articles

Facebook: Comprendre les nouveaux paramètres de confidentialité et créer des listes d’amis

Posted by on 4 mai 2010
Posted in: articles. Tagged: , .

Ces nouveaux paramètres de confidentialités, représentent des changements importants au niveau de son profil personnel. Il y a de nouvelles liaisons entres des rubriques internes à Facebook et des éléments externes (tels que sites Web ou ce que Facebook nomme des « Publications associées »). Pour cette raison j’ai créé un nouveau profil pour faire la démonstration des paramètres en question. La deuxième vidéo se réfère plus particulièrement au partage d’information et à la gestion de l’accès à ses information personnelles en créant et en utilisant des listes d’amis.

Facebook: Comprendre les nouveaux paramètres de confidentialité (3 mai 2010)

Facebook: Créer et paramétrer ses « listes d’amis »

Gérer l’accès à vos informations personnelles ainsi que le partage des contenus que vous publiez, avec vos amis

Google Street View: conclusion d’un accord

Posted by stephanekoch on 18 décembre 2009
Posted in: articles. Tagged: , , , , .

Zurich, le 18 décembre 2009 – Suite à la plainte déposée par Hanspeter Thür, Préposé fédéral à la protection des données et à la transparence (PFPDT), contre l'entreprise Google pour son service Street View, les deux parties sont parvenues mercredi à l'accord suivant sur les mesures provisionnelles demandées :

  1. Google s'engage à ne publier sur Internet aucune nouvelle image prise en Suisse pour Street View, ni dans le cadre de son service en ligne Street View, ni dans le cadre d'aucun autre de ses produits, et ce jusqu'à ce que le Tribunal administratif fédéral ait statué et que l'arrêt soit entré en force.
  2. Google s'engage à se soumettre à l'arrêt que le Tribunal administratif fédéral rendra dans cette affaire et à l'appliquer à toutes les photographies prises en Suisse pour Street View, si et dans la mesure où le jugement devait l'exiger.
  3. Google reste autorisée à poursuivre ses prises de vues en Suisse, à ses risques toutefois, eu égard à l'issue à venir de la procédure judiciaire en cours. Conformément au ch. 1 ci-dessus, les images concernées ne seront pas mises en ligne et, jusqu'à ce que le Tribunal administratif fédéral ait statué, resteront au sein du groupe Google et pourront être utilisées uniquement à des fins ou dans le cadre de produits ne se rapportant pas à des personnes.
  4. Google annoncera en ligne au plus tard une semaine à l’avance (au lieu d'un mois précédemment) les districts ou environs de villes où elle envisage de procéder à des prises de vues sur le domaine public.
  5. Le PFPDT considère que les objectifs visés par les mesures provisionnelles qu'il avait demandées au Tribunal administratif fédéral de prendre sont atteints, ce qui l'amène à retirer la demande en question.
  6. L'accord conclu ne préjuge en rien les positions défendues par les parties dans le cadre de la procédure en cours.

Peter Fleischer, responsable de la protection des données chez Google, affirme: "Nous nous réjouissons d'avoir pu conclure cet accord avec M. Thür qui nous permet de continuer de prendre des photographies pour Street View. Jusqu'à la décision du Tribunal administratif fédéral, nous ne mettrons pourtant pas de nouvelles images en ligne sur Street View."

Hanspeter Thür, Préposé fédéral à la protection des données et à la transparence, affirme: "Avec cet accord, les buts recherchés par les mesures provisionnelles demandées sont entièrement atteints. Pendant la durée de la procédure principale, Google ne mettra pas de nouvelles images en ligne. Lors des prises de vues, les personnes potentiellement concernées seront informées à temps. Google s'engage à accepter un jugement exécutoire suisse  et à en appliquer les mesures également sur des images suisses conservées à l'étranger."

Google Street View: le préposé fédéral à la protection des données demande un retrait immédiat…

Posted by stephanekoch on 23 août 2009
Posted in: articles. Tagged: , , , , , , , , , , .

