PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

La justice des bots, c’est maintenant

Wednesday 13 May 2015 à 19:06

dontwnanaDepuis quelques jours, l’affaire Krach.in fait couler pas mal de pixels. Si vous avez loupé les épisodes précédents, un blogueur a été condamné à 750 euros d’amende. Son crime ? Avoir rédigé des articles liés à la sécurité informatique, des articles précis, argumentés, démonstratifs, la seule manière de faire comprendre un problème de sécurité afin de s’en prémunir… et c’était bien évidement sur la prévention des risques que ces articles étaient ciblés.

L’affaire aurait pu être « banale », car nous sommes effectivement quelques uns sur le Net à avoir constaté le zèle que certains tribunaux mettaient à condamner des gens sur la base d’éléments dont ils ne pipent pas le moindre mot, ni le moindre concept.

On a reproché à Krach.in notamment un article sur le cracking de clés WEP… ne rigolez pas, en 2015, se voir reprocher d’expliquer l’insécurité du WEP c’est complètement délirant. Pour ceux qui dormaient au fond, on rappellera juste que ce protocole de chiffrement sans fil offre une protection théorique de 64 ou 128 bits, mais que comme 24 bits passent en clair, il est possible de déduire la clé de cette « protection » de fait réduite à 40 ou 104 bits, et même d’accélérer cette opération en injectant du traffic pour récupérer un maximum de données intéressantes (dans notre cas, des vecteurs d’initialisation qui serviront à déduire la clé de chiffrement). Des outils assez simples et complets comme Aircrack-NG  mettent en oeuvre ce type d’attaques, des attaques dramatiquement classiques comme le démontrent les 15 millions de pages référencées par Gôgleuh qui traitent du sujet.

Plus sérieusement, comme Krach.in l’explique dans son récit détaillé, c’est surtout du côté des fournisseurs d’accès Internet qui livraient encore il y a peu de temps des box avec du WEP pré-configuré par défaut qu’il y a des claques qui se perdent.

Mais là où on touche le fond, c’est quand on lit le récit du blogueur et la manière dont la « plainte » est arrivée au parquet. Il s’agirait d’un robot (un bot) qui se balade sur les sites web à la recherche d’infractions supposées. Il n’en faut pas plus apparemment pour provoquer une perquisition au domicile du blogueur. Oui, vous avez bien lu, une intelligence artificielle se balade sur le réseau à la recherche d’infractions et hop, vu que ça cause WEP, ça mérite bien une petite descente. Si tu es blogueur et que tu parles de Tor, c’est peut être le GIGN qui te pend au nez. On se gratte la tête, on se pose un instant, et on se demande d’un coup si ce bot n’aurait pas un lointain lien de parenté avec un projet dont nous vous avons parlé ici et dont nous reparlerons le moment venu. Toujours est-il que selon les propos du blogueur qui relatent ceux des gendarmes :

« ils sont obligé de traiter cette, plainte car elle vient d’une sorte de bot qui scanne le WEB FR et selon les contenus lève des infractions »

Un bot à la con mobilise donc les effectifs de gendarmerie pour aller faire la chasse aux blogueurs alors que le contre-terrorisme croule sous le travail… bravo, ça c’est une gestion intelligente et efficace ! A quand le bot qui ira parcourir Google Street View à la recherche de personnes qui ne traversent pas dans les clous ? A quand le bot qui épluchera leur compte Facebook pour évaluer le pourcentage de chances que tata Françoise morde la ligne blanche sur la N21 le 14 décembre 2017, histoire qu’on lui envoie le RAID le 13 décembre ?

