En Inde, la Cour suprême vient d’annuler un article de loi qui permettait une certaine censure de l’Internet. Introduit en 2008, c’est l’article 66A de la loi sur les nouvelles technologies, qui a été cassé par la Cour suprême. Il était la cible de nombreuses campagnes en faveur de la liberté d’expression. Il punissait de trois ans de prison, toute personne qui « envoie un message électronique qui peut être vexant, menaçant, peut déranger ou ennuyer un autre individu ».

Autant de concepts subjectifs qui n’avaient pas de bases de jurisprudence suffisantes et qui ont permis des interprétations arbitraires. En septembre 2012, par exemple, une adolescente a été détenue pour avoir écrit sur son compte Facebook qu’elle ne comprenait pas pourquoi tous les commerces de la ville de Bombay avaient dû fermer en l’hommage du dirigeant de l’extrême droite locale, qui venait de décéder. La Cour suprême a estimé que cette section était trop vague et inconstitutionnelle.

S’il est depuis longtemps avéré que les systèmes d’exploitation d’Apple (OSx et iOS) sont autant sujets aux virus et aux attaques informatiques que les autres systèmes d’exploitation : cette information fait mauvaise presse à le marque qui utilise régulièrement l’argument fallacieux de l’absence de virus sur Mac et iphone pour vendre ses machines. Plusieurs antivirus ont ainsi été supprimés de l’App Store -le magasin d’applications officiel d’Apple- parce qu’ils se présentaient comme des solutions de sécurité. C’est donc l’occasion de rappeler que, oui, une machine Apple peut être infecté.

En janvier, peu après les attentats de Paris, David Cameron affirmait vouloir interdire les « espaces surs » et notamment les applications de messageries privées cryptées, telles que WhatsApp, Snapchat, Hangout, Skype: « Dans notre pays, pouvons-nous autoriser un moyen de communication entre des personnes, même des extrémistes (…) que nous ne pouvons pas lire ? Non, il ne faut pas » Cette volonté de s’attaquer aux espaces « surs » faisait écho aux déclarations du directeur du FBI, qui dénonçait les nouvelles méthodes de chiffrement d’Apple et Google.

Cependant, lors d’une séance d’information devant les députés, les membres du bureau parlementaire des sciences et des technologies (The Parliamentary Office of Science and Technology ou POST), qui délivre des conseils indépendants aux députés sur diverses questions scientifiques et techniques, ont jugé que si les objectifs du Premier ministre étaient « nobles », ils n’en étaient pas moins irréalisables. Les experts en informatiques ont estimé que toute tentative législative d’interdiction ou de blocage du réseau Tor au Royaume-Uni serait « technologiquement impossible ». Le rapport du POST prend la Chine en exemple: en tentant de bloquer le réseau, elle n’a fait qu’engendrer la création de « bridges », des relais passerelles TOR, très difficiles à bloquer.

Aux États-Unis, les forces de l’ordre ont dans leur arsenal un moteur de recherche d’un genre un peu particulier. Memex un outil révolutionnaire, mis au point par la DARPA, l’agence pour les projets de recherche avancée de défense américaine. Ce moteur de recherche est un spécialiste du « Deep Web », ce web laissé pour compte par les robots des moteurs de recherche classiques. Selon certains spécialistes, il serait même plus vaste que la toile telle que Google la connaît. Memex s’intéresse tout particulièrement aux pages éphémères, souvent à faible trafic, celles-là mêmes qui sont utilisées par les trafiquants. D’après la DARPA, ce sont plus de 60 millions de pages de ce genre qui ont vu le jour durant ces deux dernières années. Mieux encore, Memex peut même être paramétré pour concentrer tous ses efforts sur les recoins les plus inaccessibles. Avec son intelligence artificielle, ses nombreux outils d’analyse et de visualisation, il peut même créer des liens graphiques entre les pages…
L’agence de recherche du Pentagone a donné à Scientific American un aperçu du logiciel et une vidéo exclusive à 60 Minutes sur cette technologie.