[Mis à jour le 02.09.09] On pourrait aussi demander un retrait immédiat de toutes les caméras et webcams privées qui filment l’espace public ainsi que les caméras de surveillance dans les commerces et les transports publics et, pendant qu’on y est, le retrait des caméscopes, des appareils photos numériques et des téléphones mobiles, et aussi obliger chaque personne qui a un jour publié une photo sur le Net à flouter les personnes, les plaques et les enseignes…

À l’heure du web participatif les propos du préposé fédéral à la protection des données et à la transparence (PFPDT) on de quoi choquer… Ils reflètent bien un décalage entre les technologies mises en œuvre et ce que le service du préposé en a compris… Allons bon, une vingtaine de plaintes ont suffi à remettre en cause un système qui couvre les principales rues de plusieurs villes de Suisse (29), soit des milliers de kilomètres carrés d’images. Si on met en perspective la surface couverte par Google Street View avec le nombre de plaintes reçues, cela démontre non seulement une certaine maîtrise technologique mais, surtout, qu’il n’est pas dans l’intention de Google de prendre le problème de la protection de la sphère privée à la légère. De plus, chaque utilisateur est en mesure d’intervenir sur une image de Street View qu’il trouverait inapproprié ou en violation avec sa sphère privée. Les tests effectués par Le Matin Dimanche ont démontré que les demandes de modifications formulées ont été traitées dans les 24 heures par Google.  Pourquoi le préposé n’a-t-il pas informé les utilisateurs de l’existence de cette fonction de correction, quitte à créer un mini-guide pour expliquer pas à pas comment procéder. Est-ce que l’on part du principe que l’utilisateur est stupide et qu’il faut le materner plutôt que de l’éduquer… ?

En informant un utilisateur de la possibilité d’intervenir sur ce qu’il considère comme une intrusion dans sa sphère privée on a un effet formateur. Par la suite l’utilisateur sera en mesure de demander ce type de fonctionnalité pour d’autres services du Web. En procédant de cette manière on va permettre à l’utilisateur-citoyen d’acquérir une conscience plus forte de son identité numérique.

Personne ne nie que Google puisse faire des erreurs… Mais l’entreprise en est consciente et elle a mis en place le moyen de l’aider à les corriger.

Retirer du contenu de Street View
  1. Se rendre sur la zone concernée dans Street View
  2. Cliquer sur "Signaler un problème" situé dans le coin gauche au bas de l’image,
    à côté de "© 2009 Google" : Signaler un problème
  3. Remplir le formulaire et le tour est joué

On peut donc se demander s’il n’y a pas, de la part du préposé, la volonté d’exploiter un effet d’annonce, ou plus simplement si Google n’est pas le bouc émissaire idéal pour éviter de parler de certaines réalités concernant l’utilisation de nos données et de notre image dans cette société de plus en plus numérisée ?

Quel contrôle a-t-on sur les images collectées par les commerces et les municipalités… ? Quels sont les contrôles pour les personnes qui ont accès aux images..? Je sais que des agents de sécurité se font leur petit film perso, avec "zoom avant" sûr certaines parties anatomiques de clientes… Qui contrôle la destruction des images collectée par ces caméras de surveillance, comment peut garantir que les contenus enregistrés ne seront pas dupliqués, ou que d’une manière ou d’une autre ils ne se retrouveront pas sur le Net ? Le problème est identique au niveau des caméras qui filment l’espace public, qui contrôle les contrôleurs ? Il existe pourtant des technologies qui permettraient de palier en grande partie ce type de problème. Certains systèmes permettent de flouter/crypter automatiquement les visages ou les personnes passant dans le champ des caméras, et il faut utiliser un code de sécurité pour rendre le visage identifiable, ce qui permet de contrôler aussi les accès par le personnel de sécurité aux images enregistrées. Le problème est que – par manque de connaissance ou pour des raisons budgétaires – ce type de technologie n’est pour ainsi dire pas utilisé. Pour certains la protection de la sphère privée a un prix et une limite…

Dans le domaine privé, les petits commerces et les établissements publics (bars, restaurants, boîtes de nuit – un exemple: live webcam ou le site Webcams Suisse), ont de nombreuses webcams personnelles filmant l’espace public sans aucun contrôle… Et la situation devient encore plus complexe avec les captures individuelles d’images : on ne peut se rendre dans un bar, une discothèque ou un restaurant sans que l’œil intrusif de l’objectif d’un appareil-photo, d’un caméscope, d’un téléphone mobile ne soient présents… Qui va flouter les arrières plans des images collectées ? Qui va demander à tous ses amis s’il peut publier les photos de cette "fameuse soirée" sur son profil Facebook, ou sur une galerie photo en ligne ? Je me suis rendu sur Tilliate, le site des clubbeurs. Nombre de personnes sont identifiables sur les arrières plans de certaines photos, et ce site est loin d’être une exception. Peu de gens seront conscients du fait de figurer par hasard sur une photo ou dans un film. Essayez de vous promener sur les quais du Lac Léman que ça soit à Ouchy ou à Genève et comptez le nombre de personnes en train de photographier ou de filmer lors d’une journée ensoleillée…

