Strava mes données a moi, que j’ai donné avec plaisir et sueur

La raison de vivre d’un réseau social est le partage avec ses « amis », Strava ne déroge pas à la règle, mais le partage des données collectées n’était pas vraiment attendu par tout le monde. Cette affaire permet de lever un coin de voile sur les réseaux sociaux et leur capacité à collecter des informations, à les agréger et enfin à les exploiter…
Le réseau social Strava permet de partager ses « exploits » sportif avec ses amis via un équipement connecté au travers des données collectées pendant l’effort. Celles-ci ont été agrégé par le réseau social est rendue publique fin janvier sur le site Strava Global Heatmap. Cela permet à travers une première analyse de voir que l’on fait beaucoup de sport en Europe, en Amérique du nord mais pas uniquement, l’on aperçoit sur la carte globale beaucoup d’espaces où l’on fait du sport, en particulier dans des endroits improbables, le désert ou la mer, on y remarque aussi quelques bugs…

Lorsque l’on a l’habitude de regarder Google Map pour regarder des endroits lointains, on regarde en réalité des photos et en dehors des villes, difficile de se rendre compte de l’activité humaine. Strava va agir comme un révélateur de cette activité. Un peu comme lorsque vous utilisez des jumelles de vision nocturne en pleine nuit. Ce qui frappe tout d’abord, c’est les routes, en effet on distingue très bien les autoroutes et les routes importantes, or ce n’est pas un lieu où l’on pratique du sport. Viennent ensuite les stades qui sont des lieux de pratique évidents, on y remarque d’ailleurs ceux a forte activité par rapport à d’autres. Strava fournit plusieurs fonctionnalités qui permettent de filtrer les informations suivant le type de sport, élément important suivant l’utilisation que l’on en fait, on le verra par la suite.
Au même titre que Google Map cela permet de regarder des endroits improbables, la Corée par exemple. en particulier au nord on y retrouve de l’activité sportive, des touristes probablement…

Dans les zones de conflits on y retrouve l’activité de militaire, on pense tout de suite à la Syrie, au mali, en Libye, mais plus amusant l’ile de Xonjing dans les iles Paracel. On constatera aussi que quelques menus travaux d’aménagement on était réalisé….

Dans d’autres zones de conflit on peut voir les patrouilles à pied de celles en véhicules grâce aux paramètres de l’application.
Mais mieux encore cela permet aussi de voir les activités passées d’un endroit, une sorte d’empreinte du temps. Cela ne se détecte que si vous connaissez l’endroit parfaitement. Par exemple sur l’aéroport de Paris Le Bourget se déroule tous les 2 ans le Salon International de l’Aéronautique et de l’Espace, ce salon se déroule sur le tarmac pour la partie extérieure et l’on y remarque sur Strava l’agencement des chalets extérieurs par exemple. cela ne fonctionne pas pour les activités en intérieur comme les salons porte de Versailles.

Cette divulgation consentie permet de prendre conscience si cela était encore nécessaire que de la protection des données personnelles est une action importante. Ces données pouvant être exploitées par l’état disposant de ces données. Pour rappel Strava est basé aux Etats-Unis, donc soumise à la loi américaine et donc au Patriot Act. Lequel est utilisé pour lutter contre le terrorisme mais pas uniquement et en particulier dans la guerre économique mondiale. alors que dire des informations recueillies par les GAFAM qui eux représentent des milliards d’utilisateurs. A ce titre là, une carte diffusée par Facebook seraient très instructive!
La mise en place du RGPD permettra peut-être de mieux lutter contre la diffusion de vos données, mais en attendant celles-ci sont exploités au mieux par d’autres bien mal intentionnés.

Au Service de la France – Série TV

Au cœur de l’hiver il fait bon de se réchauffer au coin du feu ou sous la couette en regardant une série parodique du film d’espionnage, comme Au Service de la France. L’intrigue se déroule dans la France des années 60 au sein d’un service de renseignements en charge des opérations extérieures à l’étranger. Ici on est bien loin du Bureau des légendes, puisque l’étranger est l’Algérie, encore Française à l’époque, les états africains avant leur indépendance, les pays du bloc de l’est.

Au générique on y retrouve une devise, “partout ou nécessite fait loi” qui pourrait être celle du SDECE ancêtre de la DGSE.

On y trouvera des intrigues sur le fonctionnement de l’administration française, les restes de la Seconde Guerre mondiale ou encore la décolonisation…un délice.

