Les « alternet » sont-ils viables ?

S’estimant privés de leur liberté d’expression, les groupes d’alt-right américains s’organisent face à la censure des géants de la Silicon Valley, très marqués à gauche. Posséder son propre serveur n’est aujourd’hui plus suffisant : les entreprises gérant l’infrastructure d’Internet n’hésitent pas à filtrer jusque dans les couches les plus basses du net : déconnexion de serveurs, retrait de noms de domaine, etc. Stormfront et The Daily Stormer, deux sites d’information de l’alt-right ont eu leur domaine retiré. Le site d’écoute musicale Spotify, le site de rencontre OkCupid et Paypal bannissent les prétendus « nazis » hors du web. Facebook et AirBnb ont supprimé les comptes liés à la manifestation de Charlottesville. Des centaines de comptes Facebook et Twitter sont suspendus chaque jour, y compris en France.

Pour l’instant, la censure extra-judiciaire ne concerne que les terroristes et « la haine », réelle ou soupçonnée. Les hypocrites défenseurs de la neutralité du net peuvent donc encore faire semblant de croire que cette dernière, morte depuis des années, existe toujours.

Une réussite très élitiste

Le réseau social Gab , fer de lance de la contestation, a proclamé le 10 août dernier la naissance de la « Free Speech Tech Alliance ». Cette alliance de professionnels doit permettre à terme la création d’un véritable « Alternet » : une partie d’Internet débarrassée de la Silicon Valley et de sa censure morale. Sur le papier, le projet sonne bien, mais sa viabilité est questionnable.

D’autres ont essayé avant eux, la réputation sulfureuse en moins. Depuis les années 90 les groupes crypto-anarchistes combattent l’Internet centralisé qui a accouché des fameux GAFA. Leur credo ? Les méthodes de chiffrement utilisées massivement doivent permettre la protection des échanges. Si vous envoyez un message chiffré, ce message est suspect pour d’éventuels attaquants, qui tenteront de le déchiffrer. Si vous chiffrez tout jusqu’à votre liste de courses, le volume de données sera trop important pour être traité.

Le succès de ces activistes est mitigé, malgré leur présence très importante dans le monde du logiciel libre. C’est une réussite technique très élitiste : l’essor des crypto-monnaies, des réseaux cachés, des darknets et des blockchains le prouve. Leurs seules réussites « grand public » sont la généralisation du protocole web chiffré HTTPS (car largement soutenu par la banque et le e-commerce) et la généralisation de messageries instantanées supportant le chiffrement de manière limitée (Telegram, Messenger …)

Difficile de réformer internet

Le projet de la Free Speech Tech Alliance est plus ambitieux. Une poignée de militants peut parfaitement communiquer à l’insu des services de renseignement, Daech et les fameux « hackers russes » de la campagne américaine l’ont prouvé. Pour toucher un public plus large, donc bien moins formé, il faut des outils plus conviviaux, ayant une certaine masse critique pour se faire connaître, mais surtout contrôlant toutes les couches du réseau.

Les réseaux informatiques fonctionnent comme un empilement de couches techniques (modèle OSI). La plus basse est la liaison physique, le signal électrique, lumineux, radio qui permet d’acheminer les données. La plus haute est constituée des programmes utilisant le réseau. Chaque couche est en principe indépendante des autres : on peut faire passer la même information par différents chemins sur le réseau, utilisant diverses technologies (fibre, ADSL, 4G) sans que cela change quoi que ce soit à l’arrivée.

Celui qui contrôle les couches les plus basses peut toujours censurer les couches au-dessus. Coupez le câble réseau, l’application la plus performante tombe. Un site Internet, un service de noms de domaine (DNS) se situent tous sur la dernière couche du réseau. Les géants du net contrôlent les couches inférieures : ils peuvent censurer à volonté.

Si l’alt-right a pour ambition de créer son propre safe-space sur Internet, elle devra bâtir toute une infrastructure. Elle doit donc posséder à minima : ses hébergeurs[1], ses bureaux d’enregistrement de noms de domaine[2], ses autorités de certification[3], ses fournisseurs d’accès à Internet[4] et ses transiteurs de contenu[5]. Tous ces acteurs doivent être utilisés par une certaine masse de sites lambda afin d’être indispensables à la vie d’Internet et ne pas se faire censurer. S’ils ne sont utilisés que par l’alt-right, ils seront rapidement mis au ban d’Internet. Chacun de ces acteurs nécessite des millions de dollars d’investissements, plusieurs années de dissimulation et des centaines de professionnels. L’alt-right a-t-elle les épaules de ses ambitions ?

