Discussion :

[Stéphane le calme]

Un nouveau projet de loi allemand obligerait les FAI à autoriser les services secrets
à installer des chevaux de Troie sur les appareils des utilisateurs

Un nouveau projet de loi proposé en Allemagne verrait les agences fédérales de renseignement d'État du pays se voir accorder le pouvoir d'espionner les citoyens allemands grâce à l'utilisation de chevaux de Troie. La nouvelle loi obligerait les fournisseurs de services Internet (FAI) à installer du matériel gouvernemental dans leurs centres de données dans l’optique de rediriger les données vers les forces de l'ordre, puis vers leur destination prévue, de sorte que la cible ignore parfaitement que ses communications et même les mises à jour logicielles sont passées par les forces de l’ordre.

Netzpolitik explique que :

« Les criminels utilisent souvent le phishing pour installer des logiciels malveillants. La police installe souvent des chevaux de Troie d'État via un accès physique à l'appareil cible. À l'avenir, les services secrets veulent lancer leur cheval de Troie sur la personne cible en passant directement par le fournisseur. Avec un site Web, une application ou une mise à jour, le cheval de Troie peut également être téléchargé sur l'appareil.

« À cette fin, le gouvernement fédéral souhaite obliger les fournisseurs de télécommunications à rediriger les flux de données vers les services secrets. C'est dans le projet de loi sur l'harmonisation du droit de protection constitutionnelle. Plus précisément, les prestataires doivent permettre l'installation du cheval de Troie de l'État "en accompagnant le détournement des télécommunications...".

« Les fournisseurs de services ne devraient pas seulement exporter une copie des données, ce qui serait une surveillance normale des télécommunications. Au lieu de cela, "les données redirigées devraient rester destinées à être transmises au destinataire après l'exécution de la mesure". Le trafic de données doit être acheminé via un proxy des services secrets ».

Infection par un cheval de Troie d'état dans le réseau d'un fournisseur Internet.

L'Allemagne voudrait donc être l'homme du milieu

Ces chevaux de Troie parrainés par l'État vont probablement se servir d’un logiciel appelé FinFly ISP d'une société appelée FinFisher, logiciel qui a déjà été utilisé par les forces de l'ordre allemandes dans le passé. FinFisher prétend être capable d'injecter facilement des chevaux de Troie sur les appareils cibles au niveau du FAI : « FinFly ISP est capable de patcher des fichiers qui sont téléchargés à partir de la destination à la volée ou d'envoyer de fausses mises à jour logicielles pour des logiciels populaires ».

FinFly ISP existe depuis près d'une décennie et une brochure publicitaire de 2011 disponible via WikiLeaks souligne que leur logiciel a déjà été utilisé : « Un service secret a utilisé FinFly ISP dans le réseau du plus important fournisseur national de services Internet. Il suffisait que le système ne connaisse que les informations de connexion de la personne cible sur le réseau du fournisseur pour installer une solution de surveillance à distance sur son ordinateur et le surveiller à partir de là. »

Amnesty International a noté que ce vecteur d'insertion de chevaux de Troie avait déjà été utilisé sur un journaliste marocain par le groupe NSO.

L'Allemagne a une longue histoire d'utilisation de logiciels malveillants par le gouvernement

Le BKA (Office fédéral de la police criminelle d'Allemagne) utilisait auparavant des chevaux de Troie sur des smartphones individuels pour accéder à des communications avant qu'elles ne soient chiffrées. Il est important de se rappeler que tout le chiffrement du monde est inutile si votre appareil est compromis et qu'un texte clair est accessible avant qu'il ne soit chiffré de bout en bout. Il en va de même s'il y a une caméra derrière votre écran qui peut voir ce que vous tapez. Même les changements dans le gyroscope / accéléromètre de votre smartphone peuvent être utilisés pour deviner votre code PIN ou mot de passe. Nous pouvons en déduire que le BKA a connu du succès avec son utilisation de chevaux de Troie et cherche maintenant à installer du matériel dans les centres de données des FAI qui lui permettrait d'envoyer ces chevaux de Troie vers de nouveaux smartphones, ordinateurs et autres appareils lors d'une mise à jour.

