Powered By Blogger

Rechercher sur ce blogue

vendredi 9 août 2019

Frédéric Pierucci : "Avec le Cloud Act, les Etats-unis ont légalisé l'espionnage économique"




Frédéric Pierucci : "Avec le Cloud Act, les Etats-unis ont légalisé l'espionnage économique" 


Cloud computing, cloud, GAFA, Cloud Act, espionnage
 
 
 
Cloud Computing : Prisonnier pendant 14 mois dans les prisons américaines, cet ancien responsable d’une division d’Alstom dénonce la logique d'extra-territorialité de la justice américaine. Il juge que le Cloud Act participe de cette tendance de fond.
Le Cloud Act, "c'est une prolongation de Prism" assure Frédéric Pierucci, ancien responsable d’une division d’Alstom passé dans les prisons américaines pendant 14 mois. Il était le protagoniste principal d'un entretien fleuve (2h15) donné au site Internet Thinkerview lundi soir.

Le Cloud Act ? Une loi américaine qui permet depuis mars 2018 aux procureurs américains d'exiger des fournisseurs de cloud computing nord-américains et des opérateurs télécoms l'accès aux données stockées sur leurs serveurs, même si ceux-ci sont situés en Europe.

Prism ? Le nom de code du système d'espionnage global mis en place par la NSA avec les entreprises du numérique américaines qu'a révélé Edward Snowden. Un système qui permet bien entendu de pratiquer l'espionnage économique de grande ampleur. Un système qui quand il a été rendu public a provoqué un tollé. Mais peu d'actions officielles de la part des pays visés. Dont la France.

"Normalement, le garde fou c'est le "serious crime"

"Avec le Cloud Act, les Etats-unis ont légalisé l'espionnage économique" mentionne Frédéric Pierucci. "En faisant cela ils bypassent complètement toute entraide judiciaire internationale" dit-il. "Si une entreprise française a enfreint les lois américaines, normalement il y a une demande qui est faite du ministère de la justice américain au ministère de la justice français, et vous avez transfert ou non transfert de données avec en France des lois de blocage qui sont censées protéger les entreprises françaises de l'export de leurs informations à des autorités étrangères".

"En faisant cela (le Cloud Act), ils shuntent complètement ce processus".

Problème pour les entreprises françaises, les fournisseurs de cloud computing sont pour l'essentiel américains. Avec le Cloud Act, AWS, Azure (Microsoft) ou encore Google Cloud Platform se doivent d'accéder aux demandes des procureurs américains. Le risque de voir leurs données et les données de leurs client fuiter outre-Atlantique est donc grand.

Microsoft par exemple se satisfait désormais du Cloud Act (pour Clarifying Lawful Overseas Use of Data) après avoir combattu l'administration américaine sur ce sujet. Le président et directeur juridique de Microsoft, Brad Smith, a justifié le support de Microsoft à cette loi au motif qu'elle ouvre la voie aux gouvernements à l'établissement d'accords internationaux dans ce type d'affaires. Mais à ce jour, point d'accords internationaux.

"Normalement, le garde fou c'est le "serious crime", mais c'est suffisamment vague pour englober des faits de corruption" dit Frédéric Pierucci, qui assure que ce système participe d'une véritable guerre économique que livrent les Etats-Unis à l'Europe. L'infraction de "serious crime" serait donc un pratique fourre-tout qui permettrait à des procureurs de demander l'extraction quasi-automatique des données.

"Un procureur ne peut pas demander cela à une entreprise américaine sans l'accord d'un juge. Sauf que j'ai fait l'analyse, rien que dans l'Etat du Connecticut, sur 120 000 demandes de warrant (mandat judiciaire) de procureur a un juge américain, cela a été refusé dans moins de 10 cas" dit l'ancien cadre d'Alstom. "Dans 99,9 % des cas où un procureur demande l'aval d'un juge, cela lui est donné" insiste t-il. "Cette loi date de mars 2018. Combien de données on été siphonnées depuis cette date ?" s'interroge t-il.

Le RGPD européen tente de tempérer ce risque dans son article 48. Il stipule qu’un ordre judiciaire d’un pays tiers ne crée pas un engagement juridiquement reconnu en Europe si l’ordre ne passe pas par une procédure de coopération internationale. Reste que le rapport de force entre des européens pour l'heure assez peu unis et l'offensive américaine n'est pas en faveur de l'Europe.

Le récent rapport Gauvain préconise sur le cloud act de ponctionner 4 % du chiffre d'affaires des Gafa qui transmettraient des données aux gouverneurs américains. Cette extension du RGPD aux données des personnes morales « permettra de sanctionner les hébergeurs qui transmettraient aux autorités étrangères des données en dehors de l’entraide administrative ou judiciaire » assure le rapport. "Sur le papier c'est beau" mentionne Frédéric Pierucci.

