Discussion :

[Arsene Newman]

Soyez rassuré, vos ordinateurs sont surveillés par plusieurs gouvernements
Vous feriez mieux d’en être convaincus

« Quand j’utilise mon ordinateur, je pars du principe que je suis surveillé par au moins 3 gouvernements » voilà les propos de Costin Raiu qui ont dû choquer plus d’un parmi la foule d’experts, d’analystes et de professionnels IT présents lors du SAS2014, qui se déroule cette année à Punta Cana en République Dominicaine.

Costin Raiu, expert en sécurité informatique de Kaspersky Lab est à l’origine du travail effectué par l’équipe de recherche et d’analyse de la firme de sécurité, travail qui a permis de découvrir des programmes de cyber-espionnage à échelle internationale, alias APT, lors de ces dernières années.

Alors, mythes ou réalité ? Que faut-il penser des propos de Raiu ? Décryptage :

L’expert en sécurité est un homme prudent, ses mots expriment sa connaissance du terrain et son expertise, ses propos ne traduisent pas une paranoïa mais plutôt, une mise en garde, une précaution d’emploi ou carrément une quasi réalité.

Au vu des récentes découvertes d’APT par Kaspersky [lire notre article sur l’APT Careto], des révélations de l’ex agent de la NSA Edward Snowden, des faiblesses volontairement introduits sur certains algorithmes de sécurité, des sonnettes d’alarmes tirées par les experts sur la sécurité des appareils connectés, notamment l’IoT (Internet des Objets), il apparait clairement qu’aujourd’hui plus que jamais, Internet est menacé par des actes malveillants émanent des agences gouvernementales, afin de mettre les internautes sous surveillance.

Ceci étant dit, la déclaration de Raiu prend tout son sens, de plus si les internautes sont suffisamment mis en garde contre une éventuelle surveillance, ils auront tendance à prêter plus d’attention à leur utilisation d’Internet, un peu à l’image d’un enfant convaincu qu’il est constamment surveillé par sa mère, ce qui le conduira naturellement à faire plus attentions à ses faits et gestes.

L’avis des experts de Developpez.com

L’analyse de Costin Raiu a été commentée par les membres experts de Developpez.com.

Gangsoleil, Modérateur "C", "Informatique Générale & Hardware" et "Unix", rejoint le point de vue de Raiu et estime que « d’un point de vue sécurité, c'est une bonne chose que d'avoir comme principe de se sentir surveillé, car cela permet de faire les choses en conséquence, et de prendre de bonnes habitudes ».

Cependant, celui-ci se pose une question : « est-ce que c'est applicable au grand public ? Oui, mais pas directement - ou tout du moins pas tout de suite. Les gens n'ont pas encore vu le problème que pose la surveillance de leur activité internet par des États, alors même qu'ils refusent l'installation de caméras à leur domicile comme dans les rues ... »

Pour Neckara, Rédacteur/Modérateur sur Developpez.com, « la collecte de données est loin d'être un mythe, c'est une réalité. Ainsi, on est tous plus ou moins espionné de façon "passive" par les agences gouvernementales et quelques entreprises. Certes, cela peut ne pas poser problème à certaines personnes. »

Celui-ci estime qu’il est temps d’agir, car si on attend le jour « qu’une agence gouvernementale nous espionnera de façon "active" en nous ciblant précisément ou qu'on a une information/donnée qu'on veut "garder pour soi", il sera alors bien trop tard ».

Propos sur lesquels rebondit Sevyc64, modérateur sur nos forums, qui estime que de toute façon, il est déjà trop tard. Sevyc64 peint un tableau plus sombre : « et même si on arrive (les gouvernements ou autres) à mettre en place des barrières pour protéger notre vie privée (chose à laquelle je ne crois absolument pas, puisque les personnes qui décideraient cela sont celles qui justement ont tout intérêt à ce que ça ne se fasse pas), il est beaucoup trop tard. Les services comme la NSA et autres ne feront pas machine arrière. Au mieux, ils feront du lobbying pour avoir des backdoor, au pire ils contourneront de manière plus ou moins légale les protections, mais non, ils ne reviendront pas en arrière. »

« Quant à l’espionnage des réseaux, on n’a pas eu besoin de Snowden pour savoir que ça existe, ça fait plus de 20 ans qu'on le sait. », ajoute Sevyc64. « Mais Snowden a eu le mérite de nous réveiller. Mais jusqu'à quand ? », se questionne celui-ci, qui trouve que bon nombre d’internautes sont préoccupés par la protection de leur vie privée en ligne, mais cela ne les empêche pas de publier à tort et à travers des informations en ligne sur Facebook, Gmail, Twitter, etc.

