Morgan Marquis-Boire explique comment on peut être piraté par une vidéo de chats sur YouTube

NGT14, 24 septembre 2014

Morgan Marquis-Boire est un chercheur principal et conseiller technique au Citizen Lab à l’École Munk des Affaires Internationales à l’Université de Toronto. Il est directeur de la sécurité chez First Look Media. Avant cela, il a travaillé comme ingénieur sénior en sécurité chez Google, en se concentrant sur la protection des utilisateurs à haut risque et en se spécialisant dans les opérations de sécurité, la réponse aux incidents, et l’analyse de la menace, et il a aussi été chercheur adjoint chez Google Ideas. Il est un membre fondateur de la Secure Domain Foundation, un groupe concurrent d’informations, à but non lucratif, gratuit. Il fait aussi du bénévolat pour l’Electronic Frontier Foundation à San Francisco. En plus de cela, il est membre du conseil consultatif de la sécurité à la Free Press Foundation. Originaire de Nouvelle-Zélande, il était l’un des fondateurs de la conférence de hackers KiwiCON. Ses recherches sur la surveillance et le ciblage numérique des militants et des journalistes ont figuré dans de nombreuses publications papiers et en ligne. (youtube)

« Vous pouvez vous faire pirater juste en regardant cette vidéo de chat sur YouTube »

The Intercept, 15 août 2014, par Morgan Marquis-Boire

Beaucoup de gens autrement bien informés pensent qu’ils doivent faire quelque chose de mal, ou de stupide, ou de non-sécurisé pour se faire pirater — comme cliquer sur de mauvaises pièces jointes, ou naviguer sur des sites web malveillants. Les gens pensent aussi que la NSA et ses partenaires internationaux sont les seuls à avoir transformé l’Internet en une zone militarisée. Mais selon les recherches que je publie aujourd’hui au Citizen Lab, à l’École Munk des affaires internationales de l’Université de Toronto, beaucoup de ces croyances répandues ne sont pas nécessairement vraies. La seule chose que vous devez faire pour rendre les secrets de vos ordinateurs — conversations privées, informations bancaires, photographies — transparents à des regards curieux est de regarder la vidéo d’un joli chat sur YouTube, et de susciter l’intérêt d’une agence de l’État-nation ou d’application de la loi qui a 1 million de dollars ou plus à dépenser.

Pour comprendre pourquoi, vous devez comprendre que, même avec un Internet aujourd’hui de plus en plus soucieux de la sécurité, la majorité du trafic est encore non chiffré. Vous pourriez être surpris d’apprendre que même des sites populaires qui font de la publicité sur leur recours au cryptage servent encore fréquemment du contenu ou des publicités non chiffrés. Alors que les gens reconnaissent maintenant que le trafic non chiffré peut être surveillé, ils peuvent ne pas reconnaître que c’est aussi un accès direct pour compromettre leurs ordinateurs.

Des sociétés telles que Hacking Team et FinFisher vendent des dispositifs appelés « outils d’injection de réseau ». Ce sont des supports de machines physiques déployés à l’intérieur des fournisseurs de services Internet dans le monde, qui permettent la simple exploitation de cibles. Pour ce faire, ils injectent du contenu malveillant dans la circulation quotidienne de la navigation Internet des gens. Une des manières dont Hacking Team accomplit cela est de profiter des flux non chiffrés de vidéos YouTube pour compromettre des utilisateurs. Le dispositif de Hacking Team cible un utilisateur, attend que l’utilisateur regarde une vidéo sur YouTube comme celle-ci, et intercepte le trafic et le remplace par un code malveillant qui donne à l’opérateur un contrôle total sur l’ordinateur de la cible sans qu’il ou elle le sache. La machine exploite également le site web de Microsoft login.live.com de la même manière.

Heureusement pour leurs utilisateurs, Google et Microsoft ont été tous deux réceptifs quand ils ont été alertés que les outils commerciaux ont été utilisés pour exploiter leurs services, et ils ont pris des mesures pour mettre fin à la vulnérabilité en cryptant tout le trafic ciblé. Il y a, cependant, beaucoup d’autres vecteurs à exploiter pour des entreprises comme Hacking Team et FinFisher.

Dans l’Internet d’aujourd’hui, il y a très peu d’excuses pour qu’une entreprise serve du contenu non crypté. Tout trafic non chiffré peut être malicieusement manipulé d’une manière qui reste invisible pour un utilisateur ordinaire. La seule façon de résoudre ce problème, c’est que les fournisseurs du web offrent des services entièrement cryptés.

