Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Facebook, Identité numérique, Particuliers

L’effet de conditionnement de Facebook

L’effet de conditionnement de Facebook : Que nous a appris (ou non) le réseau social sur la protection de nos données ? Voici quelques statistiques sociales étonnantes concernant les photos : plus de 250 milliards de photos ont déjà été téléchargées sur Facebook, avec une moyenne de 350 millions de photos par jour. Le téléchargement moyen par utilisateur est de 217 photos. Et ce n’est que pour Facebook ! Mark Zuckerberg a dépensé 1 milliard de dollars pour l’acquisition d’Instagram, qui atteint les quelques 55 millions de clichés téléchargés via son application chaque jour (c’est plus de 600 clichés par seconde).

Alors, que disent de nous tous ces téléchargements, outre le fait que nous aimons tous un bon «selfie» ? Les résultats d’une enquête récente ont révélé que lorsqu’on leur donne le choix, 74 % des répondants préfèrent protéger leurs photos personnelles que le terminal (téléphone portable, ordinateur portable ou tablette) sur lesquelles elles sont stockées. En fait, de tous les fichiers enregistrés sur leurs dispositifs, les consommateurs ont majoritairement déclaré qu’ils considéraient leurs photos personnelles comme les plus importantes.

Les albums photo appartiennent au passé, les nouvelles images se mettent directement sur les pages (sans poussière) des réseaux sociaux. Mais quelque chose de beaucoup plus profond et d’une plus grande envergure est en train de se passer : lorsque nous partageons des photos sur les réseaux sociaux basés dans le cloud, nous créons une deuxième copie de cette information – une copie partagée qui souvent, à l’heure actuelle, appartient à quelqu’un d’autre – même si ce n’est pas l’intention principale.

Nous appelons cela l’« Effet de conditionnement de Facebook » – l’idée que les réseaux sociaux font acte de sauvegarder au-delà de notre conscience. Le problème est que les images que nous voyons sur les réseaux sociaux sont souvent une copie de mauvaise qualité de nos photos, et ce, même si nous ne sommes pas au courant de ce fait. Et, le plus ironique dans l’histoire, c’est que même si nos « selfies » et photos de « fooding » sont stockés dans un second emplacement, bon nombre de nos documents beaucoup plus importants sont exposés à des risques. La bonne nouvelle est que l’action de télécharger et d’enregistrer une copie de ces fichiers numériques à un emplacement supplémentaire est en train de nous conditionner pour sauvegarder et protéger davantage nos données globales.

Pourquoi ne devrions-nous pas penser de cette façon ? Avec les récents progrès dans les technologies de cloud computing et l’expérience utilisateur, la sauvegarde des données est désormais aussi simple que d’appuyer sur le bouton « Envoyer ». C’est de cette manière que cela fonctionne sur Instagram, n’est-ce pas ?

Mais il y a tellement de données personnelles – les choses vraiment personnelles – qui ne sont pas sauvegardées correctement et sans risques. Pourquoi ? Pourquoi l’ensemble de nos données et non pas uniquement quelques-unes de nos photos personnelles ne seraient-elles pas stockées dans un univers numérique sans risques ? Qu’est-ce qui nous empêche de faire le grand saut depuis une tendance sociale vers une habitude saine englobant toutes les données, où tout est sauvegardé et protégé ?

La réponse la plus évidente résiderait dans le fait qu’il n’existe pas de Facebook pour vous rappeler de protéger les documents relatifs à vos impôts. Les jeunes entreprises font d’énormes progrès quant à la création de systèmes de stockage de données qui proposent une mise en forme facile à utiliser et un format comparable aux formats des sites de réseaux sociaux, mais les deux plus grandes d’entre elles combinées ont moins de 20 % du nombre d’utilisateurs de Facebook. Donc, s’il ne s’agit pas d’une question de simplicité, qu’est-ce qui empêche réellement l’effet de conditionnement de Facebook d’influer une transformation globale de nos comportements numériques ?

Le problème : vie privée et protection
Même si nous sommes devenus beaucoup plus aptes à enregistrer des fichiers non critiques dans le cloud, beaucoup d’entre nous n’ont pas encore sauvegardé la totalité de nos vies numériques, notamment en raison de la médiatisation récente d’un nombre de cas de violation de données qui ont mis en évidence notre principale préoccupation : nos données ne sont pas sûres quand elles ne sont pas manipulées directement par nous. Snapchat a été piraté et en un clin d’œil des millions de numéros de téléphone ont été rendus publics. La violation relativement tapageuse de la cible a mis les informations personnelles de 70 millions de personnes en danger.

