PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Nokia Siemens, Hacking Team et Finfisher sont sur un bateau… Moubarak tombe à l’eau

mercredi 24 février 2016 à 19:08

dauphinThe Verge a aujourd’hui publié un article faisant référence à une enquête de Privacy International (PDF) sur l’implication de sociétés européennes (Nokia Siemens, Hacking Team et Finfisher) dans la surveillance électronique égyptienne opérée par le Technical Research Department (TDR).

Le combo parfait et le « meilleur » des deux mondes

Hacking Team et Finfisher proposent tous deux des suites offensives, permettant la compromission ciblée ou « semi ciblée » (comprenez que ce n’est pas bien grave si on infecte 50 personnes avec un malware pour en placer une seule sous surveillance « légale »). Les deux entreprises, dans leur approche, s’opposent à, ou plutôt complètent, l’approche « p0wn’em all » de Nokia Siemens, une approche que nous connaissons bien puisqu’il s’agit de la même que celle d’Amesys (NDLR : qui vend des supers stylos) ou que celle de Qosmos (NDLR : qui vendait aussi des supers stylos mais qui ne fonctionnaient pas)

En combinant ces stratégies de surveillance, on obtient un filet dérivant qui ratisse le plus large possible, puis on vient faire son marché à l’épuisette dans notre filet dérivant, c’est bien pratique.

– Les dommages collatéraux ?
– Tout va bien mon colonel, c’est une cyber guerre, ça ne fait que des cyber morts.

Enfin ça, c’est quand il n’y a pas de révolution.

La légalité… ce cache-sexe

La loi, c’est toujours ce que vous brandira un vendeur d’armes pour venir patcher un sens de la morale aux contours un peu trop larges. Exemple :

« Nokia actively takes steps to ensure that the technology we provide – legally and in good faith – will be used properly and lawfully, »

Voilà ce que révèle l’enquête de Privacy International

« NSN also sold to the TRD – in 2011 or before – an interception management system and a monitoring centre for fixed and mobile networks. These two technologies offer mass surveillance capabilities, enabling the Egyptian government to intercept phone communications of any line routed through the interception management system. »

L’Égypte aurait donc utilisé une solution de surveillance massive « correctement et légalement ». Un peu comme les ricains vous larguent une bombe atomique sur Hiroshima « correctement et légalement ». Chez Nokia Siemens Networks, on ne vend pas de stylo bionique mais on fait du Deep Packet Inspection chirurgical. D’ailleurs, Nokia Siemens ajoute qu’ils ont été précurseurs dans leur approche de DPI chirurgical. Attention, gogogadgeto phrase :

« We were the first telecommunications vendor to define and to implement a human rights due diligence process to mitigate the potential risk of product misuse. »

D’ailleurs, Nokia Siemens Networks en connait long sur l’utilisation « correcte et légale » de ses solutions puisqu’elle s’était déjà faite la main en 2008 sur l’Iran (par l’entremise de Siemens Intelligence Solutions, devenue Trovicor) qui avait même parait-il un niveau de correction et de légalité niveau « human rights », encore plus élevé que l’Egypte de Moubarak.

Mode cynisme off

Une fois de plus, des sociétés européennes ont vendu des technologies de surveillance massive, intrusives, à un pays qui les utilisé massivement mais « correctement et légalement » contre sa population. Une fois de plus un peuple a renversé un régime. Une fois de plus nous avons la démonstration que la surveillance de masse d’une population conjuguée à l’oppression est un fantastique catalyseur de révolutions.

Politique fiction : dans la peau de pépère président

samedi 20 février 2016 à 21:21

francois-normal

Qui est-il vraiment ? Pourquoi agit-il à l’inverse de ses promesses de campagne, de l’idéologie politique dont il est issu ? Que veut-il ? Avec qui négocie-t-il véritablement ? Quels objectifs a-t-il ? Nous avons tenté l’expérience de nous mettre dans la peau de François Hollande, le chef de l’Etat français élu en 2012 sur un programme de gauche, et qui, 4 ans plus tard, applique une politique sécuritaire d’extrême droite doublée d’une politique sociale de type « droite libérale ». Rassurez-vous, l’expérience n’a duré que quelques heures. Mais suffisamment pour récupérer les pensées intimes de « celui qui avait comme ennemi la finance ». Toute cette histoire d’être dans la peau de François Hollande n’est bien entendu qu’une pure fiction. Tout le monde sait qu’il est impossible de pénétrer les pensées intimes d’un être humain…

Moi, président… je n’y croyais pas !

