Crypto.Québec met en place son conseil d’administration et son comité exécutif

Les derniers mois ont été cruciaux pour l’organisme Crypto.Québec, permettant de le positionner en tant que référence en matière de sensibilisation populaire à la sécurité informatique, vie privée et surveillance. À travers le succès du podcast « Les Chiens de garde » et le nombre croissant de conseils et de formations en sécurité numérique demandés par des citoyens, organisations, médias et parlementaires, l’équipe de Crypto.Québec sent que les valeurs au cœur de sa mission sont partagées par de plus en plus de québécoises et de québécois. En multipliant les interventions médiatiques, en travaillant au développement de projets, en agrandissant l’équipe et en établissant de nouveaux partenariats, un constat est devenu évident : il était temps d’optimiser les ressources de l’organisme afin de multiplier les projets prometteurs et de défendre plus efficacement nos libertés individuelles et collectives.

En ce sens, Crypto.Québec a tenu son assemblée générale annuelle le 26 avril 2017. Lors de cette première assemblée, le conseil d’administration et le comité exécutif ont été formés et élus, tel que requis pour les organismes à but non lucratif du Québec.

La formation d’un conseil d’administration
Suite à ce processus, Crypto.Québec est heureux d’annoncer la composition du nouveau conseil d’administration. Ce dernier aura pour mandat d’établir les orientations stratégiques de l’organisme et de l’appuyer dans sa mission de sensibilisation, d’éducation et de formation auprès des Québécois.

Luc Lefebvre, co-fondateur de Crypto.Québec et récemment élu président du conseil administratif souligne que « Crypto.québec est avant tout une équipe de bénévoles passionnés croyant profondément que l’état de surveillance actuel n’est pas viable et qu’il est primordial de faire tout ce qui est en notre pouvoir pour améliorer la situation. La structure dont se dote l’organisme nous permettra de canaliser nos énergies et d’accomplir notre mission, tout en faisant croître nos rangs. À ce sujet, nous sommes à la recherche de candidats de qualité pour combler certains postes au sein du Conseil d’Administration, ainsi que des bénévoles désireux de s’impliquer dans nos différentes opérations. »

À ses côtés siégeront Jean-Philippe Décarie-Mathieu – également co-fondateur de Crypto.Québec – et Jessie Wala Ahmad, consultante en sécurité et en criminologie et étudiante en sécurité et études policières à l’Université de Montréal.

L’élection d’un comité exécutif
Dans l’objectif de mener à bien la mission de l’organisme dans ses opérations quotidiennes, l’assemblée générale a également élu un comité exécutif. La direction générale sera assurée par Jean-Philippe Décarie-Mathieu, la direction des opérations par Geneviève Lajeunesse et la direction des communications par Anne-Sophie Letellier et Sophie Thériault.

L’équipe exécutive est marquée par la variété et la complémentarité des profils de ses membres. Ayant déjà fait leurs preuves au sein de Crypto.Québec, ils sauront certainement apporter le leadership nécessaire à la continuité de sa mission.

La mission de Crypto.Québec
Crypto.Québec est un organisme à but non lucratif fondé en juillet 2015 à Montréal par Jean-Philippe Décarie-Mathieu, Luc Lefebvre, et Steven Lachance. L’organisme soutient l’émancipation et l’avancement des libertés individuelles et collectives des Québécois à travers une offre de service allant de la sensibilisation, à la formation en sécurité, à la recherche et au développement de solutions. Référence au Québec en terme d’information vulgarisée et factuelle sur les enjeux de sécurité informatique, géopolitique, vie privée, technologie de l’information et renseignement, Crypto.Québec déploie ses propres médias numériques de manière indépendante.

Au nom de toute l’équipe de Crypto.Québec, nous nous joignons à l’enthousiasme de notre co-fondateur Luc Lefebvre et invitons la communauté intéressée par une implication au sein de l’organisme à nous contacter.

