Cyber-espionnage : « Soyez rassuré, vos ordinateurs sont surveillés par plusieurs gouvernements »,
Vous feriez mieux d'en être convaincus

Le , par Arsene Newman, Expert éminent sénior
« Quand j’utilise mon ordinateur, je pars du principe que je suis surveillé par au moins 3 gouvernements » voilà les propos de Costin Raiu qui ont dû choquer plus d’un parmi la foule d’experts, d’analystes et de professionnels IT présents lors du SAS2014, qui se déroule cette année à Punta Cana en République Dominicaine.

Costin Raiu, expert en sécurité informatique de Kaspersky Lab est à l’origine du travail effectué par l’équipe de recherche et d’analyse de la firme de sécurité, travail qui a permis de découvrir des programmes de cyber-espionnage à échelle internationale, alias APT, lors de ces dernières années.

Alors, mythes ou réalité ? Que faut-il penser des propos de Raiu ? Décryptage :

L’expert en sécurité est un homme prudent, ses mots expriment sa connaissance du terrain et son expertise, ses propos ne traduisent pas une paranoïa mais plutôt, une mise en garde, une précaution d’emploi ou carrément une quasi réalité.

Au vu des récentes découvertes d’APT par Kaspersky [lire notre article sur l’APT Careto], des révélations de l’ex agent de la NSA Edward Snowden, des faiblesses volontairement introduits sur certains algorithmes de sécurité, des sonnettes d’alarmes tirées par les experts sur la sécurité des appareils connectés, notamment l’IoT (Internet des Objets), il apparait clairement qu’aujourd’hui plus que jamais, Internet est menacé par des actes malveillants émanent des agences gouvernementales, afin de mettre les internautes sous surveillance.

Ceci étant dit, la déclaration de Raiu prend tout son sens, de plus si les internautes sont suffisamment mis en garde contre une éventuelle surveillance, ils auront tendance à prêter plus d’attention à leur utilisation d’Internet, un peu à l’image d’un enfant convaincu qu’il est constamment surveillé par sa mère, ce qui le conduira naturellement à faire plus attentions à ses faits et gestes.

L’avis des experts de Developpez.com

L’analyse de Costin Raiu a été commentée par les membres experts de Developpez.com.

Gangsoleil, Modérateur "C", "Informatique Générale & Hardware" et "Unix", rejoint le point de vue de Raiu et estime que « d’un point de vue sécurité, c'est une bonne chose que d'avoir comme principe de se sentir surveillé, car cela permet de faire les choses en conséquence, et de prendre de bonnes habitudes ».

Cependant, celui-ci se pose une question : « est-ce que c'est applicable au grand public ? Oui, mais pas directement - ou tout du moins pas tout de suite. Les gens n'ont pas encore vu le problème que pose la surveillance de leur activité internet par des États, alors même qu'ils refusent l'installation de caméras à leur domicile comme dans les rues ... »

Pour Neckara, Rédacteur/Modérateur sur Developpez.com, « la collecte de données est loin d'être un mythe, c'est une réalité. Ainsi, on est tous plus ou moins espionné de façon "passive" par les agences gouvernementales et quelques entreprises. Certes, cela peut ne pas poser problème à certaines personnes. »

Celui-ci estime qu’il est temps d’agir, car si on attend le jour « qu’une agence gouvernementale nous espionnera de façon "active" en nous ciblant précisément ou qu'on a une information/donnée qu'on veut "garder pour soi", il sera alors bien trop tard ».

