X
Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?

News Partenaire

Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?

A l’heure où le règlement général sur la protection des données va entrer en application, entreprises et administrations se demandent toujours comment procéder. Certaines décident d’y aller seules, d’autres se tournent vers des hébergeurs cloud pour les aider et les accompagner. Agarik assume ce rôle en mettant en avant son expertise en matière de sécurité.

Qui fournit des liaisons Internet à daesh ?

L’organisation terroriste utilise des liaisons satellitaires pour avoir accès à Internet dans les zones contrôlées en Syrie notamment. Il est difficile de savoir si les fournisseurs de ces accès savent ou non qui sont leurs clients finaux mais une chose est certaine : ces entreprises sont connues, s’appellent Avanti Communications, SES ou le Français Eutelsat. 

En matière de « marketing » de sa propagande, l’organisation terroriste daesh est l’une des meilleures : utilisation des réseaux sociaux pour « recruter », diffusion d’images, de messages voire attaques informatiques… Internet est un des pivots centraux de la stratégie de l’organisation qui rappelons-le, contrôle des territoires répartis entre la Syrie et l’Irak. Mais pour avoir accès au Web, il faut bien que l’organisation utilise des accès et donc des fournisseurs ; chose plutôt complexe dans une zone de guerre où de nombreuses infrastructures ont été détruites. 

C’est pourquoi daesh s’est tourné vers l’utilisation de liaisons satellitaires. Dans une longue enquête, le site du quotidien allemand Spiegel a cherché à comprendre comment il est possible que les terroristes puissent accéder à ces offres. Ce qui soulève de nombreuses questions à commencer par : qui sont les fournisseurs ? Sont-ils conscients de fournir des accès à l’organisation terroriste ? Est-il possible d’y mettre fin ? Ou quelle est la chaîne de distribution entre le satellite et le « client final » ? 

La Turquie, carrefour du commerce électronique

Beaucoup de choses commencent dans la région du Hatay, au sud de la Turquie, au bord de la Méditerranée, dans la ville d’Antioche. La cité est située près de la frontière syrienne, à 150 km de la ville d’Alep en Syrie. Historiquement, c’est un carrefour du commerce où encore aujourd’hui de nombreuses marchandises en tout genre continuent de circuler, profitant de la porosité des frontières de la région. 

Depuis quelques années, des milliers de récepteurs satellitaires ont été installés pour accéder à Internet. On parle de connexions haut débit à 22 Mbit/s en téléchargement, et 6 Mbit/s en upload. Mais comme partout ailleurs, la réception par satellite est plus chère qu’une connexion par câble : l’équipement pour recevoir Internet coûterait environ 500 dollars dans la région, et 500 autres dollars pour un accès pendant 6 mois avec une petite enveloppe de données. Nous le constatons chaque jour en France : pour des personnes qui n’ont pas d’autres options, la réception satellitaire est une aubaine. En Turquie et en Syrie, elle est utilisée par les citoyens, des organisations politiques d’opposition et certaines ONG. Sans oublier par daesh. 

Selon nos confrères, le business des équipements pour recevoir Internet par satellite a explosé ces derniers mois en Syrie où l’on recense environ 2 500 utilisateurs. A Antioche, les revendeurs affirment qu’en ce qui concerne l’autre côté de la frontière ils s’en remettent à « des partenaires commerciaux » et qu’ils ne savent pas qui sont les clients finaux. Tout au long de la chaîne de distribution d’Internet par satellite, il est consternant de constater que personne ne sait qui est ce client final ; plus exactement, tous les intervenants ne cherchent pas vraiment à le savoir. 

Certaines sources locales expliquent le fonctionnement de l’organisation terroriste : dans les zones contrôlées, seuls les techniciens autorisés peuvent installer des récepteurs. Ceci permet aux dirigeants de daesh de conserver une sorte de contrôle, qu’on imagine partiel, sur qui a accès à Internet ou non. Bien évidemment, il est interdit d’accéder au Web sans la permission desdits dirigeants ; d’où l’émergence de sortes de cyber-cafés. 

