PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

CyberCrime@Octopus (DG1/3021)

samedi 14 décembre 2013 à 15:11

UE-MS-failLa lutte contre la cybercriminalité ne se met pas en place qu’au niveau national avec les différents outils que nous connaissons aujourd’hui ou avec la Loi sur la Programmation Militaire (relative à la cyberdéfense et à la “prévention” des risques). Au niveau européen, ça bouge également. Nous connaissions déjà INDECT visant à mettre en place des outils de détection comportementale. Voici aujourd’hui le projet CyberCrime@Octopus : Octopus Project (PDF 175Ko).

CyberCrime@Octopus est porté par le Conseil de l’Europe et résulte de la convention de Budapest sur la prévention de la cybercriminalité, la lutte contre délinquance économique, la xénophobie et le racisme, et de la protection de l’enfance (…) bref, on ratisse assez large.

Notez que sur le papier, ce projet se veut très respectueux des libertés publiques, notamment en matière de confidentialité, de respect des procédures etc… il n’y aurait donc pas de quoi crier au loup au niveau européen, mais le regard critique peut venir de l’examen des outils techniques et juridiques mis en place dans chaque états membres que la Convention de Budapest vise à souder au sein de la CE, en proposant des passerelles d’échanges et de mutualisation entre états membres. La coopération policière est une nécessité, la délinquance ne l’ayant pas attendu. Ce n’est donc pas CyberCrime@Octopus lui même qui pose problème, il est même plutôt apporteur de solutions.

Dans le document qui décrit le projet CyberCrime@Octopus, on apprends que 2012 et 2013 ont marqué pour la Convention de Budapest un soutien politique, et donc un budget, pour mettre en place des outils dédiés. Une coopération accrue entre états membres portant sur l’accès aux données est notamment évoqué. Jusque là, rien de plus normal… mais le Projet CyberCrime@Octopus c’est aussi et surtout des intervenants privés. Et c’est là que ça se complique.

The Cybercrime Convention Committee (T-CY) assumed a stronger role, among other things by preparing Guidance Note as well as working on solutions for transborder access to data.

On parle ici d’accès transfrontalier aux données, rien de plus normal entre services européens, et puis de toutes façons, même si nos services n’échangeaient pas entre eux, il y aurait toujours le GCHQ britannique pour tout aspirer et communiquer les données des européens à la NSA.

Le chapitre français du projet s’est tenu à Strasbourg en juin 2012 porté par la division de la protection de données et de la cybercriminalité DG des droits de l’homme et de l’état de droit
Conseil de l’Europe portait sur les points suivants :

Points clés

  • L’accès transfrontalier aux données et la compétence dans le contexte de « cloud computing »
  • La mise en commun de l’ information

Mise à jour

  • Les menaces de la cybercriminalité et la tendance
  • La mise en œuvre de la Convention de Budapest sur la cybercriminalité
  • Les politiques et les initiatives des organisations internationales et du secteur privé dans le domaine de la cybercriminalité

Ateliers

  • La législation: l’état des lieux de la législation sur la cybercriminalité
  • La protection en faveur des enfants contre l’exploitation sexuelle
  • La sécurité et les droits fondamentaux : la protection des données personnelles et la sauvegarde et les conditions de procédure

Et COnseil de l’Europe, à votre avis, elle fait quoi après avoir “vivement réagi” suite aux révélations d’Edward Snowden ?

Un OpenBar à l’européenne ?

Elle se réjouit de son partenariat avec Microsoft …normal. Reste plus qu’à connaitre les modalités de ce partenariat et sur quoi porte ce partenariat et la contribution de Microsoft dont la Commission semble si fière… un système d’échange de données transfrontalier que l’on confierait à une entreprise soumise au Patriot Act?

« Nous nous réjouissons de poursuivre notre partenariat de longue date avec le Conseil de l’Europe pour promouvoir la Convention de Budapest sur la cybercriminalité. Notre priorité est de créer un environnement informatique plus sûr, plus fiable et mieux protégé. Nous avons pris l’engagement de respecter la vie privée et la sécurité des utilisateurs. Il est essentiel de soutenir le travail du Conseil de l’Europe dans ce domaine important pour atteindre ces deux objectifs »

 

CyberCrime@Octopus (DG1/3021)

samedi 14 décembre 2013 à 15:11

UE-MS-failLa lutte contre la cybercriminalité ne se met pas en place qu’au niveau national avec les différents outils que nous connaissons aujourd’hui ou avec la Loi sur la Programmation Militaire (relative à la cyberdéfense et à la « prévention » des risques). Au niveau européen, ça bouge également. Nous connaissions déjà INDECT visant à mettre en place des outils de détection comportementale. Voici aujourd’hui le projet CyberCrime@Octopus : Octopus Project (PDF 175Ko).

CyberCrime@Octopus est porté par le Conseil de l’Europe et résulte de la convention de Budapest sur la prévention de la cybercriminalité, la lutte contre délinquance économique, la xénophobie et le racisme, et de la protection de l’enfance (…) bref, on ratisse assez large.

