Accueil Le blog

La Chine se lance dans un ménage des services VPN non-autorisés

image dediée

Le ministère de l’Industrie et des communications chinois s’attaque aux services VPN qu’il n’a pas autorisé. Cette décision pourrait s’appliquer en priorité aux acteurs étrangers, via des méthodes qu’il semble encore difficile de connaître.

La Grande Muraille de l’Internet chinois est en cours de rénovation. En pleine vague de censure d’outils de communication dans plusieurs pays, le ministère de l’Industrie et des communications annonce un « ménage » des réseaux privés virtuels (VPN), couramment utilisés pour contourner la censure de nombreux sites. L’opération, qui a commencé, doit se terminer au 31 mars 2018.

La mesure concerne notamment les sites étrangers, dont des réseaux sociaux, qui ne respectent pas les mêmes règles que les acteurs locaux, comme WeChat et Weibo. Ce serait le cas de plus d’une centaine de sites parmi les plus visités dans le monde.

Les VPN déjà sous un contrôle important

Dans les faits, les réseaux privés virtuels qui n’obtiennent pas une autorisation gouvernementale explicite ne pourront plus être utilisés. Ce comportement est loin d’être nouveau. En 2012, le gouvernement avait déjà pris des mesures contre les VPN, dont les étrangers. Un opérateur prévenait même des entreprises qu’il couperait les connexions utilisant des outils non-autorisés, alors que certains outils étaient rendus inutilisables. En mars dernier, des services étaient utilisables pendant plusieurs jours, au moment du congrès du Parti.

« Le marché des connexions Internet […] présente des signes de développement désordonné, qui demandent une régulation et une gouvernance urgentes » affirme le ministère dans son annonce. Contactés par le South China Morning Post, deux gestionnaires de VPN (ExpressVPN et VyprVPN) disent être au courant du problème. VyprVPN travaillerait à une solution.

Des méthodes de blocage vagues

Les méthodes utilisées dans ce ménage ne sont pas définies. Pour le Washington Post, il s’agit d’un oubli volontaire, la rédaction du communiqué étant assez vague pour laisser le champ technique libre. Il peut tout de même être noté que l’annonce est destinée aux administrations, collectivités et opérateurs nationaux, ces derniers ayant déjà redoublé de zèle pour appliquer les vagues précédentes de blocage.

Le journal économique américain estime, par ailleurs, qu’il s’agit d’une opération destinée à lutter contre l’usage domestique des VPN, plutôt que celui des multinationales implantées dans le pays. Ces dernières ne sont pourtant pas hors de danger, loin de là. Comme l’expliquait en 2012 l’opérateur BT, qui sert surtout des clients professionnels, la situation était déjà difficile à l’époque pour les acteurs étrangers, confrontés au contrôle strict des autorités sur leur activité.

nextinpact

Couverture 4G : Orange en tête avec 88 % de la population, suivi par Bouygues Telecom et SFR

image dediée

En l’espace de quelques jours, Bouygues Telecom, Orange et SFR ont publié leur taux de couverture 4G, avec des scores allant de 81 à 88 %. Une guerre de communication alors que Bouygues Telecom vient de lancer sa 4G Box, pour certaines zones seulement.

Alors que la 5G fait parler d’elle par épisodes, notamment avec la multiplication d’expérimentations, la 4G continue d’être au centre de la guerre de communication que se livrent les opérateurs. Plus précisément, c’est le taux de couverture qui est au cœur des annonces de ces derniers jours, et ce, chez trois des quatre opérateurs qui disposent d’une licence.

Sur le podium : Orange, Bouygues Telecom et SFR

Bouygues Telecom était le premier à ouvrir le bal en marge de sa conférence sur la 4G Box (voir notre compte rendu), en revendiquant 85 % de la population au 1er janvier 2017. Quelques heures plus tard, Orange lui répondait du tac-o-tac avec 88 % de la population. Hier, c’était au tour de SFR d’entrer dans la danse avec 81 % de la population. De son côté, Free Mobile ne communique que très rarement pas sur le sujet, il faudra donc certainement attendre le prochain bilan de l’Arcep afin d’en savoir davantage.

