La SNCF va épier ses voyageurs

Face à la menace terroriste, la SNCF teste la réponse technologique. Dans quelques gares, la compagnie ferroviaire s’est déjà équipée d’un logiciel d’analyse du comportement des voyageurs au travers des caméras de vidéosurveillance existantes. À défaut de filtrer tous les passagers avec des portiques de sécurité tels que proposés par la ministre de l’Écologie, la société publique va essayer de détecter les attitudes suspectes.

Stéphane Volant, le secrétaire général de l’entreprise publique, a expliqué dans les grandes lignes à l’AFP le fonctionnement de ce logiciel, dont l’analyse se base sur « le changement de température corporelle, le haussement de la voix ou le caractère saccadé de gestes qui peuvent montrer une certaine anxiété ». Une vidéosurveillance qui se veut donc intelligente, mais qui risque de générer énormément de faux positifs.

Vers un nouveau cap dans la surveillance

Avec cette expérimentation – qui s’étendra aux colis abandonnés -, la SNCF veut aussi mesurer le niveau d’acceptabilité des voyageurs pour ce genre de technologie. Mais au quotidien, personne ne verrait jamais ces logiciels, puisque les caméras elles-mêmes ne différeront pas. Le seul changement perceptible pour le public sera peut-être le nombre d’interpellations préventives de gens à l’attitude jugée suspecte…

Vidéosurveillance gare

Alors que ces tests auraient vocation à durer et que ce logiciel – dont le nom n’a pas été révélé – pourrait être étendu aux 40 000 caméras de la SNCF, se pose la question de la protection de la vie privée. Sur ce point, la compagnie ferroviaire a déjà répondu que ces expérimentations sont menées sous le contrôle de la Cnil.

Dans sa boîte à outils sécuritaire, la société lancera au printemps prochain une application mobile pour les voyageurs afin qu’ils signalent un danger. La SNCF imagine aussi équiper ses agents de caméras. Quant aux portiques, ils seront adoptés pour l’accès aux trains Thalys, en réponse à l’attentat déjoué au mois d’août. Gageons que les trains qui arrivent en retard ne génèrent pas trop de hausse de température corporelle.

Réagissez à cet article

Les opérateurs satellitaires européens nient leur rôle dans la fourniture d’Internet à Daesh

Dans une enquête publiée le week-end dernier, le journal allemand Spiegel Online pointe du doigt plusieurs acteurs de l’Internet satellitaire européens (SES, Avanti et le français Eutelsat) pour leur rôle supposé dans la fourniture d’une connexion au Web à Daesh. Alors que les géants du Net Google, Facebook ou Twitter sont appelés à contenir la propagande de l’organisation terroriste, se pose ici la question de son accès au réseau.

Et cette question est centrale dans la lutte contre le terrorisme, car Internet est l’un des vecteurs principaux utilisés par Daesh pour embrigader ses futures recrues. L’organisation diffuse sur les réseaux sociaux grand public ses messages de propagande, qu’elle adapte dans les langues locales, afin de toucher le plus de gens.

Des paraboles turques

Selon le Spiegel, l’organisation terroriste contourne le mauvais état des infrastructures Internet des zones qu’elle contrôle – en Syrie et en Irak – en se connectant par satellite, au moyen de paraboles achetées dans des pays frontaliers, dont la Turquie. En tant que prestataires techniques situés en amont de la chaîne, les opérateurs satellitaires se sont défendus de connaître les clients finaux, voire d’avoir pris des précautions.

C’est le cas d’Eutelsat, seul à avoir réagi publiquement

Le français, contrôlé à 26 % par l’État via la Caisse des dépôts, apporte dans un communiqué deux « clarifications ». Premièrement, il « n’a pas de contact avec des utilisateurs finaux », deuxièmement, « son réseau de distribution n’inclut aucun fournisseur de services en Syrie ». Eutelsat souligne qu’en 2013, il a interdit aux distributeurs de fournir des services Internet en Syrie.

Coordonnées GPS

Pourtant, lorsque les équipements fournis par les FAI se connectent aux satellites, ces derniers reçoivent des coordonnées GPS. Des informations censées permettre, en théorie, de pouvoir remonter la piste. Ainsi selon le Spiegel, de telles connexions sont bel et bien réalisées depuis le territoire de Daesh, dont Raqqa, la capitale autoproclamée, ou encore la ville de Mossoul, en Irak. Mais du côté des opérateurs satellitaires, aucun signal.

