Ci-dessous le résultat du scan de votre historique:

	Quel internaute es-tu? Votre personnalité révélée par votre historique de navigation. URLs détectés

94% de navigateurs uniques

Le site Panopticlick, développé par l’Electronic Frontier Foundation (EFF), scannait les paramètres de votre navigateur (polices de caractère installées, liste des plugins etc.) pour en extraire une empreinte personnelle. L’étude réalisée avec les données récoltées a montré que 84% des navigateurs étaient uniques. En d’autres termes, votre navigateur ne partage son empreinte qu’avec 1 seul autre sur 286 777 ! Si vous avez installé Flash ou Java, c’est encore pire : 94% des navigateurs testés avaient une signature unique. Même si la signature évoluait dans le temps (mise à jour des plugins, par exemple), l’équipe de l’EFF était capable de lier la nouvelle signature à l’ancienne dans 99,1% des cas.

On peut gloser sur les cookies, qui permettent d’identifier les internautes et que la Commission Européenne cherche à encadrer, les moyens de suivre les internautes à la trace ne manquent pas.

Votre historique mis à nu

Dans la même veine, votre navigateur peut révéler votre historique de navigation à n’importe quel site, qu’il ait installé l’Open Graph de Facebook ou pas. En utilisant Javascript et les feuilles de style, 2 piliers du web depuis plus de 10 ans, on peut facilement déterminer quels sites vous avez visités.

Le site What the Internet Knows about You , démonstration la plus récente de cette faille, cherche certains sites dans votre historique de navigation et vous présente ses trouvailles (explications techniques ici).

Imaginez-vous dans la peau du webmaster du site du ministère de la Défense. Ca ne vous démangerait pas d’avoir une alerte à chaque fois qu’un utilisateur ayant visité les sites du Hezbollah ou  ayant téléchargé l’Insurrection qui vient débarque sur le site? Et que diriez-vous, en tant que chef de produit chez Meetic, d’une offre différenciée pour ceux qui fréquentent Oumma.com ou Gay.fr ?

On s’est essayé à l’exercice, en vous proposant un test de personnalité où seul votre navigateur répond aux questions. Le programme passe en revue une liste de 84 sites et détermine votre profil en fonction de ceux que vous avez visité.

Ne soyez pas vexé si le test n’est pas concluant. En effet, le script ne différencie pas les sites sur lesquels vous êtes passé une fois l’année dernière de ceux sur lesquels vous passez vos journées. En poussant un peu, on pourrait connaitre le nombre de pages visités sur chaque site, et ainsi raffiner le résultat. Mais votre historique ne stocke pas la date des visites (c’est déjà ça).

Alors, fail ou fake ? Une chose est sûre : quand il n’y a pas d’humain pour trier les données, les algo ne servent pas à grand-chose ;)

—

Photo CC Stéfan et Dunechaser

Retrouvez les deux autres articles de ce troisième volet du manuel de contre-espionnage informatique : Gorge profonde: mode d’emploi et Retour sur 10 ans de Big Brother Awards.

Retrouvez également le premier et le second volet de notre série sur le contre-espionnage informatique.

MaJ : article traduit en italien : Gola profonda: come assicurare la copertura delle fonti nell’ era della sorveglianza totale

Le Watergate n’aurait jamais eu lieu et entraîné la démission du président des États-Unis ni contribué à sacraliser de la sorte le journalisme d’investigation si une “gorge profonde“ -du nom du film X qui, au même moment révolutionna les mentalités- n’avait révélé, en toute confidentialité, à deux journalistes du Washington Post les dessous de cette affaire d’espionnage politique mêlant obstructions à la justice, faux témoignages, écoutes clandestines, détournements de fonds, etc.

Les méthodes de communication utilisées par Bob Woodward et Carl Bernstein, les deux journalistes, avec leur “gorge profonde” et les façons de garantir son anonymat font encore débat.

Il a fallu attendre 2005 pour que William Mark Felt, qui était à l’époque du Watergate le n°2 du FBI, révèle qu’il fut la “gorge profonde” du Watergate. Quel qu’il soit, leur mode opératoire a donc marché : nul n’a su qui, à l’époque, les avait contacté, ni comment ils avaient procédé… sinon qu’ils avaient probablement pour cela utilisé des méthodes dignes de polars, ou d’histoires d’espionnage.

Dans les années 70, tout comme aujourd’hui, les téléphones étaient écoutables. Le problème, aujourd’hui, c’est que l’Internet en particulier, et l’ensemble de nos télécommunications en général, sont systématiquement conservées, voire surveillées. L’informatique laisse des traces (qui communique avec qui, quand, pendant combien de temps), conservées par principe par les opérateurs de télécommunications (afin de se prémunir de tout litige).

Les autorités obligent parfois ces mêmes opérateurs à conserver lesdites traces “au cas où” (y compris en France par exemple, et sans parler des systèmes de surveillance mis en place, souvent par des entreprises occidentales, dans les pays autoritaires).

Rajoutons-y un brin d’Echelon (le système global d’espionnage des télécommunications mis en place par les pays anglo-saxons), de Frenchelon (son “petit” équivalent français) et de leurs avatars exotiques, sans oublier, bien sûr, les systèmes et logiciels espions utilisés tant par les services de renseignement que par les officines d’intelligence économique (montés, ou truffés, d’anciens espions), les mouchards utilisés par les détectives privés, les employeurs qui veulent ainsi surveiller leurs employés, et de plus en plus de particuliers afin d’espionner leurs femmes, maris, nounous et enfants…

Le tableau n’est donc guère réjouissant, et l’on pourrait croire qu’il serait donc de plus en plus difficile, pour un journaliste ou n’importe quel autre professionnel censé garantir la confidentialité de ses sources, de pouvoir travailler correctement, dans la mesure où la surveillance, non contente de se banaliser de la sorte, deviendrait la règle, et non plus l’exception, comme c’était encore le cas du temps du Watergate.

De fait, le meilleur moyen de garantir la confidentialité de ses sources est encore… de ne pas passer par le Net, mais par le courrier papier : contrairement aux télécommunications (mail, tel, fax, SMS, etc.), les enveloppes papier sont fermées, rarement surveillées et encore plus rarement ouvertes, alors que nos courriels sont, eux, d’autant moins confidentiels qu’ils ne sont jamais que des cartes postales, dont le contenu est lisible en clair par l’ensemble des serveurs (souvent plus d’une dizaine) par lesquels ils transitent.

De fait, aucune rédaction, aucun journaliste, n’explique aux gens comment les contacter de façon simple, sécurisée, et en toute confidentialité. Les seuls à le proposer sont un architecte fervent défenseur de la liberté d’expression, John Young, qui diffuse sur son site, cryptome, depuis des années, des documents confidentiels qui lui sont envoyés par email (chiffrés ou non) et Wikileaks, créé tout spécialement pour faciliter ce genre de “fuites” de documents confidentiels.

Il existe pourtant plusieurs possibilités, habilement mises en place par des hackers, ces “bidouilleurs de la société de l’information” sans qui l’informatique en général, et l’Internet en particulier, n’auraient pas été possibles.

Les développeurs et utilisateurs de logiciels libres utilisent ainsi, et depuis des années, un logiciel de cryptographie permettant de garantir, non seulement la confidentialité de leurs télécommunications, mais également leur authenticité, et leur intégrité, afin de s’assurer que les informations échangées proviennent bien, ou ne pourront être lues, que par tel ou tel individu dûment identifié, et non par quelqu’un qui chercherait à usurper son identité, ou bien à l’espionner : GPG (Gnu Privacy Guard, mode d’emploi).

Problème (bis) : bien moins nombreux sont nos lecteurs, internautes, informateurs, à savoir que GPG existe, et donc à s’en servir pour nous contacter. Or, et a priori, seuls les utilisateurs de GPG (ou de PGP, son précurseur) peuvent “chiffrer” leurs messages de sorte qu’ils ne puissent être consultables, “en clair” que par leurs seuls destinataires : la sécurité de la cryptographie à clef publique repose en effet sur le fait que les personnes qui veulent ainsi s’échanger des données, en toute confidentialité, utilisent GPG (ou PGP).

A défaut, on peut utiliser une adresse e-mail jetable, ce que propose par exemple anonbox, créé par les hackers du Chaos Computer Club allemand afin d’envoyer ou recevoir des documents anonymement. Problème : elle n’est valable qu’un jour durant.

Lancé par la Privacy Foundation allemande, une ONG de défense de la vie privée et de la liberté d’expression, privacybox.de fait encore mieux, dans la mesure où elle permet à tous ceux qui ne peuvent ou ne veulent pas utiliser GPG ou PGP d’écrire de façon confidentielle, anonyme et sécurisée, à tout journaliste, blogueur ou internaute qui, utilisateur de GPG ou de PGP, s’y est inscrit (et c’est gratuit, forcément, et puis facile, aussi).