Je n’ai évoqué ici que les cas des USA. Dans les pays où l’état se mêle de liberté d’expression comme en France, il faut aller bien plus loin, parfois contre la loi ce qui rend toute solution grand public complètement irréaliste. Dans notre pays, l’Internet libre ne sera toujours qu’un fantasme. Sauf changement politique radical, la liberté d’expression ne pourra qu’être le luxe d’une avant-garde de techniciens.

Enzo Sandré

[1] Mettent des machines connectées 24/24 à disposition de clients : sites Internet ou logiciels divers.

[2] Permettent de retrouver une ressource à partir d’un nom simple à retenir : enzosandre.fr par exemple

[3] Délivrent des certificats permettant de s’assurer qu’un contenu est bien émis par qui de droit

[4] Connectent les particuliers au réseau Internet, ils sont la première ligne de la censure.

[5] Les « plombiers » du net : ils connectent tous les acteurs ci-dessus entre eux via de vastes réseaux régionaux

Le vice-amiral Coustillière se fiche des backdoors

La nomination du vice-amiral Coustillière comme DGSI[1] du MINDEF est mal passée auprès de certains experts français de la cybersécurité. En cause : une déclaration datant d’un an dans laquelle le gradé déclare que les principales failles de sécurité ne viennent pas des portes dérobées[2] introduites dans les logiciels de Microsoft et qu’il « se fout de ce débat ».

Au-delà de son manque de subtilité, l’Amiral n’a peut-être pas tort. Dans le cadre de l’OTAN, nos systèmes militaires n’ont en théorie rien à craindre des américains, nos « amis ». Il est même plus utile que tous les pays alliés travaillent sur une base logicielle commune.

Si la souveraineté de la France intéresse tant les experts de la cybersécurité française, qu’ils demandent d’abord la sortie de l’OTAN, ils n’en seront que moins hypocrites.

Enzo Sandré

[1] Directeur général des systèmes d’information

[2] Failles de sécurité intentionnellement introduites par l’éditeur du logiciel, notamment sur demande de services de renseignement (NSA, CIA …)

Simone Veil : Se protéger quand la censure frappe

Le 30 juin 2017, jour de la mort de Simone Veil, un visuel aux airs d’hommage est diffusé sur les réseaux sociaux. Il indique un site simoneveil.com, dénonçant très subtilement l’avortement de masse comme un abus non désiré par la défunte. Le groupe anti-avortement Les Survivants avait préparé son coup bien à l’avance puisque le nom de domaine a été réservé le 7 septembre dernier.

Un cadre légal bafoué

Quelques heures après sa publication, le site des Survivants a été suspendu par l’hébergeur OVH, sans qu’aucune décision de justice ne l’ait autorisé à faire cela. Un coup de fil de l’avocat de la famille a suffi pour que l’hébergeur se couche devant les menaces, au mépris de la loi. Ca n’est pas la première fois que les Survivants essuient un tel revers extra-légal : la plateforme de cagnotte HelloAsso avait ainsi supprimé la collecte de l’association quelques jours auparavant.

Le droit français fait d’un site Internet une publication comme un autre, soumise aux règles relatives à la liberté d’expression. La censure d’un contenu doit obligatoirement être prononcée par un juge, lors d’une procédure classique ou en référé. Dans cette affaire, aucun juge n’a été saisi, ni pour atteinte à l’image de la défunte, ni pour délit d’entrave à l’IVG, ni pour diffamation.

La presse, qui se targue d’être la gardienne de la liberté d’expression et de l’état de droit© s’est unanimement félicitée de cette décision. Certains sites insoupçonnables d’incompétence comme Numerama ont même sciemment menti. En jouant sur une nuance imperceptible par le profane, ils expliquent que le site n’a pas été censuré, mais que le nom de domaine simoneveil.com l’a été au motif qu’il utilise le nom et l’image de la défunte sans autorisation.

