Rechercher dans les flux d'actualités

Filtrer par auteur :
Rechercher un terme :

  People and Passwords
In today's world, the Internet is a vast place filled with websites, services, and other content. Most content along with computers and other technology requires a password. The number of passwords a person has to know continues to grow. While it’s safe to say we use passwords to keep our accounts confidential, they can also be very frustrating and inconvenient to create and remember. The outcome is the use of simple, common passwords, same password on different accounts, and habits such as writing passwords. Weak passwords are common For example, reports from,, and show, that in 2017, passwords like 123456 and football were two of the top ten most used passwords. Why are such passwords still being used? They are easy to remember.  People will often add weak passwords into simple variations where the alpha and number (numeric) strings combined with special characters. For instance, Football and 123456 become Football123456!, a memorable yet easily guessed password.  Current practices require complex passwords   Various companies have released their own best practices. Symantec’s how-to article, for instance, states a secure password is at least eight characters in length, has an uppercase, lowercase, and a number. Take [Football] for example. You can replace the “o” for a “0” and “a” for “@” resulting in F00tb@ll. Here, the updated password meets most policies enforced by many web applications such as Google and Outlook. It has an uppercase (F), a lowercase (tball), a number (00), a special character (@), and meets a minimum length of eight characters. Microsoft, however, takes this a step further in some of their guidelines. They state it must not be in the dictionary or incorporate the name of a person or computer. Guidelines such as those in place, demand a complex password. For example, W#T24.ro5*&F is complex yet painful to memorize.  There is a problem with difficult passwords People, out of convenience and frustration, will try to circumvent the password policies mentioned. This becomes more prevalent as the policies get stricter. It is hard enough to remember a password like W#T24.ro5*&F. By the time you’ve memorized it, the time has come to change it and you can’t repeat the last 8 passwords. So what do people do? They add or change one or two characters (i.e. W#T24.ro5*&F turns into W#T24.ro5*&F1 or W#T24.ro5*&F123 and F00tb@ll turns into F00tb@ll123 or F00tb@ll321).  While password expiration policies are arguably a best practice, they are not common outside an enterprise environment. Many websites, such as banks, do not require you to change your password regularly and those that do, might not have a decent policy on repeating passwords. This leads to the same or similar passwords used across accounts. The same password for different accounts is dangerous Research by LastPass states 59% of people use the same password and 47% apply the same even for work. Notably, the reuse of passwords stems from frustration and convenience. Sure, it's easier to remember one password for everything or variations of the base password, but not advised. To clarify, if an account gets compromised, it puts your other accounts at risk.  Using Passphrases is better  We have a hard time remembering many passwords and more so when they have to change often. Similar to starting a different job and learning coworkers' names. Then you find out 60 days later that everybody is being replaced and you now need to remember a different collection of names. It's difficult. For starters, use a passphrase that includes numbers. A passphrase is a password in usage but is longer for added security. For example, 2Cats3DogsRunFar is an easy to remember passphrase. It is a 16-character alpha-numerical password. Why add a number, aren't four or five words enough? No, because modern toolkits can crack a passphrase with four to five words. Adding a number (not just at the beginning or end), or even a space will strengthen the password while keeping it easy to memorize. NIST 800-63-3 supports the use of passphrases. Encourages users to make memorized secrets as lengthy as they want, using any characters they like (including spaces), thus aiding memorization. What about password managers? At the same time, we cannot use this passphrase for other accounts. Instead, use a password manager which will accommodate for having a different password for each account. A password manager is a tool or service that will store your passwords for later use. An example of a common password manager is your browser. I will point out it is not recommended to use your browser's password manager. Some password managers offer free or inexpensive versions. LastPass and RoboForms to name a couple; EverKey, Keeper, and DashLane are pay-to-use. Be responsible with your passwords All things considered, having the best passwords does not mean you are 100% immune. Password hashes are stored and anything stored can be stolen. Strong passphrases make it more difficult for a malicious actor. You can use password managers to store passwords but this itself can be risky. For example, browser password managers do not require multi-factor authentication. Remember not use words or dates that can be guessed via social engineering. If a website such as a bank, offers mutli-factor authentication then enable it. Overall, passwords can be a nuisance but dealing with compromised accounts can be much worse.        

Le 2018-09-17

  Things I Hearted this Week, 14th September 2018
With everything that keeps going on in the world of security, and the world at large, most eyes were focused on Tim Cook as he and his merry men took to the stage and announce the latest and greatest in Apple technology. There didn’t seem to be anything totally mind-blowing on the phone end. Just looked to be more bigger, faster, and powerful versions of the iPhones at eye-watering prices. The Apple watch now has a built-in FDA-approved ECG heart monitor. Which is pretty cool as an early-warning system that a stroke is imminent - I assume to allow you to take some smart HDR selfies, apply the correct filters, and post to Instagram before you collapse. But enough about that, let’s get down to business. British Airways Breached BA suffered a rather large breach which included payment information (including CVV) and personal details. While the investigation is ongoing, some security experts believe the breach was caused due to malicious code being injected into one of the external scripts in its payment systems. British Airways hack: Infosec experts finger third-party scripts on payment pages | The Register As an affected customer, I accept that companies get breached. But the advice seemed pretty poor. British Airways breached | J4vv4D Boards need to get more technical - NCSC The government is calling on business leaders to take responsibility for their organisations’ cyber security, as the threat from nation state hackers and cyber criminal gangs continues to rise. Ciaran Martin, head of NCSC believes that cybersecurity is a mainstream business risk and that corporate leaders need to understand what threats are out there, and what are the most effective ways of managing the risks. They need to understand cyber risk in the same way they understand financial risk, or health and safety risk. NCSC issues new advice for business leaders as Ciaran Martin admits previous guidance was “unhelpful” | New Statesman Hunting in O365 logs Cloud is great, but sometimes making sense of the logs can be a pain. If you’re struggling with O365 logs, then this document could be really useful. Detailed properties in the Office 365 audit log | Microsoft GCHQ data collection violated human rights, Strasbourg court rules GCHQ’s methods in carrying out bulk interception of online communications violated privacy and failed to provide sufficient surveillance safeguards, the European court of human rights has ruled in a test case judgment. But the Strasbourg court found that GCHQ’s regime for sharing sensitive digital intelligence with foreign governments was not illegal. It is the first major challenge to the legality of UK intelligence agencies intercepting private communications in bulk, following Edward Snowden’s whistleblowing revelations. GCHQ data collection violated human rights, Strasbourg court rules | The Guardian A Mega hack! Cloud storage service has announced that users that installed their Chrome browser extension may have had their passwords compromised. A malicious version of the browser extension was uploaded to the Chrome web store to gain access to user’s logins to Amazon, Microsoft, Github, and Google. MEGA Chrome Extension Hacked To Steal Login Credentials and CryptoCurrency | Bleeping computer The Effectiveness of Publicly Shaming Bad Security Is publicly shaming a company a good idea? Personally, I’ve tended to steer away from it - I don’t feel like it’s a very constructive approach. But when there’s data to prove otherwise (albeit we aren’t talking in the scientific sense), then one may need to reconsider. There are ample examples of companies that have fixed their security issues after being publicly shamed - as my favourite blogger from down under, Troy Hunt shares in his blog post. These are all good examples, but it’s not too far away from digital pitchforks and mobs going after institutes over a simple misunderstanding. The Effectiveness of Publicly Shaming Bad Security | Troy Hunt On the topic of shaming, I would recommend the book, “So, you’ve been publicly shamed” by Jon Ronson. FDA to Ramp Up Medical Device Cybersecurity Scrutiny The Food and Drug Administration should increase its scrutiny of the cybersecurity of networked medical devices before they're approved to be marketed, a new government watchdog agency report says. FDA says it will carry out the report's recommendations. The Department of Health and Human Services' Office of Inspector General's report recommends that FDA better integrate the review of cybersecurity in the agency's processes for premarket assessments of medical devices. About time! FDA to Ramp Up Medical Device Cybersecurity Scrutiny | Data Breach Today Hacking Tesla’s keyless entry With about $600 worth of equipment, it is possible to wirelessly read signals from a nearby Tesla owner’s fob. Less than two seconds of computation yields the fob’s cryptographic key, allowing the theft of the associated car without a trace. Hackers can steal a Tesla Model S in seconds by cloning its key fob | Wired Researchers Show Off Method for Hacking Tesla’s Keyless Entry, So Turn on Two-Factor Authentication | Gizmondo       

Le 2018-09-14

  Explain Cryptojacking to Me
Last year, I wrote that ransomware was the summer anthem of 2017. At the time, it seemed impossible that the onslaught of global ransomware attacks like WannaCry and NotPetya would ever wane. But, I should have known better. Every summertime anthem eventually gets overplayed. This year, cryptojacking took over the airwaves, fueled by volatile global cryptocurrency markets. In the first half of 2018, detected cryptojacking attacks increased 141%, outpacing ransomware attacks. In this blog post, I’ll address cryptojacking: what it is, how it works, how to detect it, and why you should be tuning into this type of threat. What is Cryptojacking? Crytojacking definition: Cryptojacking is the act of using another’s computational resources without their knowledge or permission for cryptomining activities. By cryptojacking mobile devices, laptops, and servers, attackers effectively steal the CPU of your device to mine for cryptocurrencies like Bitcoin and Monero. Whereas traditional malware attacks target sensitive data that can be exploited for financial gain, like social security numbers and credit card information, cybercriminals that launch cryptojacking campaigns are more interested in your device’s computing power than your own personal data. To understand why, it’s helpful to consider the economics of cryptocurrency mining. Mining for cryptocurrencies like Bitcoin and Monero takes some serious computing resources to solve the complex algorithms used to discover new coins. These resources are not cheap, as anyone who pays their organization’s AWS bill or data center utility bill can attest to. So, in order for cryptocurrency mining to be profitable and worthwhile, the market value of the cryptocurrency must be higher than the cost of mining it – that is, unless you can eliminate the resource costs altogether by stealing others’ resources to do the mining for you. That’s exactly what cryptojacking attacks aim to do, to silently turn millions of devices into cryptomining bots, enabling cybercriminals to turn a profit without all the effort and uncertainty of collecting a ransom. Often, cryptojacking attacks are designed to evade detection by traditional antivirus tools so that they can quietly run in the background of the machine. Does this mean that all cryptomining activity is malicious? Well, it depends on who you ask. Cryptomining vs. Cryptojacking As the cryptocurrency markets have gained value and become more mainstream in recent years, we’ve seen a digital gold rush to cryptomine for new Bitcoin, and more recently, Monero. What began with early adopters and hobbyists building home rigs to mine for new coins has now given way to an entire economy of mining as a service, cryptoming server farms, and even cryptomining cafes. In this sense, cryptomining is, more or less, considered a legal and legitimate activity, one that could be further legitimized by a rumored $12 Billion Bitman IPO. Yet, the lines between cryptomining and cryptojacking are blurry. For example, the cryptomining “startup” Coinhive has positioned its technology as an alternative way to monetize a website, instead of by serving ads or charging a subscription. According to the website, the folks behind Coinhive, “dream about it as an alternative to micropayments, artificial wait time in online games, intrusive ads and dubious marketing tactics.” Yet at the same time, Coinhive has been one of the most common culprits found in cryptojacking attacks this year. In fact, one recent report analyzed cryptojacking sites and found that nearly 50,000 websites were running cryptocurrency malware, Coinhive among them. Recent Coinhive victims include the Los Angeles Times,, and both AOL and Google’s Ad Networks. Further blurring the lines, Coinhive has been heavily criticized for its handling of (or lack thereof) abuse complaints. As a result of the dramatic rise in cryptojacking attacks this year, many in the infosec community have come to consider all cryptominers as malware. And, browser developers have started to introduce browser extensions to block cryptomining activities, such as No Coin. This “trust-no-miner” sentiment is strong in the infosec community. According to our own AlienVault research, only 8% of cybersecurity professionals would consent to their computer being used for cryptomining in exchange for accessing content on a website, although slightly larger group of altruists (38%) would consent if that cryptomining activity benefited a charity. So, while legitimate cryptomining activities will likely continue to grow as the cryptocurrency markets evolve with investments in large-scale operations, it’s unlikely that cryptomining as a form of micropayment will gain mass adoption any time soon. Cryptojacking – What’s at Stake? While a cryptojacking attack might not be as acutely devastating as a ransomware attack, it can cause serious damage to your business. Here’s a list of possible impact a cryptojacking attack can have: A slow-loading website: When an attacker exploits a website vulnerability by injecting a cryptomining tool like Coinhive, it can slow down page load time, driving away your visitors, users, or shoppers. Some attacks intentionally add a delay so that they can use more resources while the user waits for the page to load, as seen in the attack against Starbucks’ WiFi network in Buenos Aires cafes. High resource costs: If cryptominers persist in your infrastructure, you might unknowingly be footing a higher data center utility bill or cloud services provider bill. Think of it like this: If ransomware were grand theft auto, cryptojacking would be more akin to someone siphoning the gas from your tank little by little. You might not notice it right away, but your more frequent stops at the gas pump would eventually add up. That’s not all. Running CPU and GPU higher for a longer time can accelerate the wear and tear on your hardware, shortening its lifecycle and increasing your hardware costs. Data loss: No one wants to wake up to an egregious bill from your cloud services provider because an attacker spun up infinite resources overnight for cryptomining. While many security and IT teams have put in place auto-scaling limits to safeguard against this, some cryptojacking attacks are designed to start deleting existing cloud services when that limit is met. Security breach: Attackers are becoming increasingly efficient in their maldoings by packaging multiple attack modules and payloads into a single campaign. A malware campaign might drop a cryptominer packaged alongside a keylogger, backdoor, and other tools and techniques. If you detect cryptomining activities in your environment, don’t assume that the attackers’ intentions are single threaded. Opportunist attackers seeking financial gain will try to maximize their profits, whether by stealing your resources, your data, or both, if you let them. Explain How Cryptojacking Attacks Work Cryptojacking attacks take on multiple forms in the wild, often packaged with other modern attack modules found in various malware and ransomware attacks. Here are three common ways we see cryptojacking attacks unfold in the wild: Browser-based Cryptojacking Attacks In this common type of cryptojacking attack, an attacker injects a cryptominer into a compromised website, ad platform, or browser extension, often by exploiting cross-site scripting (XSS) vulnerabilities. This enables the cryptominer to use a device’s resources whenever the user browses the website, plays an ad, or installs the malicious browser extension. However, some attacks have been known to persist by launching a separate “pop under” window that hides behind the taskbar clock and continues to mine after the user exits the website. Because this type of cryptojacking attack doesn’t download or install any payload to the device, not every antivirus solution is able to protect against it. So, it’s important to ask your vendor specifically how it detects and blocks browser-based cryptomining activity. Using ad blockers, pop-up blockers, or even disabling JavaScript can add extra layers of cryptojacking protection. When it comes to your own website, know your vulnerabilities and patch, patch, patch. Vulnerabilities like Drupal CVE-2018-7600 and more recently, CVE-2018-7602 are common exploits for cryptojacking attacks. Cryptojacking the Public Cloud Public cloud environments provide near-infinite computing resources for an attacker bent on cryptomining. Once an attacker has infiltrated your public cloud environment, they can silently siphon your resources and perhaps delete or flood logs to cover their tracks. Or, more aggressively and with sufficient privileges, the attacker may spin up resources rapidly and programatically while deleting other user accounts in an attempt to lock you out of your account to disrupt the cryptojacking. Modern attacks against cloud infrastructure use bots to look for easy targets like unsecure servers or account credentials shared in Github. Practicing good cloud security hygiene across your organization is the best first defense to avoid becoming an easy target and an unfortunate headline. Here are a few good resources on cloud security best practices: 11 Simple Yet Important Tips to Secure AWS AlienVault Best Practices for AWS Security AWS Security Best Practices (Amazon) Introduction to Azure Security (Microsoft) Advanced Fileless Malware Attacks Fileless malware attacks are on the rise this year, and many of the campaigns we’ve observed in the wild include a cryptominer payload. Fileless attacks take advantage of PowerShell, Windows Management Instrumentation (WMI), and other common IT admin tools in order to evade detection by traditional antivirus and signature-based detection tools. For example, the AlienVault Labs Security Research Team recently analyzed MassMiner, noting that it uses PowerShell to download the cryptominer onto infected hosts. As I mentioned above, advanced fileless attacks are increasingly packaged with multiple tools, modules, and payloads into a single campaign. Detecting modern fileless attacks requires advanced threat hunting capabilities that go well beyond perimeter and endpoint protection tools. You must be able to identify new and evolving tools, tactics, and procedures (TTPs) that attackers employ for exploitation, installation, lateral movement, persistence, and exfiltration. Unless you have dedicated resources to research the latest TTPs found in the wild, hunt for threats, and analyze all the security data from across your environment, it can be a challenge to stay at pace with these types of emerging attacks. How AlienVault USM Anywhere Detects Cryptojacking As you can see, there’s no single way that a cryptojacking attack unfolds in the wild. These types of attacks evolve quickly and target critical infrastructure across cloud and on-premises environments. Fortunately, USM Anywhere delivers the capabilities needed to detect and respond quickly to the latest cryptojacking attacks. In order to detect and defend against cryptojacking attacks, it’s crucial to have visibility of your entire IT environment. USM Anywhere detects modern threats anywhere they appear across your public cloud infrastructure (AWS, Azure); SaaS / cloud apps (Office 365, Oka, G Suite); physical and virtualized on-premises; endpoints (Windows, Linux) on and off the network; even the dark web. To keep you at pace with the latest cryptojacking attacks without draining your security resources, USM Anywhere automates security monitoring and threat hunting activities. For example, to detect cryptojacking attacks against your AWS cloud infrastructure, USM Anywhere detects and correlates events like: AWS temporary security credentials with long duration New user starting a high number of instances New user account deleting multiple users Multiple instances being started or shut down programmatically CloudTrail trails deleted On endpoints and across your network, USM Anywhere detects and correlates indicators of a cryptojacking attack, including anomalous or suspicious behaviors by normal processes and services. Examples include: RDP (remote desktop protocol) Session Hijack using tscon.exe Reverse PowerShell use A SSH process created a tunnel between two hosts Suspicious command executed by a listening process (JBoss, ElasticSearch, Jenkins) Windows User Account Control (UAC) Bypass activity detected A Docker container recently launched is involved in cryptomining activities. Installation of Malicious Chrome Extension This list of TTPs is continuously and automatically updated in USM Anywhere through the threat intelligence service from the AlienVault Labs Security Research Team. This team uses machine learning capabilities, human intelligence, and the 20 million IOCs shared daily in the Open Threat Exchange (OTX) to identify emerging and evolving TTPs, which they curate and write into actionable correlation rules, endpoint queries, and more. As a result, you get alerts on real high-priority threats as well as response guidance and integrated incident response capabilities – all from a single cloud platform. There’s much more to discover about USM Anywhere. Start your free 14-day trial to test drive USM Anywhere and see for yourself the powerful threat detection and incident response capabilities built into the unified platform.       

Le 2018-09-11

  VLAN Hopping and Mitigation
We’ll start with a few concepts: VLAN A VLAN is used to share the physical network while creating virtual segmentations to divide specific groups. For example, a host on VLAN 1 is separated from any host on VLAN 2. Any packets sent between VLANs must go through a router or other layer 3 devices. Security is one of the many reasons network administrators configure VLANs. However, with an exploit known as 'VLAN Hopping', an attacker is able to bypass these security implementations. Learn more about network segmentation and VLANs here. VLAN Hopping This type of exploit allows an attacker to bypass any layer 2 restrictions built to divide hosts. With proper switch port configuration, an attacker would have to go through a router and any other layer 3 devices to access their target. However, many networks either have poor VLAN implementation or have misconfigurations which will allow for attackers to perform said exploit. In this article, I will go through the two primary methods of VLAN hopping, known as 'switched spoofing', and 'double tagging'. I will then discuss mitigation techniques. Switched Network It is crucial we understand how switches operate if we would like to find and exploit their vulnerabilities. We are not necessarily exploiting the device itself, but rather the protocols and configurations instructing how they operate. On a switch, a port is either configured as an access port or a trunking port. An access port is typically used when connecting a host to a switch. With the implementation of VLANs, each access port is assigned to only one VLAN. A trunking port is used when connecting two switches or a switch and a router together. Trunking ports allow for traffic from multiple VLANs. A trunk port can be configured manually or created dynamically using Dynamic Trunking Protocol (DTP). DTP is a Cisco proprietary protocol where one use is to dynamically establish a trunk link between two switches. Switched Spoofing VLAN Attack An attacker acts as a switch in order to trick a legitimate switch into creating a trunking link between them. As mentioned before, packets from any VLAN are allowed to pass through a trunking link. Once the trunk link is established, the attacker then has access to traffic from any VLAN. This exploit is only successful when the legitimate switch is configured to negotiate a trunk. This occurs when an interface is configured with either "dynamic desirable", "dynamic auto" or "trunk" mode. If the target switch has one of those modes configured, the attacker then can generate a DTP message from their computer and a trunk link can be formed. Double Tagging Double tagging occurs when an attacker adds and modifies tags on an Ethernet frame to allow the sending of packets through any VLAN. This attack takes advantage of how many switches process tags. Most switches will only remove the outer tag and forward the frame to all native VLAN ports. With that said, this exploit is only successful if the attacker belongs to the native VLAN of the trunk link. Another important point is, this attack is strictly one way as it is impossible to encapsulate the return packet. VLAN Hopping Exploit Scenario 1 - Switch Spoofing Attack In this scenario there exists the attacker, a switch, and the target server. The attacker is attached to the switch on interface FastEthernet 0/12 and the target server is attached to the switch on interface FastEthernet 0/11 and is a part of VLAN 2. Take a look at the following topology. Once you are familiar with the topology, take a look at a few of the configurations set for the switch: interface FastEthernet0/11 switchport mode access switchport mode nonegotiate switchport access vlan 2 ! interface FastEthernet0/12 switchport mode dynamic auto Hopefully, you can see the configuration issue with interface fa0/12. This port is set to accept incoming negotiations to determine whether the port is for access or trunking. Which means an attacker is able to perform a Switch Spooking attack. Once the attacker connects to the port they can then send a DTP message and a trunking link will be established. An attacker can use the program Yersinia to craft and send a DTP message. Yersinia is a penetration testing framework built to attack many protocols that reside on layer 2. It comes pre-installed with kali Linux and has an easy to use graphical user interface (GUI). Yersinia Homepage - To launch Yersinia:      yersinia -G Here is a quick look at the GUI:  Now to send a DTP message is as simple as the following 4 steps:   click "Launch attack" click the tab "DTP" click "enable trunking" click "ok" Yersinia will the send out a DTP message and within a few seconds, a trunking link will be established. In our scenario, the attacker will then have access to all traffic flowing through VLAN 2 and can directly attack without going through any layer 3 devices. Scenario 2 - Double Tagging Attack In this scenario, there exists an attacker, 2 switches, and a target server. The attacker is attached to switch 1. Switch 1 is attached to switch 2 and finally, our target is attached to switch 2. Take a look at the following topology. Once you are familiar with the topology, take a look at a few of the configurations set for switch 1. interface FastEthernet0/12  switchport mode access  switchport nonegotiate  switchport access vlan 1 ! interface FastEthernet0/11  switchport trunk encapsulation dot1q  switchport mode trunk  switchport nonegotiate  switchport trunk native vlan 1 From these configurations, we see that an attacker would be unable to perform a switch spoofing attack. However, we see that the attacker belongs to the native VLAN of the trunk port. Which means this topology is vulnerable to a Double Tagging attack. An attacker can use the program Scapy, to create the specially crafted frames needed for processing this attack. Scapy is a Python program created to manipulate packets. Scapy Homepage - Scapy Documentation - Start Scapy:       sudo ./scapy Using the sendp() function to craft a packet: >>>sendp(Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=2)/IP(dst='<destination IP', src='<source IP>')/ICMP()) This will generate a double 802.1q encapsulated packet for the target on VLAN 2. Take a look at the following topology to view how the switches manage this frame. From the picture, we can see that switch 1 reads and removes only the outside tag. It checks that the host is part of the stated VLAN and forwards the packet to all native VLAN ports (VLAN 1). Switch 2 then receives the packet with only one header left. It assumes the frame belongs to the stated VLAN on this tag (VLAN 2) and forwards to all ports configured for VLAN 2. The target then receives the packet sent by the attacker. VLAN = HOPPED. Due to the nature of this attack, it is strictly one way. Please also note that this attack may not work on new switches as documented here.  Mitigation for VLAN Hopping Switched Spoofing To prevent a Switched Spoofing attack, there are a few steps you should take:   Do not configure any access points with either of the following modes: "dynamic desirable", "dynamic auto", or "trunk". Manually configure access ports and disable DTP on all access ports. switchport mode access switchport mode nonegotiate Manually configure all trunk ports and disable DTP on all trunk ports. switchport mode trunk switchport mode nonegotiate Shutdown all interfaces that are not currently in use. Double Tagging To prevent a Double Tagging attack, keep the native VLAN of all trunk ports different from user VLANs. Final Note Switches were not built for security. However, it is important to utilize security measures at every level. If you are to take the time to segment your network, make sure it is done properly and securely. Be diligent when configuring your network.       

Le 2018-09-10

  Things I Hearted this Week, 7th Sept 2018
Welcome to another week of security goodness. I think we’re in that weird part of the year where most summer holidays are coming to a close, so people are opening their inboxes - saying NOPE - and shutting them back down again. Or maybe that’s just me. Although I am glad that the kids are finally back to school. But for those of you who may be struggling, here’s a handy article on how to minimise stress before, during, and after your vacation. Hot Hot Security The Scoville Scale is a measurement chart used to rate the heat of peppers or other spicy foods. It can also can have a useful application for measuring cybersecurity threats. Cyber-threats are also red hot as the human attack surface is projected to reach over 6 billion people by 2022. In addition, cyber-crime damage costs are estimated to reach $6 trillion annually by 2021. The cybersecurity firm RiskIQ states that every minute approximately 1,861 people fall victim to cyber-attacks, while some $1.14 million is stolen. In recognition of these alarming stats, perhaps it would be useful to categorize cyber-threats in a similar scale to the hot peppers we consume. A Scoville Heat Scale For Measuring Cybersecurity | Forbes Spying on the Spies Spyware may seem like a good option if you want to keep an eye on what online activities your children get up to… or, if you’re the insecure type (or worse), to see what your significant other gets up to. The problem is that these spying tools have been shown to be woefully insecure time and time again. For 2nd Time in 3 Years, Mobile Spyware Maker mSpy Leaks Millions of Sensitive Records | KrebsOnSecurity Spyware Company That Marketed to Domestic Abusers Gets Hacked | Motherboard Facebook fell victim to fake news It’s not surprising to hear that fake news made its way onto Facebook. What is worrying is that Facebook’s own training materials fell for fake news.   Facebook’s Own Training Materials Fell for Fake News | Motherboard Transparency in security I like what the good folk over in the Photobox security team are doing by frequently blogging about their security. It’s good for other professionals to learn from, but also good for customers, as it helps them understand how their data is protected and treated within the company. Managing information about risk management at Photobox | Photobox Hacking a Retro Knitting Machine to Create a Giant Stellar Map An Australian software engineer has spent years hacking a 1980’s knitting machine to create a spectacular work of art and simultaneously both advance knitting and science education. Sarah Spencer has toyed around with hacking and programming a 1980’s knitting machine for a while before seriously turning her attention to a mammoth task: creating gigantic equatorial star map in tapestry form. This Engineer Hacked a Retro Knitting Machine to Create a Giant Stellar Map | Interesting Engineering CroniX CryptoMiner Kills Rivals to Reign Supreme The operator of a new cryptomining campaign takes aggressive actions against its competition and halts other cryptojacking activity on the machines it claims. Cybercriminals are quick to take advantage of any proof-of-concept (PoC) exploit code that falls into their hands. For the recently disclosed Apache Struts vulnerability (CVE-2018-11776) there are multiple PoCs available, so news of the bug exploited in the wild came as no surprise. CroniX CryptoMiner Kills Rivals to Reign Supreme | Bleeping Computer Put that in your threat model And finally, this week, the story that will likely have you rethinking your threat models, a giraffe sculpture was used as a battering ram in a burglary. Giraffe sculpture used as battering ram in Worcester burglary | BBC       

Le 2018-09-07

  Directive droit d'auteur : l'industrie culturelle et la presse réclament les miettes de l'économie de la surveillance de masse
12 septembre 2018 - Le Parlement européen vient d'adopter la directive droit d'auteur, qu'il avait pourtant rejetée une première fois cet été. En ayant fait adopter cette directive, les industries culturelles et de la presse réclament les miettes de l'économie de la surveillance de masse. Plutôt que de combattre cette capitulation devant les GAFAM, le gouvernement français l'a vigoureusement encouragée. En 20 ans, l'industrie culturelle française n'a jamais su s'adapter à Internet. Aujourd'hui, elle est folle de rage devant le succès de Netflix ou d'Amazon. Donc elle exige les miettes du gâteau. Elle veut contraindre les géants du Web, tels que Youtube ou Facebook, à partager avec elle les revenus de la publicité ciblée associée aux ?uvres dont ils sont les ayants-droits. Mais la publicité ciblée consiste surtout à surveiller tout le monde, partout, tout le temps, sans notre consentement libre. Depuis le 25 mai et le RGPD, c'est illégal, et c'est bien pourquoi nous avons attaqué chacun des GAFAM au printemps dernier devant la CNIL, dans des plaintes collectives réunissant 12 000 personnes. Pourtant, ayant échoué à évoluer, l'industrie culturelle française est aujourd'hui prête à s'associer à ce modèle illégal. Avec le vote d'aujourd'hui, le financement de la culture se soumet à l'économie de la surveillance de masse. Et il est injustifiable que le gouvernement français, en soutenant lui aussi cette directive, ait consacré la toute puissance illicite des géants du Web, plutôt que de combattre leur modèle de surveillance pour nous en protéger. Hélas, le débat ne s'arrête pas là. À côté, on retrouve les éditeurs de presse qui, eux non plus, pour la plupart, n'ont jamais su s'adapter. Du coup, ils exigent aujourd'hui que Facebook et Google les financent en les payant pour chaque extrait d'article cité sur leur service. Mais quand les revenus du Monde ou du Figaro dépendront des revenus de Google ou de Facebook, combien de temps encore pourrons-nous lire dans ces journaux des critiques de ces géants ? Plutôt que de s'adapter, les éditeurs de presse préfèrent renoncer entièrement à leur indépendance, sachant par ailleurs que bon nombre d'entre eux mettent en ?uvre des pratiques tout aussi intrusives que celles des GAFAM en matière de publicité ciblée (relire notre analyse de leurs pratiques et de leurs positions sur le règlement ePrivacy). Ici encore, le gouvernement français a encouragé cette capitulation générale face aux géants du Web, qui passent encore davantage pour les maîtres de l'Internet. Pourtant, ils ne sont les maîtres de rien du tout. Internet n'a pas besoin de Google ou de Facebook pour nous permettre de communiquer. Au contraire, ces géants nuisent à nos échanges, pour mieux vendre leur publicité. Le vote d'aujourd'hui est le symptôme de l'urgence qu'il y a à changer de cadre. Le gouvernement français doit accepter qu'Internet ne se résume pas à une poignée de monopoles. Il doit renoncer aux multinationales du numérique et, enfin, commence à promouvoir le développement d'un Internet décentralisé - seul capable de respecter nos droits et libertés. Maintenant.

Le 2018-09-12

  Censure antiterroriste: la Commission européenne veut détruire l'Internet décentralisé
12 septembre 2018 - Ce matin, alors que toute l'attention était tournée vers l'adoption de la directive droit d'auteur, la Commission européenne a publié sa proposition de règlement contre la propagande terroriste en ligne. Ce texte sécuritaire prévoit d'imposer plusieurs obligations aux hébergeurs, et notamment le retrait en moins d'une heure des contenus signalés. Il banalise la censure policière ou privée et donc le contournement de la justice. Il fait des filtres automatiques - justement au coeur du débat sur la directive droit d'auteur - la clé des politiques de censure à l'ère numérique1. En pratique, seule une poignée d'hébergeurs pourront satisfaire de telles obligations - en particulier le délai d'une heure pour censurer les contenus. Les autres hébergeurs - la très grande majorité qui, depuis les origines, ont constitué le corps d'Internet - seront incapables d'y répondre et s'exposeront systématiquement à des sanctions. Si ce texte était adopté, les quasi-monopoles du Net (Google, Amazon, Facebook, Apple, Microsoft, Twitter...) se verront consacrés dans leur rôle clé pour les politiques sécuritaires des États membres, et renforcés dans leurs positions ultra-dominantes - tous les autres services ayant du fermer boutique, y compris les services décentralisés qui respectent nos droits. Après avoir vaguement prétendu nous défendre avec le RGPD, la Commission européenne change radicalement de direction et compte désormais défaire l'État de droit en renforçant et en pactisant avec des firmes surpuissantes, qui exploitent nos libertés. Pourtant, le reste de l'Internet, l'Internet décentralisé et gouvernable de façon démocratique, repose sur un contrôle fin et adapté à chaque personne des contenus qui y sont diffusés. Cette organisation est une des solutions les plus pertinentes pour freiner la propagation de messages problématiques, mais la Commission compte justement la détruire en lui imposant des obligations impossibles à respecter. En pratique, la proposition de la Commission est donc non seulement inutile - les géants sont déjà largement actifs pour surveiller et censurer et collaborent très largement avec les autorités en matière antiterroriste.2 Elle est surtout contre-productive : son principal effet serait de détruire l'unique version d'Internet compatible avec nos libertés fondamentales. 1. Ce réglement prévoit une obligation pour tout hébergeur Internet, quelque soit sa taille ou son fonctionnement, de retirer dans un délai d'une heure les contenus jugés de nature terroriste, en cas d'injonction faite par les autorités judiciaires ou administratives (article 4). Il permet également à ces dernières d'imposer une telle censure non sur la base du droit national applicable (par exemple, en France, le décret Cazeneuve de février 2015), mais sur la base des conditions d'utilisation des plateformes (article 5). Le texte invite aussi les acteurs du Net à adopter des mesures « proactives », sous la forme de filtres automatiques scannant les contenus mis en ligne pour bloquer ceux correspondants à certains critères arrêtés par ces firmes (article 6). 2. Depuis 2015, les États comme la France et des organisations telles qu'Europol ont développé de multiples partenariats avec les géants du numérique pour lutter contre la propagande terroriste, le plus souvent au mépris du droit international.

Le 2018-09-12

  Directive sur le droit d‘auteur : l‘affrontement factice des deux têtes du capitalisme informationnel
10 septembre 2018 - Un quart de siècle qu‘on se repasse ce même mauvais film, celui où les industries culturelles instrumentalisent la loi pour faire la guerre à leur public. En cause cette fois-ci, l‘article 13 de la directive sur le droit d‘auteur en cours d‘examen à Bruxelles, et sur lequel le Parlement européen se prononcera le 12 septembre. Dans sa rédaction actuelle, cette disposition impose que, dans le cadre d‘accords avec les sociétés d‘ayants droit (telle la Sacem), les ­plates-formes numériques (YouTube, Facebook et consorts) recourent à des outils de ­filtrage automatisés. Le but ? Repérer les ­contenus ­publiés par les internautes et bloquer ceux ­incluant des ?uvres couvertes par le droit d‘auteur. Une forme de censure préalable, automatisée et privatisée. Rien de bien nouveau, donc. En effet, depuis le milieu des années 1990, les industries culturelles (musique, cinéma, édition?) n‘ont eu de cesse d‘exiger des législateurs et des tribunaux la « collaboration » forcée des fournisseurs ­d‘accès à Internet et des hébergeurs pour lutter ­contre l?échange gratuit d??uvres culturelles sur les réseaux. Nous republions la tribune de Félix Tréguer parue dans Le Monde le 8 septembre 2018 L‘ACTA rejeté en 2012 A l?époque déjà, ces débats avaient conduit à la mobilisation des associations de défense des droits dans l‘environnement numérique. Comme aujourd‘hui, ces dernières faisaient valoir que la logique poursuivie était dangereuse, puisqu‘elle revenait à confier à des entreprises privées un rôle de surveillance et de censure des communications sur le Net. Ces débats débouchèrent en Europe sur un compromis instable à travers une directive adoptée en juin 2000, qui semblait donner gain de cause aux militants et aux acteurs de l?économie numérique. Les « intermédiaires techniques » d‘Internet, et en particulier les hébergeurs, ne seraient plus inquiétés tant qu‘ils ne joueraient pas de rôle actif dans la diffusion des contenus litigieux. Il leur fallait répondre aux demandes judiciaires visant à retirer les publications illicites, mais les Etats ne pourraient pas leur imposer d?« obligation générale de surveillance » des communications pour détecter et empêcher de telles publications. Depuis, les initiatives visant à imposer des filtres automatiques se sont pourtant multipliées. Et parfois, en France notamment, leurs promoteurs ont eu gain de cause devant les tribunaux. Toutefois, dans deux arrêts importants rendus en 2011 et 2012 au nom de la protection de la liberté de communication et de la vie privée, la Cour de justice de l‘Union européenne s‘est opposée aux demandes d‘une ­société de gestion visant à imposer à un fournisseur d‘accès ou à un hébergeur la mise en place de tels filtres. En 2012, le Parlement européen a également rejeté l‘Accord commercial anti-contrefaçon (ACTA), qui aurait pu banaliser, à l?échelle mondiale, le recours à ces outils de filtrage. Surveillance des utilisateurs Sauf que, entre-temps, l?économie politique d‘Internet a été profondément ébranlée par l‘apparition d‘un nouvel oligopole, composé de quelques firmes presque entièrement consacrées à la régulation algorithmique de l‘information. Il y a ainsi plus de dix ans que Google, mis sous pression par les multinationales du divertissement, a déployé au sein de sa filiale YouTube un système de filtrage baptisé Content ID. En scannant automatiquement l‘ensemble des vidéos mises en ligne par les utilisateurs et en les confrontant à une base de données de contenus soumis au droit d‘auteur, les algorithmes de Content ID permettent aux ayants droit de bloquer ou de monétiser les vidéos incluant des ?uvres dont ils détiennent les droits. Un dispositif que l‘article 13 de la directive sur le droit d‘auteur cherche à généraliser. Or, Content ID a conduit à de nombreux cas de censure voyant des ayants droit revendiquer des ?uvres qui ne leur appartenaient pas. Il s‘avère aussi incapable de respecter les exceptions légales au droit d‘auteur ­(citation, parodie?) sur lesquelles se fondent des nouvelles pratiques artistiques (remix, mashups?). Google a donc beau jeu de critiquer l‘article 13 au nom de la défense des libertés, en ch‘ur avec d‘autres entreprises du numérique qui ont placé la censure privée et la surveillance des utilisateurs au c‘ur de leurs modèles économiques. Incapables de repenser les politiques culturelles A l‘hypocrisie des géants du numérique ­répond celle des industries culturelles. Trop occupées à défendre une vision « propriétariste » du droit d‘auteur et à réprimer le partage d??uvres sur les réseaux peer to peer (« de pair à pair »), elles se montrent incapables de repenser les politiques culturelles à l?ère numérique. Résultat : elles en sont aujourd‘hui réduites à négocier piteusement avec les grandes entreprises de technologie qui, profitant de leur incurie, ont raflé la mise. Car c‘est bien ce qui se joue actuellement avec la directive sur le droit d‘auteur : l‘affrontement des deux têtes de l‘hydre du capitalisme ­informationnel. Industries culturelles versus ­plates-formes numériques, qui veulent chacune se ménager le maximum de marge de man‘uvre dans leur négociation d‘une forme de « licence globale » privatisée, laquelle viendra renforcer leurs positions oligopolistiques au détriment tant du public que des artistes. Que faire pour sortir de ce cycle délétère ? D‘abord, rejeter l‘article 13 et le monde qu‘il représente, celui où l‘espace public et la liberté d‘expression sont soumis aux décisions d‘algorithmes opaques. Si le Parlement européen tient encore à inscrire l‘Union européenne dans la tradition de l‘Etat de droit, il réaffirmera la position qui est la sienne depuis près de vingt ans et le rejettera. Et après ? On voudrait croire, comme nous l‘avions cru en 2012 avec le rejet de l‘ACTA, qu‘une telle décision marquera le début d‘une refondation des politiques culturelles et ­numériques. Mais, en dépit de quelques signes encourageants de l‘UE pour contrer la dominance des Gafam (Google, Apple, Facebook, Amazon et Microsoft), il y a fort à parier que les Etats continueront de composer avec les ­nouveaux seigneurs de l‘espace public? D‘où l‘importance de cultiver des espaces de résistance renouant avec le projet de faire d‘Internet une bibliothèque universelle, envers et contre le droit si nécessaire. Félix Tréguer Postdoctorant à l‘Institut des sciences de la communication (CNRS), associé au projet NetCommons, consacré aux réseaux Internet citoyens au sein du pôle Gouvernance de l‘information et des communs, et coprésident de La Quadrature du Net, une association qui défend les droits et les libertés numériques.

Le 2018-09-10

  Un collège-lycée contraint illégalement des enfants à être traçables en permanence
30 juillet 2018 - Il y a dix jours, une lycéenne de l'établissement scolaire privé Rocroy Saint-Vincent de Paul, à Paris, a révélé un changement du règlement intérieur de l'établissement. À compter de la rentrée, chaque collégien et lycéen devra porter sur lui un porte-clef fourni à l'établissement par la start-up française New School et qui permettra de localiser l'élève via une puce Bluetooth intégrée. Voici le résultat de notre analyse juridique et technique de ce système, concluant à son illégalité. Fonctionnement du porte-clef L'établissement scolaire a expliqué que le porte-clef obligatoire lui sera fourni par New School, une start-up française soutenue notamment par Apple1 et Qwant2. Le porte-clef intègre une puce Bluetooth, gérée par un logiciel fourni par une autre start-up française, Ubudu, qui a annoncé sa collaboration avec New School depuis 2016. Sur son site, Ubudu se décrit ainsi : « Ubudu est la solution RTLS de prochaine génération, qui piste, analyse et détecte biens et personnes sur des lieux industriels ou de services : aéroports, usines, hôpitaux, magasins, centres sportifs ou de loisir, etc. Ubudu fonctionne uniquement avec des petits tags ou smartphones échangeant des signaux radio avec des capteurs fixes, et un serveur de localisation qui calcule et traite la position »3. Dans sa documentation technique, Ubudu décrit un de ces tags, le tag BLE (Bluetooth Low Energy) : « utilisez des tags BLE si vous avez de nombreux biens à pister et n'avez pas besoin d'une précision en deçà de 1-2m. [...] Des exemples de mise en ?uvre comprennent la solution de service en salle de McDonalds ou le badge étudiant New School (voir photo). Vous pouvez aussi utiliser des équipements iBeacon standards, dont nous recommandons ceux de haute qualité, tels que ceux de EM Microelectronics »4. Parmi les puces EM Microelectronics auxquelles renvoient Ubudu se trouve la puce EMBC01. La fiche technique de cette puce indique qu'elle peut signaler sa présence (en émettant un message radio) une fois par seconde, et qu'elle a alors une portée de 75 mètres et une durée de vie de 12,5 mois. Nous pensons que cette puce (recommandée par Ubudu, partenaire de New School), ou une puce similaire, est celle intégrée dans le porte-clef New School. En effet, la documentation commerciale de New School indique que « la durée de vie de nos porte-clés connectés est d‘environ 13 mois », ce qui correspond à la durée de 12,5 mois de la puce EMBC01. De même, après prise de contact avec New School, NextInpact explique que, « à en croire ses développeurs, cette clef [...] dispose d‘une portée de 15 à 25 mètres en intérieur, et même 75 mètres à l‘extérieur » - la même portée que la puce EMBC01. Enfin, la puce qui apparait sur plusieurs photo du porte-clef New School (ici, en bas, une photo de 2016 tirée de l'article de Qwant en soutien à la start-up) est identique à l'image de la puce EMBC01 diffusée par EM Microelectronics dans sa documentation (ici, en haut). Le porte-clef New School émet donc constamment, une fois par seconde et pendant 13 mois, un identifiant unique, propre à chaque porte-clef et, ainsi, à chaque enfant. Cet identifiant peut être capté par les smartphones situés dans un rayon de plusieurs dizaines de mètres. Dans son règlement intérieur, l'établissement Rocroy explique que le port constant du porte-clef par les enfants permettra « de s‘assurer de la présence de chacun d‘eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité ». Comme le détaille New School dans sa documentation, les professeurs et encadrants, munis de smartphone, pourront recevoir l'identifiant unique émis par chaque porte-clef et, ainsi, contrôler la présence des porte-clefs environnants (et, par là, en théorie, de chaque enfant dont le nom et la photo sont associés à chaque identifiant Bluetooth dans la base de données New School). Charlemagne/EcoleDirecte Dans sa documentation, New School explique que « tous les outils édités par NewSchool sont conçus avec un souci permanent de protéger les données : [...] chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès, le niveau de sécurité des mots de passe est celui dépendant du logiciel Charlemagne/EcoleDirecte ». Charlemagne/EcoleDirecte est un logiciel de suivi de scolarité développé par l'entreprise française STATIM. Cette entreprise fournit en ligne la documentation du logiciel. On y découvre les fonctionnements d'une sécurité d'un autre âge... Pour la création d'un nouveau profil, c'est l'administrateur qui choisit lui-même le mot de passe pour chaque utilisateur. Pour qu'un utilisateur récupère son mot de passe, celui-ci lui est alors envoyé en clair par email. Si le mot de passe peut lui être envoyé de la sorte, c'est forcément qu'il est conservé en clair sur le serveur, sans être protégé d'aucune façon contre des attaques... contrairement aux recommandations élémentaires de la CNIL5. Faire reposer l'identification de données de localisation d'enfants sur un système aussi peu sécurisé, initialement développé pour un usage très différent, est impensable. C'est pourtant ce qu'explique faire New School. De fausses affirmations Dans un communiqué réagissant à la polémique naissante, l'établissement Rocroy explique, tentant d'être rassurant, que « le bluetooth ne s‘active que lorsque l‘enseignant fait l‘appel. Le reste du temps, les porte-clés s?éteignent automatiquement ». Cette affirmation rend absurde la durée de vie de 13 mois du porte-clef annoncée par New School dans la documentation. Au regard de l'état de l'art des puces Bluetooth (tel qu'il en ressort des caractéristiques de la puce EMBC01), une puce qui serait activée une poignée de minutes seulement par jour (le temps de faire l'appel) aurait une durée de vie de plusieurs années et n'aurait pas besoin d'être renouvelée tous les 13 mois. Ce renouvellement de la puce aurait pu être justifié par le passage d'une année à l'autre par chaque enfant, mais le délai de renouvellement aurait alors été de 12 mois et non de 13. Le renouvellement de la puce n'est donc justifiable que par une seule raison : la puce est activée de façon constante, 24h/24, même en dehors des 8 heures de classe quotidiennes (sans quoi la durée de vie annoncée serait triple, de l'ordre de 39 mois). Par ailleurs, l'idée que la puce n'émette qu'au moment de l'appel est inconciliable avec la détection des enfants en CDI (en bibliothèque) : ce lieu pouvant être accédé n'importe quand, il n'y a pas d'appel à y faire à un instant déterminé. La puce doit émettre régulièrement pour signaler une présence au du CDI. L'affirmation de l'établissement Rocroy semble donc fausse. Les conséquences seraient lourdes. Certes, l'identifiant unique émis par le porte-clef n'indique pas directement le nom d'un élève. Mais qu'importe : activé en permanence, il permettrait de suivre à la trace chaque enfant de façon individualisée (l'identifiant étant unique), au simple moyen d'un smartphone (EM Microelectronics fournit même une application à cette fin), n'importe où, même en dehors de l'école, pour peu qu'on se trouve dans un rayon de 75 mètres de l'enfant. Si l'établissement ne fournit pas d'informations nouvelles permettant de contredire cette hypothèse, nous viendrons la vérifier en pratique à la rentrée devant son lycée, qui n'est pas très loin de nos locaux. Par ailleurs, dans son communiqué de presse, l'établissement prétend que le porte-clef « n‘utilise pas la géolocalisation, et ne permet donc pas de connaitre la position ou les déplacements des élèves ». Ce n'est pas ce que révèle la fiche de l'application New School qui sera utilisée sur smartphone par le personnel de l'établissement afin de détecter les porte-clefs à proximité. Au moment de son installation, l'application demande de pouvoir transmettre à New School la géolocalisation précise du smartphone, notamment par GPS. Or, la géolocalisation du smartphone permettra aussi de géolocaliser les portes-clefs détectés qui, par définition, seront situés dans une proximité directe. L'affirmation de l'établissement est donc fausse : le porte-clef permettra d'indiquer à New School la position des enfants dès lors qu'ils se trouveront à proximité d'un smartphone utilisant l'application New School. Enfin, dans son communiqué, l'établissement a cru bon de prétendre que « les données personnelles (nom de l?élève, emploi du temps) sont protégées et cryptées, en accord avec la CNIL ». Or, comme on l'a vu, le système Charlemagne/EcoleDirecte sur lequel repose New School ne satisfait aucune des recommandations de la CNIL élémentaires en matière de sécurité. Ainsi, contactée par Le Point sur cette affaire, la CNIL a déclaré mardi dernier « ne pas avoir eu d'échange avec le lycée Rocroy sur le dispositif ». Un système illégal Le port obligatoire du porte-clef New School par chaque enfant semble illicite du simple fait que l'information fournie par l'établissement sur l'interruption automatique du porte-clef serait fausse, alors que le règlement général sur la protection des données (RGPD) exige une information loyale. De plus, quand bien même cette information serait juste (si le porte-clef n'émettait pas constamment), le système serait illicite pour d'autres raisons. D'abord, le RGPD exige que tout traitement de données personnelles soit fondé sur une base légale : le consentement, la nécessité de fournir un service public ou la nécessité de poursuivre un « intérêt légitime ». Ici, les enfants ne peuvent donner aucun consentement valide au traçage : ils n'ont pas le choix de l'accepter pour aller en cours et ne peuvent l'accepter qu'en même temps qu'ils acceptent l'ensemble du règlement intérieur. Leur consentement, qui ne serait ni libre ni spécifique, ne serait jamais reconnu comme valide par la CNIL (au sujet du caractère libre du consentement, voir l'analyse détaillée développée dans nos plaintes collectives contre les GAFAM). S'agissant de la nécessité de fournir un service public ou de poursuivre un intérêt légitime (tel que faire l'appel des élèves), il faut d'abord démontrer que le système est « nécessaire ». En droit, ceci implique notamment qu'il n'existe aucun autre système alternatif qui, atteignant les mêmes objectifs, cause des risques moins élevés en matière d'atteinte aux libertés fondamentales. Ici, l'appel des enfants à l'oral remplit les mêmes objectifs sans poser de risque pour la vie privée. Le fait que le traçage par localisation automatique des enfants simplifie l'appel des élèves ne saurait le rendre « nécessaire », surtout au regard des risques importants qu'il cause quant à la traçabilité constante de la position de chaque enfant. Toutefois, ce débat sur la « nécessité » a déjà été tranché par le groupe de l'article 29 (G29, l'institution qui réunissait les CNIL des 28 États membres de l'Union européenne et qui est devenu le Comité européen de la protection des données depuis le 25 mai 2018). Depuis 2011, le G29 considère que, dans les cas où des personnes pourraient être localisées au moyen de signaux émis par un dispositif qu'elles transportent, et dans le cas où cela serait possible non pas sur la base de leur consentement mais sur celui d'un « intérêt légitime », il faut systématiquement que ces personnes puissent librement et facilement s'opposer à un tel traçage, à tout moment. Dans notre cas, à l'inverse, l'établissement Rocroy sanctionne les enfants qui s'opposerait au pistage en refusant de porter le porte-clef. L'obligation de le porter est donc illicite de ce seul fait. Par ailleurs, peu importe la base légale du traitement de données personnelles, le RGPD exige que celui-ci soit accompagné d'un certain nombre d'informations. Le responsable de traitement doit indiquer : son identité et ses coordonnées ; les finalités poursuivies ; l?étendue des droits de la personne concernée ; si les données sont transmises à des tiers, l'identité de ces destinataires ou la catégorie de ces destinataires ; la condition de licéité remplie par le traitement ? en précisant, selon le cas, l'intérêt légitime défendu ou la possibilité de retiré le consentement donné ; la durée de conservation des données ; l'existence d'un transfert de données en dehors de l‘Union, en précisant les garanties encadrant ce transfert ; l‘existence d'une prise de décision automatisé. Dans notre cas, l'établissement n'a fourni aucune de ces informations, si ce n'est, éventuellement, certaines des finalités envisagées (s'agissant des élèves, « s‘assurer de la présence de chacun d‘eux en classe, sur les installations sportives, au CDI et lors des sorties mais aussi au cours des exercices de sécurité »), sans qu'on ne sache toutefois si ces finalités sont exhaustives. Les autres informations sont simplement absentes, rendant le système illicite de ce seul fait. Enfin, comme vu plus haut, les obligations de sécurité imposées par le RGPD ne sont pas respectées puisque le système New School repose sur le système complètement obsolète de Charlemagne/EcoleDirecte. Et maintenant ? Nous invitons les élèves et parents d'élèves de l'établissement Rocroy à se saisir des éléments développés ici pour saisir la justice en référé afin de faire changer le règlement intérieur avant la rentrée. De façon plus générale, nous appelons la CNIL à enquêter sur la start-up New School avant que celle-ci ne démarche d'autres établissements. La situation est des plus inquiétante puisque, dès 2016, d'après Le Figaro Madame, « le cabinet de Valérie Pécresse lui fait savoir qu'ils aimeraient utiliser l'application pour toute la région Île-de-France ». Politiquement, le cas de New School révèle un mouvement plus profond et plus grave : les puces choisies par New School ont initialement été pensées et sont normalement utilisées pour localiser des objets fixes (des murs) ou mobiles (des marchandises) afin qu'un humain muni d'un smartphone puisse se repérer parmi ces objets. Cette situation s'inverse ici : la puce n'est plus attachée à des objets mais à des enfants ; le smartphone ne sert plus à se repérer dans l'espace mais, immobile au poste du surveillant, à définir l'espace dans lequel les humains peuvent évoluer. L'humain ne se déplace plus parmi les choses : il est une chose comprise par d'autres. 1. En janvier dernier, La Tribune explique, au sujet de la créatrice de New School, après que celle-ci a remporté un prix pour jeune startupeux : Quelques mois plus tard, Apple entre en contact avec elle et lui demande de pitcher deux jours plus tard dans ses bureaux londoniens. « J'étais déjà sur place, à croire qu'ils m'avaient tracée... » Dans le développement de NewSchool, la marque à la pomme a joué un rôle important, notamment dans la conception de l'application mais aussi dans la commercialisation : « Le marché de l'éducation en France est assez impénétrable, nous avons échangé beaucoup d'informations ». [...] Le coaching by Apple est toujours d'actualité. La jeune entrepreneure participe à de nombreux événements et voit régulièrement des développeurs, français et anglais, pour avancer sur l'application. Elle a même eu le privilège de rencontrer Tim Cook, en février dernier. Au tout début, il était question de faire de NewSchool une application préintégrée sur les appareils vendus aux établissements scolaires, mais « à l'époque nous n'étions pas assez développés, ni commercialement ni au niveau des fonctionnalités. Il nous faut encore grandir pour espérer un jour avoir une application commune », explique-t-elle. Et le travail en famille est toujours valable. « Ma mère est directrice commerciale, elle travaille beaucoup. Nous avons fait le salon de l'éducation la semaine dernière, c'est elle qui a tout géré », s'enthousiasme la jeune femme. 2. Qwant semble avoir dé-publié son article en soutien à New School, mais nous en avions fait une copie. 3. Notre traduction de « Ubudu is a next-generation RTLS solution, which tracks, analyses and detects assets and people in industrial or service sites: airports, factories, hospitals, retail, sport & leisure venues, etc. Ubudu simply works with small tags or smartphones exchanging radio-signals with fixed sensors, and a location server that computes and processes the position. » 4. Notre traduction de « Use BLE Tags if you have many assets to track and do not need accuracy below 1-2m. (...) Examples of realizations include McDonald‘s table service solution and New School student tokens (include pictures). You can also go with standard iBeacon devices, for which we recommend those of high quality, such as EM Microelectronics ». 5. De bon sens, la CNIL exige que « le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique » et que « le mot de passe ne doit jamais être stocké en clair ».

Le 2018-07-30

  Conservation généralisée de données : débat transmis au niveau européen !
26 juillet 2018 - Après trois ans de procédure, le Conseil d'État vient (enfin !) d'accepter de saisir la Cour de Justice de l'Union européenne, tel que nous le demandions. Le régime français de conservation généralisée des données de connexion imposé aux opérateurs téléphoniques et Internet ainsi qu'aux hébergeurs est-il conforme au droit de l'Union européenne ? La décision d'aujourd'hui est une avancée importante dans le combat juridictionnel porté par La Quadrature du Net, la Fédération FDN et FDN contre la surveillance de masse. Il faut toutefois dénoncer le délai démesuré pris par le Conseil d'État pour franchir cette étape. Le Conseil d'État est resté muet durant plusieurs années, retenant sa justice malgré plusieurs relances de notre part. Il ne s'est prononcé qu'au moment où le Gouvernement français, embourbé dans des débats politiques autour du règlement ePrivacy, a trouvé opportun de s'aligner sur nos propres demandes - saisir la Cour de justice de l'Union. Revoir notre récit des procédures ayant conduit à la décision d'aujourd'hui. Cet alignement du calendrier de la Justice sur le calendrier stratégique du gouvernement remettrait en cause l'idéal d'indépendance qui doit animer la Justice. Heureusement, le débat se poursuit aujourd'hui devant une juridiction européenne qui, à plusieurs reprises ces dernières années, a su garder ses distances avec les volontés autoritaires des gouvernements occidentaux. La CJUE s'est opposée à la directive de 2006 qui prévoyait une conservation généralisée des données de connexion, dans son arrêt Digital Rights Ireland. Elle a aussi invalidé le Safe Harbor au regard du régime de surveillance des États Unis, dans son arrêt Schrems. Dernièrement, elle s'est opposée aux régimes de conservation généralisée suédois et britannique, dans son arrêt Tele2. Le gouvernement français espère pouvoir faire changer d'avis la Cour de justice de l'Union européenne. Ne prenons pas l'ambition du gouvernement à la légère : le combat qui s'ouvre déterminera le cadre de la surveillance européenne. Le gouvernement ne chômera pas pour défendre l'idéal d'un monde dans lequel chacun serait suspect. Nous ne chômerons pas nous plus pour défendre notre autre monde. Les questions La première question transmise par le Conseil d'État est la suivante : « L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne ? » Par là, le Conseil demande si, alors que le Cour de justice a déjà reconnu la conservation généralisée injustifiée pour lutter contre les infractions (dans sa décision Tele2), cette conservation peut être justifiée pour protéger la sécurité nationale. Pour rappel : en droit européen, la lutte contre le terrorisme n'est pas de l'ordre de la protection de la sécurité nationale - qui, selon la CNCIS, ne fondait en 2015 que 12% des interceptions réalisées par les services de renseignement. Le Conseil d'État demande donc si, pour 12% des besoins des services de renseignement (en matière militaire et de contre-espionnage, on imagine), il peut être porté atteinte à la vie privée de toute la population, considérée comme suspecte par défaut. Une telle question nous semble disproportionnée par elle-même, mais elle ouvre un débat plus large dont il faudra se saisir devant la Cour de justice. Par ailleurs, le Conseil d'État a transmis une ou plusieurs autres questions, dont nous n'avons pas encore connaissance : nous mettrons cet article à jour au fur et à mesure.

Le 2018-07-26