Carnivore

Carnivore avait croqué Ben Laden

Carnivore, le système utilisé par le FBI pour surveiller le Web avait trouvé des renseignements sur Oussama Ben Laden. Les données ont été effacées sans avoir pu être exploitées.

Une enquête du FBI concernant Oussama ben Laden a été entravée par des défaillances du système de surveillance "Carnivore," selon des documents du FBI rendus publics. La police fédérale a dû détruire des informations obtenues en mars 2000 par l'unité de renseignement "UBL", en référence apparente à Oussama ben Laden.

Le système de surveillance s'était en effet emparé non seulement du courrier électronique de cibles autorisées par un juge mais de celui d'autres personnes pour lesquelles aucune autorisation n'avait été donnée, a indiqué le Centre d'information pour le respect de la vie privée électronque (EPIC). Selon les documents, le personnel technique du FBI a détruit tous les e-mail, y compris ceux dont la surveillance était autorisée.

Carnivore, outil inadapté

Selon EPIC, cette affaire prouve que le système ne fonctionne pas. "Ces documents confirment ce que beaucoup d'entre nous pensent, à savoir que Carnivore est un outil puissant mais maladroit qui met en danger la vie privée de citoyens américains innocents", a déclaré David Sobel, d'EPIC. "Son imprécision peut aussi mettre en péril d'importantes enquêtes, y compris celles relatives au terrorisme". Le porte-parole du FBI, Bill Carter, a déclaré pour sa part que dans cette affaire le fournisseur de service internet avait donné au FBI des données incorrectes rendant impossible l'utilisation des données interceptées. "Dans la mesure où elle ne respectait pas l'autorisation (donnée par la justice), l'information récoltée à partir de ce système n'a pas été utilisée", a-t-il précisé

Source: TF1 (31/05/2002)

La plante Carnivore se mord la tige

Des enquêtes du FBI bâclées par le logiciel de surveillance électronique. La "belle plante" Carnivore du FBI se serait endormie au mauvais poste frontière du web. Des failles dans le très controversé système de surveillance de l'agence fédérale (Carnivore), pourraient bien avoir gêné l'enquête sur les réseaux de l'organisation terroriste Al Qaida. C'est du moins ce que laisse supposer des documents internes du FBI révélant la vulnérabilité et les bourdes du système de surveillance électronique depuis deux ans.

Des imprécisions notoires

L'Elecronic Privacy Information Center (EPIC) s'est procuré un message interne du FBI datant du 5 avril 2000 envoyé à Spike Bowman, principal conseiller adjoint auprès du FBI sur les questions de sécurité nationale, qui révèle que Carnivore "ne fonctionnait pas correctement". Dans cette lettre, on peut lire que "le logiciel n'a pas seulement amassé les mails sous surveillance électronique ciblés et listés le FBI (...) mais également récolté ceux (des utilisateurs réguliers d'Internet) qui n'étaient pas ciblés. Le contact technique du FBI a apparemment été bouleversé au point de détruire tous les e-mails capturés, y compris ceux [soumis à surveillance électronique autorisée]".

Pour l'avocat d'EPIC, David Sobel, "ces documents ne signifient pas pour autant que le FBI aurait pu prévoir (si la bourde n'avait eu lieu) les attentats du 11 septembre. Mais ils soulignent les problèmes liés à l'implémentation de Carnivore". Et de confirmer que "les imprécisions de Carnivore peuvent avoir compromis d'importantes enquêtes dont celles liées au terrorisme".

"Cela prouve en tout cas que le FBI a trompé le Congrès (Le FBI avait reçu l'autorisation d'utiliser son logiciel 'sniffeur' pour des cibles spécifiques) et le public sur la réelle capacité de Carnivore à ne collecter que les données autorisées", a t-il déclaré à l'agence Reuters.

Le FBI s'est refusé à tout commentaire. Autant dire que la polémique autour du système d'interception des courriers électroniques considérés comme suspects risque fort d'être relancée.

Source: Silicon (29/05/2002)

États-Unis: le logiciel sniffer du FBI a des ratés

L'Electronic Privacy Information Center (EPIC), association américaine de défense des libertés individuelles, a publié mardi 28 mai des documents du FBI évoquant explicitement des dysfonctionnements de son système de surveillance Carnivore. Elle a pu se les procurer en vertu de la loi sur la liberté de l'information (Freedom of Information Act, FOIA).

Les documents présentent clairement une erreur commise par DCS1000, le nom officiel et moins voyant de ce logiciel "sniffer" connu à l'origine sous le terme de "Carnivore". Installé par le FBI sur les machines des fournisseurs d'accès internet, le sniffer est censé pouvoir capturer à la volée l'ensemble du trafic de données et les communications en transit. Mais il doit logiquement s'activer pour collecter des informations sur des personnes faisant l'objet d'une enquête précise bénéficiant d'un mandat d'écoute en bonne et due forme.

Les documents mis en exergue par l'EPIC montrent que le système a involontairement récupéré un e-mail appartenant à des personnes n'ayant rien à voir avec l'affaire. Carnivore a donc clairement enfreint la législation en vigueur concernant les écoutes téléphoniques. L'incident est relaté dans un e-mail daté du 5 avril 2000, envoyé en interne au sein du FBI. Il y est question de la façon dont «le logiciel a été activé et a mal fonctionné». Une bavure qui a contraint un technicien du FBI à détruire les informations relatives aux différents parties concernées. Résultat, affirme l'EPIC, cela aurait perturbé une enquête en cours sur les réseaux terroristes, dont celui d'Oussama Ben Laden, menée par la division internationale des opérations terroristes du FBI.

Notre rédaction américaine n'a pas réussi à joindre le FBI à temps pour le questionner sur le sujet.

Un outil sur lequel planent encore des zones d'ombre

L'opinion publique a appris l'existence de Carnivore en juillet 2000. Le FBI affirme qu'il filtre, uniquement en respectant la loi, des données afin d'obtenir des informations sur des personnes suspectées. Mais le mystère plane encore sur cet outil, qui menace sérieusement, pour beaucoup de personnes, les libertés individuelles.

L'EPIC, qui mène l'enquête depuis plusieurs années sur Carnivore, a réussi à obtenir ces documents après deux ans de procédures juridiques. En 2000, elle avait demandé au ministère de la Justice d'avoir accès au dossier Carnivore du FBI. Mais au vu de sa lenteur, elle a finalement décidé d'intenter un recours en justice pour exiger l'accès aux documents. C'est un juge fédéral qui a contraint le FBI à lui fournir des documents concernant cet outil de surveillance. Une recherche effectuée dans l'ensemble des services du FBI.

«Ces documents confirment ce que beaucoup d'entre nous pensent depuis deux ans - à savoir que Carnivore est un outil puissant, mais maladroit au point de mettre en péril le respect de la vie privée d'innocents citoyens américains», a déclaré le conseiller général de l'EPIC, David Sobel. Et d'ajouter: «Notre procès invoquant la FOIA montre qu'il reste encore de nombreuses zones d'ombre au sujet de Carnivore.»

Source: ZDNet (29/05/2002)

Le FBI contraint de dévoiler les dessous de Carnivore

Nouvelle victoire pour les opposants au système de surveillance Carnivore utilisé par la police fédérale américaine, le FBI. Dans le procès qui l'oppose au FBI depuis juillet 2000, l'association Electronic Privacy Information Center (EPIC) a obtenu du juge fédéral chargé du dossier que le gouvernement fasse preuve de plus de transparence. Le juge a ainsi ordonné lundi 25 mars au FBI de fournir dans un délai de 60 jours plus de documents sur le système Carnivore qu'il ne l'a déjà fait. Un autre dispositif technique de surveillance a lui aussi attiré la curiosité du juge: EtherPeek, qui gère le trafic transitant sur des réseaux.

Carnivore, également connu sous la désignation DCS1000, est une technologie que le FBI installe chez les fournisseurs d'accès internet pour surveiller les messageries de personnes suspectées, et récupérer les informations qu'elles envoient et reçoivent par ce biais. Ce système de "sniffer" peut connaître à la fois le contenu des messages ou seulement leur profil (adresses des correspondants, heures de connexion, etc.), qui n'ont pas la même protection constitutionnelle. D'où l'inquiétude des associations, mais aussi de nombreux membres du Congrès, qui veulent s'assurer que les mandats d'écoute délivrés ne peuvent pas être détournés (écouter le contenu des conversations alors que le mandat ne couvre que la surveillance des logs).

L'injonction du 25 mars a été faite à la demande de l'EPIC, qui se base sur la loi de la liberté de l'information (Freedom of Information Act) pour demander à examiner des documents concernant Carnivore. Elle n'est pas convaincue par l'explication du FBI, qui prétend que Carnivore est un moyen de récupérer des informations sur les individus lorsqu'ils sont en ligne, des e-mails et d'autres informations en ligne uniquement sur demande de la justice. Pour elle, cela peut potentiellement conduire à des dérives.

En janvier 2001, suite à une première demande du juge, le FBI avait déjà rendu des documents recueillis par Carnivore. Mais l'EPIC s'était estimée flouée au vu des documents en question qui, selon elle, ne révèlent que des aspects techniques du système de surveillance, et pas les implications légales. Sur les 1957 pages de données que le FBI avait récupéré, il n'avait fourni à l'EPIC que 1665 pages pour consultation.

Une affaire qui pourrait faire jurisprudence

Le conseiller juridique de l'EPIC, David Sobel a déclaré que le FBI et le ministère de la Justice n'ont communiqué des données sur Carnivore qu'avec parcimonie. «Une nouvelle recherche d'informations ordonnée par la cour permettrait sans doute de recueillir de nouvelles données significatives, surtout parce que ces dernières concerneront très probablement le ministère de la Justice et l'évaluation faite par le FBI sur les problèmes juridiques soulevés par l'usage de Carnivore», a-t-il dit. «Je pense qu'à présent, et surtout suite au 11 septembre, il est encore plus important de rendre ces informations publiques, de préciser les utilisations de ces systèmes et de quelle manière le ministère de la Justice considère les questions d'ordre juridique liées.»

Lundi dernier, le juge a donc indiqué que l'EPIC «a donné un indication "positive" en estimant que le FBI a peut-être oublié certains documents dans d'autres départements du FBI [...]».

Les conclusions de ce procès pourraient être significatives, et influer sur la manière dont les autorités utilisent l'internet lors d'enquêtes fédérales.

En septembre 2000, la ministère de la Justice avait mandaté l'institut de recherches IIT pour étudier Carnivore. Rendant son rapport deux mois plus tard, alors que l'indépendance de l'équipe de recherche était vertement critiquée, celui-ci avait conclu que la technologie employée «protège la vie privée et permet d'instaurer une surveillance en toute légitimité, et ce mieux que d'autres systèmes». Le rapport indiquait que Carnivore ne pouvait fournir aux enquêteurs que les informations demandées par les injonctions de la cour, et ne fait courir aucun risque aux fournisseurs d'accès internet. Ce qui n'avait pas désarmé ses adversaires, à commencer par d'influents membres du Congrès, comme en juin 2001 le chef de la majorité à la Chambre des représentants.

Source: ZDNet (28/03/2002)

Carnivore fait des petits

Le système de surveillance électronique Carnivore, mis en œuvre par le FBI et permettant le recensement de toutes informations circulant sur les serveurs d’un fournisseur d’accès Internet, en mécontentent plusieurs. C’est pourquoi plusieurs alternatives, moins coûteuses et respectant la vie privée des usagers, sont développées, et offrent peut-être ainsi une façon pour les prestataires de ne pas jouer le jeu des autorités.

Ainsi, si un fournisseur d’accès Internet (FAI) reçoit la visite du FBI pour collaborer à la surveillance d’un suspect, le FAI n’a d’autre choix que d’obtempérer. Plusieurs ont tenté de se soustraire à cette obligation, puisque la surveillance des courriels d’un seul client imposait la surveillance de tous les abonnés, portant du coup atteinte à la vie privée des autres usagers qui avaient le malheur de partager le même accès Internet qu’un suspect.

C’est que le système Carnivore permet le ratissage de tous les courriels d’un même prestataire de services Internet, ce qui soulève beaucoup de craintes quant à la protection de la vie privée. Des usagers de tous horizons se retrouvent ainsi amalgamés aux criminels que l’on veut surveiller

Un prestataire avait tenté, en vain, d’obtenir une injonction contre les pratiques du FBI qui avaient ainsi accès à toutes sortes d’informations confidentielles sur ses clients.

Mais voilà, pour permettre aux autorités de poursuivre leur travail et pour aussi rassurer le public, deux nouvelles version du Carnivore sont mises en œuvre depuis peu. Dans un premier temps, Forensics Explorers, un boîte de surveillance informatique privée, propose le NetWitness, un outil de filtrage de la surveillance électronique. Le NetWitness Collector est un système de capture et d’analyse fonctionnant sur les réseaux locaux. Il collecte les données d’un réseau et les réorganise en un tout permettant l’analyse des contenus.

Puis, Carnivore a un frère et il s’appelle Altivore. Network Ice a remodelé la solution et offre la surveillance électronique sur mesure. Pour ce faire, on permet aux autorités de faire la surveillance électronique d’un client Internet en ne scrutant que les courriels de la personne, sans obtenir de renseignements sur les autres clients, comme Carnivore le faisait.

