Billets classés sous la catégorie « Sécurité »

Sale-AccentureSelon une étude de l’entreprise internationale Accenture, 80 % des consommateurs ne croient plus que la confidentialité complète des données privées soit encore possible. On a sondé 2012 personnes âgées de 20 à 40 ans, aux États-Unis et au Royaume-Uni pendant les mois de mars et d’avril derniers. Si cette statistique peut sembler pessimiste (ou réaliste), les autres résultats de l’enquête témoignent d’un changement perpétuel de nos habitudes de consommation.

Pourvu qu’on en bénéficie…

La dernière étude de ce type a été réalisée en 2012, alors que Accenture constatait que 85 % des répondants s’inquiétaient du fait que les sites mesurent leurs habitudes d’achat. Ce nombre a baissé à 64 % en 2014, 49 % se montrant d’accord, si cela signifie qu’ils recevront des offres intéressantes de la part des fournisseurs. En ce qui a trait aux préférences de communication promotionnelle, le courriel demeure en tête de liste pour 93 % des répondants, 57 % préfèrent les médias sociaux et 44 % aimeraient des SMS. En 2014, chez les 20 à 40 ans, seuls 25 % des répondants apprécient encore les communications par téléphone. Qui plus est, 64 % sont contents recevoir des SMS promotionnels lorsqu’ils entrent dans un commerce qui a pignon sur rue, ce qui implique donc qu’ils soient « géolocalisés » à l’aide de leur appareil mobile.

Encore quelques préoccupations pour la sécurité

Il demeure quand même quelques zones d’ombre dans ce portrait idyllique. Ainsi, 87 % des répondants considèrent que les mesures de sécurité sont insuffisantes et 70 % croient qu’il y a un manque de transparence quant à l’utilisation de leurs données par les compagnies privées. De plus, 39 % sont convaincus que leurs données personnelles sont vendues à de tierces parties. Pour Glen Hartman, directeur général de Accenture, il s’agit d’une occasion pour les compagnies de se démarquer. Le mot d’ordre, en plus d’un service à la clientèle de qualité supérieure, est la transparence et la confiance. En entrevue au Wall Street Journal Live, il fait remarquer que la clientèle est prête à partager ses informations si cela lui permet d’obtenir des avantages.

À ce titre, l’interviewer Paul Vigna fait un commentaire sur le partage des données qui mérite réflexion. Les utilisateurs seraient plus enclins à faire confiance à une compagnie privée qu’au gouvernement. Facebook serait très certainement moins populaire, si elle agissait au nom du gouvernement (et ce, même si les Canadiens sont les utilisateurs les plus actifs sur Facebook).

Et la surveillance gouvernementale dans tout ça?

Par ailleurs le projet de loi S-4 des conservateurs contre la cyberintimidation, dont nous avons parlé la semaine dernière, a été rejeté par la Cour suprême, principalement parce que l’accès tous azimuts aux informations personnelles des Canadiens, sans même avoir à en justifier l’accès, ne semble pas acceptable.

Faut-il le dire, il semble que la sécurité publique n’a pas encore à nos yeux la même importance qu’un bon rabais dans un commerce que nous apprécions.

Lien direct vers l’infographie (PDF en anglais)

vers-une-surveillance-renforcee-d-internet-au-canada_42535_w250Qu’un gouvernement instaure des mesures qui briment les libertés individuelles dans le but de préserver la sécurité n’a rien de nouveau. Comme l’affirme le désormais célèbre Edward Snowden, « le 11 septembre 2001 a été un cadeau pour la NSA », l’Agence de sécurité nationale américaine, dont nous connaissons maintenant les incursions dans la vie privée de la population. Mais il s’agissait dans ce cas de terrorisme international. Au Canada, où nous avons déjà eu quelques scandales de cet acabit après la surveillance dans des aéroports, le projet de loi S-4 contre la cyberintimidation pourrait être un grave recul, selon le commissaire à la vie privée du Canada, Daniel Therrien.

