document.addEventListener("DOMContentLoaded", function(event) { var classname = document.getElementsByClassName("atc"); for (var i = 0; i

Deep Web, Dark Web, quelles différences ?

Deep Web, dark web, quelles différences ?

Tous deux des parties d’Internet, le deep web et le dark web sont pourtant bien différents. Indispensable pour l’un, superflu voir parfois dangereux pour l’autre, ces deux termes font désormais partie de notre quotidien. Cet article mettra en lumière les différences entre l’Internet profond et le dark web.

Le deep web est l’ensemble des pages et sites web non-indexés par les moteurs de recherche. Bien que non-visible de prime abord, le contenu du deep web est assez banal. Le dark web est une partie intentionnellement obscurcie du deep web. Vous aurez besoin d’un navigateur particulier pour accéder, Tor est le plus souvent cité.

Sommaire Quelles différences entre le deep web et le dark web ?

Ce volet à bascule est conçu afin de faciliter votre navigation. Accèdez rapidement à ce qui vous intéresse précisément.

Le deep web et le dark web sont-ils pareils ?

Non, pas du tout ! Le deep web est une partie de l’Internet qui n’est pas accessible via les moteurs de recherche, mais qui reste accessible avec la bonne adresse URL. Le dark web, quant à lui, existe plus comme une sous-catégorie du deep web, où il est très intentionnellement caché et difficile à atteindre.

Qu’est-ce que le deep web ?

Le web profond fait référence aux espaces utilitaires invisibles de l’internet réel. Tout site web qui peut être indexé par un moteur de recherche (et donc recherché sur Google ou même Bing) appartient à ce que l’on nomme couramment le web de surface. Il s’agit de l‘Internet public que vous pouvez trouver et utiliser à partir de n’importe quel appareil connecté.

Le deep web est accessible facilement dès l’instant où vous connaissez l’adresse URL où vous voulez vous rendre. Certains sites du web profond peuvent nécessiter un mot de passe, fonctionner sur invitation ou parrainage.

Un site introuvable sur Google, en tapant directement l’URL dans la barre de recherche appartient bien souvent au web profond.

À titre d’exemple, le deep web contient :

  • Des comptes privés de médias sociaux
  • La partie personnelle de votre compte bancaire
  • Les boites mails
  • Les pages internet confidentielles de certaines entreprises, écoles ou collectivités
  • Certains contenus payants
  • etc.

À noter que le deep web est massivement plus grand que le web de surface. En effet, on considère que l’internet est composé à 90% de web profond. Rien que la quantité impressionnante de compte mails et bancaire parle d’elle-même. L’Internet de surface et le Deep Web sont collectivement appelés Clearnet.

Illustration : deep web dark web

Qu’est-ce que le dark web ?

Le dark web est vraiment bien caché et son contenu est souvent illégal.

L’élément clé du dark web, dont vous avez probablement déjà entendu parler est le réseau Tor. En effet, celui-ci héberge des sites internet (.onion) dont l’accès nécessite le navigateur Tor. À noter que ce réseau n’héberge pas que des sites illégaux, bon nombre de journaux, comme le Times, disposent d’une version en .onion pour permettre sa lecture dans des pays ou la censure est grande.

Vous l’aurez compris, le dark web n’est accessible ni par moteur de recherche ni par simple navigateur. La connaissance d’une URL et d’un mot ne passe pas ne suffit pas non plus.

Que trouve t’on sur le Dark web ?

Ce que l’humanité a de pire à offrir évidement !

  • On y trouve beaucoup de places de marché, comme le très connu Silk Road, pour les armes, les drogues et tout autre truc destiné à faire les pires actions possibles.
  • Les livres protégés par des droits d’auteur, interdits dans certains pays. Tor et les autres réseaux sont trop lent pour faire fonctionner le partage de jeux et de films piratés.
  • Des sites douteux qui répertorient les véritables – ou pas- crimes de guerre, génocides et autres trucs joyeux
  • Les versions Dark Web des sites d’informations grand public. C’est une façon d’obtenir les nouvelles de manière très sûre, comme The Times cité plus haut.
  • Des forums bien sûr, avec toute la créativité dans l’horreur dont l’humain est capable. Je vous laisse le soin d’imaginer.
  • Des blogs bizarres par forcément toujours tournés vers l’horreur. On peut trouver des passionnés de technologie ont créé des blogs consacrés à des choses douteuses comme l’exploration des tunnels de maintenance des universités.
  • Certains hackers éthiques s’y promènent pour avoir de nouvelles informations et découvrir des nouveaux hacks dans le cadre de leur travail.