Qui sont les fournisseurs ? 

C’est bien entendu la question la plus importante. Et il n’est pas bien compliqué d’y répondre car il n’y a que peu d’acteurs sur le marché européen. Il s’agit du Français Eutelsat, de l’Anglais Avanti Communications et du Luxembourgeois SES. Peut-être l’offre « Tooway » d’Eutelsat vous évoque-t-elle quelque chose… Avanti propose quant à lui « Hughes by Avanti ». 

Tous les matériels nécessaires à la connexion satellitaire transitent par le troisième plus grand port du monde, celui de Rotterdam, aux Pays-Bas. La plupart des constructeurs sont quant à eux situés en Europe de l’Est. Dans la région EMEA (Europe, le Moyen-Orient et Afrique), les clients sont notamment des spécialistes de la distribution qui achètent de la capacité aux fournisseurs comme ceux cités ci-dessus pour la revendre soit à des entreprises, soit à des particuliers directement. 


La NSA et le GHCQ espionnent les satellites allemands

Dans un article de The Intercept écrit en septembre 2014, nous apprenions ce que signifiait « Treasure Map ». C’est un programme secret initié par la NSA pour espionner les satellites. « Les services de renseignement pourraient utiliser les données de ce document pour couper entièrement les liaisons Internet dans toute l’Afrique », expliquait, après avoir consulté ledit document, le directeur technique du fournisseur allemand d’accès par satellite Stellar PCS. Treasure Map était en fait un plan pour mapper l’Internet mondial et « identifier et localiser chaque appareil connecté à Internet où qu’il soit à travers le monde ». Et ce n’importe où, n’importe quand.


Les fournisseurs comme Eutelsat ou Avanti Communications ne fournissent pas de données sur le nombre de clients dans la région qui nous intéresse. Mais en Turquie, une autre manière permet d’avoir une estimation plutôt fiable : chaque utilisateur d’une liaison satellitaire doit s’enregistrer auprès de l’autorité de télécommunications BTK. Celle-ci affirme qu’il y avait 11 000 utilisateurs pendant le 1er trimestre 2015, soit 500 de plus qu’en 2014. L’entreprise allemande Sat Internet Services, qui fournit des antennes, explique quant à elle avoir exporté en Turquie plus de 6 000 antennes entre 2013 et 2014. Il y a une forte probabilité pour que ces antennes se soient vendues à prix d’or en Syrie. 

La majorité des satellites d'Eutelsat couvrent la zone EMEA.

Une chaîne de distribution très complexe

Il se pourrait que l’organisation terroriste n’achète pas elle-même le matériel nécessaire mais qu’elle s’offre les services d’intermédiaires. Des sources à Antioche rapportent en effet que l’on y aperçoit régulièrement « des hommes barbus en tong » venir discrètement acheter « des dizaines d’antennes en même temps ». 

La tortueuse chaîne de distribution et les multiples intermédiaires complexifient effectivement les moyens d’obtenir des informations sur qui sait quoi. Il y a d’ailleurs de fortes chances pour que les principaux concernés (Eutelsat, SES et Avanti) ne sachent pas qui sont leurs clients finaux. Interrogé à ce propos, le Luxembourgeois SES s'explique : « nous n’avons aucune connaissance des utilisateurs dans les zones syriennes contrôlées » par daesh. Dans le cas contraire « nous mettrions tout en œuvre pour stopper immédiatement ces accès ». De son côté, Eutelsat explique que la miniaturisation et la mobilité des antennes actuelles empêchent de superviser des utilisations potentiellement illicites. Il affirme aussi n’avoir aucun fournisseur de services en Syrie. Enfin, la chaîne de distribution étant obscure et complexe du fait des nombreux intermédiaires, il est quasi impossible de tracer un matériel de Rotterdam jusqu’à sa localisation finale. 

En revanche, pour utiliser un équipement satellitaire, l’utilisateur doit obligatoirement renseigner ses coordonnées GPS. Et dans un document obtenu par le Spiegel Online, il apparaît que les données GPS de 2014 et 2015 indiquent précisément que les antennes sont utilisées dans les zones contrôlées par l’organisation terroriste ; on trouve beaucoup de traces GPS à Alep mais aussi et surtout à Raqqa, al-Bab, Deir ez-Zor ou encore Mossoul (Irak). 

Les fournisseurs jouent-ils un double jeu ? 

Pour répondre à cette question, il faut s’intéresser à l’aspect financier des choses. Il est courant d’évaluer le coût de la construction et du lancement d’un satellite entre 300 et 400 millions d’euros. D’une durée de vie moyenne de 15 ans, il faut donc le rentabiliser très vite. Et donc attirer autant de clients que possible. 

Cela expliquerait pourquoi les fournisseurs ne sont en fait pas vraiment intéressés par savoir qui sont leurs clients finaux, tant que cela rapporte de l’argent. Car techniquement, il est possible de couper l’accès à un réseau grâce à l’OSS (Operational Support System). Mais surtout, les fournisseurs ont la capacité de savoir quelles données sont transmises ou sont reçues sur leurs réseaux et les récepteurs. 

Le Spiegel Online avance qu’il est également possible que ces informations soient partagées avec les services de renseignement de plusieurs pays. Ainsi, il s’agirait donc de surveiller discrètement les informations partagées. « Il ne serait pas difficile pour les services de renseignement d'exploiter les connexions, étant donné que les stations terrestres utilisées pour nourrir les signaux satellites dans les réseaux câblés sont situées dans les pays européens, y compris à Chypre (Avanti) et en Italie (Eutelsat) », écrivent nos confrères. D’autant plus qu’ils ajoutent une dernière information : le gouvernement français est actionnaire à 26% d’Eutelsat via la Caisse des Dépôts et Consignations. 


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Tendances, Réseau


A votre avis...
Comment concilier Big Data et RGPD ?

Comment concilier Big Data et RGPD ?

Alors que le jour officiel de l’entrée en vigueur du règlement européen de la protection des données (RGPD) approche, le Big Data est au cœur des préoccupations de DSI et des DPO. Protections...

Afficher tous les dossiers

BIG DATA : technologies, usages et futur - La 5G en ordre de bataille - Windows Server Project Honolulu - Serverless : le calcul sans serveur prêt pour la production ? - Faille memcached - Bootcamp WebForce3 - Comparatif smartphones - Rencontre avec Idriss Aberkane...

 

GUIDE DES GRANDS CLOUDS PUBLICS - Sécurité 2.0 Threat Intelligence - Logiciels Libres, le secteur public dit oui ! - Big Data & RGPD - Enceintes connectées : pour l'entreprise aussi ! - Développez des jeux vidéo avec Unity 3D - Le Wagon, le bootcamp coding qui cartonne...

 

Afficher tous les derniers numéros
News Mag-Securs
12345678910Last

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Adoptée le 6 juillet 2016, la directive NIS (pour Network Infrastructure Security) doit être transposée par les Etats membres de l’Union Européenne au plus tard le 9 mai 2018.

Ce Livre Blanc éclaire les enjeux et les impacts de la directive NIS sur les pratiques de cybersécurité des pays européens.

  


"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Tous les Livres Blancs
Derniers commentaires
Des adolescents jouent à un jeu vidéo, le 5 novembre 2017 à ParisHabituée aux destinations exotiques, la série "Far Cry" de l'éditeur français de jeux vidéo Ubisoft pose ses valises dans le Montana dans sa nouvelle mouture, pour une plongée dans une Amérique profonde gangrénée par un mouvement sectaire. [Lire la dépêche...]

La réalisateur français Jan Kounen tourne en dérision les géants d'internet dans la web série Avec sa série "The Show", diffusée à partir de lundi sur la plateforme française pour mobiles Blackpills, le réalisateur Jan Kounen tourne en dérision les géants d'internet et alerte sur l'emprise qu'ils peuvent exercer sur nos vies. [Lire la dépêche...]

Au siège de la CIA à Langley, en Virginie, en avril 2016Un adolescent britannique ayant réussi à pirater les comptes de hauts responsables américains, dont l'ex-directeur de la CIA John Brennan, a été condamné vendredi à Londres à deux ans de détention dans un centre pour jeunes. [Lire la dépêche...]

Deutsche Bank a viré par erreur 28 milliards d'euros dans le cadre d'une opération financière de routine, sans préjudice financier Deutsche Bank a viré fin mars par inadvertance un montant de 28 milliards d'euros dans le cadre d'une opération financière de routine, un cas sans précédent illustrant les failles informatiques de la première banque allemande. [Lire la dépêche...]

Christophe Perron, le fondateur et PDG de la société Stimergy, devant une chaudière numérique installée à la piscine de la Butte aux Cailles à Paris, le 18 avril 2018Au sous-sol d'une piscine parisienne, des serveurs informatiques baignent dans l'huile. La chaleur qu'ils produisent est récupérée pour chauffer l'eau des bassins: un recyclage innovant qui permet de se passer d'air conditionné et de ne pas gaspiller d’énergie.  [Lire la dépêche...]

ZTE estime que les sanctions américaines menacent sa survieLe géant chinois des télécoms ZTE a annoncé vendredi qu'il comptait se défendre après la décision américaine de mettre fin aux exportations de composants qui lui sont destinés pendant sept ans, une annonce qui a provoqué la colère de Pékin.  [Lire la dépêche...]

Drone MQ-9 Reaper déployé sur une base en AfghanistanLes Etats-Unis ont levé jeudi certaines restrictions sur les ventes de leurs drones les plus performants afin de renforcer les armées de leurs alliés et de concurrencer la Chine sur le marché mondial des armes, a annoncé la Maison Blanche.  [Lire la dépêche...]

Photo fournie le 19 avril 2018 par l'Université de technologie de Nanyang, à Singapour, montrant le professeur assistant Pham Quang Cuong (G) et son collègue Francisco Suárez-Ruiz (D) avec un robot capable d'assembler des chaises Ikea Fatigué de ne pas pouvoir monter un meuble vous-même avec un mode d'emploi? A Singapour, une chaise Ikea peut être assemblée en moins de dix minutes par un robot qui pourrait être utilisé à l'avenir dans l'industrie automobile et aéronautique. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

GOOGLE I/O

Google reçoit sa communauté de développeurs pour 3 jours de keynotes et ateliers du 15 au 17 mai 2018 au Shoreline Amphitheatre de Mountain View près de son siège social en Californie. Organisé par Google.

VIVA TECHNOLOGY

Pour sa 3ème édition, Viva Technology, salon de l'innovation et de la croissance des start-up, se tient du 24 au 26 mai 2018 à Paris (Paris Expo, porte de Versailles). Organisé par Publicis et Les Echos.

COMPUTEX

Plus grand événement IT de la zone Asie du Sud-Est, Computex couplé avec InnoVEX se tient à Taipei du 5 au 9 juin 2018. Organisé par Taitra.

CEBIT

Nouvelles dates et nouveau format pour le CeBIT, plus grand salon européen de l'IT, qui a lieu du 11 au 15 juin 2018 à Hanovre (Allemagne). Organisé par Deutsche Messe.

CRIP

Rendez-vous annuel des 7800 membres du CRIP (association indépendante d'utilisateurs), DSI, CTO, reponsables d'infrastructure, de technologies, de production et d'innovation IT à Paris (Espace Champerret) les 12 et 13 juin 2018. Organisé par le CRIP.
Outscale vous donne rendez-vous pour la 5ème édition des Cloud Days le 21 juin 2018 à Paris (Châteauform' City George V).

HACK IN PARIS

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.
RSS
Voir tout l'AgendaIT