Propos sur lesquels rebondit Sevyc64, modérateur sur nos forums, qui estime que de toute façon, il est déjà trop tard. Sevyc64 peint un tableau plus sombre : « et même si on arrive (les gouvernements ou autres) à mettre en place des barrières pour protéger notre vie privée (chose à laquelle je ne crois absolument pas, puisque les personnes qui décideraient cela sont celles qui justement ont tout intérêt à ce que ça ne se fasse pas), il est beaucoup trop tard. Les services comme la NSA et autres ne feront pas machine arrière. Au mieux, ils feront du lobbying pour avoir des backdoor, au pire ils contourneront de manière plus ou moins légale les protections, mais non, ils ne reviendront pas en arrière. »

« Quant à l’espionnage des réseaux, on n’a pas eu besoin de Snowden pour savoir que ça existe, ça fait plus de 20 ans qu'on le sait. », ajoute Sevyc64. « Mais Snowden a eu le mérite de nous réveiller. Mais jusqu'à quand ? », se questionne celui-ci, qui trouve que bon nombre d’internautes sont préoccupés par la protection de leur vie privée en ligne, mais cela ne les empêche pas de publier à tort et à travers des informations en ligne sur Facebook, Gmail, Twitter, etc.

Au final, Gangsoleil, Neckara et Sevyc64 s’alignent avec l’analyse de Costin Raiu. « Autant partir du principe qu'on est espionné par des agences gouvernementales, même si actuellement, ils ne nous ciblent pas particulièrement. Ainsi, on sera préparé lorsque ce sera le cas. Le jour où les agences gouvernementales étendront encore plus leur moyen d'espionnage ou cibleront plus de personnes, elles ne préviendront sûrement pas. », conclut Neckara, qui conseille au grand public d’utiliser « plus des services décentralisés pour freiner la collecte de données. Mais le plus important serait surtout de s'informer, c'est peut-être la meilleure arme contre l'espionnage de masse. »

Source : ThreatPost

Et vous ?

Qu’en pensez-vous ?

Quels sont les gouvernements auxquels fait allusion Costin Raiu ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 17/02/2014 à 8:59
Citation Envoyé par Hannibal90  Voir le message
Ceci étant dit, la déclaration de Raiu prend tout son sens, de plus si les internautes sont suffisamment mis en garde contre une éventuelle surveillance, ils auront tendance à prêter plus d’attention à leur utilisation d’Internet, un peu à l’image d’un enfant convaincu qu’il est constamment surveillé par sa mère, ce qui le conduira naturellement à faire plus attentions à ses faits et gestes.

je ne vois aucun point commun entre l'autorité parentale et l'espionnage gouvernemental
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 18/02/2014 à 15:05
"est-ce que c'est applicable au grand public ?"

Il faut comprendre une chose : le grand-public n'est pas capable de se protéger contre la surveillance dont il est victime. Et donc, la surveillance va avoir sur lui un effet très différent que sur un informaticien. Là où un informaticien va prendre des mesures pour se protéger de la surveillance, le quidam va changer ses habitudes et ses comportements pour ne pas être en faute. C'est à dire qu'il va laisser les gouvernements façonner son comportement. Et si c'était le but recherché ? Demain, on pourra toujours lancer un nouveau Wikileaks, plus personne n'osera aller voir !
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 18/02/2014 à 16:09
@Traroth2 : +1

Quels sont les gouvernements auxquels fait allusion Costin Raiu ?

A minima, nous sommes surveillés par les USA et le pays de l'internaute.
Le troisième larrons est à mon avis plus du côté du privé : Google et/ou Facebook, par exemples
Avatar de azmar azmar - Membre averti https://www.developpez.com
le 18/02/2014 à 17:14
Citation Envoyé par Paul TOTH  Voir le message
je ne vois aucun point commun entre l'autorité parentale et l'espionnage gouvernemental

L'article source est plus clair, grosso modo l'enfant qui agit comme si ça mère le regardais ne fera rien condamnable par cette dernière.
Selon les propos de l'auteur, l'utilisateur du web à intérêt à agir comme si il étais surveillé, si il ne veut pas un jour avoir de mauvaises surprises...

Citation Envoyé par Traroth2  Voir le message
"est-ce que c'est applicable au grand public ?"

Il faut comprendre une chose : le grand-public n'est pas capable de se protéger contre la surveillance dont il est victime. Et donc, la surveillance va avoir sur lui un effet très différent que sur un informaticien. Là où un informaticien va prendre des mesures pour se protéger de la surveillance, le quidam va changer ses habitudes et ses comportements pour ne pas être en faute. C'est à dire qu'il va laisser les gouvernements façonner son comportement. Et si c'était le but recherché ? Demain, on pourra toujours lancer un nouveau Wikileaks, plus personne n'osera aller voir !

