La paranoïa est maintenant une pratique recommandée (traduction)

On se souviendra des années 2010 comme la première décennie au cours de laquelle nous, les gens, avons payé pour le plaisir d'avoir accueilli Big Brother dans nos vies. Lorsque George Orwell a dépeint un état de surveillance inéluctable - des écrans de télévision dans chaque pièce surveillant chaque mouvement, enregistrant chaque son et le rapportant au chef autoritaire - dans son roman classique 1984, il n'a probablement jamais imaginé qu'en 2018, les gens paieraient 600 $ (plus un forfait mensuel régulier) pour avoir le privilège de garder un télécran dans leur poche.

L'appareil de surveillance de la Chine comprend une technologie de reconnaissance faciale reliée à un vaste réseau de caméras de vidéosurveillance et à des lunettes de soleil que portent les policiers ; bientôt, il sera relié à un groupe de drones dissimulés en oiseaux. Le gouvernement chinois a également annoncé qu'il exigera bientôt des scanners faciaux dans les gares ferroviaires dans le cadre de la croissance de son programme de scan facial.

Certains citoyens chinois sont même obligés d'installer un logiciel spécial sur leur téléphone pour surveiller ce qu'ils téléchargent. Les images des caméras de surveillance, les tweets, les messages Facebook, les tentatives de visite de sites Web interdits ou "mauvais" peuvent tous affecter votre "score de crédit social", qui a été utilisé pour empêcher les citoyens "à risque" de faire toutes sortes de choses, d'acheter des billets d'avion ou d'envoyer vos enfants dans une école privée.

La récente expansion de l'État de surveillance ne se limite pas aux régimes historiquement autoritaires. Les États-Unis ont eu leur propre part d'outils effrayants à leur disposition, y compris le programme PRISM de la NSA, que le lanceur d'alerte Edward Snowden a dénoncé. Dans le cadre de PRISM, la NSA a recueilli et stocké d'énormes quantités de données sur le trafic Internet. Les informations trouvées dans les révélations de Snowden et les révélations ultérieures ont impliqué la NSA dans des tentatives répétées (parfois réussies) de briser les normes de chiffrement public, comme l'échange Diffie-Hellman des clés. Cela leur permet de lire d'énormes pans d'informations que l'on croyait (et que l'on voulait) privées.

Au nom de la sécurité, des politiques similaires de surveillance et de collecte de données de haute technologie sont déployées dans toute l'Europe. L'autoritarisme mondial est en hausse, et les rapports annuels de Freedom on the Net expriment une augmentation proportionnelle de la censure en ligne. D'après le rapport de 2017 :

La manipulation de contenu en ligne a contribué à une septième année consécutive de déclin général de la liberté de l'Internet, ainsi qu'à une augmentation des perturbations du service Internet mobile et des attaques physiques et techniques contre les défenseurs des droits humains et les médias indépendants.

Près de la moitié des 65 pays évalués dans Freedom on the Net 2017 ont connu des baisses au cours de la période de couverture, tandis que 13 seulement ont enregistré des gains, la plupart mineurs. Moins d'un quart des utilisateurs résident dans des pays où Internet est désigné comme libre, ce qui signifie qu'il n'y a pas d'obstacles majeurs à l'accès, de restrictions onéreuses sur le contenu ou de violations graves des droits des utilisateurs sous forme de surveillance incontrôlée ou de répercussions injustes sur la parole légitime.

Les gouvernements du monde entier continuent de devenir de plus en plus avisés en matière de technologie. Dans les régimes autoritaires, cela signifie une meilleure surveillance, plus de censure et de puissantes tactiques de désinformation. Certains prétendent que les agences d'espionnage existent pour protéger leurs citoyens et que, par conséquent, ces progrès sont pour le bien de tous. Mais même si nous faisons confiance à notre propre gouvernement, les progrès de la surveillance et de la cyberguerre ne sont pas sans risque.

Les extraordinaires virus Flame et Stuxnet ont été développés conjointement par les gouvernements américain et israélien et partagent plusieurs de leurs éléments. Stuxnet est considéré par certains comme le logiciel le plus impressionnant jamais créé. Il a détourné des éléments critiques de l'infrastructure Microsoft pour se propager à des millions d'ordinateurs dans le monde entier, déguisé en une mise à jour légitime de Microsoft. Les deux vers se sont automatiquement copiés et installés sur des clés USB et autres périphériques. La variante Flamme a été capable d'allumer des caméras et des microphones, de surveiller le trafic Web, et bien plus encore.

