La conservation des données de connexion (”logs“) a été jugée anticonstitutionnelle par la cour constitutionnelle allemande, ce mardi 2 mars 2011.
La loi, adoptée en 2008, obligeait les fournisseurs d’accès à l’internet, et les prestataires de téléphonie, à conserver les traces de ce que font leurs abonnés sur les réseaux de télécommunication (y compris leur géolocalisation), pendant 6 mois.
Elle visait à transposer la directive européenne sur la conservation des données, adoptée en 2006, afin de :
* pouvoir tracer et identifier la source d’une communication;
* pouvoir tracer et identifier la destination d’une communication;
* pouvoir identifier la date, l’heure et la durée d’une communication;
* pouvoir identifier le type de communication;
* pouvoir identifier la machine utilisée pour communiquer;
* pouvoir identifier la location des équipements de communication mobile.
C’était une ligne de fracture claire, lors des débats sur le projet de loi « d’orientation et de programmation pour la performance de la sécurité intérieure » (Loppsi 2) : sur les bancs de l’opposition, on parlait de « vidéosurveillance ». Sur ceux de la majorité, de « vidéoprotection ».
Pourtant, il y avait jusqu’à peu consensus sur l’utilisation de « vidéosurveillance ». Le mot permettait d’évoquer à la fois pour les « pro-caméras », sa capacité dissuasive et le rôle qu’elle peut jouer dans l’élucidation des délits ; pour les « anti-caméras », il renvoyait à la « société de surveillance » et sous-entendait que le système pouvait s’avérer dangereux pour le respect de la vie privée.
Voici les projections et tendances 2010 de la Sécurité Informatique par F-Secure :
Avec l’arrivée de Windows 7 sur le marché, la sécurité internet dans les pays développés s’améliorera nettement. Cependant, ce phénomène risque peut-être de provoquer parallèlement l’émergence de « ghettos de menaces » dans les pays en voie de développement puisque les cybercriminels concentreront leurs efforts sur les systèmes d’exploitation Windows XP.
Le support en temps réel des moteurs de recherche affectera la fréquence et la forme des attaques ciblant les moteurs de recherche.
La coupe du monde de football 2010 donnera sans doute naissance à un certain nombre de chevaux de Troie, de faux sites de vente en ligne de billets, de spams, de piratage de site d’achats en ligne et d’attaques par déni de service.
Les attaques utilisant des techniques de géo-localisation par adresse IP vont augmenter. Ces dernières seront localisées en fonction de la langue, de l’actualité et également en fonction des banques régionales qu’elles ciblent.
Les attaques contre les banques en ligne vont se multiplier, en utilisant notamment des chevaux de Troie parfaitement ciblés.
Il y aura davantage d’attaques contre les iPhones et des menaces de type « proof-of-concept » apparaîtront sur Android et Maemo.
Le nombre d’attaques de spams « snowshoe », technique consistant pour les cybercriminels, à diffuser du spam à travers un grand nombre d’adresses IP et de domaines, afin d’altérer les statistiques de réputation et de contourner les filtres, va croître.
Au moins une attaque de masse par déni de service est fortement probable.
Il y aura plus d’attaques sur Facebook, Twitter, Myspace, Linkedin, etc.
Les personnes étant de plus en plus connectées via les réseaux mobiles, l’importance du trafic et des activités telles que la gestion des comptes bancaires en ligne, les jeux en ligne, les réseaux sociaux augmentent considérablement.
Les attaques via les jeux en ligne ne cesseront pas. Ce problème risque de prendre d’autant plus d’ampleur que les utilisateurs de ces sites sont jeunes et donc plus à même de devenir les victimes des cybercriminels.
Un grand nombre de bases de données seront compromises, ce qui donnera lieu à des attaques parfaitement ciblées.