L’opérateur luxembourgeois SES a déclaré ne « pas (avoir) connaissance que ses satellites sont utilisés par l’EI ou dans des zones syriennes contrôlées par l’EI » et que si tel était le cas, il mettrait « tout en œuvre pour y mettre fin ». Eutelsat, lui, dit « n’avoir aucune connaissance d’utilisation de ses ressources par Daesh ». Si l’Internet satellitaire était coupé, il enrayerait la propagande, mais aussi les efforts de résistance des civils.

Réagissez à cet article

Source : http://pro.clubic.com/actualite-e-business/actualite-789264-eutelsat-daesh.html

Wi-Fi interdit, Tor bloqué, backdoors… les nouvelles idées au gouvernement

La liste des mesures envisagées par le gouvernement pour renforcer la sécurité au détriment de la liberté et de la vie privée s’allonge. Alors que le gouvernement envisage déjà de nouvelles lois sécuritaires qui permettraient par exemple de croiser tous les fichiers de données personnelles détenues par l’État, d’obliger à l’installation d’émetteurs GPS sur les voitures louées, d’allonger la durée de conservation des données de connexion ou encore de faciliter le recours aux IMSI-catchers, Le Monde révèle samedi de nouvelles mesures recensées par le ministère de l’Intérieur.
Le quotidien a en effet pu consulter un tableau édité en interne le mardi 1er décembre par la direction des libertés publiques et des affaires juridiques (DLPAJ), qui dépend du ministère de l’Intérieur de Bernard Cazeneuve. C’est elle qui prépare les projets de lois et de décrets relatifs aux libertés publiques et à la police administrative. C’est donc dans ce cadre, pour rédiger deux nouveaux textes législatifs — l’un sur l’état d’urgence, l’autre sur l’anti-terrorisme, que la DLPAG a dressé les mesures demandées par la police ou la gendarmerie qui pourraient être inscrites dans les textes attendus pour janvier 2016.

Interdire et bloquer TOR en France
Parmi ces mesures qui ne sont encore que des hypothèses de travail figure une série de nouvelles restrictions aux libertés sur Internet :
« Interdire les connexions Wi-Fi libres et partagées » et fermer toutes les connexions Wi-Fi publiques pendant l’état d’urgence, « sous peine de sanctions pénales ».

Jusqu’à présent la loi impose par principe aux abonnés à internet de sécuriser leur connexion pour éviter qu’elle soit utilisée à des fins illicites, mais le seul risque que prennent les abonnés généreux et récalcitrants qui laissent leur Wi-Fi ouvert est de recevoir un avertissement Hadopi si quelqu’un l’utilise pour pirater des films ou de la musique. En obligeant à fermer toute connexion, la police s’assurerait d’avoir un identifiant précis pour chaque adresse IP, ou au moins de réduire la liste des suspects possibles dans un même foyer. C’est en tout cas l’idée.
« Interdire et bloquer les communications des réseaux TOR en France » : Même à supposer que ça soit techniquement possible, ce serait une mesure totalement disproportionnée qui enverrait un très mauvais signe à l’international, alors que le réseau d’anonymisation TOR est utilisé par de très nombreux activistes et dissidents de pays autoritaires. L’un des premiers pays à avoir bloqué Tor était l’Iran.
« Identifier les applications de VoIP et obliger les éditeurs à communiquer aux forces de sécurité les clefs de chiffrement » : C’est la fameuse grande guerre du chiffrement à laquelle se prépare La Quadrature du Net, la France ayant sans aucun doute la volonté de se joindre à la Grande-Bretagne pour obtenir que les éditeurs de messagerie chiffrée fournissent des backdoors pour que les autorités puissent écouter les conversations interceptées.

