Billets classés sous la catégorie « Sécurité »

Catherine MathysEdward Snowden: « nous vaincrons » (1/2)

par

 publié le 11 décembre 2014 à 13 h 05

Hier, à l’occasion de la Journée internationale des droits de l’homme, Amnistie internationale présentait une conférence d’Edward Snowden par le truchement de Google Hangouts puisque celui-ci se trouve à Moscou depuis juin 2013, lorsque son passeport américain lui a été révoqué. Vous pouvez voir son discours ici. Voici un résumé des propos qu’il a tenus.

image-suvreendirect

Snowden, un citoyen comme les autres

Edward Snowden dit qu’il va bien, qu’il mène une vie relativement normale, qu’il utilise le métro moscovite dans ses déplacements quotidiens comme tous les autres citoyens de la ville. La seule grande différence entre la vie qu’il mène actuellement et celle qu’il avait avant la divulgation des renseignements de la NSA, c’est qu’il ne vit pas chez lui, dans sa maison, et qu’il lui est impossible d’y retourner.

Il se dit en sécurité, mais affirme travailler beaucoup plus qu’avant les événements de 2013. Il consacre beaucoup de temps et d’effort à la recherche de solutions globales de sécurité avec l’aide des communautés technique et scientifique. Il cherche à améliorer les normes de sécurité de nos communications en ligne sans égard aux lois qui régissent chaque pays. Il dit également s’impliquer dans des groupes activistes et de défense des droits, ce qui est nouveau pour lui. Comme il travaillait auparavant dans une structure gouvernementale, cette tentative d’implanter des changements sans faire partie du pouvoir en place est bien différente de ce qu’il a toujours connu, mais Snowden se sent tout de même comblé.

Mais au fond, les choses ont-elles changé?      

Selon Snowden, la conscience et l’opinion publiques ont changé de façon considérable partout dans le monde depuis qu’il a fait ses révélations. Pour lui, il s’agit d’un changement significatif puisqu’il ne visait pas à changer le monde ou les politiques du gouvernement américain; il voulait simplement que les élus d’une démocratie représentative soient là justement pour représenter le peuple et non une institution ou une classe en particulier. Mais cela n’est possible qu’à condition que les citoyens votent. Quand des programmes et des institutions du gouvernement se mettent en œuvre de façon secrète, c’est le début d’un divorce entre le peuple et ceux qui le dirigent. Les citoyens étant exclus des décisions et des principes qui régissent la société, comment peuvent-ils voter en toute connaissance de cause?

Snowden explique que le gouvernement lui-même est fondé sur l’idée du consensus. Il tire sa légitimité de la direction que nous, les citoyens, souhaitons lui donner quand nous allons voter. Si nous ne comprenons pas les politiques, pouvoirs ou programmes que le gouvernement revendique et la direction qu’il prend dans ses relations internationales en notre nom, mais sans notre consentement, nous devenons ses sujets. Snowden croit que nous devrions au moins le savoir.

Le progrès se fait attendre

Snowden cite une étude récente réalisée ici, au Canada, qui mesure les connaissances des utilisateurs d’Internet de partout dans le monde quant à leur sécurité en ligne. Les recherches démontrent que 60 % des trois milliards d’utilisateurs ont entendu parler des révélations qu’il a faites l’an dernier. Parmi ces 60 %, 40 % auraient fait des changements pour sécuriser davantage leurs communications en ligne. C’est donc à peu près 7,2 millions de personnes qui ont été interpellées par cet enjeu.

Au plan individuel, ça avance. Mais les gouvernements, eux, ne semblent pas vouloir changer. Snowden demande de faire preuve de patience. «Ce genre de choses ne se fait pas du jour au lendemain », affirme-t-il. Mais il voit des exemples partout en Europe, et même aux États-Unis, où le système judiciaire est mis à profit pour remettre en question des programmes de surveillance. Il fait, par exemple, référence à ce jugement de la cour de paix de l’Union européenne qui déclare les directives de rétention de données invalides. Aux États-Unis, des panels ont été chargés de réviser les programmes de la NSA.

Tout part du citoyen

Chaque révision de programme a permis de constater que les gestes posés n’ont jamais empêché une seule attaque terroriste, mais il s’agit au moins d’un premier pas. Elles nous ont aussi incités à réfléchir de façon plus poussée sur la réelle valeur de ces programmes et sur les coûts qu’ils engendrent. Voulons-nous donc renier une grande partie de nos libertés? Souhaitons-nous que nos activités soient interceptées, enregistrées et analysées en secret et ensuite stockées pour une durée indéterminée? Bien que la surveillance se soit amplifiée dans certaines parties du monde, comme aux États-Unis, en Australie et au Royaume-Uni, on voit aussi qu’elle commence à être remise en question. Snowden croit qu’un jour, les citoyens vaincront, qu’ils n’accepteront plus que leurs actions, bonnes ou mauvaises, soient constamment jugées.