Jugé inefficace, l’Allemagne repousse le blocage des sites pédopornos : l’Allemagne ne s’armera pas d’une loi imposant le blocage des sites pédopornographiques, préférant mettre le texte entre parenthèses. L’Eco Verband, l’association des fournisseurs d’accès allemand s’est entendue avec la police allemande fédérale pour faire supprimer ces contenus attentatoires à la dignité de la personne humaine – ici de l’enfant – à la source, chez l’hébergeur. A cette fin, le réseau INHOPE (international Association of Internet Hotlines) sera appelé à contribution. Ici comme ailleurs, il a été souligné qu’une loi qui bloque un contenu n’est d’aucun secours pour les victimes et surtout peut être facilement contourné. http://www.pcinpact.com/actu/news/53750-loppsi-afa-fai-allemagne-blocage.htm
Inflation du fichage policier : l’énorme hypocrisie : Deux décrets du 18 octobre ont donc donné naissance aux nouveaux fichiers des ex-Renseignements généraux, qui remplacent le funeste fichier EDVIGE, abandonné l’an dernier par le gouvernement sous la pression de la société civile et du collectif Non à EDVIGE. L’un est destiné à la « prévention des atteintes à la sécurité publique » (PASP), et l’autre devra nourrir des « enquêtes administratives liées à la sécurité publique » (EASP). http://bigbrotherawards.eu.org/Inflation-du-fichage-policier-l-enorme.html
En France, l’Open Source dit encore une fois merci au secteur public : Selon la dernière étude de Survey Interactive, sponsorisée par Actuate, l’Open Source est davantage implanté dans le secteur public que dans l’industrie ou les services financiers en France. Face à une montée en puissance du mouvement dans l’hexagone, les entreprises considèrent l’Open Source pour sa gratuité ou la rejette pour ses incompatibilités, le manque de compétences associées disponibles sur le marché ou encore un manque de discernement du support. http://www.lemagit.fr/article/france-entreprises-opensource-secteur-public/4640/1/en-france-open-source-dit-encore-une-fois-merci-secteur-public/
Hadopi, nouvelle arme des people? Outre l’encadrement du téléchargement illégal, la loi met en place un nouveau régime de responsabilité éditoriale pour les sites… Dans la tempête de la loi Hadopi, un article est passé inaperçu. Il s’agit de l’article 27, relatif au statut d’éditeur en ligne. Celui-ci instaure un nouveau régime de responsabilité éditoriale. Ainsi un éditeur n’est plus considéré directement comme responsable en cas de contenus illicites, notamment laissés par les internautes, s’il n’a pas eu connaissance de ces propos. En revanche, il doit réagir «promptement» pour les retirer sous peine de poursuites. http://www.20minutes.fr/article/357587/High-Tech-Hadopi-nouvelle-arme-des-people.php
La faille dans les certificats X.509, c’est null : Il y a deux semaines, Microsoft a corrigé une faille dévoilée à la Black Hat par Moxie MarlinSpike fin juillet concernant les certificats X.509 qui n’a pas obtenu une grande attention. La faille en elle-même est triviale : la plupart des bibliothèques gérant les certificats X.509, telles que les bibliothèques NSS utilisées par Firefox ou encore la bibliothèque CryptoAPI présente dans Windows, ne tiennent pas compte de la possibilité d’insérer un caractère nul (\0) dans le champ CN (Common Name) d’un certificat X.509. Du coup, lors du traitement d’un certificat contenant ce caractère, l’affichage s’arrête à ce caractère nul. Par exemple, le champ CN « lexsi.com\0domainemalveillant.com » est vu comme « lexsi.com » par les programmes vulnérables. http://cert.lexsi.com/weblog/index.php/2009/10/26/343-la-faille-dans-les-certificats-x509-c-est-nul
Depuis de nombreuses années un certain nombre de règles de sécurité se sont imposées de fait. L’exemple le plus caricatural est celui de la gestion des mots de passe : il faut utiliser un mot de passe long et complexe. Ce mot de passe doit être connu de l’utilisateur et de lui seul et ne jamais être consigné par écrit… Nombreux sont les utilisateurs qui se plaignent de devoir constituer des mots de passe (un par application) de plus en plus complexes et de ne plus arriver à les retenir ou à les gérer convenablement. Ces règles qui semblent aller de soi sur le papier sont-elles pour autant efficaces dans la réalité? http://blogs.orange-business.com/securite/2009/10/prendre-le-contrepied-des-regles-de-securite.html
Deux décrets du 18 octobre ont donc donné naissance aux nouveaux fichiers des ex-Renseignements généraux, qui remplacent le funeste fichier EDVIGE, abandonné l’an dernier par le gouvernement sous la pression de la société civile et du collectif Non à EDVIGE.
