Discussion :

[Amine Horseman]

Plusieurs experts et politiciens piégés en utilisant un réseau WiFi public
Créé pour faire comprendre à ceux-ci les dangers de la surveillance de masse

Comment faire comprendre aux politiciens les dangers de la surveillance numérique de masse et l’importance de la sécurité des informations ? Gustav Nipe et Elin Andersson, deux jeunes membres du « Pirate Party’s youth wing » en suède, ont essayé de le faire en mettant en analysant les données d’un réseau WiFi public, non sécurisé.

Durant une conférence sur la sécurité, les deux activistes ont ouvert un point d'accès WiFi public nommé « Open Guest ». Tout au long de la conférence, une centaine de personnes présentes, dont des politiciens connus, des journalistes et des experts en cybersécurité avaient utilisé ce WiFi pour se connecter à internet ignorant qu'en réalité, toutes leurs activités avaient été enregistrées à travers ce WiFi non sécurisé.

En analysant les métadonnées et les données réseau, les deux activistes étaient en mesure de savoir quels sites avaient été visités par les participants piégés. « C'est très embarrassant parce que les données que nous avons recueillies ont montré que certaines personnes s'étaient connectées à Skype, eBay et Blocket, ou faisaient des recherches concernant les vacances et les endroits où ils pourraient aller en randonnée », a déclaré l'un des deux initiateurs de l’étude. « Et c'était durant la journée pendant qu'ils étaient payés pour assister à la conférence et travailler, je suppose ».

Mais, ce qui les inquiétait le plus, c'est qu'à plusieurs reprises, ils avaient constaté des connexions aux serveurs de messagerie des agences gouvernementales. « L'utilisation d'un réseau ouvert, en clair, pour lire la correspondance gouvernementale n'est pas une bonne pratique [...] Avec des réseaux non sécurisés comme ceux-ci, vous pouvez finir par avoir un accès à des serveurs sécurisés parce que les gens utilisent souvent les mêmes mots de passe pour différents sites. Donc, nous aurions pu accéder aux serveurs du gouvernement ou utiliser d'autres informations pour traquer ceux-ci dans leur vie quotidienne ».

Nipe et Andersson ont confirmé qu'ils ne garderaient aucune donnée et que toutes les informations collectées seront supprimées malgré que plusieurs personnes s'étaient indignées et qualifié cette étude d’illégale. « Je suis convaincu que nous sommes du bon côté de la loi », avait rétorqué Gustav Nipe à ces accusations. « Si quelque chose était illégal, ce serait le fait que ces personnes aient utilisé notre réseau sans autorisation et aussi que des membres de haut rang travaillant dans la sécurité se connectent à leurs e-mails à l'aide de réseaux non chiffrés et non protégés ».

Source : Falkvinge.net

Et vous ?

Avez-vous l'habitude d'envoyer des données sensibles en utilisant des WiFi publics ?

Que pensez-vous du moyen utilisé par ceux-ci pour faire prendre conscience des dangers de la surveillance de masse ?

Pensez-vous que l'étude effectuée par les deux activistes était illégale ?

[JayGr]

[B][SIZE=4]
Avez-vous l'habitude d'envoyer des données sensibles en utilisant des Wifi publics ?
Pensez-vous que l'étude effectuée par les deux activiste était illégale ?

Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?
Je trouve les commentaires de cette étude un peu idiot :

« et c'était durant la journée pendant qu'ils étaient payés pour assister à la conférence et travailler, je suppose ».

Qu'est ce que ça peut leur faire ?

Concernant la connexion aux serveurs du/des gouvernements, la question est plutôt :
Pourquoi les agences gouvernementales autorise des utilisateurs non sensibilisé à se connecter via une réseau Wifi public ?
Finalement la problématique est un petit peu la même que dans un sujet apparu hier ou avant-hier sur la sensibilisation...

Et pour ta deuxième question, oui ils étaient dans l'illégalité. A partir du moment où on espionne les gens je considère qu'on sort du cadre légal... Non ?

Point positif : Ça partait d'une bonne intention et de l'envie de sensibiliser !! Il y a de l'écho avec ça d'ailleurs...