Maxime JohnsonDashlane veut changer tous vos mots de passe d’un coup

par

 publié le 11 décembre 2014 à 10 h 38

dashlane

Dans la foulée de la faille de sécurité Heartbleed, qui aurait touché plus de 500 000 sites web plus tôt cette année, le gestionnaire de mots de passe Dashlane a dévoilé cette semaine un nouvel outil, Password Changer, qui permet à ses membres de modifier automatiquement plusieurs de leurs mots de passe en un seul clic.

Dashlane est un logiciel qui enregistre de façon sécuritaire tous les mots de passe d’une personne au même endroit, mais aussi ses cartes d’identité, ses reçus et ses cartes de crédit. Le service permet ensuite d’ouvrir une session sur n’importe quel site web, sans avoir à entrer ses mots de passe.

Dashlane n’est pas le seul gestionnaire du genre, mais sa nouvelle fonction pour changer automatiquement ses mots de passe – obtenue grâce à l’acquisition de l’entreprise en démarrage PassOmatic - est pour l’instant unique sur le marché.

Pour l’instant, environ une cinquantaine de sites web sont compatibles avec Password Changer, notamment Amazon, eBay, Facebook, Google, PayPal et Twitter, mais d’autres sites devraient être ajoutés avec le temps.

Le processus est d’une simplicité extrême, puisqu’il suffit de cliquer sur les mots de passe que l’on souhaite changer dans le logiciel Dashlane (Mac ou PC), et de nouveaux mots de passe sécuritaires sont ensuite attribués en quelques secondes seulement. Malheureusement, il est toutefois impossible de choisir soi-même son mot de passe dans le processus de mise à jour automatique, même lorsqu’on ne modifie qu’un site à la fois.

Voilà qui aurait pu être utile plus tôt cette année, lorsque les internautes plus consciencieux ont dû passer des heures à modifier tous leurs mots de passe à la suite de la découverte de la faille Hearthbleed.

Notons que pour une sécurité accrue, Dashlane devrait aussi proposer bientôt un outil pour changer ses mots de passe automatiquement tous les 30 jours.

Peut-on quitter Dashlane par la suite?
Malheureusement, si la modification automatique de ses mots de passe offre de nombreux avantages, celle-ci pourrait aussi compliquer la situation chez les utilisateurs qui ne souhaitent plus utiliser de gestionnaire de mots de passe ou qui souhaitent tout simplement se tourner vers un fournisseur de service moins cher, puisqu’ils ne connaîtront plus aucun de leurs mots de passe.

Il s’agit là d’une inquiétude légitime, mais heureusement, Dashlane permet d’exporter ses données assez facilement si on le désire. Les importer dans un autre gestionnaire demandera un certain temps, mais les avantages de Password Changer semblent pour l’instant supérieurs aux inconvénients liés au fait de quitter le service par la suite.

Dashlane Password Changer est accessible sur invitation pour l’instant. Il est possible d’ajouter son nom à la liste d’attente ici. La fonctionnalité est offerte avec la version gratuite de Dashlane, mais ceux qui souhaitent tirer pleinement profit du gestionnaire préféreront s’équiper de la version Premium, à 39,99 $ par année. Il s’agit là d’un prix malheureusement assez élevé, sachant que les versions Premium de LastPass et de PasswordBox sont offertes à 12 $ par année seulement.

Que vous utilisiez toujours le même mot de passe pour tous vos comptes ou que vous soyez très vigilant, au point de changer régulièrement vos données d’authentification, vous devriez, dans tous les cas, pouvoir y trouver votre compte.

passwordbox

Intel a annoncé hier l’acquisition de la jeune entreprise montréalaise PasswordBox, qui offre un service permettant de sauvegarder tous ses mots de passe dans un seul endroit. Tant pour Intel que pour PasswordBox, il s’agit toutefois là d’une solution temporaire, en attendant l’arrivée d’un avenir sans mots de passe.

C’est vêtu d’un chandail de hockey à l’effigie de sa compagnie que le chef de la direction de PasswordBox, Daniel Robichaud, a annoncé officiellement la nouvelle, hier, à la Maison Notman, à Montréal.

