avril, 2012

Je profite des 10 minutes d’inattention de la rédaction (partie s’encanailler en Bretagne Grande à l’occasion d’Infosec), pour faire part à mes lectrices adorées d’un article signée par ma charmante consœur* Florence Waters, qui travaille au Telegraph. Le papier en question tient en une photographie, celle d’un DVD-R (enregistrable) sur lequel serait contenu l’original du film Millenium 1 (version Hollywood). Ledit DVD-R est griffonné d’un feutre rageur « The Girl with the dragon tatoo » (en Français : Les hommes qui n’aimaient pas les femmes, titre d’un roman à succès du regretté Stieg Larsson). Le long-métrage de David Fincher avec le beau sur-mâle Daniel Craig déjà piraté ? Que nenni ! Nous explique Florence. C’est là un véritable original garanti sur facture, étudié pour, provocateur par esprit marketing. Et ma consœur d’expliquer « Sony (…) designed the DVD (…) to reflect the hacker theme of the movie, and perhaps also to highlight the growing problem of pirate copying » ( Sony a dessiné ce DVD pour illustrer le thème du hacker présent dans le film, et peut-être pour mettre en relief le problème croissant des copies pirates). Or donc, Hacker==Pirate, si l’on comprend bien Sony, entreprise réputée pour sa maîtrise et sa connaissance en matière de sécurité informatique, auteur de rootkits de protection remarquables, animateur d’un jeu en réseau pour Playstation et Ordinateurs Anonymes Associés (aka DdoS) qui a su conquérir le monde entier). Nilhil nove sub sole. D’ailleurs, il n’existe aucun véritable hacker au sein des équipes sécurité de Sony… si c’était le cas, cela se saurait.

Entre temps, une autre consœur (décidément) Phalène de La Valette, du Fig, laisse entendre que l’idée viendrait en fait de David Fincher lui-même. « Coco, mon directeur artistique et mon poisson rouge pensent que ça fait couleur bocal ». Qu’importe l’origine, le résultat est là.

Quant à moi, maman de charmants ados qui considèrent la chose audio-vidéo comme de peu de bien et brouet de consommation courante (donc valant à peine le prix de la galette de polycarbonate sacrifiée pour passer la série « Desperate Houswife » à un copain) je me mets à la place de nos chers (très très chers d’ailleurs) employés-de-bureau-de-la-Rue-du-Texel. Car quand on se drape de la toge de l’éducation, de la sensibilisation des foules, lorsque l’on doit inciter au respect et à la décence devant le dénuement extrême dans lequel le piratage pousse des entreprises comme Sony, on a un peu de mal à expliquer que « non, tout çà c’est rien qu’à du marqueutinje, que le piratage c’est le mal et que Sony avec sa campagne, est en train de pousser l’aïeul dans un massif d’Urtica dioica ». Ils n’ont pas la vie facile, à l’Hadopi. Entre les rapports à faire écrire par les autres, des chiffres à interpréter de manière politique, des sous-traitants de la surveillance à surveiller, si en plus il faut expliquer la différence entre le véritable piratage et le racolage vulgaire, on n’est pas sorti du MacDo…

Et puis, entre nous, vous ne trouvez pas cette campagne un rien sexiste ? Pour une fois qu’une fille est plus à l’aise derrière Wireshark que devant ses fourneaux, qu’elle ne répond pas aux canons sexuels de la blonde évanescente arborant un 95C dans une robe-fourreau qui en dévoile plus qu’elle n’en cache (tenue pratique pour farfouiller dans une armoire 19 pouces, tiens)… Le genre féminin hacker n’est pas conforme ou conformiste, il faut l’associer à un acte de piratage. D’accord, elle n’est pas blanc-bleu, la miss Lisbeth Salander, avec ses remote sur les machines des gens qu’elle a dans le collimateur. Mais c’est toujours pour la bonne cause, et c’est pas prouvable… 100% plausible deniability proof, elle est sacrément forchiche, Lisbeth. En outre, comparer un sploit du calibre de ceux qu’elle utilise à une vulgaire utilisation de DVD-Schrink, c’est limite insultant. Ajoutons que lorsque les mecs sont aux commandes, alors Total Respect. Pas une seconde un Sony ou un Universal n’aurait osé concevoir une illustration de DVD semblable dans un film mettant en scène un hacker mâle. La trilogie Matrix en pseudo .mkv ? La bande annonce de Johnny Memonic sur www. Warner.nu/megaTopDownload ? Operation Espadon en basse définition, bande son cafouilleuse façon « cam » et streaming payant ? (remarquez, mesdames, que les nanas, dans ce film, ne sont pas particulièrement derrière les claviers). Le « vrai bon hacker », dans l’imagerie d’Epinal Hollywoodienne, c’est soit un ado boutonneux, nolife, binoclard et arborant un appareil dentaire digne des défenses du Mur de l’Atlantique, soit un suburb lover habillé grunge avec yeux bleus et barbe de 4-5 jours très précisément et qui doit nécessairement éveiller l’instinct maternel de ses voisines béates d’admiration mais tout de même larguées côté informatique. On n’y voit jamais une fille normale, qui se lève parfois du pied gauche, qui peste parce qu’elle a oublié de documenter un bout de code pondu il y a 4 mois, qui se désespère parce que précisément son mec ou son chef de service lui demande pour la énième fois « Pourquoi j’arrive pas à imprimer » alors qu’elle code une manière de weaponiser avec élégance le dernier CVE 2012-31334.

