Accéder au contenu.
Menu Sympa

informatique-deloyale - Fwd: [DEBATS] Re: [April] Ce que va changer le numérique - CNRS/rapport/Vie privée

Objet : Informatique déloyale (liste à inscription publique)

Archives de la liste

Fwd: [DEBATS] Re: [April] Ce que va changer le numérique - CNRS/rapport/Vie privée


Chronologique Discussions 
  • From: Patrick <patrick.abul AT free.fr>
  • To: informatique-deloyale AT april.org
  • Cc: Maxime DERCHE <maxime AT mouet-mouet.net>
  • Subject: Fwd: [DEBATS] Re: [April] Ce que va changer le numérique - CNRS/rapport/Vie privée
  • Date: Wed, 29 Oct 2008 21:50:15 +0100


---------- Message transmis ----------

Sujet : [DEBATS] Re: [April] Ce que va changer le numérique -
CNRS/rapport/Vie
privée
Date : mercredi 29 octobre 2008
De : Maxime DERCHE <maxime AT mouet-mouet.net>
À : april AT april.org


Bonsoir,

Concernant les passeports électroniques, ou "e-passport", il faut
savoir qu'il est possible de les modifier, et même d'en créer de toute
pièce (on peut même "choisir" son niveau d'accréditation : qui n'a
jamais révé de posséder un passeport diplomatique *valide* ?).

C'est le groupe THC (The Hacker's Choice) qui a publié ces résultats,
qui prouvent que si Big Brother a tout compris de la communication et
de la politique, il lui reste quand même quelques progrès à faire en
terme de choix des technologies qu'il utilise :
http://www.korben.info/le-passeport-electronique-cest-de-la-merde.html
http://freeworld.thc.org/thc-epassport/
http://blog.thc.org/index.php?/archives/4-The-Risk-of-ePassports-and-RFID.html


En vous souhaitant bonne lecture,
Maxime DERCHE


On Wed, 29 Oct 2008 16:38:21 +0100
Valerie Dagrain <vdagrain AT free.fr> wrote:

> Bonjour, je vous fait suivre une information diffusée sur la liste
> Demcom qui comprend une majorité de représentants associatifs et ONG
> du Québec et Canada:
>
> Le CNRS publie un dossier assez complet sur comment Big Brother
> débarque en France. Ça nous concerne tous néanmoins.
> Au Québec, la Ligue des Droits et Libertés avait traité ce thème dans
> un numéro de sa revue en 2005
> http://www.liguedesdroits.ca/documents/bulletins/bulletin_printemps2005.pdf
> et publie régulièrement des plaquettes sur le même thème.
> AA
>
> http://www2.cnrs.fr/presse/journal/4071.htm
>
> Ce que va changer le numérique
>
> Ce mois-ci, les tout premiers passeports « biométriques », contenant
> les empreintes digitales du détenteur, doivent être délivrés en
> France. Un signe des temps : dans les aéroports ou même dans les
> cantines scolaires, la biométrie, qui permet d'identifier quelqu'un à
> partir d'un élément de son corps, est en plein essor comme le
> démontrent deux évènements internationaux1.
> Cette technologie vient s'ajouter à toutes les autres (téléphones
> portables, cartes de paiement, puces RFID, Internet, etc.) qui
> envahissent notre quotidien, pour notre confort ou notre sécurité et
> drainent tout un flot de données personnelles. Peuvent-elles porter
> atteinte à notre vie privée ? Le numérique nous met-il sous
> surveillance ? Le journal du CNRS ouvre le dossier.
>
> 1. En témoignent le Salon 2008 « Cartes et identification », du 4 au 6
> novembre à Villepinte, ou la IIe Conférence mondiale sur la biométrie
> (Biometrics 2008) à Londres du 21 au 23 octobre.
>
> * Souriez, vous êtes identifiés
> * Une vie de moins en moins privée
> * Fichiers numériques : gare aux dérives !
>
> http://www2.cnrs.fr/presse/journal/4073.htm
>
> Une vie de moins en moins privée
> Tout lecteur de 1984 connaît les « télécrans » implantés dans chaque
> maison de
> l'Océania et capables d'observer tout le monde, tout le temps. Écrit
> au sortir
> de la Seconde Guerre mondiale, « le livre de George Orwell, rappelle
> Michel Weinfeld, ancien membre du Laboratoire d'informatique de
> l'École polytechnique
> (LIX)1, décrit une société surveillée constamment par un personnage
> tyrannique
> mythique, Big Brother, qui utilise entre autres des techniques
> d'espionnage individuelles et collectives pour asseoir son emprise
> sur la société. » Et si
> aujourd'hui, les techniques de biométrie, caméras de surveillance,
> puces RFID
> et autres technologies de pointe, menaçaient notre intimité comme le
> décrivait
> Orwell ?
>
> Observés par des yeux électroniques…
> Des exemples concrets ? Arpentez les rues, les gares, les stades, les
> galeries
> commerciales, les parkings, les entreprises, les bâtiments publics...
> Les caméras de vidéosurveillance y prolifèrent. Rien qu'en
> Angleterre, 4,2 millions de ces yeux électroniques, dont certains «
> parlants » pour interpeller depuis un poste de contrôle les auteurs
> d'infractions même bénignes, sont braqués en permanence sur les
> sujets de Sa Gracieuse Majesté, soit une caméra pour 14 habitants. Un
> Londonien, dit-on, est filmé, en moyenne, 300 fois dans la journée
> entre son domicile et son lieu de travail. But du jeu : scruter
> non-stop les rues pour repérer le moindre acte illégal (mendicité,
> vol…) ou potentiellement dangereux, et intervenir immédiatement. De
> ce côté-ci de la Manche, on estime à 340 000 le nombre d'appareils «
> autorisés », et ce parc devrait tripler d'ici à la fin 2009,
> conformément au vœu du gouvernement. Si 65 % de nos compatriotes
> estiment que la multiplication de ces dispositifs permet de lutter
> efficacement contre le terrorisme et la délinquance, la Commission
> nationale informatique et libertés (Cnil) (lire l'encadré), chargée
> d'appliquer la loi du 6 janvier 1978 (modifiée en 2004 pour
> l'harmoniser avec une directive européenne) relative à
> l'informatique, aux fichiers et aux libertés2, ne cesse de
> s'inquiéter de cette propension à surveiller 24 h/24 nos faits et
> gestes sur la voie publique. Autre technique dans le collimateur de
> l'institution : le système de
> navigation automobile par GPS qui permettrait dans certaines
> sociétés, et sous
> couvert de simplifier les déplacements des livreurs, des commerciaux,
> etc. sur
> le terrain, de télésurveiller les équipes, minute par minute, parfois
> à leur insu.
>
> Couverts de puces…
> navigo
>
