The Internets

Dans un article intitulé Orange milite pour une industrie du bug Français ?, CNIS Mag revient sur le souhait du directeur général d’Orange, Stéphane Richard, de voir un cartel d’opérateurs européens développer leur propre système d’exploitation pour mobiles face à Apple, Google, Microsoft ou RIM. Le magazine est très critique sur les capacités (infrastructure, développement, sécurité, etc.) de l’opérateur en ce domaine :

Las, on ne peut s’improviser « créateur de noyau », même si l’on possède un trésor de guerre considérable. F.T. ne possède pas de compétence interne en matière de développement matériel, ne dispose d’aucun centre spécialisé dans la conception de système d’exploitation qui ait su faire ses preuves sur le secteur grand-public, n’a jamais investi le moindre Euro dans le domaine des réseaux sociaux et ne peut opposer une puissance d’hébergement infime comparée à celle des grands datacenters que possèdent Microsoft ou Google. (…) Qui dit « nouveau noyau » pense immanquablement «usine à bugs», essuyage de plâtres et par conséquence, «exploitation mafieuse certaine». Or, là encore, Orange n’a jamais montré une quelconque maîtrise d’une «culture de la sécurité». Hormis peut-être pour vendre de l’abonnement antivirus à des utilisateurs ADSL, comme on vend de la minute de communication ou de la location de S63.

A lire sur : Orange milite pour une industrie du bug Français ? (CNIS Mag)

A lire sur : U.S. Wants to Make It Easier to Wiretap the Internet (NY Times)
Et sur : FBI Drive for Encryption Backdoors Is Déjà Vu for Security Experts (Wired)

A lire sur : Détails en direct du helpdesk de IMDDOS (Le blog sécurité – Orange)
Et sur : Tracking the IMDDOS Botnet (Dampalla)

Ce matin, le Conseil des ministres a adopté un projet de loi, dont l’article 11 sur les communications électroniques habilite le gouvernement à transposer en droit français le Paquet Telecom par ordonnances.

Cette réglementation adoptée par le Parlement Européen en novembre 2009, doit avoir été transposée et publiée par les États membres au plus tard le 25 mai 2011. Utiliser des ordonnances permet au gouvernement de prendre des mesures relevant du législatif sans débat parlementaire, sur simple ratification. « Certes, le paquet télécom est très technique et, sur bien des points, estime Autheuil, mais (…) il est quand même question de service universel, de protection des données personnelles, de droits du consommateur. Ces sujets, bien que contraints par le cadre de la directive, méritent un débat politique ! »

Authueil s’inquiète particulièrement du point 4° portant sur toutes les dispositions de nature à « renforcer la lutte contre les faits susceptibles de porter atteinte à la vie privée et au secret des correspondances dans le domaine des communications électroniques, notamment en ce qui concerne la recherche, la constatation et la répression des infractions«  et à « répondre aux menaces et prévenir et réparer les atteintes à la sécurité des systèmes d’information des autorités publiques ainsi que des opérateurs ».

« Je suis d’autant plus inquiet que l’étude d’impact (pdf) est absolument muette sur ce 4° » écrit-il. « Qu’est-ce qui va bien encore nous tomber sur la gueule ? Je me prépare au pire…. »

Pourtant l’étude d’impact du projet de loi en parle bien. Ainsi, elle dit que « les mesures proposées ont pour objectif de renforcer la sécurité et le contrôle des équipements mis en œuvre par les opérateurs qui sont directement impliqués dans les interceptions des communications électroniques prévues par la loi. Ces équipements étant installés au cœur des réseaux des opérateurs, ils jouent un rôle majeur dans la sécurité des communications des abonnés. (…). C’est d’ailleurs en raison de leur très forte sensibilité, que ces équipements sont soumis à une procédure d’autorisation assortie de sanctions pénales – qui a été instaurée par l’ article 226-3 du code pénal.« 

