Pourquoi Yahoo est contraint de livrer des données personnelles à la NSA

En 2008, Yahoo s’opposait à donner suite aux demande de données sur ses clients par la NSA. Yahoo a récemment publié comment elle s’est finalement pliée à la demande de la NSA.
Ces milliers de pages de documents déclassifiés sont très intéressants.

Premièrement, entre 1978 et 2007, la NSA avait besoin d’émettre un ordre FISA (service de renseignement envers les puissances étrangères) pour accéder à des données personnelles. Ces ordres ne permettaient que d’espionner les citoyens des puissances étrangères (ou agissant pour elles).

Cette limitation provient en partie du 4ème amendement de la constitution des états unis qui protège les citoyens américains d’intrusion dans leur vie privée sans mandat judiciaire et ciblé.

En 2005, Georges Bush est attrapé pour avoir permis à la NSA d’espionner les communications internationales de citoyens américains depuis 2002. Ces écoutes visaient officiellement à traquer les terroristes, mais étaient en tout état de cause contraire à la loi FISA de 1978.

Pour rendre légale ces écoutes, la loi FISA est amendée en 2007 par le Protect America Act. Celui-ci permet dorénavant à la NSA :

  • d’espionner les communications depuis ou vers des citoyens étrangers sans nécessiter d’autorisation
  • supprime la nécessité d’apporter de preuve que le citoyen visé est étranger ou en dehors des états unis.

Cela ouvre ainsi le champ à la surveillance électronique de masse des communications des citoyens non-américains. PRISM commence à voir le jour et la NSA voudrait que les services de communications mondiaux comme Yahoo donnent à la NSA un accès en masse aux données de leurs clients.

Il y a cependant une ambiguïté juridique, lorsque l’on espionne la communication entre un citoyen français et un citoyen américain, on espionne le citoyen américain en piétinant le garde fou du 4ème amendement ! De plus, puisque aucune preuve que le citoyen visé est bien hors US ou non américain n’est due par la NSA pour émettre un ordre d’écoute, cela ouvre la porte à bien des abus.

Ce sont ces points qu’à soulevé Yahoo pour refuser de donner un accès aux données de ses clients à la NSA. Cependant, la FISC, a conclu que ceux-ci n’étaient que des effets de bord minimes conformes à l’esprit de la loi. Yahoo à 250’000 $ de pénalité par jour tant qu’il refusait de se plier à la demande de la NSA.

Vous savez maintenant comment la NSA peut légalement et avec tout le confort lire vos emails (Gmail, Yahoo), écouter vos appels Skype, etc…

J'aime(3)Ferme-la !(0)

Encore des stars à poil sur Internet

Ce week-end, a été publié encore une flopée de photos et vidéos de stars Hollywood dans des positions des plus embarrassantes si vous voyez ce que je veux dire.

Je suis impressionné que des mecs aient pu récolter des photos si compromettantes sur des personnes si ciblées.
Est ce que le système de données personnelles centralisé (vendu sous le petit nom moins angoissant « cloud ») qui permet entre autres à une poignée d’individus (les patrons des admins) de surveiller les autres (nous) ne se retourne pas finalement en partie contre eux ?

A un moment donné, ce système géant il faut bien le maintenir en fonctionnement, et malgré toute l’automatisation des machines il faut un grand nombres d’informaticiens pour maintenir cela en marche avec les délégations de pouvoir et d’accès qui vont avec.
Quel admin n’a jamais eu accès (je n’ai pas dit « accédé ») aux données confidentielles de ses clients?

Comme je doute qu’il y ait (pour l’instant) un traitement différencié pour les VIPs (et comment choisirait-on les VIPs?), il y a une palanquée de personnes qui ont accès aux photos, à la géolocalisation, aux carnets de contacts, agendas, etc… des système de données personnelles mondiaux. Et ceci quand ils veulent puisque tout est archivé pour l’éternité.

Comme, contrairement à beaucoup de chose, quand on copie les données, on n’empêche pas le système de tourner et on peut faire en sorte que ça ne se voit pas (admin power), il me parait moins étonnant que des admin, à priori quelconques, voient des choses croustillantes et décident de les garder sous le coude (coucou Mr Snowden).