 

Mon amour d’Heathrow ma clé USB

clé usb
Cle USB

Il y a quelques jours un chômeur a trouvé une clé USB au milieu d’autres papiers, sur un trottoir d’Ilbert Street à Queen’s Park dans l’ouest de Londres. Quelle ne fut pas sa surprise d’y découvrir des données très sensibles marquée confidentielles pour certaines, lesquelles concernaient l’aéroport de Londres Heathrow. Il a bien évidemment contacté un journal plutôt que les forces de police, et donc grâce à lui cette histoire nous est connue.
La clé contenait près de 2.5 Go de données, réparties dans 76 répertoires. Parmi ces données on y a trouvé, le chemin emprunté par la Reine et les mesures de sécurité la concernant au sein de l’aéroport, les ID d’accès aux zones y compris ceux employé par les policiers sous couverture, les calendriers des rondes assurant la protection contre les attaques terroristes, des cartes d’implantation des caméras de surveillance, le cheminement des personnalités, le système de scanner de piste…Toutes ces données étaient librement accessibles sur une clé USB, non chiffrées.

Cet exemple médiatique est très intéressant à plusieurs titres.

Il rappelle que les données stockées sur un support numérique sont naturellement volumineuses, ici on parle de 2.5 Go soit environ 800 000 pages A4 ou encore 1600 ramettes de papier ! Autant se promener avec une clé USB est naturel, avec 1600 ramettes sous le bras beaucoup moins.
Ensuite comment expliquer qu’un tel volume d’information sensible soit trouvé dans la rue a une douzaine de kilomètres de l’aéroport? Cette question se scinde en 2, une première sur l’aspect humain, une seconde sur l’aspect technique.

Sur la question humaine on peut imaginer plusieurs scénarios.

  • Le premier, peut-être le plus vraisemblable, la clé USB a été perdue par un employé tout simplement, l’histoire finissant finalement bien.
  • Autre scénario un employé s’est fait voler une sacoche contenant entre autres documents cette clé USB, le voleur se débarrassant de ce qu’il ne trouvait pas utile, les documents papiers et la clé.
  • La clé a été perdue par une personne qui n’était pas légitime à la détenir.
  • Le chômeur a peut-être trouvé la clé USB dans un endroit que l’on appelle une boîte aux lettres et l’a récupéré avant le passage de la personne qui aurait dû « légitimement » la récupérer.

Dans tous ces scénarios les services de police britanniques détiennent un témoin vital, la clé USB. En effet une analyse technique poussée permettra de retracer la vie de la clé. On pourra définir par exemple quand des fichiers ont été copiés, supprimés, modifié, en analysant les métas datas des fichiers ont pourra définir qui a créé les fichiers, qui les a modifié, où et quand la clé a été branché…bref connaître l’histoire de la clé.

En comparant l’histoire de la clé on pourra très probablement en définir un propriétaire ou du moins des gens ayant le besoin de détenir ces fichiers. On pourra aussi définir si c’est une clé fournie par l’entreprise ou non.

Si l’analyse forensique ne donne rien de probant, c’est que l’on aura affaire à une clé très probablement “fabriqué” compilant des informations recueillies par ailleurs, situation guère rassurante. Dans tous les cas cette analyse sera déterminante pour identifier le responsable de la fuite et/ou la destination de la clé dans le cas d’une fuite volontaire.

Pour l’aspect technique on imagine mal en 2017 qu’aucun dispositif de protection ne soit mis en place par l’aéroport. Des produits de Data Leak Prevention (DLP) existent et font aujourd’hui partie de la panoplie dont dispose un RSSI pour limiter au mieux ces fuites d’information. Autre moyen technique, le chiffrement qui aurait pu permettre de limiter l’accès à l’information par celui qui trouve le support. Ces 2 moyens techniques auraient permis au RSSI de l’aéroport et aux services de sécurités d’être plus serein sur la sécurité des voyageurs.

Pourtant le Royaume-Uni dispose d’une réglementation, qui donne des objectifs de protection des informations sensibles et marquées.

La fuite d’information sensible marquée n’est pas une nouveauté, en août 2016 une fuite d’information concernant une société française portant sur plus de 22000 documents avait eu lieu ici et avait posé bien des questions non résolus.

