Depuis plusieurs jours, une information circule selon laquelle Apple aurait permis à l’agence américaine d’avoir accès aux données contenues dans les iPhone grâce à une ‘backdoor’. D’après plusieurs experts informatiques, Apple aurait créé une ‘porte dérobée’ dans ses produits, celle-ci permettant à la NSA d’intercepter les messages SMS, d’avoir accès aux listes de contact, de localiser un téléphone, d’accéder à la messagerie vocale et d’activer le micro et la caméra d’un iPhone. Dans un communiqué publié mardi, la société américaine a réagi, affirmant: ‘Apple n’a jamais travaillé avec la NSA pour créer une ‘porte dérobée’ dans ses produits, y compris les iPhone. Nous ne sommes pas au courant du programme incriminé de la NSA qui viserait nos produits’.

Alors qu’il y a dix jours, un juge de Washington avait mis en doute la constitutionnalité du programme de collecte de métadonnées téléphonique de la NSA, un juge new-yorkais vient lui de déclarer le programme tout à fait légal. Ce dernier devait statuer dans une affaire où l’ACLU (Association de Défense des Libertés Civiles) attaquait les autorités américaines sur le programme de surveillance de la NSA. Estimant qu’il constitue une ‘riposte’ à Al-Qaïda, le juge a déclaré ‘la question qui est posée à la cour est de savoir si le programme de collecte massive de métadonnées téléphoniques est légal. La cour estime qu’il l’est. Il n’existe aucune preuve que le gouvernement ait utilisé la collecte massive de métadonnées téléphoniques à d’autres fins que de prévenir et d’enquêter sur des attaques terroristes’. Vu le débat juridique qu’il pose, le programme de surveillance de la NSA devrait se voir examiner par la Cour Suprême, seule juridiction à même de se prononcer sur sa constitutionnalité.

Knox est une solution de cryptage de donnée présente sur le Galaxy S4 et qui devrait, à terme, se trouver sur d’autres appareils Samsung de premier plan. À l’instar de BB10, elle permet de crypter un certain nombre des données confidentielles comme des mails. Elle s’inscrit dans l’ère du « Bring Your Own Device », qui consiste à utiliser son matériel personnel en entreprise et avait même reçu l’aval du DoD, le ministère américain de la Défense, qui estimait que cette fonctionnalité offre une sécurité suffisante pour être utilisée dans un cadre militaire. Le BB10 avait été le premier à recevoir une telle autorisation, le Galaxy S4 a la primeur sous Android, l’iPhone et iOS étant encore à l’étude par le DoD.

Knox a pourtant une faille qui pourrait avoir des conséquences graves selon le directeur du département de sécurité de l’université Ben-Gurion du Néguev. La faille permettrait notamment à des personnes malintentionnées d’intercepter les données transitant entre la partie sécurisée et l’extérieur grâce à une simple application innocente. Des fichiers comme les emails ou les SMS pourraient donc être lus. Samsung a reconnu la faille, mais indique qu’elle ne concerne que le Galaxy S4, et pas le Galaxy Note III qui dispose également de Knox.

Sécurité IT: Une faille découverte dans Knox

En juin, les autorités espagnoles ont lancé une vaste enquête visant Google, et l’utilisation faite par la société des données personnelles. Elles l’accusent d’avoir illégalement collecté des données, dont des comptes de messagerie électronique. Ce vendredi, l’organisme espagnol de surveillance d’internet a condamné Google a une amende de 900.000 euros pour avoir commis trois infractions: la première est de ne pas avoir clairement informé les utilisateurs de l’usage fait des données, la deuxième est d’avoir détenu ces données plus longtemps que ce qui est autorisé par la loi, et la troisième est d’avoir fait des difficultés aux utilisateurs qui s’inquiétaient de l’usage fait de leurs données. Des enquêtes semblables sont actuellement en cours en Angleterre, en France, aux Pays-Bas, en Allemagne et en Italie. La société est partout accusée de grave violation de la vie privée.

Même s’il a finalement du renvoyer le dossier vers une cour d’appel qui devra se prononcer sur le fond, le Juge Leon du tribunal civil de Washington a rendu un avis cinglant sur un programme mis en place par la NSA. Dans son injonction préliminaire, il affirme que la collecte de métadonnées du téléphone d’un particulier constitue une atteinte à la vie privée avant de mettre en doute la constitutionnalité du programme de surveillance de l’agence américaine, ‘Il est évident qu’un tel programme empiète sur les valeurs défendues par le quatrième amendement de la Constitution américaine relatif à la protection de la vie privée’. Les deux plaignants dans cette affaire ont obtenu qu’il soit interdit au gouvernement de collecter les métadonnées téléphoniques de leurs comptes et qu’il détruise toutes les données déjà collectées. Mais le juge Leon a du renvoyer le dossier en appel dans la mesure où il transcende clairement sa juridiction.