Là où il fallait autrefois des moyens de fou furieux pour espionner une célébrité, il n’est plus besoin que de quelques touches de clavier pour les informaticiens ayant accès aux données en production.
Miam !

J'aime(3)Ferme-la !(1)

iCloud et bruteforce

Vous n’avez pas échapper à la mauvaise nouvelle, malgré leur confiance dans iCloud, des gens se sont retrouvés à poil sur Internet. Certains sites informatiques tels que Numerama ou Reflet pensent qu’une attaque par brutefore des services d’Apple a pu permettre cela.

Je suis très sceptique sur le bruteforce par Internet. La latence est un ennemi assez redoutable.
Prenons en exemple le script Python incriminé pour bruteforcer iCloud nommé iBrute.
En insérant un basique timer, on peut compter 2 tentatives par secondes depuis une ligne ADSL.

Sachant qu’un password d’AppleID contient au minimum 8 caractères dont au moins un nombre et une majuscule. Ce qui fait, dans le pire des cas (6 chiffres, un caractère minuscule, un caractère majuscule) : 10⁶*26²*8*7 = 38*10⁹ possibilités.

Ce qui veut dire qu’il faudrait 602 années pour trouver le mot de passe à coup sûr avec une attaque de ce type.

Par contre, si votre mot de passe est composé d’un mot du dictionnaire, du langage commun, ou d’une référence que connaît l’attaquant, la recherche peut être bien plus courte. A titre de référence, le dictionnaire Larousse contient 135’000 mots soit environ le même nombre de possibilités qu’un mot de passe à 5 chiffres. Imaginons que votre mot de passe AppleID soit maintenant un mot français de 6 lettres (16000 possibilités), dont la première lettre est majuscule, suivi d’un nombre à 2 chiffres soit 16000*10² =1.6*10e6 possibilités. Il faudrait alors seulement 9 jours pour le trouver à coup sûr avec l’attaque par bruteforce citée ici si l’attaquant se focalisait sur ce pattern.

La moralité de cette histoire, c’est que si votre mot de passe est suffisamment complexe et surtout évite les mots communs, vous être tranquille face à une attaque par bruteforce de votre compte AppleID par Internet.

La blague de cette histoire, c’est que pour couper court à la polémique, Apple a décidé de bloquer l’accès au compte iCloud après 25 tentatives infructueuses. L’utilisateur est alors forcé à changer son mot de passe sur cette page. Vous voyez déjà le truc, il est possible d’empêcher quelqu’un d’accéder à son compte en lançant en continu des tentatives de connections avec le script cité ci-dessus. Pourquoi Apple bannit le mot de passe et non l’IP de l’attaquant comme le font classiquement les systèmes fail2ban, mystère…

J'aime(7)Ferme-la !(0)

Un attentat aux USA en 2009 planifié par le FBI

C’est une histoire invraisemblable.

En 2009, un agent du FBI aide 4 noirs musulmans dans le Bronx à programmer un attentat. Il leur promet 250’000 $. Il leur fournit un lance-missile avec une faux missile et des fausses bombes C4 en matériau inerte. Il planifie leur arrestation juste au moment où ils posent les bombes inertes, ce qui donne lieu à une belle médiatisation de l’action du FBI. Et les musulmans se font condamner à 25 ans de prison !

Si vous ne le croyez pas, voici la page Wikipedia, les documents du procès devant la Justice américaine dont ce jugement qui semble dénué de raison et un documentaire réalisé par HBO où l’on peut voir les enregistrements effectués par l’agent du FBI.

J'aime(0)Ferme-la !(0)

Avec HSTS, forcez vos visiteurs à revenir en HTTPS sur votre site web

HSTS permet à un site web en HTTPS de notifier au navigateur web qu’il doit toujours revenir le voir en HTTPS et non en HTTP.

Concrètement, ça prend la forme d’une entête spéciale envoyée par le serveur lors de la consultation d’une page web en HTTPS. Donc il faut que votre visiteur visite au moins une fois votre site web en HTTPS pour que la règle soit prise en compte.