« Je ne pensais pas être élu en 2012. Les primaires socialistes, ça avait mal commencé, j’étais crédité de moins de 10% d’intentions. Et puis, jouer le jeu des primaires ça m’amusait, mais de là à aller à la présidentielle, franchement… Et voilà que je la gagne, la primaire, sans trop savoir comment. Peut-être le coup du « président normal ». On tenait un truc, le principe de l’opposition des genres, un miroir inversé : Moi, Hollande, l’exact opposé du détestable et détesté Sarkozy. Lui, excité, agité, moi, calme, posé. Lui, toujours en train de se mettre en avant, moi, effacé, humble. Le principe, on me l’avait expliqué, c’était tout bête : face à l’hyper-président Sarkozy il me suffisait de jouer le « président normal ». Une sorte de jeu du ‘good and bad cop’ des séries américaines. Mes conseillers ont bien joué le coup, ça c’est certain. Pour ce qui était d’avoir un programme, avec des projets, c’était plus compliqué, parce qu’au Parti on n’arrivait à rien depuis 2002, mais tout le truc c’était de jouer sur la corde sensible de la respiration démocratique cassée par l’excité, et puis suivre la voie de la lutte contre les banquiers et les financiers qui avaient ruiné la planète avec la crise de 2008. Sarkozy s’était tout pris dans la tête, il avait creusé la caisse comme jamais, il suffisait d’arriver en montrant des gages de redresseur de torts. Avec lui, c’était pas très compliqué, vu le nombre de bourdes qu’il avait commises et son image d’amis des riches qu’il se trainait depuis le début de son mandat. »

Mon modèle : Jacques Chirac

J’ai tout appris de Jacques. J’étais très jeune quand il allait flatter le cul des vaches au fond de la Creuse ou de la Corrèze, mais franchement, qui aurait parié un seul nouveau franc sur lui pour gagner une présidentielle ? Jacques, c’était un éternel loser depuis 20 ans quand il a remporté la présidentielle de 1995. C’est ça qui m’a fait dire que moi aussi je pouvais y arriver, en fin de compte. Et faire comme lui : dire n’importe quoi qui puisse convaincre les deux camps de voter pour moi, et jouer sur la synthèse, le côté « bon pote rigolo qui n’est pas vraiment d’un côté plus que de l’autre ». Le modèle que m’a offert Jacques, c’est ça : faire des blagues, taper dans les mains de tout le monde, montrer qu’on est d’un côté de l’échiquier politique parce qu’il le faut bien, mais qu’on pourrait être de l’autre. Tout promettre, ne jamais se démonter, et dire l’inverse de ce qu’on fait en souriant, sans même lever un sourcil.

Servir les intérêts des plus forts en souriant aux faibles

« Ca n’a pas été facile au début du quinquénat, parce que j’y étais allé un peu fort avec le discours du Bourget. Les conseillers m’avaient dit « tu as des points à récupérer sur la gauche de la gauche, il y a Mélenchon qui progresse, il fait le plein dans ses meetings, et il est à 18% ». C’était très ennuyeux, je risquais de ne pas aller au second tour. Parler plus fort que Méluche, ça m’a amusé, surtout quand j’ai parlé de « l’ennemi qui n’a pas de visage », là, j’ai senti que ça frémissait. Et puis quand ils m’ont appelé, les camarades de promo de l’ENA, et tous ceux avec qui je déjeune souvent et qui dirigent les établissements financiers, je les ai rassurés. Ils ont bien compris que c’était juste un truc à la Chirac, comme la « fracture sociale de 95 ». Pour le TSCG (le traité européen sur la convergence qui force à l’austérité budgétaire), pareil, ils m’ont demandé si j’étais sérieux, parce que l’interdiction des déficits, ils y tenaient, c’étaient eux qui qui l’avaient écrit le traité, et ils n’allaient pas s’assoir sur un traité qui leur donnerait — pour les 20 ou 30 prochaines années — un maximum d’opportunités pour accélérer les réformes européennes de libéralisation économique et financière. J’ai dit en rigolant « vous inquiétez pas, de toute façon, je ne peux pas y arriver, même si je voulais, Angela va tellement gueuler, que c’est impossible de le renégocier ». Et j’avais raison. Mais je ne voulais pas froisser Angela, alors, je n’ai même pas tenté de renégocier le TSCG, parce qu’en fait, les « sans dents » ne savaient en fait pas ce que c’était et qu’il fallait faire oublier cette promesse qui ne menait nulle part. Surtout pour moi. »