Une absurdité pouvant en cacher une autre …  et probablement soucieux de faire cesser la grave infraction qu’est d’expliquer pourquoi le WEP c’est de la merde (c’est vrai que ça ne fait « que » plus de 10 ans qu’on le sait), la gendarmerie lui demande de fermer son blog. « Monsieur vous démontrez trop bien un secret de polichinelle, mais nous sommes dans l’obligation de vous censurer intégralement« … Bienvenue en France en 2015 !

pedobearLe blogueur de Krach.in n’ayant pas les moyens d’aller au pénal (là encore on est probablement quelques uns à pouvoir vous expliquer que la justice accessible à tous est quand même vachement plus accessible quand on a quelques milliers d’euros en poche), il décide d’accepter une comparution sur reconnaissance préalable de culpabilité (CRPC). Et aussi délirant que ceci puisse paraitre de plaider coupable d’informer un public, même restreint, des dangers d’utiliser un chiffrement sans fil connu et reconnu comme faible et vulnérable, Krach.in espérait la clémence d’un juge qui comprend à minima de quoi on parle… monumentale erreur. Le procureur, demande une amende et 1 an sursis, en usant, comme à chaque fois que ça cause d’Internet, de comparaisons très bien senties avec un point Pedobear® inside :

« Il comparait le fait que je montre des techniques de hacking au fait de conduire une voiture à 250km/h alors que c’est interdit, juste pour montrer que cette vitesse peut être atteinte… »

« Ensuite il a comparé ça avec des histoires de pédophilie »

Bilan : reconnu coupable (normal en CRPC), condamné à 750€ d’amende, blog fermé… Et un putain de bot un peu crétin qui saisit la justice pour des trucs d’une rare connerie pendant que nos effectifs de polices font la traque aux barbus qui ne sont pas adminsys.

Condamner Krach.in, ça revient à condamner l’Ange Bleu  pour pédophilie, c’est condamner la prévention, pas les criminels.

Meanwhile in Greece…

Tuesday 12 May 2015 à 22:04

grecePendant que tous les regards sont tournés, qui vers le Projet de loi sur le renseignement, qui vers les îles des Caraïbes, qui vers le Népal, le grexit re-pointe le bout de son nez. Même si la Grèce a annoncé avoir décidé de lancer la procédure de remboursement de 750 millions au FMI, il semble bien qu’elle ait choisi une voie un peu limite. Les sujets du grexit et du défaut refont surface. Certains banquiers le voient même arriver en mai ou juin. Ce qui serait très bon pour la reprise économique de l’Europe… Dans le même temps, nos amis d’Outre-Manche, les Britanniques, tout affairés qu’ils sont avec le royal baby, semblent très peu affectés par les projets de celui qu’ils viennent de reconduire au pouvoir et dont toute la classe politique française a salué la réélection : il prévoit d’organiser un référendum sur la sortie de son pays de l’Union. En cas de sortie de la Grande-Bretagne et de la Grèce, on peut imaginer que les conséquences seraient… Comment dire ? Imprévisibles ?

Parlementaires : algorithmes à géométrie variable

Tuesday 12 May 2015 à 21:45

algoIl faut le lire pour le croire… Un article de Nicolas Rauline Journaliste au service High-tech & Médias des Echos (à lire en entier) nous apprend que les parlementaires souhaitent encadrer les algorithmes. Non, non, pas ceux du gouvernement (Projet de loi sur le renseignement) qui vont plonger dans nos vies privées, ceux des méchantes grosses entreprises qui règnent en maîtres sur le Web, comme Google, Netflix et consorts.