Récemment, les navigateurs ont introduit une nouvelle fonctionnalité nommée « WebRTC » qui permet principalement d’utiliser la discussion par caméra/micro (VoIP) dans le navigateur. C’est sur cette technologie que fonctionne le nouveau service de chat « Firefox Hello ». Seulement, une faille dans WebRTC permet aux sites visités de voir votre adresse IP « réelle » lorsque vous voudriez la dissimuler l’aide de TOR ou d’un VPN.

Il est possible de désactiver WebRTC à l’aide d’extensions comme ScriptSafe pour Chrome. Malheureusement, cette extension empèche d’autres fonctionnalités de fonctionner…

Dés qu’une extension sera disponible (ou que la faille dans WebRTC aura été corrigée), nous écrirons un article.

Vous connaissez peut-être Cryptocat, un service de communication chiffré parmi les plus faciles à utiliser et les plus sécurisés. Celui-ci ne nécessite pas de s’inscrire ou d’installer quoi que ce soit. Il a récemment eu une petite publicité puisque les journalistes qui ont publié le ‘swissleaks’ l’utilisaient.

Le créateur de Cryptocat, Nadim Kobeissi (cette création lui a valu d’être arrêté et interrogé en voyageant aux USA. Le FBI a également tenté de le piéger via Sabu qui avait piégé l’anarchiste Jeremy Hammond), vient de lancer un nouveau programme nommé ‘Peerio’, qui permet non seulement l’échange d’e-mails cryptés entre ses utilisateurs, mais également un stockage chiffré de bout-en-bout d’un 1Go, permettant d’envoyer de gros documents sensibles. Peerio fonctionne sur le même principe que PGP mais a simplifié grandement son utilisation.

Les avantages de Peerio sont nombreux : gratuit, pas de pub, chiffrés sur le trajet, sur le serveur. Peerio se définit lui-même comme réunissant le meilleurs des ‘deux mondes’ : cela ne sert à rien de protéger la route vers un data-center pas protégé, comme cela ne sert à rien de mettre ses données dans un data-center très bien protégé dont le fournisseur est le seul à avoir la clé. Avec Peerio , la connexion est sécurisée et les développeurs n’ont aucun accès aux données.
Il est à noter que Peerio a un autre énorme avantage : il est open-source et le code a été audité, ce qui signifie que le code a été vérifié.

Peerio est disponible sous la forme d’une application Chrome, ce qui signifie qu’il peut être utilisé via n’importe quel système d’exploitation bureau (Windows, OSx, Linux et Chrome OS). Les applications Android et iOS sont en construction et devraient être disponibles sous peu.

Peerio, le futur de la messagerie sécurisée ?

Peerio, le futur de la messagerie sécurisée ?

Depuis 1991, PGP (puis OpenPGP et GnuPG) est le système de chiffrement civil le plus efficace au monde. Son efficacité venant de son fonctionnement, il n’a pas subit d’énormes changements ces dernières années, il doit toutefois être maintenu, hébergé et protégé par des développeurs non-anonymes (pour être sûr de sa provenance), etc… En plus de son utilité pratique pour tous ceux qui se soucient de leur vie privée, GPG a inspiré et a été la base de très nombreux logiciels. Pourtant, malgré l’importance cruciale de ce logiciel pour l’existence même du net, l’unique développeur permanent de GPG mettait en garde (ici) les utilisateurs il y a quelques jours : moins d’un tiers de l’argent annuel nécéssaire au maintien de GPG a été récolté en 2014. Ceci mettant en péril l’existence de ce logiciel. Pourtant, au regard d’autres logiciels, il ne nécessite que 120.000$/an pour continuer à vivre. Ce cri d’alarme a retenti comme il le fallait : la ‘Core Infrastructure Initiative’ (une initiative de sécurisation des connexions OpenSSL sur internet regroupant les géants du net) a versé 60.000$, Facebook et Stripe ont chacun versé 50.000$ et finalement la Wau Holland Stiftung (une fondation proche du Chaos Computer Club) a versé 19.000€ et 57 bitcoins (un total de 34.000$). L’argent nécessaire est donc récolté, pour cette année.

On pourrait s’interroger sur la participation des géants du net dans le financement d’un tel logiciel, les raisons sont pourtant simples : ces sommes sont dérisoires pour eux (l’équivalent d’un gros serveur et d’un salaire de développeur), une petite publicité, mais c’est aussi simplement parce que malgré les discours hostiles au chiffrement informatique, internet ne peut -de par sa nature- tout simplement pas se passer d’un chiffrement fort et indéchiffrable.