Ainsi, alors que nous continuons à télécharger chacun des photos que nous prenons, nous oublions ce qui est réellement important – nos documents de travail, informations bancaires, dossiers de santé et autres informations personnelles et professionnelles – dans de vieux classeurs et/ou dans des fichiers portant la mention « personnel » dans nos ordinateurs.

La clé est d’identifier et de séparer la « confidentialité des données » de la « protection des données ». Alors que la confidentialité des données se concentre davantage sur les problèmes juridiques et de sécurité concernant l’utilisation de données et de stockage, la protection des données a pour objet de préserver les informations après qu’elles aient été créées et enregistrées. Tous les utilisateurs d’appareils connectés à Internet devraient être plus conscients et en alerte lorsqu’il s’agit de la protection des données – comme la lecture attentive de tous les accords de confidentialité sur les sites et applications, ainsi que le partage d’informations qui ne révéleraient aucune information, en cas de fuite – , mais pas au détriment de la protection des données.

Lorsqu’il s’agit de la protection des données, le moyen le plus sûr est de les stocker dans plusieurs emplacements sécurisés. Tout comme nos photos vivent maintenant à la fois dans nos terminaux et sur Facebook, sauvegarder les informations personnelles importantes dans de multiples endroits (par exemple : un disque dur et sur le cloud computing, un lecteur de sauvegarde, etc.) devrait être naturel et évident. Pour faire simple, il suffit de penser à la règle 3-2-1 : garder trois copies des données importantes sur deux différents types de médias, et une copie sur un emplacement à distance. Rappelez-vous que lorsque les outils de base de stockage dans un environnement de cloud computing sont un bon point de départ, ils ne sont pas sans faille quand il s’agit de sécurité, de ce fait trouver le juste équilibre entre la sécurité et la simplicité est un élément clé du processus. – Par Nat Maple, vice-président et directeur général, Global Consumer Business, Acronis.

Cybersécurité, escroquerie, Fuite de données, Social engineering, Téléphonie

Vishing : un coup de fil qui ne vous veut pas du bien

Un commentaire

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.

Facebook, Fuite de données, ID, Identité numérique, Social engineering, Vie privée

Accès aux photos privées sur Facebook

8 commentaires

Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions :  maitriser ce que vous diffusez ou ne diffusez rien du tout !

Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !

Chiffrement, cryptage, Espionnae, Fuite de données

Surveillance de masse : Graves complicités françaises publiques et privées

Communiqué de presse de la Quadrature du Net – Depuis mai 2013, notamment grâce aux documents fournis par le lanceur d’alerte Edward Snowden, les révélations concernant les pratiques extra-légales des autorités françaises en matière de surveillance des communications Internet se multiplient. Après le vote de la loi de programmation militaire fin 2013 [1] et les dernières révélations [2] concernant la collaboration entre les services de renseignement et l’opérateur Orange, le gouvernement doit mettre fin à son silence assourdissant pour permettre la tenue d’un débat démocratique sur l’étendue des pratiques de surveillance. Au-delà, la France doit œuvrer à réformer sa législation afin de respecter le droit international en matière de protection de la vie privée.

Dans son édition du 21 mars dernier, Le Monde s’appuie sur les documents fuités par Edward Snowden pour lever un peu plus le voile sur les pratiques des autorités françaises en matière de surveillance d’Internet. Le journal met notamment en exergue la collaboration [2] de l’opérateur Orange et les services de renseignement français, lesquels disposeraient « d’un accès libre et total à ses réseaux et aux flux de données qui y transitent » en dehors de tout cadre légal. Ces informations témoignent des dérives auxquelles aboutit le passage au secteur privé des hauts fonctionnaires en charge de fonctions régaliennes liées à la sécurité nationale.

Elles s’ajoutent aux informations déjà publiées concernant notamment le transfert massif de données entre les services français et la NSA américaine (accord LUSTRE [3]), ou la mise en place [4] d’un large dispositif d’interception des flux circulant sur les réseaux internationaux avec l’appui d’entreprises comme Alcatel-Lucent ou Amesys. Le Monde indique être en possession de nombreuses pièces encore inexploitées et à partir desquels ses journalistes poursuivent leur travail d’investigation.

