digitales reste néanmoins plus sûre que d’entrer seulement un mot de passe ou de payer par carte de crédit. Mais le doute est là, et dans le contexte actuel post-scandale NSA, qui voudrait prendre le risque?

L’iPhone plus sécuritaire, mais encore?

La réalité n’est pas plus rose du côté d’Apple.  Le Touch ID de l’iPhone 5S est, encore aujourd’hui, truffé de problèmes. Alors, pourquoi des compagnies aussi importantes qu’Apple et Samsung persistent-elles à courir ces risques? Il y a très certainement une volonté de changer nos habitudes de sécurité. Même les développeurs indépendants visent à éliminer le concept de mot de passe. C’était l’objectif de William Henderson, derrière son application Knock, qui permettait d’activer son portable en « cognant » sur son iPhone (rapporté sur Triplex en novembre dernier).

Mais au-delà des possibilités de la technologie, les utilisateurs sont-ils vraiment prêts à changer de paradigme quant à la sécurité pour le web et la mobilité? Dans ce domaine, les habitudes ont peut-être la vie dure, mais Heartbleed constitue un réveil brutal qui expose les failles de procédures connues. Le fait même d’archiver des données, comme les mots de passe, implique nécessairement qu’il est possible pour un individu de mettre la main sur ces données.

Comme le fait remarquer Russel Brandom, l’instauration d’un protocole zero-knowledge proof par identification de l’iris ou des empreintes digitales, où l’authentification ne nécessite pas de fournir de données supplémentaires, ne pourrait être que plus sécuritaire que les moyens utilisés jusqu’à maintenant.

Maxime Johnson5 choses à savoir sur Heartbleed

par

 publié le 9 avril 2014 à 11 h 14

heartbleed

Internet est en crise. Une importante vulnérabilité de la boîte à outils OpenSSL permet aux pirates d’accéder facilement aux renseignements qui passent par un serveur et d’avoir accès à des données importantes, comme des noms d’utilisateur et des mots de passe. Voici cinq choses à savoir sur la vulnérabilité CVE-2014-0160, mieux connue sous le nom de Heartbleed.

Heartbleed permet aux pirates de « pêcher » des renseignements dans la mémoire des serveurs

Heartbleed touche la boîte à outils OpenSSL, qui protège des millions de sites web à l’aide des protocoles SSL et TSL. En profitant de la vulnérabilité, un pirate peut accéder à 64 Ko dans la mémoire d’un serveur. C’est peu, mais c’est quand même suffisant pour obtenir des mots de passe, des clés cryptographiques et autres. Surtout qu’il est possible de « pêcher » dans la mémoire aussi souvent qu’on le veut.

Hier, le développeur Scott Galloway aurait notamment été capable d’obtenir plus de 200 noms d’utilisateur et mots de passe du service de courriel Yahoo en seulement cinq minutes.

Plusieurs sites importants sont compromis

OpenSSL est utilisé par plusieurs sites importants, comme Yahoo, et même celui de l’Agence du revenu du Canada, qui a d’ailleurs suspendu ses services en ligne ce matin, en attendant de corriger la faille.

Notons toutefois que ce problème ne nuit pas à une bonne partie des sites grand public courants, comme Gmail, Facebook (qui ont corrigé la vulnérabilité avant qu’elle soit annoncée) et Outlook.com. Certains articles mentionnent que les deux tiers de tous les sites web seraient affectés par le bogue, mais ce n’est pas tout à fait exact. Selon une estimation plus réaliste de la firme Netcraft, environ 500 000 sites seraient touchés par la vulnérabilité.

Un correctif existe contre Heartbleed

Un correctif existe pour corriger la faille Heartbleed, et celui-ci a déjà été appliqué dans de nombreux cas. Certains administrateurs pourraient attendre un peu plus avant de réagir, mais vu l’importance de la faille, la communauté devrait répliquer sans tarder.

Yahoo, l’un des sites les plus importants affectés par Heartbleed, a par exemple colmaté la fuite après son annonce, et n’est plus affecté par le bogue.

Il est impossible de savoir si la vulnérabilité a été exploitée ou non

La vulnérabilité dévoilée cette semaine existe depuis deux ans. Et malheureusement, il n’y a aucun moyen de vérifier si quelqu’un en a profité pendant cette période. Les renseignements personnels de certains utilisateurs pourraient donc déjà avoir été copiés, mais il est impossible de s’en assurer.

L’utilisateur moyen est plus ou moins impuissant contre Heartbleed

Malheureusement, il n’y a pas grand-chose à faire contre Heartbleed à l’heure actuelle. Un outil existe bel et bien pour savoir si un site est vulnérable, mais celui-ci n’indique pas si la faille a été présente sur un site au cours des deux dernières années.

En attendant, le projet Tor propose une solution radicale : éviter Internet au grand complet pendant quelques jours si vous avez des renseignements d’une importance cruciales à protéger.

