lambda 9.03
21 mai 2003

 

sommaire

 

 

COURT-CIRCUITS

 

Un CD blindé contre le flicage en ique

Arme fatale des derniers moyens de protection de l'intime sur ordinateur: le CD-ROM "Knoppix-Mib" (v.10, bientôt .11), une distribution Linux qui contient le must en matière de chiffrement à la volée (AES), une distribution libre sous licence GPL. Configuration minimum: un PC 400 MHz type Celeron, 128 Mo Ram, CD-Rom 24X. Ce CD-ROM est également diffusé sous la forme d'une image ISO qui doit être ensuite gravée sur un CD vierge.

L'image ISO du CD-Rom est disponible en téléchargement sur plusieurs serveurs -- mais le succès aidant, ils ne sont pas suffisant pour satisfaire toutes les requêtes. Avis aux bonnes âmes pour héberger des miroirs et partager la bande passante!! Les dernières news chez Michel Bouissou :

http://www.bouissou.net

>> Communiqué de la FIL

+ En cas de bouchons, et/ou pour ceux qui ne disposent pas d'une connexion haut débit ou d'un graveur, peuvent se procurer un CD pour 4 euros TTC + frais d'envoi auprès d'Ikarios (VPCiste d'articles relatifs au logiciel libre/open source):

http://ikarios.com/form/#knoppix

 

Privé de Passport

Quant le grand consultant IT Gartner donne un avis sur un produit tordu et vérolé de la multinationale Microsoft, il ose prendre ce qui s'impose: la clause de précaution! Le sésame multisupport Passport, en but à une grosse faille de sécurité tout récemment, doit être mis gentiment de côté sans discuter, conseille fortement Gartner, dont les études de marché et projections sectorielles font la pluie et le beau temps dans la galaxie infotech. La recommandation: "Break all Passport connections until at least November 2003, until Microsoft can prove that its security is adequate. Or invest in an additional, more secure form of authentication for all issued, Passport identities."

+ "Security Flaw Shows Microsoft Passport Identities Can't Be Trusted", Gartner First Take, 8 mai 2003.

http://www3.gartner.com/resources/114900/114948/114948.pdf

+ Alerte de sécurité du papa:

http://www.microsoft.com/security/passport_issue.asp

 

 


bienvenus dans nos fichiers...

Profiling Airlines

(suite)

 

 

UPDATE sur le dossier des données privés récoltés dans le cadre des vols transatlantiques.

Le 6 mai des officiels américains sont venu s'expliquer, et se faire cuisiner, par de très perplexes députés européens à Bruxelles. Une délégation du super ministère de la sécurité intérieure (le DHS), dont sa "chief privacy officer" (sic), Nuala O'Connor Kelley, et comprenant les douanes (U.S. Bureau of Customs and Border Protection- CBP) et la sécurité des transports (Transportation Security Administration- TSA).

Au vu des réponses, il s'agissait plutôt d'un monologue croisé. Par exemple des députés ont évoqués la période de rétention des données du nouveau système central - CAPPS-II, encore en phase de test - qui serait de 50 ans. Aucune confirmation ni éclaircissement sur ce point n'a été évoqué. Tout au plus, sait-on que 300 personnes de l'administration US ont accès aux données CAPPS *jusqu'à 7 jours d'archives*, au-delà cet accès serait limité à 40 personnes.

Résumé des propos de Douglas BROWNING, Deputy Commissioner, Customs and Border Protection (CBP), DHS:

- Browning recalls that the dialogue with EU and airlines has begun immediately after US law was passed in November 2001 [reference to US Patriot Act, SE]. - Since 1995, more than 200 airlines have "voluntarily provided PNR data" to US customs, including EU-, Asian, Latin American and North American carriers. The US law requires carriers to push information to our department. Carriers let the US government pull the data they need. The targeting system was built to answer carriers' demands of not having to filter their PNR data. - On the issue of access, he said that 300 employees of CBP have access to data for up to seven days, after that, access to data is limited to 40 employees. - CBP's interest is to "know who, when and why someone went into the system and to audit the process after that". He rejects the idea that there was any discrimination on grounds of nationality, since the law requires that "anyone who is traveling to, through, from or within the US" provide PNR data". - CBP does not do historical checks on older itineraries. He insists that data was only processed "if it is consistent with the original purpose". If there is retention of data, it is only for au auditing purposes and to answer complaints.

