"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| VeriSign, fournisseur de solutions de sécurité sur l'internet et organisme de gestion d'adressesweb, a dévoilé un service de mise sur écoute téléphonique pour les opérateurs télécoms américains, la législation à ce sujet ayant prisquelque importance depuis les événements du 11 septembre 2001. Terry Kremian, vice-président des services télécoms de VeriSign, a déclaré que la société californienne testait actuellement denouveaux produits à destination des entreprises de téléphonie fixe, sans fil et par câble, regroupés sous l'appellation"NetDiscovery" et dont le lancement commercial est prévu pour le début du mois de juillet. Une loi fédérale américaine de 1994 avait fixé au 30 septembre 2001 la mise en conformité des systèmes de communications pourune collaboration facilitée des opérateurs avec les autorités compétentes agissant sur ordre d'un tribunal. La FCC (Federal Communications Commission) a plusieurs fois repoussé ce délai au vu de la complexité et du coût de la tâche, adéclaré Kremian. Les opérateurs ont maintenant jusqu'au 30 juin pour se mettre en conformité. Les opérateurs pourront sous-traiter ces opérations auprès de VeriSign au lieu de dépenser quelque 500.000 dollars pourmoderniser chacun de leurs commutateurs et 150.000 dollars supplémentaires pour gérer un tel système, a argumenté Kremian.Reuters 03.06.2002 | Le club de la sécurité des systèmes d'information français vient de rendre public son étude sur la sécurité informatique. A première vue, les sociétés françaises se sentent plutôt confiantes dans la sécurité de leur système d'information. 25 % des entreprises interrogées (608 entreprises de plus de 10 salariés au total) s'estiment très bien protégées. 60 % jugent que les solutions mises en place les protègent relativement bien, contre 3 % qui jugent leur sécurité insuffisante. C'est parmi les sociétés les plus importantes, que l'on trouve le plus haut degré de confiance. La taille de l'entreprise conditionne le budget sécurité de cette dernière. Pour l'année 2001, il a ainsi été en augmentation de 59 % pour les entreprises de plus de 1 000 salariés contre 30 % pour les entreprises de 10 à 199 salariés. Toutefois, il est étrange de constater que le renforcement des dispositifs de protection dans les deux ans à venir est en baisse par rapport à l'année 2000. Il serait de 39 % contre 46 % un an plus tôt. Une des raisons de cette baisse serait à imputer à une conjoncture économique défavorable. Les causes de sinistres ont évolué sur l'année 2001. On constate ainsi un fort recul des vols, erreurs de conception et d'utilisation, mais une augmentation de tout ce qui est panne interne et infections par virus. Ainsi, selon le Clusif, 40,5 % des sinistres sont d'origine externe, 36,5 % d'origine interne et 23 % d'origine inconnue. Les attaques logiques ciblées et les intrusions concernent entre 1 et 2 % des entreprises. Face à ces dangers, les entreprises ont investi plus particulièrement dans des dispositifs anti-incendie des locaux techniques (51 % contre 45 %), des coupe-feux contre les intrusions (31 % contre 25 %), ainsi que dans des antivirus désormais présents dans 96 % des sociétés. L'utilisation du chiffrement, par exemple, connaît lui aussi une hausse. Cette technologie est passée de 11 % des entreprises utilisatrices en 2000 à 15 % en 2001. Le poids financiers de l'insécurité informatique reste encore très difficile à estimer et le Clusif se garde de donner des estimations. Tout simplement parce qu'en définitive la très grande majorité des actes malveillants ne sont jamais détectés.vnunet 01.06.2002 | Des experts en sécurité informatique ont découvert le premier virus capabled'infecter des images numériques au format ".jpg". Baptisé "W32/Perrun," ce virus est jugé peu dangereux car il ne peut pas essaimer automatiquement par le courrierélectronique et n'entraîne pas de dégâts véritables, explique Vincent Gullotto, vice-président de l'unité de lutte contre les virus chez Network Associates, éditeur de logicielsanti-virus. Néanmoins, il préfigure peut-être une nouveau type de menace. "Il n'y a rien de grave, mais ce qu'a fait le créateur dece virus laisse à penser qu'il y aura d'autres tentatives plus complexes, pouvant affecter autre chose que les fichiers".exe", qui sont ceux habituellement infectés", estime Gullotto. Le nouveau virus peut être transmis par une disquette, un CD ou un e-mail, mais il n'est pas capable de se dupliquerautomatiquement et de se répandre en utilisant le carnet d'adresses de sa victime, comme le font les virus de type "ver". Le format ".jpg" (jpeg) permet de compresser les images numériques, notamment les photos.Reuters 14.06.2002 |
| L'assemblée nationale sud-africainea adopté vendredi une loi controversée destinée à protéger le pays du"cyber-terrorisme". La loi autorise la ministre des Communications, Ivy Matsepe-Casaburri, ànommer des inspecteurs qui pourront contrôler le contenu du système descommunications, procéder à des saisies, et qui auront le pouvoir de régulerdes données de base sensibles. La ministre a déclaré devant les députés qu'elle n'avait pas l'intention decontrôler le commerce électronique en Afrique du Sud par le biais de pouvoirsqui lui ont été conférés par la loi sur les Transactions et communicationsélectroniques. Elle a cependant reconnu les réserves émises par le secteur privé sur cespouvoirs. La loi proscrit par ailleurs des infractions et protège les internautes. Un député, du Mouvement Démocratique Uni (UDM, opposition), Salam Abram, adéclaré devant l'assemblée que des "attaques pouvant venir des médiasélectroniques peuvent être extrêmement dévastatrices". "Il y a le spectre du cyber-terrorisme, du terrorisme à travers des sourcesélectroniques qui peuvent déstabiliser n'importe quel pays ou bien même notresituation financière. Qu'il s'agisse d'une fonction de police ou pas, la loidoit fournir une protection nécessaire", a-t-il ajouté. Le parti d'opposition de l'Alliance Démocratique a voté contre l'adoptionde cette loi.AFP 07.06.2002 | Depuis l'an 2000, la surveillance des communications voix et données par les autorités britanniques dépend d'une loi répondant au doux nom de RIP (Regulatory Investigatory Powers) Act. Que les milieux libertaires outre-Manche jugent, à tort ou à raison, liberticide. Prenant son clavier à deux mains, un groupe