Mieux : plusieurs lecteurs ont bien voulu mettre la main à la pâte et traduire son interface en français (qu’ils en soient remerciés), mais il reste encore quelques pages à traduire :
https://privacybox.de/howto.en.html
https://privacybox.de/howto-apple-mail.en.html
https://privacybox.de/nutzen.en.html
https://privacybox.de/eval.en.html

Les bonnes âmes peuvent me contacter par mail à privacybox[AT]rewriting.net, ou bien encore via le formulaire de privacybox.

Je ne sais combien de blogueurs, journalistes, rédactions ou ONG utiliseront ce service. Mais si ça peut aider, et notamment les journalistes d’investigation, et les lanceurs d’alerte…

Les hackers ne sont pas une partie du problème : ils nous donnent des solutions. Faites tourner !

—

> Illustration CC Flickr Anonymous9000

Retrouvez les deux articles de ce troisième volet du manuel de contre-espionnage informatique : Votre historique mis à nu et Retour sur 10 ans de Big Brother Awards.

Retrouvez également le premier et le second volet de notre série sur le contre-espionnage informatique.

Mais qu’on ne s’y trompe pas, nous ne rions que parce que c’est le nécessaire exutoire à la colère, au désespoir et au très lourd travail de veille, d’information et de rédaction/vérification des dossiers que nous instruisons et mettons en ligne chaque année.

On pourra nous jeter la pierre pour quelques candidatures un peu faiblardes, ou décalées, mais à de rares exceptions près, les candidats méritent tous leurs nominations et leur prix, ou leur exclusion dans le cas du lauréat qu’on ne nommera pas, tant sa participation obstinée à la mise en place d’une société de surveillance et de contrainte est évidente.

Parfois même, nos choix (ceux du public et les nôtres) ne font qu’anticiper sur ce que l’actualité révélera quelques mois plus tard.

Champion hors catégorie, le ministère de l’Intérieur

Le premier dossier qui nous vient à l’esprit est celui du ministère de l’Intérieur, proposé au vote du public pour le palmarès à venir des BBA spécial 10 ans.

Moult fois cité, ce ministère a à son actif quelques fichiers catastrophes dont l’impuissante Commission nationale de l’informatique et des libertés a souligné les dysfonctionnements chroniques : le Stic (fichier de la police nationale) et son pourcentage de fiches erronées qui augmente à chaque contrôle (83% au dernier).

Et ce n’est pas la très attendue Cassiopée (ou Nouvelle chaîne pénale, NCP), application gérant les fichiers de la justice et théoriquement, l’actualisation du Stic par les parquets, qui va changer la donne, puisqu’avant même d’être généralisée, elle bogue.

C’est apparemment grâce à Cassiopée que le député et maire de Franconville Francis Delattre (un ancien commissaire de la Cnil, un comble ! ) a pu sortir les fiches d’Ali Soumaré, un candidat PS aux dernières régionales, et de ses sosies.

Le Fnaeg omniprésent, Edvige coupée en deux, Cristina la discrète

Mais revenons-en à l’Intérieur, à qui l’on doit aussi l’extension ad libitum du Fichier national des empreintes génétiques (Fnaeg) qui contient aujourd’hui les identifiants de plus de 1,2 million de personnes, dont quelques 75% de simples « mis en cause », et donc toujours présumés innocents.

On ferait mieux de qualifier pour ce qu’il est : un « fichier de population », mais pas de n’importe quelle population, celle de la « plèbe décrétée dangereuse ».

Et puis Edvige (fichier des ex-RG), coupée en deux par Hortefeux, et sa soeur Cristina la secrète (fichier de l’ex-DST), dont on ignore tout, parce que même l’« avis favorable avec réserve » de la Cnil est classé « secret défense ».

Sans oublier le projet de triplement des caméras, les Loppsi 1 et 2 (Loi pour l’orientation et la performance de la sécurité intérieure), les LSQ, LSI, LPD (Loi prévention de la délinquance), LPR (Loi prévention de la récidive) et autres sigles barbares (plus d’une vingtaine de lois sécuritaires, en dix ans) visant à instiller la peur dans la population pour qu’elle se tienne tranquille.

C’est à ce ministère aussi qu’on doit le Prix Novlang 2010, exemple s’il en est du concept cher à George Orwell et de la réécriture de l’histoire pour la mettre en conformité avec la réalité officielle du moment.

Il s’agit de l’amendement porté par Brice Hortefeux et Eric Ciotti (rapporteur de la Loppsi 2, et lui aussi distingué en tant que pire « exécuteur de basses œuvres » aux derniers BBA, introduisant la substitution du terme « vidéoprotection » à celui de « vidéosurveillance ») et imposant la modification de toutes les lois antérieures.

A l’Éducation, les ministres tous accrocs au fichage

Autre candidat récidiviste et digne de ces oscars de la honte que sont les BBA, le ministère de l’Education nationale. Tout a commencé en 2002 avec Jack Lang, qui a introduit le logiciel Signa (rebaptisé depuis Système d’information et de vigilance sur la sécurité scolaire, Sivis).

C’est sur la foi de ces collectes annuelles réalisées selon des critères douteux (un tag est-il une violence ? , une violence à la maison est-elle comptabilisable ? ) qu’est aujourd’hui élaborée la fameuse liste des établissements scolaires dangereux.

Ces derniers auront droit à un cher audit, puis à l’achat de caméras et de portiques… de protection, en attendant la visite des équipes mobiles de sécurité (EMS) à demeure de « policiers référents ».

Chassée par la porte, la base élève revient par la fenêtre

En 2004, l’Education nationale (sous la férule de Gilles de Robien, puis de Xavier Darcos) a voulu moderniser sa gestion des établissements scolaires et a lancé « base élèves premier degré ».

Ont suivi les péripéties que l’on sait, la fronde des directeurs d’école, la marche arrière de Darcos » qui a supprimé les données sensibles (bien inutiles à la gestion), et la découverte de la Base nationale des identifiants élèves (BNIE), recensant les « numéros de matricule » qui vont suivre chaque enfant (fût-il scolarisé dans le public, le privé ou à domicile) dès l’âge de 3 ans et sur une durée pouvant atteindre trente-cinq ans. (Voir la vidéo sur la résistance à la base élèves)

Cliquer ici pour voir la vidéo.

Luc Chatel, dernier ministre en date, cautionne le travail de ses prédécesseurs et vient de lancer plusieurs expérimentations dont le fichier de l’absentéisme (assorti de la coupure des allocs) et celui des élèves « décrocheurs », ou encore le « Livret de compétences », dont le contenu ouvrira les portes d’une belle carrière ou d’un bail longue durée à Pôle Emploi.

Avouez qu’autant de zèle à ficher nos enfants méritait bien une mention spéciale fichiers !

Les entreprises du secteur ne cessent d’innover

Au fil des années, nous avons également vu émerger des technologies et des outils nouveaux.

Avec le lobbying des fabricants-par-le-profit-alléchés qui va avec, comme le fameux « Livre Bleu » du Gixel, un consortium d’industriels de l’électronique, qui suggérait au gouvernement de confronter les citoyens « dès l’école maternelle » aux outils de contrôle, pour mieux annihiler leur résistance une fois adultes. (Voir la vidéo, un extrait du documentaire « Total Control », diffusé en juin 2006 sur Arte, avec les explications de Pierre Gattaz, président du Gixel).

Cliquer ici pour voir la vidéo.

La biométrie dans les écoles a fait la une, entre 2002 et 2006. Les logiciels d’analyse d’images et de comportements ont pris le relais. Et aussi les bracelets électroniques, d’abord pour les libérés sous condition, puis pour les bébés, les personnes âgées et, espèrent les marchands de puces RFID, pour toutes les personnes nécessitant un suivi particulier ou un contrôle d’accès sélectif.

C’est tellement plus simple de pucer les gens directement !

L’an passé nous avons vu arriver les fichiers d’analyse sérielles, appliqués non plus aux crimes en série, mais aux délits (punis de plus de 5 ans) type cambriolage, dégradation de biens ou aide au séjour illégal (sic).

La cible prioritaire ? Les populations fragiles

L’autre tendance que nous permet de dégager notre travail de veille, ce sont les populations cibles, visées par la répression, qu’elle affiche ou non la couleur de la prévention.

Les demandeurs d’asile, ceux qu’on appelle maintenant les « illégaux », et les immigrés en général ont toujours été des cœurs de cible. C’est la population cobaye par excellence pour expérimenter les visas et documents d’identité biométriques, voire dans certains pays lointains l’identification des « cheptels » par puçage.

D’autres groupes humains sont venus les rejoindre. Exemple en 2005, l’adjoint au maire de Carcassonne et le commissaire divisionnaire du département qui ont été épinglés pour le fichage organisé des sans domicile fixe.