Réagissez à cet article

Source : http://www.numerama.com/politique/133795-wi-fi-ouvert-interdit-tor-bloque-les-nouvelles-idees-de-la-police.html

L’Internet des objets augmente la surface des attaques des entreprises

L’Internet des objets (IoT) constitue-t-il une menace supplémentaire pour la sécurité des entreprises ? « Oui, répond sans hésiter Alain Merle (4e sur la photo en partant de la gauche), responsable des programmes sécurité au CEA-Leti. Les dizaines de milliards d’objets qui seront connectés en 2020 vont augmenter les surfaces d’attaques. » « Le phénomène est très inquiétant avec l’IoT, renchérit Bernard Barbier (1er sur la photo), aujourd’hui RSSI de Capgemini et ancien directeur technique de la DGSE, car la surface d’attaque est en train de doubler ou tripler. »

Pas armé face à la déferlante de l’IoT

Les deux hommes intervenaient lors de la table ronde « Sécurité des systèmes connectés : quelles bonnes pratiques à adopter ? » organisée dans le cadre de l’édition 2015 de Cap’Tronic, le programme d’accompagnement des PME pour l’intégration des solutions électroniques et logicielles dans leurs produits, qui se déroulait ce lundi 21 septembre à la Cité Internationale Universitaire de Paris. Une menace d’autant plus inquiétante que « l’on n’est pas armé face à cette déferlante, estime Alain Merle, que ce soit technologiquement ou en termes d’usages. La cryptographie n’est pas la solution miracle, il y a des limites internes d’implémentation ajouté à un phénomène d’échelle plus complexe à gérer quand on doit faire face à des milliards d’objets au lieu de quelques dizaines de milliers. »

Au delà des normes et des contraintes, la labellisation pourrait s’inscrire comme une partie de la réponse à la problématique de la sécurité des entreprises qui seront inévitablement confrontées à l’IoT pour assurer leur développement. « On travaille beaucoup sur la certification des objets », indique Guillaume Poupard (2e sur l’image). Le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information) reconnaît néanmoins que le niveau de protection des objets est différent selon qu’ils concernent des systèmes stratégiques ou des usages grand public. Pour lui, « il faut positionner la sécurité en fonction de l’état de l’art ».

La sécurité dès la conception des objets

Pierre Girard (3e), expert en sécurité chez Gemalto invite de son côté les entreprises à prendre en compte la sécurité dès la conception de l’objet. « C’est plus facile à gérer dès le départ qu’en rajoutant une couche de sécurité après coup et il faut assurer cette sécurité tout au long du cycle de vie de l’objet, sur 10 ou 15 ans, à travers les mises à jour et en assurant la surveillance face à l’évolution des attaques. » Une conception initiale qui entraine un surcoût. « La sécurité a un coût mais l’absence de sécurité coûte encore plus cher », justifie l’expert. Et d’illustrer son propos en citant l’exemple de Chrysler obligé de rappeler 1 million de véhicules suite à la démonstration de piratage d’une Jeep Cherokee qui va lui coûter quelque 1,4 milliard de dollars en frais de traitement.

Un risque loin de la problématique des PME par définition de tailles plus modestes que les constructeurs automobiles ? Bien au contraire. « Les PME sont les cibles les plus touchées par les tentatives d’attaques. Il n’est pas question pour elles de devenir expertes en sécurité mais d’appliquer des règles de base, tels les mots de passe renforcés, la protection des réseaux Wifi, la séparation des usages professionnels et personnels, notamment avec les smartphones, insiste Guillaume Poupard qui en a profité pour brandir à la salle quasi comble le guide des bonnes pratiques de l’informatique édité par l’Anssi. Les chemins d’attaque passent souvent par les système personnels, que ce soit celui des employés ou des dirigeants. Le même mot de passe employé pour les usages professionnels et personnels est une réalité aujourd’hui. »

Le RSSI, un gestionnaire des risques

D’où l’importance de revoir l’approche de la sécurité par de nouvelles (bonnes) pratiques. « Avant le RSSI (responsable de la sécurité des systèmes d’information, NDLR) était un technicien. Aujourd’hui, c’est un métier de gouvernance, de dialogue et même de ressources humaines pour former les salariés », rappelle Bernard Barbier. Il est d’autant bien placé pour le savoir que le responsable a réalisé un petit test en interne en organisant une fausse campagne de phishing par e-mail invitant les collaborateurs à cliquer sur un lien potentiellement infectieux. « Je ne vous donnerai pas le chiffre mais le taux de réussite [de l’opération] était élevé. » Si même dans une SSII comme Capgemini cette technique d’attrape-nigaud fonctionne efficacement, que penser des autres secteurs ? Et d’admettre en conséquence que « on s’est trompé à vouloir mettre toute la sécurité dans la technique. La technologie c’est 60% de la solution mais il reste 40% d’humain. La sécurité est une gestion des risques ».