Au final, Gangsoleil, Neckara et Sevyc64 s’alignent avec l’analyse de Costin Raiu. « Autant partir du principe qu'on est espionné par des agences gouvernementales, même si actuellement, ils ne nous ciblent pas particulièrement. Ainsi, on sera préparé lorsque ce sera le cas. Le jour où les agences gouvernementales étendront encore plus leur moyen d'espionnage ou cibleront plus de personnes, elles ne préviendront sûrement pas. », conclut Neckara, qui conseille au grand public d’utiliser « plus des services décentralisés pour freiner la collecte de données. Mais le plus important serait surtout de s'informer, c'est peut-être la meilleure arme contre l'espionnage de masse. »

Source : ThreatPost

Et vous ?

Qu’en pensez-vous ?

Quels sont les gouvernements auxquels fait allusion Costin Raiu ?

[Paul TOTH]

Ceci étant dit, la déclaration de Raiu prend tout son sens, de plus si les internautes sont suffisamment mis en garde contre une éventuelle surveillance, ils auront tendance à prêter plus d’attention à leur utilisation d’Internet, un peu à l’image d’un enfant convaincu qu’il est constamment surveillé par sa mère, ce qui le conduira naturellement à faire plus attentions à ses faits et gestes.

je ne vois aucun point commun entre l'autorité parentale et l'espionnage gouvernemental

[Traroth2]

"est-ce que c'est applicable au grand public ?"

Il faut comprendre une chose : le grand-public n'est pas capable de se protéger contre la surveillance dont il est victime. Et donc, la surveillance va avoir sur lui un effet très différent que sur un informaticien. Là où un informaticien va prendre des mesures pour se protéger de la surveillance, le quidam va changer ses habitudes et ses comportements pour ne pas être en faute. C'est à dire qu'il va laisser les gouvernements façonner son comportement. Et si c'était le but recherché ? Demain, on pourra toujours lancer un nouveau Wikileaks, plus personne n'osera aller voir !

[Saverok]

@Traroth2 : +1

Quels sont les gouvernements auxquels fait allusion Costin Raiu ?

A minima, nous sommes surveillés par les USA et le pays de l'internaute.
Le troisième larrons est à mon avis plus du côté du privé : Google et/ou Facebook, par exemples

[azmar]

je ne vois aucun point commun entre l'autorité parentale et l'espionnage gouvernemental

L'article source est plus clair, grosso modo l'enfant qui agit comme si ça mère le regardais ne fera rien condamnable par cette dernière.
Selon les propos de l'auteur, l'utilisateur du web à intérêt à agir comme si il étais surveillé, si il ne veut pas un jour avoir de mauvaises surprises...

"est-ce que c'est applicable au grand public ?"

Il faut comprendre une chose : le grand-public n'est pas capable de se protéger contre la surveillance dont il est victime. Et donc, la surveillance va avoir sur lui un effet très différent que sur un informaticien. Là où un informaticien va prendre des mesures pour se protéger de la surveillance, le quidam va changer ses habitudes et ses comportements pour ne pas être en faute. C'est à dire qu'il va laisser les gouvernements façonner son comportement. Et si c'était le but recherché ? Demain, on pourra toujours lancer un nouveau Wikileaks, plus personne n'osera aller voir !

+1
Selon l'auteur même nous informaticien ne somme pas vraiment en mesure de luter...

Je pense cependant qu'il faille mettre un peu d'eau dans son vin, oui le(s) gouvernement est potentiellement capable de récupérer à peu près tout ce que je fait sur un pc/téléphone.
Et je n'en est jamais vraiment douté d’ailleurs.

De la à dire que MES activités sont entièrement monitorées par plusieurs états ...