@+

[sebbod]

->Avez-vous l'habitude d'envoyer des données sensibles en utilisant des WiFi publics ?
Personnellement je n'ai encore jamais utilisé le WiFi de ma vie.

->Que pensez-vous du moyen utilisé par ceux-ci pour faire prendre conscience des dangers de la surveillance de masse ?
C'est très bien, il faudrait le faire plus souvent surtout pour des gens qui sont sensé protéger leur pays

->Pensez-vous que l'étude effectuée par les deux activistes était illégale ?
Je trouve ça normal qu'on est le droit de regarder ce qui ce passe sur son propre réseau WiFi ce n'est pas illégale pour moi. La NSA surveille bien le réseau mondial, ils n'ont pas d'amendes, ne sont pas jeté en prison pour autant

[Invité]

Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?

Ces données sont privées même si elles semblent sans importance.
Si on avait proposé à ces gens de cocher une petite case autorisant un tiers à lire ces données, ils n'auraient vraisemblablement pas coché.

Concernant la connexion aux serveurs du/des gouvernements, la question est plutôt :
Pourquoi les agences gouvernementales autorise des utilisateurs non sensibilisé à se connecter via une réseau Wifi public ?
Finalement la problématique est un petit peu la même que dans un sujet apparu hier ou avant-hier sur la sensibilisation...

Je suis d'accord avec toi là dessus.

Et pour ta deuxième question, oui ils étaient dans l'illégalité. A partir du moment où on espionne les gens je considère qu'on sort du cadre légal... Non ?

Il n'y a pas eu d'intrusion dans les machines se connectant à leur réseau ouvert.
La lecture des communications a été possible car elles n'étaient pas chiffrées.
D'ailleurs, si elles ne sont pas chiffrées là, elles ne le sont pas après non plus, ce qui signifie que chaque intermédiaire a dû pouvoir intercepter ces mêmes données.

C'est sans doute illégal (déjà parce que la collecte des données s'est faite sans le consentement des personnes concernées) mais il n'y a pas à priori pas eu d'utilisation frauduleuse des données.
Ça devrait en tout cas inciter les agences concernées à travailler dans ce sens, puisque des professionnels bien formés à l'utilisation de leurs outils ne ce seraient pas fait avoir comme ça.

[JayGr]

Ces données sont privées même si elles semblent sans importance.
Si on avait proposé à ces gens de cocher une petite case autorisant un tiers à lire ces données, ils n'auraient vraisemblablement pas coché.

Ce qui me choque c'est qu'on utilise le terme "informations confidentielles"... Ne mélangeons pas tout. Confidentiel c'est différent de privé....

@+

[benjani13]

Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?

Par ce qu'il n'y a que ça qui circule sur le wifi? L'exemple est le plus simple qu'on puisse récupérer. Le risque est ensuite de pouvoir intercepter des mails, des mots de passes, des fichiers, etc. Voir de l'attaque active visant à fouiller/infecter le PC.

[JayGr]

Par ce qu'il n'y a que ça qui circule sur le wifi? L'exemple est le plus simple qu'on puisse récupérer. Le risque est ensuite de pouvoir intercepter des mails, des mots de passes, des fichiers, etc. Voir de l'attaque active visant à fouiller/infecter le PC.

Je n'ai pas dis ça .
Je dis juste que c'est idiot de se servir de ça pour les tacler sur le fait qu'ils soient là pour bosser...

Je suis d'accord avec toi sur le fait que l'on puisse récupérer pleeeeeins d'infos par Wifi. D'où la seconde question que j'ai soulevé.

@+

[Saverok]

Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?