De son côté, Pierre Girard évoque un système de bons points attribués aux fournisseurs via un processus de labellisation et de certification pour simplifier la compréhension auprès des entreprises qui implémentent des solutions comme du grand public. Un point partagé par Alain Merle pour qui « pour implanter la sécurité correctement, il faut penser certification ». Un travail pour l’Anssi dont Guillaume Poupard annonce que des labellisations sont en cours, notamment pour les opérateurs de services Cloud d’infogérance en sécurité. Pour le directeur, « il faut permettre à la sécurité d’apporter un plus, et non pas d’être un frein, pour faire en sorte que les technologies continuent de poursuivre leur développement de manière illimitée ».

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.silicon.fr/linternet-objets-augmente-surface-dattaque-entreprises-126980.html

Par Christophe Lagane

Cyberattaques : la protection de la France passe désormais par les ordinateurs

C’est un champ de bataille très particulier. Pas de chars, de canons ou d’avions. Pourtant, les victimes peuvent être très nombreuses. Nous voilà dans le monde de la cyberdéfense. Jeudi 24 septembre à Paris se tenait à l’École militaire le premier colloque international consacré au sujet. La France n’est évidemment pas à l’abri. Il faut donc trouver la parade. Le combat numérique, c’est la guerre du XXIème siècle à gagner.

Rappelez-vous du chaos provoqué par l’attaque informatique contre TV5 : des hackers (russes certainement) ont contraint la chaîne de télévision à interrompre ses programmes pendant plusieurs heures après avoir propager par e-mail un virus. En 2010, les services spécialisés américains et israéliens ont créé Stuxnet. Le « ver », le « tenia » informatique, sournois, a été capable d’embrouiller les meilleurs cerveaux iraniens en charge du programme nucléaire, en multipliant les bugs sur les centrifugeuses du site de Natanz. À la clé, Téhéran a perdu deux ans de recherche.

400 anomalies depuis le début de l’année

Aujourd’hui, si Daesh occupe l’espace numérique plutôt comme vecteur de propagande, dans un futur proche avec les moyens dont disposent les djihadistes pourquoi ne pas se lancer dans de telles attaques ? D’autant qu’il a du monde prêt à se vendre au diable, souligne le vice-amiral Arnaud Coustillière, patron de la cyberdéfense française.

« Cet espace numérique a été complètement investi par des pirates informatiques. Je vous parle de mercenaires informatiques. Les mafias se structurent, elles ont des capacités importantes. Il faut donc que les militaires trouvent leur juste place pour être capable d’identifier nos ennemis », dit-il.

On a trouvé plus de 45 virus sur le PC portable d’un sous-traitant
Arnaud Coustillière, patron de la cyberdéfense française

L’an dernier, notre ministère de la Défense a été le théâtre de 780 incidents. On ne parle pas d’attaques. Depuis le début de l’année, on tourne déjà autour de 400 anomalies identifiées, principalement sur les sites de communication (comme celui de la Dicod ou de l’état-major). Pour le reste, le ministère est plus discret. Mais il ne faut pas oublier les industriels de la défense : les grands groupes, comme les plus petites société. Là le bât blesse : la vulnérabilité est de tous les jours.

« Ce qui nous préoccupe également c’est, comme dans toutes les sociétés, les interventions dans l’environnement des plateformes de nos sous-traitants. On a trouvé plus de 45 virus sur le PC portable d’un sous-traitant qui venait faire une maintenance sur un système d’arme qui devait tirer en exercice quelques jours après. C’est inadmissible », relate Arnaud Coustillière.

Un drone Harfang avait connu des problèmes avant son décollage d’Afghanistan, justement parce qu’un serveur en France était contamine. La mission avait été retardée. Ce qui fait désordre, mais surtout peut coûter la vie à des militaires non protégés.

Maîtres en logiciels

Il ne faut pas se priver d’attaquer. Mais il faut d’abord se défendre. Au moins la menace a été prise en compte en 2009. Il y a eu la création de l’Agence nationale de la sécurite des systèmes d’information (Anssi), avec son groupe d’intervention. Il y a aussi un centre opérationnel 7 jours sur 7, 24 heures sur 24 qui apporte son expertise : il veille, détecte et alerte.