Le débat, la victoire, et la quille !

« Ce truc de l’anaphore, c’était une trouvaille. Je ne pensais même pas qu’il me laisserait en dire plus que deux ou trois, l’autre andouille, et je suis allé jusqu’à 17 ! « Moi président, je ne placerai pas mes potes à des postes clés, moi président, je respecterai mes engagements, moi président… » C’était une trouvaille de Patrice, un jeune, qui a travaillé dans le marketing viral, et là, il a fait fort. Je pense que c’est ce qui m’a fait gagner. Surtout que l’excité est resté bouche-bée, il ne savait plus quoi faire. C’est l’un de mes meilleurs souvenirs politiques. Après, quand j’ai gagné, j’ai sauté dans un avion pour aller fêter ça de mon patelin de bouseux. Valérie m’a fait une gâterie dans le Falcon, elle m’avait promis de le faire, si je l’emportais. Et après, c’est Julie qui s’y est collée, sous le bureau, quand j’ai demandé à m’isoler pour prendre du recul. Oui, je l’avais déjà dans la poche l’actrice. Elle sentait bien que je pouvais y arriver, et elle a bien misé. Ca y’était, j’y étais, et là les téléphones ont sonné. J’ai expliqué et rassuré, expliqué que tout allait bien se passer, oui, oui, comme avec Jacques, il ne fallait pas qu’ils s’inquiètent, je n’allais pas faire du social ou de l’anticapitalisme, non, non. Je leur ai rappelé que j’avais voté le traité de 2005, et ensuite celui de 2008, et que j’avais toujours été favorable aux réformes libérales de l’Union. Si ça n’étaient pas des gages, ça ! »

Scooter, teinture et  toréro

«  les deux premières années à essayer de ne rien faire, comme Jacques, en plaçant ces imbéciles qui croyaient à la gauche sociale, etc, les Montebourg, Duflot, Hamont et compagnie, j’ai compris que je n’arriverais pas à tenir les 5 ans. Jacques, c’était à une autre époque, il n’y avait pas les réseaux sociaux, et toute la comm’ qui pourrissait mon image.

lelysee-ca-defonce

C’est là qu’on a eu une idée géniale avec Patrice : et si on montait un gouvernement décomplexé ? Ca, c’était quelque chose qui pouvait secouer un peu le cocotier et mettre des bâtons dans les roues de Coppé, Juppé, Fillon et compagnie. J’ai viré Ayrault -le-mou et mis Manuel le toréro à sa place. Du grand art, je suis toujours très fier d’avoir fait ça. Il a viré les pseudo-gauchos qui m’encombraient et placé des durs, Cazeneuve, Le Drian, Sapin, puis Macron : bref, ça commençait à ressembler à quelque chose qui pouvait vraiment déplacer les repères. On a mis en place les systèmes de surveillance et de sécurité que Bauer nous demandait depuis le début, et là, on pouvait, parce qu’on était décomplexé, même sans attentats. Et le bouquet ça a été justement les attentats de janvier 2015 :  la loi renseignement que les Américains nous avait commandée était prête, mais la faire passer était compliqué. Avec Charlie Hebdo, ça a été plus que facile. Manuel avec son doigt pointé et sa mâchoire crispée est franchement bon, les photos de lui en action frappent les esprits. » Je ne parle même pas du 13 novembre et de la déchéance, parce que ça, c’est un bonus : Les ripoublicains ils sont encore sciés que j’ai repris la proposition de leur champion de 2010 ! »

