Overblog Suivre ce blog
Administration Créer mon blog
3 décembre 2013 2 03 /12 /décembre /2013 17:00

 

Source : linuxmanua.wordpress.com

 

50 alternatives pour remplacer tous les produits Google

Google_Alternatives
Google, c’était bien avant. 
C’est maintenant devenu un cancer.

L’entreprise Google est devenue la plus puissante agence de renseignements qui n’ait jamais existé dans l’histoire de l’humanité.

 

Google sait tout de vous :

  • vos correspondances (Gmail)
  • vos amis, vos centres d’intérêt et vos opinions (Google +, Google Reader)
  • vos contacts  (Google Contacts)
  • vos recherches sur internet (Google Search)
  • vos documents (Google Docs, Drive)
  • votre navigation internet (Chrome)
  • votre domicile (Street View)
  • vos coordonnées bancaires (Google Play)
  • vos photos (Picassa)
  • votre n° de téléphone (Récupération de compte Google)
  • vos trajets et votre localisation (Latitude, Google Map)
  • votre agenda (Google Agenda)
  • vos vidéos et vos musiques (Youtube, Google Music)
  • votre Blog (Blogger)
  • vos données de votre téléphone portable (Apps Androïd)
  • et bientôt votre vie IRL (Google Glasses)
  • etc …
 

Or Google est une entreprise malfaisante et criminelle qui :

  • Revend vos données personnelles,
  • Balance votre vie privée à tous les pouvoirs en place,
  • Collabore activement avec les dictatures,
  • Censure son moteur de recherche pour se conformer aux lois locales et aux diktats de "l’industrie culturelle",
  • Pratique massivement la fraude fiscale appauvrissant ainsi les états et les peuples,
  • Censure, dans Google Play, les apps androïd qui lui font de l’ombre (récemment : Adblock).

Peut-être pensez-vous que cela vous est égal car vous n’avez rien à vous reprochez ou à cacher. En êtes vous sur ? Et si cela est vraiment le cas, êtes-vous certain, qu’à l’avenir, vous serez toujours en phase avec les lois de votre pays ? D’ailleurs, êtes vous certain de vivre dans une Démocratie ?

J’ai donc décidé de remplacer Google avec des alternatives me permettant :

  • de gérer gratuitement mes données en multi-plateforme (Androïd, Linux, Windows, Tablette, Mobile, PC Fixe et Portable),
  • d’avoir des applications web avec des fonctionnalités au moins aussi bien que celles de Google,
  • de ne pas avoir à supporter des pubs,
  • de répartir mes données personnels sur plusieurs herbergeurs web différents, de préférence à l’étranger,
  • un respect minimum de mes données privées de la part des herbergeurs de ces applications,
  • d’exporter et de sauvegarder localement mes données quand je veux,
  • de ne pas retomber dans les griffes d’autres Géants de l’Internet qui ont l’ambition de devenir le prochain Google,
  • de ne pas être obliger de monter mon propre serveur car j’ai d’autres priorités. De plus, si monter son propre serveur est la solution idéale, cette solution génère d’autres contraintes.

Voici donc ma proposition d’alternatives pour les applications Web :

Gmail : Mailoo (France/1Go), Zoho (5Go/USA), Gmx (Allemagne), InMano (2Go/France), MelShake, Megaliste dispo ici  (Merci spiraledigitale.com), Opera (Norvège&USA/1Go), Lavabit (1Go/USA/sécurisé/utilisé par Swoden)

Google Agenda : InMano, 30 Boxes (Web seulement), Zoho

Google Docs : Framalab (France), Ulteo ,Zoho

Google Reader : InoReader, Netvibes, Framanews (France), Feedly (Nécessite maintenant Google+)

Google Drive : Wuala (5Go/chiffré depuis PC/Suisse),Tresorit (5Go/chiffré depuis PC/ Europe), DropBox (5Go/chiffré/USA), Mega (50Go/chiffré), HubiC (25Go/chiffré/France), Spideroak  (2Go/chiffré/USA), Digiposte (3Go/Norme NF Z 42-013/France)

Google Picasa : Photobucket

Google Images : Toile Libre

Google Search : DuckDuckGo, Startpage, Qwant, Ixquick

Google Map : MapQuest, Openstreetmap, Here, Maps.yahoo

iGoogle : Portal.opera, Startme, uStart, Protopage, Ighome, Backstit

Google Note / Google Keep : Evernote

Google Music : Grooveshark, Cogimix (France / hébergement de playlist)

Youtube : Vimeo, Dailymotion et pour les playlists : Ubster ou Kippt

Chrome : Firefox (Pc, Android) et pour la gestion des bookmarks Xmarks et Diigo ou Delicious

Google Alerte : Talk Walker Alert  (hors réseaux sociaux) et Mention (réseaux sociaux uniquement)

Google + : Twitter, Movim, Diaspora

Google Talk : Gibberbot (chiffré/Android, iPhone, Mac, Linux, PC), Cryptocat (chiffré/ Firefox), Tox (chiffré / Linux)

Blogger : WordPress (Web, Android)

Google DNS : Opennicproject ou voir ma liste

Et ma proposition d’alternatives pour Android :

Google Android : Cyanogen

Google Play : F-Droid  , Real APK Leecher , App-Shop Amazon

Gmail : K9Mail

Google Video : Vlc

Google Play Musique : Apollo

Google Search : DuckDuckGo

Google Latitude : ShareMyPosition

Google Maps : Osmand

Et bien entendu, pour assurer la sécurité de votre vie privée, vous veillerez à utiliser, pour chaque service, des pseudos et des mots de passes différents. Keepass (chiffré/ PC et Android & dispo sur F-Droid) vous aidera bien.

Bon je vous laisse compléter, en commentaires, avec vos propres trouvailles.

Liens complémentaires :

PS :

  • Rien à voir avec le sujet mais je vous rappelle que Microsoft est aussi un fléau et que l’antidote est Linux:)
  • Je met à jour régulièrement cet article, je vous suggère d’y revenir de temps en temps.

 

 

 

 

Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
18 octobre 2013 5 18 /10 /octobre /2013 17:33

 

rue89.com

 

Eric Schmidt partout 18/10/2013 à 17h39

Google veut utiliser votre photo pour de la pub : attention à la petite case

Laure Beaulieu | Rue89

 

 

Les nouvelles conditions générales d’utilisation de Google doivent entrer en vigueur le 11 novembre. Mais elles soulèvent de nombreuses interrogations.

 


Capture d’écran de Google : « Mise à jour des conditions d’utilisation », le 11 octobre 2013 (Google.com)

 

Une évolution en particulier a attiré l’attention de ses clients.

« Votre nom et votre photo de profil peuvent s’afficher dans les produits Google (y compris dans les avis, la publicité et d’autres contextes commerciaux). »

En clair : si vous avez un compte sur Google+ (ou sur un autre service de Google), votre nom et votre avatar pourront être utilisés pour des annonces publicitaires.

Google donne un exemple de ce que ces « commentaires partagés » pourraient donner pour une recherche « spa » dans le moteur de recherche :

 


Capture d’écran de Google : « Principes de fonctionnement des recommandations partagées » (Support.google.com)

 

Pour que votre nom et votre image soient utilisés, deux conditions s’imposent :

  • « vous devez effectuer une action (attribuer +1, commenter un contenu ou vous abonner),
  • partager le contenu avec les personnes en question [les “amis” ou tous les utilisateurs ? Google n’est pas clair, ndlr]. »

Pour Google, c’est surtout « pour aider vos amis et d’autres personnes à trouver des bons plans en ligne ».

Et, vous pouvez décider de refuser.

Une question alambiquée

Mais des internautes s’agacent de la difficulté à accomplir cette manip’. Le paragraphe d’explication est quasiment incompréhensible. Vient ensuite cette phrase devant laquelle l’utilisateur est censé cocher pour accepter ou refuser :

« 

La tournure de phrase un peu alambiquée laisse planer le doute. Clarification : pour refuser l’utilisation de son nom et de son image pour de la pub, il ne faut surtout pas cocher cette case.

 


Capture d’écran de ladite case (Plus.google.com)

 

Attention : elle semble parfois cochée par défaut. Vous pouvez vérifier ce qu’il en est pour vous ici.

Eric Schmidt partout

Autre zone d’ombre : Google utilisera-t-il les données de ses utilisateurs sur ses services uniquement ou sur l’ensemble des sites qui utilisent son réseau publicitaire (qui sont ‘quelque 2 millions’ selon Le Monde) ?

Cette modification des conditions d’utilisation pose enfin la question plus générale de l’utilisation des données privées pour de la publicité.

Pour protester, un groupe d’utilisateurs a lancé une action sur les réseaux sociaux. Ils remplacent leurs photos de profil (Facebook, Twitter, Google+) par celle du président de Google, Eric Schmidt.

 


Capture d’écran de la page ‘#ericschmidt’ de Google+, le 18 octobre 2013 

 

 

 

Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
14 octobre 2013 1 14 /10 /octobre /2013 17:36

 

 

lemonde.fr

Google va exploiter les noms et photos de ses utilisateurs dans ses publicités

LE MONDE | 14.10.2013 à 11h45 • Mis à jour le 14.10.2013 à 11h45 | Par Jérôme Marin

 
 
Amit Singhal, vice-président de la recherche de Google, le 26 septembre.

San Francisco, correspondance

Comme Facebook, Google prévoit de se servir des noms, photos et avis de ses utilisateurs à des fins publicitaires. La firme de Mountain View, en Californie, a confirmé ses intentions, vendredi 11 octobre, en mettant à jour ses conditions générales d'utilisation. Cette nouvelle politique, dont les modalités concrètes restent encore assez floues, suscite déjà de vives réactions et inquiétudes sur la protection de la vie privée des internautes. Elle n'entrera en vigueur que le 11 novembre prochain.

