Worried about the NSA monitoring you? If you take certain steps to mask your identity online, such as using the encryption service TOR, or even investigating an alternative to the buggy Windows operating system, you’re all but asking for “deep” monitoring by the NSA.
Alors que la NSA américaine est au coeur de scandales sur les écoutes opérées en France, L'Obs a publié mercredi une enquête qui confirme que la France est elle aussi très bien renseignée sur ses partenaires et alliés, grâce à son écoute des câbles sous-marins qui passent par ses terres. Alcatel-Lucent et Orange sont très étroitement liés aux opérations d'espionnage massif.
All indications are that this lapse will be temporary and that the Senate will soon pass the USA FREEDOM Act, which has small but important improvements over the now-lapsed section 215 and important additional transparency to the secret FISA court. USA Freedom passed the House with overwhelming support. EFF is neutral on USA Freedom—we think that Congress can do much better and should, but we’re still now in a much better place than we’ve been since the 1970s with regard to Congressional action reining in the NSA. [...] But tonight, this is a historic baby step. We should all pause and for us at EFF who’ve been fighting mass surveillance since 2006, take a moment to smile.
In a landmark victory for privacy, a federal appeals court ruled unanimously today that the mass phone-records program exposed two years ago by NSA whistleblower Edward Snowden is illegal because it goes far beyond what Congress ever intended to permit when it passed Section 215 of the Patriot Act.
Au cours des trois prochaines années, les entreprises 'cloud' et d'externalisation ('outsourcing') américaines verront leur chiffre d'affaires se réduire de quasiment cinquante milliards de dollars suite au dévoilement des pratiques d'espionnage du service de renseignements, la NSA. Ce montant est pourtant nettement inférieur aux précédentes prévisions.
Il n’en reste pas moins que ce système de surveillance opérera dans la plus grande opacité. Les entreprises chargées de surveiller leurs utilisateurs se verront imposer le secret de la défense nationale. De
plus, leurs locaux pourront faire l’objet de visites de contrôle de la part d’agents de la CNCTR.
L’un des nœuds du problème dans ce débat est le statut des métadonnées. De nombreux experts, mais également les journalistes ayant étudié les documents fournis par Edward Snowden tels que Glenn Greenwald,
soulignent régulièrement le caractère intrusif de ces données et l’appétence toute particulière des services de renseignement pour ce type de surveillance. Celle-ci est en effet automatisée et son
exploitation demande beaucoup moins de moyens que l’interception de contenus qu’il faut ensuite analyser. Lors d’une audition, au mois de novembre dernier[1], par la Commission de réflexion sur le droit et
les libertés à l’âge du numérique de l’Assemblée nationale, le président de la CNCIS, Jean-Marie Delarue, avait lui-même fait part des dérives qu’il avait pu constater dans la collecte des métadonnées. « Je
suis personnellement persuadé que la saisie répétitive et portant sur des domaines étendus de métadonnées révèle autant en matière de contenant que la saisine de certains contenus », avait-il déclaré. « Elle
révèle d’autant plus que, bien entendu, ceux qui pensent être l’objet d’interceptions de sécurité sont en général discrets dans leurs propos. La saisine de contenant parle beaucoup plus que ce qu’ils peuvent
dire au téléphone. »
Jusqu’à présent, le gouvernement balaye de la main ces arguments et s’obstine à considérer les métadonnées uniquement comme des données techniques ne bénéficiant pas de la même protection. Ainsi, dans le
projet de loi renseignement, leur durée de conservation est portée à cinq ans, contre un mois pour les écoutes et un an pour les autres types de contenu. Dans un rapport relatif à l’activité de la délégation
parlementaire au renseignement, remis au mois de décembre 2014,[2] Jean-Jacques Urvoas avait indirectement répondu au président de la CNCIS. « Dans tous les cas, ces documents et informations ne portent que
sur les données techniques de connexion », écrivait-il. « À l’inverse de ce qui peut-être abondamment répété, le caractère intrusif s’avère donc limité puisqu’une facture détaillée révèle moins d’un individu
que le contenu de ses conversations », martelait Jean-Jacques Urvoas, renvoyant, en note de bas de page, à un article de Mediapart qui relayait les critiques de Jean-Marie Delarue.
Malgré les dénégations du gouvernement, et de réelles avancées potentielles en matière de contrôle, ce nouveau dispositif dessiné touche par touche au fil des lois n’est pas sans rappeler le "Patriot Act",
adopté en octobre 2001 aux États-Unis, comme le fait remarquer le Washington Post[3], et les dérives dénoncées par Edward Snowden. Les services français ne risquent-ils pas de se trouver en position de
mettre en place une surveillance de masse des internautes, avec la complicité forcée des acteurs du Net ? Le projet de loi a, en tout cas, d'ores et déjà suscité une vague de réactions en ce sens.
La CNIL notamment, dans un avis publié jeudi[4], s’inquiète de « mesures de surveillance beaucoup plus larges et intrusives » qu’actuellement. Concernant les nouveaux pouvoirs accordés aux services, la
commission affirme ne pas avoir « d’opposition de principe ». Elle se félicite même de la légalisation de certaines pratiques « qui, pour certaines, échappaient à tout contrôle » et qui désormais seront
soumises à un « contrôle administratif et juridictionnel ».
Mais c’est sur les dispositions visant Internet, et plus particulièrement la captation massive de données, que la CNIL tire la sonnette d’alarme. Les nouveaux pouvoirs accordés aux services auront des
« conséquences particulièrement graves sur la protection de la vie privée et des données personnelles », avertit-elle. « Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne
identifiée, mais de permettre de collecter de manière indifférenciée un volume important de données qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement. »
Le gendarme des données personnelles demande à ce que le « périmètre » des données collectées soit « clarifié » et s’inquiète plus particulièrement des projets visant à collecter les informations directement
chez les opérateurs. « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence », affirme la CNIL. Concernant les « IMSI catcher », la
commission souligne qu’un « tel dispositif permettra de collecter de manière systématique et automatique des données relatives à des personnes pouvant n’avoir aucun lien ou un lien purement géographique avec
l’individu effectivement surveillé ».
Enfin, la CNIL s’inquiète du sort réservé aux données collectées, et notamment de la manière dont seront conservés les fichiers ainsi créés. Elle propose même que la loi lui confie une mission de contrôle
des données stockées, « une garantie supplémentaire essentielle », estime-t-elle.
Le Conseil national du numérique (CNNum) a, lui, publié un communiqué[5] dans lequel il s’inquiète « d’une extension significative du périmètre de la surveillance », notamment à la « prévention des violences
collectives » ou encore à « la défense des intérêts de la politique étrangère », « deux champs dont les contours flous ne permettent pas de définir avec rigueur le champ d’intervention légal du
renseignement ». « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. C’est le cas, par
exemple, du dispositif de traitement automatisé ». Plus globalement, « le Conseil s’inquiète de la tendance à l’accumulation de dispositions législatives visant à une surveillance accrue des citoyens sur
Internet ».
Interrogé par L’Express[6], le juge antiterroriste Trévidic a lui aussi fait part de ses craintes. « Ces pouvoirs exorbitants se feront sans contrôle judicaire », rappelle-t-il. « Ne mentons pas aux Français
en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judicaires, pourtant garants des libertés individuelles dans
notre pays. »
Il n’en demeure pas moins que cette nouvelle réforme de la surveillance risque de passer, comme les précédentes, à la quasi-unanimité. Seuls quelques points pourraient être amendés. Il s’agirait notamment,
selon nos informations, de la protection de certaines professions, un point sur lequel le gouvernement attend les propositions des parlementaires. La demande de la CNIL de pouvoir exercer un contrôle sur le
stockage des fichiers a, elle, de fortes chances de rester lettre morte. En dehors de ces quelques points, l’union nationale devrait encore primer.
« Nous voterons cette loi, pas de polémique », a déjà annoncé Nicolas Sarkozy le 17 mars sur TF1, à la condition que celle-ci ne soit « pas dénaturée dans le cadre du débat parlementaire ». Frédéric
Péchenard, directeur général de l’UMP et ancien patron de la police, a de son côté salué[7] un projet « équilibré et cohérent », un texte « très intéressant », même s’il « arrive un peu tard ».
Le député PS, Christian Paul, membre de la commission sur les libertés numériques, se dit « sur le principe, favorable à une loi sur le renseignement ». « Tout d’abord, on sait bien qu’aujourd’hui les
terroristes et le crime organisé utilisent les différents réseaux. Et quand une menace évolue, cela ne me choque pas que la loi évolue », explique-t-il. « Ensuite, et parallèlement, les services de
renseignement disposent de technologies aux capacités intrusives de plus en plus inquiétantes. Il faut donc qu’il y ait une loi pour encadrer ces pratiques et ne pas se retrouver dans une jungle des données
dans laquelle les services pourraient se servir. »
« Mais cette loi doit donc être une loi pour encadrer », prévient-il. « Si l’idée est de donner un cadre légal à certaines pratiques, il faudrait déjà s’interroger sur ce qui doit être légal ou non et ne pas
forcément tout autoriser. Et pour cela, il va falloir, durant les débats, entrer véritablement dans la pratique, dans "l’état de l’art" du renseignement. Il faudra également être vigilant à ne pas tomber
dans une surveillance généralisée de type NSA. La fameuse "boîte noire" évoquée par la presse par exemple pose question », poursuit-il. « Enfin, et c’est un point important de ce texte, il faudra être très
vigilant sur la nature des autorités de contrôle. Il faudra s’assurer qu’elles ne se résument pas à un simple système d’enregistrement », prévient Christian Paul.
