27 mars - Le
discounter Lidl a installé des caméras de
vidéosurveillance cachées dans ses magasins en Allemagne et embauché
des détectives pour espionner ses salariés. Des informations
très personnelles sur la vie privée des employés ont ainsi
été consignées par Lidl.
Lire la
suite →
20 mars -
"Nox piste les personnes et les
biens". L'entreprise SimplyRFID ne mâche pas ses mots pour
vanter les mérites de son système NOX destiné à piéger les
voleurs à l'aide d'étiquettes RFID dites "clandestines" (en
français dans le texte). Lire la
suite
14 mars - Le gouvernement hollandais publie
un avertissement de sécurité pour renforcer la surveillance
de l'accès aux bâtiments sensibles suite de la
démonstration du piratage de la puce Mifare de NXP réalisée
par trois hackers... Lire la
suite →
livre publié par les Editions
Prométhée dans la collection
"Pour Contre" en
septembre 2008 de Michel Alberganti
et Pierre Georget
30 mars
2008
L'industrie de la RFID lutte contre une règlementation aux
Etats-Unis
Le député démocrate Jeff Morris
qui a réussi à faire voter une loi dans l'Etat de
Washington pour rendre illégal
l'espionnage des puces RFID ne compte pas en rester là.
Selon le RFID journal il a l'intention de proposer trois
nouvelles lois d'ici la fin de décembre 2008. En particuliers,
il ne désespère pas d'obtenir le
vote de la procédure dite d'opt-in, c'est à dire le libre choix
laisser aux consommateurs de conserver ou non les puces RFID
actives après le passage en caisse des produits tagués. Une
mesure qui fait également partie du
projet de recommandations sur
la RFID de la Commission européenne. Si elle était adoptée,
la procédure d'opt-in imposerait de désactiver systématiquement
les puces sauf si le consommateur exprime le désir de les
conserver.
Une telle mesure fait frémir l'industrie de la
RFID. Ainsi, Dan Mullen, président de l'association des
industriels de l'identification automatique, AIM Global, ne
pense pas que la réglementation déjà obtenue par Jeff Morris
était nécessaire. Néanmoins, il se dit heureux qu'elle vise les
activités criminelles liées à la RFID et non l'industrie
elle-même. Sa stratégie, commune à la grande majorité des
entreprises, consiste à minimiser les risque que la RFID fait
courir à la vie privée. Pour lui, cette dernière est déjà
protégée par les lois existantes. Il s'élève, en particulier,
contre l'opt-in en considérant qu'elle n'est pas nécessaire dans
la mesure où son association veut promouvoir des outils
d'éducation et d'étiquetage des produits qui porteront une puce
RFID. Ainsi, AIM Global a élaborer un projet d'étiquette qui
permettra au utilisateurs de localiser les puces sur un produit
afin de pouvoir accéder à leur contenu à l'aide d'un lecteur. Il
déclare au RFID Journal que son association travaille sur un
projet similaire destiné au consommateur. Pour lui, la loi doit
punir les criminels, pas la technologie. Et de demander: "Si
vous glisser une puce à un consommateur sans qu'il le sache,
est-ce un crime ou non?" Jeff Morris lui répondrait sans doute
par l'affirmative.
Des caméras biométriques surveillent tout le monde
dans l'école publique de Nashville
Une école de Nashville dans le
Tennessee aux Etats-Unis utilise des caméras de surveillance
équipées d'un logiciel de reconnaissance faciale pour identifier
élèves et personnel. Une vidéo extraite du journal télévisé de
France 2 à 20h00 le 28 mars 2008.
Darry Potts, directeur de l'école
publique de Nashville: "On ne cible pas une personne en
particulier, on observe tout le monde"
Le discounter Lidl espionne ses
salariés avec caméras et détectives
« Mme T. téléphone avec son ami, ils parlent
du repas du soir. Bien qu'elle sache que le magasin est plein et
qu'il y a encore de nombreuses choses à faire, elle lui promet
de partir à la fin de son service, ce qu'elle fait à 15 heures ».
