NSA: Avoir les bonnes autorisations pour traiter des documents secrets a la maison ?
Le sous-traitant qui avait volé 50 To de données à la NSA condamné à neuf ans de prison
Technologie : Les procureurs
n'ont cependant jamais réussi à prouver que l'ancien entrepreneur qui
travaillait pour la NSA était à l'origine de la fuite de Shadow Brokers.
Harold Thomas Martin III, un ancien prestataire travaillant pour
l'Agence nationale de sécurité américaine a été accusé et a par la
suite plaidé coupable d'avoir volé plus de 50 To de données de la NSA.
Il a été condamné à neuf ans de prison.
Harold Martin a été
arrêté en octobre 2016 après que le FBI eut perquisitionné son domicile
et trouvé des documents qu'il ramenait chez lui depuis des années, sans
autorisation. Des fichiers ont été trouvés sur son ordinateur et dans sa
voiture.
Certains de ces documents portaient la mention "très
secret" et contenaient des renseignements sur l'infrastructure et les
outils de la NSA, mais il y avait aussi des documents sur la Central
Intelligence Agency (CIA), le US Cyber Command, et le National
Reconnaissance Office (NRO).
Rien ne prouve que Martin ait partagé les dossiers
Martin
a travaillé comme entrepreneur pour diverses agences gouvernementales
américaines pendant 20 ans, entre 1996 et 2016. Au moment de son
arrestation, il travaillait pour Booz Allen Hamilton, la même entreprise
où Edward Snowden avait travaillé.
Il avait des autorisations
qui lui permettait de traiter des documents et des dossiers sensibles du
gouvernement, mais seulement au travail, et non à la maison.
Les
procureurs ont décrit la planque de documents gouvernementaux
découverts chez Martin comme étant d'une ampleur "époustouflante". Les
avocats de Martin ont dit qu'il n'emportait des documents qu'à la maison
pour étudier et devenir meilleur dans son travail et non dans
l'intention de vendre des secrets d'État.
Aucun lien avec Shadow Brokers n'a jamais été prouvé
Au
moment de son arrestation, le Washington Post a rapporté que Martin
était le principal suspect dans l'enquête du gouvernement sur les Shadow
Brokers, un groupe de pirates informatiques qui ont commencé à
divulguer des fichiers NSA et des outils de piratage sur Internet à
l'été 2016.
Dans un autre article, le New York Times a suggéré
que Martin faisait l'objet d'une enquête pour avoir divulgué des
documents à WikiLeaks.
Le juge n'était pas lié par le plaidoyer de culpabilité
et a condamné Martin à neuf ans de prison, y compris la durée de la
peine, et à trois ans de libération sous surveillance. Martin a 54 ans.
Des pirates informatiques exposent les données d’un sous-traitant du FSB russe
Sécurité : SyTech, la
société piratée, travaillait sur des projets de recherche pour le FSB,
le service de renseignement russe. Parmi les projets exposés, on
retrouve notamment un projet de desanonymisation des utilisateurs de
Tor.
Des pirates informatiques ont visé la société SyTech, un sous-traitant
de FSB, le service de renseignement national russe, d'où ils ont volé
des informations sur des projets internes sur lesquels la société
travaillait pour le compte de l'agence. L’un des projets portait sur la
désanonymisation du trafic de Tor.
L’attaque a eu lieu le week-end du 13 juillet, lorsqu'un groupe de
pirates informatiques portant le nom de 0v1ru $ a piraté le serveur
Active Directory de SyTech à partir duquel ils ont eu accès à l'ensemble
du réseau informatique de l'entreprise, y compris une instance JIRA.
Les pirates ont volé 7,5 To de données sur le réseau du contractant puis
ont altéré le site web de l'entreprise avec un "yoba face", un emoji
populaire auprès des utilisateurs russes et qui est utilisé pour
troller.
Les pirates ont posté des captures d'écran des serveurs de la société
sur Twitter et ont ensuite partagé les données volées avec Digital
Revolution, un autre groupe de pirates informatiques qui s’était attaqué l'année dernière le Quantum, un autre sous-traitant du FSB.
