Quelles sont les implications de la surveillance NSA sur l'internaute moyen?

Malgré le battage médiatique, l'essentiel ici n'est pas que le gouvernement du FBI/NSA/US intercepte tous les appels téléphoniques, mais qu'il recueille tous les téléphones des enregistrements de "métadonnées" qui comprennent:

• Numéro de téléphone d'origine
• Terminer le numéro de téléphone
• Numéro IMSI
• Numéro IMEI
• Identifiant du tronc (qui se rapporte à l'emplacement)
• Numéros de carte d'appel téléphonique
• Heure de l'appel
• Durée de l'appel
• Informations de localisation (éventuellement)

Ils ne peuvent pas , cependant, écouter vos appels téléphoniques sous cet ordre.

Source: The Guardian , The Guardian , Filaire

Que pouvez-vous faire à ce sujet en tant qu'individu? Rien, techniquement parlant. Ces informations ne sont pas ce que vous communiquez, mais avec qui vous communiquez et d'où. Cette information n'est pas quelque chose que vous contrôlez. Les informations recherchées par les agences de l'alphabet étaient des "métadonnées", c'est-à-dire des données que les fournisseurs de télécommunications génèrent/stockent par leurs propres moyens. Dans le cadre de votre utilisation de leur service (et de l'obtention d'un service utile), ces données sont créées.

Si vous êtes un citoyen des États-Unis, vous pouvez exiger des mesures de votre gouvernement, soutenir des organisations comme l'EFF qui travaillent pour protéger votre vie privée et exprimer vos sentiments à ce sujet à vos représentants locaux.

Dans un article de presse allemand, mais plus ancien, il y a quelques années, un homme politique allemand, Malte Spitz, a poursuivi pour que le géant allemand des télécommunications Deutsche Telekom lui remette six mois de données téléphoniques qu'il a ensuite mises à disposition ici . Il a été tracé sur une carte et vous permet de montrer où il était sur une période de 6 mois, ce qui vous donne une idée de ce que ce type de métadonnées peut faire.

Concernant spécifiquement PRISM

Prism était une fuite de documents détaillant l'interception d'un certain nombre de grandes sociétés en ligne. Cette fuite est distincte, mais liée (pour autant que je comprends) à celle ci-dessus.

• De qui les données (apparemment (car cela n'est pas encore clair à 100% pour l'instant)) sont-elles collectées?

  • Microsoft (Supposons Hotmail/Live/Bing et tous les autres services en ligne MS associés), Google, Yahoo !, Facebook, PalTalk, YouTube, Skype, AOL, Apple.

• Qu'est-ce qui est réellement collecté par PRISM?

  • Courriels, chat (voix et vidéo), vidéos, photos, données stockées, VoIP, transferts de fichiers, vidéoconférences, métadonnées de connexion, informations de réseaux sociaux et "demandes spéciales" (ce que je suppose signifier tout ce à quoi ils peuvent penser)

• Que puis-je faire pour éviter la collecte de mes données?

  • Si vous craignez que vos communications soient interceptées par ce programme, vous pouvez suivre plusieurs étapes simples.

  • N'utilisez aucun des fournisseurs mentionnés ci-dessus. Il est de notoriété publique depuis depuis un certain temps que les e-mails de plus de 180 jours sont accessibles sans mandat, quel que soit le fournisseur de messagerie. Naturellement, si vous êtes préoccupé par de telles choses, le cryptage est la voie à suivre. Si vous obtenez un service gratuitement, vous payez toujours avec quelque chose. Habituellement, ce quelque chose est vos métadonnées. Des alternatives "sécurisées", ou du moins respectueuses de la vie privée, à toutes les sociétés énumérées ci-dessus existent et sont faciles à trouver. Par exemple, duckduckgo.com, PGP, TorMail, TOR, Linux et Pidgin + OTR aident tous à sécuriser vos communications (de sorte que même si elles se font distraire, elles sont illisibles).