Ce que je n'avancerai peut être pas si j'étais un grand patron ou un homme (opposant?) politique :s

Azmar

[LSMetag]

Bon et bien entièrement d'accord avec l'article. J'ai peu à rajouter.

Je me contente d'agir d'une part en me "protégeant" mais juste par principe. Juste pour dire à ces puissants qui se croient au dessus des lois (ou sont trop feignants), "Si vous ne me cherchez pas, vous ne ne me trouverez pas. Si vous voulez me trouver, faites bosser vos "experts" pendant quelques semaines/mois, qu'ils méritent leurs salaires."

D'autre part, je développe en ayant cette idée en tête. Ne rien connaître de mes utilisateurs, en cryptant les données en amont, sauf l'adresse mail (ils sont libres de choisir des fournisseurs sécurisés ou pas). Je fais en sorte d'éviter de dépendre d'éléments externes (comme charger des librairies depuis le web). De cette manière, si un jour on me demande de fournir telle donnée d'un utilisateur (ou leur donner un accès), je pourrai dire "je ne peux pas". Après si j'ai besoin de me financer autrement que par la commercialisation ou des abonnements (ce que j'espère éviter), je n'aurai pas le choix que de mettre en place des pubs et des trackers.

Encore une fois, ce n'est que du principe pour ennuyer ces puissants qui à mes yeux utilisent la facilité au lieu de bosser et respecter les lois...

[Paul TOTH]

L'article source est plus clair, grosso modo l'enfant qui agit comme si ça mère le regardais ne fera rien condamnable par cette dernière.
Selon les propos de l'auteur, l'utilisateur du web à intérêt à agir comme si il étais surveillé, si il ne veut pas un jour avoir de mauvaises surprises...

oui j'avais bien compris l'idée, mais il n'y a pas lieu de comparer l'autorité parentale qui a un devoir d'éducation de ses enfants avec des gouvernements qui mettent en place des systèmes d'écoute en marge de tout contrôle démocratique, et ce a plus forte raison quand il est question d'un gouvernement étranger.

La privation de nos libertés fondamentales n'a rien à voir avec piquer des bonbons quand ta mère à le dos tourné !

[Traroth2]

Après avoir lu l'article, je dois bien dire que je ne suis pas d'accord. La NSA est capable de décrypter n'importe quelle algorithme de cryptage ? Peut-être (même si on peut en douter). A-t-elle les moyens de décrypter systématiquement toutes les communications cryptées et d'extraire le sens de toutes les communications ? Clairement, non. Leur capacité d'interception et de stockage dépasse de plusieurs ordres de grandeur leur capacité de traitement. Dans son livre de 1999, "Guerre dans le cyberespace", Jean Guisnel fait le postulat que la NSA est capable de traiter un dixième des communications qu'elle intercepte. Depuis, les capacités de traitement se sont considérables accrues, certes, mais les communications, elles, ont littéralement explosées ! Il disait aussi que la NSA interceptait la moitié des communications de la planète, et on doit maintenant dangereusement approcher les 100%. Bref, ils doivent à peu près avoir abandonné l'idée de faire sens de tous les "kikoolol" qui circulent sur le net...

L'espionnage systématique révélé par Edward Snowden repose entièrement sur cette logique : on ne traite que l'information intéressante, mais on stocke tout. Et si on s'aperçoit que dans ce qu'on a stocké, il y a quelque chose d'intéressant, on le traite. Ce qui veut dire que si demain, la NSA s'intéresse à vous, ils pourront ressortir toutes vos communications électroniques, y compris celles qui sont cryptées et qu'ils n'ont jamais pris la peine de décrypter, et là, ils les décrypteront.

La conséquence, c'est que la NSA ne peut travailler qu'avec ce qui a préalablement été stocké. Je pense que ça donne beaucoup de force à des systèmes comme Tor : Si la NSA veut savoir qui fait transiter des données par Tor, il va falloir qu'ils sacrifient de la capacité de traitement juste pour pouvoir déterminer qui est qui. Parce que s'ils ne le font pas au moment de la communication, ça sera trop tard ensuite.

En d'autres termes, Tor ou des systèmes similaires peuvent vraiment aider à se soustraire à la surveillance de la NSA, à mon avis.