> © J.-F. Mauboussin/RATP Photothèque
>
> Le passe Navigo de la RATP est l'un des nombreux systèmes qui
> facilitent le quotidien. Mais il rend possible le traçage des
> individus. Tracés, nous le sommes aussi par les puces RFID (Radio
> Frequency Identification Device, littéralement « appareil
> d'identification par radiofréquence »). Des puces électroniques qui
> montent, qui montent… En 2007, 1,7 milliard de ces super-codes-barres
> constitués d'une antenne miniature, d'une mémoire et d'un
> microprocesseur pour émettre et recevoir de l'information par le
> biais d'ondes électromagnétiques, et permettre ainsi d'identifier un
> bien ou une personne à
> distance, ont été vendus dans le monde. 50 000 à 100 000 milliards
> devraient coloniser la planète d'ici à 2010. Quasiment invisibles,
> les RFID se déploient
> sur tous les fronts : dans les emballages alimentaires, les passes
> Navigo de la RATP (pour valider son trajet de métro sans contact,
> donc gagner du temps aux portillons), les clés sans contact de la
> plupart des véhicules récents, les cartes Vélib' (pour emprunter des
> vélos dans les points de stationnement),
> les badges de télépéage utilisés sur les autoroutes, les bracelets
> portés par
> les patients dans les hôpitaux (pour éviter les confusions d'identité)
> … Et « les progrès dans le domaine des micro- et nanotechnologies3 se
> traduisent aujourd'hui par l'apparition de nouveaux paradigmes
> “alternatifs” aux RFID conventionnels, indique Robert Plana, du
> Laboratoire d'analyse et d'architecture des systèmes (Laas)4 du CNRS.
> En effet, il devient possible de
> déployer des milliers de “sondes” ultraminiaturisées connectées par
> des liaisons sans fil appelées “réseaux de capteurs sans fil”. Ces
> réseaux – intégrés dans une maison, dans un avion ou autre – vont
> irriguer de nombreuses
> applications comme le transport, les loisirs, la vie de tous les
> jours, mais également la santé. Entre autres, le Laas est très
> impliqué dans le domaine des réseaux de capteurs pour des
> applications médicales, pour surveiller à distance, par exemple, une
> personne dépendante et alerter le personnel soignant en cas de chute
> ». Bien sûr, poursuit le même chercheur, avec la multiplication de
> ces applications RFID de deuxième génération, « il est indispensable
> de se poser la question de leur acceptation sociétale. Des groupes de
> travail sont mis en place et des projets de recherche sont soutenus
> par l'Agence nationale de la recherche (ANR) afin de garantir un
> développement
> harmonieux de la science et de la technologie au service de la
> société et du citoyen ». Selon la Cnil, avance Stéphanie Lacour, du
> Centre d'études sur la coopération juridique internationale (Cecoji)
> 5, l'utilisation d'un système RFID, quel que soit son objectif (qu'il
> s'agisse de faciliter la gestion des billets de transport en commun
> ou tout simplement d'assurer la logistique d'un
> supermarché), « constitue un traitement de données à caractère
> personnel ». Une position stricte se justifiant par le fait que « ces
> systèmes, malgré l'apparente insignifiance des données qu'ils peuvent
> parfois traiter, permettent, par la densité du maillage des
> étiquettes qui entourent une personne, d'en tracer un profil pouvant
> être analysé quasiment en permanence ». D'où la recommandation que
> l'utilisation des RFID doit s'accompagner « d'une solide formation et
> d'une responsabilisation de toutes les personnes (fabricants,
> distributeurs, consommateurs, salariés...) qui interviendront, de
> manière active ou passive, dans la mise en place de ces technologies
> », conclut notre juriste.
>
> Visibles sur la Toile…
> Douillettement installé devant votre écran d'ordinateur, vous croyez
> « surfer
> » dans l'anonymat parfait ? Erreur. Vous voilà, au contraire, sous
> haute surveillance. Naviguer sur la Toile, c'est forcément laisser
> des traces. La loi sur la sécurité quotidienne, votée en 2001, oblige
> par exemple les fournisseurs d'accès à conserver douze mois durant
> des informations sur les adresses des sites que vous visitez. De quoi
> reconstituer, dans les moindres détails, vos pérégrinations dans le
> cyberespace, en cas d'enquête. Mais l'« espionnite » sur le Web
> présente bien d'autres visages, moins avouables. Exemple : les
> cookies. Ces minuscules fichiers déposés par un serveur Web sur
> le disque dur de qui visite son site permettent de lui expédier de la
