Rechercher dans les flux d'actualités

Filtrer par auteur :
Rechercher un terme :

  The Black Hat Recap
BlackHat is always one of the most interesting conferences of the year. Firmly sandwiched between BsidesLV and DefCon, it brings a unique mix of research and people to Las Vegas. We unveiled our new booth design, which featured a huge Alien head hovering above the shiny new green and black booth, which had a presentation theatre on one side and demo pods on the other.  As always, the booth proved to be a great hit and served as the central point where we could meet old friends and new. The Talks Parisa Tabriz, director of engineering at Google, delivered the keynote address at this year’s BlackHat. Tabriz likened most security to a game of whack-a-mole and encouraged security professionals to embrace three steps of in an interesting address: Tackling root cause Picking milestones (and celebrating achieving them) Building out a coalition (beyond the industry) Our own Aliens had a couple of speaking sessions. Sanjay Ramanath delivered a session entitled the Defender's Dilemma to the Intruder's Dilemma. Over at the Diana Initiative at DefCon, Kate Brew presented, "Age Like a Fine Wine, not a Fine Whine" - I was particularly disappointed to have missed this talk as I had to fly back home and there was a no photos or video policy. The ever-expanding show I missed BlackHat last year, and this year it felt as if I'd almost walked into RSA. The vendor halls seemed a lot bigger and spaced out than before. With over 250 vendors exhibiting, there was a lot of floor space to cover, technologies to see, and swag to be grabbed. However, perhaps one of the most interesting aspects of the show floor is across from the main hall in the BlackHat Arsenal. The Arsenal is an area for independent researchers where open-source tools and products are demonstrated in 20-minute sessions in an informal setting. I recall the first time I saw the Arsenal a few years back, it was in a small corner with a handful of tools - but it has grown into an almost con-within a con. The organisers have definitely done a great job with it, and you should have it on your list of things to see next time you are at a BlackHat. Swapping parties for breakfasts People usually ask what the parties are like - every night in Vegas there appears to be a party or event of some sort. However, if you're like me, then parties may not be your scene. So I spent the week getting early nights and arranging breakfast meetings instead. Personally, this was one of the best decisions I made. It was great to get up well-rested, to sit in a quiet venue and have good discussions over breakfast. While this approach may not be for everyone, my pro tip for Vegas is always to schedule some quiet time away from the noise. Until next time When it was all said and done, it was a very enjoyable, if not tiring week filled with great content, the opportunity to meet up with old colleagues, and make some new connections. We look forward to seeing you at an event soon.       

Le 2018-08-13

  What You Need to Look for When Choosing a Hosting Company for Your Startup
Whether you sell clothes online or have recently set up a financial services firm, every startup needs to have a strong online presence in order to make the right moves in 2018. To do this, it is critical that you align with a premium-quality hosting provider. After all, if you choose a web host that is unreliable and does not deliver high levels of performance, then the usability and speed of your website will suffer. Not only will this frustrate your customers and prospects, but it will cause your search engine ranking to fall too. This is something that no business can afford, but especially not a startup that’s struggling to get established. So, with that in mind, read on to discover all of the different things you need to look for when choosing a hosting company for your startup. Start by identifying your hosting needs The first thing you need to do is understand your hosting needs. You won’t be able to find the right web host for you if you do not know what you need. To determine this, you need to first ask yourself a number of different questions, including the following: What type of platform are you going to use for your website? For example, will it be WordPress or a different platform? What sort of website are you going to build? Are you going to build a portfolio website, organisational website, blogging website, or something else? Are you interested in building more than one website? What is the sort of volume of traffic that you are aiming for? Are you going to require special software to code your site, for example, .net, java, php, etc.? By answering these important questions, you will be able to figure out what you need so that you have a good starting point in your quest to find the best web host for your particular requirements. Reliability, performance, and server uptime There really is only one place to begin when it comes to assessing the quality of a web host business, and this is by looking at the level of performance and the guaranteed uptime they provide. Don’t settle for anything less than the best in terms of uptime, as your business cannot afford to be offline. Companies like HostGator and SiteGround guarantee 99.9 percent uptime. You should not settle for anything less than 99 percent. Other factors also play a critical role in helping you determine whether a web host is reliable or not. This includes things like bandwidth, daily back-ups, and RAID protected storage. You will also want to ensure that the company provides 24/7 customer support, as you want to have complete peace of mind that any issues will be dealt with immediately so that they do not have a negative impact on your business. In terms of site back-ups specifically, there are a few key questions you can ask a prospective company to get a better understanding of this aspect: Do you only provide the back-up itself or do you offer assistance in restoring the back-up? Do you offer any plug-ins for site back-ups? How often do automatic back-ups take place? Are there any options for manual site back-ups? Is there the option for site back-ups within the admin control panel? This will help you determine how frequently back-ups occur and whether or not there is any level of customisation. This is critical because no business can afford to lose their critical data, so you need to be able to back-up your data according to your requirements. Price and refunds Businesses need to assess every purchase with care. This is especially the case with startups, as the way you spend your money is going to have a massive impact on whether or not your company survives. Most hosting providers charge around the £3-mark per month. You do need to be mindful of companies that charge more for additional services, as well as those that put their prices up considerably when you renew. The refund policy is also important. Is there a trial period during which you can get a refund if you cancel your web host account? Can you upgrade your plan after the trial period? Are there any cancellation charges in place? The level of customer service provided Customer service is another critical factor that needs to be taken into consideration before you sign up with a web host company. Some host providers claim to offer 24/7 customer support, but if that actually consists of typing your message to a live chat bot and getting a generic response, then it’s not going to be of much use, is it? Customer service not only needs to be easily accessible but it needs to be of a high level of quality too, so make sure you are clear on what their customer service policy entails. Upgrade options It is highly likely that your needs and requirements will change as your company grows and progresses in the industry. In the beginning, many startups opt for a shared web hosting plan because this is a good way to keep expenses low. As a rough estimation for WordPress websites that have been optimised correctly, a shared web hosting account can host up to 50,000 unique visitors. When your website starts to exceed these numbers, you will probably need to upgrade your account. It is unlikely you will want to go through the hassle of transferring your website to another host, so it is important to consider upgrade options from the beginning. As you can see, many different factors need to be taken into consideration when choosing a hosting provider. However, if you take note of all of the points that have been mentioned above, you should have no trouble finding the right provider for your needs, budget, and requirements. Don’t underestimate the importance of this decision. After all, your web host is going to have a huge influence on your web performance as well as an impact on your ultimate success, and we all know how important having an effective online presence is in the current day and age.       

Le 2018-08-09

  USM Central Product Roundup and Look Ahead
We have an audacious goal on the USM Central Product team. We believe that we can create the most phenomenal security platform for MSPs and MSSPs on the market with the combination of USM Central, USM Anywhere, and USM Appliance. As we move into Q3, we wanted to take some time to stop and reflect a bit on our journey. We thought it’d be helpful to provide some perspective on the problems we believe USM Central should solve for our customers, recap what we’ve built so far, and preview what’s ahead of us as we storm ahead into the back-half of the year. When prioritizing our efforts for USM Central, we always try to ask ourselves two questions. The first is, “how can we help our MSSP / MSP partners to be more efficient?” For instance, are they taking some redundant action multiple times across several deployments? What data are they looking for in the “child deployments” that would be helpful to view in USM Central? The second is, “how are USM Central users “patching” our functionality?” By talking to our partners every week, we try to understand what other systems or tools they are using in conjunction with our products and find ways that we could either 1) address that need in product or 2) integrate with the existing workflow. While USM Anywhere continues to push the envelope on core security capabilities, we believe we can create “SOCs with superpowers” with USM Central by showing up every day and trying to answer those two questions. Below, you’ll find a short summarization of our recent efforts and what we’re excited about moving forward. Alarm Status and Label Synchronization Labels are a simple yet powerful method to track the status of alarms in the various stages of the investigation cycle, classify alarm data for analysis/reporting, or even show “proof of work” to your end customers. Before USM Central, any edit to a label in the child instance would not be reflected in the Federation Server, requiring an analyst to make the label or alarm updates in multiple places. Today, any changes made to an alarm from connected USM Anywhere deployments are automatically synced to USM Central, and USM Central users can standardize labels across all of their USM Anywhere deployments. We're hoping this will dramatically streamline alarm workflows. Check out the details of this feature in the documentation here. Orchestration Rule Management Often, when our MSSP partners create an orchestration rule in USM Anywhere for one client, they recognize that it would be useful to deploy that same rule to another client. Additionally, when onboarding a new client, we’ve found that it’s helpful to do a comparative audit with another more mature deployment to make sure all of you've covered all of your bases, from filtering to alarm rules. With the most recent release of USM Central, all of the rules for your connected USM Anywhere deployments are now synced to USM Central. USM Central users can filter their view to only view rules from selected deployments or to copy a rule and quickly apply it to another customer. API Availability Do you use a ticketing system to generate tickets for alarms generated within your AlienVault deployment(s)? Maybe you customize reports or dashboards by using data from AlienVault and other products for use internally or client presentations? You can now generate an API key in product for the USM Central API. The REST interface will allow you to search for alarms for all of you connected USM Anywhere or USM Appliance instances. For this first release, we've only exposed an Alarms endpoint, but we're looking forward to adding additional capabilities in the coming months. Check out our documentation here or head to the Profile view within your USM Central instance to test it out today! What’s Next? In an upcoming release, you’ll have the ability to manage labels for connected USM Appliance deployments, too. Next, we’re going to look at adding additional API endpoints for vulnerabilities and configuration issues (only applicable for USM Anywhere to start). After that, we’ll circle back and expand on our role-based access control feature set. As a manager, you’ll have the ability to assign your analysts to specific deployments in your USM Central installation. For example, Analyst A could be assigned to deployments 1 - 3 while Analyst B is assigned to Deployments 4 - 6. Each analyst’s view and permissions would be limited to their assigned deployments. We’re hoping this makes it easier to manage USM Central deployments with a large number of child deployments. Late this year, we’ll begin to bridge the gap towards allowing you to initiate incident investigation and response workflows directly from USM Central. We’ll start with managing vulnerability scans and go deeper from there based on your feedback. Thanks for tuning in. You can give me a shout anytime you want by hitting the “mail” icon and messaging me within your USM Central instance. We’d love to hear any feedback or learn about your business! Cheers, Skylar Talley Senior Product Manager, USM Central & USM Appliance       

Le 2018-08-07

  Black Hat 2018 will be Phenomenal!
The AlienVault team is ready to meet and greet visitors at Black Hat USA 2018, August 8th and 9th at the Mandalay Bay Convention Center in Las Vegas! Black Hat is one of the leading security industry events. The conference features the largest and most comprehensive trainings, educational sessions, networking opportunities and a two-day expo packed with exhibitors showcasing the latest in information security solutions from around the world! Visit us at Booth #528! Visit booth #528 located below the large, green alien head! We will be leading theater presentations twice an hour. Attendees will get a cool AlienVault collectors t-shirt, as well as a chance to win a pair of Apple® AirPods during our daily raffle. Stop by and meet the AlienVault team and learn about the recently announced endpoint detection and response capabilities now part of the USM Anywhere platform! USM Anywhere is the ONLY security solution that automates threat hunting everywhere modern threats appear: endpoints, cloud, and on-premises environments – all from one unified platform. Check out this awesome video by Javvad Malik, Community Evangelist for AlienVault, to learn more here! Attend "From the Defender's Dilemma to the Intruder's Dilemma" Session for a chance to win a Nintendo Switch! Join AlienVault VP of Product Marketing Sanjay Ramnath at a Black Hat speaking session. Sanjay will be speaking on Wednesday, August 8th from 10:20am-11:10am in Oceanside E on 'From the Defender's Dilemma to the Intruder's Dilemma'. We will be handing out raffle tickets before the session begins. Be sure to check out this session for the chance to win a Nintendo Switch! Get Access to the Exclusive Security Leaders Party at Black Hat! AlienVault is co-sponsoring one of the hottest security parties at Black Hat! Join us on Wednesday night from 8:00 - 10:00pm - guests will enjoy music, food, and a full open bar at the best venue at Mandalay Bay, Eyecandy Sound Lounge! This will be the most talked about party of BHUSA 2018! We expect to reach capacity, so don't hesitate to get on the list now! Event Details: Date: Wednesday, August 8th Time: 8:00 - 10:00 PM Location: Eyecandy Sound Lounge, Mandalay Bay We can’t wait to see you all at #BHUSA this week!       

Le 2018-08-06

  Things I Hearted this Week, 3rd Aug 2018
It’s August already. The kids are off on their summer vacations telling me how bored they are every 5 minutes, and the annual security gathering in Las Vegas of Blackhat, Defcon, and BsidesLV is all but upon us. There will be no recap next week because I’ll probably be getting ready to fly home - but normal service should resume the following week. The Red Pill of Resilience in InfoSec Another insightful write up by Kelly Shortridge, which happens to be the full text of her keynote on resilience. It touches on, and expands many concepts to uncover what it really means to be resilient in infosec, and what the industry can do. The Red Pill of Resilience in InfoSec | Medium, Kelly Shortridge VDBIR Data The Verizon Data Breach Report has become the staple go-to report for security professionals wanting to understand the breach landscape. But a once-a-year report is usually too long for most of us to wait to see what’s new. So the good folk have created an interactive portal where you can explore the most common DBIR patterns. VDBIR Portal | Verizon enterprise Reddit Breached Reddit disclosed a breach and say they’re still investigating. It appears that the attacker was able to bypass SMS-based two-factor (two-step) authentication. We had a security incident. Here’s what you need to know | Reddit It’s worth revisiting this blog by Paul Moore on the difference between two-factor and two-step authentication. The difference between two-factor and two-step authentication | Paul Moore Alex Stamos off to Academia Facebook chief security officer Alex Stamos is leaving the social network to work on information warfare at Stanford University. The social network has not named any replacement. Facebook's security boss is offski. Not to worry, it has 'embedded security' in all divisions | The Register CISCO + DUO = DISCO! Cisco has announced it will be acquiring DUO Security for $2.35bn in cash it found lying behind the sofa. Cisco is buying Duo Security for $2.35B in cash | Tech Crunch Farcial Recognition Amazon’s face surveillance technology is the target of growing opposition nationwide, and today, there are 28 more causes for concern. In a test the ACLU recently conducted of the facial recognition tool, called “Rekognition,” the software incorrectly matched 28 members of Congress, identifying them as other people who have been arrested for a crime. Amazon’s Face Recognition Falsely Matched 28 Members of Congress With Mugshots | ACLU Secure Design Part 3 of an ongoing series of articles by Tanya Janca on secure system development lifecycle. Worth reading all parts with fun titbits such as, Threat modelling (affectionately known as ‘evil brainstorming’) Pushing Left, Like a Boss: Part 3— Secure Design | Medium, Tanya Janca Randomness Other stories from broader tech and beyond that I enjoyed reading this week When a stranger decides to destroy your life | Gizmondo Meet the Anarchists Making Their Own Medicine | Motherboard How an Ex-Cop Rigged McDonald’s Monopoly Game and Stole Millions | The daily beast       

Le 2018-08-03

  Un collège-lycée contraint illégalement des enfants à être traçables en permanence
30 juillet 2018 - Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée. Voici le résultat de notre analyse juridique et technique de ce système, concluant à son illégalité. Fonctionnement du porte-clef L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple1 et Qwant2. Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016. Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position »3. Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en ?uvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics »4. Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois. Nous pensons que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d‘environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, NextInpact explique que, « à en croire ses développeurs, cette clef [...] dispose d‘une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l‘extérieur » - la même portée que la puce EMBC01. Enfin, la puce qui apparait sur plusieurs photo du porte-clef New School (ici, en bas, une photo de 2016 tirée de l'article de Qwant en soutien à la start-up) est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation (ici, en haut). Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres. Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s‘assurer de la présence de chacun d‘eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School). Charlemagne/EcoleDirecte Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ». Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge... Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est forcément qu'il est conservé en clair sur le serveur, sans être protégé d'aucune façon contre des attaques... contrairement aux recommandations élémentaires de la CNIL5. Faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School. De fausses affirmations Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s‘active que lorsque l‘enseignant fait l‘appel. Le reste du temps, les porte-clés s?éteignent automatiquement ». Cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois. Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois). Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI. L'affirmation de l'établissement Rocroy semble donc fausse. Les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant. Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, nous viendrons la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de nos locaux. Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n‘utilise pas la géolocalisation, et ne permet donc pas de connaitre la position ou les déplacements des élèves ». Ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes-clefs détectés qui, par définition, seront situés dans une proximité directe. L'affirmation de l'établissement est donc fausse : le porte-clef permettra d'indiquer à New School la position des enfants dès lors qu'ils se trouveront à proximité d'un smartphone utilisant l'application New School. Enfin, dans son communiqué, l'établissement a cru bon de prétendre que « les données personnelles (nom de l?élève, emploi du temps) sont protégées et cryptées, en accord avec la CNIL ». Or, comme on l'a vu, le système Charlemagne/EcoleDirecte sur lequel repose New School ne satisfait aucune des recommandations de la CNIL élémentaires en matière de sécurité. Ainsi, contactée par Le Point sur cette affaire, la CNIL a déclaré mardi dernier « ne pas avoir eu d'échange avec le lycée Rocroy sur le dispositif ». Un système illégal Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale. De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons. D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ». Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL (au sujet du caractère libre du consentement, voir l'analyse détaillée développée dans nos plaintes collectives contre les GAFAM). S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant. Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018). Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment. Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait. Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer : son identité et ses coordonnées ; les finalités poursuivies ; l?étendue des droits de la personne concernée ; si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ; la condition de licéité remplie par le traitement ? en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retiré le consentement donné ; la durée de conservation des données ; l'existence d'un transfert de données en dehors de l‘Union, en précisant les garanties encadrant ce transfert ; l‘existence d'une prise de décision automatisé. Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s‘assurer de la présence de chacun d‘eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives. Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait. Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte. Et maintenant ? Nous invitons les élèves et parents d'élèves de l'établissement Rocroy à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée. De façon plus générale, nous appelons la CNIL à enquêter sur la start-up New School avant que celle-ci ne démarche d'autres établissements. La situation est des plus inquiétante puisque, dès 2016, d'après Le Figaro Madame, « le cabinet de Valérie Pécresse lui fait savoir qu'ils aimeraient utiliser l'application pour toute la région Île-de-France ». Politiquement, le cas de New School révèle un mouvement plus profond et plus grave : les puces choisies par New School ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu'un humain muni d'un smartphone puisse se repérer parmi ces objets. Cette situation s'inverse ici : la puce n'est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l'espace mais, immobile au poste du surveillant, à définir l'espace dans lequel les humains peuvent évoluer. L'humain ne se déplace plus parmi les choses : il est une chose comprise par d'autres. 1. En janvier dernier, La Tribune explique, au sujet de la créatrice de New School, après que celle-ci a remporté un prix pour jeune startupeux : Quelques mois plus tard, Apple entre en contact avec elle et lui demande de pitcher deux jours plus tard dans ses bureaux londoniens. « J'étais déjà sur place, à croire qu'ils m'avaient tracée... » Dans le développement de NewSchool, la marque à la pomme a joué un rôle important, notamment dans la conception de l'application mais aussi dans la commercialisation : « Le marché de l'éducation en France est assez impénétrable, nous avons échangé beaucoup d'informations ». [...] Le coaching by Apple est toujours d'actualité. La jeune entrepreneure participe à de nombreux événements et voit régulièrement des développeurs, français et anglais, pour avancer sur l'application. Elle a même eu le privilège de rencontrer Tim Cook, en février dernier. Au tout début, il était question de faire de NewSchool une application préintégrée sur les appareils vendus aux établissements scolaires, mais « à l'époque nous n'étions pas assez développés, ni commercialement ni au niveau des fonctionnalités. Il nous faut encore grandir pour espérer un jour avoir une application commune », explique-t-elle. Et le travail en famille est toujours valable. « Ma mère est directrice commerciale, elle travaille beaucoup. Nous avons fait le salon de l'éducation la semaine dernière, c'est elle qui a tout géré », s'enthousiasme la jeune femme. 2. Qwant semble avoir dé-publié son article en soutien à New School, mais nous en avions fait une copie. 3. Notre traduction de « Ubudu is a next-generation RTLS solution, which tracks, analyses and detects assets and people in industrial or service sites: airports, factories, hospitals, retail, sport & leisure venues, etc. Ubudu simply works with small tags or smartphones exchanging radio-signals with fixed sensors, and a location server that computes and processes the position. » 4. Notre traduction de « Use BLE Tags if you have many assets to track and do not need accuracy below 1-2m. (...) Examples of realizations include McDonald‘s table service solution and New School student tokens (include pictures). You can also go with standard iBeacon devices, for which we recommend those of high quality, such as EM Microelectronics ». 5. De bon sens, la CNIL exige que « le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique » et que « le mot de passe ne doit jamais être stocké en clair ».

Le 2018-07-30

  Conservation généralisée de données : débat transmis au niveau européen !
26 juillet 2018 - Après trois ans de procédure, le Conseil d'État vient (enfin !) d'accepter de saisir la Cour de Justice de l'Union européenne, tel que nous le demandions. Le régime français de conservation généralisée des données de connexion imposé aux opérateurs téléphoniques et Internet ainsi qu'aux hébergeurs est-il conforme au droit de l'Union européenne ? La décision d'aujourd'hui est une avancée importante dans le combat juridictionnel porté par La Quadrature du Net, la Fédération FDN et FDN contre la surveillance de masse. Il faut toutefois dénoncer le délai démesuré pris par le Conseil d'État pour franchir cette étape. Le Conseil d'État est resté muet durant plusieurs années, retenant sa justice malgré plusieurs relances de notre part. Il ne s'est prononcé qu'au moment où le Gouvernement français, embourbé dans des débats politiques autour du règlement ePrivacy, a trouvé opportun de s'aligner sur nos propres demandes - saisir la Cour de justice de l'Union. Revoir notre récit des procédures ayant conduit à la décision d'aujourd'hui. Cet alignement du calendrier de la Justice sur le calendrier stratégique du gouvernement remettrait en cause l'idéal d'indépendance qui doit animer la Justice. Heureusement, le débat se poursuit aujourd'hui devant une juridiction européenne qui, à plusieurs reprises ces dernières années, a su garder ses distances avec les volontés autoritaires des gouvernements occidentaux. La CJUE s'est opposée à la directive de 2006 qui prévoyait une conservation généralisée des données de connexion, dans son arrêt Digital Rights Ireland. Elle a aussi invalidé le Safe Harbor au regard du régime de surveillance des États Unis, dans son arrêt Schrems. Dernièrement, elle s'est opposée aux régimes de conservation généralisée suédois et britannique, dans son arrêt Tele2. Le gouvernement français espère pouvoir faire changer d'avis la Cour de justice de l'Union européenne. Ne prenons pas l'ambition du gouvernement à la légère : le combat qui s'ouvre déterminera le cadre de la surveillance européenne. Le gouvernement ne chômera pas pour défendre l'idéal d'un monde dans lequel chacun serait suspect. Nous ne chômerons pas nous plus pour défendre notre autre monde. Les questions La première question transmise par le Conseil d'État est la suivante : « L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne ? » Par là, le Conseil demande si, alors que le Cour de justice a déjà reconnu la conservation généralisée injustifiée pour lutter contre les infractions (dans sa décision Tele2), cette conservation peut être justifiée pour protéger la sécurité nationale. Pour rappel : en droit européen, la lutte contre le terrorisme n'est pas de l'ordre de la protection de la sécurité nationale - qui, selon la CNCIS, ne fondait en 2015 que 12% des interceptions réalisées par les services de renseignement. Le Conseil d'État demande donc si, pour 12% des besoins des services de renseignement (en matière militaire et de contre-espionnage, on imagine), il peut être porté atteinte à la vie privée de toute la population, considérée comme suspecte par défaut. Une telle question nous semble disproportionnée par elle-même, mais elle ouvre un débat plus large dont il faudra se saisir devant la Cour de justice. Par ailleurs, le Conseil d'État a transmis une ou plusieurs autres questions, dont nous n'avons pas encore connaissance : nous mettrons cet article à jour au fur et à mesure.

Le 2018-07-26

  La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique
23 juillet 2018 - Nous republions ici le communiqué publié ce matin par la Fédération FDN, qui promeut l'accès aux offres activées sur les réseaux fibre optique. L'accès « activé » à un réseau fibré consiste, pour un opérateur télécoms, à louer des fibres optiques déjà « activées » par un autre opérateur, qui gère et entretient les équipements de distribution du réseau. Pour un petit opérateur, ce type d'accès activé est le seul moyen de fournir à ses abonnés un accès fibré à Internet dans les zones géographiques où il ne peut pas déployer d'équipements. En effet, un opérateur de petite taille a généralement des abonnés dispersés sur tout le territoire : il n'est pas économiquement viable de déployer ses propres équipements dans chaque zone géographique pour seulement quelques abonnés localement. Ce communiqué intervient dans le cadre du projet de loi portant « évolution du logement, de l'aménagement et du numérique » (loi ELAN), actuellement en débat au Sénat, jusqu'à demain : La Fédération FDN soutient l'amendement Chaize qui encourage les offres activées sur les réseaux fibre optique La Fédération FDN soutient l'amendement à la loi Elan porté par M. Patrick Chaize, président de l'AVICCA et vice-président de la commission Aménagement du Territoire et Developpement Durable du Sénat. Cet amendement ouvre, sur tout le territoire national, le droit d'accéder à une offre activée raisonnable et non discriminatoire, et constitue à ce titre une belle opportunité de progression vers un marché des télécoms plus ouvert et plus innovant. En effet, ces offres activées garantissent une concurrence saine sur le marché des télécoms en permettant à de petits acteurs, tels que les FAI de la Fédération FDN, d'y exister de manière durable en accédant à la boucle locale fibre optique. Les petits opérateurs sont nécessaires à l'équilibre du marché des télécoms : ils peuvent faire émerger des offres de services différenciées, répondant aux besoins spécifiques des utilisateurs finals1. Ils entretiennent ainsi la vitalité du marché, qui menace toujours de se refermer sur quelques gros acteurs. Les membres de la Fédération FDN, capables de s'adapter aux particularités de chaque territoire et aux demandes de leurs adhérents, sont également des acteurs indispensables d'un accès au numérique inclusif, où les zones les moins rentables et les besoins les plus spécifiques ne sont pas oubliés. « L'émergence d'une offre activée pertinente sur tout le territoire est la garantie de la pérénnité de notre travail », ajoute Oriane Piquer-Louis, présidente de la Fédération FDN. Il ne s'agit pas de remettre en cause l'équilibre du marché, ni de pénaliser les acteurs qui ont pris le risque financier d'investir. L'intérêt des offres activées est de garantir les conditions d'un marché capable de répondre aux demandes de chacun, et ouvert vers l'innovation. Nous appelons donc au maintien de l'article 64ter porté par M. Patrick Chaize dans la loi Elan, et au rejet de l'amendement de suppression porté par le gouvernement. À propos de la Fédération FDN La fédération FDN regroupe des Fournisseurs d'Accès à Internet associatifs se reconnaissant dans des valeurs communes : bénévolat, solidarité, fonctionnement démocratique et à but non lucratif; défense et promotion de la neutralité du Net. A ce titre, la fédération FDN se donne comme mission de porter la voix de ses membres dans les débats concernant la liberté d'expression et la neutralité du Net. Elle fournit à ses membres les outils pour se développer et répondre aux problèmes rencontrés dans le cadre de l'activité de fournisseur d'accès à Internet. 1. L'emploi du pluriel régulier «&nbps;finals&nbps;» au lieu du pluriel habituel «&nbps;finaux&nbps;» est l'usage courant en matière de télécoms.

Le 2018-07-23

  Teemo, Fidzup : la CNIL interdit la géolocalisation sauvage - l'UE pense à la légaliser
20 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy. Teemo Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL. Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté. Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up. Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac. Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci. Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant. Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu. Fidzup Le cas de Fidzup est plus complexe. La start-up, plus petite (24 salariés, 500 000? de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne. Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi. Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup. Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi. Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas. On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis. Hélas, la situation est plus inquiétante. ePrivacy La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne. Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte. Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup). Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation. D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles). Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

Le 2018-07-20

  Tor est pour tout le monde
Tribune de Lunar, membre de La Quadrature du Net Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites ?dark? de type ventes d‘armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d‘arguments, au point que je me demande si l‘article va finalement sortir. » À notre connaissance l‘article n‘est finalement jamais sorti. Ce manque d?« arguments » nous semble provenir d‘une erreur fondamentale de compréhension : l‘usage de Tor (ou des sites .onion) n‘est pas différent de l‘usage du web et d‘Internet en général. Si Internet est pour tout le monde, Tor l‘est tout autant. Sur Internet, on lit la presse. Pourtant, l‘expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d‘un quotidien sur le comptoir d‘un café n‘informe pas l?équipe du journal qu‘elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles? Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «? Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants. Alors soyons clair : qu‘il soit en papier ou en ligne, quand on lit un journal, on ne s‘attend pas à ce qu‘il nous lise en retour? Lorsqu‘on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d‘information contre notre gré. On retrouve un Internet conforme à nos attentes. Voir Tor principalement comme un outil pour l‘anonymat ou le contournement de la censure, c‘est penser son usage comme nécessairement marginal. Alors qu‘au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement. Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l?étendue des données que fuitent les outils qu‘elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l‘intention. Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre. Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L‘association démarre aujourd‘hui une nouvelle campagne de financement afin de récolter les 12?000?? nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels. Fichier attachéTaille twitter-instream-campagne-2018_nosoignons.png192.88 Ko

Le 2018-07-18