Cela est faux : le nom de domaine n’a pas été suspendu et fonctionne toujours. Quand l’internaute tente de se connecter le message signifie implicitement que l’hébergeur OVH a suspendu le site. Dans le cas contraire une erreur « Adresse Introuvable » aurait été affichée comme  si vous saisissiez une adresse inexistante (exempledesiteinexistant.com par exemple). Les domaines .com appartiennent à l’ICANN, une autorité administrative américaine avec ses propres règles, qui n’a que faire des caprices d’un avocat parisien. Le motif n’est pas invalide pour autant : les Survivants pourront ultérieurement se voir retirer le domaine, après de nombreux mois et une longue procédure.

Se protéger face à la censure

En France, un hébergeur peut violer la liberté d’expression et être félicité par la caste journalistique. A cela s’ajoutent des lois à la légitimité discutable, comme le délit d’entrave numérique à l’IVG ou une vision très large de l’incitation à la haine. Il peut parfois être légitime de prendre des mesures contre la censure afin de poursuivre de combats nécessaires au bien commun.

Pour censurer, la justice dispose de quatre angles d’attaque : suspension du contenu chez l’hébergeur,  suspension du nom de domaine, condamnation pénale du responsable éditorial et blocage administratif. Chacune de ces mesures obéit à un cadre légal bien précis, dont il suffit de sortir pour échapper à la loi.

Ce qui est arrivé aux Survivants est une suspension de contenu. Elle n’est possible qu’auprès d’un hébergeur français ou ayant des accords judiciaires avec la France. Si les Survivants décidaient d’héberger leur site aux U.S.A, au Cameroun ou en Corée du Nord, le site fonctionnerait de nouveau normalement.

La suspension de nom de domaine est plus complexe, mais on peut esquiver le problème. Si un nom de domaine est bloqué, un autre peut être facilement acheté, puis à nouveau un autre. Le site T411 a survécu des années comme cela grâce à la lenteur des procédures administratives. Exemple : simoneveil.net.

Un responsable éditorial ne peut être condamné que s’il est soumis à la loi française. L’utilisation de prête-noms étrangers est une solution abordable. Renseignez-vous impérativement auprès d’un avocat, la loi française a pris des mesures contre ces pratiques.

Le blocage administratif sert à l’état lorsqu’il a épuisé les autres recours. Il s’agit d’un blocage du site chez le FAI de l’internaute, au moment de la consultation. Il empêche la consultation par tous les internautes n’ayant pas de connaissances techniques étendues, ce qui est redoutable. TOR est le moyen le plus connu de contournement.

Au nom de bons sentiments ou d’idéologies moralisatrices, états et entreprises se permettent de châtier le mal-pensant, censurant à tour de bras. Il est important pour tout créateur de contenu de connaître des contre-mesures. A ceux qui pensent que la neutralité du net et la liberté d’expression tombent du ciel, nous répondons par la phrase de Maurras : « Les libertés ne s’octroient pas, elles se prennent ».

Avertissement : Ce court article ne saurait être exhaustif ou exact : prenez contact avec un spécialiste (technique et juridique) avant de mettre en œuvre de telles solutions.

Enzo Sandré

L’état brade nos données

« La France porte une tradition de transparence démocratique et de partage des informations détenues par la puissance publique. » Ne riez pas, il s’agit des premiers mots de la très sérieuse déclaration du gouvernement sur l’ouverture des données publiques. Notre pays va d’ailleurs prendre la tête du Partenariat pour un Gouvernement Ouvert (PGO) en octobre prochain. L’ouverture et la transparence comme remède au complexe démocratique de la république ? Tout un programme.main

L’ouverture des données publiques est constamment demandée tant à gauche qu’à droite. Les premiers soutiennent que l’accès aux données publiques est un enjeu démocratique, inscrit dans les Droits de l’Homme, les seconds veulent dynamiser l’économie en injectant les données publiques dans un marché déjà fort lucratif. Les plus radicaux des deux camps vont même jusqu’à exiger la fin du secret d’état, qui mettrait gravement en danger les capacités stratégiques de celui-ci.

Cela va sans dire que tout politique d’ouverture de données multiplie forcément le nombre d’accès aux systèmes d’information, donc le coût en infrastructures. Une aubaine pour les constructeurs, les équipementiers et les SSII. Cela n’étonnera donc personne que les deux plus généreux donateurs du PGO soient la fondation Hewlett et le réseau Omidyar[1].

L’ouverture des données publiques se révèle une manne pour les entreprises : Incapable depuis des années d’en faire quelque chose d’utile, l’état va ouvrir diverses données, donc permettre au privé de les utiliser à but lucratif. Une fois les données mises en ligne, y compris si l’état tente d’en restreindre l’accès, le monde entier pourra les copier, les stocker et les traiter. Internet n’a pas de frontières, ni de droit de retrait.

