Reflets vous parlait récemment des clowns. Et cela a déclenché une passe d’armes dans les commentaires. Aujourd’hui, passons des clowns réels aux clowns de la cyber-sécurité. Comme dans toute branche de la société, il y a aussi des clowns dans le monde de la cyber-sécurité. Il y a les vendeurs d’applications miracles qui protègent des virus passé, présents et futurs. Ceux qui vous assurent une protection garantie à 100% contre toutes les menaces. Il y a aussi les experts qui ont découvert Internet sur le tard mais qui ont la solution à tous vos problèmes, ceux qui paradent et se font une spécialité des effets de manche anxiogènes : « les cyber-pirates Chinois sont à nos portes, l’Elysée a été piraté par les Etats-Unis, le cyber-Pearl Harbor est imminent« .

Et puis il y a les adeptes du deux poids, deux mesures qui s’appuient sur les précédents : le danger étant tel, il faut des lois d’exception et des peines monumentales contre les cyber-méchants-pirates-pédo-nazis-terroristes. Peu importe que les libertés publiques en prennent un coup.

Récidive de clownerie de la part d’Axelle Lemaire, secrétaire d’État chargée du Numérique :

Il faut poursuivre les cyberdélinquants. Ah ? N’est-ce pas l’une des responsabilités de l’Etat? Au même titre que la poursuite de tout délinquant, sur le fondement de la Loi? D’une Loi juste, impartiale, qui ne s’appuie pas sur l’émotivité, sur un fait divers ? Mais quels cyberdélinquants ? Les gamins qui participent à une DDoS ? Ceux qui remplacent une page d’accueil par un graffiti ? Ceux qui piratent le compte mail ou Facebook de leurs copains/copines ? Ceux qui téléchargent des PDF trouvés via Google ?

Parce que voilà, madame la secrétaire d’Etat, il y a aussi des gens qui géolocalisent les téléphones portables sur les Champs-Elysées :

Nous nous trompons peut-être, mais à défaut d’avis contraire de la part d’un avocat, il nous semble que cela est interdit. Il nous semble également étonnant que le patron de Bull ne soit pas franchement inquiété pour son rôle dans la vente d’un outil de surveillance de toute la population libyenne à un terroriste condamné comme tel par la Justice française. Il nous semble étonnant que votre gouvernement n’ait pas réagi à la vente du même outil au Maroc, dont pourtant il ne peut méconnaître les méthodes policière à l’encontre des opposants politiques. Pas plus qu’à la délocalisation de cette activité à Dubaï alors même que ces armes numériques entraient dans le cadre de l’arrangement de  Wassenaar ?

Mais au delà de cet « ongoing episode » des clowns de la cyber-sécurité à tendance « identification des opposants politiques« , il y a aussi, et l’on rejoint le colloque où s’exprimait Axelle Lemaire, les clowns de la cyber-sécurité qui vendent des produits de « sécurité » troués aux ministères, ceux qui vendent leur code source à des entreprises étrangères sans que cela n’inquiète l’Etat qui utilise ces produits, ceux qui commerceraient volontiers avec l’Iran, en dépit d’un avis contraire des autorités françaises, on en passe.

Mme Lemaire, il semble bien qu’il y ait aussi des cyberdélinquants en col blanc.

Que se passe-t-il ? La France a peur d’un clown. La presse nous explique depuis quelques semaines que des clowns effraient le bon peuple dans le Nord de notre pays. La réponse de la Société ne s’est pas faite attendre. Un jeune homme qui s’était déguisé en clown et avait effrayé des passants a été condamné à six mois de prison avec sursis. Bien entendu, ce genre de blague de potache peut mal tourner. Une personne cardiaque, un policier à la gâchette facile…. tout est possible. Mais tout de même… Six mois de prison ? Pourquoi pas Guantanamo ?

par ailleurs, les impostures et autres caméras cachées n’ont jamais généré de telles peines lorsqu’elles sont réalisées pour des télévisions ou des radios. On a même vu par le passé un animateur radio annoncer l’arrivée des extra-terrestres, provoquant une panique dans la population américaine.