Dernier virage avant la sortie par le haut… des urnes ou d’un CA

« Pour conclure le mandat, j’ai trouvé la stratégie idéale qui me permet de sortir par le haut. En fait, en 2017, je me présenterai, parce que la conjoncture économique va me permettre d’arroser le pays d’emplois aidés et d’incitations financières aux entreprises. Surtout les grosses. Le pétrole est au plus bas, on rentre des milliards qui n’étaient pas prévus et l’euro est toujours  faible. Même si ce n’est pas grand chose, je vais arriver à faire baisser un peu cette courbe, c’est quasi sûr. Surtout que je viens de balancer mon dernier coup, qui va paralyser mes concurrents de LR : El Khomri Makhri. Une demi-arabe, jeune, qui propose une réforme du travail écrite par le Medef ! Juppé est en train de manger son chapeau, j’adore ! Ca va occuper les foules pour les 6 mois à venir, et ça va totalement les griller. L’excité a deux mises en examen, et plus de 10 comparutions dans des affaires judiciaires, il n’arrivera pas à la primaire et si c’était le cas, il ne fera rien. Juppé est le seul qui peut passer. Et comme il veut jouer au type de droite gentil, au gaulliste un peu social mais quand même ferme et proche des entreprises, avec El Makhri et Valls, il n’a plus rien. Il ne peut pas faire plus, ni critiquer, ni trouver ça trop à gauche, puisque la réforme de la demi-Marocaine et les coups de mâchoire d’El torero c’est ce qu’il voudrait faire ! La blonde du borgne peut atteindre 18% au premier tour, mais avec la pétoche qu’on va mettre à tout le monde, elle ne fera pas plus. Les gauchos expliquent à tout-va que si elle passait, avec les lois renseignement et l’Etat d’urgence constitutionnalisé ce serait une dictature, ils vont donc permettre de regrouper toutes les voix vers moi ou le chauve. EELV est mort, j’ai aspiré la grosse qui a trahi tous ses petits amis écologistes, et Mélenchon il ne sait même plus si Georges Marchais était un Communiste ou une marque de Camembert. Et on sera au second tour, Alain et moi. Et pas elle. A moins qu’elle lui bouffe des voix, et dans ce cas là, c’est gagné, parce qu’en face d’elle, je fais au moins 70% en appelant au Front républicain. Mais si c’est Alain, je peux parfaitement le griller, parce qu’il n’a rien : je suis autant européiste que lui, je fais des guerres à l’extérieur, je suis sécuritaire, libéral, pro-entreprise, et je suis aussi calme que lui.. Et moins chauve, avec une teinture au top. De toute façon, si je perds, ce n’es pas très grave : j’ai déjà ma place dans des Conseils d’administration de multinationales, comme Blair ou Schröder, mes deux autres modèles après Jacques, mais qui sont des modèles socio-démocrates, eux, au moins. En réalité, je m’amuse beaucoup. Et je resterai dans l’histoire. Surtout pour le scooter. Mais aussi pour avoir réussi à faire disparaître la gauche du paysage politique. Et ça, c’est un tour de force. Même Sarkozy n’y était pas arrivé, et pourtant il avait bossé dur pour ça. Bon, je crois que j’ai encore envie d’une gâterie. J’appelle Julie, ou bien j’utilise le mobile sécurisé pour demander du matériel à Dominique ? »

France THD : les maires inquiets par le rachat de Bouygues Telecom

vendredi 19 février 2016 à 17:40

C’est un petit courrier de l’association des maires de France daté du 16 janvier 2016 qui en dit long sur le pessimisme des élus  — particulièrement ceux des communes rurales —  face au plan France Très Haut Débit du gouvernement. Le document est intitulé : « Les réseaux très haut débit d’initiative publique pourraient pâtir du rachat de Bouygues Telecom par Orange ».