Ces données « publiques », en réalité les données des français, vont être livrées au monde marchand et à l’étranger, par décision unilatérale de l’état. Elles seront au départ très incomplètes, mais de plus en plus de points d’entrée (API) vont être créés, livrant toujours plus de données. De surcroit, l’état s’introduit de plus en plus profondément dans la vie privée des français. Chaque nouveau rôle que se donne l’état, c’est aussi de précieuses données qui viennent enrichir ses bases. Pour l’instant la CNIL veille au grain quant à l’anonymisation des données. N’oublions pas qu’elle n’existe que grâce à la volonté de l’état. Déjà très critiquée par ceux qui souhaitent libéraliser le marché de la donnée, elle pourrait tôt ou tard céder. Rien n’interdit non plus à l’état de vendre des jeux de données au privé ou de fournir des données à des entreprises, dans le cadre de partenariats public-privé, cela se voit avec EDF.

La confiance que les français plaçaient dans l’état, concernant les informations qu’ils lui livraient (de gré ou de force) est trahie. Le citoyen devra se consoler au choix avec des droits de l’homme mieux respectés ou bien des points de croissance dont il ne verra pas la couleur.

[1] La fondation Hewlett a été fondée par l’ancien PDG de HP, le Omidyar Network par le fondateur d’eBay.

Éric Delbecque : Idéologie sécuritaire et société de surveillance

Nous sommes tous Big Brother ! C’est l’audacieuse thèse d’Éric Delbecque développée dans son dernier essai : Idéologie sécuritaire et société de surveillance.

Il n’y a pas selon l’auteur d’idéologie sécuritaire à proprement parler, portée par une poignée d’idéologues à la tête de l’État. Pour lui, le problème est plus profond : la mort de l’idée de Progrès, énergie vitale des sociétés occidentales depuis les Lumières, a plongé les Occidentaux dans un malaise profond. Sans futur, sans projet fédérateur, les Occidentaux se replient sur eux-mêmes et forment une société de défiance permanente.

La peur dans la société du spectacle

L’auteur commence par un constat : le monde n’est pas plus violent aujourd’hui qu’hier, mais la violence a changé de forme. On peut dire sans risque que le niveau de violence des sociétés européennes a diminué depuis deux siècles. En revanche ça n’est pas le cas dans le reste de monde. De plus, des foyers d’ultra violence ont émergé, laissant croire à un ensauvagement généralisé.

Le plus grand changement du XXème siècle est la diminution des violences entre États. Lors d’une guerre, les camps sont clairement définis et l’attention est focalisée sur l’ennemi du dehors. L’ennemi commun soude les communautés. En temps de paix prolongée comme actuellement, la violence du quotidien monopolise les esprits. L’ennemi n’est plus en face : il est potentiellement partout. Le paradoxe de Tocqueville vient renforcer cette peur de l’ennemi intérieur : moins il y a de violence dans une société, moins la violence résiduelle est tolérée.

À cela viennent s’ajouter les exigences de la société capitaliste : il faut une population aussi obéissante dans le travail que dans la consommation. Nous vivons dans une sorte Meilleur des mondes qui se serait mélangé à un 1984 orwellien. Le soma qu’est l’hédonisme ne suffit pas à contrôler les populations, il faut également instrumentaliser la peur, en faire un spectacle au sens où l’entend Guy Debord. Désormais le crime est médiatisé, scénarisé afin de divertir. La boucle de la décadence est lancée : le plaisir conjure l’angoisse, la violence-spectacle la ramène. Si cela peut en plus faire les affaires d’un business de la sécurité, c’est encore mieux.

Sortir de cette boucle nécessite une stratégie que seul le politique est apte à proposer. Or le politique est lui aussi embourbé dans les conséquences de la mort du Progrès.

La putréfaction sécuritaire du politique

Le clivage droite-gauche est devenu illisible, faute de clivage fort, nous dit l’auteur. Plus rien ne distingue la gauche de la droite : cette dernière s’est complètement ralliée à l’idée de Progrès, au système capitaliste, à la République et à la laïcité. Seuls les extrêmes tirent leur épingle du jeu, en gardant des bribes des clivages qui, autrefois, définissaient la gauche et la droite.

