Celeste Burgess, 17 ans, est ainsi poursuivie en justice en tant qu’adulte, aux côtés de sa mère, Jessica Burgess. Elles devront toutes deux comparaître devant le tribunal du Madison Country District pour avortement illégal. En effet, la nouvelle légalisation en vigueur au Nebraska interdit tout avortement après 20 semaines de grossesse. Celeste Burgess avait déclaré à la police qu’il s’agissait d’une fausse couche mais la police a obtenu de Facebook les échanges privés entre la mère et la fille faisant état d’un avortement clandestin. Au même moment, les posts Facebook et Instagram concernant l’acquisition de pilules d’avortement étaient systématiquement enlevés des plateformes et leur maison mère,  Meta, touche des revenus sur des publicités anti-avortement partageant des fausses informations pouvant être dangereuses. Par ailleurs, Facebook a collecté les données des personnes interagissant avec des pages de services d’avortement et partageait ensuite ces informations à des groupes anti-avortement.

DuckDuckGo fait partie de ces entreprises qui ont construit leur réputation sur la base d’une politique basée sur la protection des données personnelles et des libertés numériques. La protection contre les trackers est un argument phare de DuckDuckGo, qui l’affiche en bonne place sur sa page d’accueil… Mais il a été découvert que l’application mobile du navigateur DuckDuckGo permet à certains sites de Microsoft de contourner entièrement le blocage du pistage de l’utilisateur. Le navigateur bloque effectivement les trackers d’autres géants comme Google, mais fait une exception pour Bing et LinkedIn, deux domaines qui appartiennent directement à Microsoft. Gabriel Weinber, le PDG et fondateur de DuckDuckGo, a du reconnaitre que  “Pour le blocage des trackers qui ne relèvent pas de la recherche, nous bloquons la plupart des trackers tiers (…) Malheureusement, notre accord avec Microsoft nous empêche d’aller plus loin sur les propriétés de Microsoft”. DuckDuckGo reste de loin préférable à Google, mais ça la fout mal quand meme.

La police de Santa Clara avait besoin d’informations sur un utilisateur de Signal dans le cadre d’une enquête. Les agents avaient donc demandé à la messagerie le nom, l’adresse postale, le numéro de téléphone, l’adresse IP et même les heures de connexion du suspect. Autant de données que Signal n’a pu délivrer, ne les ayant pas elle-même. La messagerie, chiffrée de bout en bout, ne stocke tout simplement pas les informations personnelles de ses utilisateurs. « Nous voici au second semestre 2021 », a ainsi expliqué Signal sur son blog, « Signal ne sait toujours rien de vous, mais le gouvernement continue de demander. » « Le vaste ensemble d’informations personnelles qui sont généralement faciles à récupérer dans d’autres applications n’existe tout simplement pas sur les serveurs de Signal », rappelle Signal. La messagerie a précisé qu’elle n’avait pas accès aux messages, à la liste de discussion, aux groupes, aux contacts, aux noms de profil ou avatar ou même aux GIF recherchés par ses utilisateurs. Les seules informations qu’elle peut fournir sont la date de création du compte et la dernière connexion de l’utilisateur.

Menée dans le cadre d’Europol en coordination avec Eurojust, une opération a visé le Dark Web. Baptisée « DarkHunTOR », elle a consisté en une série d’actions menées en Australie, Bulgarie, France, Allemagne, Italie, Pays-Bas, Suisse, Royaume-Uni et États-Unis. Aux États-Unis, quelque 65 personnes ont été arrêtées, 47 en Allemagne, 24 au Royaume-Uni, quatre en Italie et quatre aux Pays-Bas. Les forces de l’ordre ont entre autres saisi 26,7 millions d’euros en numéraire et monnaies électroniques, 25 000 comprimés d’ecstasy, 45 armes à feu, etc. En Italie, la police a également fermé des places de marché illégales nommées « DeepSea » et « Berlusconi » qui présentaient à elles deux plus de 100 000 annonces de produits illégaux.

L’opération faisait suite au démantèlement en janvier sous la conduite de la police allemande de la plateforme « DarkMarket », présentée alors par les enquêteurs comme le « plus vaste » point de vente du Dark Web, était lié à un coup de filet remontant à septembre 2019 en Allemagne contre un important hébergeur de services illégaux du Dark Web. Ce datacenter illégal était installé dans un ancien bunker de l’Otan dans le sud-ouest de l’Allemagne.

