Hacktivistes et firmes high-tech veulent «chiffrer tout le Web»
L'EFF, Mozilla, Cisco, Akamai et IdenTrust vont proposer des certificats SSL gratuits et qui ne nécessiteraient que trente secondes pour être installés. Objectif : généraliser l’usage du protocole HTTPS.
Tous les défenseurs des droits civiques sont unanimes : pour protéger la vie privée des internautes, il faut renforcer le chiffrement des communications. Le problème, c’est que de nombreux services en ligne ne proposent même pas les bases du chiffrement Web, à savoir HTTPS.
Les hacktivistes d’Electronic Frontier Foundation (EFF) viennent de s’associer à Mozilla, Cisco, Akamai, IdenTrust et l’université du Michigan pour tenter de généraliser l’usage de ce protocole à l’ensemble de la Toile. Ensemble, ces différents acteurs vont créer une nouvelle autorité de certification baptisée « Let’s encrypt ». Son objectif est de permettre aux administrateurs de site de percevoir gratuitement des certificats de chiffrement TLS/SSL et, surtout, de pouvoir les installer de manière simple. « Pour de nombreux administrateurs, obtenir ne serait-ce qu’un certificat de base est déjà compliqué. Le processus de demande peut être source de confusion. Son obtention coûte de l’argent. C’est difficile de l’installer correctement. Sa mise à jour est douloureuse », peut-on lire dans un communiqué du site letsencrypt.org.
Selon l'EFF, un développeur web doit actuellement investir entre une et trois heures de temps pour activer le chiffrement TLS/SSL pour la première fois. Avec l’initiative « Let’s encrypt », l’objectif est de réduire ce délai à 30 secondes maximum. Pour cela, il suffira d’installer un assistant logiciel créé spécialement à cet effet. Techniquement, cet outil repose sur un protocole innovant développé par EFF. Baptisé ACME, il est capable d’automatiser l’approvisionnement et l’installation de certificats.
Le service « Let’s encrypt » sera disponible en été 2015.
*******************
Le chiffrement, l'arme ultime pour lutter contre la NSA, selon Snowden
A l’occasion du festival SXSW, l’ex-consultant de la NSA a incité les développeurs à simplifier les solutions de chiffrement pour rendre inopérantes les tentatives de surveillance généralisée des services secrets.
Après Julian Assange , c’était au tour d’Edward Snowden de faire son apparition au festival SXSW hier soir. Vivant en exil comme le lanceur d’alerte de Wikileaks, l’ex-consultant de la NSA a été contraint, lui aussi, de réaliser son intervention par vidéoconférence (Google Hangout en occurrence). Face à une audience d’environ 3000 personnes, Edward Snowden a réitéré son principal message : il faut lutter contre la surveillance généralisée de la NSA. « Ils mettent le feu à l'avenir d’internet, ceux qui sont dans cette pièce sont les pompiers », a-t-il lancé au public, conquis d’avance.
Mais comment résister ? Selon lui, pour protéger les libertés individuelles, il faut non seulement développer une « réponse politique », mais aussi « technologique ». Un chiffrement massif des communications permettrait de compliquer la surveillance généralisée, voire de la rendre économiquement non viable. Mais pour cela, il faudrait que le chiffrement soit plus simple à utiliser pour le commun des mortels. « Nous devons pouvoir verrouiller et sécuriser les données de manière immédiate et automatique. Les développeurs doivent aborder les choses de manière différente », explique Edward Snowden.
Le lanceur d’alertes a aussi dénoncé les « ratés énormes » de la NSA en matière de renseignement: « Si nous n'avions pas passé autant de temps à surveiller les gens, nous aurions pu attraper les suspects », a-t-il dit en prenant l'exemple de l'attentat contre le marathon de Boston en avril. L'ancien consultant, qui pouvait être interrogé par le public via Twitter, a par ailleurs affirmé à la question de savoir s'il referait la même chose, que « la réponse est oui, absolument ». « J'ai juré de défendre la Constitution et je l'ai vue violée massivement », a-t-il dit, avec l'image de la Constitution américaine en fond d'écran.
L’apparition d’Edward Snowden lors du festival SXSW n’a pas plu à tout le monde. Un élu républicain de la Chambre des représentants, Mike Pompeo (Kansas), avait notamment enjoint par lettre les organisateurs de « retirer leur invitation » à ce « traître et criminel de droit commun » qui a volé des documents militaires et doit en rendre compte devant la justice. Pour sa part, Tim Berners-Lee, créateur du World Wide Web, a remercié Edward Snowden pour son action. Il estime qu’elle était dans l’intérêt public.
************
Comment Edward Snowden a siphonné l’intranet de la NSA
L’ex-consultant du service secret aurait utilisé des outils logiciels assez basiques pour s'emparer des 1,7 million de documents secrets. Il aurait également subtilisé les mots de passe de certains collègues. La NSA est ridiculisée.
Depuis que l’affaire Edward Snowden a éclaté, une question reste toujours en suspens : comment un sous-traitant de la NSA a-t-il pu récupérer 1,7 million de documents classés « top secret » ? Or, petit à petit, des détails commencent à surgir sur la méthode employée par le lanceur d’alerte. D’après des agents secrets interrogés par le New York Times, il n’aurait pas copié manuellement tous ces fichiers, ce qui semble assez logique. En fait, il aurait utilisé un outil du genre « web crawler » ou « spider ». Il s’agit d’un logiciel qui parcourt de manière automatique les systèmes de fichiers à la recherche d’un certain type de données. Un peu comme les robots logiciels de Google, qui scannent le web pour en faire l’inventaire.
Si cette information est vraie, ce serait évidemment un sérieux aveu d’échec de la part du service secret américain, car les « crawler » sont des logiciels hyper basiques dans le monde des professionnels de l’informatique. Qu’un tel logiciel puisse se balader dans les profondeurs des systèmes de la NSA et copier 1,7 million de documents apparait comme très surprenant. Pourtant, d’après les enquêteurs, c’est possible.
Peu de protection face à « l’ennemi interne »
En effet, Edward Snowden était lui-même un administrateur systèmes et réseaux. Il détenait donc un certain nombre de droits d’accès. Par ailleurs, l’infrastructure de la NSA serait très bien protégée contre les intrusions venant de l’extérieur, mais beaucoup moins vis-à-vis de personnes internes malveillantes. Son lieu de travail aurait également joué un rôle. A l’époque des faits, il était basé à Oahu (Hawaï), dans un centre vieillissant de la NSA qui ne disposait pas encore des derniers dispositifs de sécurité informatique, capables de détecter ce type d’activité. Une information que Reuters avait déjà sortie en octobre dernier et que le New York Times vient maintenant de confirmer.
Enfin, Snowden se serait peut-être servi d’autres comptes utilisateurs que le sien. En novembre dernier, Reuters expliquait que le consultant aurait eu les mots de passe de plus d’une vingtaine de ses collègues, pas forcément avec leur consentement. Un mémo de la NSA datant du 10 février, et révélé par NBC, vient confirmer partiellement cette information. Ainsi, Edward Snowden aurait demandé à un employé civil de la NSA de venir taper son mot de passe sur son ordinateur, ce qui lui aurait permis de le siphonner (par keylogging par exemple) et d’utiliser son certificat PKI. Lequel donnait accès à des documents classifiés sur l’intranet de la NSA (NSANet).
Le mémo indique que deux autres personnes - un militaire et un sous-traitant - auraient également été impliquées dans le vol de données d’Edward Snowden, sans préciser pour autant de quelle manière. L’employé civil a démissionné le 10 janvier dernier. Les deux autres ont reçu, en août 2013, l’interdiction d’accéder à toute infrastructure logicielle ou matérielle de la NSA.
Dans un webchat réalisé le 24 janvier dernier, Edward Snowden nie avoir volé quelconque mot de passe auprès de ses collègues
From : 01 Net ,...............