« Les pouvoirs publics vont-ils bientôt mettre le nez dans les algorithmes ? Devant l’importance croissante des formules mathématiques et de l’automatisation dans nos vies, certains le réclament, en tout cas. C’est le sens d’un amendement de la loi Macron, adopté par le Sénat il y a quelques jours. Déposé par plusieurs sénateurs de l’opposition, celui-ci impose notamment à Google de mieux informer les internautes sur les critères de son algorithme et lui interdit toute discrimination, sous peine de se voir infliger une amende allant jusqu’à 10 % de son chiffre d’affaires mondial (soit environ 6,6 milliards de dollars). Les sénateurs se sont largement inspirés d’un rapport du Conseil d’Etat, rendu en septembre dernier, sur le numérique et les droits fondamentaux. L’une des propositions fortes de ce rapport était la création d’un droit des algorithmes, visant à réguler ces formules, omniprésentes dans les nouvelles technologies. »
Et l’on reste un peu plus perplexe encore en lisant les extraits du rapport du Conseil d’Etat :
« L’utilité des algorithmes pour optimiser le fonctionnement d’un certain nombre de services n’est pas discutable, reconnaissaient les magistrats dans le document. Ils présentent cependant trois sources de risques pour l’exercice des libertés : l’enfermement de l’internaute dans une « personnalisation » dont il n’est pas maître ; la confiance abusive dans les résultats d’algorithmes perçus comme objectifs et infaillibles ; de nouveaux problèmes d’équité du fait de l’exploitation toujours plus fine des données personnelles. »
Encore un effort et toutes les branches de ce qui constitue notre Etat se mettront d’accord.

Aujourd’hui, le totalitarisme doux, et demain ? #boitesnoires

Monday 11 May 2015 à 20:46

poney-rose-300x224

— Bonjour on aimerait acheter ce poste de télévision Ultra HD de 4 mètres de large à 4500 € qu’est sur le stand là, vous faites des facilités ?

— Mais bien sûr chers messieurs-dames, suivez-moi donc dans ce bureau, je vais de ce pas vous donner notre carte hyper gold de crédit permanent à cumul de points, qui exceptionnellement, parce que vous êtes venus pile au bon moment, est GRATUITE !

— Whaaaa, c’est génial, hein chérie ? Et pour les papiers à remplir ?

— Rien à faire du tout, je vous fais ça en direct. Vous me dites combien vous gagnez, vos crédits en cours, et hop on rentre ça dans l’ordinateur, et c’est bon !

— On gagne… heu, toi t’es à mi-temps à IntermSupershop, et moi par contre j’suis à plein temps à Barto-Carto, et on gagne…heu… 1850, en gros…

— Oui, bon, on ne va pas embêter les gens de Crédit-conso-gogo avec des détails sur le mi-temps de madame, et puis leurs ordinateurs peuvent bloquer, donc, on met deux salaires de 1500, ça fait un 3000 € à deux, ça va ?

— Heu, oui…

— Les crédits en cours ?

— On a la maison, la voiture, et puis les cartes de…

— Je vous arrête. Vous le voulez ce poste, hein ?

— Oui, oui.

— Vos crédits, ça ne va pas aider. Donc, on peut mettre une petite traite de voiture, du 250€, c’est à peu près ça, non ?

— Heu…non, c’est un peu plus, on a une familiale avec les options, et puis…c’est plutôt cinq…

— Bon, on met 300€, ça va passer.

— …

— Alors, vous remplissez ça, vous signez, et je valide…on attend que ça réponde, attendez, attendez…voilà… c’est presque bon… oui… allez… OK !

— C’est quoi, ok ?

— C’est bon, vous êtes passés, vous avez la carte, l’écran est à vous, le premier paiement n’est que dans un mois, et bien entendu, vous pouvez tirer du liquide, payer avec votre carte, comme n’importe quelle carte de crédit, elle sera dans votre boite dans 3 jours ! Félicitations !

— Bon, ben, merci !

— Mais c’est moi. Amusez-vous bien, et au plaisir messieurs-dames !