Second constat : un certain malaise démocratique. L’auteur dresse un tableau quasi-maurrassien de la république actuelle : les politiques sont impuissants, ils ne représentent personne ; les français sont désunis par une guerre permanente entre les partis ; les luttes partisanes obligent à prendre des positions radicales au détriment des nuances constructives ; la moindre prise de position hétérodoxe change le débat en Procès de Moscou ; l’électoralisme pousse les dirigeants politiques au cynisme ; il n’y a plus de chef d’État à la tête du pays mais un chef de parti ; des élites (pays légal) dirigent un peuple (pays réel) sans avoir aucune idée de ses préoccupations ; les élections interdisent toute projection dans le temps long, pourtant apanage du politique.

Bref, le politique en France est bien malade. Les maux qui l’accablent ont l’effet dévastateur d’ôter tout espoir à un peuple déjà abattu par la mort du Progrès. La société devient encore plus inquiète et craint des temps difficiles. De telles périodes dans l’histoire ont toujours fait émerger des boucs émissaires, des ennemis de l’intérieur qu’il convient de traquer.

Il n’y a pas d’idéologie sécuritaire soutient Éric Delbecque. La société de surveillance n’est que le miroir de notre propre méfiance collective. Les mêmes causes à une époque technologiquement moins avancée avaient provoqué la chasse aux sorcières, folie collective où de petits juges laïcs brûlaient les malheureuses désignées comme boucs émissaires. Aujourd’hui la société a remplacé le bûcher ponctuel par des caméras omniprésentes. Tout le monde est suspect, tout le monde doit être surveillé.

Retrouver du sens ?

L’auteur appelle les sociétés occidentales, la France en particulier, à retrouver du sens grâce à un projet fédérateur. A la fin de cet essai fortement influencé par les non-conformistes des années 30 (Mounier, Maulnier, Aron), plus particulièrement par la Jeune Droite, l’auteur appelle la France au relèvement. Il ne souhaite pas plus le retour du progressisme béat, appelé par Michéa « Complexe d’Orphée », que celui d’un conservatisme poussiéreux comme le XIXème en eût le secret.

Éric Delbecque souhaite l’avènement d’une troisième voie, entre progressisme et conservatisme, un système politique capable d’avancer, sans pour autant se précipiter. Un système ayant les reins assez solides pour prendre son temps. Il souhaite surtout un souffle, un projet national capable de fédérer les Français et de les sortir de la dépression nationale.

L’auteur ne précise hélas pas quel pourrait être un tel système, ce qui pourrait être un excellent sujet pour un prochain ouvrage. Vu la pertinence de celui-ci, nous l’attendons avec impatience.

Enzo Sandré

Loi Renseignement : Gare à la surinfection !

Doit être votée le 5 mai prochain par l’Assemblée nationale la loi dite « Renseignement ».
Cette loi est décrite par le gouvernement comme une modernisation des moyens de lutte contre le terrorisme, en particulier sur Internet. La loi prévoit de passer sous décision administrative des moyens d’espionnage pour l’instant utilisés de manière parcimonieuse et sous contrôle du juge : micros, caméras ou « boîtes noires » placées chez les fournisseurs d’accès. Le but avoué par le gouvernement est une plus grande réactivité dans la lutte antiterroriste, le juge étant vu comme beaucoup trop prudent en matière de surveillance.

Cette loi ne prévoit aucune possibilité de recours en cas d’abus. Elle prévoit une vague commission de contrôle au rôle uniquement consultatif.
Les réactions ne se sont pas faites attendre : la loi a cristallisé les oppositions, l’opinion sentant instinctivement le danger. Cette fois-ci, le vieil argument « si vous n’avez rien à cacher vous n’avez rien à craindre » n’a pas suffi à faire taire la société civile, ainsi que les quelques courageux du monde judiciaire qui ont élevé la voix. Le monde politique, exceptés le PS et une partie de l’UMP, ont été unanimes à condamner ce projet de loi.

legalisersurveillance

Comme d’ordinaire lorsque l’on touche à Internet, la « communauté web », nébuleuse de blogueurs, d’informaticiens et d’utilisateurs, s’est indignée. Ils ont, comme à leur habitude, dénoncé, avec beaucoup de créativité et de brio, cette loi liberticide et le danger qu’elle représente. Hélas ils n’ont pas été chercher plus loin les causes de cette loi, préférant dénoncer « un manque de démocratie ».