Ce deuxième groupe de hackers a partagé les fichiers volés sur
son compte Twitter le jeudi 18 juillet et avec les journalistes russes
par la suite.
Les projets secrets du FSB
Selon les différents articles parus dans les médias russes, les fichiers
indiquent que SyTech a travaillé depuis 2009 sur une multitude de
projets, principalement pour le compte de l’unité 71330 du FSB et pour
le contractant Quantum. Les projets comprennent:
Nautilus - un projet de collecte de données sur les utilisateurs de médias sociaux (tels que Facebook, MySpace et LinkedIn).
Nautilus-S - un projet de désanonymisation du trafic Tor à l'aide de relais Tor compromis.
Récompense - un projet visant à pénétrer secrètement
dans des réseaux P2P, comme celui utilisé pour les torrents.
Mentor - un projet de surveillance et de recherche de communications
par courrier électronique sur les serveurs d'entreprises russes.
Espoir - un projet visant à étudier la topologie de l'internet russe et sa connexion au réseau d'autres pays.
Tax-3 - projet de création d'un intranet fermé destiné à
stocker les informations de personnalités hautement sensibles, de juges
et de représentants de l'administration locale, à l'écart des autres
réseaux informatiques de l'État.
BBC Russia, qui a reçu une partie des documents, affirme
qu'il existait d'autres projets plus anciens de recherche sur d'autres
protocoles réseau, tels que Jabber (messagerie instantanée), ED2K
(eDonkey) et OpenFT (transfert de fichiers d'entreprise).
D'autres fichiers publiés sur le compte Twitter de Digital Revolution
affirmaient que le FSB suivait également des étudiants et des retraités.
Certains projets ont vu le jour et ont été testés
Mais si la plupart des projets semblent n’être que des projets
de recherche sur la technologie moderne - ce que tous les services de
renseignement mènent à bien -, deux semblent avoir été testés dans le
monde réel.
Le premier était Nautilus-S, pour la désanonymisation du trafic de Tor. BBC Russia a souligné que
les travaux sur Nautilus-S avaient débuté en 2012. Deux ans plus tard,
en 2014, des universitaires de l'Université de Karlstad en Suède ont publié un article détaillant l'utilisation de nœuds de sortie hostiles de Tor qui tentaient de décrypter le trafic Tor.
Les chercheurs ont identifié 25 serveurs malveillants, dont 18
situés en Russie. Ces serveurs relais exécutaient la version 0.2.2.37 de
Tor, le même que celui détaillé dans les fichiers filtrés.
Le deuxième projet est "Espoir" : celui ci vise à analyser la structure et la composition du réseau russe sur Internet.
Plus tôt cette année, la Russie a mené des tests au cours desquels elle a déconnecté son réseau national du reste de l'internet.
SyTech, la société piratée, a supprimé son site web et a refusé de répondre aux médias.
Le moteur de recherche DuckDuckGo met à jour son application
de géolocalisation. Sans aucun tracking des données personnelles, elle
veut offrir une nouvelle alternative à Google Maps.
(CCM) — La mise à jour des "Cartes" de DuckDuckGo devrait intéresser tous ceux qui veulent éviter que leurs données personnelles soient systématiquement enregistrées par les différents services de Google, dont l'omniprésent Google Maps. Pour cela, l'application de cartographie promet de ne jamais suivre ses utilisateurs à la trace.
Cette promesse de stricte confidentialité est l'argument
majeur de DuckDuckGo. Un argument que Qwant mettait également en avant
fin juin lors du lancement de son service de géolocalisation sans
pistage (cf. notre article sur Qwant Maps). Pour se démarquer clairement de Google Maps, DuckDuckGo annonce qu'aucune donnée personnelle n'est jamais enregistrée.
Même les données de géolocalisation en elles-mêmes sont effacées après
avoir été utilisées pour trouver localement des résultats de recherche.
Pour développer son service cartographique sans dépendre de Google, DuckDuckGo s'appuie sur la technologie de géolocalisation d'Apple. Là encore, le moteur de recherche alternatif affirme qu'aucune information personnelle n'est partagée avec Apple, y compris l'adresse IP utilisée pour se connecter au service.