d'informaticiens locaux a décidé de répliquer en développant M-o-o-t, un système d'exploitation sécurisé au point de mettre les utilisateurs à l'abri du RIP Act. Une préversion de M-o-o-t sera disponible « dans deux à quatre semaines », selon Peter Fairbrother, mathématicien britannique et un des initiateurs du projet. « Nous avons l'argent, l'organisation et la majeure partie du code. » La date de sortie du produit final n'est pas encore fixée. Le groupe compte en effet livrer M-o-o-t le jour même de la promulgation des décrets d'application de la 3e partie du RIP Act : celle qui permet à la police de demander à tout utilisateur de cryptographie les clés qu'il utilise. « Le Home Office [équivalent britannique du ministère de l'Intérieur] devrait rendre ces documents publics en juin-juillet, pour une promulgation à l'automne », explique Peter Fairbrother pour qui « forcer les gens à donner leurs clés en les menaçant d'emprisonnement tient de la torture mentale ». Un système autonome avec des clés aléatoires Extrême, l'argumentaire aboutit à un produit peu commun. Le système d'exploitation et les applications de M-o-o-t tiennent sur un CD-ROM. Et ne peuvent être utilisés qu'avec lui : si le CD-ROM est éjecté, le système d'exploitation se bloque. M-o-o-t utilise aussi un système de fichiers « sténographique ». Chaque fichier y est de même taille, certains contenant des données aléatoires, d'autres des données cryptées. « Il devient ainsi impossible, en regardant les fichiers, de savoir lequel contient des données cryptées. De plus, au lieu de crypter des données, ces fichiers peuvent contenir des dossiers et des répertoires cryptés pointant vers d'autres fichiers. » Un utilisateur peut alors ne révéler que les clés permettant d'accéder à certaines parties du système. Les fichiers cryptés étant indécelables, il est impossible de prouver qu'il n'a pas livré toutes ses clés. De plus, dès sa mise en route, M-o-o-t se déconnecte des systèmes de stockage du PC (disque dur,...). Toutes les données sont envoyées par connexion sécurisée vers des serveurs hors d'atteinte de la justice britannique. Des serveurs que les utilisateurs devront toutefois dénicher par eux-mêmes. Pour le reste, M-o-o-t se veut simple d'utilisation. « Un très bon programmeur pourrait en programmer un équivalent basique en quelques jours. Nous développons avant tout une version prêt-à-l'emploi ». Avec pour objectif de rendre inutilisable la 3e partie du RIP Act dès sa promulgation. De quoi limiter les capacités d'investigation de la police britannique, pas forcément une idée populaire outre-Manche. Le mot Moot peut se traduire en français par « controversé ».01Net 05.06.2002 | Communications sous surveillance: Europol prépare ses recommandations sécuritaires : L'eurodéputé italien Marco Cappato ne baisse pas les bras. Après n'avoir pu empêcher l'adoption de l'amendement sur la "rétention des données" des communications électroniques, le 30 mai dernier au Parlement, il repart à l'assaut en publiant cette semaine un document confidentiel d'Europol, l'agence de coopération policière de l'Union européenne. Ce document confirme les craintes de dizaines d'ONG internationales qui se sont opposé, en vain, au vote dudit amendement très contesté, qui stipule qu'à des fins de prévention du terrorisme et du crime organisé, toutes les traces laissées par quiconque sur les réseaux de télécommunications devront être conservées «pour une période limitée», en général 12 mois. Vade-mecum du surveillant high-tech ZDNet France a traduit l'essentiel de ce document très instructif (lire notre version et l'original en anglais texte au format PDF), véritable vade-mecum du surveillant général de nouvelle génération. Présenté le 11 avril dernier lors d'une réunion d'Europol à la Haye (Pays-Bas), il énonce des recommendations sur les types de données à conserver ("minimum" et "optionnelles"). Outre les données relatives aux protocoles internet (IP), que l'on retrouve également dans un document dévoilé par un groupe d'expert du G8 le 15 mai dernier, Europol fournit la liste des "logs" de connexion sensibles des opérateurs de téléphone, fixe ou mobile. Sans se préoccuper du contenu des messages, il y est question de lister les références de chaque appel (numéro appelant/appelé), les identifiants, adresses de facturation, numéro de comptes bancaires associé à l'abonnement, même chose pour les traces de messages SMS (date, heure, numéros composés). Encore plus fort: les coordonnées géographiques de chaque appareil mobile sont concernées. De quoi se souvenir que son téléphone GSM est un petit mouchard permanent... Le type et la durée de conservation seront du ressort de chaque État. Des pays comme la France, le Royaume-Uni, la Belgique, l'Allemagne et les Pays-Bas ont déjà pris des mesures législatives ou sont sur le point de le faire. En général, la durée recommandée est de douze mois, comme le prévoit déjà la LSQ française, la loi sécurité quotidienne du 15 novemlbre 2001. Les décrets d'application sont encore en attente. Ils devraient s'inspirer du document d'Europol. Le cabinet du premier ministre Jean-Pierre Raffarin, via son conseiller pour la société de l'information, n'a pas encore été en mesure de répondre à nos questions sur ces différents points. «C'est un document de travail qui est encore très loin d'être opérationnel», explique Jean-Baptiste le Toquin pour l'Afa, l'Association des fournisseurs d'accès et de services internet. «La liste qui est proposée dans ce document est clairement inapplicable en l'état. Conserver la trace de l'intégralité des mails échangés est, par exemple, utopique même si on ne conserve pas le contenu des messages, sauf à ce que la priorité politique ne soit plus le développement de la société de l'information mais son dynamitage.» Tous suspects? «Il semble que le Conseil [les quinze gouvernements de l'UE] soit en train de préparer une décison générale, visant à introduire des règles communes en matière de rétention des données», avance le député Cappato dans une question orale au Conseil, formulée en même temps que la divulgation du document. Il soutient que ce document est le résultat d'un questionnaire envoyé à chaque État membre sur le type de données qui devrait être conservé. S'il paraît utile, pour élucider des affaires criminelles, de pouvoir identifier un abonné pour remonter à la source d'un crime ou d'un