Nombreuses ont \u00e9t\u00e9 les entreprises Suisses \u00e0 subir les foudres des Etats-Unis. UBS, Cr\u00e9dit Suisse et prochaine victime, les caisses de pensions.<\/p>\n
Le but de cet article n’est pas de blanchir les banques… Elles ont agi de mani\u00e8re particuli\u00e8rement stupide et doivent en assumer les cons\u00e9quences. Quand votre environnement change, une soci\u00e9t\u00e9 intelligente doit savoir s’adapter rapidement \u2013 or l\u00e0, elles ont profit\u00e9 de la d\u00e9b\u00e2cle de l’UBS pour r\u00e9cup\u00e9rer ses clients \u00ab toxiques \u00bb au lieu de se faire discret.<\/p>\n
Cet article ne va pas vous donner de r\u00e9ponse, car je n\u2019en ai pas! Juste parler de ce qui est technologiquement possible et d’exemples dans lesquels certains outils ont \u00e9t\u00e9 utilis\u00e9s par les \u00c9tats-Unis pour mettre en place une surveillance massive.<\/p>\n
Mais on peut quand m\u00eame citer Glenn Greenwald :<\/p>\n
\u00ab Il y a en outre des indices que la NSA a espionn\u00e9 le syst\u00e8me bancaire helv\u00e9tique. Les services secrets am\u00e9ricains ont montr\u00e9 un grand int\u00e9r\u00eat notamment aux flux mon\u00e9taires, signale le journaliste am\u00e9ricain. \u00bb<\/p><\/blockquote>\n
http:\/\/www.lematin.ch\/monde\/suisse-doit-accorder-asile-snowden-estime-journaliste\/story\/27940069<\/a><\/p>\n
Revenons quelques ann\u00e9es en arri\u00e8re! Je suis les \u00c9tats-Unis, des avions viennent de s’abattre sur des tours. Je deviens alors parano et d\u00e9sire mettre en place des outils me permettant de combattre le terrorisme. C’est pour cette raison qu’a \u00e9t\u00e9 sign\u00e9 le Patriot Act.
\nhttp:\/\/en.wikipedia.org\/wiki\/Patriot_Act<\/a> et https:\/\/ethack.org\/article\/43\/le_patriot_act_ce_n_est_pas_juste_un_nom<\/a><\/p>\nLe Patriot Act c’est quoi? C’est entre autre donner aux services de s\u00e9curit\u00e9 (NSA), sans autorisation pr\u00e9alable et sans en informer les utilisateurs, d’acc\u00e9der aux donn\u00e9es informatiques d\u00e9tenues par les particuliers et les entreprises. Cela permet aux services secrets am\u00e9ricains d’obliger les soci\u00e9t\u00e9s am\u00e9ricaines \u00e0 leur donner acc\u00e8s \u00e0 tous les moyens permettant d’espionner des utilisateurs \u00e9trangers. Acc\u00e8s aux mails envoy\u00e9s par Google, acc\u00e8s \u00e0 vos communications Facebook, acc\u00e8s \u00e0 vos communications Skype (dont le prix d’achat de $8.5 milliards a \u00e9tonn\u00e9 beaucoup de professionnels\u2026http:\/\/www.wired.com\/2011\/05\/microsoft-buys-skype-2\/<\/a> ), acc\u00e8s \u00e0 votre ordinateur \/ syst\u00e8me d’exploitation, acc\u00e8s \u00e0 votre t\u00e9l\u00e9phone mobile, et la liste est encore longue!<\/p>\n
Je suis la NSA, on me demande rapidement de trouver et pr\u00e9venir d’\u00e9ventuelles attaques. Quel va \u00eatre ma premi\u00e8re action? Tracer les flux financiers! C’est-\u00e0-dire mettre les banques sous \u00e9coutes.<\/p>\n
Les banques Suisses sont une cible de choix!<\/p>\n
www.swissinfo.ch\/eng\/politics\/internal_affairs\/Spies_target_banks_for_the_secrets_they_hold.html?cid=7493558<\/a><\/p>\n
Premi\u00e8re solution… pourquoi chercher trop loin. Swift est un trait\u00e9 entre l’union europ\u00e9enne et les Etats-Unis leur permettant de voir les transferts inter-banques.<\/p>\n
http:\/\/www.spiegel.de\/international\/europe\/nsa-spying-european-parliamentarians-call-for-swift-suspension-a-922920.html<\/a> et http:\/\/fr.wikipedia.org\/wiki\/Accord_Swift<\/a><\/p>\n
Les pays offrent les informations dont j’ai besoin sur un plateau dor\u00e9… pourquoi ne pas en profiter!<\/p>\n
Deuxi\u00e8me solution… Travailler avec Microsoft et Apple pour int\u00e9grer dans leur syst\u00e8me d’exploitation des chevaux de Troie permettant de tracer toutes les donn\u00e9es.<\/p>\n