La nouvelle version de ses "Cartes" permet à DuckDuckGo d'étoffer son offre de services. En plus du moteur de recherche traditionnel, des actualités, des vidéos et des images, les utilisateurs peuvent désormais lancer des recherches locales.
Les requêtes de proximité sont parmi les plus demandées sur les moteurs
de recherche. Si bien que pour proposer une alternative crédible,
DuckDuckGo se devait de renforcer son service de cartographie. Ce qui
n'empêche pas Google Maps de faire le plein de nouvelles fonctionnalités bien entendu....
Un homme de 32 ans qui aurait acheté une fausse identité sur le web invisible (dark web
en anglais) a été accusé de tentative de fraude, d'usurpation
d'identité et d'utilisation de faux documents vendredi au palais de
justice de Sherbrooke.
Janick
St-Onge s'est présenté jeudi au comptoir de la Banque de Montréal de la
rue King Ouest dans le but d'obtenir une carte de crédit au montant de
6000$ sous un autre nom. L'employé
a eu la puce à l'oreille sentant que quelque chose était anormal. Il a
poussé ses recherches et s'est rendu compte que l'identité sur les
cartes faisait l'objet d'une alerte Equifax, explique le porte-parole du Service de police de Sherbrooke (SPS), Samuel Ducharme.
L'employé a alors contacté les policiers. Après
enquête, on s'est rendu compte que le suspect avait de fausses pièces
d'identité et avait volé l'identité de quelqu'un d'autre. Il avait, en
fait, acheté l'identité d'une personne sur le dark web, ajoute-t-il.
Selon
le SPS, le suspect avait en sa possession un document avec une série
d'informations personnelles « très pointues » d'une seule personne qui
comprenaient ses adresses, numéros de compte de banque et emploi. Pour
nous, c'est difficile d'établir la provenance, mais avec les
informations détenues, il semble assez clair que ce sont des
informations qui provenaient d'une institution bancaire, soutient Samuel Ducharme.
Le
Directeur des poursuites criminelles et pénales s'est opposé à la
remise en liberté du Sherbrookois. Ce dernier doit revenir en cour lundi
pour son enquête sur remise en liberté. Quatrième plainte en 2 semaines
Si
c'est la première fois que le SPS arrête une personne qui a en sa
possession ce type d'information, reste que, depuis deux semaines, c'est
la quatrième plainte pour tentative de fraude qui est déposée à la
police de Sherbrooke.
Le Service de police de Sherbrooke lance un appel à la vigilance. Oui,
au personnel d'institutions financières, mais aussi à toutes les
compagnies qui peuvent ouvrir des dossiers de crédit ou des comptes
clients, d'être très vigilants. Ces fraudeurs-là fabriquent maintenant
des cartes d'identité qui s'approchent vraiment de la réalité. Les
cartes qu'avait le suspect jeudi ressemblaient vraiment à des vraies
sauf quelques indices qu'un oeil avisé peut déceler.
FaceApp : pourquoi il faut se méfier de l’application et de son filtre à selfie pour se voir vieux
L’application, gratuite et développée en Russie, est devenue très
populaire ces derniers jours grâce à sa retouche automatique de photos,
permettant de se voir avec 60 ans de plus.
Par Michaël SzadkowskiPublié le 17 juillet 2019 à 19h46 - Mis à jour le 18 juillet 2019 à 10h23
De
nombreuses célébrités, mais aussi des anonymes, se prêtent au jeu de
montrer à quoi elles pourraient ressembler en ayant soixante ans de
plus. Après le filtre qui permettait de transformer un garçon en fille,
ou inversement, proposé par Snapchat et popularisé au printemps,
voici venu le filtre pour se vieillir, FaceApp, dont les exemples se
répandent ces derniers jours comme une traînée de poudre sur Instagram,
Facebook et Twitter.
Exemple d’utilisation du filtre « vieux » de l’application FaceApp, sur une ancienne photo de Brad Pitt. Le Monde
1 – De quoi s’agit-il exactement ?