L’année dernière, mes collègues du Citizen Lab et moi-même avons publié un document sur la commercialisation de l’espionnage numérique et le marché en plein essor de la surveillance en ligne par un tiers. Historiquement, cette technologie a été la compétence des Etats-nations avec la capacité de développer leur propre boutique de capabilité. La surveillance ciblée en ligne implique généralement un logiciel «implant» subrepticement installé sur la machine d’un utilisateur permettant un contrôle complet, par exemple, d’un appareil mobile ou d’un ordinateur portable. Les agences de renseignement aux États-Unis, au Royaume-Uni, en Russie, Israël, Chine, etc. ont développé leurs propres versions personnalisées de ces derniers. Mais au cours des cinq dernières années, Hacking Team et d’autres acteurs ont commencé à vendre ce type de capacité à ce qui pourrait être considéré comme « de la petite monnaie d’un dictateur. » Des nations qui n’ont pas la possibilité de créer leurs propres outils peuvent maintenant accélérer leurs programmes de surveillance ciblée en ligne relativement à bon marché.

Ces produits dits d’ « interception légale » vendus par Hacking Team et FinFisher peuvent être achetés pour aussi peu que 1 million de dollars (ou moins) par des gouvernements et des services de la loi un peu partout dans le monde. Ils ont été utilisés contre des cibles politiques, y compris Bahreïn Watch, les citoyens-journalistes de Mamfakinch au Maroc, le militant des droits de l’homme Ahmed Mansoor aux EAU [Emirats Arabes Unis], et ESAT, un service d’informations basé aux États-Unis qui s’intéresse à l’Éthiopie. Hacking Team et FinFisher ont tous deux prétendu qu’ils vendent seulement aux gouvernements, mais des documents récemment divulgués semblent montrer que FinFisher a vendu à au moins une entreprise de sécurité privée.

Il est important de noter que ce que je décris aujourd’hui n’est pas de la technologie d’interception massive (même si elle peut être utilisée à grande échelle). Contrairement à la collecte de métadonnées par la NSA, ces outils ne sont pas utilisés pour cibler des nations entières. Néanmoins, nous avons besoin d’avoir une discussion ouverte sur la façon dont nous voulons que la loi utilise ce type de technologie. Est-ce utilisé pour attraper les pornographes infantiles? Les ravisseurs? Les trafiquants de drogue? La fraude fiscale? Les journalistes qui reçoivent des fuites de documents?

À l’ère numérique, une recherche dans le contenu de votre ordinateur portable, de vos comptes en ligne, et de vos communications numériques est tout aussi envahissante qu’une fouille dans votre chambre. Traditionnellement, être au courant des moments et des conversations les plus intimes d’une personne aurait autrefois demandé de placer des dispositifs d’écoutes à l’intérieur de leur maison, sans compter le temps et la main-d’oeuvre pour écouter ce qui a été pris. Le coût d’une telle opération rendait nécessaire que la cible soit une personne avec un intérêt raisonnable. Aujourd’hui, il est possible d’observer quelqu’un à travers la lentille de la caméra de leur ordinateur portable, de les écouter via le microphone de leur téléphone portable, et de lire leur correspondance en ligne à distance et avec un moindre coût. La camionnette classique de surveillance pleine d’employés gouvernementaux qui s’ennuient (payés avec les heures supplémentaires), déployée 24 heures/24 est de plus en plus une chose appartenant au passé.

Nous ne savons tout simplement pas combien de fois ce type de surveillance se produit. Alors que les révélations de Snowden, l’année dernière, ont révélé beaucoup du caractère de la surveillance par la communauté du renseignement, l’utilisation du piratage informatique pour la surveillance dans l’application de la loi est moins bien comprise. Il est généralement admis que les techniques d’application de la loi doivent être tenues à un niveau élevé de transparence. En effet, aux États-Unis, les agences d’application de la loi publient des registres détaillant le nombre d’écoutes téléphoniques qu’elles déploient chaque année. Mais il n’y a presque aucune information publique sur le piratage informatique dans l’application de la loi.

Comme les coûts de déploiement de ce type de technologie diminuent, et que les outils deviennent commercialisés, leur utilisation augmente beaucoup plus rapidement que ce qui est communément admis. L’étude que je publie aujourd’hui essaie de faire avancer notre compréhension vers l’avant, mais en fin de compte, les réponses quant à la façon de répondre vont venir d’un dialogue éclairé. Chaque pays a besoin d’avoir une discussion ouverte pour savoir quelles agences d’application de la loi devraient être autorisées à utiliser cette technologie, dans quelles circonstances, et comment ce mécanisme de surveillance devrait être mis à jour pour tenir compte de cette nouvelle capacité.

Source: https://firstlook.org/theintercept/2014/08/15/cat-video-hack/

Publicités

Que fait la NSA avec vos données?