Tous les internautes qui se rendent sur Google ne sont pas concernés. Seules les personnes ayant créé un compte sur l'un des différents services de la société, notamment sur son réseau social Google +, sont susceptibles de l'être. Il est cependant possible de refuser l'utilisation de ses données personnelles en modifiant les paramètres de confidentialité. Les mineurs sont en outre automatiquement exclus.

BOUCHE-À-OREILLE DES TEMPS MODERNES

Leader incontesté de la publicité sur le Web, Google n'offrait pas encore une composante sociale aux annonceurs. La société leur proposera désormais ce qu'elle appelle les "recommandations partagées", c'est-à-dire d'utiliser les avis postés en ligne par les internautes pour les mettre en scène. Elles apparaîtront sur les résultats de son moteur de recherche, sur ses cartes...

 

L’accès à la totalité de l’article est protégé (*disponible aux abonnés du journal "Le Monde")

 

 


                                                                      *************************************

 

 

korben.info

 

Comment empêcher Google d’exploiter votre image dans ses publicités

 

Comment empêcher Google d’exploiter votre image dans ses publicités

 

Pour acheter un truc ou souscrire à un service, rien de mieux que la recommandation d'un ami en qui vous avez confiance. Et ça Google le sait puisque depuis ce week-end, la société a modifié ses conditions d'utilisation de Google+ afin qu'elle puisse exploiter votre photo et toutes infos vous concernant dans des publicités.

Raccrochez votre téléphone, vous ne passerez pas à la télé. Ce n'est pas la peine d'appeler maman.

Par contre, dans les publicités Adwords présentes dans les résultats de recherche, sur Google Shopping, Google Play Store et autres infos Google Maps, nous commencerons à voir des petites choses comme ça :

 

bouuuh Comment empêcher Google dexploiter votre image dans ses publicités

endorsements2 15c99d62f23333a9fbf8314ed76cfdeb Comment empêcher Google dexploiter votre image dans ses publicités

endorsements1 0690b6be47beef2864e7fff3248233b7 Comment empêcher Google dexploiter votre image dans ses publicités

 

Les +1 ou les commentaires que vous avez laissés sur Google+ ou les sites utilisant les API Google pour vous reconnaitre seront donc exploités commercialement. On sait que ce sera ciblé mais on ne sait pas encore si ce sera aussi à destination de tout le monde. En gros est ce que votre visage sera utilisé pour rassurer des inconnus sur la douceur formidable de cet oreiller en poil de Yéti ou est ce que seuls votre maman vous verra apparaitre dans leurs résultats de recherche concernant des accessoires SM ?

Pour certains, c'est un apport d'information pertinente ajoutée à une publicité déjà ciblée... qui devient donc de par sa nature, un "renseignement marketing" qui à priori vous intéresse.

Pour d'autres, c'est tout simplement une exploitation commerciale non désirée de nos données personnelles. On se rejoint là dessus même si au final, fallait écouter les vieux cons qui rabâchent à longueur de journée qu'il ne faut pas étaler sa vie sur le NET en long, en large et en travers.

Toutefois, maintenant que nous sommes au courant, nous allons pouvoir réagir. Du coup pour empêcher Google d'utiliser votre visage, votre nom et vos commentaires dans ses pubs, il suffit de vous rendre sur cette page et de décocher la case qui se trouve tout en bas puis de cliquer sur le bouton "Enregistrer".

 

authorisation Comment empêcher Google dexploiter votre image dans ses publicités

 

Faites passer le message à vos amis !

Je me demande jusqu'où ça ira trop loin tout ça...

 

 


Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
12 septembre 2013 4 12 /09 /septembre /2013 16:37

 

bugbrother.blog.lemonde.fr

Qui aurait cru, en 1984, que Steve Jobs serait devenu un Big Brother, et que ses clients seraient devenus des zombies ?

Cette spéciale dédicace aux fans de la marque Apple figure en toute lettre dans un mémo confié par Edward Snowden au Spiegel, qui explique comment la NSA accède aux données contenues dans les smartphones, qu'ils soient de type iPhone, Androïd ou BlackBerry.

 

 
En 1984, Apple avait en effet diffusé un spot publicitaire montrant des bataillons de zombies tétanisés par Big Brother, et affirmant que son nouveau MacIntosh allait libérer le peuple et que, grâce à lui, "1984 ne serait pas 1984".

 

 

 

Vous utilisez un iPhone, un téléphone Android, ou Windows Phone ? Vous êtes donc "en état d'interception : toutes vos télécommunications pourront être retenues contre vous"... pour paraphraser la célèbre expression policière.

Comme l'ont moult fois expliqué des gens comme Julian Assange, Jacob Appelbaum ou Rick Falkvinge (le fondateur du Parti pirate), nos téléphones portables sont aussi devenus (voire d'abord et avant tout, si vous êtes une cible de la NSA, de votre conjoint jaloux, ou de votre patron espion) des mouchards électroniques que nous portons en permanence sur nous, et qui permettent à des "grandes oreilles" de pouvoir nous traquer.

Au-délà des écoutes téléphoniques classiques, qui ont tendance à proliférer (voir Une juge a fait écouter un journaliste du "Monde"), ce qui intéresse ces "grandes oreilles", ce sont les méta-données : qui communique avec qui, quand, d'où... Imaginez, par exemple, que l'on apprenne que François Hollande a passé un coup de fil à quelqu'un en Syrie. Sans même connaître le contenu de leur conversation, cette simple information pourrait avoir des répercussions énormes.

La semaine passée, je publiais ainsi sur Rue89 la carte des pays visités par 19 marchands d'armes de surveillance numérique, dont les téléphones portables avaient opportunément été pistés par l'unité de contre-espionnage de WikiLeaks. On ne sait pas ce qu'ils faisaient dans ces pays -peu regardants pour ce qui est des droits de l'homme-, mais le simple fait de savoir quand ils y sont allés, combien de fois, pendant combien de jours, indique qu'ils y étaient en voyage d'affaires, pas en vacances.

Car s'il est possible (mais pas donné) de sécuriser ce que l'on fait avec un ordinateur (cf Comment protéger ses sources ?, le manuel que j'ai rédigé à cet effet), il est bien plus difficile de le faire avec un smartphone, ce que rappelait en juin dernier l'Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un mémo intitulé Recommandations de sécurité relatives aux ordiphones :

"En tout état de cause, il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage."

Une note, datée du 19 août et que L'Express vient de rendre publique, révèle ainsi que le premier ministre a demandé à tous les ministères d'abandonner smartphones et tablettes du commerce pour la "transmission d'informations sensibles de voix et données".

Matignon qualifie de "sensibles les "informations manipulées ou échangées au sein de l'administration, notamment par les autorités et cabinets ministériels". Elles doivent, "dans la mesure du possible, être hébergées sur le territoire national" et "être chiffrés lorsqu'elles sont échangées sur des réseaux non sécurisés, notamment l'Internet, mais également lorsqu'elles sont stockées sur des ordinateurs portables ou des clefs USB, "susceptibles d'être facilement dérobés ou perdus".

Changez de mot de passe (tous les 3 mois)

Dans un article intitulé Smartphones mouchards : comment protéger votre vie privée, publié sur Rue89 fin août, Philippe Vion-Dury dressait une bonne check-liste des réglages et logiciels conseillés pour chiffrer ou protéger ses données.

Les recommandations de l'ANSSI "ont simplement pour objectif de protéger au mieux possible les données contenues dans le terminal contre les attaques triviales". A défaut de rendre votre smartphone totalement imperméable, elles pourraient vous éviter de tendre la joue pour vous faire p0wned (piraté, en leet speak), et vous permettre d'adopter une bonne hygiène en matière de sécurité informatique.

L'ANSSI estime ainsi que "le déverrouillage par symbole (points à relier) ne dispose pas d’une richesse combinatoire suffisante pour être conforme au niveau minimal recommandé".

Ce type de solution est donc à proscrire ainsi que toute solution biométrique lorsque l’efficacité n’est pas établie. La note précisant les recommandations de sécurité relatives aux mots de passe publiée par l’ANSSI donne des éléments qui peuvent être utiles à la définition d’un mot de passe correct.

Sur les 21 recommandations de l'ANSSI, détaillée dans son mémo, j'en ai retenu 16 (les 5 autres visent surtout les "ordiphones" gérés par les entreprises ou administrations). A partager sans modération :

1.      Configurer une durée d’expiration du mot de passe de 3 mois maximum.

2.      Configurer le verrouillage automatique de terminal au bout de 5 minutes maximum.

3.      Si le terminal contient des informations sensibles, il est recommandé d’exiger un mot de passe fort en remplacement des méthodes de déverrouillage par défaut. Dans tout autre cas, l’utilisation d’un code PIN sera suffisant dès lors que la recommandation R5 est strictement respectée.

4.      Limiter le nombre de tentatives de déverrouillage, puis configurer un temps de blocage de plus en plus long ainsi qu’un effacement automatique après une dizaine de tentatives ayant échoué.

5.      Ne pas laisser le terminal sans surveillance. Un accès très temporaire à un terminal mobile peut suffire à sa compromission sans que l’utilisateur en ait conscience même lorsqu’il est verrouillé.

6.      Ne pas brancher le terminal à un poste de travail non maîtrisé ou à un quelconque périphérique qui ne soit pas de confiance, lesquels établiront une connexion directe non contrôlée.

7.      L’accès au service de géolocalisation doit être interdit aux applications dont les fonctions liées à la position géographique ne sont pas utilisées. Si cette option n’est pas disponible sur le terminal considéré, il convient d’éteindre le service de géolocalisation lorsqu’il n’est pas utilisé.

8.      Les applications déployées doivent être mises à jour régulièrement et rapidement dès lors que des correctifs de sécurité sont proposés.

