OWNI http://owni.fr News, Augmented Tue, 17 Sep 2013 12:04:49 +0000 http://wordpress.org/?v=2.9.2 fr hourly 1 Facebook en redemande http://owni.fr/2012/01/10/protection-des-donnees-facebook-est-content/ http://owni.fr/2012/01/10/protection-des-donnees-facebook-est-content/#comments Tue, 10 Jan 2012 07:32:14 +0000 Fabien Soyez http://owni.fr/?p=93050

Après un audit qui aura duré trois mois, l’autorité de protection des données irlandaise – la DPC – a rendu ses conclusions. Facebook devra clarifier sa politique en matière de protection de la vie privée.

D’après la DPC, un équivalent donc de la Commission nationale informatique et libertés (CNIL) en France, l’entreprise doit “donner des explications plus simples sur sa politique sur la vie privée.” Autrement dit, mieux expliquer ce que deviennent les données personnelles de ses utilisateurs et leur permettre de mieux les contrôler.

En 2008, la société de Palo Alto a installé son QG international à Dublin, en grande partie pour bénéficier des conditions financières attractives offertes par le gouvernement Irlandais. Mais du même coup, Facebook se voit contraint de se soumettre aux lois locales et européennes.

Avant juillet, Facebook devra donc modifier son site pour les quelque 500 millions d’inscrits hors de l’Amérique du Nord. D’après Paula Nerney, de la DPC, le réseau social de Mark Zuckerberg joue le jeu :

[Il] s’engage à respecter la confidentialité des utilisateurs (…) Facebook a pleinement coopéré lors de l’audit, nous leur avons adressé une liste de recommandations, et en juillet nous reviendrons pour un nouvel audit. D’ici là, nous suivrons activement les actions de Facebook Irlande, pour nous assurer que l’entreprise respectera les délais que nous lui avons imposé.

Chez Facebook, on se réjouit officiellement des résultats de l’audit. Anne-Sophie Bordry, directrice des affaires publiques France et Europe du Sud, constate calmement :

L’audit montre que nous sommes vraiment ouverts à la discussion. Nous avons ouvert les portes, pour montrer que nous n’avons rien à cacher. Nous avons mis tout à plat sur le fonctionnement de la plateforme Facebook, et nous travaillerons main dans la main avec la DPC. Nous avons l’occasion de dépassionner certaines angoisses, d’expliquer ce que nous faisons avec les données. Nous sommes très contents.

Bonne humeur chez Facebook, donc. Pourtant, l’entreprise a du pain sur la planche. Elle devra d’abord rendre ses paramètres de confidentialité plus simples et plus clairs. Dans son rapport, la DPC demande à Facebook de simplifier davantage les réglages, qui permettent aux utilisateurs de contrôler ce qui est public ou privé. “Quand on va dans les paramètres de gestion de confidentialité, c’est déjà assez clair, c’est imagé”, lance Anne-Sophie Bordry. “La DPC, mais aussi la CNIL, est d’accord. Vous pouvez avoir un aperçu de votre profil, modifier les paramètres, faire des essais. C’est déjà très bien, mais nous allons améliorer l’outil, le rendre plus clair.”

Pas de détails concrets, pour l’instant, Facebook est en plein “Work in Progress” : “nos ingénieurs planchent sur le sujet“, garantit Michelle Gilbert, directrice de la communication de Facebook France. Elle ajoute :

La DPC a mené son audit avant que sorte la Timeline, la nouvelle version du profil Facebook. Maintenant, on a un plus grand choix, on peut gérer ce qui est visible par d’autres plus facilement. Mais on peut toujours s’améliorer. On va faire en sorte que ce soit plus facile à manier.

Autre point à améliorer, pour l’Autorité de protection des données : la transparence à propos des données récoltées. Si, Facebook insiste, “l’audit était prévu depuis bien plus longtemps”, l’enquête de la DPC fait écho à une série de plaintes, notamment celles de Max Schrems. Cet étudiant autrichien, fondateur du collectif “L’Europe contre Facebook“, avait demandé à Facebook l’intégralité de ses données personnelles, en vertu de la directive européenne 95/46/CE.

Haussement d’épaules de Michelle Gilbert, de Facebook France :

Max a bien réussi à faire parler de lui, mais il nous a accusé de pas mal de choses que nous n’avons pas faites. L’audit l’a prouvé. Ses plaintes reflètent les nombreux fantasmes associés à Facebook. Il n’existe pas, la DPC est d’accord, de “profils fantômes”, des profils de non-inscrits que nous créerions… Nous ne traçons pas non plus les gens. Facebook est un hébergeur : nous stockons des contenus, mais nous ne les regardons pas.

