Billets classés sous la catégorie « Sécurité »

Martin LessardComment éviter la balkanisation d’Internet?

par

 publié le 22 janvier 2014 à 10 h 59

À Davos, commence aujourd’hui le 44e Forum économique et mondial, avec, entre autres, une conférence intitulée « Le problème de Big Brother », qui abordera les conséquences préoccupantes de la collecte des données privées à grande échelle.

La « société de surveillance » qui se met en place a été confirmée et reconduite par Obama, comme compris en filigrane dans son discours de vendredi dernier.

Il faut s’attendre, sur le plan international, à une réaction à cette menace sur Internet.

La communauté internationale se montre moins désireuse de travailler conjointement à l’établissement de modèles de gouvernance pour remédier à cette faiblesse [qui] pourrait aboutir à une balkanisation d’Internet […] où les pirates jouiraient d’une supériorité écrasante et où les perturbations massives seraient monnaie courante. (source)

Une menace bien réelle plane. Il s’agit d’éviter cette balkanisation d’Internet.

Image de la série téléCybergeddon

Internet est entré dans l’ère post-Snowden

Plusieurs pays repensent les normes de sécurité en matière de données et de vie privée. Or, cette réflexion comprend la remise en question d’un Internet sous contrôle unique américain.

Internet est bien sûr à tous. Mais plusieurs câbles, routeurs, dorsales sont américains, plusieurs services d’infonuagiques sont américains, la racine même des noms de domaines (.com, .org, etc.) est américaine. Et tout cela est soumis aux lois américaines.

Les intrusions sur les réseaux sont le fait de tous les États. Mais les Américains sont tout simplement les plus très avancés. Et cela fait peur aux autres.

220px-HAL9000

Pour les États, avoir Internet peut donc rimer avec laisser un gouvernement étranger surveiller et en savoir encore plus sur ses propres citoyens. Couper le cordon devient donc une option.

Si vous trouvez que la vie privée a été malmenée avec la montée fulgurante des médias sociaux, vous n’avez encore rien vu avec l’Internet des objets, qui sera la prochaine vague d’innovation de cette décennie.

Il est devenu évident que l’Internet des objets subira la même pression que le web de la part des agences d’espionnage.

Quand les objets connectés entreront encore davantage dans nos maisons, comme ce thermostat Nest qui en contrôle la température, ce sera l’économie intime de tout un pays qui sera devenu transparent aux yeux des Américains.

Cela donne une bonne raison de créer un réseau 100 % national. À Davos, réussiront-ils à éviter la balkanisation d’Internet?

KNOCK568x568La gestion de nos mots de passe peut vite tourner au cauchemar. Wifi, accès aux réseaux sociaux et aux différents comptes personnels ou professionnels, on passe de plus en plus de temps à s’identifier. L’application Knock  propose une nouvelle façon d’accéder à un ordinateur et ses créateurs croient qu’elle annonce une tendance qui ira encore plus loin.

Plutôt qu’un mot de passe, on cogne pour entrer

Le concept de cette application, offerte depuis le 5 novembre au coût de 3,99 $, ne saurait être plus simple. Il suffit de synchroniser Knock sur un iPhone et un portable. Ensuite, on peut « cogner » sur son téléphone pour s’identifier. L’application utilise la technologie Bluetooth Low Energy, ce qui implique qu’elle fonctionnera pour les iPhone 4S, jusqu’aux plus nouveaux, et pour les ordinateurs Mac récents.

On pourrait croire que cette application n’est qu’un gadget, surtout avec la quantité de gestionnaires de mots de passe tels que LastPass qui sont sur le marché. Cependant, l’arrivée de Knock souligne une tendance de la technologie à se diriger vers des processus d’authentification qui requièrent des gestes de la part de l’utilisateur.

Se débarrasser des mots de passe

Le Touch ID d’iOS 7 en est déjà une bonne illustration, ainsi que le mot de passe graphique d’Android. Le fondateur de la compagnie (Knock Software inc.) derrière ce projet, William Henderson, ne cache pas ses intentions : « Personne n’aime les mots de passe, et nous voulons nous en débarrasser. »  Selon lui, le téléphone est en train de devenir un outil d’authentification universel. Bien que l’application actuelle ne permette qu’une communication de machine à machine qu’entre iPhone et Mac, son objectif est d’universaliser l’authentification, que ce soit sur d’autres appareils ou même, s’il va au bout de leur utopie, pour déverrouiller sa propre maison.

Évidemment, on peut douter de la sécurité de l’application. Qu’advient-il, par exemple, si notre appareil est volé? Il suffirait de se connecter à son portable avec le mot de passe (ce qui, certes, va à l’encontre de l’intention initiale) et de désactiver l’application. Knock crypte le mot de passe avec une certification RSA 2048-bit. Une attaque par force brute décrypterait statistiquement un code une fois tous les millions d’années. Un acte que même la NSA aurait de la difficulté à effectuer. Qui plus est, comme Knock ne fonctionne que par Bluetooth, il faut que l’utilisateur soit à proximité du portable pour s’en servir.

Knock demeure une application très pratique, même si son coût de 3,99 $ est élevé. La preuve en est qu’en seulement quelques jours de mise en marché elle a déjà atteint 223 votes sur l’App Store pour une moyenne de 3,5 sur 4. L’histoire nous dira si c’est un véritable besoin du marché!

Apple iOS7Plusieurs utilisateurs des produits Apple choisissent ces appareils pour le sentiment de sécurité qu’ils procurent. Pourtant, ils utilisent leurs appareils sur des réseaux WiFi publics non sécurisés, convaincus de leur invulnérabilité, alors dans ces conditions, plusieurs failles ont été constatées.

iOS7 touché, et les autres possiblement touchés

En septembre, des pirates ont signalé que iOS 7 comportait une faille permettant d’accéder à des données privées. Cette semaine, la compagnie spécialisée en sécurité mobile Skycure rapporte sur son blogue que plusieurs applications sur iOS ne seraient pas sécuritaires pour les utilisateurs, billet repris d’ailleurs par le New York Times. Soyons de bonne foi : Skycure conclut que ce problème pourrait également toucher les applications d’autres systèmes d’exploitation, sans les nommer.

Cette faille que Skycure a baptisée HTTP Request Highjacking (qui pourrait être traduit par détournement de requête HTTP) est expliquée dans une courte vidéo. Bon nombre d’applications accèdent à un serveur afin de récolter des données pour l’utilisateur, notamment pour les actualités ou le cours boursier. Selon Skycure, la plupart le feraient par des redirections permanentes (ou 301). Une redirection 301 est une procédure courante lorsqu’un site, par exemple, change d’URL et doit rediriger le trafic vers un nouveau site.

Dans le cas d’une application, elle peut cependant être détournée par un tiers malicieux qui redirigerait l’utilisateur vers son propre serveur sans qu’il soit possible de le détecter. Alors qu’un navigateur web affiche généralement une barre d’adresse, ce n’est pas le cas pour une application. Comme la direction 301 est conservée dans la cache de celle-ci, un pirate pourrait envoyer de fausses informations à l’utilisateur qui consulte innocemment ses nouvelles de n’importe où dans le monde.

Un exploit ou une occasion saisie?

Bien sûr, si l’utilisateur vide fréquemment la cache de ses applications, il n’y a pas de problème. Mais qui prend vraiment le temps de faire ça? Comme Skycure le mentionne, ainsi que plusieurs utilisateurs dans les commentaires, il ne s’agit pas d’un principe nouveau. C’est en fait une « attaque de l’homme du milieu » où un attaquant se positionne entre deux parties (ici l’utilisateur qui utilise une application et le serveur de cette dernière) pour intercepter les communications. Picasticks commente également dans l’article du New York Times qu’il n’est pas question là d’un exploit révolutionnaire. C’est une forme d’attaque assez simple pour qui s’y connaît un peu et prouve que ces applications ne sont pas sécuritaires.

Aucune liste n’est offerte par Skycure, qui affirme que cette faille toucherait un nombre ahurissant d’applications sur iOS, trop d’applications en tout cas pour en faire part à chaque producteur.

Le risque réel

Une attaque serait cependant complexe à coordonner : il faut être physiquement à proximité pour la première étape de la contamination. L’attaque ne permettrait que de modifier les informations que recevrait la victime à partir de l’application. Par contre, on peut facilement imaginer un scénario où un politicien ou un investisseur trop confiant des renseignements reçus par son appareil serait la cible d’une telle attaque.

Or, la réalité est qu’aucun système ou interface n’est entièrement sécuritaire, que ce soit en raison des programmeurs qui tournent les coins ronds ou de la persévérance d’une communauté de pirates. La naïveté, l’ignorance et un faux sentiment de sécurité seront toujours la porte empruntée par ceux qui désirent acquérir, ou manipuler, vos informations.

Nadia SeraioccoUne pétition pour bloquer la pornographie sur le web

par

 publié le 15 octobre 2013 à 12 h 50

La députée fédérale conservatrice Joy Smith (Photo : Radio-Canada)

Si certains souhaitent toujours un web libéré et autorégulé, le contrôle et la censure semblent vouloir s’y installer pour de bon. La pornographie étant toujours un indicateur sûr des tendances sur le web, il circule en ce moment une pétition sur le site Change.org, qui demande au gouvernement canadien de forcer les fournisseurs web à bloquer par défaut les contenus pornographiques.

Les conditions de la pétition

Peut-être pour éviter de hauts cris de l’industrie, la requête précise que les adultes désirant accéder à ces contenus pourront contacter les fournisseurs, afin que cette option par défaut soit enlevée, et l’accès aux contenus, débloqué. Cette pétition, active depuis un peu plus d’une semaine, a déjà accumulé près de 5000 signatures.

Cette demande survient quelques mois après que le  premier ministre britannique, David Cameron, a annoncé la mise en place de cette mesure d’ici la fin de l’année en Angleterre. Les utilisateurs devront faire une demande explicite, afin que cette barrière soit retirée. La possession de certains types de pornographie, dont celle où le viol est simulé, deviendrait également illégale.

Moins de 24 heures après son discours, le premier ministre Cameron était revenu en partie sur ses propos, indiquant que la liste des sites qui seront bloqués n’était pas établie et que la résolution des défis techniques inhérents à ce genre de contrôle n’était pas encore réglée. Ce projet ne cible pas seulement la pornographie, mais aussi les sites qui contiennent du matériel inacceptable selon les normes sociales, par exemple, ceux qui font l’apologie de la violence, des troubles alimentaires et du suicide.

Réguler le web pour « nos enfants »

Extrait de The stats on Internet pornography

De telles mesures se fondent toujours sur le discours entourant la protection des enfants. L’argument invoqué en premier pour justifier ce filtrage est souvent la corruption de la jeunesse par l’accès à la pornographie. Or, si cette nouvelle loi surprend peu en Angleterre, un pays qui a la censure facile lorsqu’il est question de cinéma et de jeux vidéo, on peut s’étonner qu’elle trouve un terreau fertile au Canada. Toutefois, certains politiciens prennent ce projet à cœur. C’est le cas de la députée fédérale conservatrice Joy Smith, qui souhaite qu’un tel contrôle soit mis en place. Tom Copeland, de l’Association canadienne des fournisseurs d’accès Internet, quant à lui, souligne les risques de censure et la quasi-impossibilité de mettre en place ce genre de filtre.

Comment définir ce qui est inacceptable ou pornographique?

Il va sans dire que la première difficulté est de définir ce qu’est la pornographie. On pourrait alors paraphraser Potter Stewart qui résumait ainsi la question : « Je ne peux définir ce qu’est la pornographie, mais je la reconnais quand j’en vois. » Le document L’évolution de la législation relative à la pornographie au Canada, sur le site du Parlement du Canada, va dans le même sens : « Bon nombre des difficultés qu’on éprouve lorsqu’on traite de pornographie découlent du fait qu’on ne s’entend pas sur le sens de ce terme. »

Lorsqu’il est question de pornographie diffusée sous une forme physique, par contre, les termes sont un peu plus clairs. Le site de l’Agence des services frontaliers du Canada a une liste précise des contenus pornographiques qui bloqués aux douanes, car jugés obscènes. Il est également possible de s’abonner à leurs listes trimestrielles des titres admissibles et prohibés pour obscénité ou propagande haineuse. Très souvent, la formulation des titres en disant suffisamment sur la nature du contenu, nul besoin de tout visionner.

