Powered By Blogger

Rechercher sur ce blogue

samedi 19 février 2011

Comment les espions recrutent dans votre entreprise ?



1298053289_spyware.pngSan Francisco, 18 février 2011 - Comment empêcher un salarié indélicat et motivé, disposant des bonnes autorisations, de piller les secrets auxquels il a accès ? C'est tout simplement quasi-impossible et c'est bien pour ça que depuis la nuit des temps l'espionnage est avant tout une affaire de recrutement.

Recruter la bonne personne au bon poste : voilà le vrai visage des opérations d'espionnage, très loin des clichés véhiculés par le cinéma. Et c'est précisément le message qu'est venu délivrer Ira Winkler aux participants de la RSA Conference 2011. Cet ancien analyste à la NSA est aujourd'hui spécialiste des tests d'intrusion. Il a détaillé le processus de recrutement qui pourra amener en quelques semaines l'un de vos collaborateurs à livrer vos secrets à un parfait inconnu. Rien de nouveau ici : les techniques utilisées sont exactement les mêmes que celles utilisées par les services de renseignement à travers le monde.

La première étape d'une telle opération sera bien entendu d'identifier les collaborateurs disposants d'un accès aux informations visées. Cela peut se faire via des sources Internet publiques, mais aussi tout simplement en abordant des collaborateurs dans un restaurant proche de l'entreprise ou sur un salon professionnel.

L'attaquant cherchera avant tout à isoler des individus présentant certaines vulnérabilités psychologiques particulières afin de les exploiter. Il tentera notamment d'appuyer sur quatre "boutons" bien connus :

  • Idéologie : L'opérateur recherchera des employés mécontents. Mais, attention : pas ceux ouvertement en guerre contre leur entreprise, ou ceux dont la haine est clairement débordante. Il préfèrera de loin identifier un ressentiment naissant, modéré, et le faire grandir sous son contrôle.
  • Ego : Flatter la cible afin de l'amener à souhaiter briller encore plus aux yeux de l'opérateur - et donc de fournir des informations plus juteuses - est une vieille technique. D'après Ira Winkler cela marche encore mieux depuis l'avènement des réseaux sociaux, où beaucoup souhaitent briller en montrant l'importance de leur travail.
  • Coercition : Le chantage est un excellent moyen d'obliger la cible à livrer des informations sensibles. Pour cela l'opérateur pourra tenter d'obtenir (par le piratage de son ordinateur familial par exemple) des informations ou photographies compromettantes.
  • Argent : Le plus souvent utilisé en addition d'une autre motivation ci-dessus, notamment afin de "cimenter" psychologiquement la cible dans son engagement.

La formule d'un recrutement réussi est donc finalement très simple : une faiblesse psychologique exploitable + une source de mécontentement à faire grandir + une dose de naïveté.

Par ailleurs des techniques de programmation neuro-linguistiques seront utilisées dans un premier temps afin de s'adapter à la cible (pour faciliter l'approche) et ensuite afin de "reprogrammer" son système de valeurs : "voler" devient alors "emprunter" et "copier" devient par exemple "rendre service". Ce recours à la PNL n'est pas anodin : "Il ne s'agit pas d'un Art mais d'une science, les opérateurs cherchent à obtenir des résultats prévisibles et reproductibles", explique Ira Winkler.

Si Winkler a bien pris soin de préciser à plusieurs reprises qu'il n'y a rien de nouveau ici, et notamment que ces techniques étaient déjà utilisées bien avant qu'Internet ne voit le jour, il reconnaît toutefois que les réseaux sociaux facilitent désormais grandement le recrutement des taupes : "Facebook permet par exemple de savoir immédiatement qui a des problèmes avec son employeur, ou des soucis d'argent, ou encore qui a un égo démesuré. Paradoxalement tout ce qui rend une personne vulnérable au recrutement, c'est elle qui l'affiche volontairement sur Facebook", poursuit Ira Winkler.

Se protéger contre de telles attaques est bien entendu très difficiles pour une entreprise. "D'autant plus que tout le monde peut être une cible en raison de ses fréquentations ou de ses amitiés, et pas uniquement les collaborateurs", note Ira Winkler.

Il serait toutefois dangereux de ne pas sensibiliser les salariés à l'existence de telles opérations. Outre des programmes privés, en France la DCRI propose aux entreprises des interventions de sensibilisation sur ce thème. Tous les membres de SecurityVibes ayant participé à ces séances ont trouvé l'exercice très enrichissant et particulièrement bien ficelé.

Enfin les salariés eux-mêmes devraient comprendre qu'exposer leurs griefs à l'encontre de leur entreprise ou leurs problèmes d'argent sur les réseaux sociaux ne sert concrètement à rien mais les expose à être recrutés et manipulés par un opérateur. Et il ne s'agit pas vraiment d'un sort très glamour : "Le rôle de l'opérateur est celui d'un marionnettiste : il tire les ficelles mais ne se mouille jamais. Si ses agents sont démasqués il pourra en être contrarié mais il ne fera rien pour eux. Un agent recruté est une ressource, c'est tout", conclue Ira Winkler.