Alors que depuis plus de huit mois est détaillée l’étendue des pratiques de surveillance d’Internet par les États-Unis et le Royaume-Uni, mais aussi par leurs alliés comme la France ou l’Allemagne, l’absence de toute réaction politique substantielle au niveau français est révélatrice de l’hypocrisie des autorités. Ainsi, le président de la République François Hollande s’est adonné à de ridicules gesticulations politiques en réclamant sans succès un accord [5] encadrant les pratiques d’espionnage des dirigeants entre les États-Unis et les pays de l’Union européenne et en appuyant l’appel [6] d’Angela Merkel à l’édification d’un « Internet européen ».

Pour autant, il se refuse à soutenir la seule mesure de poids immédiatement applicable et efficace pour œuvrer à la protection des données personnelles des citoyens européens, à savoir la suspension de l’accord « safe-harbor » [7] entre l’Union européenne et les États-Unis, et que défend [8] le Parlement européen.

Quant au gouvernement, le lancement de son opération de communication politique [9] pour vanter son action dans le domaine numérique ne doit tromper personne : le projet de loi sur les « libertés numériques » promis il y a un an s’annonce [10] comme un texte avant tout répressif (le mot « liberté » semble d’ailleurs avoir opportunément disparu de son intitulé), tandis que le premier ministre Jean-Marc Ayrault se fait l’avocat de politiques inconséquentes [11] en matière de chiffrement des correspondances électroniques. Dans le même temps, les responsables politiques français ont l’audace de se doter d’une législation d’exception en matière de surveillance d’Internet au travers de la scandaleuse Loi de programmation militaire [12], tout en refusant de collaborer avec la commission d’enquête du Parlement européen consacrée aux révélations d’Edward Snowden [13]. Ce jeu de dupes doit cesser.

« Depuis des mois, l’exécutif français s’enferme dans un silence assourdissant pour échapper au débat démocratique sur la surveillance d’Internet. Cette position n’est plus tenable au vu des éléments qui s’accumulent et qui démontrent l’inquiétante fuite en avant dans ce domaine. Il est grand temps que l’ensemble des acteurs institutionnels – qu’il s’agisse de François Hollande, du gouvernement, du Parlement, de l’autorité judiciaire ou même de la CNIL – soient mis devant leurs responsabilités pour que ces graves violations des droits fondamentaux cessent et que leurs responsables soient condamnés », déclare Félix Tréguer, cofondateur de La Quadrature du Net.

« Au delà d’un débat inévitable sur la surveillance d’Internet et la nécessaire souveraineté sur nos infrastructures, la maîtrise de nos communications ne sera possible que par l’utilisation de logiciels libres, du chiffrement de bout en bout et de services décentralisés. En parallèle, une réforme législative s’impose afin que la France respecte le droit international [14] et que les services de renseignement fassent l’objet d’un contrôle adéquat. », conclut Benjamin Sonntag, cofondateur de La Quadrature du Net.

* Références *
1. https://www.laquadrature.net/fr/lpm-promulguee-la-derive-du-politique-vers-la-surveillance-generalisee
2. https://www.laquadrature.net/fr/lemonde-espionnage-comment-orange-et-les-services-secrets-cooperent
3. https://www.laquadrature.net/fr/lemonde-surveillance-la-dgse-a-transmis-des-donnees-a-la-nsa-americaine
4. http://reflets.info/amesys-dgse-drm-et-si/
5. https://www.laquadrature.net/fr/silicon-hollande-a-obama-les-ecoutes-de-la-nsa-c-est-deja-oublie
6. https://www.laquadrature.net/fr/francetvinfo-pourquoi-l-internet-europeen-d-angela-merkel-ne-rime-a-rien
7. https://fr.wikipedia.org/wiki/Safe_Harbor
8. https://www.laquadrature.net/fr/la-commission-europeenne-doit-entendre-lappel-du-parlement-contre-les-programmes-de-surveillance
9. http://www.pcinpact.com/news/86409-l-executif-prepare-offensive-communicationnelle-sur-numerique.htm
10. http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203381114149-les-premieres-pistes-de-la-loi-numerique-658053.php
11. http://www.numerama.com/magazine/28502-les-e-mails-de-france-seront-chiffres-et-stockes-en-france.html
12. https://www.laquadrature.net/fr/lpm-la-derive-du-politique-vers-la-surveillance-generalisee
13. Le rapport de la commission d’enquête du Parlement européen, adopté le 12 mars dernier, indique ainsi que « les parlements britannique et français n’ont (…) pas souhaité participer aux travaux de la commission » et précise que les responsables de la DGSE et de la DGSI ont refusé d’être auditionnés :
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014-0139+0+DOC+XML+V0//FR#title5
14. https://fr.necessaryandproportionate.org/text

