Étiquette : Vie privée

Votre intimité face à Android et ses autorisations, première partie.

Chez moi, ça commence par ça :

Après, il m’a fallu pas mal de lecture….

C’était le 06 juin, dans ce tweet envoyé un peu à l’arrache, je m’étonnais de la mise à jour des conditions d’affichage des autorisations dans les applications pour Android, je me suis, depuis, étonné du traitement de cette information, pour ainsi dire pas reprise.

Vous pouvez retrouver les conditions à cette adresse. Le principal changement opéré par Google, c’est la façon dont sont affichées les modifications des permissions dans les applications, en gros, les applications qui nécessitent une modification de privilèges n’afficheront plus automatiquement cette demande.

Dans le discours de Google, cette mise à jour est là pour simplifier l’affichage des autorisations, ce qui est d’ailleurs vrai : les autorisations d’une section non autorisée par le passé seront affichées. Peu importe que les mises à jour automatiques soient activées ou non, il faudra que l’utilisateur accepte d’installer l’application si elle a besoin d’accéder à une nouvelle section d’autorisation.

Et c’est là que le problème se situe, pour moi, dans cette « nouvelle section d’autorisations ».

Pour bien comprendre, il faut s’attarder un peu sur le fonctionnement des autorisations, sous le système android : les autorisations marchent par « rubriques », par exemple, une pour l’identité, une autre pour les photos, une autre pour les paramètres réseaux et ainsi de suite. Dans ces rubriques, il y a les autorisations, comme « lire les informations des contacts », par exemple, ou encore « modifier les informations des contacts ».

L'affichage des rubriques
L’affichage des rubriques
Le détail de ces rubriques
Le détail de ces rubriques

Or, le nouvel affichage des autorisations ne prend en compte que les nouvelles «rubriques, pas la modification de celles déjà autorisées.

En pratique, ça signifie quoi ?

Ça signifie que vous ne savez pas ce que votre application fait. Exemple : Vous avez l’application Facebook, elle dispose des autorisations pour « accéder au contenu de la carte SD ».

Vous mettez cette application à jour, une nouvelle autorisation est requise : « modifier ou supprimer le contenu de la carte SD », mais, parce qu’elle est dans une rubrique déjà autorisée, la mise à jour ne stipulera pas ça, elle affichera quelque chose comme ça :

mise à jour
Une mise à jour qui ne nécessite – officiellement – aucune nouvelle autorisation

 

Le hic, c’est que je sais qu’Adobe Reader a besoin d’une nouvelle autorisation. Je le sais parce que j’ai refusé de le mettre à jour déjà 5 fois, et qu’il n’y a aucune raison pour que cette autorisation disparaisse comme par magie.

Autre exemple : l’application Youtube que j’utilise n’est pas à jour parce qu’elle demande à activer ou désactiver les paramètres de synchronisation de mon téléphone toute seule, chose que je refuse fermement. Seulement, maintenant, ce n’est plus affiché.

Bah, il n’y a qu’a plus rien mettre à jour, et puis voilà.

Oui, non, mauvaise idée. Les applications sont mises à jour parce qu’elles présentent généralement des failles de sécurité, ne pas les mettre à jour pour éviter les autorisations abusives revient donc à s’exposer à d’autres menaces. Vous voilà donc le téléphone entre deux chaises…

Ce choix de Google me semble étonnant : dans un contexte post révélations de Snowden, donner moins de visibilité à ce paramètre m’inquiète, d’autant plus qu’il est admis que les renseignements se servent des applications pour récupérer des données sur les utilisateurs.

C’est aussi un risque plus grand pour l’utilisateur, puisqu’il y a maintenant moins de visibilité sur ce que demande une application.

De l’autre côté, je cherche à comprendre les raisons de cette mise à jour et j’en viens à me dire que c’est peut-être parce que de moins en moins de gens mettaient à jour leurs applications qu’ils ont décidé de faire ça.

Depuis les révélations citées au-dessus, beaucoup de personnes, au moins dans mon entourage large, font plus attention aux autorisations requises. Cette prise de conscience a peut-être dérangé Google et les fournisseurs d’applications sur le Play Store, poussant la firme à modifier l’affichage des autorisations…

Quoi qu’il en soit, j’initie donc ici le premier billet d’une suite, qui découle de cette mise à jour. Le prochain billet sera consacré aux autorisations, dans le détail, ainsi qu’aux autorisations les plus sensibles.

Quant à cette information, c’est peut-être un détail pour vous, mais pour moi ça veut dire beaucoup…. Ne me cherchez pas, je suis déjà parti rédiger le second billet, dehors, loin.

