Surveiller les militants : leçons de Standing Rock

Le magazine en ligne The Intercept a publié à travers une série d’articles des documents prouvant la surveillance des militants à Standing Rock à travers des tactiques destinées à la lutte contre le terrorisme international. Les militants s’opposant aux projets d’oléoducs au Québec et au Canada courent-ils des risques similaires ?

Continuer la lecture de Surveiller les militants : leçons de Standing Rock

Les Chiens de garde #50 – Une taupe de la NSA exposée via des micropoints imprimés, imbroglio au Qatar après un hack télévisuel et des milliers de vulnérabilités dans les pacemakers

La 50e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 7 juin 2017.


Type de fichier : OGG / MP3 – Taille : 83,29MB – Durée : 36:23 m (320 kbps 44100 Hz)

Notes de l’émission

  • Annonces:
  • Conseil de la semaine : arrêtez de réutiliser des mots de passe d’un site à l’autre.
  • Livres :
    • Critique de “Defensive Security Handbook” de Lee Brotherston et Amanda Berlin.
    • Queer Privacy de Sarah Jamie Lewis.
  • Politique:
    • The Intercept a publié un document classé top secret par la NSA expliquant en plus de détails l’interférence russe lors des dernières élections américaines. Or, la source du journal électronique a été révélée grâce à des micropoints jaune présents sur les feuilles du document en question!
    • Theresa May lance un appel à un plus grand contrôle d’Internet suite aux attentats du pont de Londres.
    • Qatar : un hack à l’agence de nouvelles nationale qui a des conséquences géopolitiques sérieuses. Al-Jazeera bloqué aux Émirats Arabes Unis / Arabie Saoudite… Conséquence? En prime: une fuite récente de courriels en provenance des Émirats Arabes Unis aurait sérieusement endommagé les relations au sein du Conseil de coopération du Golfe. Relié?
    • Shadowbrokers : des nouvelles bientôt du service “d’abonnement aux exploits de Equation Group”? Alors qu’un groupe de sociofinancement se retire, une autre initiative, celle-là anonyme (.onion), se profile.
    • La firme de recherche en sécurité WhiteScope a découvert plus de 8 000 vulnérabilités dans différents stimulateurs cardiaques en vente sur le marché.
    • Six mois de prison pour avoir refusé de donner son mot de passe de iPhone à la police.

Équipe

Les Chiens de garde #49 – Les politiques de modération de Facebook, la surveillance des militants à Standing Rock et l’origine de Shadow Brokers

La 49e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 31 mai 2017.


Type de fichier : OGG / MP3 – Taille : 84,24MB – Durée : 36:48 m (320 kbps 44100 Hz)

Notes de l’émission

Équipe

  • Animation : Geneviève Lajeunesse
  • Sonorisation : Mathieu Tessier
  • Chroniqueurs : Anne-Sophie Letellier et Sophie Thériault
  • Médias sociaux : Sophie Thériault
  • Identité graphique : Bonhomme
  • Indicatif sonore : Danny Provencher / Under Electric Light
  • Autres remerciements : Vues & voix pour les locaux et le GRISQ

L’Association canadienne des chefs de police exige l’accès aux mots de passe : Crypto.Québec s’oppose

Pour quelles raisons l’Association canadienne des chefs de police (ACCP) voudrait-elle avoir accès à vos mots de passe?

La réponse est simple: par manque de compétence et par paresse.

Le 16 août dernier, les chefs de police du Canada ont demandé au gouvernement fédéral une loi pour contraindre les détenteurs d’un mot de passe à le révéler aux forces de l’ordre avec l’approbation d’un juge. Selon eux, « les criminels ont de plus en plus recours au chiffrement pour dissimuler leurs activités illégales en ligne ».

Or, aucune donnée crédible n’existe en ce sens à notre connaissance. Qui plus est, l’ACCP n’a pas daigné en présenter. En retour, plusieurs articles de publications spécialisées réputées existent qui démentent ces affirmations.

Ars Technica et Techdirt expliquaient dans diverses publications récentes que les terroristes qui ont massacré des civils au Bataclan à Paris utilisaient en fait des « burner phones », c’est-à-dire des cellulaires jetables non chiffrés, pour communiquer entre eux. Dans les faits, ce n’est pas le chiffrement qui a empêché de saisir les terroristes du Bataclan avant l’acte, c’est un manque de communication entre les divers corps policiers, une insuffisance de ressources adéquates et une compréhension déficiente des modes de communication employés par les terroristes.

De plus, The Intercept expliquait dans un article datant de septembre 2015, qu’à cette date, le FBI n’arrivait pas à identifier UN SEUL CAS où le chiffrement d’un dispositif a empêché le service de renseignement de continuer une enquête et d’arriver à des conclusions.

