Nous écrivions hier (ici) que la société italienne ‘Hacking Team’ avait été piratée. On sait à présent qu’il va falloir un certain temps avant de réaliser à quel point ils ont été ridiculisés. ‘Hacking Team’ est une société d’espionnage privée qui vent des logiciels espions à des gouvernements, des polices, des services de renseignements et autres agences gouvernementales. Leur produit phare, RCS, est un virus qui peut infecter n’importe quel système d’exploitation pour rapporter des informations au commanditaire. Jusqu’à présent, la Belgique ne semble pas faire partie de la liste des clients de cette société, mais il va falloir un certain temps pour que les 400Go de données soient traités par les différents analystes.

Qui plus est, le hacker a communiqué avec des journalistes : il aurait prit tout ce qu’il y avait à prendre sur les serveurs, plus d’1To (1000Go) de données. On peut donc supposer que d’autres informations pourraient fuiter sous peu. C’est (selon notre décompte, possiblement incomplet) au moins la quatrième fois que ‘Hacking Team’ fait face à une fuite. Depuis plusieurs années, des versions de son virus apparaissent sur la toile (envois anonymes à des éditeurs d’antivirus, à Wikileaks,…), forçant probablement les développeurs à ré-écrire leur virus pour éviter d’être détectés.

Dans l’une des conversations e-mail interne à l’entreprise, on peut voir deux employés discuter de PGP « Pourquoi n’utilisons nous pas PGP pour protéger nos e-mails? » demande le premier. L’autre lui répond « Nous n’avons rien à cacher ». ‘Hacking Team’ vendait pourtant son logiciel au Soudan, ce cas particulier étant illégal. Dans les abondantes conversations, on peut aussi voir des développeurs de Tor, de Wikileaks et d’autres ingénieurs en sécurité être insultés grassement, le PDG de ‘Hacking Team’ qui fait part de son avis concernant le bombardement de l’Iran à des fonctionnaires américains, etc…

Les clients de ‘Hacking Team’ ont reçu ce matin un e-mail leur conseillant très vivement de désactiver les copies de RCS qui sont en circulation. RCS est à présent compromis et pourra être détecté, en plus d’être repris par d’autres hackers : puisque la firme italienne avait installé -sans le dire à ses clients- une porte dérobée dans son logiciel, qui lui permettait de reprendre la main. Devant un tel bide, la société pourrait peut-être mettre la clé sous la porte.

Concernant la méthode, on sait à présent que ce sont deux employés -haut placés- de la société qui ont été piratés (leur mot de passe était ‘mot de passe’…) Ceux-ci avaient accès à la totalité du contenu des serveurs de la société. Le pirate serait la même personne qui avait piraté Gamma (éditeur de l’autre célèbre virus espion ‘FinFisher’). Il a publié les 400Go sur Bittorrent. Le fichier torrent a été diffusé via le site de partage de fichiers Mega. Les fichiers peuvent également être consultés -avec prudence- sur ce site.

Edit : Deux communiqués viennent d’être publiés : le premier de Hacking Team, qui prétend avoir été victime d’une attaque « d’un très haut niveau technique, possiblement venue d’un groupe politique organisé ou d’un gouvernement ». Ce qui ne tient absolument pas debout. Le second est le témoignage de divers experts informatiques qui relativisent la « puissance de feu » de Hacking Team : les failles utilisées sont toutes très anciennes (Win32k, Flash, Word, Java,…), les attaques contre Mac OSX n’ont pas été mises à jour récemment et les attaques contre iOS et Android nécéssitaient la plupart du temps un appareil rooté/jailbraiké.

Christian Pozzi va avoir du mal à retrouver du travail tout de suite. Son mot de passe:

Komanche, filiale du groupe Contrôle Sécurité Défense (CSD) propose un système de vidéosurveillance intelligent capable de discernement contre les intrusions: Visiomind. Alliée aux caméras proposées par le groupe, cette technologie a pour but de constituer un « bouclier vidéo » autour de sites à protéger. La vidéo intelligente existe depuis 10 ans, mais les systèmes actuels utilisent la pixellisation, générant un taux d’erreur de l’ordre de 10%. VisioMind n’exploite pas l’image, elle n’exploite que l’intelligence. La technologie est fondée sur le discernement intelligent, permettant de réduire l’indice d’erreur à moins d’1%. Ce principe de discernement en temps réel fonctionne grâce à un système autonome gérant les flux des caméras.