délit, les ONG de défense des libertés, comme plus d'un quart des députés européens, soulignent les accents fortement liberticides d'une telle mesure "générale et exploratoire" touchant tous les citoyens. Mesures disproportionnés, disent-ils, puisque cette «rétention des données» vise à collecter et stocker, a priori, sans qu'une enquête judiciaire ne le justifie, des milliers de données intimes. «Aucun état n'a le droit de stocker de telles données intimes sur ses citoyens, sans même avoir à fournir de preuves de leurs implications dans quelque crimes ou délits que ce soit», note une lettre de synthèse (www.stop1984.com), résumant les critiques des organisations citoyennes. «Nous demandons à ce que le stockage de telles données par les forces de l'ordre requiert un mandat qui ne serait délivré qu'au cas par cas», comme le stipule la Convention européenne des Droits de l'Homme. Pour eux, est clairement menacé «le droit à la vie privée, à la liberté d'expression et à la présomption d'innocence». Globenet et Altern entrent en résistance Dans le camp des professionnels et des opérateurs, qui seront dédommagés financièrement pour servir ainsi, on attend les décrets LSQ avec impatience. «Les discussions sont pour l'instant suspendues en France» affirme Le Toquin pour l'AFA. «Pour conserver un océan de données, il faut avoir les outils d'exploitation et les policiers techniciens qui vont avec. À ce jour nous n'avons pas les outils, et les États n'ont pas les hommes. L'interception ponctuelle et individuelle des communications électroniques, qui ne requiert pas de stockage, semble (...) la méthode d'investigation qui a le plus grand d'avenir», dit-il, «pour des raisons évidentes d'efficacité technique et de protection judicaire des citoyens.» Si la plupart des prestataires internet se conformeront aux décrets LSQ sans broncher, quelques-uns sont déjà dans la résistance. C'est le cas de Valentin Lacambre, géant de l'hébergeur Altern.org et attaqué en justice à de maintes reprises pour les pages "litigieuses" stockées sur ses machines. «Altern.org a decidé, conformément à l'appel du 6 juin lancé par l'association Reporters sans frontières, de refuser, même s'il devait à l'avenir s'agir d'une disposition légale, de collecter pour chaque courrier électronique reçu, l'email émetteur, l'email récepteur et le sujet du message; la collecte de telles données étant de toute évidence une atteinte inacceptable au principe démocratique du secret de la correspondance privée», déclare Lacambre à ZDNet. Le FAI Globenet n'est pas loin de prendre la même décison: «Il serait par exemple totalement légitime de refuser de fournir des logs SMTP», estime Erick Aubourg, son directeur. Les logs SMTP permettent d'élaborer un journal du serveur de messagerie où sont notamment enregistrés le numéro d'identifiant du message (msgid), son expéditeur et son destinataire. «La liste des données concernées est aussi aberrante qu'inacceptable» ajoute-t-il exaspéré. «Que dirait l'expéditeur d'un courrier postal si on lui demandait son identité lors de l'envoi, si le guichetier notait la date et l'heure de l'envoi, le destinataire, et se renseignait sur le sujet de la correspondance?»l Globenet s'engage pour l'instant à ne stocker aucune donnée de connexion (les logs sont détruits tous les soirs). Quoiqu'il arrive, «nous encouragerons et faciliterons l'utilisation des outils de chiffrement» et «nous informerons sur la possible utilisation d'alternatives aux serveurs sensés enregistrer les données de connexion».ZDNet 07.06.2002 |
| Les spywares (ou logiciels espions) sont-ils conformes à la législation européenne sur la protection de la vie privée et des données personnelles ? Ces programmes, souvent installés à l'insu des utilisateurs sur des logiciels grand public, sont accusés de renseigner les éditeurs sur les habitudes des internautes. Selon des informations rapportées par le Wall Street Journal, un groupe de travail composé de représentants d'organismes de régulation européens se pencherait actuellement sur les spywares inclus dans des lecteurs de fichiers multimédias, comme Windows Media Player, de Microsoft, ou RealJukeBox, de Real Networks. La somme de ces travaux aurait été adoptée le 30 mai dernier, et pointerait des irrégularités par rapport aux lois en vigueur dans l'Union européenne (UE). Elargir la législation sur les cookies ? Si elle recueillait un écho favorable auprès des dirigeants européens, la démarche du groupe de travail contribuerait à élargir le champ d'application de la législation européenne, jusqu'ici principalement centrée sur le phénomène des cookies. Ces mouchards, présents sur le Web, renseignent les gestionnaires de sites sur la navigation des internautes. Dans des propos rapportés par le Wall Street Journal, Waltraut Kotschy, responsable de l'Austrian Privacy Commission et membre du groupe de travail, admet avoir reçu plusieurs plaintes relatives à la prolifération des spywares et reconnaît que le sujet préoccupe de plus en plus les autorités européennes. European Digital Rights, un nouveau lobby pour la protection de la vie privée numérique Une dizaine d'organisations européennes - dédiés à la défense des droits de l'homme et de la vie privée sur Internet - ont décidé de joindre leurs efforts pour former un groupe de pression auprès des instances européennes. Baptisé EDRi, le nouveau lobby sera basé à Bruxelles et concentrera ses activités sur les travaux de l'UE et du Conseil de l'Europe. Pour le France, c'est l'association IRIS (Imaginons un réseau Internet solidaire) qui prendra part au projet.01Net 14.06.2002 | L'éditeur américain de logiciels Microsoft a annoncé cette semaine trois nouvellesimportantes failles de sécurité dans plusieurs de ses produits, ce qui porte à 30 le nombre de "bulletins de sécurité"publiés cette année. Microsoft avait publié 60 alertes de sécurité en 2001, rappelle David Gardner, responsable de la sécurité des logicielspour le centre de sécurité de Microsoft. Dans un message électronique envoyé en janvier dernier à tous les salariés du groupe, le président-fondateur deMicrosoft Bill Gates proclamait la sécurité informatique comme sa première priorité, sur laquelle reposait la crédibilitéde l'entreprise, particulièrement dans sa nouvelle stratégie de services sur internet. Six mois après, si le nombre d'alertes ne semble pas avoir diminué, cela ne signifie pas que