Paula Nerney, de la DPC, trouve légitime l’utilisation par Facebook des informations personnelles de ses membres, afin de continuer à “faire vivre” le site. La DPC ne remet pas en cause l’utilisation d’informations telles que l’âge, le sexe, les relations amoureuses ou la localisation de l’internaute, en direction d’annonceurs à la recherche de publicités très ciblées. Mais “il appartient à Facebook de mieux communiquer sur l’utilisation des données”. Anne-Sophie Bordry insiste sur le “modèle de pub” du réseau social :

Nous ne sommes pas une boîte marketing. Les données des profils vont dans un agrégateur de données anonymisées, et elles ne sont jamais vendues. Nous ne louons pas les données, c’est Facebook qui les utilise pour optimiser les publicités des annonceurs. Mais tout reste à Facebook. De même, comme le confirme la DPC, aucune information collectée n’est associée à l’utilisateur.

Idem pour les données récoltées lorsqu’un utilisateur clique sur le bouton “J’aime”, ce qui permet à Facebook de connaitre ses habitudes de navigation. Les données, comme les informations du profil, “rentrent dans l’agrégateur anonyme que nous utilisons, et elles finissent par être supprimées rapidement.” La DPC demande néanmoins à Facebook d’anonymiser les données plus rapidement, dans les 90 jours, puis de les supprimer. Un délai que Facebook ne respectait pas toujours jusqu’ici. Anne-Sophie Bordry commente :

Même si notre système est déjà convenable, la DPC nous a demandé de supprimer les données plus vite. Nous ferons ce qu’il faut pour raccourcir le délai. Mais nous insistons : Facebook n’utilise pas les données reçues de ce module pour du profilage ou de la publicité ciblée.

Dans son audit, la DPC note que l’utilisateur reconnaît et accepte l’utilisation des données par Facebook lors de son inscription. Après vérification, aucun texte à lire et à accepter. Pour accéder aux informations sur l’usage des données personnelles, il faut se rendre, que l’on soit inscrit ou non, dans les conditions d’utilisation, visibles au bas de chaque page, en petits caractères.

Facebook devra “faire un effort pour rendre ces conditions d’utilisation plus visibles”, indique Billy Hawkes, le commissaire irlandais à la protection des données. Même effort de transparence exigé en ce qui concerne la technologie de reconnaissance faciale utilisée par Facebook pour identifier automatiquement un utilisateur sur une photographie. “Les internautes ne sont pas assez informés quant aux enjeux de cette fonction”, déplore la DPC. En réponse, Facebook s’est engagé à simplifier la procédure de refus d’identification automatique. “Aujourd’hui, on peut refuser les reconnaissances faciales, ou les accepter, il n’y a que deux choix. Nous allons essayer de rendre le système plus fin. Tout cela est en cours d’étude”, lance Michelle Gilbert à Facebook France.

Avant l’entrée en Bourse

Si DPC comme Facebook semblent pleinement satisfaits, au collectif l’Europe contre Facebook, on remarque :

Le rapport de la DPC a été écrit en coopération avec Facebook. Il ne peut donc pas être considéré comme pleinement indépendant…

Pour Facebook, ce rapport apparaît comme une aubaine, l’occasion de peaufiner sa communication dans une période charnière. Le réseau social devrait générer plus de 4 milliards de dollars (3,1 milliards d’euros) de revenus cette année. Au printemps prochain, l’entreprise devrait entrer en Bourse, ce qui pourrait porter sa valeur à 100 milliards de dollars. Un évènement que Facebook ne veut pas voir terni par de nouvelles critiques.

Michelle Gilbert, directrice de la communication de Facebook France, remarque :

Nos utilisateurs doivent se sentir bien. Si nous n’avons pas leur confiance, Facebook n’a plus qu’à mettre la clef sous la porte. C’est pourquoi nous ferons en sorte d’être au point en juillet. Il faut en finir avec les fantasmes autour de Facebook.

“Fantasmes” alimentés par différentes procédures en cours, concernant notamment la nouvelle “Timeline”, et
ses paramètres de confidentialité.

A la DPC, Paula Nerney prévient : “rien n’est joué pour Facebook”. En juillet, un nouvel audit sera réalisé.

Nos conseils vont plus dans le sens d’une “meilleure pratique” que dans celui d’une mise en conformité avec la loi. Si Facebook met en œuvre nos recommandations, l’entreprise sera en conformité avec la loi irlandaise. Mais dans le cas contraire, nous disposons d’importants moyens de coercition, que nous n’hésiterons pas à utiliser. Vu la coopération dont à fait preuve Facebook, nous serions déçus si nous étions obligés d’utiliser de tels moyens…

Selon l’enquêtrice du bureau de protection des données, si Facebook ne met pas en œuvre les modifications nécessaires, la société“risque d’être poursuivie en justice.” Pas sûr que Facebook soit content dans ce cas de figure.