Pourquoi? Parce que les services de police et de renseignements ont une autre méthode lorsqu’ils font face à ce genre de situation: le piratage. Il est parfaitement légitime et légal pour les forces de sécurité, lorsqu’elles ont un mandat provenant d’un juge, de pirater un dispositif particulier pour tenter d’en soutirer les données. C’est d’ailleurs ce qui est arrivé aux États-Unis dans le cas des cellulaires des terroristes de San Bernardino. Le FBI a tout d’abord poursuivi Apple pour accéder rapidement et aisément aux données des cellulaires des terroristes. Apple a refusé, disant même être prêt à aller jusqu’en Cour Suprême. Peu de temps après, le FBI accédait aux données en piratant le dispositif. C’est par paresse que le FBI a entrepris de poursuivre Apple. C’est cette même paresse qui motive aujourd’hui la demande de l’ACCP d’avoir accès aux mots de passe des gens qui sont visés par un mandat.

Pourtant, obtenir le mot de passe n’est pas un passage obligé pour les forces policières : elles peuvent simplement utiliser le piratage (des méthodes techniques ou de l’ingénierie sociale) pour obtenir un accès aux données. C’est donc également un problème de compétence de la part des forces de l’ordre du Canada qui se dessine dans cette requête. Si le piratage n’est pas accessible aux membres de l’ACCP, c’est une faiblesse opérationnelle grave à laquelle ils se doivent de remédier. Accorder l’accès aux mots de passe n’est en rien une solution à cette incapacité.

Abaisser la barrière à l’entrée de notre vie privée n’est pas une manière de la protéger.

Soyons clairs : il est difficile de briser les dispositifs qui protègent nos droits fondamentaux et notre vie privée. C’est intentionnel et souhaitable qu’il en soit ainsi.

C’est pourquoi nos gouvernements investissent dans une force de police et de renseignements. C’est pourquoi ces organisations forment des enquêteurs, des cyberenquêteurs, des experts en terrorisme et autres. C’est pourquoi l’on accorde, à travers des textes de loi, des ressources et des pouvoirs extraordinaires à ces gens.

Car nous avons élus des gens qui ont donné des pouvoirs extraordinaires à certaines organisations et dont le principal objectif est de faire tout ce qu’il est possible de faire pour prévenir et réagir aux menaces sans, en contrepartie, déconstruire et empiéter sur les droits et libertés que nous tentons collectivement de protéger.

Reprenons ici les mots du lanceur d’alerte Edward Snowden qui s’exprimait par rapport à la NSA à la chaîne PBS, puisque ceux-ci s’appliquent très bien à la situation actuelle:

« Ce que nous avons vu au cours de la dernière décennie est un abandon de la NSA par rapport à sa mission originale. La NSA est devenue en quelque sorte « l’agence de piratage nationale », ou plutôt l’« agence de surveillance nationale ». Et, du même coup, elle a perdu de vue le fait que tout ce qu’elle fait est censé assurer notre sécurité en tant que nation et en tant que société. »

Le danger de ce que demandent les chefs de police du Canada est encore plus évident lorsqu’on l’analyse en connaissance de cause des usages excessifs de certaines technologies et de l’abus de certains pouvoirs en matière de surveillance de la part des forces de l’ordre de mémoire récente.

À ce sujet, la publication VICE mettait au jour l’utilisation avouée de « Stingrays » (nom sous lequel certains de ces dispositifs sont commercialisés, aussi connus sous le nom technique de “IMSI Catcher“) au Canada. Ce type d’outil, qui peut être aussi petit qu’une mallette, imite le signal des tours cellulaires. Votre cellulaire s’y connecte croyant qu’il s’agit de la tour la plus proche.

Qu’est-ce que cela permet de faire? Déterminer votre présence (ou du moins celle de votre cellulaire) dans un événement, et lire et écouter tout ce qui passe à travers ses ondes, si ce n’est pas chiffré (nous en parlons notamment dans l’épisode 14 de notre podcast Les Chiens de garde). Il est important de spécifier que cet outil n’est pas discriminant, c’est-à-dire qu’il espionne tout le monde ayant un cellulaire, même ceux qui ne sont pas des criminels et qui n’ont “rien à cacher”. Ce genre d’outil est extrêmement controversé, surtout lorsqu’on sait qu’il est utilisé dans des systèmes dictatoriaux pour déterminer la location et l’identité des manifestants lors de révoltes contre le pouvoir. Il est également utilisé ailleurs en Occident, au Royaume-Uni par exemple, pour identifier les activistes présents aux manifestations.

Pourtant, les manifestants ont le droit de dissimuler leur identité lors de manifestations. Diverses raisons de le faire sont entièrement légitimes, et diverses méthodes pour y parvenir sont acceptables (masques ou autres).  Dans un récent article de La Presse, on apprenait que c’est d’ailleurs pour cela que la Cour supérieure avait invalidé des parties du règlement P-6 de la Ville de Montréal.

« Dans sa décision de 124 pages, celle-ci a déclaré nulle la disposition du règlement interdisant de manifester à visage couvert, estimant qu’il avait une « portée excessive, étant déraisonnable et arbitraire ». Elle l’a aussi déclarée « inconstitutionnelle parce que portant atteinte aux libertés d’expression et de réunion de manière injustifiée ». »

Et malgré tout, même s’il s’agit d’un constat logique, le SPVM a utilisé ce règlement plusieurs centaines de fois depuis 2012 pour justifier l’arrestation de centaines (voire des milliers) de personnes innocentes, sans lésiner, au passage, sur l’utilisation de la force physique.

