PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Mieux vaut être riche, bien portant et ne pas poser de questions, pour être client au CIC

mardi 16 juin 2015 à 16:54
Image by Korben

Image by Korben

Difficile d’échapper ces derniers jours à la polémique qui oppose le CIC à Sorcier_FXK. Ce dernier avait interrogé sa conseillère, accessoirement directrice de l’agence du CIC de Turballe, sur le changement de politique dans les droits d’accès de l’application smartphone de la banque. Initialement limités au GPS en mode fin (précision minimale à 5 mètres), à l’accès en lecture et écriture aux contact, à  l’accès aux appareils photos et aux  fichiers, photos et tous médias, l’application demandait désormais l’accès à tous les comptes utilisateur. C’est à dire, aux comptes mails, Youtube, Facebook, Twitter, etc. Visiblement, la conseillère n’a pas beaucoup apprécié ces questions. Selon Sorcier_FXK, expert en sécurité informatique, Mme M. M. s’est emportée au téléphone. Dans la foulée, la banque facturait 100 euros sur le compte pour sanctionner un découvert de 55,39 euros. Pour quelqu’un qui vit – ce que n’ignore évidement pas la banque – avec 454 euros par mois, une telle somme est exorbitante. Suit une lettre recommandée annonçant que la banque n’a « plus convenance à poursuivre nos relations« . Traduction : ton compte sera fermé et en attendant, tu ne peux plus utiliser tes moyens de paiement.

lettreAR-CICSorcier_FXK n’a pas manqué d’informer ses followers sur Twitter de ses mésaventures avec le CIC. Le bad buzz était assuré, la côte d’amour des banques ayant dramatiquement chuté ces dernières années. La réponse du CIC à cette mauvaise publicité est un cas d’école.

Les monolithes traditionnels ne savent décidément pas gérer l’une des transformations induites par le réseau. Lors de l’arrivée du Net, certains consultant parlaient de « brick and mortar » pour évoquer les entreprises classiques. Les nouvelles s’émancipant des briques et du ciment pour investir le Net. Le CIC est en béton armé… Soit il n’est pas encore rodé à un monde où un particulier peut déclencher d’un tweet une vague d’articles dans la presse, soit il se contrefout de la mauvaise image véhiculée par ces papiers. En misant sur l’oubli qui saisit les mêmes internautes super-indignés, quelques jours plus tard.


Retour sur une gestion de crise façon CIC.

Lundi matin, 9 heures, Reflets passe un coup de fil à F. M. (voir ici), responsable des relations presse du CIC. Nous voulons obtenir la version des faits de la banque. Durant le week-end, le community manager de la banque avait réagi comme il le fait pour toute demande au CIC sur Twitter :

<script src="//platform.twitter.com/widgets.js" async="" charset="utf-8">

Rien de neuf sous le soleil, le CM du CIC fait cette réponse à tout bout de champ. Mais au siège, F. M. n’est pas au courant de l’histoire. Il découvre avec nous et promet de se renseigner, puis de nous rappeler. Non sans nous indiquer que la clôture d’un compte n’est généralement pas une décision prise à la légère et dans l’urgence, qu’en tout étant de cause il est proposé au client de prendre contact avec le médiateur régional puis, si nécessaire, national.

Dans le courrier recommandé reçu par Sorcier_FXK, il n’est pourtant pas fait mention de la possibilité de faire appel au médiateur.

banker-small

F. M. ne nous a jamais rappelés, jugeant sans doute que Reflets.info dont il n’avait probablement jamais entendu parler, ne fait pas partie des médias importants.

En revanche, le CIC, et donc très probablement F. M. (le document n’est pas signé), a publié lundi un communiqué de presse sous la forme d’un très joli PDF. L’affaire commençait à se voir méchamment sur les réseaux sociaux, l’ami Korben ayant publié un article sur le sujet.

Communiqué en béton

Passons en revue si vous le voulez bien, ce communiqué de presse.

Le CIC a récemment été interpellé par un internaute sur les autorisations demandées lors de l’installation de son application sur  mobile Android. Cela  a suscité diverses réactions sur la toile. Le CIC tient à préciser les points suivants :

– Le recours à ces autorisations est, comme à chaque évolution, mis en lumière et expliqué sur la page d’installation du Google Play Store et sur son site internet CIC.fr.

Chaque utilisateur peut donc décider, en toute connaissance de cause, de télécharger ou non l’application.

Comme le dit la chanson à propos de Jacques II de Chabannes de La Palice, « Un quart d’heure avant sa mort, il était encore en vie »… Effectivement, chacun est encore libre de télécharger et d’installer, ou pas, une application. Mais peut-on questionner l’étendue des droits d’accès demandés par l’application ?

– Ces autorisations sont liées aux fonctionnalités même de l’application. A titre d’exemple, l’accès à la géolocalisation du téléphone est justifié par les fonctions d’indication des distributeurs les plus proches. L’accès aux contacts du téléphone facilite quant à lui le partage de RIB.

En effet. Ces droits concernent cependant la précédente version de l’application. La question de @Sorcier_FXK portait sur l’accès aux comptes utilisateur demandés par la nouvelle version. Sur ce point, étrangement, le CIC n’apporte aucune explication, ni dans son communiqué, ni sur cette page. Secret défense, sans doute, comme nous le verrons plus loin.

– Aujourd’hui, la majorité des applications Android réclame ce type de permissions pour un fonctionnement optimal. Ainsi, l’ensemble des applications bancaires de la place le font.

Si tout le monde le fait, il n’y a pas de raison d’avoir une approche différente, plus respectueuse de la vie privée des clients. Encore une lapalissade.

Dès que le système d’exploitation Android le permettra, le CIC étudiera une gestion des permissions au cas par cas.

#SpaMaFaute, c’est le vilain Google qui développe avec ses pieds. Comme chez Reflets, nous sommes plutôt adeptes du droit de suite, nous ne manquerons pas de nous rappeler au bon souvenir du CIC à l’automne.

Par ailleurs, l’internaute en question se plaint d’une résiliation abusive de ses comptes, affirmant que c’est parce qu’il a critiqué l’application sur Twitter que le CIC aurait mis fin à la relation commerciale avec lui.

Le CIC dément fermement toute relation de cause à effet entre la situation personnelle de cet internaute et les remarques que celui-ci a faites sur les réseaux sociaux.

Ah. On va donc savoir ce qui a motivé cette décision qui, selon F.M.  n’est généralement pas prise à la légère et dans l’urgence…

Le secret bancaire ne nous permettant pas d’évoquer le détail de ce dossier, nous indiquons juste qu’il lui a été proposé de faire appel à notre médiateur qui examinera son dossier avec toute l’attention nécessaire.

Pas de chance… Nous ne saurons pas. Car voyez-vous, le CIC utilise la technique dite du « chat perché ». Un peu comme Bernard Cazeneuve et ses conseillers lorsqu’on leur pose des questions gênantes sur les boites noires et autres algorithmes de la Loi sur le Renseignement : secret défense. Circulez…

Il y a juste un petit hic.

Le secret bancaire invoqué ici ressemble un peu à une bonne excuse pour ne pas s’étendre et clore unilatéralement la polémique, façon François Hollande avec Manuel Valls et ses voyages footbalistiques. Le secret bancaire interdit à un banquier de fournir à une personne privée des renseignements sur la situation du compte d’un de ses clients ou sur toute opération effectuée sur ce compte. Mais sans doute pas à une banque d’expliquer sommairement pourquoi elle décide de fermer le compte d’un de ses clients.

myiqr

Le fait que le détenteur du compte ait de très faibles revenus n’entre pas en compte, selon F. M.. Pas plus que les questions sur l’application du CIC, indique le communiqué de la banque. On se perd donc en conjectures…

Toujours aussi intrigués par cette affaire de la banque qui fournit à ses clients des outils bancaires dans un monde qui bouge, nous avons repris notre combiné téléphonique. F. M. était sur répondeur et nos messages l’ont laissé froid. La directrice de l’agence de Turballe devait nous rappeler mais ne l’a pas fait. Le CIC, une banque à votre écoute et qui répond à vos questions… De son côté, @sorcier_FXK n’a pas eu de nouvelles à part le numéro du médiateur.

Nous avons par ailleurs interrogé la CNIL sur l’existence d’une déclaration du CIC concernant cette application et son contenu. Mais comme à son habitude, la CNIL n’a pas été en mesure de répondre à notre demande avant publication de cet article. Nous ne manquerons pas de vous informer, ami lecteur, si la CNIL se réveillait.

Emmanuel Macron s’intéresse à la « mesure des Internets », mais aussi au DPI

mardi 9 juin 2015 à 23:46
Photo : AFP - Fred Tanneau

Photo : AFP – Fred Tanneau

Fin mai, apparaissaient quelques articles qui faisaient sourire les geeks et Twitter. Emmanuel Macron, le fringuant ministre de l’Economie, avait demandé à l’Autorité de régulation des communications électroniques et des postes (ARCEP), de lui rendre un rapport expliquant « comment mesurer le trafic sur la bande passante d’Internet ». Tout le monde comprend qu’il s’agit de se donner les moyens d’une éventuelle taxation des GAFA. L’affaire est ancienne, largement évoquée par Fleur Pellerin, elle ne fait que resurgir, comme un bon serpent de mer.

L’Agence a donc pris son bâton de pèlerin et a interrogé les opérateurs qui véhiculent les octets en France. Reflets a pu prendre connaissance des questions posées. Bien entendu on y trouve toute une série d’interrogations qui ont généré les articles pré-cités. L’ARCEP interroge ainsi les opérateurs sur les moyens utilisés pour mesurer l’usage qui est fait de leur bande passante, les points de mesure sur leur réseau, les plus gros consommateurs de bande passante, etc.

Mais il y a aussi certaines questions qui n’ont pas manqué de faire soulever un sourcil à certains opérateurs et à l’équipe de Reflets. Soit l’ARCEP a traduit la demande « générique » des services d’Emmanuel Macron et a posé ces questions de sa propre initiative, soit Bercy aimerait bien que l’on remette également sur la table le DPI. Et ses usages multiples. Bien entendu, on peut imaginer que le DPI pourrait aider à faire payer précisément chaque fournisseur de contenus en fonction des protocoles utilisés par les internautes, d’où la présence de ces questions. Mais on peut difficilement faire abstraction du contexte : le vote de la Loi sur le renseignement et son aspect particulièrement liberticide, son usage évident du DPI, le mirroring de ports chez les FAI, les algorithmes mangeurs de métadonnées…

L’ARCEP amène doucement ses interlocuteur vers des questions qui sont un peu éloignées de la finalité (mesure de la bande passante). Par exemple, l’Agence voudrait savoir si l’utilisation de proxies ou de chiffrement peut altérer le fonctionnement des outils de mesure de la bande passante. Elle voudrait bien savoir aussi, quel est le volume de bande passante utilisée via des VPN. Ou si l’on peut savoir qui est à l’origine d’un flux émis depuis un proxy.

Mais c’est sur la partie concernant les différents services sur Internet que cela se corse. L’ARCEP veut savoir quels sont les outils permettant de connaître les protocoles utilisés, mais aussi le type d’application utilisée et le contenu… En d’autres termes, le payload. Et d’interroger les opérateurs sur les outils qu’ils ont mis en place.

Suivent toutes les interrogations classiques d’un bon client un peu ralenti qui voudrait s’acheter quelques sondes chez Qosmos ou un GLINT chez Amesys.

Glint, la boite noire à traquer des terroristes, un matériel grand public vendu par la France à la Libye de Kadhafi

Glint, la boite noire à traquer des terroristes, un matériel grand public vendu par la France à la Libye de Kadhafi

Est-ce qu’il y a des contraintes, est-ce que cela va dégrader les performances du réseau si on l’utilise de manière intensive ou… généralisée ? Est-ce que c’est précis en matière de classement des protocoles et applications utilisées ? Est-ce que si les méchants internautes pédo-nazis-terroristes se mettent à utiliser de la cryptographie ou des VPN, on pourrait quand même s’en sortir pour identifier l’origine du trafic et sa nature ? Et tant qu’on y est, est-ce que les opérateurs pourraient donner une petite tendance en matière d’usage du chiffrement ? C’est à la hausse ou pas ? Non, juste par curiosité…

Cet intérêt gouvernemental soudain pour le DPI est visiblement en contradiction avec les précédentes déclarations du ministre de l’Intérieur Bernard Cazeneuve. Celui-ci ne manque pas une occasion de clamer haut et fort que jamais, au grand jamais, le DPI à des fin d’interception massive ne sera utilisé. Ni pour les boites noires©, ni pour autre chose.

Alerte : l’Etat Islamique va avoir la bombe atomique, #Oupas

mardi 9 juin 2015 à 12:46

dabiq9Vous avez peut-être lu ici ou ailleurs que l’Etat Islamique pourrait se doter de l’arme nucléaire. L’information trouve en fait son origine dans un article du journaliste John Cantlie, aux mains de l’EI. Il publie des papiers dans Dabiq, le magazine du groupe. Son dernier papier évoque un scénario dans lequel l’EI pourrait se doter d’une arme nucléaire et la transporter vers les Etats-Unis. Un scénario comme un autre.

« Let me throw a hypothetical operation onto the table. The Islamic State has billions of dollars in the bank, so they call on their wilāyah in Pakistan to purchase a nuclear device through weapons dealers with links to corrupt officials in the region. The weapon is then transported overland until it makes it to Libya, where the mujāhidīn move it south to Nigeria. Drug shipments from Columbia bound for Europe pass through West Africa, so moving other types of contraband from East to West is just as possible. The nuke and accompanying mujāhidīn arrive on the shorelines of South America and are transported through the porous borders of Central America before arriving in Mexico and up to the border with the United States. From there it’s just a quick hop through a smuggling tunnel and hey presto, they’re mingling with another 12 million “illegal” aliens in America with a nuclear bomb in the trunk of their car. Perhaps such a scenario is far-fetched but it’s the sum of all fears for Western intelligence agencies and it’s infinitely more possible today than it was just one year ago. And if not a nuke, what about a few thousand tons of ammonium nitrate explosive? That’s easy enough to make. »

Il n’est pas inintéressant de se questionner sur la finalité de l’évocation d’un tel scénario par un organe officiel de l’EI, via un journaliste occidental. Pourquoi annoncer un projet de ce genre avant de le réaliser ? Est-il déjà en cours et suffisamment avancé ? Est-ce un moyen de se donner une importance que l’on a pas en agitant la menace nucléaire ?

Question accessoire, les Boites Noires de notre bon gouvernement nous ont-elles fiché en raison d’un lien en début d’article qui peut sans aucun doute « tuer toute la planète » ?

Un film d’animation 2D entièrement réalisé avec des logiciels libres

vendredi 5 juin 2015 à 17:03

zemarmot

ZeMarmotte est un « dessin animé » très original. Pourquoi ? Parce qu’il est entièrement réalisé avec GIMP pour le dessin, Blender pour l’animation vidéo, et Ardour pour l’édition audio. La musique elle-même a été créée et enregistrée par un collectif de musiciens (AMMD sur ammd.net) sous logiciels libres, avec leur propre studio — qui lui même a une partie de son matériel en openhardware.

Le film sera diffusé gratuitement sous licences Creative Commons BY-SA/Art Libre. Si vous avez des enfants ou comptez en avoir, si vous aimez la création artistique, l’animation et les logiciels libres, que vous pensez que la propriété intellectuelle doit sortir du copyright pour aller vers les « Communs », alors il vous faut soutenir ce projet.

L’un des acteurs du projet est un développeur-contributeur de GIMP.

Le site du projet et du financement participatif est ici : https://www.indiegogo.com/projects/zemarmot-libre-movie-made-with-free-software/#/story

La vidéo annonce est sur Reflets, en avant-première :

 

Il n’y a plus qu’à les aider pour ensuite aller apprécier et partager l’œuvre. Il sont à 70% des 9000€ (seulement) de financement dont ils ont besoin. Il ne reste plus que 6 jours. Et en plus, c’est beau.

L’Etat, ce bon client de la société Elexo

jeudi 4 juin 2015 à 00:17

elexoComme nous l’avons évoqué à plusieurs reprises sur Reflets, l’Etat français commerce volontiers avec Elexo, une société qui fait partie du groupe Bull et précédemment, de la galaxie Amesys. Elle est d’ailleurs localisée au 20 rue de Billancourt à Boulogne, là où travaillaient les développeurs d’Eagle, la fameuse solution tout en un d’écoute globale vendue à Kadhafi. Et où se trouve toujours Amesys Conseil.

Il n’aurait pas été incongru d’imaginer que le scandale de la vente d’un Eagle à Kadhafi, la visite quelque jours avant que tout ne dégénère en Libye de Philippe Vannier, ancien patron d’Amesys, pour vendre un upgrade de l’Eagle, on en passe, aurait pu pousser l’Etat français à prendre ses distances avec ces entreprises. Surtout après l’ouverture d’une information judiciaire pour complicité de torture en Libye. Pas le moins du monde. Le changement, c’est pour plus tard. Elexo est un rouage -pas négligeable- du complexe militaro-industriel français. Et remplacer un rouage de ce type peut se révéler compliqué.

La présentation de Crescendo Technologies, la tête de la galaxie Amesys, datant de 2007, est assez précise. Elexo est une des composantes de la galaxie.

crescendo

Et les clients du complexe militaro-industriel sont nombreux.

clients

Déjà en 2007, Amesys/Elexo était vendeuse d’IMSI-catchers. Rudimentaires, certes, mais « catchers » quand même. Ce n’est donc pas une surprise si on les retrouve aujourd’hui comme fournisseurs officiels des douanes en matière d’outils permettant de faire des interceptions « alégales ».

amesys-imsi-catcher

Cette relation avec le complexe militaro-industriel et l’Etat est d’autant plus complexe à couper que la galaxie Amesys a sans doute eu accès à quelques secrets que l’on ne veut pas voir étalés dans la presse. Les journalistes d’investigation connaissent par exemple très bien les quelques projets comme Sawary et Agosta cités dans la présentation :

Agosta-Sawary II

On trouvait déjà dans cette affaire Ziad Takieddine, qui reviendra jouer un rôle prédominent dans la vente du projet Eagle en Libye.

Toutefois, pour revenir à Elexo et ses ventes à l’Etat français, ou Thalès (par exemple), ses clients seraient peut-être avisés de se demander s’ils ne gagneraient pas, financièrement, à passer commande directement auprès des fournisseurs plutôt que de passer par une société qui sait commander, appliquer une marge, et revendre.

Par exemple, Elexo vend des ordinateurs durcis (de la marque GETAC) à la DCNS (détenue à 64 % par l’État français, de 35 % par Thales). Elexo achète un modèle S 400 Basic pour un peu plus de 1300 euros à ce fournisseur taïwanais et le revend à la DCNS pour un peu plus de 2350 euros.

Mais c’est une autre histoire…