Illustrations par Tsevis, ArnoKath, Sean McEntee et boltron- via Flickr Creative Commons.

]]>
http://owni.fr/2012/01/10/protection-des-donnees-facebook-est-content/feed/ 4
RSF : “Toujours plus de filtrage, de contrôle et de surveillance d’Internet” http://owni.fr/2010/06/24/rsf-toujours-plus-de-filtrage-de-controle-et-de-surveillance-internet/ http://owni.fr/2010/06/24/rsf-toujours-plus-de-filtrage-de-controle-et-de-surveillance-internet/#comments Thu, 24 Jun 2010 10:54:20 +0000 Astrid Girardeau http://owni.fr/?p=20051 Reporters sans Frontières (RSF) lancera demain un “abri anti-censure”, destiné à apprendre aux journalistes et blogueurs “à contourner la censure, sécuriser leurs communications, et conserver leur anonymat en ligne“. Nous les avons interrogé sur ce projet. Et plus généralement sur l’état de la liberté d’expression en ligne en France, et dans le monde.

En quoi consiste l’abri anti-censure ?

Il s’agit d’abord d’un lieu physique hébergé dans les locaux de RSF (1). Y sont mis à disposition trois postes de travail pour les journalistes et blogueurs qui veulent apprendre à protéger leurs communications et conserver leur anonymat. On leur donne accès aux logiciels libres les plus connus, mais aussi à une solution adaptée de VPN gratuit proposée par RSF. Normalement ce VPN, édité par Xero-bank, est payant. Mais dans le cadre de ce partenariat, ils ont accepté de le fournir gratuitement pour les personnes – journalistes, blogueurs, défenseurs des droits de l’homme – considérés comme vulnérables.

Cela fait dix dans qu’on s’intéresse à la question de la liberté d’expression en ligne. Dans de nombreux pays, quand les médias sont sous la coupe du gouvernement, seuls les blogs diffusent des informations indépendantes et objectives. Et il y a une recrudescence de la surveillance d’Internet pour repérer les dissidents et prendre des mesures contre eux. Donc on a pensé que c’était le bon moment pour fournir des outils à ceux qui en ont besoin.

Comment cet accès VPN sera t-il accessible ?

Il sera accessible sur les trois postes, mais on va aussi fournir des clés USB “tout en un” pour que les gens puissent y avoir accès quand ils rentrent dans leur pays. On va également identifier les journalistes, blogueurs et défenseurs des droits de l’homme qui, sur place, dans leur pays, ont besoin de protection, afin de leur faire donner accès à ce service. Cela devrait concerner plusieurs centaines de personnes. Ensuite, on va ouvrir un site Internet qui donnera accès à ce service, mais proposera également une solution d’hébergement pour les contenus censurés. Par exemple des photos ou vidéos censurées qui mettent en cause les autorités, et sont importants pour le droit à l’information. Car leurs auteurs ne savent pas forcément où les héberger.

C’est ce que compte également proposer l’IMMI. Quel est votre regard sur cette initiative ?

C’est une très bonne initiative, et on a appellé le gouvernement islandais à respecter au maximum les engagements pris par le Parlement. Et il est intéressant de voir ce genre de démarches alors que la tendance générale s’inscrit dans l’opposé. Partout dans le monde, les gouvernement vont vers toujours plus de de filtrage, de contrôle et de surveillance d’Internet, les législations vers des lois liberticides. Pour l’IMMI, ils ont travaillé de manière étroite avec WikiLeaks, qui montre à quel point il est crucial d’avoir une protection des sources.

A propos d’anonymat, que pensez-vous de la proposition de loi de Jean-Louis Masson ?

C’est une proposition de loi complètement absurde. et qui démontre une méconnaissance d’Internet en général et des blogs en particulier. Beaucoup de bloggeurs ne s’exprimeraient pas de la même façon si leur nom était connu. On pense à maître Eolas, mais aussi par exemple à des malades du sida qui témoignent anonymement. Dans une émission, interrogé sur le cas d’un malade du sida, Jean-Louis Masson répondait “Pourquoi il veut témoigner ? Ça n’est pas ça qui va le faire guérir !”. Cela témoigne aussi d’une méfiance générale du gouvernement vis-à-vis des blogueurs. Alors qu’il est parfaitement possible, dans le cadre d’une action judiciaire, de remontrer via l’hébergeur à un blogueur qui a commis un acte illégal au regard de la loi française.