Il existe des moteurs de recherche sur le Dark Web (une version de DuckDuckGo y est disponible), ils sont cependant moins intuitifs et beaucoup plus poussifs que les moteurs traditionnels. A la différence du Clearnet, il est très difficile d’évaluer la taille que représente la portion d’Internet qu’occupe le Dark Web.

Logo de DuckDuckGo : le méta moteur de recherche qui n'espionne pas ses utilisateurs

Le deep web est-il illégal ?

Le deep web n’est pas illégal. Les différents services sur Internet pourraient difficilement fonctionner sans lui. Le deep web sert des tâches indispensables au bon fonctionnement d’Internet d’un point de vue sécuritaire. Oui, l’internet profond est à la fois légal, et même moralement recommandable.

Le dark web est-il illégal ?

En tant que concept, le Dark Web n’est pas illégal. C’est ce qui s’y trouve qui peut l’être.

À titre d’exemple, il existe beaucoup de blogs et vidéos qui répertorient les sites les plus utiles et amusants que l’on trouve sur le réseau Tor. Ces sites sont légaux.

Mais c’est comme pour les VPN sans log, c’est légal, mais ça devient illégal de s’en servir pour faire des choses illégales.

Illustration : Logo de Tor

Quels sont les principaux dangers du dark web ?

Dans l’absolu, le dark web ne peut pas vous nuire directement par sa simple existence. Surtout si vous n’y allez pas, c’est évident.

Cependant et compte tenu de la nature des choses qui s’y trouvent, le contenu illégal du dark web est un fléau pour le monde en général. Vous imaginez aisément pourquoi…

Si vraiment vous êtes stupide curieux, allez y faire un tour, mais sachez que vous vous exposez grandement d’un point de vue légal, sécuritaire et psychologique. En effet, en plus de l’horreur et d’un nombre très important de malwares agressifs, le Dark web regorge d‘escroqueries en tout genre, destinées justement aux petits curieux comme vous.

En résumé, si vous avez envie d’avoir la sensation de vous encanailler un peu en allant sur le dark web, ne cherchez rien d’illégal et gardez vos habitudes en matière de cybersécurité. Vérifiez que votre antivirus est à jour et utilisez toujours le meilleur VPN avec TOR.

Quels VPN sont les plus transparents ?

Open source, Audit, Bug bounty, quels VPN sont les plus transparents ?

Si beaucoup d’internautes prennent actuellement un abonnement VPN, d’autres en revanche continuent de se demander si les différents fournisseurs actuellement disponibles sur le marché, sont fiables. En effet, la question de la transparence est un axe central et il est légitime de se demander si finalement, avoir recours à un réseau privé virtuel pour sécuriser ses données ne revient pas tout simplement à les privatiser. VPN Mon Ami fait le point sur les VPN les plus transparents actuellement et comment ils y parviennent.

Les VPN Open source

Le terme Open source s’applique à des logiciels dont le code source est accessible et consultable par tout le monde. C’est l’approche de développement la plus transparente qui soit. En effet, quand le code d’un logiciel est ouvert, il peut être examiné de manière indépendante et autonome par tout le monde. Cela présente l’avantage de déterminer la présence de porte dérobée, code malveillant et surtout cela garantit que le logiciel effectue bel et bien ce qu’il est censé faire.
logo de protonVPN

ProtonVPN fait figure de modèle dans ce domaine. Son code source est consultable très facilement et ce fournisseur peut se targuer d’avoir derrière lui une très grosse communauté d’informaticiens et de passionnés qui les suivent et les soutiennent. Dès qu’un problème est détecté, Proton en est très rapidement averti et le règle efficacement. ProtonVPN est un des meilleurs VPN gratuit PC du marché en raison de son modèle économique connu et de la fiabilité de ses applications.

