Billets classés sous la catégorie « Surveillance »

Avez-vous une information confidentielle ou un document à transmettre anonymement aux journalistes de Radio-Canada? C’est possible dès aujourd’hui de le faire en ligne.

Radio-Canada vient d’ouvrir Source Anonyme pour transmettre des informations et des documents de façon sécuritaire aux journalistes de Radio-Canada.

C’est dans le cadre de l’accélérateur d’idées de Radio-Canada que notre collègue de Triplex Catherine Mathys a poussé ce projet pour qu’il soit réalisé. Elle a remporté le vote des employés et du jury de ce concours au printemps dernier.

L’accélérateur d’idées permet de placer un projet sur le haut de la pile des priorités. Des ressources sont alors dédiées pour la réalisation de l’idée gagnante. Hamady Cissé, Dominic Marchand, Xavier Kronström Richard et Thomas Le Jouan ont participé au développement du projet.

« Je trouvais qu’en 2016, me racontait hier Catherine, il était important que Radio-Canada ait un tel canal sécurisé et confidentiel. Avant les révélations de Snowden en 2013, on ne connaissait pas l’ampleur de la surveillance en ligne. On en était encore aux courriels et aux clés USB. J’ai donc proposé ce projet pour qu’il devienne prioritaire. »

La solution retenue par Radio-Canada est SecureDrop, une plateforme en code source ouvert développée par le regretté Aaron Swartz et reprise depuis par la fondation Freedom of the Press.

Radio-Canada et CBC deviennent le deuxième grand média au pays (après le Globe and Mail) à offrir ce service sécurisé. Elles rejoignent ainsi d’autres grands médias dans le monde comme The Guardian, le Washington Post et The New Yorker.

Comment s’y prendre pour utiliser le service anonyme

1- Aller sur sourceanonyme.radio-canada.ca

sourceanonyme

Pourquoi passer par là? C’est pour retrouver l’adresse du serveur sécuritaire (qui est w5jfqhep2jbypkek.onion) et les instructions de base.

Vous pouvez mettre en signet l’accès direct au serveur sécuritaire et ne jamais revenir sur cette page de Radio-Canada, si vous le souhaitez.

L’adresse de Radio-Canada sert à l’indexation et à faciliter l’échange quand vous souhaitez faire part du service à d’autres personnes.

2- Utiliser le navigateur Tor pour accéder au service

tor

Le navigateur Tor est un navigateur gratuit spécialisé pour rendre anonyme votre navigation en ligne. (Téléchargez-le ici.)

Un labyrinthe de serveurs empêche dans les faits de retracer votre connexion. Notez que votre connexion directe à votre fournisseur d’accès n’est pas anonyme. Il sait qui vous êtes par définition. Par contre, il ne sait pas à quel serveur vous vous connectez (Tor utilise un algorithme de cryptage sophistiqué).

3- Communiquer avec la messagerie SecureDrop

securedrop

Une fois arrivé sur la page de SecureDrop, vous verrez le logo de Radio-Canada. C’est ce qui vous dit que vous êtes au bon endroit et que les messages se rendront bien à quelqu’un de Radio-Canada.

Vous recevrez alors un code unique qui servira pour toutes vos communications. Gardez ce code en lieu sûr. Idéalement, ne l’écrivez nulle part. C’est comme la clé d’une case postale où vous recevrez vos messages.

Sur le site de SecureDrop, vous avez accès aussi à tous les autres grands médias qui utilisent le service. Avec chacun d’eux, vous aurez une autre clé unique. Ne les mélangez pas.

Notez que le logiciel SecureDrop est développé par Freedom of the Press et qu’il n’est offert qu’en anglais. Radio-Canada travaille avec eux pour le faire traduire.

Est-ce vraiment sécuritaire?

Cette procédure est la plus fiable à ce jour, mais rien ne garantit à 100 % l’efficacité. Ce n’est tout simplement pas possible en ligne. Les réseaux numériques ont montré depuis plusieurs années cette faiblesse du côté de l’anonymat.

Si votre ordinateur contient des virus espion, comme un enregistreur de frappe, qui capture tout ce que vous tapez au clavier, ou s’il est surveillé par le bureau (dans le cas d’un ordinateur au bureau), il est très possible que vous soyez repéré avant même d’accéder à la chaîne sécurisée de Source Anonyme.