* eh oui, les correctrices ont aussi une carte de presse et sont donc considérées comme des journalistes

Les rapports Microsoft sont comme les radis et les « patchs Tuesday » : d’une régularité métronomique. Et c’est sans surprise que s’est faite l’annonce du tout dernier MS Security Intelligence Report consacré au semestre juillet-décembre 2011.

Le SIR,rappelons-le, est le résultat de métriques réalisées grâces aux remontées des honeypots « maison » de Microsoft, des statistiques des différents services « live » (messagerie hotmail, protection A.V. Live Essential etc.) et surtout aux retours effectués par la base installée des antivirus clients répartis dans le monde. Ce n’est donc pas une enquête d’opinion sur les risques fantasmés de la délinquance informatique, mais un cliché, un état des lieux de l’activité des malwares sur une période de 6 mois.

Le premier constat du SIR ressemble à un chant désespéré (ceux qui sont les plus beaux et les plus entêtants) : Conficker n’en finit pas de mourir à très petit feu. 1,7 million de systèmes étaient encore compromis fin 2011. 1,7 million de systèmes victimes donc d’une exploitation visant une faille comblée depuis belle lurette et combattue par tous les antivirus, même les plus poreux de la création. Au total, 220 millions d’ordinateurs auront subi les foudres de Conficker depuis sa naissance.

Pourquoi cette rémanence ? On est encore dans le registre des litanies et des ritournelles connues : le manque d’attention de la part des usagers, notamment en matière de complexité de mots de passe. Une négligence qui n’est pas sans rapport avec la persistance de Conficker, qui ne possède pas un dictionnaire d’attaques particulièrement performant et qui parvient pourtant à survivre. Autre terreau favorable à la survie de cette infection, le manque de suivi des politiques de mise à jour et de déploiement de correctif. Question d’autant plus épineuse pour Microsoft l’enquêteur qu’une partie de la réponse échappe totalement à Microsoft l’éditeur de systèmes d’exploitation. Les attaques fructueuses visent moins le noyau Windows que les applications Java/html. Cette confusion des genres entre la notion de « système d’exploitation non-patché » et de « système (tout court) non patché » fait encore des ravages. La faute peut-être à Microsoft, qui a trop mis en avant ses efforts fournis pour propager la bonne parole du TWC (informatique de confiance) et qui a polarisé toutes les attentions sur l’importance d’une bonne maintenance des noyaux. Mais l’informatique au quotidien, c’est 20 % à 50 % de Microsoft, 50 à 80 % de non-Microsoft qu’il faut également corriger. Las, la plateforme Windows ne possède pas d’outil natif de déploiement de correctifs universels.

Partant de ce constat, les tenants du « côté obscur de la force » en profitent. « Il n’y a pas de différence technique fondamentale entre une APT et une attaque générale, entre un assaut permanent et ciblé visant une grande entreprise et un botnet cherchant à recruter des machines zombies », explique Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft. Les ingrédients ne changent pas, même si la recette, la façon d’utiliser les exploits, change avec le type d’attaque. Paradoxalement, jamais le secteur industriel n’a été aussi bien équipé. Les outils de protection, les firewalls, les IPS s’entassent sans parvenir à intercepter les tentatives d’intrusion. Eux aussi sont frappés du syndrome de la configuration par défaut, du mot de passe faible ou du correctif mal déployé.

