Hello à tous !

(Pour commencer très doucement les hostilités...)

https://www.nextinpact.com/news/103584-vault-7-wikileaks-revele-comment-cia-peut-pirater-nombreux-appareils.htm

Nous voici très clairement en plein dans un scénario de science-fiction. De votre téléphone à votre téléviseur si on décide de vous espionner on y arrivera sans le moindre problème.

Récemment, on a pu observer le créateur de Facebook Mark Zuckerberg cacher volontairement sa webcam : https://s-media-cache-ak0.pinimg.com/originals/99/17/ca/9917ca61775d65842de90d25347bc23a.jpg

Nous sommes dans une situation où on peut même se demander si un simple hacker suffisamment expérimenté puisse espionner en toute discrétion sa femme (ou son homme) via les multitudes de failles existantes dans son ordinateur ou smartphone.

Qu'en pensez-vous ? Vous sentez vous protégé ou au contraire vous êtes devenu paranoïaque ?

Enfin une question plus générale : Où doit s'arrêter le gouvernement quand il s'agit d'espionnage ou de lutte contre le terrorisme ? Où s'arrête notre vie privée sur le web ?

J'crois que c'est vraiment un bon moyen de faire réagir les entreprises comme c'est montré dans l'article, cela dit je pense que ces interventions sont ciblées : on va pas prendre une personne lambda, donc à part être un vrai parano on peut dormir sur nos deux oreilles. Au final je trouve ça plus pratique qu'autre chose, étant donné que c'est plus à bon usage que la CIA se permet ça.

Après on peut ouvrir sur les indépendants, ceux qui serait potentiellement capable de violer les vies sociales de personnes au hasard. Mais c'est évidemment déjà d'actualité donc bon, c'est plus sur ça qu'il faudrait se concentrer et laisser la CIA faire son taf; je ne pense pas qu'une agence affiliée à l'État se permettrait de ruiner des innocents. C'est pour ça que sur la question de l'espionnage, et surtout en rapport avec le terrorisme, il ne doit pas y avoir de limite. Enfin c'est ce que je pense, c'est quand même un sujet hyper sérieux, et ces techniques de piratages sont nécessaires à la lutte.

D'un autre côté on se croirait un peu dans 1984 avec Big Brother, ça peut être stressant. Faut donc se donner des limites au niveau des réseaux sociaux, et tout ce qui touche à la communication mais bon, la plupart s'en foutent littéralement.

Je pose ça là.

@Yam, héhé x) Tu me fais redécouvrir xkcd.

@Banks En effet, on peut considérer certains points positifs comme tu le décris. Mais d'après moi, c'est surtout une façon d'espionner l'industrie/secrets d'affaires/stratégies politiques des autres pays, comme la France par exemple. C'est aussi une dérive potentielle d'un gouvernement.

Bon je vais un peu passer du coq à l'âne.

Personnellement, je vois ça comme un danger. Pour plusieurs raisons :

- La première comme je dis plus haut, permet à un gouvernement (service secret) puissant technologiquement d'absorber les informations secrètes d'un pays moins fort. Dans ces données recueillis, on peut inclure l'industrie (recherche et développement), les affaires des grosses entreprises (direction stratégiques -> cours de la bourse), et prévoir/anticiper les actions géopolitiques d'un pays. Sur ce dernier point, il s'agit d'un aspect fondamental... en période de guerre froide (d'après moi nous y sommes toujours). Dans ce genre de période, l'armée physique (troupes) est avalée par la force de dissuasion nucléaire. De ça découle inévitablement la guerre de l'information (renseignement). On comprends dans ce sens pourquoi la France/Europe s'est décidée (tardivement) à investir massivement dans la cyber-sécurité. (ANSSI, Bull, Atos.. ;) )

- La deuxième, c'est un aspect plus Orwellien : Que se passera-t-il quand un gouvernement maîtrisera complètement l'écoute des communications internet. Le secret d'identité (le pseudonyme) sur internet n'existera plus. Et on peut imaginer dans un gouvernement plus stricte (Chine) un contrôle complet voir une punition quand un citoyen ne rentre pas dans la "soupe aux légumes".
Nous avons la chance aujourd'hui qu'une puissante communauté mondiale d'Hackers (Anonymous -> Lulzsec -> Télécomix au pif) se battent pour garder l'anonymat possible sur le web. Si l'anonymat disparaît alors la liberté d'internet disparaît (du bon au moins bon). Il ne faut surtout pas que la population rentre dans un aspect je m'en foutiste car même si le sujet est assez obscur il n'en reste pas moins fondamentalement important pour notre "démocratie".

Enfin, je voulais quand même dire que les révélations (fréquentes) des lanceurs d'alertes et de Wikileaks sont aussi un excellent moyen pour construire de nouvelles protections autant pour l'utilisateur final que pour les entreprises sensibles. Des technologies qu'on pensaient efficaces ne le sont plus et les trouvailles pour retrouver un niveau de sécurité optimale se décuplent.

Bref ! Remercions les hackers pour leur formidable aide à garder intacte la démocratie. Les grandes entreprises (où je travaille) exploitent ces outils sans prendre en considération le fait que si la sécurité de leur infrastructure grandit c'est aussi parce que des groupuscules comme Wikileaks (cryptome) existe.