Chiffrement, cryptage, Identité numérique, Logiciels, Sécurité

Un écureuil pour sécuriser vos connexions

Un commentaire

Le projet SQRL permet de sécuriser une connexion sans taper le moindre mot de passe. Étonnante, mais néamoins très sympathique idée que celle proposée par Gibson Research Corporation. SQRL, que vous pouvez prononcer (en anglais, ndr) « squirrel » (Ecureuil), est un système de sécurité qui permet de se passer de mot de passe, de one-time-code authenticators à la sauce Google ou tout autre codes envoyés par SMS pour exploiter la double autentification d’un site Internet, d’une connexion à une administration ou tout autre espace sécurisé.

GRC explique que son idée élimine de nombreux problèmes inhérents aux techniques traditionnelles de connexion. Dans sa démonstration, l’utilisateur scanne le QRCode présent dans une page de connexion. Un espace qui réclame, à la base, login et mot de passe. Sauf qu’ici, l’utilisateur n’a pas à rentrer la moindre donnée. Il scanne et SQRL se charge de l’authentification et de la connexion.

Chaque QRCode contient un long chiffre aléatoire généré afin que chaque présentation de la page de connexion affiche un QR code différent. Une paire de clés publiques spécifiques au site est générée. Une clé privée, liée au site, se charge de sécuriser le tout. Bref, l’interaction avec le clavier disparait. Laissant plus aucune possibilité aux logiciels espions révant de vous voler vos « précieux ».

Voir aussi
http://xkcd.com

Espionnae, Facebook, Fuite de données, Identité numérique, Vie privée

Le culte de la vache morte pour la NSA ?

Un commentaire

La NSA serait capable d’infecter un ordinateur en 8 secondes avec un logiciel datant de 2004. Un porte-parole de la NSA l’a indiqué, l’utilisation de Turbine ne se fait qu’« exclusivement à des fins de contre-espionnage ou d’espionnage à l’étranger pour des missions nationales ou ministérielles, et rien d’autre ». Voilà qui va rassurer les millions de propriétaires d’ordinateurs touchés par un kit pirate concocté par les grandes oreilles américaines.

D’après le magazine The Intercept (webzine créé par G. Greenwald, L. Poitras et J. Scahill. Il a pour mission de diffuser les informations récupérées par l’ancien analyste privé de la NSA, Edward Snowden), la NSA a utilisé un système de diffusion de codes malveillants baptisé Turbine. Le « truc », géré par l’unité TAO, infecterait des ordinateurs à partir de courriels piégés ou de phishing aux couleurs de Facebook. Des attaques à « echelle industrielle » indique l’un des documents de Snowden. Le « plug-in » Facebook est baptisé QUANTUMHAND (voir la vidéo ci-dessous du document top secret de la NSA, ndr). Pour rappel, des conseillers de l’Élysée ont été piégés par de faux Facebook, voilà 2 ans.

Le journal américain indique que l’agence d’espionnage américaine « a automatisé des processus auparavant automatisés ». Turbine ne serait donc rien d’autres qu’un couteau suisse d’exploit comme les aiment tant les pirates russes. D’après le Parisien, ce système de piratage a également de lancer des cyberattaques en détournant le système de téléchargement de fichiers ou en refusant l’accès à des sites. Des actions lançaient de Fort Meade, dans le Maryland, puis du Royaume-Unis, des Etats-Unis et du Japon. Des « modifications » de cible, comme le piratage et la modification du journal électronique d’Al Qaida, Inspire 11, que nous vous expliquions en juin 2013.

