Les Passeports biométriques rendent les choses plus difficiles pour les agents secrets de la CIA

Point de contrôle biométrique au Royaume-UniImage: point de contrôle biométrique dans un aéroport du Royaume-Uni (Wikipedia, « Les portes des Epasseports« )

Par Bruce Schneier

L’année dernière, j’ai écrit sur la façon dont les sites des médias sociaux rendent les choses plus difficiles que jamais pour des policiers en civil. Cette histoire raconte comment les passeports biométriques rendent les choses encore plus difficiles pour les agents de la CIA sous couverture.

Les carrefours très fréquentés de l’espionnage comme Dubaï, la Jordanie, l’Inde et beaucoup de points d’entrée de l’UE emploient des scanners de l’iris pour relier les yeux irrévocablement à un nom particulier. De même, l’utilisation croissante des passeports biométriques, qui sont intégrés à des puces contenant le visage, le sexe, les empreintes digitales, la date et le lieu de naissance d’une personne, et d’autres données personnelles, sont de plus en plus en train de remplacer les anciens [documents] en papier. Pour un agent de terrain clandestin, prendre un vol sous un faux nom pourrait être un aller-simple vers un bureau du siège, car ils sont irrévocablement enchaînés à un nom et à un passeport qu’ils ont utilisé.

« Si vous allez dans un de ces pays sous un alias, vous ne pouvez pas y aller de nouveau sous un autre nom », explique un espion de carrière, qui a parlé sous couvert d’anonymat parce qu’il reste un consultant de l’agence. « Donc, c’est une chose qui ne se produit qu’une seule fois – une seule fois, et c’est fini. Les données biométriques dans votre passeport, et peut-être votre iris, aussi, ont été liées pour toujours au nom qui figurait sur votre passeport pour la première fois. Vous ne pouvez pas vous montrer de nouveau sous un nom différent avec les mêmes données ».

Source: https://www.schneier.com/blog/archives/2012/04/biometric_passp_1.html

Facebook Inc (FB) poursuivi en Europe pour violations de confidentialité

Après que la politique de confidentialité de Facebook soit devenue apparemment délibérément confuse, des violations se sont produites, selon la poursuite

facebook1Facebook Inc (NASDAQ: FB) est confronté à une poursuite en recours collectif en Europe qui pourrait faire ressortir le manque de protection de la vie privée sur Facebook.

Facebook a violé les lois sur la confidentialité en Europe, en participant au programme d’espionnage de la NSA.

L’étudiant autrichien en droit et militant de la vie privée Max Schrems a déclaré vendredi qu’il va défier le réseau social devant le tribunal. Schrems a dit que Facebook a violé les lois sur la confidentialité généralement claires de l’Europe, et n’a pas tenu compte de ses propres conditions d’accord quand il a participé à un programme général d’espionnage exploité par la NSA.

«Nous constatons que Facebook viole les lois de la vie privée de l’UE depuis très longtemps et nous avons voulu prendre des mesures», a déclaré Schrems dans une déclaration à The Christian Science Monitor. « Les problèmes commencent avec une politique de confidentialité que personne ne comprend, [qui est] invalide en vertu de la législation européenne, jusqu’au scandale d’espionnage de la NSA. »

C’est la division Irlandaise de Facebook, dont le siège est à Dublin, qui fait l’objet de la plainte puisque leur domaine relève de la compétence juridique de l’Union européenne.

Lire l’intégralité de l’article: http://www.valuewalk.com/2014/08/facebook-inc-fb-sued-in-europe-over-privacy-violations/

Vidéo: le Pentagone et la manipulation des médias sociaux

Russia Today, 26 juillet 2014

Texte de la vidéo sur Dailymotion:

Les défenseurs de la protection de la vie privée sont très agités après la révélation que le gouvernement US aurait pu être derrière une expérience récente sur Facebook. Le média social essaie de manipuler les émotions des utilisateurs en leur montrant différents flux d’actualités. Marina Portnaya rapporte que Washington a un goût pour ce genre de recherches.

Quand la plus grande plateforme de médias sociaux au monde surveille ses utilisateurs, le scandale n’est pas loin.

« L’étude pour voir comment Facebook peut influencer l’état émotionnel de ses utilisateurs, sur ce flux d’infos. »

« Elle a permis aux chercheurs de manipuler les flux d’actualité de 700 000 utilisateurs, certains ont vu des informations positives sur leurs amis, d’autres plus négatives. »

« Je ne suis pas surpris, nous sommes tous des sortes de rats de laboratoires dans cette grande expérimentation Facebook. » Mais ça n’était pas qu’une expérience avec Facebook. Il s’avère que l’étude psychologique était liée aux recherches du gouvernement US sur les désordres sociaux.

