lambda 9.04
14 juillet 2003
sommaire
Profiling Airlines (suite)
Amadeus est un système centralisé de réservation des compagnies aériennes. Un représentant a confirmé le 1er juillet que les données passagers (40 détails différents - dont les historiques des voyages) sont directement accessibles par les autorités US, alors que les garanties demandées par le Parlement européen ne sont pas encore démontrés.
Statewatch: Revised 8 July 2003
EU airlines allowing access to all personal details on passengers by US authorities
Statewatch's correspondent in Austria writes that a spokesperson for Amadeus systems, the data warehouseing company for European air carriers, confirmed on Tuesday, 1 July, that the full 40 data fields per passenger are being made available to the US (where this data has been collected) from the first airlines selected to give access to their reservation systems.
The full 40 data fields include personal "historical" data. Not all airlines operating out of the EU are currently part of this system as some like Austrian Airlines have got an extension from US agencies, while Air France and Lufthansa are already taking part in the system.
US Customs have direct access to the whole Amadeus database around the clock to access data from those airlines taking part through what is known as the "pull format" (ie: US agencies download the data) as distinct from the "push" format (where EU airlines decide what information to send to the USA).
A Amadeus spokesperson also confirmed that the European Commission has advised air carriers to hand over this data - this exchange of data is only covered by an informal agreement between the USA and the European Commission and is open to legal challenge as few of the data protection standards laid by the 1995 EC Directive are met. This informal agreement will stay in operation until a formal decision is taken in the EU on such data exchanges.
On 22 May the US Customs defined more than 40 data fields that European airlines have to transfer to the US. These include all forms of payment information, billing address, email address, home address and home phone number of the passenger.
Under US laws this data can be held and accessed for seven years - which is quite contrary to EU law.
+ Source: EU airlines allowing access to all personal details on passengers by US authorities (Statewatch July 8)
+ Interview with Eberhard Haag, Senior Vice President, Operations - Amadeus
Fichiers d'adresses IP, logs retenus pendant 3 ans...
LE CSPLA plus fort que Sarkozy
Présidé par Maurice Viennois, conseiller honoraire à la Cour de cassation et membre de la Commission nationale de l'informatique et des libertés (Cnil), la commission spécialisée "libertés individuelles" du Conseil supérieur à la propriété littéraire et artistique (CSPLA), a publié le 26 juin un avis sur la transposition de la directive européenne sur les droits d'auteur dans la société de l'information (EUCD).
- Le Conseil propose d'abord que la durée de détention des données de connexion par les opérateurs techniques soit portée à trois ans, soit "la durée de prescription de l'action pénale en matière de délits".
BACKGROUND Le régime de conservation et d'effacement de ces données est fixé par la loi sur la sécurité quotidienne (LSQ) du 15 novembre 2001, avec une durée maximum amenée à 1 an maxi; la Cnil s'était prononcée pour que ces "logs" ne soit pas conservés au-delà de 3 mois.
- Fichiers d'adresses IP - La commission du CSPLA est pour permettre aux sociétés de
créer des fichiers d'adresses IP d'internautes pratiquant l'échange de contenus illicites - musique, films ou logiciels et veut que "le Parlement trouve (...) une solution permettant aux sociétés de gestion et aux ayants-droit de procéder à la constitution de tels fichiers dans le seul but d'assurer la protection de ces droits".
BACKGROUND Un principe toujopurs contraire aux principes de "proportionnalité" de la Cnil en matière de données personnelles. Mais un principe déjà entendu par les Parlementaires. Ironie: c'est le sénateur Alex Türk, vice-président de la Cnil, qui a amendé le PJ de réforme de la loi informatique et libertés (LIL), pour faire étendre aux entreprises victimes d'infractions (dont les majors) le droit de procéder à des "traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté".
- Responsabilité des hébergeurs: le CSPLA réclame une "transposition parfaite" de la directive "Commerce électronique" à l'origine de la loi - et la mise en cause de la responsabilité des hébergeurs n'ayant pas obtempéré à la demande de retrait d'un contenu à "manifestement illicite".
BACKGROUND Transposition en cours (LEN), plus de recours à une "injonction" judiciaire pour retirer un ciontenu, mais le Sénat a mendé le texte assorti d'une procédure de responsabilité pour la personne qui "dénonce" le contenu litigieux analogue aux délits de "dénonciations calomnieuses".
- A propos des solutions techniques permettant "de créer un système général d'empreinte informatique permettant de vérifier si les fichiers échangés sur le réseau sont autorisés et de bloquer les échanges de fichiers illicites lors de leur passage par un serveur ou un routeur".
BACKGROUND Un principe qui devra être "conforme notamment au principe constitutionnel de protection de la vie privée et aux stipulations de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales". A noter que le systeme DRM utilisé par Apple dans son kiosque iTunes Store utilise ce type de tracage des fichiers achetés en ligne.