La nouvelle loi de programmation militaire vient apporter un milliard d’euros supplémentaires dans l’escarcelle et 1.000 spécialistes de plus, à recruter dans les écoles d’ingénieurs notamment. Il y a également ces compagnies cyber, maîtres en logiciels, qui sont formées. Il y en a une déployée à Abou Dhabi dans le cadre de l’operation « Chamal », et bientôt une autre sur le Charles-de-Gaulle qui doit appareiller en novembre. Avec, c’est certain, une double priorite pif-paf attaque-défense.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.rtl.fr/actu/societe-faits-divers/cyberattaques-la-protection-de-la-france-passe-desormais-par-les-ordinateurs-7779843074

Replay de l’émission Infrarouge du 22 septembre : On nous écoute : Cyberguerre, l’arme fatale ? – 1ère partie 

A l’heure où la France vient de voter la très contestée Loi sur le Renseignement, où le hacking, le tracking et la cyber-surveillance font partie des grands débats de nos sociétés, où les révélations d’Edward Snowden ont enflammé la planète, les questions que posent ces 2 films deviennent incontournables.

Sommes-nous tous des coupables potentiels à surveiller ? Faudra-t-il abandonner notre présomption d’innocence pour une sécurité dont tout le monde sait qu’elle ne peut pas être totale ? Comment contrôler les services de renseignements sans les empêcher de travailler efficacement ? Et sommes-nous prêts à protéger nos propres lanceurs d’alerte face aux pressions récurrentes d’un Etat-surveillance de plus en plus puissant ?

Une série documentaire inédite (2X52′) écrite et réalisée par Pierre-Olivier François
Une coproduction Artline Films, WGBH Frontline et NOVA
Produit par Olivier Mille
Avec la participation de France Télévisions
Avec le soutien du Centre National du Cinéma et de l’Image Animée
Unité de programmes documentaires de France 2 : Fabrice Puchault et Barbara Hurel
La case Infrarouge invite les téléspectateurs à réagir et commenter les documentaires en direct sur twitter via le hashtag #infrarouge

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.france2.fr/emissions/infrarouge/diffusions/22-09-2015_341460

Cyberespace : les USA et la Chine font la paix

Plus tôt, le président américain Barack Obama avait parlé du risque d’aggravation des relations bilatérales en cas d’impossibilité de trouver un terrain d’entente. Au printemps, un tel accord avait déjà été signé entre la Russie et la Chine. Un nouveau régime international de conduite des pays dans le cyberespace pourrait ainsi voir le jour progressivement.

Les représentants de la Chine et des USA mènent des négociations sur un accord les engageant mutuellement à ne pas porter d’attaques cybernétiques contre des sites d’infrastructure critique en temps de paix. Cet accord visera à prévenir les attaques contre les centrales électriques, les systèmes bancaires, les réseaux téléphoniques et les hôpitaux. Les sources du NYT auprès de l’administration du président américain soulignent que ce document devrait contenir peu d’aspects concrets. Il impliquera très probablement des engagements sur le respect des principes et des règles de conduite dans le cyberespace adoptés par un groupe d’experts gouvernementaux de l’Onu en juin dernier.

L’accord en question ne devrait pas concerner l’espionnage industriel des sites commerciaux qui, selon les USA, constituent la grande partie des intrusions chinoises. Ces derniers temps, ce problème est devenu central dans les relations bilatérales. « A un certain moment nous commencerons à considérer les cyberattaques comme une menace à la sécurité nationale et nous y réagirons en conséquence », a déclaré le 11 septembre Barack Obama à Fort Meade devant les militaires américains. Le 16 septembre, il déclarait aussi aux représentants de la communauté d’affaires: « Nous avons préparé plusieurs mesures appelées à montrer que si cette question n’était pas réglée, elle compliquerait considérablement les relations bilatérales ».

Les opinions exprimées dans ce contenu n’engagent que la responsabilité de l’auteur.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://fr.sputniknews.com/presse/20150921/1018285357/cyberespace-usa-chine.html

Par Kommersant

Emission Infrarouge sur France 2 ce mardi à 22h50 : On nous écoute : Cyberguerre, l’arme fatale ? – 1ère partie 

Sommes-nous tous des coupables potentiels à surveiller ? Faudra-t-il abandonner notre présomption d’innocence pour une sécurité dont tout le monde sait qu’elle ne peut pas être totale ? Comment contrôler les services de renseignements sans les empêcher de travailler efficacement ? Et sommes-nous prêts à protéger nos propres lanceurs d’alerte face aux pressions récurrentes d’un Etat-surveillance de plus en plus puissant ?