Ce
filtre à selfie qui vieillit le visage est proposé par l’application
FaceApp, disponible sur AppStore et PlayStore. L’application était, note Le Huff Post, en tête des classements des applications les plus téléchargées sur iPhone et Android, mercredi 17 juillet.
FaceApp
n’est pourtant pas une application nouvelle. Développée en Russie par
une petite équipe basée à Saint-Pétersbourg, elle est sortie en
janvier 2017. Elle proposait déjà un filtre pour se vieillir, en plus
d’autres filtres qui ont également connu un certain succès, comme celui
qui permet d’ajouter un sourire à un visage… L’application a déjà suscité des jeux viraux, comme de rendre leur sourire à de vieilles peintures.
Le très récent regain d’intérêt pour FaceApp semble partir d’un
« FaceApp Challenge » alimenté par des célébrités qui, se prenant au
jeu, ont posté des photos où elles se sont vieillies.
FaceApp s’est aussi fait connaître pour avoir, l’année de son lancement, suscité un scandale :
avec son filtre pour rendre les gens plus « hot », l’application
blanchissant parfois la peau des personnes noires sur leurs selfies.
Accusés de racisme, les responsables de l’application ont fini par
retirer le filtre en question.
2 – Comment l’application fonctionne-t-elle ?
FaceApp
est d’une simplicité confondante, avec une interface basique permettant
de retoucher des selfies grâce à des filtres préétablis, puis de les
enregistrer ou de les partager dans d’autres applications. Si FaceApp
est disponible gratuitement, il faut ensuite payer pour l’utiliser sans
publicité et disposer de l’intégralité des filtres proposés (environ
20 euros par an, ou 4 euros pour un mois). Mais les filtres de base,
comme celui qui permet de vieillir son visage, sont gratuits.
Pour
fonctionner, FaceApp applique des modifications automatiques à la photo
d’un visage. Ces images peuvent être prises avec la fonction selfie de
l’application, être retrouvée dans la galerie photo du smartphone de
l’utilisateur (s’il lui en a donné l’accès) ou en faisant une recherche
sur Internet, grâce à un moteur de recherche intégré, qui propose
également de retrouver des visages de célébrités.
Contrairement
à ce qui a été dit, FaceApp en ligne ne télécharge pas automatiquement
toutes vos photos sur ses serveurs sans que vous le sachiez. Il ne
dispose pas d’accès à l’intégralité des photos d’un smartphone sans le
consentement explicite de l’utilisateur, selon les sites spécialisés TechCrunch et The Next Webqui en ont disséqué le fonctionnement.
En
revanche, une fois la photo à modifier sélectionnée, FaceApp la charge
sur ses serveurs à distance. C’est ensuite dans son environnement
cloud que FaceApp apporte les modifications voulues au visage – ce qui
explique pourquoi l’application ne fonctionne pas si vous n’avez pas de
réseau 3G ou Wi-Fi.
Ces retouches ont lieu grâce à des logiciels d’« apprentissage automatique », qui fonctionnent grâce à des technologies, qualifiées un peu pompeusement d’« intelligence artificielle ».
Résumons plus prosaïquement : à partir des nombreuses images comparées
et modifiées par les logiciels de FaceApp dans le passé, ceux-ci ont
appris à reproduire des modifications similaires sur les photos que vous
lui envoyez, et à les adapter au mieux. Plus il y aura de photos
retouchées avec FaceApp, meilleurs seront donc, en théorie, les
résultats.
3 – Que deviennent ensuite mes photos ?
C’est
l’un des principaux points d’inquiétudes, car certaines personnes ont, à
raison, lu les conditions d’utilisation de FaceApp face à ce soudain
retour de « hypes ». Datant de 2017, elles sont consultables
sur deux pages séparées, qui ne sont malheureusement pas accessibles
depuis l’application, d’après notre constat, sous Android (« politique de confidentialité » de FaceApp et « conditions d’utilisation »).