Ce qui m’interpelle, c’est l’intransigeance que l’on a vis-à-vis de Google et du laxisme à propos de l’exploitation de nos données privées dans la vie de tous les jours… Pourquoi ne menace-t-on pas les géants du commerce de détail quand à l’utilisation des données collectées par les cartes de fidélité (des assurances paient pour l’envoi de courrier selon des critères ciblés puisés dans ces bases de données) ? Pourquoi ne menace-t-on pas Apple pour l’utilisation des données collectée, quand on fait des achats sur l’Apple Store ou sur iTune, ou pour les données collectées sur l’utilisation des applications de son iPhone… On pourrait argumenter que ces données ne sont pas publiques, mais c’est bien pire car elles sont liées à l’identité de leurs utilisateurs/acheteurs…

La notion d’identité en relation avec les informations collectées est fondamentale. Prenons un autre exemple: si je veux savoir si je figure dans la base de données ISIS liée à la sécurité intérieure, je dois faire une demande dûment motivée auprès du préposé fédéral, et peut-être que je pourrai savoir si mon nom y figure, mais je ne connaîtrai pas forcément l’information qui y est associée, alors que les conséquences d’une erreur à ce niveau peuvent être dramatiques… Tout comme lors de la refonte des bases de données policières dans le cadre du projet Janus. Les polices devaient effacer leurs bases de données personnelles (renseignements de police). Qui a contrôlé que ça a été fait..? Pour information le communiqué du PFPDT concernant ISIS et Janus.

Les services susmentionnés offrent bien plus d’informations en rapport direct avec leur détenteur, qu’une recherche Google ou que Street View… De plus, Google n’interdit pas au navigateur FireFox de fournir des extensions qui permettent de rendre anonymes  ses recherches ou sa traçabilité. Google n’a jamais interdit à qui se soit d’utiliser plusieurs moteurs de recherche, c’est la qualité des résultats fournis qui a fait que 90 % des romands utilisent Google et non sa position de monopole. Il faut aussi noter que Google efface les données (logs) après 9 mois, contre 18 auparavant et, à ma connaissance, les services de fidélisation, les Apple ou autres Amazon ne se sont pas engagés à effacer les données collectées.

En complément:

Extrait du communiqué de Google du  2 septembre 2009

Street View respecte-t-il ma sphère privée?
Oui. Street View ne montre que des photographies prises sur la voie publique et l’imagerie n’est pas différente de ce qu’une personne peut facilement voir ou enregistrer en marchant le long de la rue. Une imagerie de ce type est courante sous plusieurs formes pour des villes du monde entier. Nous nous engageons à respecter les lois et normes locales dans tous les pays où nous fournissons Street View. La technologie de floutage et des actions ponctuelles telles que la suppression d’images font partie des moyens nous permettant de respecter la sphère privée des individus. Nous facilitons la tâche des utilisateurs qui demandent d’éliminer complètement des images d’eux-mêmes, de leurs enfants, de leur voiture ou de leur maison, même dans les cas où ces images ont déjà été floutées. Il est possible que la technologie de floutage manque par inadvertance un visage ou une plaque de voiture, mais nous sommes satisfaits de constater que, lorsque des suppressions ou floutages supplémentaires ont été demandés, les images concernées ont été enlevées dans la plupart des cas en quelques heures seulement. En fait, moins d’un panorama sur 20’000 a entraîné une telle demande.

Comment Street View s’accorde-t-il avec les prescriptions suisses en matière de protection des données? Nous sommes convaincus que Street View est totalement légal et qu’il a en outre déjà prouvé sa grande utilité pour les utilisateurs suisses. Nous voulons que les gens puissent continuer de l’apprécier et travaillons donc constamment à améliorer les fonctionnalités du produit. Cela inclut nos efforts incessants d’améliorer aussi les outils de protection de la sphère privée. Nous avons aussi œuvré intensément dans le but de satisfaire aux demandes spécifiques du Préposé suisse à la protection des données, demandes qui nous ont seulement été adressées après le lancement à mi-août 2009. Nous sommes en outre heureux de présenter un ensemble complet de nouvelles mesures:

  • Nous allons améliorer de façon remarquable le floutage dans Street View, aussi bien des plaques de voitures que des visages.

