CyberCrime@Octopus (DG1/3021)

UE-MS-failLa lutte contre la cybercriminalité ne se met pas en place qu’au niveau national avec les différents outils que nous connaissons aujourd’hui ou avec la Loi sur la Programmation Militaire (relative à la cyberdéfense et à la « prévention » des risques). Au niveau européen, ça bouge également. Nous connaissions déjà INDECT visant à mettre en place des outils de détection comportementale. Voici aujourd’hui le projet CyberCrime@Octopus : Octopus Project (PDF 175Ko).

CyberCrime@Octopus est porté par le Conseil de l’Europe et résulte de la convention de Budapest sur la prévention de la cybercriminalité, la lutte contre délinquance économique, la xénophobie et le racisme, et de la protection de l’enfance (…) bref, on ratisse assez large.

Notez que sur le papier, ce projet se veut très respectueux des libertés publiques, notamment en matière de confidentialité, de respect des procédures etc… il n’y aurait donc pas de quoi crier au loup au niveau européen, mais le regard critique peut venir de l’examen des outils techniques et juridiques mis en place dans chaque états membres que la Convention de Budapest vise à souder au sein de la CE, en proposant des passerelles d’échanges et de mutualisation entre états membres. La coopération policière est une nécessité, la délinquance ne l’ayant pas attendu. Ce n’est donc pas CyberCrime@Octopus lui même qui pose problème, il est même plutôt apporteur de solutions.

Dans le document qui décrit le projet CyberCrime@Octopus, on apprends que 2012 et 2013 ont marqué pour la Convention de Budapest un soutien politique, et donc un budget, pour mettre en place des outils dédiés. Une coopération accrue entre états membres portant sur l’accès aux données est notamment évoqué. Jusque là, rien de plus normal… mais le Projet CyberCrime@Octopus c’est aussi et surtout des intervenants privés. Et c’est là que ça se complique.

The Cybercrime Convention Committee (T-CY) assumed a stronger role, among other things by preparing Guidance Note as well as working on solutions for transborder access to data.

On parle ici d’accès transfrontalier aux données, rien de plus normal entre services européens, et puis de toutes façons, même si nos services n’échangeaient pas entre eux, il y aurait toujours le GCHQ britannique pour tout aspirer et communiquer les données des européens à la NSA.

Le chapitre français du projet s’est tenu à Strasbourg en juin 2012 porté par la division de la protection de données et de la cybercriminalité DG des droits de l’homme et de l’état de droit
Conseil de l’Europe portait sur les points suivants :

Points clés

  • L’accès transfrontalier aux données et la compétence dans le contexte de « cloud computing »
  • La mise en commun de l’ information

Mise à jour

  • Les menaces de la cybercriminalité et la tendance
  • La mise en œuvre de la Convention de Budapest sur la cybercriminalité
  • Les politiques et les initiatives des organisations internationales et du secteur privé dans le domaine de la cybercriminalité

Ateliers

  • La législation: l’état des lieux de la législation sur la cybercriminalité
  • La protection en faveur des enfants contre l’exploitation sexuelle
  • La sécurité et les droits fondamentaux : la protection des données personnelles et la sauvegarde et les conditions de procédure

Et COnseil de l’Europe, à votre avis, elle fait quoi après avoir « vivement réagi » suite aux révélations d’Edward Snowden ?

Un OpenBar à l’européenne ?

Elle se réjouit de son partenariat avec Microsoft …normal. Reste plus qu’à connaitre les modalités de ce partenariat et sur quoi porte ce partenariat et la contribution de Microsoft dont la Commission semble si fière… un système d’échange de données transfrontalier que l’on confierait à une entreprise soumise au Patriot Act?