la société ne s'est pasaméliorée. "Nous voyons des effets" de la directive sur "l'informatique en confiance", le titre de l'e-mail de Gates,affirme Gardner. Les ingénieurs de Microsoft découvrent ainsi de plus en plus de failles en interne, avant qu'elles ne soient détectéespar des chercheurs extérieurs, affirme-t-il. Parmi les vulnérablités annoncées figure une faille dite "critique" affectant les systèmes d'exploitation professionnelsde Microsoft, Windows NT 4.0, NT 4.0 Terminal Server Edition, Windows 2000, Windows XP et le service Windows Routingand Remote Access Server. Un logiciel correctif est disponible. Les deux autres alertes concernent le navigateur web Internet Explorer dans ses versions 5.01, 5.5 et 6.0,l'application professionnelle Proxy Server 2.0 et le service Internet Security and Acceleration Server 2000, ainsi que leslogiciels de "chat" et de messagerie instantanée MSN Chat, MSN Messenger 4.5 et Exchange Instant Messenger. Un logiciel correctif est en cours de développement pour la faille d'Internet Explorer, Microsoft proposant unesolution transitoire. Microsoft a également annoncé trois autres failles de moindre importance, toutes corrigées, concernant pour deux d'entre elles les bases de données Microsoft SQL Server 2000 et pour la dernière l'application Internet Information Server 4.0 et 5.0 sous Windows NT 4.0 et Windows 2000.Reuters 14.06.2002 | Le 18 juin prochain, les parlementaires britanniques vont débattront d'un projet d'ordonnance, qui autoriserait un large éventail d'organismes gouvernementaux d'avoir accès aux traces laissées par les usagers sur les réseaux de communication. Selon les observateurs, il viderait en partie de leur substance les lois protégeant les droits des usagers, comme le Data Protection Act de 1998. Un débat particulièrement d'actualité après l'adoption récente, dans une directive européenne, du principe de la rétention des fameux "logs" de connexion. Ces données identifient un abonné et sont susceptibles d'être conservées à des fins "préventives" par les opérateurs télécoms et internet (lire notre article du 7/06/2002). Le gouvernement britannique veut modifier une loi déjà contestée, leRegulatory Investigatory Powers Act (RIPA), qui réglemente notamment de nouvelles pratiques d'interception électroniques. Les amendements qui seront débattus la semaine prochaine prévoient que de nombreuses administrations, pas seulement judiciaires, puissent accéder aux enregistrements du trafic internet et téléphonique des usagers: administrations locales, mais aussi nationales, comme la NHS, équivalent de la sécurité sociale, les services postaux ou l'agence de l'alimentation. Jusqu'à maintenant, ces administrations n'étaient pas habilitées à consulter ces données sans mandat judiciaire. La protection de la vie privée des Britanniques mise à l'épreuve Votée l'an dernier, cette loi RIPA oblige les fournisseurs d'accès internet (FAI) à installer des «boîtes noires» pour surveiller le trafic de leurs abonnés. Elle donne également pouvoir à la police de faire décoder les messages cryptés, sans que les personnes mises en cause puissent protester. Selon ses détracteurs, les nouvelles mesures vont conférer les mêmes compétences à des administrations qui ne sont pas préparées à la gestion d'informations personnelles sensibles. «Les problèmes commencent dès qu'on accède aux données», explique le Dr Yaman Akdeniz, directeur de l'association Cyber-Rights & Cyber-Liberties. «Comment va-t-on explorer ces données? Comment ces organismes vont-ils assurer leur protection et leur sécurité? Il y a de nombreux points d'interrogation. "Big Brother" s'insinue doucement dans nos sociétés.» C'est le Data Protection Act qui veille à réguler l'usage et la diffusion des informations collectées, et empêcher la divulgation de données personnelles. Il stipule également que les fournisseurs de services de communication ne doivent conserver les données de trafic que le temps nécessaire à la facturation, tout en prévoyant une exception pour la prévention et la détection des crimes. Mais les opposants estiment que le DPA sera difficle à appliquer. «Il est facile de dire qu'il existe déjà des lois pour gérer tout ça, mais en pratique il est très délicat de les faire appliquer» note Akdeniz. «Le vrai problème c'est d'avoir fait passer le RIPA. Cette ordonnance n'est que sa mise en pratique.» Selon le ministère de l'Intérieur ("Home Office"), la rétention des données personnelles concernées sera déterminée selon l'appréciation des agences gouvernementales. «Tout dépend pourquoi ils en ont besoin. La période de conservation doit être suffisante pour permettre les investigations et les poursuites judiciaires.» Plus besoin de mandat judiciaire pour les administrations Toujours selon le Home office, les requêtes d'information seront approuvées par une personne désignée au sein de chaque administration, et elles ne feront l'objet d'aucun d'examen indépendant. Néanmoins, il est prévu le recours devant une commission d'arbitrage (Interception of Communications Commissioner), chargé de vérifier les demandes. Il appartiendra aux particuliers de porter plainte auprès d'un tribunal spécial (investigatory powers tribunal), s'ils estiment qu'on a usé à tort d'informations les concernant. Un tribunal sévèrement critiqué l'an dernier par l'Intelligence and Security Committee (ISC), qui joue le rôle de "cerbère" face aux services de renseignement. Le député Alan Beith, membre de l'ISC, avait dit à l'époque que ce tribunal serait «tout à fait incapable de remplir sa mission», vu la taille ridicule de ses effectifs. Il n'est que «la parade opposée par le Royaume-Uni à la Convention européenne des Droits de l'Homme», avait-il ajouté. Et d'avertir que la protection de ces droits n'étaient nullement garantie. Pour le ministère de l'Intérieur, il faut voir les modifications apportées au RIPA «non comme un accroissement des pouvoirs d'investigation, mais comme une meilleure régulation...». «Ces administrations auraient pu par le passé requérir des informations, et les obtenir ou non, il y aura désormais un cadre juridique.»ZDNet 13.06.2002 |