Dans le viseur, les malchanceux passés par la case psychiatrie

Actuellement, la nouvelle cible, ce sont les malchanceux qui sont passés un jour par la case psychiatrie. Simple incident de parcours, court ou long séjour, médicamentés ou non, l’Etat, avec l’aide de quelques experts dociles, veut absolument les faire entrer dans la catégorie « population dangereuse à surveiller et signaler ».

Et puis il y a les enfants à problèmes, grands ou petits, ceux qui s’éloignent de la courbe du « droit chemin », comme dirait l’auteur d’un rapport fameux, le député Jacques-Alain Bénisti. Voire les foetus, si on écoutait certains chercheurs de l’Inserm, auteurs d’une étude controversée préconisant la détection précoce ou pré-natale de la délinquance.

Tout ceci ne serait pas possible sans les acteurs « locaux » de la politique de la peur. Des « contrats locaux de sécurité » (1997, Chevènement) aux « conseils pour les droits et devoirs des familles » (2007, Sarkozy), ce sont dix ans d’« expériences » visant à canaliser les populations les plus précaires dans un lent mais minutieux carcan panoptique.

La prestation sociale, ce n’est plus un droit, ça se mérite. Sus aux « fraudeurs » ! Les fichiers de l’aide médico-sociale en deviennent le bras armé. L’individu est croisé, recoupé, calculé, disqualifié… Souvent le fichage est introduit en douce, au sein de laboratoires vivants de la « tranquillité publique ».

Aujourd’hui, tous les départements ont pour mission de recenser leurs « pauvres » et d’alimenter, notamment, le fichier central du RSA, le RMI « sous conditions de ressources ». La Caisse nationale des allocations familiales (Cnaf) a même été tentée par une méthode d’entretien policière qui prétendait détecter la « présomption de fraude » chez un allocataire !

Toujours plus de caméras dans nos villes

Toutes les villes, grandes ou moyennes, même de petits villages reculés, succombent à la vidéosurveillance. Fortement incités par les fabricants comme par l’Etat, qui subventionne les villes réticentes (30 millions de budget en 2010). Inefficace sur la délinquance, mais si pratique en terme électoral : « Je vous protège, réélisez-moi. »

Tout le monde suit. Les maires PS de Lyon et Paris ont eu droit à leur Orwell. D’autres utilisent leur fief électoral pour fayoter, comme Christian Estrosi, grand lauréat cette année, qui fait feu de tous bois pour s’acheter une bonne conduite :

> 600 caméras de surveillance

> Couvre-feu pour mineurs

>Portiques de sécurité dans les écoles

> Chantage aux allocs pour « parents démissionnaires »…

L’espace public est quadrillé. Pas un quartier n’est construit sans l’aval des « professionnels de l’aménagement » inféodés au ministère de l’Intérieur. Le contrôle des foules en milieu urbain s’inspire de la « doctrine de la guerre révolutionnaire », testée dans nos anciennes colonies avant d’être exportées en Amérique latine à la demande des dictateurs qui y sévissaient.

Les armes militaires d’hier deviennent les remèdes civils de demain : des drones (aéronefs sans pilote) sont ainsi « adaptés » à la lutte contre les « violences urbaines ». Un mini-hélico lanceurs de balles paralysantes a même été mis au point par le vendeur français du pistolet Taser…

Les technologies, comme on le voit, ne sont jamais neutres. Elles s’adaptent aux politiques et les rendent « acceptables ».

La Cnil, un cache-sexe bien utile

Et la Cnil, dans tout ça ? Ah, La Commission de l’informatique et des libertés ! Tout un poème… Son président Alex Türk, sénateur du Nord, membre de la Cnil depuis quinze ans, a reçu un prix spécial du jury cette année, comme un hommage à son double jeu perpétuel.

Amputée de ses principaux pouvoirs depuis 2004, avec l’aval avisé du sénateur Türk, la Cnil apparaît comme un cache-sexe, une chambre d’enregistrement. Elle ne peut dire « non » contre les fichiers de la puissance publique, seulement « non mais ». Et ses réserves sont « consultatives »…

Elle se débat et alerte encore, certes, n’a mais finalement rien d’un contre-pouvoir comme certains le pensent encore. Elle est même l’un des rouages du pouvoir, et participe donc à la société de surveillance qu’elle continue, par ailleurs, de vaguement critiquer.

L’existence même de la Cnil, dans nos sociétés « démocratiques », apparaît même comme un moyen de légitimer des mesures à tendance totalitaire. Un peu comme un « fusible » démocratique. Combien de courts-circuits y viendront à bout ?

Jean-Pierre Garnier, Jean-Marc Manach, Jerome Thorel et Christine Tréguier

__

Lire aussi l’ouvrage collectif « Les surveillants surveillés » (Zones/La Découverte, oct. 2008)

Crédit Photo Flickr : Joffley

Article initialement publié sur Rue89.

Retrouvez les deux autres articles de ce troisième volet du manuel de contre-espionnage informatique : Gorge profonde: mode d’emploi et Votre historique mis à nu.

Retrouvez également le premier et le second volet de notre série sur le contre-espionnage informatique.

Décryptage d’un fail corporate dans toute sa splendeur.

1 an de préparation

En embauchant Tim Kring, le créateur de la série Heroes, Nokia a décidé de mettre les bouchées doubles. Plus d’un an s’est écoulé entre l’annonce du lancement (Avril 2009) sous le nom de code TEVA et le démarrage du jeu. Quand on voit la qualité de la vidéo de Blackwell-Briggs, on imagine que les coûts de production se chiffrent en millions d’euros. Le tout est réalisé par TheCompanyP, une boîte suédoise spécialiste des jeux de rôles New Age.

Le scénario était pourtant bien rodé. Une firme imaginaire, Blackwell-Briggs, était censée avoir envoyé un clip vidéo au parlement britannique en mars dernier demandant aux députés de voter une loi sur la vidéosurveillance qui leur aurait permis de vendre une solution de flicage de la population par GPS.

Cliquer ici pour voir la vidéo.

La où Nokia a été très fort, c’est qu’ils ont préparé leur buzz dans les moindres détails. La vidéo a été mise en ligne sur The Pirate Bay le 18 mai à 21h. Du 18 au 22 mai, des marionnettes (sockpuppet) très probablement animées par Nokia sont venues laisser des commentaires du genre ‘OMG, c’est typiquement le style de Blackwell-Briggs!!’. Un faux communiqué a même été envoyé à The Pirate Bay pour exiger de retirer le torrent.

Le site de la firme inventée par Nokia est vraiment chiadé. Les textes sont soignés et les pages ont été faites dans le style corporate-triste qui n’est pas sans rappeler le site de l’entreprise ayant servie de modèle, Blackwater. Ce vendeur de porte-flingues est connu principalement pour avoir buté 17 civils en plein Bagdad en 2007.

Le compte Twitter a également été travaillé. Lancé le 9 avril, les updates avaient l’air presque vraies. La soixantaine de followers, en revanche, provenait presque exclusivement d’Europe du Nord. Bizarre pour une firme américaine. Quand on voit la facilité avec laquelle on peut acheter 10.000 followers, on se dit que TheCompanyP a un peu bâclé le travail.

Le jeu commence lorsqu’une mystérieuse organisation, Conspiracy For Good (le complot du Bien), s’insurge contre Blackwell-Briggs et devient le fer de lance du buzz. L’organisation vous incite à “ne pas en être membre” et à faire le bien autour de vous.

Là encore, Nokia et TheCompanyP arrivent presque à faire illusion. Les données du Whois, qui indique les coordonnées des détenteurs des sites web, ont, elles aussi, été soignées et anonymisées, en utilisant Domain Discreet, une boîte spécialisée dans l’anonymisation de coordonnées Whois, utilisée par les sites pornos ou de jeux en lignes.

Plusieurs profils d’utilisateurs ont été créés afin d’enclencher une dynamique et d’attirer les utilisateurs réels (comme pour chaque lancement de site communautaire). Des personnalités comme Ringo Starr ou Dave Stewart participent également, affirmant qu’elles ne sont pas membres.

J’imagine qu’ils lanceront dans les jours qui viennent une application mobile permettant de jouer depuis son portable. Le post annonçant le ‘protocole Hypatia’, daté du 23 mai, semble le confirmer.

Jusqu’à présent, le buzz n’a pas vraiment fonctionné. Les vidéos de Blackwell-Briggs totalisent moins de 10.000 vues en tout. Surtout, la supercherie a été découverte très rapidement étant donné que les conditions d’utilisation de Conspiracy for Good sont celles de Nokia…

Hypocrisie

Quel besoin de dépenser des millions pour se créer un ennemi imaginaire alors que des dizaines de firmes pourraient très bien servir de cible ? Quel danger pour Nokia à dénoncer Blackwater et ses mercenaires ; Aegis, dont les gros bras s’amusent à tirer sur les voitures civiles en Irak ou encore Securitas, qui tabasse les manifestants au Pérou ?