« Nous voulons créer un produit qui pourra toucher 1 milliard d’utilisateurs, et c’est ce qu’un partenaire comme Intel pourra nous permettre de réaliser », a annoncé l’entrepreneur en série, qui n’a pas dévoilé le montant de la transaction.

Il a avoué avoir considéré plusieurs options pour l’avenir de son entreprise, mais que ses ambitions pour PasswordBox étaient mieux servies au sein du géant américain des microprocesseurs.

La jeune compagnie qui compte une cinquantaine d’employés en ce moment devrait doubler la superficie de ses bureaux d’ici la fin décembre, et elle espère embaucher de nombreux développeurs et ingénieurs au cours des mois à venir.

Le mot de passe : une solution temporaire
OLYMPUS DIGITAL CAMERA

Même si les mots de passe sont pour l’instant au cœur du service de PasswordBox, ceux-ci représentent un mal nécessaire pour la compagnie, qui se veut un pont entre « le monde actuel avec des mots de passe » et le monde futur, offrant « quelque chose de meilleur », explique Daniel Robichaud.

Une vision d’ailleurs partagée par Intel. « Les mots de passe ne disparaîtront pas tout de suite, mais on espère les remplacer le plus rapidement possible », a ajouté Mark Hocking, vice-président et directeur général d’Intel Security, la division d’Intel qui chapeaute notamment la compagnie de sécurité informatique McAfee.

Les ratés des mots de passe sont nombreux. Difficiles à retenir et relativement faciles à pirater, ceux-ci sont bien souvent le talon d’Achille de la sécurité en ligne. Même si un gestionnaire de mots de passe comme PasswordBox contribue à réduire les risques, les experts en sécurité informatique s’entendent généralement pour dire qu’un autre genre de protection serait préférable.

« Il y a heureusement beaucoup d’avenues prometteuses, comme la biométrie et l’information contextuelle », ajoute le directeur général d’Intel Security.

Selon ce dernier, Intel travaille présentement sur différentes technologies pour remplacer les mots de passe, et la compagnie devrait faire une annonce majeure à ce sujet au cours des prochains mois.

On en saura alors peut-être un peu plus sur l’avenir des mots de passe, mais aussi, par la même occasion, sur celui de PasswordBox.

securite

Google a dévoilé plus tôt cette semaine le nouvel outil Appareils et sécurité, qui permet de voir facilement quels sont les appareils qui se connectent à notre compte Google. Une fonction pratique, qui permet de s’assurer qu’aucun étranger n’accède à nos données.

L’outil, accessible à partir de l’onglet Sécurité dans les paramètres de notre compte Google, recense tous les appareils – ordinateurs, tablettes, téléphones – utilisés pour nous connecter à notre compte au cours des 28 derniers jours.

La liste s’affiche d’une manière conviviale, avec des icônes et des noms pour reconnaître facilement le type d’appareil utilisé.

securite 2

Il est ensuite possible de cliquer sur chacun des éléments pour voir notamment quel navigateur a été utilisé et à partir de quelle ville les connexions ont été effectuées. Dans le cas des tablettes et téléphones, il est aussi possible d’enlever l’accès à notre compte et de retrouver nos appareils Android sur une carte géographique. Aucune action n’est toutefois possible avec les ordinateurs.

Dans tous les cas, ceux qui découvrent une connexion suspecte avec cet outil devraient modifier leur mot de passe sur-le-champ. Il serait aussi sage d’activer la validation en deux étapes, qui permet de protéger notre compte même lorsque notre mot de passe a été compromis.

L’outil Appareils et sécurité de Google est accessible à cette adresse.

Catherine MathysLe journalisme après Snowden

par

 publié le 17 novembre 2014 à 12 h 37

Voir le film Citizenfour de Laura Poitras, c’est aussi assister à une formidable leçon de journalisme. Plusieurs scènes traitent de la correspondance encryptée entre Poitras et sa source Citizenfour, qui s’est plus tard révélée être Edward Snowden. Certains parlent même d’une nouvelle ère journalistique post-Snowden, où la protection des sources par le cryptage des messages est devenue essentielle.

