février 3rd, 2012

Il faut dire que les occasions de voir des Ministres ou grands fonctionnaires ruer dans les brancards manquent de moins en moins dans le domaine des lois sécuritaires. Mais les réactions sont moins épidermiques sur l’axe Brest-Strasbourg. Malgré une dangerosité mille fois moins élevée qu’un week-end de pentecôte, le risque de vol et d’usurpation d’identité a fait passer sans anicroche le projet de loi sur le fichage biométrique des « gens honnêtes ». Le blog Barabel donne une analyse dépassionnée de la question. En omettant toutefois de tirer deux perspectives, l’une historique, l’autre technique.

La première perspective, c’est celle qui consiste à se demander non pas « si », mais « quand » les institutions ayant un droit d’accès à ces fichiers, et notamment la police nationale, systématiseront les accès à ces données menant à un usage abusif de ces dernières. Les lois considérées comme justifiées aujourd’hui peuvent se transformer en redoutables instruments de bigbrotherisme demain… la démocratie est une chose si fragile et surtout si instable dans le temps. La seconde perspective est purement technique. En gravant dans les tables de loi ce fichage biométrique systématique de tous les citoyens (ou de tous ceux demandant une carte d’identité ou un passeport), on prend le risque de transformer ces mesures d’identification en objets d’authentification… Dans le domaine informatique, le propre d’une authentification est d’être répudiable… Remember Diginotar, remember RSA, des accidents pourtant réputés hautement improbables… voire impossibles. Comment s’appelle alors la procédure de répudiation d’une signature biométrique conservée par l’administration ? Combien de députés se sont posés la question ?

L’on pourrait également s’interroger sur la façon dont une telle loi a été présentée. Aurait-on suggéré de créer un fichier d’empreintes biométriques de tous les automobilistes verbalisés pour stationnement interdit (voir même d’excès de vitesse) que l’on aurait entendu une clameur monter de tous les fauteuils de l’Assemblée. Mais aucune réaction lorsqu’il s’agit d’éviter d’« ouvrir une centaine d’enquêtes dans le cadre d’une plainte pour vol d’identité », un argument par défaut qui met en avant l’efficacité des outils offerts à la Police chargée de rechercher les voleurs d’identité, et non le fichage des personnes innocentes.

Ajoutons qu’après l’article de nos confrères d’Owni, Mediapart a également abordé le sujet. Aucun écho dans la presse audiovisuelle.

La nouvelle a fait le tour de la blogosphère en l’espace d’un Twitt : Helena Drnovšek Zorko, dépendant du Ministère des Affaires Etrangères de Slovénie, ayant rang d’Ambassadeur au Japon, publiait en fin de semaine une lettre d’excuses pour avoir, « par négligence politique », osé signer Acta ( accord commercial anti-contrefaçon ). Un accord dicté par sa hiérarchie, mais qui a valu à cette grande servante de l’Etat une avalanche d’emails de protestations et d’explications. Laquelle avalanche de protestations a permis à Madame Drnovšek Zorko de reconsidérer sa position et convenir qu’elle avait joué un rôle de « député godillot ». Cette attitude de contrition responsable tranche avec l’usage Français, de droite comme de gauche, qui consiste soit à demeurer « droit dans ses bottes », soit à « fermer sa gueule ; si ça veut l’ouvrir, à démissionner ».

… les habitants de la station ISS par exemple. 350 kilomètres sans le moindre obstacle, 350 kilomètres situés en dehors de tout moyen d’action répressif, de ceux de la Rue du Texel à l’IRCGM, 350 kilomètres d’altitude depuis lesquels il est possible de recevoir tout ce qui porte le nom de « sans fil ». Certes, n’allons pas imaginer un instant qu’un de nos Jean Luc Beaudry, Claudie Haigneré ou Jean-Loup Chrétien puissent, même frappés par le mal de l’espace, se livrer à des actes que la LCEN et que la morale réprouvent. En revanche, un simple smartphone accroché à un ballon sonde peut servir de système d’écoute avec une efficacité remarquable. L’article de Jimmy Shah de McAfee (http://blogs.mcafee.com/mcafee-labs/schmoocon-to-cover-hot-mobile-security-topics) décrit avec des accents anxiogènes ce que n’importe quel radioamateur sait depuis sa plus tendre enfance électrohackeuse : un récepteur dans un aéronef ou sur un point haut (et à plus forte raison dans un satellite) fait toujours des miracles. C’est d’ailleurs pour cette raison (et probablement pas pour de vagues histoires de perturbations des équipements aéronautiques) que l’usage des téléphones mobiles est interdit en vol*.

Cet intérêt aux choses mobiles en général et aux médias de transmission radio en particulier se constate de plus en plus à l’énoncé des programmes des grandes conférences sécurité. Jimmy Shah passe en revue les multiples exposés sur le sujet qui seront donnés durant la prochaine ShmooCon. L’on peut toutefois remarquer que les « spécialistes du hacking radio » de cette année ont encore une vision totalement étriquée de la question, et continuent à penser « un type de transmission, un type de modulation, un seul type de terminal radio dédié ». Pourquoi, en effet, envoyer 130 grammes d’iPhone dans l’espace proche pour décoder une trame WiFi ou Bluetooth, alors qu’avec ces mêmes 130 grammes l’on peut commencer à jouer avec des outils à définition logicielle qui peuvent tout recevoir et parfois tout écouter.

* hypothèse confirmée par le fait que les avions équipés de microcellules GSM (à l’accès facturé au prix du platine en barre) ne tombent toujours pas comme des mouches.

Minute de détente avec ce tour d’Hollywood du hacking et des virus au cinéma compilé par Graham Clueley.