Elles
sont assez claires : en chargeant une photo et en appliquant un filtre à
travers FaceApp pour le partager ensuite à vos amis ou sur vos réseaux
sociaux, vous cédez à l’entreprise gérant l’application (Wireless
Lab OOO, sise à Saint-Pétersbourg) la possibilité de modifier,
réutiliser ou exploiter par la suite la photo retouchée en question.
Interrogée sur le sujet par le site spécialisé TechCrunch, FaceApp a, cependant, expliqué que « la plupart des images stockées sur nos serveurs sont supprimées dans les quarante-huit heures suivant leur envoi ». L’entreprise a également fait savoir que ce stockage de photos, d’une durée de quarante-huit heures pour « la plupart » d’entre
elles, ou pour une période indéterminée pour certaines autres, avait
lieu grâce à des serveurs à distance situés en dehors de la Russie,
utilisant les infrastructures cloud d’Amazon (AWS) et de Google.
Reste
que, dans l’absolu, les images conservées par FaceApp peuvent servir à
Wireless Lab OOO pour entraîner ses logiciels de retouches automatiques,
ou constituer des bases de données avec des visages de ses
utilisateurs. Ou encore, de faire la promotion de FaceApp à partir de
vos photos retouchées, si jamais ses employés la choisissent.
If
you use #FaceApp you are giving them a license to use your photos, your
name, your username, and your likeness f… https://t.co/nAW3f9QA1o
— ElizabethPW (@Elizabeth Potts Weinstein)
4 – Quels sont les risques d’utiliser FaceApp ?
Dans
ses conditions d’utilisation, FaceApp indique disposer également de la
possibilité d’utiliser à sa convenance d’autres informations liées à
votre utilisation de l’application, comme votre nom d’utilisateur si
vous en définissez un. Enfin, si FaceApp se fait racheter, plus tard,
par une autre entreprise, cette dernière aura les droits d’utiliser de
la même manière toutes les photos et informations des utilisateurs.
En
cas de contestation ou de réclamation, sachez que le siège de FaceApp
est situé actuellement à Saint-Pétersbourg, et que son responsable en
est son fondateur et dirigeant, Yaroslav Goncharov. Ce qui pourrait
compliquer un poil votre demande d’accéder à vos informations
personnelles, ou de les supprimer.
Dans ses précisions données au site TechCrunch,
FaceApp a bien reconnu une procédure pour demander à ses équipes de
supprimer toutes les données personnelles vous concernant, mais elle est
quelque peu baroque : il faut aller dans le formulaire « signaler un
bogue » et écrire « privacy » (vie privée) dans le début de votre
demande. En espérant qu’elle puisse être traitée par la suite, car les
équipes de FaceApp sont actuellement « surchargées », selon la même source.
Enfin,
il apparaît que FaceApp n’est actuellement pas en conformité avec le
règlement européen des données personnelles (RGPD), préciseLe Figaro,
alors que les conditions d’utilisation de l’application n’ont pas été
mises à jour après son entrée en vigueur en 2018. Elles ne prévoient
donc pas que les données de ses utilisateurs européens soient protégées
en fonction des lois européennes, même si FaceApp décide de transférer
leurs photos en dehors de l’Europe.
Si
vous êtes bien conscients de tout ce qui est écrit plus haut, et que ça
ne vous pose pas de problème d’envoyer des photos de vous à une
entreprise russe qui pourra faire ensuite ce qu’elle veut de vos images,
vous êtes mûrs pour installer l’application. Les journalistes dePixels choisissent cependant de ne pas le faire. Et, aux Etats-Unis, le parti démocrate a officiellement conseillé
à ses candidats à la primaire, en vue de l’élection présidentielle de
2020, de ne pas utiliser FaceApp, en raison de l’origine russe de
l’application.
En tout cas,
nous vous déconseillons formellement de charger dans FaceApp des photos
de vos proches, ou d’inconnus, afin de savoir à quoi ils ressembleraient
avec soixante ans de plus, un sourire, des cheveux, ou une barbe. Vous
ne voudriez pas que FaceApp fasse ce qu’elle veut de leur photo sans
leur consentement explicite…
