RSS

Archives de Tag: de sites

Piratage massif de sites Internet : quand les objets connectés attaquent

Certains experts estiment que l’attaque informatique pourrait avoir été lancée par des pirates travaillant pour le compte d’un Etat.

Une attaque informatique hors norme qui a paralysé de nombreux sites Internet vient de s’achever. Et ce sont des caméras de surveillance ou des téléviseurs connectés qui ont été utilisés pour la réussir.

Ils sont les plusfréquentés de la planète Web — Amazon, eBay, Spotify, Airbnb, Netflix, Paypal ou encore Twitter et les services de jeu en ligne des consoles PlayStation et Xbox — et tous étaient inaccessibles pendant quelques heures vendredi en fin d’après-midi. En cause, une attaque informatique d’une ampleur rarement vue. Que s’est il passé alors qu’aujourd’hui tout est rentré dans l’ordre ? Explications.

 

Qui était visé ?

Ce ne sont pas directement les sites Internet paralysés qui étaient ciblés, et qui sont désormais parfaitement accessibles, mais une société américaine, Dyn. Celle-ci agit comme prestataire de services informatiques, c’est-à-dire qu’elle redirige les flux Internet vers les sites qui l’emploient. Ainsi, lorsqu’un internaute cherche à se connecter à l’un de ces sites, sa requête passe par les serveurs de Dyn qui traduisent sa demande en adresse IP, le langage que comprennent tous les ordinateurs de la planète Internet.

 

Comment les pirates ont-ils procédé ?

L’assaut s’est déroulé en plusieurs vagues successives pendant un peu plus de dix heures dans la soirée de vendredi. La technique employée n’est pas nouvelle et a déjà été utilisée fin septembre en France contre l’hébergeur de sites Internet OVH. Cette attaque, dite de déni de service, consiste à submerger un serveur par d’innombrables requêtes jusqu’à le rendre inopérant. La plupart du temps, ce type d’opération est mené à partir d’un réseau d’ordinateurs zombies (des « botnets » comme les appellent les hackeurs), piratés par des virus et utilisés à l’insu de leurs propriétaires. L’attaque contre Dyn se révèle bien plus perfide car elle s’appuie sur un réseau d’objets connectés et non protégés, comme des caméras de surveillance ou encore des téléviseurs. Elle aurait utilisé le botnet Mirai, un logiciel qui exploite les failles de sécurité de ces objets connectés et dont le mode d’emploi a récemment été rendu public sur le Darknet, donc accessible à n’importe quel apprenti hackeur.

 

Cela peut-il se reproduire ?

« On parle désormais non pas de centaines de milliers d’ordinateurs infectés mais de plusieurs millions d’objets connectés pouvant servir de relais pour des attaques de très grande ampleur, s’inquiète Chris Moret, responsable de la cybersécurité chez Atos. Ces objets ne sont absolument pas protégés et cette attaque, qui est à mon sens un ballon d’essai, sera suivie d’autres… Qu’arrivera-t-il lorsque des pirates cibleront des infrastructures critiques, comme les systèmes de distribution d’électricité ou d’eau ? En cas de black-out, c’est tout un pays qui peut plonger dans le chaos en quelques heures. »

 

D’où vient l’attaque ?

Impossible pour l’heure de déterminer avec précision l’identité des cyberpirates ni leur localisation géographique. Certains experts, à l’image de James Scott de l’Institute for Critical Infrastructure Technology, estiment que la « sophistication » de l’assaut semble pointer du doigt des pirates travaillant pour le compte d’un Etat comme la Chine ou la Russie. D’autres y voient l’empreinte de hackeurs souhaitant rendre justice au fondateur de Wikileaks Julian Assange, réfugié à l’ambassade d’Equateur à Londres et dont l’accès à Internet a été récemment coupé.

 

Le virus « I love you », c’est fini

 

Les attaques informatiques d’ampleur paralysant la Toile et perturbant le quotidien de millions d’internautes à travers le monde sont-elles de retour ? On les croyait disparues depuis les années 2000 et les dégâts causés par les virus « I love you », « MyDoom » et autres, qui avaient paralysé jusqu’à 10 % des PC connectés de la planète.