Des organismes de défenses des droits veulent attaquer le projet de loi, l’estimant anticonstitutionnel

De nombreux groupes, dont la Society for Freedom Rights, intentent déjà une action contre le gouvernement pour son utilisation de chevaux de Troie et prévoient de lancer une contestation constitutionnelle si cette expansion de l'utilisation des chevaux de Troie par l'État venait à se réaliser. Même les FAI eux-mêmes ne sont pas satisfaits de cette évolution, invoquant une perte de confiance fondamentale. Bitkom, un groupe qui compte les meilleurs FAI allemands comme membres, a déclaré que le projet : « Ne parvient pas à reconnaître les risques énormes pour l'intégrité globale du réseau des fournisseurs et la perte de confiance qui en découle ».

Le projet de loi est déjà le résultat de nombreux va-et-vient au sein du gouvernement et beaucoup s'attendent à ce qu'il soit adopté lors de sa présentation au Bundestag, après la semaine prochaine. Depuis longtemps, l'Allemagne voudrait pouvoir lire les messages chiffrés avec ses logiciels. La plus haute juridiction allemande a récemment conclu que les protections constitutionnelles sur les activités Internet découlant du droit à la vie privée s’étendent également aux non-Allemands; cependant, l'utilisation d'un logiciel de cheval de Troie pour « soutenir le détournement des télécommunications » semble être un pas clair dans la direction opposée, même s'il n'est utilisé qu’après présentation d’un mandat.

Source ; NetzPolitik, Amnesty International, WikiLeaks, les hackers peuvent deviner le code PIN en s’appuyant sur des capteurs, lettre ouverte

Voir aussi :

L'utilisation des logiciels espions (spywares) et de harcèlement (stalkerwares) a augmenté de 51 % pendant le confinement, selon une étude menée par le Threat Labs d'Avast
Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée, selon un nouveau rapport
Xiaomi met à jour ses navigateurs Mi Browser et Mint pour permettre de désactiver la collecte de données en navigation privée, après avoir été accusé d'espionner ses utilisateurs
L'Arabie saoudite soupçonnée de mener une campagne d'espionnage téléphonique aux États-Unis, en exploitant le système SS7 pour localiser les téléphones des Saoudiens pendant leurs séjours aux USA

[scandinave]

J'aimerai bien voir ça avec des systèmes de mise à jour des binaires comme APT vérifiant les sum de chaque fichier. Cela marchera pour madame michu sur window. Cela fera chier le geekos sur linux qui verra ses MAJ rejetées et cela ne servira à rien pour arrêter les méchants criminels qui auront les moyens de détecter un Man In the Middle. Comme d'habitude, on camoufle une surveillance massive de la population sous prétexte de lutte contre les méchants.

Ce qui est proposé là, est encore plus grave que de la simple surveillance, puisque cela peut carrément permettre de modifier le contenu reçu par l'utilisateur final. On peut très bien imaginer de la censure ou de la propagande ciblé pour faire croire ce que l'on veut au gens. Ou encore installer des programmes vérolés donnant accès à l'ensemble des données de l'utilisateur. Je ne sais pas si ils se rendent compte qu'il vont tuer le marché de l'hébergement en Allemagne si cette loi passe. Je vois pas quelles entreprises allemandes et encore moins étrangères accepteraient ce genre d'infrastructure.

[Mubelotix]

Ils me font bien rire. On ne modifie pas une connexion chiffrée comme on veut. On n'est plus en l'an 2000. Le pire (et le seul truc efficace) qu'ils pourraient faire c'est obliger les constructeurs à installer leurs logiciels malveillants avant la vente.

[olikaf]

Ils ont visiblement gardé des anciens de la RDA

[Genji]

Le pire (et le seul truc efficace) qu'ils pourraient faire c'est obliger les constructeurs à installer leurs logiciels malveillants avant la vente.