« Nous nous réjouissons de poursuivre notre partenariat de longue date avec le Conseil de l’Europe pour promouvoir la Convention de Budapest sur la cybercriminalité. Notre priorité est de créer un environnement informatique plus sûr, plus fiable et mieux protégé. Nous avons pris l’engagement de respecter la vie privée et la sécurité des utilisateurs. Il est essentiel de soutenir le travail du Conseil de l’Europe dans ce domaine important pour atteindre ces deux objectifs »

 

Du troll Google vs privacy

Suite à ce billet dans lequel je m’insurgeais contre les positions de deux blogueurs, j’ai eu quelques échanges assez vifs, particulièrement avec l’un d’entre eux, Nicolas Jegoun. Ce dernier a cru bon d’en rajouter une couche me reprochant mon manque d’argumentation dans le billet sus-mentionné, un comble quand on lit ses arguments. Il a cependant pris le temps de coller mon texte dans un éditeur pour compter le nombre de caractères de mon billet en omettant visiblement de le lire comme il l’avoue implicitement dans un troisième billet répondant à l’article de Ju.

Vu que mes commentaires sur son blog semblent se perdre, je vais lui répondre ici, en prenant soin cette fois ci de ne pas poser de lien vers ses billets qui appellent cette réponse, attendu qu’il me reproche de lui envoyer « ma meute »… et oui chers lecteurs, pour ce monsieur, vous êtes une meute. Un meute qui a eu l’affront de poster à tout casser une quarantaine de commentaires, le reste étant ses réponses. Une réaction qui n’est pas sans me rappeler une certaine 3M

De l’art de bien troller

Cher Nicolas, quand on se lance dans un troll, il y a quelques règles à observer.

La première, c’est de savoir avec qui on troll. Je te montre comment on fait, tu vas voir c’est pas extraordinairement compliqué, même pour toi qui a un blog nommé « aubistrogeek.com » qui tient visiblement plus du bistro que du geek. On commence par se rendre sur l’objet du troll, google.fr par exemple, puis on fait comme ça. Ça va ? C’est pas trop technique jusque là pour toi ? Je ne t’ai pas encore perdu ?

La seconde règle pour bien troller, et là encore c’est du bon sens, c’est qu’il faut être au moins deux pour établir ce que l’on va qualifier de dialogue trollogène. Le dialogue trollogène n’est en soi qu’une variante de ce qu’on appelle communément un dialogue. Il répond donc aux mêmes règles, ce qui implique qu’avant de répondre à un truc, tu lises le texte appelant ta propre réponse. Dire qu’on l’a fait ne suffit pas, il faut le faire, et attentivement, ce qui nous amène à la troisième règle.

Troisième règle… attention cette fois on rentre dans les trucs un peu complexes, on va causer web. Tu tiens un blog, donc tu as peut être vaguement entendu parler d’un truc qui s’appelle « Lien Hypertexte ». Ils sont assez compliqués à utiliser, on les repère généralement dans un texte car ils sont pas de la même couleur que le reste du texte ou sont soulignés. Mais il existe un moyen super pour les repérer, quand on passe le curseur de la souris dessus, ce dernier change de forme ! Et tiens toi bien, si tu cliques dessus, tu arrives sur un autre texte, des fois même sur un site qui n’est pas celui que tu étais en train de lire !

Quatrième règle, quand on se voit opposer une foule d’arguments, documentés, réfléchis, par des personnes qui travaillent ces problématiques depuis des années, quand on paye des impôts pour financer un truc à la con qui s’appelle la CNIL… on prend un minimum de recul avant d’asseiner conneries sur conneries, au risque de se faire incendier par une « meute » impie qui a le toupet de t’expliquer que tu écris du caca, elle aussi avec foule d’arguments que tu balayes d’un revers de main. Mais tu le fais terriblement bien, à coup de tautologies épiques du genre « Le marché de la publicité ciblée va explosée avec les télés qui se transformeront en PC »… t’es dans le marketing toi non ?

