Prison ou « Prism » ? Vos données en garde à vue

« Envoyez vos données dans le cloud et faites-les... se vaporiser » était un de nos articles du Bulletin en 2011. Nous avons été imprécis. Nous aurions dû le titrer « Envoyez vos données dans le cloud et mettez-les à disposition d'une agence de sécurité nationale ».

 

Ce qui a longtemps été redouté a récemment été confirmé par Edward Snowden : avec des liens dans Microsoft, Google, Facebook, Apple, Skype, AOL et Yahoo, « Prism », le programme de surveillance de la NSA (Agence de sécurité américaine), surveille les e-mails, chats, vidéos, photos, données stockées ou transmises ainsi que les vidéos-conférences, principalement d’étrangers utilisant ces services... Voici donc que nos données sont prises au piège... et analysées.

Mais elles ne sont pas seulement prises au piège par la NSA. Si vous avez synchronisé vos fichiers, musiques et photos avec le iCloud d’Apple, le SkyDrive de Microsoft ou avec Dropbox ; si vous avez reçu des appels téléphoniques ou des messages sur Skype* ; si vous avez géré vos mails avec Gmail ou Hotmail ; ou si vous avez installé une application tierce sur votre smartphone, soyez sûr que vos données ont déjà été analysées. Car Google, Facebook ou Dropbox décortiquent vos données privées pour établir votre profil et identifier vos intérêts, vos préférences de consommateur, convertir votre identité digitale en un modèle statistique composé de zéros et de uns. Scientia potentia est (« le savoir est pouvoir ») - mais seulement pour ces compagnies.

Laissez-nous donc vous encourager à réétudier une fois de plus les conséquences de votre utilisation des services cloud à des fins professionnelles, mais aussi dans votre vie privée. La protection des données est la responsabilité de tous - en particulier lorsque nous traitons des données appartenant à l'Organisation. Assurez-vous qu’il n’y ait pas de fuites de documents sensibles ou de fichiers personnels via ces services. Ceci inclut les données fournies à des applications de commodité comme les services de réduction d’URL (comme TinyURL.com) ou les outils de questionnaires en ligne (tels que SurveyMonkey). Évitez d’installer des programmes qui se synchronisent avec le stockage cloud (comme le module « Dropbox ») sur votre PC , et n’utilisez pas les applications pair-à-pair qui exportent le contenu de certains dossiers locaux sur internet. « Évitez les fuites de courrier », surtout lorsque les e-mails de votre adresse CERN sont automatiquement redirigés vers un fournisseur de courrier externe comme Hotmail ou Gmail.

Rappelez-vous en revanche que le CERN fournit des services similaires (il faut avouer que ceux-ci ne sont pas toujours aussi confortables d’utilisation, mais ils sont par contre bien mieux contrôlés) : votre boîte e-mail du CERN est disponible depuis internet, tout comme vos fichiers stockés sur DFS ou AFS. CERN GO et les services Sharepoint fournissent des réductions d’URL ainsi que des outils pour créer des questionnaires. Les sessions à distance sont possibles en passant par le cluster LXPLUS ou le service CERN Windows terminal. Pourquoi donc ne pas utiliser un service en lequel vous pouvez avoir confiance et qui est en conformité avec les règles du CERN (comme les lignes de base de sécurité du CERN et la nouvelle politique de protection des données personnelles du CERN) ? Vérifiez les différentes façons de se connecter sur internet depuis le CERN ici.

Finalement, sachez que naviguer sur internet n’est pas anonyme du tout. Selon le navigateur que vous utilisez, il révèle déjà de nombreuses informations : la langue locale, la zone horaire, la taille de l’écran, les modules installés, les polices système disponibles, etc. Comme ces paramètres peuvent beaucoup varier, cela signifie que la probabilité que vous et moi ayons les mêmes paramètres est très faible. Pour cette raison, cette information peut être utilisée pour cibler votre navigateur et vous identifier de façon unique lorsque vous naviguez sur le web... Si vous ne le croyez pas, vérifiez Panopticlick et notez que quelques modules de navigateurs comme Stealher, ou les paramètres de sécurité comme la navigation privée peuvent mettre les chances de votre côté. Notez également que si vous êtes connecté avec votre compte Google ou Facebook, ils peuvent établir un profil de votre activité, même en dehors de leurs domaines. Ceci est principalement dû à l’utilisation très répandue des annonces/analyses de Google et des boutons « J’aime » de Facebook : le code intégré est directement réinjecté dans votre profil Google et Facebook... Pour un peu plus de confidentialité, déconnectez-vous à chaque fois que vous n’avez pas besoin d’être connecté, et prévoyez d’installer quelque chose comme le module Ghostery dans votre navigateur.

Pour de plus amples informations, contactez l'équipe de sécurité informatique ou consultez notre site web.


* Microsoft, le nouveau propriétaire de Skype, s’est récemment fait reprocher le fait que lorsque les utilisateurs « envoient des URL HTTPS par le service de messagerie instantané, ces URL reçoivent une visite non annoncée de Microsoft HQ à Redmond ». Microsoft a répondu que ceci avait pour objectif de filtrer les spams et les sites frauduleux, mais cet argument n’a pas vraiment convaincu les experts en sécurité.

Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team