Il est conseillé de passer par un ordinateur d’un café Internet.

Catherine MathysVie privée : les meilleurs trucs de Snowden

par

 publié le 12 novembre 2015 à 16 h 55

Plus de deux ans après leurs premiers courriels, le journaliste Micah Lee et Edward Snowden se rencontrent pour la première fois à Moscou. Il en résulte une entrevue publiée ce matin dans The Intercept, dans laquelle Snowden nous livre ses meilleurs trucs pratico-pratiques pour protéger notre identité en ligne.

snowden3

L’importance du chiffrement

Selon Snowden, la première chose que nous devrions faire est de crypter nos appels et nos messages textes. Pour ce faire, il recommande l’application Signal, produite par Open Whisper Systems. C’est gratuit et offert en versions iOS et Android.

Il recommande aussi de crypter nos disques durs. Advenant le vol de notre ordinateur, l’information contenue ne serait donc pas accessible. Micah Lee a d’ailleurs écrit la marche à suivre sur Windows, Mac et Linux pour crypter.

La fragilité du mot de passe

On parle souvent des mots de passe et de leur vulnérabilité, et pour cause. Nous utilisons souvent les mêmes mots de passe pour tout. Or, si un service que nous avons cessé d’utiliser en 2007 se fait pirater et que nous utilisons le même mot de passe pour notre Gmail, ce sont toutes nos données personnelles qui sont à risque.

Un gestionnaire de mots de passe crée un mot de passe unique pour chaque site sans le fardeau de devoir le mémoriser. Les exemples sont nombreux, comme KeePassX, un logiciel gratuit, en code source ouvert et qui n’archive jamais rien dans le nuage.

L’autre façon de nous protéger est l’authentification à deux facteurs qui nous oblige à utiliser, en plus du mot de passe, un autre moyen de confirmer notre identité, un message texte, par exemple. Si jamais notre mot de passe est découvert, la personne qui cherche à obtenir nos informations devra aussi combiner ce deuxième facteur d’authentification avant d’avoir accès à nos données. Ce service existe déjà pour Gmail, Facebook, Twitter, Dropbox, GitHub, Battle.net, et une longue liste de sites énumérés ici.

Tor : l’outil essentiel

Snowden semble catégorique, le navigateur Tor est la technologie la plus importante pour protéger notre vie privée. Il l’utilise chaque fois qu’il veut aller en ligne. C’est le moyen, entre autres, qu’a utilisé Snowden pour sécuriser ses communications avec Poitras et Greenwald. Tor n’est pas infaillible, mais il sécurise nos activités en ligne en ce sens qu’elles ne sont plus géolocalisables. De cette manière, nous ne laissons pas de trace en ligne. L’outil peut aussi s’avérer très intéressant pour ceux qui vivent dans des endroits où Internet est étroitement surveillé.

Le meilleur comportement en ligne?

Ne publions pas tout. C’est très simple. Nous n’avons pas besoin de tout divulguer à chaque moment, c’est ce qui nous rend vulnérables, selon Snowden. Pas besoin de mentionner le nom de notre pharmacie ou le nom de jeune fille de notre mère à Facebook, surtout si ça fait partie des réponses aux questions de sécurité qui nous permettent de récupérer notre mot de passe sur Gmail, par exemple.

Ce n’est pas qu’il est contre la divulgation d’informations. Snowden est contre la divulgation involontaire d’information. C’est très différent. Selon lui, certaines méthodes de communication nous trahissent de façon invisible et silencieuse. Chaque fois que nous arrivons sur une page, l’information est colligée, interceptée, analysée et archivée, tant par les gouvernements que par les entreprises privées.

Il est possible de réduire cette tendance lourde en suivant ces quelques conseils. Snowden recommande d’ailleurs aussi les bloqueurs de publicité, ne serait-ce que pour une question de sécurité. Certains fournisseurs comme Comcast ou encore AT&T se sont déjà servis de bornes wifi publiques, comme celles d’un aéroport, pour injecter de la publicité dans les connexions http.

Et les téléphones intelligents?

Snowden trouve que les gens oublient trop souvent que les téléphones en général sont des traceurs qui enregistrent tous leurs déplacements. Le téléphone parle toujours de nous, même quand nous ne l’utilisons pas. Loin de lui l’idée d’en cesser l’utilisation, mais il nous faut en être conscient et nous demander si nous souhaitons être associés à tous les lieux que nous visitons.

