21 degrés de liberté – 20

Aujourd’hui nos employeurs peuvent intercepter nos communications passées sur notre lieu de travail, une nouvelle atteinte à la vie privée que n’auraient pas admise nos parents et dont nos enfants sont victimes.

Voici déjà le 20e article de la série écrite par Rick Falkvinge. Le fondateur du Parti Pirate suédois aborde ici le droit légal des employeurs à prendre connaissance de nos messages quand ils sont passés dans l’entreprise.

Le fil directeur de la série de ces 21 articles, comme on peut le voir clairement dans les épisodes précédents que nous vous avons déjà livrés, c’est la perte de certaines libertés dont nous disposions encore assez récemment, avant que le passage au tout-numérique ne nous en prive.

Votre patron ne pouvait pas lire votre courrier. Jamais.

Source : Rick Falkvinge sur privateinternetaccess.com

Traduction Fralang : dodosan, Susyl, goofy.

Slack vient tout juste de mettre à jour ses conditions générales d’utilisation pour permettre à votre employeur de lire vos conversations privées sur des canaux privés. Nos parents auraient été choqués et horrifiés à l’idée que leurs chefs ouvrent les colis et lisent les messages personnels qui leur étaient adressés. Pour nos enfants dans le monde numérique, cela fait partie de la vie de tous les jours et ne mérite qu’un haussement d’épaule.

un homme à son bureau de travail encombré d'ordinateurs est en train de téléphoner
Photo par philcampbell (CC-BY 2.0)

Le bon vieux système téléphonique, parfois appelé par son abréviation anglaise POTS, est un bon exemple de la façon dont les choses devraient se passer, même dans le monde numérique. Les législateurs avaient vu juste dans l’ensemble à ce sujet.

Lorsque quelqu’un passe un appel téléphonique – un appel à l’ancienne, analogique – on sait que la conversation est privée par défaut. Peu importe à qui appartient le téléphone. C’est la personne qui l’utilise, à cet instant précis, qui a tous les droits sur ses capacités de communication à l’instant T.

L’utilisateur a tous les droits d’utilisation. Le propriétaire n’a aucun droit d’intercepter les communications ou d’interférer avec elles sur la seule base du droit de propriété.

Autrement dit, être propriétaire d’un outil de communication ne donne pas automatiquement le droit d’écouter les conversations privées passant par cet équipement.

Malheureusement, cela ne s’applique qu’au réseau téléphonique. Qui plus est, uniquement à la partie analogique du réseau téléphonique. Si quelque chose est même de loin numérique, le propriétaire peut intercepter pratiquement tout ce qu’il veut, pour n’importe quelle raison.

Cela s’applique particulièrement au lieu de travail. On pourrait soutenir qu’on n’attend aucun respect de la vie privée quand on utilise l’équipement de son employeur. Cela revient précisément à oublier qu’une telle intimité était primordiale pour les POTS, il y a moins de deux décennies, quel que soit le propriétaire de l’équipement.

Certains employeurs installent même des certificats numériques wildcard1 sur les ordinateurs de l’espace de travail, dans l’objectif bien particulier de contourner la sécurité de bout en bout entre les ordinateurs des salariés et le monde extérieur, effectuant ainsi une attaque dite « homme du milieu ». En termes politiquement corrects, cette pratique est appelée « interception HTTPS2 » et non « attaque de l’homme du milieu » quand elle est menée par votre employeur et non par un autre attaquant.

Puisque nous en sommes à comparer analogique et numérique et la façon dont les droits à la vie privée se sont évaporés en passant d’une époque à l’autre, il est intéressant de jeter un coup d’œil aux lois qui régissaient un fort ancien moyen de communication, la correspondance postale. Demandez-vous si votre patron pouvait ouvrir votre courrier simplement parce qu’il vous était adressé sur votre lieu de travail.

Les lois sont un peu différentes selon les pays sur ce point, mais en général, même si votre patron ou entreprise étaient autorisés à ouvrir votre correspondance (c’est le cas aux USA mais non en Angleterre), ils n’étaient en général jamais autorisés à la lire (même aux USA) ;

Tout au contraire, pour le courrier électronique, vos employeurs ne se content pas de lire la totalité de vos courriels, mais ont souvent engagé une équipe entière pour le faire. En Europe, la chose est allée jusqu’à la Cour Européenne des Droits de l’Homme, qui a statué qu’il est tout à fait normal pour un employeur de lire la correspondance la plus privée, pourvu qu’il en informe les employés (ce qui piétine au passage l’espoir d’une confidentialité par défaut)

Il va de soi que ce principe qui s’applique aux courriels maintenant un peu démodés s’applique désormais aussi à tous les moyens de communication d’aujourd’hui, tels que Slack.

