China and cyber-war

In the last few months, there have reportedly been many cyber-attacks by China, in the US, UK, Germany and France.

See this article… 

Mise à jour : Article sur Zone-H 

Update : Jonathan Evans, Director-General of MI5 (UK’s secret service), has sent a letter to 300 chief executives and security chiefs in banks and accounting and legal firms telling them that they are under attack from “Chinese state organisations”. Rolls-Royce and Royal Dutch Shell are reported to have fallen victim to Chinese espionage attacks.

Logiciel propriétaire contre logiciel libre (open source)

Traduction d’une note de Bruce Schneier :

Voici une citation d’un responsable des élections à Los Angeles :

« Le logiciel développé pour InkaVote [système de vote informatique] est un logiciel propriétaire. Tout logiciel développé par des fournisseurs est propriétaire. Je pense qu’il est bizarre que certains ne veulent pas qu’il soit propriétaire. Si vous donnez aux gens le code source ouvert, elles auraient les infos sur la façon de le pirater. Nous pensons que la nature du logiciel propriétaire est bonne pour la sécurité. »

Elle est drôle, vraiment. Elle aurait dû dire : « Je pense qu’il est bizarre que les gens qui sont experts en sécurité informatique ne veulent pas que le logiciel soit propriétaire. Parlant en tant que quelqu’un qui n’y connaît rien en sécurité informatique, je pense que le secret est capital. » C’est une citation plus réaliste.

Comme je l’ai souvent dit, la sécurité ne découle pas du secret. Et souvent, le secret affaiblit la sécurité.

[Mise à jour] C’est marrant, quelques heures après avoir publié cette note, voilà que je tombe sur une confirmation du bien fondé de la critique de Schneier (via Infos du Net) :

Le concept du vote électronique n’est pas toujours très bien accueilli en France, mais il est bien ancré aux Etats-Unis, ce qui rend cette info si sensible. Des hakers ont démontré la possibilité de remplacer en quelques minutes la mémoire CompactFlash de l’ordinateur à voter par une autre, faisant booter la machine dessus et éxécutant un virus.

Problème, le malware permet de voler des voix de manière invisible, et peut contaminer d’autres machines en réseau sur le même district. Or ces appareils sont portables et peuvent être amenées aux domiciles des responsables juste avant les élections. De plus, il n’y a pas de documentation sur leur fonctionnement interne et peu de traces papiers.

DieBold, créateur du système, a utilisé la justice pour éviter des audits de sécurité et museler les critiques. Des solutions ouvertes et documentées car OpenSource existent mais la société refuse toute discussion. Le débat contestataire sur les résultats tendancieux des présidentielles Bush / Al Gore pourrait bien refaire surface.

Passeports RFID lancés aux Etats-Unis aujourd’hui

Malgré les réticences et les interrogations de nombreuses organisations quant à la sécurité du dispositif, le Département d’Etat américain lancera comme prévu les premiers passeports équipés d’un marqueur RFID à partir de lundi.

Rappelez vous qu’il a été démontré que les passeports RFID sont piratables et qu’il est possible de les dupliquer. (Plus d’infos...)

Ce sont les sociétés Infineon et le français Gemalto qui ont remporté le contrat de production, ce dernier ayant déjà reçu les commandes fermes. Son représentant estime que le marché est conséquent, puisque les passeports RFID vont remplacer les versions papier et que le Département d’Etat américain a émis 10 millions de passeports en 2005 et prévoit d’atteindre les 13 millions cette année.

Un passeport électronique coûtera $97, comprenant une taxe de $12 introduite l’année dernière.

Sachez que VISA, MasterCard, et American Express proposent déjà des CB sans-fil.

Une note d’humour : La solution pour se protéger

sources : MobiGeeks - Wired - Ars

Les passeports RFID déjà  contrefaits

Une petite note en passant pour signaler qu’il est déjà possible de cloner les passeports nouvelle génération qui commencent a être imposés un peu partout "pour augmenter la sécurité (suite au 11 septembre) et luter contre le vol d’identité" et le développeur du logiciel RFDump (un logiciel libre qui permet de lire et écrire sur des puces RFID) en a fait la démonstration à la conférence Black Hat Security de Las Vegas.

Signalons aussi que la VeriChip dont je vous ai déjà parlé a aussi été clonée.

Plus de détails en anglais : The Register - [autre article] - Wired
et en français : Journal du Net - Mag Securs

Des insectes contrôlées à distance

Dans quelques années, des insectes contrôlées à distances et portant de mini caméras et autres capteurs pourraient être utilisés dans de nombreuses missions délicates, comme par exemple lors d’un tremblement de terre ou les insectes pourraient ramper sous les décombres afin de localiser les victimes ou éventuellement se glisser sous une porte pour des missions d’espionnage ou de surveillance.