De plus, pour dire un mot sur le cryptage : l'article cité dans l'article prouve exactement l'inverse de ce qu'on pense : la faiblesse de Dual EC DRBG a été identifiée très précocement, en réalité. La conséquence, c'est sans doute une faillite bien méritée pour RSA à court terme, une entreprise vivant de la vente de cryptographie ne pouvant pas survivre à une telle perte de confiance, à mon humble avis. Mais ça ne signifie en aucune manière que toutes les technologies de cryptage sont compromises.

[DonQuiche]

A minima, nous sommes surveillés par les USA et le pays de l'internaute.

Bien sûr que non.

Tous les pays sont loin d'avoir les gigantesques moyens nécessaires à la traque systématique de tous leurs citoyens, sans parler même de la volonté de le faire. Les U.S.A. traquent tout le monde, cela ne fait aucun doute. Concernant les autres pays il faut jauger au cas par cas mais aucun d'entre eux ne peut seulement s'approcher de ce que font les U.S.A. Les budgets et la main d'oeuvre ne sont pas là, imaginez seulement ce que signifie mettre en place un système siphonnant tous les paquets de données du pays et les analysant tous, sachant reconnaître tous les protocoles, se livrant à des analyses sémantiques, etc. Ce n'est pas avec dix ingénieurs que vous allez faire ça.


Je ne vois dans ce discours ambiant que le résultat de la communication de la NSA.

[Zefling]

@Traroth2 : +1


A minima, nous sommes surveillés par les USA et le pays de l'internaute.
Le troisième larrons est à mon avis plus du côté du privé : Google et/ou Facebook, par exemples

Paro, j'aurais mis :
- USA
- Gouvernement
- FAI
Après c'est facile d'imaginer que plus il y a de d'intermédiaire, plus il y a d'espions possibles. Google / Facebook c'est de espionnage plus ou moins voulu, pour ceux qui les qui l'utilisent.

Mais bon, quand on parle à quelqu'un qui a peu de connaissance en informatique, utiliser l'ordinateur c'est déjà horriblement compliqué, alors aller plus loin c'est comme demander là Lune.

[bouye]

Moi je mettrai plutôt :

• USA
• France (qui a son propre système de surveillance du net)
• Un autre état qui fait pareil ? (UK, Russie, Chine, etc.)
• Son propre pays

Et ensuite :

• N'importe quel moteur de recherche, réseau social, système de cloud de fichier/mail/stockage/boulot/calcul distant qui vont essayer de lui fournir des services +/- gratuitement et exploiter ainsi les données qu'il y placera ou ses habitudes de navigation (donc Google, Microsoft, Apple, Facebook, Amazon, etc etc etc.)

Si ce n'est pas les états qui vous surveillent, ça sera les majors ou les startups de l'industrie de toute manière pour en en tirer profit.

[DonQuiche]

France (qui a son propre système de surveillance du net

Non !
Ce n'est pas un système de surveillance de masse mais un système d'écoutes individuelles. Aucun problème avec ça, c'est parfaitement normal et ça n'a absolument rien à voir avec ce que fait la NSA !

La France a peut-être un système de surveillance de masse des communications GSM sur Paris et Marseille. Elle pratique sans doute des écoutes individualisées sur certaines communications en provenance de la Méditerranée. Et depuis la loi de programmation militaire il est désormais légal de faire tout et n'importe quoi, y compris la pire surveillance de masse qui soit, sur simple autorisation du premier ministre. Resterait ensuite à avoir la volonté politique et les les milliards d'euros et les milliers d'ingénieurs pour analyser automatiquement une telle masse informe de données.

Je n'ai absolument aucune confiance dans ce gouvernement, le précédent, ou nos services de renseignements mais il est ahurissant de nous voir comparés à ce que fait la NSA, a fortiori sur un tel forum, alors qu'il est clair que nos services n'ont absolument pas les moyens pour en faire le dixième voire le centième. Imaginez-vous donc devoir concevoir des logiciels d'analyse automatique de l'ensemble du trafic Internet ; sur le seul plan logiciel ce sont les douze travaux d'Hercule, des moyens colossaux sont nécessaires.