 

Depuis le temps qu’on en parle, vous n’êtes sûrement pas sans savoir que vos communications numériques ne peuvent plus être considérées comme privées. Elles sont cumulées et constituent désormais la majeure partie de votre profil numérique.

Jusqu’à présent, on pensait que ça n’affectait essentiellement que les communications écrites. Détrompez-vous. Le média en ligne The Intercept vient de mettre au jour le système utilisé par la National Security Agency (NSA) pour convertir les mots parlés en transcriptions archivées qui permettent de faciliter les recherches par mots-clés. En voici les grandes lignes.

 

the-intercept

L’ère du big data parlé

Les documents confidentiels transmis aux journalistes en 2013 par Edward Snowden continuent de révéler les coulisses de la surveillance exercée par la NSA sur les communications de tout ordre. Selon les archives de Snowden, la NSA a mis au point un système qui permet de reconnaître certains types de contenu dans un appel téléphonique, puis d’en faire une transcription sommaire qu’il serait ensuite plus facile de consulter. Les analystes de la NSA l’utiliseraient comme une sorte de Google pour la voix depuis près de 10 ans, selon The Intercept.

Ici, quand on parle de communications téléphoniques, on parle autant de téléphone filaire que cellulaire ou encore de services VoIP.

La transcription n’est, semble-t-il, pas parfaite, mais elle permet tout de même l’utilisation de mots-clés pour effectuer des recherches. D’autres programmes permettent ensuite d’extraire la conversation elle-même, de l’analyser et par la suite d’alerter les analystes quand d’autres conversations « d’intérêt » surviennent.

La surveillance de conversations téléphoniques n’est pas une nouvelle méthode en soi. Cela dit, quand elle requiert le temps et l’écoute d’une personne, on sait que la surveillance ne peut être que ciblée. Avec ces programmes de la NSA, bienvenue dans l’ère de l’écoute de masse.

Qui est surveillé de cette manière?

Les documents incluent des exemples d’utilisation de ces programmes lors de conflits en Irak ou en Afghanistan, mais aussi en Amérique latine et possiblement même aux États-Unis.

En fait, comme bien des détails révélés dans les documents de Snowden, bien peu de gens semblent au courant de ce stratagème. The Intercept mentionne que le USA Freedom Act, censé mieux encadrer les programmes de surveillance, ne concerne pas ce type de collection de données qui pourrait donc continuer sans être affecté par la nouvelle loi.

La technologie post-2001

On ne connaît pas l’ampleur de la surveillance qui est effectuée de cette manière. Ce qu’on sait, par contre, c’est que la technologie existe et qu’elle peut être utilisée à notre insu. The Intercept a rencontré un autre lanceur d’alerte contre la NSA, Thomas Drake, qui mentionne que l’intérêt pour ce type de technologie s’est manifesté avec force après les événements du 11 Septembre.

L’outil de première génération rendant possible la recherche de mots-clés provenant de conversations vocales est apparu en 2004 sous le nom de code RHINEHART. Les documents analysés mentionnent que les recherches effectuées à l’époque pouvaient contenir des termes comme « détonateur », « peroxyde d’hydrogène », « Bagdad » ou en encore « Musharraf ».

RHINEHART permettait tant la recherche en temps réel que la recherche d’archives. Toutefois, le perfectionnement de la technologie ne s’est pas fait attendre. Dès 2006, un nouveau système, VoiceRT, permettait d’indexer et d’étiqueter 1 million d’extraits par jour.

RT10-Overview-page6-copy-540x405

Ce dernier a été lui-même remplacé en 2013 par un autre programme du nom de SPIRITFIRE, capable d’analyser encore plus de données, encore plus vite.

Bref, notre sphère privée vient encore de rétrécir ou peut-être est-elle déjà disparue depuis longtemps.

 

Catherine MathysTraque interdite : le web a changé

par

 publié le 16 avril 2015 à 16 h 42

Le web a changé. Et pas pour le mieux. Ce n’est pas juste moi qui le dis. C’est le constat que font plusieurs observateurs et artisans du web en observant son évolution depuis ses débuts.