Selon cet article, sont punis d’un an d’emprisonnement et de 45000 euros d’amende, la « fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente en l’absence d’autorisation ministérielle, dont les conditions d’octroi sont fixées par décret en Conseil d’Etat,«  d’appareils conçus pour :
- réaliser les opérations permettant « d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications (article 226-15)
- la détection à distance des conversations, au moyen d’un procédé quelconque, permettant volontairement de porter atteinte à l’intimité de la vie privée d’autrui« . (article 226-1)

Selon l’étude, il apparaît aujourd’hui nécessaire et urgent de « renforcer ce dispositif d’autorisation compte tenu de « l’augmentation constatée et de l’ampleur des risques liés à l’utilisation de ces équipements«  et de « préciser et de renforcer les infractions pénales du dispositif et de permettre un vrai contrôle (…) du respect des règles de sécurité par les entreprises fournissant les matériels et de l’absence de danger lié à l’utilisation de ces appareils pour la sécurité des réseaux ». Dans cet but, il est proposé d’augmenter les peines pour défaut d’autorisation ministérielle, de créer une sanction pénale pour le non-respect des conditions fixées par ces autorisations, et d’habiliter l’ANSSI (Agence nationale de la sécurité des systèmes) à contrôler l’application de ces dispositions.

Ces mesures de renforcement s’inscrivent dans la transposition de la directive 2009/140/CE, et plus précisément du 1. de l’article 13 bis. Un article très général sur la sécurité et à l’intégrité des réseaux et services, qui n’aborde pas la question des interceptions par les opérateurs et du régime de ces équipements. Justement indique l’étude, « il est apparu souhaitable de prévoir explicitement l’habilitation du gouvernement sur cette question ».

A la lecture de ce document on peut s’interroger sur les intentions réelles du gouvernement derrière ce texte. S’il s’agit de « protection des infrastructures vitales », ou s’il pourrait avoir un impact, et si oui dans quelle mesure, en matière de surveillance des réseaux au nom de la sécurité intérieure ou de la lutte anti-terroriste. On peut également y voir des dispositions qui vont vers davantage d’encadrement et de contrôle de certaines pratiques. Par exemple de l’utilisation du Deep Packet Inspection (DPI) ou autres technologies à des fins d’inspection et d’analyse des paquets sur les réseaux publics. Certains dans le but de filtrer des contenus, d’autres de discriminer certains trafics, et d’autres encore d’intercepter des communications.

A lire sur : Le scandale des sites gouvernementaux qui se négligent (Bluetouff’s blog)
Maj : Et sur : Le non-scandale des sites gouvernementaux faillibles (ZD Net)
Et sur : HADOPI : tu sécurises ou tu fliques ?(Bluetouff’s blog)

A lire sur : Is Sarah Palin a Computer Criminal ? (EFF)

A lire sur : Privacy Recommendations for the Use of Cloud Computing by Federal Departments and Agencies (Privacy Lives)
Source : Privacy Recommendations for the Use of Cloud Computing by Federal Departments and Agencies (pdf) (CIO)
Et sur : Data Protection and Data Security Issues Related to Cloud Computing in the EU (SSRN)

A lire sur : Stealthy Government Contractor Monitors U.S. Internet Providers, Worked With Wikileaks Informant (Forbes)
Et sur : Project Vigilant and the government/corporate destruction of privacy (Salon)
Et sur : Big names help run Project Vigilant (Examiner)
Via : Which ISPs Hand Private Surfing Info Over To Secretive Private Group Who Monitors It For The Feds? (Tech Dirt)

Début juillet, le gouvernement indien demandait à Research In Motion (ou RIM, fabricant et opérateur du BlackBerry), Skype et Gmail (Google) de s’assurer que les mails et autres données transitant via leurs services soient dans des « formats qui puissent être lus » par les organismes de sécurité et de renseignement du pays. Et réclamait une mise en œuvre dans les 15 jours faute de quoi ces services pourraient être interdits sur le territoire indien.