C'est pas nouveau. Du moins tout le monde le sait mais personne ne pouvait l'annoncé officieusement avant l'affaire Snowden.
Des grosses sociétés comme Apple/Google se sont foutu leur gouvernement à dos lorsqu'une partie des données de smartphones ont été crypté. Ils ont classé cette décision comme inconsciente car y avait pas mal de problème de terrorisme. Donc bon à partir de là ça veut quand même dire que l'accès aux données était pas si complexe.
Ils prône tous la transparence pour notre sécurité mais dans quelque année quant on écoutera uniquement notre smartphone pour savoir dans quel resto' manger, quel centre commercial pour remplir le frigo. Il faudra que le resto soit pote avec Google et y a fort à parier que nos choix sont déterminé plus par nous mais par un OS.
Puis quand les ordinateurs quantique vont arrivé attention les dégâts...
Je suis pas hyper câler en sécu mais j'entends que du mal des protocoles déployés... Tous vénères les blockchains... Mais bon le web c'est un peu une plate forme ou les dév aiment la simplicité et pas forcément les standards les plus intéressants... Donc le temps que ça se déploie ca va être super long...

Backdoor et failles il y aura tjs.

Je pense qu'il s'agit de plusieurs aspects bien différents. Il y a la sécurité des systèmes, la sécurité de l'information, la sécurité des personnes.

La blockchain garantie une information, elle est diffusée, certifiée, et de ce fait, n'est plus effaçable. Son principe massivement décentralisé assure qu'il n'y a pas de manipulation, mais l'information devient publique (en théorie, car après on peut remettre une couche de chiffrement, mais c'est out of the scope). En définitive, on peut remonter l'origine des transactions.

Je ne pense pas non plus que les protocoles soient fautifs. Les différentes failles de sécurité qui sont apparues ces derniers temps ne blâmaient pas le design des protocoles, mais leur implémentation. Par exemple, un HTTP est par défaut neutre, et c'est son implémentation qui sera ou non sécurisée (du point de vue du système).

Le problème que pose un Google est qu'il incite à dépendre de ses services, et comme tout est centralisé chez lui, il devient la cible principale. Le web lui même est relativement décentralisé (si on ignore la question des DNS et des autorités de certification).

Du coup, quand bien même la blockchain est décentralisée, ça ne résout pas la problématique de la centralisation des informations auprès de mêmes gros acteurs. Un bon exemple est le service MtGox qui centralisait des porte-feuilles Bitcoin et qui avait un bon service donc était très utilisé.
Et enfin, de manière générale, ça ne fait pas disparaître des failles de sécurité qui peuvent exister partout (dans Android, dans l'implémentation de la blockchain, ...).
Le chiffrement est une barrière qui se généralise, mais qui n'est donc pas à l'abri de failles ou de mauvaises intentions. Que ça soit Google, Bitcoin, Tor Browser, ...

Enfin, l'origine d'une action sur Internet est une toute autre question à laquelle Tor répond en décentralisant les serveurs et les clients. Sur le papier, ça fonctionne, mais il y a déjà eu des soupçons de 0-day sur les implémentations connues (Tor Browser / Firefox), ce qui montre bien qu'il n'y a pas de solutions à tout par le design.

Le design répond à un besoin, qui peut-être complété. Celui du web n'est pas d'assurer l'anonymat ou la certification des informations. Il est alors complété d'abord par le chiffrement (qui assure une certification de l'information, bien que cette certification soit assurée par une autorité centrale), puis par des combines visant à rajouter suffisamment d'intermédiaire pour perdre la trace du pair (assurant l'anonymat). Tout cela reste soumis aux failles et backdoors.

Les mœurs quant au chiffrement évoluent, il y a une dizaine d'années, HTTPS était rare, il est devenu quasiment obligatoire pour les navigateurs. Pour autant, le principe de base de la RFC 2616, le standard définissant HTTP, reste globalement inchangé. La couche de chiffrement (SSL) rajoutée ne fait qu'empaqueter les échanges HTTP. Il en va de même pour les systèmes de fichiers sur un Android, dont le besoin initial est de permettre l'accès aux fichiers et leur écritures, qui sera amendé d'un chiffrement par la suite. Ce changement d'attitude général répond à un besoin de sécurité de l'information mais uniquement à ce besoin là.

Pour répondre à la question initiale de Mr.Oizo, je suis préoccupé mais pas inquiet. La plupart des problèmes de sécurité auxquels je peux être confronté peuvent se résoudre pas une bonne hygiène informatique. Je veille à ce que mes données sensibles ne transitent pas n'importe où, si possible coupé du réseau, je chiffre certaines d'entre elles, et je fais tout ce que je peux pour ne pas dépendre d'une entreprise (bon, en fonction de ma volonté aussi, ça fait un moment que je suis en train de préparer un serveur mail perso avec mon NDD, mais c'est une plaie à configurer). Bien évidemment, je chiffre mes communications autant que possible.
Quant à ma webcam, à une époque, sur mon ancien laptop, j'avais de la patafix dessus. J'en ai changé entre-temps mais j'ai pas pensé à le refaire.

Mais c'est plus inquiétant à une échelle macro pour l'industrie, l'anonymat, la liberté.

Bon je me suis un peu éparpillé, mais je tenais à ce qu'on ne confonde pas tous les risques et toutes les solutions. Qu'on accable pas des protocoles sans lien avec un aspect sécuritaire au profit de solutions ne répondant pas au besoin initial.

Je suis bien d'accord avec toi jr sur le fait qu'il y a 2 approches à avoir. Le fait que les gens étale leur vie privé sur des plates formes socials. Le fait d'utiliser les plates formes cloud et tout centraliser dans une entité (on a souvent affaire à du full google ou full apple...).
Je trouve les blockchains plus rassurant dans le sens ou oui c'est pas forcément plus safe, mais comme tu l'as annoncé on ne dépend pas d'une entité mais de plusieurs (bien qu'elle soit public) et ça me parait plus chiant à récupérer une info qui se balade sur un système à block :).
Je me ferai un avis plus affuté si un jour je daigne faire un peu de réseau...