Que nous dit une Société qui condamne les auteurs de blagues de potaches à six mois de prison avec sursis et qui par ailleurs confère une véritable impunité aux membres d’une classe dirigeante dont les exactions sont bien plus nocives pour le reste de la population ?

Tremblez, voici les clowns :

 

 

La presse, ça eut payé mon bon monsieur! Et la presse indé alors, sans régie pub, sans bizness modèle ni directeur du marketing? Que faire de ces journaux séditieux qui ne jouent pas le jeu de la guerre économique?

C’est un peu le rêve de toute structure animée par des journalistes de n’être dépendant que de ses lecteurs — dépendant économiquement, pas idéologiquement. Reflets.info a été assez clair le mois dernier. Un nouvel appel nouvel aux dons a été lancé afin de trouver des moyens régulier pour rémunérer un tant soit peu les rédacteurs et encadrer le travail éditorial de manière plus « professionnelle » (c’est par là pour contribuer).

Laissez-moi vous parler aussi de Zélium, un journal satirique imprimé, sorti dans les kiosques pendant deux ans, de début 2011 à fin 2012. Depuis, le frêle esquif n’est pas mort, il est ressorti de manière épisodique (4 numéros en douze mois), désormais distribué « à la main » lors de festivals, placé en dépôt vente dans un réseau de diffuseurs (bars, librairies) et vendu via une boutique en ligne. Ce regain d’activité a été possible grâce à quatre contrats « aidés » (CDD à temps partiel) obtenus par l’association éditrice cette année.

Restent les dons et les contributions volontaires. Zélium a choisi de passer par le crowd funding pour tenter de relancer le journal en kiosque. Objectif plutôt modeste (8500€), à atteindre avant le 26 octobre, qui devrait amorcer la pompe pour l’impression de deux numéros et une diffusion réduite de quelques milliers d’exemplaires…

Que ce soit pour Reflets ou pour Zélium, Basta! ou CQFD, pour un journal en ligne ou un canard papier, si les frais de fonctionnements ne sont pas les mêmes, le paradoxe existentiel est de même nature. Ces publications sont toutes animées et fabriquées par des pros, des journalistes, photographes ou illustrateurs professionnels mais qui choisissent de contribuer de manière bénévole.

Quoi? Bénévoles? Des pros qui se la jouent amateur! Oui, dans une presse libre mais pas libérale, comme le suggère une tribune de Zélium parue sur le site de Politis à l’occasion des 8èmes « Assises du journalisme » qui se déroulent à Metz du 16 au 18 octobre. Si bien que pour un journal distribué en kiosques, seuls les intermédiaires incontournables sont rémunérés — l’imprimeur et les messageries (deux sociétés se partagent le marché, le MLP et Prestalis (ex-NMPP). En sachant que l’imprimeur a toujours accepté des ristournes conséquentes pour soutenir le titre. Sinon, rédacteurs, dessinateurs, relecteurs et maquettistes ont toujours été bénévoles.

La presse « indépendante » ne l’est pas seulement vis-à-vis des annonceurs. Fatalement, elle doit se confronter aussi à l’économie tout court. Une entreprise de presse doit salarier ses contributeurs, que ce soit à temps plein ou partiel (un pigiste se doit d’être rémunéré aussi en salaire, même si de plus en plus de publications leur imposent des notes d’auteur, sans aucune cotisation sécu ou chômage, ou, pire, en leur imposant le statut d’auto-entrepreneur…).

Voilà le paradoxe: en acceptant de lancer des journaux sans moyens, mués plus par l’envie et les convictions que par le salariat et la carrière, cela participe aussi à la lente précarisation des métiers de la presse. Certes, la presse « concurrentielle », surtout les quotidiens et les hebdos, n’ont pas besoin de nous pour niveler tout par le bas, de signer des conventions de stage de six mois ou un an, organisant une concurrence déloyale au sein même de leur rédaction, menaçant les CDD existants et les pigistes. Quel que sera le résultat de la collecte de fonds, la sanction sera économique: les ventes, les frais d’impression et de diffusion devront fatalement dégager un petit bénéfice afin d’espérer sortir les numéros suivants.

