En Bref : la sécurité des données dépend toujours du maillon le plus faible

Comme dirait LinksTheSun, j’aimerais ouvrir une (

Si vous travaillez dans le monde de la sécurité, le titre du billet vous parlera forcément. Pour les autres, nous allons aborder un point relatif à la sécurité de l’information voire à la sécurité, de façon générale. Continuer la lecture de En Bref : la sécurité des données dépend toujours du maillon le plus faible

En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles.

Strava, vous connaissez ? Si vous faites du sport, de la course plus précisément, sans doute. Pour les autres : Strava est une application qui permet d’enregistrer son parcours en se servant du GPS du Smartphone sur lequel l’application est installée. L’entreprise propose une carte mondiale des trajets enregistrés… et on y retrouve des données plutôt sensibles. Continuer la lecture de En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles.

Hackers (lol) et canular à Paris, le nawak

J’ai essayé d’éviter les informations stupides, mais celle-là m’a fait réagir… Deux adolescents ont « piraté » la ligne téléphonique d’une église parisienne pour faire un canular. Particulièrement con, surtout en ce moment, mais un canular. Et depuis quelques jours, je lis çà et là « deux hackers » ceci, « deux hackers » cela. Et bordel, ça m’énerve.

Pourquoi ?

Entrons dans le vif du sujet d’emblée : ça me gonfle profondément qu’on utilise le terme « hacker » à toutes les sauces et ce depuis des années. Certains diront qu’il ne faut pas s’emporter pour ça, d’autres que c’est ainsi et d’autres s’en fichent éperdument. Ce n’est pas mon cas.

Aujourd’hui, lire « hacker » dans un article quelque part, généralement, ça me déprime. On qualifie rapidement tout et tout le monde de hacker, si bien qu’au final, « hacker » ne signifie plus vraiment grand-chose. Tour à tour, c’est un méchant pirate informatique, un cybercriminel, un héros du printemps arabe, un bidouilleur, un manipulateur.

C’est même lui, ce vilain hacker, qui est responsable de la faim dans le monde et de la guerre. Tant qu’à faire, autant pousser l’absurde jusqu’au bout.

Alors non, lecteurs, lectrices, copains, inconnus, journaux, médias, un hacker, ce n’est PAS, à la base, quelqu’un de mauvais, quelqu’un de méchant, quelqu’un qui veut détruire la planète. Ce n’est pas non plus un asocial sociopathe dangereux qui mange des petits chats enroulés dans des câbles RJ45.

Ce terme est malmené depuis déjà fort longtemps et tout le monde gagnerait à utiliser les bons mots. Parce qu’il ne faut pas croire que ce glissement sémantique soit sans conséquences, ce n’est pas qu’un mauvais usage du terme. Lorsque ce mot est utilisé à tort, il dégrade l’image déjà bien fragile dudit hacker. Dans l’esprit des gens, du moins selon moi, on imagine le hacker comme quelqu’un qui n’a aucune vie, qui pirate des comptes Facebook, qui reste le cul posé sur sa chaise sans jamais voir personne, qui « casse » et « vole » des choses.

Sauf que dans les faits, ce n’est pas ça, un hacker. Ici, on peut parler d’une personne qui a des problèmes sociaux, on peut parler de criminel, de cybercriminel, de pirate informatique à la limite ou tout simplement, de con. Mais pas de hacker.

Hacker, c’est neutre comme mot. Du moins ça devrait l’être. Hacker – le verbe cette fois – c’est « bricoler », bidouiller un système, essayer de le comprendre, essayer d’en comprendre le fonctionnement, les limites et parfois essayer de s’en affranchir. La meilleure explication que je puisse avoir est celle des baguettes chinoises… elles servent à manger mais si vous vous en servez pour faire tenir un chignon ou un abat-jour, vous avez hacké son fonctionnement, vous l’avez détourné de son fonctionnement initial.

Est-ce que cela fait de vous une mauvaise personne ? Non. Du moins tant que détourner un objet de son usage principal n’est pas interdit.

C’est un sujet à débat, même au sein des communautés de hackers, mais le vrai combat n’est pas sur l’usage du mot, pas comme dans « chiffrer » au lieu de « crypter », il n’y a pas le même impact derrière.

Bref, vous l’aurez compris, je suis fatigué de voir ce mot utilisé dans tous les sens, de n’importe quelle façon.

Le cas des deux ados

Sans avoir le détail de ce qui s’est passé et de la façon dont ils ont procédé, usurper un numéro de téléphone, c’est relativement simple. Parole de moi, qui a travaillé plus de 10 ans dans le domaine.

Ce n’est pas forcément mauvais, certaines entreprises s’en servent pour utiliser le même numéro partout, que ce soit Pierre, Paul ou Jacques qui contacte monsieur ou madame untel. Le principe dans ce cas-là, c’est d’avoir un numéro de désignation de l’installation, qui sera le numéro connu des clients, 01 23 45 67 89 par exemple. On configure l’installation pour que chaque personne qui appelle affiche ce numéro. Rien de mauvais donc, comme beaucoup de choses, cette technologie est neutre, c’est ce qu’on en fait qui est bon, ou mauvais dans le cas de nos deux ados.

Monter un canular en usurpant un numéro de téléphone c’est donc très simple, à condition de chercher un peu. Des solutions existent sur Internet, pour quelques euros ou quelques neurones à y consacrer, et le tour est joué.