La NSA, en 2004, possédait un petit réseau de 100 à 150 « implants ». Plus de dix ans plus tard, les « outils » seraient au nombre de plusieurs dizaines de milliers. Le système Turbine serait opérationnel dans une certaine mesure depuis au moins Juillet 2010, et son rôle est devenu de plus en plus centrale pour les opérations de piratage de la NSA. Entre 85.000 et 100.000 « virus » seraient en action à travers le monde. Dans les options de Turbine, UNITEDRAKE, un cheval de Troie capable de prendre la main intégralement sur un ordinateur infecté. CAPTIVATEDAUDIENCE, capable d’enregistrer le son d’un micro branché sur la machine. GUMFISH, la webcam. FOGGYBOTTOM, les mots de passe et l’historique de navigation. GROK, un keylogger qui intercepte les frappes clavier. SALVAGERABBIT, copie les données via une clé USB. Un peu comme le petit canard jaune présenté dans zatazweb.tv du mois de décembre 2013.

Bref, il ne fait plus grand doute que Stuxnet et Flame, le premier a attaqué les installations nucléaires Iraniennes, le second visait les ordinateurs du Moyen-Orient. Les cibles ? Si le terrorisme semble être la premiére mission, une note interne de la NSA, baptisée « I hunt sys admins« , explique que les cibles peuvent être aussi les administrateurs de systèmes « qui travaillent pour des fournisseurs de téléphonie et des services Internet » étrangers.

Le poste interne – intitulé « Je chasse admins sys » – indique clairement que les terroristes ne sont pas les seules cibles de ces attaques de la NSA. Compromettre un administrateur de systèmes, les notes opérationnelles, il est plus facile pour se rendre à d’autres objectifs d’intérêt, y compris les « fonctionnaire du gouvernement qui se trouve être en utilisant le réseau certaine administration prend en charge. »

Pendant ce temps, aux USA, la sénatrice Dianne Feinstein, présidente de la commission du Renseignement du Sénat, accusait la CIA d’avoir « visité » les ordinateurs de l’institution politique américaine. Une violation de la Constitution. « Rien n’est plus éloigné de la vérité », a déclaré le directeur de la CIA, John Brennan. La sénatrice affirme que l’agence a tenté de savoir ce que tramait le Sénat au sujet des interrogatoires « musclés » de la Central Intelligence Agency, entre 2009 et 2012. Des enquêtes du département de la Justice sont en cours. Elles doivent permettre de savoir si des fonctionnaires de la CIA, ou des collaborateurs privés, ont utilisé la torture pour soutirer des informations.

Android, Chiffrement, cryptage, Fuite de données, Smartphone, Vie privée

Portes ouvertes sur vos données pour les Samsung Galaxy ?

Vous possedez un smartphone Galaxy de Samsung ? Vous allez apprécier l’annonce effectuée par la Free Software Foundation qui vient d’annoncer la découverte d’une porte cachée, une backdoor, dans les appareils android de la marque sud coréenne. Tout en travaillant sur Replicant, une version entièrement gratuite/libre d’Android, un concepteur a découvert que le logiciel propriétaire de Samsung, en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem, met en œuvre une porte dérobée qui permet au modem d’effectuer des opérations sur le système de fichiers, le tout à distance. Bilan, il serait possible à celui qui connait le « truc », d’accéder à aux données personnelles stockées dans le materiel.

Autant dire que le système de chiffrement que propose Samsung ne servirait à rien face à ce tour de passe-passe. Les Galaxy S3, Galaxy Note 2 et le Galaxy Nexus sont concernés. Paul Kocialkowski, développeur de Replicant, propose aux clients Samsung d’interpeller publiquement le constructeur pour une explication sur cette porte cachée et éliminer cet outil intrusif. Faut-il encore qu’il eut été au courant que le logiciel indépendant d’Android, qui gére les « baseband chips », était « piégé ». Nous imaginons difficilement que la société commerciale tente de jouer avec le feu en cachant, bien mal, ce système espion.

A noter que Replicant propose un patch bloquant cette backdoor. Une façon de faire un peu de pub à Replicant face à l’annonce de Knox, le système de sécurité de Samsung ? Korben propose une lettre à envoyer à Samsung. Une idée proposée par la FsF.

« Bonjour,

Je tiens à exprimer mon mécontentement suite à la découverte, dans la gamme Galaxy de vos smartphones, d’une puissante backdoor dans la puce baseband. Etant moi-même propriétaire d’un Samsung Galaxy S3, j’aimerais que vous me disiez ce que vous faites de cette backdoor, qui visiblement permet un contrôle total sur le smartphone et ses données.

A l’heure des révélations d’Edward Snowden et de la mise en cause de nombreuses grandes sociétés comme Google ou Microsoft, il est dommage de constater que Samsung rejoint le banc des accusés en offrant à n’importe qui sachant y faire, NSA en tête, la possibilité de prendre le contrôle total de n’importe quel smartphone, incluant les messages, les fichiers, le GPS et la caméra.