Je ne serai pas surpris que ce soit déjà le cas de manière non officielle, y compris de la part de pays dit démocratiques, comme la France, quand on voit tout ce qui se passe depuis u moins une vingtaine d'années.

[tanaka59]

Bonjour,

1) Comme évoqué , cela va effectivement viser les mauvaises personnes ...

2) L'Allemagne niveau "open data" , ne sont pas très en avance par rapport à la France. Une administration efficace et frileuse qui ne partage pas beaucoup de données.

3) Un tel projet c'est achever la confiance des consommateurs .

[el_slapper]

leurs politiciens sont aussi nuls que les nôtres. Je ne sais pas quoi en penser.

[Invité]

Mais c'est quoi leur problème à tous ces gouvernements à vouloir espionner leur population ? Parce que l'excuse de sécurité nationale a le dos large...

[Ryu2000]

Mais c'est quoi leur problème à tous ces gouvernements à vouloir espionner leur population ? Parce que l'excuse de sécurité nationale a le dos large...

Si il y avait des attaques terroristes et que des centaines d'innocents se faisaient massacrer, les médias et les politiciens pourraient manipuler l'opinion publique pour leur faire accepter la surveillance de masse, mais là ce n'est pas le cas.
En plus il y aura moyen de créer de la division, non musulmans vs musulmans, hommes vs femmes, hétérosexuels vs homosexuels, blancs vs noirs, jeunes vs vieux, avec une ambiance de guerre civile les gens ne verraient pas la dictature s'installer.

Les gouvernements occidentaux aimeraient bien pouvoir faire comme les dictatures : surveiller la population, interdire les critiques, faire taire les perturbateurs, etc.
Si les services de renseignements pouvaient connaitre tout ce que les individus disent et écrivent, ils pourraient empêcher des mouvements comme celui des gilets jaunes de naître.
La liberté d'expression risque de diminuer dans les années à venir, avec la crise économique qui va empirer il faudra masquer des idées.
Il faut que les gens n'entendent que la vérité officielle et pas le reste.

[Invité]

[...]cela ne servira à rien pour arrêter les méchants criminels qui auront les moyens de détecter un Man In the Middle. Comme d'habitude, on camoufle une surveillance massive de la population.

Tout à fait d'accord, d'autant plus que lorsque on a quelque chose à cacher il reste possible d'employer des moyens "vieux comme Hérode", par exemple l'emploi d'un langage codé ou argotique.

"Les sanglots longs des violons"....

Mais c'est quoi leur problème à tous ces gouvernements à vouloir espionner leur population ? Parce que l'excuse de sécurité nationale a le dos large...

Je suppose que c'est une manière d'acheter la paix sociale pour un coût relativement bas. D'où l'utilité pour les gouvernements de voir fuiter le type d'information relayée par cet article.

Il a déjà été démontré qu'un individu conscient d'être potentiellement surveillé adoptera systématiquement les comportements "vertueux" inscrits au référentiel du surveillant.

J'ai apprécié le visionnage de ce documentaire sur la surveillance de masse et vous en partage le lien. On y trouve, il me semble, pas mal de pistes de réflexion.

[MABROUKI]

bonjour
j'aime ca ,les "deutsche spione" mettent bas le masque "officiellement" et probablement souhaitent être protégés ,et bichonnés comme des "citoyens vertueux".
Incroyable mais digne des "espions" du "Deutscher Staatsspionagedienst".
On ne dira en plus dans ce pays qui s'appelle du doux nom de Großdeutschland que des mechants Spione vous observent à votre insu.
Vive les espions devenus vertueux.

[MABROUKI]

rebonjour

Et pour faire juste mesure ,ils pourraient aussi déposer un autre projet de loi,ou les citoyens pourraient aussi intercepter les communications des "Spione" pour savoir qui les espionne.
Comme cela ,ce sera un monde ou tout un chacun pourra espionner les autres, ce qui nous permettrait de gagner en transparence.
Le parlement et le gouvernement allemand pourraient ainsi être espionnés très légalement et au vu et au su de tout le monde pour le bien de tous.
Mais je rêve éveillé !!!