Mardi 18 juin 2019, la CNIL annonce une amende à l’encontre d’une entreprise. Motif : vidéosurveillance excessive des salariés.
La formation restreinte de la CNIL a prononcé en ce mois de juin 2019 une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY. Motif ? L’entreprise a mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.
La Commission Nationale Informatique et des Libertés a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.
Contrôle mené dans les locaux de la société en février 2018
Un contrôle effectué par les agents assermentés de la CNIL a permis de constater que la caméra présente dans le bureau des six traducteurs les filmait à leur poste de travail sans interruption ; aucune information satisfaisante n’avait été délivrée aux salariés ; les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique (sic!).
En juillet 2018, la Présidente de la CNIL mettait en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de : déplacer la caméra pour ne plus filmer les salariés de manière constante ; procéder à l’information des salariés sur la présence des caméras ; mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.
20 000€
En l’absence de mesures satisfaisantes à l’issue du délai fixé dans la mise en demeure, la CNIL a effectué un second contrôle en octobre 2018 qui a confirmé la persistance des manquements malgré les affirmations contraires de la société. Une procédure de sanction a donc été engagée par la Présidente de la CNIL.
Des experts en cybersécurité passent au banc d’essai la caméra de surveillance pour la maison, Guardzilla Indoor Security. Ils découvrent de nombreuses vulnérabilités.
Guardzilla produit des caméras de surveillance, discrètes, faciles à utiliser et à installer à la maison. Il s’agit de produits très abordables dont l’objectif principal est de fournir une sécurité physique contre l’effraction. Elles s’intègrent également de manière transparente aux réseaux domestiques et sont faciles à utiliser via des smartphones et une application Guardzilla dédiée. Il n’y a pas de frais et de coûts supplémentaires associés au produit.
Un produit assez populaire dans sa catégorie : plus de 100 000 installations et 4000 commentaires vérifiés enregistés par Google Play. En plus des utilisateurs d’Android, il existe une forte communauté Apple qui utilise Guardzilla. Les recherches de Bitdefender Labs estiment le nombre d’appareils Guardzilla activés à environ 410 000, ce qui donne un bon indice sur leur popularité.
Prise de contrôle à distance, accès au flux vidéo en direct…
L’analyse révéle de nombreuses vulnérabilités au sein de la caméra Guardzilla Indoor Security. Ces vulnérabilités peuvent être exploitées pour compromettre totalement la caméra, ce qui se traduitrait par un grave impact sur la vie privée de ses utilisateurs. Les criminels peuvent se connecter à distance à la caméra, avoir un accès complet pour faire fonctionner l’appareil, et également accéder au flux vidéo en direct.
Trois types d’attaques potentielles, offrant chacune un contrôle total à la caméra :
A – Prise de contrôle total de la caméra en altérant le service d’authentification Guardzilla et en usurpant l’identité d’un utilisateur légitime. En forçant brutalement des ID de comptes uniques, l’attaquant peut demander des noms d’utilisateurs (adresses e-mail) et des mots de passe et les modifier sans aucune confirmation.
B – Prise de contrôle total de la caméra et exécution du code à distance en exploitant un composant Cloud.
C – Obtention du contrôle total de l’appareil en usurpant l’identité d’une fausse mise à jour. Connaissant l’ID utilisateur et le mot de passe des périphériques (voir attaque A), l’attaquant peut accéder au système en abusant de la commande de mise à jour à distance.
Informé en août 2018, le fabricant n’a pas donné suite aux alertes
Les chercheurs ont établit un premier contact avec le fournisseur en août 2018. Ils demandent une clé PGP ou un canal sécurisé pour une divulgation privée des vulnérabilités. Aucun accusé de réception, ni réponse. Après une relance en septembre 2018, les CVE (Common Vulnerabilities Exposures) suivants : CVE-2018-18600, CVE-2018-18601, CVE-2018-18602 en préparation pour publication. Ces CVE accordés en moins de 24h. Finalité, un rapport publié. Une décision de diffusion motivée par l’absence complète de réponse du fournisseur. Le délai de 90 jours pour la divulgation des vulnérabilités expire. Bitdefender décide de prolonger ce délai. Une partie des vulnérabilités identifiées sont toujours à ce jour présentes dans le firmware de la caméra.