> publicité ciblée. Et, surtout, les spywares. Mission de ces «
> espiogiciels » (ou logiciels espions) dont on croise la route en
> téléchargeant ingénument un jeu gratuit ou en ouvrant ses courriels ?
> Infiltrer votre ordinateur pour y
> collecter le maximum d'informations confidentielles. Selon l'éditeur
> américain
> de logiciels de sécurité Webroot, près de 9 PC d'entreprise sur 10
> seraient infectés de spywares. Dans le meilleur des cas, votre
> adresse e-mail grossit les bases de données de sociétés commerciales
> qui vous submergent de spams (messages électroniques non sollicités).
> Dans le pire des cas, votre code de carte bancaire peut tomber entre
> les mains d'organisations criminelles qui se
> serviront sur vos comptes accessibles en ligne.
>
> air france klm
>
> © V. Valdois/Air France
>
> Le numérique permet le mélange des genres : la société Air France-KLM
> teste actuellement la carte d'embarquement électronique sur le
> téléphone mobile.
>
>
> Rangés dans des fichiers…
> Autre menace pour notre intimité, les fichiers légaux qui contiennent
> des informations personnelles se multiplient : fichiers
> administratifs, professionnels, bancaires, etc. (lire chapitre
> suivant). Or l'expérience montre qu'ils sont loin d'être des
> forteresses inexpugnables. « Il y a quelques mois, raconte Stéphanie
> Lacour, un internaute, qui s'était inscrit sur le site Web de la RATP
> pour souscrire un abonnement Navigo, a ainsi pu accéder aux dossiers
> d'autres passagers en changeant les chiffres de son numéro de client
> ». Idéalement, rappelle Philippe Pucheral, responsable du projet «
> Secure and Mobile Information Systems » (SMIS) commun au laboratoire
> « Parallélisme, réseaux, systèmes, modélisation » (Prism)6 et à
> l'Inria, « les
> données doivent être protégées des fuites “par négligence”, des
> attaques externes (tentatives de pillage par intrusion) et des
> attaques internes (actions malveillantes provenant de personnes qui
> ont légitimement accès à tout ou partie du système) ». Or, les
> premières sont légion. Exemple fameux :
> les deux cédéroms égarés en octobre 2007 par l'administration fiscale
> anglaise
> et, avec eux, les données personnelles de 25 millions de
> contribuables de la Perfide Albion. S'agissant des attaques externes,
> même les sites réputés « incassables » (ceux du FBI, de la NASA, du
> Pentagone...) sont piratés. « Les attaques internes ne doivent pas
> être négligées, poursuit Philippe Pucheral. À
> en croire un rapport récent du FBI, elles représentent plus de 50 %
> des attaques menées contre les serveurs de bases de données. »
>
> Et la protection des données ?
> Des parades existent : identification/authentification des
> utilisateurs incluant des systèmes biométriques (reconnaissance de
> l'iris par une webcam par exemple), contrôle d'accès spécifiant les
> droits et obligations des utilisateurs, chiffrement des données
> stockées, anonymat des informations à caractère personnel… Mais tout
> montre qu'il est ardu de constituer des bases de données conciliant
> facilité d'usage, performance et haute résistance aux attaques. Un
> des facteurs qui expliquent la difficulté de mise en place du dossier
> médical personnel (DM), en gestation depuis 2004 pour permettre aux
> professionnels de santé d'accéder, sur un serveur sécurisé, aux
> données médicales d'un patient afin d'améliorer la qualité et la
> coordination des soins tout en réduisant leur coût. La crainte
> persiste que des données confidentielles s'échappent de la « sphère
> de sécurité » et gagnent l'espace public pour atterrir, par exemple,
> sur le bureau d'un assureur ou d'un cabinet de recrutement. « La
> sécurisation du DMP passe sans doute par la définition de
> nouveaux modèles de contrôle d'accès et d'usage mieux aptes à prendre
> en compte l'avis des patients, ainsi que par la mise au point de
> nouveaux protocoles cryptographiques, dit Philippe Pucheral, l'un des
> rares experts français ès sécurisation du contrôle d'accès dans les
> bases de données. Ainsi,
> les données ne seraient jamais laissées en clair, y compris à
> l'extérieur du serveur, et ne seraient jamais accessibles qu'aux
> personnes en possession d'une clé numérique. » Une chose est sûre :
> les cryptographes, au CNRS notamment, redoublent d'efforts pour
> sécuriser le réseau Internet, les téléphones mobiles, les cartes