Anne-Sophie Letellier et Sophie Thériault,
Co-directrices des communications

Anne-Sophie Letellier se joint à l’équipe

Toujours en croissance, l’équipe de Crypto.Québec est fière d’accueillir Anne-Sophie Letellier en son sein. Elle aura pour rôle d’assurer une veille numérique en lien avec les enjeux de surveillance, de vie privée et de sécurité informatique.

Étudiante au doctorat à l’Université du Québec à Montréal et intéressée aux pratiques de militance entourant la résistance en ligne à la surveillance numérique, ses recherches ont longtemps portées sur les pratiques hacktivistes et sur les cultures hackers. Elle se concentre désormais sur les initiatives de réformes législatives liées au numérique.

Ses intérêts sont principalement  la sécurité numérique, le big data,  les enjeux politiques, économiques et sociaux de la surveillance, la vie privée, la militance en ligne,  la gouvernance d’Internet et l’éducation aux médias.

Également coordonnatrice de l’École de sécurité numérique (ESN514), elle considère que la sensibilisation aux enjeux de la surveillance et de la vie privée est nécessaire et s’inscrit inévitablement dans une démarche de littératie numérique.

N’hésitez pas à la contacter pour toute question ou commentaire.

Crypto.québec et « Faut qu’on se parle ».

Crypto.québec est fier d’annoncer un événement « Faut qu’on se parle » avec la présence de Gabriel Nadeau-Dubois le jeudi 24 novembre prochain au bar Yïsst, dans Petite-Patrie à Montréal.

L’événement sera peut-être webdiffusé.

L’objectif de cette soirée est de discuter en groupe sur l’avenir du Québec, mais en ayant une approche en lien avec la sécurité, l’information et la technologie. Selon-vous, que pouvons-nous faire pour améliorer le Québec au niveau de la technologie? De l’information? De la sécurité? Quelles politiques devrions-nous prendre? Quelles approches devraient être considérées? Et la surveillance des journalistes? La surveillance des activistes? La collecte de masse des données? Devrions-nous mettre de l’avant certaines pratiques plutôt que d’autres?

Venez discuter avec nous de vos réflexions à ce niveau! Nous sommes intéressés à vous entendre.

Une contribution volontaire de 15$ est fortement recommandée. L’argent ira couvrir les frais de FQSP ainsi que les frais d’organisation par notre équipe de bénévoles.

Nous invitons tout le monde à s’inscrire à l’événement Facebook ou sur Eventbrite.

L’Association canadienne des chefs de police exige l’accès aux mots de passe : Crypto.Québec s’oppose

Pour quelles raisons l’Association canadienne des chefs de police (ACCP) voudrait-elle avoir accès à vos mots de passe?

La réponse est simple: par manque de compétence et par paresse.

Le 16 août dernier, les chefs de police du Canada ont demandé au gouvernement fédéral une loi pour contraindre les détenteurs d’un mot de passe à le révéler aux forces de l’ordre avec l’approbation d’un juge. Selon eux, « les criminels ont de plus en plus recours au chiffrement pour dissimuler leurs activités illégales en ligne ».

Or, aucune donnée crédible n’existe en ce sens à notre connaissance. Qui plus est, l’ACCP n’a pas daigné en présenter. En retour, plusieurs articles de publications spécialisées réputées existent qui démentent ces affirmations.

Ars Technica et Techdirt expliquaient dans diverses publications récentes que les terroristes qui ont massacré des civils au Bataclan à Paris utilisaient en fait des « burner phones », c’est-à-dire des cellulaires jetables non chiffrés, pour communiquer entre eux. Dans les faits, ce n’est pas le chiffrement qui a empêché de saisir les terroristes du Bataclan avant l’acte, c’est un manque de communication entre les divers corps policiers, une insuffisance de ressources adéquates et une compréhension déficiente des modes de communication employés par les terroristes.

De plus, The Intercept expliquait dans un article datant de septembre 2015, qu’à cette date, le FBI n’arrivait pas à identifier UN SEUL CAS où le chiffrement d’un dispositif a empêché le service de renseignement de continuer une enquête et d’arriver à des conclusions.