    • Nous communiquerons au public un horaire encore plus détaillé des passages de nos véhicules.
    • Nous améliorerons l’information contenue dans nos horaires de passage.

Mon image est dans Street View et je préférerais qu’elle n’y soit pas. Comment puis-je la faire enlever? Il est très facile de faire enlever des images de Street View. Si un utilisateur trouve une image à laquelle il objecte, il peut signaler ce fait en cliquant sur « Signaler un problème » dans le coin inférieur gauche de l’image Street View et en remplissant le formulaire qui apparaît. Dès que la demande est contrôlée, l’image est enlevée.

 

Reproduction du communiqué du PFPDT
Google Street View doit être retiré d’Internet
21.08.2009 – Le Préposé fédéral à la protection des données et à la transparence, Hanspeter Thür, exige de Google Inc de retirer immédiatement le service en ligne Google Street View  concernant la Suisse. Les nombreuses informations reçues du public et les recherches qu’il a effectuées démontrent que Google Street View ne respecte pas les conditions fixées par le PFPDT pour la protection de la vie privée : de nombreux visages et plaques d’immatriculation n’étaient pas ou insuffisamment floutées. Le PFPDT exige de Google d’améliorer le service et d’assurer que les images publiées soient conformes à l’ordre juridique suisse. Dans ce cadre, Monsieur Thür rencontrera au début de la semaine prochaine les représentants de Google Inc.

 

Iphone: Petit tour du coté des données collectée (source: geeklifeblog.com)
  • Le numéro d’identification unique de l’iPhone
  • Le modèle de votre iPhone (3G, 3GS, …) ainsi que la version de votre firmware (2.2, 3.0, …)
  • Le nom de l’application utilisée ainsi que sa version
  • Le temps d’utilisation de l’application
  • Votre location exacte (si vous l’acceptez)
  • Si l’app FaceBook est installé, votre âge, genre, date de naissance (oups)
  • Est-ce que l’iPhone est jailbreaké ou non?
  • Est-ce que l’application est piratée ou non?

 

 

Crash du vol AF 447 : Des individus peu scrupuleux utilisent la mort comme fond de commerce sur le Web

Posted by stephanekoch on 1 juin 2009
Posted in: articles. Tagged: , , , , , , , , .

Immédiatement après l’annonce du crash du vol AF 447 plusieurs noms de domaines ont été loués par des individus peu scrupuleux. Leur but étant d’utiliser la catastrophe pour faire du profit en hébergeant des publicités sur des noms de domaines en rapport avec le crash…

Les noms de domaines suivants ont été loués le 1er juin:
Domaines Status
af447.com (inactif pour le moment)
propriétaire: http://whois.domaintools.com/af447.com
af447.net (parking: redirige sur des publicité)
propriétaire: http://whois.domaintools.com/af447.net
af447.org (parking: redirige sur des publicité)
propriétaire: http://whois.domaintools.com/af447.org
af447.info (domaine loué dans un but de revente spéculative)
propriétaire: http://whois.domaintools.com/af447.info
af447.fr (inactif pour le moment)
propriétaire: http://whois.domaintools.com/af447.fr
airfrance447.com (pour le moment site d’information sur la catastrophe)
propriétaire: http://whois.domaintools.com/airfrance447.com
airfrance447.net (parking: redirige sur des publicité)
propriétaire: http://whois.domaintools.com/airfrance447.net
airfrance447.org (parking: redirige sur des publicité)
propriétaire: http://whois.domaintools.com/airfrance447.org
airfrance447.info (parking: redirige sur des publicité)
propriétaire: http://whois.domaintools.com/airfrance447.info


Sources d’information en raport avec le crash

Air france:

Wikipedia:

Les sources suivantes ont été considérées comme fiables le 1er juin: à vérifier par la suite

Twitter hashtag:

Sites dédiés:

 

UBS 52 000 comptes découverts : Quelle sécurité de l’information pour les établissements bancaires ? Quelle stratégie pour la place financière Suisse ?