REF.:

Visite virtuelle de Venise

ROME - La ville de Venise a annoncé jeudi le lancement d'un site permettant la visite virtuelle sur internet de la cité lagunaire et des environs de certains de ses musées.

Le site, www.veniceconnected.com, permet de naviguer à l'intérieur d'images tournées à 360° au niveau de la rue, ou de l'eau pour les canaux.

À LIRE ÉGALEMENT:

Google: visite virtuelle des grands musées du monde

Il suggère des itinéraires touristiques y compris dans les zones de la ville moins connues et permet de se promener virtuellement sur les principaux canaux de la cité des doges.

Selon le responsable du tourisme de la municipalité, Roberto Panciera, cette visite sur internet «s'adapte bien à la spécificité et au caractère unique de la ville dont une visite intelligente demande à être préparée auparavant».

La municipalité a prévu dans un second temps la possibilité pour les restaurants, l'hôtellerie ou l'artisanat d'insérer leurs propres offres sur ce site de manière à permettre à un touriste d'organiser la totalité de son séjour à Venise.

Le site googleartproject.com ouvre la possibilité de visiter de chez soi non seulement Versailles et le Museum of Modern Art (MoMA), mais aussi la National Gallery de Londres, le Rijksmuseum d'Amsterdam, l'Ermitage de Saint-Pétersbourg, etc.

REF.:

hacktivisme: Cryptome a mit au monde Wikileaks

Cryptome est un site web hébergé aux États-Unis qui collectionne des milliers de documents sensibles ou censurés par divers gouvernements depuis 1996. Le propriétaire du site est John Young, unarchitecte de New York.

Le thème général est l'espionnage, ce qui comprend notamment des documents sur :


Dès le 4 octobre 2006, le nom de domaine wikileaks.org avait été enregistré par John Young, co-fondateur deWikileaks et fondateur de cryptome.org, autre site qui dévoile également des documents confidentiels10.

Le site web WikiLeaks a été créé en décembre 2006 par quelques personnes engagées2, desquelles émerge ensuite un informel et évolutif Advisory Board11,12 de neuf personnes.



Le hacktivisme est une contraction de hacker et activisme. Ici se trouvent simultanément les savoir-faire technologiques et analyses politiques. Le "hacktiviste" infiltre des réseaux, toutes sortes de réseaux, et pas seulement les réseaux électroniques, mettant son talent au service de ses convictions politiques, et organisant des opérations coup de poing technologiques : piratages, détournements de serveurs, remplacement de pages d'accueil par des tracts, etc. Souvent ce terme en implique aussi un troisième : "art".

Hacker comme virtuose de la technologie et activiste politique que l'on retrouve le plus souvent dans les luttes libertaires, antifascistes, altermondialistes, mais aussi religieuses (extrémistes religieux). Cette jonction d'une pensée politique et d'un savoir faire technologique est souvent l'œuvre de ceux qui veulent que leur action ait un réel impact. Un geste politique sans forme n'aura pas de visibilité, une virtuosité technique sans l'intelligence du contexte n'aura pas d'efficacité, d'où la combinaison des trois termes « hack », « activisme », « art ».

Ce sont des actions qui peuvent prendre la forme de désobéissance civile.

Un des slogans de l'hacktivisme est : « l'information veut être libre ».

Il existe plusieurs types d'hacktivistes ; la plupart sont des personnes qui défendent leurs idées en hackant des sites contraires à leur éthique. Ils peuvent aussi faire des Google Bombings ou des chaînes de mails pour essayer de faire passer un message par la voix de la cyber-information.



Openleaks Vs Wikileaks ?

OpenLeaks est un site Web lanceur d'alerte en activité depuis le 27 janvier 2011.

Ancien porte-parole allemand de Wikileaks, Daniel Domscheit-Berg défend un projet alternatif qui corrigerait les travers du célèbre site lanceur d'alerte. En particulier, Daniel Domscheit-Berg reproche à Wikileaks d'avoir perdu de vue sa promesse open source.

Openleaks veut réussir là où Wikileaks a échoué. C'est ainsi que nous pourrions résumer, en une phrase, l'objectif du nouveau projet de Daniel Domscheit-Berg. En froid avec Julian Assange, lui reprochant d'avoir personnifié Wikileaks à son image, l'ancien porte-parole allemand du site lanceur d'alerte souhaite faire d'Openleaks une plate-forme transparence, neutre et ouverte. Contrairement à Wikileaks.

"Si vous prônez la transparence, vous devez l'être également dans votre fonctionnement. Ce n'était pas le cas de Wikileaks. Nous sommes une fondation, enregistrée comme telle en Allemagne, par une organisation souterraine" a-t-il expliqué à Owni. "Cela veut dire que nous n'avons pas d'agenda politique, que nous n'avons aucune raison de nous cacher et que nous bâtissons notre outil dans l'objectif de le maintenir opérationnel

"Nous devons en garder le contrôle tout en restant neutres" a poursuivi Daniel Domscheit-Berg. "Je ne veux pas évoquer mes différents avec Wikileaks [...], mais je peux vous dire que ces derniers mois, l'organisation ne s'ouvrait plus, elle avait perdue de vue sa promesse open source". Cette accusation n'est pas tout à fait nouvelle. Fin septembre, un universitaire avait également pointé du doigt le décalage croissant entre sa mission originelle et les publications expurgées d'informations sensibles.