Document Sans Titre du 02/12/2016 – 477 publié par Drapher

Le principe des RIP (réseaux d’initiative public) est simple sur le papier, mais beaucoup plus compliqué sur le terrain. L’idée principale, résumée sur le site de l’ARCEP est de permettre à des collectivités territoriales, poussées par l’État, de financer des « chantiers » pour améliorer, agrandir les réseaux d’accès à Internet en France. Une région, et le plus souvent un département, lancent des RIP, avec des enveloppes (nos impôts), puis des opérateurs Telco sont payés pour déployer les infrastructures de nouveaux réseaux / améliorer des réseaux existants.

Point sur la Collecte publié par Drapher

Le Plan France Très Haut Débit (France THD) est donc excessivement dépendant des RIP. Les réseaux THD ne vont pas se développer sous la seule volonté des opérateurs privés… qui ne sont pas nombreux et n’ont pas grand chose à gagner à investir massivement au fond des campagnes quand une rente très confortable et simple à développer existe en ville. Cela étant particulièrement vrai pour l’opérateur historique Orange.

quota-RIP

Tout le problème actuel de ce système de RIP/France THD, dans des départements à forte densité rurale, réside donc dans l’inertie des quatre grands opérateurs, qui n’ont pas franchement envie d’aller tirer des fibres optiques au fond des campagnes : peu de clients, beaucoup d’investissements, retours en termes d’image très faible. Rente fort médiocre.

Et voilà que Bouygues, très intéressé pour prendre des parts de marché dans la fibre rurale, puisque « n’ayant pas de base d’abonnés ADSL » jette l’éponge et… se jette dans les bras… d’Orange. Orange, celui qui a justement la « grosse base d’abonnés ADSL », et qui est en situation de quasi monopole dans de nombreux territoires…

Il est facile de comprendre l’inquiétude des maires de France si le rachat de Bouygues par Orange se fait : le THD en campagne, ce ne sera pas pour demain. Ni pour après-demain.

Une fumisterie souveraine… mais libre !

lundi 15 février 2016 à 20:19

bidochon-OSCe n’est pas comme si on ne nous avait pas déjà fait le coup de la souveraineté mal placée. Nous avons tous encore en tête ce holdup sur des fonds publics occasionné par le « cloud souverain », un projet initié par François Fillon en 2009 qui est aujourd’hui devenu pour l’un, un cloud americano britanico luxembourgeois (bâti sur de l’argent public, lui, parfaitement souverain de chez nous) et pour l’autre un cuisant échec commercial avec ses 150 millions d’investissements et ses 108 millions d’euros de pertes.

Flashback

L’erreur était pourtant grossière : on distribuait 75 millions d’euros à des acteurs qui n’avaient pas grand chose à voir avec le cloud (Orange et Thales pour Cloudwatt et Numericable et Bull pour Numergy), tout en écartant des acteurs légitimes comme OVH, Gandi et d’autres qui réalisaient déjà à l’époque une part significative de leur chiffre avec des offres clouds compétitives.  Tout ceci ne pouvait déboucher que sur un lamentable échec, avec des offres loin d’être compétitives et des clients qui ont préféré du Google ou du Amazon à cette souveraineté hors de prix et techniquement pas au niveau. Reflets s’est longtemps posé la question d’aller s’héberger dans le cloud souverain de Bull mais pour une raison dont nous ne nous souvenons plus, ça ne s’est pas fait.

Bug de souveraineté

Le cas Numergy est très intéressant puisque leur « souveraineté » financière sur ces 15 dernières années ne pouvait laisser augurer qu’elle reste souveraine bien longtemps. Patatra… Numericable racheta SFR et c’est ainsi que plusieurs dizaines de millions d’euros souverains passèrent entre les mains du cablo-opérateur luxembourgeois Altice, lui même détenu par l’américain Carlyle et le britannique Cinven. Cocorico, circulez il n’y a rien à voir. Point de rapport parlementaire sur ce fiasco, pas de mise en perspective, d’analyse de ce cuisant échec, mais peu importe, trouvons une autre connerie souveraine à servir au contribuable.

Et maintenant, un OS… WTF ?