Les Audits indépendants

Bien que suscitant la méfiance générale, les audits sont pourtant une bonne façon pour un fournisseur de VPN de faire évaluer son logiciel par des professionnels de la cybersécurité. Il s’agit d’une procédure complexe de contrôle effectuée par une entreprise externe spécialisée visant à déterminer la fiabilité et la sécurité d’un logiciel.

Si peu de personnes font cas de ces audits, c’est en raison du fait que ces contrôles semblent opaques, mais aussi et surtout parce que les entreprises mandatées pour les faire sont méconnues du grand public. Les plus sceptiques vont même jusqu’à dire que ces sociétés d’audit en sécurité sont grassement payées pour rendre des conclusions favorables. Pourtant, ProtonVPN et Private Internet Access, qui sont tous les deux des VPN Open Source ont déjà été audités plusieurs fois avec succès.

Parmi les VPN les plus connus pour publier régulièrement leurs résultats d’audit, il y a NordVPN, Surfshark, ExpressVPN et TunnelBear.

Illustration : header de cube 53

Cure53 est une société très connue pour avoir audité de nombreux fournisseurs de RPV. Les rapports sont consultables ici.

Les Bug Bounty

Rapidement devenu un standard en matière de cybersécurité depuis 2015, un programme de bug bounty est une invitation officielle faite par les entreprises aux hackers éthiques. Ils ont pour mission de découvrir des failles de sécurité, des dysfonctionnements ou encore des bugs au sein du logiciel qui est pentesté* (*scénario d’intrusion).

L’intérêt des programmes de Bug Bounty réside essentiellement dans le fait qu’une entreprise dispose d’un nombre très élevé de hackers très motivés puisque chaque problème détecté est rémunéré.
À notre connaissance, peu de VPN ont lancé ce type de programmes, le meilleur VPN du marché, NordVPN, en plus d’avoir été audité, met régulièrement en place des programmes de Bug Bounty.

illustration : logo hackers
The Glider : Le symbole des hackers

Le cas des Warrant Canary

Sans aucun doute, l’annonce la plus farfelue de cet article, le Warrant Canary tire directement son nom du Serin des Canaries qui était utilisé pour prévenir les mineurs quand l’oxygène venait à manquer. Il s’agit d’une déclaration officielle indiquant qu’un fournisseur n’a pas, dans le cadre d’une procédure judiciaire, fait l’objet d’une demande de renseignements.
Souvent utilisé pour contourner les lois sur l’interdiction de divulgation de mise sur écoute, c’est Apple qui fut la première société à y avoir recours en 2013.

Cette déclaration figure, en règle générale, en pied de page d’un site. Surfshark a publié un warrant canary fin 2019 et celui-ci est toujours en place à l’heure où j’écris cet article.

Logo du VPN Surfshark

Pour Conclure

Les mesures proposées par les fournisseurs de VPN pour être plus transparents ne manquent pas et font preuve de bon sens. Celles-ci présentent d’ailleurs l’avantage d’être cumulables entres elles. Nous avons cependant une nette préférence pour les applications VPN Open Source. Ne perdez également pas de vue, que le pays ou est implanté le fournisseur de réseau privé virtuel a également son importance en ce qui concerne la conservation ou non des logs. Référez-vous toujours à la politique de confidentialité.

Qu’est-ce que l’Open Source ?

Qu’est-ce que l’Open Source ?

Les mots Open Source reviennent souvent quand il s’agit d’applications grand public mais de quoi s’agit-il exactement ?

Le terme Open source s’applique à des logiciels dont le code source est consultable, accessible à tous. Se dit également code source ouvert, l’open source est souvent le fruit d’un travail collaboratif. Dans le cadre d’une véritable licence de source ouverte, ce type de modèle de développement est communément appelé FOSS, Free and Open Source Software, que l’on pourrait grossièrement traduire par logiciel libre à source ouverte.