"Parce qu'il faut protéger les éventuelles victimes d'éventuelles représailles, nous dit-on. Et par ce très juste argument, Wikileks redécouvre, comme par magie, l'une des vertus du secret en temps de guerre, et s'y soumet docilement. Wikileaks, à l'origine, c'était pas le type qui justement brisait les secrets ? Pourquoi se retrouve-t-on avec dans les mains des feuillets plus censurés qu'une lettre de Poilu de 1917" s'interrogeait-il.

À ce niveau-là, Openleaks ne devrait cependant pas revenir à une publication brute. A priori, son mode de fonctionnement doit lui éviter de se retrouver en première ligne en diffusant lui-même les documents confidentiels qu'il recevra. À la place, Openleaks servira de relai entre les informateurs et les médias, ONG et syndicats partenaires.

Ce sera à eux de décider si les documents valent la peine d'être publiés, et s'il faut expurger certaines informations sensibles.

************************************************************************************

WikiLeaks:



Wikileaks





Le site divulgue, de manière anonyme, non identifiable et sécurisée, des documents témoignant d'une réalité sociale et politique, voire militaire, qui nous serait cachée, afin d'assurer une transparence planétaire. Les documents sont ainsi soumis pour analyse, commentaires et enrichissements « à l’examen d’une communauté planétaire d’éditeurs, relecteurs et correcteurs wiki bien informés ».

Selon son fondateur, Julian Assange, l'objectif à long terme est que WikiLeaks devienne « l'organe de renseignements le plus puissant au monde »18.

WikiLeaks est une association à but non lucratif dont le site Web lanceur d'alerte, publie des documents ainsi que des analyses politiques et sociétales. Sa raison d'être est de donner une audience aux fuites d'informationnote 3, tout en protégeant ses sources.

Malgré son nom, WikiLeaks n'est plus un wiki8. De plus, WikiLeaks n'a pas de rapport éditorial ou organisationnel avec la Wikimedia Foundation et ses projets collaboratifs (Wikipédia, ...)9.

Dès le 4 octobre 2006, le nom de domaine wikileaks.org avait été enregistré par John Young, co-fondateur de Wikileaks et fondateur de cryptome.org, autre site qui dévoile également des documents confidentiels10.

Le site web WikiLeaks a été créé en décembre 2006 par quelques personnes engagées2, desquelles émerge ensuite un informel et évolutif Advisory Board11,12 de neuf personnes.

Dès 2007, environ 1,2 million de documents avaient été ajoutés à la base de données de WikiLeaks13 grâce à une communauté d'internautes, composée de dissidentschinois, iraniens, des mathématiciens et des technologues d'entreprises Internet des États-Unis, de Taïwan, d’Europe, d’Australie et d’Afrique du Sud, ainsi que de nombreux anonymes.

Les créateurs de WikiLeaks n'ont pas été formellement identifiés14. Le site a été principalement représenté depuis 2007 par Julian Assange. Assange se décrit comme un des membres de l'Advisory Board15, comprenant : lui-même, Phillip Adams, Wang Dan, C. J. Hinke, Ben Laurie, Tashi Namgyal Khamsitsang, Xiao Qiang, Chico Whitakeret Wang Youcai. Cependant, Khamsitsang et d'autres personnes citées par Assange, réfutent ou minimisent leur participation à ce comité consultatif16. À partir de 2010, cet Advisory Board n'est plus mis en avant sur le site officiel de WikiLeaks.

WikiLeaks est géré depuis octobre 2010 sous couvert d'une société de droit islandais Sunshine Press Production1.

Des journalistes ont comparé cette entreprise avec celle de Daniel Ellsberg, qui divulgua en 1971 les pentagon papers17.

La sécurité du site est renforcée par l'emploi de technologies cryptographiques de pointe. À cette fin, des processus mathématiques et de chiffrement extrêmement sophistiqués doivent assurer le caractère privé, l’anonymat et l’impossibilité d’identification. Techniquement, WikiLeaks associe des versions remaniées de Freenet, de Tor ou de PGP à des logiciels de conception maison. WikiLeaks pense notamment ainsi être « étanche aux attaques politiques et légales » et, en ce sens, « impossible à censurer ».

Les contributeurs peuvent se connecter en mode normal ou en mode sécurisé. À la suite de la publication des révélations de télégrammes de la diplomatie américaine en novembre 2010, le système de boîte aux lettres destinée à recevoir les fuites19 bénévoles a été provisoirement suspendu, en vu d'en renforcer encore la sécurisation de l'anonymat pour les sourcesnote 5.

Les informations peuvent être soit diffusées directement par WikiLeaks, soit transmises de façon cryptée à des médias qui en font une analyse journalistique permettant de les diffuser au grand public sous une forme plus accessible20.


Nota: Surement,d'autres émules suivront,..........Look4Leaks.net , ...........