Cinquième règle : éviter de prendre les lecteurs pour des cons pour masquer sa propre inculture avec ce genre de phrase : « Le billet d’Olivier est bien trop technique pour intéresser le grand public. Donc la description des moyens techniques ne sert à rien. Quand j’ai fait un billet en montrant l’historique de mes recherches Google, j’étais sûrement plus efficace. » Ce au risque de se faire ridiculiser lors du concours de quéquettes qu’il implique. Pour ta gouverne cher Nicolas, Reflets.info qui est le site sur lequel j’officie le plus, a accusé le mois dernier plus de 300 000 visiteurs uniques qui se sont par exemple passionnés pour le dossier Amesys en Lybie, ou BlueCoat en Syrie. Nos publications sont régulièrement reprises dans des médias mainstream, et les gens que tu juges trop cons pour nous lire sont au final de l’ordre d’un nombre à 7 chiffres. En outre il se trouve que c’est justement sur ce site que ce que tu acquiesces béatement en commentaire à l’article de Ju a été révélé, par mes propres soins plusieurs mois avant le Wall Street Journal… Un truc que tu aurais d’ailleurs pu trouver par tes propres soins en observant la règle 3 du présent manuel de l’art de bien troller for dummies, celle relative aux liens hypertextes.

Sixième règle : pour paraitre sérieux, éviter l’axe du bien contre l’axe du mal et avancer soi même des contres arguments. A ce titre, tu dois bien te douter que je suis le premier à utiliser Google, et certainement plus intensivement que toi. Je suis un utilisateur de Google Music, je « joue » pas mal avec Android, je suis un petit rat des Google labs, j’utilise Google Apps… j’en passe et des meilleures. Ceci fait, théoriquement, de moi une personne, mais je peux me tromper, plus disposée que toi à savoir de quoi elle parle. Si on ajoute à ça que tu avoues même dans ton premier billet ne pas lire les conditions d’utilisation des services de Google, on commence, forcement à se demander pourquoi tu la ramènes. Mais ce n’est pas tout, et celle ci est pour Thierry… Si j’ai effectivement une certaine expertise, je la mets à disposition de mon engagement, et ce dernier, il se situe plus du côté activisme que de « l’Etat ». Car oui cher lecteur tu ne le sais pas mais ton dévoué serait selon certains à la solde de l’État qui me manipulerait ou pire, me paierait pour semer la peur ! Il y en a qui doivent se fendre la poire à la DCRI. Je vais vous décevoir tous les deux, mais non, je ne suis pas « payé par l’Etat pour vous faire peur« , une simple recherche vous le confirmera, voir règle numéro un si vous ne savez pas comment faire. Puis bon, c’est pas comme si vous étiez les premiers à porter ces accusations risibles (vous êtes lecteur du Figaro ?’), j’ai en vrac eu droit à « agent de la DCRI », « Agent de la CIA », et « agent du Mossad », quand je ne suis pas accusé d’être un salafiste voulant renverser le beau régime démocratique syrien (tu es dispensé Nicolas ce dernier lien est trop technique pour toi il pourrait te donner des maux de tête). Bref avec tout ça j’en accumule des points retraite ! En outre c’est assez amusant de se faire traiter de parano et de vous lire partir tous en sucette sur « ouais l’Etat sait tout de nous, moi je fais plus confiance à une entreprise privée comme Google qu’à l’Etat« … c’est totalement ridicule et je vais y revenir dans la seconde partie de mon billet que je n’aurais pas eu à écrire si Nicolas n’avait pas mystérieusement égaré mon commentaire.

Septième règle relative au déni et à la mauvaise foi : des gens qui sont venus commenter ton billet t’ont fait remarquer ta mauvaise foi ponctuée d’éructations du type « ça prouve rien » « ton argument c’est de la merde » « j’attends toujours qu’on m’apporte des preuves » etc… Lorsqu’on te pose un commentaire répondant aux exemples que appelles, on évite de le censurer. La raison en est simple, c’est que ça se termine, de fait en billet, avec une visibilité bien plus importante qu’un commentaire. C’est toi l’expert SEO non ?

