Billets classés sous la catégorie « Sécurité »

Martin LessardBiométrie : ce que le terrorisme nous forcera à faire

par

 publié le 20 novembre 2015 à 15 h 14

Prise d’otages à Bamako, au Mali, ce matin. Attentats de Paris, en France, la semaine dernière. La sécurité est à l’avant-plan, plus que jamais.

Toutefois, ce n’est pas une raison pour accepter toutes les dérives.

Le président français se montre ferme dans son discours sur le renforcement des politiques de sécurité. C’est quand il ajoute  » sécurité numérique comprise  » qu’on peut commencer à s’inquiéter du réel sens à donner à son discours.

John Brennan, le directeur de la CIA, lui, n’a pas attendu pour récupérer les attentats à Paris pour servir les visées sécuritaires de son agence.

 » Ces dernières années [...], des amendements aux lois ont été adoptés et des actions qui ont été posées, rendant la tâche de débusquer les terroristes bien plus ardues pour nous. » (Source)

Personne n’est dupe. Sur The Verge, la réponse est cinglante :

 » Vous les entendrez répéter que la surveillance massive a permis de déjouer de mystérieuses menaces, mais qu’elle n’est pas suffisante dans l’état actuel, parce qu’elle est constamment menacée par les défenseurs de la vie privée.  » (Source)

Avec la prise d’otages à Bamako, ce matin, le discours sur la sécurité qui prône l’écoute de toutes nos communications resurgira (au détriment de notre vie privée).

Pourtant, le terroriste n’utilise pas nécessairement les outils numériques et cryptographiques à la fine pointe de la technologie pour commettre son crime.

Il est parfois au degré zéro en technologie.

La technologie de pointe n’a pas été utilisée: deux exemples

1- Entrer en Europe comme dans un moulin
On a appris aujourd’hui qu’Abaaoud, l’organisateur présumé des attentats de Paris, est entré en Europe et s’y est déplacé à plusieurs reprises, malgré un mandat d’arrêt international émis contre lui.

Les djihadistes, quand ils reçoivent de nouvelles recrues, leur confisquent leurs passeports. Toutefois, ils ne les modifient en rien. Le djihadiste fera tout pour ressembler le plus possible à la photo du passeport qu’il utilisera.

 » Il va se faire pousser la barbe, la tailler de la même façon, et plus de 99 fois sur cent, ça va marcher. C’est imparable. Pas besoin de trafiquer le passeport « , explique le criminologue Christophe Naudin, spécialiste de la fraude documentaire dans Libération.

2- Un texto en clair
On a aussi appris que les échanges entre les assaillants à Paris se sont faits par texto, et non par un logiciel sophistiqué en cryptographie.

Un texto en clair, comme ceux envoyés par tout le monde.

Voilà la preuve que davantage d’écoute et de surveillance ne sont pas nécessaires.

Donner plus de pouvoir au gouvernement pour qu’il accède par une  » porte dérobée  » à toutes les plateformes et à toutes nos communications privées serait nettement prématuré.

Les lois en place semblent amplement suffisantes. De toute évidence, on peut faire mieux.

Ce qui risque de changer

À la suite des attentats de Paris, il est clair que les autorités devront mieux collaborer entre eux.

Les prochains développements en matière de sécurité nationale porteront entre autres sur des réseaux très rapides permettant l’échange de données massives entre les services secrets et les policiers.

Si les équipes des divers services apprennent à collaborer et à partager des données, il faudra un réseau très puissant pour le faire en temps réel.

Par exemple, une caméra portée au cou par un policier à une frontière pourrait retransmettre directement des images pour qu’elles soient analysées dans plusieurs pays.

Une personne qui entre à un point d’entrée, par exemple en Grèce, serait immédiatement analysée par la sécurité en France ou Allemagne.

C’est ici que nous risquons de constater les véritables conséquences de la montée du terrorisme. C’est l’imposition à grande échelle de la biométrie.