La NSA est l’une des plus grandes agences de renseignement des États-Unis
Sa mission est de protéger les systèmes de sécurité des Etats-Unis
Les agents de la NSA font cela en collectant de renseignements, mais quelles sont exactement leurs cibles?
La NSA collecte les relevés téléphoniques de tous les citoyens américains et de plus d’un milliard de personnes dans le monde
En un mois seulement en 2013, ils ont recueilli 124,8 milliards d’éléments de données téléphoniques et 97,1 milliards de données informatiques
Ils interceptent les données privées et les images faciales de communication d’entreprises, y compris Google, Facebook et YouTube
En fait, ils peuvent enregistrer presque tout ce qu’un utilisateur fait sur Internet
La NSA a conclu des accords avec des sociétés technologiques telles que Microsoft…
Pour affaiblir leurs codes de cryptage ou installer un logiciel espion afin qu’ils puissent être infiltrés
Ce qui a rendu la majorité de l’internet vulnérable aux cyber-attaques
En 2010, un tribunal de la FISA a autorisé la NSA à espionner 193 pays et la banque mondiale
On a même trouvé qu’ils espionnent les alliés des États-Unis, la France et l’Allemagne
La NSA utilise les attaques du 11 septembre pour justifier la surveillance de masse…
… mais la NSA interceptait les appels entre ben Laden et al-Qaïda avant les attentats
Ils interprètent le Patriot Act pour dire que toutes les communications américaines sont considérées comme «pertinentes» dans une enquête sur le terrorisme
Malgré la surveillance téléphonique de masse, l'[ex] directeur-adjoint de la NSA John Inglis a admis qu’ils ont empêché un complot terroriste depuis le 11 septembre
L’objectif de la NSA est de décoder toutes les informations cheminant à travers les câbles de fibre optique dans le monde, au moment où cela arrive
Le lanceur d’alerte de la NSA William Binney croit que «le but ultime de la NSA est le contrôle total de la population»

(youtube)

Big Brother – La TV espionne les utilisateurs à leur insu – La TV connectée vous regarde, vous écoute, et enregistre vos infos personnelles!

hoszhana.wordpress.com, 21 novembre 2013

Un blogueur a remarqué que son téléviseur LG continuait de transmettre des informations personnelles au fabricant, alors même qu’il avait désactivé cette fonction. La firme assume du bout des lèvres.

topelement

Les réseaux sociaux vous espionnent, votre smartphone vous espionne, votre téléviseur n’allait pas se gêner d’en faire de même. Un blogueur britannique du nom de DoctorBeet a découvert que sa TV connectée de marque LG l’espionnait à son insu. Il relate son expérience sur son site.

Les fabricants de téléviseurs connectés enregistrent les habitudes de leurs téléspectateurs afin d’afficher des publicités en rapport avec leurs goûts dans les différents menus de navigation. Chez le fabricant coréen, la fonction s’appelle Smart Ad.
L’option de suivi peut être déclenchée, sauf que voilà, dans le cas de LG, les informations continuent d’être collectées et transmises aux serveurs de la firme. Fâché par cette découverte, le blogueur a contacté LG pour lui demander des explications.

Réponse de l’entreprise: toute personne qui emploie un téléviseur connecté de la marque en accepte forcément les conditions d’utilisation. Et de recommander à DoctorBeet de se retourner contre le vendeur du téléviseur qui ne l’a pas averti que ses informations personnelles allaient être connectées.

Pour éviter les fuites, le blogueur préconise de bloquer manuellement sur le routeur certains noms de domaine liés à Smart Ad. La liste est disponible sur son blog.
Big Brother au salon – Les téléviseurs connectés posent de nouveaux défis à la protection de la sphère privée. En 2012, des experts étaient parvenus à pirater une Smart TV de Samsung afin qu’elle filme ce qui se passe dans la pièce autour d’elle.
Plus récemment, Microsoft a renoncé à braquer en permanence les caméras de son dispositif Kinect sur les joueurs de la console de salon Xbox One.
(Newsnet)

TV Connectées: LG récupérerait des infos personnelles à l’insu des utilisateurs

Clubic.com – […] Téléviseurs connectés LG: le constructeur coréen récolte des données liées aux habitudes de visionnage des utilisateurs de ses appareils, pour mieux cibler sa publicité, et ce même si ces derniers ont désactivé la fonctionnalité de suivi.
[…]
 DoctorBeet a pris l’initiative de décortiquer le procédé. Et ce qu’il a découvert ne lui a pas plu.
[…] Au détour de l’exploration des paramètres de sa télévision, le blogueur découvre une option, nommée « Collecte d’information de visionnage », qu’il passe en Off en imaginant que LG va arrêter de tracer ses habitudes.