Les exemples de méchants suffisamment petits pour pouvoir être attaqués sans risques par Nokia ne manquent pas. Tout comme les supermarchés Leclerc font la guerre à l’Insee, Nokia aurait pu utiliser son influence pour mener un combat IRL pour le plus grand plaisir de ses clients.

Le retour du boulet va faire mal à Nokia. Certains vont jusqu’à l’accuser de participer aux guerres qui ensanglantent la région des Grands Lacs depuis des décennies. Les mines de la région extraient en effet un métal, le coltan, largement utilisé pour les produits électroniques, y compris les portables. Les théoriciens du complot imaginent Nokia armant secrètement les milices rwandaises et ougandaises pour nourrir le conflit.

Aucun élément ne vient étayer cette thèse, d’autant plus que Nokia a un intérêt à ce que la paix s’installe durablement dans la région : ça ferait baisser les cours du métal. Par ailleurs, la firme finlandaise participe régulièrement à des programmes de recherches humanitaires, ayant par exemple lancé au Pakistan un programme de détection des pneumonies chez les enfants. On pourrait même aller jusqu’à dire qu’en s’intéressant aux consommateurs les plus pauvres, Nokia a plus fait pour le développement que la plupart des firmes qui ne courtisent que les segments les plus huppés du marché. Utilisées partout dans le monde, les sonneries typiques du Nokia 1200 viendront vous le rappeler.

Sur les murs de Lusaka, Zambie. CC Will Survive

Les communicants de Nokia n’en restent pas moins de beaux hypocrites. Tout comme Blackwell Briggs, l’entreprise a fait beaucoup pour la vidéosurveillance. Pionnière dans l’innovation, elle a commercialisé une caméra de surveillance qui vous envoie des MMS directement sur votre portable. Vous pouvez surveiller votre maison, votre baby-sitter ou votre femme où que vous soyez !

Par ailleurs, vous trouverez sur l’Ovi Store des applications de mouchards qui auraient ravi le KGB. Live2Phone vous propose, moyennant 20 euros, de transformer votre smartphone (où celui de votre époux) en caméra, interrogeable depuis votre ordinateur.

Surtout, les Finlandais se sont illustrés en vendant, avec Siemens, une plateforme de surveillance des télécommunications au gouvernement iranien en 2008. Le monitoring center de la joint venture Nokia-Siemens aurait ainsi aidé le gouvernement de Téhéran à retrouver les manifestants anti-Ahmadinejad.

Photo CC streetart#+_♥.tk www.ALT3.tk

Jean-Marc Manach a réalisé une bonne partie de cette enquête.

Mise à jour 25 mai 11:22 SCADA n’a rien à voir avec le buzz de Nokia. Ce sont les initiales de supervisory control and data acquisition, un processus d’acquisition de données. Désolé.

__

Retrouvez les deux autres articles de ce second volet de notre série sur le Contre-espionnage informatique : Petit manuel de contre-espionnage informatique et Comment contourner la cybersurveillance ?

Retrouvez également le premier et dernier volet de cette série sur le contre-espionnage.

Dans une démocratie, je considère qu’il est nécessaire que subsiste un espace de possibilité de fraude. Si l’on n’avait pas pu fabriquer de fausses cartes d’identité pendant la guerre, des dizaines de milliers d’hommes et de femmes auraient été arrêtés, déportés, sans doute morts. J’ai toujours été partisan de préserver de minimum d’espace sans lequel il n’y a pas de véritable démocratie.

Ces propos n’émanent pas d’un crypto-révolutionnaire, mais de Raymond Forni, considéré comme le “père inspiré de la loi Informatique et libertés“, qui fut d’ailleurs, et par trois fois, vice-président de la CNIL entre 1981 et l’an 2000, un poste qu’il quitta pour devenir président de l’Assemblée Nationale.

En 1980, Raymond Forni expliquait déjà ce pour quoi l’opinion sécuritaire ne pouvait que nuire à nos démocraties et, a contrario, renforcer les logiques totalitaires :

La thèse de l’infalsifiabilité comme moyen de lutte contre le terrorisme doit être ramenée à sa juste valeur. Faut-il rappeler que la carte nationale d’identité est – et demeure – facultative et que le terrorisme international se nourrit plus de faux passeports, voire de passeports de complaisance délivrés dans des conditions dont la diplomatie a le secret.

Aujourd’hui, la question n’est plus seulement celle des papiers d’identité, mais aussi celle de la traçabilité, et de la surveillance, auxquelles les citoyens sont soumis dès lors qu’ils vont, notamment, sur l’internet.

La revue Hermès, “l’une des grandes publications scientifiques en langue française consacrée à la communication” (dixit le CNRS, qui la publie), m’a demandé d’écrire un texte pour expliquer, précisément, comment déjouer les nombreuses mesures mises en œuvre pour nous y surveiller, dans son dernier n°, intitulé “Traçabilité et réseaux” (voir l’argumentaire , et le sommaire), coordonné par l’équipe de Prodoper, un projet de recherche du CNRS consacré à la PROtection des DOnnées PERsonnelles.

Je ne prétends pas avoir intégralement couvert le sujet -d’autant que l’article a été écrit il y a maintenant un an), et je me devais aussi d’écrire à l’intention de gens qui sont probablement plus habitués à lire des textes écrits sur du papier qu’à cliquer sur les liens des hypertextes qu’on lit en ligne.

Il n’empêche : il n’est pas courant de pouvoir lire, dans une revue universitaire, et sous l’en-tête du CNRS, un tel modus operandi expliquant que tous ceux qui prétendent régir nos communications, et les surveiller, se trompent de cibles, parce qu’il est, tout simplement et de toute façon, possible d’y échapper.

Alors que, et comme le rappelait récemment Bruno Ory-Lavollée, ancien directeur de la Société pour l’administration des droits des artistes et musiciens interprètes (Adami) : “si le droit d’auteur est un droit de l’homme, cela ne doit pas avoir pour prix une société policière“, il n’est pas inutile de rappeler que l’adoption de l’Hadopi, à l’instar de n’importe quel autre placement, sous surveillance, et par principe, de tout ou partie des internautes, ne pourra que nous entraîner à apprendre comment se protéger, et garantir nos libertés.

Pour bien comprendre en quoi l’Hadopi est une atteinte à nos libertés, et une régression indigne d’une démocratie, je vous conseille la lecture de l’excellente “Lettre ouverte à un représentant de la nation“, sur Slate.fr, qui démontre point par point ce pour quoi cette “loi d’exception”.

Ce texte a été écrit avant que soient rendues publiques les modalités de l’Hadopi, et se base sur une analyse datant de 2001, lorsque les premières velléités de placement sous surveillance de l’ensemble des internautes, sans discrimination, ont commencé à se faire jour.

Vous pouvez télécharger l’article en question, “Comment contourner les systèmes de traçabilité ?“, dont voici l’introduction :

En l’an 2000, Brian Gladman, ancien directeur des communications électroniques stratégiques du ministère de la Défense britannique et de l’OTAN, et Ian Brown, un cryptographe anglais membre de l’ONG Privacy International, rendaient public un texte expliquant comment contourner, en toute légalité, la RIP Bill britannique. Pour eux, cette loi visant à renforcer les moyens de surveillance et de contrôle des internautes s’avérait “techniquement inepte et inefficace à l’encontre des criminels” et risquait, a contrario, de “saper le droit à la vie privée et à la sécurité des citoyens et du marché“.

Partant du constat que les terroristes, et autres criminels, n’ont que faire de respecter la loi, Gladman et Brown avaient ainsi détaillé un certain nombre de moyens visant à aider les citoyens à apprendre à communiquer sur l’internet en toute confidentialité. Leur démarche est d’autant plus salutaire que les gouvernements se contentent généralement, au mieux, d’expliquer que toute action informatique laisse des traces et que l’on est de toute façon surveillé, au pire, de passer des lois sécuritaires renforçant cette cybersurveillance. Etrangement, ils n’expliquent jamais comment, concrètement, protéger sa vie privée sur l’internet, contribuant d’autant à créer un climat de peur, loin du climat de confiance nécessaire à toute démocratie.

Neuf ans plus tard, l’analyse de Gladman & Brown n’a rien perdu de sa pertinence. On ne compte plus les mesures sécuritaires substituant la suspicion de culpabilité à la présomption d’innocence. La France a elle aussi légiféré, dans la foulée des attentats de 2001, afin de placer sous surveillance, et “par principe“, l’ensemble des internautes. Dans le même temps, de nouveaux outils et logiciels sont également apparus, qui renforcent, et facilitent, les moyens de lutter, en toute légalité, contre ce type d’atteintes à la vie privée.

Téléchargez “Comment contourner les systèmes de traçabilité ?”