Frédéric Pierucci a été arrêté en 2013 par le FBI à sa descente d’avion à New-York et poursuivi pour une affaire de corruption. Après avoir plaidé coupable devant le procureur en juillet 2013, afin d’alléger sa peine, il passe quatorze mois en prison. "Otage" et prisonnier aux États-Unis, pendant que se jouaient des tractations entre le groupe français Alstom et l’Américain General Electric, il affirme avoir mis au jour un véritable système de rachat et d'accaparement d'entreprises étrangères par la contrainte par des entreprises américaines, avec l'aide du département de la justice des Etats-Unis et du FBI. Par le biais de sanctions, 14 milliards de dollars auraient été ponctionnés aux entreprises françaises depuis 2010 via ce système.

Il livre son témoignage dans "Le piège américain" (JC Lattès, 2019), ouvrage coécrit avec le journaliste Matthieu Aron.


REF.:

lundi 15 juillet 2019

Une étude révèle des liens troublants entre Huawei et l’armée chinoise



Une étude révèle des liens troublants entre Huawei et l’armée chinoise

Un hacker qui a lancé des attaques DDoS contre Sony, EA et Steam prend 27 mois de prison



Un hacker qui a lancé des attaques DDoS contre Sony, EA et Steam prend 27 mois de prison


Hackers, sony
 
 
Technologie : Six ans après, DerpTrolling, le pirate informatique qui a lancé toutes les attaques DDoS pendant la période de Noël, est condamné à une peine de prison.


Un homme de 23 ans habitant l'Etat de l'Utah a été condamné cette semaine à 27 mois de prison pour une série d'attaques de DDoS qui ont fait tomber des fournisseurs de services de jeux en ligne comme PlayStation Network de Sony, Steam de Valve, Xbox de Microsoft, EA, Riot Games, Nintendo, Quake Live, DOTA2, et des serveurs League of Legends, entre autres.


Nommé Austin Thompson, mais connu en ligne sous le nom de DerpTrolling, l'homme est le premier hacker à avoir lancé une tendance qui consiste à lancer des attaques DDoS contre les fournisseurs de jeux pendant la période de Noël. Le pirate et ses suiveurs ont ensuite justifiés par des raisons ridicules telles que "pour gâcher les vacances des gens", "pour faire passer du temps aux familles" ou "pour le lulz" leurs actions.

Les attaques de DDoS du pirate ont été extrêmement réussies à l'époque, en 2013, à une époque où la plupart des entreprises n'utilisaient pas de solides services d'atténuation contre les attaques de DDoS. À l'époque, Thompson utilisait le compte Twitter @DerpTrolling pour annoncer les attaques et communiquer.

Alors que le pirate était actif depuis 2011, son action la plus célèbre s'est déroulée entre décembre 2013 et janvier 2014, lorsque la plupart de ses attaques DDoS très médiatisées ont eu lieu, avant que le compte ne devienne inactif.

Les attaques ont provoqué la déconnexion de nombreux services de jeux en ligne, et après avoir vu le succès de DerpTrolling et la couverture médiatique du pirate, de nombreuses autres équipes de hacking ont agit de même les années suivantes.

Des groupes de pirates comme Lizard Squad ont lancé des attaques DDoS à Noël en 2014, un groupe appelé Phantom Squad a fait de même en 2015, R.I.U. Star Patrol en 2016, et plusieurs pirates isolés l'an dernier, en 2017, mais avec moins de succès que les années précédentes.

Cette tendance annuelle aux attaques DDoS contre les services de jeux pendant les vacances de Noël a incité le FBI à agir. L'agence, en collaboration avec les forces de l'ordre du Royaume-Uni et des Pays-Bas, a saisi les domaines de 15 services de DDoS l'année dernière, en décembre, afin de tenter de prévenir toute attaque DDoS. Ce qui s'est finalement avérée fructueux. Thompson a été arrêté en 2014. Il a plaidé coupable en novembre 2018.

Selon le document de condamnation de Thompson obtenu par ZDNet, le pirate informatique doit également payer 95 000 $ en dédommagement à Daybreak Games (anciennement Sony Online Entertainment), et il doit commencer sa peine de 27 mois de prison le 27 août.

"Les attaques par déni de service coûtent des millions de dollars par an aux entreprises et aux particuliers" a déclaré le procureur Robert Brewer. "Nous nous engageons à poursuivre les pirates qui perturbent intentionnellement l'accès à Internet."

REF.: Article "Hacker who launched DDoS attacks on Sony, EA, and Steam gets 27 months in prison" traduit et adapté par ZDNet.fr

lundi 1 juillet 2019

Attention au frais des message texto SMS "Premium" a 10$ ?



