PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Jean-Jacques Urvoas : Qosmos et Amesys ne sont pas prestataires des services français

Tuesday 25 November 2014 à 10:18

qosmamesys

Il y a parfois des petits bijoux dans les vidéos de l’Assemblée Nationale. C’est le cas de cette retransmission de la « table ronde sur les libertés et les activités de renseignement » du 13 novembre 2014. Sont présents Jean-Jacques Urvoas et Jean-Michel Delarue. Le premier est président de la commission des lois et  président de la Délégation parlementaire du renseignement. A ce titre, il est bien placé pour connaître des activités de renseignement et a travaillé au sein de la commission des lois sur la Loi de programmation militaire et sur celle renforçant les dispositions relatives à la lutte contre le terrorisme. Le second est Jean-Marie Delarue, président de la Commission nationale de contrôle des interceptions de sécurité. Une phrase ressort particulièrement du discours de Jean-Jacques Urvoas. Elle n’est pas passée inaperçue chez Reflets qui a déjà relayé les déclarations de Jean-Jacques Urvoas ici et notamment…
Ce n’est pas une nouveauté pour nos lecteurs, Jean-Jacques Urvoas, est (suppositions) au choix, parfaitement au courant de l’étendue des écoutes opérées par la DGSE ou, pas du tout au courant car la DGSE n’informe pas les députés sur l’étendue de ses écoutes. Si la première supposition est la bonne, cela veut dire que Jean-Jacques Urvoas ment effrontément au cours de cette table ronde. Si la seconde supposition est juste, il devrait s’interroger sur son rôle de représentant du peuple et sur la manière dont il est traité par les services de renseignement. Cela donnerait également à réfléchir sur l’étonnant sens de l’impunité dont feraient preuve lesdits services en mentant à un député.

La question qui fait sourire Jean-Jacques Urvoas

Au cours de cette table ronde, Edwy Plenel, journaliste et président de Mediapart pose une question toute simple à Jean-Jacques Urvoas : « Que savez-vous des liens entre nos services et ces sociétés privées qui pour nous, pour le dire franchement, pour la société Qosmos, loin de ne pas être liée au monde du renseignement, sont des sous-traitants de nos services et permettent à nos services de faire, parfois, ce que officiellement ils ne font pas, à l’abri du statut privé de ces sociétés. Vous avez dit vous-même qu’elles allaient plus loin que ce que font nos services. Est-ce que vous pourriez ici, publiquement, nous dire que nos services n’ont aucun lien avec la société Qosmos ou avec la société Amesys ?« .

Cette question semble beaucoup amuser Jean-Jacques Urvoas…

uvroas-plenel

Et sa réponse est… Comment dire… Etonnante :

« Sur Qosmos, Amesys, heu… je…, je…, n’ai jamais rencontré depuis que je suis directeur, enfin président de la délégation parlementaire au renseignement, cette structure, je n’ai jamais entendu qu’elle soit un prestataire de qui que ce soit, en tout cas pas pour les organes qu’il m’arrive de fréquenter« .

<script type="text/javascript"> jQuery(document).ready(function($) { $('#wp_mep_2').mediaelementplayer({ m:1 ,features: ['playpause','current','progress','duration','volume','tracks','fullscreen'] ,audioWidth:400,audioHeight:30 }); });

Bien entendu on peut s’interroger comme nous l’avons fait :

Mais au delà des interrogation,s il y a des faits qui permettent de mettre en doute l’affirmation du député.

La transparence de i2e, ancêtre d’Amesys

Pour Amesys, Mediapart et Jean-Marc Manach ont démontré l’implication de Ziad Takieddine qui ne faisait pas grand chose sans l’aval des gouvernements de droite, et notamment de celui de Nicolas Sarkozy (lire également ceci) dans le contrat Amesys avec la Libye. Mieux, i2e, l’ancêtre d’Amesys explique elle-même être le principal fournisseur du ministère français de la Défense en matière d’interceptions de communications et d’interceptions électroniques.

i2e-elint-comint

Quant à la vente à la Libye d’une infrastructure d’interception, i2e indique qu’elle ne se fera pas sans l’aval du ministère de la Défense…

i2e-export-libyeAmesys se recommandait par ailleurs de Nicolas Sarkozy pour appuyer son offre à Kadhafi.

Il est donc difficile d’imaginer que les services français n’aient aucune relation avec Amesys.

Pour ce qui est de Qosmos, Le Monde a écrit sans être poursuivi, que Qosmos travaillait pour la DGSE. Une business unit a été créée pour ce projet : Kairos. Cette collaboration de Qosmos avec les services français n’est pas inconnue des plus anciens lecteurs de Reflets qui l’avaient découverte lors de la publication, le 16 mars 2012, d’un enregistrement d’Eric Horlait, l’un des fondateurs de Qosmos, venu répondre aux questions des chercheurs du LIP6, le labo de recherche où est née la technologie de deep packet inspection.

En outre, selon des documents auxquels Reflets a eu accès, il existe bien un projet Kairos au sein de Qosmos et les développeurs de l’entreprise y sont régulièrement affectés.

Comme le soulignait Edwy Plenel au cours de cette table ronde, la France est un pays un peu spécial où les autorités sont particulièrement silencieux sur ces sujets. Quid de l’accord Lustre, par exemple, aux termes duquel la France livre des petaoctets de métadonnées à la NSA ? La question parlementaire sur ce sujet est restée sans réponse du gouvernement depuis le 26 novembre 2013.

Vidéo : Jacob Applebaum et Laura Poitras au Big Brother Symposium de Lisbonne

Monday 24 November 2014 à 19:41

jacob

Voici la vidéo de la discussion avec la salle après la projection de Citizen Four, le documentaire de Laura Poitras qui raconte la rencontre entre elle, puis Glenn Greenwald et Edward Snowden. Laura Poitras et Jacob Applebaum répondent aux questions des spectateurs.

Jacob Applebaum est un hacker impliqué dans le développement de Tor et il a aidé à sécuriser les échanges des journalistes avec Edward Snowden. Il est également journaliste et a publié plusieurs articles en relation avec les révélations d’Edward Snowden.

<script type="text/javascript"> jQuery(document).ready(function($) { $('#wp_mep_3').mediaelementplayer({ m:1 ,features: ['playpause','current','progress','duration','volume','tracks','fullscreen'] }); });

La cigarette électronique, les hackers chinois et ta mère

Monday 24 November 2014 à 19:11

China-HackÇa commence à faire beaucoup… depuis ce matin la presse française reprend un article du Guardian que la destruction des matériaux d’Edward Snowden semble avoir rendu paranoiaque. Les hackers chinois tenteraient de s’infiltrer dans les ports USB de vos machines en utilisant des cigarettes électroniques.

Ni une ni deux, les commerçants de e-clopes, vous indiquent qu’il est indispensable de se procurer des cigarettes électroniques « de marque », vous annonçant de grands nom du secteur… et surtout de Shenzhen, capitale mondiale de la cigarette électronique low cost (que l’on trouve à moins de 10$ en ligne et surtout à plus de 80 euros chez nous avec une marque d’un magasin bien français apposée dessus…).

On est en plein shitstorm que les uns et les autres tentent de récupérer dans une rare surenchère à la bêtise.

Capture d’écran 2014-11-24 à 18.03.10

On va donc se la faire en 2 temps et commencer par comprendre la menace actuelle, BadUSB, puis démonter les postulats visant à remplacer une ecigarette de merde par une autre ecigarette de merde, toujours chinoise, produite par des entreprises qui ne fabriquent pas les composants incriminés…  mais vendue plus chère grâce à un logo dessus… logo souvent effacé par les boutiques en France pour y apposer le leur.

BadUSB c’est quoi ?

Quand vous branchez un périphérique USB sur un ordinateur, vous avez surement remarqué que votre ordinateur était capable de reconnaitre la nature du périphérique, d’afficher son nom et de reconnaitre s’il s’agit d’une imprimante, d’une clé de stockage, ou de reconnaitre une cigarette électronique pour savoir qu’il ne va pas chercher à la monter pour écrire dessus mais se cantonner à lui envoyer le courant qu’elle demande pour se recharger ?

Si ceci est possible, c’est parce que chaque périphérique USB, pour faire ultra simple, contient un microcode qui dit à votre ordinateur « boujour je m’appelle comme ça, et je te demande de faire ça pour moi » : c’est à ce moment que votre système d’exploitation interprète l’instruction qui lui est envoyé et prend la décision de mener l’action demandée.

L’attaque consiste donc à reprogrammer le comportement d’un composant USB que tu vas brancher sur un ordinateur. En altérant le microcode qui cause à ton ordinateur, il est possible de faire passer un objet pour un autre. Certes, l’attaque n’est pas à la portée de tout le monde, mais le code rendu public montre qu’il est possible de le faire et que ceci peut avoir des conséquences désastreuses. Par exemple, combiné à une autre vulnérabilité critique dont on parle pas mal en ce moment (Shellshok) il devient possible de transformer une cigarette électronique en un outil d’attaque qui va injecter une commande exploitant cette vulnérabilité pour changer les variable d’environnement de l’interpréteur de commandes que l’on retrouve sur tous les systèmes unix (Gnu Linux/Unix représentent l’immense majorité des serveurs web mondiaux).

Les clés USB dédiées à l’infection d’ordinateurs, c’était déjà quelque chose de connu.

BadUSB va donc bien plus loin puisque la vulnérabilité affecte de très nombreux périphériques USB équipés d’un controleur… et devinez quoi ? Et bien des fabricants de contrôleurs USB… il n’y en a pas 150.

Les « vapoteuses » tinoises

Tout le monde n’est pas familier de l’industrie de la cigarette électronique, aussi peut être judicieux de rappeler quelques éléments : La Chine s’est tout de suite imposée comme le premier fabricant mondial de cigarettes électroniques. Une cigarette électronique, c’est une batterie avec un switch, un connecteur (dit connecteur 510) pour l’atomiseur qui sert aussi d’interface USB pour recharger la batterie, et de temps à autres, un variateur de tension… bref une « vapoteuse » comme décrite dans la presse, ça ressemble à ça :

Ceci n'est pas un malware

Ceci n’est pas un malware

Sauf que vous n’aurez pas manqué de noter que ce bidule ne ressemble pas franchement à une interface USB… évidemment… puisque ce n’est pas là qu’elle se situe. L’interface en question est en fait un adaptateur USB vers connexion 510… Notre nouveau vecteur d’attaque ressemble donc plutôt à ceci et coûte environ 1 euro :

Le malware incontrable pour 1 euro ? ... Fear !

Le malware incontrable pour 1 euro ? … Fear !

C’est donc dans ce chargeur que se situerait un contrôleur USB vulnérable… ouais, pourquoi pas.

Mais assez naivement, quand je prends un câble USB pour recharger mon téléphone, je me rends compte qu’il fonctionne aussi sur ma tablette… c’est quand même magique une connectique standard non ? Et devinez quoi ? Et bien ce chargeur à 1 euro fonctionne aussi bien sur une cigarette électronique à 4$ que sur une « cigarette électronique de marque » à 80 euros, et pour cause, ce sont les mêmes.

Que ce détail échappe à des vendeurs peu scrupuleux passe encore, mais pour le Guardian, on est quand même en droit de se demander ce qu’il s’est passé à la cafèt’ de la rédac’.

Attention, voici le scoop

AUCUN fabricant de cigarette électronique ne fabrique de contrôleur USB. En clair, que vous achetiez une Innokin à plus de 100 euros ou une bouze sur Fasttech à $4… vous encourrez le même risque, puisque ces composants sortent dans les deux cas des mêmes usines.

Vous voilà avertis : claquez directement la porte d’un vendeur qui met en avant une marque ou une autre en vous parlant de chargeur USB pour cigarette électronique, il est soit con, soit malhonnête… soit un peu des deux.

Et maintenant… le Press’Fail

Malgré tout le respect que l’on peut légitimement porter pour cette institution qu’est le Guardian, il faut bien avouer que « l’enquête » du média anglais est… comment le dire poliment…  à chier.

Et vous allez voir à quel point la presse est capable de préter crédit à post d’un anonyme sur Reddit au point d’oublier de faire une simple recherche pour trouver des éléments sur l’absence de concret de ce bruit qui circule depuis mars dernier… putain 9 mois de silence, un post anonyme sur Reddit et paff ça pisse du pixel.

Voici la genèse :

Dites les gars, le FUD, ok, pourquoi pas… mais :

  1. vous avez les élements sous le nez, à portée de clic pour vous rendre compte de visu du grossier de cette histoire
  2. aucune prise de recul et hop on véhicule un FUD à tête baissée en stigmatisant la cigarette électronique. Oui la menace existe bien, mais c’est pas pour ça qu’il faut raconter n’importe quoi non plus ni omettre de rappeler que cette menace ne se concentre pas sur la seule cigarette électronique. Elle cible tout aussi bien le ventilateur USB que le vibro USB de madame…
  3. clap clap aux lumières qui ont poussé ce FUD suite à un témoignage anonyme sur un réseau social n’apportant strictement aucun élément nouveau, ce 9 mois après la bataille…

Non, sérieux… bravo la presse… c’est à se demander si cette campagne n’est pas financée par une association professionnelle de buralistes.

PS : vu que ça fait 9 mois que je suis à la recherche d’un chargeur USB infecté, si vous voyez passer un vecteur d’attaque vaporeux avéré, n’hésitez pas à me le faire parvenir.

Le gouvernement lance un os à ronger : les retraites chapeaux

Thursday 20 November 2014 à 12:24

os-a-ronger

Il y a quelques temps, la presse découvrait que les banques françaises avaient quasiment toute un pied dans les paradis fiscaux. Ce qui est écrit en toutes lettres sur leurs sites Web depuis des lustres, dans Wikipedia pour chaque page consacrée à une banque, bref, on découvrait que l’eau mouille. Mieux, avec les LuxLeaks, tout le monde feignait de s’étonner que le Luxembourg soit une énorme machine à laver ou à cacher de l’argent. Etonnant pour qui a lu les oeuvres complètes de Denis Robert… Voici qu’aujourd’hui, la presse, toujours, et les politiques (toujours aussi) découvrent que certains patrons se font verser des retraites complémentaires monumentales après avoir quitté leurs postes. Et de citer un exemple à 800.000 euros. En voilà une nouvelle découverte…

Le Monde qui a des archives et ne rechigne pas à les citer, rappelle que le problème desdites « retraites chapeaux » n’est absolument pas nouveau :

Pierre Moscovici, le précédent ministre des finances, avait préféré en 2013 ne pas légiférer sur ce sujet sensible et s’en remettre à l’autodiscipline que les syndicats patronaux, Afep et Medef, promettaient. De fait, un haut comité du gouvernement d’entreprise a été créé à cette occasion pour surveiller les bonnes pratiques et les moins bonnes. Présidé par Denis Ranque, le président du conseil d’administration d’Airbus, il a publié son premier rapport d’activité en octobre.

Il est utile de citer ce point. Mais il manque une information. Elle nous a été fournie il y a quelques mois par la la Direction de la recherche, des études, de l’évaluation et des statistiques (Drees). Les quelque 15,5 millions de retraités français vivaient avec une retraite représentant en moyenne 1.288 euros en 2012. De quoi se plaignent-ils ? Leur retraite avait augmenté de 2,6% sur un an.

Comme à son habitude, le personnel politique répond à une « polémique » en lançant un os à ronger à ceux qui pourraient être choqués par ces chiffres astronomiques. C’est à dire 15,5 millions de retraités vivant avec 1.200 euros en moyenne, soit sur douze mois, une retraite entonnoir (chacun son chapeau) d’environ 14.400 euros. Un peu loin il est vrai des centaines de milliers d’euros… Avec cet os (on va réguler ces retraites chapeaux), le personnel politique espère calmer la polémique. Avec un peu de chance et une nouvelle frasque de Nabilla au fond de sa cellule, cela pourrait fonctionner. Mais dans le fond, ni Emmanuel Macron ni le reste du gouvernement n’ont envie de modifier quoi que ce soit.

Comme le note Le Figaro, cette réforme d’Emmanuel Macron devrait rester dans les limbes ou avoir un effet très mesuré… On en reparlera dans un an ou deux, si vous le voulez bien :

Le Sénat a voté la semaine dernière une augmentation de la taxe sur les retraites-chapeau. Une mesure qui va dans ce sens et qui, pourtant, a été rejetée par le gouvernement par la voix du secrétaire d’État au Budget, Christian Eckert. «La priorité c’est de renvoyer à la responsabilité personnelle», estime Emmanuel Macron, jugeant qu’«aucune loi ne remplacera l’éthique des dirigeants»

En d’autres termes, le Sénat, constatant que les patrons se pressaient à un pas de sénateur pour s’autoréguler avait imaginé, grand fou qu’il est, qu’en taxant plus fortement les retraites chapeaux, les patrons seraient peut-être naturellement moins gourmands de ces petits plus façon Bahlsen.

Deux, ou trois dimensions ?

Une raie parfaitement plate qui vivrait dans un monde en deux dimensions ne peut concevoir une troisième dimension. De la même façon, un retraité qui vit avec 1200 euros par mois a du mal à entrevoir à quoi ressemble le monde d’Emmanuel Macron et de ses collègues du gouvernement. Ou encore celui dans lequel évolue Pierre Gattaz, le patron des patrons.

gattazPour Pierre Gattaz, inutile de légiférer sur quoi que ce soit touchant à l’encadrement des dirigeants d’entreprises, il lui semble qu’ils peuvent très bien s’autoréguler. En revanche, les méchants chômeurs tricheurs…

Quant à Emmanuel Macron qui va sans doute multiplier dans les jours à venir les déclarations sur les retraites chapeaux et les salaires indécents de certains dirigeants d’entreprises… Il n’a empoché que 2 millions d’euros bruts pour un an et quatre mois passés dans une banque. Soit, selon les calculs de l’Express, à peu près 1 million d’euros, une fois les charges sociales retirées.

L’inverse est vrai pour l’homme vivant dans trois dimensions. Il ne peut pas concevoir dans quel monde vit la raie parfaitement plate. En outre, si la raie peut avoir un éventuel intérêt à essayer d’imaginer les trois dimensions et à vouloir rejoindre le monde en trois dimensions, ceux qui vivent dans trois dimensions n’ont aucune envie de se priver de leur univers.  Emmanuel Macron ou Pierre Gattaz ont du mal à concevoir ou imaginer ce qu’est la vie d’une personne qui plafonne à 1200 euros par mois. Et ils ont une certitude : ils ne veulent absolument pas expérimenter cela.

De cette incompréhension mutuelle naîtront, au choix un statu quo ante, ou une étincelle.

Video : Eben Moglen au Big Brother Symposium de Lisbonne

Wednesday 19 November 2014 à 15:59

Capture d’écran 2014-11-19 à 14.57.47Voici une vidéo de l »intervention (presque) complète d’Eben Moglen au Symposium international Fiction et Réalité: au-delà de Big Brother, où ont notamment été largement abordées la question des interceptions électroniques massives, à l’occasion du Festival du Film de Lisbonne / Estoril.

Eben Moglen nous offre un regard juridique et d’académicien américain sur la surveillance électronique.

Par avance veuillez nous excuser pour la qualité pas top. Vous pouvez aussi télécharger la vidéo au format avi (315Mo) ou au format MP4 (305Mo)

<script type="text/javascript"> jQuery(document).ready(function($) { $('#wp_mep_4').mediaelementplayer({ m:1 ,features: ['playpause','current','progress','duration','volume','tracks','fullscreen'] }); });

 

vignette-crownfundNote : cet article a été financé grâce aux dons des lecteurs de Reflets