Article initialement publié sur Bugbrother

Illustration CC Flickr par Niklas Plessing

__

Retrouvez les deux autres articles de ce second volet de notre série sur le Contre-espionnage informatique : Nokia, histoire d’un fail corporate et Petit manuel de contre-espionnage informatique.

Retrouvez également le premier et dernier volet de cette série sur le contre-espionnage.

Nombreux sont les médias à s’être penchés sur la question, de façon souvent quelque peu sensationnaliste. Aucun n’a dans le même temps cherché à expliquer comment l’on pouvait s’en protéger.

Le fait est que, et aussi paradoxal que cela puisse être, la CNIL explique bien, par exemple, comment nous sommes tracés sur le Net… mais sans jamais nous expliquer comment s’en protéger. Et si ces techniques d’espionnage existent depuis des années, force est de constater que jamais les autorités n’avaient cherché, jusque-là, à expliquer aux gens comment s’en protéger (voir, à ce titre, “Internet : quand l’Etat ne nous protège pas“).

Or, il se trouve que deux agences, liées aux services de renseignement français, viennent précisément de publier coup sur coup deux guides destinés à nous aider à sécuriser nos ordinateurs et téléphones portables, et garantir la confidentialité de nos télécommunications.

Initialement destinés à tous ceux qui, patrons, chercheurs, cadres supérieurs, négociateurs, peuvent, du fait de l’espionnage industriel, voir leurs communications surveillées, leur lecture s’avère également très instructive pour tous ceux qui chercheraient à se protéger de l’espionnite aïgue de leurs parents, conjoints, employeurs ou collègues.

Une lecture que goûteront également probablement ceux qui, inquiets des projets de surveillance de l’internet prévus par l’Hadopi, la Loppsi, l’ACTA, ou encore par les pouvoirs accrus confiés aux forces de police et services de renseignement, sont aujourd’hui soucieux de protéger leur vie privée, et leurs libertés.

Alors que Reporters Sans Frontières célébrait récemment la journée mondiale contre la cyber-censure (près de cent vingt blogueurs, internautes et cyber-dissidents sont en prison, en Chine, au Viêt-nam ou en Iran notamment), il n’est en effet pas anodin de noter que les démocraties aussi, surveillent, et censurent l’internet…

A lire en complément du mode d’emploi que m’avait commandé, l’an passé, une revue du CNRS : Comment contourner la cybersurveillance…

Vous êtes en état d’interception : toutes vos télécommunications pourront être retenues contre vous

En août 2008, le département de la sécurité intérieure (DHS) américain annonçait que les ordinateurs portables de toute personne passant par les Etats-Unis pourraient désormais être saisis :

La police des frontières américaines pourra désormais saisir le matériel électronique des voyageurs pour “examiner et analyser l’information transportée par un individu qui tente d’entrer, de réentrer, de partir, de passer en transit ou qui réside aux Etats-Unis“, même si aucun soupçon ne pèse sur l’individu ou les informations qu’il transporte.

Les fédéraux américains peuvent ainsi “détenir les documents et les équipements électroniques, pour une période raisonnable afin de pouvoir faire une recherche approfondie” sur place ou en envoyant l’ordinateur à des spécialistes.

Critiqué de toutes parts, le DHS expliqua que cela lui permettait de lutter contre le terrorisme, la pédo-pornographie, mais aussi le vol de propriété intellectuelle, et précisa que la pratique n’avait rien de nouveau, que ses agents le faisaient depuis bien longtemps :

“Depuis la fondation de la République, nous avons eu la capacité de faire des recherches aux frontières afin d’éviter l’entrée dans le pays d’individus et de produits dangereux. Au 21ème siècle, la plus dangereuse des contrebandes est souvent contenue dans les médias électroniques et pas sur du papier. L’ère des dossiers de papiers et des microfiches est révolu.”

Les autorités françaises, elles, y voient quand même un léger petit problème. Sans pointer explicitement du doigt les USA (d’autant que ce genre de fouille approfondie n’est pas l’apanage des Etats-Unis), les deux modes d’emploi, publiés en décembre et janvier 2010, expliquent comment, précisément, réduire les risques, et protéger ses données, dès lors que l’on voyage ou part en mission avec un téléphone mobile, un assistant personnel ou un ordinateur portable.

De fait, la guerre économique, et l’espionnage industriel, sont une réalité souvent mal perçue par ceux qui, pourtant, peuvent en faire les frais. En 2005, les Renseignements Généraux estimaient ainsi qu’”une société sur quatre est ou a été touchée par l’espionnage industriel“.

En 2009, une “note blanche” de la Direction centrale du renseignement intérieur (DCRI) révélait que “près de 3000 firmes françaises ont été victimes de très nombreuses “actions d’ingérences économiques”, destinées à leur voler leurs secrets de fabrication, à déstabiliser leur direction ou à gêner le lancement de nouveaux produits” entre 2006 et 2008.

Evitez, SVP, d’utiliser un ordinateur…

“Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore.“
– Bruce Schneier, expert mondialement réputé pour ce qui est des questions de sécurité informatique.

Dans un Guide pratique de la sécurité publié en décembre 2009, le Haut fonctionnaire de défense et de sécurité (HFDS) du ministère de l’économie, qui “conseille et assiste les ministres pour toutes les questions relatives aux mesures de défense et de sécurité, tout particulièrement dans le domaine de la défense économique“, a une solution toute trouvée : “le PC portable doit être évité dans la mesure du possible“.

Privilégiez les solutions suivantes :

- Emportez vos fichiers sur un, voire deux, à titre de sauvegarde, support amovible que vous gardez avec vous (les médias de sauvegarde sont régulièrement mis à jour et rangés dans deux bagages distincts).
- Préférez la mise à disposition d’un PC de l’entreprise sur place, dans un environnement de confiance. Dans ce cas, emportez vos fichiers sur unsupport amovible, si possible chiffré en fonction de la législation locale relative aux transmissions chiffrées et gardez ce support en permanence avec vous.

Si le PC portable est indispensable :

- Contrôle d’accès au démarrage avec un mot de passe fort et/ou biométrie.
- Données dans la partition chiffrée du disque dur ou sur un support amovible chiffré et sous surveillance permanente.
- Banalisez le transport de l’ordinateur portable (pas de sacoche portant la marque du fabriquant…).
- Ne relâchez jamais la surveillance de votre PC (il voyage en cabine avec vous).
- Rappelez-vous que toutes les liaisons hertziennes (wifi, bluetooth, carte 3G…) à partir d’un PC, PDA ou téléphone portable peuvent être interceptées.

…à défaut, restez vierges

Sous-titré “Partir en mission avec son téléphone mobile, son assistant personnel ou son ordinateur portable“, le Passeport de conseils aux voyageurs, co-signé Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI, rattachée au Secrétaire général de la défense nationale), et Régis Poincelet, vice président du Club des directeurs de sécurité des entreprises (CDSE), rappelle lui aussi que “les cybercafés, les hôtels, les lieux publics et parfois même les bureaux de passage n’offrent pas de garantie de confidentialité. Dans de nombreux pays étrangers, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains, les chambres d’hôtel peuvent être fouillées“.

Le guide commence par rappeler qu’au premier chef, les appareils “ne doivent contenir aucune information autre que celles dont vous avez besoin pour la mission” et que doivent en particulier être proscrites les “photos, vidéos, ou œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation ou des mœurs du pays visité“.

Règle n°1 : ne jamais partir en voyage avec son ordinateur personnel, ni de travail, mais de ne voyager qu’avec un disque dur vierge de toute donnée.
Règle n°2 : prenez connaissance de la législation locale.
Règle n°3 : sauvegardez les données que vous emportez, “vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements“.
Règle n°4 : évitez de partir avec vos données sensibles. “Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant :
- au réseau de votre organisme avec une liaison sécurisée, par exemple avec un client VPN mis en place par votre service informatique.
- sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite après lecture“.
Règle n°5 : emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
Règle n°6 : mettez un signe distinctif sur vos appareils (comme une pastille de couleur), “cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse“.

A noter, en complément de la règle n°4, un petit truc, inspiré de la technique bien connue de la boîte aux lettres morte et qui aurait été utilisé par des terroristes pour échapper à la surveillance étatique : partager une boîte aux lettres électroniques, en n’y écrivant qu’en mode brouillon : les emails ne sont dès lors pas échangés, ils ne circulent pas sur les réseaux, et ne peuvent donc être consultés que par ceux qui se sont connectés (de façon sécurisée, via https) à la boîte aux lettres en question.

Chiffrez l’intégralité de vos données

D’un point de vue plus technique, le passeport recommande de “configurer les appareils de manière défensive“, et donc d’installer sur vos appareils numériques de quoi “résister aux attaques informatiques et éviter le vol de données” :

- Désactivez les liaisons inutilisées (Bluetooth, infrarouge, wifi, …) et les services inutiles ;
- Paramétrez le pare-feu et le navigateur de manière restrictive;
- Utilisez un compte sans droits administrateur;
- Mettez à jour les logiciels (système d’exploitation, navigateur, anti-virus, pare-feu personnel, etc…);
- Désactivez l’exécution automatique des supports amovibles (CDROM, Clés USB);
- Désactivez les services de partage de fichiers et d’imprimantes.