9.      Les interfaces sans-fil (Bluetooth et WiFi) ou sans contact (NFC par exemple) doivent être désactivées lorsqu’elles ne sont pas utilisées.

10.  Désactiver systématiquement l’association automatique aux points d’accès WiFi configurés dans le terminal afin de garder le contrôle sur l’activation de la connexion sans-fil.

11.  Éviter tant que possible de se connecter à des réseaux sans fil inconnus et qui ne sont pas de confiance (cf les recommandations de sécurité relatives aux réseaux WiFi de l'ANSSI).

12.  Le stockage amovible ainsi que le stockage interne du terminal doivent être chiffrés par l’utilisation d’une solution de chiffrement robuste.

13.  Tout échange d’informations sensibles doit se faire par un canal chiffré de manière à assurer confidentialité et intégrité des données de point à point.

14.  Le système d’exploitation doit être régulièrement et automatiquement mis à jour de manière à intégrer les derniers correctifs de sécurité publiés. Tout terminal qui ne peut plus prendre en charge les évolutions du système d’exploitation doit être remplacé.

15.  Si les terminaux sont jugés suffisamment sensibles pour le nécessiter, il est conseillé de procéder régulièrement (a minima tous les ans) à la ré-initialisation complète du terminal, c’est à dire à un nouveau déploiement du système d’exploitation et un changement des clés de chiffrement, de manière à mettre fin à une éventuelle atteinte en sécurité du système à bas niveau (Note : Ceci n’est toutefois pas la solution à l’ensemble des attaques dont certaines pourraient perdurer malgré une ré-initialisation complète).

16.  Sauf à utiliser des solutions de cloisonnement dont il a été vérifié qu’elles répondent aux besoins de sécurité de l’entreprise, utiliser des ordiphones professionels dédiés à cet usage.

Mise à jour, 12/09/2013 : sur Twitter, @petaramesh précise à juste titre que ces conseils "sont absolument inefficaces pour se protéger d'écoutes NSA intégrées à l'OS" :

« Il n'existe AUCUNE mesure crédible pour empêcher un smartphone IOS/Android de "téléphoner maison" les données qu'il contient. Le seul et unique moyen de protéger ses données sensibles est de ne les stocker en aucun cas dans un tel système, et de ne jamais avoir sur soi un tel téléphone, équipé de sa batterie, pour toute activité confidentielle. Il serait particulièrement DANGEREUX de taper sur un tél iPhone Android un mot de passe protégeant des données confidentielles. Il semble que c'est désinformer les gens de leur laisser croire qu'ils peuvent sécuriser un tel téléphone... »

Comme indiqué plus haut, l'ANSSI estime "illusoire d’espérer atteindre un haut niveau de sécurité" avec un "ordiphone", ses conseils visant plus à se prémunir des dommages qu'engendreraient un vol ou l'installation d'un logiciel malveillant.

Voir aussi ce guide de Configuration basique des paramètres de sécurité d'un appareil Android, et les fiches logicielles qui y sont associées, comment utiliser votre smartphone en sécurité (autant que possible...) et, en anglais, Security tips for journalists using mobiles, et The Mobile Security Survival Toolkit for Activists and Journalist. Je serais par ailleurs preneur de tout autre lien/manuel de sécurité pour les mobiles.

 

Et, sur ce blog :
Le plan anti-intrusion de la DGSE était sur le web
Pourquoi la NSA espionne aussi votre papa (#oupas)
La guerre aux migrants a fait 18 000 morts (au moins)
Internet a été créé par des hippies qui prenaient du LSD
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi

jean.marc.manach (sur Facebook & Google+) @manhack (sur Twitter)
Et pour me contacter, de façon anonyme & sécurisée (#oupas /-), c'est par là.

- See more at: http://bugbrother.blog.lemonde.fr/2013/09/11/comment-securiser-son-telephone-mouchard-portable/#sthash.F0tYs6sQ.dpuf

 


 

 

Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
9 septembre 2013 1 09 /09 /septembre /2013 16:51

 

Médiapart

 

Après l'affaire Snowden, l'anonymat sur internet en question

|  Par Jérôme Hourdeaux

 

 

Les révélations du whistleblower ont mis en lumière une surveillance générale du net mais également une série d'outils permettant d'y retrouver un peu de confidentialité. Même si certains formats populaires, comme HTTPS ou SSL, pourraient eux-mêmes être corrompus...

Révélations après révélations, les documents livrés par Edward Snowden, les moyens déployés par les agences de renseignement, et leurs avancées en matière de cybersurveillance, dépeignent un tableau de plus en plus sombre de l'état de la protection de notre vie privée sur internet. Dans un premier temps, l'ex-employé de la NSA a révélé l'existence d'un système d'espionnage mondial baptisé PRISM déjà particulièrement inquiétant.

 

 
© Reuters

Mais jusqu'à présent, beaucoup d'internautes pensaient pouvoir contrecarrer cette surveillance en utilisant divers outils particulièrement populaires. Depuis quelques mois, on a vu fleurir dans les médias généralistes des noms de logiciels et services jusqu'alors plutôt réservés aux spécialistes. « PGP », « Tor », « Lavabit » ou encore « Silent Circle » sont devenus des acteurs centraux du combat des whitleblowers et de leurs alliés contre les atteintes aux libertés individuelles. Le nombre d’utilisateurs du logiciel de chiffrement PGP, utilisé par Edward Snowden, a par exemple explosé. Selon le site sks-keyservers.net, la quantité de « clefs » de chiffrement créées quotidiennement a été multipliée par trois ou quatre depuis le mois de juin, passant d’une moyenne de 500 à quelque 1 000 à plus de 2 000 clefs générées. Même son de cloche du côté de Tor, un réseau d'anonymisation qui a vu son nombre d’utilisateurs et son trafic doubler depuis le mois de juin.

Au point que, pour certaines catégories comme les journalistes, ne pas les utiliser serait devenu une faute professionnelle. Comme l’a affirmé Edward Snowden au journaliste du New York Times Peter Maas : « Dans le sillage des révélations de cette année, il devrait être clair que des communications non chiffrées entre un journaliste et une source sont une imprudence impardonnable. »

« On se rend compte aujourd’hui, avec PRISM, la surveillance de masse ou avec le modèle économique de géants comme Google ou Facebook, de la fragilité de notre infrastructure de communications », explique Jérémie Zimmermann, porte-parole de l’association de défense des droits des internautes La Quadrature du net. « Tout ce qu’on échange, la plupart du temps, ce sont des cartes postales que tout le monde en chemin peut attraper et lire avant de les laisser continuer. On en vient à se dire que c’est tout l’internet, l’ensemble de nos communications interpersonnelles, qui devrait être chiffré, anonymisé et sécurisé. »

Malheureusement, au fur et à mesure qu'Edward Snowden continue à diffuser de nouveaux documents, on se rend compte que la situation est encore plus grave et que ces outils eux-mêmes pourraient être corrompus. Certains, comme le spécialiste français de la cryptolographie Éric Filiol, vont jusqu'à décrire un mirage monté de toutes pièces par les Américains pour mieux contrôler et surveiller les réseaux. « La grande capacité des Américains », explique-t-il, « c’est d’imposer des standards qu’ils contrôlent ». Ainsi, selon cette théorie, les outils d'anonymats ne seraient qu'une création des autorités elles-mêmes, qui se seraient assuré au passage un accès à toutes les communications chiffrées. Paranoïa ? Pas si sûr si l'on en croit les révélations du Guardian du vendredi 6 septembre. Selon des nouveaux documents d'Edward Snowden, les services de renseignements américain et britannique auraient en effet réussi, en 2010, à forcer la technologie de chiffrement utilisés par des millions d'internautes.

L’une des premières choses à savoir lorsque l’on veut se protéger sur internet, c’est que l’anonymat total est quasiment impossible à atteindre. « Quand on parle de sécurité des communications personnelles », insiste de son côté Jérémie Zimmermann, « il faut garder en tête que la sécurité absolue, ça n’existe pas. Il n’y a pas un outil, une baguette ou une formule magique qui va te permettre de sécuriser et d’anonymiser toutes tes communications. » « Il n’y a pas de truc particulier et encore moins d’arme absolue », confirme Olivier Laurelli, alias Bluetouff, hacker et co-fondateur du site d’information Reflets.info. « Il y a d’un côté la protection des données, donc le chiffrement, et de l’autre tout ce qui est mesures d’anonymisation. Et à chaque fois, il faut choisir, en fonction du contexte et des besoins, parmi tout un tas de mesures de protection. »

Un dosage difficile à trouver pour le néophyte. Malgré des efforts notables de vulgarisation, l’installation et l’usage de ces outils, que nous allons détailler par la suite, nécessitent encore souvent quelques compétences techniques, ou l’aide d’un ami… Et il faudra constamment garder à l’esprit qu’un seul système de protection n’est pas totalement fiable. « Si, par exemple, vous êtes la cible d’une agence de renseignement américaine ou d’une mafia particulièrement puissante », prévient Jérémie Zimmermann, « vous aurez beau installer ce que vous voulez et cliquer sur tous les “Tor Button” que vous souhaitez, vous ne serez jamais en sécurité. »

PGP : l'outil indispensable des mails sécurisés

 

Edward Snowden et son ordinateur 
Edward Snowden et son ordinateur© Twitter

En matière de chiffrement, les logiciels stars se nomment PGP, pour « Pretty Good Privacy » (« Assez bonne confidentialité », créé en 1991 par l’Américain Philip Zimmermann et aujourd'hui détenu par Symantec, et son équivalent dans le domaine du logiciel libre, GPG, pour GNU Privacy Guard. Ces deux outils permettent de chiffrer n’importe quel fichier ainsi que d’assurer la confidentialité et l’authentification des communications.