Fort de cette expérience ce fiasco, le contribuable appréciera donc qu’on récidive, mais cette fois avec un concept encore plus absurde. Celui de l’OS (Système d’exploitation) souverain. Pour comprendre toute l’absurdité de cette proposition, un minimum de culture informatique préalable est requis, pas de panique, on va simplifier au maximum et évacuer les OS exotiques pour nous concentrer sur des OS utilisables par le commun des mortels et sans matériel propriétaire (oh oui, vendez nous du rêve et proposez nous une architecture hardware souveraine qui soit autre chose qu’un minitel).

Il existe à ce jour 3 principales familles de systèmes d’exploitation :

Tatatatata Reflets… t’en as oublié !

« Mais vous avez oublié Apple OSX, vous avez oublié IOS, vous avez oublié Android ? »

Non nous n’avons pas oublié Apple, ni Google. Apple comme Google ne sont pas partis de rien sous prétexte de « propriétarisation » ou de « souveraineté » dans les tarifs qu’ils pratiquent et les données personnelles qu’ils aspirent. Apple est parti d’Unix, Google a de son côté fait le choix de GNU Linux.

Avant même de parler de souveraineté, on pourrait commencer par aborder ces histoires de « nouveaux OS ». Régulièrement (tous les 3 ou 4 ans), il y a bien un original ou deux qui nous annoncent un nouveau système d’exploitation totalement révolutionnaire.

Second détail qui échappe probablement également au Parlement, un système d’exploitation, c’est bien sympathique, mais s’il ne dispose d’aucune application, si aucun éditeur logiciel n’a un intérêt quelconque à porter ses créations sur ce système d’exploitation, on se retrouve avec un OS souverain qui ne sert pas à grand chose :

Mais coup de bol, le projet ne souhaite pas partir de rien.

Delphine Batho, architect of an open world

Nous avons presque échappé au pire, Delphine Batho lance la (fausse) bonne idée, on va partir d’un Linux. Attention séquence architecture système long term strategy à l’Assemblée Nationale. Ce sera donc un système d’exploitation :

« ouvert et démocratique, à partir d’un noyau Linux, garantissant une mutualisation, permettant de soutenir le développement collaboratif d’un écosystème numérique libre, respectueux des lois, dans lequel les citoyens comme les entreprises puissent avoir confiance »

Vous voulez dire comme une Mandriva à son époque ? Comme Mageia aujourd’hui ? Madame la député, il est bien possible que cette proposition fasse rire un peu jaune certains développeurs/entrepreneurs français. Ne seriez vous pas en train de nous rejouer le coup du Cloudwatt/Numergy ?

Pourquoi ne pas distribuer vos millions directement au projet Mageia qui est tout bien comme vous dites ? Libre, ouvert, piloté par une association localisée en France, avec des contributeurs passionnés et compétents.

Pourquoi nous faire passer pour des cyber-bidochons dans le monde entier en réinventant la roue avec un label « souverain » pour distribuer de l’argent public à des acteurs sortis du chapeau qui n’ont pas grand chose à voir avec le développement d’un OS communautaire libre et ouvert comme on nous a déjà fait le coup pour le « cloud souverain » ?

Non mais sérieusement, un GNU Linux… vraiment souverain ?

Et bien oui ! Ce sera un OS parfaitement souverain, ce sera un OS libre et ouvert basé sur GNU Linux, « Les chinois l’ont bien fait » comme dirait l’ami Jacques, (l’homme qui voulait « nationaliser Internet »), c’est Red Flag..

Pour que ce soit bien souverain, les contributeurs du noyau comme ceux des applications devront-ils présenter leur carte d’identité avant de proposer une contribution ? Qu’allons nous faire de toutes les applications existantes mais qui ne sont pas souveraines ? Allons nous les réécrire ? Et sinon ce projet, vous l’évaluez à combien de milliards étalés sur combien de décennies ? Les perspectives d’adoption en entreprise qui vont devoir réécrire leurs applications métier et pour les particuliers qui vont découvrir que leur jeu ne fonctionne pas et que leur téléphone ne se synchronise pas avec cet OS souverain, vous les évaluez à combien au juste ?

Question annexe : pourquoi rentrer dans ce délire d’OS souverain alors que nos administrations s’entêtent à contractualiser avec Microsoft pour nos infrastructures de défense et d’éducation nationale ?