De sorte que pour nos enfants de l’ère numérique, l’idée suivant laquelle « le courrier c’est privé et il vous appartient, peu importe si vous le recevez au travail » semble définitivement oubliée. Encore un principe que nos aînés de l’époque analogique tenaient pour acquis, et pour lequel ils n’ont pas cru nécessaire de combattre.

La vie privée demeure de votre responsabilité.




Comment la NSA déploie des logiciels malveillants

Nouvelles révélations, nouvelles précautions

Nous reprenons ici l’article récemment publié par KoS, il s’agit de la traduction française de l’article de l’Electronic Frontier Foundation : How The NSA Deploys Malware: An In-Depth Look at the New Revelations par : Sphinx, KoS, Scailyna, Paul, Framatophe et 2 auteurs anonymes

– – – – – –

Nous avons longtemps suspecté que la NSA, la plus grande agence d’espionnage du monde, était plutôt douée pour pénétrer les ordinateurs. Désormais, grâce à un article de Bruce Schneier, expert en sécurité qui travaille avec The Guardian sur les documents de Snowden, nous avons une vision bien plus détaillée de la manière dont la NSA utilise des failles pour infecter les ordinateurs d’utilisateurs ciblés.

La méthode utilisée par la NSA pour attaquer les gens avec des logiciels malveillants est largement utilisée par les criminels et les fraudeurs ainsi que par les agences de renseignement, il est donc important de comprendre et de se défendre contre cette menace pour éviter d’être victime de cette pléthore d’attaquants.

Comment fonctionnent les logiciels malveillants exactement ?

Déployer un logiciel malveillant via le Web nécessite généralement deux étapes. Premièrement, en tant qu’attaquant, vous devez attirer votre victime sur un site web que vous contrôlez. Deuxièmement, vous devez installer un logiciel sur l’ordinateur de la victime pour prendre le contrôle de sa machine. Cette formule n’est pas universelle, mais c’est souvent ainsi que les attaques sont exécutées.

Pour mener à bien la première étape, qui consiste à amener un utilisateur à visiter un site sous le contrôle de l’attaquant, ce dernier peut envoyer à la victime un courriel avec un lien vers le site web concerné : c’est ce que l’on appelle une attaque par hameçonnage (phishing). La NSA aurait parfois eu recours à ce type d’attaque, mais nous savons à présent que cette étape était généralement accomplie via une méthode dite de « l’homme du milieu » (man-in-the-middle)¹. La NSA contrôle un ensemble de serveurs dont le nom de code est « Quantum », situés sur les dorsales Internet et ces serveurs sont utilisés pour rediriger les cibles vers d’autres serveurs contrôlés par la NSA et chargés d’injecter le code malveillant.

Dans ce cas, si un utilisateur ciblé visite, par exemple, le site yahoo.com, son navigateur affichera la page d’accueil ordinaire de Yahoo! mais sera en réalité en communication avec un serveur contrôlé par la NSA. La version malveillante du site web de Yahoo! demandera au navigateur de l’utilisateur d’adresser une requête à un autre serveur contrôlé par la NSA et chargé de diffuser le code néfaste.

Quand un utilisateur ciblé visite un site web mal intentionné, quels moyens l’attaquant utilise-t-il pour infecter l’ordinateur de la victime ? Le moyen le plus direct est probablement d’amener l’utilisateur à télécharger et à exécuter un logiciel. Une publicité intelligemment conçue s’affichant dans une fenêtre pop-up peut convaincre un utilisateur de télécharger et d’installer le logiciel malveillant de l’attaquant.

Toutefois, cette méthode ne fonctionne pas toujours et repose sur une initiative de l’utilisateur visé, qui doit télécharger et installer le logiciel. Les attaquants peuvent choisir plutôt d’exploiter des vulnérabilités du navigateur de la victime pour accéder à son ordinateur. Lorsqu’un navigateur charge une page d’un site, il exécute des tâches telles que l’analyse du texte envoyé par le serveur et il arrive souvent qu’il charge des greffons (plugins) tels que Flash pour l’exécution de code envoyé par le serveur, sans parler du code JavaScript que peut aussi lui envoyer le serveur. Or, les navigateurs, toujours plus complexes à mesure que le web s’enrichit en fonctionnalités, ne sont pas parfaits. Comme tous les logiciels, ils ont des bogues, et parfois ces bogues sont à la source de vulnérabilités exploitables par un attaquant pour prendre le contrôle d’un ordinateur sans que la victime ait autre chose à faire que visiter un site web particulier. En général, lorsque les éditeurs de navigateurs découvrent des vulnérabilités, ils les corrigent, mais un utilisateur utilise parfois une version périmée du navigateur, toujours exposée à une attaque connue publiquement. Il arrive aussi que des vulnérabilités soient uniquement connues de l’attaquant et non de l’éditeur du navigateur ; ce type de vulnérabilité est appelée vulnérabilité zero-day.