La folie PokemonGo n’est plus à démontrer. Il suffit de marcher dans les rues, dans les parcs, sur les plages pour croiser des centaines de « dompteurs ». La question se pose tout de même : et si ce jeu n’était qu’un maître espion.
Ah, le grand jeu vidéo de l’été. Chasser des petits bêtes via l’application PokemonGo. De la « pseudo » réalité augmentée qui a su attirer des millions d’adeptes en quelques jours. Des millions de joueurs qui fournissent des milliards de données privées.
Pokemon GO récupère la position GPS, l’historique des endroits visités, la fréquence et les habitudes de jeu. Un archivage pour une période indéterminée. La société californienne collecte adresses Google, Facebook, l’ensemble de vos informations publiques, l’IP de l’utilisateur, le nom et la version de votre système d’exploitation.
Cerise sur le gâteau, Pokemon Go sauvegarde aussi le nom de la page Web que vous visitiez avant de jouer à Pokémon Go, ainsi que les mots clés que vous avez pu utiliser pour rejoindre PokemonGo lors de votre première visite. A noter que la lecture des conditions d’utilisations est, une fois de plus, magique. L’éditeur Niantic se dégage de toute responsabilité en cas de partage des données. Des données baptisées « actifs ». Autant dire que les partenaires Google et Pokémon Company font partis de ces collecteurs. Un véritable trésor numérique.
Home sweet home pokemonGo
Les joueurs peuvent réclamer la destruction des données. Il faut envoyer un mail, ou visiter la page dédiée, ou écrire une lettre postale. Cependant, n’oublier pas de réclamer la destruction des mêmes données qui se retrouvent dans les sauvegardes.
Pour rappel, l’application était capable, à son lancement, d’ouvrir votre compte Google. Niantic avait le droit de modifier l’ensemble des données, lire vos courriels Gmail, modifier vos documents Google Drive, consulter votre historique de recherche, vos photos personnelles. Du bonheur que cette famille de Pikachu ! Est-ce que cela vaut-il vraiment le coup de lâcher toutes ses données pour quelques Pokeballs ? Bref, une fois de plus, quand une application est gratuite, c’est vous qui êtes le produit. Et si on regarde un peu plus loin, sans la jouer complotiste, PokemonGo n’aurait-il pas un but plus discret, celui de cartographier là ou Google ne peut se rendre avec ses Google Caméra ?
Facebook a fermé les rumeurs selon lesquelles il utilise le microphone de votre appareil mobile pour écouter les conversations afin de mieux cibler les annonces publicitaires qu’il commercialise.
Microphone de votre appareil mobile utilisé par Facebook ? Dans un communiqué publié le 2 Juin, Facebook a déclaré qu’il « n’utiliser pas le microphone de votre téléphone mobile pour analyser et diffuser des annonces publicitaires ou pour changer ce que vous voyez dans les nouvelles diffusées par RSS. » La compagnie explique de montrer que des annonces basées sur les intérêts des utilisateurs et d’autres informations diffusées par les utilisateurs. Facebook répond directement aux allégations formulées par Kelli Burns, professeur de communication à l’Université de Floride du Sud. Burns pensait que Facebook avait secrètement mis sur écoute les conversations de ses utilisateurs. Si l’idée est loin d’être farfelue, après tout Google enregistre bien votre voix lors de l’utilisation de la recherche vocale, Facebook réclame un accès au micro pour enregistrer le son des vidéos. C’est l’utilisateur qui lui donne l’autorisation. A noter que des appareils tels que l’Echo d’Amazon ou encore certaines nouvelles télévisions connectées écoutent, non stop leurs utilisateurs.
Un pas de plus dans les idées nauséabondes de cyber surveillance. Le législateur britannique se penche sur une idée folle, garder en mémoire l’historique Internet des utilisateurs.
Imaginez, dans 20 ans, n’importe quelle personne autorisée (ou non) pourra connaitre vos habitudes de surfs. Votre passion à visiter Cam4 et autres Youporn. De troller comme un sauvage dans Call of Duty. De passer votre temps à regarder des chats sur la toile. De la science fiction ? Le gouvernement
Britannique se penche depuis novembre sur une nouvelle loi, légitimant la cyber surveillance de masse. Bref, une loi qui doit autoriser et légaliser ce que faisait déjà les 007 locaux depuis les années 60.