D’après The Economic Times, citant des documents du Département indien de télécommunications (DOT), la société canadienne RIM aurait donné son accord aux autorités indiennes pour surveiller les services transitant sur ses smartphones. Selon le quotidien indien, RIM aurait ainsi proposé aux services de renseignement locaux de lui donner les codes techniques nécessaires pour accéder aux mails des entreprises et des particuliers utilisant un Blackberry. Et également de développer des outils permettant de surveiller les systèmes de messagerie instantanée.

La RIM compte près d’un million de clients en Inde selon Barron’s. La réaction de la société indienne intervient tout juste après l’annonce, dimanche dernier, par les Emirats arabes unis de suspendre certains services du Blackberry à partir du 11 octobre.

A lire sur : BlackBerry to open code for security check (The Economic Times)
Et sur : RIM vs. Indian government continues (ZD Net)
Via : BlackBerry : le gouvernement indien obtient l’accès aux données cryptées (Le Monde)

A lire sur : For E-Data, Tug Grows Over Privacy vs. Security (NY Times)
Et sur : Pourquoi le BlackBerry inquiète les Emirats arabes unis (Le Monde)

A lire sur : A tide turns (The Economist)
Via : Technology is Making Life Harder for Spies (Bruce Schneier)

A lire sur : Grosse faille à venir sur WPA2 ? (Ma petite parcelle d’Internet)
Et sur : Hole196 : faille pour le WPA2, nouveau parasite pour l’Hadopi (PC Inpact)
Source : WPA2 vulnerability found (Network World)

A lire sur : Peut-on accéder à l’ordinateur d’un salarié en vacances ? (Cnil)
Et sur : Administrateur systèmes et employeur peuvent-ils accéder au PC d’un salarié absent ? (ZDnet)

A lire sur : How to make the internet not suck (as much) (Dan Pollock)

La Chambre des députés du Chili a aujourd’hui adopté, à cent voix pour et une abstention, un projet de loi (pdf), présenté en 2007, qui vise à « garantir aux utilisateurs d’Internet le respect du principe de la neutralité du réseau, et ainsi assurer le libre accès aux contenus ».

Les dix députés qui sont intervenus en séance ont été d’accord sur la nécessité de garantir un accès libre à Internet aux utilisateurs, et sur le caractère pionner de ce type de régulation, tout en notant que la législation dans ce domaine est en retard par rapport à l’évolution rapide des technologies, peut-on lire sur le site de la Chambre des députés. Le ministre des Transports et des Télécommunications, Felipe Morande, a déclaré que la réglementation qui sera prise pour mettre en œuvre cette nouvelle loi prévoira des sanctions contre les FAI qui tenteront d’imposer des restrictions à l’accès au réseau, et promis de renforcer les contrôles dans ce domaine. Maintenant, le projet de loi doit passer devant la Cour constitutionnelle avant d’être promulguée et publiée, explique le site NeutralidadSi.

Le projet de loi voté insère cinq nouvelles obligations et interdictions à la loi sur les Télécommunications :

1.- Interdiction pour les FAI (ceux qui fournissent l’accès à Internet) d’interférer, de discriminer ou de gêner en aucune façon les contenus, les applications ou les services, à l’exception des mesures destinées à garantir la confidentialité des utilisateurs, la protection anti-virus et la sécurité du réseau.

2.- Obligation pour les FAI de fournir des services de contrôle parental;

3.- Obligation de fournir à ses clients, par écrit, une série de données leur permettant d’identifier correctement le service contracté

4.- Obligation de garantir  la confidentialité des utilisateurs, la protection anti-virus et la sécurité du réseau, et

5.- Obligation de garantir  l’accès à tout type de contenus, services ou applications disponibles sur le réseau et d’offrir un service qui ne distingue pas les contenus, les applications ou les services, en se basant sur leur source ou leur propriété. Pareillement, sont interdites les activités qui limitent la liberté des utilisateurs d’utiliser les contenus ou les services sauf si les utilisateurs en expriment la demande.