La NSA dispose d’un ensemble de serveurs sur l’internet public désignés sous le nom de code « FoxAcid », dont le but est de déployer du code malveillant. Une fois que des serveurs Quantum ont redirigé une cible vers une URL spécialement forgée et hébergée sur un serveur FoxAcid, un logiciel installé sur ce serveur se sert d’une boîte à outils d’exploitation de failles pour accéder à l’ordinateur de l’utilisateur. Cette boîte à outils couvre vraisemblablement des vulnérabilités connues, utilisables contre des logiciels périmés, et des vulnérabilités zero-day, en règle générale réservées à des cibles de haute valeur ². Nos sources indiquent que l’agence utilise ensuite ce code malveillant initial pour installer d’autres logiciels à le plus long terme.

Quand un attaquant réussit à infecter une victime avec du code malveillant, il dispose d’ordinaire d’un accès complet à l’ordinateur de cette dernière : il peut enregistrer les saisies du clavier (qui peuvent révéler mots de passe et autres informations sensibles), mettre en route la webcam ou lire n’importe quelle donnée conservée sur cet ordinateur.

Que peuvent faire les utilisateurs pour se protéger ?

Nous espérons que ces révélations pousseront les éditeurs de navigateurs à agir, que ce soit pour renforcer leurs logiciels contre les failles de sécurité ou pour tenter de détecter et de bloquer les URL utilisées par les serveurs FoxAcid.

Entre-temps, les utilisateurs soucieux de leur sécurité s’efforceront de suivre des pratiques de nature à assurer leur sécurité en ligne. Gardez toujours vos logiciels à jour, en particulier les greffons des navigateurs tels que Flash, qui nécessitent des mises à jour manuelles. Assurez-vous de bien faire la différence entre les mises à jour légitimes et les avertissements sous forme de pop-ups qui se font passer pour des mises à jour. Ne cliquez jamais sur un lien suspect dans un courriel.

Les utilisateurs qui souhaitent aller un pas plus loin — selon nous, tout le monde devrait se sentir concerné —, utiliseront l’activation en un clic de greffons Flash ou Java de manière à ce que ces derniers ne soient exécutés sur une page web qu’à la condition que l’utilisateur l’approuve. Pour Chromium et Chrome, cette option est disponible dans Paramètres => Afficher les paramètres avancés => Confidentialité => Paramètres du contenu => Plug-ins.

La même chose peut être faite pour Firefox à l’aide d’une extension comme Click to Play per-element. Les greffons peuvent également être désactivés ou complètement désinstallés. Les utilisateurs devraient également utiliser un bloqueur de publicité afin d’empêcher les requêtes superflues du navigateur destinées aux publicitaires et aux pisteurs du web. Ils devraient en outre utiliser l’extension HTTPS Everywhere afin d’utiliser le chiffrement des connexions associées à HTTPS sur le plus de sites possibles.

Si vous êtes un utilisateur prêt à supporter quelques désagréments au bénéfice d’une navigation plus sûre, regardez du côté de NotScripts (Chrome) ou de NoScript (Firefox), qui permettent de limiter l’exécution des scripts. Cela signifie qu’il vous sera nécessaire d’autoriser par un clic l’exécution des scripts un à un. JavaScript étant très répandu, attendez-vous à devoir cliquer très souvent. Les utilisateurs de Firefox peuvent s’orienter vers une autre extension utile, RequestPolicy, qui bloque le chargement par défaut des ressources tierces sur une page. Ici aussi, votre navigation ordinaire pourrait être perturbée car les ressources tierces sont très utilisées.

Enfin, pour les plus paranoïaques, HTTP Nowhere permettra de désactiver l’ensemble du trafic HTTP, avec pour conséquence que votre navigation sera entièrement chiffrée et, par la même occasion, limitée aux seuls sites offrant une connexion HTTPS.

Conclusion

Le système de la NSA pour déployer les logiciels malveillants n’a rien de particulièrement novateur, mais avoir un aperçu de la façon dont il opère devrait aider les utilisateurs et les éditeurs de logiciels et de navigateurs à mieux se défendre contre ces types d’attaques, et contribuer à une meilleure protection de tous contre les criminels, les agences de renseignement et une pléthore d’autres attaquants. C’est pourquoi nous jugeons vital que la NSA soit transparente quant à ses capacités et aux failles ordinaires de sécurité auxquelles nous sommes exposés — notre sécurité en ligne en dépend.


1. Le terme « homme du milieu » est parfois réservé aux attaques sur les connexions sécurisées par cryptographie, par exemple au moyen d’un certificat SSL frauduleux. Dans cet article, toutefois, on entend plus généralement toute attaque où l’attaquant s’interpose entre un site et la victime.
2. D’après l’article de The Guardian, « Les exploits les plus précieux sont réservés aux cibles les plus importantes ».