0226000006851346-photo-lg-tv-connectee

Mais par acquis de conscience, DoctorBeet décide de réaliser ensuite une analyse du trafic pour déterminer les données envoyées sur le réseau pas son téléviseur. Et c’est là où le bât blesse: même en désactivant cette fonction, l’écran continue à transmettre à un serveur distant des informations concernant les chaînes et programmes visionnés, et même le nom des fichiers stockés sur une clé USB connectée. Les données sont envoyées en clair sur les serveurs de LG.

Effrayé par sa découverte, le blogueur a pris contact avec LG pour avoir des explications. La firme lui a répondu par email, sans détour: « Malheureusement, comme vous avez accepté les Termes et Conditions sur votre TV, votre requête concerne votre détaillant. Nous estimons que vous auriez dû être mis au courant de ces termes et conditions dans votre point de vente, et pour des raisons évidentes, LG est incapable de commenter cette action » explique la firme. En clair, LG est dans son bon droit car les conditions d’utilisation du téléviseur indiquent que LG peut collecter les données des utilisateurs. La firme estime que c’est aux magasins qui commercialisent les téléviseurs de faire de la pédagogie sur la question, et de donner ensuite le choix au client d’acheter ou non l’appareil.

Si LG se cache derrière les conditions générales de vente de ses téléviseurs, l’entreprise ne répond pas à la question concernant la fameuse option qu’il est possible de désactiver dans le menu du téléviseur. « Que l’option soit réglée sur marche ou arrêt, les informations sont envoyées » déplore le blogueur. Pour l’utilisateur lambda qui n’a pas les moyens de suivre les transferts de données, la pratique manque de transparence.

Conscient qu’il n’obtiendra pas plus de réponse et de solution de la part de l’entreprise, DoctorBeet propose une solution aux possesseurs d’un téléviseur LG qui ne veulent pas être surveillés: le blogueur a mis en ligne une liste de domaines à bloquer sur un routeur « pour empêcher l’espionnage et la publicité sur des téléviseurs que nous, clients, avons acheté ». Il est également possible que la firme sud-coréenne, qui n’a pas encore répondu aux sollicitations de la presse, finisse par réagir face à la médiatisation de cette découverte.
Clubic.com

Source: http://hoszhana.wordpress.com/2013/11/21/big-brother-la-tv-espionne-les-utilisateurs-a-leur-insu-la-tv-connectee-vous-regarde-vous-ecoute-et-enregistre-vos-infos-personnelles/

Le programme PRISM de la NSA puise dans les données des utilisateurs d’Apple, Google et autres

prism-slide-4_1Un diaporama illustrant le programme top secret PRISM

Par Glenn Greenwald et Ewen MacAskill

Le Guardian, vendredi 7 juin 2013

La National Security Agency [NSA] a obtenu un accès direct aux systèmes de Google, Facebook, Apple et d’autres géants de l’Internet aux Etats-Unis, selon un document top secret obtenu par le Guardian.

L’accès de la NSA fait partie d’un programme non divulgué auparavant appelé PRISM, qui permet aux agents de recueillir des données, y compris l’historique de recherche, le contenu des e-mails, les transferts de fichiers et les discussions instantanées en ligne, dit le document.

Le Guardian a vérifié l’authenticité du document, une présentation de 41 diaporamas PowerPoint — classés top secret, avec aucune distribution pour ses alliés étrangers — une présentation qui a été apparemment utilisée pour former les agents de renseignement sur les capacités du programme. Le document affirme « collecter directement à partir des serveurs » des grands fournisseurs de services américains.

Bien que la présentation affirme que le programme est exécuté avec l’aide des entreprises, tous ceux qui ont répondu aux questions du Guardian, pour commenter, jeudi, ont nié avoir eu connaissance d’un tel programme.

Dans un communiqué, Google a déclaré: « Google se soucie profondément de la sécurité des données de nos utilisateurs. Nous transmettons les données des utilisateurs au gouvernement en conformité avec la loi, et nous examinons ces demandes avec soin. De temps en temps, les gens prétendent que nous avons créé « une porte arrière » pour le gouvernement dans nos systèmes, mais Google n’a pas de porte arrière qui permet au gouvernement d’accéder aux données privées de l’utilisateur. »

Plusieurs cadres supérieurs de technologie ont insisté sur le fait qu’ils n’avaient pas connaissance de PRISM ou d’un quelconque schéma similaire. Ils ont dit qu’ils n’auraient jamais été impliqués dans un tel programme. « S’ils font cela, ils le font à notre insu », dit l’un d’eux.

Un porte-parole d’Apple a déclaré qu’il n’avait « jamais entendu parler » de PRISM.

L’accès de la NSA a été activé suite aux changements sur la loi de surveillance américaine, introduite sous le président Bush et renouvelée sous Obama en décembre 2012.