| Une centaine de pirates informatiques ont tenté de pénétrer le nouveau site web du présidentrusse Vladimir Poutine au cours de ses premières 24 heures d'existence, mais aucun n'y a réussi, s'est réjoui le Kremlin. "Environ 500.000 personnes ont visité le site et il s'est produit jusqu'ici 96 tentatives de piratages, mais aucune n'aréussi", a précisé un porte-parole de la présidence russe. Après trois mois de vérifications, les services présidentiels se sont convaincus que le nouveau site, consultable depuisjeudi à l'adresse www.president.kremlin.ru, est presque inviolable. La société de conception web AYAXI a déclaré avoir mis près de dix mois à construire le site. Le nouveau site contient, entre autres, la transcription des discours du président russe et les nouveaux textes de loi,mais aussi une série de photographies de style "people" montrant Vladimir Poutine et son chien, ou la familleprésidentielle en vacances.Reuters 21.06.2002 | Les historiens du Centre national des nouvelles langues et de la culture norvégienne sont soulagés. Le mot de passe perdu, qui verrouillait une partie de leurs archives, a été retrouvé lundi 10 juin par un informaticien suédois. Joakim Eriksson, 25 ans, administrateur système dans une entreprise de jeux vidéo a été le premier à résoudre l'énigme, indique le centre culturel sur son site. Il a, bien sûr, répondu à l'appel à l'aide lancé la semaine dernière par Ottar Grepstad, directeur de l'établissement public, dont l'accès à 11000 livres était bloqué par un mot de passe informatique perdu. L'historien et administrateur à l'origine du mot de passe, qui avait légué à l'institution sa base de données informatique, était mort en 1989 en emportant son secret avec lui. «Moins de cinq heures après avoir mis sur internet la base de données Djupedal (du nom de l'administrateur disparu, Ndlr), nous avons reçu un mail suggérant le mot de passe LADEPUJD», a déclaré Ottar Grepstad à l'AFP. Finalement, il n'a été nul besoin de programme complexe tentant toutes les combinaisons possibles. Un peu de bon sens et de chance ont suffi à Joakim Eriksson pour retrouver un mot de passe était donc le simple patronyme inversé du défunt administrateur.ZDNet 11.06.2002 | Fortement critiqué par les associations de défense des libertés et les députés de tous bords, le ministre de l'Intérieur britannique, David Blunkett, retire un amendement controversé et propose un large débat sur la surveillance des données de communication. L'ordonnance d'amendement, qui devait être débattue mardi 18 juin à la Chambre des communes (les députés), visait à étendre le champ d'application du Regulation of Investigatory Powers Act (RIPA) à plusieurs administrations locales et nationales, telles que la Food Standard Agency ou les services postaux. Actuellement le RIPA, qui oblige les fournisseurs d'accès internet (FAI) à installer des «boîtes noires» pour surveiller le trafic internet de leurs abonnés, limite l'accès de ces données aux seuls services de police et de renseignements, pour les besoins de leurs investigations. En outre, ils sont tenus d'obtenir un mandat pour accéder à des données personnelles, telles que le nom des destinataires des courriers électroniques ou la localisation des appels à partir de téléphones mobiles. À moins, bien sûr que les opérateurs ou les fournisseurs ne les leur communiquent de leur plein gré. Mais si l'amendement en question venait à être validé, les services de police et les administrations n'auraient plus besoin d'obtenir l'aval d'un magistrat. Inutile de dire que cette tentative d'extension des pouvoirs conférés par le RIPA a été sévèrement critiquée. Les détracteurs ont qualifié l'ordonnance de «charte des fouineurs». Ouverture d'un large «débat public» En fin de semaine dernière, les députés des Communes avaient repoussé le débat, et lundi le "Home Office" (ministère de l'Intérieur) indiquait que Blunkett allait atténuer les mesures prévues, histoire d'assurer le passage du texte à la Chambre des Lords (la chambre haute du Parlement britannique). Finalement, mardi 18 juin, Blunkett annonçait le retrait de l'ordonnance, et le lancement d'une «consultation approfondie» durant l'été. «Nous souhaitions garantir plus de sécurité, de clarté et de régulation à ces activités qui se pratiquent déjà, mais il semble qu'on nous prête les intentions inverses» a déclaré le ministre. Il a appelé à un «large débat public» sur le RIPA et a souligné qu'une autre loi, le Data Protection Act, protégeait les citoyens contre les divulgations abusives de leurs données. De leur côté, les associations de défense des libertés ont averti que l'extension des prérogatives du RIPA à d'autres organisations mettaient en danger les systèmes de protection existants. «Il est facile de dire qu'il y a des lois pour cela, mais en pratique il est très délicat de les faire appliquer» a déclaré le Dr Yaman Akdeniz, directeur de Cyber-Rights & Cyber- Liberties, la semaine dernière. «Le vrai problème, a-t-il ajouté, c'est d'avoir fait passer le RIPA. Cette ordonnance n'est que de la mise en pratique.» Ian Brown, directeur de la FIPR (Foundation for Information Policy Research) et membre actif de Privacy International, organisations basées à Londres, accueille avec soulagement cette décision: «Ces propositions ont obtenu trop peu de considération et de justification, toute le monde les a critiqué en dehors du gouvernement», a-t-il déclaré. «Nous sommes d'accord comme quiconque pour que la délinquance puisse faire l'objet d'investigations, mais nous ne pensons pas que de tels pouvoirs à grande échelle confiés à n'importe quel fonctionnaire du pays soit compatible avec la vie dans une société démocratique.» Selon lui, le recours à un garde-fou ("Interception Commissioner"), qui surveillerait les abus de ce type de pouvoirs, n'aura jamais assez de moyens pour faire son travail correctement.ZDNet 19.06.2002 |