Il pourrait aussi être une bonne idée de changer son nom d’utilisateur et son mot de passe sur les sites qui ont été touchés par la faille, comme Yahoo. Certains sites qui ont été vulnérables, comme IFTTT ont d’ailleurs déjà demandé à leurs utilisateurs de mettre leurs mots de passe à jour. D’autres compagnies, comme Google, affirment que ce n’est pas nécessaire. Mais un excès de prudence n’a jamais nui à personne non plus.

Wikr-logo_gradientWickr, la messagerie éphémère et sécuritaire, dont le slogan est « Leave No Trace »TM (ou ne laissez aucune trace) voit un avantage pour tous à offrir une suite d’outils de sécurité aux services de messagerie et aux réseaux sociaux populaires. Un autre pas pour les ardents défenseurs de la vie privée en ligne…

Éphémère et sécuritaire

La compagnie de San Francisco regroupe parmi ses conseillers et employés des experts en sécurité, dont Robert Statica, et des blogueurs antédiluviens, comme Cory Doctorow, qui travaillent ensemble à ce que les communications privées demeurent un droit. « La communication est un droit universel qui est essentiel à toute société libre », peut-on lire sur le site Wickr. Ce droit est maintenant bafoué, or, dans sa mission, Wickr compte bien défendre l’article 12 de la Déclaration universelle des droits de l’homme.

Ce service de messagerie éphémère et sécurisée offre donc aux utilisateurs de se soustraire au stockage indu de leurs données, à la revente des données à des tierces parties pour des fins marketing ou à l’espionnage des gouvernements.

Des options de sécurité partout sur les réseaux sociaux

Le 19 mars, Robert Statica annonçait dans un court message que le brevet de la technologie permettant d’appliquer les vertus de Wickr aux réseaux sociaux et autres services de messagerie était déposé. Cela arrive quelques jours après qu’on eut discuté dans la presse techno des problèmes de sécurité de l’application Android de WhatsApp. Or, la suite d’outils de sécurité de Wickr ouvrira à un plus grand nombre la possibilité de bénéficier de communications numériques qui s’autodétruisent, ce qui renforcera d’autant l’écosystème en ligne.

La technologie que fait breveter Wickr viendra résoudre les problèmes de sécurité qu’ont connus certains réseaux sociaux. Ces ajouts à la sécurité sont nécessaires, dit Statica, pour tout service de messagerie, jeu en réseau ou encore service de rencontres en ligne.

Bref, plutôt que la déchiqueteuse qui, il n’y a pas si longtemps, était la seule façon sécuritaire d’éliminer les documents personnels, Wickr sera là pour effacer chaque donnée de trop!

Martin LessardComment ne plus perdre un avion en plein vol

par

 publié le 17 mars 2014 à 11 h 15

À une époque où l’on est capable de repérer un cellulaire partout dans le monde avec une précision de quelques mètres, pourquoi perd-on un Boeing 777 en plein vol?

Petit tour d’horizon des technologies de détection existantes et à venir.

Le radar

C’est une invention qui date d’un peu avant la Seconde Guerre mondiale.

Radarops

  • Le radar primaire : le radar émet de puissantes ondes et capture l’écho pour localiser l’objet. Ce sont surtout les militaires qui l’utilisent.
  • Le radar secondaire : le radar émet de puissantes ondes, qu’un transpondeur dans l’avion capte. Il émet en retour un signal d’identité (un code unique à 4 chiffres). C’est ce que les tours de contrôle utilisent.

C’est ce transpondeur qui a été éteint au moment même où l’avion du vol MH370 quittait la zone malaisienne pour entrer dans la zone vietnamienne.

Par contre, quand on débranche le transpondeur, on reste toujours visible pour le radar primaire. C’est à ce moment-là que les militaires sont entrés en jeu pour annoncer que l’avion avait bifurqué vers l’est.

Mais ces technologies sont celles de nos grands-pères.

L’ADS-B (Automatic Dependent Surveillance-Broadcast)

L’ADS-B, système beaucoup plus récent, offre une bien meilleure qualité de suivi.

L’avion détermine sa position par satellite (grâce au GPS et au GLONASS, le GPS russe), puis diffuse ces informations de façon omnidirectionnelle à des stations au sol équipées aussi d’ADS-B ou à d’autres avions dans la zone.

L’avion reçoit alors en retour des informations comme la météo ou l’emplacement d’autres avions à proximité.

C’est grâce à ce merveilleux outil que vous pouvez suivre, en ce moment même, la plupart des vols en ligne (voir FlightRadar24.com).

ads-b-mtl

Par contre, ce ne sont pas tous les avions qui en sont équipés, ni partout dans le monde qu’il y a des stations au sol, comme c’est un système de surveillance coopératif et que certains préfèrent ne pas être retracés ainsi par tous en temps réel, pour des raisons de sécurité.

Ce système de communication est similaire dans son concept au V2V, la communication intervoiture (voir le billet sur Triplex).

ACARS (Aircraft Communication Addressing and Reporting System)

L’ACARS permet d’échanger des informations par liaison radio ou satellite entre l’appareil en vol et le centre de maintenance de la compagnie aérienne propriétaire de l’avion.

acars-flightdeck

Le Boeing 777 du vol MH370 en question était équipé de moteurs qui émettent en permanence des messages sous la forme de lignes codées en lettres et en chiffres. C’est un bon exemple d’Internet des objets.