Pourquoi? Parce que les services de police et de renseignements ont une autre méthode lorsqu’ils font face à ce genre de situation: le piratage. Il est parfaitement légitime et légal pour les forces de sécurité, lorsqu’elles ont un mandat provenant d’un juge, de pirater un dispositif particulier pour tenter d’en soutirer les données. C’est d’ailleurs ce qui est arrivé aux États-Unis dans le cas des cellulaires des terroristes de San Bernardino. Le FBI a tout d’abord poursuivi Apple pour accéder rapidement et aisément aux données des cellulaires des terroristes. Apple a refusé, disant même être prêt à aller jusqu’en Cour Suprême. Peu de temps après, le FBI accédait aux données en piratant le dispositif. C’est par paresse que le FBI a entrepris de poursuivre Apple. C’est cette même paresse qui motive aujourd’hui la demande de l’ACCP d’avoir accès aux mots de passe des gens qui sont visés par un mandat.

Pourtant, obtenir le mot de passe n’est pas un passage obligé pour les forces policières : elles peuvent simplement utiliser le piratage (des méthodes techniques ou de l’ingénierie sociale) pour obtenir un accès aux données. C’est donc également un problème de compétence de la part des forces de l’ordre du Canada qui se dessine dans cette requête. Si le piratage n’est pas accessible aux membres de l’ACCP, c’est une faiblesse opérationnelle grave à laquelle ils se doivent de remédier. Accorder l’accès aux mots de passe n’est en rien une solution à cette incapacité.

Abaisser la barrière à l’entrée de notre vie privée n’est pas une manière de la protéger.

Soyons clairs : il est difficile de briser les dispositifs qui protègent nos droits fondamentaux et notre vie privée. C’est intentionnel et souhaitable qu’il en soit ainsi.

C’est pourquoi nos gouvernements investissent dans une force de police et de renseignements. C’est pourquoi ces organisations forment des enquêteurs, des cyberenquêteurs, des experts en terrorisme et autres. C’est pourquoi l’on accorde, à travers des textes de loi, des ressources et des pouvoirs extraordinaires à ces gens.

Car nous avons élus des gens qui ont donné des pouvoirs extraordinaires à certaines organisations et dont le principal objectif est de faire tout ce qu’il est possible de faire pour prévenir et réagir aux menaces sans, en contrepartie, déconstruire et empiéter sur les droits et libertés que nous tentons collectivement de protéger.

Reprenons ici les mots du lanceur d’alerte Edward Snowden qui s’exprimait par rapport à la NSA à la chaîne PBS, puisque ceux-ci s’appliquent très bien à la situation actuelle:

« Ce que nous avons vu au cours de la dernière décennie est un abandon de la NSA par rapport à sa mission originale. La NSA est devenue en quelque sorte « l’agence de piratage nationale », ou plutôt l’« agence de surveillance nationale ». Et, du même coup, elle a perdu de vue le fait que tout ce qu’elle fait est censé assurer notre sécurité en tant que nation et en tant que société. »

Le danger de ce que demandent les chefs de police du Canada est encore plus évident lorsqu’on l’analyse en connaissance de cause des usages excessifs de certaines technologies et de l’abus de certains pouvoirs en matière de surveillance de la part des forces de l’ordre de mémoire récente.

À ce sujet, la publication VICE mettait au jour l’utilisation avouée de « Stingrays » (nom sous lequel certains de ces dispositifs sont commercialisés, aussi connus sous le nom technique de « IMSI Catcher« ) au Canada. Ce type d’outil, qui peut être aussi petit qu’une mallette, imite le signal des tours cellulaires. Votre cellulaire s’y connecte croyant qu’il s’agit de la tour la plus proche.