J’attends donc de votre part des explications, et bien sûr une correction de ce système qui ne peut pas être un simple erreur. Il est temps de mettre fin à l’espionnage de masse. En tant que leader dans les nouvelles technologies, au lieu de conforter un système de surveillante malsain, Samsung devrait au contraire montrer la voie d’une technologie au service de ses utilisateurs, et non l’inverse.

Merci d’avance.
Cordialement« 

Chiffrement, cryptage, Logiciels, Vie privée

Sécuriser ses correspondances : mails qui s’autodétruisent, chiffrés …

5 commentaires

Avoir besoin de communiquer de manière anonyme et sécurisé peut se faire sentir. Protéger un courriel et son contenu n’est pas à négliger. Il est évident que la première protection d’une fuite de donnée, d’un espionnage… et de ne rien diffuser sur Internet. Mais aujourd’hui, bien malin celui qui pensera que l’Internet, les mails peuvent être mis de côté. Dans cet article, nous allons voir comment écrire sans laisser de trace (ou presque, ndr), autodétruire un courriel, le chiffrer. Nous ne parlerons pas des outils déjà présenté ICI et LA, mais des sites web offrant des services gratuits d’anonymisation de vos correspondances. Je rappellerai tout de même qu’aucun système n’est infaillible et rien ne remplacera le chiffrement fort et un mot de passe sérieux. Bien entendu, évitez de communiquer des informations « top » sensibles: données bancaires, …

PrivNote
PrivNote est un service Web gratuit qui vous permet d’envoyer des notes secrètes sur Internet. C’est rapide, facile, et ne nécessite pas de mot de passe ou l’enregistrement des utilisateurs. Il suffit d’écrire votre lettre, et vous obtiendrez un lien. Ensuite, vous copiez et collez ce lien dans un mail (ou un message instantané) que vous envoyez à votre correspondant. Lorsque cette personne clique sur le lien pour la première fois, il pourra lire le message dans son navigateur. Au même moment, la missive sera automatiquement détruite, ce qui signifie que personne (même cette personne) ne lira le courrier ensuite. Le lien ne fonctionnera plus.
Vous pouvez, éventuellement, choisir d’être averti lorsque votre note est lue en laissant votre email et une référence. https, rapide, les adresses IP sont supprimées dès qu’elles ne sont plus nécessaires à des fins de communication. Les notes sont détruites au bout de 30 jours si elles n’ont pas été lues. Les administrateurs ont enregistré PrivNote en Uruguay. https://privnote.com

Note shred
Les messages envoyés avec Noteshred s’autodétruisent après la lecture ou après un certain temps. Programmable entre 1 heure et 24 semaines. Chaque note est obligatoirement envoyée avec un mot de passe que votre correspondant devra connaitre. Les messages sont chiffrés (256 bits AES), connexion https, une version mobile est disponible. Noteshred est un service gratuit. http://www.noteshred.com

One time secret
Même principe que PrivNote. Ce site propose un lien, vers le message. Le premier lecteur qui ouvrira l’url pourra lire le message. Les suivants se retrouveront face à un message d’erreur : “It either never existed or has already been viewed.” sauvegarde IP, information sur le navigateur et la provenance du visiteur (site web, moteur de recherche, …) Les messages sont gardés 7 jours pour les « anonymes », et 30 pour les internautes qui se sont inscrits. Le code source de l’outil est proposé. https://onetimesecret.com

This message will self-destruct
Comme ses cousins One Time Secret et PrivNote, This message will self destruct propose d’envoyer un lien vers un message qui s’autodétruira une fois que ce dernier sera lu. Une option de création d’un mot de passe est possible. Simple, efficace, sans fioriture. Petit détail, tout de même, s’inscrire à ce service (pas obligatoire, ndr) permet d’afficher un historique des messages envoyés et reçus. https://tmwsd.ws

cloak my
Parmi les nombreux services que nous avons testés pour vous, cloak my propose une originalité qui n’est pas négligeable. Le service permet de décider une plage horaire de lecture en plus de l’autodestruction. Il est possible de choisir une destruction manuelle (déconseillée, ndr). Log les IP, Https, basé en Californie (USA). Les mots de passe, si vous en décidez un, sont hachés en utilisant Bcrypt. Les adresses IP sont également enregistrés au cours de tentatives de connexion « seulement après un mauvais mot de passe et ou un mauvais lien, souligne les administrateurs. Afin de prévenir contre les attaques et pour nous permettre d’interdire les demandes excessives. » http://www.cloakmy.org