Chose rare, des professionnels du numérique ont milité contre cette loi. C’est en particulier le cas d’OVH, plus gros hébergeur et fleuron du numérique français. Cette entreprise, embauchant 1000 salariés sur son site de Roubaix a menacé de délocaliser tous ses datacenters à Québec en cas de vote de la loi. Simple mesure de survie : un hébergeur incapable de garantir la confidentialité des données de ses clients, perd une grande partie de son attractivité. D’autres hébergeurs sont déjà partis, comme altern.org et eu.org.

La « menace terroriste », même si bien réelle, ne peut justifier une telle loi. L’arsenal mis en oeuvre est complètement inutile pour la traque des terroristes, pédophiles et autres criminels organisés. Ces groupes sont formés à l’utilisation de moyens de cryptage. L’état n’a ni les moyens de repérer les trames suspectes, ni les moyens de les intercepter. La cryptographie permet d’anonymiser et de chiffrer les messages, de telle sorte que rien ne ressemble plus à un paquet chiffré terroriste qu’un autre paquet chiffré, parfaitement légitime. Il existe, sur Internet, des milliers de raisons de chiffrer non seulement légitimes, mais absolument indispensables : transactions bancaires, préservation de la vie privée ou secret industriel ou commercial ! Les organisations patronales s’inquiètent d’ailleurs de l’impact de cette loi sur les entreprises : personne ne viendra faire des affaires si l’état s’immisce dans les secrets industriels.
Deux options restent disponibles pour l’état : l’interdiction complète du chiffrage, sauf autorisation ou la course aux armements numériques avec les terroristes : toujours plus de surveillance, toujours plus intrusive et chère. La seconde voie est celle prise par les Etats-Unis, avec la NSA qui, malgré de formidables moyens (10 milliards de dollars) n’a pas su déjouer le 11 septembre ou les attentats de Boston ! Le dispositif français, lui, coûtera la bagatelle de 500 millions d’euros.

Il serait légitime de s’inquiéter d’une telle loi, même avec le gouvernement le plus vertueux du monde. Le ver est dans le fruit et cette loi peut très bien rester en sommeil des années, avant d’être ressortie par un régime devenu autoritaire. La Loi Renseignement met la police à disposition de l’administration, sans aucun contrôle judiciaire. Avec les discussions sur le vote obligatoire, la Loi Santé ou la dérive de plus en plus autoritaire d’un Manuel Valls, sans doute ne sommes-nous pas au bout de nos peines, le croisement de fichiers et la dictature algorithmique pouvant devenir la nouvelle « justice ».

D’où viennent les failles de sécurité informatique ?

Le piratage de TV5 Monde met sur le devant de la scène le potentiel de nuisance des failles de sécurité informatique. En informatique, une faille est un “trou” dans la sécurité, permettant à un attaquant de contourner une protection. Elles peuvent permettre, entre autres, la prise de contrôle d’une machine ou l’accès à des données confidentielles. Avec plus de 5000 failles recensées par an – et un nombre incalculable non répertoriées–, la sécurité informatique est loin d’être une science exacte. Et si la faille n’était pas une erreur regrettable, mais bien une réalité inévitable en informatique ?

Bug-Computer

Il faut avant tout rappeler qu’une faille est souvent accidentelle : les concepteurs comme les développeurs sont à l’origine d’inévitables erreurs humaines, générant des vulnérabilités parfois critiques : l’écrasante majorité des failles sont de simples et innocentes erreurs. C’est le cas de TV5, bien que la chaîne ait été irresponsable : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) les avait prévenus deux semaines auparavent de la découverte de vulnérabilités ! Notons qu’un administrateur nonchalant est la pire des plaies en matière de sécurité informatique.

Mais à coté de celles-ci, une minorité de failles sont introduites sciemment par les éditeurs, sans prévenir l’utilisateur. On les appelle “portes dérobées”, backdoors. Si quelques portes dérobées peuvent partir d’une intention louable (support technique transparent, mises à jour…), toute porte dérobée constitue une faute pour l’éditeur. Découvertes par un tiers malveillant, elles peuvent occasionner des dégâts importants. La très récente affaire Gemalto, entreprise française autoproclamée « leader mondial de la sécurité numérique » ( !), dont la NSA américaine a volé les clés de chiffrement des cartes SIM (gérant toutes les données des téléphones mobiles), est un cas d’école : Gemalto n’aurait pas dû conserver les clés.