 

Résumé des propos de Steven McHALE, Deputy adm., Transportation Security Administration (TSA), DHS:

- McHale is answering the question on accessibility for the TSA: CAPPS-II is still in development, currently in the test phase, but will be a completely automated system aiming at doing "risk assessment" within minutes [the time between a ticket sale at the airport and immediate boarding, SE], this means that "no individuals" have access to CAPPS-II. It's protected by dual firewalls around the system. - He recalls that PNR does not contain any fields that could be considered" sensitive" according to Art. 8, that such info could only be indirectly inferred from fields such as "General remarks". - He admits that each airline enters data differently, so that it is not easy to say a priori which fields are important and which are not. Thus, working on filters becomes also problematic. The TSA is working with the European Commission on this issue.

>> Les principales questions / réponses sont archivées ici

 

Le DHS avance que seules des "informations commerciales déjà disponibles" sont employées dans CAPPS-II, alors que des documents obtenus par l'EPIC montrent que parfois la collecte de telles données ont été illégales -- affaire Choice Point en Amérique latine.

Les douanes US (bureau CBP) et la Commission européenne discutent ensemble sur une solution intermédiaire, dont des détails ont été résumés par des agents de la compagnie Lufthansa:

Entre mars et avril 2003, l'organisation EPIC a dévoilé des documents de l'agence TSA prouvant l'existence d'une "liste noire" des passagers interdits, sur la base des données ainsi croisées par les services américains.

La "no-fly" list comprend tous les passagers ne pouvant embarquer sur un vol transatlantique, posant un "risque aigu" sur la sécurité des Etats-Unis. Une liste-bis comprend les personnes devant faire l'objet d'un contrôle plus poussé avant l'embarquement.

Le 25 mars une centaine d'organisation US - de tous les spectres politiques, de l'EPIC au CDT, en passant par la Christian Coalition (!) - se sont élevées contre les nouveaux projets de TSA. Notamment la constitution d'une base directement enrichies des contrôles aéroportuaires: Aviation Security Screening Records (ASSR). Ce serait un complément à la base APIS des passagers américains, elle aussi source du futur CAPPS-II.

La "no-fly list" correspond au code couleur "Rouge" dans la base de données; les personnes à contrôler entrent dans le code "Jaune", alors que les autres restent en code "Vert".

Des témoignages récoltés lors de la "compétition" des Stupid Security Awards en mars et avril dernier ont mis en évidence la lettre "S" sur les cartes d'embarquement ("boarding pass"): ce "S" voudrait dire "screening", indiquant que le passager est en code "Jaune" devant passer un contrôle supplémentaire avant de monter dans l'appareil.

Résumé des interrogations des associations citoyennes US:

* American Civil Liberties Union, American Conservative Union, American Defense Council, Americans for Tax Reform, Center for Democracy and Technology, Christian Coalition, Electronic Frontier Foundation, Electronic Privacy Information Center, Free Congress Foundation, etc...

Défichez-vous!!!

Mais la question reste entière sur les données une fois transférées: elles seront croisées avec les précédents voyages, et le droit d'accès des citoyens quels qu'ils soient.

En europe les organisations regroupées dans l'ERDi - European Digital Rights - ont lancé une campagne d'information et de sensibilisation auprès des passagers, et surtour des incitations de "plaintes auprès des autorités de protection des données contre le transfert illégal aux États-Unis de données personnelles concernant les voyageurs européens", comme l'a relayé l'asso partenaire IRIS: http://www.iris.sgdg.org/actions/pnr

+ Dossier complet en anglais

+ Lettre aux compagnies (modèle)

+ Lettre à la CNIL (modèle)

Ressources:

+ Témoignages / Hearings of US Homeland Security Department representatives before the European Parliament, May 6

+ Celui de la Chief Privacy Officer du DHS (PDF)

+ Volez tranquille, vous êtes fliqués, Liberation du 9 mai 2003

+ US unable to appease EU worries on data transfers - EUobserver.com, 07.05.2003

 

 

 

TELESCOPAGE

Le retour des mouchards hitek

 

Le 9 mai au moment ou EUCD.info sortait une nouvelle pré-version (4 avril) du projet de loi de la Culture sur la transposition EUCD par la France, des questions éthiques agitaient le petit monde des étiquettes électroniques.