En attendant l’adoption très probable de ce texte, le ministère de l’intérieur songe déjà aux prochaines mesures. Et la prochaine cible pourrait bien être le chiffrement, considéré par de nombreux
internautes comme un pilier de la vie privée sur les réseaux. Le projet de loi renseignement prévoit déjà que le délai de conservation des données chiffrées ne court qu’à partir du moment où elles ont été
déchiffrées. Ce qui permet en théorie de les conserver ad vitam, si les services techniques ne parviennent pas à briser le chiffrement. Mais le gouvernement envisage d’aller plus loin et réfléchit, selon nos
informations, à la possibilité d’exiger des acteurs d’Internet que soient remises aux autorités les « clefs » de chiffrement permettant de décrypter les informations protégées.
==================================================================
Loi et compilation de liens : https://shaarli.cafai.fr/?-1t_0Q
The U.S., U.K. and Canadian governments characterize hackers as a criminal menace, warn of the threats they allegedly pose to critical infrastructure, and aggressively prosecute them, but they are also secretly exploiting their information and expertise, according to top secret documents.[...]
GCHQ created a program called LOVELY HORSE to monitor and index public discussion by hackers on Twitter and other social media.
Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.
http://cdn.media.ccc.de/congress/2014/webm-sd/31c3-6258-en-Reconstructing_narratives_webm-sd.webm
BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).
Note: all the information contained in this essay are extracted from documents that have already been previously published by a number of news organizations at different times.
The Snowden revelations have instigated a global outcry for privacy and empowered a more informed and critical analysis of the growing adoption of mass "passive" surveillance. However, the use of "active" surveillance and targeted attacks are commonly deemed as a necessary evil.
After years of publications, and even a massive commercial speculation, on the nature of state-sponsored attacks, particularly by China and Russia, it comes to no surprise that Western governments are also engaged in malware attacks. However, we still know very little on their capabilities and sophistication.
What we are learning is that it isn't anymore just a matter of pure intelligence or counter-terrorism. A large portion of the attacks we're seeing from all fronts are mostly political and sometimes economic. In few occasions they're even in support of military missions. In a climate of fatigue from endless wars, modern day's imperialism is carried through network packets and conflicts are played in the dark, across submarine cables and Internet routers, far from the sight of the public or the press.
In order to comprehend the true nature of the 21st century's intelligence and military complex, it's important to investigate and report on the infiltration capabilities of governments around the world, with no exceptions. If we are selective on the information the public is given, we will obtain a false picture of the ongoing war for Internet and information dominance and we won't be able to build neutrally secure systems. There's no space for nationalism in technology.
Just weeks ago, SPIEGEL published the source code of an NSA malware program known internally as QWERTY. Now, experts have found that it is none other than the notorious trojan Regin, used in dozens of cyber attacks around the world.
Après plus d'un an de travail, le député démocrate-chrétien néerlandais Pieter Omtzigt (groupe PPE), membre de l'assemblée parlementaire du Conseil de l'Europe, a présenté un rapport très critique sur les programmes américains de surveillance électronique de masse de la National Security Agency (NSA) révélés par Edward Snowden, et leurs conséquences pour l'Europe. Le 26 janvier, les 84 membres de la commission des affaires juridiques et des libertés de l'assemblée parlementaire du Conseil, représentant 47 pays, ont adopté le rapport à l'unanimité, sans amendement. Même les conservateurs britanniques et polonais, qui avaient émis des réserves sur certains passages, l'ont approuvé.
En exergue, une phrase de Soljenitsyne résume l'état d'esprit des rédacteurs : « Notre liberté repose sur ce que les autres ignorent de notre existence. » Le cœur du rapport est une énumération de l'ensemble des révélations d'Edward Snowden. Même pour ceux qui ont suivi l'affaire assidûment, cette compilation reste impressionnante : on redécouvre que grâce aux réseaux électroniques, les Etats-Unis se sont réellement donné les moyens d'espionner la terre entière en permanence. Tous les canaux imaginables ont été exploités, depuis la captation de trafic sur les câbles transatlantiques jusqu'au détournement de jeux vidéo en ligne.
Sur cette base, le rapport condamne les Etats-Unis sans réserve : « Ces opérations mettent en danger les droits de l'homme fondamentaux, notamment le droit au respect de la vie privée […], le droit à la liberté d'information et d'expression […], le droit à un procès équitable et à la liberté de religion. » Plus généralement, « le fait de savoir que les Etats opèrent une surveillance massive a un effet dissuasif sur l'exercice de ces libertés ». Juridiquement, cet espionnage constitue une violation de la Convention européenne des droits de l'homme et de la convention du Conseil de l'Europe sur la protection des données personnelles.