Revenons à Google

Ces précisions étant faites, nous allons maintenant passer aux exemples de débordements de Google relatifs à la vie privée.

Commençons par un débordement verbal d’Eric Schmidt qui a tenu les propos débiles que tu tiens toi même cher Nicolas. Le truc ‘est qu’en Europe et en France, il y a certaines lois. Là on te demande pas ton avis, on te demande pas d’être pour ou contre… c’est la loi. Il y a par exemple la CNIL que tu connais probablement au moins de nom. Il y aussi le code des postes et des télécommunications électroniques, mais il y a, surtout, un petit manuel poussiéreux qui s’appelle le code pénal. Alors il raconte quoi le code pénal à ton avis ? Il raconte, article 226-15, que :

Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende. 

Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.

J’espère ce que ce jargon juridique n’est pas trop technique pour toi, je te le décode par charité chrétienne au cas où. Ça veut dire que violer les correspondances privées d’autrui c’est mal et que panpan cucul.

Et si tu te réfères à mon précédent article, tu sais quand j’emploie un mot savant, le « deep packet inspection » pour parler de Gmail qui se sert du CONTENU de ton message pour t’afficher des pubs… déjà c’est limite du viol de correspondance… mais pas vraiment puisque ça fonctionne sur base de dictionnaire de mots clés, en utilisant les MEMES DISPOSITIFS que les trucs que tu crains tant quand ils sont dans les mains de l’ETAT, pour procéder, en France, à des ECOUTES LEGALES, sur COMMISSION ROGATOIRE D’UN JUGE. Bah oui Thierry, nous on vit en France, on a des lois, et le BOPE ne déboule pas dans nos favelas en tirant sur tout ce qui bouge. On ne procède pas à des écoutes n’importe comment… bon ok, sauf Amesys des fois… ah non en fait ça leur arrive souvent.

Quand toujours dans le précédent billet je te parle de Google Screenwise et que tu juges bon de t’épargner un clic ici, puis que tu oses ensuite dire qu’on a pas d’argument « sérieux » et que tu ponctues par un « il est évident que ce type parle pour ne rien dire », ça nous laisse le choix entre la mauvaise foi, l’ignorance crasse, ou la bêtise. Dans ton cas il y a probablement un savant mélange des 3.

En clair, ta position à toi Nicolas, c’est de défendre qu’une entreprise privée utilise le même matos que Kadhafi ou Bachar El Assad utilis(ai)ent pour traquer les opposants et les tuer. Désolé, mais je trouve ton raisonnement d’une connerie sans borne cher Nicolas.

Continuons sur Google. Tu as probablement entendu parler de Street View, tu sais peut être qu’en Allemagne des villes et villages ont refusé aux Google cars censées prendre les vues l’accès à leur commune ? Tu sais pourquoi ? Regarde ça ….

Autre petit exemple de rien du tout pendant que tu as l’article 226-15 du code pénal en tête, il y a très longtemps de ça, sur ce même blog, j’avais remarqué un étrange manège d’une voiture autours d’un lieu sur lequel je déployais un réseau wifi, comme je sais encore reconnaitre une antenne wifi d’une antenne radio. Il était évident pour moi que cette voiture faisait un truc pas net avec notre réseau, passant et repassant. J’avais alors pensé à une association militant contre les ondes magnétiques. Et 2 ans plus tard… SURPRIIIIIIISE, on apprend que Google a intercepté « par erreur » des milliers d’emails et de mots de passe en wardrivant gaiement pour les besoins de Street View… C’est dingue non ?