 

Les cyberpirates, devenus cybercriminels à la recherche d’argent facile plutôt que d’exploits informatiques, s’étaient depuis concentrés sur des arnaques plus ciblées, multipliant les tentatives de rançonnage virtuel en envoyant par exemple des faux e-mails pour extirper numéros de compte et mots de passe à leurs victimes.

 

Vigilance accrue et antivirus ont réussi tant bien que mal à contenir tous ces assauts. Avec l’attaque massive dont ont été victimes des géants du Net, une nouvelle guerre se prépare. Problème : aucun antivirus n’est aujourd’hui proposé pour sécuriser les millions d’objets connectés qui lui servent de petits soldats.

Source

Publicités
 
Poster un commentaire

Publié par le 30 octobre 2016 dans général, Insolite, Sciences, société

 

Étiquettes : , , , , , , ,

Le blocage de sites internet par l’Etat est-il légal ?

Marteau de président

Ce Lundi 16 février, le Conseil d’Etat (l’instance suprême administrative de France) a décidé que le blocage et la déférence de sites internet pouvait être effectué par l’Etat, sans passer par une décision judiciaire.

Cette décision a été faite, alors que les associations Quadrature du Net, French Data Network, et la Fédération des Fournisseurs d’accès à Internet Associatifs recouraient contre les décrets n° 2015-125 et 2015-253 (respectivement des 5 février 2015 et 4 mars 2015) sur ces sujets. Ces décrets ont été émis en 2015 afin de mettre en application la loi anti-terrorisme du 13 novembre 2014 et de la loi Loppsi du 14 mars 2011. L’exécutif prendrait-il le dessus sur le judiciaire?Les avocats maîtres Emmanuel Daoud et Thierry Vallat nous donnent leur opinion sur cette décision judiciaire.

​Emmanuel Daoud : «Je considère que les associations requérantes avaient raison de saisir le Conseil d’Etat et de contester la validité de ces décrets. La décision du Conseil d’Etat (…) me semble incorrecte et infondée; dans la mesure où dès lors que l’on s’attaque à la liberté d’expression, dès lors que l’on interdit aux internautes de pouvoir utiliser comme ils le souhaitent, si une décision doit être prise, elle doit l’être à la suite d’un débat contradictoire devant le juge.

C’est le juge qui, en application de l’article 6 de la Constitution, est gardien de nos libertés individuelles; la liberté d’expression est une de nos libertés, et de mon point de vue, ce n’est pas à l’administration de procéder à ces blocages. »

Thierry Vallat: «La décision n’es pas complètement inattendue, et le Conseil d’Etat a validé les décrets et rejeté les demandes des associations. Les demandes étaient pourtant très bien fondées, car un certain nombre de griefs avait été formulé (notamment par Quadrature du Net) sur une atteinte disproportionnée à la liberté d’expression, sur une infraction à la séparation des pouvoirs (un des décrets ne prévoit pas l’intervention du juge), pour autoriser le blocage et le déférencement d’un site.Et ça pose un problème d’autant plus qu’aujourd’hui, un an après, l’état d’urgence est passé par là; on n’a même plus le filtre de la personnalité de la CNIL (…); maintenant on peut avoir des blocages hors de la vue du juge.

Un autre grief qui avait été formulé de manière pertinente par les associations concernait les référencements: le site bloqué renvoyait au Ministère de l’Intérieur, ce qui permettait à ce dernier d’obtenir les adresses I.P. des utilisateurs qui vont sur ce site, et d’intercepter les correspondances. »

Si le blocage d’un site répond à un impératif de sécurité publique, n’y a-t-il pas un risque de dérive, et dès lors, la légitimité de la sécurité perd-elle son sens?