Cette réflexion s’applique notamment au dispositif Stingray qui retire systématiquement le droit fondamental à manifester tout en dissimulant son identité. Ce gadget identifie de manière non discriminante tous les individus présents à un endroit précis. Vous y êtes avec votre téléphone? Vous êtes captés et fichés par le système, tout bonnement.

Bref, si nous acceptons que le gouvernement du Canada accorde aux policiers du Canada le droit de forcer les citoyens à divulguer leurs mots de passe, même si un mandat est supposément nécessaire, il y aura des abus. Comme il y a eu des abus lors de la mise en place du règlement P-6 tel que démontré plus haut, et comme il y a présentement des abus de la part des policiers de partout dans le monde avec l’utilisation des Stingrays.

Dans les faits, ce dont les forces policières du Canada ont besoin, ce n’est pas de plus de pouvoirs, mais de plus de ressources financières et techniques. Plus de formations. Et surtout, SURTOUT, de plus de leaders politiques compétents et vaillants étant prêts à faire face aux défis technologiques du 21e siècle pour combattre le crime, la violence et la peur, sans tomber dans les abus et la généralisation.

Refusons les fausses solutions qui proviennent d’administrations policières fatiguées, paresseuses et dépassées.

Soutenons le chiffrement et refusons l’obligation de donner nos mots de passe à des gens qui pourraient en abuser.

The Drone Papers: la surveillance électronique au coeur des campagnes d’assassinats signées Obama

L’équipe de The Intercept (Jeremy Scahill, Glenn Greenwald) vient de publier “The Drone Papers”, un dossier coup-de-poing qui documente et dénonce les campagnes d’assassinats commandés de l’administration Obama.

“The Intercept has obtained a cache of secret documents detailing the inner workings of the U.S. military’s assassination program in Afghanistan, Yemen, and Somalia. The documents, provided by a whistleblower, offer an unprecedented glimpse into Obama’s drone wars.”

Basés sur des documents officiels Top Secret du gouvernement américain, les Drone Papers révèlent que l’armée américaine utilise des drones (avions téléguidés sans pilote) pour intercepter les communications de ses cibles (souvent avec très peu de précision), puis se fie sur l’emplacement des téléphones interceptés pour larguer des bombes, tuant une forte majorité de civils au passage. L’imprécision des frappes est alarmante: près de 9 victimes sur 10 de ces attaques sont innocentes et catégorisées comme “dommages collatéraux”. Dans un des pays en particulier, 35 frappes ciblées on tué 219 civils. 178 autre frappes sont documentées entre 2011 et 2015 au Yémen et en Somalie seulement. Les statistiques démontrent que les bombardements par drones sont près de 10 fois moins précis que ceux par avion traditionnel.

De plus, les services armés américains semblent avoir développé une dangereuse dépendance envers ce qu’ils appellent les “signals intelligence”, soit l’accumulation de données via la surveillance numérique.

“In undeclared war zones, the U.S. military has become overly reliant on signals intelligence, or SIGINT, to identify and ultimately hunt down and kill people. The documents acknowledge that using metadata from phones and computers, as well as communications intercepts, is an inferior method of finding and finishing targeted people. They described SIGINT capabilities in these unconventional battlefields as “poor” and “limited.” Yet such collection, much of it provided by foreign partners, accounted for more than half the intelligence used to track potential kills in Yemen and Somalia. The ISR study characterized these failings as a technical hindrance to efficient operations, omitting the fact that faulty intelligence has led to the killing of innocent people, including U.S. citizens, in drone strikes.

The source underscored the unreliability of metadata, most often from phone and computer communications intercepts. These sources of information, identified by so-called selectors such as a phone number or email address, are the primary tools used by the military to find, fix, and finish its targets. “It requires an enormous amount of faith in the technology that you’re using,” the source said. “There’s countless instances where I’ve come across intelligence that was faulty.” This, he said, is a primary factor in the killing of civilians. “It’s stunning the number of instances when selectors are misattributed to certain people. And it isn’t until several months or years later that you all of a sudden realize that the entire time you thought you were going after this really hot target, you wind up realizing it was his mother’s phone the whole time.”

Parmi les autres révélations: les assassinats sont spécifiquement approuvés par Président Obama et son équipe à partir de la Maison Blanche.

“Drones are a tool, not a policy. The policy is assassination.”

Ces campagnes d’assassinats sont dénoncées depuis longtemps à travers le monde, mais jusqu’à ce jour aucun document officiel n’avait été rendu publique afin de prouver hors de tout doute leur existence dans les moindres détails. Leur justification légale demeure un mystère. La source, un nouveau lanceur d’alerte qui n’est pas Edward Snowden, demeure pour le moment confidentielle.

Scahill commente:

“The corporate coldness of the way that these documents reflect what is actually a process of systematically hunting down and assassinating human beings should send chills through the spine of people who care about democracy in this society.”

Tous les détails dans The Drone Papers:
https://theintercept.com/drone-papers