+1
Selon l'auteur même nous informaticien ne somme pas vraiment en mesure de luter...

Je pense cependant qu'il faille mettre un peu d'eau dans son vin, oui le(s) gouvernement est potentiellement capable de récupérer à peu près tout ce que je fait sur un pc/téléphone.
Et je n'en est jamais vraiment douté d’ailleurs.

De la à dire que MES activités sont entièrement monitorées par plusieurs états ...

Ce que je n'avancerai peut être pas si j'étais un grand patron ou un homme (opposant?) politique :s

Azmar
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 18/02/2014 à 17:57
Bon et bien entièrement d'accord avec l'article. J'ai peu à rajouter.

Je me contente d'agir d'une part en me "protégeant" mais juste par principe. Juste pour dire à ces puissants qui se croient au dessus des lois (ou sont trop feignants), "Si vous ne me cherchez pas, vous ne ne me trouverez pas. Si vous voulez me trouver, faites bosser vos "experts" pendant quelques semaines/mois, qu'ils méritent leurs salaires."

D'autre part, je développe en ayant cette idée en tête. Ne rien connaître de mes utilisateurs, en cryptant les données en amont, sauf l'adresse mail (ils sont libres de choisir des fournisseurs sécurisés ou pas). Je fais en sorte d'éviter de dépendre d'éléments externes (comme charger des librairies depuis le web). De cette manière, si un jour on me demande de fournir telle donnée d'un utilisateur (ou leur donner un accès), je pourrai dire "je ne peux pas". Après si j'ai besoin de me financer autrement que par la commercialisation ou des abonnements (ce que j'espère éviter), je n'aurai pas le choix que de mettre en place des pubs et des trackers.

Encore une fois, ce n'est que du principe pour ennuyer ces puissants qui à mes yeux utilisent la facilité au lieu de bosser et respecter les lois...
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 18/02/2014 à 19:11
Citation Envoyé par azmar  Voir le message
L'article source est plus clair, grosso modo l'enfant qui agit comme si ça mère le regardais ne fera rien condamnable par cette dernière.
Selon les propos de l'auteur, l'utilisateur du web à intérêt à agir comme si il étais surveillé, si il ne veut pas un jour avoir de mauvaises surprises...

oui j'avais bien compris l'idée, mais il n'y a pas lieu de comparer l'autorité parentale qui a un devoir d'éducation de ses enfants avec des gouvernements qui mettent en place des systèmes d'écoute en marge de tout contrôle démocratique, et ce a plus forte raison quand il est question d'un gouvernement étranger.

La privation de nos libertés fondamentales n'a rien à voir avec piquer des bonbons quand ta mère à le dos tourné !
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 18/02/2014 à 20:56
Après avoir lu l'article, je dois bien dire que je ne suis pas d'accord. La NSA est capable de décrypter n'importe quelle algorithme de cryptage ? Peut-être (même si on peut en douter). A-t-elle les moyens de décrypter systématiquement toutes les communications cryptées et d'extraire le sens de toutes les communications ? Clairement, non. Leur capacité d'interception et de stockage dépasse de plusieurs ordres de grandeur leur capacité de traitement. Dans son livre de 1999, "Guerre dans le cyberespace", Jean Guisnel fait le postulat que la NSA est capable de traiter un dixième des communications qu'elle intercepte. Depuis, les capacités de traitement se sont considérables accrues, certes, mais les communications, elles, ont littéralement explosées ! Il disait aussi que la NSA interceptait la moitié des communications de la planète, et on doit maintenant dangereusement approcher les 100%. Bref, ils doivent à peu près avoir abandonné l'idée de faire sens de tous les "kikoolol" qui circulent sur le net...