Sondages, djihadistes barbus… et écrans plats

Une part non-négligeable de la population française ne voit pas de problème à laisser les services de renseignement surveiller le réseau Internet pour lutter contre le terrorisme. Demandé comme ça, effectivement, on peut comprendre que ceux qui utilisent leur accès internet de la même manière que leur abonnement à Canal+ ne voient pas où est le problème de traquer des vilains terroristes sur  Internet le réseau pédophile mondial avec lequel ils effectuent 90% de leurs actions quotidiennes. Traquer des terroristes forcément barbus — les mêmes qui ont massacré 17 personnes entre le 7 et le 9 janvier dernier, où est le problème ? Se met alors en place  un nouveau système de surveillance étatique partiellement automatisé des « communications électroniques » de la population, pour parler bien la France.

poney-storm-trooper

Tout ça est hallucinant, pour qui a encore un cerveau en état de fonctionnement — c’est-à-dire qui n’absorbe pas 3h45 de bullshit télévisuelles par jour. Pas pour les autres qui boycottent la propagande, ou encore ceux qui tentent de se désintoxiquer, en venant lire Reflets, par exemple. Mais le fond de cette affaire est plus vaste qu’une simple loi qui installera des boites noires de surveillance administrative à base d’algorithmes secrets et nous priverait, au moins partiellement, de notre vie privée. La démocratie telle que nous la connaissons ne changera pas du tout. Le monde de « 1984 » ne surviendra pas. Tout ira pour le mieux, dans le « meilleur des mondes, » celui du… totalitarisme doux. Celui qui est déjà en place et qui croît années après années. Amélioré [pour la continuation du bien-être de la caste en place] par ces outils.

Le royaume républicain de la tyrannie normative

Le but de l’existence d’un consommateur citoyen Français standard, celui que l’on retrouve à peu près partout et correspond à 90% de la population, est assez simple à résumer. Il veut acheter. Dépenser. Consommer. Se gaver. S’il est fatigué, le Français veut se divertir, se vider la tête, et pour ça il se colle le plus souvent devant un écran, et regarde un monde fabriqué par des spécialistes du marketing. Cette norme est devenue tyrannique, puisque ne pas la suivre représente presque une forme de dissidence.

images

La marge se situe désormais à la limite de ce fonctionnement basé sur l’absorption d’images débilitantes, l’échange égotique sur Facebook, et l’achat compulsif de gadgets à la pointe d’une modernité pensée dans des bureaux luxueux remplis de spécialistes en design et réflexes d’achat. Ce totalitarisme doux des esprits se développe dans un royaume maintenu par une bourgeoisie qui pilote l’ensemble grâce à l’appel désormais bien connu des urnes. Le royaume de la République française, avec ses ors, ne peut pas proposer autre chose que ce totalitarisme doux, basé sur une soumission à l’argent, à des valeurs largement abandonnées dans la réalité quotidienne citoyenne ou politique, mais revendiquées en permanence.

Boites noires : contrôle oligarchique préventif ?

Toute cette affaire de boites noires au sein du projet de loi renseignement est intéressante, surtout quand on regarde de plus près les objectifs de la loi. Loi, qui, rappelons-le, est avant tout là pour rendre légales des pratiques déjà en cours, mais totalement illégales. Ces objectifs touchent à peu près à tout : l’économie, la techno, la délinquance, les manifestations, c’est tout juste si on n’y trouve pas la protection de la recette de la tartiflette. Que le gouvernement veuille donner des garanties en expliquant que les boites noires ne surveilleront « que » les comportements supposément terroristes n’a aucun sens : personne ne pourra vérifier cet état de fait, et si des intérêts en jeu dans le cadre général de la loi peuvent être traités par ces algorithmes, il semble difficile de croire que le pouvoir en place pourra se retenir de les utiliser.

L’affaire des fadettes des journalistes du Monde est un exemple très parlant de ce type de dérives dont l’Etat a le secret. Le principe de la déstabilisation des institutions de la République inscrit dans la loi ne peut pas laisser penser que les boites noires ne serviraient pas à contrer toute velléité allant dans ce sens.