Pour l’activer sur Apache, rajoutez cette ligne à votre virtualhost SSL :

Header add Strict-Transport-Security: "max-age=15768000; includeSubdomains"

J'aime(2)Ferme-la !(0)

Forcer l’usage d’HTTPS à Firefox

Certains sites web sont accessibles en HTTP et HTTPS mais l’on voudrait toujours les visiter en HTTPS pour éviter de se faire sniffer son mot de passe ou son cookie, ou laisser quelqu’un savoir ce que l’on consulte sur un site web (genre la NSA ou l’admin réseau).

Pour cela, le plugin pour Firefox NoScript a une fonction bien pratique qui permet de forcer l’accès de certains sites (ou de tous les sites) en HTTPS.

noscript https

Il existe aussi le plugin Firefox HTTPS everywhere développé par l’Electronic Frontier Fondation mais bizarrement celui-ci n’est pas disponible dans le dépôt d’addons de Mozilla.

J'aime(3)Ferme-la !(2)

Si quelqu’un vous dit qu’il n’a rien à cacher, c’est qu’il n’y a tout bonnement pas assez réfléchi

Si vous pensez réellement que vous n’avez rien à cacher, par pitié, faites en sorte de me le dire tout de suite car je saurais alors que je ne devrais pas vous confier de secrets car apparemment vous ne savez pas les garder.

En premier lieu, il faut soulever que le verbe cacher se rapporte toujours à quelqu’un ou quelque chose. Il faudrait donc préciser « à qui » vous n’avez rien à cacher. Est-ce à votre collègue, votre père, votre petit ami, à la police, au pouvoir politique en place, à Dieu? La question est bien plus claire avec ce détail essentiel.

Aujourd’hui, en l’état du débat, il s’agit de garder une « vie privée » au regard de l’Etat (police et pouvoir politique) qui nous épie par l’intermédiaire d’écoutes massives de nos traces numériques.

Il y a une chose que nous devons comprendre, c’est qu’on est franchement honnête avec les moteurs de recherche. Montrez-moi votre historique de recherche, et j’y trouverai quelque chose de compromettant ou d’embarrassant en cinq minutes. Nous sommes plus francs avec les moteurs de recherche qu’avec nos familles. Les moteurs de recherche en savent plus sur vous que des membres de votre famille. Et c’est ce genre d’informations que l’on donne aux États-Unis.

Rappelons-nous des prédictions de George Orwell sur la surveillance. Il s’avère que George Orwell était optimiste. Nous voyons désormais une échelle bien plus grande de pistage des citoyens qu’il n’aurait pu imaginer. Ce type de surveillance de masse signifie que la NSA pourra recueillir nos données et les garder grosso modo pour toujours (…) Cela ouvre la porte à des types de risques radicalement nouveaux nous concernant tous. Il s’agit en fait de la surveillance généralisée de masse de tous les citoyens.

« La surveillance change l’histoire. (…) Voici une citation du Président du Brésil, Mme Dilma Rousseff. Elle a été l’une des cibles de la surveillance de la NSA. Ses emails ont été lus, elle a pris la parole au Siège des Nations Unies, elle a dit : « S’il n’y a pas de droit à la vie privée, il ne peut y avoir de réelle liberté d’expression et d’opinion, et par conséquent, il ne peut y avoir de vraie démocratie. »

Les citations proviennent de Mikko Hypponen

J'aime(6)Ferme-la !(1)

65 choses sur la surveillance par la NSA que nous savons maintenant mais que nous ignorions il y a un an

Article original sur le site de l’Electronic Frontier Foundation

par Nadia Kayyali et Katitza Rodriguez

Traduction Framalang : hack, Diab, teromene, r0u, Thérèse, goofy, mrtino

Voilà un an que le journal The Guardian a publié pour la première fois le Foreign Intelligence Surveillance Court order, révélé par Edward Snowden, ex-sous-traitant de la . Le document démontrait que la NSA avait mené des opération de surveillance généralisée sur des millions de personnes innocentes. Depuis lors, toute une vague de révélations choquantes, de divulgations, d’aveux partiels des autorités gouvernementales, d’appels aux lois qui garantissent la liberté de l’information, et de poursuites judiciaires, a déferlé sans interruption. Pour l’anniversaire de cette première révélation, voici 65 choses sur la surveillance par la NSA que nous savons maintenant mais que nous ignorions il y a un an.

1. Nous avons vu un exemple des décisions de justice qui autorisent la NSA à récolter potentiellement tout appel téléphonique aux USA – ce qui veut dire qui vous appelez, qui vous appelle, quand, pendant combien de temps et quelquefois même où.