| Des experts du gouvernement américain, conscients de l'habileté avec laquellel'organisation al Qaïda utilise Internet, craint qu'elle n'envisage des "cyber-attaques" visant des centrales nucléaires, desbarrages ou autres structures stratégiques, rapporte jeudi le Washington Post. Une enquête du FBI consistant à surveiller certains ordinateurs a permis de mettre au jour de "multiples intrusionsdans des sites" suspects dans l'ensemble des Etats-Unis, lit-on dans un rapport, qui cite un résumé de l'enquête rédigépar le Pentagone. Les intrus ont étudié à distance des réseaux téléphoniques d'urgence, des systèmes de générateurs et detransmission électriques, ainsi que le réseau d'adduction et de stockage d'eau, des centrales nucléaires ou desinstallations gazières, cela depuis l'Arabie saoudite, l'Indonésie et le Pakistan, écrit le Washington Post. Des informations sur les moyens de contrôler à distance, via l'informatique, l'appel de pompiers, ou lefonctionnement d'oléoducs, ont été trouvées dans le disque dur d'ordinateurs d'al Qaïda saisis en janvier par les forcesaméricaines en Afghanistan, ont déclaré des responsables des services de sécurité américains cités par le journal.Reuters 27.06.2002 | Jeudi 20 juin, un responsable de la sécurité de l'université d'Arizona (ASU) a révélé l'existence probable de «logiciels espions» ou spyware dans les ordinateurs utilisés par les étudiants. Ce sont les services secrets américains qui ont averti les dirigeants de l'établissement que certains de leurs ordinateurs pouvaient être piégés. Ils pensent que ces programmes y auraient été installés par des personnes malveillantes pour récupérer les mots de passe et numéros de cartes de crédit tapés par les utilisateurs. Les agents fédéraux mènent l'enquête. Les services secrets, dont la mission première est de protéger les membres de l'exécutif présidentiel, disposent depuis le début des années 1980 d'une compétence élargie en matière de délinquance financière et d'intrusions informatiques. Ils enquêtent souvent sur des cas de fraude à la carte de crédit. Un piratage réalisé sur les lieux même? Dans l'affaire de l'Arizona, les agents ont saisi près de 20 disques durs. Ils les analysent pour trouver des indices, comme l'a expliqué le Lieutenant John Sutton, responsable de la sécurité de l'université d'Arizona. «Nous cherchons à savoir si on y a installé un de ces programmes permettant à une personne de savoir ce qui a été tapé au clavier et de récupérer des données d'ordre personnel, que ce soit directement sur la machine ou à distance», a-t-il indiqué. Dans le cadre de l'enquête, des machines suspectes ont été saisies dans d'autres universités au Texas, en Floride et en Californie. Le Lieutenant Sutton pense que dans la majorité des cas, le programme espion a été chargé directement sur les machines concernées, et non à distance. À l'université d'Arizona, indique-t-il, presque tous les ordinateurs en cours d'analyse proviennent des laboratoires informatiques réservés aux étudiants. «Théoriquement seuls les élèves y ont accès, mais comme dans tout espace mal sécurisé, quelqu'un qui n'est pas étudiant peut entrer et se servir des machines.»ZDNet 24.06.2002 | L'eurodéputé italien Marco Cappato ne baisse pas les bras. Après n'avoir pu empêcher l'adoption de l'amendement sur la "rétention des données" des communications électroniques, le 30 mai dernier au Parlement, il repart à l'assaut en publiant cette semaine un document confidentiel d'Europol, l'agence de coopération policière de l'Union européenne. Ce document confirme les craintes de dizaines d'ONG internationales qui se sont opposé, en vain, au vote dudit amendement très contesté, qui stipule qu'à des fins de prévention du terrorisme et du crime organisé, toutes les traces laissées par quiconque sur les réseaux de télécommunications devront être conservées «pour une période limitée», en général 12 mois. Vade-mecum du surveillant high-tech ZDNet France a traduit l'essentiel de ce document très instructif (lire notre version et l'original en anglais texte au format PDF), véritable vade-mecum du surveillant général de nouvelle génération. Présenté le 11 avril dernier lors d'une réunion d'Europol à la Haye (Pays-Bas), il énonce des recommendations sur les types de données à conserver ("minimum" et "optionnelles"). Outre les données relatives aux protocoles internet (IP), que l'on retrouve également dans un document dévoilé par un groupe d'expert du G8 le 15 mai dernier, Europol fournit la liste des "logs" de connexion sensibles des opérateurs de téléphone, fixe ou mobile. Sans se préoccuper du contenu des messages, il y est question de lister les références de chaque appel (numéro appelant/appelé), les identifiants, adresses de facturation, numéro de comptes bancaires associé à l'abonnement, même chose pour les traces de messages SMS (date, heure, numéros composés). Encore plus fort: les coordonnées géographiques de chaque appareil mobile sont concernées. De quoi se souvenir que son téléphone GSM est un petit mouchard permanent... Le type et la durée de conservation seront du ressort de chaque État. Des pays comme la France, le Royaume-Uni, la Belgique, l'Allemagne et les Pays-Bas ont déjà pris des mesures législatives ou sont sur le point de le faire. En général, la durée recommandée est de douze mois, comme le prévoit déjà la LSQ française, la loi sécurité quotidienne du 15 novemlbre 2001. Les décrets d'application sont encore en attente. Ils devraient s'inspirer du document d'Europol. Le cabinet du premier ministre Jean-Pierre Raffarin, via son conseiller pour la société de l'information, n'a pas encore été en mesure de répondre à nos questions sur ces différents points. «C'est un document de travail qui est encore très loin d'être opérationnel», explique Jean-Baptiste le Toquin pour l'Afa, l'Association des fournisseurs d'accès et de services internet. «La liste qui est proposée dans ce document est clairement inapplicable en l'état. Conserver la trace de l'intégralité des mails échangés est, par exemple, utopique même si on ne conserve pas le contenu des messages, sauf à ce que la priorité politique ne soit plus le développement de la société de l'information mais son dynamitage.» Tous suspects? «Il semble que le Conseil [les quinze gouvernements de l'UE] soit en train de préparer une décison générale, visant à introduire des règles communes en matière de rétention des données», avance le député Cappato dans une question orale au Conseil, formulée en même temps que la divulgation du document. Il soutient que ce document est le résultat d'un questionnaire envoyé à chaque État membre sur le type de données qui devrait être conservé. S'il paraît utile, pour élucider des affaires criminelles, de pouvoir identifier un abonné pour remonter à la source d'un crime ou d'un délit, les ONG de défense des libertés, comme plus d'un quart des députés européens, soulignent les accents fortement liberticides d'une telle mesure "générale et exploratoire" touchant tous les citoyens. Mesures disproportionnés, disent-ils, puisque cette «rétention des données» vise à collecter et stocker, a priori, sans qu'une