http:\/\/fr.wikipedia.org\/wiki\/NSAKEY<\/a>http:\/\/www.forbes.com\/sites\/erikkain\/2013\/12\/30\/the-nsa-reportedly-has-total-access-to-your-iphone\/<\/a>. Facile, mais cela veut dire que tous les utilisateurs vont transf\u00e9rer des donn\u00e9es \u00e9tranges hors de leur t\u00e9l\u00e9phone ou ordinateur. Ce n’est pas tr\u00e8s discret, et il y aura toujours des gens qui vont se demander par exemple pourquoi Apple gardait l’historique du d\u00e9placement des utilisateurs…http:\/\/www.theguardian.com\/technology\/2011\/apr\/20\/iphone-tracking-prompts-privacy-fears<\/a><\/p>\n
Si Microsoft ou Apple refusent de collaborer, pourquoi ne pas utiliser un programme qui voit d\u00e9j\u00e0 tout ce qui passe entre votre ordinateur et Internet. On a presque tous un anti-virus \u00e0 l’exemple de Norton (Symantec), et\/ou un firewall. Ces outils sont, par conception, oblig\u00e9s de vous espionner pour voir si il n’y a pas quelque chose en train de vous attaquer – ils sont ainsi tr\u00e8s bien plac\u00e9s. Mais est-ce que leur seule fonction est vraiment de vous prot\u00e9ger?<\/p>\n
Troisi\u00e8me solution… Cette solution est th\u00e9orique, et je suis certain que les Etats-Unis nous consid\u00e9rant comme alli\u00e9s n’ont pas impl\u00e9ment\u00e9 cette possibilit\u00e9! Ils n’espionnent pas leurs alli\u00e9s (ironique)!http:\/\/www.dw.de\/report-nsa-spying-on-merkel-aides\/a-17452381<\/a><\/p>\n
Mon but en tant que la NSA est que la solution soit discr\u00e8te et que je puisse lancer des programmes d’espionnage sans que personne s’en rende compte!<\/p>\n
Ma premi\u00e8re \u00e9tape sera de d\u00e9tourner tout le trafic entre les utilisateurs et ma cible. Par exemple le Cr\u00e9dit Suisse! Pour y arriver j’aurais premi\u00e8rement besoin de modifier les routeurs afin qu’ils fassent passer toutes les communications qui arrivent sur une banque par mes propres ordinateurs. Lorsque vous allez sur Internet, votre communication passe par plusieurs “routeurs” qui prennent ce que vous envoyez et le redirige au bon endroit. Par exemple pourquoi ne pas modifier les routeurs soit en demandant \u00e0 l’entreprise qui en fabrique le plus (CISCO) de le faire, soit en installant une version alternative du logiciel qui tourne sur ces routeurs.http:\/\/pro.clubic.com\/it-business\/securite-et-donnees\/actualite-702087-nsa-soupconnee-installe-logiciels-espions-routeurs-fabriques-usa.html<\/a> et http:\/\/freedomhacker.net\/2014-04-router-firmware-built-with-backdoor-vulnerability-tcp-32764-reactivated<\/a><\/p>\n
J’ai maintenant la possibilit\u00e9 de voir tout ce qui arrive sur une banque, une administration Suisse! Mais tout est chiffr\u00e9…<\/p>\n
Mon second probl\u00e8me est de rendre cela plus discret. Envoyer pleins des paquets aux Etats-Unis, c’est pas vraiment tr\u00e8s discret! Le plus simple est d’installer des machines qui espionnent directement en Suisse. Pas trop loin des banques! Apr\u00e8s j\u2019envoie r\u00e9guli\u00e8rement un r\u00e9sum\u00e9 des transactions entre les clients et leur banque: cette personne a envoy\u00e9 cette somme d’argent \u00e0 cette autre personne.<\/p>\n
Cette attaque a pour nom : man-in-the-middle.<\/p>\n
Heureusement la communication est chiffr\u00e9e par du HTTPS \/ SSL. L’id\u00e9e du SSL c’est que vous avez une autorit\u00e9 tierce (il y a environ 500 autorit\u00e9s de certifications). Par exemple la plus populaire est Verisign (appartenant aussi \u00e0 Symantec qui fait Norton). Ces autorit\u00e9s ont sign\u00e9 un “deal” avec par exemple Mozilla, Microsoft et Apple pour qu’elles soient consid\u00e9r\u00e9s comme \u00e9tant des partenaires de confiance. Quand vous allez sur l’UBS, vous allez \u00eatre certain que vous communiquez bien avec l’UBS et non un hacker \u2013 car Verisign le certifie ! Verisign est une soci\u00e9t\u00e9 Am\u00e9ricaine, donc soumise au Patriot Act;) ( https:\/\/ethack.org\/article\/48\/ssl_ou_l_absence_de_la_moindre_assurance<\/a> )<\/p>\n