Très franchement, n’est-ce pas placer la charrue avant les boeufs que de disserter sur un OS libre « souverain » alors que nous ne sommes déjà pas fichus de passer au libre tout court pour nos infrastructures les plus critiques ?

Souveraineté ?… de qui ça ?

La plus grosse escroquerie intellectuelle de cette histoire d’OS souverain, c’est la notion même de souveraineté d’un état sur un système d’exploitation. Pitié, finissez en une bonne fois pour toute avec ce terme qui n’a ni queue ni tête quand on le transpose à la notion de souveraineté informatique nationale. La seule souveraineté qui puisse exister en matière d’informatique, c’est la souveraineté de l’utilisateur final, qu’il soit français, chinois, américain ou irakien.

Tout n’est pas perdu, puisque le gouvernement semble plus pragmatique que les auteurs de cette proposition farfelue et invite à « privilégier une approche encourageant les acteurs à contribuer au développement de systèmes d’exploitation en source ouverte existants, comme Linux ».

Attendons la prochaine loi sur le Numérique, nous découvrirons bien un projet d’Internet souverain, les nord coréens l’ont bien fait.

 

L’écumeur des cybermers et le parquet flottant

dimanche 14 février 2016 à 16:21

There is this thing called InternetDans le cadre d’une enquête sur de fausses alertes à la bombe reçues par des lycées parisiens, les amis du petit déjeuner ont rendu lundi 8 février, une amicale visite à un lycéen. Ils l’ont placé en garde à vue et ont, semble t-il, saisi ses armes de destruction massive son matériel informatique. France Info nous apprenait le lendemain que « c’était l’adresse IP de son ordinateur » (sic) qui avait permis aux cyberlimiers de l’OCLCTIC de remonter la piste du « jeune hacker (sic et resic) ». Ce dernier, « connu de la justice dijonnaise pour des faits de piratage informatique » – « selon une source policière » parce que sinon ça fait pas sérieux – « aurait offert son savoir-faire à des complices pour appeler les lycées parisiens de manière anonyme, grâce à des logiciels cryptés utilisant des serveurs distants à l’étranger (sic, resic et reresic) ». Bref, tout ça sentait bon le grand n’importe quoi, et il aura fallu attendre deux analyses un peu plus calmes du Monde puis de Numerama pour y voir un peu plus clair.

Le parquet, pied au plancher, avait requis la détention provisoire et la mise en examen du tipiakeur pour « complicité de menaces de destruction dangereuses pour les personnes », « complicité de menaces de mort », « complicité de fausse alerte ». Quel forfait avait donc commis notre jeune flibustier, de qui s’était-il fait le complice et quelle était la nature de cette complicité ? Il était l’opérateur de serveurs de messagerie instantanée XMPP ouverts. Par malchance, c’est sur ces derniers que « l’Evacuation Squad », le groupe de débiles apparemment à l’origine des fausses alertes à la bombe, avait jeté son dévolu pour ses communications. Les passerelles XMPP permettent une interconnexion à toute une ribambelle de services tiers, dont Twitter. En l’occurrence, ce sont des tweets d’Evacuation Squad, en relation avec les alertes, qui auraient transité par le serveur XMPP de notre infortuné gaillard. Voilà donc comment l’adresse IP du serveur du jeune homme est apparue sur les radars de la cybermaréchaussée, voici tout le lien qui le rattache à cette affaire. L’accusation ne tient pas deux minutes, puisque cela reviendrait à rendre toute personne fournissant un service en ligne potentiellement complice de tout et de n’importe quoi. Cela n’a pas échappé au juge qui a choisi de ne pas suivre les réquisitions du parquet. Fin de l’histoire, tout rentre dans l’ordre, ils vécurent heureux et eurent plein de serveurs XMPP.

