À l’ère numérique, où la confidentialité est en train de devenir un concept vintage…
Il y a quelque temps, le FBI rendait publique sa demande d’accès facilité aux comptes de courriel. Le Washington Post publiait donc un article où il était expliqué que le FBI pourrait avoir accès aux « archives transactionnelles de communications électroniques » (les courriels ici) des citoyens américains sans l’aval d’un juge. Apparemment, les FAI seraient tenus de fournir des données telles que les adresses de destinataires, les dates et heures d’envoi et, si nécessaire, l’historique de navigation de la personne ; les représentants du FBI assurent ne pas demander l’accès aux corps des messages. Selon des avocats des FAI par contre, ce genre de demandes dans le cadre d’enquêtes constitue un élargissement du principe de la National Security Letter (NSL; Lettre de Sécurité Nationale) laquelle peut être envoyée par n’importe quel bureau du FBI pour exiger des informations. Un officier de la Homeland Security précise que les NSL envoyées aux FAI demandent beaucoup plus de données que la requête d’une liste de numéros de téléphone appelés. Les défenseurs de la vie privée s’inquiètent que ce genre de facilitations augmentera considérablement la quantité de données que le gouvernement américain peut obtenir sans intervention juridique.
Le FBI fait tout un plat pour l’accès aux « archives transactionnelles de communications électroniques » des présumés coupables : voyons si quelques efforts supplémentaires les aideront. Deux études sorties très récemment donnent des idées pour se passer des aléas embêtants de la législation.
Numerama publiait le samedi 14 août un article décrivant la méthodologie décrite par une étude qui explique que les traces de doigts laissées sur des écrans tactiles de téléphones portables peuvent permettre de découvrir le mot de passe. Ainsi, Adam Aviv et collègues de l’Université de Pennsylvanie posent l’hypothèse que plus un endroit est utilisé, plus il est sale (davantage de traces de doigts s’y trouvent). Si un mot de passe est utilisé régulièrement, les touches le composant correspondront à des endroits plus salis que le reste de l’écran.
La méthode est sujette à amélioration : un seul mot de passe a été utilisé pour la réaliser et les essais ont été faits sur 2 modèles de téléphones mobiles fonctionnant sous Androïd. La réussite de l’opération est entre 37% et 92%. Si vous vous lavez les pattes souvent, vous ne risquez apparemment pas grand-chose. Dans la partie 6, les auteurs discutent du fait que la simplicité du mot de passe est un point à ne pas perdre de vue : ainsi, si un mot de passe est complexe, il serait plus difficile à entrer et ainsi, demandeur de temps, ce qui le rendrait moins sexy aux yeux de l’utilisateur comparé à un mot de passe simple. Ce point inclut la longueur du mot également : plus il est long, plus longtemps ça prend à l’entrer ; donc, quelqu’un qui se servirait de son smartphone fréquemment éviterait ce genre de détails inconfortables.
Un billet de blog sur SecurityWeek publié le 16 août fait part d’une étude menée par l’entreprise spécialisée en sécurité BitDefender. Plus de 250 000 identifiants, adresses de courriel et mots de passe utilisés pour se connecter sur des réseaux sociaux peuvent être retrouvés sur la Toile en une seule semaine. Ces données ont été collectées depuis des blogs, torrents et autres sources. Ainsi, 43% des données ont fuité à partir d’outils collaboratifs en ligne et 21% de billets de blogs. De plus, les torrents représentent 18% des données personnelles pouvant être retrouvées, 10% supplémentaires venant d’autres outils sociaux. Enfin, les personnes de BitDefender annoncent que 75% des identifiants et mots de passe de réseaux sociaux ayant été collectés sont identiques à ceux utilisés pour les comptes de courriel. Tout ceci était récupéré suite à la fuite d’un torrent contenant quelques centaines de millions d’utilisateurs Facebook.
Alors, le FBI, encore embêté ?