La Skoda Octavia RS que vient d’acquérir pour 85.000 euros la police de la ville d’Aalter (aux environs de Gand) est équipée d’un système ANPR (Automatic Number Plate Recognition) de reconnaissance des plaques d’immatriculation et du plus puissant des blocs essence de la gamme actuelle. Il s’agit d’un quatre cylindres turbocompressé de 2 litres de cylindrée délivrant une puissance de 220 chevaux permettant à cette Octavia de passer de 0 à 100 km/h en 6,8 secondes et d’atteindre 248 km/h.
Le système ANR est connecté à la base de données de la police. Ainsi, il peut directement comparer les immatriculations. Dès lors, si un véhicule est détecté non assuré ou volé, les agents sont alertés. La procédure d’interpellation est donc déclenchée.
Belgique: Une voiture à système de reconnaissance de plaque pour la police d’Aalter
Le Centre de la sécurité des télécommunications du Canada (CST) scrute des millions de documents, notamment vidéo, partagés en ligne chaque jour, a appris Radio-Canada grâce à des documents qui remontent à 2012 et font ainsi état de la situation à ce moment. On y apprend que le CST a espionné les partages de millions d’individus à travers le monde dans le cadre d’un programme de sécurité intitulé « Lévitation ». Des fichiers partagés par des Canadiens se sont retrouvés « par erreur » dans les lots de documents analysés. La loi interdisant à l’agence d’espionner des Canadiens, le CST soutient avoir mis en place des mécanismes pour protéger la vie privée de ses concitoyens contre ces intrusions.
Les analystes de l’agence peuvent scruter quotidiennement de 10 à 15 millions de fichiers partagés à partir de 102 sites Internet gratuits. L’agence de sécurité a notamment ciblé les sites de partage Rapidshare, Sendspace et Megaupload. Des 30 à 45 millions documents ainsi analysés chaque mois, seulement 350 d’entre eux sont dignes d’intérêt. Chaque geste posé (downloader ou uploader des fichiers de ces sites) est archivé, colligé et analysé.
Pour lire le document: http://fr.scribd.com/doc/253980511/Projet-Levitation
Canada: Information sur le programme d’espionnage du net
Annoncées plusieurs fois ces dernières années, les caméras parlantes sont à présent effectivement installées à 5 endroits du centre-ville de Charleroi. Ces caméras pourront bien évidemment filmer, mais les policiers derrière les écrans de contrôle pourront les utiliser comme haut-parleurs à destination des personnes observées.
Alors que le second acte de la loi contre « L’apologie du terrorisme » entrait en vigueur ce 10 janvier, permettant notamment d’arrêter les personnes qui feraient « l’apologie du terrorisme » sur les réseaux sociaux. C’est évidemment un effet d’annonce puisque les auteurs de ces ‘apologies’ étaient déjà arrêtés auparavant. Les Ministres de l’Intérieur de 11 pays (L’Allemagne, le Royaume-Uni, l’Italie, la Pologne, l’Espagne, la Belgique, la Suède, les Pays-Bas, le Danemark, l’Autriche et la France) ont fait une déclaration commune d’intention de contrôler plus encore les réseaux sociaux. Le but de ces pays européens étant d’aboutir à des accords avec les fournisseurs de services pour effacer plus rapidement les contenus qui feraient l’apologie du terrorisme.
Dans la même veine ‘post-charlie’, plusieurs élus français font à présent appel à un ‘Patriot Act à la française’. Le Patriot Act américain permettant entre autres de saisir sans mandat du matériel (informatique ou autre) et de détenir sans limites de temps des suspects de ‘terrorisme’.
Lors d’une conférence du mythique Chaos Computer Club, des documents de la NSA ont été analysés par Jacob Appelbaum (l’un des architectes de TOR qui a déjà représenté Wikileaks dans le passé et a contribué à montrer les failles de Truecrypt et d’autres logiciels) et Laura Poitras (réalisatrice du film Citizenfour). (Voir la vidéo) On sait à peu près ce qui était indéchiffrable en 2012. La NSA pourrait avoir avancé en 2 ans, mais cela est peu probable.
Commençons par ce qui est déchiffrable : les connexions https et les connexions vpn. Pour le VPN, difficile de savoir si le piratage se fait au niveau du fournisseur ou bien du protocole. Difficile donc de savoir si des VPN comme celui de Riseup sont concernés. En 2012, la NSA craquait 20.000 connexions VPN par heure et 10 millions de connexions HTTPS par jour ! Tout ce qui concerne le chiffrement via les fournisseurs de services est également facilement attaquable pour la NSA : le projet d’implémentation de PGP à l’intérieur de Gmail par exemple sera un jeu d’enfants à déchiffrer.
Concernant TOR, ils ont du mal mais ils y arrivent : leur recette favorite étant de pirater directement l’ordinateur de la cible pour intercepter les données avant qu’elles ne transitent par TOR.
Du coté de l’indéchiffrable : c’est toujours PGP et OTR (Off the Record) qui sont les bêtes noires des services secrets. Truecrypt est également très solide, même si le projet a été abandonné (et reprit par d’autres équipes prometteuses comme Truecrypt.ch et Veracrypt).
On peut se sentir à l’abris de la NSA en Europe : mais l’enjeu est que si la NSA ne peut pas attaquer ces logiciels, il y a peu de chance qu’une autre agence y parvienne.