 D’abord, protéger les victimes de harcèlement

D’un côté, ce projet de loi a du bon. On y retrouve notamment une mesure qui rendrait illégale la publication de photos intimes sans consentement explicite et des mesures facilitant le retrait de ces images du web. Il suffit de penser au cas d’Amanda Todd, 15 ans, qui s’est suicidée, à la suit du harcèlement qu’avait engendré la diffusion d’une photo d’elle dénudée. Cette forme d’intimidation est un phénomène nouveau, désigné par le terme revenge porn. On dévoile donc des photos privées qui font de la victime un objet sexuel offert à tous. Dans la plupart des cas, ces situations dégénèrent au point de mener à du harcèlement généralisé et à des agressions physiques. L’histoire de l’Américaine Charlotte Laws, qui s’est battue pour faire retirer des photos de sa fille nue obtenues par piratage, est un autre exemple terrifiant de la vulnérabilité des victimes de cyberharcèlement. De ce point de vue, on ne peut qu’applaudir cette initiative.

Penser aussi au droit à la vie privée des personnes soupçonnées de cybercrime

Mais derrière le projet de loi S-4 se profilent plusieurs problèmes pour la vie privée. Il sera désormais possible pour des organisations de colliger et partager les données confidentielles ou les publications sur les réseaux sociaux d’une personne, sans avoir l’autorisation de cette dernière ou même de mandat précis pour mener une telle recherche. Si deux compagnies sont prêtes à coopérer, elles pourront donc enquêter ensemble sur des cas de viol de droits d’auteur et de piratage d’œuvres, pour ne nommer que ceux-là. Cela ferait bien plaisir à des tierces compagnies dont les profits sont rattachés à la capture des « pirates », telles Canipre, une société canadienne dont nous avons déjà parlé et qui tire ses profits de cette chasse aux pirates. Les mandats de perquisition ne seraient plus nécessaires pour obtenir des informations, l’immunité serait accordée par les enquêteurs à quiconque fournit des informations, et ainsi de suite.

Pour Daniel Therrien, ce projet de loi soulève des questions, car on n’y retrouve aucun détail sur la façon dont ces mesures seraient appliquées. Il permet une trop grande latitude à ceux qui souhaitent obtenir des renseignements et n’encadre pas suffisamment cette pratique. Bien que le gouvernement conservateur prétende que cette loi est nécessaire pour permettre au Canada d’être à jour et d’obtenir l’arrestation de cybercriminels, il y a effectivement des raisons de s’inquiéter.

Des phénomènes tels que la cyberpédophilie et la cyberintimidation suscitent nos pires craintes. Mais comme l’histoire nous l’a démontré, il y a un prix individuel à payer pour cette « sécurité », qui peut facilement devenir abusive.

Prototype d'arme intelligente, image dans calwatchdog.com/

Prototype d’arme intelligente, image dans calwatchdog.com/

Après le téléphone, la montre et les vêtements intelligents, c’est au tour des armes à feu d’être affublées de cet adjectif. En effet, les « smart guns » font présentement la manchette aux États-Unis en raison d’une réaction très négative chez les défenseurs du deuxième amendement, celui qui garantit à tout citoyen américain le droit de porter des armes.

Intelligent, mais jusqu’à quel point?

Le « smart gun » actuel ne permet pas encore l’installation d’applications, la possibilité de modifier le type de munitions ou de viser automatiquement, voire tout autre atout des armes de science-fiction. On parle donc d’arme intelligente, car elle permet d’activer une mesure de sécurité qui n’autorise que le propriétaire de l’arme à l’utiliser. C’est un principe retrouvé dans plusieurs œuvres de fiction, dont le film Cosmopolis de David Cronenberg, la bande dessinée Judge Dredd ou la série Metal Gear.

Les réactions négatives à l’arme intelligente

Cette mesure de sécurité semble en apparence tout à fait désirable, même pour les plus ardents défenseurs du port d’armes. Alors pourquoi y a-t-il des réactions négatives? Un article détaillé de The Verge explique l’origine de la controverse. Un armurier du New Jersey avait annoncé qu’il offrirait un modèle de pistolet intelligent, le Armatix iP1, à partir du 1er mai 2014. L’arme ne fonctionne que si elle se trouve à moins de 25 centimètres d’une montre que doit porter son propriétaire. En quelques heures, l’armurier a reçu de nombreuses plaintes, et lui et sa famille ont même reçu des menaces de mort s’il continuait à offrir l’arme.