Ce n’est donc pas une plus grande surveillance de nos vies privées, mais l’imposition d’un fichage biométrique qui se pointe à l’horizon.

Martin LessardFacebook et la sécurité nationale

par

 publié le 16 novembre 2015 à 16 h 05

« Toutes les mesures pour protéger nos concitoyens et notre territoire sont prises dans le cadre de l’état d’urgence. »

Cette déclaration du président français François Hollande à la suite des attentats coordonnés qui ont eu lieu à Paris vendredi soir ne laisse pas voir qu’un certain pan de la sécurité nationale repose maintenant en partie dans les mains de Facebook, la plateforme de réseautage social.

En effet, si la sécurité physique des Parisiens était bel et bien assurée par les policiers et militaires français qui sillonnaient la ville pendant et après les attentats, c’est Facebook qui a eu le beau rôle de rassurer les citoyens.

Via Christian Aubry

Facebook a annoncé que sa page de « contrôle d’absence de danger » (Safety check) a été utilisée par plus de 4 millions de personnes en 24 heures à la suite des événements tragiques.

Ce service, lancé il y a tout juste un an, permet aux utilisateurs de rassurer leurs amis en un clic en indiquant qu’ils sont « en sécurité ». Facebook savait donc avant le ministère français de l’Intérieur, sur son propre territoire, qui était en sécurité ou non.

Facebook, service commercial étranger en terre française, a donc la mainmise sur une des prérogatives de l’État français, celle de rassurer les citoyens.

Effectivement, Facebook connaît exactement (à quelques mètres près) où se trouvent tous ses clients et avec qui ils sont amis. C’est un niveau de précision dont rêvent bien des États.

Il faut donc prendre acte qu’une partie de la sécurité nationale doit maintenant composer avec une firme étrangère, américaine dans ce cas. Cela s’applique pour tous les autres pays, y compris le Canada, où Facebook compte des abonnés.

Heureusement, on peut se rassurer en rappelant que la France, le Canada et les autres pays occidentaux sont des pays amis avec les États-Unis.

Mais il ne faut pas s’étonner que des pays comme la Russie ou la Chine investissent pour que ce soit plutôt des entreprises nationales qui acquièrent un tel pouvoir sur leur territoire.

Il ne leur a pas échappé que la valeur stratégique pour la sécurité nationale consiste à ne pas laisser une firme commerciale, soumise à des intérêts étrangers, jouer un tel rôle sur leur propre territoire en cas de crise.

Le droit de déclarer l’état d’urgence

Pour mesurer l’importance politique de cet outil, sachez que Beyrouth, qui a vécu une tragédie similaire la veille même des attentats de Paris, n’a pas eu droit au service de « contrôle d’absence de danger » de Facebook. Ce qui en a froissé plus d’un au Liban! « La plupart d’entre nous continuent à être exclus des préoccupations dominantes du “monde” », s’indigne le blogueur libanais Joey Ayoub.

Le service, réservé initialement à des situations de catastrophe naturelle, a été, de façon exceptionnelle, activé pour Paris.

Pourquoi Paris et non Beyrouth? C’est le taux anormal d’activité sur le réseau , selon Alex Schultz, vice-président de Facebook, qui a motivé leur décision.

Facebook a maintenant décidé d’étendre son service dans les lieux aux prises avec des « incidents sérieux et tragiques ». Les événements de Paris l’étaient suffisamment. Ceux de Beyrouth, non, faut-il croire.

À moins que le nombre d’abonnés soit ici un facteur pour générer un « taux anormal d’activité sur le réseau ».

Il faut donc comprendre que les lieux sans un nombre suffisant d’abonnés au réseau ou sans intérêt pour la firme n’auront qu’à se tourner vers d’autres services.

Facebook agit bien comme influence politique dans des pays étrangers.

Le club sélect de l’appui national

Pour illustrer davantage cette influence politique, il faut aussi noter cet autre outil que Facebook a rendu accessible sur sa plateforme le soir des attentats à Paris.