​Emmanuel Daoud: «Nous avons vu dans l’actualité récente à l’occasion de l’état d’urgence, que des assignations à résidence, où des perquisitions avaient pu être opérées sur la base de notes blanches; ces assignations ont ensuite été annulées, puisque les éléments d’information fournis par le Ministre de l’Intérieur étaient vagues, insuffisants ou aléatoires. Quand la liberté de l’administration n’est pas encadrée par une surveillance du juge, il peut y avoir des abus; il ne me semble pas, que l’autorité administrative ne puisse, sous couvert d’impératifs de sécurité, avoir tous les droits.

Les utilisateurs de ce site bloqué se trouvent donc privés d’un moyen d’expression, et si le blocage est immédiat, il peut se passer des jours, des semaines avant le rétablissement soit obtenu. C’est en cela que le dommage est insupportable.»Les recours lancés auprès de la Cour Européenne des Droits de l’Homme ont-ils des chances d’aboutir?

Thierry Vallat : « La Cour Européenne des Droits de l’Homme a une vue différente des choses, et l’a récemment en Décembre dans son arrêt Cengiz concernant la Turquie et le blocage de Youtube dans ce pays; selon la Cour, le blocage d’une publication ne peut être ordonné de manière aussi rapide, et aucune disposition législative (comme les décrets français) ne suffirait pas.

Donc, sur les articles 8.1 et 10 de la Convention des Droits de l’Homme, la France risque d’être en tort; je pense qu’il y a une chance pour que le recours des associations auprès de la Cour puisse aboutir. Si la France est sanctionnée, ce ne sera pas la première fois, et mise à part la sanction pécuniaire, il n’y aurait pas d’effet immédiat, ni de suspension des décrets, donc on pourrait continuer avec les dispositions. »

La CNIL (Commission Nationale de l’Informatique et des Libertés) peut-elle y faire quelque chose?

Emmanuel Daoud : «La CNIL aurait pu être un acteur d’un contrôle avec un débat contradictoire, puisqu’il y a des procédures qui peuvent être amenées devant l’autorité administrative indépendante, qui a l’habitude de gérer des contentieux, et donc qui a cette culture du contradictoire. Sans juge, saisir la CNIL aurait pu avoir un sens. »

Cette décision du conseil d’Etat intervient une semaine après une autre décision de la même instance concernant un décret d’application de la loi de programmation militaire, qui permet aux services de renseignements d’obtenir, auprès des fournisseurs d’accès à internet, des données de connexion des usagers, sans autorisation judiciaire.

Une fois n’est pas coutume, la question de la liberté d’expression et la sûreté nationale se font face. Si une pesée des intérêts doit être faite entre les deux, elles sont cependant interdépendantes dans un état de droit. La France a été depuis les attentats de Charlie Hebdo épinglée, notamment au Conseil des Droits de l’Homme, pour certaines dérives liées aux politiques de lutte contre le terrorisme.
L’avenir nous dira si cette décision changera les modes de vie des Français, en améliorant leur sécurité au quotidien, ou, en restreignant l’accès aux données sur internet.

Source

 

Étiquettes : , , , , ,

Le Conseil d’État valide le blocage sans juge de sites Internet !


Le gouvernement peut donc désormais fermer un site (« provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique ») sans rien demander à personne et sans sommation, ce qui laisse la porte ouverte à toutes les dérives comme l’a affirmé l’ONU en personne qui « s’inquiéte des dérives sécuritaires en France » , je n’invente rien . Z

———————————————————-

 Le Conseil d’État a rejeté lundi deux recours exercés contre la procédure qui permet au ministère de l’Intérieur d’ordonner le blocage et le déréférencement de sites internet sans que leur illégalité soit confirmée par un juge. L’affaire ira devant la Cour européenne des droits de l’homme.

Le Conseil d’État a rejeté lundi deux recours exercés contre la procédure qui permet au ministère de l’Intérieur d’ordonner le blocage et le déréférencement de sites internet sans que leur illégalité soit confirmée par un juge. L’affaire ira devant la Cour européenne des droits de l’homme.

Moins d’une semaine après avoir jugé que l’accès aux données de connexion des internautes par les services de renseignement n’était pas disproportionné, le Conseil d’État a rejeté lundi deux recours exercés contre le blocage et le déréférencement de sites internet imposés sur ordre du ministère de l’Intérieur.