Achevons cette lecture très rapide et superficielle du SIR avec deux notes optimistes. En premier lieu, la confirmation de la baisse progressive du spam : 35 milliards d’emails bloqués en janvier 2011, 13 à 14 milliards « seulement » interceptés en novembre-décembre (statistiques hotmail). Des proportions analogues ont été constatées par des opérateurs de messagerie cloud concurrents. L’autre bonne nouvelle concerne la bonne tenue du parc français aux infections et attaques diverses. Le taux d’infection oscille aux environs de 3,8 pour 1000 machines, à comparer aux 7,2 pour 1000 de la moyenne internationale. En revanche, les addware frappent plus fort que partout ailleurs, avec un taux d’espionniciels commerciaux passant la barre des 53%… contre 17 à 18% dans le reste du monde. Il n’existe pas d’explication plausible à ce particularisme national et à la bonne santé de ces hotbar et autres maladies transmissibles par navigateur.

La bataille dure depuis plus de 10 ans, les données PNR (Passenger Name Record) seront conservées 5 ans, ou 10ans, ou 15 ans sans que le moindre contrôle puisse être effectué : la « demande pressante » du gouvernement fédéral des Etats-Unis vient de recevoir l’accord du Parlement Européen pour conserver, sans le moindre contrôle possible, les données personnelles des voyageurs européens (biométriques, bancaires, ethniques, confessionnelles, de santé et d’orientation sexuelle). Cette décision a été approuvée par le parlement européen à 409 voix contre 226 et 33 abstentions, formalisant ainsi une disposition « provisoire » de plus de 7 ans et justifiée uniquement par l’éventuelle improbabilité d’un risque terroriste. Les représentants américains jubilent : le parlement s’est montré aussi ferme et aussi efficace et critique que la défunte Société des Nations. L’« article 29 Working Party » vient, par la même occasion, de prouver sa totale impuissance… voir son inutilité face à un tel bras de fer politique.

Les motifs de conservation des données relèvent de la fantaisie la plus pure. Les « crime grave » entraînent une conservation des données pour 10 ans. Un crime grave qualifie toute faute passible de 3 ans de prison aux USA, soit par exemple une récidive de conduite en état d’ivresse. Si les soupçons de terrorisme sont invoqués, les données sont conservées 15 ans. Or l’histoire du DHS et de l’Immigration Service fourmille d’exemples de femme enceinte ou d’enfants en bas âge emprisonnés sous prétexte de soupçon terroriste, soupçon généralement provoqué par une homonymie : it’s the law. Un simple tampon en provenance d’un état d’Afrique du Nord peut provoquer un long interrogatoire et une éventuelle « reconduite au frontières », ce qui fait cher pour une semaine de vacances en Tunisie… La rétention des données peut s’étendre jusqu’à 15 ans, la notion de « faits de terrorisme » n’impliquant pas, Outre Atlantique, une participation directe à un acte de guérilla.

En théorie, les passagers des vols transatlantiques auront droit de consultation et de modification, voir pourront adresser un recours administratif et judiciaire en cas d’usage abusif. Encore faudrait-il avoir une preuve de cet usage abusif et les moyens financiers d’un tel recours (ledit recours étant soumis au mécanisme juridique américain). Il n’existe, en France, depuis l’éclatement d’Edwige par recommandation de la Cnil, aucun fichier contenant autant de données personnelles aussi sensibles.

Le cybercrime aussi important que le trafic de drogue ? Laissez-nous rire, écrivent Dinei Florencio et Cormac Herley, deux chercheurs de Microsoft dans les colonnes du New York Times. Selon les prétendus experts que l’on interroge ou les rapports annuels que l’on consulte, les cybermafias de tous horizons afficheraient un chiffre d’affaires cumulé variant entre 144 milliards et 1000 milliards de dollars expliquent Florencio et Herley. Chiffre absurde, estiment-ils, et qui ne reposent que sur la projection linéaire de quelques déclarations de pertes. Il suffit qu’une victime affiche 25 000 dollars de pertes pour que le « trou de la sécu » (rité informatique) multiplie ce chiffre par un facteur de 40 000 et on atteint rapidement le milliard de dollar.