PASP : prévention des atteintes à la sécurité publique
EASP : enquêtes administratives liées à la sécurité publique
Jean-Marc Manach est journaliste et spécialistes des fichiers policiers. Il est l’auteur du blog Bug Brother, consacré à la société de surveillance.
Karim : La CNIL a « validé » la création des nouveaux fichiers annoncés par
Brice Hortefeux, qu’en pensez vous ?
Jean-Marc Manach : C’est un peu plus compliqué : jusqu’en 2004, la CNIL devait
donner son autorisation avant toute création de fichier policier ou portant
sur la totalité de la population. Résultat : faute d’autorisation, le STIC
(Système de traitement des infractions constatées) a fonctionné pendant 6 ans,
illégalement.
Pour éviter que cela ne se reproduise, la loi informatique et libertés, revue
et corrigée en 2004, permet au gouvernement de se passer de l’avis de la
CNIL : sa seule obligation, désormais, est de publier ledit avis de la CNIL au
Journal officiel en même temps que le décret instaurant le fichier. Il est
donc erroné de dire que la CNIL a « autorisé » ou « validé » tel ou tel fichier.
Elle a juste donné son avis, que le gouvernement n’est pas obligé de suivre…
Abbe : Comment savoir si je figure dans ces nouveaux fichiers ? Continue Reading…
Hier, les représentants du Parlement européen – une institution qui se prévaut habituellement de défendre les droits de l’homme à domicile et à l’étranger – ont déposé les armes sous la pression exercée par les États membres. Le Parlement a abandonné l’amendement 138, une disposition qui avait été adoptée à deux occasions par une majorité de 88% en assemblée plénière, et qui avait pour but de protéger les libertés des citoyens en ligne. En lieu et place de l’assurance qu’aucune restriction à l’accès à Internet ne pouvait être imposée sans décision judiciaire préalable, l’amendement 138 va être remplacé par une disposition neutralisée, qui n’apporte aucune nouvelle protection importante pour les citoyens. Continue Reading…
Sans tambour ni trompette, dans deux décrets publiés ce week-end au journal officiel, le gouvernement a ressuscité Edvige, le fameux fichier de collecte d’informations personnelles abandonné, car très critiqué. Le premier texte vise la prévention des atteintes à la sécurité publique, le second la sécurisation des emplois sensibles. Deux motifs d’une collecte très large d’informations personnelles.
La vraie question, c’est pourquoi est-ce que Claude Allègre balance de telles énormités ? Ses propos sont indéfendables, simplement parce qu’ils ne tiennent pas debout. Est-il sénile ? Jaloux de la médiatisation de Nicolas Hulot ? Sa femme l’a-t-elle quittée pour un militant écolo ? Est-il si avide de visibilité médiatique ? A-t-il décidé de se suicider politiquement et médiatiquement ? Quels sont ses objectifs ? Veut-il capitaliser sur le refus du changement climatique pour se forger une carrière politique démagogique ? Comment expliquer ses provocations à répétition et sans fondement ? Vraiment sans fondement ?
La conservation des données de connexion (”logs“) a été jugée anticonstitutionnelle par la cour constitutionnelle allemande, ce mardi 2 mars 2011.