Les deux origines majeures des portes dérobées dites “malveillantes” (ce terme est sujet à controverses) sont, d’une part, la pression des services de renseignement sur les éditeurs et, d’autre part, les accords officieux entre entreprises, portant sur l’accès aux données personnelles des clients.

Les révélations d’Edward Snowden ont jeté une lumière crue sur une partie des vastes programmes de la NSA américaine, gigantesques réseaux de collecteurs, puisant leurs informations dans le monde entier, partout où des logiciels ou du matériel américain sont utilisés. Snowden a dévoilé le dispositif des États-Unis, mais il est certain que toutes les puissances ont des méthodes similaires, à plus ou moins grande échelle. Il s’agit d’un impératif de sécurité nationale et de renseignement, tant intérieur qu’extérieur.

La légitimité du renseignement national est complexe, mais l’illégitimité des accords, souvent illégaux, entre sociétés privées ne fait pas débat. Dans le monde de la santé et de l’assurance, les données personnelles sont de l’or. De nombreux acteurs forment un vaste marché gris des données personnelles. Des portes dérobées, donnant accès directement aux données des clients, sous l’apparence de banales failles, sont un outil de choix pour alimenter ces marchés. Elles permettent de cacher sous le motif du “piratage”, un trafic de données personnelles.

La sécurité absolue n’existera jamais et la Haute Technologie (High Tech) amplifie les erreurs par sa complexité. En matière de sécurisation des échanges et des données, des solutions sont peut-être à chercher du côté de la « Basse Technologie » (Low Tech), voie explorée actuellement par les services russes, entre autres : ceux-ci utilisent depuis 2013 des machines à écrire pour la rédaction de tout document classifié. Sans doute une piste à explorer chez nous, afin d’éviter bien des fuites.

L’informatique n’est qu’un outil, pas un remède, car aucune technologie bonne par principe ou morale par essence.

Faille ou porte dérobée : une confusion bien commode

Dans le même temps que Snowden ou l’affaire Gemalto nous révélaient l’emprise de la NSA sur le monde numérique, de nouvelles failles de grande ampleur (Heartbleed, FREAK, POODLE) venaient remettre en cause des briques fondamentales de la cybersécurité.

Porte dérobéeUne faille est, par définition, un vice involontaire de conception. Or dans de nombreuses affaires récentes, il est avéré que la « faille » a été introduite volontairement dans le logiciel incriminé. Cette pratique, porte le nom de « porte dérobée », « backdoor » en anglais. Elle permet à un tiers de contourner les protections d’un logiciel, avec la complicité de l’éditeur.

Une faille peut égratigner une relation de confiance, surtout lorsqu’elle tarde à être corrigée. Elle reste néanmoins une erreur humaine tout à fait normale. Une porte dérobée est bien pire. Elle trahit la malhonnêteté manifeste de l’éditeur, ce qui annihile toute possibilité de confiance, sève de la sécurité. Rien ne prouve qu’une porte dérobée, supprimée avec mille excuses, n’aie pas simplement été cachée ailleurs. D’où l’intérêt pour une entreprise de déclarer comme « faille », toute porte dérobée pas trop flagrante. Une maniére de travestir la malhonnêteté en erreur humaine, ce qui est bien commode.

Les entreprises françaises sont bien peu au fait des dangers des portes dérobées. Elles accordent bien souvent une confiance absolue à des logiciels propriétaires (à « recette » secrète), appartenant à des éditeurs étrangers. Ce qui peut représenter de potentielles fuites de données sensibles vers des pays concurrents.

Cybersécurité : promouvoir la création française

logo-du-fic-2015Le septième Forum international de la cybersécurité (FIC) vient de se tenir à Lille. Il est à la fois le relais et la sonde de la stratégie française en matière de sécurité des systèmes d’information. Cette manifestation étantétroitement liée à l’État, le discours d’ouverture a porté, sans surprise, sur la lutte contre le “cyberdjihadisme” et le renforcement de la surveillance. Ce discours anxiogène a, hélas, masqué le véritable intérêt du FIC : les dizaines de PME françaises et européennes venues nouer des liens entre elles et présenter leurs innovations. Si beaucoup n’ont fait qu’industrialiser des technologies méconnues venues du monde du logiciel libre, quelques acteurs ont su proposer aux entreprises des services de pointe à forte valeur ajoutée. Trois innovations ont retenu notre attention. La première est signée AriadNext, startup rennaise créatrice d’un service de validation en temps réel de documents officiels (passeports, RIB…). Leur pro-
duit, développé en partenariat avec l’administration, permet une sécurisation des souscriptions et une réduction du nombre de fraudes.