Posted by stephanekoch on 21 février 2009
Posted in: articles, radio. Tagged: , , , , , , , , .
21 février 2009, RSR, Forum: Interview de Stéphane Koch, président de l’Internet Society Geneva: Une autre question s’ajoute à cette affaire UBS: elle est plus technique et concerne ces fameux 52’000 comptes secrets de l’UBS réclamé par le fisc américain. Comment et par quel procédé le gouvernement Obama a-t-il pu les identifier ?


UBS 52 000 comptes découverts : Quelle sécurité de l’information pour les établissements bancaires ? Quelle stratégie pour la place financière Suisse ?

La situation économique et les coûts des divers plans de relances poussent les gouvernements à essayer de récupérer des capitaux par tous les moyens. C’est donc en toute logique, que l’on assiste à un renforcement global des contrôles au niveau de la défiscalisation. Mais sous le couvert de ces mesures, il ne faut pas uniquement voir la volonté des états de reprendre contrôle sur une partie de la masse fiscale qui leur échappe. C’est aussi une guerre économique sans merci qui est en train de se livrer.

Il ne faut pas oublier que le fisc allemand via son service de contre-espionnage a obtenu les comptes de 3000 de clients de la banque LGT au Liechtenstein. Suite à cette affaire, LGT a vu ses entrées d’argent (Net New Money) chuter à 335 millions au cours des six premiers mois de l’année 2008, alors qu’ils se montaient à 6,2 milliards un an plus tôt…

La conjoncture économique actuelle offre un contexte idéal pour exercer des pressions fortes sur la place financière suisse, et ceci part des pays dont les systèmes bancaires et fiscaux sont loin d’être des exemples. Il est en effet plus facile de diriger l’attention sur la Suisse, que de mettre en oeuvre les réformes nécessaires au niveau de leurs propres systèmes. Comme le martèle l’ONG anglaise « Tax Justice Network (TJN) » l’Angleterre, avec ses paradis fiscaux, comme les British Virgin Islands (B.V.I), Jersey, Guernesey, etc. et son système bancaire permissif et peu coopératif en matière d’entraide au niveau européen, devrait balayer devant sa porte avant de se poser en donneur de leçons. L’Amérique, quant à elle, n’a pas de leçons à donner, avec ses propres paradis fiscaux (Delaware, Wyoming, Nevada), elle aussi maintes fois refusé de réformer son système comptable et financier, qui est un des éléments constitutif de l’instabilité économique actuelle. Les États-Unis ont eux aussi leur système « légal » de défiscalisation, le « Leaseback, » (sale-and-leaseback : opération financière, où l’on vend un actif et le loue pour un retour à long terme). En bref, chaque pays possède son propre système, et la régulation du système bancaire et fiscal mondial doit être pensée au niveau international. Il est donc indispensable de prendre en considération que dans la conjoncture actuelle chaque état a un intérêt économique et stratégique dans les différentes prises de positions auxquelles on assiste aujourd’hui.

La sécurité interne des banques est devenu un enjeu primordial.

En plus des aspects traditionnels de la sécurité de l’information relatifs aux infrastructures (sécurité des systèmes d’information, stockage des données, gestion et sécurisation des supports électromagnétique – disques durs, clés USB, laptops, droits d’accès), la sécurité des flux d’information (les données transportées par le réseau informatique, et celles auxquelles les employés accèdent) et la sécurité humaine représentent un risque dont un certain nombre de banques et d’entreprises ne semblent pas avoir saisi la portée.

La sécurité des flux d’information est basée sur la maîtrise du patrimoine informationnel de l’entreprise. Cette maîtrise se base sur la capacité à identifier en temps réel et de manière dynamique, la nature et le type de données qui sont traitées au sein de l’entreprise par ses employés. Tout comme si la nature et le type de données correspond aux droits de gestion attribués à la personne qui les manipule, et si le volume traité correspond à l’usage qui en est attendu.

L’incertitude économique fragilise la sécurité de l’information au niveau humain.