Je vais aller plus loin avec la grande confiance que tu portes dans les entreprises privées américaines (ou pas), car je ne te l’ai pas dit, mais tout troll qui se respecte (et c’est la 8e règle) se solde tôt ou tard par un point Godwin. Le point Godwin est bien l’objet de ce dernier paragraphe. Il s’agit de l’histoire d’une petite startup, dans les années 30, qu’on appelait IBM. Ça se passe aux Pays-Bas, le gouvernement veut financer des lieux de cultes. Il cherche donc un moyen de recenser la population et tombe sur l’américain IBM qui lui informatise tout ça. Quelques années plus tard, les nazis débarquent. Ils sont tout contents, ils ont sur cartes perforées des fichiers qui vont leur faciliter la tâche dans leur oeuvre. Impressionnés, ces derniers contactent IBM… je te laisse lire la suite sur Wikipedia en te recommandant également la lecture du livre d’Edwin Black.

« Bon, je baisse pavillon. Après une bonne heure de recherches je n’ai pas trouvé d’exemple que Google ai essayé ou essaye de nous nuire intentionnellement. » disait l’un de tes lecteurs en commentaire. Et oui, c’est tout le problème, l’enfer est pavé de bonnes intentions.

Pour conclure, deux questions :

Qu’adviendra t-il quand les actuels dirigeants ne seront plus là et que le capital de Google sera disloqué dans une nébuleuse de fonds de pensions obscurs qui ne s’embarrasseront pas des considérations morales auxquelles l’entreprise se tient actuellement ?

Et si Google était la première agence de renseignement (non)gouvernementale américaine ?

Monsieur Google Plus : VA TE FAIRE FOUTRE !

Je viens d’avoir une belle surprise en tentant de me connecter sur Google+ le réseau social by Google (is not evil… mais particulièrement con des fois… et c’est pas la première). Donc voilà, mon expérience Google+ s’arrête ici. Il semblerait que Google ambitionne de devenir le prochain provider de carte d’identité électronique internationale et que pour lui je sois un couard d’anonyme qui ne respecterait pas le règlement des noms.

Laissons à Google le loisir de se Facebookiser, mais ce sera sans moi.

Evidemment, le bouton Google + disparait également des articles de ce site … ah tiens, … le analytics aussi.

Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus « anonymisantes ». Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot « HADOPI » pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous « sécuriser » iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des « solutions » simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement « end to end » (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : « si on a rien à se reprocher, on a rien à cacher« . Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé « contourner hadopi », je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)

Les USA vont accéder aux données bancaires des citoyens européens

Encore une conséquence du 11 septembre et du Patriot Act, l’Union Européenne a voté un texte un peu controversé permettant aux USA d’accéder aux données bancaires des transactions effectuées via SWIFT. Il a été adoptée par 484 voix pour, 109 voix contre et 12 abstentions. L’AFP rapporte que selon la commissaire européenne à la Justice Viviane Reding il s’agit d’un « mal nécéssaire ». Sans blâmer l’Union Européenne, on s’interroge sur le type de nécessité qui peuvent conduire à ce genre de transaction… la sécurité anti terroriste reste l’argument magique. Le Trésor américain, dés le 1er août 2010 pourra accéder aux données financières de 8.000 banques sur 200 pays gérées par la société Swift, ce pour une durée reconductible de 5ans. Et la contrepartie semble bien maigre vu l’enjeux de cette négociation : « un observateur européen, nommé par la Commission, sera présent au Trésor américain où sont traitées ces données pour s’assurer que cela est fait dans les règles« .  « Si le citoyen européen a un problème avec cela, il a le droit d’être informé de l’analyse de ses données et d’obtenir une compensation », s’il y a eu abus. Puis, pour bien nous rassurer, sur la mise en place, Mme Reding a répondu: « je n’ai pas les détails techniques mais si un citoyen est soupçonné il le saura à un certain moment ».