Le programme facilite la surveillance étendue et approfondie des communications en direct et de l’information stockée. La loi autorise le ciblage de tous les usagers des entreprises participantes qui vivent à l’extérieur des Etats-Unis, ou les Américains dont les communications incluent des personnes vivant en dehors des Etats-Unis.

Il ouvre également la possibilité de recueillir des communications faites entièrement à l’intérieur des Etats-Unis, sans mandat d’exécution.

La divulgation du programme PRISM fait suite à une fuite transmise au Guardian mercredi sur une ordonnance top secrète de la cour obligeant le fournisseur télécom Verizon à remettre les relevés téléphoniques de millions de clients aux Etats-Unis.

La participation des sociétés Internet à PRISM va s’ajouter au débat, qui est enflammé par la révélation Verizon, au sujet de l’ampleur de la surveillance par les services de renseignement. Contrairement à la collecte de ces enregistrements d’appels, cette surveillance peut inclure le contenu des communications, et pas seulement des métadonnées.

Certaines des plus grandes marques de l’Internet mondial sont reconnues comme faisant partie du programme d’échange d’informations, depuis son introduction en 2007. Microsoft — qui mène actuellement une campagne publicitaire avec le slogan « Votre vie privée est notre priorité » — a été le premier, avec une collecte commençant en décembre 2007.

Il a été suivi par Yahoo en 2008, Google, Facebook et PalTalk en 2009, YouTube en 2010, Skype et AOL en 2011, et enfin Apple, qui a rejoint le programme en 2012. Le programme continue de se développer, avec d’autres fournisseurs qui doivent entrer en ligne.

Collectivement, les entreprises couvrent la majorité des e-mails en ligne, des recherches, des réseaux de communications et de vidéos.

L’ampleur et la nature des données recueillies à partir de chaque entreprise varie.

Les entreprises sont légalement tenues de se conformer aux demandes pour les communications des usagers, en vertu de la loi américaine, mais le programme PRISM permet aux services de renseignement d’accéder directement aux serveurs des entreprises. Le document de la NSA remarque que les opérations ont « l’assistance des fournisseurs de communications aux Etats-Unis. »

La révélation rend également compte des préoccupations soulevées par plusieurs sénateurs américains lors du renouvellement des amendements de la loi FISA [Foreign Intelligence Surveillance Act] en décembre 2012, qui ont mis en garde quand à l’ampleur de la surveillance que la loi pourrait permettre, et des lacunes dans les garanties qu’elle introduit.

Lorsque la FAA [FISA Amendments Act] a été promulguée, les défenseurs de la loi ont fait valoir qu’un contrôle significatif de l’abus causerait l’incapacité de la NSA à obtenir des communications électroniques, sans le consentement des entreprises de télécommunications et d’Internet qui contrôlent les données. Mais le programme PRISM rend ce consentement facultatif, car il permet à l’agence de saisir directement et unilatéralement les communications depuis les serveurs des entreprises.

Un graphique préparé par la NSA, contenu dans le document top secret obtenu par le Guardian, souligne l’ampleur des données qu’il est en mesure d’obtenir: e-mails, chats vocaux et vidéos, photos, discussions en direct de type voix-sur-IP (Skype, par exemple), transferts de fichiers, détails de réseautage social, et plus encore.

Le document est récent, daté d’avril 2013. Une telle fuite est extrêmement rare dans l’histoire de la NSA, qui se targue de maintenir un haut niveau de secret.

Le programme PRISM permet à la NSA, la plus grande organisation de surveillance au monde, d’obtenir des communications ciblées, sans avoir à les demander aux fournisseurs de services et sans avoir à obtenir des ordonnances individuelles de la cour.

Avec ce programme, la NSA est capable d’atteindre directement les serveurs des sociétés participantes et d’obtenir à la fois les communications stockées, aussi bien que d’effectuer une collecte en temps réel sur les utilisateurs ciblés.

La présentation affirme que PRISM a été introduit pour surmonter ce que la NSA considère comme des défauts de garantie de FISA dans le pistage des terroristes étrangers présumés. Il est écrit que les Etats-Unis ont un « avantage de terrain » dû à l’hébergement d’une grande partie de l’architecture d’Internet. Mais la présentation revendique que « les contraintes de FISA ont limité notre avantage de terrain », car FISA rend nécessaires les mandats individuels et les confirmations disant que l’expéditeur et le destinataire d’une communication se trouvaient tous deux à l’extérieur des Etats-Unis.