Comment voyez vous l’évolution de la liberté d’expression en France  ?

La France a le record européen en termes de mises en examen et de perquisitions. Ca n’est pas très glorieux. Il n’y a qu’a voir l’histoire d’Augustin Scalbert. Cette multitude de pressions et de mises en examen crée un contexte qui n’incite pas les sources à vouloir révéler des contenus sensibles et d’intérêt général. Et donc pas très proprice au journalisme d’investigation basé sur des sources fiables qui ont besoin d’un climat de confiance. D’ailleurs le 18 juin, on a lancé un appel pour la presse libre, pour appeller les journalistes et les citoyens à resister.

(1) L’abri est situé 47 rue vivienne, 75002 Paris. Il sera ouvert de 10h à 18h, du lundi au vendredi. Une réservation par mail est demandée  : abri@rsf.org.

Nos confrères de Mediapart ont interviewé Jean-François Julliard, le secrétaire général de RSF. Il revient sur l’évolution des missions de l’association, en particulier les changements qu’Internet a provoqués.

Cliquer ici pour voir la vidéo.

]]>
http://owni.fr/2010/06/24/rsf-toujours-plus-de-filtrage-de-controle-et-de-surveillance-internet/feed/ 16
Vers un Facebook respectueux ? http://owni.fr/2010/05/17/vers-un-facebook-respectueux/ http://owni.fr/2010/05/17/vers-un-facebook-respectueux/#comments Mon, 17 May 2010 08:29:40 +0000 Damien Van Achter http://owni.fr/?p=15638

Titre original :

Vers un “Open” Facebook, décentralisé et respectueux ?

Si les utilisateurs lambda de Facebook n’ont sans doute pas d’idée très précise des conséquences de la “publicité par défaut” de leur données personnelles, les acteurs clés du secteur perçoivent quant à eux très bien l’extraordinaire potentiel commercial de l’exploitation de ces informations. S’il n’a pas fallut attendre internet pour savoir que la constitution de bases de données était une activité marketingement très rentable, celles en constitution auprès du service commercial de Facebook sont à la hauteur des attentes de ses actionnaires: Huge !

Day 68 | Open Up , by hannabear (Flickr)

Avec son quasi demi-milliard d’utilisateurs, Facebook est-il donc devenu incontournable ? Oui, et non. Oui car on ne peut ignorer l’extraordinaire effet de propagation à l’œuvre lorsque ce sont vos pairs (aka “vos amis”) qui vous transmettent des informations (fussent-elles aussi triviales que “j’aime le petit short rose de Miley Sirus”).

La circulation des liens via les diverses méthodes de partage (dont les nouveaux plugins) draine un trafic bottom-up conséquent et génère des milliers de clics sur la boutique qui vend le petit short rose en question. Pour certains, Facebook a d’ailleurs supplanté Google en terme de source de trafic, c’est dire si pour les producteurs de contenus et pour les marchands (au sens large), snobber Facebook revient à se couper littéralement un bras.

Sauf que. Sur le web, les notions de confiance et de respect sont au centre des relations que les internautes nouent entre eux et que, par définition, ces valeurs ne relèvent pas de la sphère marchande. Et les prendre pour des “crétins d’enculés” n’arrangera pas les choses.

Dans un monde devenu plat et sans frontières, quand des services comme Facebook (ou Twitter), sous prétexte qu’il sont gratuits, tendent progressivement à falsifier la qualité des échanges entre individus en s’appropriant non seulement le vecteur de la communication mais le contenu de la communication elle-même, les entités connectées réagissent instinctivement pour retrouver un point d’équilibre.

Certains suppriment donc simplement leur compte Facebook (comme Leo Laporte et quelques autres). D’autres s’en offusquent (l’Europe, par exemple) ou proposent des solutions PR à court terme (cfr. la lettre ouverte de Scoble à Zuckerberg). D’autres enfin innovent et proposent des alternatives qui pourraient bien marquer un tournant dans l’usage des réseaux sociaux.

Pourquoi en effet ne pas imaginer que l’individu connecté devienne sa propre base de données à partir de laquelle il décide de ce qu’il rend public ou non, de ce qu’il viralise à travers 1 ou des dizaines de propulseurs que sont les réseaux comme Facebook et Twitter ? Unifier en quelque sorte les multiples identités numériques que nous nous construisons en un seul et même nœud dont le “moi, je” serait le seul et unique propriétaire. Libre ensuite de fabriquer des “copies” des informations qui m’appartiennent et de les distribuer sur les réseaux.