"Nous avons rencontré un incident la semaine dernière, lorsque nous avons envoyé un insecte dans un conduit d’aération pour une simple fuite d’air. Lorsque nous lui avons demandé de tourner à droite, il nous a répondu en nous demandant notre adresse email." S’amuse le professeur auxiliaire Isao Shimoyama, chef de l’équipe de recherche de bio robotique.

Le gouvernement japonais a considéré le projet assez crédible pour attribuer 5 millions de dollars à l’équipe de recherche en micro robotique du professeur Shimoyama, et aux biologistes à l’université de Tsukuba, un des principaux centre de recherches scientifiques au Japon.

Les insectes minutieusement sélectionnés sont équipés d’une sorte de sac à dos high-tech, composés d’un ensemble de minuscules microprocesseurs et d’électrodes. Les ailes et les antennes sont remplacées. A la place des antennes les chercheurs ont adapté des électrodes émettant des impulsions. Les chercheurs envoient des signaux au sac à dos, qui stimulent les électrodes, les palpitations des électrodes permettent alors à l’insecte de tourner à droite, à gauche ou de continuer tout droit.

D’après le professeur Shimoyama, "cette technologie n’est pas aussi difficile qu’elle en à l’air, la seule difficulté est de vraiment comprendre ce qui se passe dans le système nerveux de l’insecte."

via VieArtificielle.com

Big Brother Awards

Chaque année, Privacy International, une ONG présente dans une quinzaine de pays, décerne des “Big Brother Awards” aux institutions, sociétés ou personnes s’étant distinguées par leur mépris du droit à la vie privée ou par leur promotion de la surveillance et du contrôle des individus.

En France, et pour la 6e année consécutive, les BBA seront décernés vendredi 3 février 2006 à partir de 19h à Confluences
(190 bd de Charonne, 75020 Paris - M° Alexandre Dumas).

La cérémonie sera précédée d’une projection de court-métrages, clips, documentaires auto-produits et indépendants qui retracent les dérives du tout-sécuritaire, les tentations de la “tolérance zéro” et la surveillance généralisée des espaces publics et de la sphère privée.

MAJ: Les résultats sont disponibles…

RFID, projet de loi : un implant pour chaque citoyen

L’ancien secrétaire de la santé du Président Bush, Tommy Thompson met la touche finale à  un plan qui pourrait avoir comme conséquence que les citoyens des USA aient une micro-puce d’identification par radiofréquence (RFID) insérée sous leur peau, a appris The Business.

Les capsules RFID seraient liées à  une base de données informatisée créée par le département (= ministère) de la santé des USA afin de stocker et de contrôler les registres de santé de la nation. Cela pourrait être le précurseur d’un projet semblable au Royaume-Uni.

Le budget du président pour 2006 continue à  soutenir l’utilisation de la technologie concernant l’information de santé en augmentant le financement à  125M$ pour les projets pilotes.

Thompson, qui est à  présent un directeur d’Applied Digital Solutions, la compagnie qui fabrique les micro-puces, a l’intention de publier la proposition dans les 40 prochains jours; d’ici là , il projette de s’être fait insérer une VeriChip dans son bras. Thompson croit que les capsules pourraient aider à  sauver des milliers des vies chaque année.

Le porte-parole de VeriChip, John Procter, dit qu’environ 98 000 personnes meurent “inutilement” chaque année aux USA après avoir reçu un traitement inadéquat parce que leurs antécédents médicaux n’étaient pas disponibles.

“Il y a une vaste gamme de personnes qui pourrait tirer bénéfice d’avoir une puce RFID insérée sous la peau en tant qu’assurance contre un accident.

Les gens qui possèdent des réactions défavorables à  certains médicaments tels que la pénicilline, les gens ayant des pacemakers, les gens ayant des allergies, les gens ayant un coeur faible, seraient plus en sécurité via un processus qui coûte autour des $200 par personne.

En fait, pratiquement chacun pourrait retirer du bénéfice de se faire pucer.”

Tellement de “bienfaits” sans aucun “effet secondaire” ?…

La compagnie a l’intention de faire pression sur les autorités britanniques de la santé pour injecter les puces dans les patients britanniques.

Les groupes de libertés civils tels que CASPIAN aux USA craignent que le besoin de sécurité accrue suite aux attaques terroristes pourraient agir en tant que catalyseur pour un usage plus répandu de la VeriChip.

La grenouille ne sent plus une partie de ses membres («Si vous sautez dans de l’eau bouillante, vous en ressortirez aussitôt. Mais votre réaction ne sera pas la même si l’on élève la température progressivement. On a l’impression d’être passé aujourd’hui au niveau supérieur, et l’eau n’est plus du tout à température ambiante, elle se réchauffe carrément»)…

Source: PC Inpact