Par exemple, l’article 94 de la Loi sur les télécommunications élargit les capacités de surveillance. Les
FAI auront obligation de stocker la liste de tous les sites que les internautes britanniques ont visité lors des 12 derniers mois. Ils vont bien finir par imposer la communication des bookmarks à ce rythme là !
Pour répondre à la communication de masse du gouvernement de David Cameron, l’association dédiée à la protection des droits de l’homme Open Rights Group lance une opération de crowdfunding pour récolter 20,000 livres sterling afin de communiquer, elle aussi, sur ces aberrations législatives.
En 2014, l’Europe indiquait déjà la disproportion de certains articles de loi dédiés à la surveillance de masse des sujets de sa Gracieuse Majesté. En juillet 2015, la Haute Cour du Royaume-Uni a également statué que la loi DRIPA, l’état d’urgence britannique depuis 2014, poussée par le parlement sans aucun examen approprié, était illégale selon le droit européen lié aux droits de l’homme.
Internet – Collecte de données obligatoire pour les entreprises Russes.
Une nouvelle loi russe, adoptée mardi 1er septembre 2015, oblige les entreprises à stocker les données qu’elles recueillent sur les citoyens russes. Des données collectées officiellement sur le territoire Russe. La nouvelle loi a créé de l’incertitude chez les entreprises et suscite des craintes sur la surveillance et la vie privée. D’autant qu’un site Internet russe qui reçoit des visiteurs de France, Chine ou États-Unis collectera et sauvegardera aussi les dites données. La loi russe pourrait impacter plus d’un million d’entreprises locales. Certains experts craignent que cette nouvelle législation soit une tentative du gouvernement russe d’accéder à des informations personnelles à des fins de sécurité et de surveillance. Un détail loin d’être négligeable qui a du effleurer l’esprit de Vladimir Poutine ! [FT]
Un pirate informatique colombien condamné à 10 ans de prison ferme. Il avait piraté des ordinateurs pour espionner les pourparlers de paix entre le gouvernement et la guérilla des FARCS.
Andreas Sepulveda, un jeune colombien, travaillait pour l’ancien président de la Colombie, Alvaro Uribe. Ce dernier était contre le processus de paix entre les FARCS et le nouveau gouvernement Colombien. Andreas a piraté plusieurs ordinateurs, dont ceux de journalistes cubains, afin d’espionner les pourparlers de paix en cours. Il a été arrêté en juin 2014. 33 équipements informatiques avaient été saisis lors de son arrestation,n dont du matériel israélien d’interception téléphonique.
Son piratage va lui coûter cher, d’autant qu’il semble avoir voulu commercialiser des données volées. Il risque 10 ans de prison ferme. Il a été entendu par le tribunal vendredi 10 avril. Il a signé un accord qui doit lui permettre de réduire sa peine. Il a d’abord lu une lettre d’excuse et va devoir tout raconter à la justice. Autant dire que l’ancien parti politique au pouvoir va commencé à trembler. (El Tiempo)
Darktrace est une société de cyberdéfense britannique, fondée en 2013 par des mathématiciens de l’Université de Cambridge. DataSecurityBreach.fr va vous proposer de découvrir une nouvelle catégorie de technologie, appelée « Enterprise Immune System ». Elle permet aux entreprises de se défendre contre les cybermenaces avancées d’aujourd’hui, de façon proactive. Son socle technologique est basé sur des avancées récentes dans le domaine des mathématiques probabilistes et de l’apprentissage automatique. Découverte de Darktrace !
DataSecurityBreach.fr : Qu’est-ce qu’un « système immunitaire d’entreprise » ? DarkTrace : Le « système immunitaire d’entreprise » est une nouvelle approche de cyberdéfense, qui prend comme point de départ l’inévitable infiltration des réseaux d’entreprise. De la même façon que le corps humain est constamment attaqué par des bactéries et des virus, les entreprises sont également exposées à une gamme de menaces complexes qui ne sont pas prévisibles à l’avance. Le système immunitaire du corps humain nous permet de gérer ces attaques constantes tout en apprenant ce qui fait partie de « nous-mêmes » et ainsi en repérant ce qui est « anormal » en mode adaptatif. Cette capacité d’auto-apprentissage est aussi primordiale pour les stratégies de cyberdéfense d’avenir, permettant ainsi aux entreprises de détecter, en temps réel, des menaces potentielles à l’intérieur de leur système et de les stopper avant qu’elles ne deviennent des incidents nuisibles.