Depuis le 1er décembre, tous les passeports qui sortent des bureaux de l’administration belge sont équipés d’une puce dotée d’une fonctionnalité appelée « supplemental access control », qui rend encore plus difficile la lecture non autorisée des données personnelles du citoyen, comme ses empreintes digitales. Les passeports belges sont équipés d’une puce depuis 2004. La Belgique était à l’époque le premier pays au monde à avoir mis en place ce système de sécurité pour lequel le passeport belge avait d’ailleurs reçu un prix Interpol. Le système a évolué depuis lors, notamment avec l’enregistrement des empreintes digitales. Et le passeport belge est resté parmi les plus sûrs au monde. Il est même le troisième passeport mondial en terme de nombre de pays auxquels il donne accès sans visa.
Des centaines de manifestations opposent la rue aux policiers aux Etats-Unis. Une série de bavures policières ayant culminée il y a quelque jours par le meurtre sans sommation d’un jeune enfant armé d’un jouet et l’acquittement du policier qui avait abattu Mike Brown à Ferguson. Les manifestants remettent en cause, notamment, le fait que les polices locales américaines sont équipées de matériels militaires, et ce à des fins d’anti-terrorisme. La Maison Blanche a fait une annonce aujourd’hui pour dire qu’elle ‘encadrerait et standardiserait mieux’ les moyens militaires dont sont dotées ces forces, ce qui ne veut pas dire grand chose, mis-à-part que les policiers continueront à bénéficier de ce matériel. En outre, le gouvernement a annoncé qu’un système de 50’000 bodycams (pour une valeur de $263 millions), portées via des lunettes connectées ou clipsées aux chemises de ses agents filmeront les interpellations pour pouvoir définir ‘qui est en faute’ lors d’incidents. Le président américain a également profité de cette allocution pour préciser qu’il n’ira pas à Ferguson à l’occasion des nouvelles émeutes qui embrasent la ville.
Samedi 8 novembre, un hélicoptère de la police a été visé par rayon laser vers 19 heures 15 à Borgerhout, au sud-est d’Anvers. L’appareil volait à basse altitude au profit d’unités de police à terre qui recherchait des cambrioleurs en action. Alors que plusieurs policiers recherchaient les cambrioleurs un adolescent a joué avec un pointeur laser en direction de l’hélicoptère. Le pilote a réussi à éviter l’éblouissement, qui aurait pu s’avérer très vite particulièrement dangereux pour sa vue et le vol. S’est alors engagé une course-poursuite rapide entre l’adolescent et les policiers belges. une fois interpellé il a raconté avoir juste voulu s’amuser sans comprendre l’étendu de son acte. Il a été convoqué devant le procureur du roi.
L’EFF (Electronic Frontier Foundation, ONG américaine contre la surveillance numérique) et Amnesty International viennent de dévoiler un logiciel nommé Detekt. Ce programme une fois installé permet de détecter les spywares gouvernementaux les plus connus. Pour le moment, Detekt n’est disponible que pour Windows puisque c’est l’OS le plus utilisé. Detekt fonctionne sous Windows XP, Vista, 7, 8 et 8.1. Notons qu’un bug empêche Detekt de fonctionner sous les versions 64bits de Windows 8.1, le bug devrait être résolu très bientôt.
Le protocole qui permet d’accéder à des sites internet (http) est non-sécurisé. Il est très facile pour un hacker (gouvernemental ou privé) de s’interposer entre un utilisateur et un site internet. Pour sécuriser le protocole internet, on a utilisé depuis plusieurs années le chiffrement SSL : cela est visible pour l’utilisateur lorsqu’il visite une adresse qui commence par https. Dans la pratique https permet d’abord de chiffrer (avec une relative efficacité) la connexion entre un utilisateur et un site web, https permet également de garantir l’authenticité d’un site internet (signature). L’utilisateur peut dés lors être certain qu’il accède effectivement au site web qu’il veut visiter et non pas au clone d’une page web, créée par un attaquant. Le problème est que ces chiffrement/signature SSL sont compliqués à mettre en oeuvre pour plusieurs raisons : ils sont techniquement compliqués à mettre en oeuvre, les certificats sont délivrés par des instances bureaucratiques (les ‘CA’ pour Autorités de Certifications), de plus ces certificats sont payants à hauteur d’un minimum de 80€/an.
Lorsque l’on accède à certains sites militants, on peut souvent voir un message « cette connexion n’est pas sécurisée » ou « l’identité de ce site n’a pas pu être vérifiée », ou « le certificat de ce site web a expiré ». Ces messages qui sont souvent des faux-positifs -mais pas toujours- sont pénibles pour les militants soucieux de leur sécurité informatique. Ceci pose des problèmes, particulièrement dans les sites à publication ouverte où l’utilisateur doit être absolument certain qu’il n’est pas sur un site policier et que sa connexion n’est pas espionnée.
Ce problème pourrait être résolu d’ici une année : une alliance entre la fondation de logiciels open-source Mozilla, l’association progressiste américaine EFF (Electronic Frontier Foundation), et des constructeurs veut lancer une nouvelle Autorité de Certification d’ici à l’été 2015. Cette CA, baptisée « Let’s Encrypt » délivrera des certificats SSL gratuits, avec des démarches administratives simplifiées à l’extrême et surtout la gratuité d’utilisation. Let’s encrypt veut réduire le temps d’installation nécéssaire à 30 secondes contre 2 à 3 heures actuellement. La présence de Mozilla et de l’EFF dans l’association permet également de faire confiance à ce projet open-source, malgré la présence d’autres acteurs plus douteux, comme Cisco, qui veulent probablement redorer leur image après les fuites de Snowden.
Le déploiement de Let’s Encrypt est donc une excellente nouvelle pour la sécurité informatique. Voir le site officiel.
Internet : Vers des certifications SSL accessibles à tous
Campagne à propos des photos dans les manifestations
Campagnes de soutien médical aux combattant·es du Rojava