+ Avis de la Commission "libertés" du CSPLA
+ "L'organe consultatif sur la propriété intellectuelle en veut aux libertés" - Transfert, 4/07/2003
+ Droits d'auteur: le CSPLA sévère à l'égard des internautes" - Zdnet 4/07/2003
Les remords du Général Crypto
Préambule:
Les habitués du Bulletin lambda se souviennent surement du long combat, qui n'en a pas fini pas malgrés la LSQ, puis la LEN (actuellement en deuxième lecture), pour "libérer" l'usage de la cryptographie pour le commun des mortels. Le Gal Desvignes a pris en main le "fort d'Issy" (le service central de la sécurité des systèmes, SCSSI) en 1996, lorsque PGP commençait à titiller sérieux les services de renseignement. A l'époque il était encore de bon ton de limiter à 128 bits (ce sera effectif en 1999) la taille maxi des clés de chiffrement "librement" utilisable sans déclaration ni autorisation. 128 bits, en fait le vrai chiffre à retenir c'est "2 puissance 128", soit autant de combinaisons possibles dans un système de chiffrement au dela duquel le déchiffrement devenait une tâche trop galère pour les cryptanamlystes de la République.
Maintenant, le Général n'est pas tout à fait libéré de ses obligations militaires --en 2001 il a passé la main au SCSSI - devenue DCSSI entre-temps, et il dirige depuis l'Ecole supérieure d'application des transmissions (ESAT), le Général semble avoir retrouvé une certaine liberté de parole... Dans le papier de Transfert qui suit, il dit que la question de la libération" de la crypto pour tous n'étais qu'un "écran de fumée" pour se préparer à d'autres formes de surveillances...
Cet "écran de fumée" nous dit quelques chose. C'était en 1997, justement, et à Paris était organisé une grande conférence internationale "Cryptography and privacy", au centre de conférences de l'Avenue Kleber - à quelques jours d'une réunion de l'OCDE. Un homme avait fait le déplacement: David Herson, un officiel britannique, ancien du GCHQ, qui dirigeait à l'époque le SOGIS, un groupe chappeauté par la Commission Européenne regroupant des "senior officers" chargés de la "sécurité de l'information". Interrogé en marge de la conférence par votre srviteur et un journaliste danois, Herson lâchera finalement que le débat sur la légalité de la cryptographie n'était qu'un "écran de fumée" (smoke screen...) pour occulter le débat sur la guerre de l'information appliqué au questions de renseignement (Echelon, par exemple)...
Dommage: cette interview est comme partie en fumée... plus archivée (le lien http://www.ingenioeren.dk/redaktion/herson.htm n'est plus actif).
Archives:
+ "The Public Voice and the Development of International Cryptography Policy" (EPIC)
+ Compte-rendu de la conférence
+ Lambda 2.09 - Sept 1997 (synthèse anglais)
+ Historique 1996-2000 - page crypto du Lambda
"Un général de l'armée française s'inquiète de l'indépendance informatique du pays"
Et compare la libéralisation de la cryptographie à un "écran de fumée"
Par Jean-Marc Manach, 12 Juin 2003
http://www.transfert.net/a8955
Lors de son intervention au cours du premier Symposium sur la sécurité des technologies de l'information et de la communication (SSTIC) qui s'est tenu du 10 au 12 juin à Rennes, le général Jean-Louis Desvignes ... a notamment évoqué la restriction du périmètre de la vie privée, le besoin de recourir plus massivement aux logiciels libres, ainsi que les erreurs commises par l'Etat français en matière de cryptologie.
"Le périmètre de notre vie privée s'est rétréci comme peau de chagrin, davantage encore depuis le 11 septembre 2001, et ce n'est pas fini", a délaré le général Jean-Louis Desvignes, lors de l'ouverture du symposium. Pour appuyer son propos sur l'ensemble des technologies aujourd'hui mises en place pour nous surveiller, il a brandi une caricature -de son cru- montrant un représentant des forces de l'ordre demandant à un petit vieux "Qui c'est cette Loana à qui tu as offert une montre Cartier de 9350 euros le 23/12/02 à 15h43 (... ) ?", avec ce commentaire sans appel: "Alzheimer peut bien frapper, nous sommes protégés, notre mémoire est externalisée !"
(Libéralisation de la cryptologie). Alors que le général s'y était opposé, il regrette d'avoir, "pour simplifier le débat à l'intention des politiques, quelque peu caricaturé la problématique". ... "Les vrais problèmes étaient ailleurs (...) Pendant que l'on guerroyait entre spécialistes de fraîche date sur la longueur des clefs, d'autres imaginaient comment rester maître des systèmes informatiques".
... "Ce que certains politiques ont pris pour un remède miracle contre les actes de piratage de toutes sortes (rappelez-vous Echelon), s'est en fait traduit par l'arrivée massive de produits de sécurité aussi efficaces qu'un placebo".
Comparant nombre de modules cryptographiques à "une porte blindée fixée sur des cloisons en placoplâtre", Desvignes dénonce le faux sentiment de sécurité occasionné par la libéralisation de la cryptologie: "A quoi bon s'encombrer d'une clef de 128 bits, si seulement 8 bits sont effectivement utilisés, si votre clef se promène quelque part sur votre ordinateur ou si elle est transmise à votre insu avec vos messages? A quoi bon s'embêter à chiffrer ses fichiers avant de les envoyer, si ceux-ci sont accessibles lorsqu'ils sont encore disponibles, non cryptés, en utilisant, via Internet, l'une des multiples failles du système d'exploitation devenu le standard mondial dont on ne veut pas nous donner les sources."
Pour lui, le débat sur la cryptographie n'était qu'un écran de fumée. "S'il était loin d'être secondaire, il n'en a pas moins servi à occulter celui, plus délicat, de la sécurité informatique".
... Si "une foule de responsables n'a pas encore pris la juste mesure des enjeux (...) certains dirigeants ont saisi que, si nous ne maîtrisons pas nous-même la sécurité des systèmes d'information, il n'y aura pas de véritable indépendance ni de véritable liberté. Souhaitons qu'ils agissent avant qu'il ne soit trop tard". Concluant sur une note optimiste, le général constate ainsi qu'il a "cessé de prêcher dans le désert".
... (A propos de la Cnil). "Souvent décriée pour les contraintes qu'elle impose à tous les concepteurs de systèmes informatisés, elle est aussi notre rempart", a-t-il déclaré. Un rempart dont les membres doivent exercer leur vigilance sans relâche. "J'ai personnellement toujours la crainte de changements pouvant survenir à la suite d'une grave crise. Changements qui nous replaceraient dans une situation telle que celle qu'ont connue nos pères. Je préfère qu'on ne facilite par trop la tâche à ceux qui n'auraient pas la même conception que nous de la démocratie".
(TCPA/TCG, Paladium...) C'est dans ce contexte que se profile l'arrivée de nouvelles techniques destinées à lutter contre le piratage sous toutes ses formes, qui visent à contrôler l'utilisation des PC. Parmi ces techniques, les nouvelles puces "Fritz" et le projet d'"alliance pour une informatique de confiance" (TCPA), développé par Intel et couplé au logiciel Palladium de Microsoft ... .
S'appuyant sur l'analyse de Ross Anderson, universitaire anglais mondialement réputé pour ses compétences en matière de sécurité informatique, Jean-Louis Desvignes souligne que "les conséquences de ces innovations peuvent être extrêmement lourdes, autant en termes économiques qu'en termes de souveraineté des Etats ou de libertés individuelles".
... Ironie de l'histoire : alors que les Américains ont longtemps dénigré cette technologie, la National Security Agency (NSA) avait appelé le général à l'aide, en 1999 : les USA avaient alors décidé de doter d'une carte à puce l'ensemble du personnel du département de la Défense.
(A propos des logiciels libres et de l'indépendance technologique). Si la suprématie des américains en matière de technologies de l'information est une réalité tangible, notamment avec la prédominance des logiciels de Microsoft et des processeurs Intel et AMD (qui participe aussi au projet TCPA), il n'en va pas de même dans d'autres secteurs: "Nous avons réussi dans les domaines de l'énergie nucléaire, de l'aéronautique et de l'espace, à gagner notre indépendance, pourquoi ne tenterions-nous pas de conquérir notre autonomie dans les technologies de l'information ?" Pour le général, cette indépendance passe par le recours aux logiciels libres.
Illustrant ses propos par un autre de ses dessins représentant le général de Gaulle, les bras en V, clamant "Vive les logiciels libres!", Desvignes, qui déclarait déjà, il y a deux ans, que "dans les forces armées, Bill Gates règne aujourd'hui en maître", estime que "pour faire face à ce double problème de monopole et de défiance, une voie existait pourtant, insuffisamment explorée quand il était encore temps de ne pas se livrer corps et âmes à ce cher, très cher Bill ! Celle des logiciels libres".
... Le général persiste à penser qu'un recours aux logiciels libres est possible et serait hautement bénéfique, "tant en termes de coût que de confiance". Pour lui, l'administration doit donner l'exemple, et le recours aux logiciels libres "prendrait plus de sens s'il était réellement soutenu à l'échelle de l'Union Européenne".
Rappelant que l'évaluation des systèmes de sécurité étaient auparavant confié à "une agence de l'OTAN située en fait au sein de la NSA", Desvignes se félicite qu'une première étape ait été franchie il y a peu de temps, avec la prochaine création d'une agence européenne de la sécurité des systèmes d'information.
©left bulletin lambda
juillet 2003
Contact
I home I abonnement