Connexion
Abonnez-vous

La Cour suprême des États-Unis refuse d’examiner un recours de Wikimedia contre la NSA

La Cour suprême des États-Unis refuse d'examiner un recours de Wikimedia contre la NSA

Le 23 février 2023 à 07h46

Le recours portait sur les recherches systématiques effectuées par la National Security Agency sur le trafic Internet entrant et sortant des États-Unis, « y compris les e-mails, messages et communications Web privés des Américains », précise l'ACLU.

Ce programme de « surveillance en amont » est autorisé par l'article 702 du Foreign Intelligence Surveillance Act (FISA), qui autorise l'interception des communications internationales des Américains, « sans mandat, tant qu'il cible des personnes situées en dehors des États-Unis à des fins de renseignement étranger ».

La Cour suprême a invoqué le « privilège des secrets d'État », qui « permet au gouvernement de retenir des informations dans le cadre de procédures judiciaires si leur divulgation porterait atteinte à la sécurité nationale », explique l'ONG défense des libertés.

L'ACLU avance que « cette surveillance gouvernementale a eu un effet dissuasif mesurable sur les utilisateurs de Wikipédia, des recherches documentant une baisse du trafic vers des articles de Wikipédia sur des sujets sensibles » suite aux révélations Snowden en 2013.

Cependant, l'ACLU ne précise pas que, depuis, la majeure partie du trafic Internet (et la totalité des pages de l'encyclopédie Wikipedia) est désormais chiffrée, le protocole HTTPS empêchant la NSA d'avoir accès aux URL des pages consultées sur Wikipedia (ou autre), seuls les noms de domaine pouvant donc être interceptés.

L'ACLU précise cela dit que l'article 702 expirera cette année, « à moins qu'il ne soit réautorisé par le Congrès ».

Le 23 février 2023 à 07h46

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ouais, alors, méfiance vis à vis du HTTPS, du Man In The Middle est toujours possible.
À une échelle moindre, j’ai une photo d’écran d’un Firefox qui trouve bizarre que le certif pour www.google.com soit signé par htm-group-root-CA.
Oui, HTM, l’ancien nom de l’entité qui regroupe Boulanger, B’dom, Électro Dépot, etc, et qui s’appelle maintenant United b, depuis le rachat des magasins Krefel et Hifi en Belgique et au Luxembourg.
Normal qu’un Firefox sous Linux trouve ça louche.
Mais un Windows sur un PC “normal” administré par l’info Boulanger ?… J’ai pas trop de doute sur leur capacité à installer leur propres certificats en lieu et place des véritables certif de Google (et autres sites).
Explication de l’info ? “ah, c’est une erreur de configuration d’un firewall”
Ouais, et quelqu’un a forgé par erreur un faux certificat pour www.google.com ?
Si des anciens collègues me lisent ici, méfiez-vous, votre navigation, même HTTPS est peut-être espionnée.

votre avatar

Aucune”erreur de configuration” ici, c’est tout a fait normal qu’un employeur vérifie et bloque le trafic internet indésirable sur un PC professionnel d’entreprise ! Il en va de sa responsabilité ! Faites vos recherches/navigation perso sur du matériel perso !

votre avatar

Et la marmotte, elle met le chocolat …

votre avatar

Il faut voir ce que propose f5. Cherche “f5 visibilité ssl” la communication est assez parlante. Je connais des entreprises qui ont déployé ça en France. C’est légal si les utilisateurs sont informés et si le dispositif est “proportionné”.

votre avatar

AncalagonTotof a dit:


Ouais, alors, méfiance vis à vis du HTTPS, du Man In The Middle est toujours possible.


Effectivement, la plupart des antivirus qui font de l’inspection “web” installent leurs propres certificats pour faire du MITM et ça pose pas mal de soucis de sécu et d’éthique (genre quand l’outil est Russe).