L’arme intelligente et rien d’autre

La raison de ces menaces, explique David Kopel du Washington Post, est une loi votée en 2003 au New Jersey. Cette loi indique qu’à partir du moment où une arme de poing intelligente (le terme légal utilisé est « arme de poing personnalisée ») sera commercialisée par un détaillant, la vente de pistolets ordinaires devra être interdite dans un délai maximal de 29 mois. The Verge rappelle qu’à l’origine, l’état du New Jersey croyait que les armes intelligentes deviendraient réalité rapidement, mais leur conception n’a pas été sans son lot de problèmes et de critiques. À l’instar des mesures d’identification personnelles de nos téléphones intelligents qui ne sont pas fiables à 100 %, plusieurs craignaient, dont la National Riffle Association (NRA) et les agences de sécurité, que la mesure de sécurité soit facile à contourner. D’autres groupes, notamment le Violence Policy Center, considèrent que ce dispositif de sécurité, même largement appliqué, ne réglera en rien les problèmes de violence aux États-Unis.

Mais du point de vue philosophique?

Le créateur du Armatix iP1, Ernst Mauch, a réagi lui aussi dans le Washington Post pour défendre le principe et la philosophie de son invention. Selon lui, l’intégration de cette technologie aura un effet positif pour les amateurs de tir et en augmentera même le nombre. L’arme intelligente ne contredirait pas les valeurs de ceux qui défendent le droit au port d’armes. La réaction de groupes comme la NRA serait donc injustifiée, selon M. Mauch.

Dans un contexte où l’arme imprimable 3D sera bientôt réalité (comme en témoigne le dernier clip de l’artiste M.I.A.), est-ce que ce genre de mesure est encore valide? La notion même d’armes à feu est au coeur du problème. Si des dispositifs de sécurité additionnels peuvent paraître désirables, contribueraient-ils vraiment à réduire les crimes violents? Surtout quand on peut s’imprimer une arme ou encore pirater avec un peu d’effort n’importe quelle barrière de sécurité.

 

galaxy-s5-fingerprint-scannerEst-ce que les compagnies de technologie web et de mobilité visent à éradiquer le mot de passe? C’est ce que prétend Russel Brandom, journaliste pour The Verge. Selon lui, ce n’est pas une coïncidence si les chefs de file y investissent temps et énergie. L’industrie du zero password mettrait de l’avant un enjeu qui sera rapidement incontournable dans les années à venir.

Le lecteur d’empreintes digitales comme seul moyen d’identification?

Par exemple, le nouvel appareil de Samsung, le Galaxy S5, est lui aussi équipé d’un lecteur d’empreintes digitales. La différence avec son rival, l’iPhone 5S, est qu’il permet également de se connecter à PayPal. Il ne s’agit donc plus simplement d’activer son téléphone : l’identification par empreintes autorisera aussi des transactions. Évidemment, quelques jours après le lancement, il a été démontré et illustré dans un article de BGR que le lecteur d’empreintes était très facile à pirater. Et le risque de faille, côté sécurité, est encore plus grand que pour l’iPhone 5S. L’appareil d’Apple exige, en plus de l’empreinte, un mot de passe, ce qui n’est pas le cas pour le Galaxy S5. Un porte-parole de PayPal a affirmé dans l’article de BGR que l’authentification par empreintes digitales reste néanmoins plus sûre que d’entrer seulement un mot de passe ou de payer par carte de crédit. Mais le doute est là, et dans le contexte actuel post-scandale NSA, qui voudrait prendre le risque?

L’iPhone plus sécuritaire, mais encore?

La réalité n’est pas plus rose du côté d’Apple.  Le Touch ID de l’iPhone 5S est, encore aujourd’hui, truffé de problèmes. Alors, pourquoi des compagnies aussi importantes qu’Apple et Samsung persistent-elles à courir ces risques? Il y a très certainement une volonté de changer nos habitudes de sécurité. Même les développeurs indépendants visent à éliminer le concept de mot de passe. C’était l’objectif de William Henderson, derrière son application Knock, qui permettait d’activer son portable en « cognant » sur son iPhone (rapporté sur Triplex en novembre dernier).

Mais au-delà des possibilités de la technologie, les utilisateurs sont-ils vraiment prêts à changer de paradigme quant à la sécurité pour le web et la mobilité? Dans ce domaine, les habitudes ont peut-être la vie dure, mais Heartbleed constitue un réveil brutal qui expose les failles de procédures connues. Le fait même d’archiver des données, comme les mots de passe, implique nécessairement qu’il est possible pour un individu de mettre la main sur ces données.

Comme le fait remarquer Russel Brandom, l’instauration d’un protocole zero-knowledge proof par identification de l’iris ou des empreintes digitales, où l’authentification ne nécessite pas de fournir de données supplémentaires, ne pourrait être que plus sécuritaire que les moyens utilisés jusqu’à maintenant.

Maxime Johnson5 choses à savoir sur Heartbleed

par

 publié le 9 avril 2014 à 11 h 14

heartbleed

Internet est en crise. Une importante vulnérabilité de la boîte à outils OpenSSL permet aux pirates d’accéder facilement aux renseignements qui passent par un serveur et d’avoir accès à des données importantes, comme des noms d’utilisateur et des mots de passe. Voici cinq choses à savoir sur la vulnérabilité CVE-2014-0160, mieux connue sous le nom de Heartbleed.

Heartbleed permet aux pirates de « pêcher » des renseignements dans la mémoire des serveurs

Heartbleed touche la boîte à outils OpenSSL, qui protège des millions de sites web à l’aide des protocoles SSL et TSL. En profitant de la vulnérabilité, un pirate peut accéder à 64 Ko dans la mémoire d’un serveur. C’est peu, mais c’est quand même suffisant pour obtenir des mots de passe, des clés cryptographiques et autres. Surtout qu’il est possible de « pêcher » dans la mémoire aussi souvent qu’on le veut.

Hier, le développeur Scott Galloway aurait notamment été capable d’obtenir plus de 200 noms d’utilisateur et mots de passe du service de courriel Yahoo en seulement cinq minutes.

Plusieurs sites importants sont compromis

OpenSSL est utilisé par plusieurs sites importants, comme Yahoo, et même celui de l’Agence du revenu du Canada, qui a d’ailleurs suspendu ses services en ligne ce matin, en attendant de corriger la faille.

Notons toutefois que ce problème ne nuit pas à une bonne partie des sites grand public courants, comme Gmail, Facebook (qui ont corrigé la vulnérabilité avant qu’elle soit annoncée) et Outlook.com. Certains articles mentionnent que les deux tiers de tous les sites web seraient affectés par le bogue, mais ce n’est pas tout à fait exact. Selon une estimation plus réaliste de la firme Netcraft, environ 500 000 sites seraient touchés par la vulnérabilité.

Un correctif existe contre Heartbleed

Un correctif existe pour corriger la faille Heartbleed, et celui-ci a déjà été appliqué dans de nombreux cas. Certains administrateurs pourraient attendre un peu plus avant de réagir, mais vu l’importance de la faille, la communauté devrait répliquer sans tarder.

Yahoo, l’un des sites les plus importants affectés par Heartbleed, a par exemple colmaté la fuite après son annonce, et n’est plus affecté par le bogue.

Il est impossible de savoir si la vulnérabilité a été exploitée ou non

La vulnérabilité dévoilée cette semaine existe depuis deux ans. Et malheureusement, il n’y a aucun moyen de vérifier si quelqu’un en a profité pendant cette période. Les renseignements personnels de certains utilisateurs pourraient donc déjà avoir été copiés, mais il est impossible de s’en assurer.

L’utilisateur moyen est plus ou moins impuissant contre Heartbleed

Malheureusement, il n’y a pas grand-chose à faire contre Heartbleed à l’heure actuelle. Un outil existe bel et bien pour savoir si un site est vulnérable, mais celui-ci n’indique pas si la faille a été présente sur un site au cours des deux dernières années.

En attendant, le projet Tor propose une solution radicale : éviter Internet au grand complet pendant quelques jours si vous avez des renseignements d’une importance cruciales à protéger.

Il pourrait aussi être une bonne idée de changer son nom d’utilisateur et son mot de passe sur les sites qui ont été touchés par la faille, comme Yahoo. Certains sites qui ont été vulnérables, comme IFTTT ont d’ailleurs déjà demandé à leurs utilisateurs de mettre leurs mots de passe à jour. D’autres compagnies, comme Google, affirment que ce n’est pas nécessaire. Mais un excès de prudence n’a jamais nui à personne non plus.