The Internets

flux & contenux

Archive pour ‘sécurité’ tag

[Dixit] « Orange milite pour une industrie du bug Français ? »

avec un commentaire

Dans un article intitulé Orange milite pour une industrie du bug Français ?, CNIS Mag revient sur le souhait du directeur général d’Orange, Stéphane Richard, de voir un cartel d’opérateurs européens développer leur propre système d’exploitation pour mobiles face à Apple, Google, Microsoft ou RIM. Le magazine est très critique sur les capacités (infrastructure, développement, sécurité, etc.) de l’opérateur en ce domaine :

Las, on ne peut s’improviser « créateur de noyau », même si l’on possède un trésor de guerre considérable. F.T. ne possède pas de compétence interne en matière de développement matériel, ne dispose d’aucun centre spécialisé dans la conception de système d’exploitation qui ait su faire ses preuves sur le secteur grand-public, n’a jamais investi le moindre Euro dans le domaine des réseaux sociaux et ne peut opposer une puissance d’hébergement infime comparée à celle des grands datacenters que possèdent Microsoft ou Google. (…) Qui dit « nouveau noyau » pense immanquablement «usine à bugs», essuyage de plâtres et par conséquence, «exploitation mafieuse certaine». Or, là encore, Orange n’a jamais montré une quelconque maîtrise d’une «culture de la sécurité». Hormis peut-être pour vendre de l’abonnement antivirus à des utilisateurs ADSL, comme on vend de la minute de communication ou de la location de S63.

A lire sur : Orange milite pour une industrie du bug Français ? (CNIS Mag)

Par Astrid Girardeau

4 octobre 2010 à 9:29

[->] Les Etats-Unis veulent faciliter l’écoute sur Internet

Laissez un commentaire

Par Astrid Girardeau

27 septembre 2010 à 18:51

[->] I’M DDOS : Service d’attaques DDoS à la demande

Laissez un commentaire

A lire sur : Détails en direct du helpdesk de IMDDOS (Le blog sécurité – Orange)
Et sur : Tracking the IMDDOS Botnet (Dampalla)

Par Astrid Girardeau

19 septembre 2010 à 6:03

[ExPress] Le gouvernement veut renforcer la lutte contre « l’atteinte à la vie privée et au secret des correspondances » en ligne

Laissez un commentaire

Ce matin, le Conseil des ministres a adopté un projet de loi, dont l’article 11 sur les communications électroniques habilite le gouvernement à transposer en droit français le Paquet Telecom par ordonnances.

Cette réglementation adoptée par le Parlement Européen en novembre 2009, doit avoir été transposée et publiée par les États membres au plus tard le 25 mai 2011. Utiliser des ordonnances permet au gouvernement de prendre des mesures relevant du législatif sans débat parlementaire, sur simple ratification. « Certes, le paquet télécom est très technique et, sur bien des points, estime Autheuil, mais (…) il est quand même question de service universel, de protection des données personnelles, de droits du consommateur. Ces sujets, bien que contraints par le cadre de la directive, méritent un débat politique ! »

Authueil s’inquiète particulièrement du point 4° portant sur toutes les dispositions de nature à « renforcer la lutte contre les faits susceptibles de porter atteinte à la vie privée et au secret des correspondances dans le domaine des communications électroniques, notamment en ce qui concerne la recherche, la constatation et la répression des infractions«  et à « répondre aux menaces et prévenir et réparer les atteintes à la sécurité des systèmes d’information des autorités publiques ainsi que des opérateurs ».

« Je suis d’autant plus inquiet que l’étude d’impact (pdf) est absolument muette sur ce 4° » écrit-il. « Qu’est-ce qui va bien encore nous tomber sur la gueule ? Je me prépare au pire…. »

Pourtant l’étude d’impact du projet de loi en parle bien. Ainsi, elle dit que « les mesures proposées ont pour objectif de renforcer la sécurité et le contrôle des équipements mis en œuvre par les opérateurs qui sont directement impliqués dans les interceptions des communications électroniques prévues par la loi. Ces équipements étant installés au cœur des réseaux des opérateurs, ils jouent un rôle majeur dans la sécurité des communications des abonnés. (…). C’est d’ailleurs en raison de leur très forte sensibilité, que ces équipements sont soumis à une procédure d’autorisation assortie de sanctions pénales – qui a été instaurée par l’ article 226-3 du code pénal.« 