Avec toutes les bonnes intentions du monde, Facebook a proposé un outil pour habiller les avatars des utilisateurs (la photo du profil Facebook) aux couleurs du drapeau français.

C’est, bien évidemment, pour exprimer un soutien au peuple français éprouvé par les attentats que les gens se sont mis à changer massivement leurs avatars.

Or, c’est bien une invitation mondiale à un appui politique que Facebook vient de suggérer à ses membres, initiative tout à fait louable, au demeurant.

Mais dans ce cas aussi, c’est l’initiative d’une firme étrangère pour orienter une opinion sur un territoire donné. Toutes les initiatives isolées des membres sont de facto massivement noyées dans le déluge d’avatars tricolores.

Au siècle dernier, tous les pays s’étaient dotés d’une télévision nationale, car elles avaient compris sa valeur pour l’unité nationale.

Pour les réseaux sociaux, il n’est probablement pas loin, le moment où chaque pays devra s’asseoir avec ce chef de file qui s’est invité dans l’unité nationale pour discuter sérieusement des actions de sécurité qu’ils devront entreprendre conjointement en cas d’état d’urgence.

Martin LessardLa guerre des câbles sous-marins

par

 publié le 27 octobre 2015 à 9 h 35

Selon un article du New York Times paru cette fin de semaine, la présence croissante de sous-marins russes près des câbles de communication transatlantique inquiète les autorités américaines.

On soupçonne que ces sous-marins possèdent des équipements pouvant sectionner les câbles utilisés pour Internet, si un conflit survenait.

1964_Chidlaw_Building_war_room

La seule question qu’il faut se poser : Pourquoi le Pentagone et les services de renseignement américains partagent-ils en ce moment la crainte que Moscou puisse couper ces lignes de communication en cas de conflit?

Il est difficile de croire que la menace dont parlent les militaires américains soit nouvelle — du moins, il ne s’agit pas d’une menace nouvelle de quelques semaines.

C’est une menace très plausible, certes, mais elle plane depuis au moins une bonne décennie.

Alors, on ne se le cachera pas, si les Américains agitent en ce moment le spectre de la “guerre des câbles” avec les Russes, c’est en continuité avec le bras de fer diplomatique entre Moscou et Washington, qui a pris une nouvelle tournure avec le renforcement de la présence des Russes en Syrie.

L’enjeu géopolitique des câbles de télécommunication sous-marins est donc un discours digne de la guerre froide.

Il n’est pas inutile de rappeler que ces câbles sont désormais des points vitaux pour tout territoire national. Internet n’est pas un réseau virtuel, mais bien un réseau réel, qui nécessite des câbles physiques qui serpentent le monde.

Si les Américains agitent en ce moment le spectre de la “guerre des câbles” avec les Russes, c’est pour montrer la valeur névralgique bien concrète du réseau Internet aujourd’hui.

Les lignes de faiblesse

3816716741_4fe8d79207_z

On dit qu’Internet est un réseau décentralisé et qu’il a été justement conçu pour résister à de telles attaques. Alors, pourquoi devrait-on s’inquiéter qu’un câble soit coupé?

Il est vrai que la structure du réseau Internet est fondamentalement décentralisée. Si une ligne est coupée, tout le réseau se reconfigure pour éviter de passer par celle-ci.

Toutefois, dans les faits, il existe des lignes de connexion plus critiques que les autres, parce qu’elles constituent les rares liens entre certains points du réseau. Par exemple, les lignes de transport entre régions éloignées sont plus rares.

On se rappelle qu’en septembre dernier, au Yukon, une fibre optique avait été coupée par accident et que tout le territoire avait perdu l’accès à Internet pendant quelques heures. Le Yukon n’avait qu’un seul câble qui reliait son réseau territorial au reste d’Internet.

Entre les continents, pour éviter que de tels accidents se produisent, il y a plusieurs câbles qui fonctionnent en parallèle. Ainsi, lorsque l’un de ces câbles est sectionné (et c’est déjà arrivé à quelques reprises, par accident), le réseau réoriente toutes les communications vers les autres lignes.