Quelques jours après le FIC (Forum International sur la Cybersécurité, où on avait beaucoup parlé de méchants hackers, forcément djihadistes), un article du Monde nous rappelle que les plus grandes attaques contre la sécurité de l'Internet viennent des États. L'article révèle l'existence du programme MoreCowBell (« davantage de cloche à vache ») de la NSA, programme d'espionnage du DNS. L'article du Monde est assez flou, questions détails techniques, donc voici quelques explications supplémentaires. Vous pouvez également en trouver, et jusqu'à saturation, dans « NSA’s MORECOWBELL: Knell for DNS », écrit par les personnes qui ont préparé l'article du Monde (Grothoff est l'auteur de GNUnet, Ermert est une excellente journaliste connaissant bien l'Internet, Appelbaum travaille sur Tor). Dans cet article en anglais (il y a une traduction en français, vous aurez tous les détails sur MoreCowBell mais aussi sur les travaux de l'IETF pour améliorer le DNS, sur les systèmes alternatifs de nommage comme GNUnet, etc. Au cas où vous n'ayez pas envie de changer de page Web, voici mes informations à moi. https://gnunet.org/sites/default/files/mcb-fr.pdf
INSURGE INTELLIGENCE, a new crowd-funded investigative journalism project, breaks the exclusive story of how the United States intelligence community funded, nurtured and incubated Google as part of a drive to dominate the world through control of information. Seed-funded by the NSA and CIA, Google was merely the first among a plethora of private sector start-ups co-opted by US intelligence to retain ‘information superiority.’ The origins of this ingenious strategy trace back to a secret Pentagon-sponsored group, that for the last two decades has functioned as a bridge between the US government and elites across the business, industry, finance, corporate, and media sectors. The group has allowed some of the most powerful special interests in corporate America to systematically circumvent democratic accountability and the rule of law to influence government policies, as well as public opinion in the US and around the world. The results have been catastrophic: NSA mass surveillance, a permanent state of global war, and a new initiative to transform the US military into Skynet. || Part II : Why Google Made The NSA https://medium.com/@NafeezAhmed/why-google-made-the-nsa-2a80584c9c1
Le Monde et le site Internet allemand Heise ont pu consulter un nouveau lot de documents confidentiels montrant que la NSA s’attaque de façon massive et systématique au DNS (Domain Name System), qui gère les répertoires de noms à l’échelle mondiale.
By Jacob Appelbaum, Aaron Gibson, Claudio Guarnieri, Andy Müller-Maguhn, Laura Poitras, Marcel Rosenbach, Leif Ryge, Hilmar Schmundt and Michael Sontheimer. The NSA's mass surveillance is just the beginning. Documents from Edward Snowden show that the intelligence agency is arming America for future digital wars -- a struggle for control of the Internet that is already well underway.
- hacker news thread: https://news.ycombinator.com/item?id=8905321
- Bruce Schneier excerpt: https://www.schneier.com/blog/archives/2015/01/new_nsa_documen.html
- 28 decembre release : http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html || with archive: http://cryptome.org/2014/12/nsa-spiegel-14-1228.rar
- 17 January release: http://www.spiegel.de/international/world/new-snowden-docs-indicate-scope-of-nsa-preparations-for-cyber-battle-a-1013409.html || with archive : http://cryptome.org/2015/01/spiegel-15-0117.7z
NNos confrères de Spiegel.de se sont penchés sur de nouveaux documents dérobés par Edward Snowden. Il est cette fois-ci question de protocoles de chiffrement des données et de leur robustesse face aux attaques de la NSA. Il s'agit néanmoins d'informations vieilles de deux ans, ce qui laisse la place à de nombreux changements. Il est néanmoins intéressant de voir ce qui ne posait pas de problème à l'agence gouvernementale ainsi que les moyens mis en place pour arriver à ses fins.
Les centaines d’activistes et militants qui ont applaudi, debout pendant plusieurs minutes, à la fin de la présentation de ces documents ont donc de quoi avoir la migraine devant les capacités de la NSA. Mais aussi de quoi se réjouir : « ce n’est pas sans espoir, la résistance est possible » a ainsi lancé M. Appelbaum. « Le logiciel libre et une cryptographie bien implémentée fonctionnent.
The “TL;DR” summary of what follows below is: If you configure your IPsec based VPN properly, you are not affected. Always use Perfect Forward Secrecy (“pfs=yes” wich is the default in libreswan IPsec) and avoid PreSharedKeys (authby=secret which is not the default in libreswan IPsec). If you really need to use PSK, use a strong shared secret that cannot be brute forced. The NSA has their own version of IKEcrack running on millions of dollars worth of CPU’s. Also, the NSA sneaks into your router to steal your PSK’s so they can decrypt all your traffic.