Du côté des prévisions, Bouygues Telecom veut couvrir 99 % de la population fin 2018. Un objectif partagé par SFR, qui pose un jalon à 90 % d’ici la fin de l’année. Rappelons que les deux opérateurs travaillent sur la mutualisation de leurs réseaux mobiles via le projet Crozon. Comme nous avons déjà eu l’occasion de l’évoquer à plusieurs reprises, les quatre opérateurs nationaux proposent de la 4G+ (ou LTE Advanced) dans certaines zones, c’est-à-dire de l’agrégation de plusieurs fréquences afin d’augmenter les débits.

Pour rappel, les opérateurs qui disposent d’une licence dans la bandes des 800 MHz (Bouygues Telecom, Orange et SFR, Free n’ayant pas remporté d’enchère) doivent avoir couvert au moins 40 % de la population dans les zones peu denses. Le régulateur a déjà confirmé qu’il allait mener une campagne de mesures au cours du premier trimestre afin de vérifier que c’est bel est bien le cas. Nous aurons l’occasion de faire le point lorsqu’il publiera son bilan.

Bouygues Telecom et sa 4G Box

Pour Bouygues Telecom, la 4G a une importance toute particulière puisque le fournisseur d’accès à Internet vient de lancer sa 4G Box, présentée comme une alternative aux oubliés de l’ADSL… du moins en théorie. En pratique en effet, c’est au petit bonheur la chance. Alors que certaines lignes ADSL relativement longues (et donc avec des débits faibles) n’ont pas accès à la 4G Box, d’autres éligibles au VDSL (avec des débits pouvant atteindre plusieurs de dizaines de Mb/s en téléchargement) mais non dégroupées par l’opérateur peuvent en profiter.

Être ou non en zone étendue n’est pas un critère nous affirme l’opérateur, avant d’ajouter qu’il ne propose pas de carte de couverture pour sa 4G Box, « uniquement un moteur d’éligibilité » sur son site… ce qui lui permet au passage de récupérer des informations sur d’éventuels futurs clients.

nextinpact

Le ministère de l’Intérieur se dote d’un délégué aux cybermenaces

image dediée

Dès demain, la Place Beauvau disposera officiellement d’un délégué ministériel chargé de la « lutte contre les cybermenaces ». Ce fonctionnaire appuiera les choix de l’exécutif tant en matière d’achats que de stratégie de défense, mais également sur le plan juridique.

Au travers d’un décret paru mardi 24 janvier au Journal officiel, le gouvernement a élargi les compétences de l’actuel délégué du ministère de l’Intérieur aux industries de sécurité (institué en 2014) à la lutte contre les cybermenaces. Cela signifie que l’intéressé sera dorénavant appelé à « développer et protéger la capacité industrielle et technologique de la nation », à l’aide de plans d’action ministériels, d’éventuels partenariats avec des entreprises ou d’autres ministères, etc.

Afin d’analyser et traiter au mieux les cybermenaces (attaques DDoS, piratages…), le nouveau délégué se voit plus concrètement chargé d’élaborer une « stratégie ministérielle », dont il pilotera la mise en œuvre. Le décret précise qu’il devra en outre initier « des travaux associant les services spécialisés du ministère, les acteurs publics et privés », pour « obtenir un état de la menace actualisé permettant de définir des niveaux de protection adaptés ».

Politique d’innovation technologique, analyse des menaces…

Sur le plan industriel, ce fonctionnaire sera chargé de coordonner les actions menées par les services de la Place Beauvau « en matière de recherches de sécurité ». Il aura en ce sens vocation à initier des « actions coordonnées de soutien à l’export entre l’industrie et l’administration », tout en proposant une « stratégie des achats de sécurité » censée « favoriser l’accès des petites et moyennes entreprises à ces marchés ».

De manière plus formelle, le délégué se verra « associé à l’élaboration des projets de textes entrant dans son champ de compétence ». Il pourra de plus faire appel « à l’ensemble des services placés sous l’autorité du ministre de l’Intérieur, à l’exclusion des services d’inspection ».

Alors que le Forum international sur la cybersécurité (FIC) se déroule en ce moment à Lille, tout laisse à penser que les activités de ce nouveau délégué viendront compléter celles du « cyber-préfet » nommé en 2014 par Bernard Cazeneuve, mais dont le champ d’action est avant tout orienté vers la protection des entreprises (voir notre article).

nextinpact

LinkedIn modernise son interface, le design revu en profondeur

image dediée

Peu après son rachat par Microsoft, le réseau social LinkedIn fait peau neuve. L’interface de sa version web pour ordinateurs de bureau a été revue en profondeur et se veut plus claire et plus « productive ».

Jusqu’ici, on ne pouvait pas vraiment dire que l’interface de LinkedIn était un de ses points forts. La situation pourrait bien changer avec le déploiement progressif d’un nouvel habillage plus sobre, et répondant à des codes plus modernes. Outre des changements esthétiques bienvenus, la nouvelle version web de LinkedIn se veut également plus simple à utiliser.

Sept icônes, sept ambiances

La navigation se veut désormais plus intuitive. Au lieu des multiples liens textuels garnissant la barre supérieure, on retrouvera désormais sept icônes, chacune correspondant à un pôle bien distinct. Par exemple le bouton « Home » pointera vers votre fil d’actualité, Messaging vers le nouvel outil de discussion instantanée, et Jobs vers une liste d’offres d’emploi susceptibles de vous intéresser. Les fonctionnalités tierces comme LinkedIn Learning sont quant à elles reléguées derrière un bouton « More », évitant ainsi de surcharger l’ensemble.

LinkedIn

Le fil d’actualités profite également de quelques améliorations. De nouveaux algorithmes accompagnés par une curation humaine chercheront à mettre en avant des contenus « pertinents » publiés par d’autres utilisateurs ou par des entreprises. L’objectif pour le réseau social est de « vous permettre d’approfondir les sujets qui vous intéressent spécifiquement et de suivre les sujets du moment ».

Une messagerie au centre du réseau

À l’instar de Facebook avec Messenger, LinkedIn va également mieux mettre en avant son service de messagerie instantanée, qui doit devenir le principal vecteur de contact entre utilisateurs. Celui-ci sera accessible depuis n’importe quelle page du réseau, avec de petits onglets dédiés à chaque conversation, placés en bas de page.

LinkedIn va également inciter ses utilisateurs a employer cet outil pour prendre contact avec les entreprises. Sur les offres d’emploi par exemple, si l’un de vos contacts se trouve dans la société concernée, le site vous proposera de lui envoyer un petit message pour avoir plus d’informations sur le poste qui vient de s’ouvrir.

Une recherche qui s’affine

Le moteur de recherche progresse également. Désormais, il n’y a plus qu’un seul champ à remplir et il devient capable de détecter si vous êtes en quête d’une personne, d’une organisation ou d’une école sans avoir à vous le demander. S’il tombe à côté, des filtres restent accessibles après coup.

Du côté du profil, LinkedIn devient capable de vous suggérer des compétences à mettre en avant en fonction de celles recherchées par les recruteurs. D’autres idées vous seront également soufflées pour mieux remplir votre page personnelle en fonction de ce dont elle pourrait manquer.

Cette nouvelle interface, visible dans la vidéo ci-dessous sera progressivement proposée à l’ensemble des utilisateurs de LinkedIn dans les semaines à venir. Pour l’heure, seule la version du site dédié aux ordinateurs fixes est concernée, mais il ne fait aucun doute que l’interface du réseau devrait progressivement être harmonisée.

nextinpact

Toujours en déclin, IBM mise sur le cloud pour rebondir

image dediée
 

IBM vient de publier ses résultats annuels pour son exercice 2016. Si Big Blue a vu son chiffre d’affaires ainsi que son bénéfice reculer, ses activités « stratégiques » dont celles liées au cloud gardent la forme et s’affichent comme les prochains relais de croissance de l’entreprise.

Depuis quelques années, IBM cherche à se muer en une entreprise de services, quitte à mettre de côté ses activités dans le domaine des serveurs et du matériel en général. Jadis IBM était l’un des acteurs principaux de ce marché, mais ce n’est plus le cas depuis la revente de ses usines à Lenovo en 2014. L’année suivante, c’était sa branche Microelectronics, spécialisée dans la fabrication de processeurs qui était cédée à GlobalFoundries. Aujourd’hui, les serveurs et le matériel ne représentent plus qu’une petite fraction des revenus d’IBM.

Une baisse globale…

Ainsi, sur l’ensemble de l’année 2016, le chiffre d’affaires d’IBM a atteint 79,919 milliards de dollars, soit tout juste 2 % de moins que les 81,741 milliards enregistrés lors de l’exercice 2015. Le bénéfice net recule quant à lui un peu plus, à 11,872 milliards de dollars en 2016, contre 13,190 milliards de dollars un an plus tôt.

Si un recul global peut être observé, la situation est très différente en fonction du segment sur lequel on choisit de se concentrer. La branche Systems par exemple, qui concentre la vente de serveurs haut de gamme, a vu ses revenus annuels reculer de 9,547 milliards de dollars en 2015 à 7,714 milliards de dollars cette année, soit une chute de 19 %.

Du côté des services aux entreprises, un léger recul (-2,7 % sur un an) est également à noter, ainsi qu’une marge brute en fort recul, à 26,9 % (-1,3 points sur un an). Des points qu’IBM justifie par un déclin de ses activités dans le domaine de la gestion (ERP), partiellement compensé par la croissance des formations.

… mais un rebond local

Ces quelques faux-pas n’inquiètent pas la direction d’IBM. Déjà, parce que les bénéfices restent très largement au rendez-vous, mais surtout parce que les relais de croissance sont déjà là et fonctionnent bien. Ainsi, la branche « Analytics » regroupant les outils l’entreprise a enregistré une hausse de 9 % de son chiffre d’affaires annuel qui atteint 19,5 milliards de dollars.

IBM Q4 16

Du côté du cloud, la croissance annuelle est de 35 %, avec 13,7 milliards de dollars de chiffre d’affaires en 2016, dont 8,6 milliards de revenus récurrents, une valeur en hausse de 63 %. Les services liés au mobile progressent de 35 % eux aussi pour atteindre 4,1 milliards de dollars, tandis que la branche Security passe la barre des deux milliards de dollars de revenus, en hausse de 14 % sur un an.

Au total, ce qu’IBM appelle ses « Impératifs Stratégiques » ont connu une croissance de 14 % en 2016, avec un total de 32,8 milliards de dollars de chiffre d’affaires, soit 41 % des revenus totaux de l’entreprise. De quoi voir l’avenir avec sérénité.

Une dette qui reste maîtrisée

Malgré ses importants bénéfices, IBM doit composer avec une dette importante, qui s’élevait à 42,2 milliards de dollars fin décembre 2016, contre seulement 39,9 milliards de dollars un an plus tôt. Cette créance est principalement supportée par la branche Global Financing de l’entreprise, à hauteur de 27,9 milliards de dollars. Le reste de l’entreprise s’occupe du reste de la note, soit 14,3 milliards de dollars.

Pour l’heure, cette dette ne pose pas de problème à l’entreprise puisqu’elle ne représente qu’un peu moins de quatre fois son bénéfice net annuel. IBM explique néanmoins vouloir « implémenter des changements dans la structure de financement en 2017 », et donc certainement souscrire de nouveaux emprunts, peut-être pour en rembourser d’autres.

En bourse, ces quelques nouvelles n’ont visiblement pas suffi à faire bouger grandement le cours de l’entreprise, qui, à l’ouverture de la séance du jour à Wall Street, connaît une variation quasi-nulle. IBM reste donc valorisé à 160 milliards de dollars, soit environ 37 % de mieux qu’il y a un an.

nextinpact

Les NAS QNAP avec QTS touchés par une faille de sécurité, un correctif arrive

image dediée
 

Après une année 2016 chargée en faille de sécurité, 2017 commence sur les chapeaux de roues avec… une vulnérabilité découverte sur « tous les QNAP NAS exécutant QTS ». En cause, la procédure de mise à jour automatique qui manque de chiffrement. Un correctif arrive nous affirme le fabricant.

F-Secure est une société finlandaise spécialisée dans la cybersécurité. Elle vient de publier un bulletin d’alerte afin d’expliquer que ses chercheurs ont « détecté plusieurs vulnérabilités permettant aux pirates de voler des données et des mots de passe, ou encore d’exécuter des commandes à distance ».

Un manque de chiffrement rend la procédure de mise à jour vulnérable

Le problème débute lorsque le NAS envoie une requête afin de vérifier si une mise à jour de son interface d’administration, le QTS, est disponible : « l’absence de chiffrement permet à des pirates potentiels d’intercepter et de modifier la réponse à cette requête » explique la société. Il s’agit donc d’une attaque de l’homme du milieu.

F-Secure explique que son consultant Harry Sintonen a ainsi développé un prototype permettant d’exploiter cette brèche. Via une fausse mise à jour récupérée automatiquement et que le NAS tente d’installer (il faut visiblement que l’utilisateur valide l’installation, mais il pense être en face d’une mise à jour authentique), il a été en mesure de compromettre le système.

Selon le chercheur, il est ainsi possible de récupérer des droits d’administrateur et donc « d’installer des malwares, d’avoir accès aux données, de disposer des mots de passe stockés et d’exécuter des commandes à distance ». Bref, c’est la porte ouverte à toutes les menaces que l’on peut imaginer, dont les Cryptolocker qui demandent une rançon afin de vous redonner accès à vos données.

QNAP confirme que tous les NAS sont concernés

Harry Sintonen n’a testé son prototype que sur le NAS TVS-663 de QNAP avec l’interface d’administration QTS 4.2 installée, mais « il suspecte tous les modèles utilisant le même firmware de présenter les mêmes problèmes »… ce qui est finalement confirmé par QNAP.

Dans son bulletin de sécurité, le fabricant annonce sans détour que « tous les QNAP NAS exécutant QTS » sont concernés par cette vulnérabilité. Il ajoute tout de même qu’elle « n’est pas facilement exploitée si le NAS est connecté à un environnement câblé ». Cela est dû à la nature même de l’attaque (homme du milieu) qui nécessite d’intercepter les échanges entre le NAS et les serveurs de QNAP.

Pour cette raison, il classe cette vulnérabilité avec un niveau de dangerosité « moyen ». De son côté, F-Secure est plus virulent puisqu’il parle de « risques considérables ». Pour mémoire, les mises à jour du logiciel GoPro Studio ont été épinglées en 2015 pour l’absence de chiffrement ; une erreur qui ne semble pas si rare.

Un correctif est en préparation, une solution temporaire en attendant

Contacté par nos soins, QNAP nous indique que ses équipes « travaillent également sur un patch de sécurité dans les mises à jour du QTS ». Le QTS 4.2.3 devrait ainsi sortir le 24 janvier nous précise le constructeur, tandis qu’il faudra attendre le 20 février pour le QTS 4.3.3.