Le site touteleurope.fr, insiste sur le travail parlementaire qui a porté ses fruits :

Point clé pour l’accord du Parlement européen, l’élimination, à terme, des transferts de données ‘en vrac’ : en contrepartie d’un soutien à l’accord, les députés ont obtenu que les travaux débutent dans les douze mois sur la mise en place d’un équivalent européen au ‘Terrorism Finance Tracking Programme’ (TFTP) nord-américain, qui mettrait fin aux transferts de données bancaires non-individualisées. L’Europe aurait en effet une structure permettant d’analyser les données sur son sol et ne transmettrait alors que les informations relatives à une piste terroriste précise.

Si l’accord ne semble pas non plus concerner les transactions financières intra-européennes, un doute subsiste sur la durée de rétention des données. Les USA négociaient initialement sur une base de 15 années de rétention des données collectées ! … Des croisements de données dans quelques Super Cray via un petit cloud maison pour passer tout ça au shaker avec quelques interceptions de communications satellitaires et quelques petits mesh relais sponsorisé par Google… dans le dos de l’UE, techniquement, avec les moyens de l’Etat américain, ça peut se faire relativement discrètement.

Cette situation n’est donc pas acceptable et Mme Reding de conclure : Les Européens devraient « construire leur propre système d’analyses de données financières ».

On peut par exemple déplorer que ce type d’accord ne fonctionne pas dans les deux sens et que le texte fasse l’impasse sur un éventuel sérieux (donc indépendant et doté de moyens) organisme de controle des données extraites par les américains qui font la chasse aux terroristes à défaut d’avoir trouver des armes de destructions massives sur les Internets.

  • Sur quels critères l’administration américaine définira la notion de terroriste ?
  • L’Union Européenne a t-elle négocié des contreparties, par exemple en coopération judiciaire ?
  • Quid des perquisitions et saisies de données aux frontières ?

COFEE devient encombrant pour Microsoft

COFEE (Computer Online Forensic Evidence Extractor) est une suite logicielle compilée (peut être même réalisée, qui sait)  par Microsoft et destinée aux services judiciaires de 187 pays membres de l’organisation internationale des polices criminelles. MicrosoftUNSecurityEssentials5Ce tout petit bidule d’une quinzaine de méga se présentant sur une clef USB. C’est ce que l’on appelle dans le jargon de la sécurité un outil d’analyse Forensic, destiné à extraire des données d’un ordinateur (par exemple dans le cadre d’une perquisition judiciaire ou dans le cadre d’une enquête terrain). COFEE permet de récupérer des mots de passe, ou des informations montées en mémoire vive sur SaleOs (toutes versions). Le fait que le grand public sache qu’il existe est déjà en soi quelque chose d’un peu gênant pour pas mal de monde (à commencer par Microsoft qui ne va pas gagner des points privacy vis à vis de ses utilisateurs)… mais ce qui est beaucoup plus gênant, c’est de le voir se balader sur les réseaux de P2P, téléchargeable par tous.Et oui, si vous êtes utilisateurs de Windows, vos enfants, votre voisin, votre ex-femme, ont maintenant la capacité de violer allègrement votre vie privée (et en plus c’est franchement pas compliqué)… « Violer votre vie privée, c’était mon idée. »® vous aller aimer Windows Seven.

J’ai un peu les fesses entre deux chaises en vous parlant de ça. Premièrement, je ne comprends pas trop que Microsoft joue la vierge effarouchée à voir cet outil sur les réseaux P2P, on se doute bien qu’un éditeur logiciel propriétaire comme lui collabore avec les polices du monde à des fins de sécurité intérieure. Et d’un autre … comment vous dire … je suis mort de rire à l’idée que ce genre d’outil se retrouve sur le Net (il en existe pour tous les OS d’ailleurs, sauf que ces OS, on a le choix de les blinder ou pas. Les outils d’analyse forensic sont fréquemment des outils libres et open sources, en téléchargement libres, souvent des livecd pour admins sys et auditeurs sécurité. Cependant il faut savoir les utiliser et ce ne sont pas des clicodromes kikoololisés comme COFEE)

Pour arroser ça,  je vous convie tous à vous rendre demain, samedi 28 novembre à la Citée des Sciences de la Villette, à une UbuntuParty qui risque d’être inoubliable, ça se passe à partir de 11h et voilà le programme ultra chargé qui vous attend !