Dès qu’une intrusion a lieu dans la zone, elle est considérée comme une forme inconnue. La caméra s’accroche à cette forme, la distingue et la reconnaît de manière intelligente. Le système est par exemple capable de savoir dans quelle position se tient la personne intruse, debout, assise, ou allongée. Une fois que la forme jugée anormale est isolée, le logiciel génère une vignette vidéo qui déclenche un focus vidéo dont le but est de valider ou non la détection par une levée de doute. S’ensuit ensuite une progression en temps réel de la situation caméra après caméra selon le déplacement de la forme, dont les informations sont envoyées automatiquement au centre de télésurveillance. Cette technologie s’adresse à la protection des sites sensibles tels que la surveillance des frontières, les sites classés secret défense, mais aussi dans le domaine de la protection des sites industriels ou des entrepôts.

L’algorithme de reconnaissance faciale de Google, FaceNet, utilisé par Google Photos dans ses versions non européennes peut identifier des visages avec une précision de 99,63%. Celui de Facebook, Deepface, 87,25% (83% selon le New Scientist quand les visages ne sont pas clairement visibles : l’algorithme expérimental de Facebook étant capable de reconnaître les gens à leur posture corporelle, à leur attitude). Celui du FBI : 85% (mais les photographies que l’agence traite sont souvent plus difficiles à analyser que celles postées sur les réseaux sociaux). Depuis 2011, Facebook utilise un système de suggestion de tags sur les photos que les gens y déposent, pour suggérer aux utilisateurs d’indiquer qui se trouve sur les photos (cette fonctionnalité n’est pas disponible en Europe à la demande des autorités européennes). Or, un utilisateur de l’Illinois vient d’intenter un procès à Facebook, estimant que ce système ne demande pas un consentement suffisamment explicite.

Des associations de défense de la vie privée ainsi que des représentants de grandes entreprises comme Google et Facebook, se sont récemment réunies, à l’invitation du gouvernement américain et du département du commerce, pour tenter d’établir des règles d’usages des technologies de reconnaissance faciale. Pour l’instant, il n’y a pas de loi fédérale qui en régisse l’utilisation. Seuls, l’Illinois et le Texas ont émis des lois s’opposant à l’utilisation de cette technologie sans le consentement éclairé des utilisateurs. 9 associations de défense des consommateurs et des libertés civiles américaines dont l’EFF et l’ACLU viennent d’annoncer qu’elles se retiraient des pourparlers en cours sur l’utilisation équitable des technologies de reconnaissance faciale pour le commerce. Elles n’arrivent pas à obtenir ce qu’elles considèrent comme des droits minimums pour les consommateurs, à savoir obtenir un consentement explicite des consommateurs.

Facebook est capable d’identifier n’importe qui sur des photos. Néanmoins, il restait une faille logique : l’algorithme se montrait incapable de reconnaître quelqu’un si son visage était en partie masqué… jusqu’à aujourd’hui. Facebook AI Research a en effet réussi à créer un algorithme qui permet au réseau de reconnaître quelqu’un si son visage est en partie masqué. Comment ? En analysant les parties visibles du visage, les vêtements, le style, le corps, la coiffure, etc. Ce nouvel algorithme jouit d’un taux de réussite de 83 %. Bien entendu, il est encore en phase de test et pourrait faire ses premiers pas avec l’application Moments. En Europe, la reconnaissance faciale automatique est interdite (ce qui n’empêche pas, bien entendu, son utilisation par la police), mais, aux Etats-Unis, Facebook pourrait l’utiliser très bientôt.

Le Salon de l’aéronautique et de l’espace du Bourget est l’occasion pour les professionnels du secteur de montrer leurs dernières nouveautés. Parmi les avions et drones, le groupe d’électronique français Thales a présenté le Boarding Pass Control System, un système permettant de « fluidifier et sécuriser » les opérations de contrôle d’identité des passagers. Ce système est constitué de deux appareils. Le premier est installé en lieu et place des guichets d’enregistrement. Il scanne le passeport et imprime la carte d’embarquement mais enregistre aussi le visage et l’iris du passager. Il partage ensuite ces informations avec les autres ordinateurs de l’aéroport comme on le voit dans cette vidéo.