La sécurité au niveau humain doit prendre en compte l’employé comme une personne multiple et complexe, en prise avec les problèmes et les contraintes de notre société. Que cela soit au niveau affectif, social ou économique. De plus, l’employé, qu’il soit cadre, manager ou exécutant, développe une « relation » avec « son » entreprise, au même titre qu’une relation avec un conjoint. Bien que dans le cas de l’entreprise les éléments constitutifs de cette relation soient en majeur partie rationnels, lors d’une « rupture » de la relation professionnelle, le ressenti humain est identique à celui d’une rupture avec un conjoint : émotionnel et irrationnel. Les vagues de licenciements dans le secteur bancaire vont d’autant plus exacerber les pulsions émotionnelles (représentations de soi, sentiment d’injustice, frustration, incertitudes économiques), et de facto créer une situation favorable à des agissements irrationnels ou délictueux. C’est d’ailleurs ce que démontre une étude récente menée par le «Ponemon Institute» aux États-Unis sur 945 employés : 60 % des personnes interrogées seraient prêtes à subtiliser des données appartenant à leur entreprise si elles venaient à être licenciées. En suisse, plusieurs banques ont déjà été victimes de chantage, menacées ou mises en cause par des employés en poste ou licenciés. Les « anciens employés » fraîchement licenciés représentent une mine d’information considérable pour des concurrents ou pour des services fiscaux étrangers – dont il n’est plus nécessaire de prouver, après l’affaire LGT, qu’ils sont prêts à recourir à tous les moyens pour arriver à leurs fins. Il serait en effet facile de monter un cabinet de conseil en ressources humaines et d’auditer des candidats puisés dans les « dommages collatéraux » de la crise économique actuelle.

Une parenthèse sur les réseaux sociaux.

Les réseaux sociaux, tels que LinkedIn, Viadeo, Plaxo ou encore Facebook, permettent d’identifier facilement des cibles potentielles. Par exemple, si on utilise l’outil publicitaire de Facebook qui permet un ciblage par mots-clés (âge, sexe, entreprise, situation amoureuse), avec le terme UBS on peut savoir qu’il y a 2120 personnes qui mentionnent l’établissement au niveau professionnel, suite à cette démarche on peut utiliser l’outil de recherches avancées pour les identifier nommément. Autre exemple : sur le réseau professionnel LinkedIn, on obtient un résultat non exhaustif de 28 541 personnes mentionnant l’UBS comme référence (actuelle ou passée), et peux accéder sur la « page UBS » (crée par LinkedIn) avoir accès à des catégories telles que « Nouvelles embauches ; Promotions récentes et mouvements ; Profils les plus consultés ; Anciens employés ».

Les risques de fuites informationnelles indirectes.

Les banques sont obligées de vérifier la qualité de leurs clients et autres ayant droits économiques dans le cadre de la loi sur le blanchiment d’argent. Pour effectuer ces vérifications elles (les banques) utilisent des services spécialisés (bases de données) sur les "personnes politiquement exposées" telle que Worldcheck. Ces bases de données peuvent être consultées soit par abonnement ou bien le téléchargement complet de sa base de données. Dans le cas d’un abonnement toutes informations sur les personnes recherchées sont autant d’informations données au détenteur du service, et dans la plupart des cas les détenteurs sont anglo-saxons. Mais les recherche effectuées par les employés avec Google ou avec d’autres services en lignes sont autant d’informations qui peuvent être collectées…

La sécurité de l’information englobe la maîtrise du périmètre informationnel.

La notion de périmètre informationnel prendra en compte tous les éléments et aspects liés à l’identité et l’image de l’entreprise et sa présence virtuelle ou réelle. L’évolution des technologies a permis le traitement en masse d’informations hétérogènes (datamining). Le Web tel que l’on le connaît et on l’utilise aujourd’hui, prédispose à la collecte d’informations. Ce Web collaboratif a permis de vulgariser la création de contenu. La prolifération des services accessibles par un navigateur, le fait que ceux-ci reposent sur des bases de données, a créé des liens forts entre les personnes et les informations publiées.  Ces liens et la qualité du profilage qui en résulte ont encore été renforcés par la multiplication des bases de données comportementales des sites d’e-commerce et des réseaux sociaux.

1.Par exemple à l’extérieur de la banque :

Aux États-Unis, le "Patriote Act" (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) permet de surveiller tous les accès aux données numériques – comme les connexions aux sites web des banques, à ceux de services financiers auxquels leurs clients pourraient accéder, aux emails échangés par les brokers et autres contacts avec leurs clients. Il serait naïf de penser que la mise en place de codes « humains » visant à anonymiser les échanges d’emails entre les banques et leurs clients puisse en garantir la confidentialité, seul un cryptage fort permettrait de le faire.  Les appels des téléphones mobiles et fixes sont aussi interceptables (grâce aussi au système Echelon entre autres). Les réseaux sociaux (précédemment cités) sont aussi de précieuses sources d’information. Tout comme les informations collectées au niveau des personnes, survolant ou transitant par les États-Unis (Accord PNR, Passager Name Record) et à ceux qui y séjournent (US Visit, collecte des donnés biométriques obligatoires à la douane). La mise en relation de ces différents types d’informations par le biais d’outils de profilage, permet d’identifier avec beaucoup de pertinence des informations ciblées. À ce titre les clients qui changeront de banque vont créer du « bruit » en termes d’information, ce qui permettra d’en identifier un certain nombre qui étaient restés discrets jusqu’à ce jour.