Ce serait aller un peu vite en besogne, et oublier un chef d’accusation supplémentaire (nous avons affaire à un dangereux pirate, ne l’oublions pas), pour lequel le juge a décidé de suivre le parquet : le « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie ». D’après Le Monde, l’ordinateur personnel de notre fripouille était chiffré, et il aurait refusé de révéler aux enquêteurs la clé idoine pendant sa garde à vue. Notre méchant brigand n’est donc complice de rien, mais l’article 434-15-2 du code pénal semble suffisant pour le poursuivre quand même. Cet article, équivalent légal du coup de clé à molette sur le coin du pif, punit le refus de remettre les clés secrètes « d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Passons sur la bizarrerie logique qui autorise le gardé à vue à se taire, mais qui l’oblige à remettre ses clés de chiffrement. Notre têtu malandrin risque, pour salaire de son opiniâtreté, jusqu’à cinq ans de prison et une prune de 75 000 €. Une broutille.

Security - XKCD - Creative Commons Attribution-Non Commercial 2.5 License

Security – XKCD – Creative Commons Attribution-Non Commercial 2.5 License

S’il s’agit bien, comme l’indique Le Monde, de l’ordinateur personnel du jeune pirate, le rapport avec la choucroute est pour le moins distendu. Chose que n’a pas manqué de relever Numerama, qui nous rappelle au passage que « nul ne [peut] être contraint de fournir des éléments de sa propre inculpation ». La seconde possibilité serait qu’il s’agisse des clés utilisées pour chiffrer les connexions d’Evacuation Squad aux serveurs XMPP de notre boucanier numérique. Mais, d’une part, pour que ces clés aient un quelconque intérêt il aurait fallu que les communications aient été interceptées au préalable. D’autre part, ces serveurs semblent configurés pour l’échange de clés Diffie-Hellman qui permettent aux connexions TLS d’acquérir la propriété de forward secrecy. Lorsque des serveurs sont paramétrés de cette façon – ce qui est une bonne pratique – chaque nouvelle connexion utilise une clé de chiffrement éphémère, qui est détruite lorsque la connexion prend fin. Le jeune forban ayant l’air un peu tatillon sur les questions de vie privée, il paraît donc douteux qu’il ait bidouillé son serveur pour enregistrer ces clés. Ne les ayant pas en main, on voit bien mal comment il pourrait les remettre. La dernière possibilité, serait que ce soit la clé privée des serveurs XMPP qui ait été visée. Mais lorsque le protocole d’échange de clés Diffie-Hellman est utilisé, cette clé secrète ne sert en pratique qu’à authentifier le serveur, pas du tout au chiffrement. Elle autoriserait seulement les enquêteurs à intercepter les échanges futurs – via des attaques MiTM – pas les communications passées. Dans tous les cas de figure, la supposée entrave à la justice s’accommode fort mal de la réalité technique.

Au delà des considérations techniques ou juridiques (et des emmerdements bien réels causés par ces fausses alertes), cette histoire soulève évidemment des questions d’éthique. Tout d’abord, exercer des pressions sur les petits acteurs qui fournissent des services en dehors des grandes « plateformes », c’est faire le jeu de la centralisation de ces dernières, qui ne sont pas forcément en odeur de sainteté au niveau des données personnelles ou de la surveillance. Il ne faudra pas non plus venir pleurnicher sur la « souveraineté » perdue. Mais surtout, les technologies respectueuses de la vie privée ne peuvent — par définition — avoir la protection sélective. Les plus efficaces d’entre elles sont conçues pour que les opérateurs et autres administrateurs n’aient jamais accès aux clés. Est-il acceptable que le fournisseur d’un service protecteur de la vie privée soit inquiété pour le simple fait de proposer un tel service ? Notre choix en tant que société est plutôt binaire. Nous pouvons encourager le développement de ces technologies. Dans ce cas, nous arrêtons la schizophrénie et nous intégrons qu’elles puissent être marginalement utilisées par des personnes peu scrupuleuses, aux enquêteurs de s’adapter. Ou alors, nous faisons le deuil de notre vie privée, nous nous privons d’un bien collectif et social essentiel, et nous acceptons de vivre dans une société de transparence asymétrique dans laquelle le secret et la sécurité sont l’apanage des puissants ou des criminels.

En attendant d’avoir fait ce choix, on lui souhaite bon vent, à notre écumeur des cybermers.