Avec cette info, tu sais quand, où, pendant combien de temps et avec qui la personne part en vacances
Tu as donc tout le loisir de planifier un attentat ou encore un cambriolage

Ou encore, tu apprends que la personne planifie ses vacances mais sans sa femme mais avec une autre...
Et là, tu as tout ce qu'il faut pour faire du chantage bien comme il faut (ou pas )

Bref, tout ce qui touche à la vie est confidentiel par nature
Il est primordial que chaque individu ait la maîtrise de ses propres informations et qu'il décide, en son âme et conscience, de les communiquer ou non et surtout à qui et pourquoi

[JayGr]

Avec cette info, tu sais quand, où, pendant combien de temps et avec qui la personne part en vacances
Tu as donc tout le loisir de planifier un attentat ou encore un cambriolage

Ou encore, tu apprends que la personne planifie ses vacances mais sans sa femme mais avec une autre...
Et là, tu as tout ce qu'il faut pour faire du chantage bien comme il faut (ou pas )

Bref, tout ce qui touche à la vie est confidentiel par nature
Il est primordial que chaque individu ait la maîtrise de ses propres informations et qu'il décide, en son âme et conscience, de les communiquer ou non et surtout à qui et pourquoi

. Là je veux bien . Mais on est sur des données privées et pas confidentielles. C'est deux niveaux distincts pour moi...
Confidentiel = Secret, que personne ne doit connaître.
Privée = Intime.

Parce que à ce moment là n'en parler pas avec votre boulanger.. Il risquerait de revendre l'info .

Pour moi l'utilisation du terme confidentiel n'est pas approprié.

@+

[Saverok]

. Là je veux bien . Mais on est sur des données privées et pas confidentielles. C'est deux niveaux distincts pour moi...
Confidentiel = Secret, que personne ne doit connaître.
Privée = Intime.

Parce que à ce moment là n'en parler pas avec votre boulanger.. Il risquerait de revendre l'info .

Pour moi l'utilisation du terme confidentiel n'est pas approprié.

@+

Ben si, je le trouve parfaitement approprié
Ma vie privée est confidentielle par défaut et je suis le seul autorisé à lever cette confidentialité partiellement à qui, quand, pourquoi et dans quel contexte.

[JayGr]

Ben si, je le trouve parfaitement approprié
Ma vie privée est confidentielle par défaut et je suis le seul autorisé à lever cette confidentialité partiellement à qui, quand, pourquoi et dans quel contexte.

Nous ne sommes pas du même avis .
Mais je pense que cela vient de mon utilisation quotidienne de ce terme, en tout cas pas la peine de s'écarter du sujet.

Bon article tout de même qui permet de montrer une fois de plus que la communication sur la sécurité n'est pas suffisante en entreprise !

@+

[Namica]

J'aime bien regarder les sources d'une info.
Dans celle-ci, on trouve bien plus d'ironie que la relation de cette news n'en fait part:

from: http://falkvinge.net/2015/01/14/hila...ty-conference/
The yearly security conference of Folk och Försvar (“People and Defense”) in the ski resort of Sälen is considered Sweden’s top security conference, with all relevant ministers of the cabinet present, all surveillance representatives present, and generally everybody present who would argue in public that surveillance of other people than themselves is the best idea since sliced bread.

En somme, le public piégé prône pour plus de surveillance sur Internet, mais crie au scandale si lui-même est concerné.
Je crois qu'en la matière, le principe de Peter est à nouveau démontré (https://fr.wikipedia.org/wiki/Principe_de_Peter ), quelque soit le pays ou l'organisation où cela ce passe.

(traduction google :
La conférence de sécurité annuelle de Folk och Forsvar («Les gens et de la défense") dans la station de ski de Sälen est considérée comme supérieure sécurité conférence de la Suède, avec tous les ministres concernés du cabinet actuel, tous les représentants de surveillance présente, et généralement toutes les personnes présentes qui plaident en publique que la surveillance d'autres personnes qu'eux-mêmes est la meilleure idée depuis le pain tranché.)

[TiranusKBX]

De toutes façons ci l'on veut passer sur un wifi ouvert il vaut mieux toujours avoir sa connexion VPN
il y a rien de mieux (tant que la NSA n'essaye pas de prendre ta connexion en filature) pour passer les limitations et espionnage de ces réseux

[puke502]

Ben si, je le trouve parfaitement approprié
Ma vie privée est confidentielle par défaut et je suis le seul autorisé à lever cette confidentialité partiellement à qui, quand, pourquoi et dans quel contexte.

pour moi confidentiel c'est lié au boulot et c'est l'employé qui en est responsable
privée = intime

c'est complètement débile d'aller sur un site ou il faut s'identifié sur un wifi ouvert lol

c'est comme si je me baladais sans slip dans la rue et qu'une meuf me reluque le kiki et que je lui sort "tu as violer ma vie privée mon kiki est confidentiel.."

si c'est privée et confidentiel a toi de le protéger..