Afin de garantir la confidentialité des données, il convient également d’installer “un logiciel qui assure le chiffrement de l’environnement complet de travail (disque dur, fichiers temporaires, fichier d’échange, mémoire)” pour ce qui est des ordinateurs portables, d’”un logiciel assurant le chiffrement de l’intégralité du répertoire de contacts, de l’agenda et des messages” pour les PDA et les Smartphone (”à défaut, activez la protection d’accès par code PIN“).

On peut également se reporter au manuel de sécurisation des iPhone publié par la National Security Agency américaine (chargée d’espionner les télécommunications du monde entier, mais également de sécuriser celles des Américains), publié en décembre 2009, et dont la plupart des conseils peuvent également s’appliquer aux autres modèles de téléphones portables.

La NSA y rappelle au premier chef de ne jamais se séparer physiquement de son mobile, dès lors qu’il existe des logiciels et outils qui, une fois installés sur les appareils, permettent de les écouter à distance.

De même, et à l’instar des bonnes pratiques recommandées pour ce qui est des ordinateurs, il est vivement conseillé de protéger l’accès aux données par un mot de passe (la plupart des téléphones permettent de paramétrer un écran de veille qui ne peut être désactivé que par un mot de passe), voire de le configurer de sorte que le téléphone efface toutes les données après X tentatives infructueuses d’y accéder.

Dans la mesure du possible, évitez d’utiliser le Wifi (sauf s’il est vraiment sécurisé, de préférence en WPA2), et désactivez bien évidemment le BlueTooth, ainsi que la géolocalisation.

Le n°24 de la revue ActuSécu, paru en janvier 2010, revient en détail sur les problèmes de sécurité des iPhone. Tout comme la NSA, elle déconseille fortement de “jailbreaker” son téléphone.

Cette opération, consistant à passer outre les restrictions imposées par Apple afin d’y installer un autre système d’exploitation, installe en effet par défaut un “serveur” sur le téléphone, serveur qui, ouvert, offre la possibilité à des individus mal intentionnés de s’y connecter, et d’y récupérer l’intégralité des données…

Ceux qui, malgré tout, voudraient jailbreaker leur iPhone prendront le soin de modifier les mots de passe des comptes root et mobile. Par défaut, ces deux comptes ont le même mot de passe : alpine…

Bon voyage

Une fois ces règles bien comprises, et vos appareils et systèmes de communication paramètres de sorte d’être correctement sécurisées, “vous disposez maintenant des bons bagages pour partir en toute sécurité…“, ou presque, comme le rappellent les auteurs du rapport, au chapitre “Pendant la mission” :

1) Gardez vos appareils, support et fichiers avec vous !
Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre).
2) Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie.
3) Utilisez un logiciel de chiffrement pendant le voyage.
Ne communiquez pas d’information confidentielle en clair sur votre téléphone mobile ou tout autre moyen de transmission de la voix.
4) Pensez à effacer lʼhistorique de vos appels et de vos navigations (données en mémoire cache, cookies, mot de passe dʼaccès aux sites web et fichiers temporaires).
5) En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
Fournissez les mots de passe et clés de chiffrement, si vous y êtes contraint par les autorités locales.
6) En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
7) N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
8) Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et effacez les fichiers, de préférence avec un logiciel d’effacement sécurisé.

La sécurité est un process, pas un produit

Dans un autre accès de clairvoyance, Bruce Schneier avait également déclaré que “Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie“.

Dit autrement, la sécurité est un processus, pas un produit, et rien n’est pire qu’un faux sentiment de sécurité engendré par une accumulation de “trucs” ou parce qu’on a acheté tel ou tel “produit” ou logiciel de sécurité.

Les auteurs du rapport rappellent ainsi qu’”avant votre retour de mission“, un certain nombre d’autres mesures de protection s’avèrent, sinon indispensables, tout du moins fortement conseillées :

1) Transférez vos données

- sur le réseau de votre organisme à l’aide de votre connexion sécurisée ;
- sinon sur une boite de messagerie en ligne dédiée à recevoir vos fichiers chiffrés (qui seront supprimés dès votre retour). Puis effacez les ensuite de votre machine, si possible de façon sécurisée, avec un logiciel prévu à cet effet.

2) Effacez votre historique de vos appels et de vos navigations

Après la mission, tout particulièrement si votre équipement a échappé à votre surveillance :

1) Changez les mots de passe que vous avez utilisés pendant votre voyage.
2) Analysez ou faites analyser vos équipements.
“Ne connectez pas les appareils à votre réseau avant d’avoir fait au minimum un test anti-virus et anti-espiogiciels“.

Ayez une bonne hygiène… du mot de passe

De façon plus générale, il est de toute façon recommandé d’avoir une bonne hygiène du mot de passe, et donc de ne jamais les écrire sur des bouts de papier, de toujours mêler lettres minuscules, majuscules, chiffres et caractères spéciaux, d’en changer régulièrement, et de ne surtout pas utiliser un seul et même mot de passe pour les comptes les plus importants…

L’une des techniques préférées des pirates informatiques, et des espions, est d’installer un “cheval de Troie” sur l’ordinateur de leurs victimes, afin d’en prendre le contrôle ou, via un “keylogger” (enregistreur de touches de clavier) de capturer leurs mots de passe, et donc d’être maître de leurs ordinateurs.

Une technique fort utilisée en matière d’espionnage industriel lorsque la personne à espionner n’a pas d’ordinateur, et que c’est l’espion qui le lui fournit… et que le gouvernement français s’apprête, lui aussi, à autoriser. La Loppsi prévoit en effet de donner la possibilité aux forces de l’ordre d’installer de tels mouchards ou logiciels espions sur les ordinateurs des personnes suspectées de crimes en “bande organisée“, notion fourre-tout melant terrorisme, vols, trafic de drogue, proxénétisme mais également l’aide à l’immigration clandestine, il n’est pas inutile de savoir comment saisir un mot de passe sans risque de le voir intercepté.

A la manière des antivirus, il existe des anti-keyloggers, mais ils sont payants, et ne détectent généralement que les keyloggers connus existants sur le marché. Deux techniques, relativement simples, permettent a priori de se prémunir contre ce genre de mouchards : la première, et plus connue, consiste à utiliser le clavier virtuel de son ordinateur (certaines banques en ligne en propose aussi), et donc de, non pas taper le mot de passe sur le clavier, mais de le cliquer, avec la souris.

L’autre technique, exposée par le blogueur Korben, consiste à taper un grand nombre de caractères, de manière aléatoire, en parallèle à la saisie du mot de passe. Ainsi, et au lieu d’entrer, par exemple, m0T2p4$s3, l’utilisateur averti saisira dans le formulaire m0 puis, à côté, dans le vide, une suite de caractère aléatoire, puis T2, etc. De la sorte, ce qui aura été capté par le keylogger ou le cheval de Troie se présentera sous la forme : m0ezrf45T2sdfv84p4zrtg54$s3zerg48, rendant bien plus difficile la fuite du mot de passe.

La sécurité, ça se mérite, et ça s’apprend

Une chose est d’apprendre à sécuriser son mot de passe, et de chiffrer l’intégralité de son disque dur, et donc les données qui y sont inscrites, une autre est d’éviter qu’elles ne fuitent. Les auteurs du passeport conseillent ainsi d’installer “un logiciel d’effacement sécurisé des fichiers afin de pouvoir éventuellement supprimer toutes les données sensibles lors du déplacement“, mais également de “configurer le serveur et le client de messagerie pour que les transferts de messages soient chiffrés par les protocoles SSL et TLS“.

Tout ceci vous paraît cryptique ? Allons… De même que c’est en pédalant que l’on apprend à faire du vélo, c’est en contre-espionnant que l’on apprend à se protéger. Avec un peu d’entraînement, vous apprendrez à maîtriser les techniques et outils qui correspondent à vos besoins. Avec un peu de pratique, elles deviendront des réflexes. La sécurité, ça se mérite, et ça s’apprend.

Pour certains, la paranoïa est un métier, en tout cas une tournure d’esprit les invitant, en constance, à la prudence. Mais pour la majeure partie des gens, la question est moins de se protéger, en tout temps, que de savoir comment protéger telles ou telles données, de savoir comment ne pas laisser de traces, ou comment les effacer.