De façon générale, ces deux applications peuvent faire le suivi de tous les courriels d’un suspect, ainsi que de ses allées et venues sur certains serveurs –ftp ou http-. On offre aussi le plein examen de l’adresse IP du suspect de même que les changements qui y sont apportés.

Pratiquement tous les serveurs servant aux usages personnels et commerciaux peuvent servir de support à ces logiciels de surveillance et d’analyse, qu’ils soient pop, imap, ftp, etc.

Évidemment, cela peut paraître d’un certain réconfort pour les internautes de savoir que si jamais les autorités décidaient de scruter les allées et venues d’utilisateurs d’un même serveurs, les innocents seront épargnés. Mais pour faire en sorte qu’un prestataire de services puisse refuser les demandes des autorités, jugées excessives par le prestataire, il faut que les cours puissent statuer en faveur des prestataires.

Que les FAI aient le plein contrôle sur les données qui seront utilisées dans les enquêtes –en s’assurant que seulement les données relatives à un suspect seront obtenues par les autorités- est une bonne chose en soi, car la capacité des autorités à se policer elles-mêmes n’est aucunement une garantie que la vie privée des utilisateurs sera respectée. Cela pourrait leur donner en plus un avantage compétitif certain quant au respect de la vie privée.

Cette situation peut aussi mettre un terme à l’utilisation «irrationnelle» que le FBI fait de Carnivore, dont la promotion agressive est une façon de justifier les coûts de développements.

Mais comme les anonymes du webillard de veille Slashdot font valoir, il faut se demander si de choisir le moindre mal fait en sorte que cela n’est plus un mal. À moins qu’il ne devienne un mal nécessaire…

Source: Multimedium (03/10/2001)

Carnivore à nouveau sans laisse

Le système Carnivore, outil développé par le FBI pour contrôler le flux de courriers électroniques et leur contenu sur le territoire américain, a de beaux jours devant lui. Alors qu'il était sur la sellette il y a encore quelques semaines, les attaques aériennes sur New York et Washington ont provoqué un revirement stratégique dans l'utilisation de ce mouchard électronique rebaptisé DCS1000 dans le souci de lui donner une image moins agressive.

Deux jours après les attentats, le Sénat américain a adopté en première lecture le Combating Terrorism Act of 2001. Cette loi, qui a pour vocation d'accroître les pouvoirs de la police en matière de surveillance, autorise le recours, par le FBI, au DCS1000 sans accord préalable d'un juge.

Fort de cette décision, le bureau fédéral s'est empressé de demander aux fournisseurs d'accès à Internet d'accueillir ses machines de contrôle. Une demande temporaire, a précisé le FBI, qui a entrepris, par ailleurs, d'installer les DCS1000 directement sur les grands nœuds de transit du trafic Internet américain.

Carnivore n'a donc pas fini d'inquiéter les défenseurs des libertés en ligne, dont l'American Civil Liberties Union (ACLU), à l'origine de sa mise au pilori juste après la révélation de son existence par le Wall Street Journal, le 11 juillet 2000. A l'époque, l'Amérique avait découvert que le FBI utilisait cet outil depuis plus d'un an et qu'il avait des ancêtres moins sophistiqués mais au fonctionnement tout aussi équivoque.

Ce qui inquiète les défenseurs des libertés individuelles dans Carnivore, c'est le caractère systématique du concept, même si l'utilisation du DCS1000 est limitée dans le temps et pour certaines affaires.

Carnivore est un logiciel qui voit tout. Il peut scanner toutes les données transférées de l'ordinateur d'un particulier à un serveur. Il voit les adresses auxquelles l'internaute envoie des courriers électroniques, les espaces de dialogue (chats) qu'il fréquente, les sites qu'il va consulter. En revanche, et à la grande différence des systèmes d'écoutes téléphoniques, il est incapable de choisir, a priori, quelle personne il doit surveiller.

Comme le réseau Echelon - son cousin à la carrière internationale exploité par la National Security Agency (NSA) et dont l'inefficacité a été criante dans le drame qui touche aujourd'hui les Etats-Unis -, Carnivore peut facilement devenir un système global d'interception fondé sur le principe que ceux qui n'ont rien à se reprocher n'ont rien à cacher. Des députés américains l'avaient alors jugé «incontrôlable et effrayant». Mais face à une Amérique blessée et appelant à des lois plus sévères, ces responsables politiques se font plus discrets, à l'exception de quelques-uns. Ces derniers rappellent en substance que les Américains doivent protéger leur pays sans battre en brèche les valeurs de droit et de liberté de la société qu'ils défendent.

Source: Le Figaro (23/09/2001)

Face aux terroristes, le FBI répond Carnivore !

D'après de nombreux FAI, le FBI est actuellement en train de déployer Carnivore à grande échelle. Rappelons que Carnivore est un système informatique, agissant conformément aux ordres de justice, dont le but est de collecter certaines informations concernant des e-mails ou des communications électroniques en provenance ou provenant d'une personne ciblée lors d'une investigation.

Le FBI espère ainsi traquer et trouver les suspects du terrible attentat de lundi dernier. D'après cet organisme, ces derniers pourraient tenter de communiquer par e-mail ou par internet.

Le FBI rappelle l'origine du projet : « Carnivore mâche toutes les données du réseau, mais il ne mange en fait que les informations autorisées par l'ordonnance de justice. »

Bien que la plupart des plus grands FAI ait été contacté, Nicolas Graham, porte-parole d'AOL a démenti avoir reçu la visite du FBI pour l'installation du système Carnivore.

Carnivore, officiellement connu sous le nom DCS1000, est un outil d'écoute développé par le FBI. Afin de mettre sur écoute le réseau, les services secrets doivent obtenir un mandat FISA (Foreign Intelligence Surveillance Act). Ce dernier ne pouvant être acquis que des directeurs du FBI et de la CIA, ainsi que des secrétaires d'état et de défense.

Etant donné la méthode que semble avoir utilisé les terroristes pour communiquer jusqu'ici, il est fort improbable que ces derniers se mettent à en changer. D'autant plus que tous les services d'espionnage sont en alerte, et qu'utiliser les moyens de communication moderne (e-mail, internet, téléphone) est presque perdu d'avance.

Source: Secusys (14/09/2001)

Etats-Unis : Le FBI enquête auprès des fournisseurs d’accès

Le FBI demande aux principaux fournisseurs d'accès à Internet des informations qui pourraient faire progresser l’enquête sur les attentats du 11 septembre.

Le FBI (Federal Bureau of Investigation) autorité de sûreté fédérale américaine, a demandé aux principaux fournisseurs d'accès à Internet des informations concernant certaines adresses e-mail. Celle-ci pourraient avoir un lien avec les attentats qui ont frappé mardi New York City et Washington D.C.

Les enquêteurs du Bureau se sont rendus mercredi matin au siège des entreprises concernées.

«Ils voulaient savoir ce que nous avons sur notre réseau, obtenir des informations sur les moyens d'accès à telles adresses électroniques, et savoir si les adresses concernées sont passées sur notre réseau à un moment ou un autre», signalait un des responsables de Earthlink à l’Associated Press.

«Ils vont remonter tous les IP concernés», identifiant Internet de chaque ordinateur, ajoutait ce responsable.

Fouiller les données des principaux FAI ne sera sans doute pas une mince affaire : AOL compte plus de 31 millions d’abonnés, dont 7 millions de nouveaux inscrits en 2000. Earthlink, pour sa part, compte 5 millions d’abonnés et plus de 8 800 numéros d’accès sur le territoire américain.

A moins que les autorités américaines ne sachent déjà quels utilisateurs rechercher, la mission s’avère épineuse sur le plan juridique et techniquement difficile. Les fournisseurs d’accès suppriment régulièrement les logs, notamment parce qu’ils n’ont pas assez de place pour archiver ces données indéfiniment.

Shannon STUBO chez Yahoo a déclaré que l’entreprise coopérerait pleinement avec les autorités, même son de cloche chez AOL (America Online) et ExciteatHome.

Source: Net-Economie (14/09/2001)

Attentats: pourquoi Carnivore n'a servi à rien

Le système de veille du FBI n'a pas su prévenir l'attaque de mardi 11 septembre. Les explications de Daniel Martin, conseiller en sécurité à l'OCDE.

Le Federal Bureau of Investigation (FBI) des Etats-Unis, contacté par Silicon.fr, reconnaît: "Nous n'avons aucune cellule de surveillance spéciale qui a été mise en place suite aux événements du 11 septembre. Nous avons juste augmenté nos effectifs sur Carnivore (NDLR: le système de surveillance des e-mails). Nous sommes désormais plus vigilants." "C'est un peu tard", répond Daniel Martin, commissaire divisionnaire honoraire, conseiller du directeur exécutif de l'OCDE (Organisation du commerce et du développement économique) et auteur de l'ouvrage "Cybercrime: menaces, vulnérabilités et ripostes" aux éditions PUF. "De toute façon, Carnivore n'est pas fait pour ça. C'est un système qui est là pour permettre aux forces d'un pays, et sur réquisition d'un juge, d'aller voir quelles sont les transactions pécuniaires effectuées", ajoute-t-il.

Le renseignement électronique n'est pas la panacée

Ni Carnivore, ni Echelon, ni aucun autre système de défense et de prévention du terrorisme n'ont su prévenir l'événement. Daniel Martin ne s'en étonne pas: "Ils n'ont déjà pas su prévoir l'endroit et le lieu de la première explosion atomique pakistanaise. C'est la preuve que le renseignement électronique ça n'est pas la panacée. Cela ne vaut toujours pas un agent infiltré."

Quant aux mesures préventives, Daniel Martin reste vague: "J'imagine qu'en France, ils ont renforcé les cellules Internet dans les différents ministères. Mais ce sera pourquoi faire? Apprendre qu'un groupe revendique l'attentat?"

Il faudrait doubler le nombre des agents

Pourtant, beaucoup se posent la question de l'organisation de l'attentat. Apparemment prévue de longue date (on parle de plusieurs années), nul doute que certaines informations ont dû transiter par le Net. Daniel Martin explique: "S'ils l'ont fait, les auteurs de ces actes auront sûrement utilisé des modules de chiffrement qui sont interdits. En France l'ETA utilise bien le module PGP (Pretty Good Privacy) et la police se casse les dents dessus." Au niveau international, Daniel Martin avoue que "nous sommes en période rouge. Maintenant on va éplucher tout ce qui s'est dit dans les heures et les jours qui ont précédé l'attentat. Il y a sûrement des éléments mineurs qu'on n'a pas su détecter et qui serviront de preuves a posteriori".

Seulement voilà, la surveillance mondiale du Net pose bon nombre de problèmes pas encore résolus: "La machine automatise la collecte des informations, mais il y a ensuite des problèmes de langues: il faut passer par des filtres soit automatiques (et ça n'est jamais très bon) soit par des linguistes, mais il en faudrait des milliers. Il y a à peu près 40.000 agents à la NSA dont la plupart sont des traducteurs mais il en faudrait au moins le double."

Source: Silicon (12/09/2001)

Les grandes oreilles du FBI

Grâce à Carnivore, le FBI surveille déjà chaque année des millions de messages échangés via l'Internet. Mais Carnivore pourrait bientôt espionner aussi les téléphones mobiles... Cette situation inquiète les industriels du secteur, qui réclament à cor et à cris la mise en place de garde-fous.

Non content de susciter les foudres des associations de protection de la vie privée, Carnivore, le système de surveillance du FBI, inquiète désormais les industriels des télécommunications. Ceux-ci craignent en effet que, dès octobre 2001, le FBI se serve de Carnivore pour jeter un œil indiscret sur les e-mail et SMS expédiés via des mobiles. La CTIA (Cellular Telecommunication Industry Association) a ouvertement exprimé ses craintes dans une lettre envoyée il y a un peu moins de deux semaines à la Commission fédérale des Communications (FCC).

Carnivore a-t-il déjà servi pour surveiller des mobiles ?

A l’heure actuelle, l’utilisation d’un système de surveillance comme Carnivore n’est absolument pas réglementée. Et c’est justement pour élaborer des règles applicables dans le domaine de la surveillance que la FCC a demandé aux industriels des communications mobiles de lui fournir des propositions de textes avant le 30 septembre. Mais les membres de la CTIA estiment le délai trop bref. Ils craignent en particulier qu’en l’absence de proposition de texte à la date prévue, le FBI se retrouve avec toute latitude pour espionner sans vergogne tout SMS et e-mail envoyé depuis un téléphone portable.

Après l’Internet, déjà surveillé par Carnivore depuis deux ans, ce serait l’ensemble des télécommunications sans fil qui pourraient être potentiellement espionnées par les grandes oreilles du FBI… Sachant que Carnivore, qui est installé chez les fournisseurs d’accès, écume régulièrement des millions d'e-mail, on peut imaginer que peu de SMS passeraient à travers les mailles du filet. Il est d’ailleurs possible que Carnivore ait déjà servi pour surveiller les mobiles ; le FBI, en tout cas, ne l’a pas démenti…

Le débat sur l’utilisation de Carnivore ne laisse pas les députés américains indifférents. Le 23 juillet dernier, ils ont voté, à l’unanimité, une loi visant à plus de transparence. Si ce texte est voté par le Sénat, le FBI et le ministère de la Justice devront, chaque année, fournir un rapport circonstancié sur l’usage de Carnivore, en indiquant par exemple combien de fois le système de surveillance a été utilisé et en détaillant les processus d’autorisation d’utilisation.