Concrètement, l’utilisateur se voit attribuer une « empreinte digitale » permettant de l’identifier avec certitude, ainsi que deux « clefs cryptographiques », l’une publique et l’autre privée. La première est, comme son nom l’indique, destinée à être diffusée, et l’autre conservée secrète par l’utilisateur. Si quelqu’un veut lui transmettre un contenu, l’envoyeur téléchargera la clef publique avec laquelle il chiffrera le mail ou le fichier en question. Et celui-ci ne pourra être déchiffré qu’avec la clef privée correspondante. L’empreinte digitale permet en outre d’authentifier l’expéditeur, évitant ainsi les usurpations d'adresse.

Pour faciliter les choses, il existe un certain nombre d’annuaires complets permettant de rechercher les clefs publiques de personnes que l’on souhaite contacter. Ceux-ci offrent un certain nombre d’informations, comme les différents mails utilisés par une personne. Voire peut-être un peu trop… Récemment, en partant de quelques mails chiffrés et en utilisant ces annuaires, un internaute a réussi mettre au jour des liens apparents entre plusieurs clefs, échangées entre Edward Snowden et certains de ses contacts. L’ex-employé de la NSA est en effet un utilisateur de PGP, avec différents mails, et certainement plusieurs identités numériques. Des internautes ont par exemple repéré l’omniprésence, dans les contacts chiffrés du whistleblower avec ses proches contacts, d’un mystérieux « Michael Vario », qui pourrait être un alias pour Edward Snowden ou un autre complice.

 

Un annuaire de clefs PGP 
Un annuaire de clefs PGP

L’installation du logiciel PGP pourra sembler à beaucoup un peu trop technique. Mais une fois son empreinte et ses clefs créées, il existe bien des logiciels permettant d’implémenter directement le chiffrement dans sa boîte mail habituelle. Il existe également plusieurs services proposant leurs propres solutions de mails sécurisés intégrées. On sait ainsi qu’Edward Snowden utilisait le site Lavabit. Mais celui-ci a fermé au début du mois d’août après avoir reçu l’ordre de coopérer avec le gouvernement. Dans la foulée, le site Silent Circle, proposant le même type de services et fondé par l’inventeur du PGP, Phil Zimmermann, avait également mis la clé sous la porte. À noter qu’en France, l’informaticien et pionnier du net Laurent Chemla vient de relancer un ancien projet de mail sécurisé baptisé « Caliop ».

Bien entendu, chiffrer les dossiers stockés sur votre ordinateur et vos échanges de mails ne suffit pas. Il faut également sécuriser votre connexion à internet. Pour cela, il existe déjà une série d’applications dont la plus connue est le module complémentaire « HTTPS Everywhere », disponible pour les navigateurs Firefox et Chrome. Développé par l’association Electronique Frontier Foundation, ce petit programme permet d’automatiser le protocole « https » afin d’assurer, en théorie, l’anonymat des informations transmises à un site.

Pour ceux qui requièrent un peu plus d’anonymat, il sera nécessaire de plonger dans le vaste ensemble que constituent les « réseaux anonymes », encore appelés « P2P anonymes ». Derrière cette dénomination un peu floue, se cache une flopée de réseaux développés au sein d’internet avec un protocole spécifique leur permettant d’assurer l’anonymat des données qui y transitent.

Plusieurs services co-existent, chacun présentant ses avantages et inconvénients en matière de sécurisation et de confort d’utilisation. Particulièrement lent, « Freenet » est par exemple une des solutions les plus sûres pour héberger et publier des documents anonymes. Dans ce réseau, chaque utilisateur héberge, sur son ordinateur, une petite partie du réseau qui se trouve ainsi entièrement décentralisé. Il sera quasiment impossible de faire totalement disparaître une information qui y a été mise en ligne. « I2P » est lui aussi un réseau décentralisé en général plus rapide que Freenet, ce qui le rend plus adapté à l’utilisation de services tels que le téléchargement, les messageries instantanées ou les mails.

Mais le plus connu, le plus utilisé, et le plus médiatisé, est sans aucun doute le réseau Tor, pour « The Onion Router ».

Le phénomène Tor

Tor est en effet l’un des outils privilégiés des hacktivistes, et notamment par Edward Snowden si l’on en croit l’autocollant du « Tor Project » collé sur son ordinateur. Il est notamment utilisé par des ONG ou des plateformes de whistleblowing pour assurer une connexion sécurisée aux lanceurs d'alerte et dissidents politiques. Plus récemment, les Anonymous et le groupe de hackers Telecomix y ont hébergé un site d'informations et de conseils à destination des civils syriens ou encore les données personnelles des leaders de la Syrian Electronic Army, une pseudo armée de hackers pro-Assad. Tor est enfin utilisé par de nombreux services et applications internet ou mobiles à destination des journalistes amateurs, dissidents ou reporters travaillant en zone de guerre.

 

Comment fonctionne Tor 
Comment fonctionne Tor© EFF

Ce petit programme repose sur toute une série de routeurs organisés en nœuds, ou « couches », hébergés par des volontaires dans le monde entier et au travers desquels les connexions des utilisateurs « rebondissent » afin d’être anonymisées. Concrètement, lorsque vous vous connectez à internet via Tor, vos informations sont envoyées à un premier routeur qui les chiffre avant de les envoyer, selon un chemin aléatoire, à un autre, qui les chiffre à son tour… Et ainsi de suite jusqu’au dernier nœud qui déchiffrera la communication pour la délivrer au destinataire final. Intégré à un navigateur internet, Tor permet ainsi de se connecter à internet en déjouant la surveillance de votre fournisseur d’accès ou de toute personne espionnant votre connexion, mais également de visiter n’importe quel site de manière totalement anonyme.

Sur le même principe, Tor permet d’anonymiser des sites internet en masquant les adresses IP de leurs serveurs qui permettraient de les localiser. Dans ce cas, l’utilisateur se connecte au réseau Tor mais, au lien d’en ressortir, accède à des sites aux adresses étranges, souvent une simple suite aléatoire de caractères, se terminant par le suffixe .onion. Il s'agit des fameux « hidden service ».

Au sein de ce réseau totalement anonyme, on trouve un peu de tout. Des sites proposant des services, d’emails, de forums de discussion, de partage de fichiers, des sites d’informations parfois extrêmement pointus sur l’informatique, le hacking, et sur le réseau Tor lui-même, des blogs d’informations sur la cybersurveillance et la liberté d’expression…

Anonymat oblige, Tor attire également un nombre difficilement quantifiable de services beaucoup moins légaux. Le plus connus d’entre eux, Silk Road, est même devenu le symbole de ce que les médias ont baptisé le « darknet » ou encore « darkweb ». En quelques clics, l’utilisateur peut en effet commander quasiment toutes les drogues connues, des mots de passe pour des sites payants, des logiciels de piratage, des cartes de paiement vierges… Quelques autres sites proposent drogues, armes ou données privées, contenus zoophiles et pédophiles, ou divers services difficilement vérifiables, comme ceux d’une agence de tueurs à gages.

 

Le site Silk Road 
Le site Silk Road

Dans la mesure où beaucoup de ces sites ne sont pas référencés, il est difficile de connaître l’étendue exacte de ce « darknet » et pas davantage son efficience. Si quelques-uns, comme Silk Road, ont une activité illicite avérée, beaucoup d’autres sont tout bonnement des tentatives d’arnaque, voire des sites vides ou inactifs. De même, si le réseau Tor a bien servi à héberger des serveurs de sites pédophiles, ces derniers ne sont pas, contrairement à une idée propagée par les médias, accessibles en quelques clics. Au bout du compte, en dehors de deux-trois sites connus, ce fameux « darknet » peut même sembler bien sage par rapport à l’image qu’on lui colle.

« C’est surtout un grand fantasme », affirme le hacker, et utilisateur de Tor, Koolfy. « En tout cas, personnellement, je n’ai jamais été confronté à ce genre de choses. C’est sûr que ça existe, mais c’est difficile d’en mesurer l’ampleur car d’éventuels criminels vont chercher à rester cachés et vont utiliser d’autres outils. Tor est un outil pour la liberté d’expression. Or, un criminel n’a pas forcément envie de s’exprimer sur ses crimes. Bien sûr, ça peut lui être utile, mais ça ne sera pas son outil principal. »

« Le terme “darknet”, je ne l’ai vu utiliser que dans le milieu de la presse », insiste Benjamin Sonntag, informaticien et co-fondateur de La Quadrature du net. « Je crois qu’il n’existe que dans la tête des journalistes. » « Si tu poses la question à des gens qui ont codé Freenet ou qui ont codé Tor, “pourquoi avez-vous voulu créer un darknet ?” », poursuit Jérémie Zimmermann, « ils vont te regarder avec des gros yeux et ils vont te dire “non, nous on a fait des outils pour sécuriser les communications”. »

Même si tout recensement exhaustif est impossible, une récente étude menée par des chercheurs de l’université du Luxembourg permet de se faire une petite idée de l’utilisation de ces « hidden services ». Sur les 39 824 sites étudiés, les auteurs ont noté une proportion quasi égale entre sites proposant des services illégaux, ou se présentant comme tels, et sites consacrés à la politique ou à l’anonymat. Plus étonnant, et plus inquiétant, les « hidden services » les plus visités n’appartiennent à aucune de ces deux catégories mais servent, en réalité, à contrôler des « botnets », des réseaux de programmes informatiques connectés à internet servant, bien souvent, à des attaques informatiques…

Des chercheurs sèment le doute

Le logo du Tor project 
Le logo du Tor project

Finalement, plus que de pécher par excès d’anonymat en hébergeant des sites illégaux, le véritable problème de Tor est peut-être, au contraire, de ne pas être encore assez sécurisé. Malgré ce qu’affirment ceux qui vantent, ou dénoncent, son inviolabilité, le réseau est bien loin d’être inattaquable. Ses concepteurs avertissent eux-mêmes, sur la page de présentation du projet, que Tor n’est qu’une solution parmi d’autres et qu’elle ne protège pas contre tous les types de surveillances et d’attaques.