En attendant, QNAP et F-Secure se rejoignent sur un point : il est recommandé de désactiver les mises à jour automatiques afin d’éviter d’un pirate puisse exploiter cette faille.

QNAP Firmware live update

QNAP aurait été informé de la faille il y a déjà un an

Reste tout de même une question en suspens. Dans son billet, F-Secure affirme avoir « informé QNAP de ces problèmes en février 2016 mais à ce jour, les chercheurs F-Secure n’ont pas eu connaissance de l’existence d’un patch destiné à corriger ces vulnérabilités ». Nous avons donc demandé à QNAP pourquoi il a fallu attendre presque un an pour qu’une mise à jour soit proposée, sans réponse pour le moment.

nextinpact

Google détaille une partie de sa lutte contre les malwares sur Android

image dediée

La sécurité sur Android a souvent été remise en cause à la faveur de vagues d’attaques provoquées par des malwares. Google a décidé de communiquer pour indiquer – en partie seulement – les actions entreprises contre ces fléaux. Des protections pas toujours suffisantes.

Le problème des malwares sur Android est régulier, mais ne tient pas nécessairement à un manque de sécurité du Play Store. Il y a plusieurs moyens de parvenir à installer un logiciel malveillant sur un smartphone et la boutique officielle est sans doute le plus difficile. Souvent, les contaminations par malwares se font via des applications infectées ou spécifiquement créées, disponibles depuis des boutiques tierces. Une possibilité qu’il suffit de déverrouiller dans les options d’Android.

La vérification active du comportement applicatif

Google souhaite donc communiquer sur une partie des efforts mis en place pour lutter contre les malwares. En partie seulement car, comme l’éditeur l’avait indiqué il y a quelques semaines au sujet des faux avis, trop en révéler pourrait renseigner les pirates sur d’éventuelles méthodes pour contourner les protections. L’éditeur se concentre avant tout sur le Play Store, qui devrait être selon lui le seul moyen d’installer une application.

La première protection est la plus connue : un scanner des applications quand elles sont proposées par les développeurs sur le Store, pour y détecter toute menace éventuelle. Une mesure efficace dans la plupart des cas, bien qu’il puisse y avoir des ratés. De fait, une menace peut potentiellement passer ce premier filtre et se retrouver sur un appareil Android.

Survient alors « Verify Apps ». Il s’agit d’une autre protection qui vérifie le comportement des applications. Elle est liée aux serveurs de Google, dispose en permanence d’une base à jour de facteurs à surveiller. Si une PHA (Potentially Harmful App, application potentiellement dangereuse) est repérée, l’utilisateur est averti et une fenêtre lui proposer de la désinstaller.

Le taux de rétention comme base de calcul

Puisqu’il s’agit d’un service actif, il a besoin normalement que les appareils restent connectés pour envoyer de temps en temps des informations statistiques sur le fonctionnement, autrement dit des données télémétriques. Mais si la connexion se coupe, Verify Apps peut se baser sur d’autres informations pour calculer un risque.

Quand un appareil Android ne vient plus consulter Verify Apps, il est ainsi considéré par les serveurs comme « Dead or Insecure » ou DOI. Google met cependant en corrélation plusieurs types d’informations, notamment le nombre d’installations tentées et réussies, et surtout le nombre d’appareils DOI. Si les serveurs remarquent une nette augmentation des DOI après l’arrivée d’une application en particulier, c’est peut-être qu’il y a anguille sous roche.

C’est ce que Google nomme taux de rétention. Un appareil est considéré comme « retenu » tant qu’il contacte les serveurs pour exécuter Verify Apps pour le premier lancement d’une application. L’éditeur précise que la rétention est un facteur clé dans l’écosystème Android et qu’il est donc important de la maximiser.

google android malware doi verify

25 000 applications bloquées par ce mécanisme

Google ajoute bien sûr qu’il s’agit de la théorie centrale mais que d’autres informations entrent en piste, même si elles ne sont pas nommées. L’idée toutefois est toujours la même : propulser en tête de liste les menaces qui semblent les plus sérieuses. Un processus qui a permis de traquer 25 000 applications contenant un malware des familles Hummingbad, Ghost Push et Gooligan, trois des plus actives sur Android.

Ce qu’il faut retenir surtout des explications de Google, même si la firme ne l’indique pas de cette manière, c’est que ces mécanismes ne vont pas forcément permettre de stopper une infection en cours sur un appareil jusqu’au point de non-retour. Le système semble beaucoup plus adapté pour une contre-attaque par accumulation des « preuves ». En d’autres termes, Verify Apps ne peut pas toujours empêcher la primo-infection sur le parc Android, mais peut agir par la suite pour juguler la menace.

Dans la plupart des cas cependant, la sécurité sur Android est remise en cause par des applications provenant de sources tierces. Davantage que sur le Play Store, il est alors nécessaire de faire particulièrement attention à ce que l’on installe, surtout si l’appareil a été rooté.

nextinpact

La revue de presse (enfin) en https !

HTTP ou HTTPS

Bonne nouvelle. Le site passe enfin en https !

Conservation des données : le Garde des Sceaux interrogé sur les effets de l’arrêt Télé2

image dediée

C’est une nouvelle fois Lionel Tardy qui met les pieds dans le plat. Le député vient de questionner le ministre de la Justice sur la portée de l’arrêt Tele2 rendu le 21 décembre 2016. Un arrêt fondamental qui pilonne l’obligation générale de conservation de données de connexion.

Avant de plonger dans le corps de la question, il faut remonter un peu dans le temps. En 2016, le ministre de la Justice lui avait déjà répondu que l’affaire Digital Rights était sans effet sur le droit français.

Dans ce précédent arrêt du 9 avril 2014, la Cour invalidait la directive sur la conservation des données, voyant dans ce texte « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».

De l’arrêt Digital Rights à l’arrêt Télé2

Et pour cause, le texte européen organisait une obligation de conservation qui couvre « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ».

En juin 2016, Jean-Jacques Urvoas expliquait au député de Haute-Savoie que les textes français, qui organisent peu ou prou la même chose, ne procèdent pas de cette directive.

Pas d’inquiétude sur l’insécurité juridique née de cette invalidation, d’autant que « la législation française apporte des garanties supérieures à celles prévues par la directive invalidée en matière de protection des données et de contrôle des demandes d’accès aux données ».

D’ailleurs, « les données de connexion sont conservées sur le territoire français et soumises au contrôle de la Commission nationale de l’informatique et des libertés ». De plus, « des sanctions pénales sont encourues en cas de consultations indues et […] les personnes habilitées à consulter ces données sont déterminées par la loi ».

Avec le récent arrêt Télé2, la patience parlementaire touche à sa fin. Voyant que la Cour a considéré cette fois que « les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques », Lionel Tardy estime que l’arrêt « vient infirmer » l’interprétation du Garde des Sceaux : « les mesures nationales de conservation des données par les fournisseurs de services de communications électroniques relèvent bien du champ d’application du droit de l’Union »

Des conséquences possiblement douloureuses

Comme expliqué longuement, la Cour a considéré que « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. Mieux : toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est interdite.

Or, en France, l’état des lieux fait pâle figure. L’article L. 34-1 du Code des postes et des télécommunications par exemple : « s’il pose le principe d’un effacement ou anonymisation des données de connexion, explique le parlementaire, [cette disposition] prévoit immédiatement une dérogation permettant la conservation des données de connexion pour une durée d’un an ».

Autre contrariété. La CJUE a conditionné l’accès aux données conservées au respect de plusieurs exigences, par exemple le contrôle préalable d’une autorité indépendante ou d’une juridiction, sauf évidemment situation d’urgence.