Ask, « nouvel » outil de collecte d’informations chez Facebook.

Facebook. Inutile de vous le présenter, je crois. ce réseau social s’enrichie aujourd’hui d’une nouvelle fonctionnalité : ask.

Dans les faits, cette fonctionnalité est déjà présente, elle permet aux utilisateurs de Facebook de demander l’âge ou bien encore la ville d’origine d’une personne qui ne le précise pas ou n’a pas souhaité le préciser / l’afficher dans son profil. Elle s’enrichit maintenant d’un autre champ de données afin de savoir si vous êtes en couple, célibataire, marié(e) & co.

Premièrement, j’ai un peu de mal à comprendre la logique, d’un point de vue humain hein : pourquoi demander à quelqu’un une information qu’il n’a pas souhaité renseigner sur son profil ? N’est-ce pas un peu paradoxal, voir complètement con ?

Imaginons que je refuse de renseigner une donnée sur un réseau social, et qu’on vienne me demander par la suite de préciser cette donnée… c’est un peu con et je refuserai, mais ce n’est que mon avis.

J’ai vu, çà et là, des commentaires plutôt agréables sur cette évolution (et j’en ai vu d’autres qui l’étaient bien moins), certains trouvant cette fonction pratique lorsqu’elle arrivera en France, d’autres au contraire totalement inutile, du genre à attirer les ennuis, les lourds, les boulets et j’en passe. La « drague de rue » des boulets, sur Facebook, faut avouer que ce n’est pas forcément très tentant.

A mon humble avis, Facebook ne fait pas ça pour vous, c’est une société, comme toute société, son but c’est de se faire de l’argent, plein d’argent, toujours plus d’argent. Et Facebook s’en fait, grâce à vous et aux données personnelles que vous venez renseigner dans le réseau.

Imaginons juste un instant toutes les implications financières que peuvent avoir la simple donnée « je suis célibataire » :

Potentiellement, je suis intéressé(e) par des rencontres : pub pour des sites de rencontre

Potentiellement, je sors pour rencontrer des gens : pub ciblées sur les restaurants, les bars

Je peux devenir la cible de pas mal de publicitaires qui vont me parler de rencontres, de voyages en ventant ces rencontres-là, de look, de fringues, d’esthétisme, on peut aller jusqu’à faire de la pub pour des sites adultes pour un plan cul, pourquoi pas.

Et il ne faut pas croire qu’être en couple différent, on double facilement les pubs auxquelles vous êtes éligibles : crédit, immobilier, vacances, jouets pour Noël, bijoux pour lui / elle, jeux pour adultes, rencontre discrète et j’en passe…

Ca me semble déjà plus correct vu sous cet angle. Facebook ne veut pas vous aider, il veut simplement obtenir des données que vous avez consciemment refusé de lui donner.

Mais, peut-être que vous les donnerez à quelqu’un que vous connaissez, qui vous connait, qui vous plait, et Facebook se fera une joie de récupérer cette précieuse donnée.

D’ailleurs, si j’ai assez de données, il y aura peut-être un article sur la valeur de vos données personnelles…

Microsoft a le droit de lire vos emails.

La nouvelle vient de Microsoft et porte sur une enquête sur la fuite d’un certain nombre de données internes de Microsoft.

Un employé de la firme, Alex Kibkalo, est entré en contact avec un blogueur en France et lui a transmis des secrets industriels portant sur Windows 8 RT, sur le kit de développement de « Microsoft Activation Server » et sur d’autres éléments en relation avec tout ceci.

L’affaire remonte à 2012 mais le jugement de tout ceci, lui, date du 17 mars 2014 et c’est à cette occasion que Microsoft a reconnu avoir récupéré les données de l’adresse Hotmail (devenue Outlook.com depuis) du blogueur.

Si les motivations de Microsoft portent sur quelque chose d’illégal et donc, justifient une investigation, il n’en reste pas moins que la firme à quand même cherché le contenu de communications privées, à savoir les mails dudit blogueur.

Pas question pour moi de crier au scandale d’une firme qui se permet de lire les communications privées d’un utilisateur de ses services. En effet, Microsoft à le droit de lire vos emails et vous devriez le savoir, puisque c’est inscrit dans les conditions générales d’utilisation (Terms of service) du service :

Microsoft reserves the right to review materials posted to the Communication Services and to remove any materials in its sole discretion.

La conclusion à tirer de tout ceci, pour moi, est plus : si vous ne voulez pas qu’une firme qui vous offre un service puisse lire vos mails, n’allez pas poser vos affaire chez eux. Préférez une société respectueuse de votre vie privée, qui annonce dans ses conditions d’utilisation qu’elle ne peut pas lire vos mails. A défaut, montez votre propre système de messagerie ou, pour terminer, chiffrez vos échanges.