En résumé, donner à Facebook l’unique exemplaire d’une photo, d’une vidéo ou d’un article, cela revient, pour une banque, à donner l’unique master de son billet de 100$. Cette banque (de données, par analogie avec l’individu connecté) serait bien plus avisé de conserver ce master dans son coffre, d’en faire des copies, et ensuite de faire fonctionner la planche à billets pour multiplier la richesse …

Chaque internaute va-t-il donc devoir s’acheter son propre serveur et l’installer dans sa cave (où, si on pousse le raisonnement un chouia plus loin, sur une puce greffée dans son cerveau :-P ) pour être certain de ne plus dépendre de personne pour conserver la confidentialité et la pérennité de ses données numériques ? Si cela reste sans doute à l’heure actuelle le meilleur moyen de s’en assurer, des initiatives propres à “rééquilibrer” le rapport de force entre l’individu et tous les Facebook-like sont en train de voir le jour.

Ainsi, Diaspora, un projet mené par des étudiants new-yorkais, vient-il de récolter 172.000$ [et ça monte encore] pour financer un réseau social distribué. Comme le souligne Wired, c’est un montant digne d’un premier tour de table auprès de Business Angel, sauf qu’ici c’est auprès du public que l’argent a été “crowdfundé”. A l’origine de celui-ci, un Eben Moglen, également fondateur du centre “Software Freedom Law”, dans lequel il fustigeait Mark Zuckerberg, le fondateur de Facebook, d’avoir “fait plus de tord à l’humanité que quiconque au même âge“.

OneSocialWeb, un autre projet, porté par un Belge, Laurent Eschenauer, au sein de l’entreprise Vodafone, pourrait lui aussi apporter une réponse à cette nécessaire réappropriation par l’individu de ses identités et de ses conversations en ligne. Présenté pour la première fois en février dernier lors du Fosdem à Bruxelles. OneSocialWeb s’appuie sur le protocole ouvert XMPP (le même que celui utilisé par Google dans Wave) pour permettre aux utilisateurs de distribuer leurs informations (photos, vidéos, textes) en gardant la main sur les “originaux”. Soit vous hébergez le tout sur votre ordinateur, soit sur un serveur distant (dans “les nuages”), mais en tout état de cause, vous en restez propriétaires.

Libre à vous ensuite d’en distribuer des copies sur Facebook, Twitter, etc .

Plus d’infos à propos de Diaspora sur Techcrunch.

OneSocialWeb, en vidéo ci-dessous

Cliquer ici pour voir la vidéo.

Article initialement publié sur Blogging The News

Illustration page d’accueil CC Flickr par Global X

Mise à jour 17/05 10:39: Augmentation des fonds récoltés, qui s’élèvent à présent à 172.000$ contre $115k lors de la rédaction de l’article.

]]>
http://owni.fr/2010/05/17/vers-un-facebook-respectueux/feed/ 4
Des milliers d’emails piratables sur les sites .gouv.fr http://owni.fr/2010/05/14/55-000-webmails-piratables-sur-les-sites-gouv-fr/ http://owni.fr/2010/05/14/55-000-webmails-piratables-sur-les-sites-gouv-fr/#comments Fri, 14 May 2010 13:18:47 +0000 Jean Marc Manach http://owni.fr/?p=15629 On imagine mal la NSA, ou la CIA, proposer aux internautes de les contacter grâce à une adresse email de type laposte.net ou wanadoo.com. C’est pourtant ce que proposent la Direction du renseignement militaire (DRM), qui utilise deux adresses @yahoo.fr, et la Direction de la Protection et de la Sécurité de la Défense (DPSD), qui utilise une adresse @laposte.net et une autre @wanadoo.fr. Je m’en étais étonné en 2005, dans un article consacré à guerre de l’information que se livrent les grandes puissances mondiales en terme d’intelligence économique, d’espionnage industriel, et de guerre électronique.

La DPSD et la DRM sont loin d’êtres les seules entités de l’armée dans ce cas. Citons, ainsi, l’Ecole militaire, le Commandement Air des Systèmes de Surveillance, d’Information et de Communication, le service de santé des armées, le responsable de la communication de l’armée de terre sur le quart sud-est de la France, la direction des ressources humaines de l’armée de l’air et la direction du personnel militaire de l’armée de l’air, un administrateur civil de la Délégation aux affaires stratégiques, placée sous l’autorité directe du ministre de la Défense et chargée du conseil géopolitique, stratégique et prospectif…

Les mails de Sarah Palin et de députés piratées

Non content de déléguer la gestion de leurs boîtes aux lettres électroniques à des sociétés privées dont certaines sont contrôlées par des entreprises américaines, ces militaires prennent aussi le risque, tout bête, de se voir pirater leurs adresses e-mails.