Selon cet article, sont punis d’un an d’emprisonnement et de 45000 euros d’amende, la « fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente en l’absence d’autorisation ministérielle, dont les conditions d’octroi sont fixées par décret en Conseil d’Etat,«  d’appareils conçus pour :
- réaliser les opérations permettant « d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications (article 226-15)
- la détection à distance des conversations, au moyen d’un procédé quelconque, permettant volontairement de porter atteinte à l’intimité de la vie privée d’autrui« . (article 226-1)

Selon l’étude, il apparaît aujourd’hui nécessaire et urgent de « renforcer ce dispositif d’autorisation compte tenu de « l’augmentation constatée et de l’ampleur des risques liés à l’utilisation de ces équipements«  et de « préciser et de renforcer les infractions pénales du dispositif et de permettre un vrai contrôle (…) du respect des règles de sécurité par les entreprises fournissant les matériels et de l’absence de danger lié à l’utilisation de ces appareils pour la sécurité des réseaux ». Dans cet but, il est proposé d’augmenter les peines pour défaut d’autorisation ministérielle, de créer une sanction pénale pour le non-respect des conditions fixées par ces autorisations, et d’habiliter l’ANSSI (Agence nationale de la sécurité des systèmes) à contrôler l’application de ces dispositions.

Ces mesures de renforcement s’inscrivent dans la transposition de la directive 2009/140/CE, et plus précisément du 1. de l’article 13 bis. Un article très général sur la sécurité et à l’intégrité des réseaux et services, qui n’aborde pas la question des interceptions par les opérateurs et du régime de ces équipements. Justement indique l’étude, « il est apparu souhaitable de prévoir explicitement l’habilitation du gouvernement sur cette question ».

A la lecture de ce document on peut s’interroger sur les intentions réelles du gouvernement derrière ce texte. S’il s’agit de « protection des infrastructures vitales », ou s’il pourrait avoir un impact, et si oui dans quelle mesure, en matière de surveillance des réseaux au nom de la sécurité intérieure ou de la lutte anti-terroriste. On peut également y voir des dispositions qui vont vers davantage d’encadrement et de contrôle de certaines pratiques. Par exemple de l’utilisation du Deep Packet Inspection (DPI) ou autres technologies à des fins d’inspection et d’analyse des paquets sur les réseaux publics. Certains dans le but de filtrer des contenus, d’autres de discriminer certains trafics, et d’autres encore d’intercepter des communications.

[->] Le scandale des sites gouvernementaux qui se négligent

Laissez un commentaire

Par Astrid Girardeau

13 septembre 2010 à 8:17

[->] Is Sarah Palin a Computer Criminal ?

Laissez un commentaire

Par Astrid Girardeau

10 septembre 2010 à 9:59

Dans [->]

Tagged with , ,

[->] Protection/sécurité des données et Cloud Computing

Laissez un commentaire

Par Astrid Girardeau

3 septembre 2010 à 9:23

[->] Project Vigilant : Surveillance par un organisme privé

Laissez un commentaire

Par Astrid Girardeau

4 août 2010 à 10:16

[ExPress] Blackberry permet à l’Inde l’accès à des données cryptées

Laissez un commentaire

Début juillet, le gouvernement indien demandait à Research In Motion (ou RIM, fabricant et opérateur du BlackBerry), Skype et Gmail (Google) de s’assurer que les mails et autres données transitant via leurs services soient dans des « formats qui puissent être lus » par les organismes de sécurité et de renseignement du pays. Et réclamait une mise en œuvre dans les 15 jours faute de quoi ces services pourraient être interdits sur le territoire indien.

D’après The Economic Times, citant des documents du Département indien de télécommunications (DOT), la société canadienne RIM aurait donné son accord aux autorités indiennes pour surveiller les services transitant sur ses smartphones. Selon le quotidien indien, RIM aurait ainsi proposé aux services de renseignement locaux de lui donner les codes techniques nécessaires pour accéder aux mails des entreprises et des particuliers utilisant un Blackberry. Et également de développer des outils permettant de surveiller les systèmes de messagerie instantanée.

La RIM compte près d’un million de clients en Inde selon Barron’s. La réaction de la société indienne intervient tout juste après l’annonce, dimanche dernier, par les Emirats arabes unis de suspendre certains services du Blackberry à partir du 11 octobre.

