Quatre personnes ont été placées en état d’arrestation ce matin dans le cadre d’une vaste opération de la police italienne. Celle-ci fait suite à l’enquête menée par les autorités autour des attaques informatiques ayant visé entre autre le gouvernement et le Vatican. Les quatre prétendus membres Anonymous seraient les responsables italiens de l’organisation et sont accusés d’attaques contre des infrastructures informatiques stratégiques d’institutions et d’entreprises importantes. De multiples perquisitions ont également eu lieu ce matin toujours dans le cadre de cette affaire.

La NSA, l’agence de renseignement américaine, vient de rendre public un guide à destination de ses cyber-agents, intimée par la justice de déclassifier ce document sur le fondement du Freedom of Information Act. Le guide de 643 pages, sobrement intitulé “Démêler la Toile : guide des recherches sur Internet” (Untangling the Web, A Guide to Internet Research), est truffé de conseils pour utiliser au mieux les moteurs de recherche, les archives et autres outils sur le Web, afin de dénicher des informations confidentielles qui seraient accidentellement tombées dans le domaine public. Rien de ce qui écrit dans ce document est illégal, et il ne permettrait, en aucun cas, de pirater des données confidentielles.

Si vous recherchez des informations sensibles sur des entreprises sud-africaines, il suffit de rechercher des documents Excel que l’entreprise aurait publiés, par erreur ou inadvertance, en tapant simplement ‘filetype:xls site:za confidential’ sur Google”, conseillent les experts de la NSA. Pour trouver des documents contenant des mots de passe de sites russes, il suffit d’écrire “filetype:xls site:ru login.” “Même pour les sites rédigés dans une autre langue que l’anglais, les termes ‘identifiants’ ou ‘mot de passe’ sont en général écrits en anglais”, précisent les auteurs. Rien de neuf sous le soleil, quelqu’un comme Johnny Long décrit ces méthodes depuis plusieurs années déjà, dans des conférences sur le piratage et dans son livre Google Hacking”. Les experts de la NSA, eux, se défendent d’encourager le piratage des sites et des serveurs. Ils livrent en tout cas quelques clés pour y parvenir.

Télécharger le guide en PDF (Sur Archive.org)

USA: La NSA a du publier son manuel de cyber-espionnage

La société américaine vient de déposer un brevet pour créer un outil qui permettra d’alerter les employeurs de tout ‘comportement litigieux’ de leurs employés. Il s’agit d’un système d’analyse en temps réel du contenu introduit sur internet par l’utilisateur. Concrètement, dès que l’employé introduira des termes problématiques entrant en conflit avec la loi, le contrat de travail ou le règlement intérieur de l’entreprise, il sera notifié par une alerte. L’outil le signalera également automatiquement à l’employeur. C’est d’ailleurs ce dernier qui choisira lui-même les termes problématiques à signaler.

PrivacyBox avait été conçu pour offrir, essentiellement aux journalistes, bloggers et autres auteurs de publications diverses, la possibilité de proposer à leurs interlocuteurs des formulaires de contact anonymes, qui demeurent par ailleurs impossibles à tracer. Dans sa charte de confidentialité, PrivacyBox précisait avoir été «fait pour garantir une utilisation anonyme (et) maintenir l’échange de données libre», et qu’il ne conservait «aucune information à propos des destinateurs et destinataires des messages».

La German Privacy Foundation (GPF), qui avait lancé PrivacyBox en 2008, vient d’annoncer que le site n’était « conceptuellement et techniquement plus à jour » et qu’il allait donc bientôt fermer, faute de ressources pour développer un nouveau service. Le développeur de PrivacyBox a de son côté expliqué qu’il était tout à fait possible de mettre le code (OpenSource) à jour, mais qu’il avait décidé d’abandonner le projet parce qu’il soupçonnait le co-administrateur de PrivacyBox que la GPF lui avait imposé de travailler, sous le nom de code “Sysiphos”, en tant qu’informateur voire employé, pour les services de renseignement allemand…

A noter que des #Anonymous viennent de lancer AnonBox, avec pour objectif de lancer un nouveau PrivacyBox, à partir de son code (OpenSource) (Perl + CGI). Vu l’histoire de PrivacyBox, et ce pour quoi le service a décidé de fermer, reste donc à savoir si le code source peut être validé et amélioré, puis à trouver des serveurs, et administrateurs, de confiance pour les héberger.

Instagram permet depuis jeudi d’identifier des personnes sur ses clichés (ce qui se faisait déjà chez Facebook). La nouvelle fonctionalité, baptisée “photos de vous”, informera les gens, quand leurs “amis” les auront identifiés sur une photo, et leur en enverra une copie, qu’ils pourront décider d’ajouter à leur propre profil en ligne Instagram. Instagram compte plus de 100 millions d’utilisateurs et s’était fait racheter l’an dernier par Facebook. Rappelons qu’Instagram s’était déjà arrogé le droit d’utiliser les photos de ses utilisateurs dans le cadre de campagnes publicitaires, sans compensations et sans les consulter.