Car le problème, avec ces webmails, c’est qu’il suffit de cliquer sur le lien “J’ai oublié mon mot de passe” pour se voir proposer de répondre à une ou deux questions du type “Où avez-vous rencontré votre conjoint ?” pour réinitialiser le mot de passe, et donc prendre le contrôle de la boîte aux lettres. Ce qui est arrivé, l’an passé, à Sarah Palin, leader du parti républicain aux Etats-Unis. Sa question supposée secrète était “où avez-vous rencontré votre mari?La réponse était sur le web. Deux députés français se sont également récemment fait ouvrir leurs boîte aux lettres virtuelles de cette manière.

L’attaque contre Twitter, menée par le désormais célèbre Hacker Croll, se fondait également sur une faille de sécurité des webmails. En l’espèce, un employé de Twitter utilisait Gmail, qui proposait d’envoyer le mot de passe oublié à une adresse e-mail secondaire. Cette dernière, hébergée chez Hotmail, était désactivée. Croll n’a eu qu’à la réactiver pour récupérer le mot de passe…

Une étude a montré que 20% des internautes pouvaient deviner les réponses aux questions de sécurité de leurs amis. Au Texas, des chercheurs se sont aperçus que 30% des noms de jeune fille des internautes pouvaient être obtenus en consultant des archives publiques.

Une équipe britannique a établi qu’un cracker avait à peu près 1 chance sur 80 de trouver la réponse aux questions de sécurité de type “Quel est le nom de jeune fille de votre mère ?” en se basant uniquement sur les noms les plus courants. En Corée par exemple, où la concentration des noms est la plus forte, vous avez 40% de chances que le nom en question soit Kim, Park ou Lee.

Des centaines de milliers d’e-mails vulnérables

Pour mieux mesurer l’ampleur du problème, j’ai proposé à Nicolas Kayser-Bril, “datajournaliste” à Owni.fr, de développer une petite application, que nous avons intitulé mail.icio.us, afin de voir combien d’adresses e-mails vulnérables sont disponibles sur les sites des principales administrations. Et force est de constater qu’elles sont légions.

On dénombre ainsi près de 55 000 mentions d’adresses utilisant des webmails piratables sur l’ensemble des sites en .gouv.fr, plus d’une dizaines de milliers d’associations et de contacts sur celui du Journal Officiel, des centaines de mairies sur service-public.fr, mais également, et c’est plus gênant, des centaines de contacts dans les ambassades et d’adresses d’expatriés sur le site du ministère des Affaires étrangères, de militaires ou prestataires sur celui de la défense nationale, des dizaines d’experts automobiles sur celui de la sécurité routière, de professionnels de l’éducation nationale, une trentaine de députés…

Aux États-Unis, on trouve ainsi plus de 750 000 mentions d’adresses utilisant des webmails sur l’ensemble des sites en .gov, dont plus de 25 000 sur les serveurs de l’armée américaine, un millier sur ceux de la NASA, la National Science Foundation ou la Chambre des représentants, et près de 100 sur le site du FBI…

La situation est encore plus critique dans les pays où les fonctionnaires n’ont pas d’autre choix que d’utiliser des webmails, par manque d’infrastructure locale. En Afrique, la plupart des ministres utilisent des boîtes mail hébergées par Yahoo. Et sur les 40 contacts de l’Agence Internationale à l’Energie Atomique en Afrique, par exemple, pas moins de 21 utilisent Yahoo.

Ces données ont été récupérées à partir de listes des administrations aux Etats-Unis, en France et en Allemagne.

Nous avons ensuite utilisé l’API de Google Search pour obtenir une estimation du nombre de pages contenant une adresse webmail @hotmail.fr (et .com), @yahoo.fr (et .com), @laposte.net ou @voila.fr, les plus “simples” à pirater. Cette estimation n’est pas extrêmement fiable, ce qui explique les différences de résultats entre nos données et celles que vous pourrez trouver en faisant une recherche vous-même. Par ailleurs, le chiffre compte des pages, qui peuvent contenir plusieurs adresses e-mail (voir l’appli mail.icio.us).

Alors que le Pentagone se prépare sérieusement à la “cyber-guerre“, tout comme la gendarmerie française, il est frappant de constater des failles béantes dans la sécurité des administrations nationales. Le gouvernement dépense des dizaines de millier d’euros pour assurer la sécurité de ses communications privées (voir chez Thales, par exemple). L’utilité de ces défenses est sérieusement diminuée si un assaillant peut avoir accès à de nombreuses boîtes e-mails au sein de l’administration.