A lire sur : BlackBerry to open code for security check (The Economic Times)
Et sur : RIM vs. Indian government continues (ZD Net)
Via : BlackBerry : le gouvernement indien obtient l’accès aux données cryptées (Le Monde)

Par Astrid Girardeau

3 août 2010 à 8:48

[->] Blackberry : Vie privée vs Sécurité

Laissez un commentaire

Par Astrid Girardeau

3 août 2010 à 8:06

[->] La technologie rend la vie des espions plus difficile

Laissez un commentaire

A lire sur : A tide turns (The Economist)
Via : Technology is Making Life Harder for Spies (Bruce Schneier)

Par Astrid Girardeau

26 juillet 2010 à 18:38

Dans [->]

Tagged with ,

[->] Grosse faille à venir sur WPA2 ?

Laissez un commentaire

A lire sur : Grosse faille à venir sur WPA2 ? (Ma petite parcelle d’Internet)
Et sur : Hole196 : faille pour le WPA2, nouveau parasite pour l’Hadopi (PC Inpact)
Source : WPA2 vulnerability found (Network World)

Par Astrid Girardeau

26 juillet 2010 à 8:33

[->] Peut-on accéder à l’ordinateur d’un salarié en vacances ?

Laissez un commentaire

Par Astrid Girardeau

20 juillet 2010 à 17:36

[->] How to make the Internet not suck (as much)

Laissez un commentaire

A lire sur : How to make the internet not suck (as much) (Dan Pollock)

Par Astrid Girardeau

20 juillet 2010 à 17:02

[ExPress] Le Chili adopte une loi sur la Neutralité du net

avec 2 commentaires

La Chambre des députés du Chili a aujourd’hui adopté, à cent voix pour et une abstention, un projet de loi (pdf), présenté en 2007, qui vise à « garantir aux utilisateurs d’Internet le respect du principe de la neutralité du réseau, et ainsi assurer le libre accès aux contenus ».

Les dix députés qui sont intervenus en séance ont été d’accord sur la nécessité de garantir un accès libre à Internet aux utilisateurs, et sur le caractère pionner de ce type de régulation, tout en notant que la législation dans ce domaine est en retard par rapport à l’évolution rapide des technologies, peut-on lire sur le site de la Chambre des députés. Le ministre des Transports et des Télécommunications, Felipe Morande, a déclaré que la réglementation qui sera prise pour mettre en œuvre cette nouvelle loi prévoira des sanctions contre les FAI qui tenteront d’imposer des restrictions à l’accès au réseau, et promis de renforcer les contrôles dans ce domaine. Maintenant, le projet de loi doit passer devant la Cour constitutionnelle avant d’être promulguée et publiée, explique le site NeutralidadSi.

Le projet de loi voté insère cinq nouvelles obligations et interdictions à la loi sur les Télécommunications :

1.- Interdiction pour les FAI (ceux qui fournissent l’accès à Internet) d’interférer, de discriminer ou de gêner en aucune façon les contenus, les applications ou les services, à l’exception des mesures destinées à garantir la confidentialité des utilisateurs, la protection anti-virus et la sécurité du réseau.

2.- Obligation pour les FAI de fournir des services de contrôle parental;

3.- Obligation de fournir à ses clients, par écrit, une série de données leur permettant d’identifier correctement le service contracté

4.- Obligation de garantir  la confidentialité des utilisateurs, la protection anti-virus et la sécurité du réseau, et

5.- Obligation de garantir  l’accès à tout type de contenus, services ou applications disponibles sur le réseau et d’offrir un service qui ne distingue pas les contenus, les applications ou les services, en se basant sur leur source ou leur propriété. Pareillement, sont interdites les activités qui limitent la liberté des utilisateurs d’utiliser les contenus ou les services sauf si les utilisateurs en expriment la demande.

Par Astrid Girardeau

14 juillet 2010 à 2:06

[->] La surveillance nous rend-elle moralement meilleurs ?

avec un commentaire

A lire sur : Does Surveillance Make Us Morally Better? (Philosophy Now)

Par Astrid Girardeau

10 juillet 2010 à 12:02

Dans [->]

Tagged with ,

[->] Des membres du Congrès américain négligents caractérisés ?