Une backdoor matérielle découverte dans les équipements Samsung

Cette nouvelle, trouvée chez tonton Korben, va déplaire à quelques personnes, les autres s’en moquent puisqu’ils n’ont rien à cacher.

Les développeurs de chez Replicant viennent de mettre la main sur une backdoor matérielle dans les téléphones Samsung. (lien en anglais)

Pour information, Replicant est un groupe de bidouilleurs / développeurs qui a pour but de faire une distribution d’Android totalement libre.

Dans le détail, cette backdoor est détectée dans la puce Baseband des terminaux de la gamme Galaxy, la puce baseband en question gère la partie modem des téléphones. Dans les terminaux mobiles, il y a un ensemble de composants dont deux puces, l’une permet de gérer le téléphone et les fonctions de ce dernier et l’autre permet de gérer la partie data, connexions, modem & Co. du téléphone, c’est la puce baseband dont-il et question ici.

Généralement, cette puce est totalement vérouillée, propriétaire et il est officiellement impossible de savoir ce qu’elle fait exactement à un instant T. Korben explique que cette puce permet déjà de géolocaliser le téléphone et d’activer l’appareil photo à l’insu de l’utilisateur et ce malgré les autorisations du système installé sur le téléphone.

Pour être plus clair, si vous avez interdit à l’ensemble de vos applications d’accéder à votre GPS où à votre appareil photo, la puce s’en moque et peut le faire en contournant les autorisations du système.

Et c’est donc dans cette puce baseband que Replicant vient de dénicher une backdoor.

Cette découverte devrait nous alerter quant à un problème sans réelles solutions actuellement : les backdoors matérielles et le respect de l’intimité des gens.

S’il est facile de désinstaller ou de verrouiller les autorisations d’une application, il est quasi impossible de faire de même avec le matériel.

Quelle est la portée d’une sécurisation féroce de son système s’il n’est pas possible de faire confiance au matériel installé ? Cela revient à construire une maison très solide… sur des fondations bancales.

La seule solution viable consiste à avoir une puce totalement libre, qui assure aux communautés et aux utilisateurs qu’elle ne fera rien d’étrange sans que cela puisse se savoir.

Malheureusement, ce n’est pas pour aujourd’hui, à moins d’un miracle. Nous commençons à peine à prendre conscience des failles logicielles qui exposent nos vies privées et intimités, alors une faille matérielle…personne ou presque ne se sentira exposé et concerné.

J’connais quelqu’un qui connait quelqu’un…

Expliquer que protéger son intimité et sa vie privée, c’est important, ça n’a pas fonctionné.

Expliquer très sérieusement une fois et plus simplement une autre fois que « si, nous avons tous quelque chose à cacher » n’a pas non plus fonctionné.

J’en viens à me demander si quelque chose fonctionne pour, à minima, faire comprendre que  nous sommes potentiellement surveillés.

Le monde vient justement d’en parler et de faire une magnifique explication vidéo, en patates, j’ai souhaité le faire à l’écrit et avec quelques explications supplémentaires.

Tout commence avec le paradoxe de Milgram, ou pour résumer :

« Ah, comme le monde est petit. »

En fait, sans le savoir, vous connaissez tout le monde. Plus exactement, vous connaissez quelqu’un qui connait quelqu’un, qui lui-même connait quelqu’un qui connait quelqu’un. Quatre fois, oui.

Le paradoxe de Milgram est une théorie qui explique, en résumé, que chaque individu est relié à n’importe quel autre individu par l’intermédiaire de six autres personnes maximum. Cette théorie, bien que fermement critiquée, me semble assez vraie. Il faut savoir que de récentes réflexions avec l’ajout de la variable « réseaux sociaux » font passer cette chaine de contact à 4, d’où les quatre.

Exemple fictif : maillon n°1 connait un journaliste très connu, qui lui-même, maillon n°2, connait une femme dans le milieu de la politique, qui elle-même, maillon n°3, est proche du président de la république et ainsi de suite. Ainsi, il n’est pas faux de dire qu’un ami connait un ami qui connait le président de la république.

Il est possible d’aller très, très loin avec cette réflexion, dans ma région par exemple, tout le monde connait quelqu’un qui connait quelqu’un qui fait passer du champagne en douce, si j’étais du service des douanes, cette information serait d’une grande importance pour moi car cela me permettrait de très rapidement cartographier un groupe d’individus.