Une solution serait d’avoir un faux certificat sign\u00e9 dans notre cas par Verisign. (J’utilise une approche similaire pour faire du d\u00e9veloppement: http:\/\/portswigger.net\/burp\/help\/proxy_using.html<\/a> ). Je pense discuter avec la banque, mais en fait je discute avec un serveur de la NSA (certifi\u00e9 par Verisign). Derri\u00e8re le serveur de la NSA discute avec la banque en se faisant passer pour moi.<\/p>\n
Je pense : Utilisateur \u2192 {internet} \u2192https:\/\/www.ubs.com<\/a> \u2013 Certifi\u00e9 par Verisign<\/p>\n
En r\u00e9alit\u00e9 : Utilisateur \u2192{internet, Certifi\u00e9 par Verisign} \u2192 NSA \u2192{internet, Certifi\u00e9 par Verisign} \u2192https:\/\/www.ubs.com<\/a><\/p>\n
SSL est un tr\u00e8s bon moyen de vous prot\u00e9ger contre les hackers, mais est-ce que c’est un bon moyen de vous prot\u00e9ger contre les Etats? Non!<\/p>\n
Une fois que l\u2019on a vol\u00e9 ou pris des informations, surtout \u00e0 vos alli\u00e9s, il faut blanchir ces informations. Est-ce que le piratage des donn\u00e9es bancaires a initi\u00e9 une initiative de blanchiment appel\u00e9e \u201cFATCA\u201d? FATCA permet de l\u00e9gitimer les informations collect\u00e9e, et de pouvoir les utiliser au niveau l\u00e9gal. L\u2019espionnage permet d\u2019\u00e9valuer les impacts, et savoir contre qui diriger ses \u201ccanons\u201d l\u00e9gaux.<\/p>\n
http:\/\/fr.wikipedia.org\/wiki\/Foreign_Account_Tax_Compliance_Act<\/a><\/p>\n
Est-ce que cela veut dire que je ne dois plus utiliser Internet ?<\/strong><\/p>\n
Non! Cela veut simplement dire qu’on doit savoir que ce qu’on fait actuellement sur Internet peut \u00eatre intercept\u00e9 par un \u00c9tat tierce. Qu’il ne peut pas utiliser ces donn\u00e9es ouvertement. Faire par exemple un payement sur Internet reste une op\u00e9ration sans trop de risques. Leur but n’est pas de vous vider votre compte bancaire (pour l’instant…)<\/p>\n
Comment fixer Internet ?<\/strong><\/p>\n
Internet est bas\u00e9 sur l’id\u00e9e qu’on fait confiance \u00e0 \u00e9norm\u00e9ment de soci\u00e9t\u00e9s. Microsoft, Apple, Google, Swisscom, Cisco, Symantec (Verisign, Norton), Komodo, Amazon Web Services, …<\/p>\n
Dans l’\u00e9tat actuel, Internet ne peut pas \u00eatre fix\u00e9 si ce n’est installer des logiciels tiers (donc faire confiance encore \u00e0 d’autres soci\u00e9t\u00e9s). Une premi\u00e8re \u00e9tape est d’utiliser Linux, par exemplehttp:\/\/www.ubuntu.com<\/a><\/p>\n
March\u00e9 lib\u00e9ral ?<\/strong><\/p>\n
Pour citer un article :<\/p>\n
\u00abLe fait est que la NSA cible certains secteurs qui sont souvent en concurrence avec des entreprises am\u00e9ricaines\u00bb, fait remarquer Glenn Greenwald. Il faut \u00eatre tr\u00e8s na\u00eff, dit-il, pour croire qu’elle ne le fait pas pour obtenir des avantages \u00e9conomiques.<\/p><\/blockquote>\n
http:\/\/www.lematin.ch\/monde\/suisse-doit-accorder-asile-snowden-estime-journaliste\/story\/27940069<\/a><\/p>\n
Il ne faut pas se faire d’illusion. Dans certains domaines \u00ab critiques \u00bb \u00e0 l\u2019exemple de la finance et des syst\u00e8mes de communication, les US n’h\u00e9sitent pas \u00e0 tricher. Ils appellent cette triche brevets, jury populaires, s\u00e9curit\u00e9 nationale, \u00e9vasion fiscale, etc<\/p>\n
http:\/\/www.regards-citoyens.com\/article-quand-la-nsa-pipe-les-des-ce-que-les-tres-grandes-oreilles-de-washington-conferent-comme-pouvoirs-120733910.html<\/a><\/p>\n
On peut parler d’Huawei qui ne peut plus vendre aux Etats-Unis pour \u00ab risque \u00e0 la s\u00e9curit\u00e9 \u00bb. Les Etats-Unis avaient vivement d\u00e9conseill\u00e9 \u00e0 leur alli\u00e9s d’utiliser les produits d’Huawei. Est-ce que c’\u00e9tait pour pourvoir continuer \u00e0 les espionner ?<\/p>\n
http:\/\/spectrum.ieee.org\/tech-talk\/computing\/hardware\/us-suspicions-of-chinas-huawei-based-partly-on-nsas-own-spy-tricks<\/a><\/p>\n