L'espionnage systématique révélé par Edward Snowden repose entièrement sur cette logique : on ne traite que l'information intéressante, mais on stocke tout. Et si on s'aperçoit que dans ce qu'on a stocké, il y a quelque chose d'intéressant, on le traite. Ce qui veut dire que si demain, la NSA s'intéresse à vous, ils pourront ressortir toutes vos communications électroniques, y compris celles qui sont cryptées et qu'ils n'ont jamais pris la peine de décrypter, et là, ils les décrypteront.

La conséquence, c'est que la NSA ne peut travailler qu'avec ce qui a préalablement été stocké. Je pense que ça donne beaucoup de force à des systèmes comme Tor : Si la NSA veut savoir qui fait transiter des données par Tor, il va falloir qu'ils sacrifient de la capacité de traitement juste pour pouvoir déterminer qui est qui. Parce que s'ils ne le font pas au moment de la communication, ça sera trop tard ensuite.

En d'autres termes, Tor ou des systèmes similaires peuvent vraiment aider à se soustraire à la surveillance de la NSA, à mon avis.

De plus, pour dire un mot sur le cryptage : l'article cité dans l'article prouve exactement l'inverse de ce qu'on pense : la faiblesse de Dual EC DRBG a été identifiée très précocement, en réalité. La conséquence, c'est sans doute une faillite bien méritée pour RSA à court terme, une entreprise vivant de la vente de cryptographie ne pouvant pas survivre à une telle perte de confiance, à mon humble avis. Mais ça ne signifie en aucune manière que toutes les technologies de cryptage sont compromises.
Avatar de DonQuiche DonQuiche - Expert confirmé https://www.developpez.com
le 18/02/2014 à 21:20
Citation Envoyé par Saverok  Voir le message
A minima, nous sommes surveillés par les USA et le pays de l'internaute.

Bien sûr que non.

Tous les pays sont loin d'avoir les gigantesques moyens nécessaires à la traque systématique de tous leurs citoyens, sans parler même de la volonté de le faire. Les U.S.A. traquent tout le monde, cela ne fait aucun doute. Concernant les autres pays il faut jauger au cas par cas mais aucun d'entre eux ne peut seulement s'approcher de ce que font les U.S.A. Les budgets et la main d'oeuvre ne sont pas là, imaginez seulement ce que signifie mettre en place un système siphonnant tous les paquets de données du pays et les analysant tous, sachant reconnaître tous les protocoles, se livrant à des analyses sémantiques, etc. Ce n'est pas avec dix ingénieurs que vous allez faire ça.

Je ne vois dans ce discours ambiant que le résultat de la communication de la NSA.
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 18/02/2014 à 23:17
Citation Envoyé par Saverok  Voir le message
@Traroth2 : +1

A minima, nous sommes surveillés par les USA et le pays de l'internaute.
Le troisième larrons est à mon avis plus du côté du privé : Google et/ou Facebook, par exemples

Paro, j'aurais mis :
- USA
- Gouvernement
- FAI
Après c'est facile d'imaginer que plus il y a de d'intermédiaire, plus il y a d'espions possibles. Google / Facebook c'est de espionnage plus ou moins voulu, pour ceux qui les qui l'utilisent.

Mais bon, quand on parle à quelqu'un qui a peu de connaissance en informatique, utiliser l'ordinateur c'est déjà horriblement compliqué, alors aller plus loin c'est comme demander là Lune.
Avatar de bouye bouye - Rédacteur/Modérateur https://www.developpez.com
le 19/02/2014 à 1:47
Moi je mettrai plutôt :


Et ensuite :
  • N'importe quel moteur de recherche, réseau social, système de cloud de fichier/mail/stockage/boulot/calcul distant qui vont essayer de lui fournir des services +/- gratuitement et exploiter ainsi les données qu'il y placera ou ses habitudes de navigation (donc Google, Microsoft, Apple, Facebook, Amazon, etc etc etc.)


Si ce n'est pas les états qui vous surveillent, ça sera les majors ou les startups de l'industrie de toute manière pour en en tirer profit.
Offres d'emploi IT
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil