Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plusieurs experts et politiciens piégés en utilisant un réseau WiFi public
Créé pour faire prendre conscience des dangers de la surveillance de masse

Le , par Amine Horseman

41PARTAGES

6  0 
Comment faire comprendre aux politiciens les dangers de la surveillance numérique de masse et l’importance de la sécurité des informations ? Gustav Nipe et Elin Andersson, deux jeunes membres du « Pirate Party’s youth wing » en suède, ont essayé de le faire en mettant en analysant les données d’un réseau WiFi public, non sécurisé.

Durant une conférence sur la sécurité, les deux activistes ont ouvert un point d'accès WiFi public nommé « Open Guest ». Tout au long de la conférence, une centaine de personnes présentes, dont des politiciens connus, des journalistes et des experts en cybersécurité avaient utilisé ce WiFi pour se connecter à internet ignorant qu'en réalité, toutes leurs activités avaient été enregistrées à travers ce WiFi non sécurisé.

En analysant les métadonnées et les données réseau, les deux activistes étaient en mesure de savoir quels sites avaient été visités par les participants piégés. « C'est très embarrassant parce que les données que nous avons recueillies ont montré que certaines personnes s'étaient connectées à Skype, eBay et Blocket, ou faisaient des recherches concernant les vacances et les endroits où ils pourraient aller en randonnée », a déclaré l'un des deux initiateurs de l’étude. « Et c'était durant la journée pendant qu'ils étaient payés pour assister à la conférence et travailler, je suppose ».

Mais, ce qui les inquiétait le plus, c'est qu'à plusieurs reprises, ils avaient constaté des connexions aux serveurs de messagerie des agences gouvernementales. « L'utilisation d'un réseau ouvert, en clair, pour lire la correspondance gouvernementale n'est pas une bonne pratique [...] Avec des réseaux non sécurisés comme ceux-ci, vous pouvez finir par avoir un accès à des serveurs sécurisés parce que les gens utilisent souvent les mêmes mots de passe pour différents sites. Donc, nous aurions pu accéder aux serveurs du gouvernement ou utiliser d'autres informations pour traquer ceux-ci dans leur vie quotidienne ».

Nipe et Andersson ont confirmé qu'ils ne garderaient aucune donnée et que toutes les informations collectées seront supprimées malgré que plusieurs personnes s'étaient indignées et qualifié cette étude d’illégale. « Je suis convaincu que nous sommes du bon côté de la loi », avait rétorqué Gustav Nipe à ces accusations. « Si quelque chose était illégal, ce serait le fait que ces personnes aient utilisé notre réseau sans autorisation et aussi que des membres de haut rang travaillant dans la sécurité se connectent à leurs e-mails à l'aide de réseaux non chiffrés et non protégés ».

Source : Falkvinge.net

Et vous ?

Avez-vous l'habitude d'envoyer des données sensibles en utilisant des WiFi publics ?

Que pensez-vous du moyen utilisé par ceux-ci pour faire prendre conscience des dangers de la surveillance de masse ?

Pensez-vous que l'étude effectuée par les deux activistes était illégale ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Saverok
Expert éminent https://www.developpez.com
Le 20/01/2015 à 15:36
Citation Envoyé par JayGr Voir le message
Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?
Avec cette info, tu sais quand, où, pendant combien de temps et avec qui la personne part en vacances
Tu as donc tout le loisir de planifier un attentat ou encore un cambriolage

Ou encore, tu apprends que la personne planifie ses vacances mais sans sa femme mais avec une autre...
Et là, tu as tout ce qu'il faut pour faire du chantage bien comme il faut (ou pas )

Bref, tout ce qui touche à la vie est confidentiel par nature
Il est primordial que chaque individu ait la maîtrise de ses propres informations et qu'il décide, en son âme et conscience, de les communiquer ou non et surtout à qui et pourquoi
2  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 20/01/2015 à 15:58
Citation Envoyé par JayGr Voir le message
. Là je veux bien . Mais on est sur des données privées et pas confidentielles. C'est deux niveaux distincts pour moi...
Confidentiel = Secret, que personne ne doit connaître.
Privée = Intime.

Parce que à ce moment là n'en parler pas avec votre boulanger.. Il risquerait de revendre l'info .

Pour moi l'utilisation du terme confidentiel n'est pas approprié.

@+
Ben si, je le trouve parfaitement approprié
Ma vie privée est confidentielle par défaut et je suis le seul autorisé à lever cette confidentialité partiellement à qui, quand, pourquoi et dans quel contexte.
2  0 
Avatar de Laurent 1973
Membre chevronné https://www.developpez.com
Le 21/01/2015 à 11:40
Sur cette histoire, je ferais une petite analogie avec une communication téléphonique que l'on ferait chez quelqu'un.

Vous entrez chez un inconnu avec un panneau:"téléphone en libre service" et vous passez quelque coût de téléphone.

Vu que c'est dans un lieu quelconque très ouvert (lieu en libre service) cela vous parait logique que vous n'aller pas parler à haute voix à votre banquier.
Des personnes peuvent vous entendre, vous écouter, le téléphone va enregistrer la liste des numéros que vous avec composés, ....
Enfin, il est évident que l'inconnu qui vous prête son téléphone peux "connaître" toute votre communication.
Bien sur, si vous appelez l'horloge parlante, la communication deviens sans intérêt ... a moins que l'inconnu a un beau-frère horloger et qu'il vous refile sa carte pour vous acheter une montre. (publicité non souhaité)

Si vous voulez consulter votre banque par téléphone, vous aurez plus confiance de le faire chez un ami que vous connaissez bien et en vous isolant dans une pièce.
Et si vous voulez vraiment que votre conversation soit très discrète, vous allez parler avec votre banquier en Serbo-Croate ou en Patchoune (langue que vous seuls connaissez) pour éviter d'être écouter.

Maintenant, revenons sur notre problème de WIFI

Un réseau wifi non sécurisé inconnu, c'est comme passé nos appels de téléphone chez un inconnu: on ne sais pas ce qu'il entend (voir écoute) de notre conversation.
Utiliser un réseau wifi sécurisé connu nous permet un niveau de confiance relatif à ce que l'on sait de ce réseau: il peut toujours nous entendre, mais on sait qu'il ne le fait pas, ou pas trop ... enfin on a confiance.

Dans une entreprise, on a souvent la possibilité de se connecter au réseau. Actuellement, c'est ce que je fais.
Je sais que mon employeur peut savoir que je poste des articles sur "developper.com": pas de souci pour moi, ça reste quand même dans un cadre professionnel de veille technologique.
Par contre, que mon employeur peut savoir que je consulte mes courriels personnels ou des réseaux sociaux peut être plus problématique.

=> Tout est un niveau de confiance du "fournisseur internet" du moment par rapport à l'utilisation que je fais de son réseau.

Et si je veux quand même envoyé un courriel très très important à quelqu'un depuis un réseau à faible confiance, je vais me protéger en utilisant déjà un envoie en SSL par exemple.
Et pourquoi pas en cryptant mon message dont seul mon correspondant possède la clef de décryptage.

En dehors de la réflexion légal (avaient ils le droit "d'écouter" les gens sur le wifi), l’expérience de Gustav Nipe et de Elin Andersson est intéressante parce qu'elle démontre que même des "experts" en sécurité informatique ont une utilisation beaucoup trop confiante du numérique. Ils font sur internet ce qu'ils ne feraient sûrement pas avec des communications humaines directes.

Ça m'interroge aussi sur l'utilisation que je fait d'internet... mais je ne me prétend pas un expert en sécurité informatique.
1  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 21/01/2015 à 11:42
Citation Envoyé par Saverok Voir le message

L'expérience du topic met en évidence le manque de formation en sécurité informatique de la population (dans le cas présent : des politiques et des journalistes).
"Tout au long de la conférence, une centaine de personnes présentes, dont des politiciens connus, des journalistes et des experts en cybersécurité avaient utilisé ce WiFi pour se connecter à internet ignorant qu'en réalité, toutes leurs activités avaient été enregistrées à travers ce WiFi non sécurisé."
Je suis d'accord mais ce qui fait peur c'est que des experts se plantent aussi...
1  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 21/01/2015 à 14:50
Citation Envoyé par gangsoleil Voir le message
JE créé un réseau, qui se trouve être non-sécurisé, et si je regarde ce que TU fais sur MON réseau c'est moi qui t'espionne ? C'est un peu le monde à l'envers non ? Et ne viens pas me dire que leurs machines se sont connectées "par hasard" sur ce réseau ouvert...
Je n'oserais pas .
Pour être tout à fait honnête j'ai commencé à fouiller concernant la législation en vigueur sur un hotspot Wifi. Et il existe des règles mais qui, une fois de plus pour notre domaine, sont floues.

Considérons ce qu'il est, tu me parles de ton hotspot chez toi. Tu créé donc hotspot Wifi dit "public" (comme sur le salon).
L'utilisateur n'est en aucun cas dans l'illégalité si tu n'as mis en place aucune protection sur ton réseau. Ton opérateur (Orange, Bouygues...) te fournis un équipement avec un mot de passe par défaut. C'est donc ton choix si tu as un hotspot Wifi ouvert.

La loi exige que tu conserves les traces de tous les utilisateurs puisque tu vas partager une connexion internet et que par conséquent tu es opérateur wifi.
De plus, en cas de pépin, si tu veux pouvoir justifier que ce n'est pas toi mais l'utilisateur B qui a utilisé ta connexion, il vaut mieux conserver des logs.

On se retrouve dans un cas où tu as sous ta responsabilité des logs.
Maintenant la question est : Est-ce que tu peux légalement consulter les logs et t'en servir ?
Les consulter, je ne sais pas. C'est chez toi et je te l'accorde tu peux quand même regarder ce que font les gens chez toi, mais on est sur des données privés de navigation, et tu offres un service comme Orange offre un service.
T'en servir, c'est là que je pense que non et toi oui...
Je pense qu'on se retrouve un peu dans le cas d'une entreprise qui voit qu'un employé télécharge illégalement. Elle doit passer par la justice pour virer.
Dans notre cas, tu aurais donc le droit de voir mais pas de te servir des infos.

D'un autre côté, tu as lu, tu sais, tu peux utiliser les infos...

Du coup je ne sais pas. Je suis le c*l entre deux chaises .
Ça me permet donc de demander si quelqu'un sait si une loi définit les droits concernant les logs des hotspots Wifi ?
Je suis d'accord que tout le monde peut savoir ce que tu fais. Mais la question est : est-ce bien légal ?

@+
1  0 
Avatar de sebbod
Membre actif https://www.developpez.com
Le 20/01/2015 à 13:46
->Avez-vous l'habitude d'envoyer des données sensibles en utilisant des WiFi publics ?
Personnellement je n'ai encore jamais utilisé le WiFi de ma vie.

->Que pensez-vous du moyen utilisé par ceux-ci pour faire prendre conscience des dangers de la surveillance de masse ?
C'est très bien, il faudrait le faire plus souvent surtout pour des gens qui sont sensé protéger leur pays

->Pensez-vous que l'étude effectuée par les deux activistes était illégale ?
Je trouve ça normal qu'on est le droit de regarder ce qui ce passe sur son propre réseau WiFi ce n'est pas illégale pour moi. La NSA surveille bien le réseau mondial, ils n'ont pas d'amendes, ne sont pas jeté en prison pour autant
0  0 
Avatar de diabolos29
Membre éclairé https://www.developpez.com
Le 20/01/2015 à 13:50
Citation Envoyé par JayGr Voir le message

Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?
Ces données sont privées même si elles semblent sans importance.
Si on avait proposé à ces gens de cocher une petite case autorisant un tiers à lire ces données, ils n'auraient vraisemblablement pas coché.

Citation Envoyé par JayGr Voir le message

Concernant la connexion aux serveurs du/des gouvernements, la question est plutôt :
Pourquoi les agences gouvernementales autorise des utilisateurs non sensibilisé à se connecter via une réseau Wifi public ?
Finalement la problématique est un petit peu la même que dans un sujet apparu hier ou avant-hier sur la sensibilisation...
Je suis d'accord avec toi là dessus.

Citation Envoyé par JayGr Voir le message

Et pour ta deuxième question, oui ils étaient dans l'illégalité. A partir du moment où on espionne les gens je considère qu'on sort du cadre légal... Non ?
Il n'y a pas eu d'intrusion dans les machines se connectant à leur réseau ouvert.
La lecture des communications a été possible car elles n'étaient pas chiffrées.
D'ailleurs, si elles ne sont pas chiffrées là, elles ne le sont pas après non plus, ce qui signifie que chaque intermédiaire a dû pouvoir intercepter ces mêmes données.

C'est sans doute illégal (déjà parce que la collecte des données s'est faite sans le consentement des personnes concernées) mais il n'y a pas à priori pas eu d'utilisation frauduleuse des données.
Ça devrait en tout cas inciter les agences concernées à travailler dans ce sens, puisque des professionnels bien formés à l'utilisation de leurs outils ne ce seraient pas fait avoir comme ça.
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 20/01/2015 à 14:15
Citation Envoyé par diabolos29 Voir le message
Ces données sont privées même si elles semblent sans importance.
Si on avait proposé à ces gens de cocher une petite case autorisant un tiers à lire ces données, ils n'auraient vraisemblablement pas coché.
Ce qui me choque c'est qu'on utilise le terme "informations confidentielles"... Ne mélangeons pas tout. Confidentiel c'est différent de privé....

@+
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 20/01/2015 à 14:22
Citation Envoyé par JayGr Voir le message
Mais en quoi les randonnées qu'ils vont faire, leurs recherches sur ebay ou encore leurs destinations de vacances sont des données confidentielles ?
Par ce qu'il n'y a que ça qui circule sur le wifi? L'exemple est le plus simple qu'on puisse récupérer. Le risque est ensuite de pouvoir intercepter des mails, des mots de passes, des fichiers, etc. Voir de l'attaque active visant à fouiller/infecter le PC.
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 20/01/2015 à 14:27
Citation Envoyé par benjani13 Voir le message
Par ce qu'il n'y a que ça qui circule sur le wifi? L'exemple est le plus simple qu'on puisse récupérer. Le risque est ensuite de pouvoir intercepter des mails, des mots de passes, des fichiers, etc. Voir de l'attaque active visant à fouiller/infecter le PC.
Je n'ai pas dis ça .
Je dis juste que c'est idiot de se servir de ça pour les tacler sur le fait qu'ils soient là pour bosser...

Je suis d'accord avec toi sur le fait que l'on puisse récupérer pleeeeeins d'infos par Wifi. D'où la seconde question que j'ai soulevé.

@+
0  0