> bancaires, les titres de transports, les cartes
> Vitale…, et multiplient les avancées dans le domaine de la «
> cryptographie asymétrique », une méthode fondée sur l'utilisation
> d'un couple de clés7 fournies à chaque individu par une autorité de
> certification (banque, administration des impôts, entreprise…) :
> l'une, publique, pour permettre à qui le souhaite de chiffrer des
> données confidentielles à destination d'un individu, l'autre, privée,
> pour que ce dernier, et lui seul, puisse les déchiffrer. Cette
> cryptographie asymétrique permet également l'authentification de
> l'identité des utilisateurs. « Nous travaillons prioritairement sur
> deux axes de recherche : prouver mathématiquement la sécurité des
> protocoles cryptographiques, et améliorer l'efficacité et la facilité
> de mise en œuvre des procédés cryptographiques, dit David
> Pointcheval, du Laboratoire d'informatique de l'École normale
> supérieure (Liens)8, l'un des plus gros labos européens en « crypto »
> longtemps dirigé par Jacques Stern, lauréat 2006 de la médaille d'or
> du CNRS9. S'agissant du second axe, la simplicité d'emploi des
> procédés actuels reste insuffisante et constitue un obstacle à leur
> déploiement ». Et donc, à la protection des libertés individuelles
> dans nos sociétés envahies par le numérique...
>
> Philippe Testard-Vaillant
>
> La Cnil : grands pouvoirs, petits moyens
>
> Garantir le respect de la vie privée et des libertés lorsque des
> données personnelles (nom, prénom, date de naissance, e-mail, numéro
> de sécurité sociale, de téléphone…) sont utilisées, telle est la
> mission de la Cnil. « Parmi toutes les autorités équivalentes en
> Europe et réunies au sein d'un groupe de travail baptisé G29, la Cnil
> française est celle dotée des plus grands pouvoirs et notamment,
> depuis 2004, d'un pouvoir de contrôle ainsi que
> d'un régime de sanctions diverses incluant l'avertissement et la mise
> en demeure, puis l'injonction de cesser le traitement et la sanction
> pécuniaire proportionnée, dit Gwendal Le Grand, chef du service de
> l'expertise informatique de la Cnil. Pour autant, la Commission est
> l'une des dernières de
> l'Union en termes de moyens et d'effectifs rapporté au nombre
> d'habitants (120
> agents fin 2008). En 2007, nous avons effectué 164 contrôles alors
> que plus de
> 56 000 nouveaux fichiers informatiques nominatifs ont été enregistrés
> ». Si la
> Cnil ne rattrape pas son retard, poursuit Gwendal Le Grand, « elle
> finira par
> ne plus être en mesure de défendre les citoyens ». P.T.-V.
>
> Notes :
>
> 1. Laboratoire CNRS / École polytechnique.
> 2. En plein essor de l'informatique, la loi n° 78-17, qui instaurait
> la CNIL,
> visait à encadrer le traitement des données à caractère personnel. 3.
> Les technologies à l'échelle du micromètre (10-6 mètre) et du
> nanomètre (10-9 mètre). 4. Unité CNRS. 5. Centre CNRS / Université de
> Poitiers.
> 6. Laboratoire CNRS / Université de Versailles-St-Quentin.
> 7. Une clé est l'information nécessaire à l'émetteur et au
> destinataire pour envoyer ou recevoir un message ou des données
> confidentielles, ou pour s'authentifier. 8. Laboratoire CNRS / ENS.
> 9. Lire « Jacques Stern, le gardien
> du secret », Le journal du CNRS, n° 203. Contact
>
> Michel Weinfeld,
> michel.weinfeld AT wanadoo.fr
> Robert Plana,
> plana AT laas.fr
> Stéphanie Lacour,
> lacour AT ivry.cnrs.fr
> Meryem Marzouki,
> meryem.marzouki AT lip6.fr
> Philippe Pucheral,
> philippe.pucheral AT inria.fr
> David Pointcheval,
> david.pointcheval AT ens.fr
>
> _______________________________________________
> Demcom mailing list
> Demcom AT waglo.com
> https://listes.koumbit.net/cgi-bin/mailman/listinfo/demcom-waglo.com
>
>
>
>


--
Maxime DERCHE : maxime /at/ mouet-mouet.net | maxime.derche /at/ free.fr
GnuPG public key ID : 0xDEF810D6 (fingerprint : D99F 3827 732C DD5D
B472 D6EF C3FA 81F7 DEF8 10D6)
http://www.mouet-mouet.net/maxime/blog/index.php


-------------------------------------------------------
--
http://abul.org

Le verrouillage nuit à la création.
http://www.laquadrature.net/

--
Pour vous desinscrire, tapez la commande sous GNU/Linux :
echo sig debats | mail sympa AT april.org


Administration : http://www.april.org/wws/


  • Fwd: [DEBATS] Re: [April] Ce que va changer le numérique - CNRS/rapport/Vie privée, Patrick, 29/10/2008

Archives gérées par MHonArc 2.6.16.

Haut de le page