Laissez un commentaire

Par Astrid Girardeau

9 juillet 2010 à 13:06

[Dixit] « Nous ne sommes pas en cyber-guerre » Bruce Schneier

avec un commentaire

Aux Etats-Unis peut-être plus qu’ailleurs, les déclarations sur l’existence d’une cyber-guerre (et la nécessité de s’en défendre) se multiplient. Le plus souvent pour annoncer parallèlement le déblocage de nouveaux budgets faramineux et davantage de contrôle par l’armée. La cyber-guerre existe t-elle vraiment ? Bruce Schneier, célèbre spécialiste en sécurité informatique dans les colonnes de CNN. Selon lui, l’utilisation du mot « guerre » est erronée et dangeureuse, et conclue « aujourd’hui, nous ne sommes pas en train de combattre une cyberguerre, et les risques d’une cyberguerre ne sont pas supérieurs aux risques d’une invasion terrestre« . Extrait :

Un des problèmes est qu’il n’y a pas de définition claire de la « cyberguerre ». A quoi ça ressemble ? Comment ça commence ? Quand est-ce fini ? Les experts en cybersécurité n’ont pas les réponses à ces questions, et il est dangereux d’appliquer le terme de «guerre» de manière générale à moins de savoir qu’une guerre est en train de se passer.

Pourtant, des articles récents ont affirmé que la Chine avait déclaré la cyberguerre à Google, que l’Allemagne avait attaqué la Chine, et qu’un groupe de jeunes hackers avaient déclaré une cyberguerre à l’Australie. (Oui, la cyberguerre est tellement facile que même les enfants peuvent la faire.) Il est clair qu’ici nous ne parlons pas de vraie guerre, mais d’une guerre rhétorique : comme la guerre contre le terrorisme. (…)

Nous avons sûrement besoin d’améliorer notre cybersécurité. Mais les mots ont un sens, et les métaphores aussi. Il y a actuellement une lutte de pouvoir pour le contrôle de la stratégie de la cybersécurité de notre nation, et la NSA et le DoD [Department of Defense ndlr] sont en train de gagner. Si nous centrons le débat en termes de guerre, si nous acceptons d’étendre au cyberespace la définition militaire de la «guerre», nous alimentons nos craintes.

Nous renforçons l’idée que nous sommes impuissants, – quelle personne ou organisation peut se défendre seule dans une guerre ? – Et que d’autres ont besoin de nous protéger. Nous invitons les militaires à prendre en charge la sécurité et à ignorer les limites, souvent abandonnées en période de guerre.

Si, de l’autre côté, nous utilisons le langage plus mesuré de la cybercriminalité, nous modifions le débat. (…) Nous acceptons volontiers de donner aux policiers des pouvoirs extraordinaires d’enquête et d’arrestation, mais nous tempérerons ces pouvoirs avec un système judiciaire et une protection juridique des citoyens.

A lire sur : Threat of ‘cyberwar’ has been hugely hyped (CNN)

Par Astrid Girardeau

9 juillet 2010 à 7:39

[ExPress] Le gouvernement indien ordonne le droit d’espionner sur Skype, BlackBerry et Gmail

avec un commentaire

Le gouvernement indien a demandé, via le Département indien de télécommunications (DOT), à Skype, Research In Motion (le système de messagerie du BlackBerry) et Gmail (Google) de s’assurer que les mails et autres données transitant via leurs services soient dans des formats lisibles par les organismes de sécurité et de renseignement, rapporte PCWorld. Ils doivent veiller à ce que cela soit mise en œuvre dans les 15 jours faute de quoi ces services pourraient être interdits, indique une note interne du gouvernement, précise The Hindu Business Times.

A lire sur : Reports: BlackBerry, Skype, Google Face India Data Demand (PC World)
Et aussi : BlackBerry, Skype, Gmail come under the scanner (The Hindu Business Times)
Et : BlackBerry has to pass security muster in 15 days (The Economics Times)

Par Astrid Girardeau

7 juillet 2010 à 13:05

[->] Menaces informatiques et pratiques de sécurité en France (Clusif, Édition 2010)

Laissez un commentaire

A lire sur : Menaces informatiques et pratiques de sécurité en France (Clusif, Édition 2010)

Par Astrid Girardeau

7 juillet 2010 à 12:02