Et les deux confrères d’expliquer à demi-mots que les seuls chiffres sur lesquels peuvent compter les politiques (notamment le Sénat US) sont émis par des entreprises du secteur de la sécurité informatique et des agences de sécurité gouvernementales, tous, donc, juge et parti, aucun n’ayant intérêt à voir ces chiffres se dégonfler.

Il y a pratiquement un an jour pour jour, Raoul Chiesa donnait, à l’occasion de la conférence Hackito Ergo Sum de Paris, une conférence détaillant les chiffres de l’Unicri, et remplaçant les cyber-mafias à sous la toise du grand banditisme (diapositive 9/96). Comment peut-on comparer les quelques malheureux (et déjà impressionnants) 1,6 milliard de dollars raflés par les professionnels du faux viagra et les 72 milliards de dollars que constitue le trafic de cocaïne à destination des USA et de l’Europe ? Dans la tranche napolitaine du crime organisé, les nouvelles technologies ne représentent qu’un fin glacis de confiture entre les épaisses couches de la prostitution, de la drogue, de la contrefaçon de biens matériels ou du trafic d’êtres humains. Recette sinistre que l’univers du business tente d’accommoder à sa sauce.

A périodes régulières, les vendeurs de DLP nous assènent des statistiques catastrophistes nous apprenant que le véritable ennemi, le pirate hideux qui ruine l’industrie se trouve au sein même de l’entreprise, puis c’est au tour des vendeurs de défenses périmétriques qui nous affirment le contraire, en nous faisant comprendre qu’il est impératif de mieux « blinder » nos réseaux contre une agression extérieure permanente, un déluge d’APT qui viennent jusque dans nos bras, égorger… etc. La cyberdélinquance existe, le fait est incontestable. Mais les marchands d’armes de défense, à force d’exagérer l’ampleur du danger réel, sont en train de se décrédibiliser. La « crise financière mondiale » n’explique pas tout. Certaines contre-performances du secteur sont, pour beaucoup, provoquées par une très nette baisse de confiance des clients envers les acteurs du marché.

Le passage du « droit à l’oubli » à « l’obligation d’oubli par voie règlementaire au niveau Européen » a du mal à passer auprès des grands Maître Brasseurs de l’Identité et de la donnée Personnelle. A commencer par Facebook, Google et Twitter, explique Marc Cherki du Figaro.fr, qui chacun commence à dégainer leurs avocats pour entamer un tir de barrage destiné à bloquer le projet de Viviane Redding (vice-président et commissaire européen chargé de la Justice, des Droits fondamentaux et de la Citoyenneté).

Les arguments de la défense du « We do not forgive. We do not forget » reposent sur ce que l’on pourrait appeler une cyclic redondancy error : il n’est pas possible, estiment-ils, de purger toute trace d’identité sur les réseaux sociaux, puisqu’il pourra toujours exister quelque part une copie en cache ou sur un site Web des traces numériques d’une personne. Tâche insurmontable, vaine, donc à ne pas faire.

Las, il faut se rappeler que la plus grosse mémoire (cache à la surface de la planète, probablement après celle de la NSA) est celle de Google. La présence de Google, le moteur de recherche, ainsi que de Blogger, la plateforme de blogging de Google, entravent le nettoyage efficace de Google Plus, le réseau social. Cyclic Redondancy Error, redo from start.

En outre, purger à la fois Facebook, Google et Twitter obligerait les forces en présence à s’entendre sur certains points techniques et stratégiques liés à leur trésor de guerre : les informations personnelles. Il est plus facile de s’allier pour que précisément cette situation n’arrive jamais. S’ajoute à ceci un autre problème, celui de la taille de la grenouille et du bœuf numérique, autrement dit du poids représentatif réel de ces grands réseaux sociaux. La question avait déjà été soulevée aux débuts de l’Internet grand public, avant l’explosion de la « bulle » des années 2000 : les fournisseurs d’accès montraient une réticence certaine à purger de leurs bases les comptes e-mail abandonnés ou inutilisés, car chaque compte, chaque nom, chaque identité était valorisée et servait de base spéculative servant d’indicateur à la capitalisation boursière de l’entreprise. Le phénomène se reproduit, amplifié, avec les réseaux Twitter, Google Plus ou Facebook. En ces temps de Bulle Deux-point-Zéro, toute tentative de régulation ne peut donc être la bienvenue.