Après plus de trois ans de négociations, les ministres européens de la Justice se sont finalement entendus lundi sur un nouveau cadre européen pour la protection des données personnelles. La nouvelle règlementation met à jour des règles datant de plus de vingt ans. Le droit à l’oubli est désormais garanti pour les internautes, dont les données personnelles pourront bien être supprimées de la toile. Les citoyens devront aussi expressément donner leur consentement pour autoriser le traitement de leurs données à d’autres fins.

Le pouvoir des autorités nationales chargées de la protection des données se voit renforcé de sorte à mieux faire appliquer les règles relatives à la vie privée. Le secrétaire d’Etat pour la Protection de la vie privée a d’ailleurs l’intention de présenter un projet de loi cet automne pour autoriser la Commission de la protection de la vie privée à infliger elle-même des amendes. Dimanche, cette dernière a d’ailleurs annoncé qu’elle attaquait Facebook en justice en raison de violations à la vie privée, une première en Europe. Les gouvernements européens doivent encore négocier les nouvelles règles avec le Parlement européen. Il est escompté que les colégislateurs dégagent un compromis avant la fin de l’année. Si tel était le cas, le nouveau cadre serait alors applicable à partir de 2018.

Depuis les révélations d’Edward Snowden, les géants du net ne savent plus quoi faire pour faire croire à leurs utilisateurs qu’ils ne risquent rien. Dans cet esprit, Facebook vient de rajouter une fonctionnalité intéressante qui permettra aux utilisateurs de rajouter une clé publique OpenPGP dans leur page de contact. Eventuellement, on peut aussi demander au site de chiffrer les e-mails qui sont envoyés (les notifications). Cette fonctionnalité n’a cependant aucun intérêt, puisque le contenu des notifications peut-être déchiffré par des dizaines d’autres façons qu’en regardant dans la boite mail d’un utilisateur…

Cependant, le coté intéressant de cette démarche est qu’à l’heure actuelle, il y a deux moyens de partager des clés OpenPGP : soit de main à main (via clé USB, ou en l’envoyant par e-mail,…) soit via un annuaire. Dans le futur, les internautes à la recherche de la clé PGP d’un destinataire pourront éventuellement la trouver sur Facebook.

Les limites de ce système sont assez claires : certains utilisateurs de PGP l’utilisent avec une adresse e-mail bien précise qu’ils n’utilisent que pour les messages chiffrés, ils ont ainsi un relatif anonymat, qu’ils perdront en faisant héberger leur clé par Facebook. Pour ceux qui utilisent PGP sur leur adresse e-mail habituelle (et donc aisément reliable à leur identité propre), ce système équivaut à placer leur clé PGP dans un annuaire comme un autre. Qui plus est, cet ajout fera de la publicité à OpenPGP, qui en a bien besoin. Facebook avait d’ailleurs contribuer à sauver OpenPGP de la faillite, il y a quelques mois. Voir notre précédent article.. Si Facebook se servait de ce système pour chiffrer les communications de ces utilisateurs, cela serait plus dangereux : le message pourrait être récupéré de plusieurs manières, puisqu’il serait chiffré sur les serveurs de Facebook et non sur l’ordinateur de l’utilisateur.

Pour ajouter une clé publique sur Facebook, visitez ce lien, et dans la rubrique « coordonnées », cliquez sur « ajouter une clé publique ».

Rappelons que PGP (aussi appelé GPG ou OpenPGP) est le système de chiffrement de communications le plus sécurisé au monde. Il fonctionne sur le principe d’un couple de clé (une publique, l’autre privée), mathématiquement lié. Une clé publique permet uniquement de chiffrer, une clé privée ne sert qu’à déchiffrer. Il n’y a donc aucun problème de sécurité à laisser trainer sa clé publique aux yeux de tous. Un service de renseignement en possession d’une clé publique ne saurait rien en faire d’autre qu’envoyer des messages chiffrés à son propriétaire…

Facebook permet à ses utilisateurs d’héberger leur clé PGP sur son site.

