#sécurité

Pour une autre innovation
http://www.internetactu.net/2013/06/20/pour-une-autre-innovation

Comme le dit Bluetouff, le scandale Prism c’est effectivement comme si on se réveillait d’une gueule de bois qui a duré 12 ans, comme si il nous avait fallu tout ce temps pour digérer l’amère poussière de l’effondrement des tours du World Trade Center. Les scandales Prism et Verizon ne posent pas seulement la question de la #surveillance d’Etat, mais…

#algorithmie #big_data #confiance_numérique #sécurité

La #nsa pourrait stocker du contenu vocal, pas seulement des métadonnées - Bruce Schneier
http://www.schneier.com/blog/archives/2013/06/evidence_that_t.html

Bruces Schneier fait part de doutes sur le fait que la NSA ne stockerait et enregistrerait que des métadonnées d’appel téléphonique. Tags : internetactu2net internetactu fing #surveillance sécurité #prism nsa (...)

#sécurité #verizon

« ZeuS-P2P monitoring and analysis » Excellente analyse technique du #botnet Zeus-P2P par le CERT polonais. Zeus est un kit de construction de botnets, pour éviter aux mafieux de devoir tout faire par eux-mêmes, kit qui était vendu et dont le code source a mystérieusement fuité. Un certain nombre de botnets ont ainsi pu être construits gratuitement et des perfectionnements ont été apportés à Zeus par la communauté (merveille du code source disponible). L’une de ces améliorations a été utilisé pour bâtir le botnet Zeus-P2P (également appelé #Gameover) : au lieu de communiquer uniquement avec un maître (le C&C pour Command and Control) centralisé, Zeus-P2P sait récupérer les informations, les ordres et les mises à jour en pair-à-pair... (Son algorithme est proche de celui de #Kademlia.) Il est un des premiers (la date exacte n’est pas forcément connu) botnets avec cette capacité.

Zeus-P2P a aussi des méthodes classiques de communication avec son C&C comme un DGA (Domain generation Algorithm) pour engendrer des noms de domaine à essayer pour cette communication.

Le pair-à-pair fournit de la résilience mais il vient avec ses propres vulnérabilités. Les chercheurs du CERT ont ainsi pu s’insérer dans ce botnet et l’observer (sans toutefois pouvoir le diriger, le logiciel vérifiant les signatures cryptographiques des messages). La partie la plus drôle du rapport est la description de l’observation, par le CERT, de deux attaques (sans doute menées par des botnets concurrents) contre Zeus-P2P, attaques qui ont été vues en temps réel.

Contrairement à la plupart des rapports techniques d’analyse d’un logiciel malveillant, les auteurs de celui-ci ont eu des préoccupations pédagogiques et expliquent tous les termes utilisés.

Le rapport du CERT : http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf

La fiche de Zeus-P2P sur botnets.fr : https://www.botnets.fr/index.php/Gameover

#P2P #sécurité

eSanté : les fabricants doivent renforcer la cyber-sécurité des appareils médicaux | L’Atelier
http://www.atelier.net/trends/articles/esante-fabricants-doivent-renforcer-cyber-securite-appareils-medicaux_42140

"La FDA a publié en complément d’une alerte un document indicatif, faisant office de guide aux fabricants d’appareils électroniques médicaux qui recommande de fabriquer des appareils médicaux mieux protégés contre les éventualités de cyber-attaques. Le document met l’accent sur la nécessité de prendre en compte ces problématiques dès la phase de design des appareils, déterminante pour identifier et réduire les risques. Le renforcement des processus d’authentification des utilisateurs, la fermeture (...)

#surveillance #sécurité

Automating Border Control/Custom Check Points to Enhance Efficiency and Security

The record number of travelers moving around the world and the increase in international trade has unfortunately been met with decreasing public sector budgets to process this new volume. Border control agencies are grappling with this challenge: how can agencies expedite people across border faster – while enhancing security – as resources and budgets are shrinking?

http://blogs.unisys.com/2013/06/13/automating-border-control-custom-check-points-to-enhance-efficiency-an

#frontière #contrôle #contrôles_frontaliers #agences_de_contrôle_des_frontières #sécurité

“Notre” #sécurité ? | Presseurop.eu : actualités Europe, cartoons et revues de presse
http://www.presseurop.eu/fr/content/editorial/3881401-notre-securite

Or, en démocratie, les entorses aux libertés ne sont admissibles que si les citoyens y consentent, si possible de manière éclairée, et ils doivent pouvoir exercer un contrôle à travers des organes représentatifs. Si une majorité des Américains estime que renoncer à leur vie privée est un prix acceptable à payer pour leur sécurité, il en va différemment des Européens. Non seulement ils sont la cible principale du programme PRISM, mais ils n’ont aucun moyen de contrôle démocratique sur les entités qui les espionnent. Quant à leur consentement, il va de soi qu’il ne leur a pas été demandé.

#Allemagne : oui aux #déchets_nucléaires... mais pas chez moi !
http://fr.myeurop.info/2013/06/13/allemagne-oui-aux-dechets-nucleaires-mais-pas-chez-moi-10065

Quentin Bisson

L’Allemagne entend faire voter une loi pour la création d’un #centre_de_stockage de déchets nucléaires, mais où ? Malgré les résistances, les ministres-présidents des régions sont tout de même parvenus à se mettre d’accord... sur le fait qu’ils ne sont pas d’accord.

L’Allemagne est (...)

#Politique #Environnement #environnement #länder #risque_nucléaire #sécurité_nucléaire

Sauter l’échelon - Les blogs du Diplo
►http://blog.mondediplo.net/2013-06-12-Sauter-l-echelon#forum

Thibault Henneton revient sur le programme de surveillance massif américain. Si le monde entier se sent concerné, nous sommes là seulement face à une confirmation de l’immense portée des grandes oreilles américaines. C’est désormais à nous tous que s’adresse le dilemme de la raison d’Etat et son incitation au panoptique. Mais ces outils savent-ils, peuvent-ils prédire le passage à l’acte ? Notre seul réaction est-elle de nourrir le troll ? De tester les limites du prisme, comme le propose Troll the (...)

#prism #sécurité #vieprivee

Where did all the HTTP referrers go? (Cyril Aknine)
http://smerity.com/articles/2013/where_did_all_the_http_referrers_go.html

Source : Smerity.com

Yes we can -sign this too- ►https://optin.stopwatching.us

#NSA #USA #internet #sécurité #espionnage

EXCLUSIF. Ile Longue : des failles dans la sécurité
http://www.letelegramme.fr/ig/generales/fait-du-jour/ile-longue-des-failles-dans-la-securite-11-06-2013-2132250.php

Dans le Finistère, la très secrète Île Longue, coeur de la dissuasion nucléaire française, va renforcer ses mesures de sécurité. Il faut dire que d’incroyables failles rendent ce site ultrasensible vulnérable, comme le révèle notre enquête.

#faille #sécurité #nucléaire

Ma triste réalité tech : vous ne pouvez faire confiance à personne - The Register
http://www.theregister.co.uk/2013/06/03/trust_nobody_with_your_personal_data_ever

Pour Trevor Pott, tout les outils sur lesquels nous travaillons chaque jour sont construits par quelqu’un d’autre. Ce qui nécessite d’avoir confiance dans les instruments que nous utilisons quotidiennement. Prenons l’exemple des mots de passe pour s’authentifier sur un service. Nous savons tous qu’ils craignent. Nous continuons à utiliser des mots de passe facile à se remémorer et donc facile à craquer, même si on nous a 1000 fois répéter le contraire. L’usage du double facteur d’identification est (...)

#prism #sécurité #vieprivee

A map of the countries with the most dangerous roads
http://www.washingtonpost.com/blogs/worldviews/wp/2013/06/07/a-map-of-the-countries-with-the-most-dangerous-roads

Lots of people think that their home town has the worst traffic, the most aggressive drivers, the craziest cabbies. Sometimes they have strong anecdotal evidence. Russian drivers often employ dashboard cameras to record seemingly inevitable collisions with reckless motorists.

http://www.washingtonpost.com/blogs/worldviews/files/2013/06/road-safety-map.jpg

In the United Arab Emirates city of Abu Dhabi, a three-day Blackberry phone outage coincided with a 40 percent drop in traffic accidents. When I visited Cairo, where just crossing the street is a sort of art form in itself, I presumed no roads could be more dangerous until a friend who had just returned from Indonesia assured me that Jakarta’s are far worse.

#sécurité_routière #accidnts_de_la_route #cartographie

"Enfer des mots de passe : le « #bodycode » qui fait un peu peur"
http://www.rue89.com/2013/06/07/body-code-comment-risquer-faire-physiquement-haker-243025

C’est le fantasme du « Sésame ouvre-toi » qui prend corps : #Motorola Heading, qui appartient à #Google, a développé deux produits qui changent radicalement la conception, la forme et l’utilisation du #mot_de_passe :

– un #circuit_imprimé sous forme de « patch » à même le corps contenant les informations confidentielles de son propriétaire, qui débloque un téléphone ou ouvre la portière d’une voiture grâce à un simple contact tactile.
– une #pilule à ingérer quotidiennement, centralisant elle aussi tous les codes personnels et qui déverrouille un appareil à proximité, grâce à une réaction chimique entre la pilule et les acides contenus dans l’estomac.

"Passwords on Your Skin and in Your Stomach : Inside Google’s Wild Motorola Research Projects (Video)"
http://allthingsd.com/20130603/passwords-on-your-skin-and-in-your-stomach-inside-googles-wild-motorola-

Avec cette déclaration sidérante de la directrice de l’unité de recherche en #innovation #technologique chez Motorola :

At our D11 conference last week, Dugan said she was working to fix “the mechanical mismatch between humans and electronics” by partnering with companies that make authentication more human.

http://emotion-dg.com/wp-content/uploads/2013/03/IMGS7774-X21.jpg

Sidérante parce qu’elle affirme vouloir "réduire l’incompatibilité mécanique entre les humains et l’électronique", et sidérante parce qu’elle considère qu’en rendant le corps compatible avec la technologie, elle le rend plus humain. Peut-être que l’étape d’après dans le #progrès-qu'on-n'arrête-pas, ce sera de nous convaincre combien ce sera fantastique quand des fonctionnalités de notre propre corps nous seront louées à vie par diverses compagnies. Sur cet engouement pour la dépendance corporate, cf.
►http://seenthis.net/messages/134657

#recherche #corps #cyborgs #sécurité #hacking

RFC 6962 : Certificate Transparency

Plusieurs attaques spectaculaires, notamment celle contre #DigiNotar, ont montré la fragilité de l’actuel système de gestion de certificats #X.509. Comme n’importe quelle AC peut émettre un certificat pour n’importe quel nom de domaine, il ne suffit pas d’évaluer la sécurité de son AC, il faudrait idéalement évaluer toutes les AC. Ce RFC propose une approche différente : encourager/obliger les AC à publier « au grand jour » les certificats qu’ils émettent. Un titulaire d’un certificat qui craint qu’une AC n’émette un certificat à son nom sans son autorisation n’a alors qu’à surveiller ces publications. (Il peut aussi découvrir à cette occasion que sa propre AC s’est fait pirater ou bien est devenue méchante et émet des certificats qu’on ne lui a pas demandés.)

http://www.bortzmeyer.org/6962.html

#sécurité #autorité_certification

L’enfer de Ryanair décrit par un commandant
http://www.lalibre.be/actu/international/article/819911/l-enfer-de-ryanair-decrit-par-un-commandant.html

Dans sa quête absolue de chasse aux dépenses, la compagnie +ultra low cost+ atteint régulièrement des limites en terme de #sécurité", selon lui.

Pour les dossiers de @reka et @myeurop

Le migrant n’est pas un criminel

La politique de l’Union européenne de régulation des flux migratoires est axée sur le répressif et le sécuritaire. Elle bafoue trop souvent les droits fondamentaux des migrants, notamment en recourant à la détention systématique.

http://www.lalibre.be/actu/international/article/819046/le-migrant-n-est-pas-un-criminel.html

#migration #Union_Européenne #flux_migratoires #régulation #répression #sécurité #droits_des_migrants #détention #rétention

Trouver des failles web via GitHub
http://d4n3ws.polux-hosting.com/2013/06/02/trouver-des-failles-web-via-github

Via HN :
Un lien correspondant à une recherche de code via GitHub montre comment il est très facile de trouver de potentielles failles SQL dans des applis web.
Malgré que le critère de recherche soit très basique et puisse lever de nombreux faux positifs, la recherche se révèle très fructueuse…
Un autre lien posté permet de retrouver des failles XSS (non-stored) et là, pas d’erreurs possibles.

Oups. Faudrait peut-être ajouter des « correcteurs de sécurité » dans ces systèmes de publication de code.

#d4n3ws.polux-hosting.com

Decryptage geopolitique maghreb - blog#géopolitique de #aboufadhel-spécialisé dans l’analyse et l’anticipation géopolitique et sécuritaire au Maghreb.
►http://decryptage-geopolitique-maghreb.weebly.com
Nouveau billet intitulé"#sécuritéMaghreb:la tache d’huile de la déstabilisation du Maghreb-Sahel.par#Aboufadhel
La déstabilisation de toute la région du Maghreb-sahel est –elle programmée par la France et bénie par lesUSA ?

Une collision à 70 km/h équivaut à une chute de 19 m de haut pour un passager non attaché. Toute la Norvège contrôle au cours du week-end : opération ceinture de sécurité.

Environ 1 000 morts entre 2005 et 2011, environ 450 n’avaient pas attaché pas leur ceinture

Varsler storkontroll i helga - Helse-forbruk-og-livsstil - NRK

http://www.nrk.no/helse-forbruk-og-livsstil/1.11055304

Det lønner seg som regel å bruke bilbelte – og i hvert fall denne helga. Statens Vegvesen er tilstede på veiene i samtlige fylker denne helga for å kreve inn 1500 kroner i bot til dem som blir avslørt i å ikke bruke bilbelte.

http://gfx.nrk.no/_xblOCX2u0lwHK3bxstJbQQpCa3gQH7PXxOoWonZk_Dg.jpg

De regner med å kontrollere beltebruken i over 50.000 biler mellom fredag og søndag.

#sécurité_routières #accident_de_la_route

"Qu’est-ce que le projet Indect ?" (by les #Anonymous)

#INDECT est un #formidable projet de recherche qui doit déboucher à l’élaboration d’outils #innovants permettant d’assurer la protection des #citoyens #européens.
La #sécurité des citoyens est l’une des plus importantes priorités de l’Union Européenne. Le projet INDECT vise à élaborer des solutions efficaces contre les menaces terroristes et criminelles. Notre priorité est de renforcer la #vidéosurveillance, d’automatiser la reconnaissance des menaces via une analyse intelligente du comportement des citoyens. Dans cette optique, le projet Indect vise aussi à renforcer la #surveillance du #web : analyse des données, des vidéos, des photos, des textes...

https://www.youtube.com/watch?v=8OQba_yyi8I

No Indect
http://noindect.fr

Carte européenne des manifestations contre le projet.

https://fr.wikipedia.org/wiki/INDECT

INDECT, ou Intelligent information system supporting observation, searching and detection for security of citizens in urban environment (littéralement Système d’information intelligent soutenant l’observation, la recherche et la détection pour la sécurité des citoyens en milieu #urbain), financé par l’Union européenne et réalisé par plusieurs #universités à travers l’Europe, est un projet visant à mettre en place des systèmes de surveillance intelligents. Son but est de détecter les menaces criminelles de manière automatisée grâce aux flux de données fournis par des caméras de vidéosurveillance.

"EU Research Projects : Indect"
http://cordis.europa.eu/projects/218086

Total cost : EUR 14 984 466
EU contribution : EUR 10 906 984

"INDECT et le « rideau de fer » sécuritaire européen"
►http://bugbrother.blog.lemonde.fr/2012/10/14/indect-et-le-rideau-de-fer-securitaire-europeen

C’est l’histoire d’un type qui installe des tas de parasols dans son jardin. Son voisin vient lui demander pourquoi :
« - Pour empêcher les crocodiles d’entrer.
- Mais il n’y a pas de crocodiles dans notre région, ni même dans notre pays ! dit le voisin dépité.
- Tu vois, ma stratégie fonctionne ! »

(...)

Petit florilège des programmes qui, à l’instar d’INDECT, sont subventionnés par la Commission européenne, et donc en notre nom :

ADABTS : Automatic Detection of Abnormal Behaviour and Threats in crowded Spaces (4,5M€). Algorithms will be developed that detect pre-defined threat behaviours and deviations from normal behaviour. For accurate and robust detection, data from audio and video sensors will be combined with context information.

ADVISE : Advanced Video Surveillance archives search Engine for security applications (4,2M€), qui a pour objectif de développer un système d’unification des données surveillées, afin de pouvoir en automatiser leur exploitation "intelligente".

ARENA : Architecture for the Recognition of thrEats to mobile assets using Networks of multiple Affordable sensors (4,8M€), censé concevoir un système flexible et mobile de surveillance, de reconnaissance et de détection des menaces.

CAPER : Collaborative information, Acquisition, Processing, Exploitation and Reporting for the prevention of organised crime (7,1M€), pour optimiser l’exploitation du renseignement de source ouverte, et notamment le web social et sémantique.

EFFISEC : Efficient integrated security checkpoints (16M€), pour contrôler "en profondeur" les voyageurs, à pied ou en voiture, leurs bagages et véhicules.

OPARUS : Open Architecture for UAV-based Surveillance System (1,4M€), architecture ouverte de surveillance maritime et aérienne de larges zones au moyen de drônes en Europe.

MOSAIC : Multi-Modal Situation Assessment & Analytics Platform (3,M€), censé développé des systèmes "intelligents" de capture et d’analyse distribués et multi-modaux de vidéos et textes en matière de reconnaissance, de détection, de géolocalisation et de cartographie des cibles à surveiller.

SAMURAI : Suspicious and abnormal behaviour monitoring using a network of cameras & sensors for situation awareness enhancement (3,7M€), destiné à développer des outils et systèmes innovants afin de vidéosurveiller individus, bagages et véhicules, ainsi qu’un système de détection des comportements suspects basés sur des caméras d’audiovidéosurveillance fixes mais également mobiles et portables ("wearable" -voir aussi Souriez, vous êtes audio-vidéosurveillés !).

SNIFFER : A bio-mimicry enabled artificial sniffer (4,8M€), destiné à améliorer le travail effectué par les chiens renifleurs en développant un système artificiel de reconnaissance olfactive de substances illégales et d’individus cachés dans les véhicules.

SUBITO : Surveillance of unattended baggage and the identification and tracking of the owner (3,9M€), pour automatiser l’identification et la détection en temps réel des bagages abandonnés, de ceux qui les ont laissé traîner, et de là où ils sont aller.

TASS : Total Airport Security System (15M€), censé combiner toutes les technologies disponibles afin de créer un système total de surveillance permettant de sécuriser en tout temps et en tout lieu les "labyrinthes" que constituent les aéroports.

http://bugbrother.blog.lemonde.fr/files/2012/10/IndectCorr.jpg

RFC 6959 : SAVI Threat Scope

On sait que, sur l’Internet, il est possible et même facile d’usurper une adresse IP , c’est-à-dire d’émettre un paquet IP avec une adresse source allouée à quelq’un d’autre (ou pas allouée du tout). Le projet #SAVI (Source Address Validation Improvement) vise améliorer la validation de l’adresse source, de manière à rendre l’usurpation plus rare et plus difficile. Ce #RFC décrit la menace à laquelle SAVI répondra et étudie les contre-mesures existantes.

http://www.bortzmeyer.org/6959.html

#sécurité #Internet

Nul doute qu’un splendide marché du drone #policier ou de #sécurité_privée est en train de se construire...
« Des drones anti-graffitis pour les trains allemands ? »
http://bigbrowser.blog.lemonde.fr/2013/05/28/espion-des-drones-anti-graffitis-pour-les-trains-allemands

La #Deutsche_Bahn veut réduire le nombre de #graffitis qui recouvrent ses wagons et ses infrastructures. Et pour cause : chaque année, ces dégradations lui coûteraient près de 7,6 millions d’euros. Pour la compagnie des chemins de fer allemande, la solution vient des airs, puisqu’elle envisage de recourir à des #drones de surveillance, rapporte la BBC.

L’idée est d’utiliser, la nuit, des caméras à infra-rouge embarquées afin de pouvoir identifier et poursuivre les vandales devant la justice, preuves à l’appui. Le prix du modèle envisagé, silencieux et pouvant s’élever à 150 m du sol, est de 60 000 euros, selon la presse allemande.

Théorie du drone : de la fabrique des automates politiques
http://www.internetactu.net/2013/05/29/theorie-du-drone-de-la-fabrique-des-automates-politiques

Le livre de Grégoire Chamayou, Théorie du drone, est passionnant. Bien sûr, il est passionnant pour son implacable analyse du drone armé et de la façon dont cet “instrument d’homicide mécanisé” transforme la conduite de la #guerre. Mais pour ma part, je n’ai pas lu ce livre comme un ouvrage sur les questions éthiques, psychologiques, sociales, juridiques et politiques que…

#algorithmie #armée #big_data #politiques_publiques #prospective #sécurité #surveillance

MinimaLT, un remplaçant réaliste pour TCP, TLS et IPsec ?

Il y a des chercheurs ambitieux. En voici qui proposent un protocole qui veut remplacer à la fois #TCP et #TLS et #IPsec. Ils exagèrent ? Pas complètement. Le projet est prometteur (mais encore à ses touts débuts) mais il y a quelques points noirs qu’ils « oublient » de mentionner.

http://www.bortzmeyer.org/minimalt.html

#MinimaLT #sécurité #cryptographie