Les cookies sont de petits fichiers d’informations stockés sur notre ordinateur à la demande des sites web consultés. Ils sont essentiellement utilisés par les entreprises pour cerner les préférences des internautes, mais ils permettent de garder une session ouverte sur un site. Mais dans un article paru hier, et se basant sur de nouveaux documents fournis par Edward Snowden, le Washington Post révèle une autre utilisation des cookies, celle de la NSA. En effet, il apparait que l’agence américaine utilise ces fichiers comme porte d’entrée pour espionner les ordinateurs des internautes. De plus, le mécanisme de cookies lui permet aussi de cibler un utilisateur et d’introduire un logiciel pour hacker sa machine.

Lire l’article du Washington Post en anglais

Ce week-end, le Washington Post a publié un long article détaillant comment le FBI parvient, à distance, à déclencher les caméras intégrées aux ordinateurs de n’importe qui. Grâce à une équipe de hackers, le FBI a mis au point un procédé permettant d’allumer la caméra sans accord préalable du propriétaire de l’ordinateur et sans même allumer le petit voyant qui indique l’état de marche. Cette opération technologique vient s’ajouter à tout un arsenal de techniques mises au point par ces hackers pour suivre les déplacements des personnes suspectes pour le FBI.

Lire l’article du Washington Post (en anglais)

Le Washington Post a publié ce mercredi une nouvelle information fournie par Edward Snowden. Se basant et citant des documents internes de la NSA, le quotidien révèle que l’agence américaine intercepte les données de géolocalisation de centaines de millions de téléphones portables à travers le monde. La collecte de ces données est effectuée grâce à une connexion aux câbles qui relient les différents réseaux mobiles, et son intérêt est de pouvoir, grâce à de puissants algorithmes mathématiques, ‘retracer les mouvements et mettre en lumière des relations cachées entre des personnes’. L’agence stocke des informations sur au moins des centaines de millions d’appels par jour et enregistre près de cinq milliards de données de localisation par jour, pour un volume total de 27 térabytes.

Nous mettons aujourd’hui en ligne notre quatrième page spéciale relative à la sécurité des technologies de l’information (après une refonte/actualisation des trois autres pages).

Notre première page spéciale survole les règles générale de sécurité IT, les modalités d’une bonne analyse des risques, etc.

Notre seconde page spéciale traite de l’espionnage (écoute et géolocalisation) via les téléphones mobiles (écoutes, filatures, etc.), les micros cachés, etc.

La troisième page spéciale traite du cryptage. Le cryptage des données et des communications est (encore) totalement légal en Belgique, il est d’ailleurs systématiquement utilisé par de nombreux agents sociaux et économiques. Les logiciels sont disponibles gratuitement et, si leur installation n’est pas toujours aisée, leur utilisation est enfantine. En Belgique (et dans les pays latins en général), la scène militante, dans son immense majorité, en ignore l’emploi, tandis qu’en Suisse ou en Allemagne son usage est généralisé et banalisé.

Le monde du cryptage n’est pas aussi opaque que son objet ! La fiabilité des logiciels est éprouvée et répond à des besoins mettant en jeu des intérêts énormes (il suffit de penser cryptage des transactions financières par les banques). Un suivi des informations ordinaires (le marché du logiciel), parallèles (la scène du piratage) et extraordinaire (les révélations Snowden) permet de se faire une bonne idée de ce qui s’y passe.

La quatrième page spéciale traite de la suppression des documents, de l’anomymisation correcte des documents, des photos, et des visites sur Internet.

Depuis plusieurs années, le Secours Rouge organise des formations à la sécurité informatique. Ces formations peuvent-être théorique ou accompagnée d’un atelier pratique avec installation et utilisation de logiciels en conditions réelles. Prenez contact avec nous si vous êtes intéressés. Nous continuerons pour notre part à actualiser notre dossier et nos pages spéciales.

Encore sur la sécurité IT

Depuis deux jours, l’Assemblée étudie le projet de loi de programmation militaire examiné au Sénat durant le mois d’octobre dernier. Celui-ci spécifie les moyens alloués aux autorités militaires pour la période 2014-2019. Mais il contient également des dispositions concernant la captation des données numériques par les autorités. Cette loi étend considérablement les possibilités de collecte de données. La surveillance des services de l’état pourrait dorénavant concernant tout ce que conservent et traitent les opérateurs Internet et de téléphonie: données techniques relatives à l’identification des numéros d’abonnement, localisation des équipements utilisés, listes des numéros appelés et appelant, durée et date de la communication. Evidemment, ce type de surveillance existe en France depuis près de dix ans, mais ce projet de loi élargi le cadre dans lequel elle est autorités, en élargissant notamment les ministères qui pourront demander à avoir accès à des informations. Ce qui était considéré comme un ‘régime d’exception’ deviendra la règle. Enfin, par une formulation un peu obscure – ‘collecte en temps réel des données par la sollicitation du réseau’), les autorités semblent mettre en place un cadre juridique à une interconnexion directe sur les réseaux qui, à long terme, conduirait à l’installation par les autorités de dispositifs d’interception directement sur les équipements des entreprises d’Internet.