Sauvegardés et disparus...
Vous souvenez-vous comme il est facile de perdre vos mots de passe pour les applications web (« Ne laissez pas Chrome exposer vos mots de passe » (voir ici) ? Cette fois, nous voyons plus grand, et allons discuter de la facilité de perdre les mots de passe de tous les points d'accès sans fil que vous avez visités jusqu'ici. Vous avez juste besoin d'avoir Android sur votre smartphone...
_image.jpg?subformat=icon)
Apparemment, Google capturait déjà les points d'accès sans fil pendant sa campagne Streetview, mais l’entreprise a été contrainte de cesser cette pratique, notamment après la plainte de défenseurs de la protection des données. De toute façon, cela avait été fait « par erreur ».
Avec Android, qui domine aujourd'hui le marché des smartphones, Google est de retour. Android (version 2.2 et plus) offre une fonctionnalité utile qui, par défaut, stocke les identifiants (SSID) et les mots de passe des points d'accès sans fil, de sorte qu'ils ne vous soient pas demandés à chaque connexion. La partie intéressante est que, lorsque les données du smartphone sont automatiquement sauvegardées dans les centres de données Google, les SSID et les mots de passe associés ne sont pas chiffrés. Ainsi, Google a un accès complet à ces données et pourrait, potentiellement, produire un « plan d'accès gratuit » à de nombreux points d'accès sans fil dans le monde entier. Pour sûr, cela aiderait certaines agences gouvernementales anonymes. Et en plus des mots de passe wifi, votre trousseau de clés est maintenant aussi automatiquement synchronisé, et avec, vos mots de passe CERN et privés. Sans parler de toutes vos autres données (photos, mails, vidéos, applications...), qui se vaporisent une fois sauvegardées dans le cloud de Google (voir l'un de nos articles du Bulletin à ce sujet : « Envoyez vos données dans le « Cloud » et faites-les ... se vaporiser »).
Cependant, les Macs d'Apple ou les iPhones ne sont pas plus sûrs. Une fois qu'iCloud a été activé, votre appareil duplique régulièrement toutes les informations dans les centres de calcul d'Apple : applications, musiques et films pourraient ne pas poser de problème, car vous les avez très probablement achetés via la boutique iTunes. Mais qu'en est-il de vos agendas, mails, photos et films ? Il est à la discrétion d'Apple d'analyser ces données et de les utiliser à des fins publicitaires (ou pour les agences mentionnées ci-dessus). Pire encore, alors qu’aujourd'hui vous pouvez toujours désactiver la fonctionnalité « iCloud » (iOS > Paramètres > Général > Utilisation), à l'avenir, cela pourrait ne plus être possible (notamment avec OS X Mavericks).
En termes plus directs, cela impliquerait que les utilisateurs d'iOS seraient forcés par Apple de fournir toutes leurs données (ou d'abandonner leur iPhone). De plus, Apple n'est pas le seul à viser vos données. LinkedIn a récemment publié une application qui dévie tous vos mails via leurs serveurs centraux pour l'extraction de données. Ainsi, avec la NSA et le GCHQ nous espionnant d'un côté, et les grandes entreprises comme Apple et Google faisant de même de l'autre, que nous reste-t-il, à part soupirer, baisser les bras et laisser faire ? Détruire notre téléphone et revenir à l'âge de pierre de la communication ? Se rallier et espérer que les politiciens s'attaquent à ce sujet ? Être moins paranoïaques que les membres de la sécurité du CERN ? Nous sommes très curieux de connaître votre avis sur la question !
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