L’important est de bien mesurer les risques encourus, les menaces auxquels vous avez à faire face, et d’y répondre par la ou les techniques appropriées, au moment opportun. Comme je le rappelais par ailleurs dans “Comment contourner la cybersurveillance“, aucune solution n’est fiable à 100% et rien ne sert, par exemple, d’installer une porte blindée si on laisse la fenêtre ouverte. Il convient d’autre part de ne jamais oublier qu’en matière informatique en générale, et sur l’internet en particulier, l’anonymat n’existe pas. Il arrive fatalement un moment où l’on se trahit, où l’on commet une erreur, ou, plus simplement, où l’on tombe sur quelqu’un de plus fort que soi.

La sécurité informatique est un métier, elle ne s’improvise pas. Par contre, elle s’apprend. Pour en savoir plus sur les outils et technologies à utiliser, voici quelques liens, sites web et ressources susceptibles, a priori, de répondre à toutes vos questions :

. “Comment contourner la cybersurveillance“, l’article que j’avais rédigé pour le CNRS, et basé sur un article rédigé par l’ancien directeur des communications électroniques de la Défense britannique et de l’OTAN,

. “Security in a box“, mode d’emploi (en français) bien plus pratique et détaillé, réalisé par deux ONG de défense des droits humains à l’ère de l’information,

. le Wiki de l’internet libre de Korben.info, qui regorge d’informations pratiques sur la sécurité informatique,

. le Guide d’autodéfense numérique qui explique, pas à pas, comment configurer son ordinateur (hors connexions internet) de façon sécurisée en fonction des risques encourus,

. les 10 commandements de la sécurité informatique, sur securite-informatique.gouv.fr, et ses modules d’autoformation, notamment ceux consacrés aux Principes essentiels de la sécurité informatique, à la Sécurité du poste de travail et aux mots de passe.

. Ordinateur & Sécurité Internet, Vie Privée, Anonymat et cætera, qui fut un temps considéré comme une menace par le FBI parce qu’expliquant aux internautes comment apprendre à rester anonyme.

. Guide pratique du chef d’entreprise face aux risques numériques (.pdf) rendu public à l’occasion du Forum International sur la Cybercriminalité et rédigé par des gendarmes, policiers, juristes et professionnels de la sécurité informatique,

. les 12 conseils pour protéger votre vie privée en ligne de l’Electronic Frontier Foundation et son manuel d’auto-défense numérique (en anglais), rédigé pour aider les internautes confrontés à des régimes autoritaires, ainsi que, et toujours en anglais :

. Hints and Tips for Whistleblowers

. BlogSafer: Speak Freely and Stay Free

. Digital Security and Privacy for Human Rights Defenders

__

Retrouvez les deux autres articles de ce second volet de notre série sur le Contre-espionnage informatique : Nokia, histoire d’un fail corporate et Comment contourner la cybersurveillance ?

Retrouvez également le premier et dernier volet de cette série sur le contre-espionnage.

1. Avez-vous écrit votre mot de passe sur un bout de papier ?
2. Votre mot de passe est-il un nom commun que l’on peut trouver dans le dictionnaire ?
3. Votre mot de passe est-il un nom commun suivi de 2 chiffres ?
4. Votre mot de passe est-il un nom de personne, de lieu ou d’animal ?
5. Quelqu’un d’autre connait-il votre mot de passe ?
6. Utilisez-vous le même mot de passe pour plusieurs comptes et depuis longtemps ?
7. Utilisez-vous le mot de passe par défaut du constructeur ou de l’éditeur ?

Si vous avez répondu oui à l’une des questions ci-dessus (à part la 1 et la 5), vous êtes mal barré ! Un mot de passe simple le rend susceptible à une attaque par force brute, où l’assaillant essaye plein de combinaisons rapidement.

CC John Kannenberg

La force brute fonctionne très bien en revanche pour les systèmes où personne ne lit les logs qui enregistrent les tentatives de connexion. C’est le cas par exemple de votre routeur WiFi, dont la clé WEP peut être devinée en quelques minutes.

Pour vous aider à choisir un bon mot de passe, nous avons adapté l’application crée par smallhadroncollider, How Secure is my Password ? Si après ça vous êtres toujours en manque d’imagination, lisez ces conseils pour choisir un bon mot de passe.

Photo CC sponng

Mise à jour suite au commentaire de Vincent: les questions 1 et 5 ne concernent pas une attaque par force brute.

__

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Des milliers d’emails piratables sur les sites .gouv.fr et Enquête : 70 centimes les 1000 captchas.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.

La DPSD et la DRM sont loin d’êtres les seules entités de l’armée dans ce cas. Citons, ainsi, l’Ecole militaire, le Commandement Air des Systèmes de Surveillance, d’Information et de Communication, le service de santé des armées, le responsable de la communication de l’armée de terre sur le quart sud-est de la France, la direction des ressources humaines de l’armée de l’air et la direction du personnel militaire de l’armée de l’air, un administrateur civil de la Délégation aux affaires stratégiques, placée sous l’autorité directe du ministre de la Défense et chargée du conseil géopolitique, stratégique et prospectif…

Les mails de Sarah Palin et de députés piratées

Non content de déléguer la gestion de leurs boîtes aux lettres électroniques à des sociétés privées dont certaines sont contrôlées par des entreprises américaines, ces militaires prennent aussi le risque, tout bête, de se voir pirater leurs adresses e-mails.

Car le problème, avec ces webmails, c’est qu’il suffit de cliquer sur le lien “J’ai oublié mon mot de passe” pour se voir proposer de répondre à une ou deux questions du type “Où avez-vous rencontré votre conjoint ?” pour réinitialiser le mot de passe, et donc prendre le contrôle de la boîte aux lettres. Ce qui est arrivé, l’an passé, à Sarah Palin, leader du parti républicain aux Etats-Unis. Sa question supposée secrète était “où avez-vous rencontré votre mari?” La réponse était sur le web. Deux députés français se sont également récemment fait ouvrir leurs boîte aux lettres virtuelles de cette manière.

L’attaque contre Twitter, menée par le désormais célèbre Hacker Croll, se fondait également sur une faille de sécurité des webmails. En l’espèce, un employé de Twitter utilisait Gmail, qui proposait d’envoyer le mot de passe oublié à une adresse e-mail secondaire. Cette dernière, hébergée chez Hotmail, était désactivée. Croll n’a eu qu’à la réactiver pour récupérer le mot de passe…

Une étude a montré que 20% des internautes pouvaient deviner les réponses aux questions de sécurité de leurs amis. Au Texas, des chercheurs se sont aperçus que 30% des noms de jeune fille des internautes pouvaient être obtenus en consultant des archives publiques.

Une équipe britannique a établi qu’un cracker avait à peu près 1 chance sur 80 de trouver la réponse aux questions de sécurité de type “Quel est le nom de jeune fille de votre mère ?” en se basant uniquement sur les noms les plus courants. En Corée par exemple, où la concentration des noms est la plus forte, vous avez 40% de chances que le nom en question soit Kim, Park ou Lee.

Des centaines de milliers d’e-mails vulnérables

Pour mieux mesurer l’ampleur du problème, j’ai proposé à Nicolas Kayser-Bril, “datajournaliste” à Owni.fr, de développer une petite application, que nous avons intitulé mail.icio.us, afin de voir combien d’adresses e-mails vulnérables sont disponibles sur les sites des principales administrations. Et force est de constater qu’elles sont légions.

On dénombre ainsi près de 55 000 mentions d’adresses utilisant des webmails piratables sur l’ensemble des sites en .gouv.fr, plus d’une dizaines de milliers d’associations et de contacts sur celui du Journal Officiel, des centaines de mairies sur service-public.fr, mais également, et c’est plus gênant, des centaines de contacts dans les ambassades et d’adresses d’expatriés sur le site du ministère des Affaires étrangères, de militaires ou prestataires sur celui de la défense nationale, des dizaines d’experts automobiles sur celui de la sécurité routière, de professionnels de l’éducation nationale, une trentaine de députés…

Aux États-Unis, on trouve ainsi plus de 750 000 mentions d’adresses utilisant des webmails sur l’ensemble des sites en .gov, dont plus de 25 000 sur les serveurs de l’armée américaine, un millier sur ceux de la NASA, la National Science Foundation ou la Chambre des représentants, et près de 100 sur le site du FBI…

La situation est encore plus critique dans les pays où les fonctionnaires n’ont pas d’autre choix que d’utiliser des webmails, par manque d’infrastructure locale. En Afrique, la plupart des ministres utilisent des boîtes mail hébergées par Yahoo. Et sur les 40 contacts de l’Agence Internationale à l’Energie Atomique en Afrique, par exemple, pas moins de 21 utilisent Yahoo.

Ces données ont été récupérées à partir de listes des administrations aux Etats-Unis, en France et en Allemagne.