Attention au frais des messages texto SMS "Premium" ?



sms


Si vous envoyez de l'argent pour opération enfants soleil ,ou pour voter etc , par texto ,vous aurez des frais de 10$ par message envoyé par videotron.Ceci n'est pas inscrit dans votre forfait cellulaire et aucun avertissement de videotron ou de Fido/Rogers n'y est appliqué.
Les messages Premium sont activés par défaut et peuvent être désactivés par Vidéotron ,si vous le demandez.

La messagerie Premium est une variante du service de messagerie texte, photo et vidéo. À l’aide de numéros abrégés faciles à mémoriser, elle vous permet :
  • d’avoir accès à divers renseignements comme des horaires de vols, des numéros de téléphone (411), des résultats de recherches, des traductions, des itinéraires de Google, des résultats sportifs, le cours de la bourse, etc.
  • de profiter de divers services. Par exemple : participer à des jeux-questionnaires et à des concours, prendre part à des sessions de clavardage, écouter de la musique, commander des sonneries et des fonds d'écran, etc. 
Certains services fonctionnent selon une fréquence préétablie (par ex. : retard d’un vol, résultats sportifs), tandis que d’autres fonctionnent sur demande.



REF.: T30

dimanche 30 juin 2019

Un outil destiné aux forces de l'ordre capable de déverrouiller quasiment tous les smartphones




Un outil destiné aux forces de l'ordre capable de déverrouiller quasiment tous les smartphones

 

Libellés

smartphone, FBI, cybersécurité, sécurité
 

L'entreprise israélienne Cellebrite, spécialisée dans la création d'outils d'extraction, de transfert et d'analyse de données, a développé l'UFED (Universal Forensic Extraction Device), un dispositif permettant de déverrouiller "presque" tous les terminaux iOS et Android.
Dans sa dernière version (UFED Premium, précise TechRadar), l'outil mis au point par Cellebrite il y a déjà quelques années pourrait constituer une solution rêvée pour les enquêteurs. Ce dispositif est capable de déverrouiller "les appareils Apple fonctionnant d'iOS 7 à iOS 12.3", mais aussi les terminaux "propulsés par Android, y compris les Samsung Galaxy S6/S7/S8/S9 et les modèles fabriqués par Motorola, Huawei, LG ou encore Xiaomi", explique le groupe basé à Petah Tikva, près de Tel-Aviv.

L'UFED : un dispositif clé en main par la police


Le dispositif, qui prend visiblement la forme d'un appareil physique, sera accessible "sur place" aux forces de l'ordre. Les enquêteurs pourront donc utiliser l'appareil eux-mêmes, directement dans leurs locaux, et donc sans avoir besoin de faire appel à Cellebrite pour obtenir le déverrouillage d'un smartphone ou d'une tablette. L'obtention de résultats pourra donc se faire sans intervention de l'entreprise israélienne.

Sur les appareils déverrouillés à l'aide de l'UFED, Cellebrite promet d'ailleurs "un accès aux données d'applications tierces, à des conversations de chat, aux emails téléchargés et aux contenus supprimés, entre autre".

Le FBI aurait déjà eu recours aux technologies de Cellebrite


D'après TechRadar, le FBI aurait déjà utilisé les technologies mises au point par Cellebrite, notamment en 2016, pour déverrouiller l'iPhone du principal suspect dans la fusillade de San Bernardino.

Par la suite, Apple avait pris des mesures pour renforcer la sécurité de ses appareils face aux tentatives de déverrouillage par des outils tiers. L'année dernière, la firme déployait ainsi une mise à jour du mode USB restreint. Cette réponse logicielle visait à combler une faille permettant à certains outils (dont l'UFED ou GreyKey) d'accéder aux données des iPhone et iPad en passant par leur port lightning.

La dernière version de l'UFED se veut plus performante que les outils jusqu'à présent proposés par Cellebrite, mais son utilisation semble toutefois compromise sur les téléphones les plus récents. Les Samsung Galaxy S10, S10 Plus et S10e, par exemple, ne sont pas mentionnés dans la liste (potentiellement non exhaustive) des terminaux que l'UFED Premium est censé pouvoir déverrouiller de force. De la même manière, le doute plane quant au cas d'iOS 12.3.2 (qui n'est pas spécifiquement listé par Cellebrite) ou du futur iOS 13.

Ne pas être en mesure de forcer le déverrouillage des toutes dernières versions d'iOS pourrait constituer une lacune de taille pour le dispositif, et ce pour une simple raison : le taux d'adoption des dernières moutures d'iOS est tout bonnement colossal à l'échelle du parc mondial d'iPhone et d'iPad.

Source : TechRadar