A lire sur : Does Surveillance Make Us Morally Better? (Philosophy Now)

A lire sur : Google’s Street View ’snoops’ on Congress members (BBC)

Aux Etats-Unis peut-être plus qu’ailleurs, les déclarations sur l’existence d’une cyber-guerre (et la nécessité de s’en défendre) se multiplient. Le plus souvent pour annoncer parallèlement le déblocage de nouveaux budgets faramineux et davantage de contrôle par l’armée. La cyber-guerre existe t-elle vraiment ? Bruce Schneier, célèbre spécialiste en sécurité informatique dans les colonnes de CNN. Selon lui, l’utilisation du mot « guerre » est erronée et dangeureuse, et conclue « aujourd’hui, nous ne sommes pas en train de combattre une cyberguerre, et les risques d’une cyberguerre ne sont pas supérieurs aux risques d’une invasion terrestre« . Extrait :

Un des problèmes est qu’il n’y a pas de définition claire de la « cyberguerre ». A quoi ça ressemble ? Comment ça commence ? Quand est-ce fini ? Les experts en cybersécurité n’ont pas les réponses à ces questions, et il est dangereux d’appliquer le terme de «guerre» de manière générale à moins de savoir qu’une guerre est en train de se passer.

Pourtant, des articles récents ont affirmé que la Chine avait déclaré la cyberguerre à Google, que l’Allemagne avait attaqué la Chine, et qu’un groupe de jeunes hackers avaient déclaré une cyberguerre à l’Australie. (Oui, la cyberguerre est tellement facile que même les enfants peuvent la faire.) Il est clair qu’ici nous ne parlons pas de vraie guerre, mais d’une guerre rhétorique : comme la guerre contre le terrorisme. (…)

Nous avons sûrement besoin d’améliorer notre cybersécurité. Mais les mots ont un sens, et les métaphores aussi. Il y a actuellement une lutte de pouvoir pour le contrôle de la stratégie de la cybersécurité de notre nation, et la NSA et le DoD [Department of Defense ndlr] sont en train de gagner. Si nous centrons le débat en termes de guerre, si nous acceptons d’étendre au cyberespace la définition militaire de la «guerre», nous alimentons nos craintes.

Nous renforçons l’idée que nous sommes impuissants, – quelle personne ou organisation peut se défendre seule dans une guerre ? – Et que d’autres ont besoin de nous protéger. Nous invitons les militaires à prendre en charge la sécurité et à ignorer les limites, souvent abandonnées en période de guerre.

Si, de l’autre côté, nous utilisons le langage plus mesuré de la cybercriminalité, nous modifions le débat. (…) Nous acceptons volontiers de donner aux policiers des pouvoirs extraordinaires d’enquête et d’arrestation, mais nous tempérerons ces pouvoirs avec un système judiciaire et une protection juridique des citoyens.

A lire sur : Threat of ‘cyberwar’ has been hugely hyped (CNN)

Le gouvernement indien a demandé, via le Département indien de télécommunications (DOT), à Skype, Research In Motion (le système de messagerie du BlackBerry) et Gmail (Google) de s’assurer que les mails et autres données transitant via leurs services soient dans des formats lisibles par les organismes de sécurité et de renseignement, rapporte PCWorld. Ils doivent veiller à ce que cela soit mise en œuvre dans les 15 jours faute de quoi ces services pourraient être interdits, indique une note interne du gouvernement, précise The Hindu Business Times.

A lire sur : Reports: BlackBerry, Skype, Google Face India Data Demand (PC World)
Et aussi : BlackBerry, Skype, Gmail come under the scanner (The Hindu Business Times)
Et : BlackBerry has to pass security muster in 15 days (The Economics Times)

A lire sur : Menaces informatiques et pratiques de sécurité en France (Clusif, Édition 2010)