La haute juridiction administrative avait été saisie par l’association French Data Network (FDN), la Fédération FDN (FFDN) et La Quadrature du Net, qui contestaient la légalité de deux décrets publiés en début d’année dernière, en application de la loi anti-terrorisme du 13 novembre 2014, et de la loi Loppsi du 14 mars 2011 :

Le décret n° 2015-125 du 5 février 2015 relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique ;

Le décret n° 2015-253 du 4 mars 2015 relatif au déréférencement des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique.

Il s’agissait de savoir si, comme le prévoit la loi Loppsi de 2011 et la loi antiterrorisme 2014, l’État peut communiquer aux FAI et aux moteurs de recherche une liste de sites à bloquer ou à déréférencer, sans qu’un juge administratif ou judiciaire ait confirmé au préalable l’illégalité du contenu des URL en cause.

POSSIBILITÉ D’INTERCEPTION DES COMMUNICATIONS

 Concernant le blocage des sites internet, les demandeurs estimaient que la procédure violait la liberté de communication des internautes, qu’elle portait une atteinte disproportionnée à la liberté d’expression (qui comprend aussi la liberté de recevoir des informations), ou encore qu’elle enfreint la séparation des pouvoirs.

 

De façon plus inattendue mais très pertinente, le recours contestait également le fait que les internautes qui souhaitaient visiter des sites bloqués soient redirigés vers un site du ministère de l’Intérieur, ce qui lui permet potentiellement, à la fois de connaître les adresses IP de ceux qui vont sur des sites présumés pédophiles ou terroristes, mais aussi d’intercepter leurs correspondances. En effet, l’utilisation d’une redirection par DNS implique que l’ensemble du trafic est redirigé, y compris celui destiné aux serveurs e-mails des sites bloqués (si l’on bloque et redirige le domaine numerama.com, les mails destinés à bidule@numerama.com sont redirigés aussi).

Le Conseil d’État n’a cependant accepté aucun des arguments.

 

« LA CONVENTION DES DROITS DE L’HOMME N’IMPOSE PAS QUE LES MESURES DE BLOCAGE NE PUISSENT ÊTRE ORDONNÉES QUE PAR UN JUGE »

« Si elle implique que le ministère de l’Intérieur sera nécessairement destinataire des données de connexion des internautes tentant d’accéder à un site bloqué, cette réorientation des internautes […] ne constitue qu’une modalité de mise en œuvre du dispositif de blocage prévu par la loi et n’implique pas une atteinte au secret des correspondances qui n’aurait pu être prévue par celle-ci », balaye ainsi la juridiction, bien rapidement.

 

Pour les juges, ce n’est pas parce qu’une faculté technique illégale est rendue possible par le mode opératoire choisi, qu’il faut partir du principe que cette faculté sera effectivement exploitée. En l’absence de preuve contraire, il n’y a ni interception des correspondances, ni conservation des adresses IP de qui cherche à visiter des sites bloqués.

 

Sur le fond, mais sans s’en expliquer nullement, le Conseil estime également qu’il « ne résulte pas des stipulations de [la convention européenne des droits de l’homme] que les mesures de blocage et de déréférencement en cause ne puissent être ordonnées que par un juge ». Pour lui, la loi et ses décrets d’application permettent un blocage « sans atteinte à disproportionnée à la liberté d’expression », notamment parce qu’un recours est possible (pour ceux qui acceptent d’abandonner alors leur anonymat en se dévoilant en justice).

 

Aussitôt l’annonce des rejets connue, l’un de ses juristes et membre fondateur, Félix Tréguer, a indiqué qu’un recours serait déposé auprès de la Cour européenne des droits de l’homme (CEDH) .

Les deux textes attaqués font partie des raisons pour lesquelles des experts en droits de l’homme de l’ONU se sont joints dans un communiqué commun le mois dernier, pour s’inquiéter des dérives sécuritaires en France. « Nous tenons à réitérer nos inquiétudes, notamment en ce qui concerne l’absence de contrôle judiciaire sur les procédures de blocage des sites internet et sur le fait que les recommandations de l’autorité administrative n’aient pas de caractère juridiquement contraignant », avaient-ils écrit.