"En dépit des vives protestations soulevées par l'avant-projet de loi rédigé en décembre 2002, le projet de loi surenchérit en ajoutant le traçage des oeuvres aux menaces qui pèsent sur l'ave

"Le projet de loi de transposition de l'EUCD ... rend légale la limitation du nombre de copies privées, accédant ainsi aux demandes des majors au détriment des citoyens. ... Par ailleurs, le projet de loi organise le traçage des oeuvres. Si un éditeur inscrit un numéro de série sur chaque morceau de musique fourni au public, il sera illégal de le supprimer. Les préférences culturelles de chacun peuvent ainsi être mises sur écoute et la loi interdira de se défaire des mouchards incorporés dans chaque oeuvre. Ces dispositions qui proviennent de l'article 7 de l'EUCD n'étaient pas incorporées à l'avant-projet de loi du 5 décembre 2002 et n'ont fait l'objet d'aucun débat."

Et des petits mouchards inscrits dans d'autres "produits" de grande consommation, pourront, eux, être désactivés à la caisse. "M'dame, vous m'en mettez deux off et laissez celui là allumé, je perd souvent mes cardigans."

Dépêche de News.com du 9 mai:

"Le principe du consentement préalable va être appliqué aux étiquettes électroniques de type RFID, sur lesquelles travaillent des industriels pour tatouer des produits de grande consommation. Un "interrupteur" irréversible leur sera intégré. ... Ils devront simplement le signaler lors du passage en caisse, a précisé à CNET News.com le professeur Sanjay Sarma, fondateur et directeur de la recherche du centre Auto ID. Centre qui pilote cette expérience et dont sont membres plusieurs industriels de gros calibres (des fabricants d'étiquettes et de lecteurs, mais aussi des géants de la grande consommation comme Gillette, Procter & Gamble et Unilever)."

Et plus tard sur (nouveau) Transfert, on apprenait que "Les implants GPS sous la peau sont prêts - Avec ces pacemakers espions, surveillez enfants, vieux et animaux" (enfin!)

"L'appareil de localisation personnelle" du constructeur américain Applied Digital Solutions (ADS) est un récepteur GPS de la taille d'un stimulateur cardiaque (pacemaker). Conçu pour la surveillance des personnes, ce dernier n'est encore qu'un prototype. Annoncé dès 2000, l'appareil, qui a déjà été testé avec succès, pourrait être commercialisé avant la fin de l'année selon ADS."

 

+ Le projet de loi de transposition de l'EUCD - 4 avril 2003

+ Zdnet.fr, 9/05

+ Transfert, 19/05

 

+++++++++++++++++++

Cisco super-flic, le retour

 

Le numéro un des routeurs IP reconnaît enfin, après de bien curieux précédents en 1999 , que ses produits seront désormais "wiretap-friendly", conçus sur mesure pour autoriser des "écoutes légales" sur ses équipements réseaux. De telles interceptions, comme doivent le prévoir les lois nationales en vigueur (quand il y en a...), seront ainsi "indétectables", pour les opérateurs de services comme pour les utilisateurs.

En 2000, l'IETF - groupe technique de normalisation sur IP - avait refusé de modifier le protocole internet pour faciliter ces écoutes légales. Mais déjà à l'époque, Cisco se conformait à ces dispositions (loi CALEA des Etats-Unis) dans ses produits de voix sur IP (gamme de "routeurs large-bande universels uBR7200", modèle 7246 - cf lambda 5.03, novembre 99).

Extrait d'un dialogue entre un journaliste et Fred Baker, ancien employé de Cisco et ex-président de l'IETF:

- A few years ago (in RFC 2804) the IETF rejected the idea of building eavesdropping capability into Internet protocols. The FBI supported the idea, but the IETF said, no way. You were chair of the IETF at the time. How do you reconcile your proposal with the decision made then?

- I thought that what the IETF decided to do was actually the right thing to decide. What it said is that the IETF would not modify protocols that were designed for some other purpose in order to support lawful interception.

- Will you discuss this at the next IETF meeting in Austria in July?

- We're hoping for community review. If people see any problems with what we're doing on a technical level, we're all ears. We want to produce the best possible capability in terms of security and the capability required.

 

+ IETF Policy on Wiretapping, RFC 2084

+ Entretien de News.com avec Fred Baker, ancien employé de Cisco et ex-président de l'IETF, "Inside Cisco's eavesdropping apparatus", April 21, 2003

+ "VoiP de son maître", Lambda 5.03

+ "Cisco Systems plans spy-friendly computer hardware," GILC Alert, 29/04/03. Lire aussi sur le même thème "US gov't pushes built-in Net phone spy systems"

 

 

RESSOURCES / UPDATE

 

+ Bilan noir des mesures antiterroristes (31 mars)

Un an après l'adoption de la Charte européenne des droits fondamentaux par le sommet de Nice, la Commission de Bruxelles a commandé un rapport à un groupe d'experts indépendants sur son application effective.

Commentaire du Réseau Voltaire: "Les experts mettent en garde l'Union contre la multiplication des atteintes aux libertés fondamentales depuis le 11 septembre 2001. Ils mettent en cause de nombreuses mesures sécuritaires et notent qu'elles causent des préjudices sans pour autant augmenter le niveau de sécurité. Ils relèvent aussi les conditions inacceptables d'incarcération dans de nombreux États membres, et la persistance de discriminations à l'encontre des populations nomades. Enfin, ils s'interrogent sur les conflits entre protection des données et droit d'accès à l'information."

Rapport en français (PDF), 31/03:
Commentaires thématiques (PDF)
Documents sur la coopération judiciaire EU/USA, suivi par Statewatch (6 mai)

 

+ Bilan de la protection des données dans l'UE, 8 ans près la directive 95/46 (15 mai)

"La Commission espère que, lorsque cela est nécessaire, les États membres modifieront leur législation pour se conformer aux dispositions de la directive et alloueront des ressources suffisantes aux autorités de contrôle. La Commission attend également que les États membres et les autorités de contrôle entreprennent tout ce qui doit raisonnablement l'être pour créer un environnement au sein duquel les responsables du traitement - en particulier ceux opérant à un niveau pan européen et/ou international - pourront se conformer à leurs obligations de façon moins compliquée et moins contraignante et pour éviter d'imposer des exigences qui pourraient être abandonnées sans que cela n'ait aucun effet néfaste sur le haut niveau de protection garanti par la directive.

"La Commission encourage les citoyens à faire usage des droits que leur confère la législation et les responsables du traitement à prendre toutes les mesures requises pour respecter cette législation. La Commission suivra de près les nouveaux développements technologiques et les résultats du programme de travail proposé dans le présent rapport et formulera d'ici à la fin 2004 des propositions de suivi supplémentaire, date à laquelle tant la Commission que les États membres bénéficieront d'une expérience sensiblement plus étendue qu'actuellement en ce qui concerne la mise en application de la directive."

Rapport en français (PDF)

 

- Suivi de quelques dossiers chers au lambda dans le derneir bulletin de la GILC (29 avril 2003):

[1] Jailed Tunisian Net dissident resumes hunger strike, [6] Vietnamese prosecution of Net dissident draws fire, [7] Kazakhstan restricts access to news and politics websites, [9] German gov't steps up Net censorship, [12] Iranian website editor arrested, [15] Al-Jazeera news site faces many problems, [21] Cisco Systems plans spy-friendly computer hardware, [22] US gov't pushes built-in Net phone spy systems, [24] Big Brother Awards ceremonies held in UK, US

http://www.gilc.org/alert/alert73.html

- Le projet orwellien de Bush en stand-by (20 mai)

Sur le site de l'EPIC, des nouvelles du projet TIA (Total Information Awareness) de la DARPA. Depuis février le projet est suspendu par le Congrès qui réclame des explications. Le Pentagone devait répondre aux alentours du 20 mai. L'EPIC a produit des documents techniques intéressants...

http://www.epic.org/privacy/profiling/tia/

 


©left bulletin lambda
mai 2003
Contact I home I abonnement I