Une parenthèse sur SWIFT.

Swift est un réseau mondial d’échange interbancaire créé en 1977, sert d’intermédiaire entre plus de 8 330 institutions bancaires dans 209 pays, dont le siège est en Belgique. Swift dispose de deux bases de données identiques pour éviter toute perte d’information en cas d’incident. L’une de ces bases de données est en Belgique tandis que l’autre est hébergée aux États-Unis. Depuis 2002, le renseignement américain a eu accès aux informations stockées par Swift-USA (dans le cadre de la lutte contre le terrorisme). On ne peut pas garantir que certaines données n’ont pas été utilisées dans un spectre plus large que celui de la lutte contre le terrorisme.

La création d’un Think Tank.

Il est primordial non seulement d’avoir une capacité d’anticipation dans le contexte globalisé de l’information. Mais le contexte économique et concurrentiel impose aussi d’avoir une capacité offensive en termes de gestion de l’information. Développer cette capacité repose non seulement sur une analyse stratégique performante, mais aussi sur une capacité de détection des signaux d’alertes inhérents aux changements en cours et à venir et à l’identification des risques informationnels et concurrentiels qu’ils génèrent. La Suisse, sa place financière, doivent dorénavant être gérés comme des marques. Et à ce titre être capable de défendre les valeurs qu’elles véhiculent. Il est évident que les structures actuelles, que cela soit celle de la FINMA ou celle du Conseil Fédéral, ne correspondent pas à la compétence nécessaire pour gérer des crises telles que celle que la place financière Suisse est en train de traverser. Il faut créer une entité indépendante de la sphère politique et du décisionnel bancaire. Un « Think Tank » dont la mission serait l’évaluation des risques présents et à venir pour la place financière suisse, ses secteurs économiques et stratégiques, ou pour sa réputation. Ce « Think Tank » devrait produire des recommandations sur les risques détectés et les meilleures manières de les appréhender pour les acteurs concernés. Être en mesure d’agir de manière offensive et indépendante que cela soit par le biais d’Internet, des médias traditionnels ou d’action en justice en dehors des frontières nationale.

Stéphane Koch

 

Cyberconflict at the digital era: All citizens, all soldier !

Posted by stephanekoch on 20 octobre 2008
Posted in: articles.

War is very close to us. Tumults of the current economic crisis are covering the noise of boots of armies of cybersoldiers spreading within the Internet connections of our own homes… Invading our virtual spaces, ready to strike strongly our hearts and minds…

Only on Facebook, the extremists of Hezbollah recruited more than 6800 cyberjihadists within a group of activists preaching the destruction of Israel.… On the other side, a group of 1350 Israeli extremists are recommending the ousting of Arabs from the territories of Judaea and Samaria. Or take this other group of activists who are supporting Russia in the Georgian conflict by recruiting 6500 cyberfighters.

Their weapons : videos, photographs, petitions, and all other means of content diffusion… Like the "Jewish Internet Defense Force" or the "Russian Business Network", these armies of the digital age deploy their forces on all grounds of the infosphere: Youtube, Twitter, myspace, Del.icio.us, and also within the Internet infrastructures as such.

These citizens-soldiers are disseminated among us… Everywhere where a connection Internet makes it possible to communicate correctly with the Network of networks. This type of war, without soldiers, uniforms, hierarchy and borders, has only in common the ideologies which unite these militia fighters… An army whose soldiers are spread over all countries and do not have links between them…

The recent attacks on the Internet infrastructures of Estonia, and on both sides of the Russian-Georgian cyberspace, have shown the intervention capacity of these indirect actors, and their real impact on the course and perception of conflicts. For media representatives and diplomats, it is therefore essential to take into account the extension of the conflict perimeter to this type of actors…

Update : 17,08.09: The Wall Street Journal: Hackers Stole IDs for Attacks (2008’s Geogian cyberconflict)

Related to the topic