Concernant Boulanger, c’était un ordinateur acheté chez eux avec une solution de sécurité “Boulanger” ?

votre avatar

Machine pro, mais installation perso de Debian (faut bien que je bosse, qu’est-ce que je ferais d’un Windows ?)
C’est pour ça que j’ai pu détecter l’arnaque. Sur les machines officielle qui font tourner le Windows officiel, je pense que ça ne se serait jamais vu.
Oh, en passant, le DHCP du réseau donne 8.8.8.8 comme DNS, mais la machine au bout de ce 8.8.8.8 n’est pas celle de Google, c’est une machine de SFR/Completel, le fournisseur se solution/service réseau de Boulanger.
Encore un autre moyen de bloquer et d’espionner

votre avatar

Dans un cadre pro, l’employeur a tout à fait le droit de faire ceci quand c’est annoncé (généralement dans la charte informatique que tu as peut-être signée sans la lire avec suffisamment d’attention).

votre avatar

J’ai pas le souvenir d’une quelconque charte informatique. Et si il y en a eu une, je n’ai jamais vu de clause là-dessus

votre avatar

Définir le « cadre pro » pour commencer, et ensuite c’est pas aussi simple que « juste l’annoncer ».
Exemple : une entreprise fournit un accès internet (via wi-fi ou ethernet) à ses visiteurs (commerciaux, clients, fournisseurs, prestataires, formateurs, comptables, auditeurs et consultants, etc.). Sachant qu’une “visite” peut durer aussi bien une heure que plusieurs semaines (formation ou prestation principalement).
C’est un « cadre pro » ou pas ? Je suppose que oui. Est-ce que ça autorise à savoir ce que le visiteur fera avec l’accès fourni ou bien est-ce de l’espionnage ?
Étendons la question : si on considère que c’est de l’espionnage, et que l’entreprise s’assure alors que les visiteurs ont à disposition un accès non surveillé (type DMZ), comment justifier que les employés n’y aient pas eux aussi accès pour protéger leur vie privée ?

votre avatar

C’est moi ou le certificat du site Nextinpact est périmé depuis le mercredi 18 janvier 2023 à 15:26:59 ?

votre avatar

Ferrex a dit:


C’est moi ou le certificat du site Nextinpact est périmé depuis le mercredi 18 janvier 2023 à 15:26:59 ?


C’est toi ;) C’est un let’s encrypt qui est valide jusqu’au 7 mai 2023.

votre avatar

J’ai ça comme infos



Nom commun (CN) *.nextinpact.com
Organisation (O)
Unité d’organisation (OU)
Nom commun (CN) R3
Organisation (O) Let’s Encrypt
Unité d’organisation (OU)
Émis le jeudi 20 octobre 2022 à 16:27:00
Expire le mercredi 18 janvier 2023 à 15:26:59
Empreinte SHA-256 60 E6 5E DF 4D D9 34 8A 1D 78 3E 2D 2F 79 E3 CC DD DD D4 73 7A 7E 42 20 98 DA A8 DA 75 8F 1D FD
Empreinte SHA-1 D7 64 DE 69 5C DA 78 52 D8 88 10 12 C0 45 D7 B8 11 32 74 78

votre avatar

Il t’a dit que c’est toi et je confirme.

votre avatar

Tu n’as pas le bon certificat, et pas de messages d’avertissement de ton navigateur ?



Nom du sujet
Nom courant *.nextinpact.com



Nom de l’émetteur
Pays US
Organisation Let’s Encrypt
Nom courant R3



Validité
Pas avant Mon, 06 Feb 2023 08:04:50 GMT
Pas après Sun, 07 May 2023 08:04:49 GMT



Empreintes numériques
SHA-256 4C:C0:9A:22:3D:61:C6:01:B7:05:57:D4:F4:87:B2:9E:C6:5D:FD:C7:BC:AB:FB:E0:1A:8D:BD:63:33:16:93:59
SHA-1 01:0D:5F:2C:4E:56:10:0F:1E:B2:4B:18:9D:86:5D:95:EB:74:D0:A3

votre avatar

(reply:2121222:Mihashi) Aucun message d’alerte. D’après Chrome, le certificat est valide. Très curieux


Par contre, c’est la bonne date sur Edge. :mad2:

votre avatar

Ferrex a dit:


J’ai ça comme infos


Quel navigateur, quel OS, quelles versions des deux et “have you turned it off and on again” ? :D

votre avatar

Nobody panic. Historique et cookies purgés et tout est rentré dans l’ordre.



Reste à comprendre pourquoi je n’ai pas eu d’alerte sur la date de péremption.

votre avatar

fouquetp a dit:


Aucune”erreur de configuration” ici, c’est tout a fait normal qu’un employeur vérifie et bloque le trafic internet indésirable sur un PC professionnel d’entreprise !


Il ne parle pas de blocage, mais de redirection masquée vers un site qui usurpe l’identité d’un autre pour induire les employés en erreur. Et dont la seule finalité que j’y vois serait de les espionner … Ce genre de pratique est clairement répréhensible, rien à voir avec un simple blocage.




Il en va de sa responsabilité !


Quelle responsabilité ?




Faites vos recherches/navigation perso sur du matériel perso !


À titre purement personnel, jamais ne n’irais bosser pour un employeur qui ne tolérerait pas que je fasse qq trucs persos sur mon poste (mails / news pendant mes pauses, etc.). La #flexibilité, c’est pas juste un hashtag pour faire du marketing …

votre avatar

fred42 a dit:


Dans un cadre pro, l’employeur a tout à fait le droit de faire ceci quand c’est annoncé (généralement dans la charte informatique que tu as peut-être signée sans la lire avec suffisamment d’attention).


Effectivement, après, il y a la loi et la jurisprudence sur le respect du salarié (et de sa vie privée). Et là, c’est une autre histoire.



C’est fréquent que 2 lois (ou bien plus…) s’affrontent sur le même sujet, genre terrorisme et informatiques et libertés sur la conservation (et la durée) des historiques de connexion…

votre avatar

Perso, une fois j’ai fait un stage dans une entreprise et l’accès était totalement proxyfié avec identifiants. Impossible de se connecter au net. Il n’y a que le chef du service qui avait accès au web. Après pour leur défense ce n’était pas un service où l’accès internet était indispensable, je ne sais pas ce qu’il en était ailleurs.



Par contre, plus flippant, j’étais sur un des PC, quand j’ai vu tout d’un coup ma souris bouger toute seule. Un des mecs de l’info avait pris le contrôle du PC, pourquoi ? Sans doute parce qu’il fallait surveiller que le stagiaire fasse pas de connerie… Ça m’a tellement surpris que j’ai arraché le câble réseau :transpi:

votre avatar

Rooooh, yep, flippant !



Ça me rappelle deux missions :




  • Arcelor : les internes ont deux PC, un pour l’accès au net, aux mail, toussa. Et un pour bosser … Accès au outils de dév, et aux lignes de production. Séparation physique ou VLAN, je sais pas, mais séparation efficace me semblait-il.
    Pour les consultants, c’est dév et prod uniquement. Pas pratique pour du dév, fini les copier-coller de Stack Overflow ;-)



  • TCB (Thalès Communication Belgium) : c’était drôle. Accès internet contrôlé par proxy avec authentification. Sauf que j’ai pas pigé comment faisait corkscrew, mais ce petit utilitaire arrivait à passer outre, et ensuite, open bar, surtout avec un tunnel SSH … Champions du monde …




Ouais, j’aime pas “les gens de l’info”, j’ai toujours l’impression qu’ils sont là pour mettre des bâtons dans les roues et empêcher les gens de bosser … C’est pas leurs freins qui ont empêché une assistante de direction de cliquer sur un PDF d’un faux mail DHL. Résultat : Zepto, un jour 12 chaumé, + le week end pour “les gens de l’info” pour scanner une à une toutes les bécanes de la boite, yeah ! Heureusement que le truc est apparu louche à une collègue qui est venue me poser la question. Let me Google that for you … Zepto ? Wow, Zepto ! ALARM !!!

votre avatar

AncalagonTotof a dit:


Machine pro, mais installation perso de Debian (faut bien que je bosse, qu’est-ce que je ferais d’un Windows ?)


Il faut l’accord de ton employeur pour virer le Windows que ça te plaise ou non… dans le cas contraire, ça peut être motif de licenciement. (idem pour le fait d’installer à côté un linux, et potentiellement même sur une VM).

votre avatar

Ah bah vu la réactivité et l’ouverture d’esprit de l’info, j’ai bien fait de pas attendre …
Déjà qu’après 10 là-bas, les seuls à savoir quel est mon métier, c’était mes deux collègues directs, et assez bien mon manager … De l’utilité des entretiens annuel pour caler les armoires des RH …

votre avatar

AncalagonTotof a dit:


J’ai pas le souvenir d’une quelconque charte informatique. Et si il y en a eu une, je n’ai jamais vu de clause là-dessus


C’est en général annexé au Règlement Intérieur de la structure.

votre avatar

Arkeen a dit:


Quelle responsabilité ?


Responsabilité de la sécurité de l’infrastructure. Ça peut s’entendre sur certains réseaux ou certaines machines. Par exemple j’ai déjà vu des machines dédiées à manipuler les serveurs de production, totalement hermétique. Ou alors pour les serveurs en questions, filtrer les sites autorisés et faire du MitM pour analyser (antivirus) les fichiers récupérés par les serveurs.




À titre purement personnel, jamais ne n’irais bosser pour un employeur qui ne tolérerait pas que je fasse qq trucs persos sur mon poste (mails / news pendant mes pauses, etc.). La #flexibilité, c’est pas juste un hashtag pour faire du marketing …


:smack:

votre avatar

AncalagonTotof a dit:


Ça me rappelle deux missions :




  • TCB (Thalès Communication Belgium) : c’était drôle. Accès internet contrôlé par proxy avec authentification. Sauf que j’ai pas pigé comment faisait corkscrew, mais ce petit utilitaire arrivait à passer outre, et ensuite, open bar, surtout avec un tunnel SSH … Champions du monde …


C’est pas malin de passer outre les mesures de sécurité dans une société qui bosse dans le domaine de la défense.
Quand je bossais dans ce domaine, un prestataire qui aurait été pris à faire ça aurait été raccompagné immédiatement à la sortie et sa boîte aurait eu des problèmes.



Surtout que tu n’as pas l’air de comprendre ce que faisait le logiciel que tu utilisais.



Il faisait un tunnel vers un serveur de proxy https. Si tu ne savais pas quel proxy il utilisait, tu mettais en danger toutes les données qui passaient par ce logiciel et surtout tu pouvais récupérer des saloperies qui pouvaient compromettre le réseau interne.

votre avatar

J’ai dit que je ne savais pas comment il faisait pour sortir de TCB. J’ai pas dit que je ne savais pas où il allait : chez moi.
Après, pas malin, risqué, avec conséquences si pincé, ok, peut-être, mais corkscrew lui a l’air plus malin que l’info d’une boîte dont le nom laisse penser qu’ils s’y connaissent.
Pas malin non plus de faire venir des gens et ne pas leur donner accès à une ressource dont il est carrément difficile de se passer, si ce n’est inconcevable.
Alors, ouais, je suis joueur, et j’ai pas perdu cette fois là.



Parce que oui, ça m’est arrivé de “perdre” une fois. Mais au moins, j’ai bien rigolé quand j’ai vu le prestataire d’une boîte spécialisé dans la sécu, chargé d’autopsier mon serveur fautif ! “C’est quoi le mot de passe de root ?” qu’il m’a demandé ! J’y croyais pas, pour l’analyser, il l’avait booté et voulais juste utiliser le compte root de l’OS. Même pas un boot sur une distrib live. Pffffffffff.

La Cour suprême des États-Unis refuse d’examiner un recours de Wikimedia contre la NSA

Fermer