IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trois Américains, dont un actuel cadre d'ExpressVPN, reconnaissent leur implication dans des activités de cyberspionnage pour les Émirats arabes unis,
Edward Snowden lance l'alerte contre ExpressVPN

Le , par Patrick Ruiz

31PARTAGES

9  0 
Trois anciens agents de la NSA ont reconnu avoir enfreint les lois américaines sur le partage et les interdictions de vendre des technologies militaires sensibles. Marc Baier, Ryan Adams et Daniel Gericke qui travaillaient comme cyberespions pour les Émirats arabes unis vont payer un total de 1,69 millions de dollars pour éviter toute poursuite. Le tableau soulève la question de l’utilisation des technologies militaires par les gouvernements à des fins d’espionnage de tiers. En sus, le cas ExpressVPN fait débat : peut-on continuer à se fier aux solutions du spécialiste de la sécurité informatique ?

Les trois agents ont travaillé dans le cadre du projet Raven destiné à espionner les tiers dan le viseur des Émirats arabes unis. Leurs faits d’armes incluent le piratage des réseaux informatiques aux États-Unis, de comptes de journalistes, de gouvernements rivaux et de militants des droits de l’Homme.

« Les prévenus ont travaillé en tant que cadres supérieurs dans une société basée aux Émirats arabes unis (U.A.E. CO) qui a soutenu et réalisé des opérations de piratage au profit du gouvernement des EAU entre 2016 et 2019. Bien qu'ils aient été informés à plusieurs reprises que leur travail pour U.A.E. CO, en vertu de la réglementation sur le trafic international d'armes, constituait un " service de défense " nécessitant une licence de la Direction du contrôle du commerce de défense du Département d'État, les défendeurs ont procédé à la fourniture de ces services sans licence.

Ces services comprenaient la fourniture d'un soutien, d'une direction et d'une supervision pour la création de systèmes "zéro-clic" sophistiqués de piratage informatique et de collecte de renseignements , c'est-à-dire capables de compromettre un dispositif sans aucune action de la part de la cible. Les employés d'U.A.E. CO, dont les activités étaient supervisées par les accusés et connues d'eux, ont ensuite déployé ces exploits "zero-click" pour obtenir et utiliser de façon illégale des identifiants d'accès à des comptes en ligne émis par des sociétés américaines et pour obtenir un accès non autorisé à des ordinateurs, comme à des téléphones portables, dans le monde entier, y compris aux États-Unis », précise le Département américain de la justice.

Le cas Daniel Gericke suscite un intérêt particulier étant donné que ce dernier est un actuel cadre de la société ExpressVPN. « Si vous êtes client d’ExpressVPN, vous ne devriez pas l’être », a lancé Edward Snowden.



Dans un communiqué en lien avec les révélations sur la participation de Daniel Garicke à des activités de cyberespionnage, ExpressVPN rassure :

« Nous trouvons profondément regrettable que les nouvelles de ces derniers jours concernant Daniel Gericke aient créé des inquiétudes parmi nos utilisateurs et donné à certains des raisons de remettre en question notre engagement envers nos valeurs fondamentales. Pour être tout à fait clair, même si nous apprécions l'expertise de Daniel et la façon dont elle nous a aidés à protéger nos clients, nous ne cautionnons pas le Projet Raven. La surveillance qu'il représente est totalement contraire à notre mission.

ExpressVPN se tient fermement du côté d'un Internet plus libre, plus sûr et plus privé, et nous ne pouvons pas le faire sans le soutien de nos clients et de la communauté Internet au sens large.

Bien que nous soyons convaincus que notre engagement envers cette mission est inébranlable, nous comprenons que les actions parlent plus fort que les mots. Pour commencer, nous allons augmenter la cadence de nos audits tiers existants afin de certifier chaque année notre conformité totale avec notre politique de confidentialité, y compris notre politique de non-stockage des journaux d'activité ou de connexion. Ce n'est qu'une première étape et nous continuerons à nous efforcer de gagner votre confiance.

Dans le même temps, si nous ne souhaitons en aucun cas diminuer la sincérité des préoccupations que nous avons entendues, nous voulons vous rassurer en vous disant que nous les avons étudiées en profondeur et que nous ne les partageons pas. Pour vous aider à comprendre comment nous pouvons être si confiants, nous devons partager avec vous la façon dont Daniel s'inscrit dans notre mission en tant que société, passée, présente et future.

Depuis le début, ExpressVPN s'est engagé à protéger la vie privée de ses clients et la sécurité de ses opérations. Cela se manifeste dans tout ce que nous faisons, de notre système TrustedServer révolutionnaire aux mesures approfondies que nous prenons pour empêcher quiconque d'injecter des logiciels malveillants dans nos applications. Nous savons que nous demandons à nos clients de nous faire confiance et nous ne considérons jamais cette confiance comme acquise. C'est pourquoi nous ouvrons volontairement nos systèmes à l'examen d'auditeurs externes sur une base régulière (comme lorsque PwC a effectué un examen approfondi de notre technologie TrustedServer et de notre conformité à la politique de confidentialité) et c'est pourquoi nous rendons même quelque chose d'aussi critique que notre protocole Lightway spécialement conçu librement disponible (et révisable) en tant que logiciel open-source.

Lorsque nous avons embauché Daniel en décembre 2019, nous connaissions son parcours : 20 ans de cybersécurité, d'abord au sein de l'armée américaine et de divers entrepreneurs gouvernementaux, puis dans une entreprise américaine fournissant des services de renseignement antiterroriste aux États-Unis et à son allié, les Émirats arabes unis, et enfin dans une entreprise des Émirats arabes unis faisant le même travail. Nous ne connaissions pas les détails des activités classifiées, ni d'aucune enquête avant sa résolution ce mois-ci. Mais nous savions ce que nous avions construit ici à ExpressVPN : une entreprise où chaque système et processus est renforcé et conçu pour minimiser les risques de toutes sortes, tant externes qu'internes.

Certains peuvent se demander : Comment avons-nous pu inviter volontairement quelqu'un avec le passé de Daniel dans notre milieu ? Pour nous, la réponse est claire : nous protégeons nos clients.

Pour faire ce travail efficacement - pour le faire, comme nous le pensons, mieux que quiconque dans notre secteur - il faut exploiter toute la puissance de feu de nos adversaires. Les meilleurs gardiens de but sont ceux qui sont formés par les meilleurs attaquants. Quelqu'un qui a fait ses classes dans le domaine de l'attaque, comme l'est Daniel, peut offrir des perspectives sur la défense qui sont difficiles, voire impossibles, à trouver ailleurs. C'est pourquoi il existe un précédent bien établi d'entreprises de cybersécurité qui embauchent des talents issus de l'armée ou du renseignement.

Avant son arrivée, nous disposions déjà de solides protections intégrées à nos opérations pour empêcher toute falsification ou tout dommage de l'intérieur. Bien qu'il ait gagné notre confiance, nous ne nous sommes jamais reposés uniquement sur cette confiance ; nous nous appuyons plutôt sur nos contrôles. (Un seul exemple : Conformément à notre adhésion au principe du moindre privilège, aucune personne qui n'est pas responsable de la maintenance ou de l'introduction de changements sur les serveurs VPN ne dispose des autorisations nécessaires pour le faire - ni Daniel, ni nos cofondateurs, ni quiconque n'en ayant pas besoin).

Depuis que Daniel nous a rejoints, il a rempli exactement la fonction pour laquelle nous l'avons engagé : Il a constamment et continuellement consolidé et renforcé les systèmes qui nous permettent d'offrir la confidentialité et la sécurité à des millions de personnes. »

Sources : DoJ, ExpressVPN

Et vous ?

Que pensez-vous du positionnement de la société ExpressVPN sur le cas Daniel Garicke ?
Peut-on continuer à se fier aux solutions ExpressVPN ?

Voir aussi :

USA : deux anciens employés de Twitter accusé d’avoir profité de leur position dans la structure, pour espionner des opposants au régime saoudien
Les Saoudiens ont piraté le smartphone du PDG d’Amazon pour accéder à ses données privées, d’après un consultant en sécurité engagé par Jeff Bezos
Le prince saoudien serait derrière le piratage du téléphone du patron d’Amazon Jeff Bezos qu’il aurait infiltré par un fichier vidéo malveillant envoyé depuis un compte WhatsApp
Comme pour les Saoudiennes, tout téléphone est pisté via un IMEI, un des yeux des gouvernements sur les masses
Google ne supprimera pas l’application du gouvernement saoudien qui suit les femmes, car elle n’est pas en violation avec ses conditions de service

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de user056478426
Membre actif https://www.developpez.com
Le 20/09/2021 à 10:38
Depuis que j'ai découvert AlgoVPN (wireguard) je déploie mon vpn moi même et je le recrée tous les 6 mois environ. Je n'utiliserai plus jamais un fournisseur tier et j'encourage tout ceux qui ont les compétences à faire de même.
4  0 
Avatar de Depix
Membre du Club https://www.developpez.com
Le 20/09/2021 à 16:56
Citation Envoyé par user056478426 Voir le message
Depuis que j'ai découvert AlgoVPN (wireguard) je déploie mon vpn moi même et je le recrée tous les 6 mois environ. Je n'utiliserai plus jamais un fournisseur tier et j'encourage tout ceux qui ont les compétences à faire de même.
J'utilise PiVPN (Wireguard egalement), et je suis tres satisfait. Il tourne bien entendu sur un raspberry pi, mais egalement sur n'importe quelle machine linux. Wireguard n'est pas tres gourmant en resources.. une machine de 512mb ram et 1vCPU avec 1GB de stockage est largement suffisante pour deux ou trois utilisateurs.
3  0 
Avatar de user056478426
Membre actif https://www.developpez.com
Le 21/09/2021 à 10:34
Citation Envoyé par Aiekick Voir le message
peu importe la techno de vpn, tout votre trafic passe par leur serveurs, donc il suffit comme c'est le cas ici de tomber sur des brigands et vous etes fichus.
aucune techno tiers n'est sur. il faut peser le pour et le contre en sommes.

la securité passe par un pc non connecté au reseau et sans controleur wifi, bluetooth et autres..
Il faut nuancer. Entre un fournisseur tier qui a sa propre techno propriétaire et un programme open source audité par la communauté qu'on déploie dans le cloud sur une machine qu'on contrôle, le choix est vite fait. Certes l'hébergeur cloud à la main sur la machine, mais en terme de risques de sécurité et d'espionnage il n'y a pas photo, la 2ème option apporte un risque plus limité. Par défaut le VPN n'est pas adapté à tous les modèles de menace, peu importe comment il est déployé. Si ta plus grande inquiétude c'est la CIA, DGSE, un VPN n'est pas la solution.
1  0 
Avatar de user056478426
Membre actif https://www.developpez.com
Le 21/09/2021 à 10:40
Citation Envoyé par smarties Voir le message
Je ne connaissais pas AlgoVPN, merci
Par contre, tu loue un VPS qui a quels specs, j'ai tendance à penser que je surdimensionne mes besoins
J'ai sélectionné la plus petite instance dispo sur un hébergeur cloud (5$/mois pour 1vCPU, 1Gb RAM, 25Gb SSD, 1To Bandswitch), pour 2-3 utilisateur ça suffit.
1  0 
Avatar de JfmbLinux
Membre à l'essai https://www.developpez.com
Le 24/09/2021 à 11:12
Citation Envoyé par user056478426 Voir le message
Depuis que j'ai découvert AlgoVPN (wireguard) je déploie mon vpn moi même et je le recrée tous les 6 mois environ. Je n'utiliserai plus jamais un fournisseur tier et j'encourage tout ceux qui ont les compétences à faire de même.
Salut,

Tu as utilisé un tuto pour ça ?
1  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 20/09/2021 à 11:52
Je ne connaissais pas AlgoVPN, merci
Par contre, tu loue un VPS qui a quels specs, j'ai tendance à penser que je surdimensionne mes besoins
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 21/09/2021 à 10:02
peu importe la techno de vpn, tout votre trafic passe par leur serveurs, donc il suffit comme c'est le cas ici de tomber sur des brigands et vous etes fichus.
aucune techno tiers n'est sur. il faut peser le pour et le contre en sommes.

la securité passe par un pc non connecté au reseau et sans controleur wifi, bluetooth et autres..
0  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 22/09/2021 à 9:04
Après j'hésite entre un VPS et une offre où je déploie mon conteneur docker (sur les offres docker, je trouve que les tarifs restent élevés malgré le faible besoin en ressources)
0  0 
Avatar de user056478426
Membre actif https://www.developpez.com
Le 22/09/2021 à 9:33
Citation Envoyé par smarties Voir le message
Après j'hésite entre un VPS et une offre où je déploie mon conteneur docker (sur les offres docker, je trouve que les tarifs restent élevés malgré le faible besoin en ressources)
Avec algovpn il n'y a pas vraiment ce sujet, c'est algo qui déploie le vps avec un token d'accès, ou alors via ssh. T'as juste à configurer tes utilisateurs.
0  0