La publication d’un nouveau numéro de Phrack est toujours un évènement. Le numéro 68 vient de sortir, et débute avec un hommage à un disparu célèbre : Dennis Ritchie, l’un des pères du langage C et d’Unix. Départ discret d’un géant de l’informatique qui, au regard du bruit médiatique que soulèvent certains blogueurs mondains ou patrons « créateurs par croissance externe», montre à quel point le futile et le marketing revêtent plus d’importance aujourd’hui que l’intelligence et le véritable génie créateur.

Beaucoup de hack orienté « mémoire »dans ce numéro. Mémoire au sens humain du terme, mémoire au sens memaloc/jemaloc aussi. Et aucune incursion dans le domaine matériel en revanche, pas même sous la forme d’une petite intrusion jtag ou assimilée. L’équipe revient aux fondamentaux de la revue. Pour les ethno-historiens du hack, à lire, donc, l’éditorial consacré à Dennis Ritchie, le profil de Phenoelit sous forme de questionnaire de Proust à la sauce binaire, augmenté d’un passage résumant l’origine et les buts de PH-Neutral. De l’humain encore avec un courrier des lecteurs d’une incroyable drôlerie, ou encore avec un historique des écoles de demomakers Grecs et des cyber-affrontements entre hackers Coréens du Nord et du Sud. Psychologie et sociologie du hacking enfin avec un amusant papier non signé intitulé « le bonheur dans le hacking »… le texte contient quelques vérités intéressantes.

Le reste demeure très « Phrack Way » : rootkit pour plateforme Android, cracking des white-box (deux Alka-Selzer sur le plan de la compréhension), exploiting the jemalloc memory manager (trois Alka-Selzer), IIS 7.5 remote heap overflow (un seul Alka-Selzer)… la liste est longue, les sujets très divers, tous aussi passionnants les uns que les autres. A télécharger donc, même si les antivirus Sophos considèrent cette littérature comme « infectée » (voir l’hilarant courrier des lecteurs, faire un seek sur le mot « CISSP »).

Lecture ardue et instructive, celle du trimestriel numéro 8 de Hack in the Box (HITB). Gratuit, « for fun and profit ».

136 pages de chiffres, de sigles nébuleux, d’anglicismes indigestes, de mot-valise : le tout dernier rapport que l’Hadopi a commandé à l’Idate a été longuement analysé et critiqué par nos confrères de Numérama. Deux articles notamment dressent un tableau flatteur de l’étendue tentaculaire des sites de streaming dans le monde (statistiques effectuées avant la fermeture de Megavidéo et Allostreaming) et du chiffre d’affaire estimé (très généreusement estiment nos confrères) récolté par les services de publicité desdits sites. Statiques qui, dans les deux cas, rappellent un peu les méthodes de calcul de la cybercriminalité. Bon maquignon fait toujours boire le veau avant la pesée, d’autant plus que le principal abreuvoir à chiffre utilise les métrique Alexa, une « tool bar » d’analyse statistique qui n’estime que les habitudes de navigation de ceux qui ont accepté la présence de ce « spyware de profilage ».

Il en ressort notamment quelques constantes intéressantes : les sites de streaming, tout comme ceux liés aux échanges P2P, sont alimentés par des régies publicitaires généralement situées en dehors du territoire Européen, possédant souvent un quartier général dans un paradis fiscal ou dans un pays peu regardant sur le suivi des « formulaires 10Q et 10K » en usage Outre Atlantique. Les contenus des publicités sont identiques à ceux qui, depuis des années, servaient à alimenter les caisses des sites d’aiguillage P2P : sites de jeux de hasard et de cyber-sexe, que l’Idate résume avec la formule « prédominance du poker, des jeux, et de différentes « offres » au sérieux douteux ». Rappelons qu’au nombre de ces sites au contenu douteux se sont trouvés des serveurs de jeu je poker en ligne bénis par l’actuel gouvernement et affichant fièrement leur appartenance à l’Arjel. Les revenus publicitaires sont calculés en fonction d’une équation complexe dans laquelle intervient la notion de visiteurs uniques, de « clics vrais » et autres indices de fréquentation. Plus le site est important, plus le visiteur unique est valorisé, mais il existe parfois des écarts très important entre ce qui est estimé et la réalité du terrain. Les tarifs publicitaires ne subissent pas une inflation linéaire en fonction de la fréquentation.