Toutefois, le problème qui survient par la suite est la saturation : même si la communication passe par les autres lignes, elle y passe plus difficilement et crée des embouteillages.

Donc, même si le réseau Internet est décentralisé, il a quelques points de faiblesse. De plus, il y a des points de faiblesse dans les fonds marins, où un bris ou un sabotage à un endroit particulièrement difficile d’accès peut causer plus de tort qu’à un autre endroit.

C’est à cette menace que les militaires américains font référence.

Il ne faut pas être naïf, tous les stratèges russes et américains le savent depuis longtemps. La valeur géopolitique des câbles sous-
marins est connue depuis plus d’une décennie. Il n’y a donc pas de raison de porter des accusations aujourd’hui plus qu’hier.

De plus, rien n’empêche les Américains de faire de même et d’isoler la Russie. À ce jeu, il n’y a pas un méchant d’un côté et, de l’autre, un bon. Ce sont simplement des tactiques de guerre parmi d’autres.

Comment couper un continent d’Internet

cableinternet

 

Source : submarinecablemap.com

Couper Internet ne serait pas facile. Il y a de nombreux câbles qui entrent et sortent d’un continent. Il faudrait donc les couper tous en même temps.

L’Amérique du Nord est le continent le plus connecté au monde. Pour saboter son réseau, il faudrait le faire en même temps dans l’Atlantique, dans le Pacifique et dans la mer des Caraïbes. C’est une coordination à grande échelle.

Même là, Internet fonctionnerait quand même à l’intérieur du continent. Seule la communication vers l’extérieur du continent serait coupée.

Je crois qu’il faut souligner ici que, si jamais ce genre de sabotage coordonné se produisait, on serait réellement en situation de guerre.

Toutefois, rassurez-vous, si les militaires américains partagent en ce moment la crainte que Moscou cherche à couper ces lignes de communication en cas de conflit, c’est davantage un jeu de propagande qu’une menace de guerre imminente.

Ce genre de déclaration des Américains nous fait comprendre que les câbles de communication font partie de l’infrastructure à protéger.

En même temps, compte tenu de la longueur des câbles et de leur nombre, les militaires laissent entendre que c’est une infrastructure extraterritoriale très difficile à protéger.

Ce genre de discours, tenus pour désigner un ennemi et alerter ses citoyens, ressemble aux discours de la guerre froide, au 20e siècle.

S’il fallait ne retenir qu’une seule chose de ce nouveau discours, c’est qu’au 21e siècle, la rhétorique de « couper Internet » remplace celle de la menace de la bombe atomique.

Après Tangerine l’année dernière, c’est au tour de Manuvie cette année d’intégrer la biométrie vocale à son système pour simplifier l’authentification de ses usagers par téléphone. L’entreprise ne s’arrête toutefois pas là et y ajoute la reconnaissance du langage naturel, qui devrait permettre aux clients de parler naturellement lorsqu’ils appellent le service à la clientèle, plutôt que de devoir se perdre dans une succession d’interminables menus.

Conjointement, ces deux technologies devraient permettre d’économiser environ 15 % du temps d’appel des usagers lorsqu’ils tentent de joindre un agent par téléphone, selon les estimations de Manuvie, qui a commencé à déployer son service pour certains clients à la fin juillet. Il s’agit de la première fois qu’une banque canadienne offre ces deux technologies à la fois.

« Dans le modèle traditionnel des centres d’appels, il y a plusieurs irritants. Celui de t’identifier, et toute l’arborescence des choix et des options pour arriver à parler à la bonne personne », explique Charles Guay, le PDG de Manuvie Québec. « Avec la technologie qu’on propose, on est capable d’éviter tous ces processus-là ».

Biométrie vocale
voix

La fonctionnalité la plus intéressante des deux nouveautés est sans aucun doute la biométrie vocale, qui permet de reconnaître l’empreinte vocale de l’appelant. Il s’agit d’une empreinte unique, un peu comme une empreinte digitale.