2. Nous avons découvert les diaporamas en Powerpoint de la NSA qui détaillent comment est menée la récolte « en amont », par la collecte d’informations captées directement dans l’infrastructure des opérateurs de télécoms.

3. La NSA a conçu une vaste « drague du Web » en s’assurant qu’elle peut intercepter non seulement les communications d’une cible lorsqu’elle fait partie d’une communication mais aussi celles qui « concernent une cible, même si la personne ciblée ne participe pas à une communication ».

4. La NSA a confirmé qu’elle recherche des données collectées selon les clauses de la section 702 des amendements à la FISA ( Amendments Act) pour avoir accès sans mandat aux communications des citoyens des USA, grâce à ce que le sénateur Ron Wyden a appelé « le vide juridique de la recherche via porte dérobée ».

5. Même si la NSA a déclaré de façon répétée qu’elle ne ciblait pas les citoyens des États-Unis, ses propres documents montrent que les fouilles de données menées sous l’égide de la section 702 sont conçues pour déterminer avec un degré de confiance de 51% seulement si la cible est étrangère.

6. Si la NSA n’établit pas l’origine étrangère d’une cible, elle ne va pas arrêter d’espionner cette cible pour autant. Au lieu de ça, la NSA va présumer que la cible est étrangère tant qu’elle ne peut être « identifiée positivement comme une personne des États-Unis ».

7. Un audit interne de la NSA révélé par une fuite a donné les détails de 2776 violations de règles ou de décisions judiciaires en une seule année.

8. Les hackers de la NSA ciblent les administrateurs systèmes, indépendamment du fait que ces administrateurs systèmes peuvent eux-mêmes être totalement innocents de tout acte répréhensible…

9. La NSA et la  ont infiltré des communautés de jeu en ligne comme World of Warcraft et Second Life pour récolter des données et mener leur surveillance.

10. Le gouvernement a détruit des preuves dans des procès pour espionnage intentés par l’ contre la NSA. Comble de l’ironie, le gouvernement a également prétendu que les clients de l’EFF avaient besoin de ces preuves pour établir la recevabilité de leur plainte.

11. Le directeur du renseignement national, James Clapper, a menti au Congrès lorsqu’il a été interrogé directement par le sénateur Ron Wyden pour savoir si la NSA était en train de rassembler des données de quelque nature que ce soit sur des millions d’habitants des USA.

12. Microsoft, comme d’autres sociétés, a collaboré étroitement avec le  afin de permettre à la NSA de « contourner le chiffrement pour avoir accès aux données des utilisateurs ».

13. Pendant la seule année 2013, le budget du renseignement était de 52,6 milliards de dollars — ce chiffre a été révélé par la fuite d’un document, et non par le gouvernement. Sur ce budget, 10,8 milliards de dollars ont été attribués à la NSA. Cela équivaut approximativement à 167 dollars par personne résidant aux Etats-Unis.

14. La Cour fédérale de la surveillance et du renseignement (Foreign Intelligence Surveillance Court) a rendu des décisions qui autorisent la NSA à partager des données brutes — non expurgées des informations permettant d’identifier les personnes — avec le FBI, la CIA et le Centre national de lutte antiterroriste (National Counterterrorism Center).

15. Conformément à un protocole d’accord (memorandum of understanding), la NSA partage régulièrement des données brutes avec Israël sans en expurger les informations personnelles permettant d’identifier les citoyens des USA.

16. Les divulgations de Snowden ont montré clairement que l’administration Obama avait induit la Cour suprême en erreur à propos de questions clés dans le procès intenté par l’ à la NSA pour espionnage, Clapper v. Amnesty International, ce qui a conduit à un renvoi de l’affaire pour manque de preuves.

17. La NSA « a pénétré le système de communication interne d’Al Jazeera ». Les documents de la NSA font état de ce que « les cibles sélectionnés avaient un “fort potentiel en tant que sources de renseignement” ».

18. La NSA a utilisé des cookies soi-disant anonymes de Google comme balises de surveillance, aidant ainsi à pister les utilisateurs individuels.