C’est ce système ACARS qui a continué d’émettre des messages après que le transpondeur ait été fermé, ce qui a fait dire que l’avion ne s’était pas perdu en mer, mais qu’il avait été détourné. Il est possible de fermer des applications de l’ACARS, mais le système reste ouvert et communique quand même sa position (quoique pas fréquemment ni de façon précise).

L’ACARS n’est pas encore utilisé dans tous les avions.

GPS

300px-GPS_Satellite_NASA_art-iif

Le GPS est un système de localisation mondial qui repose sur une constellation de 24 satellites devenus opérationnels en 1995.
Pour beaucoup de monde, GPS signifie aujourd’hui se « faire localiser ».

Un GPS ne localise rien du tout.

Ce sont des satellites qui émettent simplement leur position, et c’est par triangulation que l’on peut soi-même se localiser à un endroit sur la planète.

Quand on parle de surveillance, c’est quand une application ou le fournisseur d’accès utilise ensuite cette donnée de localisation pour vous tracer.

Pour les avions, le GPS ne sert qu’à se repérer sur leur carte. Nous, nous avons Google Maps. Eux, c’est similaire, mais avec des montages, des tours et des aéroports.

Mais cette information n’est pas envoyée au contrôleur aérien.

Les satellites et la recherche par les foules

Depuis la série 24 heures chrono, on a l’impression que les satellites sont des espions omniscients. Il ne resterait à Jack Bauer, le héros de la série, qu’à demander de revenir sur les enregistrements, comme on recule une vidéo sur YouTube, pour retracer tout ce qui bouge sur terre et dans les airs.

Malheureusement, s’il y a bien des photos haute-résolution qui existent, et peut-être même des images vidéo en temps réel, il faut impérativement que le satellite sache à l’avance ce qu’il doit suivre pour être en mesure de trouver ce qu’on cherche.

Le site Tomnod offre la possibilité au grand public de chercher l’avion sur des photos haute-résolution prises dans la région. Mais c’est comme chercher une aiguille dans une botte de foin.

tomnod

Cette recherche par la foule (crowdsourcing) peut s’avérer efficace, mais reste une solution a posteriori et de longue haleine.

La boîte noire (Flight Data Recorder)

La fameuse boîte noire — qui est en fait orange, pour être plus facilement retrouvée.

boite-noire

Elle porte bien son nom. Les données y entrent, mais elles ne sortent pas tant qu’on ne la retrouve pas. Elle enregistre les données d’environ 100 instruments à bord de l’avion

Les boîtes noires modernes ont généralement une double couche en acier inoxydable ou en titane, résistant à la corrosion, à la haute température et à la haute pression. Elles émettent des données pendant 30 jours après l’accident. Voilà pourquoi il faut faire vite pour retrouver l’avion.

Mais le concept de boîte noire date d’un autre siècle, à l’époque où les objets mobiles ne pouvaient pas facilement être connectés.

Pourquoi diable la boîte noire ne transmet-elle pas en permanence ses données?

  • parce qu’un avion génère des tonnes de données
  • parce que personne ne s’est préoccupé de trouver comment les transmettre à bon coût, de les recevoir de façon sécuritaire et de les conserver à l’abri
  • parce que des événements comme celui du vol MH370 sont extrêmement rares! En général, on retrouve rapidement l’avion.
  • parce qu’il y a eu en 2013 36 millions de vols, oui millions, mais seulement 281 accidents — et de ce nombre seulement 105 étaient des vols commerciaux.

La bande passante coûterait énormément cher et, comme la disparition de l’avion MH370 est un cas rare et unique, toutes ces données seraient transmises en vain.

La « logique floue » et la bande Ka à la rescousse!

Ce qu’il faut, c’est plutôt détecter quand il y a une anomalie dans l’avion et alors seulement là téléverser les données de la boîte noire vers des satellites.

Des tests ont été faits par le Bureau d’enquêtes et d’analyses (BEA), l’autorité française responsable des enquêtes de sécurité dans l’aviation civile.

On a simulé des vols, dont plusieurs accidents, pour voir si, avec des programmes de « logique floue« , il était possible de pouvoir faire ce téléversement avant l’écrasement et permettre ainsi de grandement réduire à la fois la couverture de recherche et le temps d’analyse pour trouver les causes de l’accident.

Une logique floue permet d’évaluer la probabilité que « quelque chose d’anormal se passe dans l’avion » (feu, changement de cap ou d’altitude, dépressurisation) et de déclencher une procédure. Dans 85 % des cas simulés, une  boîte noire connectée aurait eu le temps, grâce au programme, de téléverser ses données à temps avant l’écrasement.

Ces données pourraient passer par la gamme de fréquences dite bande Ka, qui est  utilisée notamment pour Internet par les satellites.

Cette approche serait la solution la moins chère.

Maintenant, il faut attendre un cycle d’innovation dans l’industrie de l’aviation pour commencer à voir une possible implantation de cette solution…