DataSecurityBreach.fr : Cela fonctionne comment ? DT : Le « système immunitaire d’entreprise » s’inspire du corps humain qui a la même capacité de repérer des éléments étrangers qui pourraient représenter une menace mais aussi de « se connaître » et de « s’apprendre » de manière évolutive. La technologie « Enterprise Immune System » repose sur des mathématiques et des techniques d’apprentissage automatique très pointues qui analysent en temps réel les comportements de chaque machine, chaque individu et de l’entreprise dans sa globalité, tout en s’adaptant dynamiquement à leur évolution. Avec ces modèles probabilistes, le système immunitaire d’entreprise établit une compréhension de la « normalité » (pattern of life) qui change constamment selon les activités de l’entreprise, des utilisateurs et des machines. Ce système est capable de repérer les comportements anormaux, au fur et à mesure que ceux-ci apparaissent.
DataSecurityBreach.fr : Identifier une menace qui n’existe pas encore publiquement (0day) demande de connaître cette menace, Darktrace fait comment pour y arriver ? DT : Il est impossible de prédire chaque menace à l’avance. Nous faisons face à de plus en plus attaques ciblées, menées par des personnes compétentes qui savent se cacher dans le bruit d’un réseau. Il y a aussi la menace interne, provenant des employés, qui est souvent sous-estimée, car elle est très difficile à détecter. Darktrace fait des calculs probabilistes selon des évidences informatiques changeantes, corrélant des traces d’activité faibles pour établir une vue d’ensemble de normalité et anormalité. Ce processus se passe en temps réel, ce qui nous donne la meilleure opportunité de détecter de vraies menaces qui n’ont pas encore été identifiées.
DataSecurityBreach.fr : Achetez-vous des 0day pour être capable d’agir en amont ? DT : Non. Toute la valeur de l’approche du « système immunitaire »’ repose sur l’auto-apprentissage de la plateforme Darktrace, qui n’a pas besoin de connaissances « a priori » sur les menaces déjà existantes ou des règles prédéfinies.
DataSecurityBreach.fr : Qu’est-ce qu’une activité anormale dans une entreprise ? DT : Une activité anormale peut être n’importe quelle action ou comportement qui sort du tissu de vie « normal » pour l’entreprise dans sa globalité, une machine ou une personne, ou bien l’ensemble de ces trois éléments. Darktrace prend en compte la mesure de 300 dimensions d’activité pour avoir une visibilité très riche de ce qui se passe à l’intérieur de l’entreprise – par exemple, l’heure normale de connexion au réseau par un employé le matin, les dossiers qu’il utilise souvent, le volume de données envoyées et ses destinations. – etc. Chaque entreprise est différente, alors Darktrace apprend la ‘normalité’ pour chaque client de manière évolutive.
DataSecurityBreach.fr : Les mathématiques (Recursive Bayesian Estimation) seraient-elle plus forte que les pirates/les malveillants/… ? DT : Les mathématiques probabilistes, y compris le « Recursive Bayesian Estimation », représente une innovation fondamentale dans ce domaine qui aident les organisations de reprendre l’avantage sur l’attaqueur ou des menaces potentielles. Grace à sa vision globale de l’entreprise digitale, Darktrace permet aux organisations de voir – pour la première fois – la topologie de leurs systèmes d’informations en temps réel. Fort de cette surveillance probabiliste, le défendeur est capable d’anticiper les signes de compromission subtils, avant que les malveillants et les attaqueurs aient l’opportunité de voler des informations ou de nuire à l’organisation.
DataSecurityBreach.fr : Travailler sur le comportement (le soi) de ses employés pour en extraire des comportements « illicites », n’est-ce pas un problème d’un cyber espionnage en entreprise, à l’insu des employés ? DT : Non ce n’est pas un problème, Darktrace ne lit pas le contenu des données qu’elle analyse, et la consommation de ces données est passive. Nos modèles mathématiques détectent les anomalies automatiquement, et n’alertent l’opérateur de sécurité qu’en cas d’anomalie suspecte.
