novembre 17th, 2015

La série d’attentats du 13 novembre continue de provoquer des glissements sémantiques dans la presse technique d’Outre Atlantique. Le New York Times publie un très long article, aussi documenté que précis, sur l’enchaînement des actes terroristes et glisse, au détour d’un chapitre, un très prudent « European officials said they believed the Paris attackers had used some kind of encrypted communication, but offered no evidence » (quelques personnalités Européennes déclarent qu’elles pensent plausible l’usage par les attaquants de certains moyens de communication chiffrés ».

Ars Technica, se basant sur l’article du NYT, titre alors « ISIS encrypted communications with Paris attackers, French officials say » (Daech chiffrait ses communications avec les attaquants, déclarent les représentants du gouvernement Français). De l’hypothèse (probable), on passe à l’affirmation péremptoire. Cela rappelle les suspicions d’usage de la stéganographie par Al Quaida lors de la préparation de l’attentat du 11 septembre 2001. Usage qui n’a jamais été prouvé dans le cadre de cet évènement précis, contrairement à la technique des « boîtes mortes » sur Internet qui a effectivement beaucoup servi. Ce qui n’a pas pour autant rendu hors la loi le business des messageries Cloud. La sécurité d’Etat pourrait s’arrêter là où le business est fructueux ?

Le NYT encore, témoigne de la pugnacité de Tom Brennan, Directeur de la CIA qui, depuis des années, régulièrement, agite le chiffrement des échanges sur Internet comme un épouvantail, et explique que c’est là un moyen largement utilisé par les terroristes. Le fond de commerce de Brennan (la peur, l’incertitude, le doute, la stigmatisation et surtout l’inlassable répétition) commence à faire écho auprès de plus en plus de Sénateurs US, sans toujours la moindre preuve venant confirmer cette possibilité. Que la Maison Blanche valide ces théories, et l’Europe pourrait bien, par mimétisme, profiter de cette attitude pour justifier la résurrection de vieilles idées sécuritaires telles que les tiers de confiance et les clefs de séquestre.

Et ce, malgré un troisième article du NYT qui martèle à nouveau « les personnes autorisées tant Américaines que Françaises déclarent qu’il n’existe encore aucune preuve venant étayer la thèse que les terroristes du vendredi 13 novembre ont utilisé des technologies de chiffrement nouvelles et difficiles à casser ». Ce qui n’empêche pas Brennan et autres politiques d’expliquer, chiffres à l’appui, que depuis les révélations Snowden et la psychose des écoutes NSA, le nombre de personnes utilisant des outils de chiffrement, des réseaux chiffrés (Tor étant le premier visé) ou des systèmes sécurisés tels que Tails (https://tails.boum.org/) a plus que doublé, voir triplé en l’espace de deux ans. Mais, aurait ajouté Pierre Dac, il s’agit d’une frange d’utilisateurs « partis de rien pour arriver à pas grand-chose ». Les afficionados de Tails se comptent en dizaines de milliers, pas en milliards d’internautes. Idem pour les adorateurs du culte de Tor l’Oignon Sacré. Et l’installation de GPG relève, proportionnellement au nombre réel d’abonnés au Net, de l’usage anecdotique. D’ailleurs, l’emploi que Daech fait de ces techniques est lui-même assez limité, puisqu’un premier site d’information djihadiste vient à peine d’apparaître sur le Darknet, faisant la promotion au passage d’un outil d’échange chiffré assez simplifié. Cette naissance a été signalée sur Krypt3ia et CSO Online.

Quelques journalistes parviennent pourtant, dans ce climat anxiogène, à résister. Glenn Greenwald, de The Intercept, titre« Exploiter les émotions soulevées après les attentats de Paris pour condamner Snowden détourne l’attention qui devrait se focaliser sur les coupables effectifs, à savoir le bras armé de Daech ». Greenwald laisse clairement entendre que les attentats sont considérés par les faucons Républicains non pas comme un évènement grave dont il faut rapidement tenter de combattre les causes, mais comme un prétexte arrivant à point nommé pour justifier des visées politiques. Et Greenwald de s’indigner de l’attitude de ces « journalists mindlessly and uncritically repeat whatever U.S. officials whisper in their ear about what happened ». Car les récents attentats sont aussi l’occasion de faire jouer les techniques d’influence et d’orientation de certains médias, notamment ceux en quête de sensationnel.

Instrumentalisation encore, mais du côté de la Grande Bretagne cette fois, puisque le Premier Ministre David Cameron fait son possible pour accélérer la procédure d’adoption d’une proposition de loi baptisée « Investigatory Powers Bill » rapporte The Stack. Au fil de ce texte, l’obligation de rétention des données par les FAI sur une durée d’un an, et la mise hors la loi de tout système de chiffrement « zero knowledge ».

L’usage du Chiffre est-il la conséquence des alertes lancées par Edward Snowden ? Si la réponse est « oui », il faut également mettre au ban de la société tous les personnages qui ont eu recours à ce genre de technique dans le cadre de correspondances clandestines. Ce qui risque de compromettre la réputation de Jules César, Marie Stuart ou Edgar Poe.

Les amateurs de mantras hypnotiques apprécieront cette nouvelle dévoilée par Softpedia, et narrant la déconvenue des forces de police US (dont certaines unités du Swat, les forces d’intervention de la police des Etats Unis) lorsque ceux-ci ont appris que leur caméras portatives étaient, en partie, infectées par le virus-ver Conficker. Ce vieux briscard de l’infection semble s’être glissé dans les « master » de l’entreprise Martel, fabricant d’équipements électroniques tactiques. Le raccordement de la caméra à un ordinateur mal protégé provoque alors quelques surprises sur l’ensemble du réseau.

