Group items tagged

Depuis les révélations de Snowden, beaucoup de techniciens, à l'image de Bruce Schneier, se posent la question de comment déjouer, par des moyens techniques et le plus rapidement possible, la surveillance de masse qui s'est mise en place, explique Amaelle Guiton. À propos Hackers, le livre 11 novembre 2013 Politique du chiffre Que faire lorsqu'une agence de renseignement américaine, manifestement bien aidée par ses petites camarades européennes, a - dixit Bruce Schneier, s'exprimant mercredi dernier lors de l'assemblée plénière de l'Internet Engineering Task Force, l'organisation qui rassemble les ingénieurs du réseau - « transformé l'Internet en une gigantesque plate-forme de surveillance » ? Le problème, a-t-il ajouté, est « robuste politiquement, légalement et techniquement ». Il l'est d'autant plus que, la question étant fondamentalement politique - quelle « sécurité nationale », pour qui, comment, avec quel contrôle -, toute réponse technique est en dernière analyse une réponse politique, pas seulement dans ses attendus, mais aussi dans ses conséquences. Depuis quelques mois, il y a réaffirmation par beaucoup de « techniciens » - du moins beaucoup de ceux qui s'expriment publiquement - d'une volonté de déjouer, par des moyens techniques et le plus rapidement possible, la surveillance de masse. La qualification « de masse » est tout sauf accessoire : on n'entend pas grand-monde dire qu'il faut empêcher toute surveillance en enlevant tout moyen aux autorités d'intercepter des communications. Certains le pensent sans doute (j'y reviendrai), mais la surveillance ciblée me semble être considérée comme un coût socialement acceptable, ou à tout le moins une fonction classique du pouvoir, ce qui n'est pas le cas de la surveillance indiscriminée et généralisée. "Les moyens techniques envisagés, depuis les tuyaux jusqu'à l'utilisateur final, se rangent, pour simp

Jérémie Zimmermann : "Nous devons questionner notre rapport, en tant que société tout entière, à la technologie. D'un côté, nous avons des technologies qui sont faites pour rendre les individus plus libres, par l'ouverture et le partage des connaissances : ce sont les logiciels libres (comme GNU/Linux, Firefox ou Bittorrent), les services décentralisés (que chacun fait tourner sur son serveur ou sur des serveurs mutualisés entre amis ou à l'échelle d'une entreprise, institution, etc.) et le chiffrement point à point (qui permet aux individus de protéger par les mathématiques leurs communications contre les interceptions). De l'autre, nous constatons la montée en puissance de technologies qui sont conçues pour contrôler les individus, voire restreindre leurs libertés en les empêchant d'en faire ce qu'ils souhaitent. Je pense à ces pseudo "téléphones intelligents" qui ne sont ni des téléphones (ils sont avant tout des ordinateurs qui savent également téléphoner), ni intelligents, car en réalité ils permettent de faire moins de choses que des ordinateurs traditionnels et sont conçus en réalité pour empêcher à l'utilisateur de choisir d'où seront installés les programmes, d'installer les programmes de son choix, ou même d'avoir accès pour le comprendre au fonctionnement des puces cruciales qui permettent d'émettre ou recevoir des données... Si l'on devait appeler cela de "l'intelligence", cela serait peut-être au sens anglais du mot, pour parler de renseignement, d'espionnage... car de tels appareils semblent être conçus pour espionner leurs utilisateurs. De la même façon, ces services massivement centralisés sont par essence, par leur architecture, faits pour aspirer toutes les données personnelles possibles et imaginables. Ce sont les modèles économiques de ces entreprises qui sont basés sur le fait d'entretenir un flou entre vie privée et vie publique... Toutes ces technologies ont en commun de maintenir l'utilis

L'Agence nationale de sécurité américaine est en train de gagner sa guerre secrète et de longue durée sur le chiffrement , sapant les principaux outils protégeant la confidentialité des communications en ligne.