Une guerre d’un nouveau genre a vu le jour, qui bouleverse les règles et les enjeux des conflits traditionnels. Internet est en train de modifier totalement les champs de bataille, de brouiller les frontières entre alliés et ennemis, entre espionnage et sabotage, entre guerre et paix. Pas avec des armes lourdes mais avec des codes et des virus de plus en plus sophistiqués pour déstabiliser, prendre le contrôle ou détruire des centrales électriques ou nucléaires, un réseau ferroviaire, un ministère, des ordinateurs de guidage …

Nos armées se dotent de moyens toujours plus sophistiqués pour lutter contre un ennemi inconnu, invisible et imprévisible. Comment se défendre ? Comment attaquer ?

De nos choix dépendra la société dans laquelle nous vivrons à l’avenir. 

Une série documentaire inédite (2X52′) écrite et réalisée par Pierre-Olivier François
Une coproduction Artline Films, WGBH Frontline et NOVA
Produit par Olivier Mille
Avec la participation de France Télévisions
Avec le soutien du Centre National du Cinéma et de l’Image Animée
Unité de programmes documentaires de France 2 : Fabrice Puchault et Barbara Hurel
La case Infrarouge invite les téléspectateurs à réagir et commenter les documentaires en direct sur twitter via le hashtag #infrarouge

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.france2.fr/emissions/infrarouge/diffusions/22-09-2015_341460

En exclusivité, la nouvelle loi sur les écoutes de la DGSE

Cette proposition de loi (dite « relative aux mesures de surveillance des communications électroniques internationales ») fait suite au rejet, le 23 juillet, par le Conseil Constitutionnel des dispositions sur le même sujet inscrites dans la loi sur le renseignement.

L’article avait été retoqué par les Sages au motif notamment qu’il renvoyait à un décret secret (dont « l’Obs » avait révélé l’existence). La représentation nationale n’avait donc pas une idée assez précise du fonctionnement de ces grandes oreilles ni de leur contrôle. Cette nouvelle proposition de loi répond, semble-t-il, à l’exigence de (relative) transparence formulée par le Conseil Constitutionnel.

La proposition de loi apporte les clarifications suivantes :

La France préservée

Il est redit qu’il s’agit des communications « émises ou reçues de l’étranger » et que la DGSE ne peut cibler la France. Plus précisément, le texte stipule que si, du fait du trajet aléatoire des signaux électroniques, le service de renseignement intercepte des communications échangées entre personnes ou équipement « utilisant des numéros d’abonnement ou des identifiants rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, ces interceptions sont instantanément détruites. »

Le Premier ministre au centre du dispositif

Cet article est le plus important pour la DGSE. Il stipule que la décision générale d’écouter tel ou tel « système de communication » revient au Premier ministre qui en assume donc la responsabilité. Autrement dit, c’est le chef du gouvernement qui désormais autorise l’interception des flux provenant des satellites de communication et des câbles sous-marins.

Cette disposition oblige également la DGSE à obtenir l’autorisation des Premiers ministres futurs si elle veut écouter de nouveaux moyens de communication. Le but est notamment d’éviter que ne se reproduise l’épisode de 2008. A l’époque, la loi ne permettait pas à la DGSE d’écouter les câbles sous-marins. Pour passer outre, elle avait obtenu à l’insu de la représentation nationale la signature du décret secret évoqué dans la précédente mouture de la loi.

Le big data légalisé

Le Premier ministre « autorise l’exploitation non individualisée des données de connexion interceptées ». Il s’agit de la reconnaissance publique que la DGSE intercepte des flux et pas seulement des communications individuelles et qu’elle analyse les « big data » ainsi récoltées. Le texte ajoute que « ces autorisations [délivrées pour un an] déterminent la ou les finalités poursuivies ainsi que les types de traitements automatisés pouvant être mis en œuvre. »

Les pays cibles des grandes oreilles

Le paragraphe le plus novateur stipule que le Premier ministre autorise l’écoute de « zones géographiques [donc des pays ou des régions] », d’ »organisations », de « personnes » ou de « groupes de personnes ». C’est la première fois qu’un texte officiel confirme que la France écoute elle aussi le monde, que la DGSE agit comme la NSA (avec, certes, moins de moyens). On remarquera que le législateur n’interdit pas l’écoute de dirigeants étrangers, ennemis ou amis…

Contrôle théorique

La Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR) « dispose d’un accès permanent, complet et direct aux renseignements collectés, aux transcriptions et extractions réalisées […] et peut contrôler à sa demande les dispositifs techniques ». Sur le papier, les écoutes de la DGSE sont donc bien contrôlées. Tout dépendra des moyens dont la future CNCTR va disposer.