Au début du mois d’août, le FBI a ainsi réussi, en utilisant une faille dans une application du navigateur Firefox, à attaquer un hidden-service hébergeant des contenus pédopornographiques dans le cadre d’une enquête ayant conduit à l’arrestation d’un homme en Irlande. Autre sujet d’inquiétude, Tor a vu son trafic doubler depuis le mois de mai dernier. Si ces bons chiffres peuvent tout simplement être la conséquence d'un « effet de mode » ou une prise de conscience provoquée par l’affaire Snowden, certains comme Roger Dingledine, l’un des créateurs de Tor, suspectent une potentielle attaque informatique de botnets.

Ces dernières années, plusieurs chercheurs ont remis en cause la fiabilité du réseau, affirmant que l’identification d’un utilisateur ne serait qu’une question de temps pour un attaquant disposant des moyens techniques suffisants. Parmi eux, Éric Filiol, ce spécialiste français de la sécurité informatique et de la cryptolographie et directeur du laboratoire de virologie et de cryptolographieinformatique de l'ESIEA. Avec ses élèves, il a réussi en 2011 à mettre au point une attaque qui leur a permis d’extraire les informations contenues dans des nœuds du réseau Tor. La publication des travaux de l’équipe d’Éric Filiol, présentés à Berlin durant la célèbre convention de hackers « Chaos Communication Congress » (CCC), a suscité des réactions parfois très vives.

La conférence d'Eric Filiol de 2011

« J’ai été extrêmement choqué par la manière dont les gens réagissaient, car 90 % de ceux qui nous critiquaient n’avaient jamais mis le nez dans le code source de Tor ni lus nos travaux », raconte aujourd’hui le chercheur français. Sans rentrer dans les détails techniques, certains hackers, comme Koolfy qui a consacré plusieurs articles au sujet, lui reprochent notamment d’avoir utilisé une attaque bien connue contre le réseau Tor pour extraire des informations. En résumé, la démonstration d’Éric Filiol n’apporterait rien de neuf et ne remettrait pas en cause l’intégrité même du réseau.

Mais l’intéressé va beaucoup plus loin. Il affirme aujourd’hui que sa démonstration n’était qu’un exemple du manque de fiabilité de Tor et s’inscrivait dans un cadre beaucoup plus large, et beaucoup plus inquiétant. « Le projet Tor est en fait né à l’école post-navale de Monterey », explique-t-il. « Il s’agissait d’un projet de très haut niveau mais fait par des militaires. Ensuite, Tor est devenu une fondation qui a commencé à diffuser le logiciel. Or, qui est son président ? Roger Dingledine, un ancien de la NSA. C’est d’ailleurs quelque chose qu’il ne cache pas : c’est dans son CV. »

Éric Filiol remet également en cause le caractère aléatoire du réseau de nœuds à la base de Tor. « Un utilisateur de Tor va obligatoirement se connecter en passant par cinq points d’entrée, tous situés sur le territoire américain, et donc soumis au Patriot Act. Et ces cinq points sont gérés par qui ? Trois par Jacob Appelbaum (NDLR : un hacker assurant les fonctions de porte-parole de Tor), un par Dingledine, un par Mike Perry (NDLR : un développeur participant au projet Tor). C’est facile, y a les adresses IP ! » Les soupçons d'Éric Filiol ont récemment été confortés par une nouvelle étude, américaine cette fois, remettant en cause la protection de l'anonymat sur le réseau et devant être présentée au prochain CCC, au mois de décembre prochain. Et on sait par ailleurs, grâce au rapport financier de la fondation Tor, que le premier mécène du projet était, en 2012, le ministère de la défense américain via une bourse de 876 000 dollars accordée par l’Institut de recherche de Stanford.

En somme, à en croire cette théorie, Tor, le réseau anonyme le plus populaire, serait une autre création de l’armée américaine. Dans quel but ? « L’idéal, quand l’on veut surveiller quelqu’un, c’est de lui laisser croire qu’il est protégé », répond Éric Filiol. « Pour mieux le contrôler... Les gens qui ont quelque chose à cacher, que font-ils ? Ils communiquent en chiffré », explique-t-il. « Imaginez une foule où tout le monde parle français. Et au milieu des personnes qui se mettent à parler une autre langue. Vous allez immédiatement les identifier. » Ensuite, ne reste plus qu’à intercepter la communication… et à la traduire.

« On verse dans la parano absolue »

Mais même sur ce point, Éric Filiol affirme que les dés sont pipés, mettant à bas les bases mêmes du chiffrement des données utilisé par la plupart des outils d’anonymat. « Ces réseaux sont tous sécurisés par de la cryptographie. Or, aujourd’hui, celle-ci repose sur un seul et même standard : l’AES. Et ce standard est bien entendu américain. En 2001, une agence du département du commerce, le NIST (National Institute of Standard and Technology) a lancé un concours. Et quel était l’organisme certificateur ? La NSA… Comme je l’expliquais à l’époque : “Vous croyez qu’en pleine montée du terrorisme et de l’altermondialisme, ils vont distribuer à tout le monde un algorithme inviolable ?” »

«  À partir du moment où Tor, ou n’importe qui d’autre, prend de la crypto d’obédience américaine, c’est fini, ils sont attrapés. Mais bon, si ça ne choque personne… » « La vraie question, c’est l’idée d’un réseau d’anonymisation qui ne soit pas sous contrôle », conclut Éric Filiol. « Or, c’est un rêve, un mythe. Aucun pays ne laisserait faire ça. Tout est sous-contrôle, et depuis le début. »


La NSA 
La NSA© Reuters

Cette thèse a de quoi faire bondir bon nombre d’hacktivistes. « Oui, la NSA a participé à la relecture du standard AES, mais comme tout le monde », réagit ainsi Koolfy. « S’il y avait la moindre anomalie dans le code, il y aurait forcément quelqu’un pour s’en rendre compte. C’est une valeur sûre. » Concernant Tor, le hacker confirme qu’il s’agit « d’un outil qui sert aussi à la NSA et ce sont bien les Américains qui en ont exprimé le besoin. Mais c’est un outil open source, c’est-à-dire que le code source est totalement public. N’importe qui ayant la moindre suspicion sur les intentions des auteurs peut le vérifier. »

« Oui, en un sens, il suffit qu’un bout de routage de Tor passe par les États-Unis pour qu’il soit soumis au Patriot Act », estime de son côté Bluetouff. « Mais je ne pense pas me tromper quand je dis que la NSA est bien emmerdée lorsqu’elle tombe sur du Tor. Pour l’instant, ils ne savent pas quoi en foutre. Donc, qu’est-ce qu’ils font ? S’ils peuvent stocker, ils stockent. » De même, concernant le chiffrement, il existerait « des niveaux de chiffrement sur lesquels on pourrait faire tourner des grappes d’ordinateurs énormes pendant des dizaines d’années sans parvenir à casser le mot de passe. » « Éric Filiol est loin d’être idiot. Il sait de quoi il parle. Mais, là, on verse dans la parano absolue. »

Et au-delà des débats d'experts, et au risque de sombrer effectivement dans la paranoïa, tous se rejoignent sur un point : ni Tor ni aucun autre logiciel ne peut suffire à assurer totalement votre anonymat. « Le seul fait d’utiliser ce type de technologies est en soit une manière de se faire repérer », estime ainsi Jérémie Zimmermann. « Par exemple, si vous vous connectez du jour au lendemain à Tor depuis un réseau d’entreprise, il y aura quelqu’un du service informatique qui va le repérer et vous mettre sous surveillance. En Chine, utiliser Tor, c'est porter un gros gyrophare rouge et une pancarte disant “je n’aime pas ce régime”. Et une fois que l’on est repéré, l’identification n’est qu’une question de temps. » « On peut voir votre ordinateur comme une maison. Et votre connexion à internet, c’est la porte », explique Éric Filiol. « Avec un outil comme Tor, vous allez peut-être blinder la porte, mais si votre maison est en carton, ou si vous avez laissé vos clefs sous le paillasson, cela ne sert pas à grand-chose… » « Il y a mille façons d’obtenir des informations », confirme Jérémie Zimmermann. « On peut s’introduire dans ton ordinateur et obtenir ce que tu tapes au moment où tu le tapes avant même que tu l’envoies sur le réseau Tor, voir ce que tu vois sur ton écran, etc. »

Au bout du compte, la sécurité informatique ne serait donc qu’une illusion ? « Oui et non », tempère Benjamin Sonntag. « Les milieux militaires américains n’auront aucun problème à accéder à n’importe quel ordinateur. Mais il faut être une de leurs cibles car cela nécessite des techniques qu’ils ne peuvent pas appliquer en masse. » En résumé, les outils comme Tor ou GPG sont effectivement efficaces contre la surveillance « quotidienne », c’est-à-dire celle des publicitaires, des sites que vous visitez, voire celle de certains services répressifs de l’État chargés, par exemple, de lutter contre le téléchargement. Mais si ce que vous avez à cacher intéresse une quelconque agence de renseignement, vous ne trouverez aucun lieu sûr sur le réseau.