enquête judiciaire ne le justifie, des milliers de données intimes. «Aucun état n'a le droit de stocker de telles données intimes sur ses citoyens, sans même avoir à fournir de preuves de leurs implications dans quelque crimes ou délits que ce soit», note une lettre de synthèse (www.stop1984.com), résumant les critiques des organisations citoyennes. «Nous demandons à ce que le stockage de telles données par les forces de l'ordre requiert un mandat qui ne serait délivré qu'au cas par cas», comme le stipule la Convention européenne des Droits de l'Homme. Pour eux, est clairement menacé «le droit à la vie privée, à la liberté d'expression et à la présomption d'innocence». Globenet et Altern entrent en résistance Dans le camp des professionnels et des opérateurs, qui seront dédommagés financièrement pour servir ainsi, on attend les décrets LSQ avec impatience. «Les discussions sont pour l'instant suspendues en France» affirme Le Toquin pour l'AFA. «Pour conserver un océan de données, il faut avoir les outils d'exploitation et les policiers techniciens qui vont avec. À ce jour nous n'avons pas les outils, et les États n'ont pas les hommes. L'interception ponctuelle et individuelle des communications électroniques, qui ne requiert pas de stockage, semble (...) la méthode d'investigation qui a le plus grand d'avenir», dit-il, «pour des raisons évidentes d'efficacité technique et de protection judicaire des citoyens.» Si la plupart des prestataires internet se conformeront aux décrets LSQ sans broncher, quelques-uns sont déjà dans la résistance. C'est le cas de Valentin Lacambre, géant de l'hébergeur Altern.org et attaqué en justice à de maintes reprises pour les pages "litigieuses" stockées sur ses machines. «Altern.org a decidé, conformément à l'appel du 6 juin lancé par l'association Reporters sans frontières, de refuser, même s'il devait à l'avenir s'agir d'une disposition légale, de collecter pour chaque courrier électronique reçu, l'email émetteur, l'email récepteur et le sujet du message; la collecte de telles données étant de toute évidence une atteinte inacceptable au principe démocratique du secret de la correspondance privée», déclare Lacambre à ZDNet. Le FAI Globenet n'est pas loin de prendre la même décison: «Il serait par exemple totalement légitime de refuser de fournir des logs SMTP», estime Erick Aubourg, son directeur. Les logs SMTP permettent d'élaborer un journal du serveur de messagerie où sont notamment enregistrés le numéro d'identifiant du message (msgid), son expéditeur et son destinataire. «La liste des données concernées est aussi aberrante qu'inacceptable» ajoute-t-il exaspéré. «Que dirait l'expéditeur d'un courrier postal si on lui demandait son identité lors de l'envoi, si le guichetier notait la date et l'heure de l'envoi, le destinataire, et se renseignait sur le sujet de la correspondance?»l Globenet s'engage pour l'instant à ne stocker aucune donnée de connexion (les logs sont détruits tous les soirs). Quoiqu'il arrive, «nous encouragerons et faciliterons l'utilisation des outils de chiffrement» et «nous informerons sur la possible utilisation d'alternatives aux serveurs sensés enregistrer les données de connexion».ZDNet 10.06.2002 |
| Treize ans après la chute du Rideau de Fer, des experts en informatique sont parvenus à pénétrer dans l'une des bases de données les plus importantes de la Stasi, l'ancienne police secrète de l'ex- RDA. Concrètement, il s'agit d'une archive électronique de l'ancienne administration centrale de la Stasi A (HVA, pour Hauptverwaltung A) du service «Sciences et techniques», qui contiendrait plus de 200 000 enregistrements de grande importance, selon le quotidien allemand Berliner Zeitung. Cette base de données contient notamment des renseignements concernant l'ampleur de l'espionnage économique, et l'acquisition illégale de technologies d'armement et de marchandises sous embargo en provenance d'Allemagne de l'Ouest. La HVA était chargée de l'espionnage à l'étranger au sein de l'appareil de surveillance de la RDA. L'intrusion dans la base de données devrait surtout inquiéter les quelques 270 officiers de la Stasi qui travaillaient en Allemagne de l'Ouest, puisque le délai de prescription pour haute trahison est de 20 ans. Selon les experts en droit, qui seraient d'ores et déjà en route pour Berlin - le siège de la Stasi se trouvait à Berlin Est -, ces états de faits pourraient concerner l'exportation illégale de technologies d'armement. Peu après le changement de régime, la Stasi a détruit une grande partie des dossiers. Mais il semble que les bandes magnétiques contenant des informations explosives ont été négligées à l'époque. Certes, cette base de données ne contient que des pseudonymes, mais d'ici la fin de l'année la CIA, l'agence de renseignement américaine, devrait pouvoir fournir aux autorités d'Allemagne Fédérale un tableau des correspondances avec le vrai nom des espions.ZDNet 28.06.2002 | D'après un centre d'information sur les droits de l'homme basé à Hong-Kong, relayé par le bureau de l'AFP à Pékin vendredi 28 juin, les autorités exigent que tous les cafés internet installent des filtres logiciels sur leurs machines pour identifier, à coup sûr, chaque utilisateur. Sans quoi leur autorisation d'exercer leur serait retirée. Selon les maigres détails en notre possession, le but de la manoeuvre consisterait à «bloquer jusqu'à 500000 sites web et à signaler à la police toute consultation d'une page illicite». Le Centre d'information pour les droits de l'homme et la démocratie, une ONG très discrète dirigée dans l'ancienne colonie britannique par le militant Frank Lu, est généralement très bien informée sur les conditions de la dissidence en Chine, notamment sur les atteintes en matière d'usage des technologies à des fins politiques. Renforcer la surveillance des internautes avec "Filter King" L'obligation de suivre à la trace les internautes chinois est déjà prévu de longue date chez les opérateurs et les fournisseurs d'accès. Cette fois-ci, il s'agirait d'un logiciel intitulé "Filter King", programmé pour détecter et signaler à la police le nombre d'internautes tentant tous les jours de se connecter sur des pages «illicites». En Chine, en effet, toutes les informations n'ayant pas reçu le visa de la censure d'État sont considérées comme subversives et y accéder est un crime. Cela concerne bien sûr le net où des