[Saverok]

c'est complètement débile d'aller sur un site ou il faut s'identifié sur un wifi ouvert lol

Ce qui est logique et évident pour toi (qui est formé aux métiers et usages de l'informatique) ne l'est pas pour tout le monde
Il y a de fortes chances qu'un jour, si ce n'est pas déjà arrivé, que tu sois amené à poser des questions pour des précisions sur une spec. Comment réagirais-tu sur le spécialiste métier que tu as en face de toi commence à se foutre de ta gueule pour ton ignorance de choses évidentes pour lui ?

L'expérience du topic met en évidence le manque de formation en sécurité informatique de la population (dans le cas présent : des politiques et des journalistes).

c'est comme si je me baladais sans slip dans la rue et qu'une meuf me reluque le kiki et que je lui sort "tu as violer ma vie privée mon kiki est confidentiel.."

si c'est privée et confidentiel a toi de le protéger..

Je suis d'accord avec toi qu'il y a une différence entre s’exhiber et conserver sa vie privée.
Les gens qui expose leur vie privée sur Facebook le font consciemment.
Par contre, quand la plupart des gens utilisent Google, savent ils que tout est pisté ?
Quel niveau de protection estimes-tu nécessaire ?

Pour reprendre ton exemple : "tu te balades dans la rue et tu vas chez un médecin spécialiste genre urologue ou proctologue et là, quelqu'un te vois et diffuse cette info sur les réseaux sociaux"
De ton point de vu, est-ce une violation de ta vie privé ? ou est-ce de ta faute car tu aurais dû te déguiser et vérifier tout autour de toi que tu ne croises personnes qui te connaisse ?

[Laurent 1973]

Sur cette histoire, je ferais une petite analogie avec une communication téléphonique que l'on ferait chez quelqu'un.

Vous entrez chez un inconnu avec un panneau:"téléphone en libre service" et vous passez quelque coût de téléphone.

Vu que c'est dans un lieu quelconque très ouvert (lieu en libre service) cela vous parait logique que vous n'aller pas parler à haute voix à votre banquier.
Des personnes peuvent vous entendre, vous écouter, le téléphone va enregistrer la liste des numéros que vous avec composés, ....
Enfin, il est évident que l'inconnu qui vous prête son téléphone peux "connaître" toute votre communication.
Bien sur, si vous appelez l'horloge parlante, la communication deviens sans intérêt ... a moins que l'inconnu a un beau-frère horloger et qu'il vous refile sa carte pour vous acheter une montre. (publicité non souhaité)

Si vous voulez consulter votre banque par téléphone, vous aurez plus confiance de le faire chez un ami que vous connaissez bien et en vous isolant dans une pièce.
Et si vous voulez vraiment que votre conversation soit très discrète, vous allez parler avec votre banquier en Serbo-Croate ou en Patchoune (langue que vous seuls connaissez) pour éviter d'être écouter.

Maintenant, revenons sur notre problème de WIFI

Un réseau wifi non sécurisé inconnu, c'est comme passé nos appels de téléphone chez un inconnu: on ne sais pas ce qu'il entend (voir écoute) de notre conversation.
Utiliser un réseau wifi sécurisé connu nous permet un niveau de confiance relatif à ce que l'on sait de ce réseau: il peut toujours nous entendre, mais on sait qu'il ne le fait pas, ou pas trop ... enfin on a confiance.

Dans une entreprise, on a souvent la possibilité de se connecter au réseau. Actuellement, c'est ce que je fais.
Je sais que mon employeur peut savoir que je poste des articles sur "developper.com": pas de souci pour moi, ça reste quand même dans un cadre professionnel de veille technologique.
Par contre, que mon employeur peut savoir que je consulte mes courriels personnels ou des réseaux sociaux peut être plus problématique.

=> Tout est un niveau de confiance du "fournisseur internet" du moment par rapport à l'utilisation que je fais de son réseau.