Sans aller jusqu’au bout de l’exemple fictif, vous connaissez au moins une personne qui connait (bref vous avez compris la suite) qui :

  1. pirate des œuvres sur Internet
  2. revend ou consomme de la drogue
  3. est proche d’un milieu observé par les services d’un pays
  4. est proche d’un milieu extrême dans la sphère politique
  5. a voyagé dans un pays du moyen orient
  6. est un hacker. Ne nous étalons pas sur la définition de ce mot et, une fois n’est pas coutume, allons chercher la définition des médias : des gens dangereux. (oui, il y a fort à parier que la réflexion n’aille pas plus loin que ça dans les services de renseignement des états : être avec eux c’est être gentil, refuser de l’être c’est être méchant)

Bref, réfléchissez-y bien et gardez bien ce schéma en tête, de plus en plus vrai avec la progression des réseaux sociaux qui interconnectent les humains bien plus rapidement et bien plus largement que via le monde physique.

Maintenant que ce point est expliqué, réfléchissons un peu à la façon dont la NSA fonctionne. D’ailleurs, arrêtons de ne parler que de la NSA, les autres font pareil. Si la France ne va pas hurler et demande une vraie instruction et de véritables comptes au gouvernement américain, c’est parce qu’elle fait exactement la même chose.

Donc, méthode de réflexion : espionner quelqu’un qui se méfie un peu ou qui fait attention, ce n’est pas  simple, puis ça force à espionner plein de personnes aussi. Autant espionner des intermédiaires, les fameux « degrés de séparation » entre deux contacts.

Les avantages sont nombreux : ces points de contact récupèrent des informations, de petites informations certes, mais beaucoup d’informations. D’ailleurs, ces personnes connaissent peut-être d’autres personnes qui doivent être surveillées.

Si je veux avoir les informations médicales de beaucoup de personnes, je ne vais pas aller chercher dans la vie de chaque cible, je vais taper dans les dossiers du médecin traitant, logique, non ? C’est exactement la même chose ici.

Donc, allons surveiller et espionner ces personnes, ces « degrés de séparation » si vous préférez. Sauf que le degré de séparation, c’est potentiellement vous et vous n’en avez même pas conscience.

Dans un dernier exemple, imaginons que je sois une personne dangereuse, activement surveillée par les services secrets français. Le simple fait de passer sur mon blog vous rend suspects. Le simple fait de m’envoyer un message, qu’il soit public ou privé, sur n’importe quel réseau, vous rend suspect.

Alors ne parlons même pas d’un mail, ou pire encore : un mail chiffré. Non, pire encore : un mail chiffré à un niveau de chiffrement interdit…non, imaginons simplement les gens qui me connaissent derrière cet écran tiens, ça ne demande pas de compétences spécifiques ça. Ca concerne donc tout le monde.

Potentiellement, vous êtes surveillés par un service quelconque, qui cherche à récupérer des informations.

Sans tomber dans la paranoïa pour autant, pensez-y la prochaine fois que vous allez déclarer « je n’ai rien à cacher ».

Est-ce que ce monde est sérieux ?

Dans la nuit du 20 aout 2013, j’ai appris que le GCHQ avait fait pression sur « The Guardian », journal presque mythique, inscrit dans le code génétique du Royaume-Uni…d’aussi loin que je m’en souvienne.

Pression pour détruire les documents relatifs à « l’affaire Snowden ».

Il semblerait donc qu’un gouvernement sans aucun rapport direct avec la NSA et les Etats-Unis ait pris ses libertés quant à faire pression sur un organisme de presse, un journaliste, un rédacteur en chef, le compagnon d’un journaliste…

Petites explications si vous n’avez pas tout suivi :

  1. Edward Snowden, que je ne vais pas présenter, a confié une partie non négligeable de ses documents au journal « The Guardian ».
  2. Gleen Greenwald, un journaliste pour le Guardian, a présenté quelques documents transmis par Edward Snowden dans le journal.
  3. David Miranda, le compagnon de Greenwald, a été retenu pendant presque 9 heures dans l’aéroport d’Heathrow, à Londres. Il a été relâché mais sans ses effets personnels en relation avec tout ce qui contient une puce ou de la mémoire. Tout ceci grâce à l’article 7 du Terrorism Act, qui autorise les forces de l’ordre du Royaume-Uni à « arrêter, fouiller et détenir n’importe quel voyageur dans les ports, les aéroports et aux frontières, afin de déterminer s’il s’agit d’un terroriste. »

Les suspects peuvent être détenus pour une durée maximale de neuf heures, au cours desquelles ils n’ont le droit ni de consulter un avocat ni de se taire, sous peine de prison. »

David Miranda arrêté, reste la question du « pourquoi ? ».