La grande collecte

Brett Gaylor, jeune documentariste canadien et producteur web, fait partie de ceux-là. On le connaît surtout pour son film Rip! A Remix Manifesto qui explore la créativité numérique. Il a passé toute sa carrière comme disciple du web et de ses potentiels. Mais là, quelque chose a changé.

Donottrack@Brett_sm

« Je crois toujours que le web a le potentiel d’être une force pour que le monde soit égal, pour la justice sociale. Mais la tendance à collecter des quantités croissantes d’information sur nos données et nos comportements sur le web a des conséquences très dommageables sur la société civile. Donc, j’ai senti qu’il était de mon devoir, en tant que quelqu’un qui aime le web et qui travaille à sa création, d’avoir un autre regard, plus approfondi, plus critique, sur le sujet… »

Éveiller les consciences

Concrètement, Brett Gaylor propose qu’on pose ce nouveau regard avec lui à travers Traque interdite. Cette série en sept épisodes vise à éveiller les consciences sur la façon dont les renseignements sur nos comportements en ligne sont recueillis, analysés et, oui, vendus. Je vous parlais du phénomène dans cette émission-ci de La sphère et des entreprises comme Datacoup qui veulent vous aider à récupérer certaines sommes reliées à la valeur des données que vous transmettez.

Dans Traque interdite, on nous propose donc un documentaire en sept parties dans lequel on expose les divers problèmes reliés au fonctionnement du web. Dans les deux premiers épisodes, déjà accessibles en ligne, on découvre la façon dont nos faits et gestes sont suivis sur le web ainsi que la genèse du cercle infernal de la publicité qui se nourrit de nos données.

Les prochains épisodes seront mis en ligne au fur et à mesure, toutes les deux semaines, et ce, en quatre versions : anglaise, française, canadienne-française et allemande. Il faut dire que les collaborateurs du projet sont nombreux. Traque interdite est produite par la maison de production parisienne Upian, l’Office national du film du Canada, le diffuseur public franco-allemand Arte et le diffuseur public allemand Bayerischer Rundfunk. Radio-Canada et la chaîne d’information numérique américaine AJ+ sont les principaux partenaires de diffusion.

D’ailleurs, la série interactive est l’un des cinq projets sélectionnés pour l’édition 2015 de Storyscapes, une vitrine annuelle consacrée aux œuvres transmédias du Festival du film de Tribeca, qui commence aujourd’hui à New York.  

Jouer le jeu du web

Traque interdite est certes un documentaire traditionnel, mais il propose aussi une expérience interactive intéressante. Dans chaque épisode, on vous pose des questions dans le but de vous démontrer la portée réelle de vos comportements en ligne. L’expérience se poursuit entre chaque épisode, avec du contenu supplémentaire accessible sur le blogue de Traque interdite et les réseaux sociaux.

Donottrack_E2_Cover_CA_sm

Mais là où ça devient véritablement intéressant, c’est dans la mise en abîme de cette collecte de données. En effet, Traque interdite nous invite à consentir à communiquer nos données personnelles pour observer en temps réel comment notre identité est traquée en ligne. C’est perturbant de voir l’ampleur de la trace numérique qu’on laisse, mais aussi tout ce qu’il est facile de déduire à partir des données qu’on transmet dans nos allées et venues sur le web. Ce sont ces corrélations et ces associations qui font souvent le plus peur. On peut voir se dresser peu à peu notre profil, notre personnalité, notre vie privée. Et plus on dévoile nos données, plus les épisodes sont personnalisés. Intéressant!

Étrange de voir qu’on divulgue nos données machinalement, sans y penser, tous les jours, et que quand on nous demande directement de les livrer dans ce jeu, on y pense à deux fois. En cela, le documentaire fait déjà son œuvre. Et si on tentait de mieux contrôler ce qu’il advient de nos données?

 

 

Catherine MathysSommes-nous tous sous surveillance de l’État?

par

 publié le 18 février 2015 à 14 h 17

Hier soir, André Mondoux, professeur à la faculté de communication de l’UQAM et spécialiste des rapports entre médias, technologie et société, prononçait une conférence publique sur le thème suivant : « Sommes-nous tous sous surveillance de l’État? »

C’était l’occasion, pour lui, de faire le point sur l’affaire Snowden et ce qu’elle nous a révélé jusqu’à présent. Comme ces révélations ont été divulguées par petites fuites dans les médias, il est difficile d’en avoir une vue d’ensemble. De plus, l’autre effet pervers de cette lente publication des documents d’Edward Snowden est qu’on finit par s’habituer à cette surveillance omniprésente, selon André Mondoux.