Destructing message
Voilà un service intéressant. Les messages sont minutés. Vous décidez de la durée de présence du message chiffré, de 15 secondes à 5 minutes. Le site propose un lien qui servira d’accès à la missive. Dès que le lien est cliqué, le compte à rebours est lancé. Les messages doivent être affichés dans les 90 jours. Le site existe depuis 2006, il est édité par Spiffy. http://www.Destructingmessage.com

ZeroBin

ZeroBin de Seb Sauvage est un outil qui est indispensable dans ses adresses. Outil simple et très efficace, qui chiffre les données avec un clé AES 256 bits. Il vous suffit de communiquer le lien à votre correspondant. Permet de choisir un temps d’expiration de votre message, de 5 minutes à 1 an. http://sebsauvage.net/paste/

Il existe aussi des applications pour vos navigateurs. Pour Firefox, TrashMail. Permet de créer des adresses jetables. Il faut cependant ouvrir un compte pour utiliser le service. Pour vos fichiers, AnonFiles permet de sauvegarder des fichiers de manière anonyme. Le plus intéressant, à mon avis, reste CryptoBin. Il permet de chiffrer un message, garder lisible la missive entre 10 minutes (1 heure, 1 journée, 1 an) et à l’infini. Il utilise l’AES 256 pour chiffrer les informations.

Côté image, Let’s Upload that Image (LUT.IM) permet d’envoyer une image et de la faire disparaitre à sa premiére lecture. Possibilité de choisir sa durée de rétention, entre 24 heures et un an. Un outil Français, signé par Luc Didry. Si les fichiers sont bien supprimés, et si vous en avez exprimé le choix, leur empreinte SHA512 est toutefois conservée. L’IP de la personne ayant déposé l’image est stockée de manière définitive pour des questions légales. https://lut.im ; Même possibilité pour IMG.BI. Ici aussi, les images sont chiffrées en AES-256. Les auteurs utilisent aussi TLS pour éviter les attaques dites de l’homme du milieu (Man-in-the-Middle), entre vous et le serveur de stockage. Les adresses IP sont codées en SHA-3 durant une journée. Les auteurs rappellent que les sociétés tierces peuvent sotcker, de leur côté, votre IP. https://img.bi

N’hésitez pas à nous faire partager vos propres outils.

Espionnae, Identité numérique, Particuliers, Vie privée

Les données personnelles des Européens ne sont pas à vendre !

Ce mercredi à Strasbourg, le Parlement européen a enfin adopté le paquet sur les données personnelles. Après trois ans de travail parlementaire les eurodéputés ont adopté à une forte majorité le règlement (621+, 10-, 22 abst) et, malgré l’opposition de la droite européenne, la directive (371+, 276 –, 30 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen,  Jan-Philippe Albrecht (Verts, All) et Dimitrios Droutsas (S&D, GR), un large mandat de négociation avec le Conseil et la Commission européenne.

« C’est un signal politique fort envoyé aux citoyens européens, qui tranche avec le silence du Conseil! », se félicite Françoise Castex. « Les données personnelles des Européens ne sont pas à vendre! »

« Après le scandale de la NSA et alors que nous négocions un accord de libre-échange avec un État qui espionne nos concitoyens, il était fondamental de redéfinir les règles du jeu« , souligne l’eurodéputée Nouvelle Donne.

Les deux textes visent à renforcer la protection des données des citoyens européens et à restaurer la confiance des consommateurs dans les entreprises sur internet. « Nous souhaitions un encadrement plus strict des données pseudonymes, mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois”, note Françoise Castex. « Le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Avant de conclure: “L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs montrent que la question de la protection des données personnelles est devenue une priorité pour nos concitoyens. Le Conseil ferait une grave erreur en écartant ce sujet à trois mois des élections européennes ».