Pour quitter Instagram

Samedi, la Wikimedia Foundation a accusé la DCRI (Direction Générale du Renseignement Intérieur) d’avoir fait supprimer un article de son encyclopédie sous la menace. Selon elle, la DCRI a ‘contacté un bénévole et a insisté pour qu’il utilise ses droits administratifs pour supprimer immédiatement l’article. Sous la menace, il a supprimé l’article. Le bénévole, qui n’a aucun lien avec l’article incriminé, a été menacé d’un placement en garde à vue et d’une mise en examen’. Elle poursuit ‘La Fondation s’oppose vivement à des tentatives gouvernementales d’intimider les bénévoles … dans les cas où il n’y a pas de menace apparente, nous demandons plus d’informations avant de supprimer du contenu. Faire autrement serait autoriser la censure’. L’article en question, daté du 24 juillet 2009, qui porte sur une station hertzienne militaire, a été remis en ligne dans la nuit de vendredi à samedi par une personne qui habite en Suisse. La DCRI a réagit en mettant en avant le fait que l’article contenait des informations militaires classées et que la publication de ces informations violaient le code pénal. De son côté, le ministère de l’Intérieur conteste toute menace (‘La personne a été mise en garde contre le risque d’engagement de poursuites judiciaires’), tout en confirmant la demande de suppression. La Wikemedia Foundation avait, début mars, refusé d’effacer l’article étant donné que la DCRI avait refusé d’apporter les précisions demandées et exigé la suppression pure et simple du texte.

Dans son rapport rendu public ce jeudi, la société Microsoft (également propriétaire de Skype depuis 2011) indique avoir reçu plus de 75.000 demandes de renseignements par les gouvernements, demandes concernant 137.000 comptes internet. Rappelant son engagement au respect de la vie privée, la société a néanmoins déclaré être régulièrement légalement tenue de répondre aux demandes officielles. Elle a affirmé avoir répondu à 1558 requêtes de données de contenus clients et à 80% des demandes de divulgation des données de ‘non-contenu’ (non-contenu qui peut toutefois inclure l’adresse mail, le nom, le lieu, l’adresse IP,…) Du côté de Skype, Microsoft n’a donné aucun contenu en réponse au 4713 demandes, mais dans 500 cas environ, la société a divulgué les identités Skype et autres identifiants. 81% des demandes adressées à Skype provenaient de cinq pays: Etats-Unis, Royaume-Uni, Allemagne, France et Taiwan. Pour ce qui est des demandes adressées à Microsoft, et auxquelles la société a répondu, près de 70% étaient issues de cinq pays: Etats-Unis, Royaume-Uni, Allemagne, France et Turquie.

Après le 11 septembre 2001, et au nom de la lutte contre le terrorisme, le FBI avait reçu l’autorisation légale, en vertu du ‘Patriot Act’, d’envoyer des lettres dites de ‘sécurité nationale’ à des groupes privés. Ceux-ci se doivent alors de surveiller certains comptes internet tout en se voyant interdits de révéler avoir reçu une telle demande. Sans que cela soit formellement avéré, il semblerait que des dizaines de milliers de ces demandes soient envoyées chaque année. Vendredi, un tribunal de San Francisco a jugé cette pratique anticonstitutionnelle en raison de son non-respect de la liberté d’expression. L’interdiction pour le FBI d’utiliser ces lettres entrera en vigueur dans 90 jours pour laisser le temps au législateur de faire appel de la décision.

Google a rendu publiques cette semaine les lettres dites de “sécurité nationale” qu’il a reçues et qui correspondent à des demandes officielles de données, au nom de la loi antiterroriste Patriot Act, adoptée après les attentats du 11 septembre 2001. Des associations comme l’Aclu (American Civil Liberties Union) estiment que ces lettres donnent trop de pouvoir au gouvernement, qui peut ainsi surveiller des comptes internet sans mandat de la justice.

De 2009 à 2012, le géant de l’internet a reçu d’agences gouvernementales américaines “entre zéro et 999 demandes”. Ces demandes concernaient chaque année entre “1.000 et 1.999 comptes”, à l’exception de l’année 2010, au cours de laquelle les demandes visaient “entre 2.000 et 2.999 comptes”, selon Google qui ne publie que des éventails de chiffres pour répondre aux demandes du FBI, du département de la Justice et d’autres agences gouvernementales qui craignent que la publication de chiffres exacts révèle des informations sur les enquêtes en cours.

Serval Mesh est un nouveau projet en développement. Celui-ci se base sur une idée de décentralisation de la téléphonie : au-lieu de transiter par des antennes ou des satellites, les appels transitent par les autres appareils équipés de Serval Mesh, en utilisant l’émetteur-récepteur wi-fi d’un smartphone ou en utilisant l’antenne gsm, et ne transitent donc à aucun moment par les infrastructures telecoms. Vu sa nature ‘sur le fil de la légalité’, Serval Mesh n’est actuellement disponible que sur Android.