20150217_184550_resized

La pêche de grand fond

On l’aura compris, les programmes de surveillance des Five eyes, les États-Unis, le Canada, l’Angleterre, l’Australie et la Nouvelle-Zélande, ressemblent à une pêche de grand fond où on tente de colliger le maximum de données pour en extraire les fichiers d’intérêt. On ne surveille plus l’exception. Dans un tel état de fait, tout le monde devient suspect.

Les outils que nous utilisons servent de sources pour alimenter ces cinq agences de surveillance. Pour Mondoux, les réseaux sociaux sont une nouvelle façon d’être au monde. Si les religions, les classes, les idéologies ne servent plus à modeler l’identité, on se tourne volontiers vers le web pour s’exprimer, pour exister. Bien sûr, nous ne livrons pas toujours nos données en toute connaissance de cause. Cela dit, nous sommes nombreux à dire que nous n’avons rien à cacher. Dans cette simple affirmation, on sent que le regard extérieur est là. C’est comme si on avait accepté cet état de surveillance, souligne André Mondoux.

Des approches de surveillance hostiles

Dans sa mise en contexte, André Mondoux a présenté les trois axes nécessaires à la mise en place des programmes de surveillance, l’axe industrie-État, l’axe industrie-université et les laboratoires d’idées (think tanks). Il a décrit le cycle de vie des données en partant des directives qui motivent leur collection jusqu’aux méthodes et aux systèmes mis en place pour colliger cette immense masse d’information.

M. Mondoux a surtout mis en lumière l’adoption d’approches de surveillance hostiles sur son propre territoire. En effet, les citoyens d’un pays ont maintenant droit aux traitements autrefois réservés aux étrangers. Plus on a de données, meilleures seront les corrélations.

« On n’oublie jamais son premier document secret »

C’est comme cela qu’André Mondoux a présenté toute une série de documents confidentiels dévoilés par Snowden. Il a donc passé en revue plusieurs des programmes, plus étonnants les uns que les autres : Total Information Awareness, le programme mis en place après le 11 Septembre précédant ainsi PRISM, « la fine fleur du programme de surveillance », a-t-il dit sur un ton ironique. Il a aussi été question de Stormbrew, qui permettait d’intercepter le trafic d’Internet directement sur les câbles eux-mêmes. Le programme Auroragold, permettait, quant à lui, de capter 71 % des réseaux cellulaires de la planète en 2012. Et la liste continue. Muscular, par exemple, était un programme qui pouvait intercepter les données d’utilisateurs dans leur transit vers les serveurs de Yahoo et de Google.

GOOGLE-CLOUD-EXPLOITATION1383148810

Tailored Access Operations est un des programmes les plus surprenants parce que dans ce cas, il ne s’agit plus d’interception de données invisibles, mais d’un système d’interception des ordinateurs en livraison pour y installer des logiciels espions de la NSA. Dans un film de James Bond, on y aurait cru. Il faut croire qu’on vit désormais dans un étrange mélange de réalité et de fiction.

Il y a aussi tous les autres, Cottonmouth, Nightstand, Picasso, Ragemaster, Candygram, sans oublier XKeyscore. Cet article de Ars Technica illustre bien quelques-uns de ces programmes.

Et le Canada dans tout ça?

On a appris récemment l’existence du programme Levitation qui intercepte 10 à 15 millions de fichiers téléchargés par jour. Le Canada participe également au programme Intolerant, qui débusque des informations volées par des pirates à des cibles d’intérêt.

Après l’énumération et la description de tous ces programmes, alors que je sors de la conférence, cette nouvelle sur le rapport de Kapersky sort sur les fils de presse. On y apprend que « durant au moins 14 ans, un groupe de pirates informatiques est parvenu à mener des centaines d’attaques de grande ampleur dans une trentaine de pays, sans jamais être inquiété ». L’enquête suggère que ce programme nommé Equation était relié aux activités de la NSA. Le Canada y a-t-il participé? On sent bien que ce qu’on aperçoit n’est encore que la pointe de l’iceberg. Mais quelle touche finale à la conférence de Mondoux! Est-ce un hasard? 😉