Capgemini tend un piège aux pirates

La deuxième est le système d’authentification de la société GenMSecure. Celle-ci a bâti une application ergonomique, remplaçant à la fois le traditionnel identifiant-mot de passe et les codes de validation par SMS pour toutes les transactions sensibles. Lorsqu’une opération requiert l’autorisation de l’utilisateur, celui-ci la confirme avec son téléphone, de manière sécurisée, par le biais d’un code unique. Citons enfin Capgemini, pour son positionnement sur le marché embryonnaire mais prometteur des honeypots. Un honeypot est un piège destiné aux cyberattaquants : s’il est invisible pour l’utilisateur normal, il attire dans un piège celui qui cherche à déjouer les mesures de sécurité. Quand un attaquant tente de s’introduire dans ce piège, il est automatiquement banni. Ce septième FIC s’est donc montré très positif. Plus d’une centaine d’exposants, des milliers de visiteurs et un secteur inventif.

Si le marché européen n’est rien par rapport au géant américain, le développement d’une expertise “locale” est capital dans une optique d’indépendance stratégique. Laisser les Américains ou toute autre puissance avoir pour clients des entreprises françaises revient à leur offrir l’accès à nos données… Le développement et la préservation d’une expertise française est en ce sens une priorité stratégique majeure.

Protéger ses données, tout numérique ou retour à l’analogique ?

Vous souhaitez envoyer une information sécurisée ?
Envoyez-là par La Poste, en double enveloppe, la seconde à l’envers dans la première.
L’analogique coûte bien trop cher pour pouvoir le surveiller massivement.
Une enveloppe simple protège très mal, il est peu difficile de glisser une caméra dans l’enveloppe en cas de doute (destinataire ou expéditeur fichés par exemple).
Pour un maximum de sécurité, n’hésitez pas à accompagner votre courrier d’un vieux brouillon, rendant même la plus puissante lampe inutile pour un déchiffrage par transparence.

vintage_wallpaper_retro_desktop_hd_a1746

Soyez old school, c’est tellement minoritaire que ça n’est que peu surveillé.
Pour des fichiers, le mieux reste si vous ne savez pas comment crypter solidement, d’envoyer une bête carte SD par la poste (toujours en double enveloppe).

Ainsi le numérique, encapsulé dans de l’analogique, reste loin des grandes oreilles.

La voix est pas mal non plus. Pour peu que l’on se débarrasse de son téléphone, capable entre autres :
-D’écouter en champ proche
-De géolocaliser la personne (par GPS ou antenne)
-Certains modèles sont suspectés de photographier discrètement
-Les dernières bouses d’Apple enregistrent en plus vos empreintes, me dites pas que c’est juste pour éviter le vol du téléphone

Attention aussi avec les PC, aucune preuve formelle, mais je ne vois pas à quel titre ils ne feraient pas ce qu’ils font dans les téléphones.
En particulier les webcams, n’ayez pas confiance en la LED (mettez un cache). Les micros intégrés à tous les PC portables sont également à redouter. Là pas tellement de solution sinon une ouverture et débranchement (ainsi vous choisissez quand utiliser le micro en en branchant un externe)

Je voudrais terminer avec les OS. Fuyez Windows et Mac OS pour vos activités sensibles. Ils ont ouvert leur code aux gouvernements, pas aux utilisateurs. Cela veut tout dire.
Linux est de plus en plus accessible au grand public et sauf pour les joueurs, je ne vois pas de problèmes bloquants.

Plus que jamais il faut agir cachés. Le gouvernement dispose de moyens d’écoute extrêmement performants pour traquer et tenir dans son œil les éléments séditieux.
Mais nous ne sommes pas désarmés pour autant.

Soit on en a les compétences ou l’on souhaite les acquérir et on peut utiliser la technologie contre eux. Mais ces compétences requièrent un apprentissage et la moindre erreur peut créer une faille critique.

Soit on opte pour du classique, ce qui, bien fait est tout aussi efficace.
Après tout, Unabomber a réussi grâce à son rejet total de toute technologie et à son intelligence à rester l’homme le plus recherché des U.S.A pendant 18 ans. (Je ne dis pas de suivre son exemple en termes de modes d’action hein !)