Le dispositif prévoit en effet que seule une personnalité de la CNIL peut contrôler l’application du droit de censure, mais sans que son avis confidentiel s’impose au ministère de l’Intérieur.

Le mécanisme est encore accentué en période d’état d’urgence, puisqu’il est prévu que les décisions de blocage puissent avoir un effet immédiat, sans aucun contrôle par la personnalité qualifiée de la CNIL.

Mise à jour :

En attendant notre analyse, voici l’arrêt du Conseil d’État (.pdf) concernant le décret du 5 février 2015 sur le blocage de sites internet :

Recours rejeté Decret 5 Fevrier

 

Étiquettes : , , , , , ,

La condamnation pénale de la visite de sites Web adoptée au Sénat !!!

senat-675.png

Proposé sans commentaires …. lisez bien ce qui suit .

« La seule lecture de sites internet deviendrait un délit en soi, selon le contenu de ces sites, peu importe l’adhésion ou non aux thèses exprimées »

Donné une fois de plus par Numérama, qui fait vraiment un superbe travail sur ces questions :

Les sénateurs ont imposé mardi le délit de consultation habituelle de sites faisant l’apologie du terrorisme, contre l’avis du gouvernement qui estimait que la lecture seule ne pouvait pas être un délit pénal.

Les sénateurs ont adopté mardi un article 10 à la proposition de loi antiterrorisme présentée par plusieurs sénateurs, qui vise à sanctionner pénalement le fait de consulter régulièrement des sites réputés d’apologie du terrorisme, peu importe l’adhésion ou non aux thèses exprimées. Il s’agissait d’une proposition devenue une obsession de Nicolas Sarkozy, malgré sa conformité tout à fait douteuse aux engagements internationaux de la France en matière de droits de l’homme, et en particulier de liberté d’expression et de communication — qui comprend le droit d’accéder à des informations.

« Sur le fond, il est évident que depuis des années, le législateur réfléchit à la manière d’être efficace par rapport à ce que l’on constate sur Internet. Mais il me semble que depuis 2012, le législateur a fait tout ce qu’il pouvait faire dans ce domaine », a estimé en séance le nouveau ministre de la Justice, Jean-Jacques Urvoas. « Ce qui est ici proposé, de créer un délit habituel de visite… ça ne peut pas être le seul fondement à une incrimination », a-t-il ajouté, en vain.

OPPOSITION DU GOUVERNEMENT

Urvoas reprenait ainsi la doctrine d’ores et déjà établie par Bernard Cazeneuve, mais le Sénat a estimé qu’il fallait aller plus loin que la loi actuelle. La consultation de sites internet de sites terroristes est déjà une infraction prévue dans le code pénal, mais il ne s’agit pas encore d’une infraction autonome. Elle ne peut être condamnée que si elle est fait en lien avec un projet terroriste, ce qui n’est pas le cas du simple citoyen qui se contente de s’informer sur des sites édités par un ennemi, ou supposé tel. Avec l’article 10 tel qu’adopté, la seule lecture de sites internet deviendrait un délit en soi, selon le contenu de ces sites.

UNE POLICE DE CE QUE L’ON A LE DROIT DE REGARDER

«  On entre dans une police de ce que l’on a le droit de regarder, et ce que l’on a pas le droit de regarder », s’est indigné le sénateur Jean-Louis Masson. « Tant qu’on est chez nous et qu’on regarde chez soi, je ne vois pas pourquoi on irait y mettre du pénal ».

L’article 10 prévoit par ailleurs de condamner de 5 ans de prison le fait de créer des sites miroirs de sites internet bloqués. « Il est évident que le blocage judiciaire est la solution qu’il faut espérer voir se développer. On sait que ça a un effet d’éteindre le site », s’est félicité sur ce point M. Urvoas.

Plus tôt, le ministre avait également échoué à faire échec aux chevaux de Troie que pourraient imposer les juges d’instruction.

 

Étiquettes : , , , , , ,

 
%d blogueurs aiment cette page :