Plus d’une centaine de caractéristiques de la voix sont identifiées au total par Nuance, la compagnie derrière la technologie. Certaines caractéristiques sont physiques, causées par la forme des organes de la voix (et donc impossibles à reproduire pour un imitateur) et d’autres sont comportementales.

Avec la biométrie vocale, au lieu d’entrer un mot de passe ou de répondre à des questions de sécurité (dont les réponses sont faciles à obtenir pour un fraudeur ayant déjà accès aux informations confidentielles de sa cible), il suffit de dire une phrase à haute voix, comme « Avec Manuvie, ma voix est mon mot de passe ».

Plusieurs mesures de sécurité ont aussi été implantées, afin par exemple de reconnaître si un enregistrement électronique est joué pour déjouer le système (comme on le voit dans tout bon film d’espion).

En théorie, le système devrait être plus sécuritaire que l’ancien. En pratique, par contre, les usagers ont le choix d’adopter la biométrie vocale ou non, et les anciens moyens pour se connecter au système sont encore existants, un peu comme si l’on construisait une porte pratiquement impénétrable juste à côté d’une vieille porte en bois.

Le procédé devrait tout de même être plus rapide et plus simple d’utilisation pour les usagers qui en profiteront.

Reconnaissance du langage naturel
manuvie système

L’autre nouveauté, la reconnaissance du langage naturel, est une technologie qui a notamment été popularisée au cours des dernières années par les assistants vocaux des téléphones intelligents, comme Siri d’Apple.

Il ne faut pas confondre langage naturel et reconnaissance vocale. « Le langage naturel utilise la reconnaissance vocale, mais il y a un niveau d’intelligence en plus. On essaie de comprendre l’intention derrière les mots », explique Brett Beranek, directeur de la stratégie pour la biométrie vocale chez Nuance.

Au lieu de suivre une longue arborescence en disant des choses comme « français, service à la clientèle, produits, particuliers et hypothèque », toujours en écoutant un long menu offrant plusieurs options à chaque étape, il suffit donc maintenant de dire quelque chose comme « je veux modifier mon hypothèque » pour se faire diriger vers le bon service.

Grâce à la biométrie vocale, l’agent qui reçoit l’appel peut ensuite commencer à aider le client, sans poser de questions confidentielles ou demander de mot de passe.

Dans une démonstration organisée mardi à Montréal, la reconnaissance n’a pas fonctionné du premier coup, et le processus complet n’était pas aussi court que ce à quoi on aurait pu s’attendre, mais il semblait décidément moins frustrant qu’avec un appel normal.

La qualité de l’expérience de l’utilisateur serait d’ailleurs le premier objectif derrière le déploiement des deux technologies, selon Charles Guay.

Parler en québécois
Détail intéressant, le système déployé par Nuance et Manuvie est optimisé pour le français québécois, et non pour le français international, qui est le plus souvent utilisé pour ce type de système.

Le système devrait aussi s’adapter avec le temps, puisque les commandes incomprises des utilisateurs sont ensuite utilisées pour améliorer la reconnaissance vocale elle-même.

Cette évolution devrait notamment permettre au système de mieux reconnaître les différents accents de la province, lorsqu’il aura été adopté par suffisamment de personnes. Ces améliorations pourraient d’ailleurs être apportées rapidement, surtout considérant que Manuvie reçoit 28 000 appels téléphoniques par jour au Canada, dont environ 10 à 15 % du Québec.

Avec le temps, Manuvie pourrait aussi, si l’entreprise le souhaite, utiliser les bases de données de biométrie vocale qu’elle aura bâties avec ses centres d’appels pour permettre à ses clients de s’identifier sur son site web ou ses applications mobiles.

Il serait facile de voir ces nouvelles technologies comme une nouvelle façon pour les pirates d’attaquer les banques. La réalité est plutôt que plus vite les mots de passe seront remplacés (par la biométrie vocale ou quoi que ce soit d’autre, et idéalement par au moins deux mécanismes différents), plus il sera difficile pour un pirate d’accéder à un compte à distance.