Destruction possible

La CNCTR peut recommander au Premier ministre la destruction d’écoutes non conformes. Si celui-ci refuse, elle peut saisir le Conseil d’Etat pour trancher. Une disposition originale.

Recours individuel

Comme pour les écoutes intérieures, « toute personne souhaitant vérifier qu’aucune mesure de surveillance [par la DGSE] n’est irrégulièrement mise en œuvre à son égard » peut saisir la CNCTR. Celle-ci notifie à la personne en question qu’il a procédé aux vérifications nécessaires « sans confirmer ou infirmer la mise en œuvre de mesures de surveillance ».

Délais de conservation

La loi définit des délais de conservation des interceptions qui s’étalent entre un an pour les communications à huit pour les renseignements chiffrés en passant par six pour les données de connexion.

Le texte du projet de loi :

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://tempsreel.nouvelobs.com/monde/20150909.OBS5547/exclusif-la-nouvelle-loi-sur-les-ecoutes-de-la-dgse.html

Par Vincent Jauvert

Fuite d’une ébauche du projet de loi numérique d’Axelle Lemaire

L’ébauche diffusée par nos confrères date de début juillet, avant que la piste d’une seconde loi relative au numérique – et portée cette fois par le ministre de l’Économie, Emmanuel Macron – ne soit confirmée par le gouvernement. « Selon nos informations, le texte a évolué depuis, et n’est toujours pas complètement stabilisé. Les réunions interministérielles de validation n’ont pas encore commencé » insiste d’ailleurs le journaliste Samuel Le Goff, pour bien faire comprendre que beaucoup de choses risquent de bouger d’ici à la publication de l’avant-projet de loi censé être soumis aux commentaires des internautes cet été…

Cette version de travail, longue d’une trentaine de pages, contient malgré tout plus de 80 articles. On y retrouve les principales mesures distillées au fil du temps par la secrétaire d’État au Numérique, Axelle Lemaire, ou même par Manuel Valls. Tour d’horizon.

Open Data

Ouverture par défaut des données publiques détenues par l’administration. L’État, les collectivités territoriales et les personnes chargées d’une mission de service public seraient tenus de diffuser automatiquement leurs documents administratifs communicables au sens de la loi CADA, dès lors que ceux-ci existent au format électronique. Aucune référence au format de mise en ligne de ces documents ne figure cependant dans cette version de travail. L’entrée en vigueur de ces dispositions est par ailleurs progressive : dans les six mois pour des « bases de données de référence définies par un arrêté du Premier ministre », puis deux ans pour les documents administratifs reçus ou produits après la promulgation de la loi, et enfin cinq ans pour l’ensemble des documents.

Principe de gratuité. La réutilisation d’informations publiques deviendrait gratuite, également par défaut. Des redevances pourront toujours être réclamées par des administrations, à condition toutefois que « le coût de la reproduction ou de la numérisation des documents administratifs concernés ou l’anonymisation des informations qu’ils contiennent représente une part significative de leurs ressources ». Un registre public serait spécialement créé afin de rassembler toutes les informations relatives à ces différentes redevances.

Création d’un « service public de la donnée ». Sous la houlette de l’Administrateur général des données, dont les missions sont gravées dans le marbre, ce service public de la donnée aurait pour objectif de faciliter la circulation de données entre administrations. Pour la première fois, il est prévu que des décrets puissent exiger « la transmission de données à l’administrateur général des données, lorsque cette transmission est nécessaire à la constitution ou à la mise à jour des données de référence ».

Statut pour les « données d’intérêt général ». Les délégataires de services publics ou les organisations recevant des subventions de plus d’un million d’euros pourraient être contraintes de mettre en Open Data certaines données produites dans le cadre de leur mission, financée sur deniers publics. L’ouverture de données purement privées (environnement, énergie…) pourrait également être exigée par les pouvoirs publics, dès lors qu’il y aurait un « motif d’intérêt général, tenant notamment à leur contribution déterminante à la mise en œuvre d’une politique publique, à la recherche [publique] ou au développement d’activités économiques nouvelles ». Ces dispositions risquent toutefois d’évoluer suite aux travaux menés par la mission Cytermann (voir notre article).