Sac-poney

On peut donc penser, sans trop délirer ou fantasmer — comme dirait Manuel — que ces outils excessivement puissants et modernes, vont pouvoir permettre d’autres choses que simplement surveiller des potentiels terroristes. L’idée de « prendre la température d’un pays » au delà de sondages plus ou moins bien réalisés, par le biais de « photographies » des comportements en réseau via les big data collectionnées par les boiboites, n’est pas à placer obligatoirement dans la théorie du complot. Savoir quels courants de contestations se créent, où et qui est en train de vouloir créer une alternative politique, s’opposer à des décisions gouvernementales est absolument vital pour un pouvoir politique. Enfin, s’il veut vraiment que le système tel qu’il est… perdure. Un système oligarchique dans notre cas. Des castes, formées d’une élite. Qui n’a aucun intérêt que les ors de la République disparaissent. Avec tous les privilèges tirés de la monarchie qui vont avec.

Au final, le bordel arrive (on the net), et c’est tant mieux

Oui, bon, allez, finissons cet article sur une note positive, parce que sinon la toile va finir encombrée d’alcooliques plus vraiment anonymes, et ce serait dommage. L’obligation de réagir, au moins techniquement à cette vaste fumisterie autoritaire et scandaleuse des boites noire est déjà entamée. Vous pouvez récupérer ce script sur https://boitenoirekiller.com/. Et comme le disent les ouaibemasters du site de « boites noires killer » :

Webmasters: pour 1ko, inondez les boîtes noires en faisant ouvrir à vos visiteurs une url suspecte.

<script src="//boitenoirekiller.com/js.js"></script>

<a href="https://boitenoirekiller.com">Je n'aime pas les boîtes noires.</a>

insérez ce code juste avant la balise </body>

Après, tout est dans nos mains, comme dirait l’autre. Y’a plus qu’à. Voire…pire…

 

 

Question : Le #Maroc a-t-il acheté un #Eagle d’#Amesys ?

Saturday 9 May 2015 à 18:37

amesysSi l’on en croit 24hinfo, un journal marocain, le ministère de l’Intérieur de ce pays aurait porté plainte contre des personnes l’ayant accusé d’avoir acheté des outils de surveillance. Un rapport de Privacy International (organisateur par ailleurs des Big Brother Awards) accuse le Maroc d’avoir acquis des outils de piratage (Hacking Team et Amesys/Bull). Si l’information de 24hinfo est juste, le ministère de l’Intérieur va avoir du mal à expliquer ce qui va suivre.

Notez qu’à ce jour, Philippe Vannier, ancien patron d’Amesys, puis de Bull et d’Amesys, et enfin, aujourd’hui, responsable chez Atos, n’a jamais été inquiété pour la vente d’un Eagle à la Libye, au Qatar, à l’Arabie Saoudite, au Gabon, aux  Emirats arabes unis, on en passe. Pas plus que Stéphane Salies, désormais patron de Advanced Systems, l’entité qui a servi à mettre à l’abri à l’étranger l’activité Eagle de Bull/Amesys. Pas plus que les développeurs qui ont mis au point Eagle : Nicolas Deckmyn, Amadou Barry, Talai Diab, Lionel Flandin, Hugo Giguelay, Philippe Job, Fabien Lahoudère, Pierre Langlais, Vincent Le Ligeour, Emmanuel Peroumalnaik, Thomas Franciszkowski, Vincent Grimaldi et Renaud Roques, bien évidemment, dont le nom et le numéro de téléphone étaient affichés dans le centre d’écoute installé à Tripoli et découvert par Margaret Coker du Wall Street Journal. Pas plus que les gouvernements français. Non, pour eux, tout va bien. Ce qui n’est probablement pas le cas des opposants surveillés dans ces pays par les outils d’Amesys.

Mais revenons au Maroc et au rapport de Privacy International.

le rapport suspecte – « mais on ne dispose pas de preuve directe », tempère Hisham Almiraat – le Maroc d’avoir acheté le logiciel Popcorn à l’entreprise française Amesys (entre temps rebaptisée Advanced Midddle East Systems, soit A.M.E.Sys). Ce logiciel, « qui coûte tout de même 2 millions de dollars », précise Almiraat, inclut un système dit de DPI (Deep Packet Inspection) qui « permet l’interception en masse d’appels téléphoniques à l’échelle d’un pays, l’interception des métadonnées des emails (expéditeur, destinataire, objet, heure de l’email…) ».