Pour faire une donation à GnuPG, cliquez ici.

Werner Koch, le principal développeur de GnuPG.

Werner Koch, le principal développeur de GnuPG.

Les nouvelles conditions d’utilisation de Facebook s’appliquent maintenant. – à tout moment et sans demander votre permissionSi vous en tant qu’utilisateur acceptez les nouvelles conditions d’utilisation, vous autorisez Facebook à utiliser votre GPS, Bluetooth et wifi pour déterminer votre emplacement. Le site social pourra non seulement demander votre emplacement, mais en profiter aussi à des fins commerciales. Il n’y aura pas d’option pour garder votre emplacement secret.

Facebook pourra non seulement suivre ce que vous postez, ce que vous aimez, partagez, envoyez dans vos messages privés et ce que vous pensez des autres (tant sur le site que dans les applis Facebook et Messenger). Votre comportement de navigation, qui pourra être ‘suivi’ par Facebook. En outre, le réseau social saura quels appareils vous utiliserez: type, numéro de téléphone, fournisseur,… Et puis, il y a encore WhatsApp, Instagram, Oculus, l’appli de ‘fitness-tracking’ Moves, le service publicitaire vidéo LiveRail,…: toutes des entreprises que Facebook a englouties et dont il collecte par conséquent aussi les données des utilisateurs. C’est ainsi que WhatsApp transmettrait par exemple à qui et quand vous envoyez des messages.

Jeremy Hammond (a.k.a Anarchaos), hacker anarchiste qui avait piraté la base de données Stratfor et démontré la surveillance des groupes de gauche par cette compagnie de renseignements privée, faisait l’objet d’une inscription sur la liste TSC (Terrorist Screening Center). Cette liste émise par le FBI avertissait tout agent de police qui scannait la carte d’identité de Hammond de ne pas ‘prolonger la rencontre’ et de ne pas procéder à une arrestation s’il n’y avait pas d’infraction fédérale. Cette inscription soulève deux choses : que la définition de ‘terrorisme’ n’est pas clarifiée dans les textes de loi américains. Selon l’agence qui emploie le terme terrorisme, celui-ci peut être considéré comme ‘dangereux pour des vies humaines’, ‘dangereux pour la propriété ou les infrastructures’, ‘ayant pour but d’intimider la population civile’. Dans le cas de ce hacker qui dérobait des informations électroniques, ces définitions s’appliquent difficilement. En second lieu : il s’avérait en fait que Hammond allait être piégé par le FBI puisque c’est un informateur de l’agence fédérale, Sabu, qui a permis d’arrêter ce pirate informatique. Cette liste aurait donc permit de ne pas arrêter ‘Anarchaos’ avant qu’il ne procède à l’attaque informatique contre Stratfor.

Extrait de l’avis TSC

Extrait de l'avis TSC

Le Centre de la sécurité des télécommunications du Canada (CST) scrute des millions de documents, notamment vidéo, partagés en ligne chaque jour, a appris Radio-Canada grâce à des documents qui remontent à 2012 et font ainsi état de la situation à ce moment. On y apprend que le CST a espionné les partages de millions d’individus à travers le monde dans le cadre d’un programme de sécurité intitulé « Lévitation ». Des fichiers partagés par des Canadiens se sont retrouvés « par erreur » dans les lots de documents analysés. La loi interdisant à l’agence d’espionner des Canadiens, le CST soutient avoir mis en place des mécanismes pour protéger la vie privée de ses concitoyens contre ces intrusions.

Les analystes de l’agence peuvent scruter quotidiennement de 10 à 15 millions de fichiers partagés à partir de 102 sites Internet gratuits. L’agence de sécurité a notamment ciblé les sites de partage Rapidshare, Sendspace et Megaupload. Des 30 à 45 millions documents ainsi analysés chaque mois, seulement 350 d’entre eux sont dignes d’intérêt. Chaque geste posé (downloader ou uploader des fichiers de ces sites) est archivé, colligé et analysé.

Pour lire le document: http://fr.scribd.com/doc/253980511/Projet-Levitation

Canada: Information sur le programme d’espionnage du net