« FISA a été abandonnée, parce qu’elle accordait des garanties de confidentialité pour les personnes qui ne se référaient pas à eux », ajoute la présentation. « Il a fallu une ordonnance FISA de la cour pour pouvoir collecter des informations sur des étrangers vivant en dehors du terriroire, qui ont été en communication avec d’autres étrangers en dehors du territoire, simplement parce que le gouvernement faisait la collecte hors d’un fil aux Etats-Unis. Il y avait trop de comptes e-mail pour que FISA puisse, de manière pratique, les chercher tous. »

Les nouvelles mesures introduites dans la FAA [FISA Amendments Act] redéfinissent la « surveillance électronique » pour exclure quiconque d’être « de manière raisonnablement fiable » à l’extérieur des Etats-Unis — un changement technique qui réduit la barre pour initier la surveillance.

La loi donne aussi au directeur du renseignement national et au procureur général le pouvoir de permettre d’obtenir des informations du renseignement, et indemnise les sociétés Internet contre toute action apparue comme un résultat de demandes de coopération avec les autorités.

En bref, là où auparavant la NSA avait besoin des autorisations individuelles, et d’une confirmation que toutes les parties se trouvaient à l’extérieur des Etats-Unis, ils ont désormais seulement besoin d’un soupçon raisonnable voulant que l’une des parties se trouvait à l’extérieur des Etats-Unis au moment où les enregistrements ont été recueillis par la NSA.

Le document montre également que le FBI agit comme un intermédiaire entre les autres agences et les entreprises de haute technologie, et souligne sa dépendance vis-à-vis de la participation des entreprises Internet américaines, affirmant que « l’accès est dépendant à 100% des approvisionnements FAI [ISP: Internet Service Providers].

Dans le document, la NSA salue le programme PRISM comme « l’un des accès les plus précieux, unique et productif pour la NSA ».

Il se vante de ce qu’il appelle « une forte croissance » dans son utilisation du programme PRISM pour obtenir des communications. Le document souligne que le nombre de communications obtenues ont augmenté de 248% en 2012 pour Skype — conduisant dans les notes à remarquer qu’il y avait « une croissance exponentielle dans les rapports Skype; il semble que le mot sort de notre capacité contre Skype ». Il y avait aussi une augmentation de 131% des demandes de données pour Facebook, et 63% pour Google.

Le document de la NSA indique qu’il prévoit d’ajouter Dropbox comme fournisseur de PRISM. L’agence cherche également, selon ses mots, à « étendre les services de collecte des fournisseurs existants ».

Les révélations font l’écho des craintes soulevées sur le parquet du Sénat, l’année dernière, lors du débat accéléré sur les pouvoirs de la FAA [FISA Amendments Act], qui sous-tendent le programme PRISM, débat apparu quelques jours avant que l’acte ait expiré.

Le sénateur Christopher Coons du Delaware a spécifiquement averti que le secret qui entoure les différents programmes de surveillance signifiait qu’il n’y avait aucun moyen de savoir si des garanties étaient efficaces dans la loi.

Le problème est que: « nous ici au Sénat et les citoyens que nous représentons, nous ne savons pas dans quelle mesure fonctionnent réellement chacune des garanties », a-t-il dit.

« La loi n’interdit pas la collecte d’information purement intérieure. Nous savons qu’au moins un tribunal de la FISA [Foreign Intelligence Surveillance Act] a jugé que le programme de surveillance a violé la loi. Pourquoi? Ceux qui savent ne peuvent pas le dire et les Américains moyens ne peuvent pas le savoir. »

D’autres sénateurs ont également soulevé des préoccupations. Le sénateur Ron Wyden de l’Oregon a tenté, sans succès, de trouver toute information sur le nombre d’appels téléphoniques ou de courriels qui avaient été interceptés dans le cadre du programme.

Lorsque la loi a été promulguée, les défenseurs de la FAA [FISA Amendments Act] ont fait valoir qu’un contrôle significatif de l’abus conduirait à l’incapacité de la NSA d’obtenir des communications électroniques sans le consentement des entreprises de télécommunications et d’Internet qui contrôlent les données. Mais le programme PRISM rend ce consentement inutile, car il permet à l’organisme de saisir directement et unilatéralement les communications depuis les serveurs des entreprises.

Lorsque la NSA examine une communication qui mérite, selon elle, une enquête plus approfondie, elle émet ce qu’elle appelle un « rapport ». Selon la NSA, « plus de 2000 rapports PRISM » sont désormais publiés chaque mois. Il y en avait 24 005 en 2012, soit une augmentation de 27% par rapport à l’année précédente.

Au total, plus de 77 000 rapports de renseignement ont cité le programme PRISM.

Jameel Jaffer, directeur du Centre pour la démocratie de l’ACLU, a trouvé qu’il était étonnant que la NSA pouvait même demander aux entreprises de haute-technologie d’accorder un accès direct aux données des utilisateurs.

« Le simple fait que la NSA demande aux entreprises de le faire est assez choquant », a-t-il dit. « La NSA est une partie de l’armée. L’armée a obtenu un accès sans précédent aux communications civiles.