Vous y découvrirez Ubuntu GNU/Linux:

  • une disturibution,
  • une communauté,
  • la sécurité de vos données,
  • et le respect de votre privée …

Ah et au passage, juste pour le fun, voici une pub plus toute récente, qui n’est pas d’Ubuntu mais qui aurait bien pu l’être
… et n’oubliez pas … truth happens.

UMP Social Médihacklub (Acte 1) : « Saydlafote des Internaites » © Jean-François Copé

Vous n’êtes pas sans savoir que l’UMP aime le web, surtout le « ouèbedepoinzéro »… parce que c’est plus rigolo.
Mais le soucis du « ouèbedepoinzéro » c’est que c’est un peu comme la chirurgie esthétique, quand ça pète, c’est vraiment pas beau à voir.

Ce billet est le premier d’une petite série : l’UMP Social Médihacklub.

Les Jeunes Sarkozystes se donnent en spectacle … consternant !

On va commencer gentiment par le portail des jeunes sarkozystes qui ne sont malheureusement pas tous de jeunes intellectuels et dont l’humour est franchement douteux.

Attention : pour le moment, nous ne sommes pas assurés à 100% que ce site est bien un site de l’UMP. On y trouve des choses vraiment énormes à commencer par le logo avec un gros « SS » bien visible  (ou c’est nous qui avons l’esprit vraiment mal placé …) :

Re-EDIT  20/09/09 à 16h18 : ce site n’est pas un fake c’est bien l’oeuvre de l’UMP, le groupe Facebook Jeunes UMP IDF exhibe fièrement le site jeuneSSarkozystes.fr

jeuneSSarkozystes

Commençons par ces « groupes » à la Facebook … mais que vous ne verrez jamais sur Facebook (un signalement d’abuse suffirait à le faire fermer … ).

Dans la série je suis bête mais je me soigne, je demande le Karcher :
http://jeunessarkozystes.fr/groups/karcher

karsher-ump

… mais là ou l’UMP fait très fort c’est que c’est tellement Social 2.0 qu’on en oublie les règles élémentaires de privacy : groupes et membres publics (avec leurs noms et prénoms … la privacy et l’UMP, on savait que ça faisait deux, en voici la preuve)…

karsher-membres

Toujours par le même auteur (modérateur du groupe  Karsher et cadre supérieur chez Total), des photos de soirées bien arrosées… Le réseau social de l’UMP est un site qui rend bien !

une-grosse-ambition

Toujours par le même auteur, cette affiche qui a fait pas mal de bruit en Suisse :

suisse

Si ça vous donne pas envie d’adhérer à l’UMP un humour comme ça ! … mais comme le dit si bien Jean-François Copé, saydlafote des Internaites… on y manipule l’information, on y détourne des propos … et ça semble si réel. Jean-François Copé a raison sur un point, n’importe quel crétin peut écrire n’importe quoi, comme dans la vraie vie, n’importe quel crétin peut dire n’importe quoi … il est amusant de constater que les sites de l’UMP ne semblent pas déroger à la règle … je me sens plus proche de Jean-François moi d’un coup là !

PS : Bon c’est bien d’avoir de la documentation sous la main, mais il va falloir penser à la lire maintenant.

addwidget

Ce WordPressMu hébergé chez 1&1 nous a paru un peu suspect, mais en fouillant un peu, on se rend compte qu’il y a bien de véritables militants UMP sur ce site comme en attestent certains sous domaines. Puis à y regarder le footer, on se demande quelle entreprise se risquerait à ce genre de fake ? La société Office And Web qui a signé ce site existe bel et bien.

A lire également  : Les limites de la démocratie participative (source RWW, ne manquez pas le fil de commentaires)