Dans ce cas, il ne vous restera plus que les « bonnes vieilles méthodes ». « Si j’avais un document extrêmement sensible à diffuser », affirme Bluetouff, « il n’y a pas un seul échange qui passerait par internet. Ça ne passerait par aucune machine ». Au mois de juillet dernier, le FSO, un service russe issu de l’ex-KGB, a ainsi décidé de revenir à la machine à écrire. « Du point de vue de la sécurité, tout type de télécommunication électronique est vulnérable. On peut capter n'importe quelle information depuis un ordinateur », déclarait alors au journal Izvestia le député et ex-directeur du FSB (ex-KGB) Nikolaï Kovalev. « Le moyen le plus primitif est à privilégier : la main humaine ou la machine à écrire. »

 

 

 


Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
3 septembre 2013 2 03 /09 /septembre /2013 13:03

 

blog-nouvelles-technologies.fr

 

Un nouveau virus Facebook a déjà infecté 800 000 utilisateurs : voici ce que vous devez savoir

Il y a un nouveau virus qui est en passe de se répandre à grande échelle sur le plus grand réseau social Facebook, et encore une fois le logiciel malveillant s’appuie sur la confiance sociale accumulée par le réseau. Plus de 800 000 personnes ont déjà été touchées par le virus, qui n’est autre qu’une vidéo envoyée par un ami. Une fois que quelqu’un clique sur cette dernière, celui-ci est redirigé vers un site Web qui lui mentionne devoir télécharger un plugin pour regarder la vidéo.

 

Un nouveau virus Facebook a déjà infecté 800 000 utilisateurs : voici ce que vous devez savoir

 

Comme vous pouvez l’imaginer, si la personne décide de télécharger ce plugin, c’est là que les ennuis commencent. Le téléchargement donne l’accès aux créateurs de logiciels malveillants au mot de passe d’un utilisateur, souvent pour accéder à vos e-mails ainsi que Facebook et Twitter. Autrement dit, cela donne au hacker la possibilité de faire semblant d’être leur victime, et potentiellement récupérer davantage de renseignements personnels sur leurs comptes. C’est ainsi que le virus se propage, puisque les hackers ont accès aux comptes infectés, ils utilisent ce dernier pour poster la vidéo sur le réseau social, et ainsi tente de récupérer d’autres victimes…

Carlo de Micheli, un chercheur, a déclaré au New York Times que cette attaque permet de rapidement engranger des victimes, avec 40 000 nouveaux cas à l’heure…

Google a répondu en désactivant les extensions provenant de leur propre navigateur qui ont permis l’attaque, ce qui pourrait sérieusement entraver la future croissance. Mais tandis que les hackers utilisaient principalement les failles d’extensions en provenance de Google Chrome, De Michelli a déclaré que ces derniers pouvaient adapter leur programme malveillant afin qu’il contourne les mesures défensives, et que ce dernier a déjà adapté pour Mozilla Firefox.

Cette dernière attaque est inquiétante car elle démontre de manière inquiétante comment des hackers peuvent tirer parti de Facebook pour diffuser du spam et également mener d’autres attaques de ce genre. Puisque ce type d’attaque, où l’utilisateur est invité à télécharger un plugin n’est pas connu de tous, même les utilisateurs qui sont généralement avertis sur les virus peuvent être dupés. Ce n’est pas un lien typique qui est censé être recommandé par l’un de vos amis, mais bien un message qui vous est directement adressé.

Puisque les hackers continuent d’innover dans le but de récupérer vos renseignements personnels, il est important de considérer que tout ce qui vous est adressé peut être un spam. Vos amis vous envoient souvent des liens sans aucun commentaire ? Si c’est le cas, dites-leur la prochaine fois d’insérer un peu de texte avec le lien pour que vous sachiez que ce n’est pas un virus.

Facebook, Chrome et Firefox ont besoin de prendre des précautions sur la sécurité pour éviter ce genre de chose se produise, mais les utilisateurs doivent également rester intelligent sur ce qu’ils ouvrent et ce qu’ils téléchargent. Soyez donc extrêmement prudent !

Pour en savoir plus sur l'auteur de cet article... Yohann a fondé le Blog des Nouvelles Technologies en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu'architecte interopérabilité. En savoir plus sur cet auteur...

 

 

Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
29 août 2013 4 29 /08 /août /2013 14:38

 

Rue89

 

Appelez masqués 28/08/2013 à 18h52
Philippe Vion-Dury | Journaliste Rue89

 

 


Un chat au téléphone (Christopher Bowns/Flickr/CC)

 

Les articles présentant alternatives et techniques pour se rendre anonyme sur Internet ont fleuri cet été après les révélations d’Edward Snowden sur les programmes de surveillance de la NSA.

Une fois son ordinateur protégé, on serait tenté de se sentir enfin en sécurité, quitte à en oublier – étrange schizophrénie – que nous transportons (presque) tous un mouchard encore plus performant que notre ordi : le smartphone.

Ces bijoux de technologie ont su se rendre indispensables : la France en compte 24,1 millions au dernier trimestre, soit 44,4% de la population française âgée de plus de 11 ans.

 


Capture d’écran du PowerPoint de la NSA révélé par Edward Snowden en juin et montrant les entreprsies qui ont participé au programme Prism

 

Un mouchard très bavard

En plus de fonctionner majoritairement sur des systèmes d’exploitation appartenant à des entreprises participant au programme Prism, les smartphones concentrent une partie de notre activité sur Internet, stockent nos e-mails, contacts, appels et SMS, tandis que les applis téléchargées diffusent nos données personnelles si l’on n’y prête pas garde. Les fonctions GPS (géolocalisation) offrent en prime un traçage géographique ultra-précis.

Après nos conseils pour naviguer masqué sur le Web, voici quelques solutions pour protéger sa vie privée sur son smartphone.

                                                                                                                                                                                                                              1 Les réglages préliminaires

 

Quelques réglages simples peuvent permettre de retrouver assez simplement une hygiène informatique satisfaisante.

Désactiver les services de géolocalisation

Certaines applis de votre appareil (Google Maps, Safari, etc.) peuvent avoir recours à une géolocalisation par combinaison des réseaux cellulaires, GPS et bornes Wi-Fi. Vous pouvez les désactiver manuellement pour que leur utilisation soit soumise à votre consentement au cas par cas lors du lancement de l’appli :

  • sur iPhone, il faut se rendre dans le menu « Réglages » > « Confidentialité » > « Service de localisation » ;
  • sur Android, il faut aller dans le menu « Localisation et sécurité » > « Services de localisation » et cocher/décocher les paramètres.

Prendre garde aux applis téléchargées

Que ce soit par mégarde, distraction ou excitation, on est bien souvent tenté de zaper rapidement la page relative aux autorisations données à une application que l’on est sur le point de télécharger. Elles sont pourtant souvent des relais (peu sécurisés) de vos informations personnelles.

Selon une étude menée par l’entreprise de sécurité Appthority, aucune des 50 applis les plus populaires de l’AppStore n’a réussi son test de protection des données, et seulement quatre l’ont passé pour Android.

Il faut donc rester vigilant sur les autorisations données. Si vous avez un doute, vous pouvez vous rendre dans votre menu de gestion des applications et désinstaller celles jugées trop intrusives.

Régler ses paramètres de navigation

Les applis des navigateurs les plus répandus offrent les mêmes réglages que sur un ordinateur. Vous pouvez donc choisir de naviguer avec un « onglet de navigation privée », module inclus dans les navigateurs et qui permet de ne pas garder de trace de votre historique de navigation.

Chaque navigateur propose d’effectuer un réglage plus poussé dans le menu « confidentialité » accessible dans les paramètres une fois l’appli lancée. Firefox propose par exemple d’autoriser ou non les « cookies », ces petits fichiers qui stockent des informations sur vous (articles dans votre panier, « logins » et mots de passe...).

Vous pouvez également effacer manuellement vos traces en précisant ce que vous souhaitez supprimer : fichiers téléchargés, cache, historique, mots de passe enregistrés... Cette suppression s’effectue donc a posteriori, contrairement à l’onglet de navigation privée qui anonymise votre activité a priori.

Utiliser le moteur de recherche DuckDuckGo (qui cartonne) plutôt que Google ou Bing peut aussi être une bonne alternative : l’entreprise s’est engagée à anonymiser les recherches de ses utilisateurs.

                                                                                                                                                                                                                             2 Bien choisir son navigateur

 

Il est utile de rappeler que les principaux navigateurs mobiles sont développés par des entreprises qui ont participé au programme Prism et sont donc soumis à la législation américaine.

Il est donc plus que recommandé pour celui qui veut renforcer la protection de ses données de bannir d’office les applis Google Chrome, Safari et le navigateur par défaut sous Android.

 


Design « Please don’t hurt the web » (Sean Martell/Firefox)

 

Restent deux navigateurs traditionnels : Firefox Mobile et le norvégien Opera. Ils ne sont malheureusement pas disponibles sur iPhone. Firefox Mobile – nom de code « Fennec » – a l’avantage d’être un logiciel libre développé par la Fondation Mozilla et ses milliers de bénévoles.

Firefox Mobile peut également être « tuné » grâce aux modules téléchargeables fonctionnant sous Android, certains pouvant s’avérer très utiles comme Adblock Plus ou encore Ghostery, qui permet de voir qui vous « traque » en temps réel.

Le réseau Tor

Reste une solution alternative qui requiert un peu plus d’efforts : le réseau Tor. Tor est un réseau d’innombrables nœuds par lesquels va transiter votre connection à Internet.

Lorsqu’on entre une requête ou accède à ses e-mails, une connexion chiffrée se lance et va parcourir aléatoirement un certain nombre de ces nœuds jusqu’à sa destination finale, rendant toute tentative (ou presque) de traçage impossible. Seul bémol : cela ralentit parfois la navigation.

 


Schéma de fonctionnement de Tor (Torproject/CC)

 

Sur Android, le Guardian Project propose un navigateur de son cru baptisé « Orweb » qui permet de maintenir une sécurité maximum en utilisant le réseau Tor (protection contre les traçages, blocage de cookies, pas d’historique...). Une sécurité qui peut vite entraver le confort d’une navigation classique.

 


Capture d’écran de l’interface d’accueil de l’appli Orbot développée par The Guardian Project

 

Il faudra au préalable avoir installé « Orbot », autre application qui permet la connexion au réseau Tor avant d’utiliser le navigateur. Une fois téléchargé, installé, configuré (un petit manuel interactif est disponible sur le site) et lancé, Orweb est directement accessible depuis l’appli ou depuis votre interface Android traditionnelle.