Cette manne est complétée par les abonnements payés par une partie des utilisateurs qui acceptent de payer pour obtenir des services « premium ». Si les tarifs peuvent être considérés comme élevés en regard d’un abonnement ADSL, ils ne représentent en moyenne qu’entre 8 et 10 % des consommateurs de flux. A ces apports d’argent frais doivent être soustraits les frais de transactions bancaires, le payement des intermédiaires et sites « rabatteurs », les frais techniques d’infrastructure (ceux de Megaupload avaient été estimés à 9000 $ par jour), salaires et coût de l’infrastructure télécom non compris. Mais malgré ces dépenses, l’Idate estime que, pour ce qui concerne les sites de téléchargement les plus importants, la marge brute peut être excessivement élevée : 72% pour les gros fournisseurs de streaming, 81% pour les ténors du direct download, 98% pour les grands du référencement.

Ce qui permet à l’étude de conclure « Au final, le marché total de la consommation de services et sites de contenus en streaming et téléchargement direct (hors P2P), dans le périmètre de l’étude, sur un an glissant de contenus vidéos et musiques est donc de l’ordre de 51 à 72,5 millions EUR en France ». Rappelons une fois de plus l’absence de base métrique sérieuse qui permettrait d’obtenir une estimation plus précise. En toute logique, le chapitre suivant, intitulé« Comparaison avec les marchés licites correspondants ». Après quelques explications liminaires, l’étude situe aux environs de 177M€ le marché pour la vidéo et la musique, dont 109 M€ pour la musique et par conséquent 68M€ pour la vidéo. Le « marché » du streaming et du download friserait donc le tiers du marché légal en chiffre, et, limité au seul secteur de la vidéo, serait même son équivalent. Ce qui minimise donc l’importance de ce marché « illégal » si l’on considère la quasi absence d’offre légale, réaliste, et abordable en France. Constater que le piratage est proche du tiers d’un non-marché totalement anémique fait espérer qu’effectivement le secteur des contenus de divertissement en ligne a de beaux jours devant lui… à condition que tout soit fait pour qu’il se développe. Avec un tant soit peu d’efforts (un abaissement des tarifs), le marché « légal » pourrait bien écraser d’un revers de manche les profiteurs de l’offre illégale. Après tout, il ne s’agit pas d’œuvres artistiques, seulement de contenu de divertissement à très faible durée de vie… de la musique et de la vidéo « kleenex » explique l’étude en ses premiers chapitres. Et lorsque l’on maîtrise la source même de ce genre de production industrielle, il n’est pas très difficile d’en maîtriser également la diffusion.

S’en suit une analyse des conséquences de la fermeture Megaupload. Indiscutablement, ce coup d’arrêt porté par le FBI, ainsi que les promesses de poursuites visant d’autres prestataires a fortement diminué le volume des téléchargements. La chose est habituelle. Après tout, il a bien fallu plus de 6 mois pour que les réseaux mafieux du RBN se restructurent autour de serveurs plus atomisés, moins visibles…. Et que dire des prétendues victoires de l’Hadopi dans sa bataille contre le P2P et qui se sont soldées précisément par une montée en puissance des sites de streaming et de Direct Download. Aucune raison que cette règle du « repli vers une autre solution technique précédée d’une période de stagnation » ne s’applique pas au marché pourtant moins noir de la consommation compulsive de séries B. Le rapport de l’Idate porte sur ce point un regard objectif et s’attend à ce que s’opère une « réorganisation plutôt qu’une régression » du trafic. Bataille vaine et sans fin de l’avis même de l’observateur mandaté.