This, Jane, is the internet

Dossier(s): Sécurité IT Tags:

Il y a quelques jours, nous avons relayé le fait que Protonmail avait fournit des informations à la police française via une demande Europol vers la Suisse, dans le cadre d’une enquête contre les occupant·e·s d’un bâtiment de la place Sainte Marthe, militant·e·s pour le climat. Les adresses IP n’étant effectivement pas enregistrées par défaut par Protonmail, la société a activé l’enregistrement d’IP pour l’adresse e-mail visée par le mandat.

Protonmail a depuis réagi à l’information en déclarant avoir agit dans le cadre de ses obligations vis à vis de la loi suisse et de ses propres conditions d’utilisation, qui précisent que les IP ne sont pas enregistrées « par défaut » mais qu’elles peuvent être enregistrées pour des adresses spécifiquement visées par une requête légale. Protonmail suggère à ses utilisateurs et utilisatrices qui auraient des besoins « spécifiques » en matière de vie privée d’utiliser le site .onion, accessible uniquement via TOR. Il est toutefois toujours impossible d’ouvrir un nouveau compte sans devoir fournir un numéro de téléphone ou de carte de crédit.

Les protocoles e-mail sont réputés pour être des technologies fondamentalement difficiles à sécuriser. Auparavant, la seule façon de garantir le chiffrement de ses e-mails était d’utiliser le logiciel OpenPGP, mais là encore avec une immense faille puisque la plupart des méta-données (émetteur, destinataire, sujet, date et heure) sont très difficiles ou impossibles à chiffrer, dû au fonctionnement même des e-mails. En plus de ça, OpenPGP est difficile à utiliser, et encore plus à utiliser collectivement avec des personnes aux compétences informatiques variables. L’arrivée de fournisseurs d’e-mails chiffrés associatifs (comme Riseup) ou commerciaux (comme Protonmail ou Tutanota) a massivement augmenté la facilité d’utilisation du chiffrement des e-mails, comparés aux fournisseurs classiques comme Gmail et Outlook. Le fait que le contenu des e-mails n’ait pas pu être transmis à la police française est donc un point important à noter. Protonmail n’est pas anonyme (pas plus que Tutanota qui peut également être légalement forcé d’enregistrer l’adresse IP d’un utilisateur spécifique, par la justice allemande). L’utilisation d’un bon VPN ou de TOR est la seule façon d’être anonyme vis-à-vis de son fournisseur d’accès à internet ou des sites web visités.

Ces dernières années ont enfin vu se développer de nouveaux protocoles de messagerie chiffrée comme Signal ou Session qui permettent le chiffrement de la quasi-totalité des méta-données par défaut. Contrairement à OpenPGP qui utilise toujours la même clé pour chiffrer, ces nouveaux protocoles utilisent de nouvelles clés pour chaque message.

Malgré le fait que Protonmail est transmis cette information, il est toujours préférable d’utiliser un tel service plutôt qu’un fournisseur d’e-mail classique, en gardant à l’esprit que contrairement à Signal, les méta-données des e-mails ne sont généralement pas chiffrées. En toutes circonstances, sur tous les appareils que vous utilisez (smartphones, tablettes, ordinateurs) et pour toute activité sur le web, nous recommandons fortement l’utilisation d’un VPN réputé en matière de vie privée comme Mullvad, ou de TOR.

Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Publicité de Clearview AI

Mercredi 28 avril, les députés européens ont adopté une nouvelle réglementation permettant aux États membres d’imposer aux plateformes en ligne le retrait en une heure des messages, vidéos et photos faisant le jeu de la “propagande terroriste” à partir de l’année prochaine. Cette nouvelle réglementation européenne autorisera bientôt les États membres à nommer des autorités compétentes, qui seront chargées d’émettre des injonctions et de définir des sanctions, qui pourront grimper jusqu’à 4% du chiffre d’affaires mondial. Les fournisseurs de services concernés auront alors une heure après réception de l’injonction pour supprimer ou bloquer l’accès au contenu jugé problématique. Chaque procédure fera ensuite l’objet d’une vérification afin de vérifier que la décision de retrait ne viole pas les droits fondamentaux. Plusieurs dizaines d’organismes à l’image d’Amnesty International, Reporters sans frontières ou Human Rights Watch avaient déjà appelé au rejet de ce texte, qui pourrait pousser les plateformes à déployer des outils automatisés de modération de contenus politiques.

Le parlement européen

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.


Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Dossier(s): Sécurité IT Tags: , ,

Le 29 mars, la police néerlandaise a saisi les serveurs du collectif technologique NoState, qui hébergeait plusieurs autres sites anarchistes comme 325, Montréal Counter-information, Act For Freedom Now !, North Shore Counter-Info et Enough 14. Cette opération a été faite dans le cadre d’une « enquête criminelle », mais nous n’avons pas pour l’instant d’autre précision.

 

Dossier(s): Reste de l'Europe Tags: ,

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.