Les applis capables de régler les paramètres de proxy (regarder dans les options) peuvent également se connecter au réseau Tor via Orbot et bénéficier d’une sécurité renforcée.

Sur iPhone, il faudra débourser 3 dollars pour l’appli « Covert Browser » (disponible également sur iPad) qui combine connexion au réseau Tor et navigateur.

                                                                                                                                                                                                                             3 Le chiffrement, la kryptonite de la NSA

 

Les techniques énumérées ci-dessus permettent de retrouver une bonne hygiène informatique. Reste que le smartphone en question tourne toujours (probablement) sur Android, iOS ou Windows, et les fichiers qui y sont stockés restent vulnérables.

Cette dernière partie est donc consacrée au dernier rempart protégeant votre vie privée : le chiffrement. Petit rappel : la NSA conserve les fichiers cryptés pendant cinq ans, le temps de pouvoir en casser les codes.

Méfiez-vous du « cloud »

Réponse à la croissance exponentielle des données que chacun de nous génère (photos, vidéos, e-mails, téléchargements...), le « cloud » est devenu un outil quasi-indispensable.

Il ne vous aura cependant pas échappé que Google Drive est la propriété de Google, et iCloud celle d’Apple. Autre service populaire, Dropbox avait été accusé d’être la prochaine entreprise sur la liste des participants au programme Prism et, malgré leur démenti, le doute subsiste (doute qui commence d’ailleurs à peser sur les recettes des entreprises).

Une alternative possible est l’appli Mega, du célèbre fondateur de Megaupload Kim Dotcom. Elle donne accès gratuitement à un serveur de 50 Go où l’on peut naviguer et importer, télécharger ou effacer des fichiers. Il y a également une option pour synchroniser automatiquement toute photo ou vidéo prise par le smartphone.

Lors de la création du compte, une clé de chiffrement y sera associée, indispensable pour avoir accès aux fichiers qui y sont stockés. Cette clé n’est cependant pas infaillible : l’aventure peut devenir une vraie galère si vous vous faites voler votre mot de passe.

 

Chiffrer ses données

Certaines applis proposent un chiffrement direct des fichiers. Celles développées par les grandes entreprises d’informatique sont généralement peu fiables : il est de notoriété publique qu’elles y placent des « backdoors », des portes dérobées pour pénétrer en toute discrétion leurs propres programmes (parfois main dans la main avec la NSA).

La liste qui suit n’est pas exhaustive et concerne uniquement les Android :

  • chiffrer vos fichiers  : des applis comme Android Privacy Guard ou Cryptonite permettent de naviguer dans les fichiers stockés sur votre smartphone et les chiffrer ;
  • « nettoyer » vos photos : l’appli ObscuraCam permet non seulement de nettoyer toutes les infos relatives au téléphone et à l’emplacement géographique sur une photo, mais aussi de flouter les visages non désirés (ou à protéger) ;
  • protéger vos mots de passe : l’appli KeepPassDroid est un outil qui permet de noter ses différents mots de passe dans une base de données chiffrée ;
  • autodestruction  : l’appli InTheClear permet par simple pression sur un bouton de supprimer toutes les données (ou certaines uniquement, selon les réglages) et d’envoyer un SMS de secours prédéfini.

Chiffrer ses communications

Chacun le sait, le téléphone n’est certainement pas le moyen de communication le plus imperméable aux écoutes. Prism aura d’ailleurs étendu ce postulat à Skype.

Heureusement, des applis permettent également de chiffrer vos communications :

  • chiffrer ses appels : l’appli Ostel, par exemple, permet ce genre de chiffrement sur simple inscription à condition que le destinataire soit équipé d’un téléphone portable et que l’application y soit installée. Des équivalents existent sur iOS pour 5 euros ainsi que sur Nokia et Blackberry ;
  • chiffrer ses SMS : la communauté WhisperSystems propose une appli RedPhone pour protéger ses appels mais également une appli TextSecure pour faire de même avec les SMS à condition, une fois encore, que le destinataire l’ait aussi installée ;
  • chiffrer ses e-mails : l’appli K9 s’intègre à l’appli Android Privacy Guard (citée plus haut) pour chiffrer les e-mails. Les manipulations requièrent cependant quelques compétences et lectures de tutoriaux ;
  • chiffrer ses messageries instantanées : Gibberbot agit comme un agrégateur de messageries instantanées (Facebook Chat, Google Talk...) et permet à l’utilisateur de chiffrer ses conversations si le correspondant utilise une appli compatible. Gibberbot peut fonctionner de concert avec Orbot pour renforcer la sécurité et se décline également sur iPhone ;
  • faire passer un message secret : l’appli Pixelknot permet de glisser un message secret dans une image de manière parfaitement invisible. Une fois l’image diffusée sur certains réseaux sociaux ou par e-mail, seuls vos amis détenant le code de déchiffrement pourront voir le message.

Toutefois, vu l’ampleur des moyens techniques mis en place par les agences de renseignement, la collaboration (forcée ou volontaire) des entreprises et l’échelle de la surveillance, il faut garder à l’esprit que l’anonymat absolu est une chimère et qu’aucun code n’est incassable.

 

 

 

Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
3 août 2013 6 03 /08 /août /2013 16:20
 
I want my money back 02/08/2013 à 17h09


Le clavier d’un distributeur de billets (William Grootonk/Flickr/CC)

 

Récemment voté à l’Assemblée nationale, le plafonnement des commissions d’intervention en cas de découvert sur son compte en banque a été globalement bien accueilli. Dans son récent article sur ces commissions, la riveraine et banquière Berengere1981 salue ainsi une « mesure juste ».

Je ne partage pas son opinion : ces commissions sont le plus souvent prélevées de façon abusive par les banques. D’ailleurs, si votre banque vous a prélevé ces sommes – que la nouvelle loi plafonne à 8 euros par intervention et 80 euros par mois –, vous pouvez assez facilement obtenir un remboursement.

Une somme facturée en plus des agios

La définition officielle

Selon la Fédération bancaire française (FBF), la commission d’intervention couvre les coûts humains et matériels de l’analyse par la banque d’un compte dès lors qu’une opération entraîne une irrégularité de son fonctionnement. Ce qui inclut les opérations portant son solde au-delà de son autorisation de découvert.

Cette intervention permet de déterminer s’il faut accepter ou rejeter l’opération. Elle participe à la confiance générale dans les moyens de paiement et à leur équilibre économique.

 

La commission d’intervention est prélevée par la banque lorsqu’une opération débitrice (retrait, prélèvement, chèque…) se présente alors que vous êtes au-delà de votre découvert autorisé.

Elle vient s’ajouter aux agios, qui eux dépendent du montant et de la durée du découvert.

Cette commission rémunère l’intervention d’un conseiller, qui va examiner la situation de votre compte et décider d’accepter ou de refuser un paiement.

Ce traitement au cas par cas permet à votre conseiller de tenir compte de votre situation.

Il peut décider d’honorer un prélèvement malgré le dépassement de votre découvert autorisé, vous évitant ainsi des frais de rejet et d’autres problèmes avec votre prestataire. Mais si vous tirez trop sur la corde, votre conseiller peut décider de ne plus valider vos paiements.

Pas d« intervention » quand on paie par carte

Voilà pour l’idée de base qui est plutôt bonne, un peu de souplesse vaut mieux qu’un rejet automatique, même si on peut se demander si un tel service coûte réellement 8 euros par opération.

Mais la vraie entourloupe est ailleurs : les banques prélèvent aussi cette commission sur les paiements et retraits effectués par carte bancaire. Or ces derniers sont automatiques et irrévocables, aucun humain n’intervient pour valider ou refuser le paiement.

Conclusion : si on vous a facturé dans ces conditions, votre banque vous a fait payé un service qu’elle ne vous a pas fourni. Je laisse le soin aux juristes de mettre un nom sur cette pratique.

Avec l’avènement de la carte bancaire, les frais liés aux découverts sont ainsi devenus une poule aux œufs d’or pour les banques, les commissions décrites ici s’ajoutant aux agios, qui représentent 15% et 20% d’intérêt sur les sommes concernées.

D’après le ministère de l’Economie, les commissions seules représenteraient deux à trois milliards d’euros par an. Sachant que 40% des transactions en France sont réalisées par carte bancaire, on peut imaginer le montant du pactole indûment engrangé.

Des sommes importantes étant en jeu, on comprend mieux pourquoi les députés ne sont pas allés au fond du problème en votant l’interdiction pure et simple de ces commissions.

Pourtant, ces deux à trois milliards d’euros ne seraient-ils pas plus utiles si ils étaient dépensés dans l’économie par les Français ? Ne serait-ce pas un bon moyen de leur redonner du pouvoir d’achat ?

Suivez mon mode d’emploi pour vous faire rembourser des commissions d’intervention

En attendant les « class actions » à la françaises, qui permettraient à l’ensemble des consommateurs lésés de mener un recours judiciaire commun, chacun peut réclamer le remboursement de ces commissions à sa banque.

Vous pouvez d’abord lui faire part de votre étonnement à votre conseiller concernant la facturation de commissions « d’intervention » alors que personne n’est « intervenu ». Mais les pouvoirs de ce dernier étant limités, vous obtiendrez rarement satisfaction.

La solution la plus rapide est d’envoyer directement un recommandé à votre directeur d’agence ou au service client au siège de votre banque. Dans ce recommandé, vous détaillerez les sommes qui vous ont été prélevées et en demanderez la justification et le remboursement.

La banque devrait vous répondre, dans des termes difficilement compréhensibles, que les commissions sont justifiées mais qu’elle consent à vous faire un « geste commercial » – souvent entre 10% et 50% des sommes prélevées.

