Bonjour,
Stephane Bortzmeyer wrote on 28/06/10 10:07: >> Ces projets sont alimentés par des associations/groupes de >> chercheurs en sécurité reconnus au niveau mondial. > > Attention, tous ces projets ne sont pas forcément « reconnus ». Il > existe de tout dans le domaine de la sécurité, par exemple des > « éradicateurs » qui réclament des exécutions capitales immédiates et > sans jugement sur simple notification de leur part (un bon exemple est > décrit en > <http://www.lebardegandi.net/post/2010/03/05/Blackliste-par-SORBS-un-jour-dans-la-vie-de-Gandinet>). Je ne pense pas qu'au niveau international, quiconque puisse juger Team Cymru ou le SANS comme agissant à la va vite ou appelant à des exécutions capitales. Team Cymru est une équipe CERT inscrite au FIRST (http://www.first.org/members/teams/index.html) et membre du DNS OARC (https://www.dns-oarc.net/) Le SANS ISC est une branche du SANS, organisme qui fait les certifications sécurité GIAC, orienté veille et suivi d'incident et quasiment incontournable au niveau international au même titre que Team Cymru. Je n'ai pas connaissance que l'une ou l'autre n'ait jamais agi d'une telle manière et ce, en pleine connaissance de cause. Ensuite, ce n'est pas parce que certains appellent à la révolution que les autres ne peuvent pas fonctionner en bonne intelligence. > >> 1- Des NDA/contrats sont possibles; > > Si le récepteur des données est aux États-Unis, cela ne vaut > rien. Imaginez qu'un policier demande audit récepteur des données, > croyez-vous que le NDA signé tiendra longtemps contre un subpoena ? Au même titre qu'en France, en Chine ou dans n'importe quel état ayant un minimum de souveraineté ... L'aspect contractuel est avant tout une "protection" entre partenaires et contre des tiers non-étatiques. > > Il est donc impératif de n'envoyer des données qu'à l'intérieur de > l'Union Européenne. Très réducteur, parce qu'il n'y a probablement plus beaucoup d'entreprises qui travaille sans échanger des données au niveau mondial. Le partage de données à caractère personnelles (DCP) est fixé par des clauses contractuelles dont des modèles sont fournis par l'UE: http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_en.htm http://eur-lex.europa.eu/JOHtml.do?uri=OJ:L:2010:039:SOM:FR:HTML De plus, le Safe Harbor américain (http://www.export.gov/safeharbor/eg_main_018236.asp) a justement été créé pour que les entreprises US puissent continuer à travailler légalement avec celles de l'UE. Pour le reste, il importe à chacun de protéger ce qu'il juge important et donc de chiffrer ses données personnelles le plus souvent. Ceux qui voudront aller plus loin pourront se tourner vers la CNIL http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Guide-tranfertdedonnees.pdf > >> 3- Les données peuvent être anonymisées avant émission ou avant >> toute diffusion hors du cercle restreint défini initialement (même >> si cela va réduire leur utilité). > > Des suggestions pratiques pour cela ? Car l'anonymisation n'est pas > une solution miracle > <http://www.schneier.com/blog/archives/2007/12/anonymity_and_t_2.html>. Sur l'anonymisation, tout dépend des données et savoir s'il y a un contexte qui peut être croisé pour dés-anonymiser. Sur du trafic réseau, un ranonymize/argus ou un FLAIM sera tout à fait efficace sauf si le payload indique un pop d'email ou autre chose qui rend facile l'inversion du processus, d'où le besoin de chiffrer ce qui comprend des données à caractères personnelles (ce qui est malheureusement assez rare chez nos opérateurs, même si cela évolue lentement). L'exemple typique est TOR dont il a été plusieurs fois démontré l'utilisation maladroite. Des outils type: http://www.qosient.com/argus/anonymization.htm (qui propose de supprimer le payload) http://flaim.ncsa.illinois.edu/ http://www.ics.forth.gr/dcs/Activities/Projects/anontool.html Ce n'est cependant pas des solutions que je préconiserais dans un cadre d'échange de confiance. Elles me semblent plus destiné à un partage public ou à large échelle. Ici, il s'agit d'un partage de données avec une communauté dans un cadre défini et qui n'a pas à en sortir. Cela n'est malheureusement pas une preuve que ce ne sera pas le cas, mais comme déjà dit, c'est la base de la confiance et une nécessité absolue pour une communauté sécurité. Cordialement, Julien Touche --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