[ticNFA]

La France ne joue pas dans la même cours mais peut se targuer de grandes oreilles disséminées un peu partout dans le monde grâce à ces confettis coloniaux. Depuis Echelon, le nom du système n'est pas connu, appelé Frenchelon, grand fierté nationale.
Un des responsables de la DCRI de l'époque (voir le blog Bug brother de Manach) dont le siège est chauffé par les serveurs d'analyse et stockage, disait que le problème était, à l'heure actuel, surtout... électrique.

[Saverok]

Après avoir lu l'article, je dois bien dire que je ne suis pas d'accord. La NSA est capable de décrypter n'importe quelle algorithme de cryptage ? Peut-être (même si on peut en douter). A-t-elle les moyens de décrypter systématiquement toutes les communications cryptées et d'extraire le sens de toutes les communications ? Clairement, non. Leur capacité d'interception et de stockage dépasse de plusieurs ordres de grandeur leur capacité de traitement. Dans son livre de 1999, "Guerre dans le cyberespace", Jean Guisnel fait le postulat que la NSA est capable de traiter un dixième des communications qu'elle intercepte. Depuis, les capacités de traitement se sont considérables accrues, certes, mais les communications, elles, ont littéralement explosées ! Il disait aussi que la NSA interceptait la moitié des communications de la planète, et on doit maintenant dangereusement approcher les 100%. Bref, ils doivent à peu près avoir abandonné l'idée de faire sens de tous les "kikoolol" qui circulent sur le net...

L'espionnage systématique révélé par Edward Snowden repose entièrement sur cette logique : on ne traite que l'information intéressante, mais on stocke tout. Et si on s'aperçoit que dans ce qu'on a stocké, il y a quelque chose d'intéressant, on le traite. Ce qui veut dire que si demain, la NSA s'intéresse à vous, ils pourront ressortir toutes vos communications électroniques, y compris celles qui sont cryptées et qu'ils n'ont jamais pris la peine de décrypter, et là, ils les décrypteront.

Je suis d'accord sur l'analyse.
Par contre, si on suit ce raisonnement, les tentatives pour se soustraire de la surveillance n'attirent elles pas l'attention ?
Un peu comme le mouton qui s'écarte du troupeau.
Tant que tu es perdu dans la masse, tu ne te distingues pas des autres.
si tu tentes de t'échapper, tu attires l'attention sur toi.

[DonQuiche]

Je suis d'accord sur l'analyse.
Par contre, si on suit ce raisonnement, les tentatives pour se soustraire de la surveillance n'attirent elles pas l'attention ?
Un peu comme le mouton qui s'écarte du troupeau.
Tant que tu es perdu dans la masse, tu ne te distingues pas des autres.
si tu tentes de t'échapper, tu attires l'attention sur toi.

Comme toujours avec les tyrannies : les foudres du pouvoir ne s'abattent pas sur celui qui se soumet. De là à en conclure qu'il faut se soumettre, c'est une autre histoire.

[Saverok]

Je ne fais pas l'apologie de la soumission.
j'analyse les avantages et inconvénients de chaque proposition.
Et je dois avouer que je n'ai pas de solution miracle.

[Traroth2]

Je suis d'accord sur l'analyse.
Par contre, si on suit ce raisonnement, les tentatives pour se soustraire de la surveillance n'attirent elles pas l'attention ?
Un peu comme le mouton qui s'écarte du troupeau.
Tant que tu es perdu dans la masse, tu ne te distingues pas des autres.
si tu tentes de t'échapper, tu attires l'attention sur toi.

Tout à fait exact. Dans la même logique, crypter seulement les plans de la bombe atomique qu'on construit dans sa cave est idiot, il faut aussi crypter sa liste de courses.

C'est pour ça que pousser les gens à se protéger améliore aussi ma propre sécurité, car ça me noie dans la masse et en plus, ça sature les capacités de traitement des "services".

[LSMetag]

Tout à fait exact. Dans la même logique, crypter seulement les plans de la bombe atomique qu'on construit dans sa cave est idiot, il faut aussi crypter sa liste de courses.

C'est pour ça que pousser les gens à se protéger améliore aussi ma propre sécurité, car ça me noie dans la masse et en plus, ça sature les capacités de traitement des "services".