 

« C’est à se demander pourquoi des miséreux qui ne sont même pas payés pour leurs proses ou leurs dessins s’obstinent à fabriquer ces journaux aussi peu palpitants. Ces gens-là ne croient à rien. Ils sont désespérants, à tenir à bout de bras une presse sans ambition », ironise Zélium.

L’autre paradoxe, c’est que l’économie libérale de la presse apparaît comme une belle escroquerie. Comme le rappelle Serge Halimi dans le dernier Monde diplomatique (reproduit in extenso ici), les grands groupes industriels qui ont raflé les titres les plus influents (dernier en date, le trio Bergé Niel Pigasse au Monde et le patron de Numéricable à Libé) mettent en avant la crise (alimentée par les politiques libérales prônée pourtant par les grands patrons de presse!) et la désaffection du public pour dégraisser les effectifs et les rendre encore plus dépendants des pouvoirs politico-industriels.

« Dans le cas du journal, écrit Serge Halimi, le remède imaginé est de faire dépendre sa survie de tout autre chose que du journalisme — organisation de colloques surpayés par des collectivités territoriales, « marketing croisé » avec SFR-Numericable, l’actionnaire principal du titre, transformation des locaux du quotidien en lieu de divertissement dans un quartier « branché » de la capitale. »

Halimi rappelle aussi l’énorme gabegie que constitue le régime des aides d’État à la presse écrite. Pas loin de 700 millions d’euros par an! En 2013, près de 7 millions d’euros sont tombés dans les caisses de Télé 7 Jours, 108.600 dans celles du Monde diplomatique… Ces grands libéraux à la tête des médias dominants — tous ou presque des plus grandes fortunes (*) — sont donc de vulgaires assistés. Ils pleurent sur un secteur sinistré, constamment déficitaire (selon leurs propres calculs), mais profitent d’un régime de subventions publiques profondément inégalitaire.

Pour la presse internet, il existe le fameux « fonds Google » (FINP), doté de 60 M€ par an. Fruit d’un deal passé avec les éditeurs (procès contre Google Actualités) avec l’aval du gouvernement, ce machin profite pour l’instant en majorité aux mêmes éditeurs de presse cités précédemment… Cherchez l’erreur.

Même anomalie pour le Fonds stratégique pour le développement de la presse, géré par le ministère de la Culture, qui distribue 10 M€ par an. Bilan 2013: Ouest France et Le Parisien ont touché le plus (12,3% et 11,7% des aides totales!). 18% des aides sont allées à la PQN (quotidiens nationaux), 48% à la presse locale, 4% aux gratuits (donc déjà gavés de pubs), et seulement 28% aux « projets collectifs »…

Les petits canards boiteux peuvent aussi tenter de bénéficier d’un régime fiscal avantageux (TVA à 2,1%). Mais pour cela il faut obtenir un « numéro de commission paritaire », réservé aux titres dont la parution est régulière (minimum trimestrielle). Le régime s’est ouvert depuis peu aux journaux en ligne, en tous cas ceux disposant d’un solide modèle économique (pub, ventes d’articles, d’abonnements ou de « prestations »), comme si faire un journal gratuit avait quelque chose de suspect quand on n’appartient pas au groupe Bolloré (gratuit et sans pub on n’en parle même pas).

Alors certains dons à la presse peuvent être « défiscalisés » (les 2/3 du don déduits de l’impôt sur le revenu), sur le même principe que les œuvres caritatives ou déclarées « d’intérêt public ». Il faut passer par l’association Presse et pluralisme, qui redistribue la manne à chaque journal tous les ans (parmi les titres qui en font usage: Charlie, Siné, Causette, le Monde diplo mais aussi… l’hebdo des cathos intégristes Présent!) Manque de bol pour Zélium ou d’autres canards indés, ce statut n’est ouvert qu’aux publications qui sortent au minimum tous les mois. Un tel dispositif fiscal existe aussi  pour la presse en ligne. Mais il faut disposer d’un n° de commission paritaire…

Avant que le serpent ait complètement bouffé la queue du canard, magnez-vous de leur donner un petit coup de main.

