Aujourd’hui s’est ouvert le procès des Luxleaks. C’est un procès hors norme, celui d’Antoine Deltour et Raphaël Halet, lanceurs d’alerte et Edouard Perrin, journaliste. Ils sont poursuivis pour «divulgation de secrets d’affaires ou de fabrication, violation du secret professionnel, vol et vol domestique». Je ne me lancerai pas dans une analyse juridique à la simple lecture des faits qui leurs sont reprochés même si j’ai l’intime conviction que ces trois personnes n’ont rien à faire dans le box des accusés.

Cependant, il y a quelque chose qui me fait bondir, c’est la confusion entretenue par les journalistes et les juristes entre un « bug » ou une faille informatique, et une faille humaine, qu’honteuse, une accusation fera adopter à l’opinion comme une « faille informatique ».

Rappel : Quand un administrateur système n’est pas fichu d’appliquer les bonnes permissions sur un dossier, sur des fichiers, il s’agit d’un bug HUMAIN.

La fonction d’un serveur de fichiers, par défaut, est … tenez vous bien… de servir des fichiers.

S’il y a une authentification à la racine, ça ne veut pas dire que tout ce qui se trouve sous la racine est forcément privé ! Les pages d’accueil de Facebook ou de Twitter disposent bien d’une authentification et pourtant, la majorité des contenus se trouvant sous la racine sont publics.

Une « faille » ou un « bug » informatique impliquerait que les accusés aient contourné une mesure d’authentification pour s’octroyer des permissions qu’ils n’avaient pas.

Or, ce que l’on peut lire ce matin, c’est ça :

Nous avons donc des docs scannés placés dans un dossier qui se nomme « confidentiel » mais dont les permissions récursives ne sont pas appliquées, ou pire, qui n’est pas lui même configuré avec les bonnes permissions. Tant et si bien qu’une recherche, sans autorisation particulière restituera ces documents scannés. Une simple recherche qui restitue des documents publics parce que de mauvaises permissions sont appliquées, outre le fait que ça me rappelle quelque chose, c’est, encore une fois, un comportement NORMAL, et non « bug » informatique, ou encore moins une « faille ».

Maintenant, que vous soyez journaliste ou juriste, merci d’éviter ceci :

• ici un avocat qui dans un article sur les backdoors (wtf ?) qualifie le résultat d’une recherche Google comme l’exploitation d’une faille ;
• un autre avocat qui qualifie de faille informatique une erreur humaine ;
• encore un avocat qui qualifie de « faille dans le système de sécurité » une erreur humaine ;
• encore et toujours un avocat qui qualifie de faille de sécurité une erreur humaine ;
• et le fin du fin se trouve sur Legalis puisqu’on apprend que « l’accès qu’il ne conteste pas, lui a, en fait, été permis en raison d’une défaillance technique concernant les certificats existants dans le système, défaillance que reconnaît l’ANSES« … bah tu m’étonnes qu’elle la reconnait vu que ça n’a rien d’une défaillance technique mais d’une défaillance bien humaine.

Bref tout ça pour vous dire, qu’avant d’écrire n’importe quoi, au risque de porter inutilement préjudice à des accusés, apprenez à faire la distinction entre une vulnérabilité technique qui aurait été exploitée de manière malicieuse et une erreur humaine d’un administrateur distrait qui n’a pas coché la bonne case et qui permet à n’importe quel utilisateur d’accéder à des documents.

En parlant de « bug » ou de « faille », vous condamnez Antoine Deltour, Raphaël Halet et Edouard Perrin dans l’opinion publique, et c’est le genre de bourde sémantique qui pèse lourd le jour d’un délibéré.

Reflets a déjà évoqué cet étrange grand écart intellectuel tenté par les éditeurs de presse qui consiste d’une part à demander à Google News de bien indexer tout leur contenu et d’autre part, à attaquer Google News qui leur volerait, qui leurs lecteurs, qui leurs recettes publicitaires… C’est au tour de News Corp de rejoindre officiellement la #TeamOuinOuin. Le géant qui publie entre autres choses le Wall Street Journal, s’associe à une plainte contre la position dominante (sans blague ?) de Google.

Mais ce que ne dit évidemment pas News Corp, c’est qu’il peut, s’il le souhaite, éviter l’indexation par Google de ses articles. S’il ne le fait pas, c’est que tout de même, quelque part, le géant de la presse y trouve son compte. Le désormais fameux fichier « robots.txt » des sites impose aux robots des moteurs de recherche de ne pas indexer tel ou tel contenu, pourvu que la volonté de l’éditeur soit au rendez-vous. Pour les quelques sites suivant de News Corp, la volonté de ne pas être indexé par Google n’y est pas évidente, d’autant que la volonté de ne pas être indexée par certains site, est elle, évidente :

 