Après tout est une question d'accepter ou non de se noyer dans la masse d'un troupeau de moutons. Ceux qui s'écartent du troupeau sont souvent plus en danger par rapport aux prédateurs, mais ils ont aussi moins de chances de se faire tondre par leurs éleveurs. Et si un loup finit par attaquer le troupeau, ils auront alors plus de chances de survie.

Elle marche bien cette métaphore ^^

[ticNFA]

Les révélations de Snowden étaient nécessaires et, encore une fois, très courageuses. Mais l'un des effets est la question de Saverok et la réponse qu'y apportent tout un tas de gens qui en concluent du genre "vivons heureux, vivons cachés (dans la masse)" ou "les gens irréprochables n'ont rien à cacher" pour se rassurer. Ce climat peut finalement rendre service aux Etats, mais comme dit plus haut, une masse de gens, même loin d'être une majorité, contribuant aux projets libres et au cryptage (PGP, Tor, etc.) peut facilement déborder les moyens des voyeurs voyous.

[DonQuiche]

Ce climat peut finalement rendre service aux Etats, mais comme dit plus haut, une masse de gens, même loin d'être une majorité, contribuant aux projets libres et au cryptage (PGP, Tor, etc.) peut facilement déborder les moyens des voyeurs voyous.

Je ne suis malheureusement pas d'accord, il est extrêmement difficile de se protéger ou de déborder leurs moyens, quand bien même nous serions des centaines de millions à le faire.

Par déborder on entend souvent https. Alors https, trop lourd pour le gouvernement US ? Non, l'extrême majorité des sites webs utilisent RSA au niveau de la SSL, un chiffrement faiblard produit par un éditeur dont la moitié du chiffre d'affaires vient de subventions du gvt U.S. pour vulnérabiliser leur algorithme ! De nos jours c'est un jeu d'enfant à cracker et les quelques sites robustes ont de toute façon été infiltrés. Dans la très grande majorité la NSA se moque totalement du "s" derrière le http.

Alors quoi, un VPN ? Les quelques uns dont les logs ne sont pas ouverts à la NSA ont vraisemblablement fait l'objet de tentatives de vulnérabilisation. Tor ? Encore faut-il avoir un client fidèle et pas une version trafiquée par la NSA, pensez à vérifier le code source ligne par ligne. Et puis de toute façon, qui veut passer sa vie derrière une latence de 500ms et un débit de 56k ?!

Aujourd'hui conserver l'anonymat ou le secret de nos activités même les plus banales (c'est là l'enjeu) réclame un effort permanent et le sacrifice de tout confort et plaisir d'utilisation du web, sans aucune garantie de succès. C'est que les types en face de nous sont experts dans ce domaine particulier, ils sont des dizaines de milliers à travailler 60h par semaine contre nous et ils ont des budgets en dizaines de milliards de dollars avec des infrastructures de folie et en prime des machins aussi délirants que du calcul quantique et des stockages de l'ordre du yottaoctet (sans rire). Autant dire qu'il est illusoire de penser s'en sortir aussi simplement qu'avec trois bouts de ficelle.

Je ne vois que trois portes de sortie :
* Niveau logiciel, le mieux qu'on puisse faire c'est d'installer des sonnettes d'alarmes dans les navigateurs. Que tout site qui n'est pas en https avec OpenPGP (plus de 99% des sites) soit présenté comme "sur écoute" à l'utilisateur. Idem pour les mails avec promotion d'un nouveau standard en remplacement. Mais jamais Mozilla, Google ou Microsoft ne feront tout ça : la moitié des américains veulent préserver cette surveillance.
* Une porte politique. Il faudrait convaincre les deux tiers de l'électorat pour qu'enfin nos dirigeants se décident à faire un ou deux gestes timides. A partir des quatre cinquièmes de l’électorat on pourrait commencer à espérer de vrais changements. Autant dire que j'y crois à mort.
* Boycott de tous les produits américains. A part de 10% d'exportations en moins on peut espérer une réaction. Pas forcément celle espérée mais qui sait...

EDIT: allez, une note d'espoir, avec l'explosion des débits et la réduction de la latence des réseaux du type Freenet/Tor deviendront envisageables pour un usage au quotidien. D'ici quelques années pour les plus chanceux avec une topologie optimisée, quelques décennies dans les autres cas.