Qu’est-ce que cela permet de faire? Déterminer votre présence (ou du moins celle de votre cellulaire) dans un événement, et lire et écouter tout ce qui passe à travers ses ondes, si ce n’est pas chiffré (nous en parlons notamment dans l’épisode 14 de notre podcast Les Chiens de garde). Il est important de spécifier que cet outil n’est pas discriminant, c’est-à-dire qu’il espionne tout le monde ayant un cellulaire, même ceux qui ne sont pas des criminels et qui n’ont « rien à cacher ». Ce genre d’outil est extrêmement controversé, surtout lorsqu’on sait qu’il est utilisé dans des systèmes dictatoriaux pour déterminer la location et l’identité des manifestants lors de révoltes contre le pouvoir. Il est également utilisé ailleurs en Occident, au Royaume-Uni par exemple, pour identifier les activistes présents aux manifestations.

Pourtant, les manifestants ont le droit de dissimuler leur identité lors de manifestations. Diverses raisons de le faire sont entièrement légitimes, et diverses méthodes pour y parvenir sont acceptables (masques ou autres).  Dans un récent article de La Presse, on apprenait que c’est d’ailleurs pour cela que la Cour supérieure avait invalidé des parties du règlement P-6 de la Ville de Montréal.

« Dans sa décision de 124 pages, celle-ci a déclaré nulle la disposition du règlement interdisant de manifester à visage couvert, estimant qu’il avait une « portée excessive, étant déraisonnable et arbitraire ». Elle l’a aussi déclarée « inconstitutionnelle parce que portant atteinte aux libertés d’expression et de réunion de manière injustifiée ». »

Et malgré tout, même s’il s’agit d’un constat logique, le SPVM a utilisé ce règlement plusieurs centaines de fois depuis 2012 pour justifier l’arrestation de centaines (voire des milliers) de personnes innocentes, sans lésiner, au passage, sur l’utilisation de la force physique.

Cette réflexion s’applique notamment au dispositif Stingray qui retire systématiquement le droit fondamental à manifester tout en dissimulant son identité. Ce gadget identifie de manière non discriminante tous les individus présents à un endroit précis. Vous y êtes avec votre téléphone? Vous êtes captés et fichés par le système, tout bonnement.

Bref, si nous acceptons que le gouvernement du Canada accorde aux policiers du Canada le droit de forcer les citoyens à divulguer leurs mots de passe, même si un mandat est supposément nécessaire, il y aura des abus. Comme il y a eu des abus lors de la mise en place du règlement P-6 tel que démontré plus haut, et comme il y a présentement des abus de la part des policiers de partout dans le monde avec l’utilisation des Stingrays.

Dans les faits, ce dont les forces policières du Canada ont besoin, ce n’est pas de plus de pouvoirs, mais de plus de ressources financières et techniques. Plus de formations. Et surtout, SURTOUT, de plus de leaders politiques compétents et vaillants étant prêts à faire face aux défis technologiques du 21e siècle pour combattre le crime, la violence et la peur, sans tomber dans les abus et la généralisation.

Refusons les fausses solutions qui proviennent d’administrations policières fatiguées, paresseuses et dépassées.

Soutenons le chiffrement et refusons l’obligation de donner nos mots de passe à des gens qui pourraient en abuser.

Bye, bye, CloudFlare

Originalement, lors de la conception et du déploiement initial de l’infrastructure de Crypto.Québec, nous avions décidé d’utiliser les services de CloudFlare (CF), une compagnie californienne spécialisée dans la livraison de contenu et la mitigation d’attaques de déni de service distribuées. CloudFlare agit comme proxy inverse, permettant une gestion de cache rapide, une certaine répartition de charge (« load balancing ») en cas de surcharge et/ou d’attaque DDoS ainsi qu’une intégration conviviale de leur autorité de certification (CAs) avec notre propre certificat de sécurité SSL.

Or, ce sont ces mêmes avantages qui, dans le meilleur des cas, rendent l’utilisation des services de CloudFlare problématique ou, pour les plus paranoïaques d’entre-nous, une bombe à retardement orwellienne, dans le pire des cas. Nous en sommes venus à la conclusion que les désavantages pesaient plus lourd dans la balance que les avantages de l’utilisation des services de CloudFlare.

Bref, on a tiré la plug sur CF. Quelques explications s’imposent:

Continuer la lecture de Bye, bye, CloudFlare