DataSecurityBreach.fr : Darktrace est capable de gérer ses menaces « inconnues » aujourd’hui, mais certains peuvent agir/se lancer demain, comment gérer le risque de faux positif ? DT : Les menaces présentes et futures sont traitées de la même façon par Darktrace. Les attaques sont identifiées avant qu’elles lancent de manière définitive de façon proactive. La puissance des modèles mathématiques probabilistes de Darktrace est telle que le nombre de faux positifs typique est radicalement réduit. Il est impossible d’adresser chaque violation de politique ou problème potentiel. Mais comme les probabilités se mettent en œuvre dès l’installation, tout comme l’apprentissage du système qui se construit en temps réel, tout en étant auto-apprenant, cela permet d’éviter les faux positifs et rend l’utilisation de Darktrace unique et extrêmement efficace. Par définition l’utilisation de Darktrace permet d’anticiper les potentialités malveillantes qui n’ont jamais été rencontrées. Grâce à son modèle comportemental, le « système immunitaire d’entreprise » est capable non pas de prédire, mais de se prémunir d’attaque jamais rencontrée auparavant.
Depuis vendredi 2 mai, l’Etat Français dispose d’une nouvelle arme de dissuation électronique baptisée DGSI. Le journal officiel présente la Direction Générale de la Sécurité Intérieure (DGSI) comme ayant pour mission « la surveillance des communications électroniques et radioélectriques« . Une nouvelle direction qui avait été annoncée par le Ministre de l’Intérieur Emmanuel Valls, en juin 2013.
« Les menaces auxquelles est exposé le pays nécessitent une action déterminée de l’Etat qui doit se doter de moyens performants de prévention et de répression de toute forme d’ingérence étrangère, d’actes de terrorisme, d’atteintes à la sûreté de l’Etat, à l’intégrité du territoire, à la permanence des institutions de la République et aux intérêts fondamentaux de la France. » explique le site Gouvernement.fr. C’est dans cette perspective qu’est créée la direction générale de la sécurité intérieure.
Dans son decret n° 2014-445 (du 30 avril 2014) on apprend que la DGSI est rattachée au Ministére de l’Intérieur. La DGSI remplace la DCRI, fusion de la DST et des RG. Dorénavant, la Dame est chargée « sur l’ensemble du territoire de la République, de rechercher, de centraliser et d’exploiter le renseignement intéressant la sécurité nationale ou les intérêts fondamentaux de la Nation« . Bref, nos services de renseignements intérieurs passent en mode 2.0 pour la sécurité des Français et des entreprises hexagonales. La DGSI va pouvoir, officiellement, mettre sur écoute téléphone, Internet, et les réseaux qui devront être surveillés. Bien entendu, la justice donnera son feu vert (ou non). La DGSI devra faire ses demandes auprès de la Commission nationale de contrôle des interceptions de sécurité (CNCIS).
Dans son article 2, le décret explique qu' »Au titre de ses missions, la direction générale de la sécurité intérieure pour assurer la prévention et concourt à la répression de toute forme d’ingérence étrangère ;
Concourir à la prévention et à la répression des actes de terrorisme ou portant atteinte à la sûreté de l’Etat, à l’intégrité du territoire ou à la permanence des institutions de la République ;
Participer à la surveillance des individus et groupes d’inspiration radicale susceptibles de recourir à la violence et de porter atteinte à la sécurité nationale ;
Concourir à la prévention et à la répression des actes portant atteinte au secret de la défense nationale ou à ceux portant atteinte au potentiel économique, industriel ou scientifique du pays ;
Concourir à la prévention et à la répression des activités liées à l’acquisition ou à la fabrication d’armes de destruction massive ;
Concourir à la surveillance des activités menées par des organisations criminelles internationales et susceptibles d’affecter la sécurité nationale ;
Concourir à la prévention et à la répression de la criminalité liée aux technologies de l’information et de la communication ».
432 agents devraient constituer, d’ici 2018, cette nouvelle Direction. A ce rythme là, la DGSI et la DGSE devrait fusionner d’ici quelques mois, histoire de partager les coûts, les moyens et les techniciens.