Imaginons un instant que la Rue du Texel parvienne, par un coup de baguette techno-magique, à supprimer la totalité du trafic streaming et téléchargement illégal (hypothèse totalement irréaliste et fantaisiste, car seuls les prestataires d’offres de services Français peuvent avoir ce pouvoir en développant un catalogue intéressant). Imaginons donc que pour une fois dans l’histoire de la diffusion de contenu, l’école répressive aveugle ne visant que les consommateurs porte ses fruits. Il se produirait alors quelque chose de bien plus intéressant : le développement d’une multitude de services VPN aux adresses difficiles à repérer (fast flux ou assimilés, faisons confiance à leurs administrateurs pour trouver), services qui permettront aux clients Européens de pouvoir bénéficier des offres légales d’Outre Atlantique ou d’Asie, aux abonnements d’ores et déjà moins coûteux que tout ce qui existe actuellement en Europe. Exit l’exception « culturelle » nationale. S’ensuivrait alors une chasse aux services VPN. Une fois de plus une tentative de réponse technique à un problème politique et commercial, mais qui reposerait cette fois très clairement sur une segmentation géographique des marchés imposés par les sociétés de production (les fameuses « zones » qui entravent déjà la commercialisation des DVD-Rom). Cette nouvelle lutte pour préserver le pré-carré des Majors permettrait à l’Idate et à l’Hadopi de publier un nouveau rapport de 136 pages prouvant que les VPN sont bien morts… et ainsi de suite. Comme il existe 1024 protocoles Serveur référencés utilisant des ports « qualifiés et bien connus », cette guéguerre de la chasse à l’encapsulation risque de durer encore quelques siècles, justifiant au passage le flicage et le contrôle de la quasi-totalité des outils qui font la puissance d’Internet.

Lorsque le matin même de l’arrestation de Mohammed Merah, le Chef de l’Etat émettait l’idée d’une loi visant à condamner la consultation de sites « terroristes », il s’agissait un peu plus qu’une idée. En fait, un tel projet était semble-t-il depuis belle lurette dans les cartons du Ministère de l’Intérieur, n’attendant que le déclenchement d’un fait-divers assez traumatisant pour que puisse passer un texte qui aurait été jugé liberticide en temps normal.

Certes, précise le texte du projet, les « professionnels » (universitaires, journalistes et personnes ayant pour rôle d’informer le public seront à l’abri de telles poursuites). Un peu comme dans le cas de la détention d’outils de hacking : le statut de professionnel est prévu par la loi, en termes assez flous d’ailleurs. Pour les autres, vae victis. La connaissance des idées subversives doit être distillée par le filtre d’une élite ou d’une nomenclature chargée de commenter et de mettre en perspective. Le savoir brut ne peut être librement apprécié par le « peuple ». Un texte relativement incompréhensible puisque qu’il pénalise quelque chose qui était déjà interdit : l’apologie du crime, l’incitation à la haine raciale, deux grands tabous du droit de la presse.
A ceci viennent s’ajouter quelques autres pudeurs qui ont toujours marqué Internet depuis ses débuts : pédophilie, propos révisionnistes, encore des sujets considérés comme hors la loi en Europe mais parfois tolérés dans d’autres contrées du monde. Des interdits clairs, mais dont le législateur connaît bien les limites puisque le véritable responsable (le propagateur de propos condamnés par la loi) se trouve généralement protégé de tout risque de poursuite en expatriant ses serveurs dans des pays étrangers. Comme ces sources bénéficient donc d’une immunité de fait, il est plus simple d’ignorer la racine du mal et de viser le destinataire/consommateur, autrement dit l’internaute lui-même. C’est sur cette même logique qu’a été conçue l’Hadopi.

Mais à quoi, à qui peut servir un nouveau projet de loi qui fait «double usage » avec une série de textes préexistants et qui ne sert pas à tenter de limiter la prolifération de sites au contenu discutable ? Sans être spécialiste des choses techniques, l’on peut aisément imaginer que ce projet de loi fait entrer par la grande porte le principe de « deep packet inspection » visant l’ensemble du trafic Internet Français sans le moindre discernement ni la moindre nécessité de contrôle d’un juge. Il faudra donner à la police les moyens de combattre le fléau des intégrismes de toute nature, des pensées les plus condamnables, des terreaux du terrorisme sous tous ses aspects. De cette manière, les outils « sales » que l’on réservait aux actions d’exception dans le cadre de services « spéciaux » (entendons par là les services de renseignement, les forces armées) vont pouvoir être banalisés et utilisés par les services régaliens civils chargés de la sécurité intérieure, autrement dit la police. Avec les descendants d’Amesys*, pas d’amnésie, pas d’amnistie. Eux aussi sont légions, ils n’oublient pas, ils ne pardonnent pas.