« C’est vraiment flippant », et ça ne s’arrête pas là. Ce que vous ne savez peut-être pas, c’est que le Département US de la Défense aurait dépensé environ 20 millions de $ sur des études visant à apprendre comment manipuler le comportement sur Internet dans le but d’influencer l’opinion. L’initiative fut lancée en 2011 par l’Agence de recherche sur les programmes avancés du Pentagone connue sous le nom de DARPA. Le programme peut être décrit comme un effort des médias US pour devenir meilleurs à détecter et mener des campagnes de propagande via les médias sociaux.

Traduction, quand des messages anti-gouvernement ont une diffusion virale, Washington veut trouver un moyen pour répandre la contre-opinion.

« Ils veulent dominer ce qu’ils appellent le champ de bataille de l’information. Ce qu’ils cherchent, c’est développer des méthodes et techniques pour le faire, et ça devient très effrayant au point de vue du respect de nos droits et sans savoir si nous recevons des informations exactes. »

Le chercheur sur la sécurité et la vie privée Kevin Gallagher dit que le moyen pour le gouvernement US de répandre la més-information est de créer des faux profils sur Twitter.

« On est suivi par beaucoup de ces comptes qui n’ont pas vraiment travaillé leur profil. »

Apparemment, j’aurais un faux adhérent.

« Regardez ce compte. Il a twitté à tous vos collègues, essayant de vous attirer vers ce lien. »

Selon le Guardian, certaines des recherches financées par le Département de la Défense, ont surveillé et analysé les flux Twitter d’activistes d’Occupy et auraient été jusqu’à envoyer des messages à des utilisateurs de médias sociaux dans le but de tracer et étudier leurs réponses. En pleine ère de l’information de masse, les critiques disent que manipuler les messages devient rapidement un instrument de valeur pour l’armée US.

Traduction par hussardelamort

Espionnage des cabinets juridiques: L’ABA demande à la NSA comment est traitée l’information privilégiée avocat-client dans le travail du renseignement

WASHINGTON, 21 février 2014 – L’American Bar Association a envoyé une lettre à l’Agence nationale de sécurité, le 20 février, en exprimant des préoccupations sur les récentes allégations de surveillance possible du gouvernement à l’étranger sur les communications confidentielles des avocats américains avec leurs clients à l’étranger et le partage ultérieur de l’information privilégiée avec la NSA. L’ABA a également demandé des précisions sur les politiques et les pratiques actuelles de l’agence visant à protéger l’information privilégiée avocat-client que celle-ci intercepte ou reçoit, et si ces directives ont été suivies dans le cadre de l’incident allégué.

Un article paru dans le New York Times affirme que la Direction des transmissions australiennes a intercepté des communications privilégiées entre le gouvernement indonésien et un cabinet d’avocats américains et a alors partagé l’information avec la NSA. Citant cette allégation, le président de l’ABA, James R. Silkenat, craint que si des informations confidentielles ont été interceptées et partagées avec la NSA, celles-ci pourraient être utilisées de manière impropre par le gouvernement américain ou par des tiers.

La lettre de Silkenat au directeur de la NSA, le général Keith B. Alexander, et à l’avocat général de la NSA, Rajesh De, est disponible ici.

Voir l’intégralité du communiqué: http://www.americanbar.org/news/abanews/aba-news-archives/2014/02/aba_asks_nsa_howit.html

Nous ne serons pas protégés de la NSA tant que nous utiliserons des solutions américaines

3427561_3_b3dd_le-siege-de-la-nsa-a-fort-meade-dans-le_6cdb6fd700c809687baf1005c99823cbBart Preneel, jeudi 27 février 2014 à 07h00

Les révélations d’Edward Snowden prouvent que la NSA accomplit parfaitement son travail: la révolution numérique permet de collecter, de stocker et d’analyser d’énormes quantités d’informations sous le slogan “In God we trust, all others we monitor. “ Le rapport du Parlement européen adressé à Echelon en 2001 a démontré que la NSA était passée maître dans l’art d’intercepter les communications. En outre, la NSA collecte des métadonnées: qui communique avec qui et quand, avec quel appareil et depuis quel endroit.