19. La NSA « intercepte “des millions d’images par jour” – dont environ 55 000 “images de qualité suffisante pour la reconnaissance faciale” » et les traite avec de puissants logiciels de reconnaissance faciale.

20. Le programme de reconnaissance faciale de la NSA « peut maintenant comparer les photos des satellites d’espionnage avec les photos personnelles interceptées prises en extérieur, pour déterminer leur localisation ».

21. Bien que la réforme de la NSA se soit essentiellement focalisée sur la Section 215 du PATRIOT Act, et que la plupart des magistrats aient également poussé à réformer la Section 702 du FISA Amendments Act, certains des pires espionnages de la NSA ont été effectuésconformément au décret 12333, que le président Obama pourrait abroger ou modifier dès aujourd’hui.

22. La NSA a collecté les informations de localisation des téléphones mobiles des citoyens des USA durant deux ans sous couvert d’un projet pilote ayant pour but de voir comment pourraient être analysées de telles informations dans ses énormes bases de données.

23. Au cours du seul mois de mars 2013, la NSA a rassemblé 97 milliards de renseignements en provenance de réseaux informatiques du monde entier, dont 3 milliards de renseignements des réseaux propres aux USA.

24. La NSA a ciblé Tor, un ensemble d’outils qui permet aux internautes de naviguer sur le net de manière anonyme.

25. Le programme MUSCULAR de la NSA infiltre des liens entre les data centers mondiaux des sociétés technologiques comme Google et Yahoo. De nombreuses sociétés ont répondu à MUSCULAR en chiffrant le trafic sur leur réseau interne.

27. Le programme XKEYSCORE analyse les courriers électroniques, les conversations en ligne et l’historique de navigation de millions de personnes n’importe où dans le monde.

28. À travers BULLRUN, la NSA sabote les outils de chiffrement auxquels se fient les utilisateurs ordinaires, les entreprises et les institutions financières, cibles ou non, dans un effort sans précédent visant à affaiblir la sécurité des utilisateurs d’Internet, vous y compris.

28. L’opération Dishfire a collecté 200 millions de textos par jour à travers le globe, qui peuvent être utilisés pour extraire des informations intéressantes sur vous : localisation, contacts, données de carte de crédit, appels manqués, alertes d’itinérance (qui indiquent que vous franchissez une frontière), cartes de visite électroniques, informations sur vos paiements par carte, alertes aux voyageurs, et renseignements sur vos réunions.

29. À travers l’opération CO-TRAVELER, les États-Unis collectent des informations de localisation provenant de relais de téléphonie mobile GSM, d’émetteurs Wi-Fi et de concentrateurs GPS, qui sont ensuite analysées en fonction du temps pour déterminer entre autres avec qui une cible voyage.

30. Un mémo de 2004 intitulé  – The “Other” Warfighter (DEA – « l’autre » combattant) montre que la NSA et la DEA « profitent d’échanges réciproques d’information ».

31. Quand la DEA agit sur les renseignements que sa division « Opérations spéciales » reçoit de la NSA, ils cachent la source de l’information à travers une « construction parallèle », une mascarade recréant une enquête imaginaire destinée à cacher la source de l’indice, non seulement au défenseur, mais à la Cour. Il s’agit de faire en sorte qu’aucun tribunal ne rende de décision sur la légalité ou la finalité de l’usage qui sont faits des données de la NSA dans les enquêtes ordinaires.

32. Le produit de la surveillance de la NSA finit régulièrement entre les mains de l’ (NdT : le fisc des États-Unis). Tout comme la DEA, l’IRS utilise la « construction parallèle » pour dissimuler l’origine de l’indice.

33. Même le Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board), dont les membres sont triés sur le volet par le président des États-Unis, a recommandé que le gouvernement fasse cesser la collecte massive des enregistrements téléphoniques autorisée par la section 215 [NdT : du PATRIOT Act], cette collecte étant inefficace, illégale, et probablement anticonstitutionnelle.

34. La NSA a des projets pour infecter potentiellement des millions d’ordinateurs en y implantant des malwares dans le cadre du programme Tailored Access Operations (opérations d’accès personnalisé).

35. La NSA a eu un contrat secret de 10 millions de dollars avec la société de sécurité RSA pour créer une « porte dérobée » dans ses produits de chiffrement, largement utilisés par les entreprises.