 

…….

(*) Récapitulatif de Serge Hamili: « Les Echos et Radio Classique appartiennent à M. Bernard Arnault (1re fortune française, selon Forbes), Le Point à M. François Pinault (3e), Le Figaro à M. Serge Dassault (4e), Libération à M. Drahi (6e), Le Monde et Le Nouvel Observateur à M. Xavier Niel (7e), Direct Matin et Canal Plus à M. Vincent Bolloré (10e). MM. Martin Bouygues (TF1-LCI), Jean-Paul Baudecroux (NRJ), Alain Weill (RMC, BFMTV) et Arnaud Lagardère (Europe 1, Paris Match, Le Journal du dimanche) comptent également au nombre des plus grosses fortunes de France. »

Merci aux dessinateurs contributeurs de Zélium qui ont illustré ce billet: Soulcié, Aurel, Berth, Troud, Rifo et Lacase. Plein d’autres dessins de soutien ici.

Aujourd’hui, j’ai pu me rendre compte, une fois de plus, du décalage qu’il existe à la lecture d’un message marketing et de la réalité technique de tout service en ligne. Je dis bien technique, nous aborderons le juridique un autre jour. Et le problème, c’est que lorsque l’on cause d’un service lié à la confidentialité, si on ne comprend pas comment fonctionne techniquement un service, il y a peu de chance que l’on arrive à prendre de bonnes décisions pour préserver la confidentialité de ses communications électroniques.

J’espère qu’après la lecture de cette lettre ouverte, sans prétention aucune, vous aurez un regard un peu plus critique à la lecture du fameux « on logue rien » relayé par les classements bidons de services et les pseudos enquêtes de médias pourtant spécialisés.

#onlogrien #spanou

S’il y a un mythe récurent dans le monde fou fou fou des VPN, c’est celui du « VPN qui ne logue rien ». C’est quelque chose que j’ai déjà dit et répété maintes et maintes fois, mettez vous le une bonne fois pour toute dans le crâne : un VPN qui ne log rien, ça n’existe pas.

La transaction commerciale

Ça parait un peu idiot comme ça à expliquer, mais mieux vaut l’expliquer clairement, que ce soit dit une bonne fois pour toute : quand on souscrit à un service VPN, on communique à minima deux choses :

• Une adresse mail : Un échange par mail est toujours bavard et renseigne déjà un minimum sur l’identité réelle d’une personne. Les métadonnées liées à un mail sont toujours bavardes, mais le problème peut facilement être contourné en utilisant un mail dédié uniquement créé pour souscrire à un service et en l’utilisant de manière anonymisée en amont (par exemple en y accédant par TOR).
• Un paiement pour le service :  Le paiement est une étape un peu plus sensible. Une transaction commerciale (hors cryptomonaie ou cash… mais le cash, ça s’uploade encore assez mal), ça laisse des traces révélant votre identité réelle. Là encore, il y a moyen de palier les carences de confidentialité du système bancaire, mais ce n’est pas la problématique qui nous anime ici même.

L’accès au service

C’est là que ça commence à devenir un peu plus intéressant. Pour accéder au service, on a en principe un identifiant client pouvant prendre plusieurs formes :

• un couple login mot de passe (mauvaise pratique sur un VPN) ;
• un numéro client lié à des fichiers de configuration.

Et attention, car là on ne parle pas que technique, on parle tout simplement de traçabilité comptable, pour connaitre par exemple une date de début et de fin de service… bref on parle facturation. Et le propre d’une comptabilité, c’est de conserver des traces. Des logs comme disent les geeks. Attention ceci est un scoop : tous les services payants de VPN vous loguent comptablement.