 

Un monde ouvert

Open Source Logo

L’univers de l’Open source, est vaste et couvre un grand nombre de domaines liés aux systèmes d’informations, logiciels bien sûr, mais également les serveurs, certains outils, des solutions de réseaux voir même de sécurité.

Il n’existe pas, à proprement parler, de hiérarchie en matière de qualité entre les outils open source et ceux qui sont propriétaires (à code fermé).

Dans bon nombre de cas, on parle de source disponible, c’est une forme de variante, cela signifie que le code source est, certes consultable, mais n’accorde aucune permission pour modifier ou encore utiliser le code. La raison première est bien sûr liée à la sécurité.

 

Du coup, l’Open Source c’est gratuit ?

C’est une erreur fréquente, ce n’est pas obligatoirement gratuit. Il s’agit en fait d’un amalgame fait avec le terme logiciel libre. En effet, il existe des logiciels libres de droit gratuits qui s’appuient sur un code Open Source pour fonctionner.
Pour résumer, le terme Open Source va désigner la méthode de développement tandis que l’expression logiciel libre exprimera d’avantage la philosophie d’un projet.

ProtonVPN est un parfait exemple. C’est une création Open Source de plusieurs chercheurs du CERN et bien qu’étant un VPN sans abonnement payant, il propose également une version gratuite parfaitement fonctionnelle de toutes ses applications.

Illustration : ProtonVPN, application VPN Open Source gratuite

Pour en savoir plus à propos des logiciels libres, une organisation américaine à but non-lucratif, la Free Software Foundation, a pour mission depuis 1985 de promouvoir et de défendre les logiciels libres ainsi que leurs utilisateurs.

 

Comment définir un système à source fermée ?

La plupart des logiciels sont écrits et développés par des entreprises à des fins commerciales. Ce travail représente un investissent important en matériel de pointe et en personnel qualifié. Leurs travaux sont donc maintenus à l’abri des regards et protégés légalement. Le chiffrement est également utilisé pour rendre le code inaccessible.

Bien que de très nombreuses sociétés proposent des solutions pour les systèmes d’informations absolument remarquables, il n’en demeure pas moins vrai que leur utilisation implique de s’en remettre totalement à l’entreprise qui fournit ces programmes.

Dans de très nombreux cas, ces logiciels sont souvent audités de manière indépendante ou un programme de Bug Bounty est mis en place afin d’offrir aux utilisateurs des garanties supplémentaires. A noter qu’une application Open Source peut également être auditée et avoir un programme de primes aux bugs.

Illustration : Plateforme de Bug Bounty France, YesWeHack

 Platefome de Bug Bounty, YesWeHack.

 

Une des meilleures méthodes de développement possible ?

Disons simplement que c’est une approche moins opaque. En effet, si le code d’un logiciel est consultable, il peut être examiné et audité de manière indépendante par toute personne s’estimant assez qualifiée pour le faire.
Le but est de déterminer plusieurs choses, comme la présence d’une porte dérobée permettant des actes de malveillance, certaines vulnérabilités au niveau de la sécurité ou encore un nombre important de bugs. À ce jour, l’Open Source est le seul moyen d’avoir la certitude qu’un logiciel effectue les tâches qu’il est censé faire.

 

Personne n’est parfait.

En règle générale, un code accessible est relativement fiable même s’il n’est pas audité. Les développeurs n’ont aucune raison d’inclure des lignes de codes malveillantes à la vue de tous.

Malheureusement, il existe un nombre limité de personnes ayant à la fois les compétences et le temps nécessaires pour auditer tous les logiciels accessibles. Ce problème est aggravé par le fait que de nombreux programmes à source ouverte sont extrêmement complexes, contenant plusieurs milliers de lignes de code, de sorte que même s’ils ont été audités, il est tout à fait possible que les informaticiens aient pu manquer un problème.

Illustration : Octocat de la plate-forme Github

Octocat, la mascotte de GitHub, la plate-forme d’hébergement des développeurs qui souhaitent partager leur code.