Pour la Quadrature du Net, des failles majeures subsistent dans le règlement du Parlement européen sur la protection des données. Le Parlement européen vient d’adopter en première lecture le rapport [1] de Jan Philipp Albrecht concernant le règlement général sur la protection des données. Les eurodéputés sont finalement parvenus à résister aux pressions des lobbys [2] et ont rejeté la plupart de leurs propositions préjudiciables [3]. Bien que d’importants progrès ait été réalisés aujourd’hui, les dangereuses notions d’« intérêt légitime » et de « données pseudonymisées » ont été conservées, et pourraient empêcher le texte définitif de protéger les citoyens de manière effective. ***

Le 21 octobre 2013, la commission « libertés civiles » (LIBE) a adopté son rapport relatif au règlement général sur la protection des données, avant de donner mandat à son rapporteur, Jan Philipp Albrecht (Verts/ALE – Allemagne), pour négocier à huis clos un accord avec la Commission européenne et le Conseil des Ministres (trilogue). Ces négociations n’ayant pas débouché sur un consensus, le Parlement européen a finalement adopté un texte identique à celui de LIBE.

Malgré une campagne de lobbying sans précédent menée à Bruxelles par les secteurs de la banque, des technologies et des gouvernements étrangers, la mobilisation de la société civile est parvenue à convaincre les députés de préserver la plupart des progrès introduits par la Commission européenne en 2012 : le consentement explicite [4], des sanctions effectives (pouvant à présent atteindre 5% du chiffre d’affaires mondial d’une entreprise), un champ d’application territorial large et clairement défini, ainsi que des droits plus forts et équilibrés pour les citoyens.

Malheureusement, les députés ne sont pas parvenus à corriger la faille la plus dangereuse laissée dans la proposition initiale par la Commission en 2012 : la définition bien trop large de la notion d’« intérêt légitime ». En tant que tel, l’« intérêt légitime » de quiconque peut être utilisé comme fondement légal permettant d’outrepasser le consentement d’un individu afin de traiter les données le concernant. En outre, le rapport introduit le concept insidieux de données « pseudonymisées », si cher aux lobbys des technologies.

La publication de la position du Conseil sur le règlement est prévue pour les 5 et 6 juin prochains.

« Le vote d’aujourd’hui ferme le premier chapitre d’un long processus qui déterminera si les citoyens européens regagneront le contrôle de leur vie privée. Bien que la société civile se soit fermement opposée aux lobbys des banques, des géants de l’Internet et de certains gouvernements, les eurodéputés ne sont pas parvenus à corriger les failles majeures du texte. Les citoyens doivent exiger de leur gouvernement qu’il corrige ces failles, préserve les avancées, et n’introduise pas de nouvelles exceptions dans le texte. Ce règlement devant être finalisé par le prochain Parlement, les citoyens doivent attirer l’attention des candidats à l’élection européenne sur ces questions. », déclare Miriam Artino, analyste politique à La Quadrature du Net.

* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2013-0402+0+DOC+XML+V0//FR
2. https://www.laquadrature.net/wiki/Lobbies_on_dataprotection
3. https://www.laquadrature.net/fr/des-failles-majeures-dans-le-reglement-relatif-a-la-vie-privee-le-parlement-doit-defendre-les-citoye
4. https://www.laquadrature.net/fr/privacy-alert-1-le-consentement-explicite

Argent, Contrefaçon, Justice, Particuliers

Arrestation de l’administrateur de The Pirate Island

Un commentaire

La Police Strasbourgeoise a arrêté ce mercredi matin l’administrateur du site de copies pirates The Pirate Island. Un homme de 28 ans a été arrêté par la DIPJ de Strasbourg. La rédaction de zataz.com, qui a révélé l’information, a appris que les policiers alsaciens avait arrêté l’administrateur du portail The Pirate Island.Un fait confirmé par l’administrateur lui même, sur son site.

ThePirateIsland.net était un espace communautaire qui diffusait des milliers de liens torrents permettant de télécharger des contrefaçons de films, d’albums de musique… Arrêté très tôt ce mercredi matin, le fondateur et gestionnaire du site a été mis en garde à vue.

La police aurait saisi de l’argent et retrouvé la trace de plus de 400.000 euros touchés par l’individu via les dons des membres de ces différents sites. Parmi les sites en question, le jeune trentenaire était aussi l’ancien fondateur de deux autres forums très connus : Reload Paradise et Play the net.

L’opération contre TPI a été lancée par la Direction Interrégionale De La Police Judiciaire à la suite de plaintes déposées par la SACEM (Société des Auteurs, Compositeurs et Editeurs de musique) et l’ALPA (Association de Lutte Contre la Piraterie Audiovisuelle).