Tel est un exemple des notes remises par des détectives privés à
la direction de l'enseigne de discount Lidl. Révélés par
l'hebdomadaire Der Spiegel le 27 mars 2008, Cet espionnage digne
de la Stasi, a également permis de révéler que deux employées
n'avaient aucune envie de participer à une formation interne
« à laquelle elles refusent d’emblée de participer activement »,
selon les détectives . Ces derniers n'hésitent pas à déduire de
leurs observations des caractéristiques de la vie privée des
salariés hors de l'entreprise. Ainsi, ils indiquent dans leurs
rapport que le cercle d’amis de telle employée est «
constitué de drogués » et telle autre « est au bord de la
faillite personnelle ». Ces informations proviennent de
l'analyse des vidéos captées par les caméras de surveillance
installées de façon invisible dans les magasins. L'association
caméras-détectives permettait de relever la fréquence des
passages aux toilettes des employés et d'enregistrer des
conversations privées sans rapport avec le travail. Ces
pratiques violent l’article 2 de la Constitution sur les droits
de la personne. Une enquête officielle a été annoncée dans le
Bade-Württemberg, région du siège de Lidl.
Publication du palmarès
2007 des Big Brother Awards France
"Nox
20 mars
2008
Des puces RFID clandestines piègent
les voleurs
"Nox piste les personnes et les
biens". L'entreprise SimplyRFID, créée en 2002 par Carl Brown à
Warrengton, près de Wahington, ne mâche pas ses mots pour vanter
les mérites de son système NOX destiné à piéger les voleurs à
l'aide d'étiquettes RFID dites "clandestines" (en français dans
le texte). L'idée générale est d'équiper discrètement tout ce
que l'on veut protéger avec ces dernières (0,2 $ pièce).
L'originalité de NOX réside dans le couplage de la RFID et de la
vidéosurveillance. Les puces fixées sur les objets sont détectés
par des lecteurs dissimulés dans les murs, les plafonds, les
planchers ou les meubles (l'installation de nuit ou lors d'une
journée sans personnel est conseillée). En cas de mouvement
d'une étiquette, les lecteurs alertent les caméras qui filment
le voleur et permettent de l'identifier.
Une autre technique complémentaire semble intéresser les
services secrets. Il s'agit de poussière "optiquement
chargée" dont chaque grain peut être détecté par les caméras
lorsqu'il est éclairé par une lumière laser invisible pour l'œil
humain. Il suffit de répandre cette poussière sur le sol. Elle
se colle sur les chaussures et sur les vêtements des intrus. Les
détecteurs donnent, là aussi, l'alerte aux caméras qui filment
le voleur. Plus besoin de dépouiller de longues heures de vidéo.
La détection permet de n'enregistrer que les scènes de vol. En
prime, une alerte peut être envoyée dans le monde entier. La
vidéo de l'intrusion s'affiche alors en temps réel sur l'écran
d'un iPhone ou d'un ordinateur portable.
Un hôpital norvégien compte équiper
tous ses nouveau-nés d'un système d'alarme censé protéger les
bambins contre les enlèvements et contre des confusions sur leur
identité, a-t-on appris lundi auprès de la direction de
l'établissement. "La raison principale, c'est que l'on veut
mettre l'accent sur la sécurité", a déclaré à l'AFP Erik
Normann, directeur de l'hôpital universitaire d'Akershus, près
d'Oslo. "Il y a eu une période où la Norvège a connu plusieurs
enlèvements de nouveau-nés et nous tenons à éviter cela", a-t-il
dit. Le système consiste en deux briquettes légères, l'une
montée sur un bracelet attaché au pied de l'enfant dès sa
naissance, l'autre confiée à la mère. Une alarme se déclenche
dès que les deux briquettes sont séparées par une certaine
distance, lorsqu'une maman s'éloigne avec un bébé qui n'est pas
le sien ou lorsque l'on essaie de retirer le bracelet du
nourrisson, provoquant automatiquement une fermeture des portes
et un arrêt des ascenseurs. D'après M. Normann, l'hôpital
d'Akershus, l'une des principales maternités de Norvège avec
environ 4.200 naissances par an, n'a jamais été le théâtre d'un
enlèvement d'enfant mais sera le premier en Norvège à utiliser
ce dispositif "peu coûteux". L'établissement a inscrit
l'achat d'alarmes pour bébés dans son programme d'équipement à
l'occasion de son aménagement dans de nouveaux locaux le 1er
octobre prochain. Un choix qui doit encore être entériné lors
d'ultimes arbitrages.