Ne faites pas de mauvais esprit, la banque n’essaye pas de vous faire taire : elle vous fait cette fleur « eu égard de vos excellentes relations commerciales ».

Refusez le « geste commercial » proposé

Une fois ce courrier reçu, vous êtes paré pour la deuxième étape.

Vous pouvez informer votre banque que malgré son geste, vous n’êtes satisfait ni par ses réponses, ni par le montant du « geste commercial », et que vous allez en référer au juge de proximité du tribunal d’instance le plus proche de chez vous (c’est lui qui est compétent pour les litiges portant sur des sommes inférieures à 4 000 euros).

Votre banque ne prêtera pas vraiment attention à ces menaces de tribunal. Ses employés en reçoivent des centaines tous les jours.

Mais vous pouvez maintenant préparer votre dossier pour le juge de proximité. Sur papier libre et sans oublier les mentions obligatoires que vous trouverez sur le site du service public, préparez :

  • un récapitulatif rapide de votre relation avec votre banque ;
  • la liste des commissions d’intervention concernées ;
  • un résumé de vos démarches auprès de la banque (le recommandé précédent) ;
  • la réponse de la banque, qui ne justifie pas en quoi ces commissions seraient effectivement la rémunération d’un service ;
  • tous vos relevés de compte comportant des commissions d’intervention, ou bien le relevé de frais annuel ;
  • une demande de condamnation de la banque au remboursement de l’intégralité des commissions, ainsi qu’à des dommages et intérêts pour préjudice moral à hauteur du montant des commissions ;
  • un timbre fiscal de 35 euros à coller sur votre déclaration.

Déposez votre dossier en autant d’exemplaires que le greffier vous demandera au tribunal d’instance compétent. Bravo !

Le tribunal va en transmettre une copie à votre banque. Il ne vous reste plus qu’à attendre.

Vous êtes maintenant en position de force

Rares sont les banques qui osent aller au tribunal pour ce genre de dossiers indéfendables. Et quand elles y vont, elles perdent.

Vous allez donc probablement recevoir un coup de fil du service client/juridique/contentieux de votre banque, qui va vous proposer le remboursement de vos commissions.

Vous êtes maintenant en position de force : votre banque ne souhaite vraiment pas aller au tribunal, la date de l’audience approche et c’est désormais vous qui fixez les conditions.

Combien demander ? Une base raisonnable, c’est la somme que vous réclamiez au tribunal (le remboursement plus les dommages et intérêts).

Cependant, il ne faut pas oublier de rémunérer certaines clauses qui vont être ajoutés dans le règlement amiable négocié entre vous et votre banque.

Elle vous demande de clôturer votre compte à l’issue du règlement du litige ? Ou souhaite que l’accord ait un caractère confidentiel ? Ces clauses doivent être rémunérées : vous avez été victime d’une facturation abusive, il ne vous appartient pas d’en supporter les conséquences. Un changement de banque entraine des désagréments et vous oblige à faire des démarches.

Libre à vous de déterminer le « prix » de chaque clause qui vous est proposée.

Une fois négociés les clauses de l’accord et le montant qui vous sera versé, ne vous reste plus qu’à signer le protocole d’accord et attendre le chèque.

 

MERCI RIVERAINS ! Marielb
Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
23 juillet 2013 2 23 /07 /juillet /2013 16:19

 

 

Le Monde.fr

 

23.07.2013 à 16h13 • Mis à jour le 23.07.2013 à 16h48

 
 
Depuis Roubaix, Octave Klaba et sa famille ont monté l'une des plus belles réussites du Web hexagonal, OVH. Une entreprise de geeks devenue le leader européen de l'hébergement de sites.

Coup dur pour OVH. Le premier hébergeur européen de sites internet, installé à Roubaix, a annoncé mardi 22 juillet que les données de ses clients européens avaient été piratées par un "hackeur". Quelques centaines de milliers de clients, professionnels comme particuliers, sont concernés par ce énième piratage, qui fait suite aux attaques essuyées dernièrement par Apple et Druppal.

 

Le fondateur et directeur général de l'entreprise, Octave Klaba, a expliqué à ses clients qu'une personne avait résussi à se procurer les accès du compte e-mail d'un des administrateurs du système, avant d'accéder à celui d'un employé. De là, il est parvenu à s'infiltrer dans le réseau privé virtuel d'OVH, qui permet d'accéder au système informatique d'une entreprise de l'extérieur.

Le pirate a ensuite déniché les codes d'accès aux dossiers internes, ce qui lui a permis de récupérer la base de données des clients européens d'OVH, ainsi que de gagner l'accès sur le système d'installation de serveurs au Canada.

 

 CHANGER SON MOT DE PASSE

Si OVH insiste sur le fait qu'aucune donnée bancaire n'a été volée, il conseille vivement à ses clients de changer leur mot de passe et leur identifiant. En effet, le hackeur a désormais accès à plusieurs informations personnelles : "Le nom, le prénom, le nic [qui permet de connaître le numéro SIRET d'un établissement], l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré." Certes, ce dernier est difficile à décoder, mais "c'est possible", admet Octave Klaba.

"En un mot, nous n'avons pas été assez parano et on passe désormais en mode parano supérieur. Le but est de garantir vos données et se prémunir contre l'espionnage industriel qui viserait les personnes travaillant chez OVH", précise le directeur de l'entreprise.

Il ajoute qu'OVH a l'intention de déposer une plainte pénale auprès des autorités judiciaires. "Afin de ne pas perturber le travail des enquêteurs, nous n'allons pas donner d'autres détails avant d'avoir les conclusions finales", conclut-il.

Lire (édition abonnés) : "OVH, la face cachée de l'Internet français"

 

 

Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article
23 juillet 2013 2 23 /07 /juillet /2013 15:23

 

Marianne

 Mardi 23 Juillet 2013 à 05:00

 

Lou Marillier

 

Un ingénieur en sécurité allemand trouve une faille dans nos cartes SIM : communications, échanges de SMS, localisation, rien n’est à l’abri des hackers. Plus de 750 millions d’utilisateurs seraient concernés !

 

Illustration - DURAND FLORENCE/SIPA
Illustration - DURAND FLORENCE/SIPA
« Nous pouvons (…) vous espionner, lire vos SMS, dérober vos données personnelles ou gonfler votre facture ». C’est l’annonce proférée au New York Times hier par Karsten Nohl, fondateur du Security Research Labs à Berlin. Ingénieur en sécurité, le personnage a conduit trois années durant des recherches sur la perméabilité de nos cartes SIM face aux hackers et quelque autres états malveillants qui souhaiteraient s’introduire dans notre vie privée.
 
Plus de 750 millions d’utilisateurs seraient vulnérables. L’algorithme desdites cartes date de 1970 : moyenâgeux, donc, à l’échelle de l'évolution de la téléphonie mobile. La localisation, les SMS, le carnet d’adresse : aucune donnée n’est à l’abri. La méthode est simple : le hacker peut se procurer la clé numérique de la carte, à partir de laquelle tout est possible. Dans les pays africains, par exemple où le paiement par carte Sim est monnaie courante, des paiements frauduleux peuvent être effectués selon le chercheur, qui est même parvenu à injecter des virus via SMS...

 

Impossible de relier ces cartes à des opérateurs particuliers. Tantôt anciennes, tantôt modernes, elles coexistent chez toutes les marques. Ainsi, sur les 7 milliards de cartes SIM utilisées, toutes ne sont pas « vétustes ». Toutes ne sont pas non plus hors d’atteinte, comme le déclarait le géant international de la carte à puce Gemalto sur son site. Une « technologie » rend les cartes « très sécurisées » et « quasiment impossibles à hacker ou à cloner » mentionnait-il.

 

Karsten Nohl assure qu’il suffirait en grande partie de mettre en place des cartes SIM avec des méthodes récentes de chiffrement  pour remédier au problème. Il serait temps, en effet, car le chercheur a dévoilé l'astuce au monde entier sur un blog. Sa complexité devrait occuper un certain temps les êtres malintentionnés avant qu’ils puissent s’en servir. D’ici là, la GSM Association, qui regroupe 850 opérateurs de téléphonie mobile à travers le monde, assure avoir transmis des recommandations aux distributeurs de cartes SIM concernés. Nous voilà rassurés…
 
Excité par sa découverte, Karsten Nohl n’a pas pu attendre l'ouverture la conférence de la Black Hat - une société qui « fournit des points de vue nouveaux et exclusifs sur la sécurité de l'information » le 31 juillet prochain à Las Vegas. Réunion des hackers du monde entier, la conférence devrait à son tour apporter son lot de nouvelles réjouissantes !
Repost 0
Published by democratie-reelle-nimes - dans Se protéger
commenter cet article

Présentation

  • : Démocratie Réelle Maintenant des Indignés de Nîmes
  • Démocratie Réelle Maintenant des Indignés de Nîmes
  • : Le blog des Indignés de Nimes et de la Démocratie Réelle Maintenant à Nimes
  • Contact

Texte Libre

INFO IMPORTANTE

 

DEPUIS DEBUT AOÛT 2014

OVERBLOG NOUS IMPOSE ET PLACE DES PUBS

SUR NOTRE BLOG

CELA VA A L'ENCONTRE DE NOTRE ETHIQUE ET DE NOS CHOIX


NE CLIQUEZ PAS SUR CES PUBS !

Recherche

Texte Libre

ter 

Nouvelle-image.JPG

Badge

 

          Depuis le 26 Mai 2011,

        Nous nous réunissons

                 tous les soirs

      devant la maison carrée

 

       A partir du 16 Juillet 2014

            et pendant l'été

                     RV

       chaque mercredi à 18h

                et samedi à 13h

    sur le terrain de Caveirac

                Rejoignez-nous  

et venez partager ce lieu avec nous !



  Th-o indign-(1)

55

9b22