Notez que sur le papier, ce projet se veut très respectueux des libertés publiques, notamment en matière de confidentialité, de respect des procédures etc… il n’y aurait donc pas de quoi crier au loup au niveau européen, mais le regard critique peut venir de l’examen des outils techniques et juridiques mis en place dans chaque états membres que la Convention de Budapest vise à souder au sein de la CE, en proposant des passerelles d’échanges et de mutualisation entre états membres. La coopération policière est une nécessité, la délinquance ne l’ayant pas attendu. Ce n’est donc pas CyberCrime@Octopus lui même qui pose problème, il est même plutôt apporteur de solutions.

Dans le document qui décrit le projet CyberCrime@Octopus, on apprends que 2012 et 2013 ont marqué pour la Convention de Budapest un soutien politique, et donc un budget, pour mettre en place des outils dédiés. Une coopération accrue entre états membres portant sur l’accès aux données est notamment évoqué. Jusque là, rien de plus normal… mais le Projet CyberCrime@Octopus c’est aussi et surtout des intervenants privés. Et c’est là que ça se complique.

The Cybercrime Convention Committee (T-CY) assumed a stronger role, among other things by preparing Guidance Note as well as working on solutions for transborder access to data.

On parle ici d’accès transfrontalier aux données, rien de plus normal entre services européens, et puis de toutes façons, même si nos services n’échangeaient pas entre eux, il y aurait toujours le GCHQ britannique pour tout aspirer et communiquer les données des européens à la NSA.

Le chapitre français du projet s’est tenu à Strasbourg en juin 2012 porté par la division de la protection de données et de la cybercriminalité DG des droits de l’homme et de l’état de droit
Conseil de l’Europe portait sur les points suivants :

Points clés

  • L’accès transfrontalier aux données et la compétence dans le contexte de « cloud computing »
  • La mise en commun de l’ information

Mise à jour

  • Les menaces de la cybercriminalité et la tendance
  • La mise en œuvre de la Convention de Budapest sur la cybercriminalité
  • Les politiques et les initiatives des organisations internationales et du secteur privé dans le domaine de la cybercriminalité

Ateliers

  • La législation: l’état des lieux de la législation sur la cybercriminalité
  • La protection en faveur des enfants contre l’exploitation sexuelle
  • La sécurité et les droits fondamentaux : la protection des données personnelles et la sauvegarde et les conditions de procédure

Et COnseil de l’Europe, à votre avis, elle fait quoi après avoir « vivement réagi » suite aux révélations d’Edward Snowden ?

Un OpenBar à l’européenne ?

Elle se réjouit de son partenariat avec Microsoft …normal. Reste plus qu’à connaitre les modalités de ce partenariat et sur quoi porte ce partenariat et la contribution de Microsoft dont la Commission semble si fière… un système d’échange de données transfrontalier que l’on confierait à une entreprise soumise au Patriot Act?

« Nous nous réjouissons de poursuivre notre partenariat de longue date avec le Conseil de l’Europe pour promouvoir la Convention de Budapest sur la cybercriminalité. Notre priorité est de créer un environnement informatique plus sûr, plus fiable et mieux protégé. Nous avons pris l’engagement de respecter la vie privée et la sécurité des utilisateurs. Il est essentiel de soutenir le travail du Conseil de l’Europe dans ce domaine important pour atteindre ces deux objectifs »

 

Flattr this!

Interceptions légales, technologies duales et commerce d’armes électroniques entre amis

samedi 23 novembre 2013 à 20:37

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler “des vraies inquiétudes des français” (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon “ton dramatique” et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Capture d’écran 2013-11-23 à 19.42.11

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale “nation wide”, un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des “technologiques duales grand public” “destinées à de l’interception légale”.

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et “alégal” de ces pratiques.

De la technologie duale

Capture d’écran 2013-11-23 à 19.48.57

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire “les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

caramba-550x451

Et quand on fabrique des bombes, toutes aussi duales et “grand public” soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une “petite dictature” qui a lâché la première bombe atomique.

 

Interceptions légales, technologies duales et commerce d’armes électroniques entre amis

samedi 23 novembre 2013 à 20:37

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler « des vraies inquiétudes des français » (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon « ton dramatique » et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Capture d’écran 2013-11-23 à 19.42.11

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale « nation wide », un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des « technologiques duales grand public » « destinées à de l’interception légale ».

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et « alégal » de ces pratiques.

De la technologie duale

Capture d’écran 2013-11-23 à 19.48.57

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire « les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

caramba-550x451

Et quand on fabrique des bombes, toutes aussi duales et « grand public » soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une « petite dictature » qui a lâché la première bombe atomique.

 

Flattr this!

#Cloud #Quantique : La phrase qu’elle est con du #Trolldi

vendredi 22 novembre 2013 à 12:03

cloudASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Sourcehttp://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.