Mais grâce à Snowden, nous savons aujourd’hui que la NSA n’en reste pas là. L’Agence nationale de sécurité américaine a ainsi demandé à des acteurs cloud de premier plan de mettre à disposition des informations tirées du cloud (le programme Prism). En outre, leurs communications internes est interceptée (le programme Muscular placé sous le contrôle de l’agence britannique GCHQ). La solution au problème semble évidente: crypter simplement toutes les informations transmises sur l’internet et enregistrées dans le cloud. Elles restent ainsi hors de portée de la NSA. Mais il va de soi que la NSA anticipe. Quand un acteur internet encode des informations, l’Agence peut lui demander au moyen d’une dénommée ‘lettre de sécurité’ la clé secrète du serveur Web et lui interdire de communiquer à ce sujet. Lorsque cette situation s’est produite avec l’email provider Lavabit, ce dernier a finalement décidé de mettre la clé sous la porte. De plus, la NSA a investi dans le sabotage des normes cryptographiques (comme EC Dual RNBG). Ensuite, elle a convaincu certaines entreprises américaines de reprendre ces normes par défaut dans leurs produits. Enfin, la NSA investit en masse dans le craquage des méthodes de cryptage existantes. Un cryptage réellement sécurisé des informations n’est donc plus aussi facile. Les autorités européennes adoptent une position ambivalente à l’égard du cryptage universel: cet encodage les empêche d’intercepter facilement des informations, même dans un cadre parfaitement légal. Par ailleurs, il est un fait que le cryptage protège les données mais pas les métadonnées. Pour ce faire, vous devez disposer d’outils comme TOR qui permettent – dans une certaine mesure – de cacher les sites Web visités.

Même si nous cryptons tout, il faut toujours permettre à l’utilisaeur d’accéder à ses données sur son ordinateur. Mais la sécurisation des données traitées dans un ordinateur est bien plus complexe que celle des données en transit ou stockées. Pourquoi? Nos ordinateurs sont incroyablement complexes. Le processeur renferme plusieurs centaines de millions voire plus d’un milliard de transistors. Un système d’exploitation possède entre 10 et 100 millions de lignes de code. Sans oublier les middleware, drivers, navigateurs et applications. Tous les informaticiens savent qu’il est tout bonnement impossible de rendre un système d’une telle complexité exempt de tout bug pour un prix abordable. Chaque année, des milliers de bugs sont rapportés par les fournisseurs ICT. En général, les brèches sont rapidement colmatées. Le crime organisé et les autorités se penchent sur la création de nouveaux bugs: les uns pour en tirer un avantage financier et les autres pour obtenir des données sensibles. Pour la NSA, il doit être particulièrement tentant de demander aux entreprises ICT de lui révéler en premier les bugs ou – mieux encore – d’intégrer délibérément de subtiles faiblesses supplémentaires. Le secteur ICT comprend les risques qui y sont liés et ne le fera qu’à contrecœur. Les révélations de Snowden prouvent que lorsque la NSA intervient au moyen de lettres de sécurité (secrètes), les entreprises ne peuvent pas communiquer à ce sujet.

De plus, la culture “Ship now and patch later” a mené à des mises à jour automatiques et régulières de toutes les composantes de nos systèmes. Ces mises à jour varient en fonction des machines. Si la NSA parvient à prendre le contrôle du mécanisme de mise à jour, elle peut l’exploiter pour s’emparer de chaque machine.

En résumé, la NSA ne se limite plus depuis longtemps à de simples écoutes: elle procède à des attaques actives qui lui permettent de contrôler de certains ordinateurs. Pour des cibles spécifiques, surtout celles qui ne sont pas liées à l’internet, l’agence va même jusqu’à ajouter des composantes en interceptant les ordinateurs durant leur transport. Il faut s’attendre à ce que les révélations de Snowden inspirent d’autres pays à faire aussi bien, voire mieux.

Il n’existe qu’une seule manière d’assurer une sécurisation optimale dans un tel contexte: contrôler la conception complète de chaque composant de votre machine, du matériel au logiciel. De cette façon, vous pouvez être certain qu’aucune lacune n’y a été intégrée. Ce qui vient de l’extérieur doit être inspecté jusque dans les moindres détails sur la base d’une description complète. De surcroît, vous devez pouvoir contrôler l’entièreté de la chaîne d’approvisionnement pour avoir la certitude que votre ordinateur n’a pas été modifié. Enfin, vous devez aussi contrôler toutes les mises à jour. Seul un grand pays ou une multinationale peut se permettre d’adopter une telle approche. Les autres doivent rechercher des partenaires. Une question se pose alors: à qui pouvez-vous encore faire confiance?

Source: http://datanews.levif.be/ict/opinion/chroniques/nous-ne-serons-pas-proteges-de-la-nsa-tant-que-nous-utiliserons-des-solutions-americaines/opinie-4000541266288.htm

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives