PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Crise sociale : et si on parlait de projets ?

mercredi 8 juin 2016 à 19:21

image

La crise sociale déclarée dans laquelle est plongée la France peut être résumée en quelques points. Le pouvoir politique en place à décidé de modifier profondément le rapport de force dans le monde du travail, entre employeurs et employés, par le biais d’une loi. Cette loi, passée en force, sans discussion démocratique, brise des acquis issus des luttes sociales du Front populaire, des propositions du Conseil national de la résistance et de nombreuses autres avancées gagnées de haute lutte par les mouvements ouvriers.

Les syndicats, dans leur grande majorité sont logiquement vent debout contre cette réforme anti-sociale et demandent son retrait. Dans le même temps, un mouvement — plus ou moins spontané — s’est formé avec comme objectif la dénonciation des politiques menées et une volonté de proposer « autre chose » : Nuit debout. Les médias, dans leur ensemble jouent leur jeu habituel, basé sur le « comptage de points » et la stigmatisation des mouvements de grève, comme des débordements violents au sein des manifestations, etc. Rien de neuf sous le soleil. Tous ces éléments sont parfaitement connus, ont déjà existé, Nuit debout inclus, puisqu’au final, le rassemblement en question est parfaitement parallèle à ceux qu’effectuaient les manifestants de mai 68. En nettement plus sage, pour Nuit debout, et avec des idées nettement plus « bourgeoises » qu’en 68.

Un constat ressort, déjà vieux de quelques années, et qui pourtant ne fait toujours pas véritablement débat : le système politique est à bout de souffle, tout comme les institutions, et cette situation ne peut pas durer. Ce sont des analystes politiques, économistes, sociologues, philosophe etc, et même une partie du personnel politique qui effectuent ce constat. Tout comme les membres de Nuit debout. Pourtant, rien, dans les médias, n’est retiré de ce même constat.

Aucun projet autre n’est débattu de façon visible, rien dans les organes parlementaires non plus. Comme si proposer de véritables changements n’était pas nécessaire, et qu’il fallait se contenter de constater l’étendue des dégâts. Pourtant, des projets existent, avec leurs penseurs, leurs acteurs.

Un constat mérite-t-il une contre-proposition ?

Le modèle de traitement de l’information sociale et politique est resté figé : d’un côté des politiques qui veulent réformer envers et contre-tout, de l’autre des syndicalistes qui refusent la réforme. Ce modèle incite chaque citoyen à prendre parti de façon binaire : d’un côté la dénonciation de la « prise en otage » de la population par une minorité syndicale (appuyée par des reportages, des radio-trottoirs, etc), de l’autre le soutien à la lutte « contre » le pouvoir réformiste anti-social. Dans cette arène simpliste, du pouce levé ou abaissé, l’intelligence n’a pas besoin de régner. Les jeux du cirque social et politique encore en cours en 2016 ont ça de formidable : ils permettent à la population de se sentir impliquée tout en économisant sa capacité à réfléchir et à aller plus loin.

Pour autant, faire des constats ne suffit pas. La nécessité d’offrir des espaces de discussions et de contre-proposition est réelle, et devrait se mettre en place. Toute la difficulté de la proposition, en France, réside dans l’assimilation et l’étiquetage idéologique. Parler des problématiques de verticalité et de hiérarchisation dans le monde du travail puis mettre en avant des procédés coopératifs mène immanquablement à des attaques visant à caricaturer les propositions sous le terme de « communisme ». Constater les effets dramatiques du néolibéralisme, parfaitement défini par les spécialistes dès systèmes politiques et économiques, amène le plus souvent des défenseurs du « vrai libéralisme » à contester l’état du système en place qui ne serait pas — selon eux — un système libéral, mais au contraire hyper étatique. La financiarisation de l’économie qui a mené à la dictature des marchés, semble elle, plus évidente. Parler de l’ornière politique dans laquelle nous sommes plongés mérite donc, une fois certains constats collectivement faits, des contre-propositions. Réalistes. Applicables. Pouvant être acceptées par une « majorité ».

Faux constats et solutions mensongères

Le prisme récurent des analystes de la crise en cours est toujours le même, et il a pour but de ne surtout pas parler du fond, afin d’offrir un confort total à ceux qui l’emploient. Ce prisme est celui de l’économie comme unique pilier fondateur de la société, de son équilibre et de sa bonne ou mauvaise santé. Parler d’autre chose que de l’économie (et de ses avatars que sont le chômage, l’emploi, la compétitivité, les aides sociales, l’entreprise, etc) pour décrire les problèmes et chercher des solutions n’a plus aucun poids aujourd’hui. Étonnamment, de nombreux problèmes (et leurs solutions) ne sont pas reliés directement à l’économie du pays. Et surtout : les constats et les solutions pour améliorer cette fameuse économie sont parfaitement biaisés et mensongers de la part des éditocrates et du personnel politique.

Le constat principal serait que nous vivons une crise, puisque la croissance du PIB ne serait pas suffisante pour créer plus de richesses, donc donner du travail aux 5 ou 6 millions de personnes qui en sont écartés. Ce manque de croissance serait dû à un manque de compétitivité des entreprises françaises, écroulées sous le poids des « charges » — qui soit dit en passant sont avant tout des cotisations offrant de la protection sociale — et écrasées par la concurrence étrangère, en premier lieu. Il est donc nécessaire de toujours abaisser les charges (donc abaisser les cotisations et les rentrées financières des caisses de protection sociale), empêcher que le salarié ne soit un frein au développement de l’entreprise, en pouvant s’en débarrasser plus facilement en cas de ralentissement économique de cette dernière, estimant que si les gens sont plus faciles à virer, on les embauche plus facilement. Ces analyses ont débouché dans plusieurs pays sur des réformes, équivalentes à celle imposée par la ministre Myriam El Khomri.

L’Espagne, en 2012, par l’action de son premier ministre de droite, Mariano Rajoy, a donc réformé dans ce sens, avec comme objectif déclaré d’augmenter la performance des entreprises à l’export, donc booster leur compétitivité. 4 ans plus tard, le chômage est toujours à 21%, les emplois créés en 2015 sont massivement temporaires et précaires (comme ceux du premier trimestre 2016), et la fameuse reprise tant vantée par les spécialistes n’est en réalité due qu’à un phénomène de consommation intérieure causé par la baisse du baril de pétrole et du prix de l’essence à la pompe accompagné de crédits pour renouveler l’appareil productif très vieillot des entreprises espagnoles. Des crédits alimentés par la « planche à billets » du quantitative easing de la BCE avec ses taux d’intérêts proches de zéro, voire négatifs dans certains cas. Les banques ne savent plus quoi faire de leur argent, il faut bien prêter. Le commerce extérieur de l’Espagne est toujours en berne, son économie ne va pas « mieux ». Et la population ? Crise du logement, pouvoir d’achat diminué dans des proportions drastiques, services publics en déliquescence…

La dynamique collective, ça parle à qui ?

Se focaliser sur la performance macro-économique d’un pays et ses statistiques de dettes et déficits sur PIB est dangereux, en plus d’être parfaitement inefficace. Les 8 dernières années l’ont prouvé en France, et de partout en Europe. L’Allemagne produit des excédents budgétaires faramineux et aspire toute la dynamique économique à son profit, tout en paupérisant sa population, en oubliant de moderniser ses infrastructures, avec en vue un problème de paiement des pensions de retraite inouï, et les médias parlent de « modèle allemand » ? Au delà de l’Europe, la nation qui domine [à tous les niveaux] la planète se nomme les Etats-Unis d’Amérique, et étrangement si ses déficits publics sont en baisse, sa dette colossale continue d’augmenter : plus de 104%. Les inégalités au sein de la population américaine sont des plus criantes, les phénomènes de violence, de pauvreté extrême, de précarité médicale, d’exclusion, de crimes policiers y sont énormes. Et c’est pourtant sur ces critères de performance économique seuls que toute la politique française raisonne, sans jamais offrir ne serait-ce que le début d’un projet autre que celui de : faire baisser le chômage, créer de l’emploi, rendre plus compétitives les entreprises. Exactement ce que font l’Allemagne et les Etats-Unis. Quel est le projet de l’Allemagne ? Celui des Etats-Unis ? Comment les citoyens s’y portent-ils ? Quelle démocratie offrent ces pays ?

Un pays qui s’écroule lentement à tous les niveaux (et pas seulement la France, soyons clairs) risque de grands problèmes intérieurs. Précision : l’écroulement en question est social, éducatif, médical, culturel, associatif, politique, industriel, écologique, agricole… La liste est longue et n’est certainement pas complète. Ces problèmes ne se résolvent pas par l’amélioration macro-économique. Clairement : demain, avec 3 ou 4% de croissance, un déficit à moins de 3% et une dette qui redescend, rien n’aura changé. Il y aura peut-être quelques centaines de milliers de personnes qui auront retrouvé du travail, mais soyons certains que ce seront des emplois précaires et qui de toute façon ne changeront rien au vide intersidéral d’une société sans projet. Une société juste bonne à voir des individus ramener un salaire (qui sera toujours au plus bas afin de continuer à accroître la « compétitivité ») et voir les bénéfices de ceux qui détiennent le capital de leur entreprise, s’envoler. La France n’a jamais payé aussi peu d’intérêts sur sa dette qu’aujourd’hui et n’a pourtant jamais eu une dette aussi élevée. Étonnant, non ?

Ce qu’il manque est une dynamique collective, autre qu’économique, qui corresponde aux aspirations d’un peuple plutôt fier, arrogant, mais qui sait parfois aller là où on ne l’attend pas : vers le progrès, le vrai, celui qui humanise et s’intéresse aux plus fragiles plutôt qu’aux plus forts, plus aux cultures et aux bien communs qu’à la réussite individuelle…

Retrouver les fondamentaux français ?

Le vieux pays inventeur de la monarchie absolue (et non pas parlementaire à l’inverse de ses voisines de l’époque) est malgré tout un poids lourd dans le « hall of fame » des nations innovantes, respectées pour les progrès qu’elles ont apporté à l’humanité. C’est en France que les droits universels ont été pondus, que les congés payés ont été gagnés par la lutte en 1936, puis les retraites au sortir de la guerre tout comme la sécurité sociale, la protection de l’enfance, le droit de grève (bien avant, au XIXème siècle, avec la liberté de la presse), la séparation de l’église et de l’Etat, bref : l’universalisme français est reconnu. Le progrès social, c’est ici. Le droit d’asile, l’accueil de l’opprimé, c’est encore ici. Le planning familial, c’est en France, comme le droit à l’avortement. Le principe d’association loi 1901 à but non lucratif, du financement public de la culture, de l’intermittence du spectacle, de la gratuité des soins, de l’école publique…c’est en France.

Si une nation peut offrir un nouveau projet de société progressiste au XXIème siècle, il semble que la France ne serait pas la plus mal placée. Loin de là. En parlant par exemple de redistribution des richesses, d’incitation forte à la création d’entreprises coopératives et solidaires, d’encadrement des rémunérations des plus hauts revenus, de droit au revenu d’existence inconditionnel, de création de plateformes numériques d’échanges publics, de citoyenneté en ligne, d’intéressement et participation obligatoire des salariés dans leurs entreprises, de mise à plat des systèmes de prélèvements des entreprises (RSI, URSSAF) plus justes et basés sur l’activité réelle, de projets éducatifs forts et liés au monde actuel, de réhabilitation architecturale, de transports pour tous, de formations citoyennes aux outils d’information et de communication, d’autonomie énergétique…

Tous ces projets sont pensés, par des chercheurs, des spécialistes de tout poil, qui écrivent, expliquent, et sont accessibles pour qui veut s’en donner la peine. Ces projets sont absolument à la portée d’un pays comme la France.

Ceux qui pensent la société par le biais de la doxa établie diront qu’il n’y a pas les « moyens » de financer de tels projets. Ils ont raison, mais uniquement si le système — absolument mafieux  — en place, perdure. Il faudrait donc simplement faire appliquer la loi — censée être la même pour tous — en récupérant par exemple les 60 à 80 milliards d’évasion fiscale, supprimer les [très nombreuses] niches fiscales les plus absurdes, arrêter de subventionner par dizaines de milliards des entreprises qui ne respectent jamais les accords qu’elles signent en échange de ces aides, purger la monstrueuse dépense d’Etat de tous les privilèges et somptueux « arrangements républicains » ou autres conflits d’intérêts de l’appareil administratif, qui la caractérisent…

Mais pour cela il faudrait que ce ne soient pas des petits comptables obtus qui tiennent les manettes du pays, qu’ils soient de « gauche », de « droite » ou des extrêmes.

Il reste donc une solution, qui a déjà commencé : que les habitants de ce pays fassent ce qui leur semble le plus juste, ensemble, sans attendre des élites qu’elles comprennent où non le sens de l’histoire et du bien commun.  Cette approche est plus fastidieuse et moins efficace qu’avec une volonté politique, il est vrai. Elle prendra beaucoup de temps et requiert de faire des choses concrètes, plutôt que de commenter l’ambiance générale devant des écrans.

A moins que le système politique n’implose complètement, avec toutes les étapes violentes et délétères que cela implique ? Il faudra ensuite — dans ce cas là — reconstruire autre chose. De vraiment différent. Mais ça, c’est avec des « si ». En attendant, il vaudrait mieux se retrousser les manches…

L’obscurantisme, cette valeur sûre de l’insécurité

mercredi 8 juin 2016 à 16:44

kill-the-french-techMalgré les efforts d’une poignée de parlementaires, la situation les lanceurs d’alerte en matière de sécurité informatique demeure la même depuis 20 ans. Le petit monde de la sécurité a, lui, bien évolué, les attaques, leur impact sur les sociétés privées ou les administrations aussi. La seule chose qui semble immuable, c’est la vision manichéenne du législateur, de ceux qui pensent savoir, qui imposent des lois, comme pour nous imposer un curseur moral. Comme si nous avions besoin d’un curseur moral, imposé par des personnes qui dans 99% des cas ne comprennent pas la porté des problématiques auxquelles nous sommes quotidiennement confrontés. Pourquoi devrions nous nous laisser guider par un législateur qui fait le choix de placer l’ensemble de sa population sous surveillance ? D’appliquer des mesures antiterroristes à l’ensemble de la population ? Comme s’il en avait peur…

Nous n’avons pas peur de vous, nous aurions pourtant des raisons d’avoir peur à chaque fois que nous tirons sur un fil et qu’une pelote se déroule, mais ce n’est pas le cas.

Nous reconnaissons l’importance de vos responsabilités dans la recherche d’une meilleure société, d’un équilibre. Mais cet équilibre, volontairement (combien d’évadés fiscaux poursuivis ?), ou pas (combien de lanceurs d’alertes poursuivis sur des problématiques qui vous dépassent parce que la compréhension de l’impact de la non-action vous est étranger ?), vous le brisez. Vous devenez le layer 8 de notre modèle démocratique, un modèle qui fonctionne pourtant tellement mieux que le vôtre.

En matière de « criminalité informatique », j’en suis à ma seconde affaire, toujours sans plaignant ni victime. Cette fois ci, on me reproche d’avoir mis en évidence, pas écrit, juste copié-collé, un bout de code qui aurait servi à attaquer le site des impôts. À cette période, ce n’était pas un seul site ministériel qui était pourtant menacé mais Gandi, un hébergeur qui croulait sous de violentes attaques par déni de service. Ce n’est pas un site mais des dizaines, centaines de milliers qui étaient menacés d’indisponibilité. Cette publication a permis de les faire cesser. Mais non… un magistrat a trouvé fin de me poursuivre, avec un dossier vide, sans même qu’il soit établi que la personne qui s’est attaquée au site des impôts était venue s’emmerder à utiliser le script du proof of concept que j’avais publié alors que le binaire (prêt à cliquer), se trouvait alors et se trouve toujours sur d’autres sites.

Ce genre de petites blagues de la justice a un coût financier et personnel que vous aviez l’opportunité de nous épargner. Car je suis loin d’être le seul dans ce cas. Il existe des cas bien pires que le mien. J’ai encore en tête celui de Serge Humpich, qui a démontré il y a plusieurs années une vulnérabilité sur les cartes bleues. Serge a été victime d’un harcèlement juridique dont nous n’avons pas même idée. Serge avait pourtant tout fait correctement, alerté les bonnes personnes… Il a payé ce service rendu à toute la société au prix fort, pendant plusieurs années. Pourtant sans Serge, nous sommes des millions qui aurions pu voir nos comptes bancaires vidés du jour au lendemain sans qu’aucune explication ne soit donnée puisqu’aucune loi n’oblige une banque à avouer qu’elle a été victime d’un vol ou d’une intrusion.

Vous n’avez donc pas fait le choix de nous l’épargner, pire, vous avez fait le choix de tenter de nous faire taire… Sans même avoir la moindre conscience qu’une brèche sur des données personnelles ouvre naturellement la porte à d’autres brèches, sur d’autres applications, brèches qui se traduisent dans la vie réelle par des vols de données qui pénalisent chaque années des millions de gens. Vous avez fait le choix de l’obscurantisme « surtout ne pas dire que 200 000 mots de passe sont dans la nature, peu importe qu’ils soient réutilisés sur d’autres sites »… Bravo. On ne parle pourtant pas de « transparence », on parle de bon sens.

Quand Michel Sapin se targue d’une avancée significative pour le statut de protection des lanceurs d’alerte, je ricane… Une exemption de peine… Quelle rigolade. Qu’est-ce qu’une porte défoncée à 6h du matin, 48h de garde à vue et quelques milliers d’euros pour se défendre après tout ?… Pour avoir aidé des gens à en protéger d’autres.

Parallèlement, les sociétés ou administrations, qui sont pourtant rarement étrangères à ce que nous découvrons, ne sont jamais inquiétées, ou très, très rarement. La CNIL fait ce qu’elle peut avec les moyens qu’on lui donne et nous reconnaissons que l’art de la défense est plus complexe que celui de l’attaque. Mais c’est très rarement qu’un système d’informations se retrouve compromis par une vulnérabilité inconnue (un 0day), l’immense majorité se retrouvent compromises par des vulnérabilités dont les correctifs sont disponibles depuis des semaines, des mois…
Chaque structure, en fonction de ses moyens et du patrimoine informationnel qu’elle doit protéger actera pour une politique sécuritaire qui lui est propre. Toutes ne peuvent appliquer le bottin téléphonique de l’ANSSI pour protéger leur patrimoine informationnel, c’est ça la réalité de terrain. Et l’ANSSI, elle a probablement des choses plus sérieuses à faire avec nos équipements industriels connectés qu’à se voir devenir la plateforme d’intermédiation entre un internaute qui tombe sur des données personnelles et une PME.

Et pendant ce temps, nous tombons tous les jours sur vos adresses mail @**.gouv.fr en accès public sur des sites web de sex shops, c’est limite si nous ne connaissons pas les pratiques sexuelles de certains… que nous ne rendons pas publiques, non, on s’en fout, ce n’est pas pour ça que nous vous confions vos mandats. Mais peut-être qu’un jour vous prendrez conscience de la monumentale erreur que vous faites, par exemple en ne rendant pas obligatoire la communication sur une brèche qui a conduit à une fuite de données personnelles. Cet obscurantisme nous conduira, un jour, à quelque chose de bien plus grave.

Quand les représentants du peuple fragilisent les infrastructures informatiques du pays

mercredi 8 juin 2016 à 11:13

oyeah3NextInpact nous apprend que les députés ont repoussé avec un certain dédain un amendement (dit « Bluetouff ») visant à protéger les « hackers » qui signalent à un site poreux ses failles informatiques. Citant les jurisprudences Kitetoa, Zataz et Bluetouff, les députés qui poussaient cet amendement voulaient éviter des poursuites indues pour accès et/ou maintien dans tout ou partie d’un système de traitement automatisé de données aux personnes qui découvriraient une faille au hasard de leur surf.

Personne ne demande aux députés d’être des experts de tous les sujets sur lesquels ils légifèrent. Mais on est en droit d’espérer qu’ils sont équipés d’une toute petite dose de bon sens. Bien entendu, les votes à répétition de lois sécuritaires aussi inefficaces que liberticides pouvaient laisser planer un doute.

Les révélations quotidiennes sur les mensonges, les arrangements, les renvois d’ascenseurs ont peut-être fini de dégoutter une majorité de Français de la politique.

Visiblement, sur le sujet de l’amendement Bluetouff, il leur manque un peu de background en matière de sécurité informatique et ils font preuve d’un manque certain de bon sens. Ces quelques lignes d’un ex-cyber-criminel (pour avoir signalé aux magasins Tati une fuite de données personnelles de leurs clients) les aideront peut-être à mieux comprendre la portée de leur rejet de cet amendement.

Je suis vieux. Je promène ma projection numérique sur les réseaux informatiques depuis… Depuis avant l’arrivée d’Internet en France. Sur ce point je suis moins vieux que d’autres, mais ce qui est certain, c’est que je suis bien plus vieux que les députés dans ce domaine.

Dans le temps, il parait que l’on écoutait la parole des anciens, parce qu’ils avaient, disait-on, atteint une sorte de sagesse, ils avaient vu des choses, en avaient tiré des enseignements, généralement pas trop idiots. Aujourd’hui, la morgue des députés (et de certains journalistes – il faut savoir avoir du recul sur sa propre profession) est telle que les vieux sont voués aux gémonies.

Alors voilà, chers députés, laissez moi vous dresser un portrait de ce qui va se passer.

Les infrastructures informatiques sont une passoire. Pas une petite passoire. Une monumentale passoire. Tout est accessible à distance. Il suffit de disposer de deux choses assez répandues : du temps et des connaissances techniques.

Chers députés, vous pensez que Linkedin (j’imagine qu’ils y ont un profil donc je tente de leur parler d’un truc qu’ils connaissent) ne dispose pas d’une armée d’informaticiens dédiés à la protection de ce qu’ils ont de plus précieux (les informations et donc la confiance de leurs clients) ? Et pourtant… Les identifiants et les mots de passes de leurs clients se sont retrouvés dans la nature.

Donc, imaginez vos sites gouvernementaux, les sites universitaires, les sites d’entreprises privées, les messageries, les clouds variés, tout cela, est une passoire.

Ah ? Vous êtes zoophile tendance teckels morts ?

Comme je vous le disais, je suis vieux. Et à l’époque où Internet est arrivé, nous n’étions pas nombreux à nous intéresser aux problématiques de sécurité informatique. Nous nous sommes donc « trouvés ». Qui ça ? Les hackers qui vous effrayent tant. J’ai donc passé des années en compagnie d’une bonne partie de ceux que je considère comme les meilleurs. L0pht, Rhino9, ADM, w00w00, cDc autant de groupes de dangereux terroristes de fabuleux esprits qui ont façonné par leurs trouvailles la sécurité informatique d’aujourd’hui. Si vous êtes un peu mieux protégés aujourd’hui, c’est grâce à eux.

Votre dédain pour leurs activités vous empêchent de les remercier. Je sais.

C’est dommage parce que franchement, vous leur devez beaucoup. Je vais vous donner un exemple simple à comprendre.

Lorsqu’un sex-shop en ligne français ayant pignon sur rue était mal  protégé, les adresses mail de 10.000  clients fuitaient sur le Net.

Ça ne vous regarde pas ? Vraiment ?

gouv.frUn peu quand même…

Bien entendu, j’aurai pu suivre mes habitudes, prévenir les administrateurs du site. Leur dire que quand même, laisser tous les mails des clients dans un fichier « mail.txt » à la racine du site, accessible avec un simple navigateur, en ajoutant le nom du fichier après l’adresse du site, c’était un peu idiot. Mais avec vos décisions, je serai plutôt enclin à ne rien dire. Ne vous y trompez pas, si je ne dis rien, cela ne veut pas dire que vos données seront protégées. Quelqu’un d’autre les trouvera. Et il en fera sans doute un usage moins respectueux de la vie privée que moi, Bluetouff ou Zataz.

Mais revenons à des sujets mois frivoles.

Les sex-shops, c’est rigolo, cela fournit une illustration généralement assez parlante des dangers liés à l’insécurité informatique. Mais parlons de choses qui fâchent. En passant des années aux cyber-côtés des meilleurs hackers, j’ai vu des choses bien pires. Ils n’ont jamais rien mis en péril, jamais tiré un profit de ce à quoi ils accédaient. Mais d’autres auraient pu. Et si vous avez la trouille pour vos données personnelles stockées sur un sex-shop pouvant révéler vos préférences sexuelles, imaginez le reste. Des entreprises de haute technologie transformées en gruyères, des banques devenant soudainement transparentes, qui pourraient être précipitées dans une crise qui dépasse votre imagination, en quelques clics…

Que leur direz-vous après la catastrophe ? Ah, désolés, on avait l’occasion de protéger les gens qui voulaient signaler de bonne foi des failles dans votre système mais on l’a écartée. Ils se sont tus pour éviter un procès long, coûteux, épuisant, et d’autres ont explosé votre système d’information. Désolés… ?

 

DPI : la flûte enchantée

mardi 7 juin 2016 à 14:28
Bernard Cazeneuve - par Marc Rees - Licence CC-BY-SA 3.0

Bernard Cazeneuve – par Marc Rees – Licence CC-BY-SA 3.0

Mediapart et Reflets ont révélé hier la nature du programme IOL (Interceptions Obligations Légales) et des relations commerciales entre Qosmos et le gouvernement français. Mediapart en a profité pour nous remettre à l’esprit le bien joli morceau de pipeau de Jean-Jacques Urvoas. À l’époque président de la délégation parlementaire au renseignement, notre ministre de la Justice répondait à une question d’Edwy Plenel concernant très précisément Qosmos :

« Je n’ai jamais rencontré, depuis que je suis (…) président de la délégation parlementaire au renseignement, cette structure, je n’ai jamais entendu qu’elle soit un prestataire de qui que ce soit, en tout cas pas pour les organes qu’il m’arrive de fréquenter »

S’il ne fréquentait pas les bons organes, le bon Jean-Jacques fréquentait apparemment le même club de flûte qu’un certain nombre de ses petits copains, que Mediapart a, assez injustement, oublié de citer. Lors des débats publics sur la loi renseignement, la députée Laure de la Raudière interrogeait ainsi notre ministre des interceptions administratives, des grenades de désencerclement et des coups de tonfa dans la tronche, Bernard Cazeneuve :

« Allez-vous utiliser la technique du deep packet inspection pour recueillir les données ? »

Notre ministre, saisissant prestement son fifre :

« Madame de La Raudière, nous avons déjà échangé sur cette question, je ne sais pas si vous vous en souvenez. Lorsque nous discutions de la loi du 13 novembre 2014 et que nous évoquions la question du blocage administratif des sites, vous m’aviez déjà demandé si nous utilisions la technique du DPI. J’avais alors déclaré devant l’Assemblée nationale qu’il était hors de question d’utiliser cette technique, et je le confirme. »

Las de répéter encore et encore la même rengaine, l’inlassable Bernard déroulait pourtant impeccablement sa partition :

« Je vous confirme ce que j’ai dit de façon inlassable depuis des jours et des semaines – mais à peine la réponse est-elle donnée qu’elle est oubliée, et il faut y revenir ; ce n’est pas vous que je vise en l’occurrence, madame de La Raudière, mais plutôt le brouhaha ambiant et le vacarme médiatique. »

Pas facile de jouer du galoubet au milieu du « brouhaha ambiant » et du « vacarme médiatique », hein ? Et de conclure :

« Nous n’utiliserons pas cette technique. C’est très clair. Je l’ai déjà dit au mois de novembre et je le répète aujourd’hui. (…) Nous n’utiliserons donc en aucun cas cette technique du DPI. »

Cette réponse avait un peu ébouriffé certains commentateurs. En effet, les données collectées, les fameuses métadonnées, sont situées au niveau applicatif. Elles ne sont en principe pas traitées par les opérateurs télécoms qui n’ont besoin que des informations situées dans les couches les plus basses (adresses IP par exemple) pour assurer le routage des paquets. Dès lors, pour les récupérer, les sondes doivent nécessairement aller inspecter le contenu desdits paquets pour en extraire la substantifique moelle.

Layer 7, c'est DPI par votre serviteur - Licence CC-BY

Layer 7, c’est DPI – par votre serviteur – Licence CC-BY

Deep Packet Inspection. Qosmos. Boîtes noires. Flûte à bec.

Notre orchestre ne serait pas au complet sans Eduardo Rihan-Cypel, député, vice-président du groupe à l’Assemblée Nationale, membre de la commission de la Défense nationale et des forces armées, ancien membre de la commission d’enquête parlementaire sur les services de renseignement, auquel nous souhaitons rendre un vibrant hommage. Le type est tellement doué qu’il arrive à jouer de l’ocarina sans les mains. Si, juré. À tel point que le mélomane Cambadélis l’avait nommé « secrétaire national à la riposte et aux arguments ». Sans rire.

Interrogé par Jean-Marc Manach (à partir de 38:30) sur la mise en oeuvre du DPI et sur les dénégations de Bernard Cazeneuve, il avait réussi l’exploit de hocher la tête, les bras ouverts, auto-satisfait façon « Ah, je vous l’avais bien dit ! Alors, c’est qui le boss du matos ? », cependant qu’Alexandre Archambault, qui connaît un tout petit peu le sujet, était en train de lui enfoncer sa riposte et ses arguments dans l’oreille droite le contredire. Non, sérieusement, courez visionner cette performance artistique. « Moi j’ai juste vu sur Wikipédia, très bêtement », disait-il. Le talent.

Eduardo Rihan-Cypel en plein vol

Eduardo Rihan-Cypel en plein vol

Pas de Qosmos, pas de DPI… Alors les flûtistes, on va pas vous demander de vous excuser. Non, c’est pas notre genre. Et surtout c’est pas le votre. Mais on va quand même vous poser une colle. Sur la première page du document de Qosmos à propos des Interceptions Obligations Légales, il y a marqué quoi ?

ixm-IOL

Les autres, vous dites rien.

IOL à l’heure de cette France en état d’urgence permanent, mais qui va mieux

lundi 6 juin 2016 à 19:11

iolcatMediapart et Reflets viennent tout juste de vous révéler IOL, ou comment dès 2006, la France déployait un dispositif qui se positionnait aux frontières de la légalité. IOL est le second projet « confidentiel défense » après Kairos et apparu au cours de nos investigations sur la société Qosmos, sur lequel nous pouvons aujourd’hui faire la lumière. IOL porte donc sur les interceptions dites de sécurité, que l’on opposera aux interceptions judiciaires qui se font sous le contrôle d’un juge. IOL est piloté par le GIC qui répond au cabinet du premier ministre. Cette infrastructure est-elle isolée ou transverse à celle de la PNIJ, la plateforme nationale des interceptions judiciaires ? Difficile de concevoir que l’Etat double ce genre d’infrastructures assez coûteuses.

IOL est un projet important de par sa volumétrie, initié en 2005, on parlait déjà pour 2006 de 6000 DSLAM sondables, jusqu’à couvrir 99% du trafic résidentiel en 2012. Quelques points demeurent assez mystérieux à propos d’IOL, sa classification « secret défense » n’est pas faite pour délier les langues, notamment sur le coût réel de ce projet, sur son efficacité, ses usages réels et surtout, sur ce qu’il est devenu, aujourd’hui, dans une France en situation d’état d’urgence permanent.

Peu importe le nom qu’on lui donne : IOL, boites noires, algorithmes… ce dispositif est massivement déployé, ce depuis 2009. La loi est certes venue patcher l’a-légalité du dispositif, mais elle l’a fait tardivement (en 2015). Que s’est il réellement passé entre 2009 et 2015 ?

La légalisation de ce dispositif à coup d’empilement de lois antiterroristes ne va t-il pas nous amener à une utilisation dans une optique plus massive, plus systématique ? La problématique de l’antiterrorisme, c’est aujourd’hui la détection de signaux faibles. Quoi de plus tentant qu’utiliser cette infrastructure IOL pour tenter de détecter ces signaux faibles… à coup d’algorithmes.

Les limites techniques connues de l’interception par inspection en profondeur des paquets sont :

Il n’y a cependant pas besoin de faire du massif pour que des usages pernicieux d’IOL soient envisageables. A l’heure des mouvements de contestation contre la loi travail ou du mouvement Nuit Debout, IOL est une véritable arme nucléaire capable de tuer dans l’œuf tout mouvement citoyen de contestation. En donnant à manger les bonnes règles de configuration aux sondes d’IOL, on peut ainsi monitorer en temps réel un mouvement de grogne, détecter les meneurs, les placer sous surveillance rapprochée, les infiltrer.

IOL est un outil effrayant car il sait surveiller autre chose que des personnes, il sait aussi surveiller des idées.

Si une telle dérive venait un jour à être révélée, et elle le sera forcément, nous entrerions dans une ère inquiétante, une ère où la notion de liberté d’opinions serait biaisée, où l’autocensure serait la norme.
Tout ceci n’est pourtant qu’une étape, la détection de signaux faibles implique d’importantes masses de données manipulées, elle implique le couplage des techniques d’interception à des outils de deep learning.

Si un outil comme Palantir intéresse le Secrétariat général pour la modernisation de l’action publique (SGMAP) et la Direction générale des finances publiques (DGFP), on peut aussi imaginer qu’il intéresse de près le GIC et les services de renseignement, et si Palantir peut probablement se montrer efficace à Bercy, il ne faut pas perdre de vue que sa vocation première, c’est la lutte antiterroriste.

Difficile de concevoir que les services ne s’intéressent pas à l’exploitation de gros volumes de données pour la détection de signaux faibles, le nerf de la guerre contre le terrorisme. Difficile également dans ces conditions de tabler sur des durées de rétention raisonnables et légales pour parvenir à de tels objectifs. Si ces pratiques ne sont pas déjà en place aujourd’hui, elles le seront certainement demain.