Comment répondre à la surveillance de masse dont nous sommes l'objet ? Comment rendre plus opaque les données qui circulent sur le réseau ? interrogeait Bruce Schneier à la dernière conférence de l'IETF. Chiffrer par défaut les protocoles existants, intégrer des outils de chiffrement directement dans nos navigateurs... Sur les autoroutes de l'information, tout le monde circulera en voiture blindée... Cela ne rendra pas les données incassables ou illisibles, mais devrait limiter la surveillance de masse en la rendant plus difficile et plus coûteuse. Mais cela a aussi des conséquences : il nous faudra acquérir des certificats électroniques, gérer nos multiples clés... Bref, générer un usage plus complexe. Un internet plus sûr, c'est aussi un internet plus difficile à débugger et donc plus fragile (au spams, aux pannes...). Les ingénieurs de l'IETF se sont fixés des objectifs précis : atteindre 100% de chiffrement pour un protocole de messagerie instantanée et 90 % pour le trafic web en 2016. Ambitieux ! Mais si les standards qui mettent en place les protocoles sont transparents, ce n'est pas le cas des outils qui les mettent en oeuvre, rappelle Amaelle Guiton.

La Technology Review consacre un dossier à comment l'espionnage des gouvernements a renforcé le développement du chiffrement. D'ici quelques années, tous les fichiers circulant par l'internet pourraient bien être chiffrés.

Telecomix, le groupe d'hacktivistes pour la défense des libertés numériques, est arrivé à Notre-Dame-des-Landes. Son but, déployer un réseau internet sans fil sécurisé et initier les opposants aux techniques de chiffrement.

"Pas de chiffrement, parfois même pas d'authentification,… la sécurité réseaux des appareils photo est déplorable. De simples attaques permettent d'intercepter les clichés, voire même de prendre des photos à distance."

La NSA a sapé un contrat social fondamental, estime le spécialiste de la sécurité Bruce Schneier. Mais aussi les entreprises qui ont construit et gérer cette infrastructure, comme celles qui vendent du matériel et des logiciels ou qui accueillent nos données. Nous ne pouvons plus leur faire confiance pour être les gardiens d'un internet éthique. C'est aux ingénieurs d'en reprendre le contrôle. C'est à eux d'être les lanceurs d'alertes des actions illégales de nos gouvernements. Nous devons savoir comment la NSA subvertissent les routeurs, les commutateurs, le cloud, et les technologies de chiffrement... C'est aux ingénieurs de reconcevoir l'internet pour éviter ce type d'espionnage massif. Enfin, les ingénieurs de l'internet doivent influer sur sa gouvernance et la doter de nouveaux moyens, notamment en exigeant la transparence et le contrôle des gouvernements et des sociétés de l'internet. Ceux qui aiment la liberté doivent la réparer !

POur Poul-Henning Kamp, la cryptographie et la vie privée ne peuvent fonctionner que si les deux fonctionnent en bonne intelligence. A l'heure de la surveillance massive, beaucoup estime que le cryptage des données est la soluion. Poul-Henning Kamp, prend le contrepied de cette affirmation : le développement de la crypto, risque de rendre la crise de la vie privée encore plus difficile. D'abord, certains pays ont voté des lois qui permet à la police d'emprisonner des gens jusqu'à ce qu'ils révèlent leurs codes cryptographiques. Dans de nombreux pays, certaines personnes n'ont pas les mêmes droit à la vie privée que d'autres (pensez notamment aux prisonniers, mais peut-être aussi aux employés. Enfin, le chiffrement peut être brisé, surtout si un pays est capable d'utiliser tous les moyens disponibles pour cela. En fait, le cryptage ne fonctionne que si les deux extrémités y travaillent en toute bonne foi. Mais peut-on être assuré de la bonne foi des entreprises technologiques ? Poul-Henning Kamp n'a pas confiance dans son smartphone et ses secrets, ni dans les failles possible du code source... permettant d'installer des portes dérobées. Pour lui, la réponse doit être politique, elle ne peut-être technique.

Eric Sherer revient sur la conférence de Richard Gringas, le patron de Google News : innovation, innovation, innovation... Reste que certains conseils de Google demeurent des conseils de Google. L'atomisation des contenus, consistant à valoriser l'article plutôt que les pages thématiques ou les unes, est en typiquement un. Quant aux demandent des éditeurs d'avoir plus de retour d'information de Google News, Richard Gringas n'a pas répondu, pas plus que sur les conséquences à venir d'un possible chiffrement des requêtes... Toujours autant donneur de leçon ce bon vieux Google !

La chercheuse du MIT Raluca Popa propose Mylar - http://css.csail.mit.edu/mylar/ - un web service qui crypte les données et qui empêche le service de fournir des données non cryptées. Le problème est que si vous perdez votre mot de passe, vous perdez tout accès à vos données (mais est-ce vraiment différent aujourd'hui pour les utilisateurs ?). L'avenir des serveurs est-il entièrement chiffrés ?