Ces deux virus ont été lâchés dans le monde entier dans le but déclaré d'infecter et de désactiver les installations nucléaires iraniennes - c'est du moins l'histoire - mais même si vous faites confiance à votre gouvernement pour faire ce qu'il faut avec ce logiciel, avoir le code fait du gouvernement une cible.

Les Shadow Brokers sont un groupe de hackers spécialisés dans la vente de hacks volés. Les tristements célèbres, Shadow Brokers ont volé la technologie clé de la NSA qui allait devenir le ver de ransomware WannaCry qui infecta des millions d'ordinateurs en 2016. La NSA n'a peut-être jamais eu l'intention d'utiliser ces technologies pour le mal, mais l'intention importe-t-elle si elle n'est pas en mesure de prévenir le vol de son code ?

Comme si cela ne suffisait pas, l'espionnage n'est plus réservé aux gouvernements. Facebook, Google et tant d'autres sont engagés dans des efforts de surveillance en plein jour qui visent à les aider à vendre des publicités, à prendre des décisions plus " fondées sur des données " et à " comprendre leurs clients ". Vendre des publicités est un objectif assez banal, mais les informations recueillies peuvent aussi être utilisées à des fins plus néfastes, par exemple le scandale de Cambridge Analytica. De plus, les données qu'ils recueillent constituent une cible de grande valeur pour les organismes gouvernementaux ou les groupes de pirates informatiques non étatiques qui cherchent peut-être à doxer, à faire chanter ou à voler l'identité des personnes dont ils peuvent intercepter les données.

En tant que société, nous commençons à peine à nous attaquer à toutes les façons dont les données peuvent être utilisées à des fins militaires. Pourtant, nous sommes au beau milieu de la révolution des grandes données. Les algorithmes d'apprentissage de la machine qui traitent d'énormes ensembles de données sont à l'honneur dans la Silicon Valley et au-delà. Il est chaque jour plus facile d'arracher des bijoux de valeur de l'ensemble du trafic Internet quotidien.

Malheureusement, les pires vulnérabilités sont en grande partie invisibles et les pires abus de nos données sont encore à venir. Pire encore, certaines des surfaces d'attaque les plus préoccupantes sont intégrées dans le tissu même de l'Internet, ce qui nous met tous en danger.

L'ampleur terrifiante du problème

Peut-être que vous vous croyez en sécurité.

Vous utilisez un gestionnaire de mots de passe. Vous générez au hasard des mots de passe forts et uniques pour chaque site Web. Vous avez du ruban adhésif sur votre webcam. Vous avez désactivé JavaScript. Vous bloquez les annonces. Vous ne vous connectez jamais à des points d'accès WiFi non sécurisés. Vous chiffrez. Vous utilisez un téléphone prépayé à mémoire vive. Vous utilisez un VPN qui utilise Tor. Et non, cette pièce dans votre sous-sol n'est pas un "chapeau d'aluminium géant", c'est une cage de Faraday, merci beaucoup.

Malheureusement, même un engagement personnel extraordinaire en matière de sécurité ne suffit pas pour protéger pleinement vos données.

La vérité est que l'infrastructure web moderne a créé un enchevêtrement de systèmes vulnérables. Si vos données passent par un intermédiaire non sécurisé, vous êtes maintenant à risque, quel que soit votre comportement. Vos amis stockent les SMS que vous leur avez envoyés. Facebook stocke les photos que vos amis ont prises de vous. Google stocke l'historique de vos recherches sur le Web et l'historique de votre localisation, puis vend ces données aux annonceurs. Snap stocke vos Snaps. La liste est longue.

Google fournit aux utilisateurs des options pour désactiver ce suivi (profondément enfoui dans leurs paramètres) mais la seule façon de s'assurer que vos données ne sont jamais sur un système non sécurisé est de ne jamais envoyer vos données via Internet.

Je plaisante, c'est tout. Même si vous n'avez jamais utilisé Internet, le monde moderne l'a utilisé en votre nom.

Equifax - un service auquel personne n'a littéralement accès - a exposé plus de 145 millions de numéros de sécurité sociale. La population des États-Unis est d'environ 325 millions d'habitants, ce qui signifie qu'il y a 44 % de chances que le vôtre ait été volé - rien que pour cette attaque. En passant, les numéros de permis de conduire, les dates de naissance, les numéros de carte de crédit, les numéros de téléphone et les numéros d'identification fiscale ont également été volés dans ce vol de données.

Chaque fois que vous effectuez une transaction financière, il y a de fortes chances qu'elle soit saisie dans une base de données, et cette base de données est probablement connectée à Internet. Les gouvernements mettent de plus en plus d'informations sur les citoyens en ligne. Vos amis, collègues et connaissances laissent également une multitude d'informations en ligne ; des tweets, des messages Facebook, des photos et des messages vous concernant - pas même à vous - peuvent être utilisés par des organisations qui tentent de vous suivre.

L'excellent et troublant Data Detox in a Zillion Easy Steps de Baratunde Thurston capture une partie de la toile enchevêtrée qui constitue l'empreinte numérique de chacun. Facebook partage des données avec des applications tierces que les développeurs peuvent stocker dans leur propre base de données. Comme nous l'avons vu avec Cambridge Analytica, ces données peuvent ensuite être vendues à une quatrième partie (et une cinquième, et une sixième). Ces données pourraient se retrouver entre les mains d'un groupe d'action politique, du gouvernement russe, d'une agence de publicité... n'importe qui, en fait.

La pointe de l'iceberg

Bien que nous ayons peu de contrôle sur la façon dont nos données sont utilisées par les organisations, nous avons encore moins de contrôle sur la façon dont nos données sont transmises à travers la machinerie physique de l'Internet.

Aujourd'hui, plus de deux quintillions d'octets de données - c'est-à-dire deux suivis de 18 zéros - seront transmis sur Internet. Parfois sous forme d'ondes radio. Parfois sous forme de signaux électriques. Parfois sous forme d'explosions de lumière, au moyen de câbles laser ou à fibre optique. Sur le chemin de sa destination, vos données passeront par plusieurs ordinateurs différents, chacun d'entre eux pouvant enregistrer des informations sur votre adresse IP, le type de requêtes que vous faites, la fréquence avec laquelle votre trafic passe par cet ordinateur, la taille des données que vous transmettez et recevez, et la liste des adresses IP auxquelles vous envoyez et recevez des données. Les informations de Snowden a révélé que la NSA est en fait en train d'enregistrer ce genre d'information à grande échelle.

Des informations sur les films que vous regardez, la fréquence à laquelle vous utilisez Skype avec votre mère, vos chansons préférées et tout ce que vous faites sur Internet sont transmises sur une infrastructure potentiellement compromise. Une fois à destination, vos données sont stockées dans d'autres infrastructures potentiellement compromises. Dans de nombreux cas, des tierces parties ambitieuses peuvent arracher une quantité alarmante de ces informations sans être un fournisseur majeur.

Si votre connexion n'est pas chiffrée, n'importe qui sur le chemin de données peut facilement enregistrer toutes les données que vous envoyez et recevez. Le chiffrement contribue grandement à protéger le contenu de vos messages. Mais malheureusement, le chiffrement seul ne suffit pas. La combinaison du chiffrement avec des outils axés sur l'anonymat tels que les VPN et les réseaux mixtes peut aider à atténuer ces fuites de métadonnées. Un de ces outils, Tor, est un système qui tente de cacher les adresses IP source et destination en utilisant plusieurs proxy qui ont tous une connaissance limitée de la véritable source et destination. Les détails techniques sont nombreux, mais une métaphore est peut-être utile :

Imagine que tu écris une lettre à ton ami Tim. Vous souhaitez déguiser votre position, donc vous enrôlez un réseau d'individus - Alice, Bob, et Charlie - qui leur feront suivre les lettres qui leur seront envoyées, sans poser de questions (ce sont les membres du réseau Tor). Vous mettez votre lettre dans une enveloppe adressée à Tim, puis vous mettez cette enveloppe dans une enveloppe adressée à Charlie, puis vous mettez l'enveloppe de Charlie dans une enveloppe adressée à Bob, puis vous mettez l'enveloppe de Bob dans une enveloppe adressée à Alice. Puis vous avez mis ces enveloppes imbriquées dans le courrier.

Quelqu'un qui espionne vos lettres, mais qui n'espionne pas Alice, verra que vous avez envoyé une lettre à Alice. Quelqu'un qui espionne votre ami Tim saura que Charlie lui a envoyé une lettre. Quelqu'un espionnant Bob ne saurait même pas que Tim et vous, vous connaissez. Ce n'est pas une métaphore parfaite, mais c'est en gros comment Tor aide à protéger votre anonymat en ligne : en obscurcissant la véritable source et destination du trafic Internet.

Tor et d'autres systèmes similaires sont toujours vulnérables à ce qu'on appelle des attaques par corrélation, où un adversaire qui surveille votre connexion et celle de Tim peut utiliser des métadonnées pour déduire que vous communiquez tous les deux. C'est plus difficile et cela prend un adversaire sophistiqué, puissant et motivé - il faut quand même noter que rien ne va vous donner un anonymat parfait sur Internet.

L'expansion de la surface d'attaque

Tout comme il y a plus de moyens de transmettre des données que jamais auparavant, de plus en plus de machines se parlent et s'écoutent les unes les autres. L'Internet des objets continue de croître à mesure que les montres, les grille-pain, les fours, les réfrigérateurs, les aquariums, les thermostats et bien d'autres se connectent à l'Internet. De minuscules ordinateurs ont envahi presque tous les aspects de notre vie moderne, et tous ces appareils représentent un nouveau risque potentiel de sécurité - soit en tant qu'appareil qui crée des données dignes d'être volées, soit en tant qu'appareil qui capture des données dignes d'être volées, ou en tant que point faible potentiel pour infiltrer votre réseau.

Les périphériques sur l'Internet des objets seront également vulnérables aux attaques intelligentes qui provoquent des comportements inattendus et imprévisibles de la part de nos périphériques. Par exemple, les pirates informatiques ont trouvé des moyens de transformer les haut-parleurs en microphones et de vous écouter même sur des appareils qui ne sont censés produire que du son. Dans une étude particulièrement effrayante, les scientifiques ont été en mesure d'écouter le son des sujets qui tapaient leurs mots de passe sur un clavier et de deviner précisément ces mots de passe 80 % du temps. C'était en 2005, soit dit en passant ; le domaine du traitement audio a beaucoup progressé depuis. Imaginez ce que l'on pourrait déduire d'autres sons que vous avez supposés inoffensifs.

Un thermomètre d'aquarium a été utilisé pour voler de l'argent dans un casino. Ce n'était pas parce que l'aquarium avait un accès direct aux transactions financières - au lieu de cela, l'aquarium était un point faible dans le réseau d'un casino autrement sécurisé. Bien que les détails du piratage n'aient pas été rendus publics, les attaquants ont probablement exploité une combinaison de mauvaises pratiques de sécurité (par exemple, les employés du casino ne pensaient pas que le thermomètre devait être sécurisé de la même façon que les autres dispositifs du réseau) et une infrastructure de sécurité médiocre (par exemple, le matériel/logiciel du fabricant du thermomètre était plus facile à casser que les autres dispositifs sur le réseau).

Les pirates informatiques ont réussi à pénétrer dans les systèmes informatiques des voitures et à couper le moteur à distance, à claquer les freins, à faire tourner les roues, à accélérer, et plus encore. Chaque appareil disposant d'une connexion Internet est un vecteur d'attaque potentiel.

Le problème est exacerbé par le fait que tous ces dispositifs et l'infrastructure qui les relie sont alimentés par des logiciels qui sont souvent peu sûrs. Prenez le système de noms de domaine (DNS). Le système de noms de domaine est un élément crucial de l'infrastructure informatique, ainsi qu'un risque bien connu en matière de confidentialité et de sécurité.

Si vous ne configurez pas manuellement les paramètres DNS de votre ordinateur, vous envoyez probablement la liste de tous les sites Web que vous visitez, quand vous les visitez et à quelle fréquence vous les visitez via les canaux publics sans aucun chiffrement. Par défaut, ces informations seront envoyées à votre FAI, qui vous fournira alors les adresses IP des noms que vous envoyez tels que "google.com". Toutes ces informations pourraient être stockées indéfiniment dans une installation de stockage de données exploitée par la NSA à Bluffdale, Utah (hypothétiquement parlant).

Les faiblesses des DNS ont également été exploitées dans le casse de données high-tech. Au lieu d'enregistrer les informations DNS, les attaquants utilisent les faiblesses du DNS et de l'un des principaux protocoles de routage du trafic Internet (le Border Gateway Protocol, ou BGP) afin de voler les identifiants de connexion dans une attaque de phishing. Lors d'une de ces attaques, plus de 150 000 $ en cryptocurrency ont été volés aux utilisateurs du site Web commercial MyEtherWallet.

L'attaque était assez sophistiquée. Tout d'abord, les attaquants ont malicieusement détourné le trafic Internet vers une infrastructure compromise en utilisant un exploit bien connu appelé une fuite BGP. Deuxièmement, le trafic redirigé a été corrompu - en particulier, les requêtes DNS liées à MyEtherWallet.com ont été "empoisonnées" pour envoyer les utilisateurs sur un site de phishing. Troisièmement, lorsque les utilisateurs tapaient involontairement leurs mots de passe dans le site Web d'hameçonnage, les attaquants utilisaient les identifiants volés pour voler leurs cryptomonnaies.

Les fuites de BGP, les empoisonnements DNS et les bogues comme la vulnérabilité Heartbleed que l'on trouve dans le paquet de chiffrement OpenSSL largement utilisé sont particulièrement préoccupants car ils touchent tous les utilisateurs Internet et n'offrent aux utilisateurs affectés que peu ou pas de recours.

Informatique, politique et prévention

Au fur et à mesure que l'étendue des données disponibles s'est élargie, nos prouesses informatiques se sont également développées. La big data est la nouvelle norme, et les progrès de l'apprentissage de la machine ont créé une soif encore plus grande pour les ensembles de données massifs. La quantité alarmante de données qui peuvent être recueillies à partir de nous devient de plus en plus précieuse à chaque pas en avant dans l'intelligence artificielle.

En même temps, nous nous rendons lentement compte que l'apprentissage automatique et la science des données ne sont pas objectifs. Les ensembles de données reflètent les mêmes biais des conditions dans lesquelles ils sont construits. Les algorithmes et les modèles statistiques sont construits par des personnes et des entreprises avec des agendas, qui se reflètent dans les fonctions de ces algorithmes et modèles.

Il existe de nombreux exemples de préjugés algorithmiques. L'algorithme de recherche de Google a fait l'objet d'un examen minutieux lorsque les gens ont découvert que la recherche de "coiffures non professionnelles" montrait de façon disproportionnée des images de femmes noires (qui avaient des coiffures parfaitement professionnelles). Google a supprimé la classification "gorille" de certains de ses algorithmes de reconnaissance d'images après avoir classé plusieurs photos d'hommes noirs comme gorilles. ProPublica a donné un exemple profondément troublant de partialité algorithmique, où les programmes utilisés dans le cadre des procédures judiciaires pour fixer la caution, déterminer la peine et accorder la libération conditionnelle ont toujours surpénalisé les noirs et les blancs sous-pénalisés.

Ces résultats suggèrent qu'être " axé sur les données " n'est pas exactement la même chose qu'être " objectif ". Ils remettent en question l'applicabilité des algorithmes actuels d'apprentissage de la machine de pointe, en particulier dans des domaines déjà marqués par des préjugés raciaux comme l'application de la loi. Malgré cela, l'idée que les algorithmes pourraient être une solution à la discrimination gouvernementale persiste parmi les acolytes technologiques les plus dévoués.

Il y a aussi des signes encourageants de scepticisme qui émergent. Les outils Project Maven de Google et Rekognition AI d'Amazon ont tous deux fait la une des journaux lorsque les entreprises ont révélé des négociations pour vendre leurs produits aux militaires. Les employés des deux entreprises ont organisé des manifestations, écrit des lettres aux dirigeants de l'entreprise et menacé de démissionner. La solidarité des travailleurs de la technologie, qui sont très en vogue, a fonctionné. La reconnaissance a été retirée par la police d'Orlando. Google a abandonné le projet Maven. Le complexe industriel de surveillance - aussi bien établi soit-il - n'est pas inattaquable.

L'Europe a ouvert la voie en matière de réglementation numérique. Le droit d'être oublié a donné lieu à plus de 650 000 demandes d'effacement de données. Le Règlement général sur la protection des données (RGPD) frappe les entreprises au porte-monnaie, Facebook et Google envisageant des amendes de l'ordre du milliard de dollars.

Des stratégies d'atténuation personnelles, comme l'utilisation d'un gestionnaire de mots de passe, l'installation d'outils de confidentialité comme l'extension de navigateur HTTPS Everywhere de l'EFF et le passage à un fournisseur DNS comme CloudFlare's 1.1.1.1.1 qui utilise des protocoles DNS chiffrés, peuvent aider. Malheureusement, les actions personnelles ne suffiront jamais. Combattre la force combinée de grandes organisations comme la NSA, Google et d'autres géants de la surveillance exigera un effort organisé.

Alors que la technologie continue d'envahir les aspects les plus intimes de notre vie, nous devons continuer à mettre en lumière les aspects les plus effrayants de cette nouvelle réalité. Nous devons exiger que les entreprises et les gouvernements soient plus transparents au sujet des données qu'ils recueillent. S'adapter à notre nouvelle réalité interconnectée sera un processus et non une destination. Plus nous en apprenons sur les données, la protection de la vie privée et la surveillance, plus nous pouvons faire prendre conscience de ces problèmes au grand public, où ils peuvent être résolus.

sauce :
https://medium.com/s/story/paranoia-is-now-a-best-practice-3b1adb8980ed

Enregistrer un commentaire

Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.

Plus récente Plus ancienne