Communiqué de presse de la Quadrature du Net – Depuis mai 2013, notamment grâce aux documents fournis par le lanceur d’alerte Edward Snowden, les révélations concernant les pratiques extra-légales des autorités françaises en matière de surveillance des communications Internet se multiplient. Après le vote de la loi de programmation militaire fin 2013 [1] et les dernières révélations [2] concernant la collaboration entre les services de renseignement et l’opérateur Orange, le gouvernement doit mettre fin à son silence assourdissant pour permettre la tenue d’un débat démocratique sur l’étendue des pratiques de surveillance. Au-delà, la France doit œuvrer à réformer sa législation afin de respecter le droit international en matière de protection de la vie privée.
Dans son édition du 21 mars dernier, Le Monde s’appuie sur les documents fuités par Edward Snowden pour lever un peu plus le voile sur les pratiques des autorités françaises en matière de surveillance d’Internet. Le journal met notamment en exergue la collaboration [2] de l’opérateur Orange et les services de renseignement français, lesquels disposeraient « d’un accès libre et total à ses réseaux et aux flux de données qui y transitent » en dehors de tout cadre légal. Ces informations témoignent des dérives auxquelles aboutit le passage au secteur privé des hauts fonctionnaires en charge de fonctions régaliennes liées à la sécurité nationale.
Elles s’ajoutent aux informations déjà publiées concernant notamment le transfert massif de données entre les services français et la NSA américaine (accord LUSTRE [3]), ou la mise en place [4] d’un large dispositif d’interception des flux circulant sur les réseaux internationaux avec l’appui d’entreprises comme Alcatel-Lucent ou Amesys. Le Monde indique être en possession de nombreuses pièces encore inexploitées et à partir desquels ses journalistes poursuivent leur travail d’investigation.
Alors que depuis plus de huit mois est détaillée l’étendue des pratiques de surveillance d’Internet par les États-Unis et le Royaume-Uni, mais aussi par leurs alliés comme la France ou l’Allemagne, l’absence de toute réaction politique substantielle au niveau français est révélatrice de l’hypocrisie des autorités. Ainsi, le président de la République François Hollande s’est adonné à de ridicules gesticulations politiques en réclamant sans succès un accord [5] encadrant les pratiques d’espionnage des dirigeants entre les États-Unis et les pays de l’Union européenne et en appuyant l’appel [6] d’Angela Merkel à l’édification d’un « Internet européen ».
Pour autant, il se refuse à soutenir la seule mesure de poids immédiatement applicable et efficace pour œuvrer à la protection des données personnelles des citoyens européens, à savoir la suspension de l’accord « safe-harbor » [7] entre l’Union européenne et les États-Unis, et que défend [8] le Parlement européen.
Quant au gouvernement, le lancement de son opération de communication politique [9] pour vanter son action dans le domaine numérique ne doit tromper personne : le projet de loi sur les « libertés numériques » promis il y a un an s’annonce [10] comme un texte avant tout répressif (le mot « liberté » semble d’ailleurs avoir opportunément disparu de son intitulé), tandis que le premier ministre Jean-Marc Ayrault se fait l’avocat de politiques inconséquentes [11] en matière de chiffrement des correspondances électroniques. Dans le même temps, les responsables politiques français ont l’audace de se doter d’une législation d’exception en matière de surveillance d’Internet au travers de la scandaleuse Loi de programmation militaire [12], tout en refusant de collaborer avec la commission d’enquête du Parlement européen consacrée aux révélations d’Edward Snowden [13]. Ce jeu de dupes doit cesser.
« Depuis des mois, l’exécutif français s’enferme dans un silence assourdissant pour échapper au débat démocratique sur la surveillance d’Internet. Cette position n’est plus tenable au vu des éléments qui s’accumulent et qui démontrent l’inquiétante fuite en avant dans ce domaine. Il est grand temps que l’ensemble des acteurs institutionnels – qu’il s’agisse de François Hollande, du gouvernement, du Parlement, de l’autorité judiciaire ou même de la CNIL – soient mis devant leurs responsabilités pour que ces graves violations des droits fondamentaux cessent et que leurs responsables soient condamnés », déclare Félix Tréguer, cofondateur de La Quadrature du Net.