Retour en France où le député s’interroge sur « la validité des demandes formulées au titre d’enquêtes diligentées sous l’autorité du parquet d’une part et d’autre part du droit de communication de l’administration pour des données conservées par les fournisseurs de services de communications électroniques ». Pour ces cas, « il n’existe à ce jour aucun contrôle préalable des demandes de l’administration, hormis pour les sujets relevant de l’accès administratif aux données de connexion soumis au contrôle de la CNCTR ».

Vers une mise à jour de la législation française ?

Sur le bureau des juges européens, on découvre en outre que « les données en cause [doivent être] conservées sur le territoire de l’Union ». Or, cette exigence interpelle le député qui « pose la question de la validité de demandes portant sur des données conservées hors de l’Union par de grands acteurs d’Internet ».

Dans sa question publiée sur le site de l’Assemblée nationale, Lionel Tardy sollicite du coup « des précisions quant à la portée de cet arrêt Tele2 sur les procédures initiées au niveau national visant à solliciter de la part des fournisseurs de services de communications électroniques, la transmission de données sur l’activité de leurs utilisateurs ». Devant la porte du ministère, il insiste sur risque élevé qui pèse dorénavant sur les procédures en cours, suggérant au gouvernement une sérieuse mise en conformité du droit national.

Nous reviendrons sur la réponse apportée par Jean-Jacques Urvoas… ou son éventuel successeur, sachant que le ministère avait mis deux ans pour faire cas de la première question.

nextinpact

La CIA met en ligne plus de 12 millions de pages de documents déclassifiés

image dediée

L’agence de sécurité américaine vient de mettre en ligne son historique de documents déclassifiés, soit plus de 900 000 entrées et 12 millions de pages. Un pas vers la transparence, même si les textes sont vidés des éléments les plus sensibles.

Les amateurs de renseignement et d’histoire peuvent être aux anges. La CIA a mis en ligne son outil de recherche de documents, le CIA Records Search Tool (CREST). Il était jusqu’ici uniquement disponible à la National Archives Records Administration (NARA) à College Park, dans le Maryland. « Mettre en ligne ces documents souligne l’attachement de la CIA à l’amélioration de l’accessibilité des documents déclassifiés par le public » se félicite l’institution. Au total, environ 930 000 documents sont disponibles, pour plus de 12 millions de pages.

Des guerres, des OVNI et des expérimentations

Concrètement, la base regroupe des documents remontant jusqu’à la création de l’agence, dans les années 40, et couvre certains des grands événements impliquant les services de renseignement, comme la Guerre froide ou celles menées en Corée et au Vietnam.

Le coffre contient quelques dossiers plus controversés, comme les OVNI ou les expérimentations qu’a mené l’agence sur les phénomènes psychiques. En plus d’une recherche assez efficace, le site propose une classification par thème, comme le programme Stargate, dédié aux capacités psychiques et la vision à distance.

Sans surprise, le contenu a été expurgé des informations trop sensibles pour être rendues publiques aujourd’hui. À CNN, l’institution affirme que les modifications s’appliquent seulement à des éléments qui pourraient mettre en péril des sources et des méthodes pouvant potentiellement porter atteinte à la sécurité nationale.

Six ans pour tout mettre sur CD

Pour mémoire, la déclassification automatique des documents « à forte valeur historique » a lieu automatiquement après 25 ans. En février 2016, 750 000 pages de documents déclassifiés avaient d’ailleurs été ajoutés à la base. Comme le rappelle IBTimes, cette mise en ligne intervient après que le site MuckRock a attaqué la CIA en justice, en 2014.

Selon l’organisation, la CIA a ignoré sept demandes de publication de documents (imposée par le Freedom of Information Act), et demandait beaucoup trop de détails dans d’autres cas. De même, la disponibilité des ressources uniquement à un seul endroit physique limitait énormément leur accessibilité. À l’époque, l’agence répondait qu’il faudrait six ans pour fournir les 12 millions de documents sur CD. Les mettre en ligne semble avoir été bien plus rapide.

nextinpact