La vraie raison de cette arrestation est sans doute là. Le Royaume-Uni veut envoyer un message à celles et ceux qui disposent des informations que Snowden a pu donner ici et là. Il veut leur faire comprendre qu’il ne plaisante pas avec ces fuites et qu’il est capable d’utiliser sa propre loi à des fins détournées, afin d’effrayer celles et ceux en capacité d’oser faire quelque chose.

C’est donc un fait, le Royaume-Uni n’est pas une démocratie, ses méthodes sont celles d’un régime totalitaire.

Je vais vous dire quelque chose : lorsque je vois tout ceci, ce n’est pas la peur qui m’envahit, c’est la détermination et, lorsque je vois la réaction de nos gouvernements, je me dis que j’ai raison.

Ce n’est pas tant le pouvoir que la peur qui fait qu’ils agissent ainsi.

Depuis toujours nos gouvernements espionnent, s’espionnent, nous espionnent, s’échangent des données, surveillent la population… Depuis au moins aussi longtemps, ils agissent pour récupérer des renseignements, soit par la récolte en source ouverte, soit par des moyens détournés. Et depuis toujours, ils savent rester relativement discrets. Pour moi, la pléthore d’erreurs commises, les scandales, les arrestations injustifiées, c’est une démonstration de la peur qui s’empare des gouvernements. Et c’est très bien, parce qu’il n’est pas question que ça s’arrête, un petit oiseau m’a raconté qu’il restait encore beaucoup d’informations à publier.

Mais revenons à nos espions, nous parlions tout à l’heure de la destruction de documents…

Le Guardian explique donc que le GCHQ l’a forcé à détruire des documents fournis par Edward Snowden.

Je vous invite à lire l’article du Guardian et celui-ci si vous préférez la langue de Molière.

La très sérieuse question qui apparait au grand jour ici est : et la liberté de la presse ?

Il faut être naïf pour penser que nos gouvernements ne font jamais pression sur des journalistes, n’utilisent pas la peur et la violence afin d’obtenir ce qu’ils souhaitent… il est en revanche plus rare de le voir, écrit noir sur blanc, dans un journal victime de ces pressions.

Donc, liberté de la presse dans un premier temps… et la vôtre ?

Oui, la vôtre.

Celle de vous informer. Celle de vous informer sur ce qui vous concerne, de près ou de loin, tout ceci vous concerne.

J’en vois déjà me répondre « je n’ai rien à cacher », à ces derniers je conseille cette lecture et cette vidéo, même si je ne suis pas un excellent orateur.

Maintenant, il va falloir se poser les bonnes questions. Les questions qui dérangent.

Qui est coupable de tout ceci ? Qui est responsable ? Nos gouvernements ? Snowden ? La NSA ?

Sans doute un peut tout le monde. Nos gouvernements sont responsables de cette envie de tout contrôler sur tout le monde. Snowden d’avoir fait éclater la vérité au grand jour et, pour ceci, on ne peut que le remercier. La NSA est les autres agences de renseignement sont tout autant responsables que nos gouvernements.

Mais il existe un autre coupable de tout ceci, dont personne ne parle : nous.

Nous sommes responsables de tout ceci car nous avons laissé le gouvernement agir, sans se soucier de ce qu’il faisait.

Nous notre seule réponse à tout ceci était « je n’ai rien à cacher », donnant les pleins pouvoirs à un gouvernement qui, pour vous « protéger », viole encore et encore votre vie privée.

Nous, vous, toi derrière l’écran, sommes responsables de tout ceci, au moins en partie. Non pas par nos actions, mais par notre inertie et notre confiance aveugle en ces gouvernements qui prétextent vouloir votre bien.

C’est désagréable à lire et ça l’est encore plus à écrire mais la réalité est ainsi faite. Nos gouvernements nous observent mais nous devrions, nous aussi, observer nos gouvernements.

Nous réclamons la transparence, le respect de la vie privée, mais nous nous contentons d’outils et de réseaux, le plus souvent fermés, auxquels nous ne comprenons généralement pas grand-chose…

C’est très paradoxal, ça revient à déclarer sur Facebook qu’on souhaite protéger sa vie privée alors qu’il suffit de lire pour se rendre compte que s’inscrire sur ce site, c’est offrir son intimité à qui la veut…

Le scandale de PRISM permet de montrer au grand jour ce qui existe depuis des années, allons-nous enfin décider de faire changer les choses ? J’y crois, j’ai envie d’y croire, mais concrètement je n’ai que peu d’espoir.

Qu’allez-vous faire ? Continuer à vous indigner puis reprendre le contrôle de votre vie privée, ou agir pour faire changer les choses ?