centaines de sites d'informations étrangers sont censés être filtrés par les prestataires internet, à partir de l'intérieur du pays. Le 7 août 2001 déjà, l'agence officielle Chine nouvelle (Xinhua) rapportait ouvertement que des tests de ces filtres logiciels s'étaient déroulés dans au moins 800 cybercafés de Xi'an, la capital de la province de Shaanxi dans le nord-ouest du pays. De nombreux cafés internet ont été fermés par les autorités, notamment à Pékin, après l'incendie survenu au début du mois de juin dans un établissement dont la licence n'était pas à jour. Vingt-quatre personnes y avaient trouvé la mort. Mais cet incendie était d'origine criminelle et non politique (une vengeance de deux hommes n'ayant pas pu entrer dans le café), comme l'a reconnu l'agence Xinhua à l'époque.ZDNet 28.06.2002 | La session plénière du Congrès des députés espagnol, principale chambre du Parlement, a voté le 27 juin une grande loi portant sur divers aspects de la société de l'information et du commerce électronique (Ley de Servicios de la Sociedad de la informacion y de Comercio Electronico, LSSICE), comme l'a rapporté le quotidien El Pais. Cette loi, qui doit prendre effet avant octobre, oblige notamment les fournisseurs d'accès internet (FAI) à conserver pendant un an les données de trafic (ou de connexion) sur leur réseau. Les données ne pourront être transmises qu'aux autorités judiciaires. Deux mesures identiques à celles adoptées en France dans certains articles de la LSQ (loi sécurité quotidienne). La LSSICE espagnole prévoit aussi la création d'une "autorité" arbitrale pour fermer des sites web sans passer par une décision de justice. La police n'aura pas accès aux données de connexion Ont voté pour l'adoption du texte de loi: le parti au pouvoir du Premier ministre Jose Maria Aznar (PP, Parti populaire, centre-droit), comme le parti des "régionalistes", le CiU. Le texte a en revanche été rejeté par l'opposition, dont les sociaux-démocrates (PSOE), la "Gauche unie" (IU) et les nationalistes (PNV). Le texte avait été approuvé en conseil des ministres le 8 février dernier après de nombreuses préversions soumises par le ministre des Sciences. Depuis fin février, le texte a été revu avec l'ajout de nombreux amendements, comme celui n'autorisant que les autorités judiciaires et non la police à avoir accès aux données détenues par les FAI. Il aura fallu une quinzaine de navettes entre le Congrès et le Sénat pour que le texte soit finalement adopté. Le PSOE, l'IU et le PNV ont réitéré leurs critiques en accusant le gouvernement de vouloir «contrôler les contenus de l'internet». La loi suscite toujours une grande polémique car, sous prétexte de vouloir légiférer les activités commerciales en ligne (la première motivation était de transposer la directive européene sur l'e-commerce), le gouvernement espagnol considère les échanges d'information comme une activité marchande. Le projet assimile services commerciaux et sites d'information, et les oblige à une procédure de "dépôt légal" sous peine d'amende (90000 euros). Le webzine Kryptopolis, qui milite aux côtés d'associations de défense des internautes, a lancé une campagne pour faire déclarer la LSSICE inconstitutionnelle - à l'image des initiatives prises en France (et en vain) après l'adoption, le 31 octobre 2001, de la LSQ. Pour eux, la loi met en danger la vie privée des internautes et constitue une entrave à la liberté d'expression; ce serait davantage un danger qu'un gardien du e-commerce et des services en ligne.ZDNet 28.06.2002 |
| Télécharger des logiciels de jeu vidéo s'est avéré un passe-temps dangereux cette semaine, l'un dessites internet les plus populaires ayant été infecté par le virus Nimda. L'exécutable GameSpy Arcade 1.09, le principal logiciel permettant le téléchargement et le jeu en ligne sur GameSpy.com, a étéinfecté à deux reprises cette semaine, a fait savoir son directeur général, Mark Surfas. Les serveurs de téléchargement ont été touchés pendant deux heures mardi et cinq heures mercredi soir pendant une opération demaintenance. Au total, selon Surfas, ce sont 3.100 fichiers téléchargés qui ont été infectés par le virus et la société s'emploieactuellement à signaler aux utilisateurs les anti- virus gratuits les plus efficaces. Pour l'instant, affirme-t-il, GameSpy.com n'a eu connaissance d'aucun problème provoqué par Nimda sur les ordinateurs de sesabonnés. Mi-juin, l'éditeur américain de logiciels Microsoft avait annoncé avoir découvert une version inactive du virus Nimda dans uneédition en coréen de son logiciel de développement de services web Visual Studio .NET. Nimda, considéré lors de son apparition en septembre dernier comme le virus le plus rapide de l'histoire de l'informatique, s'estrépandu sur les serveurs professionnels et les ordinateurs personnels par l'envoi de courriers électroniques et en infectant les sitesweb.Reuters 28.06.2002 | Le gouvernement chinois a renforcé son contrôle surl'accès à l'internet en ordonnant que tous les cybercafés du pays soientréenregistrés auprès des autorités et menaçant de poursuites les opérateursclandestins, ont rapporté samedi les médias officiels. "Les cafés internet sans licence seront fermés et leurs propriétairespoursuivis", a dit un responsable du ministère de la Culture, Liu Yuzhu, citépar l'agence Chine nouvelle. Les cybercafés opérant légalement doivent également se faire réenregistrerd'ici au 1er octobre, selon le responsable. Des mesures de contrôle renforcées ont été décidées après un incendiecriminel qui a fait 24 morts le 16 juin, dans un cybercafé de Pékin fréquentépar des étudiants. La porte de cet établissement qui opérait dans l'illégalitéétait fermée à clé et les fenêtres grillagées. Des groupes de défense des droits de l'Homme ont accusé le gouvernementd'avoir profité de l'émotion suscitée par le drame pour restreindre l'accès auréseau mondial. Fin mars, la Chine comptait, selon des estimations officielles, quelque 200.000 cybercafés dont de nombreux opérant illégalement, en raison desdifficultés rencontrées par leurs exploitants pour obtenir une autorisation. Les autorités chinoises ont au cours des dernières années adopté uneattitude ambiguë face au développement de l'internet, encourageant sondéveloppement pour des raisons économiques, tout en s'efforçant de contrôlerson contenu.AFP 29.06.2002 | |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