Pour déjouer ça, ça peut être aussi simple : rappeler le numéro de téléphone suffit parfois. On tombe alors sur la bonne personne, la vraie personne, celle à qui appartient vraiment le numéro et c’est terminé. J’imagine que les forces de l’ordre l’ont fait dans ce cas, j’espère du moins…

D’autant plus que les deux ados ne semblaient pas experts dans la protection de leurs données personnelles puisque des informations les concernant ont été publiées.

Bref, nous avons affaire à deux ados, un peu (très) cons sur ce coup, qui ont fait un canular débile et dangereux, mais pas à des hackers.

Si des journalistes me lisent, de grâce, utilisez les bons mots, cybercriminel dans ce cas, mais pas « hacker ».

« Plus d’autorisation de manifester », vraiment ?

Petit passage éclair, pour rebondir sur un déclaration du Président Hollande.

En conseil des ministres, monsieur a déclaré la chose suivante :

« A un moment où la France accueille l’Euro, où elle fait face au terrorisme, il ne pourra plus y avoir d’autorisation de manifester si les conditions de la préservation des biens et des personnes et des biens publics ne sont pas garantis. »

140 caractères étant parfois trop court, je profite d’un bref instant pour vous expliquer en quoi cette déclaration est une énorme bêtise qui, malheureusement, risque de prendre dans l’esprit de bien des gens.

Que dit la loi ?

Le code de la sécurité est très précis sur le sujet. Les articles L211-1 et L211-2 en particulier nous disent la chose suivante :

L211-1
Sont soumis à l’obligation d’une déclaration préalable tous cortèges, défilés et rassemblements de personnes, et, d’une façon générale, toutes manifestations sur la voie publique.
Toutefois, sont dispensées de cette déclaration les sorties sur la voie publique conformes aux usages locaux.
Les réunions publiques sont régies par les dispositions de l’article 6 de la loi du 30 juin 1881.

L211-2
La déclaration est faite à la mairie de la commune ou aux mairies des différentes communes sur le territoire desquelles la manifestation doit avoir lieu, trois jours francs au moins et quinze jours francs au plus avant la date de la manifestation. A Paris, la déclaration est faite à la préfecture de police. Elle est faite au représentant de l’Etat dans le département en ce qui concerne les communes où est instituée la police d’Etat.
La déclaration fait connaître les noms, prénoms et domiciles des organisateurs et est signée par trois d’entre eux faisant élection de domicile dans le département ; elle indique le but de la manifestation, le lieu, la date et l’heure du rassemblement des groupements invités à y prendre part et, s’il y a lieu, l’itinéraire projeté.
L’autorité qui reçoit la déclaration en délivre immédiatement un récépissé.

Donc ?

On récapitule : l’Etat ne délivre pas d’autorisations de manifester. Une manifestation se déclare, on ne dépose pas une demande d’autorisation de manifester mais une déclaration de manifestation.

Cette déclaration doit comprendre de nombreux éléments, certes. De la même façon, s’il est question d’occuper l’espace public lors de ladite manifestation, il faut, cette fois-ci, une autorisation.

Donc si vous marchez dans les rues, sur un trajet défini et annoncé dans la déclaration, si vous n’avez pas prévu d’occuper un espace public, il n’y a pas besoin d’autorisation.

Attention cependant, je vous conseille vivement de déclarer votre manifestation, ne pas le faire vous expose à quelques risques, genre payer des gros sous et une potentielle peine de prison… même si les manifestations sauvages, c’est sympa aussi.

L’autorité peut aussi, car c’est la loi, interdire votre manifestation une fois votre déclaration de manifestation déposée auprès des personnes compétentes.

Cependant, dire « il n’y aura plus d’autorisations de manifester » et « cette manifestation est déclarée interdite », ce n’est pas la même chose, clairement pas d’ailleurs. Fichtre.

Dans un premier cas, on fait croire que, par défaut, toutes les manifestations seront interdites « à priori » car on ne donnera plus « d’autorisations » pour manifester, ce qui est impossible. Diantre.

Dans un second cas, on décide de déclarer cette manifestation interdite parce qu’on constate un certain nombre de manquements ou de potentiels troubles à l’ordre public.

Conclusion de ce rapide passage : lisez la loi. Et ne vous laissez pas faire. Bordel.

Edit : un commentaire de Tris, qui gère le Projet Arcadie, rajoute des informations importantes, que voici, si vous n’avez pas l’habitude de lire les commentaires :

Précision utile et pour répondre à une question qui est revenue à plusieurs reprises : quid de l’état d’urgence ?

Ainsi que l’exprime liberté, libertés chéries => http://libertescheries.blogspot.fr/2016/02/etat-durgence-premiere-declaration.html il appartient au juge administratif de veiller à la conciliation entre les libertés fondamentales et la sauvegarde de l’ordre public et procède à une analyse au cas par cas, de façon concrète.

Il n’est donc pas possible de restreindre globalement la liberté de manifester même si des restrictions peuvent être apportées mais elles doivent motivées, limitées dans le temps et dans l’espace.

[En bref] Google, Apple, les autres et ta vie privée

Sommes-nous réellement en droit de penser que Google, Apple et leurs concurrents se sentent concernés par la protection de notre vie privée ?

Continuer la lecture de [En bref] Google, Apple, les autres et ta vie privée