Dans le cadre de son contrat avec l’administration américaine, l’entreprise privée Lockheed Martin produit des avions de combat, des radars, des satellites ou encore des véhicules militaires. Mais elle développe aussi, pour le compte de l’Agence de sécurité nationale (NSA), une technologie biométrique basée sur la reconnaissance d’écriture. Ces travaux s’inscrivent dans une réflexion globale sur l’évolution des systèmes d’identification, au-delà des capteurs d’empreintes digitales. Ils se fondent sur un postulat : chacun a une façon différente d’utiliser un clavier tactile.

La vitesse de la frappe, l’orientation des doigts, l’accélération du mouvement et la pression appliquée sur l’écran sont autant de variables prises en compte par cette technologie que Lockheed Martin a baptisée « Mandrake ». Les premières expérimentations autour d’une telle technologie – que l’on peut considérer comme une ramification de la reconnaissance d’écriture manuscrite – remontent aux années 70, sous l’impulsion de l’U.S. Air Force. L’objectif était de renforcer, à terme, le contrôle des accès aux bâtiments stratégiques comme le Pentagone, en instituant un deuxième facteur d’identification en complément au code PIN à 4 chiffres. Mais à l’époque, les taux d’erreurs restaient importants, tout particulièrement chez les femmes.

L’analyse des documents Snowden continue a apporter son lot d’information. Les services de renseignements des cinq pays de l’alliance « Five eyes » (Etats-Unis, Canada, Royaume-Uni, Nouvelle-Zélande, Australie) ont échafaudé un plan en 2011 et 2012 pour pirater la boutique d’applications de Google et Samsung et espionner les smartphones. L’objectif des « Five eyes » était de renforcer la surveillance des smartphones grâce à des logiciels espions implantés via l’Android Market, boutique d’applications de Google rebaptisée depuis Google Play et utilisée par les téléphones de Samsung. Il prévoyait de pirater les connections à la boutique d’applications, d’implanter des logiciels malveillants afin de récolter des données dans les smartphones. Les agences voulaient également envoyer des informations erronées à des personnes d’intérêt.

Les agences s’inquiétaient de la possibilité d’un « autre Printemps arabe », et de la contagion des mouvements populaires. Elles s’intéressaient surtout à l’Afrique, en particulier le Sénégal, le Soudan et le Congo mais elles visaient également les boutiques d’application de la France, de Cuba, du Maroc, de la Suisse, des Bahamas, des Pays Bas et de la Russie. Des failles avaient été trouvées dans le moteur de recherche UC Browser, une application du géant chinois Alibaba populaire en Chine et en Inde qui a été installée par 500 millions de personnes.

Edward Snowden

Facebook utilise un logiciel permettant d’espionner les conversations privées de ses 900 millions d’utilisateurs, afin de traquer d’éventuels criminels et de les dénoncer à la police. Dans le cas de la pédophilie, cette technologie passe au crible les discussions en recherchant notamment certains mots-clés (sur la base de précédentes discussions de pédophiles condamnés), la différence d’âge entre les deux interlocuteurs, la fréquence de leurs conversations, leur lien d' »amitié » etc. En cas d’alerte, la conversation est signalée aux équipes de FB, qui contactent les autorités. Ce « scan » des conversations ne vise toutefois pas que la pédophilie (exemple naturellement mis en avant par FB) mais « toutes les activités criminelles » et même « toutes les activités qui vont à l’encontre des conditions d’utilisation ».

Dans ces conditions, FB annonce qu’il peut « être amené à partager des informations […] pour empêcher la fraude ou toute autre activité illicite, pour prévenir tout préjudice corporel imminent ou protéger nos intérêts. Ceci peut inclure le partage d’informations avec d’autres sociétés, juristes, tribunaux ou toute autre entité gouvernementale ». En somme, Facebook se réserve le droit de signaler aux autorités (ou d’autres sociétés privées!) toute activité jugée « illicite », sur la base de conversations privées. Au regard de la loi française, Facebook semble violer l’article L241-1 du Code de la sécurité intérieure qui garantit le secret des correspondances émises par la voie des communications électroniques. Le débat sur l’accès aux e-mails ne concerne pas seulement Facebook. En 2010, un internaute américain a déposé une plainte contre Google, qui analyse le contenus des e-mails échangés via Gmail pour proposer de la publicité ciblée.