Source: TF1 (06/09/2001)

Faut-il avoir peur de Carnivore? Le système de flicage du FBI choque. Pourquoi?

Le Bureau Fédéral d'investigations s'amuse de tant de polémiques: "Carnivore est un système utilisé par nos services lorsqu'une cour de justice décide de surveiller une personne. Nous n'avons aucune raison de surveiller les e-mails de tout le monde car cela ne nous intéresse pas. Beaucoup de gens continuent de penser que le gouvernement américain et le FBI sont intéressés par les e-mails du tout un chacun, c'est faux".

N'importe quel agent du FBI peut intercepter des mails

Le problème est le suivant: n'importe quel agent du FBI peut intercepter des mails à sa convenance sans pour autant en avertir ses supérieurs et sans qu'il ne reste la moindre trace de son passage dans l'historique du logiciel.

Au départ Carnivore n'est qu'un "banal" logiciel d'espionnage des courriels conçu par le FBI (Federal Bureau of Investigation). Seulement voilà,le 21 novembre 2000,le département américain de la justice demande un rapport d'enquête à l'Illinois Institute of Technology Research Institute (de l'acronyme anglais IITRI). Cent vingt et une pages durant,l'institut dresse le portrait, peu glorieux, du système d'espionnage des échanges électroniques.

Résultat: l'opinion publique s'affole et les défenseurs de vie privée montent au créneau. Cet outil informatique,DCS1000 de son vrai nom, inquiète à tel point que le procureur général américain Janet Reno a décidé de soumettre le dispositif à une équipe de chercheurs indépendants qu'il devrait désigner dans les jours à venir.

L'équipe universitaire ainsi désignée va devoir examiner le risque pour les FAI (acronyme de fournisseur d'accès Internet) d'être en situation de porte-à-faux par rapport à ses utilisateurs. L'étude devra également établir clairement les risques d'intrusion du FBI dans la vie privée des internautes.

Loin de la prouesse technologique

Techniquement le logiciel ne relève pas de la prouesse technologique: il s'agit d'un banal progiciel de scannage des mails directement mis en place chez les différents FAI. La rumeur raconte que pour effectuer sa surveillance, Carnivore est obligé de scanner systématiquement tous les mails sans possibilité de faire de tri préalable.

Plus grave,Carnivore pourrait également intercepter les communications écrites sans fil: les SMS (Short Message System). La commission fédérale des communications américaine (FCC) va devoir décider de son côté et dans les prochains mois d'étendre ou non la loi des surveillances des communications aux communications écrites sans fil. En France, la polémique aurait aussi sa raison d'être.

Gabriel Nataf est avocat spécialisé dans les questions qui touchent aux nouvelles technologies, il explique: "a priori un tel système est impossible en France car le code pénal interdit de porter atteinte au secret des correspondances. Mais de nouvelles lois nous menacent comme la loi sur la société de l'information qui permet à tout fournisseur d'accès de conserver les traces d'e-mails pendant un an et de les fournir dans le cadre d'un jugement.Plus pernicieux,il va être demandé aux opérateurs Internet de dénoncer un contenu manifestement illicite ce qui est une confusion patente de la séparation des pouvoirs car une société privée va prendre une décision qui relève de la justice".

Cette nouvelle disposition légale devrait être bientôt obligatoire et pourra entraîner des condamnations en cas de non-respect. Impossible de passer à côté de cette restriction du droit individuel, directement engendré par le net.Impossible non plus de ne pas s'interroger sur la capacité d'un FAI à juger de la licité d'un contenu.

Les mystères du secret défense

A ce stade pourquoi ne pas imaginer que d'ici quelques extensions de loi,les dispositifs de surveillance du contre-espionnage industriel dont on sait qu'ils existent,agissent à la méthode américaine. Gabriel Nataf explique: "Il est notable qu'on dispose dans l'Essonne d'un dispositif équivalent mais pour éviter l'espionnage industriel".

Benoit Berque,Commandant de la Police au cabinet du directeur de la DST (Direction de la Sécurité du Territoire), répond:"Un office interministériel de prévention et de veille sur les réseaux Internet a été créé il y a quelques mois. Néanmoins ce qui se passe sur le Net ne nous intéresse que dans le cadre de notre activité: la défense du secret défense national, la protection du patrimoine industriel et la lutte contre le terrorisme international."

Source: Silicon (03/09/2001)

Carnivore s'attaquera-t-il aux SMS ?

C'est au tour des industriels des télécoms de monter au créneau au sujet du système de surveillance Carnivore. Ils craignent que le FBI l'utilise aussi pour épier les mails envoyés par des appareils nomades.

La CTIA (Cellular Telecommunication Industry Association), association des industriels des télécommunications mobiles, a envoyé mi-août un courrier alarmiste à la Commission fédérale des Communications (FCC), l'agence gouvernementale chargée de réguler les communications radio, télévision, câble et satellite. Elle y affirme que le FBI pourrait se servir du système de surveillance DCS1000, également connu sous le nom de Carnivore, pour surveiller des e-mail et SMS envoyés par l'intermédiaire d'appareils sans fil, tels que des téléphones cellulaires, à compter d'octobre 2001.

Aucune norme ne régit Carnivore

La CTIA craint que le FBI n'utilise cette technologie car il n'existe pas de directives officielles ou de norme reconnue réglementant l'usage du système de surveillance. La FCC a demandé à l'industrie du sans fil de lui soumettre des propositions de normes d'ici au 30 septembre 2001. Celles-ci permettraient aux autorités de surveiller, mais sous certaines conditions, les e-mail échangés entre outils nomades. Or c'est précisément cette date butoir qui a poussé la CTIA a réagir, craignant fort qu'aucune proposition ne soit faite à temps, ce qui laisserait le champ libre au FBI.

Dans son courrier, la CTIA affirme que : « Si l'industrie n'a ni le temps ni les moyens nécessaires pour développer des solutions adéquates relatives à la surveillance par paquets, capables d'intercepter uniquement les communications d'une personne en particulier, il semble évident que Carnivore, qui intercepte des groupes de communications sans l'accord de l'opérateur, sera très largement implémentée. »

La traque des SMS, une bonne idée ?

Juristes et défenseurs du respect de la vie privée et des libertés civiles, sont nombreux à critiquer le système Carnivore, estimant qu'il peut servir à épier à leur insu des citoyens innocents. Le FBI utilise déjà cette technologie très controversée depuis deux ans, mais sur internet uniquement. Le système Carnivore, installé chez les fournisseurs d'accès internet (FAI), capture des "paquets" de données transitant via internet. Le programme espionne des millions d'e-mail, à la recherche de messages envoyés par des personnes faisant l'objet d'une enquête fédérale. Le FBI n'a pas voulu dire si Carnivore avait déjà été utilisé pour surveiller des communications sans fil, ou s'il le sera un jour.

Keith Waryas, analyste spécialiste du monde sans fil chez IDC, a indiqué que les officiers fédéraux risquent de se retrouver bredouilles s'ils espionnent les e-mail via des appareils sans fil. En effet, le public utilisant des réseaux sans fil pour envoyer des e-mail reste encore très restreint. Les organisations criminelles utilisent très peu également les appareils nomades. Waryas poursuit : « Je doute que des trafiquants de drogue se dotent d'une interface Wap pour contacter leurs revendeurs. »

Un projet de loi a été soumis au Congrès des États-Unis. S'il est approuvé par le Sénat, le ministre de la Justice américain (l'Attorney General) et le directeur du FBI (le bureau fédéral de la police) devront faire un rapport détaillé de l'utilisation des systèmes de surveillance, tels que Carnivore.

Source: ZDNet (27/08/2001)

USA : la pression mise sur Carnivore est de plus en plus forte

Sous la pression du congrès et des groupes de protection de la vie privée, le département de la Justice américain pose des limitations à l’utilisation de Carnivore.

Aux Etats-Unis comme en Europe, Carnivore, le système de surveillance des e-mails censé faciliter le travail d’investigation dans des enquêtes criminelles fait énormément parler de lui. De nombreuses organisations ainsi que les députés américains s’en prennent à ce système en déclarant qu’il bafoue les droits à la vie privée des citoyens.

Sous la pression populaire, le département de la Justice américain a même été contraint de limiter les utilisations de l’espion et de son successeur, baptisé DCS1000. Le 23 juillet dernier, les députés se sont attaqués au problème en votant à l’unanimité une loi imposant de lever les mystères qui l’entourent.

Source: Technosphere (08/08/2001)

Carnivore, au rapport !

Les députés américains s´attaquent à Carnivore en votant une loi qui impose de lever les secrets l´entourant.

Lundi 23 juillet dernier, les représentants en avaient visiblement assez de se voir répondre n´importe quoi à propos de Carnivore et de son successeur le DCS1000. Ils ont voté, à l´unanimité, une loi qui entend faire toute la lumière sur ce système d´écoute des particuliers. S´il est également voté par le Sénat, ce texte imposera au FBI et au ministre de la Justice de publier, chaque année, un rapport contenant des informations très précises sur Carnivore. Les autorités concernées devront dévoiler, notamment, combien de fois le DCS1000 a été utilisé et comment fonctionnent les processus d´autorisation d´utilisation. Cette loi sera-t-elle suffisante pour éviter les dérapages ?

Source: Transfert (27/07/2001)

Des pères fondateurs pas très Carnivore

Pour le leader de la chambre des Représentants des États-Unis, le système de surveillance des e-mails sape les garanties constitutionnelles en matière de vie privée.

Leader de la majorité républicaine à la chambre des Représentants des Etats-Unis, Dick Armey a écrit, jeudi 14 juin, au très conservateur ministre de la justice Richard Ashcroft, pour lui faire part de ses "inquiétudes en matière de protection de la vie privée". Au centre de ses préoccupations, les systèmes de détection thermique utilisés par la police et le programme de surveillance des e-mails, anciennement surnommé Carnivore et rebaptisé DCS 1000. "Dans les deux cas, écrit le représentant, les forces de l´ordre utilisent des outils qui ne sont pas accessibles au grand public et leur permettent d´avoir accès à des informations qu´une perquisition classique ne leur fournirait pas." Il s´interroge donc sur le risque que font peser ces technologies sur la protection de la vie privée garantie par la constitution. Faisant appel au jugement de l´Histoire, il note que "les pères fondateurs ont en général décidé de sacrifier l´efficacité à la protection des citoyens contre les intrusions excessives de l´État".

Source: Transfert (15/06/2001)

Les Républicains demandent une nouvelle enquête sur Carnivore

Le chef de file de la majorité républicaine à la Chambre des représentants, Dick Armey, a demandé jeudi un nouvel examen d'éventuelles violations de la vie privée par le FBI et son système de surveillance des courriers électroniques.

Dans une lettre à l'Attorney general (ministre de la Justice) John Ashcroft, M.Armey affirme que le programme utilisé par le FBI, autrefois baptisé «Carnivore» et récemment renommé «DSC 1000», soulevait de «graves questions constitutionnelles et de vie privée».

Selon le parlementaire, un précédent examen du programme conduit par l'ancien Attorney general Janet Reno «a soulevé plus de questions qu'il n'a apporté de réponses.»

Le FBI affirme que son système est un puissant outil contre les pirates informatiques et les réseaux du crime organisé et qu'il n'est pas différent des écoutes téléphoniques autorisées par un mandat judiciaire.

Mais M. Armey argue que «les fondateurs (de la nation américaine) ont clairement décidé de sacrifier ce genre d'efficacité pour protéger les citoyens du risque de trop d'intrusions de la part du gouvernement».

Source: Multimedium (14/06/2001)

Surveillance : Carnivore rebaptisé par le FBI

Carnivore, logiciel de surveillance des communications en ligne de suspects placés sous écoute judiciaire, a été rebaptisé par le FBI.

Carnivore a changé de nom. L'outil logiciel créé par le FBI (Federal Bureau of Investigation) pour surveiller les communications en ligne de suspects placés sous mandat d'écoute judiciaire, est très controversé. Certains fournisseurs d'accès Outre-Atlantique disposeraient d'une copie du logiciel. Par ailleurs, les défenseurs des droits civiques ont rappelé que le système pourrait "filtrer" le courrier électronique d'individus qui ne font pas l'objet de poursuites judiciaires, ce qui est en violation avec le 4ème amendement de la Constitution des Etats-Unis. La décision du FBI ne serait pas motivée par ces "allégations" et moins encore par le fait que le terme Carnivore évoque à certains un prédateur prêt à envahir la vie privée de chacun. Dans ce cas quelle est la motivation du FBI dans cette affaire ? L'an dernier, le Ministère de la justice américain aurait consulté l'institut de technologie (IIT) de l'Illinois pour analyser le logiciel. L'institut aurait recommandé de rebaptiser le système en raison même de sa définition. Finalement, le logiciel de surveillance a été renommé DCS1000. Les critiques n'ont pas tardé à se faire entendre, rappelant qu'un simple changement de nom ne saurait apaiser les craintes. "Ca n'est pas le nom qui inquiète les citoyens", remarque David Sobel du centre d'information sur la confidentialité électronique de Washington, "c'est le fonctionnement même du logiciel".

Carnivore n'est plus, vive DCS1000

Visiblement éreinté par les nombreuses récriminations des fervents défenseurs des droits et libertés dans le cyberespace, le Federal Bureau of Investigation (FBI) a décidé de faire disparaître son très controversé "Carnivore". Sémantiquement du moins.