Gestion des abus, monitoring réseau et continuité de service

Mais descendons un peu plus bas dans notre raisonnement, et parlons maintenant du quotidien technique d’un service en ligne. Tous, un jour où l’autre, subissent les abus d’un utilisateur indélicat. Sur un service aussi sensible qu’un VPN, l’indélicatesse d’un utilisateur peut entraver le bon fonctionnement d’un système, sa disponibilité, et donc gêner les autres utilisateurs du service… ou pire : tenter de compromettre la confidentialité de leurs communications en essayant de rendre indisponible le VPN.

Attention, un mythe va tomber : il faut être soit inconscient, soit con, soit un savant mélange des deux pour affirmer « On ne logue rien » .

• A minima, un provider VPN doit être en mesure de savoir quel compte client DDoS un routeur du réseau interne, pour être en mesure de le couper ;
• A minima, un provider VPN sérieux doit être en mesure d’assurer la continuité de son service, donc de la confidentialité de ses utilisateurs ;
• A minima une société commerciale doit savoir qui facturer et quand.

La confidentialité des communications

Puisque c’est bien de ça qu’il s’agit, posons la question différemment. Un provider VPN qui dit « ne pas loguer de données relatives au trafic des utilisateurs », si son service est bien fichu, c’est une Lapalissade. Le truc qu’il faut écrire puisque ça rassure quand même de savoir qu’on souscrit à un service censé garantir la confidentialité de mes communications, et qu’il est en mesure de la garantir… ou pas. Ah… et puisqu’on y est, rappelons juste une chose : UN VPN NE GARANTI PAS VOTRE ANONYMAT, il ne fait généralement que vous fournir une autre IP publique et chiffre vos communications d’un point A à un point B.

Un service VPN sérieux, c’est un service qui a mis en place un mécanisme de chiffrement ne lui permettant pas de déchiffrer le trafic de ses clients, c’est un service qui ne dispose pas d’une clé unique pour déchiffrer l’intégralité du trafic de ses clients, c’est un service qui même s’il voulait loguer les activités de ses clients (historique de surfs par exemple), il ne pourrait y parvenir, ou il ne loguerait que du trafic chiffré ne présentant aucun intérêt… et là, étrangement, les services de VPN qui observent ces bonnes pratiques, ils sont beaucoup plus rares.

C’est souvent d’ailleurs ces gros VPN qui disent ne rien loguer qui sont les premiers à ne pas mettre en place un mécanisme de confidentialité persistente, ce sont les premiers qui disposent d’une clé permettant de déchiffrer l’intégralité du trafic de leurs clients… d’ailleurs ils sont souvent américains, et vous devinez pourquoi ? Bingo… parce qu’ils ont chez eux une loi tellement débile qu’on s’est sentis obligés de faire encore mieux en France, le Patriot Act, qui les oblige à ce que les communications confidentielles de leurs clients soient un peu moins confidentielles quand un service leur demande d’y accéder.

« Des milliers d’adresses IP et des serveurs dans 75 pays, même en Corée du Nord où il y a 12 internautes »

On voit souvent des VPN mettre en avant des dizaines de milliers d’adresses IP dédiées. Une IP est alors attribuée à un utilisateur, soit pour toute la durée de la souscription à son service, soit par session, à chaque fois qu’il se connecte au VPN, une adresse IP des plages du fournisseur de service lui est attribuée. Ici pas de problème pour un provider de VPN d’identifier que toto@nsa.com était sur telle adresse IP entre telle heure et telle heure… oops un log ! Oui si vous avez une IP dédiée attribuée par un service de VPN, il ne peut pas ne pas y avoir de « log ». Des événements réseau sont forcément « logués », ne serait-ce que pour éviter d’attribuer la même adresse IP publique à plusieurs clients.