Une fois à l’intérieur d’une boîte mail, un cracker peut facilement gagner la confiance des collègues ou des supérieurs en se faisant passer pour sa victime. Il est alors plus facile de leur envoyer des logiciels malveillants en pièces jointes. Une bonne partie de l’opération Aurora, lors de laquelle Google a été attaqué en Chine, s’appuyait sur ce type de stratégie (voir cette présentation).

Les solutions sont très faciles à implémenter. Il suffit d’utiliser des webmails plus sécurisée ou d’utiliser les solutions mises à disposition par l’administration (les adresses de type prenom.nom@ministere.gouv.fr). Rajoutez à ça un bon mot de passe et vos communications en ligne deviennent beaucoup, beaucoup plus sûres. Ca n’empêchera pas un assaillant déterminé d’avoir accès à vos données. Mais ça lui compliquera la tâche.

Contactées, la DRM et la DPSD n’ont pas voulu répondre à nos questions. A suivre, une interview d’Eric Filiol, directeur d’un laboratoire de virologie et de cryptologie qu’il avait créé du temps où il était lieutenant-colonel de l’armée française, et un manuel de contre-espionnage informatique, pour apprendre à se protéger.

__

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Blinde ton mot de passe et Enquête : 70 centimes les 1000 captchas.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.

]]>
http://owni.fr/2010/05/14/55-000-webmails-piratables-sur-les-sites-gouv-fr/feed/ 11
Protéger son compte Facebook http://owni.fr/2010/04/29/opengraph-proteger-son-compte-facebook/ http://owni.fr/2010/04/29/opengraph-proteger-son-compte-facebook/#comments Thu, 29 Apr 2010 18:17:11 +0000 Korben http://owni.fr/?p=14006 Titre original :

Facebook Opengraph: Comment protéger ses données personnelles ?

En ce moment, dans mon lecteur de flux RSS, il n’y en a que pour Facebook. La faute à l’annonce d’OpenGraph qui va permettre à n’importe quel site web de vous proposer des fonctionnalités FB (genre le fameux bouton « J’aime »), mais aussi et surtout afficher ou se servir directement de vos informations personnelles (mais publiques) pour par exemple vous appeler par votre prénom ou récupérer votre photo…etc. On peut partir dans tous les délires qu’on veut… En voici un petit que j’ai réalisé :

Si vous voulez en savoir plus sur OpenGraph, je vous invite à lire l’article de Clubic.

En attendant, je vais vous expliquer comment configurer votre compte pour éviter de diffuser toutes vos infos à tous ces sites inconnus… (et potentiellement craignos)

Allez dans Compte -> Paramètres de confidentialité

Puis allez dans Applications et sites web

Décochez la case tout en bas qui autorise la personnalisation avancée et confirmez lorsque la popup fera son apparition.

Modifiez ensuite les paramètres de « Ce que vos amis peuvent partager à propos de vous » (Voir ci-dessus)

Il s’agit des informations personnelles que vos amis ont le droit de balancer à d’autres (du genre via des applications). Oui, ça surprend n’est ce pas ? Vous n’êtes pas vraiment maître de vos données personnelles tant que vous n’avez pas décoché TOUTES les cases de cette pages (sauf celles bien sûr que vous voulez continuer à laisser circuler sans contrôle. Pour moi ça sera « Mes articles » qui restera coché mais uniquement ça.)

On a presque fini. La dernière étape consiste à bloquer à l’avance les applications qui ont déjà établi un partenariat avec FB pour vous piquer vos informations personnelles. Si on lit la FAQ de Facebook, il s’agit de yelpdocs et pandora. Rendez vous sur chacune des pages de leur application et cliquez avec conviction (j’ai dit CONVICTION !!!) sur « Bloquer cette application ».

Vous voilà à l’abri pour le moment des abus de Facebook. Le seul hic, ça sera de connaitre les sites et applications qui seront autorisés à vous piquer des données. Là c’est facile, ils ne sont que 3 pour le moment, et Facebook a eu la gentillesse de les inscrire dans sa FAQ, mais ça risque de ne pas durer. Honnêtement, si j’avais 5 min, je monterai un petit site dans toutes les langues, qui permet de recenser ces sites et de les bloquer automatiquement (d’un seul coup si c’est possible avec les API FB).