Poudre aux yeux? Ce "système digital de collecte de données" - au nom plutôt inquiétant - mis en place par la FBI pour surveiller les échanges d'informations dans Internet vient en effet d'être rebaptiséŠ DCS1000.

Mais à quoi bon? Officiellement, ce changement de dénomination s'inscrit dans la volonté du bureau fédéral d'améliorer et de resserrer son programme d'espionnage en ligne. Tout en suivant les recommandations contenus dans le rapport du Illinois Institute of Technology Research Institute (IITRI). Rien à voir, assure-t-on, avec une quelconque intention de faire disparaître dans l'esprit des internautes ce concept qui évoque la prédation et l'invasion dans la vie privée. Bien évidemment.

Un argument que rejettent les organismes dédiés à la liberté d'expression et au respect de l'intimité dans Internet. Car même si "Carnivore" porte désormais un nom plutôt anonyme et très technique, il n'en demeure pas moins un puissant outil de surveillance capable, selon plusieurs, des pires intrusions - en interceptant entre autres les courriels - dans la vie privée des gens.

Source: Branchez-Vous (14/02/2001)

DCS1000 : le nouveau pseudo de Carnivore

Le logiciel de surveillance des e-mails du FBI Carnivore vient d'être rebaptisé DSC1000, nous apprend Cnet. Un petit nom moins explicite mais surtout moins agressif pour un programme toujours sous le feu des associations de défense des libertés individuelles. Du côté du FBI, on réplique que ce n'est pas pour une question d'image, mais dans le cadre de recommandations des chercheurs ayant analysé la bête. Soit.

"Carnivore" : le nom évoque une bête plutôt féroce, agressive, mangeuse de viande par définition, assoiffée de sang pour les imaginations les plus fertiles. Bref, un loup plutôt qu'un agneau. Eh bien, figurez-vous que le logiciel éponyme employé par le FBI pour scruter les e-mails depuis les fournisseurs d'accès (voir édition du 13 juillet 2000) abandonne son sobriquet. Dorénavant ne dites plus Carnivore mais DSC1000, ça fait nettement plus sérieux. En plus, ça sonne "technologie". Ce sont nos confrères de Cnet qui nous apprennent la nouvelle et révèlent ce qui se cache derrière l'acronyme. DCS signifie "Digital collection system" (littéralement "système numérique de collecte"), quant au "1000", c'est un mystère. Normal, c'est le FBI. Un FBI qui dément avoir débaptisé son petit animal pour une question d'image : "Ce n'est pas parce que nous étions soucieux d'une mauvaise publicité sur le respect de la vie privée. Si tel avait été le cas, nous aurions changé [le nom] il y a des mois de cela", s'est défendu un porte-parole de la vénérable institution cité par Cnet, ajoutant que ce système n'avait pas vocation à rester figé.

Si l'on en croit un membre de l'équipe de recherche, contestée, de l'Illinois Institute of technology chargée par la justice américaine d'analyser Carnivore (voir édition du 24 novembre 2000), le changement de nom faisait pourtant partie des recommandations formulées. "Nous avions le sentiment qu'il ne s'agissait pas d'un nom approprié pour le système", indique l'un d'eux. D'autres recommandations du groupe auraient été prises en compte par le FBI, sans que l'on en connaisse les détails. Un rapport de la justice américaine sur Carnivore est attendu, mais le départ du magistrat en charge du dossier l'a retardé et on ne sait pas quand il sera rendu public.

Source: VNU Net (14/02/2001)

La crème des atteintes à la vie privée

La Privacy Foundation sort son Top 10 : surveillance électronique des employés de bureau, données personnelles médicales, DoubleClick, Amazon, Carnivore, Chief Privacy Officer… guère de surprises, mais un panorama fort peu amène.

Si seulement 27 % des sociétés américaines lisent les mails de leurs employés, les deux tiers des sociétés les espionnent d'une façon ou d'une autre. Surveillance du surf, de tout ce qui est saisi au clavier, des boîtes vocales ou encore vidéoflicage, aux États-Unis, la vie de bureau ressemble de plus en plus à Big Brother. La loi américaine l'autorise, pourquoi les sociétés s'en priveraient-elles ? Résultat, le business de la surveillance électronique est en plein boom. On peut mesurer les effets de cette vogue au nombre de salariés licenciés pour avoir échangé des photos plus ou moins pornos. La surveillance au travail occupe ainsi la première place au Top 10 des atteintes à la vie privée que vient de publier la Privacy Foundation, un organisme américain qui s'était fait connaître en révélant l'existence des web bugs (ou "pixels blancs"), qui servent à surveiller les internautes à leur insu.

Carnivore à l’honneur

Le palmarès montre aussi l'intérêt accru des professionnels de la santé, des assurances ou encore des employeurs, qui aimeraient bien pouvoir intégrer les données médicales de leurs clients et/ou employés à leurs bases de données. Le danger est latent : un projet de loi, épais de 1 553 pages, censé garantir la protection de ces données à haute valeur personnelle ajoutée, est à l'étude depuis six ans et ne sera pas mis en œuvre avant deux ans. Il coûtera plusieurs milliards de dollars aux sociétés privées. Le Carnivore du FBI est lui aussi à l'honneur, ainsi que le leader des régies publicitaires en ligne, DoubleClick, qui s'apprêtait, il y a un an, à revendre les profils de 100 000 internautes. Ou encore Amazon dont le brusque changement de charte de protection des données personnelles effectué cet été, l’"autorise" désormais à les partager avec ses partenaires... La vague de Chief Privacy Officers qui a déferlé cette année aux États-Unis est également dénoncée par la Privacy Foundation : ces "directeurs de la vie privée" sont plus versés dans le marketing, les relations publiques ou encore le droit des affaires et servent surtout de cache-sexe. Il convient en tout cas de suivre l'évolution de cette forme appliquée de l'auto-régulation du marché.

Source: Transfert (09/01/2001)

Big Brother parle aussi polonais

En Pologne, un projet de loi prévoit l’instauration d’un système de surveillance des communications, électroniques et téléphoniques.

Le ministère polonais des Affaires intérieures vient de transmettre à la Chambre des technologies de l’information et des télécommunications un avant-projet de loi obligeant tout hébergeur de données – fournisseurs d’accès à Internet ou opérateur téléphonique – à s’équiper d’un matériel de surveillance. Permettant ainsi aux services d’État "habilités", c’est-à-dire aux services secrets, de collecter n’importe quelle information transitant sur ces réseaux. Rien n’est voté pour l’instant, mais les exemples, britannique (RIP Bill), russe (Sorm) ou même américain (Carnivore), ne sont pas là pour rassurer. C’est le quotidien en ligne allemand Telepolis qui a révélé l’affaire. En précisant qu’en Pologne le débat ne se focalise pas vraiment sur les questions de vie privée : la surveillance par le gouvernement est plutôt bien acceptée. Le débat tourne essentiellement autour du coût d’installation du matériel de surveillance, à la charge des opérateurs. Une centaine de fournisseurs d’accès à Internet cohabitent en Pologne et les plus petits ne survivraient pas à une telle législation.

Source: Transfert (28/12/2000)

Un Carnivore neo-zelandais?

Nicky Hager, le journaliste qui a revele que la Nouvelle-Zelande participait au systeme Echelon, vient d'annoncer que son pays projete de copier les anglais en lancant la surveillance des courriers electroniques. La nouvelle legislation prevoit, "d'amender la loi sur les crimes, afin de rendre illegaux l'interception des communications electroniques et le piratage informatique. "

La police et les services de contre-espionnage neo-zelandais, seront exclus de cette reglementation, ce qui va donc leur permettre de surveiller toute communication et d'user de techniques d'infiltration pour visiter les ordinateurs des particuliers.

Source: ZaTaZ (23/12/2000)

Carnivore : circulez, y'a rien à voir (ou presque) !

Les experts mandatés par le gouvernement américain pour établir un rapport de complaisance sur l'outil de surveillance électronique du FBI approuvent son utilisation... et confirment les craintes des défenseurs de la vie privée.

Le comité d'experts chargé d'étudier le Carnivore vient de rendre son rapport final. S'il n'y a guère de changement important par rapport au brouillon, rendu public il y a un mois, certaines petites modifications valent tout de même le détour. En résumé, l'outil d'écoutes et d'interception du FBI serait inoffensif dans les cas où il serait correctement utilisé, autrement dit : "Configuré de façon inappropriée, le Carnivore peut enregistrer tout le trafic qu'il surveille." En l'occurrence, il est non seulement capable d'intercepter le courrier électronique, mais aussi de reconstituer la navigation web de la cible visée. Pour mémoire, on rappellera que le FBI avait juré, la main sur le cœur, que seuls les en-têtes des mails étaient scannés. Les experts font également état de bugs et même de "déficiences dans la protection de l'intégrité des informations collectées". Ainsi, il serait facile de compromettre physiquement la boîte noire. De plus, il serait difficile de lier les données interceptées aux autres informations concernant la "cible" (n'importe qui peut utiliser l’ordinateur de la "cible", par exemple), et son utilisation pourrait causer des pannes ou problèmes techniques chez les fournisseurs d'accès obligés de l'installer.

Jusqu’ici, tout va bien

Mais sinon, tout va bien. La preuve ? Les experts donnent un avis favorable. Ils recommandent seulement au Département de la Justice (DoJ) de contrôler étroitement l'utilisation du Carnivore et de bien veiller à ce que toute utilisation soit approuvée par le DoJ : en l'état, il suffit en effet à un agent du FBI de déclarer à un juge que quelqu'un serait susceptible de commettre un crime pour que la personne en question soit mise sur écoute. De plus, les experts en appellent à quelques "modifications mineures", comme établir un rapport et une vérification à chaque utilisation, améliorer la sécurisation physique de la boîte noire, corriger les bugs et failles potentielles en vue de rendre public le code source, ce que réclament depuis le début les défenseurs de la vie privée, mais que le FBI tente par tous les moyens d'éviter. Ainsi, les experts officiellement mandatés confirment les craintes soulevées par l'Electronic Privacy Center, qui avait commencé à étudier ce que le FBI avait bien voulu lui donner, et démontrait déjà la face cachée du Carnivore . On rappellera aussi que ces experts, si critiques soient-ils avec le Carnivore, avaient été officiellement mandatés par Janet Reno, l'équivalent américain du ministre de la Justice, pour effectuer une "expertise indépendante".

Sauf que l'on s'était aperçu que lesdits experts avaient tous été sous contrat avec le gouvernement, le département de la Défense ou encore la célèbre National Security Agency. De plus, Janet Reno ne restera pas bien longtemps au gouvernement, et l'on ne sait pas encore qui la remplacera au sein de l'administration Bush, ce qui n'empêchera nullement le FBI de continuer à utiliser son Carnivore en toute impunité. Même si l'on sait, maintenant, qu'il a menti, de l'aveu même des experts "indépendants"...

Les EU favorables à Carnivore

Dans leur rapport final, les experts de l'Institut de technologie de l'Illinois (IIT) ont approuvé la mise en oeuvre de carnivore, le système d'espionnage informatique élaboré par le FBI. Le 20 décembre prochain, Janet Reno, la ministre de la Justice, fera connaître sa décision.

Dans son rapport final, l’institut de recherche indépendant recommande au département de la Justice américaine de conserver un contrôle étroit sur Carnivore. Il préconise que toute recherche lancée à l’aide de cet outil doit faire l’objet d’une approbation de la part du ministère de la Justice. Autre requête formulée par l’IIT: la création d’un rapport d’activité pour éviter les abus.

Enfin, les chercheurs de l’IIT estiment que Carnivore n’enfreint pas le respect de la vie privée et des libertés individuelles.

Outre ces quelques ajouts, le rapport définitif reprend pour l’essentiel la première version déjà publiée. Celle-ci avait soulevé de nombreuses critiques de la part des représentants du Congrès et des associations de défense des libertés civiques.

Ces dernières précisent que ce type d’espionnage enfreint le quatrième amendement de la Constitution américaine interdisant les "recherches déraisonnables". Certains hommes politiques américains s’insurgent également contre le rapport de l’Institut de technologie de l’Illinois.

Selon Dick Armey, président du groupe républicain à la Chambre des représentants, l’IIT blanchit les méfaits du système Carnivore.

La ministre de la Justice, Janet Reno, devrait rendre sa décision sur Carnivore le 20 décembre prochain. En cas d’approbation du logiciel par Mme Reno, les groupes de défense des droits civiques pourraient bien saisir les tribunaux.

Source: Info PC (17/12/2000)

Le rapport final sur le Carnivore du FBI est servi

Comme prévu, le rapport final sur Carnivore, le logiciel d'interception des e-mails du FBI, a été rendu au ministère de la Justice américain le 8 décembre. Depuis hier, il est disponible sur Internet. Sans surprise, les experts se montrent favorables à sa mise en service.

Fin novembre, un premier pré-rapport sur Carnivore était rendu public . Les associations à l'origine de la plainte déposée contre le FBI et son logiciel d'interception des e-mails restaient sceptiques. Elles avaient de quoi, puisque, dès la désignation de l'équipe chargée par le DOJ (Departement of Justice) d'étudier Carnivore, une erreur avait dévoilé les noms des chercheurs concernés . Or, tous sont proches du gouvernement, leur indépendance est ainsi remise en question. L'Iitri (Illinois Institute of Technology Research Institute) a tout de même communiqué son rapport final à la justice le 8 décembre comme prévu. Depuis hier, il est disponible en version pdf sur le site du DOJ.

Le FBI réticent sur la divulgation du code source de Carnivore

Peu d'éléments ont été ajoutés depuis le pré-rapport dévoilé précédemment. Les chercheurs trouvent Carnivore efficace et sont favorables à sa mise en service, même s'ils préconisent quelques modifications. Sur la question de la publication de son code source, ils estiment que "le FBI pourrait avoir des raisons légitimes de s'opposer à la mise en circulation de la version 1.3.4 de Carnivore" en expliquant en effet que le FBI doit respecter certaines licences et que de plus, la connaissance du code source pourrait permettre de contourner la surveillance qu'il est censé effectuer. Le logiciel respecterait la vie privée, ne constituerait pas de risque pour la sécurité ou le fonctionnement du réseau des fournisseurs d'accès sur lequel il est installé. Par contre le rapport note que "la version 1.3.4 de Carnivore présente un risque d'acquisition d'informations sur les communications électroniques par le personnel du FBI, de manière intentionnelle ou fortuite". Selon les chercheurs, le risque que des données soient collectées par quelqu'un de l'extérieur est faible. Les associations de défense des libertés individuelles sont toujours aussi sceptiques, le procureur général du DOJ rendra sa conclusion le 20 décembre.

Source: VNU Net (15/12/2000)

Oslo adopte Carnivore

Les services secrets norvégiens viennent de mettre en place, dans le plus grand secret, un système d'espionnage des communications Internet au niveau national. Officiellement pour prévenir d'éventuelles intrusions dans les réseaux informatiques des principales administrations et entreprises. Toutefois, cet outil permet, comme Carnivore, d'intercepter tout trafic IP. L'information a été dévoilée par le journal en ligne "Digitoday" et confirmée par le ministère de la Justice. Elle a provoqué la fureur des parlementaires qui n'ont jamais été informés de la mise en place d'un tel système. La police norvégienne a promis de publier, dès cette semaine, une notice technique décrivant le fonctionnement de ce système de surveillance baptisé VDI.

Source: Internet Actu (14/12/2000)

Carnivore en voie de globalisation

Après les pseudo-révélations faites par le FBI sur son logiciel d'espionnage Carnivore, on a appris cette semaine que deux autres pays, la Nouvelle-Zélande et le Japon, s'apprêtaient à mettre en place des mécanismes semblables. Dans les deux cas, des sources indépendantes ont fait part d'un fort soupçon concernant l'implication de la CIA dans l'adoption des ces législations.

En Nouvelle-Zélande, deux lois, la première autorisant la surveillance du courrier électronique, et la deuxième obligeant les FAI à coopérer avec la police, ont été discrètement votées. La police dispose désormais d'un arsenal juridique justifiant une surveillance large des communications sur Internet.

Au Japon, on a appris que la police s'apprêtait à lancer un logiciel en de nombreux points semblables au Carnivore américain. La présentation en a été faite le 10 novembre dernier à des parlementaires susceptibles d'apporter leur soutien à ce projet plus que coûteux (9,7 millions de FF pour 2001). Sobrement baptisé "Boîte aux lettres temporaire", le logiciel permet d'intercepter toutes les communications à partir d'un PC donné. De nombreuses voix se sont élevées pour protester contre ce projet, notamment celle de l'opposition parlementaire qui demande que le code source de cet avatar de Carnivore soit rendu public. Les Japonais ont visiblement tiré les leçons de l'expérience américaine.

Source: Internet Actu (30/11/2000)

Carnivore: ébauche d'examen contestée

Les experts du Illinois Institute of Technology, qui avaient reçu mandat d'établir si le système de surveillance Carnivore enfreignait les garanties constitutionnelles des citoyens américains en matière de respect de la vie privée, ont remis au ministère américain de la Justice (DoJ) une première ébauche de leur rapport (disponible en format PDF, 10 Mo). Le texte a cependant été amputé par le DoJ de sections jugées «délicates».

En bref, les experts de l'IIT estiment que Carnivore est un système adéquat, et que s'il est utilisé conformément aux règles qui régissent l'écoute électronique il ne pose pas une menace aux communications privées des honnêtes citoyens. Il pourrait cependant être amélioré, simplifié, de sorte à offrir de meilleures garanties de protection des personnes qui ne sont pas visées par des enquêtes car il existe une possibilité de déraillement accidentel. Éventuellement, on pourrait envisager de dévoiler son code source, mais des études «indépendantes» additionnelles seraient de mise.

Contrastant avec le volumineux document présenté par l'IIT, le directeur divisionnaire adjoint des laboratoires de la police fédérale américaine (FBI), Donald M. Kerr, a émis un communiqué laconique de deux paragraphes exprimant la satisfaction du FBI à l'égard du rapport et de ses recommandations constructives.

Les critiques du système Carnivore, comme la American Civil Liberties Union (ACLU) sont plus loquaces concernant le rapport préliminaire remis par les experts. L'ACLU a accueilli avec scepticisme ce qu'elle qualifie de rapport partial. Le directeur adjoint de l'Union, Barry Steinhardt, s'est dit étonné que l'IIT donne son aval, dans les grandes lignes, au système Carnivore et s'attende à ce que quiconque à l'extérieur du gouvernement prenne ce document au sérieux. «Au mieux, c'est un cliché flou de Carnivore qui sera totalement désuet dans deux mois, lorsque le FBI mettra en application sa nouvelle version de Carnivore.»

Par voie de communiqué, l'Electronic Privacy Information Center (EPIC) a déclaré que le rapport soulève davantage de questions qu'il n'apporte de réponses. Le conseiller juridique principal de l'organisme, David Sobel, estime «insuffisant que le FBI dise "faites-nous confiance, nous ne ferons rien de répréhensible". La plupart des utilisateurs [d'Internet] veulent des garanties plus sérieuses.»

L'Electronic Privacy Information Center a obtenu, en vertu de la Loi sur l'accès à l'information, que le FBI divulgue toute l'information dont il dispose sur le système de surveillance du courrier électronique Carnivore, et a déjà commencé à recevoir certains documents. L'organisme vient de déposer une nouvelle demande visant à obtenir le texte complet du rapport préliminaire des experts.

D'ici là, toute personne intéressée à formuler des commentaires sur le rapport, du moins sur ce que le DoJ a bien voulu en dévoiler, est invitée à le faire par courrier ordinaire ou électronique avant le 1er décembre. L'IIT doit présenter son rapport final au DoJ le 8 décembre, et cette version devrait être rendue publique (en tout ou en partie) le 20 décembre.

Source: Chroniques de Cyberie (30/11/2000)

Le Carnivore se met au sushi

La police japonaise développe son propre outil d'interception électronique. Mais, à la différence des États-Unis, le parlement nippon souhaite révéler le code-source du programme.

Le FBI avait reconnu que le choix du mot "Carnivore", pour qualifier son outil d'interception des e-mails, n'était probablement pas le mieux approprié pour calmer les angoisses des internautes. La police japonaise a retenu la leçon et préféré la sobriété pour baptiser son propre rejeton "Temporary Mail Box" (la boîte aux lettres temporaire). Il s'agit pourtant bien de la même chose : cet outil serait capable de filtrer tous les e-mails passant par un fournisseur d'accès internet (FAI) et d'intercepter et de dupliquer (une copie pour le destinataire original et une pour la police), tous les messages provenant de, ou allant vers, la boîte aux lettres d'un suspect.

Précédent américain

Selon le site Cryptome, spécialisé dans les informations sensibles, le NPD (National Police Department) japonais a dévoilé son projet pour la première fois le 10 novembre à des parlementaires lors d'une audition destinée à lever des fonds. Si les flics gardent secrets certains détails techniques, on connaît en revanche le budget escompté : 140 millions de yens (9,7 millions de francs) rien que pour l'année fiscale 2001. Chaque Temporary Mail Box revient en effet à 8,75 millions de yens pièce (soit 1,37 million de francs). Ce qui fait cher de la boîte noire ! La police métropolitaine de Tokyo prévoit d'en déployer deux et chacune des 15 polices régionales aura, elle aussi sa propre "boîte aux lettres temporaire". Visiblement au fait de la polémique existant entre le FBI et les associations américaines de défense de la vie privée et des libertés sur l'Internet , le membre du parti social-démocrate nippon à qui fut présenté la chose a déjà demandé à la police qu'elle révèle le code-source du programme ainsi que les spécifications techniques de l'ensemble de l'appareillage. Sans oublier le budget détaillé de l'opération. Deux associations opposées à la surveillance, qui avaient récemment recueilli 100 000 signatures lors d'une pétition contre le Wiretapping Act, qui rend légale l'interception des e-mails et autres formes de communications électroniques au Japon, se sont quant à elles déjà élevées contre le projet en réclamant un débat parlementaire et démocratique plus ouvert.

Source: Transfert (28/11/2000)

FBI et Carnivore : ayez confiance

Quand le FBI nous présente Carnivore, son logiciel d'écoute, il nous le montre avec des crocs un peu trop bien limés. C'est le sentiment de parlementaires américains et d'associations qui doutent de la transparence du Department of Justice (DoJ) ministère américain de la Justice, sur le dossier Carnivore, un logiciel “sniffer” sophistiqué capable d'intercepter par filtrage le trafic IP qui passe par les fournisseurs d'accès à l'internet.

Le président de la Chambre des représentants, le démocrate Dick Armey, s'est joint aux critiques des associations citoyennes à la suite de la publication d'un rapport d'expertise le 21 novembre par le DoJ. « Le ministère de la Justice a brouillé les pistes avec ce rapport », a lancé Dick Armey suite à la lecture du document. « Ce dossier important mérite une véritable expertise indépendante, pas une revue édulcorée. »

Capturer tout

Dans le même temps, des documents contradictoires avec le rapport du DoJ ont été divulgués. L'Electronic Privacy Information Center (Epic), un groupe de pression en pointe sur le dossier, a obtenu de nouveaux documents sur Carnivore.

Les experts du DoJ affirment, de leur côté, que, utilisé correctement, cet outil « ne fournit pas aux enquêteurs plus d'informations qu'il est permis d'obtenir dans un mandat d'écoute », et que Carnivore serait, comparé à d'autres “sniffer” dans son genre, « bien plus efficace pour protéger la confidentialité des données tout en permettant les écoutes légales ».

Les documents de l'Epic montrent au contraire que le dispositif « est capable de capturer et d'archiver tout le trafic non filtré sur le disque dur interne (…) » du PC sur lequel Carnivore est installé.

Wayne Madsen, conseiller de l'Epic et ancien agent de renseignement a déjà expliqué publiquement comment cet outil pouvait être facilement détourné de sa finalité. Exemple : les filtres employés par la police pour rester dans le cadre de leur mandat et laisser de côté les messages non désirés. Ces filtres peuvent être changés à distance sans que le fournisseur d'accès en soit informé.

De plus, l'expertise à l'initiative du ministère de la Justice, avait été confiée à un institut de recherche de l'Illinois, dont ses sept membres ont souvent travaillé pour les autorités policières ou militaires.

Source: ZDNet (25/11/2000)

Un Carnivore bien trop gourmand...

Grâce à la détermination de l'Epic, une association américaine de défense des libertés individuelles, on découvre aujourd'hui la réalité du système d'espionnage individuel Carnivore, développé par le FBI. L'Epic a en effet obtenu d'un juge que le FBI lui communique toute sa documentation interne sur Carnivore et son prédécesseur, Omnivore. Contrairement à ce que l'agence avait toujours affirmé, le programme est capable de filtrer toutes les communications internes au disque dur, les e-mails dans leur totalité (le FBI avait d'abord affirmé qu'elle n'était capable de lire que les en-têtes) et le surf sur Internet. Pour toute défense, des officiels ont expliqué qu'ils n'espionnaient que dans la limite que leur fixaient préalablement les juges. On est bien obligé de les croire vu qu'il n'existe aucun moyen de contrô.. Enfin, la section de ce rapport concernant les évolutions technologiques futures de Carnivore est bizarrement gardée secrète par ces mêmes cadres du FBI.

Source: Internet Actu (23/11/2000)

La véritable histoire de Carnivore

Les différentes notes de travail du FBI déclassifiées le 2 octobre à la suite d'un recours en justice introduit par l'ONG Electronic Privacy Information Center (EPIC), lèvent définitivement le voile sur la conception de ce programme de surveillance. Selon les éléments révélés, la genèse du système remonte à 1997, avec la fabrication du premier outil d'interception des communications électroniques, alors baptisé Omnivore. Après deux années de développement, le projet a été officiellement arrêté le 9 juin 1999, pour pas-ser à une seconde génération de machine appelée cette fois Carnivore. L'un des documents évalue à 900 000 $ le coût de la mise au point de la première version. Au moment de la genèse d'Omnivore, le cahier des charges rédigé par l'agence fédérale ne laissait pas de doute sur les objectifs poursuivis. Il demandait ainsi que le programme puisse "écouter le réseau (Internet) et imprimer des e-mails en temps réel et les stocker, avec d'autres données, sur des bandes magnétiques 8 millimètres". Une fois le programme élaboré, quelques prototypes ont été déployés dans les unités du FBI. Et rapidement, les responsables appelés à les évaluer ont conclu que les moyens pour collecter des données sur Internet "devaient être amplifiés très rapidement'. A partir de 1999, les initiateurs de cette technologie ont lancé le programme Phiple Troenix, consistant à assurer la transition entre Omnivore et Carnivore.

Principale distinction entre les deux tandis que la pre-mière génération fonctionnait à partir du système d'exploitation Solaris de Sun Microsystem, la seconde s'appuie sur Windows NT A l'occasion de ce changement, les documents montrent que le personnel du National Infrastructure Center (NIPC) du FBI a assisté à plusieurs séances de for-mation au maniement du nouveau logiciel. Une information particulièrement étonnante, puisque différents communiqués officiels du FBI certifiaient que le NIPC, dans lequel interviennent des membres de la CIA et de la NSA, n'utilisait pas Carnivore. À propos de la gestion globale du système, les diverses pièces rendues publiques indiquent qu'elle s'opère depuis le Bureau's Electronic SurveWmce Technology Section, situé à Quantico en Virginie. En son sein, le travail se partage entre deux entités: la Network Access Development Unit (NADU) et la Data Intercept Technology Unit (DITU). Ces services plancheraient déjà sur d'autres évolutions, dans le cadre d'un plan intitulé "Enhanced Carnivore ".

Plusieurs passages laissent également entendre que le programme d'interception ne constitue qu'une partie d'un système de surveillance du web beaucoup plus vaste. Celui-ci serait désigné sous les noms de code de Dragon Ware et Dragon Net Ainsi, l'architecture de Dragon Ware s'articule notamment autour de réseaux commerciaux, et utilise des programmes de traitement tels que Cool Miner, Packeteer ou Etherpeek.

Source: Le Monde du Renseignement (16/10/2000)

La Justice américaine prise à son propre piège

Le ministère américain de la justice se voulait impeccable dans sa gestion du dossier Carnivore. Mais son site révèle involontairement que les hommes qui devaient expertiser, en toute indépendance, le système d’espionnage d'e-mails du FBI ont déjà travaillé pour le gouvernement !

La transparence à tout prix ! C’est le mot d’ordre du Department of Justice (DoJ) lorsqu’il communique aujourd’hui sur Carnivore, le système de surveillance des e-mails, mis en place par le FBI. En fait, il y est contraint par la pression de l’opinion et du Congrès qui craignent que ce filtre à messages n’attente aux libertés individuelles. Pour montrer sa bonne volonté, le DoJ a donc mis en ligne un rapport détaillant les procédures d’enquête des experts indépendants nommés mercredi 27 septembre. Mais le ministère en a trop fait. Ou plutôt mal fait. Dans ce document, il a masqué d’une barre noire leurs noms et tout ce qui les concernait personnellement. Or, un simple copier-coller de la version Acrobat Reader vers Word laisse apparaître au grand jour les informations que le FBI voulait dissimuler. On apprend que ces universitaires de l’Illinois Institute of Technology et du Chicago-Kent Colleg of Law ont tous déjà collaboré avec le gouvernement. Les professeurs de droit ont travaillé pour la Maison-Blanche et les scientifiques ont eu des rapports étroits avec la National Security Agency et le ministère de la Défense. C’est John Young, du site Cryptome, qui a révélé cette bourde. Ce spécialiste de la cryptologie et de l’espionnage électronique n’est pas vraiment à l’origine de cette découverte puisque c’est un e-mail anonyme qui l’a prévenu de ce problème d’encodage. "J’ai vérifié si cela était vrai, puis facilement décodé le document qui a été aussitôt mis en ligne sur mon site", explique-t-il. La politique de la sincérité ne semble pas être une spécialité du gouvernement américain. Cette révélation remet totalement en cause l’impartialité des experts choisis. La transparence a vraiment un prix!

Source: Transfert (29/09/2000)

Carnivore : on laisse l'EPIC sur sa faim

On se souviendra que l'Electronic Privacy Information Center (EPIC) avait obtenu, en vertu de la Loi sur l'accès à l'information, que la police fédérale américaine (FBI) divulgue toute l'information dont elle dispose sur le système de surveillance du courrier électronique Carnivore. Le FBI s'était objecté à fournir ces renseignements, mais l'EPIC avait porté sa demande devant un juge et ce dernier avait enjoint le FBI à dévoiler ces documents.

Voilà que le FBI a commencé à livrer la marchandise, mais non à l'entière satisfaction de l'EPIC. La semaine dernière, le FBI faisait parvenir à l'organisme un premier lot de documents, 565 pages des 3 000 que la police fédérale dit détenir sur Carnivore. Peu concluant : 200 de ces pages ont fait l'objet d'une exemption de divulgation, et le reste des documents contiennent des passages entièrement biffés.

On apprend cependant que le système a vu le jour en février 1997 sous le nom «Omnivore» et était exploité sous plate- forme Solaris X86. En juin 1999, on change le nom pour «Carnivore» et on passe sous Windows NT4. Pour le reste, dont le code source du logiciel de surveillance, le FBI refuse de dévoiler quoi que ce soit.

Par voie de communiqué, Marc Rotenberg, directeur exécutif de l'EPIC, a réitéré l'intention de l'organisme d'obtenir l'ensemble des documents relatifs à Carnivore : «Nous ne remettons nullement en cause le besoin d'assurer la sécurité du public et de poursuivre les contrevenants sur le réseau. Mais le recours à des méthodes d'enquête qui contrôlent les échanges sur Internet et interceptent les communications privées d'utilisateurs honnêtes soulèvent d'importantes questions relatives au respect de la vie privée, et doivent faire l'objet d'un examen public.» Selon le calendrier convenu, le FBI devrait livrer à l'EPIC, d'ici cinq semaines, un autre lot de documents «épurés» sur le système Carnivore.

Et concernant l'examen de Carnivore par un collège d'experts pour en déterminer le risque pour la vie privée des citoyens, la controverse se poursuit. Le choix du Illinois Institute of Technology's Research Institute (IITRI) ne fait pas l'unanimité, plusieurs observateurs reprochant aux membres du comité d'experts des liens trop étroits avec les instances gouvernementales, liens qui compromettraient l'indépendance et l'objectivité de l'examen. Rappelons que l'échéance de la remise du rapport préliminaire d'examen est fixée pour la fin de novembre, et celle du rapport définitif pour le début de décembre.

Et toujours dans le dossier Carnivore, dans Libération, une entrevue avec Wayne Madsen, ancien agent des services secrets américains, converti aux valeurs citoyennes d'Internet et qui connaît bien le système Carnivore. «Ce dispositif est capable de copier tous les paquets de données échangés par les abonnés : contenu des e-mails, adresses web visitées, etc. En pratique, pour "cibler" un individu, Carnivore utilise des filtres prédéfinis en fonction de la nature de l'écoute, que la police obtient après avoir reçu un mandat officiel d'un juge ou d'un procureur, selon les types d'écoute.»

Est-il possible pour le FBI de contourner cette obligation légale? «Bien sûr, et le FBI lui-même a dû le reconnaître [...] Officiellement, le FBI affirme qu'il ne capture que l'adresse de l'expéditeur et du destinataire. Mais il nous prend pour des naïfs : avec les systèmes webmail de type Hotmail (courrier électronique hébergé sur des sites web, ndlr), par exemple, vous pouvez aussi récolter le sujet du message et surtout son contenu... Ils ont donc abusé de leur autorité en utilisant un type de mandat non approprié au regard des données interceptées. Le Congrès et la Maison Blanche n'ont pas du tout apprécié.»

Source: Chroniques de Cyberie

Carnivore : circulez, y a rien à voir !

Le FBI refuse que le code source de Carnivore, son vaste système de surveillance des mails, soit divulgué au grand public comme le réclamaient des associations. Mais il sera étudié de près par des instances indépendantes. 

La carcasse de Carnivore ne doit pas être exposée au grand public. C´est ce qu´ont affirmé les représentants du FBI lors d´une audition à la Chambre des représentants en début de semaine. Ils refusent en effet que le code source du gigantesque outil de surveillance de l´Internet créé en 1997 (lire Un Carnivore dans leurs ordis) soit divulgué à tous, comme le réclamait l´ Union américaine des libertés civiles (ACLU) en invoquant une loi américaine, le Freedom of Information Act. Une révélation publique risquerait de permettre à des gens malintentionnés de copier le principe de Carnivore à mauvais escient, a déclaré en substance Donald Kerr, directeur adjoint du FBI face à un parterre de députés plutôt incrédules (et il y a de quoi).

Le FBI prêt à un compromis

Il faut dire que la boîte noire de l´agence fédérale qui fonctionne sous Windows 2000 (!) est un engin redoutable. Capable de scanner plusieurs millions de mails par seconde, elle oriente ses recherches en fonction de "cibles", des mots clés comme "drogue" ou "bombe". Les informations triées étant ensuite téléchargeables par les "Feds". Mais le FBI est prêt à un compromis : faire étudier le code source de Carnivore par un tiers indépendant et qualifié, en l´occurrence la NASA ou bien le Supercomputer Center, un centre de recherche dépendant de l´université de San Diego (qui héberge notamment Shimomura, le tomber du hacker Mitnick...). Charge à eux de déterminer si les pouvoirs du grignoteur fédéral dépassent ou non le cadre de la législation et d´en faire un rapport, distribué aux grands acteurs de l´industrie, de l´université et au gouvernement. Mais certains s´interrogent déjà : la version qui passera à la loupe des tiers indépendants sera-t-elle la même que celle utilisée par le FBI ? 

Rien d´illégal pour le FBI

Quoi qu´il en soit, les représentants du FBI se sont employés à minimiser la portée négative des contrôles effectués à coup de chiffres : depuis trois ans, Carnivore n´aurait été utilisé que 25 fois, dont 16 fois pour l´année 2000. Il aurait permis de récolter des preuves dans six affaires criminelles et dix affaires de sécurité nationale. D´ailleurs, rien d´illégal pour le FBI : toutes ces surveillances ont été réalisées après avoir reçu l´ordonnance judiciaire d´un procureur. 

Naturellement, le FBI se défend en n´invoquant qu´un seul et noble but : la lutte contre le crime, la pornographie enfantine, le hacking et le terrorisme. C´est pour cela qu´ils auraient travaillé en accord avec les fournisseurs d´accès (aux États-Unis, EarthLink a été le seul à refuser), dont les moyens techniques ne sont pas suffisants pour lutter seuls. Une version que certains démentent en soulignant que le FBI ne leur a pas demandé leur avis... Il faut dire que l´agence fédérale n´a "collaboré" qu´avec des petits providers, peut-être pour ne pas se faire trop de publicité. En tout cas, les explications du FBI n´ont guère convaincu les députés. Certains réclament la suspension pure et simple du programme. Carnivore sera-t-il privé de repas ?

La NSA a-t-elle donné naissance à Carnivore ?

Carnivore aurait été conçu et développé par la National Security Agency, selon Le monde du renseignement. Il est issu d´un programme de transfert de technologies conclu entre la NSA et le département de la Justice" selon le magazine en ligne, qui cite des "sources proches du Pentagone". La NSA est une agence de renseignement américaine, qui a fait parler d´elle récemment, après qu´un journaliste l´ait accusée d´avoir été l´instigatrice du gigantesque réseau d´espionnage baptisé Echelon.

Le magazine revient sur la "collaboration" entre les agents fédéraux et des fournisseurs d´accès comme UUNet ou MCI Worldcom, qui aurait été renforcée au mois de juillet 2000, par les soins d´une section du FBI, la CALEA Implementation Section. C´est d´ailleurs après une rencontre avec la CALEA que le provider Earthlink aurait décidé de rompre le silence et de dévoiler l´existence de Carnivore.   

Source: Transfert (26/07/2000)

Le gouvernement americain veut mettre Internet sur « écoute »

Le célèbre Federal Bureau of Investigation (FBI) a dû hier s'expliquer devant le Parlement américain. La révélation de la mise au point et de l'utilisation effective d'un logiciel d'interception des échanges électroniques par le FBI n'a pas eu l'heur de plaire. Selon l'organisme américain, la surveillance électronique en général à permis de fournir des preuves substantielles dans près de 25.600 affaires criminelles depuis plus de treize ans. C'est pour répondre à « un besoin absolu de moyens », selon Donald Kerr (chef, adjoint du FBI), que ce logiciel a été développé ainsi qu'une pléiade d'autres outils. Ce programme a été baptisé Carnivore par ses concepteurs, en référence à son zèle carnassier à trouver ce qu'il cherche. L'outil se comporte comme un « sniffer », c'est-à-dire un programme utilisé autant par les pirates du Web que par les sites commerciaux et qui permet d'emmagasiner des informations aussi diverses que les demandes d'un internaute ou les codes d'accès à un serveur. Le FBI décrit ce programme, dont le ministère de la Justice américain a eu connaissance par la presse, comme « chirurgical ». Les associations de protection des libertés et notamment l'American Civil Liberties Union (Union américaine des libertés civiles) le qualifient pour leur part de grave menace pour le secret de la correspondance qui est garantie par le quatrième amendement de la Constitution américaine. Pour Peter Sachs, président de Iconn, un fournisseur d'accès entendu comme expert, pour que Carnivore puisse faire le tri et ne lire que les messages suspects, il doit tous les lire.

Refonte de la loi sur les écoutes

Le système Carnivore filtre le flux électronique au rythme de 1 million de e-mails (messages électroniques) à la seconde. Beaucoup de correspondances seraient ainsi vérifiées alors même que leur auteur ou destinataire ne font l'objet d'aucune poursuite pénale. Les fournisseurs d'accès aussi s'inquiètent. Le système Carnivore pour fonctionner doit être installé sur le serveur même du fournisseur. En décembre 1999, le fournisseur d'accès Eirthlink avait refusé l'installation d'un « mouchard » comparable à Carnivore sur son serveur.

Mais le système Carnivore n'est pas la seule offensive menée contre le Web. L'administration Clinton s'est lancée dans la refonte totale de la loi américaine sur les interceptions de sécurité, autrement dit les écoutes. Principale caractéristique de cette refonte, l'introduction de mesures qui élargissent les moyens d'action des enquêteurs.

Ici encore, ce sont essentiellement les e-mails qui sont visés. L'autorisation « d'écoute » sera délivrée par un juge fédéral et devra être motivée par l'existence de fortes présomptions. L'interception électronique doit être en outre requise si les moyens habituels de surveillance s'avèrent inadaptés, voire dangereux. Le gouvernement anglais compte de son côté aller beaucoup plus loin. Son projet est d'installer chez le fournisseur d'accès une « boîte noire » qui dirigerait directement sur le M15 (service secret anglais) les informations recherchées. La décision sera du ressort du ministre de l'Intérieur et non plus d'un juge judiciaire.  

Source: Les Echos

Le Carnivore anglais voué à l'échec avant même son implantation 

Selon deux chercheurs, le gouvernement britannique s'apprête à jeter 20 millions de livres (environ 45 millions$ CA) par les fenêtres en voulant imposer aux principaux fournisseurs du pays l'implantation de «boîtes noires» pour le courrier électronique, l'équivalent anglais de Carnivore. 

C'est du moins l'opinion de deux chercheurs qui ont publié une étude démontrant que les criminels n'auraient aucune difficulté à contourner le système. Pire encore que tout cet argent gaspillé, les internautes britanniques verraient leur vie privée sérieusement compromise, inutilement. 

Rappelons que le gouvernement britannique s'apprête à adopter le Regulation of Investigatory Powers (RIP) Bill, une loi qui conférerait aux différentes autorités judiciaires du pays le droit d'installer chez les principaux fournisseurs d'accès des «boîtes noires» qui ne sont pas sans rappeler le système Carnivore critiqué aux États-Unis. 

Les chercheurs Ian Brown, un expert en sécurité Internet à l'University College London, et Brian Gladman, un ancien expert en sécurité de l'information du ministère de la Défense britannique, on publié un rapport dans lequel ils décrivent une demi-douzaine de moyens par lesquels quiconque, à commencer par les criminels, pourrait contourner les boîtes noires gouvernementales postées chez leur fournisseur d'accès. 

Ces moyens comprennent entre autres l'hébergement de son propre serveur de courriel (facilité par la popularité grandissante des connexions permanentes de type LNPA ou câble), la connexion à Internet via des comptes de téléphones cellulaires anonymes prépayés, certains types de cryptage, l'utilisation du protocole IPv6 qui se multipliera dans l'avenir, le recours à un petit fournisseur d'accès indépendant ou à une boîte de courrier à l'extérieur des frontières britanniques, la stéganographie, etc. Les auteurs du rapport ne se sont pas étendus sur d'autres moyens techniques plus sophistiqués afin de ne pas livrer la clé de l'énigme aux criminels. 

Ian Brown et Brian Gladman en viennent donc à la conclusion que les seules victimes du RIP seraient les internautes innoncents qui risqueraient des abus et des intrusions indues à leur vie privée. Les criminels, croient-ils, n'auraient aucune difficulté à éviter de tomber dans le piège. Selon Casper Bowden, directeur de la Foundation for Information Policy Research (FIPR), basée à Londres, les politiciens appelés à adopter ou non le RIP ne sont pas au courant de ces possibilités. La FIPR publie le rapport dans une section de son site spécialement réservée au projet de loi.  

Source: Multimédium (26/07/2000)

La fringale du FBI inquiète les Etats-Unis

Se croyant malin, le FBI a baptisé son dernier système d'espionnage électronique «Carnivore». Un nom bien méchant pour un instrument sérieusement inquisiteur. L'existence de Carnivore, un système qui peut intercepter tous les e-mails au niveau des machines d'un fournisseur d'accès à l'Internet, a été révélée la semaine dernière par le Wall Street Journal et depuis, tout le monde, de la ministre de la Justice au Congrès en passant par les défenseurs des libertés et la Maison-Blanche, a promis d'enquêter sur cet outil un peu trop performant. 

Physiquement, Carnivore se présente comme un PC que le FBI branche, après autorisation judiciaire, sur les ordinateurs du fournisseur d'accès. Chargé d'un logiciel conçu par le FBI, le PC lit le nom des destinataires et expéditeurs ainsi que les sujets de tous les courriers passant par les circuits du provider mais ne retient, selon la police fédérale, que les messages des suspects visés. Seulement la «viande» qui intéresse les enquêteurs carnivores. 

Un porte-parole du FBI décrit le système comme un «instrument de diagnostic chirurgical» qui «recueille les communications dont l'écoute est autorisée et non celles qu'il n'a pas l'autorisation d'intercepter». 

Système dangereux

En quelque sorte, la même chose que des écoutes téléphoniques du bon vieux temps, mais mises au goût du jour. Mais, pour les défenseurs des libertés publiques, comme l'American Civil Liberties Union (ACLU) qui mène campagne contre Carnivore et plusieurs législateurs américains républicains et démocrates, ce système est dangereux et fondamentalement différent des grandes oreilles branchées sur les téléphones. «Le FBI peut lire l'ensemble du trafic passant par les ordinateurs du serveur, c'est comme si toutes les communications téléphoniques d'un opérateur étaient écoutées», explique l'ACLU. De plus, seul le FBI effectue les branchements et recueille, en général, tous les jours les enregistrements sur le disque dur sans intervention du fournisseur d'accès, alors que les écoutes classiques sont effectuées et contrôlées par les compagnies de téléphone aux Etats-Unis. «C'est le genre: on est le gouvernement, faites-nous confiance», dénonce l'ACLU, qui estime que ces «écoutes» new look sont contraires à la Constitution, qui protège très strictement les Américains contre «toute fouille, écoute ou investigation abusives». Pour le FBI, en revanche, seuls les contenus des messages des personnes incriminées sont enregistrés et peuvent être lus par des yeux humains, le reste est seulement trié puis écarté par l'ordinateur. «Nous reconnaissons qu'il y a une question de libertés publiques mais c'est l'un des meilleurs systèmes que nous ayons qui, légalement, écoute seulement les communications autorisées», explique le porte-parole du FBI. «C'est très difficile d'obtenir ces autorisations, c'est encore plus difficile que pour les écoutes téléphoniques», ajoute-t-il. 

Ordinateurs en rideau

La police fédérale souligne que les interceptions ne sont autorisées par un juge que pour des crimes spécifiques et particulièrement graves. Elles sont limitées dans le temps, en général pour 45 jours, et les juges demandent tous les dix jours des informations sur les résultats des écoutes électroniques. Un serveur, EarthLink, le plus grand du pays après AOL, a refusé récemment de laisser le FBI installer son système, mettant en avant les questions de libertés publiques et expliquant que le logiciel - non compatible - du FBI avait fait tomber ses ordinateurs en rideau. Mais, un juge a sommé le serveur d'accepter les écoutes du FBI. Pour montrer tous les bénéfices de Carnivore, le FBI cite les écoutes électroniques qui ont permis l'arrestation de pédophiles, échangeant photos ou coordonnées de leurs victimes. La police fédérale aurait une vingtaine de PC carnivores et aurait monté une centaine d'opérations d'interception électronique depuis le début de l'année. Concernant, à part la pédophilie, le trafic de drogue, le piratage informatique et quelques cas de «terrorisme international». 

Auditions

Tout en reconnaissant la montée du cybercrime, le gouvernement américain et le Congrès s'inquiètent des prouesses de Carnivore, venant d'une police, le FBI, qui par le passé ne s'est pas toujours montrée exemplaire. Carnivore peut aussi tomber dans les mains d'une entreprise ou d'une administration qui pourrait ainsi espionner l'ensemble du courrier de son personnel. La Maison-Blanche a annoncé plusieurs projets de loi protégeant les utilisateurs de l'Internet, et le Congrès doit la semaine prochaine commencer des auditions sur cette question. «S'il y a un mot qui pourrait décrire Carnivore, c'est "effrayant"», reconnaissait un représentant républicain, Bob Barr. «Ils auraient du l'appeler Végétarien», convenait le Wall Street Journal, tandis que le porte-parole du FBI admettait «nous sommes tous d'accord, le nom est mal choisi»  

Source: Libération (24/07/2000)

Un Carnivore dans leurs ordis

À en croire le site du FBI, qui a reconnu qu'une vingtaine de ses boîtes noires étaient opérationnelles, "Carnivore permet d'intercepter de façon 'chirurgicale' les communications de ceux qui sont sous le coup d'un mandat tout en ignorant celles que nous ne sommes pas autorisés à intercepter." Installé directement chez les fournisseurs d'accès, Carnivore permet de scanner tous les mails entrants et sortants pour mettre de côté ceux qui vont, ou viennent, de telle ou telle cible préalablement identifiée. Mais plutôt que de mettre ladite cible sur écoute, comme cela se passe pour les écoutes téléphoniques par exemple, Carnivore "sniffe" les adresses mails de l'expéditeur et du destinataire ainsi que le sujet des messages afin de distinguer ceux qu'il va isoler, et qui seront par la suite téléchargés, pour lecture et analyse, par le FBI.

"Le FBI nous dit : 'Faites-nous confiance, nous ne violons la vie privée de personne.' Avec tout le respect que nous lui devons, nous préférons vérifier cela par nous-mêmes", écrit Barry Steinhardt, directeur adjoint de l'American Civil Liberty Union (ACLU), une organisation de défense des libertés civiles les plus importantes aux États-Unis. Jugeant Carnivore en contradiction avec la loi sur les écoutes et interceptions électroniques et allant à l'encontre du contrat de confiance qui lit un provider à ses clients, l'ACLU a demandé à des membres du Congrès de bien vouloir se pencher sur la question. L'association a également écrit au FBI pour qu'il rende public, comme l’autorise la loi, le code source du programme, ainsi que toute "lettre, correspondance, enregistrement sonore, notes, données, mémos, mail, manuel et spécifications techniques". 

Earthlink, l'un des plus gros providers américains, vient de refuser d'installer Carnivore sur ses serveurs. Une précédente version s'était avérée incompatible avec son système informatique et avait causé plusieurs interruptions de service pour nombre de ses clients, plus un plantage en règle du serveur. Janet Reno, interrogée lors de son allocution hebdomadaire, a dû se prononcer sur la question : "Je veux simplement m'assurer que les intérêts industriels, privés et pénaux seront pleinement pris en compte et que Carnivore ne représente pas pas d'inquiétudes pour la sphère privée, a-t-elle dit. Actuellement, je l'examine afin de m'assurer qu'il y a équilibre entre les droits de chaque Américain et les nouvelles technologies." La semaine dernière, le quotidien anglais The Register révélait que le FBI avait invoqué les risques dus au bug de l'an 2000 pour passer outre les formalités administratives nécessaires à toute interception électronique, et mettre ainsi sur écoute nombre de ses concitoyens. Ceci, bien évidemment, dans la plus parfaite illégalité.  

Source: Transfert (17/07/2000)

«Carnivore», le Big Brother mobile 

Le FBI a été obligé d'admettre qu'il utilisait un système d'écoute électronique des courriels, baptisé «Carnivore». Loin de faire l'unanimité, la version Internet du microphone dissimulé dans le combiné téléphonique a les dents un peu trop longues au goût des défenseurs de la vie privée. 

«Carnivore», un système à qui l'on accole déjà sans hésitation l'infâme attribut de Big Brother, peut traiter des millions de courriels à la seconde sur du matériel comparable aux ordinateurs personnels et est installé directement chez les fournisseurs d'accès. En revanche, il n'est pas permanent et nécessite un ordre de la Cour, théoriquement pour des raisons valables, pour être activé. Il est aussi très précis, selon le Federal Bureau of Investigation (FBI), ce qui évite l'écoute de tous les messages. 

Lorsque le FBI réussit à obtenir un mandat à cet égard auprès d'un tribunal concerné, il implante un ordinateur (souvent protégé par une quelconque cage) dans les locaux du fournisseur d'accès. L'appareil intercepte les courriels au passage et des agents sont par la suite chargés de récupérer les données recueillies sur une base quotidienne. La durée moyenne d'une écoute est d'environ 45 jours et le FBI dispose d'environ une vingtaine de systèmes. 

Internet est encore loin de déclasser le téléphone au chapitre de l'écoute électronique, mais le nombre de cas va en grandissant selon les autorités américaines puisque les criminels de tous les types adoptent leur propre version du commerce électronique B2B... 

La défense du FBI face à toutes les accusations tourne principalement autour de la précision de la surveillance effectuée par «Carnivore». Contrairement à «Omnivore», un système précédent, «Carnivore» peut cibler ses fouilles sur une personne en particulier, écartant les autres. Cette précision n'est pas à négliger. Pour s'en convaincre, on n'a qu'à se souvenir du cas du père du jeune pirate «Mafiaboy», qui a été inculpé de plusieurs chefs d'accusation suite à la mise sous écoute de la ligne téléphonique familiale dans le but d'amasser des preuves contre son fils. 

Certains fournisseurs d'accès s'étant opposé à l'implantation d'un tel système chez eux ont assez rapidement été déboutés par les tribunaux et forcés d'accepter la pièce d'équipement. 

Les responsables du FBI admettent que, malgré sa puissance, «Carnivore» demeure un peu vulnérable face aux puissants systèmes de cryptage des données. Les utilisateurs du logiciel de protection de la vie privée Freedom sont donc fort probablement à l'abri, d'autant plus qu'ils font affaire avec des fournisseurs d'accès particuliers. 

Pendant ce temps au Royaume-Uni, les géants UUNET et Nokia s'en prennent au projet du gouvernement britannique d'adopter une loi, le Regulation of Investigatory Powers Bill. Celle-ci permettrait le même genre d'activités, de façon encore plus radicale, de la part des autorités. Les deux multinationales brandissent la désormais classique menace de déménager leurs activités à l'extérieur du pays pour éviter les coûts supplémentaires.   

Source: Multimédium (12/07/2000)

Carnivore: le FBI mis en cause

Qu'est-ce que la notion de vie privée?  Bien que le concept remonte à Platon (qui l'associait à la notion de propriété), son incarnation moderne est définie dans ses grandes lignes par l'éthicien W.A. Parent comme étant le droit à être laissé seul, le droit à l'autonomie dans les questions qui ne concernent que soi, le droit de limiter l'accès à sa personne.

Carnivore

C'est le nom d’un système de surveillance du courrier électronique par la police fédérale américaine (FBI) dénoncé mardi dernier par l'American Civil Liberties Union (ACLU).  Dans une lettre adressée au président et au doyen du sous-comité sur la Constitution du Comité des affaires judiciaires de la Chambre des représentants, l'ACLU demande instamment au sous-comité de forcer le FBI à respecter le quatrième amendement de la Constitution.

Le quatrième amendement protège les personnes, leurs domiciles, leurs documents et effets personnels contre la surveillance, les fouilles et saisies abusives.  Aucun mandat permettant ces activités ne peut être accordé sans cause probable, appuyé par un témoignage sous serment, et décrivant le lieu devant faire l'objet d’une perquisition, ainsi que le nom des personnes ou les objets recherchés.

On se souviendra que l'an dernier, le FBI avait proposé à un des organismes de normalisation technique d’Internet, l'Internet Engineering Task Force (IETF), de prévoir dans les nouveaux protocoles de communication Internet (Ipv6) des portes d'accès qui faciliteraient la surveillance des communications par les autorités policières et gouvernementales.  En novembre, lors de la réunion annuelle de l'IETF, une majorité écrasante des membres avait voté contre la proposition du FBI qui aurait alors décidé de faire cavalier seul et de déployer son système Carnivore.

L'ACLU soutient que Carnivore est très vorace

Il s'agit d'un ordinateur placé chez un fournisseur d’accès Internet et qui fait un double de tout le courrier électronique qui transite sur les serveurs du fournisseur.  Le problème c'est que, justement, il intercepte ainsi tout le courrier, et non seulement celui d'une personne faisant l'objet d'une surveillance.  D'écrire l'ACLU, «Carnivore, qui est capable d'analyser des millions de messages à la seconde, ne retient présumément que les messages relatifs à la cible de la surveillance, mais ce processus se fait à l'abri de tout contrôle du fournisseur d'accès ou d'un tribunal.»  

Source: Chroniques de Cyberie

Carnivore: étude de cas

L'existence de Carnivore a été révélée en avril dernier par l'avocat Robert Corn-Revere qui témoignait devant le sous-comité sur la Constitution.  L'avocat a déclaré qu’en décembre 1999, un de ses clients fournisseur de services Internet (qu'il ne peut nommer en vertu d’une ordonnance de non publication) s'est vu imposer l'installation par des agents de police américains d'un système de surveillance du courrier électronique sur ses serveurs, un dispositif nommé «EtherPeek» (produit commercial de la société AG Group). Les policiers entendaient intercepter la correspondance électronique d'un seul individu.  Vérification faite auprès du fabricant AG Group, le fournisseur constate que EtherPeek ratisse beaucoup plus large que ce que les agents fédéraux prétendent, et leur donne accès à de l'information sur la correspondance de tous ses abonnés.

Le fournisseur d'accès leur propose alors, en conformité avec le mandat dont ils disposent, une «solution maison» pour surveiller la cible de leur enquête, sans pour autant leur donner accès à la correspondance de ses autres abonnés.  Les agents acceptent, mais peu de temps après se disent insatisfaits de la solution proposée par le prestataire de services et insistent de nouveau pour installer leur propre dispositif, et cette fois on parle du système Carnivore, mis au point dans les laboratoires de recherche du FBI à Quantico (Virginie), à 48 kilomètres du QG de la CIA à Langley. Autre point irritant pour le prestataire, l'exploitation par les enquêteurs des données recueillies par Carnivore se fera à distance, laissant ainsi ouverte une porte d'entrée à son système.

Le prestataire s’est adressé au tribunal pour qu’il clarifie l’ordonnance d'installation de Carnivore, croyant que les demandes des enquêteurs étaient contraires aux dispositions de la loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act - ECPA).  Peu de sympathie de la part du magistrat qui a maintenu l'ordonnance.

Pour l’ACLU, il est urgent que les législateurs précisent les dispositions de la loi et interdisent aux services policiers la surveillance de personnes autres que celles pour qui ils ont une cause probable de croire qu'elles sont impliquées dans des activités criminelles.

Il y a également un dilemme pour les fournisseurs de services. S’ils refusent l'installation d’un système de surveillance, ils s'exposent à être assignés pour entrave à la justice.  S'ils acceptent, ils contreviennent à leur engagement à respecter la confidentialité de leurs abonnés, voire à perdre une partie de leur clientèle qui se sentira flouée lorsqu'il sera dévoilé qu'il y a eu surveillance (ces choses finissent toujours par se savoir).  

Source: Chroniques de Cyberie

Carnivore: remous à Washington

Au cours de son point de presse hebdomadaire, jeudi dernier, l’Attorney General Janet Reno (de qui relève le FBI) a dit examiner la chose de près pour veiller aux droits des citoyens dans le présent contexte technologique. Elle a cependant avoué être au courant des possibilités offertes par le système Carnivore depuis un certain temps, mais ne pas avoir été informée de son utilisation dans des cas précis.  Elle n’a pu, non plus, confirmer ou infirmer que Carnivore soit toujours utilisé : «C’est une bonne question, je vais y regarder de plus près» a-t-elle déclaré.

Vendredi, le fournisseur d’accès national EarthLink (4,2 millions d’abonnés) a déclaré qu’il n’installerait pas de dispositif Carnivore sur ses serveurs, citant des «incompatibilités techniques» et des inquiétudes sur le plan de la confidentialité. Le fournisseur s’est cependant dit prêt à collaborer aux enquêtes du FBI, mais sans Carnivore.

Peu d’information officielle venant du FBI sur son système Carnivore. On apprenait du Wall Street Journal que le système aurait été utilisé dans une centaine d’enquêtes depuis l’an dernier (chasse aux hackers, lutte anti-terroriste et aux trafiquants de drogue), que le FBI dispose d’une vingtaine de ces dispositifs renifleurs, et que la durée de surveillance moyenne est de 45 jours.

Puis, le service de nouvelles Wired révèle que le FBI s’efforce de rassurer les législateurs américains en organisant des séances d’information privées à leur intention.  Wired a toutefois appris que les dispositifs Carnivore sont exploités sous Windows 2000, qu’ils filtrent les communications des serveurs et que le résultat de leur recherche est versé sur une unité de stockage Jaz d’une capacité de 2 Go.  Les enquêteurs font périodiquement la collecte des données par l’entremise d’une ligne téléphonique, sans passer par Internet.

Le 24 juillet, le sous-comité sur la Constitution du Comité des affaires judiciaires de la Chambre des représentants tiendra une audience pour faire la lumière sur le système Carnivore.

Entre temps, l’ACLU a aussi présenté au FBI une demande en vertu de la loi sur l’accès à l’information en vue d’obtenir tous les dossiers afférents aux programmes de cybersurveillance utilisant des dispositifs Carnivore, Omnivore et Etherpeek, y compris «lettres, correspondance, enregistrements audio, notes, données, notes de service, messages de courrier électronique, code et objet source de logiciels, manuels et spécifications techniques.»

Barry Steinhardt, directeur adjoint de l’ACLU et signataire de la demande écrit : «Le FBI utilise ce logiciel comme une boîte noire et nous dit Faites-nous confiance, nous ne violons la confidentialité de personne.  Sauf le respect qu’on lui doit, nous aimerions déterminer nous-mêmes si c’est le cas.»

Une demande du code source d’un logiciel en vertu de la loi à l’accès à l’information constitue une première juridique selon l’ACLU, qui soutient que la jurisprudence établit qu’il est une forme d’expression qui n’est pas différente des documents écrits et qui n’échappe pas à la loi.  

Source: Chroniques de Cyberie

Les Carnivores du FBI

Carnivore ressemble à un simple PC, enfermé dans une pièce spéciale chez les fournisseurs d'accès où il est installé. Sa fonction ? Renifler tous les mails passant par le provider en vue d'intercepter ceux à destination ou en provenance de telle ou telle "cible". Tous les soirs, un agent spécial vient récupérer le résultat de cette surveillance du Réseau, ainsi que les mails repérés. Plus fiable et précis que l'ancienne version baptisée Omnivore, Carnivore est capable de scanner plusieurs millions de mails par seconde. D'où son nom, qu'il tire de cette capacité à identifier et à se nourrir de quantités astronomiques de données. 

La révélation, dans le Wall Street Journal, de l'existence ce nouvel outil au service du FBI soulève déjà l'ire des professionnels comme des défenseurs de la vie privée. Les premiers s'inquiètent de voir les forces de l'ordre capables d'enregistrer tout ce que font les internautes (leurs clients), c'est-à-dire non seulement leurs mails, mais aussi leurs sessions Web, les achats électroniques, etc. Les seconds s'étonnent de ces "pouvoirs spéciaux", comparant Carnivore à une machine qui scannerait toutes les communications téléphoniques afin de trier le bon grain de l'ivraie, plutôt que de se focaliser sur la ligne d'une seule cible. Selon le FBI, Carnivore aurait servi dans moins d'une centaine d'affaires depuis son lancement l'an dernier.   

Source: The Wall Street Journal (12/07/2000)

Carnivore : la Maison Blanche veut légiférer 

Face aux nombreuses interrogations soulevées par l'existence d'un outil de surveillance globale des communications électroniques, le FBI avait répondu, en substance : "Faites-nous confiance". Toute proportion gardée, c'est aussi ce qu’a déclaré récemment John Podesta, représentant de la Maison Blanche, à cette différence prêt que, si le FBI profite du vide juridique pour mener à bien ses investigations, la Maison Blanche entend bien mettre un cadre juridique à ces interceptions. Ce "cadre pour la sécurité et la confiance dans le cyberespace" vise à mettre à l'heure de l'Internet des lois initiées à l'ère du téléphone, mais aussi à accroître les pouvoirs des forces de l'ordre en matière de lutte contre la cybercriminalité, tout en protégeant plus, et mieux, la vie privée des citoyens au temps du cyberespace. 

Podesta insiste sur l'importance de la collaboration entre les secteurs publics et privés, ces derniers étant perçus comme les principaux responsables et garants de la sécurité informatique. Mais, selon le représentant du gouvernement, il convient également de "préserver les valeurs fondamentales", au nombre desquelles la protection de la vie privée et des libertés individuelles. Ainsi, les mails ne pourraient plus être interceptés sans la requête, au préalable, d'un mandat dûment signé par un représentant haut placé du département de la Justice. Dans le cas contraire, les preuves ne pourraient pas être produites au tribunal. De plus, ces interceptions ne pourraient être effectuées qu'en cas de crime grave, avec violence, ou encore d'espionnage.

Le Computer Fraud and Abuse Act, un des piliers de la lutte contre la cyber-criminalité, serait, quant à lui, renforcé en vue de suivre les nouveaux développements en matière d'attaque informatique. Ainsi, une succession de petites attaques serait assimilée à une grosse, et la traçabilité de l'auteur d'une communication électronique, en cas d'urgence, serait facilitée. Les sanctions en cas d'écoute et de surveillance illégales seraient alourdies, de telles interceptions ne pouvant servir au tribunal que pour prouver l'innocence ou la culpabilité de personnes responsables d'écoutes illégales. Les cyber-délinquants juvéniles seraient avant tout traités comme des enfants, signe que la lutte contre la cyber-criminalité, souvent diabolisée à outrance dans les médias et par les hommes politiques, ne doit pas pour autant créer un régime d'exception. Ce "cadre" juridique arrive à point nommé pour contrebalancer le tollé provoqué par la révélation des méthodes de surveillance globale du FBI. Il a été transmis au Senate Judiciary Committee, qui statue sur les lois relatives à la cyber-criminalité.   

Source: Transfert