Protéger le citoyen de lui-même

Quand il est question de définir ce qui devrait être interdit, on se rappelle le procès de Rémy Couture, artiste maquilleur spécialiste de l’horreur, dont les œuvres lui ont valu d’être accusé de corruption des mœurs et de production de matériel obscène. Toujours pour justifier un plus grand contrôle, certains soulignent les effets négatifs de la pornographie non seulement chez les jeunes, mais aussi chez les adultes et tout particulièrement dans les couples.

La dépendance à la pornographie, entre autres, est un phénomène bien réel. Il reste à voir quel succès aurait cette mesure, mais la pornographie n’est pas près de disparaître du web. Elle est partie intégrante de son paysage, depuis les débuts d’Internet et continue de se révéler lucrative.

Selon cette infographie publiée en janvier, 12 % du contenu sur Internet est de nature pornographique, soit plus de 24 millions de sites, et 3075 $ y seraient dépensés chaque seconde. De plus, plusieurs avancées sur le web ont d’abord été mises en place par la pornographie.

Le wifi tout partout

Alors que les frontières entre la vie privée, le bureau et la maison s’amenuisent de plus en plus grâce à une utilisation incessante du web par le mobile, des questions se posent quant à la sécurité de ce type d’appareil. La compagnie Symantec produit régulièrement des études à ce sujet. Voici quelques statistiques tirées de sa plus récente publication.

Une augmentation de la cybercriminalité

Alors qu’il y a très peu de temps, les utilisateurs étaient on ne peut plus méfiants, à mesure que l’accès à Internet se généralise dans le quotidien, le nombre de Canadiens victimes d’acte criminel augmente. Depuis le début de 2013, 7 millions d’entre eux ont été la proie de cybercriminels, et le coût direct moyen, qui était de 169 $ par victime, est passé cette année à 383 $. Les chiffres augmentent et, étrangement, les utilisateurs semblent moins s’en préoccuper.

Le nouvel élément : le mobile

En fait, un peu moins du tiers des Canadiens (32 %) qui utilisent un téléphone intelligent signalent avoir été victimes de cybercriminalité. Si la vente d’appareils mobiles est en hausse, il faut croire que de nombreux consommateurs se dotent d’un tel appareil sans savoir comment sécuriser leur téléphone ou leur tablette, ou encore qu’il existe des solutions pour en assurer la sécurité.

La disparition graduelle de la frontière entre la vie privée et le travail

Il n’y a pas si longtemps, je discutais sur Triplex d’une tendance croissante, celle du byod, pour « bring your own device », ou « apportez votre appareil au travail ». Or au Canada, plus du tiers des travailleurs utilisent leur appareil mobile à la fois pour le travail et pour les loisirs. Ailleurs dans le monde, ce nombre atteint près de 50 %. Quant à ceux qui ont un appareil fourni par leur employeur, quelque 40 % d’entre eux l’utilisent aussi pour leurs communications personnelles.

De plus, beaucoup d’utilisateurs ne pensent pas à effacer de leur appareil mobile les messages douteux ou ceux qui pourraient présenter un risque pour la sécurité.

Le wifi public, donc non sécurisé

Il fait partie de notre quotidien. Sitôt installés dans un bar ou un café, nous vérifions s’il y a un réseau wifi public. S’il n’est pas surprenant de constater que quelque 50 % des utilisateurs envoient des courriels personnels ou accèdent aux réseaux sociaux grâce à ce type de réseau, il est plus étonnant de lire que plus de 20 % font même des achats en ligne sans se soucier des risques potentiels.

De toute évidence, on pourrait trouver alarmistes ces données provenant de Symantec, qui produit le logiciel de sécurité Norton. Il faut relativiser, sans oublier qu’à chaque nouveauté, dans ce cas-ci le mobile, il semble que les utilisateurs doivent passer par quelques expériences de comptes piratés et tout ce qui s’en suit avant de s’ajuster. Ces quelques données serviront donc de mise en garde.

En terminant, les médias sociaux font partie de ce changement. Alors n’oubliez pas de vous déconnecter lorsque vous accédez à votre compte dans un lieu public, et surtout, ne divulguez pas vos mots de passe… Oui, 28 % des Canadiens le font!