Le fait est ce . Vous pouvez essayer de toujours pratiquer une sécurité `` parfaite '' (quelque chose qui change avec l'émergence de nouvelles technologies) mais finalement, tout le monde est humain et il est probable que vous vous trompiez (en oubliant de vous connecter à un VPN par exemple). Il y a tellement de variables à rester caché en ligne que couvrir un aspect spécifique (comme la simple navigation sur le Web ou simplement envoyer/recevoir des e-mails) est une tâche assez complexe et nécessite une question distincte dédiée en soi.

Pour ajouter à la réponse de @RoryAlsop, je conviens que vous n'avez probablement pas, en tant que personne moyenne, beaucoup à vous soucier du PRISM/écoute téléphonique par le NSA être utilisé pour son but prévu (opérations anti-terroristes par le gouvernement américain) comme concept de sécurité/confidentialité des gens la plupart du temps n'est pas trop grand.

Il y a cependant d'autres bonnes raisons de s'en inquiéter. Premièrement, si vous travaillez pour une entreprise non américaine et que vous mettez des informations relatives à votre travail sur des e-mails personnels/réseaux sociaux, il pourrait y avoir un risque que le NSA puisse intercepter cela et puis je pourrai les transmettre aux entreprises américaines pour un avantage commercial. Je n'ai aucune preuve précise que cela se produit avec PRISM, mais il y a eu des cas où des agences de sécurité ont fourni des informations pour aider des entreprises dans le passé, donc pas trop.

Je pense également qu'il existe un risque réel de fluage de la portée. Une fois que le pouvoir existe et est utilisé dans un but, d'autres organismes gouvernementaux (peut-être moins qualifiés en analyse de données et moins exigeants dans leur utilisation) commenceront à utiliser les données. Par exemple, une fois que les capacités de collecte de données existent, si le FBI/CIA demandait les données, serait-il en mesure de les obtenir, alors qu'en est-il de l'application des lois locales, etc.

EDIT: Il semble également que le fluage de la portée se produit déjà avec cette histoire parler de la façon dont d'autres agences de renseignement, y compris le GCHQ, ont fait utilisation de PRISM

L'un des grands risques de ce type d'exploration de données (pour moi) est que quelqu'un extrait les données et tire des conclusions erronées. Par exemple, extraire une liste de personnes qui ont visité un site et l'utiliser comme "preuve" d'être impliqué dans un crime. Quiconque connaît l'Internet moderne peut voir le problème avec cette approche, mais tous les membres des forces de l'ordre n'ont pas ce niveau de formation.

Après tout ça, que pouvez-vous y faire? Eh bien, la partie juridique est évidemment de soutenir le FEP et d'en parler aux représentants légaux.

Techniquement, comme @Dermike le dit, vous pouvez regarder des choses comme les ToR/VPN pour cacher le trafic. Un mot d'avertissement est cependant que l'utilisation de ces services pourrait être considérée par les types de gouvernement comme "ayant quelque chose à cacher", alors attrapez-y un peu. En dehors de cela, n'utilisez pas de services basés aux États-Unis si vous n'êtes pas aux États-Unis. Bien qu'il n'y ait aucune raison spécifique de croire que d'autres gouvernements ne font pas la même chose, l'UE a de toute façon tendance à avoir plus de protections pour les informations personnelles des citoyens.

Modifier Voici une page listant les alternatives aux produits des sociétés qui ont été répertoriées comme participant au prisme.

En tant que personne qui suit les gens et leurs habitudes de vie, je partagerai quelques observations sur l'utilisateur moyen.