Pouvoir penser, lire, débattre, même d’idées qui vont à l’encontre de notre idéal démocratique est le fondement même d’une démocratie laïque. C’est le fameux « Je combattrai toujours vos idées, Monsieur ; mais je me ferais tuer pour que vous ayez le droit de les exprimer » que l’on attribue à Voltaire, pourtant heureux bénéficiaire du « trafic de bois d’ébène » et défenseur acharné du bigotisme horloger et de l’intégrisme déiste. Gardons-nous également de construire une mécanique mortifère à grand renfort de lois qui justifient à leur tour l’usage d’outils inquisiteurs. Pour certains d’entre nous, nos parents, nos grands-parents ont eux aussi été des terroristes, dont la tête a été mise à prix, tête qu’ils ont pu parfois sauver grâce à la fabrication de faux papiers (chose difficile de nos jours), grâce à l’usage de moyens de transmission furtifs et chiffrés (chose difficile de nos jours), grâce à l’externalisation de leurs « serveurs d’idées » en Angleterre notamment (chose illégale de nos jours) malgré une surveillance quotidienne et un climat de suspicion instauré par l’envahisseur (chose quotidienne de nos jours). Grâce également à la sagesse de certains qui ont su à temps saboter l’équivalent des outils de « deep packet inspection » de l’époque pour que l’adversaire ne puisse pas en bénéficier**. Les lois d’aujourd’hui peuvent se transformer en baillons demain.

*Ndlr Note de la rédaction : rappelons qu’Amesys est une entreprise française dont l’un des départements, spécialisé dans la fabrication et l’installation de systèmes de cyber-surveillance, a signé divers contrats avec des pays d’Afrique du Nord, et notamment en Lybie. L’usage de ces outils contre la population civile a été maintes fois prouvé, notamment par nos confrères Jean Marc Manach (Owni), Antoine Champagne et Olivier Laurelli (reflets.info),

**Ndlrb Note de la rédaction bis : ce fut notamment le cas des radiogoniomètres instantanés qui furent démontés ou détruits au début de l’occupation pour ne pas tomber entre les mains de l’Abwehr. Il faudra au moins 4 ans aux équipes de Siemens pour concevoir des systèmes équivalents.

Lorsque la marine US ou le Department for Homeland Security investissent dans les Xbox et autres consoles, ce n’est pas pour soulager leurs fonctionnaires d’un excès de stress… mais pour hacker le petit « chez soi » de tous les accros de Halo2, Splinter Cell et drogués de Call of Duty. L’article de Lisa Vaas sur le blog de Sophos explique que les autorités Etats-Uniennes s’offrent les services de sociétés spécialisées dans l’intrusion des systèmes informatiques en leur demandant de leur ouvrir l’accès aux contenus des millions de consoles en service. Que les valeureux combattants de la Rue du Texel se rassurent, ces piratages ne sont pas destinés à nuire aux maigres revenus du MPAA et autres gagne-misère de l’industrie du divertissement, ni à espionner les paisibles foyers nord-américains possédant ados, consoles et extensions vidéo révélatrices (Kinex par exemple). Il s’agit en fait de pourfendre les criminels qui utilisent ces réseaux protégés (au contenu souvent chiffré) qui pourraient servir à camoufler leurs communications jihadesques et terroristes, voir à épingler au passage quelques cyberpédophiles sévissant sur les Xbox Network et autres services Sony Entertainment (lorsque ceux-ci ne sont ni hackés par les Anonymous, ni interrompus pour raison de maintenance).

Mais comme le cyberpédophile et le terroriste mahométan ne sauraient justifier une telle inquisition espagnole au sein des foyers américains (ainsi l’exige le US Privacy Act) le principal sous-traitant-es-piratage-de-console est obligé de se rabattre sur les modèles exportés et utilisés au-delà des frontières du nouveau monde. Logique. Les cyberpédophiles et les intégristes du pays de Mahom agissent et vivent nécessairement en dehors du Royaume de la Liberté et des Droits Constitutionnels.

Si donc d’aventure nos chers ados s’aperçoivent que le Boss du quatrième niveau est particulièrement difficile à abattre, que l’énigme du quatrième tableau leur demande le numéro de carte de crédit de papa-maman ou que le code d’accès à l’ordinateur Covenant correspond aux crédences du compte de messagerie familiale, qu’ils ne s’en émeuvent point : ce ne sont que les avatars de paisibles barbouzes travaillant officiellement et légalement pour le compte d’une agence à trois lettres, veillant au salut de l’Empire de l’Ouest et effectuant en nos contrées des cyberpatrouilles tout comme les légions, cohortes et manipules de César patrouillaient en leurs temps tout autour de la Mare Nostrum. Le monde Internet est une immense Gameboy dont les joysticks sont situés quelque part entre Langley, Washington et Fort Meade.