Nous avons ensuite utilisé l’API de Google Search pour obtenir une estimation du nombre de pages contenant une adresse webmail @hotmail.fr (et .com), @yahoo.fr (et .com), @laposte.net ou @voila.fr, les plus “simples” à pirater. Cette estimation n’est pas extrêmement fiable, ce qui explique les différences de résultats entre nos données et celles que vous pourrez trouver en faisant une recherche vous-même. Par ailleurs, le chiffre compte des pages, qui peuvent contenir plusieurs adresses e-mail (voir l’appli mail.icio.us).

Alors que le Pentagone se prépare sérieusement à la “cyber-guerre“, tout comme la gendarmerie française, il est frappant de constater des failles béantes dans la sécurité des administrations nationales. Le gouvernement dépense des dizaines de millier d’euros pour assurer la sécurité de ses communications privées (voir chez Thales, par exemple). L’utilité de ces défenses est sérieusement diminuée si un assaillant peut avoir accès à de nombreuses boîtes e-mails au sein de l’administration.

Une fois à l’intérieur d’une boîte mail, un cracker peut facilement gagner la confiance des collègues ou des supérieurs en se faisant passer pour sa victime. Il est alors plus facile de leur envoyer des logiciels malveillants en pièces jointes. Une bonne partie de l’opération Aurora, lors de laquelle Google a été attaqué en Chine, s’appuyait sur ce type de stratégie (voir cette présentation).

Les solutions sont très faciles à implémenter. Il suffit d’utiliser des webmails plus sécurisée ou d’utiliser les solutions mises à disposition par l’administration (les adresses de type prenom.nom@ministere.gouv.fr). Rajoutez à ça un bon mot de passe et vos communications en ligne deviennent beaucoup, beaucoup plus sûres. Ca n’empêchera pas un assaillant déterminé d’avoir accès à vos données. Mais ça lui compliquera la tâche.

Contactées, la DRM et la DPSD n’ont pas voulu répondre à nos questions. A suivre, une interview d’Eric Filiol, directeur d’un laboratoire de virologie et de cryptologie qu’il avait créé du temps où il était lieutenant-colonel de l’armée française, et un manuel de contre-espionnage informatique, pour apprendre à se protéger.

__

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Blinde ton mot de passe et Enquête : 70 centimes les 1000 captchas.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.

Comprendre une armada de jeunes asiatiques payés au lance-pierre pour déchiffrer à la chaîne des milliers de captchas, ces images affichant chiffres et lettres, mises en place pour empêcher la profusion des spams.

Pour contourner les protections mises en place par les plateformes de blogging et d’e-mail, les spammeurs n’hésitent pas à recourir à de la main d’œuvre laborieuse d’Asie du Sud. Et cette pratique se répand.

Pas étonnant, étant donné que la plupart des salaires proposés (généralement aux alentours de 3$ de l’heure) sont bien plus élevés que les salaires moyens (au Pakistan, le revenu moyen journalier par habitant est de 3$ par jour, deux fois moins au Bangladesh).

Quelques dollars de l’heure : un prix ridicule pour une entreprise anglaise ou américaine, pas si mal pour de jeunes asiatiques diplômés et équipés. Ce qui n’empêche pas certains chiffres d’effrayer : entre 70 centimes et 1 dollar les 1000 captchas déchiffrées.

Mais au-delà de ce type de travail, c’est tout un écosystème de « freelancing borderline » qui se développe sur Internet. Vous voulez une liste de quelques milliers d’adresses mail fonctionnelles ? 10 000 faux fans sur votre page Facebook d’ici demain ? Ou pire ? Ne cherchez plus, il y a forcément un freelancer pour ça.

Et les barrières entre légalité et illégalité semblent bien fragiles.

5000 photos d’ados en 24h? No problem.

Alors, ce serait si facile d’embaucher quelqu’un pour faire son sale boulot? Ne reculant devant aucun danger pour ses lecteurs, l’équipe d’OWNI, inspirée par les plus grands reportages des Infiltrés, est allé vérifier.

Nous avons cherché des freelancers capables de nous extraire les infos personnelles de 5000 comptes Facebook en France. Nos conditions: que des filles entre 13 et 16 ans, avec photos (regardez l’annonce sur le site odesk.com).

Plus sale, tu meurs.

Sans surprise, plusieurs Philippins, Bangladeshis, Indiens et Pakistanais nous ont proposé leurs services, à un tarif oscillant entre 2 et 4 euros de l’heure. Si les modérateurs des sites en question ont publiés l’annonce sans broncher, un freelancer s’interroge quand même sur la légalité de la chose. Avant de proposer de l’accomplir en 24 heures.

Plus étonnant, Tayyab N., jeune pakistanais titulaire d’un master d’histoire islamique de l’Université de Peshawar, nous a envoyé un échantillon d’un travail réalisé l’année dernière. Sur une feuille Excel, les noms, dates de naissance, sexes et numéros de téléphone d’utilisateurs de Facebook. A la grosse louche, la précédente commande concernait environ 1000 profils (l’échantillon en contient 130 jusqu’à la lettre AN). Après quelques vérifications, les données fournies par Tayyab semblent correctes à 80% (mais le fichier date de 2009) et concernent en majorité des étudiants et étudiantes australiennes. Dans quel but? Mystère.

Un autre freelancer, sur le site Freelancer.com, nous a envoyé ses références en Facebook Bulk Marketing (marketing de masse). A le croire, les 10 000 fans de plusieurs sites commerciaux et institutionnels n’ont rien d’authentiques. (Et si l’on en croit les nombreuses annonces proposant ou réclamant plusieurs milliers de fans pour une page Facebook en quelques heures, on est tout disposé à le croire).

D’après les quelques éléments dont on dispose, ces professionnels de Facebook animent quelques dizaines de profils disposant chacun de 1000 à 4000 amis, élaborés en fonction du marché visé. Tous ces profils sont évidemment des nanas en maillot de bain, mais leurs informations personnelles sont suffisamment travaillées pour ne pas paraître soupçonneux pendant la seconde qu’on prend à accepter ou refuser un ami.

Le fait qu’une telle annonce ait pu être validée sur une plateforme pose la question de leur contrôle. Nous avons donc contacté Xenios Thrasyvoulou, le CEO de PeoplePerHour.com, un des principaux acteurs du marché. Il semble d’abord un petit peu déconcerté par nos questions et ne semble pas très au courant de ce genre d’annonces. “Nous vérifions tout le site” nous affirme-t-il cependant. Quand nous lui posons la question de l’éventuelle présence d’offres à la limite de la légalité, il nous explique “ne pas les autoriser”.

Nous insistons et le mettons devant le fait accompli : “il y a toujours ce genre de choses, comme partout et comme toujours” s’entend-on répondre.

Le contrôle des offres postées sur le site se fait a priori, et semble fonctionner : notre annonce – acceptée sans plus de précaution par oDesk – n’a ainsi toujours pas été validée par PeoplePerHour. Si le CEO nous explique qu’ils font “plus que [leurs] concurrents pour la qualité des jobs”, il ne semble ni très intéressé, ni très concerné par la question – même lorsque nous mentionnons un possible lien avec le spamming.

Peut-être parce que cela ne représente, dans le meilleur des cas, qu’une petite partie infinitésimale des offres postées sur le site : 5% seulement de ces dernières sont dites “administratives”. Et si la plateforme semble mieux contrôlée et administrée que certaines de ses rivales, cela n’empêche pas PeoplePerHour de compter de nombreuses offres à l’intitulé douteux.

Pour nous expliquer ce phénomène, nous avons contacté un expert Français du “Black Hat SEO“. Il nous a confirmé que le décodage de captcha “à la chaîne” par des humains était utilisé pour améliorer artificiellement le référencement de certains sites ou services (grâce à des spams, en créant de faux blogs ou en multipliant les inscriptions à des annuaires en ligne). Ainsi, la plupart des outils et services utilisés à cette fin ont recours systématiquement (via des API) à cette saisie humaine. Inutile de préciser que la légalité de ce genre de pratique est douteuse.

Mais au delà des captchas, il est donc hyper facile de faire faire à un freelance en Asie à peu près n’importe quel boulot à la limite de la légalité. Le site hire-a-killer.com semble beaucoup plus réaliste, d’un coup.

Mais que fait la police?

Affolés par la facilité avec laquelle on pouvait externaliser ses coups bas, nous avons contacté les cyberflics, qui officient sous le doux nom de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCTLCIC), pour leur demander si c’était bien légal, tout ça.

Manifestement pris au dépourvus, ils trouvent que “c’est une bonne question”. “Faudrait regarder dans le code pénal”, poursuivent-ils, avant de nous renvoyer vers le service com’ de la PJ. Contactés mercredi, ils n’ont pas encore répondu.

Si cet article vous a donné des idées, sachez quand même que le commanditaire d’un délit encourt les mêmes peines que celui qui l’exécute… (merci Laura de m’avoir trouvé l’art. 121-6 du code pénal)

_

Article co-écrit avec Martin U. /-)

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Des milliers d’emails piratables sur les sites .gouv.fr et Blinde ton mot de passe.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.