Puis si suivre tout ce tuto vous fait chier, il y a aussi une solution un peu plus radicale mais très rapide : Supprimer un compte Facebook

> Article initalement publié chez Korben

> Captures d’écrans par Korben, photo d’illustration CC Flickr par _Max-B

]]>
http://owni.fr/2010/04/29/opengraph-proteger-son-compte-facebook/feed/ 10
Journaliste : Protège-toi, le ciel t’aidera! http://owni.fr/2009/12/30/journaliste-protege-toi-le-ciel-t%e2%80%99aidera/ http://owni.fr/2009/12/30/journaliste-protege-toi-le-ciel-t%e2%80%99aidera/#comments Wed, 30 Dec 2009 16:34:41 +0000 Stéphane Favereaux http://owni.fr/?p=6566 La loi sur la protection des sources des journalistes vient d’être adoptée par le Sénat. Un an de sommeil sénatorial d’une loi presque enterrée resurgissant pour en arriver à ce vote du 21 décembre 2009. L’Assemblée Nationale avait d’ores et déjà validé le texte, le Sénat à suivi. « Le secret des sources des journalistes est donc enfin protégé dans l’exercice de leur mission d’information du public » dit ce texte.

Comme cela était prévu, la majorité prézydentielle et le Nouveau Centre ont voté pour, le PS contre. Quant au PCF et aux verts, ils furent, curieusement, absents du débat. A l’étude depuis le printemps 2008, le Sénat modifie le texte en novembre 2008 renvoyant l’assemblée à ses études…

Assemblée qui décidera que dorénavant, il ne sera plus possible de “porter atteinte directement ou indirectement” au secret des sources journalistiques. Excellente nouvelle sur le papier tant les attaques se sont multipliées contre les droits, ne serait-ce que d’auteur, de cette profession ou dans le cadre de scandales judiciaires ayant noirci des tonnes de papier.

Le problème majeur réside en ceci que ce secret des sources peut être levé à titre « exceptionnel » face aux impératifs d’intérêt public. Sénat et Assemblée sont tombés d’accord pour dire que : “le secret des sources des journalistes est protégé dans l’exercice de leur mission d’information du public ». La mention « à titre exceptionnel » disparaît pour devenir  « si les mesures envisagées sont strictement nécessaires et proportionnées au but légitime poursuivi ».

Merveille de sémantique et de syntaxe creuse… permettant globalement de laisser décider les autorités judiciaires et / ou politiques de l’interprétation de ce texte.

L’ensemble du parcours de l’info sera « protégé », le texte s’appliquant à l’ensemble de la chaîne d’information … mais les exceptions sont tellement nombreuses que les journalistes ne seront pas tellement protégés, pas plus que leurs sources. La gravité du délit, du crime, déterminera le niveau de protection des sources … Encore une question d’interprétation et d’appréciation par la chose judiciaire et politique. Clearstream est encore dans les mémoires. Denis Robert doit s’en souvenir. Le jour où les pouvoirs n’étaient en aucun cas séparés…

« Une carte de presse ne saurait délier un citoyen de ses droits », pense le député Nouveau Centre Rudy Salles et Jacques-Alain Benisti, de la majorité prézydentielle (UMP) reconnaît en cette loi un « texte équilibré ».

La liberté s’arrête où commence les intérêts…

La portée de la loi est réduite par ses exceptions d’application, par l’interprétation qu’il est possible de faire de ce texte et des conditions de levé du secret des sources. A chacun, en fonction des affaires -on pensera volontiers ici aux affaires politico-financières-  de décider de protéger ou non les sources. En l’occurrence, on peut avoir des doutes à la lumière de ce que fut le procès des emplois fictifs de la Mairie de Paris, de la condamnation de Juppé, de Clearstream, ou des procès à venir dans lequel Chirac est impliqué. Nul doute que les journalistes et leurs sources seront parfaitement protégés ! /-)

Ne plus permettre aux journalistes et à leurs sources d’être protégés dans leur travail, pour la crédibilité de leurs enquêtes, de leurs recherches, c’est porter atteinte à une profession parfaitement et absolument essentielle à la pérennité d’un régime démocratique.

Porter atteinte aux droits des journalistes, c’est garantir au pouvoir une potentielle impunité face à une justice aux ordres et une presse parfois téléguidée par le Palais de l’Elysée.

Ne plus protéger les sources, c’est judiciariser potentiellement toute personne ne caressant pas dans le sens du poil les présumés innocents, les vrais et les faux coupables. Les lièvres que lèvent les journalistes ont souvent débloqué des instructions, apporté des éclaircissements nécessaires à la compréhension d’affaires judiciaires, politiques, économiques, financières.

C’est aussi donner aux citoyens un accès à l’information moins calibrée que la version lisse arrangeant tout le monde.

Quel contexte judiciaire à venir nécessite que ce type de loi liberticide soit voté et adopté par  nos assemblées ?

]]>
http://owni.fr/2009/12/30/journaliste-protege-toi-le-ciel-t%e2%80%99aidera/feed/ 2