Au vu de la quantité de données numériques et de la quantité de clé USB produite dans le monde, il est de la responsabilité de chaque entreprise de faire le nécessaire pour s’assurer que son patrimoine ne s’envole pas. C’est dans ce sens que l’II901 portée par l’ANSSI recommande de chiffrer les supports amovibles et d’en contrôler la connexion aux réseaux d’entreprises.

Ingérence le plus vieux métier du monde?

Voter
Voter

L’ingérence des pays dans les élections est aussi vieille que l’art de la guerre. En effet selon Sun Tzu. Il « Le meilleur savoir-faire n’est pas de gagner cent victoires dans cent batailles, mais plutôt de vaincre l’ennemi sans combattre ».

Plusieurs phénomènes se sont développé au fil du temps et aboutissent à ce raffinement ultime que l’on connaît actuellement et qui scandalise de nombreuses personnes.

Depuis longtemps les états cherchent à influencer les autres états, de façon plus ou moins violente et transparente. Ce fait n’est pas nouveau en soi. ce qui est nouveau par contre c’est la façon de le faire.

D’un autre côté le développement commercial passe par une phase de marketing, domaine qui n’a de cesse de s’améliorer au fil du temps. Ce domaine qu’est le marketing n’a de cesse de développer de nouveaux modes d’action et l’un d’eux est le marketing politique qui s’appuie principalement sur les médias et dernièrement sur les réseaux sociaux. Par exemple le marketing politique a été employé en Irak en 2003 (ici). Il ne faut toutefois pas confondre la propagande avec du marketing politique.

Enfin dernier ingrédient de notre savant mélange, les technologies de l’information que sont, Internet, le Big Data et les objets connectés. Ces techniques ont permis une accélération du temps, de concentrer les données et de pouvoir les analyser finement et rapidement.

Ces différents phénomènes imbriqués les uns dans les autres, permettent aujourd’hui d’avoir une certaine forme d’influence sur les processus démocratiques des démocraties. Ce qui n’était pas concevable et réalisable par le passé devient réalisable aujourd’hui.

Ensuite ce qui est acceptable pour certains acteurs, je pense en particulier aux pays occidentaux qui cherchent à imposer leurs modèles à d’autres, semble ne pas acceptable pour d’autres. Les pays occidentaux sont passé au fil du temps d’une imposition de leur volonté par des moyens militaires au Soft Power (ici) comme lorsque la CIA a appuyé Force ouvrière (ici), or ils ne sont pas les seuls à pouvoir utiliser cette méthode. Au final l’utilisation de ces principes repose sur un principe simple l’ingérence.

Dans le cas qui nous préoccupe, nous en France, c’est de constater que lors de l’élection américaine il semble qu’il y ait eu une ingérence Russe dans l’optique de placer un candidat qui soit le moins mauvais pour l’ingérant, cela n’implique pas qu’il soit pro-russe. Comme le principe d’une élection n’est pas d’avoir tous les votes pour soi mais juste la majorité, il suffit de pousser l’opinion publique, de quelques pourcents dans un sens ou dans l’autre. Dans le cas américain, le principe de l’élection par grand électeur rend le travail plus facile puisqu’il suffit de mener l’action aux points stratégiques, de remporter quelques états clés pour faire basculer le vote.

Dans le cas français le processus est différent, car la seule élection a grand électeur est celle du Sénat qui se renouvelle par tiers tous les 3 ans. donc influencer directement une élection française sur un mode à l’américaine est très improbable.

Cependant il est toujours possible d’infléchir à l’inverse le candidat que l’on ne souhaite pas voir arriver au pouvoir et cela grâce aux techniques cybers qui permettront de sortir une “affaire” au plus mauvais moment, par exemple dans le cas américain l’affaire des mails à quelques jours de l’élection comme cela est arrivé pour Hillary Clinton. Dans ce dernier cas c’est très compliqué de gommer l’effet au moment de déposer son bulletin dans l’urne.

Maintenant construire une affaire n’est pas trop compliqué, car par définition les personnalités politiques sont publiques et elles ont des vulnérabilités comme tout le monde, on se souviendra de l’affaire “DSK”. De plus comme les personnalités politiques sont mêlés à plusieurs milieux, comme ceux des affaires et du journalisme, il est assez facile pour un service de renseignements étranger de trouver des indices et des éléments pour construire une affaire ou en exhumer une.