Implications de l'initiative de collecte d'informations téléphoniques sur Internet:

Il y aura un peu plus d'activité en ligne sur la confidentialité. Le twitterverse va "exploser" momentanément, mais les gens seront conscients de cela comme quelque chose qui se passe dans le gouvernement américain pendant environ une semaine jusqu'à ce qu'il tombe des médias grand public (où la plupart des gens obtiennent leurs "nouvelles"). ). Ensuite, ils cesseront d'en parler. La plupart des gens qui sentent qu'ils ne font rien de mal sentiront qu'ils n'ont rien à craindre ( la plupart des gens ressentent les gens ). Les paranoïaques essaieront de comprendre comment cacher les choses et [sans le savoir] se faire ressembler davantage à des personnes d'intérêt. Ce sont ces gens qui pensent que le gouvernement les surveille toujours, alors qu'en réalité le gouvernement recherche des modèles d'utilisation qui ne respectent pas la norme (donc ces gens piquent probablement l'intérêt, mais ils ne sont jamais vraiment surveillés parce que en dehors de quelques similitudes, ils continueront à agir normalement pour eux-mêmes).

Les personnes "mauvaises" qui réussissent réussissent beaucoup mieux à s'intégrer à la société que ces personnes.

Va-t-il gagner quelque chose pour le gouvernement? Pas vraiment autre que de leur permettre de se connecter quelques points pour les communications dans le passé. (L'information sera écrasante.) Politiquement, ce sera plus dommageable (c'est ce que je pense moi-même qu'il s'agit de toute façon). Si les gens faisaient de mauvaises choses sur les téléphones jetables, les chances sont (si ces personnes sont modérément intelligentes) que le téléphone avec les identifiants IMEI mal liés a été jeté, vendu ou donné. Cela fait juste que les gens "méchants" ignorants réalisent qu'ils doivent être meilleurs dans leurs habitudes.

Sachant cela, quelles mesures les particuliers peuvent-ils prendre pour se protéger contre la collecte et la divulgation de ces informations personnelles sensibles?

Malheureusement, la statique n'est pas de leur côté. La plupart des "individus ordinaires" ou des gens moyens n'ont pas un intellect où ils peuvent commencer à sonder ce qui est possible avec de tels nombres (identifiants). Quand ils essaient de le rechercher, ils peuvent devenir vraiment bons à cette seule chose (s'ils ont le luxe de se concentrer), mais ils échouent probablement ailleurs et la plupart d'entre eux sont trop occupés pour même s'en inquiéter parce qu'ils ont des problèmes du monde réel sur. Pour l'Américain moyen, ce sera une chose de plus qui se concentrera sur autre chose que ce dont il a besoin. Ils verront probablement cela comme de l'argent dépensé pour autre chose que les nécessités, qui pour eux vont être des choses comme l'éducation, la nourriture et l'aide publique ... des choses que les gens au-dessus de la moyenne (non ordinaires) tiennent pour acquis. Des choses que les pauvres craignent de perdre car elles échappent malheureusement à leur contrôle.

Les gens ordinaires pourraient remarquer qu'il y a moins de cartes téléphoniques sur les étagères chez les détaillants à grande surface à cause de la propagation de la paranoïa et parce que c'est là qu'ils achètent des choses.

Semblable à ce que disait Rory Alsop, la plupart des gens ne seront probablement pas en mesure de vous faire la différence entre leur moniteur et leur ordinateur (s'ils utilisent un ordinateur de bureau) et ils considèrent souvent les appareils mobiles électroniques comme un peu de magie ou de mysticisme qui travaille sous une forme ou une mode qu'ils ne veulent pas connaître. Ou ils les considèrent comme des luxes, des gadgets ou des jouets. Tant que cela fonctionne, ils ne sont pas concernés par la technologie.

La sécurité globale augmentera, les personnes compétentes augmenteront la barre; comme toujours.

Si vous êtes au courant, vous savez probablement qu'il n'y a rien que vous puissiez faire pour empêcher ce genre de chose de se produire et mener une "bonne" vie normale. Si vous voulez essayer de brouiller toutes vos communications, ou vivre hors de la grille, vous pouvez vous sentir plus à l'aise, mais je peux vous dire que c'est beaucoup plus difficile. Les gens sont suivis partout où ils vont.

Exemple simple:

Un utilisateur type achète une carte téléphonique chez un détaillant à grande surface. Ils utilisent leur carte de débit (ou une autre carte traçable). Ils rentrent chez eux et allument leur ordinateur. Ils se connectent à Internet avec une connexion non cryptée. Ils vont sur Facebook, Twitter, Yahoo ou d'innombrables autres sites où ils reçoivent de nombreux cookies de suivi. Ensuite, ils accèdent au site Web où ils rechargent leur téléphone en tapant les numéros de la carte qu'ils ont achetée, ou en entrant les numéros sur le téléphone lui-même pour ajouter plus de minutes. Ils peuvent utiliser ce téléphone pour se connecter à leur profil de médias sociaux directement où ils ont téléchargé une application de suivi. Les téléphones ont tous un suivi intégré sous couvert de "protection des utilisateurs". Ce numéro de téléphone figure dans leurs profils publics sur les réseaux sociaux et figure sur chaque enquête marketing, demande d'emploi et formulaire qu'ils remplissent. Ils sont traçables et assez cohérents (jusqu'à ce qu'ils perdent un emploi ou quelque chose de ce genre). S'ils perdent leur téléphone (avec leur "vie" dessus), ils garderont le même numéro de téléphone.

Comment pouvez-vous ne pas être cette personne?

1. Utilisez de l'argent pour tous les achats liés à la technologie.
2. N'enregistrez pas votre achat.
3. Essuyez le système d'exploitation sur l'appareil et utilisez un système d'exploitation open source comme plate-forme hôte. Ou utilisez un système d'exploitation comme Knoppix si vous souhaitez ne laisser aucune trace.
4. Si vous devez exécuter quelque chose comme Windows, exécutez-le sous une machine virtuelle. Activez-le mais ne l'enregistrez pas.
5. Empêchez toute communication avec les entreprises qui vous suivent. Vous pouvez le faire avec des règles de pare-feu sur un pare-feu matériel.
6. Vous pouvez essayer d'utiliser quelque chose comme TOR, mais rappelez-vous que s'ils surveillent votre emplacement, ils surveillent l'emplacement que vous essayez d'atteindre parce qu'ils ont déjà compris votre modèle.
7. Arrêtez d'utiliser les cartes de crédit.
8. Arrêtez de fournir vos informations librement sur le Web. (Enregistrements de domaine, médias sociaux, etc.)
9. Arrêtez de lier vos habitudes à votre personne en ligne.
10. Soyez imprévisible.
11. Essuyez les choses qui doivent être effacées. Ne pas garder de copies fissurées de quoi que ce soit sur tout ce qui ne peut pas être détruit avec une torche ou un briquet.
12. Pensez aux clés USB et aux disques durs et SSD.

Ou mieux encore ... débranchez-le plus souvent et cessez de vous en inquiéter. La vie est trop courte pour ce genre de choses.

La réponse de @ D3C4FF frappe le clou sur la tête, mais il existe un autre point de vue concernant l'internaute moyen:

L'internaute moyen n'a pas de concept de confidentialité, à part "le gouvernement qui regarde mes données est mauvais, mmmkay"

L'utilisateur moyen partage délibérément plus d'informations sur lui-même, délibérément, avec le reste du monde que l'acronyme de 3 lettres utilisé pour pouvoir utiliser des agents. (Voir cette vidéo pour une vue pas trop éloignée de la réalité)

Si l'internaute moyen s'inquiétait réellement de ce genre de choses, il n'utiliserait pas non plus les sites de réseautage social ou un large éventail d'autres sites - mais ce n'est pas le cas. Ils aiment pouvoir faire des choses amusantes, discuter avec des gens, partager des informations, etc.

Donc, les implications sont à peu près nil

Maintenant, cela ne vaut pas pour les chapeaux de papier d'aluminium, les individus qui peuvent être de grande importance, les criminels et d'autres groupes de niche - mais ils ne sont pas moyens ...

Ça a toujours été un problème, vous vous en foutiez

Je ne suis pas sûr que vous ayez à vous en préoccuper autant que vous n'auriez dû auparavant. Gardez à l'esprit que ce qu'ils collectent sont ceux de votre opérateur Call Data Records (ou au moins un sous-ensemble de cela). Vous faisiez déjà confiance à un tiers avec tout cela, et c'était déjà un tiers auquel je n'aurais personnellement pas fait confiance avec beaucoup de quoi que ce soit. Ce sont des opérateurs mobiles. Ils ne vous donnent pas de communications gratuitement, tout comme le Wi-Fi dans les aéroports s'est très rapidement arrêté pour être un produit gratuit, sauf s'il est fourni par un magasin où ils s'attendent à ce que vous achetiez du café et des gâteaux (méfiez-vous de ce en quoi vous faites confiance dans ce magasin avec aussi, d'ailleurs, mais c'est un sujet différent).

(( Remarque: J'ai travaillé sur le développement d'outils pour traiter les enregistrements de données d'appel et d'autres choses pour certains grands opérateurs et fabricants de téléphones. Et les banques. C'est choquant ce que vous supposeriez être fait "dans le bon sens" et être "sécurisé" parce que putain de dieu devrait être , mais vraiment pas 't ...)

Résultats

Peut-être que cela poussera les gens à utiliser des systèmes de communication plus sécurisés. Bien sûr, vous ne pouvez pas contourner entièrement vos opérateurs télécoms. Ou pouvez-vous?

Votre plan de données est votre ami

Les utilisateurs pourraient recourir à leur plan de données pour VoIP au lieu d'utiliser les canaux de communication normaux sur leur téléphone. Cela signifie préférer Skype, Google Hangouts, What's App ou autres aux appels vocaux normaux et aux SMS/MMS.

Tant que vous faites confiance à ceux-ci pour être cryptés de manière sûre et non réversible, bien sûr. Vous devriez préférer un outil open source qui fournit plus d'informations sur ce qui se passe sous les couvertures et fournit un cryptage fort ...

Communications décentralisées à l'aide des technologies sans fil intégrées de votre téléphone

Je ne suis au courant de rien en ce moment (mais il pourrait déjà y avoir des solutions), mais des téléphones avec des antennes intégrées pour le Wi-Fi ou d'autres technologies sans fil avec des portées décentes (ou la possibilité de brancher une antenne externe avec USB) pourrait parfois conduire à des moyens de communication assez intéressants qui n'auraient PAS besoin de se connecter aux tours de téléphonie cellulaire de votre opérateur.

Pensez-y de cette façon: avec ceux-ci, votre téléphone peut atteindre n'importe quel téléphone qui se trouve dans la portée locale de votre technologie choisie. Qui peut atteindre les autres. Si cela ne vous rappelle pas les systèmes Swarm et DHT de certains réseaux P2P ...

Cela a des implications impressionnantes car vous pourriez avoir un système de communication décentralisé qui ne dépend pas des opérateurs, est essentiellement anonyme ET sécurisé, et pourrait être utilisé à la fois dans les zones "civilisées" pour éviter les coûts ou dans les zones "opprimées" pour éviter la censure et le suivi .

Bien sûr, vous n'allez que dans la mesure où votre réseau mobile vous mènerait, et dans des zones reculées ce ne serait pas si bien (disons, gardez votre contrat si vous partez en trekking dans les montagnes ...). Mais pour le reste, avec quelques 6,8 milliards d'abonnés mobiles activés en 201 et plus à venir, vous pourriez être bien et en mesure d'atteindre loin si vous êtes dans une grande ville et nous avons mis en place des hubs VPN entre ceux-là ...

Maintenant, ce serait assez génial. Mais cela nécessiterait de sérieux efforts et un esprit communautaire pour se passer des grosses mains velues des gourmands pour tenter de voler le gâteau (ou adopter des lois pour le rendre illégal). Je suppose que nous pourrions même utiliser les mêmes bandes que pour les communications normales avec les téléphones portables, mais je suis à peu près sûr que c'est tout à fait illégal, même si cela se fait de manière non perturbatrice.

Mise à jour 2014-04-02: Et puis il y avait OpenGarden 's FireChat ...

Là encore, vous devez toujours faire confiance à votre combiné et à son système d'exploitation pour ne pas être buggé. Zut.

Si vous souhaitez masquer votre destination et le contenu de votre communication (et aider d'autres personnes à travers le monde à masquer la leur *), jetez un œil à `` The Onion Router '' alias TOR.

Il utilise (principalement trois) serveurs proxy de votre choix. Chacun ne sait pas à quel serveur vous souhaitez vous connecter, mais c'est son prochain voisin. Étant donné que tous les serveurs proxy ne sont pas contrôlés par You-Know-Who, il n'est pas possible de savoir d'où provient la demande d'origine sur la cible. De plus, il n'est pas possible de savoir où est ciblée votre demande car seul le prochain proxy de votre ligne est connu.

Mais ne prenez pas mon Word pour ça, voir leur description sur https://www.torproject.org/

*) Plus les gens l'utilisent pour surfer `` légitimement '', meilleures sont les personnes par exemple La Syrie peut nier qu'elle voulait voir des choses interdites. Quand seulement ... disons que la propagande nazie est diffusée depuis TOR et rien d'autre, il est facile de dire ce que vous avez regardé en l'utilisant.

Il existe un magazine sur ce type de sécurité (en particulier contre NSA et autres). The Tech Active Series - The Hacker's Manual 2015. Dans le premier chapitre, il parle de confidentialité, comment protéger votre confidentialité, comment empêcher les agences ou les chapeaux noirs de suivre vos données, les alternatives open source pour les services à usage quotidien, comment sécuriser votre smartphone et crypter vos données. Je vous conseille de le lire attentivement car certains détails peuvent vous surprendre .

Par exemple:

• ... la surveillance des activités réseau est plus efficace que l'attaque des systèmes, donc le NSA a des programmes qui interceptent le matériel grand public, comme les ordinateurs portables et les routeurs, et les transforme en dispositifs de surveillance qui peuvent être activés à distance
• ..Tor utilise de nombreux nœuds relais pour la confidentialité, mais il existe des rapports non confirmés selon lesquels de nombreux nœuds de sortie sont gérés par des agences gouvernementales
• ..comment utiliser [~ # ~] zrtp [~ # ~] pour crypter vos appels téléphoniques
• .the NSA consacre des ressources considérables pour infiltrer les ordinateurs, gérés par son groupe TAO. On pense que TAO a une multitude d'exploits can attaquer n'importe quel PC ..
• comment configurer votre propre cloud pour éviter de suivre vos données avec OwnCloud
• comment utiliser [~ # ~] pgp [~ # ~] le cryptage dans vos e-mails (il peut s'agir de Gmail ou Yahoo ou de n'importe quel service)
• comment proxy de votre trafic et e-mails via JonDo
• plugins de cryptage pour la messagerie instantanée (Pidgin, Kopete) par [~ # ~] otr [~ # ~]
• comment partager des fichiers sécurisés avec http://www.securesha.re
• en utilisant Rasperry Pi pour votre propre service cloud et VPS

Je pense qu'il n'y a pas de meilleur professeur que suspicion dans le domaine de la sécurité. Ne faites confiance à personne, à moi ou à ce magazine, mais en même temps ne faites pas confiance à google, facebook, dropbox ou même tor. À cet âge, chaque individu peut utiliser ses propres outils, services, systèmes, même si cela peut coûter cher à certains d'entre eux;

la confidentialité n'a pas de prix