Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Muscular. Afficher tous les messages
Aucun message portant le libellé Muscular. Afficher tous les messages

dimanche 22 décembre 2013

Surveillance gouvernementale : Microsoft annonce des mesures

Sécurité : Microsoft est inquiet : ses clients sont préoccupés par la surveillance d'Internet. Lui aussi, assure-t-il, qui annonce plusieurs actions à venir.

Microsoft est préoccupé. La surveillance organisée par la NSA l'inquiète. C'est mauvais pour ses clients, et donc mauvais pour son business. Dans un billet de blog, il affirme "partager" l'inquiétude de ses clients, et donc "prendre des mesures pour s'assurer que le gouvernement passe par la voie légale plutôt que la force technologique brute pour accéder aux données des consommateurs".
Si le géant englobe la surveillance globale dans son discours, il s'intéresse surtout aux voies illégales. Pas question d'élargir la problématique aux méthodes de collaboration "volontaires" mises en lumière par le traitement de l'affaire initiale PRISM.
Extension du domaine de la lutte
Microsoft s'en prend notamment aux récentes allégations d'une collecte de données lorsqu'elles transitent sur les réseaux de fibre privés des géants du numérique. Google et Yahoo sont visés par ce programme MUSCULAR, mais Microsoft craignait dès le mois dernier d'être la cible potentielle d'une telle manoeuvre.
L'entreprise a donc décidé de "réaliser des actions immédiates et coordonnées dans trois domaines" :
  • "Nous étendons le chiffrement sur nos services"
  • "Nous renforçons les protections légales pour les données des utilisateurs"
  • "Nous améliorons la transparence de notre code" pour prouver qu'il ne contient pas de backdoor.
Côté chiffrement, on est dans le classique. Microsoft cherche à viser tous les niveaux, entre les utilisateurs et les services, mais aussi au niveau des données stockées, ou dans les communications avec d'autres fournisseurs de services lors d'échanges d'informations. Le déploiement débute maintenant et sera finalisé en 2014, assure le géant.
Un bon pas insuffisant ? 
La partie légale n'est pas particulièrement ébouriffante, Microsoft promettant de signaler une demande d'informations personnelles à un utilisateur ou une entreprise concernés, et promet d'aller devant les tribunaux lorsqu'un ordre contraignant contraire lui sera donné. Idem dans les pays étrangers (aux Etats-Unis), où Microsoft compte "lever des objections juridiques" à chaque fois que ce sera possible.
Le point le plus intéressant est évidemment le troisième. Ouverture du code ? Tiens, tiens... Ah non. En fait il s'agit d'étendre le programme permettant aux clients gouvernementaux de vérifier l'absence de backdoors dans le code. Des "centres de transparence" seront ouverts en Europe, en Amérique et en Asie. Un bon pas... Peut-être insuffisant.

samedi 2 novembre 2013

L'affaire Prism: Muscular distinct de Prism !


NSA : le programme de surveillance 'Muscular' révélé par un post-it, les géants du Web ulcérés

Business : Plus ça va et plus les programmes de la NSA ont des noms qui fleurent bon la testostérone. On attend avec impatience l'opération roXXor W45|-|ing70/\/.

Une nouvelle semaine et un nouveau programme. Avec une diapositive de la NSA - les désormais fameuses - le Washington Post a dévoilé l'existence d'un programme de surveillance des datacenters de Yahoo et Google dans le monde entier. Baptisé Muscular, il décrit l'exploitation des liens de fibre optique entre les différents datacenters des deux géants dans le monde.
Le post-it publié (voir ci-dessous) par le Washington Post nous révèle deux choses. D'abord, la NSA classe "top secret" des post-its et ne s'interdit pas un peu de poésie grâce aux smileys. Ce qui a d'ailleurs donné lieu à une séance de raillerie publique sur les réseaux sociaux, lancée par le Guardian.
 
Ensuite, plus sérieusement, la NSA exploite les liens entre les serveurs où sont stockées les informations sur les utilisateurs de Google ou Yahoo, grâce à un partenariat avec le GCHQ, l'équivalent britannique de la NSA.
Complément à Prism 
"Depuis des points d'interception indéterminés, la NSA et le GCHQ copient des flux de données entiers qui passent sur les câbles de fibre optique transportant des informations entre les datacenters des géants de la Silicon Valley", explique le Washington Post.
Ce système de surveillance est donc distinct de Prism, qui permet à la NSA d'aller collecter des données directement dans les serveurs des géants, grâce au consentement de ces derniers, plus ou moins obligés à la collaboration par le Patriot Act.
Le projet Muscular est bien moins basé sur la coopération. D'ailleurs, rapporte le journal américain, des ingénieurs de Google ont sauté au plafond en voyant le post-it. "Nous sommes outragés par les extrémités que semble avoir atteint le gouvernement pour intercepter des données depuis nos réseaux privés de fibre optique," a ainsi déclaré David Drummond, directeur juridique de Google, avant d'ajouter : "Cela souligne le besoin d'une réforme urgente."
Même discours chez Yahoo, qui affirme ne pas avoir "donné d'accès à nos datacenters à la NSA ou à une autre agence gouvernementale". Selon le Washington Post, Muscular serait justement la réponse aux limitations légales de Prism sur le territoire américain. Puisque tout se passe à l'étranger... La NSA a les mains libres, en somme.
La NSA a, quant à elle, nié par la voix de son responsable, le général Keith Alexander, les informations données par le Washington Post. "La NSA opère dans de nombreux cadres juridiques afin de remplir sa mission de défense de la nation. L'affirmation du Washington Post selon laquelle nous (...) [contournons] les limitations imposées par la loi sur le renseignement étranger et ses amendements est erronée. L'affirmation selon laquelle nous collectons  de grandes quantités de données appartenant à des Américains à partir de ce type de collecte est erronée. La NSA suit des procédures (...) destinées à protéger la vie privée des Américains (...). Nous sommes concentrés sur la collecte et l'utilisation de renseignements portant uniquement sur des cibles étrangères."
Si l'on suit le même schéma dressé par les précédents Prism et Xkeyscore, elle devrait prochainement démentir ses dénégations et expliquer l'intérêt du programme par la lutte contre le terrorisme. A suivre, donc.