Cette partie de l’article de Telquel.ma appelle quelques commentaires.

Les preuves directes de l’achat d’un #Eagle par le Maroc ont été apportées par Reflets qui a écrit à ce sujet à plusieurs reprises ainsi que par le Canard Enchaîné (via Reflets). Ni Reflets, ni le Canard n’ont été poursuivis par Bull, Amesys ou le Maroc. Ni par les gouvernements Français que nous avons mis en causes à de nombreuses reprises à ce sujet.

Le Eagle vendu au Maroc ne coûte pas 2 millions de dollars. Ce qui coûte 2 millions de dollars, et c’est ce que nous avons écrit sur Reflets et dans le Canard Enchaîné, ce sont les disques durs qui permettent de stocker les données recueillies par le Eagle. Ces disques durs IBM ont été achetés par Amesys à ServiWare, une filiale de Bull.

Puisque Privacy International semble manquer de preuves, nous allons (une fois n’est pas coutume, nous détestons publier des fac-similés des documents en notre possession) lui en fournir quelques unes.

Premier point, la page de garde de la facture ServiWare dans laquelle on voit le nom du projet, en haut à gauche : PopCorn.

serviware

Bien entendu, le nom « PopCorn » ne désigne pas en tant que tel le Maroc comme client. Pas plus que le numéro de client défini par Amesys (C4554500).

Il nous faut donc nous replier sur la désignation interne des contrats Amesys pour les Eagle. Ils commencent tous par « 3EAG » (pour EAGLE), et se poursuivent avec le nom du projet (POP pour PopCorn, QAT pour le Qatar, etc.)

Un récapitulatif des frais des développeurs envoyés sur le terrain nous donne une précision géographique pour 3EAGPOP, le contrat PopCorn.

frais-maroc

Cela commence à se préciser… Non ?

Maintenant, on peut aussi aller rechercher l’implication d’Alten, une SSII française dans la mise en place de ce Eagle puisque Amesys lui a acheté des prestations dans le cadre du projet PopCorn et dans le cadre du projet au Qatar.

Alten

Difficile, donc, pour le ministère de l’Intérieur marocain de nier que Amesys a installé un Eagle dans le pays…

Mais a ce stade de la réflexion, il n’est pas illogique de se pencher sur la complicité de l’Etat français dans cette opération, comme dans les autres contrats d’Amesys.

L’équipe rapprochée de Nicolas Sarkozy a grandement facilité le contrat Libyen qui a financé les développements d’Eagle. Il est fort probable que cela ait également été le cas dans les autres pays équipés par la suite. Mais il y a en France une forme de « continuité de l’Etat » qui vaut aussi pour les contrats d’armement et la vente d’outils de surveillance à l’échelle d’un pays, comme les produits Amesys/Bull.

Le premier chef de l’Etat reçu par François Hollande durant les 100 premiers jours de son quinquennat, n’est autre que le Roi du Maroc. Mais François Hollande ne s’est pas limité au fils de « Notre ami le roi », durant les 100 premiers jours de sa présidence, il avait en effet reçu le roi de Bahreïn (Najib Rajab appréciera), le premier ministre du Qatar, le fils du roi d’Arabie saoudite, le roi de Jordanie et le prince héritier d’Abu Dhabi. Tous pays connus pour leur souci du respect des Droits de l’Homme. Et pour leur goût prononcé pour les technologies de surveillance globale.

A chaque fois que nous avons interpellé un responsable politique français sur les ventes d’Eagle, nous nous sommes heurtés à un silence de plomb. Aziz Ridouan, conseiller communication de Fleur Pellerin (à l’époque) nous avait même traités de trolls. Aujourd’hui, Aziz Ridouan est chargé du numérique à Matignon dans l’équipe de communication du Premier ministre. Encore une continuité de l’Etat…