Spécial sécurité - Libertés individuelles en Europe : avis de grand froid

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, se sont intéressés à un grand rapport sur l’état des libertés individuelles en Europe et notamment à la France, épinglé pour sa gestion des données au sein du DMP. Ils ironisent sur une histoire de SMS « dynamite » avant d’ajouter un 3e épisode au feuilleton Anonymous, truands et ratons-laveurs. Ils terminent sur une note festive en déroulant le programme du Insomnihack 2011 .

Sommaire
1 - Libertés individuelles en Europe : avis de grand froid
2 - Le SMS de la mort qui tue
3 - Anonymous, truands et ratons-laveurs (troisième épisode
4 Insomnihack 2011 : plus seulement un CTF


1 - Libertés individuelles en Europe : avis de grand froid
Privacy International, l’Epic (Electronic Privacy Information Center) et le CMCS (Center for Media and Communications Studies), publient leur rapport sur l’état des libertés individuelles en Europe. L’élève le mieux noté est la Grèce ainsi que la moitié sud de Chypre. La Turquie, la Croatie, le Royaume Uni et l’Italie sont qualifiés de pays « à surveillance endémique » ou « généralisée ». La France, qui appartient au groupe de pays coupables de « manquements systématiques au respect des règles » écope de nombreux points noirs dans les domaines du respect du droit constitutionnel, de la préservation des données à caractère privé, de la rétention de données, de l’accès abusif des données par les organismes gouvernementaux, des informations financières, des agissements des services de renseignement… La longue liste de griefs dressée par les trois organismes pointe du doigt notamment les risques provoqués par le nouveau système d’identification du système de santé (le DMP) ou les violations du secret bancaire.

Si les positions de l’Epic sont souvent plus que radicales, voir outrancières, la présence temporisatrice de Privacy International et du CMCS ne parvient pas à masquer une nette progression, dans la quasi-totalité des pays européens, des dispositions légales limitant les libertés individuelles : contrôle des échanges internet et des communications privées, tant sur les canaux IP que via les réseaux de téléphonie mobile, accroissement des politiques de déploiement de vidéo surveillance etc. De manière générale, cela se traduit, commente Brian Honan, patron du Cert Irlandais, par un accroissement drastique des moyens de surveillance sur tout ce qui touche aux nouvelles technologies en général et aux TIC en particulier, sans pour autant que les politiques aient une idée précise de la manière dont elles sont consultées ou consultables.

2 - Le SMS de la mort qui tue
Elle mériterait d’être proposée au Darwin Awards, cette dame qui voulait faire la bombe sur la place Rouge de Moscou, le soir de la Saint Sylvestre. Le journal Canadien Leader Post nous apprend comment, en préparant ses artifices, une militante jihadiste a mis brutalement fin à ses jours sans pourtant atteindre son but. Le paquet d’explosifs manifestement destiné à être déclenché à distance, a fonctionné comme prévu lorsque, pense la police, un SMS de bonne année a brusquement activé le détonateur. Fail.

3 - Anonymous, truands et ratons-laveurs (troisième épisode)
Les Anonymes, les gendarmes et les voleurs ? Les gendarmes, tout d’abord, qui cherchent à arrêter les moins prudents de ces gamins idéalistes. 5 en Grande Bretagne dont un d’à peine 15 ans, nous rapporte le WSJ, arrestations suivant de peu celle de deux Anonymes en Hollande (16 et 19 ans). Aux USA, ce sont près de 40 mandats qui sont émis par le FBI révèle Msnbc. Associated Press rapporte les propos d’un fonctionnaire français souhaitant conserver son anonymat, qui mentionnait l’arrestation puis la libération (après confiscation de son ordinateur) d’un mineur de 15 ans impliqué dans la coordination d’une de ces attaques en déni de service.

Qui sont derrière ces caïds en culotte courte ? Bien sûr, l’on peut croire qu’un enfant peut, à notre époque moderne, tutoyer le paquet IP et le spoofing d’adresse avec autant de facilité qu’il avale une tartine de Nutella. Mais on est en droit de douter que ce même enfant ait une conscience politique telle qu’il souhaite spontanément agir contre toutes les dictatures de la planète… y compris celles en place dans des pays qu’il serait bien en peine de situer sur une carte. Ce genre de pensées et d’actions était concevable à la fin des années 60, elle est franchement improbable en ce début de millénaire.

Outre les possibles manipulations politiques des troupes des anonymes, tout comme derrière Wikileaks, on retrouve les truands. Ceux qui profitent de la situation, voir tentent de se fondre dans le mouvement. François Paget, de l’Avert, s’est plié à un exercice de style que l’on avait plutôt l’habitude de lire sur le blog de Dancho Danchev : le traçage des serveurs ayant participé à une attaque des Anonymes. Traçage dans lequel on retrouve un des hébergeurs Russes « bulletproof », ceux-là même qui ont succédé au RBN et à McCollo. Ces fournisseurs de services mafieux, s’interroge alors François Paget, pourraient-ils être les mêmes qui incitent ces vaillants va-t-en-guerre de 15 ans à bombarder de trames tel ou tel pays ou entreprise du secteur bancaire ? Mafieuse, politique, idéologique, religieuse, il se pourrait bien que l’on découvre une machine à tirer les ficelles (voir plusieurs ensemble) derrière l’idéalisme numérique et hacktiviste des anonymes. Est-il nécessaire de préciser que cette manipulation, si elle est un jour prouvée, ne remettra pas en cause la sincérité profonde de ces jeunes militants. Tout comme il est certain que les coordinateurs plus ou moins officiels qui se regroupent sous la couverture « Anon Ops » n’aient pas prévu une telle possibilité de détournement ou de manipulation. A trop jouer avec une logique manichéenne de western, on oublie qu’il peut exister des adversaires aussi retors qu’insoupçonnés.

4 - Insomnih ack 2011 : plus seulement un CTF
La prochaine édition d’InsomniHack, se déroulera le 4 mars prochain et, pour la première fois, débutera dès 14 heure avec une série de conférences : Malware et téléphonie mobile par Axelle Apvrille, profilage et ingénierie sociale par Dominique Clementi, Management de la Sécurité des SI par Sébastien Bombal, un peu de cryptographie avec Pascal Junod, une dose d’ASP.NET servie par Alexandre Herzog, et probablement une intervention non encore inscrite au programme de la part de Bruno Kerouanton. L’inscription à ces conférences est soumise à une participation de 90 CHF (circa 70 euros). Les séries de « capture the flag » multi-niveaux débuteront dès 18 H.

Rappelons que cette manifestation annuelle se déroule traditionnellement dans les locaux de l’HEPIA, haute école du paysage d’ingénierie et d’architecture de Genève.

Pour approfondir sur Menaces, Ransomwares, DDoS