« Au delà d’un débat inévitable sur la surveillance d’Internet et la nécessaire souveraineté sur nos infrastructures, la maîtrise de nos communications ne sera possible que par l’utilisation de logiciels libres, du chiffrement de bout en bout et de services décentralisés. En parallèle, une réforme législative s’impose afin que la France respecte le droit international [14] et que les services de renseignement fassent l’objet d’un contrôle adéquat. », conclut Benjamin Sonntag, cofondateur de La Quadrature du Net.
Le président Obama a ordonné la fin de la collecte « en vrac » des messages téléphoniques des Américains. Vendredi, il est revenu sur la vaste restructuration des programmes de surveillance qui ont « ponctionné » les données de millions de citoyens américains. Une cybersurveillance exposée, l’an dernier, par l’ancien analyste du renseignement Edward Snowden.
Obama a appelé la National Security Agency (NSA) à renoncer au contrôle de son énorme base de données de relevés téléphoniques, à la mise en place d’un tribunal des programmes de surveillance, et l’arrêt des écoutes de dirigeants étrangers, alliés des États-Unis. Mais n’applaudissons pas trop vite, la surveillance continuera, mais avec des contrôles plus stricts.
Dans son discours donné ce vendredi au ministère de la Justice, M. Obama a appelé à une « nouvelle approche« . Un plan de transition doit être élaboré d’ici le 28 mars, autant dire un travail d’Hercule qui risque d’accoucher d’une souris. Le 28 mars étant la date butoir de la fin de la collecte de « métadonnées » par la NSA. Collecte qui a débuté après les attentats du 11 septembre 2001. « Dans notre empressement à répondre à des menaces très réelles et nouvelles (…) nous avons une eu réelle possibilité de perdre certaines de nos libertés fondamentales dans cette poursuite de la sécurité. Cela est particulièrement vrai lorsque la technologie de surveillance et de notre dépendance sur l’information numérique évolue beaucoup plus vite que nos lois. » Le Président Américain a indiqué que dorénavant, le programme de surveillance fonctionnera en deux étapes « À compter de maintenant, nous allons seulement suivre des appels téléphoniques qui sont associés à une organisation terroriste (…) J’ai demandé au procureur général de travailler avec le Foreign Intelligence Surveillance Court de sorte que pendant cette période de transition, la base de données (des métadonnées, Ndr) pourra être interrogée qu’après une décision judiciaire, ou dans une véritable situation d’urgence. » Obama a également demandé au Congrès à créer un groupe de « défenseurs publics » qui pourra représenter les intérêts de la vie privée. Pour rappel, les données collectées par la NSA comporteraient uniquement le numéro de téléphone de l’émetteur, la durée de l’appel et le numéro qu’il a composé.
Surveillance des alliés
Le président Obama a également abordé un autre programme de surveillance de la NSA, celui qui implique la collecte des courriers électroniques et des appels téléphoniques de cibles basées à l’étranger, y compris quand ils sont en contact avec des citoyens ou des résidents américains. Obama a déclaré que la nouvelle directive « indiquera clairement ce que nous pouvons et ne pouvons pas faire. »
Dorénavant, les Etats-Unis vont utiliser le renseignement que « pour des raisons de sécurité nationale légitimes(…) et non plus pour donner aux entreprises américaines un avantage concurrentiel. » En ce qui concerne les alliés, Barack Obama a expliqué qu’il allait préférer prendre son téléphone pour poser la question directement aux chefs d’Etat que de lancer une opération d’espionnage.
La directive d’Obama s’applique à la collecte de la NSA et précise que cette « moisson » ne doit être utilisée que pour la lutte contre le terrorisme, la prolifération des armes de destruction massive et les cybermenaces, pour la lutte contre la criminalité transnationale et à la protection de l’armée américaine et les forces alliées.
Obama a taclé la Russie et la Chine qui ont ouvertement et bruyamment critiqué les actions de la NSA, en indiquant qu’il ne voyait pas ses deux pays avoir une discussion ouverte sur « leurs programmes de surveillance et la gestion de la vie privée de leurs citoyens« .
Pendant ce temps, en Europe
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.
Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.
Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix. Cette campagne est menée par : Access Now (Bruxelles) ; Digitale Gesellschaft e.V (Allemagne) ; European Digital Rights (EDRI) (Bruxelles) ; Initiative für Netzfreiheit (Autriche) et La Quadrature du Net (France). (WP)
Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.
Chiffrez vos informations
Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).
Vos « surfs »
les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.
Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).
Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !
