Archives par mot-clé : Sécurité

Comment jouer l’espion avec #Viadéo ?

Les utilisateurs de Viadéo ont probablement remarqué le module intitulé « Les connaissez-vous ? » situé en haut à droite de la page.

De chez soi, ce module donne des contacts potentiels plus ou moins pertinents (dans mon cas, rarement pertinents), l’algorithme de calcul devant probablement intégrer des personnes qui ont quelques contacts communs avec nous ou bien intégrer certains mots-clés communs dans les profils,…

C’est une autre partie de cet algorithme que je trouve intéressante et/ou inquiétante, c’est la remontée, dans les contacts potentiels, des personnes qui se sont connectées avec l’adresse IP que l’on est en train d’utiliser.

L’intérêt de cette fonctionnalité du point de vue de Viadéo doit être, je suppose, de se mettre rapidement en relation avec une grande partie de ses collègues sur son lieu de travail.

L’intérêt peut être tout autre d’un café, d’un hôtel, d’une entreprise, d’une administration ou de chez un collaborateur,… bref, partout où l’on peut se connecter, notamment d’un accès wifi.

Un commercial peut récupérer des profils sur un salon, ou dans l’hôtel près du salon. Un consultant peut récupérer un listing de collaborateurs ou d’autres intervenants au sein de l’entreprise dans laquelle il intervient (ou d’autres entreprises dans le cas d’immeubles servant à des bureaux ou des salles de réunion externalisés). Un espion peut cibler le ou les cafés où des employés d’une entreprise ont leurs habitudes,… Je suggère uniquement des usages où, bien sûr, la connexion est éthique et légale, on peut en imaginer d’autres.

En ce qui me concerne, j’utilise aussi cette fonctionnalité de façon plus anodine et seulement taquine: c’est assez drôle de voir l’étonnement, voire l’inquiétude sur le visage d’un hôte à l’énoncé de quelques noms. Qui plus est de personnes forcément proches (pour les recevoir chez soi, leur donner l’accès wifi et suffisamment de temps pour qu’elle aille se connecter sur Viadéo dans un moment d’ennui). Ces personnes, si vous avez suivi le raisonnement, ne sont pas forcément en contact avec l’hôte sur Viadéo.

Un exemple de plus, s’il y en avait besoin, que si vous ne voulez pas laisser de traces à l’extérieur, évitez de vous connecter à certains services d’un accès public, ou non d’ailleurs.

Et vous ? Connaissez-vous d’autres réseaux sociaux qui utilisent le même procédé ?

Entreprises cotées, perte de contrôle informationnel et déstabilisation des cours

Je vous invite à lire un excellent article rédigé par Emmanuel Lehmann sur les attaques informationnelles contre les entreprises côtées. Emmanuel est l’auteur de « Petit traité d’attaques subversives contre les entreprises : Théorie et pratique de la contre-ingérence économique » et m’a déjà fait le plaisir de s’exprimer ici.

Une première partie présente les différentes attaques possibles, la seconde partie présente les différentes actions à mettre en œuvre.

Un article synthétique et efficace paru sur le blog de The Connecting Place dont je vous recommande le suivi. Au passage, si vous vous intéressé, comme moi, à l’évolution de cette agence conseil en communication innovante, vous pourrez les rencontrer à l’Université d’été du MEDEF, les 1, 2 et 3 septembre prochains sur le campus HEC de Jouy en Josas.

Hadopi, une arme pour attaquer une personne physique ou morale

Hadopi était une loi périmée avant même sa sortie, inadaptée structurellement de par son champ d’investigation que sont certains réseaux « peer to peer » populaires non cryptés et la preuve réclamée qu’est l’adresse IP, c’est à dire le numéro qui identifie chaque ordinateur connecté à Internet.

Cette loi ne fait que pousser, hors des réseaux « peer to peer », les derniers retardataires qui n’avaient pas encore compris que la technologie était dépassée, vers d’autres plus pratiques à l’usage et surtout indétectables car en dehors du champ d’investigation (téléchargement direct via des forums de discussion,…).

Il suffit que son adresse IP soit attachée à une partie d’un fichier au contenu illégal pour mettre la riposte graduée en route. C’est ensuite à la charge de l’internaute de prouver son innocence, seulement après avoir encouru les sanctions.

La preuve par l’adresse IP est suffisante malgré les mises en garde de nombreux experts sur sa fiabilité toute relative. En effet, un utilisateur moyen est capable de falsifier cette adresse.

La loi ne distingue pas les personnes morales des personnes physiques, une entreprise dont l’activité dépend plus ou moins directement d’Internet sera obligé de la cesser. Autre point préoccupant, dans le cadre de l’enquête, les agents d’Hadopi peuvent exiger de consulter les données de connexion, que conservent pendant un an les organismes offrant un accès à internet au public.

Ces deux points peuvent s’avérer problématiques pour un particulier ou une entreprise tant sur le plan économique, que sur le plan de la sécurité informationnelle, la confidentialité ou la vie privée. Mais après tout, on est en droit de se sentir à l’abri lorsque l’on se sait de bonne foi, soit en téléchargeant légalement, soit en bloquant l’accès aux réseaux P2P sur son ordinateur ou sur son réseau d’entreprise.

En réalité, même si avoir ce sentiment de sérénité a toujours été une erreur, la situation risque d’évoluer singulièrement d’ici peu. En effet, pour compliquer le travail des agents d’Hadopi et d’autres, un code de « Torrent Poisoning » circule depuis quelques jours sur le Net. Ce code permet de polluer les réseaux « peer to peer » avec un nombre incalculable de fausses adresses IP. Il se nomme « SeedFuck » (je vous passe la traduction) et a déjà évolué depuis sa mise en ligne,  sous la forme d’une application Web accessible et plutôt simple d’utilisation.

Les fausses adresses crées peuvent être fictives… ou réelles. Et c’est là que le bât va blesser :

Il est techniquement possible de rentrer manuellement des adresses IP préalablement choisies (ce n’est pas très compliqué de les identifier), les attacher à des fichiers illégaux, et les diffuser sur les réseaux « peer to peer ». Ceci dans le but d’attirer des ennuis judiciaires, a tort, aux personnes visées. Rappelons que, conformément à l’article 434-23 du Nouveau Code Pénal, se servir de « SeedFuck » constitue une infraction: « le fait de prendre le nom d’un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75.000 euros d’amende ».

C’est un point de droit qu’il ne faudra pas manquer de communiquer hors de nos frontières…

Ce n’est pas tant comme le suggère Bluetouff que l’on « risque donc, aux premiers envois de mails de se payer de bonnes barres de rire, en retrouvant par exemple les IP de la rue de Valois dans les plus gros téléchargeurs » ou bien les affaires de chantage entre voisins qui m’intéresse.

Ce qui me préoccupe, c’est de savoir comment nous allons réagir face à une loi stupide qui ne règlera pas le problème qu’elle est censée enrailler. Juste stupide et coûteuse jusque maintenant mais dorénavant dangereuse car dans son application normale, elle devient une arme d’attaque subversive contre les entreprises françaises, les décideurs (dirigeants ou politiques),… Et une attaque qui vise à faire punir, à tort, une personne ou une entreprise par l’arsenal juridique de son propre pays, c’est plutôt burlesque. Certains doivent déjà se frotter les mains en gloussant.

Et vous, qu’en pensez-vous ?

« La guerre économique au coeur des PME : espionnage, rumeur, déstabilisation »

Tel sera le thème de la conférence animée par Emmanuel Lehmann à l’Ecole Militaire le 8 avril à 19h30. Cette conférence est publique et gratuite pour peu que l’on s’inscrive à cette adresse: marine.reserve75@yahoo.fr.

Emmanuel Lehmann  traitera des thématiques de fuite de savoir et de savoir-faire, de crises informationnelles, d’attaques réputationnelles, de déstabilisations boursières, …

L’angle de l’attaquant sera utilisé pour mieux comprendre son mode d’action et ainsi définir les meilleurs pratiques pour s’en protéger et anticiper.

Il s’agira aussi de définir les moyens pour faire face à une crise et y répondre.

A vos agendas donc !