Un rendez-vous presque raté

Glenn Greenwald a été le premier journaliste à être contacté par Citizenfour en décembre 2012. Le choix de Greenwald n’était pas anodin, l’homme s’étant déjà démarqué avec ses positions sur les guerres en Iraq et en Afghanistan ainsi que sur l’érosion des libertés civiles à la suite des attaques du 11 septembre. Snowden savait qu’il aurait une oreille attentive s’il réussissait à communiquer avec lui de façon sécuritaire. Il lui a donc envoyé un guide, puis une vidéo, pour lui montrer comment crypter ses communications, mais sa tentative s’avéra vaine. Greenwald trouvait cette technologie trop compliquée, trop contraignante. N’ayant pu établir de canaux de communication cryptée avec Greenwald, Snowden s’est tourné vers un autre journaliste plus féru en la matière.

ecyptedemail

http://www.digitalprank.org/encrypt-mails-from-gmail-using-firegpg/

En raison de son manque d’intérêt et de compétence dans les communications cryptées, Greenwald a perdu sa source et aurait pu passer à côté de l’histoire qui lui a valu le prix Pulitzer. Snowden s’est donc plutôt tourné vers Laura Poitras en janvier 2013 et lui a demandé sa clé publique pour la technologie GPG. Ils ont ainsi pu s’échanger une série de messages cryptés, lesquels sont retranscris ou lus dans le film.

Des sources mieux protégées

Ce que l’affaire Snowden a mis au jour, en ce qui concerne les pratiques journalistiques à l’ère numérique, c’est la nécessité de mieux protéger les sources. Avec un modèle économique chancelant et un auditoire morcelé sur diverses plateformes, la protection des sources a reculé sur la liste des priorités des médias selon Steve Coll, journaliste et doyen de l’école des études supérieures en journalisme de l’Université Columbia.

Cela dit, l’exemple de Snowden a démontré que dans certaines situations à haut risque, le cryptage des messages permet au moins de laisser le temps au journaliste de réfléchir, de prendre des décisions sur ce qu’il devrait publier et de penser aux raisons pour lesquelles il devrait le faire. En protégeant ses données et ses communications par des messages cryptés, Snowden et les journalistes ont pu déterminer la manière dont les documents seraient publiés. La seule possible faille du système était humaine. Snowden dépendait des journalistes et devait avoir confiance en eux, espérant qu’ils n’allaient pas divulguer l’information aux mauvaises personnes.

Les technologies de base du journaliste moderne

L’élément que Greenwald n’a pas su comprendre ou installer est la technologie GPG. Cette dernière permet d’assurer une transmission sécuritaire de l’information entre deux parties tout en vérifiant l’authenticité de la source. Le système GPG repose sur un modèle d’échange de clés publiques cryptées : il faut une clé pour crypter un message et une autre pour le décrypter. Ainsi, un message peut être créé et crypté à l’aide d’une clé publique, tandis qu’une clé privée, associée à la clé publique, permet de décrypter le message.

GPG-SChema

Ce segment de l’émission Listening Post diffusée sur le réseau Al-Jazeera permet d’en savoir un peu plus sur les outils essentiels du journaliste qui veut protéger sa source. En plus du GPG, l’émission mentionne Tor et SecureDrop comme outils de base pour tout journaliste désireux de sécuriser ses échanges.

Dans un récent billet, Martin Lessard nous expliquait l’utilité du réseau Tor.

« Le projet Tor est un réseau qui permet de naviguer sur le web de façon anonyme. L’appel vers une page web est chiffré et passe par une série de serveurs successifs, ce qui rend très difficile le traçage de la source de l’appel (c’est-à-dire, vous). »

tp

Même Facebook s’invite sur le réseau Tor. C’est dire l’engouement pour ce type de réseau. Tor fonctionne sur le principe de l’oignon. Quand un utilisateur s’y connecte, des couches de cryptage s’ajoutent au message. Ce dernier passe par plusieurs serveurs intermédiaires, comme pour détourner l’attention, avant d’arriver à sa destination finale.

L’autre logiciel dont on parle dans cette vidéo est SecureDrop. C’est le projet sur lequel travaillait le regretté Aaron Swartz, informaticien de grand talent et militant, avant de mourir. Celui-ci souhaitait permettre aux dénonciateurs comme Snowden d’envoyer des documents secrets aux médias en toute sécurité. Le Washington Post, journal qui a mis au jour l’affaire Snowden avec le Guardian, utilise cette plateforme, de même que The Intercept, le nouveau média web de Glenn Greenwald et Laura Poitras.

Avec tout ça, la boîte à outils du journaliste prudent et soucieux de ses sources serait complète. Mais, comme on a pu le voir dans le film, rien ne vaut une rencontre en personne et des mots griffonnés sur un bout de papier pour assurer une sécurité maximale. Quel beau paradoxe, dans cette ère ultranumérisée, de revenir à ces communications d’une autre époque.