C’est une militarisation sans précédent d’une infrastructure de communications domestiques. C’est profondément troublant pour quiconque est préoccupé par cette séparation. »

Un responsable senior de l’administration a déclaré dans un communiqué: « Les articles du Guardian et du Washington Post se rapportent à la collecte des communications en vertu de la section 702 de la loi FISA [Foreign Intelligence Surveillance Act]. Cette loi n’autorise le ciblage d’aucun citoyen américain ni d’aucune personne se trouvant à l’intérieur des Etats-Unis.

Le programme est soumis à un contrôle par la Cour de Surveillance du Renseignement Etranger [Foreign Intelligence Surveillance Court], la branche exécutive et le Congrès. Il implique des procédures étendues, spécifiquement approuvées par le tribunal, afin de s’assurer que seules les personnes non-américaines en dehors des Etats-Unis sont ciblées, et qui minimise l’acquisition, la conservation et la diffusion d’informations accidentellement acquises sur des personnes aux Etats-Unis.

Ce programme a été récemment reconduit par le Congrès après de longues auditions et des débats.

L’information recueillie en vertu de ce programme est parmi l’une des informations du renseignement les plus importantes et précieuses que nous recueillons, et elle est utilisée pour protéger notre nation d’une grande variété de menaces.

Le gouvernement ne peut utiliser que la section 702 pour obtenir des informations du renseignement étranger, ce qui est précisément, et de justesse, défini dans la loi FISA [Foreign Intelligence Surveillance Act]. Cette exigence s’applique à tous les niveaux, indépendamment de la nationalité de la cible. »

Reportage additionnel par James Ball et Dominic Rushe

Source: http://www.guardian.co.uk/world/2013/jun/06/us-tech-giants-nsa-data

WikiLeaks – Contrat entre Microsoft & le Gouvernement Tunisien: L’arrière boutique des négociations

Identifiant du Câble diplomatique: 06TUNIS2424
Origine: Ambassade de Tunis
Créé: 2006-09-22 10:44:00

1. (SBU) Résumé : Durant le Microsoft Government Leaders Forum s’étant tenu en Afrique du Sud les 11 et 12 Juillet, le Gouvernement Tunisien et Microsoft Corporation ont signé un accord de partenariat qui prévoit des investissements de Microsoft en matière de formation, de recherche et de développement, mais engage également le Gouvernement Tunisien à utiliser des logiciels Microsoft sous licence. Selon Salwa Smaoui, Directeur Général de Microsoft Tunisie, il s’agit d’un contrat gagnant-gagnant à la fois pour le Gouvernement Tunisien et pour Microsoft. Le processus de négociation et de l’accord consenti en lui-même illustrent les priorités du GT et le coût de faire des affaires en Tunisie. Fin du Résumé.

2. (SBU) L’accord entre Microsoft et GT a été signé en Juillet lors du Microsoft Government Leaders Forum tenu en Afrique du Sud. Bien que signé en Juillet, nous n’avons encore reçu aucune information en provenance du GT ni de Microsoft et, en dépit de nos demandes répétées, Microsoft ne nous a pas encore fourni une copie de l’accord final. Lors d’une Réunion tenue en septembre avec EconOffs, Salwa Smaoui – Directeur Général de Microsoft Tunisie – a fourni un aperçu des principaux points. L’accord final décrit une coopération avec le GT en matière de e-gouvernance, cyber-sécurité, droits de propriété intellectuelle et développement des capacités pour les programmes de technologies de l’information en Tunisie. Microsoft mettra en place un Centre d’Innovation Microsoft en Tunisie pour développer la capacité de production locale de logiciels en fournissant des services de formation et de conseil aux développeurs de logiciels. L’expansion du secteur TI tunisien est devenu une priorité pour le GT comme moyen d’absorber le nombre croissant de diplômés universitaires au chômage. Selon Smaoui, le GT investit environ un pour cent du PIB en recherche et développement dans le secteur des TI. Microsoft a également accepté de fournir une formation aux Tunisiens handicapés afin de leur permettre de rechercher un emploi dans le secteur des TI par le biais du télétravail. (Note : L’épouse du Président Ben Ali, Leila Ben Ali, gère une association caritative pour les Tunisiens handicapés. Fin de la Note.).

3. (U) Dans le cadre de l’accord, Microsoft aidera le GT à améliorer et moderniser ses ordinateurs et ses capacités réseaux. À son tour, le GT a accepté d’acheter douze mille licences pour la mise à jour des ordinateurs du gouvernement avec des logiciels Microsoft sous licence, plutôt que les versions piratées couramment utilisées jusqu’ici, selon un employé de Microsoft. Depuis 2001, le GT a adopté une politique de logiciels libres, utilisant uniquement des logiciels libres. En outre, les futurs appels d’offres pour les équipements TI du Gouvernement préciseront que les équipements doivent être compatibles avec Microsoft, ce qui est actuellement interdit par la politique des logiciels libres en Tunisie.