Et si je veux quand même envoyé un courriel très très important à quelqu'un depuis un réseau à faible confiance, je vais me protéger en utilisant déjà un envoie en SSL par exemple.
Et pourquoi pas en cryptant mon message dont seul mon correspondant possède la clef de décryptage.

En dehors de la réflexion légal (avaient ils le droit "d'écouter" les gens sur le wifi), l’expérience de Gustav Nipe et de Elin Andersson est intéressante parce qu'elle démontre que même des "experts" en sécurité informatique ont une utilisation beaucoup trop confiante du numérique. Ils font sur internet ce qu'ils ne feraient sûrement pas avec des communications humaines directes.

Ça m'interroge aussi sur l'utilisation que je fait d'internet... mais je ne me prétend pas un expert en sécurité informatique.

[JayGr]

L'expérience du topic met en évidence le manque de formation en sécurité informatique de la population (dans le cas présent : des politiques et des journalistes).

"Tout au long de la conférence, une centaine de personnes présentes, dont des politiciens connus, des journalistes et des experts en cybersécurité avaient utilisé ce WiFi pour se connecter à internet ignorant qu'en réalité, toutes leurs activités avaient été enregistrées à travers ce WiFi non sécurisé."

Je suis d'accord mais ce qui fait peur c'est que des experts se plantent aussi...

[gangsoleil]

Et pour ta deuxième question, oui ils étaient dans l'illégalité. A partir du moment où on espionne les gens je considère qu'on sort du cadre légal... Non ?

JE créé un réseau, qui se trouve être non-sécurisé, et si je regarde ce que TU fais sur MON réseau c'est moi qui t'espionne ? C'est un peu le monde à l'envers non ? Et ne viens pas me dire que leurs machines se sont connectées "par hasard" sur ce réseau ouvert...

[JayGr]

JE créé un réseau, qui se trouve être non-sécurisé, et si je regarde ce que TU fais sur MON réseau c'est moi qui t'espionne ? C'est un peu le monde à l'envers non ? Et ne viens pas me dire que leurs machines se sont connectées "par hasard" sur ce réseau ouvert...

Je n'oserais pas .
Pour être tout à fait honnête j'ai commencé à fouiller concernant la législation en vigueur sur un hotspot Wifi. Et il existe des règles mais qui, une fois de plus pour notre domaine, sont floues.

Considérons ce qu'il est, tu me parles de ton hotspot chez toi. Tu créé donc hotspot Wifi dit "public" (comme sur le salon).
L'utilisateur n'est en aucun cas dans l'illégalité si tu n'as mis en place aucune protection sur ton réseau. Ton opérateur (Orange, Bouygues...) te fournis un équipement avec un mot de passe par défaut. C'est donc ton choix si tu as un hotspot Wifi ouvert.

La loi exige que tu conserves les traces de tous les utilisateurs puisque tu vas partager une connexion internet et que par conséquent tu es opérateur wifi.
De plus, en cas de pépin, si tu veux pouvoir justifier que ce n'est pas toi mais l'utilisateur B qui a utilisé ta connexion, il vaut mieux conserver des logs.

On se retrouve dans un cas où tu as sous ta responsabilité des logs.
Maintenant la question est : Est-ce que tu peux légalement consulter les logs et t'en servir ?
Les consulter, je ne sais pas. C'est chez toi et je te l'accorde tu peux quand même regarder ce que font les gens chez toi, mais on est sur des données privés de navigation, et tu offres un service comme Orange offre un service.
T'en servir, c'est là que je pense que non et toi oui...
Je pense qu'on se retrouve un peu dans le cas d'une entreprise qui voit qu'un employé télécharge illégalement. Elle doit passer par la justice pour virer.
Dans notre cas, tu aurais donc le droit de voir mais pas de te servir des infos.

D'un autre côté, tu as lu, tu sais, tu peux utiliser les infos...

Du coup je ne sais pas. Je suis le c*l entre deux chaises .
Ça me permet donc de demander si quelqu'un sait si une loi définit les droits concernant les logs des hotspots Wifi ?
Je suis d'accord que tout le monde peut savoir ce que tu fais. Mais la question est : est-ce bien légal ?

@+