 

Pour une plus grande transparence

Préférez, dans la mesure du possible, des logiciels ouverts connus et reconnus par la communauté informatique. Dans le cas de la protection de la vie privée, Private Internet Access fait actuellement figure d’exemple puisque ce VPN sans log est devenu Open Source et offre un niveau de transparence et de responsabilité très élevé.

Illustration : Private Internet Access le VPN Open Source

PIA utilise WireGuard® et OpenVPN. Ce sont deux protocoles de chiffrement VPN Open Source parmi les plus appréciés des informaticiens. Private Internet Access a également un programme de sécurité WhiteHat en place pour encore plus de transparence et garantir une amélioration permanente de ses applications.

Qu’est-ce que Tails ?

Qu’est-ce que Tails ?

Il est présenté comme la nouvelle bête noire des services de renseignements, Tails serait la solution de sécurité pour la vie privée en ligne. Mais qu’en est-il vraiment ? Qu’est-ce que Tails ? Est-ce réellement un outil fiable et valable ?

Qu’est-ce que Tails ?

Conçu en 2009, Tails est l’acronyme anglais de The Amnesic Incognito Live System. Disponible en français, il s’agit d’un système d’exploitation portatif Open Source et gratuit basé sur Debian Linux, axé sur la sécurité et la confidentialité, destiné à être exécuté à partir d’une clé USB, DVD ou machine virtuelle (image ISO). Compatible avec Windows, MacOS et Linux, Tails ne laisse aucune trace sur le système d’exploitation original installé sur l’ordinateur, que ce soit dans la mémoire ou dans le système de fichiers.

Illustration : Présentation de TAILS

Principe de fonctionnement de Tails

En tant que système d’exploitation, Tails est livré avec plusieurs applications prêtes à l’emploi axées sur la sécurité. En effet, cet OS portable utilise le navigateur Tor (Tor Browser) par défaut pour se connecter à Internet.

Logo de Tor, le navigateur associé au réseau Tos

Toutes les communications sortantes sont acheminées par le réseau Tor. Tails comprend également des applications pour chiffrer les données, le générateur de mots de passe KeePassXC et des outils pour minimiser les risques lors de la connexion à Internet. Il est à noter que toutes les communications sous Tails, y compris les e-mails et la messagerie instantanée, sont chiffrées par défaut. Tails empêche principalement le suivi d’un individu sur Internet et contourne la censure.

Installation de Tails

Tails peut être installé sur n’importe quelle clef USB d’au moins 8 GB. Cela prend en moyenne 30 minutes. Branchez votre clef et lancez-le. Tails n’est pas fait pour être installé en dur sur le système d’exploitation de son utilisateur. En effet, cet OS amnésique se lance grâce à un ISO. Aucune donnée n’est stockée sur votre machine. Une fois que vous avez arrêté le système, celui-ci est purgé. Les données disparaissent définitivement. Combiné à une navigation Internet à travers le réseau Tor, Tails transforme l’internaute en fantôme.

Illustration : écran de Tails

Sauvegarder des fichiers avec Tails ?

Bien que cela soit déconseillé, il existe un moyen de sauvegarder vos fichiers si vous en avez besoin. TAILS propose un stockage persistant sélectif qui est entièrement chiffré. La sélection des fichiers destinés à être stockés se fait manuellement, le reste sera détruit après le redémarrage.

De nombreuses applications légères sont disponibles. En dehors de TOR pour la navigation, vous disposerez de Libreoffice pour le traitement de texte, Onionshare pour le partage de fichiers (utilise TOR) et l’application de mails Thunderbird pour les emails.

 

Illustration : OnionShare

 

À noter qu’aucune application ne peut contourner TOR et se connecter directement à l’internet. Elles doivent toutes obligatoirement passer par le réseau en onion pour se connecter. Ce parti pris garanti que toute application installée ne peut pas divulguer vos données.

Inconvénients de Tails

Cet OS amnésique portatif a malheureusement ses limites en termes de performances. Utiliser Tails comme système d’exploitation principale est une mauvaise idée. En effet, il ne vous sera pas possible d’exécuter des applications lourdes et vous serez constamment limité techniquement.

Peut-on utiliser Tails avec un VPN ?

Tails, à lui seul ne peut pas supporter d’application VPN native. Il est cependant possible de contourner ce problème en installant votre réseau privé virtuel sur votre routeur domestique si vous naviguez depuis chez vous. Le meilleur VPN pour les configurations routeurs est ExpressVPN en raison de son interface simplifiée qui ne nécessite aucune ligne de commandes complexes. Il est à noter également qu’ExpressVPN a sponsorisé Tails en 2017.

Illustration : VPN pour routeur

ExpressVPN a d’ailleurs un fonctionnement assez similaire à Tails. En effet, sa technologie TrustedServer présente une innovation qui garantit que tous les serveurs utilisent le même logiciel et la même configuration. Chaque fois qu’un serveur est mis sous tension, il charge la dernière image en lecture seule contenant la pile logicielle complète et l’OS. L’image est également chiffrée par ExpressVPN, et les serveurs ne fonctionnent pas si cette signature spécifique n’est pas reconnue.

Utiliser un VPN pallie aux faiblesses du réseau TOR. En effet, le fait que les 6 000 nœuds du réseau soient publics et administrés gratuitement par de parfaits inconnus est un frein pour de nombreuses personnes. Par ailleurs, une utilisation excessive du réseau TOR entraîne systématiquement une surveillance de votre réseau.

Utiliser un VPN permet de cacher que vous utilisez TOR et Tails. (ça en fait des éléments pour garantir l’anonymat !)

Modèle économique de Tails

Tails est gratuit et Open Source. Le projet TOR finance une partie du développement avec Mozilla, la Fondation pour la liberté de la presse et le projet Debian. Il existe également une version payante destinée aux entreprises.

Pour conclure

Tails est une bonne option de sécurité et d’anonymat en ligne mais uniquement ponctuellement. Transparent dans sa conception, c’est devenu un outil incontournable pour une bonne partie des globes trotteurs et des journalistes.

Qu’est-ce qu’une métadonnée ?

Qu’est-ce qu’une métadonnée ?

En quoi les métadonnées sont-elles importantes ?

On nous en parle partout ces derniers temps sans jamais vraiment expliquer clairement ce que c’est, ce sont les métadonnées. Mais qu’est-ce que c’est qu’une métadonnée ? Et surtout à quoi ça sert ?

Qu’est-ce qu’une métadonnée en général ?

Le terme métadonnée est un mot composé du préfixe grecque méta qui indique l’auto-référence. En clair, les métadonnées sont des données servant à décrire des données. Le support et la forme de celles-ci n’ont aucune importance.

Quels sont les différents types de métadonnées ?

Les métadonnées sont utilisées dans presque tous les domaines de la vie courante, et ce, depuis très longtemps. L’ancêtre de la métadonnée en imprimerie est le colophon. C’était une note détaillée sur les anciens manuscrits comprenant différentes indications telles que le titre, le nom de l’auteur, le nom du copiste et la date d’impression.

Les images

Si vous avez une base de données de photos, de dessins, etc. Les métadonnées permettent de dire à un système de les trier par date, taille, auteur, lieu ou tout autre critère qui a été prédéterminé. Les images numériques contiennent ces spécifications depuis 1995 (données EXIF).

illustration : copyright

Les fiches de bibliothèque

Que ce soit sur papier ou dans une base de données informatiques, les différents ouvrages sont répertoriés en fonction de l’auteur, de la langue, de l’année de sortie, de la tranche d’âge …

En archéologie

Lorsqu’un tesson est découvert, les archéologues l’enregistrent avec le plus d’informations possibles pour un référencement future.

Les moteurs de recherche

En dehors du texte qui apparaît lorsque vous ouvrez une page, il y a des données invisibles pour les utilisateurs qui la décrivent. Les balises d’auteur, de données, de sujet et autres permettent à Google, Qwant, Bing (et tous les autres) de comprendre si la page est pertinente par rapport à votre recherche sans pour autant qu’une personne physique ne l’ait lue.

Les annonces publicitaires

Si les spécialistes du marketing disposent de métadonnées en quantité suffisante, ils peuvent déterminer si un internaute correspond à leur cible pour certaines annonces. Les métadonnées peuvent indiquer le temps passé sur certains sites ou les recherches effectuées autour d’un sujet défini par exemple.

La surveillance

Dans ce cas particulier, la liste des possibilités est infinie avec la navigation Internet et la capacité des FAI à retracer l’intégralité de la navigation internet d’un de leur abonné.

  • Le nom du titulaire du compte, son adresse, sa date de naissance, ses adresses électroniques et d’autres informations permettant d’identifier la personne
  • Les moyens de communication utilisés (voix, SMS, e-mail, chat, forum, réseaux sociaux, media center, applications…)
  • La localisation géographique de la personne au début et à la fin de la communication
  • Les coordonnées de tous les destinataires
  • Le canal utilisé pour la communication (Wi-Fi, VoIP, câble, etc.).

Vraiment indispensable ?

Comme évoquée ci-dessus, une métadonnée est très utile, car elle renseigne, par exemple, un livre que vous aimeriez acheter, grâce à son titre, aux informations sur l’auteur ou encore l’univers de celui-ci et le public visé. Cela permet également d’avoir des information sur des photos, l’adresse GPS quand il s’agit d’un selfie, la date de la prise de vue…Etc L’archivage et le classement sont indispensables à l’accessibilité au savoir de manière efficace.

illustration : données de couleur

En quoi les métadonnées concernent directement les individus ?

Si les données réelles concernant la vie privée des personnes sont encore, à ce jour, difficiles à obtenir, ce n’est pas le cas des métadonnées. Très simples à collecter, elles renseignent sur la totalité de l’activité internet, mais pas seulement. La quantité d’appareils dont dispose une personne, ses différents systèmes d’exploitation, les versions, quelles applications sont installées, à quelle fréquence elles sont utilisées, l’emprunte de chacun des navigateurs … Etc

Et c’est tout ?

Aux États-Unis, la récupération et l’exploitation de toutes les métadonnées récupérées par les fournisseurs d’accès à Internet sont légales depuis 2017.

En France, il existe plusieurs organismes, dont la CNIL, qui veillent, protègent et défendent le droit à la vie privée, l’exploitation des métadonnées est une zone assez obscure. Bien qu’ayant l’air abstraites, ces informations sur les informations sont pourtant réelles et peuvent permettre d’identifier quelqu’un. L’utilisation d’un VPN sans log (qui ne conserve pas de journaux de ses utilisateurs) permet de les dissimuler et de les rendre inexploitables.

illustration : metadonnées explications

Bug Bounty : Explications

Bug Bounty : Explications

Pour faire écho à notre série d’articles sur les hackers, abordons aujourd’hui l’univers du Bug Bounty. Non, il ne s’agit pas d’un cafard qui aurait mangé une barre chocolatée, mais d’une vaste partie de chasse aux bugs. Le principe est assez simple, il s’agit d’une invitation officielle et rémunératrice faite aux hackers par des sites internet ou des développeurs de logiciels dans le but de découvrir des potentiels bugs ou des failles de sécurité. Ces programmes permettent de découvrir et de résoudre des bugs avant que le grand public ne les subisse ou en ait connaissance.

 

C’est nouveau ?

C’est un des pionniers d’Internet qui a lancé le principe au milieu des années 90. Netscape Communication, connu pour son navigateur, fédérait à l’époque une communauté zélée d’ingénieurs très inspirés. Ces fans comptaient également des employés de l’entreprise. À cette époque, un des responsables du service technique eut l’idée de mettre en place le premier programme de Bug Bounty. Les employés étaient encouragés à aller encore plus loin dans la recherche de bugs et de failles de sécurité au moyen de primes. Internet était également invité à faire de même par l’intermédiaire des forums consacrés à Netscape et de nombreux sites non-officiels.

Le succès d’un tel programme perdure encore aujourd’hui. Il n’y a pas que les entreprises qui en proposent, mais également, certains gouvernements et les armées. La France, également, dispose de ses propres programmes de chasse aux bugs et aux vulnérabilités (Bug Bounty France).

Ce ne sont pas les entreprises ou les développeurs des logiciels testés qui sont les principaux acteurs d’un programme Bug Bounty, ce sont les hackers. Ils portent d’ailleurs différents noms, chercheurs ou encore hunters (chasseurs). Les hackers sont alors considérés comme non-hostiles et portent le nom de hackers éthiques quand ils œuvrent à la découverte d’une faille de sécurité. Même s’ils sont rémunérés pour leurs découvertes, le défi que constituent certains programmes de Bug Bounty suffit à en motiver plus d’un.

logo hackers

 

Les entreprises n’ont-elles pas déjà leurs propres prestataires en matière de sécurité ?

L’intérêt des programmes de Bug Bounty réside essentiellement dans le fait qu’une entreprise dispose, en théorie, d’un nombre très élevé de hackers motivés aux compétences multiples 24 h sur 24 et disséminés dans le monde entier. Les hunters les plus actifs sont respectivement en Inde, en Russie et aux Etats-Unis.

Le Bug Bounty est devenu rapidement un standard en matière de cybersécurité. En effet, si les sociétés prestataires en matière d’audit de sécurité auront toujours leur utilité, leurs missions sont généralement axées sur des points bien spécifiques. Les programmes de Bug Bounty sont beaucoup plus ouverts et encouragent la créativité.

Au départ, l’idée de convier des hackers à venir forcer leurs systèmes avait de quoi rebuter bon nombre de chefs d’entreprise, mais les découvertes ainsi que le nombre important de reports de vulnérabilités système d’une grande pertinence ont fini par convaincre les derniers sceptiques. En France, les programmes de Bug Bounty ont commencé à se démocratiser à partir de 2015.

 

Comment ?

C’est essentiellement la sécurisation des données sensibles qui motive les entreprises à avoir recours à des chercheurs. Si des géants comme Microsoft, Facebook ou encore Google peuvent se permettre de coordonner et d’administrer un programme de Bug Bounty par eux-mêmes, ce n’est pas le cas pour toutes les entreprises. En effet, il existe des plateformes qui permettent la mise en place de ces parties de chasse. En Europe, les plateformes YesWeHack et Yogosha sont des références reconnues qui permettent aux entreprises de lancer leur programme de Bug Bounty et aux hunters d’être informés qu’un nouveau challenge les attend.

Bug Bounty France : logo de YesWeHack

 

Quelles sont les règles du jeu ?

Les programmes de Bug Bounty sont soumis à des règles strictes, ne pas s’y soumettre pour un hacker constitue une violation et pourrait avoir pour conséquence de ne toucher aucune compensation financière ou d’être tout simplement banni.
Un chercheur doit veiller à ne pas détériorer les biens ou les données pendant ses tests d’intrusion. Toutes les vulnérabilités qui sont signalées doivent être directement exploitables. Même s’il existe un barème concernant les primes, le montant de celles-ci est directement soumis à la discrétion de la société qui a lancé le programme de chasse.

Chaque rapport doit être accompagné d’une déclaration de principe et d’une description détaillée avec les étapes à suivre. Le pentesteur* doit également expliquer en quoi la faille qu’il a détectée peut affecter les données d’un utilisateur et/ou le bon fonctionnement d’une application/logiciel/système.

illustration noix de coco : Bug Bounty France

 

Pour conclure

Invisible pour le grand public, cet éternel ballet, cette chasse sans fin apporte son lot d’avantages pour les internautes. En effet, bon nombre d’applications et de services sécurisés ne pourraient pas l’être sans ce type d’initiatives.

En Mai 2020, Olvid, la messagerie instantanée chiffrée française a ouvert son code aux hunters de chez YesWeHack. Un des VPN les moins cher Open Source, Private Internet Access (PIA) a également mis en place un programme de sécurité Whitehat ouvert à tous et offrant de belles rémunérations.

Illustration : Bug bounty programme de PIA

*Pentesteur : Hacker qui explore différents scénarios d’intrusion dans un système d’informations.

Pin It on Pinterest