L’antienne « si je n’ai rien à me reprocher, je n’ai rien à cacher » a finalement eu raison de la mobilisation des défenseurs des libertés individuelles, vent debout contre les différents projets de loi sécuritaires (Loi sur le Renseignement, projet de loi pénal, …). La population n’a pas rejoint leur indignation. Les opposants à ces projets n’étaient pas tous des informaticiens anarchisants. On peut citer par exemple le Conseil de l’Ordre des avocats de Paris et son bâtonnier Pierre-Olivier Sur, le Syndicat de la magistrature, qui ont violemment critiqué cette loi ouvrant la voie à l’installation des fameuses « boites noires », un élément de langage intégré dans le débat par le gouvernement.. Dans les faits, ces boites noires sont une infrastructure permettant de siphonner tout trafic Internet et de le stocker pour une utilisation ultérieure. Il est compréhensible que le grand public n’ait pas mesuré la portée de ce texte et les risques qu’il fait peser sur tous les citoyens. Après tout, le sujet est technique, obscurci par un jargon de bon aloi et semble destiné à « protéger » la Nation contre les actions terroristes. En revanche, il est tout à fait paradoxal de constater que les hommes et les femmes politiques n’aient pas envisagé ce qui va inexorablement survenir.

Vous avez aimé l’affaire Takieddine ? Vous allez adorer la deuxième saison de cette série. Petit retour en arrière… Ziad Takieddine est un intermédiaire dans de gros contrats internationaux, notamment des ventes d’armes. On le retrouve ainsi au cœur des affaires Sawari II (Arabie saoudite) et Augusta (Pakistan). Sa très embarrassante proximité avec des hommes politiques français, les commissions exubérantes empochées lors de la signature de ces contrats ont été mises à jour lorsque son ex-femme a confié le contenu de son ordinateur aux enquêteurs en charge du volet financier du dossier Karachi. Sans ces traces informatiques, tout cela aurait pu rester confidentiel.

Dans un avenir plus ou moins lointain, avec la mise en place des fameuses « boites noires », l’affaire Takieddine va ressembler à une anecdote. Rares sont les présidents ou les gouvernements n’ayant pas utilisé à leurs propres fins les outils mis à disposition par les services de renseignement. Des écoutes de l’Elysée sous François Mitterrand aux fadettes des journalistes du Monde dans l’affaire Bettencourt sous Nicolas Sarkozy, la liste est longue. Il y a fort à parier que les boites noires serviront un jour à un gouvernement pour obtenir des informations sur des opposants politiques.

Cette fois, il ne s’agira plus seulement d’affaires financières. Toute la projection numérique des vies des hommes et femmes politiques sera à la disposition des indélicats. Leurs préférences sexuelles ou leurs éventuelles infidélités, leurs achats douteux via Internet, leur usage de stupéfiants, les petits arrangements et autres calculs politiques, tout ce qui sera passé par mail, visio-conférence, par des serveurs Web, même les mails restés en brouillons et jamais envoyés seront à la porté de ceux auront la main sur les boites noires.

La récente affaire impliquant un pauvre internaute accusé à tort de multiples téléchargements, et même de pédophilie, devrait cette fois faire réfléchir à la fois le grand public et les hommes et femmes politiques qui signent des chèques en blanc sur des sujets éminemment techniques à un gouvernement désormais en roue libre sur ces sujets. L’internaute en question a été victime d’une machine : le système automatisant la livraison aux enquêteurs des données d’identification des abonnés par Numericable. Lorsqu’il ne parvenait pas à identifier un contrevenant supposé, le système informatique de Numericable fournissait automatiquement aux enquêteurs l’adressse IP de cette personne, totalement étrangère aux méfaits supposés.

Donner la main aux machines, c’est toujours une histoire qui finit mal, comme le démontre l’allégorie du film Terminator. Une idée que devraient d’ailleurs méditer ceux qui pensent avoir trouvé une martingale dans le high frequency trading…

Les violences policières lors des manifestations ne sont pas une nouveauté, les plus vieux se souviennent de Mai 68, les moyens vieux, de Malik Oussekine. Si pour Malik, environ un million de personnes étaient descendues dans la rue pour demander des comptes au gouvernement, il est notable que cela ne se produit plus lors de la mort d’un jeune manifestant. Cela dit sans doute quelque chose sur une société qui ne s’indigne pas assez de la mort de ceux qui sont son avenir, pour reprendre la rue. Ce qui a changé, en revanche, c’est la capacité des gens à cartographier avec précision les violences policières. Le couple téléphone portable et Internet est redoutable.

Voici donc une très intéressante carte des effets de la police sous un gouvernement qui se dit socialiste. Heureusement que la droite n’est plus au pouvoir…

 

Mossack Fonseca ne fait pas que des sites web troués sur lesquels il place des scripts Google Analytics pour mieux assurer la confidentialité de ses clients. Mossack Fonseca ne fait pas que lutter activement contre la fraude et le blanchiment avec sa filiale Evolusoft. La société navigue en zone grise, c’est ça son coeur de métier.

On aura beau vous crier qu’une société offshore c’est légal, et ça l’est, c’est la motivation pour laquelle on y recoure qui est souvent plus discutable.

Ainsi Mossack Fonseca est capable de vous rendre des services pour des problèmes d’ordre très personnels, comme planquer vos biens si vous vous trouvez en situation de divorce.

Il s’agit d’un « petit service » proposé par la filiale luxembourgeoise de Mossack Fonseca ici à un ressortissant hollandais.