Source: D'après une dépêche AFP du 17
mars 2008
Erik Normann
16 mars
2008
Les services secrets anglais
demandent à avoir accès
aux données collectées dans les transports britanniques
Les 17 millions d'usagers des
transports urbains britanniques pourraient bientôt être
espionnés par les services secrets anglais.
Les Services de renseignement et de
contre-espionnage britanniques (dits « services de sécurité » ou
MI5) demandent en effet à accéder aux
bases de données sur les trajets effectués afin de pouvoir
détecter des comportements suspects. C'est, en particulier les
fichiers constitués, par exemple, à l'aide de la carte Oyster,
équipée d'une puce RFID et utilisée dans les transports
londoniens, qui sont visés. Selon l'article du Guardian
ci-dessous, David Davis, ministre de l'intérieur du cabinet noir
de l'opposition, relaie cette demande auprès du gouvernement de
Gordon Brown. Aujourd'hui, les services secrets peuvent déjà
accéder aux informations des organismes de transport
public et concernant des individus précis qui font l'objet d'une
enquête. Mais ils ne peuvent pas analyser l'ensemble du contenu
des bases de données. Or, des détails en apparence
insignifiants, comme le périple d'une personne dans la capitale,
peuvent devenir des pièces importantes du puzzle lorsqu'ils sont
mis en relation avec d'autres informations sur les individus. "Cela
revient à chercher une aiguille dans une botte de foin, et nous
constituons tous la botte de foin", a indiqué Michael
Meacher, ministre du travail. Jago Russel, du groupe Liberty,
remarque: "Le problème, c'est de savoir ce que l'on fait
lorsqu'on a détecté un comportement suspect". Les personnes
indument identifiés comme suspects peuvent perdre leur emploi
s'ils travaillent dans des services de haute sécurité ou voir
leur statut d'immigrant mis en cause.
Commentaire: On remarque que
la puce utilisée par la carte Oyster des transport londonien est
la Mifare de NXP. Celle là même qui a été piratée Par
Karsten Nohl
et ses collègues. Les utilisateurs du métro de Londres risquent
donc d'être doublement espionnés: par le MI5 et par les
pirates...
→En juillet 2007,
deux étudiants de l'université d'Amsterdam, Pieter Siekerman et Maurits van der Schee avaient
révélé qu'il est possible de
remettre à zéro la carte Mifare Classic OV-Chipkaart
utilisé dans les transports hollandais, ce qui permet de voyager
indéfiniment.
Les hackers piratent une puce RFID
vendue
à plus d'un milliard d'exemplaires dans le monde
La sécurité des cartes à puces RFID
est souvent mise en avant par les industriels pour démontrer que
les données personnelles ne peuvent pas être dérobées. Après
plusieurs démonstrations de la possibilité de pirater ces puces
afin d'en fabriquer des fausses ou de voler des données
bancaires, un nouveau groupe d'étudiants de l'université de
Virginie s'est attaquée avec succès à la carte Mifare Classic
fabriquée par NXP Semiconductors, filiale de Philips.
Cette carte est utilisée par les transports néerlandais sous le
nom de OV-Chipkaart et par le métro de Boston, sous le nom de
CharlieCard. Elle permet d'effectuer des transactions avec la
banque du propriétaire et, ce ce fait, les transmissions de
données sont cryptées.
Trois chercheurs ont relaté comment ils ont piraté la carte
Mifare lors du 24e Chaos Communication Congress qui s'est tenu à
Berlin du 27 au 30 décembre 2007. L'Allemand Karsten Nohl a
montré qu'avec un matériel ne coûtant pas plus de 1000 dollars,
il avait pu, avec Henryk Plotz et "Starbug", pratiquer un
véritable "reverse engineering" de la carte, en découpant
chacune des cinq couches de la puce. Au terme de cette analyse
en profondeur, les chercheurs ont obtenu la structure du
chiffrement de la puce ce qui leur a permis de tester toutes les
combinaisons possibles. "Les clés secrètes de la carte
peuvent être découverts en quelques minutes", a assuré
Karsten Nohl. Il semble donc que le cryptage à 48 bits utilisé
n'offre pas une protection efficace. Les chercheurs ont précisé
que leur découverte ne concerne pas d'autres cartes RFID de
Philips telles que Hitag2+ et Mifare DESfire.
Mais le ministre de l'intérieur du
gouvernement hollandais, Guusje ter Horst,
a adressé, le 12 mars, une lettre au parlement pour prendre "des
mesures de sécurité renforcées". La carte Mifare Classic est en
effet utilisée à plus d'un milliard d'exemplaires dans le monde,
en particulier pour le contrôle d'accès à des bâtiments
sensibles.
Commentaire:
L'exploit réalisé par les trois hackers allemands
révèle à quel point la sécurité reste mal gérée par les
fournisseurs de systèmes RFID. La puce Mifare Classic date de
1994. A l'époque, le cryptage avec une clé de 48 bits était
considéré comme "l'état de l'art". Mais près de 15 ans plus
tard, l'informatique n'a plus grand chose de commun avec cet
"état de l'art" de l'époque. Or, la puce Mifare est utilisée à
plus d'un milliard d'exemplaires dans le monde, parfois pour
"sécuriser" l'accès à des bâtiments sensibles. Sans la
démonstration des hackers, leur sécurité réelle serait restée
vulnérable aux pirates. Reste à la mettre aux normes de "l'état
de l'art" d'aujourd'hui.
La Suède appelle à la délation
des pirates par les opérateurs
Les autorités
suédoises veulent obliger les
opérateurs Internet à livrer à la justice l'adresse d'un
ordinateur qui a téléchargé illégalement un fichier. Elles
veulent que ces informations soient communiquées aux
détenteurs des
droits d'auteur sur le matériel téléchargé, pour qu'ils aient
"eux-mêmes la
possibilité d'agir contre ces violations", selon les ministres
de la Justice,
Beatrice Ask, et de la Culture, Lena Adelsohn Liljeroth.
Les tribunaux "doivent pouvoir contraindre un opérateur internet
à donner au
détenteur de droits d'auteurs des informations sur (...) une
certaine adresse IP
lorsqu'elle a été utilisée" lors d'une d'une violation du droit
d'auteur,
ont-elles déclaré dans une tribune publiée dans le quotidien
Svenska Dagbladet.
Cela permettrait aux détenteurs des droits d'auteur d'exiger que
les
téléchargements cessent, ou que des indemnités soient versées,
selon les
ministres.
Une proposition de loi en ce sens sera présentée au printemps.
Le gouvernement suédois ne veut toutefois pas imposer aux
opérateurs Internet d'exclure ceux de leurs clients qui téléchargeraient
illégalement des
films ou de la musique, rejetant ainsi une proposition présentée
par une
commission chargée de l'éclairer sur la question du
téléchargement.
Le Parti des pirates, formation politique qui défend le partage
de fichiers
en ligne, a vivement condamné la décision du gouvernement,
l'assimilant "à une
déclaration de guerre contre ceux qui partagent des fichiers" et
contre "toute
une jeune génération d'électeurs".
Fin janvier, un procureur suédois avait inculpé quatre personnes
soupçonnées
d'être les responsables de Pirate Bay, un des sites de partage
de fichiers
illégal en ligne les plus populaires au monde.
Source: D'après une dépêche
AFP du 14 mars 2008
Le site suédois d'échange illégaux de fichiers
13 mars
2008
L'Etat de Washington pénalise le
vol
de données personnelles via la RFID
Après la Californie en janvier 2008,
le Sénat de l'Etat de Washington a suivi la Chambre des
représentants en votant une loi qui interdit l'usage de la RFID
pour la collecte de données personnelles sans que l'individu
concerné ne soit mis au courant et qu'il n'ait donné son accord.
En février 2008, la Chambre des représentants avait voté cette
loi 1031 visant à protéger la vie privée des personnes utilisant
des étiquettes RFID portant un "numéro unique d'identification"
comme les passeports, les cartes de crédit, l'épicerie, les
vêtements, les produits de consommation et les clés de voiture.
Une précédente version de la loi avait été repoussée par la
Chambre en mars 2007 parce que son champ d'application avait été
jugé trop large. Le député démocrate Jeff Morris, promoteur de
la la loi, a souligné que les informations transmises pour
identifier les voleurs ou les marchandises volées pouvaient être
interceptées illégalement par des criminels utilisant la
technique du "skimming", c'est à dire l'enregistrement des
informations contenues dans la puce à l'insu des personnes qui
les portent. Cet acte devient, de par la loi 1031, une
forfaiture de classe C punie de 5 ans de prison. Jeff Morris
avait également demandé à ce qu'un consentement préalable soit
obtenu par les magasins ou aux autres entités avant qu'elles ne
puissent collecter des informations personnelles. Mais cette
clause a été retirée de la loi. Jeff Morris a néanmoins
l'intention de poursuivre dans cette demande avec une
proposition de loi distincte.
Commentaire:
Jeff Morris n'a gagné que la
partie la plus facile de son combat. Seule la collecte illégale
d'informations est réprimée. Les magasins restent libres
d'espionner les consommateurs sans les en informer ni leur leur
demander leur consentement.
Pacemakers et défibrillateurs
sont vulnérables au
piratage
Les
pacemakers et défibrillateurs
cardiaques implantés, désormais équipés de technologies sans
fil, sont
vulnérables au piratage informatique avec des conséquences
potentiellement
fatales. Des
scientifiques ont
montré que des pirates informatiques
pouvaient reprogrammer à
distance ces implants à l'insu du patient et obtenir des
informations
médicales confidentielles sur les porteurs de pacemakers et de
défibrillateurs."Nous espérons que notre recherche a valeur d'avertissement pour
les
fabricants de ces prothèses", souligne Kadayoshi Kohno, un
professeur de
sciences informatiques et d'ingénierie à l'Université de
Washington à Seattle, l'un des principaux auteurs de cette recherche.
Pour leur étude, ces scientifiques ont utilisé un défibrillateur
équipé de
puces
électroniques et d'un récepteur-émetteur radio permettant
aux médecins
d'accéder au dossier informatique médical du patient et de
régler la prothèse à
distance.
Utilisant un logiciel radio bon marché, ils ont pu intercepter
les signaux
émis par le défibrillateur et obtenir toutes les informations
confidentielles du
patient. Ils ont aussi accédé en temps réel aux données
transmises par la
prothèse, comme l'électrocardiogramme.
Ils ont ensuite lancé plusieurs opérations de piratage qui leur
ont permis
de reprogrammer le défibrillateur, le rendant incapable de
répondre à de graves
dysfonctionnements du cœur. Ils ont même pu lancer une commande
pour provoquer
un choc électrique dans le cœur potentiellement fatal. "L'un des objectifs de cette recherche est d'encourager
l'industrie des
équipements médicaux à penser plus sérieusement à la sécurité et
à la protection
des informations médicales des patients, surtout dans la
perspective d'une
généralisation des technologies du sans fil", explique l'un des
auteurs, le
cardiologue William Maisel de la faculté de médecine de
l'université Harvard
(Massachusetts).
Source: D'après une dépêche
AFP du 12 mars 2008
Daniel
Halperin,
l'un des chercheurs de l'université de Washington
Un débat sur la RFID a été organisé
par la toute nouvelle Université populaire de Saint Denis, la
Dionyversité, inaugurée le 28 février 2008. Le thème choisi par
les organisateurs, les animateurs de l'émission Les Amis
d'Orwell (Radio Libertaire) était: "Les puces RFID, nouvelle
technologie de surveillance", avec Michel Alberganti. Un
soixantaine de personnes ont participé à ce débat animé.
Le Canada examine les usages de
la RFID sur le lieu
travail
Jennifer Stoddart, commissaire à la
protection de la vie privée du Canada lance une consultation sur
l'usage de la RFID sur les lieux de travail. Elle a déclaré au
journal canadien en ligne HRReporter: "Tandis qu'il ne fait
pas de doute que cette technologie peut améliorer la
productivité et renforcer la sécurité, nous sommes inquiets du
fait qu'elle peut aussi être utilisée comme un instrument de
surveillance portant atteinte à la dignité et à l'autonomie des
salariés". La commissaire a préparé une publication
établissant des recommandations de bonnes pratiques pour les
organismes désirant encadrer les avantages de la RFID. Cette
publication explique comment des lois fédérales pourraient
s'appliquer aux systèmes RFID et discute les attentes
raisonnables en matière de protection de la vie privée sur le
lieu de travail. Jennifer Stoddart attend les réactions du
public à cette consultation. Elle invite les employés, les
syndicats et les développeurs de solutions RFID à répondre aux 9
questions posées par le
document.
Le site
du Commissariat à la protection de la vie privée du Canada
Jennifer Stoddart
La
biographiede Jennifer Stoddart, commissaire à la
protection de la vie privée du Canada.
11 mars
2008
Vol d'identité: 128 millions de
victimes
Le nombre de victimes de vol
d'identité a atteint près de 128 millions de personnes en 2007,
selon l'association à but non lucratif américaine Identity Theft
Resource Center (ITRC) qui recense 446 brèches de sécurité ayant
engendré ce nombre de victimes. Ce résultat fait apparaître une
véritable explosion de ces pratiques puisque qu'elles n'ont
touché que 19 millions de personnes en 2006 (312 incidents) et
65 millions de personnes ( 158 incidents) en 2005.
RFID: un marché mondial
de 5
milliards de dollars en 2007
Le marché mondial de la RFID a
progressé de près de 80% en atteignant près de 5 milliards de
dollars contre 2,77 milliards de dollars en 2006. Mais ce
chiffre est largement influencé par l'impact des 2 milliards de
dollars dépensés par le gouvernement chinois pour le
développement de son projet de carte nationale d'identité à puce
RFID qui approche de son terme et devrait avoir coûté environ 6
milliards de dollars au total.
Ainsi, le cabinet d'étude IDTechEX ne prévoit qu'une progression
de 7,3% pour l'année 2008. Néanmoins, ses projections à moyen
terme tablent sur un marché de 12 milliards de dollars en 2010
et de 26,45 milliards de dollars en 2018. Au cours de cette même
année, le nombre d'étiquettes RFID vendues devrait être, selon IDTechEX, 300 fois supérieur à celui de 2008, soit... près de
650 milliards.
L'Allemagne règlemente l'espionnage
des ordinateurs par la police
La Cour constitutionnelle fédérale,
a jugé mercredi 27 février 2008, que le gouvernement n'avait pas
le droit d'utiliser des logiciels semblables à des virus ou tout
autre moyen pour espionner les disques durs des ordinateurs de
terroristes ou de criminels présumés.
La Cour de Karlsruhe a estime que
l'usage de tels logiciels pour espionner viole les libertés et
les protections garanties par la Constitution. Le ministère
allemand de l'Intérieur espérait obtenir le feu vert de la plus
haute instance juridique du pays et utiliser cette technique
pour enquêter sur les activités terroristes et criminelles.
Dépèche AP
vote de la procédure dite d'opt-in, c'est à dire le libre choix
laisser aux consommateurs de conserver ou non les puces RFID
actives après le passage en caisse des produits tagués. Une
mesure qui fait également partie du
électroniques et d'un récepteur-émetteur radio permettant
aux médecins
d'accéder au dossier informatique médical du patient et de
régler la prothèse à
distance.
Utilisant un logiciel radio bon marché, ils ont pu intercepter
les signaux
émis par le défibrillateur et obtenir toutes les informations
confidentielles du
patient. Ils ont aussi accédé en temps réel aux données
transmises par la
prothèse, comme l'électrocardiogramme.
Ils ont ensuite lancé plusieurs opérations de piratage qui leur
ont permis
de reprogrammer le défibrillateur, le rendant incapable de
répondre à de graves
dysfonctionnements du cœur. Ils ont même pu lancer une commande
pour provoquer
un choc électrique dans le cœur potentiellement fatal. "L'un des objectifs de cette recherche est d'encourager
l'industrie des
équipements médicaux à penser plus sérieusement à la sécurité et
à la protection
des informations médicales des patients, surtout dans la
perspective d'une
généralisation des technologies du sans fil", explique l'un des
auteurs, le
cardiologue William Maisel de la faculté de médecine de
l'université Harvard
(Massachusetts). 