4. (SBU) L’accord porte également sur la sécurité Internet. Grâce à un programme sur la cybercriminalité, Microsoft formera les représentants du gouvernement au sein des ministères de la Justice et de l’Intérieur à l’utilisation des ordinateurs et d’internet pour lutter contre la criminalité. Dans le cadre de ce programme, Microsoft fournira au GT les codes source originaux de ses programmes. Interrogée par EconOff par rapport à d’éventuelles préoccupations que pourrait avoir Microsoft en fournissant ses codes sources, Smaoui a répondu que les codes source ne seront disponibles que pour un petit nombre de fonctionnaires. Néanmoins, l’accord contient un langage indiquant que Microsoft et le GT travailleront conjointement sur les droits de propriété intellectuelle. Cet accord prévoit également un accord séparé à signer pour l’instauration d’un programme de coopération sécuritaire qui fournira au public davantage de formation en matière de sécurité Internet générale.

5. (C) Selon Smaoui, l’accord est l’aboutissement d’un processus de négociation de cinq ans. Smaoui a été nommée Directeur général de Microsoft Tunisie il y a environ un an et, bien qu’encore hésitante quant à la divulgation intégrale des détails de l’accord final, a fourni des mises à jour fréquentes concernant l’avancement des négociations. Elle a signalé que, parfois, les soupçons du Gouvernement concernant Microsoft en raison de son «américanité» semblaient l’emporter sur l’évaluation technique de la proposition. Elle a rapporté que certains ministres du GT lui avaient demandé à plusieurs reprises pourquoi, en tant que Tunisienne, elle «travaillait pour les Américains», et que des soupçons frôlant souvent l’hostilité posaient sur les négociations. Smaoui a également noté que le Gouvernement Tunisien souhaitait un accord « sur mesure » plutôt qu’un programme préemballé qui serait «imposé» à la Tunisie. Cette attitude lors du processus de négociation imposait à Microsoft de se concentrer attentivement autant sur la forme que sur le fond.

6. (C) Dans un appel DCM, quelques jours avant le Forum de l’Afrique du Sud Forum, Smaoui s’inquiétait de se rendre au Forum sans un accord signé en main et ne pouvait même pas confirmer que le Représentant du Gouvernement s’y rendra. Elle appréhendait d’être amenée à avouer à Bill Gates qu’elle n’avait aucune raison de se rendre au Forum. Durant l’évènement, Khedija Ghariani, Secrétaire d’Etat pour l’Informatique, Internet, et les Logiciels Libres a assisté et signé l’accord au nom du GT. Malgré les négociations de longue haleine, Smaoui a déclaré que parvenir à un accord était «vital» pour Microsoft. Le fait que le gouvernement se soit appuyé sur les logiciels open source limitait drastiquement les affaires en Tunisie et empêchait Microsoft de participer aux appels d’offres du Gouvernement Tunisien. En outre, l’accord renforce un objectif commun à Microsoft et au GT – l’établissement d’une société de la connaissance. Smaoui a déclaré que même si Microsoft investissait en Tunisie, le montant de l’investissement sera inférieur au coût des achats du GT.

7. (C) Commentaire : Bien que l’accord ait été salué comme un triomphe pour les droits de propriété intellectuelle, les négociations et l’accord consenti révèlent une réalité plus compliquée. Microsoft a réussi à négocier l’accord final en séduisant les sensibilités du GT en matière de chômage ainsi qu’en s’adaptant aux réalités des affaires en Tunisie. Même si l’objectif de l’élargissement des possibilités d’emploi pour les Tunisiens handicapés constitue un objectif digne, l’affiliation du programme à l’association caritative de Leila Ben Ali est révélatrice des manoeuvres d’arrière-boutique parfois nécessaires pour finaliser un accord. La réticence de Microsoft quant à la divulgation intégrale des détails de l’accord met l’accent sur le fait que le GT fait prévaloir le secret à la transparence. En théorie, augmenter la capacité du gouvernement à appliquer la loi à travers la formation en TI est positif, mais étant donné la lourde interférence du GT en matière d’Internet, il est à se demander si cela ne va pas accroître la capacité du GT en matière de surveillance de ses propres citoyens. Finalement, pour Microsoft les bénéfices l’emportent sur les coûts. Fin du Commentaire.
BALLARD

Source: http://tobegoodagain.canalblog.com/archives/2011/09/04/21933939.html

Câble original: http://wikileaks.org/cable/2006/09/06TUNIS2424.html#

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives

  • Publicités