Enfin, d’autres VPN, utilisent une autre technique, ce qu’on appelle l’IP crowding : tous les utilisateurs du service sortent par la même adresse IP publique. Là, ce sont des adresse IP locales qui sont attribuées à toto@nsa.com (certes, ça pourrait être un chouette bordel, on pourrait laisser le DHCP du Cisco se démerder, mais souvenez vous… le satané service comptable). Et oui, il y a bien une traçabilité des utilisateurs, mais ceci ne veut pas dire qu’un provider honnête sera en mesure de lire le trafic d’un utilisateur.

Conclusion

No bullshit : les providers VPN qui affirment ne rien loguer, sont soit des menteurs, soit des imbéciles.

Ce n’est pas dans les habitudes de Reflets de relayer la peur, ou participer à créer la panique par des annonces apocalyptiques. Avec Ebola, rien n’est pourtant plus simple : ce virus est terriblement contagieux, le plus souvent mortel et n’a encore ni vaccin ni traitement homologué.

Dans un précédent article, le virus Ebola avait été évoqué, non pas pour la menace qu’il ferait peser sur les pays industrialisés, mais pour l’épouvantable carnage qu’il risquait de provoquer en Afrique de l’Ouest et potentiellement ailleurs sur le continent, si rien de plus n’était fait pour aider les pays touchés.

Ce qui pose problème au Libéria, en Guinée, et en Sierra Léone est avant tout un déficit de moyens sanitaires. Que les populations, par leurs traditions culturelles, particulièrement sur les rites funéraires, rendent difficile l’endiguement de la maladie, est un fait avéré. Mais les systèmes de santé déplorables de ces pays sont le principal facteur qui font craindre le pire. Le CDC (Centre de contrôle et prévention des maladies, USA) renvoie les prévisions suivantes, des plus alarmistes :

This week’s MMWR (Morbidity and Mortality Weekly Report), Estimating the Future Number of Cases in the Ebola Epidemic—Liberia and Sierra Leone, 2014–2015, estimates the future number of cases if current trends continue. The MMWR also adjusts the number of cases based on estimated underreported cases.

By September 30, 2014, CDC estimates that there will be approximately 8,000 cases, or as high as 21,000 cases if corrections for underreporting are made.

Without additional interventions or changes in community behavior, CDC estimates that by January 20, 2015, there will be a total of approximately 550,000 Ebola cases in Liberia and Sierra Leone or 1.4 million if corrections for underreporting are made.

Cases in Liberia are currently doubling every 15-20 days, and those in Sierra Leone and Guinea are doubling every 30-40 days.

Halting the epidemic requires that approximately 70% of Ebola cases be cared for in Ebola Treatment Units or, if they are at capacity, at home or in a community setting in which there is a reduced risk of disease transmission and safe burials are provided.

550 000 cas sont approximativement prévus d’ici à la fin janvier pour le Libéria et la Sierra Léone par le CDC, mais jusqu’à 1,4 millions si des sous-déclarations sont observées. Le CDC atteste de la crise sanitaire en cours, et souligne que l’épidémie peut être stoppée si 70% des cas d’Ebola étaient pris en charge dans des unités de traitement spécialisées, ou à domicile avec des précautions pour empêcher la propagation, aidé de sépultures « sécurisées ». Les 70% de cas Ebola pris en charge ne le seront pas sans l’aide massive des pays développés, de la communauté internationale, comme tous les observateur le soulignent.

Si la comparaison entre un pays comme la France et les pays d’Afrique de l’Ouest n’est pas possible en termes de gestion de crise et de prise en charge de malades infectés par le virus Ebola, les personnels soignants français sont tout de même inquiets. La France est spécialiste du déni dans les cas des gestions de catastrophes. Il suffit de se rappeler le nuage de Tchernobyl s’arrêtant à la frontière en 1986 pour s’en convaincre. Le manque de personnel hospitalier causé par les politiques de réduction des fonctionnaires n’est pas étranger non plus à cette inquiétude.

Aider l’Afrique de l’Ouest à éradiquer Ebola semble de toutes les manières une nécessité, par obligation morale en premier lieu. Et plus trivialement, pour se protéger d’une pandémie mondiale possible.