Cette transition ne se fera certainement pas du jour au lendemain, mais comme on peut le voir, la machine est déjà en marche.

Depuis le temps qu’on en parle, vous n’êtes sûrement pas sans savoir que vos communications numériques ne peuvent plus être considérées comme privées. Elles sont cumulées et constituent désormais la majeure partie de votre profil numérique.

Jusqu’à présent, on pensait que ça n’affectait essentiellement que les communications écrites. Détrompez-vous. Le média en ligne The Intercept vient de mettre au jour le système utilisé par la National Security Agency (NSA) pour convertir les mots parlés en transcriptions archivées qui permettent de faciliter les recherches par mots-clés. En voici les grandes lignes.

 

the-intercept

L’ère du big data parlé

Les documents confidentiels transmis aux journalistes en 2013 par Edward Snowden continuent de révéler les coulisses de la surveillance exercée par la NSA sur les communications de tout ordre. Selon les archives de Snowden, la NSA a mis au point un système qui permet de reconnaître certains types de contenu dans un appel téléphonique, puis d’en faire une transcription sommaire qu’il serait ensuite plus facile de consulter. Les analystes de la NSA l’utiliseraient comme une sorte de Google pour la voix depuis près de 10 ans, selon The Intercept.

Ici, quand on parle de communications téléphoniques, on parle autant de téléphone filaire que cellulaire ou encore de services VoIP.

La transcription n’est, semble-t-il, pas parfaite, mais elle permet tout de même l’utilisation de mots-clés pour effectuer des recherches. D’autres programmes permettent ensuite d’extraire la conversation elle-même, de l’analyser et par la suite d’alerter les analystes quand d’autres conversations « d’intérêt » surviennent.

La surveillance de conversations téléphoniques n’est pas une nouvelle méthode en soi. Cela dit, quand elle requiert le temps et l’écoute d’une personne, on sait que la surveillance ne peut être que ciblée. Avec ces programmes de la NSA, bienvenue dans l’ère de l’écoute de masse.

Qui est surveillé de cette manière?

Les documents incluent des exemples d’utilisation de ces programmes lors de conflits en Irak ou en Afghanistan, mais aussi en Amérique latine et possiblement même aux États-Unis.

En fait, comme bien des détails révélés dans les documents de Snowden, bien peu de gens semblent au courant de ce stratagème. The Intercept mentionne que le USA Freedom Act, censé mieux encadrer les programmes de surveillance, ne concerne pas ce type de collection de données qui pourrait donc continuer sans être affecté par la nouvelle loi.

La technologie post-2001

On ne connaît pas l’ampleur de la surveillance qui est effectuée de cette manière. Ce qu’on sait, par contre, c’est que la technologie existe et qu’elle peut être utilisée à notre insu. The Intercept a rencontré un autre lanceur d’alerte contre la NSA, Thomas Drake, qui mentionne que l’intérêt pour ce type de technologie s’est manifesté avec force après les événements du 11 Septembre.

L’outil de première génération rendant possible la recherche de mots-clés provenant de conversations vocales est apparu en 2004 sous le nom de code RHINEHART. Les documents analysés mentionnent que les recherches effectuées à l’époque pouvaient contenir des termes comme « détonateur », « peroxyde d’hydrogène », « Bagdad » ou en encore « Musharraf ».

RHINEHART permettait tant la recherche en temps réel que la recherche d’archives. Toutefois, le perfectionnement de la technologie ne s’est pas fait attendre. Dès 2006, un nouveau système, VoiceRT, permettait d’indexer et d’étiqueter 1 million d’extraits par jour.

RT10-Overview-page6-copy-540x405

Ce dernier a été lui-même remplacé en 2013 par un autre programme du nom de SPIRITFIRE, capable d’analyser encore plus de données, encore plus vite.

Bref, notre sphère privée vient encore de rétrécir ou peut-être est-elle déjà disparue depuis longtemps.