36. « Dans le cadre d’une proposition visant à salir la réputation de ceux dont l’agence pense que les discours incendiaires radicalisent les autres », la NSA a surveillé leurs accès aux contenus pornographiques et rassemblé d’autres informations d’ordre explicitement sexuel.

37. La NSA et ses partenaires exploitent les applications mobiles, comme le jeu populaire Angry Birds, pour accéder à des informations privées sur les utilisateurs comme la localisation, l’adresse personnelle, le genre, et plus encore.

38. Le Washington Post a révélé que la NSA récolte « des centaines de millions de carnets d’adresses provenant de comptes personnels de courriel ou de messagerie instantanée du monde entier, dont beaucoup sont des citoyens des USA ».

Beaucoup de révélations de Snowden ont concerné les activités de la NSA à l’étranger, ainsi que les activités de certains des plus proches alliés de la NSA, comme son homologue britannique le . Certaines de ces activités ont été des entreprises coopératives. En particulier, les « Cinq Yeux » – les États-Unis, la Nouvelle Zélande, l’Australie, le Royaume-Uni et le Canada – se communiquent mutuellement les données concernant leurs citoyens, constituant ainsi des failles susceptibles de saper la législation nationale.

39. La NSA a versé à son homologue britannique, le GCHQ, 155 millions de dollars ces trois dernières années « pour sécuriser l’accès aux programmes de collecte du renseignement britannique et les influencer ».

40. The Guardian a rapporté ceci : « Sur une période de six mois en 2008, [le GCHQ] a collecté les l’images de webcam – y compris une quantité importante de communications explicitement sexuelles – de plus d’1,8 millions de comptes utilisateurs Yahoo à l’échelle mondiale. »

41. Le GCHQ a utilisé des logiciels malveillants pour compromettre des réseaux appartenant à l’entreprise belge de télécommunications Belgacom.

42. Les principales entreprises de télécommunications, y compris BT, Vodafone, et Verizon business ont fourni au GCHQ un accès illimité à leurs câbles de fibre optique.

43. Le GCHQ a utilisé des attaques DDoS et autres méthodes pour interrompre les communications des Anonymous et de LulzSec, y compris les communications de personnes qui n’étaient accusées d’aucun délit.

44. La station Bude du GCHQ a surveillé des dirigeants de l’Union européenne, de l’Allemagne et d’Israël. Elle a également ciblé des organisations non gouvernementales comme Médecins du monde.

45. Partenaires de la NSA aux antipodes, les services de l’Australian Signals Directorate, ont été impliqués dans des violations de communications entre avocat et client couvertes par le secret professionnel, remettant en question un principe fondamental de notre système de justice pénal commun.

46. Les agents du renseignement australien ont espionné les téléphones mobiles du cabinet ministériel indonésien et du président Susilo Bambang.

47. En 2008, l’Australie a offert de partager les données brutes concernant ses citoyens avec ses partenaires du renseignement.

48. Le  a aidé la NSA à espionner les dirigeants politiques durant le sommet du G20 au Canada.

49. Le CSEC et le  ont été récemment réprimandés par le juge d’une cour fédérale pour l’avoir induit en erreur dans une demande de réquisition faite il y a 5 ans, à propos de l’utilisation des ressources des Cinq Yeux pour pister les Canadiens à l’étranger.

Ironie du sort, certaines opérations de la NSA ont ciblé des pays qui avaient collaboré directement avec l’agence en d’autres circonstances. Et certaines semblaient simplement non indispensables et disproportionnées.

50. Les documents de la NSA montrent que tous les gouvernements ne sont pas transparents sur leur propre niveau de coopération avec la NSA. Comme le rapporte The Intercept : « Peu de dirigeants élus ont connaissance de cet espionnage, voire aucun ».

51. La NSA intercepte, enregistre et archive chaque communication de téléphone mobile des Bahamas.

52. La NSA a surveillé les communications téléphoniques d’au moins 35 chefs d’États.

53. La NSA a espionné des diplomates français à Washington et aux Nations Unies.

54. La NSA a piraté les réseaux de l’entreprise chinoise Huawei et volé les sources de son code.

55. La NSA a posé des mouchards dans les ambassades de l’Union européenne à New York et à Washington. Elle a copié des disques durs dans les bureaux de l’UE à New York, et a mis sur écoute le réseau informatique interne des ambassades de Washington.