Contrer cette ingérence sans mettre en péril les fondements de la démocratie est compliqué car cela abouti indirectement à compromettre certains candidats aux détriment des autres, c’est probablement le point faible de la démocratie de nos jours.

Les leviers de la fuite de données

manipulation
manipulation

Ces derniers temps le nombre de fuites de données ne se tarissent pas, pourtant ce n’est plus par méconnaissance, ni par manque de moyen technique, n’y aurait-il pas autre chose derrière tout ça.
En assistant un peu par hasard à une séance de sensibilisation j’ai découvert un concept intéressant, celui du MICE, rien à voir avec le mulot de l’ancien président français Jacques Chirac. Le MICE est l’acronyme de “Money – Ideology – Compromise – Ego“. L’argent, l’idéologie, la compromission et l’égo.
D’après les spécialistes que j’ai religieusement écouté ces 4 motivations sont les leviers qui permettent à des personnes d’entreprendre des actions de “trahison” envers leur environnement proche, amis, famille, employeur, pays, etc… En français on utiliserait plutôt l’acronyme VICE “Venal, Idéologie, Compromission, Ego”.
Ce concept, peut-être utilisé comme grille de lecture, et peut servir à manipuler quelqu’un, dans le bon, comme le mauvais sens.
Dans le bon sens le manager peut utiliser quelques éléments de cette grille, l’argent et l’égo, voir l’idéologie. En effet pour bien manager une force commerciale, l’argente et l’égo font souvent mouche, par contre dans une équipe d’ouvriers, l’idéologie, sous forme de loyauté à son entreprise et une fibre bien meilleur pour les résultats du manager qu’augmenter les salaires.
Dans le mauvais sens, les services secrets utiliseront tous les moyens pour manipuler une personne, est lui faire faire réaliser des actions qu’elle ne souhaite pas, comme par exemple faire fuiter des informations, un petit peu comme dans l’affaire Edward Snowden, ou plus connu l’affaire Farewell.
Passons tout d’abord ces leviers en revue.

L’argent :
L’argent moteur du monde, et une motivation qui fait se dépasser les traders, dans l’optique de bonus énormes. Un certain Jérôme Kerviel a pris des risques en ce sens. Ce n’est pas l’argent qui est une fin en soi comme l’oncle picsou, mais plutôt ce qu’on en retire.

M de MICE
M de MICE

L’argent permet d’acheter des objets et des biens de grande valeur, de rembourser des dettes, accéder à un statut social, cela permet d’assouvir un certain sentiment de puissance et de réussite.

L’idéologie :
L’idéologie repose sur une croyance en une, religion, politique, type de société, et dans l’extrémisme de la pensée de celle-ci.

I de MICE
I de MICE

En effet ces personnes font de leur idéologie une fin en soi, mais qui peut un jour s’effondrer, comme s’est effondré le communiste dans les années 90.

La compromission:
Le levier de la compromission permet de mettre une personne en opposition des lois, de la morale, ou de la société et finalement de la faire “collaborer” à un dessin qui n’est pas le sien en promettant de passer “l’éponge”.

C de MICE
C de MICE

La compromission concerne souvent des histoires, de mœurs, criminels, qui permettent de faire du chantage à la personne concernée.

L’égo:
Qui n’a jamais été flatté par un manager qui lui dit qu’il est les meilleurs de l’équipe? C’est tellement bon à entendre…
L’égo est une arme redoutable qui permet d’obtenir des choses incroyables de la personne “ciblé”. Les managers sont très friands de ce levier, tout comme les employés qui les écoutent.

E de MICE
E de MICE

Être le meilleur, une star, ou encore un héros, la finalité de notre société en mal être.

Ces 4 leviers permettent d’obtenir toutes sortes de choses de la personne qui en est la cible. Et souvent bien au-delà des espoirs du commanditaire.
Lors de cette conférence il a été expliqué que cette grille était utilisée comme lecture des vulnérabilités d’un individu. A bien y réfléchir on est tous sujet à ces 4 éléments.
Dans le cas qui nous occupe les fuites d’informations des systèmes d’information, on peut légitimement se demander si celle-ci se produisent grâce ou a cause de ces vulnérabilités ou force de motivation si on regarde l’attaquant.
Dans les cas de phising exemple l’égo est très utilisé pour donner de la confiance à la cible, puisqu’elle a la confiance du PDG.
Et partir de la commence l’histoire de la fuite, mais c’est une autre histoire.