Ouverture du code source des logiciels développés par l’État

Les « codes source des logiciels » figureraient expressément parmi la liste des informations publiques considérées communicables au sens de la loi CADA.

Protection des données personnelles

Plusieurs articles ont été rédigés afin que chaque utilisateur d’un service en ligne puisse obtenir la copie des données collectées à son égard, dans « un format électronique ouvert et permettant une réutilisation effective de ces données ». Des dispositions spécifiques aux emails ont également été insérées.

Renforcement des missions la CNIL

L’institution pourrait être « obligatoirement consultée sur tout projet de loi ou de décret comportant des dispositions relatives à la protection des données à caractère personnel ou au traitement de telles données ». Elle serait même autorisée à « prendre l’initiative de donner un avis » sur toute question relative la protection des données personnelles, notamment en direction du législateur.

Plus de pouvoirs pour la CNIL

Les sanctions prononcées par la Commission pourraient devenir bien plus dissuasives pour les géants du numérique : jusqu’à 3 millions d’euros ou, pour les entreprises, 5 % de leur « chiffre d’affaires annuel mondial ». On serait ainsi bien loin des 300 000 euros maximums prévus actuellement (et uniquement en cas de manquements répétés…). En cas d’urgence, la CNIL pourrait d’autre part ordonner au responsable d’un traitement de respecter la loi Informatique et Libertés dans un délai de 24 heures, contre 5 jours actuellement.

Action collective pour les litiges relatifs aux données personnelles

Sur le modèle des nouvelles actions de groupe, des internautes pourraient saisir les juridictions civiles par le biais notamment d’associations de consommateurs, et ce « afin d’obtenir la cessation d’une violation » à la loi Informatique et Libertés. Assez curieusement, ce dispositif ne fonctionnerait pas pour les traitements de données personnelles mis en œuvre dans le cadre d’un service public administratif.

Droit à l’oubli pour les mineurs

Le fait qu’une personne ait moins de 18 ans au moment où une donnée la concernant est collectée serait un « motif légitime » justifiant l’arrêt de son traitement, « sauf si la personne mineure était une personnalité publique ».

Droit de « mort numérique »

Chaque internaute pourrait laisser des directives concernant le devenir de ses données personnelles, en cas de décès. La personne désignée (ou, à défaut, les héritiers) auraient ensuite le pouvoir de se tourner vers les réseaux sociaux ou autres services en ligne pour obtenir par exemple la suppression des données ou du compte du défunt, etc.

Des pistes très variées

Neutralité du Net. Posant le principe que l’exploitant d’un réseau de communication électronique n’a « ni la connaissance ni le contrôle des informations reçues ou transmises par des tiers », des restrictions ne pourraient être mises en œuvre « que dans le respect des principes de non-discrimination, de proportionnalité, de nécessité et de transparence lorsque le niveau de qualité du service n’est pas garanti ».

Définition positive du domaine public. L’ébauche diffusée par Contexte comprend un article qui reconnaît expressément un « domaine public informationnel », composé premièrement des « informations, données, faits, idées, principes et découvertes, dès lors qu’ils ont fait l’objet d’une divulgation publique » ; deuxièmement des « objets qui ne sont pas couverts par les droits prévus dans le Code de la propriété intellectuelle ou dont la durée de protection légale a expiré » ; et troisièmement des « documents administratifs diffusés publiquement » par l’État, les collectivités territoriales, etc.

De nombreux autres sujets sont abordés, tels que la régulation des jeux d’argent en ligne, le renforcement des pouvoirs de l’ARCEP (le régulateur des télécoms), la loyauté des plateformes, etc. Sauf que certains de ces sujets auront plus vraisemblablement leur place dans l’éventuel projet de loi « Macron II », dont les mesures devraient être davantage tournées vers l’aspect économique. Résultat dans quelques jours, si le gouvernement se décide à publier (enfin) la version « bêta » du projet de loi numérique d’Axelle Lemaire.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.nextinpact.com/news/95876-fuite-d-une-ebauche-projet-loi-numerique-d-axelle-lemaire.htm

Par Xavier Berne