56. La NSA a collecté les métadonnées de plus de 45 millions d’appels téléphoniques italiens sur une période de 30 jours. Elle a également entretenu des stations de surveillance à Rome et à Milan.

57. La NSA a stocké les données d’approximativement 500  millions de connexions des systèmes de communication allemands chaque mois.

58. La NSA a collecté les données de plus de 60 millions d’appels téléphoniques espagnols sur une période de 30 jours, fin 2012 et début 2013, et a espionné des membres du gouvernement espagnol.

59. La NSA a collecté les données de plus de 70 millions d’appels téléphoniques français sur une période de 30 jours, fin 2012 et début 2013.

60. The Hindu, sur la base de documents de la NSA, a rapporté que « Sur une liste exhaustive des pays espionnés par les programmes de la NSA, l’Inde est en cinquième place. »

61. La NSA a pénétré le compte officiel de courriel de l’ancien président mexicain Felipe Calderon.

62. D’après The Guardian : « La NSA a, pendant des années, systématiquement écouté le réseau des télécommunications brésiliennes et et a intercepté, collecté et stocké sans discrimination les courriels et enregistrements téléphoniques de millions de Brésiliens ».

63. La NSA a surveillé les courriels, les appels téléphoniques et les textos de la présidente brésilienne Dilma Rousseff et de ses plus proches collaborateurs.

64. Les agences du renseignement allemand ont coopéré avec la NSA et ont implémenté le programme de la NSA XKeyscore, tandis que la NSA était en train d’espionner les dirigeants allemands.

65. Le quotidien norvégien Dagbladet a rapporté que la NSA a acquis des données sur 33 millions d’appels de téléphones mobiles norvégiens sur une période de 30 jours.

J'aime(3)Ferme-la !(0)

Des sénateurs américains surveillés par la CIA

La CIA a espionné les membres de la commission du renseignement du Sénat américain, qui enquêtent sur les programmes de détention et d’interrogatoire de l’agence américaine de renseignement, instaurés après le 11 septembre 2001, rapporte le New York Times mardi 4 mars.

Les sénateurs, qui travaillent sur un volumineux rapport parlementaire détaillant les méthodes de la CIA, ont été espionnés par le biais d’une infiltration du réseau informatique par des salariés de l’agence. Les manœuvres de la CIA ont également permis de capter des communications sénatoriales pour court-circuiter ses investigations.

Une enquête interne a été lancée au siège de la CIA suite à une déclaration du sénateur démocrate du Colorado, Mark Udall, qui a dénoncé une « action sans précédent » contre la commission sénatoriale.

Lire sur le New York Times

J'aime(0)Ferme-la !(0)

Faille dans le noyau Linux : le root en 1 clic sur Android

Le noyau Linux est victime d’une faille de sécurité importante au début du mois de juin 2014 :

CVE-2014-3153
Pinkie Pie discovered an issue in the futex subsystem that allows a local user to gain ring 0 control via the futex syscall. An unprivileged user could use this flaw to crash the kernel (resulting in denial of service) or for privilege escalation.

GeoHot, célèbre hacker à qui l’on doit le crack de la playstation 3 et de l’iphone, a réussi à écrire un programme sur Android qui exploite cette vulnérabilité pour obtenir une élévation de privilège et ainsi avoir les droits administrateur sur le système (« root »).

Ca s’appelle TowelRoot et ca devrait potentiellement marcher pour obtenir le root sur tous les téléphones Android non mis à jour depuis début juin.

Ca c’était la bonne nouvelle. La mauvaise, moins médiatisée, est que n’importe quelle appli peut utiliser la même technique et avoir tous les droits (ce qui veut dire accéder à tous vos mots de passes, aux données personnelles de toutes les applis, mettre un virus ou mouchard, etc…).

Vous devez donc mettre à jour votre OS Android dès que possible !
– Omnirom est à jour pour le S3 par exemple

Cette remarque s’applique aussi à votre OS linux de bureau vu que la faille s’y applique aussi. :-) La majorité des distributions Linux (Debian, Ubuntu, etc…) ont déjà publié un correctif.

J'aime(5)Ferme-la !(0)