Un tout autre exemple de vulnérabilité épique est donnée par Brian Krebs, lequel revient sur une série de vulnérabilités très connues qui ont affecté les routeurs WiFi de la société Ubiquity, provoquant la bagatelle de plus d’un demi-million de trous de sécurité dans le monde. Généralement, les trous de sécurité les plus médiatisés affectent la partie WiFi du routeur. Laquelle n’est exploitable que dans le cadre très restreint d’une attaque ciblée, puisqu’il faut que l’adversaire se trouve à portée dudit routeur. Dans le cas du défaut Ubiquity, le problème était un peu plus délicat, puisqu’il concernait une configuration par défaut d’une console d’administration distante. Un « open bar » de 600 000 points d’accès réseau.

Fuites d’informations, volontaires cette fois, chez Vizio, un fabricant de téléviseurs « intelligents ». Si intelligents, nous raconte Ars Technica, qu’il flique les habitudes de ses usagers dans le but d’en fournir des statistiques et analyses à des entreprises tierces (la chose est spécifiée dans le contrat d’utilisation de l’appareil). Informations intrusives qui, précise l’article, s’étend à d’autres appareils reliés au système vidéo (tablette, téléphone etc.). Cet ensemble de« non-personal identifiable information (that) may be shared with select partners » inquiète d’autant plus que cette prétendue anonymisation des données est un leurre. Une fois le numéro IP extrait, donc indirectement la région dans laquelle vit le client ainsi surveillé, il est excessivement simple d’y accoler une identité. D’ailleurs, et bien que nos confrères de Ars Technica ne le mentionnent pas dans leur article, la collecte des données d’usage collectées par les téléviseurs Vizio a fait l’objet d’un travail de reverse par le laboratoire d’Avast. Le système est aussi vulnérable qu’indiscret.

Il y a presque deux ans jour pour jour, le fabricant LG s’était fait épingler pour des raisons similaires. Encore n’était-il pas encore question d’un réseau de flicage s’étendant à tout un petit monde d’objets interconnectés.

Achevons le survol de cette bérézina de l’IoT avec une récente étude de Techscience portant sur 110 « apps » Android et iOS, l’archétype même de l’exploitation professionnelle des objets de l’Internet.

– 73% des appliquettes Android partagent des données personnelles, 47% des Apps iOS fournissent à des tierces parties les coordonnées géographiques des usagers

– 93% des applications Android se connectent à safemovedm.com, dont l’usage, assez mal connu, semble lié à un processus en tâche de fond

Le reste de l’étude, qui s’étale sur plus d’une dizaine de pages et autant de graphiques et tableaux précis, ne plaide pas franchement en faveur de l’usage des smartphones et de l’Internet des Objets dans son état actuel.
En France, le CNRFID, Conseil National visant au développement des cartes RFID, souhaite étendre très activement sa sphère d’influence pour y intégrer l’Internet des Objets. Mais attention, il n’est pas temps de parler de « sécurité de l’IoT »… « Les acteurs feront eux-mêmes des efforts et renforceront leurs produits avec le temps et l’évolution des techniques » expliquait en substance le Président de l’organisation à l’occasion du dernier congrès RFID. Spécialistes de la sécurité des NTIC à vos Outils, il risque d’avoir une recrudescence de boulot par les temps qui viennent … Pour l’heure, l’Internet des objets est sur… sans accent circonflexe.

S’il est tout à fait humain, de réagir avec violence à la suite des évènements abominables du 13 novembre dernier, il est cependant du devoir des médias et des institutions garantes de la sécurité de la Nation d’éviter de rechercher, à chaud, des boucs émissaires. De nombreux quotidiens, dont 20 Minutes mais c’est loin d’être le seul, se sont inquiété des capacités de communications chiffrées (et non cryptées …) des consoles de jeu, lesquelles « auraient pu être utilisées par les terroristes durant la phase de préparation des attentats ». Des réseaux qui, insiste d’ailleurs le Ministre de l’Intérieur Belge (point de départ de cette polémique), seraient très compliqués à surveiller. Du coup, certaines presses passent du conditionnel à l’affirmatif, brandissent le spectre de ce « darknet » que sont les outils de chat des Xbox et Playstation, Whatsapp, Skype, et toutes les messageries instantanées de la création, associées éventuellement à certains réseaux sociaux.

Tentative de récupération ou pas, ce genre d’assertions mènent tout de même tout droit à l’apparition de nouveaux moyens de contrôle sur les outils de communication. Rappelons que les multiples lois existantes visant à la libéralisation des écoutes téléphoniques et surveillances du réseau Internet, la course aux infrastructures de surveillance vidéo ne sont pas parvenues à endiguer l’horreur. Une preuve de plus de leur inefficacité, pourtant prévisible … La surveillance des NTIC ne peut en aucun cas remplacer le travail de renseignement sur le terrain.

D’ailleurs, cette sur-réaction n’est-elle précisément pas ce que souhaitent les mouvements djihadistes ? Ceux-là même qui parviennent à pousser leur propre adversaire à surveiller ses propres citoyens, à transformer la société qu’ils combattent en une forme de « soft dictature » plus conforme à leur vision du monde, à contraindre ses dirigeants à revendiquer le droit de « mener un combat impitoyable », c’est-à-dire littéralement « sans la moindre pitié ». Ne se rapproche-t-on pas ici de l’état d’esprit inhumain dont font preuve les terroristes ? Faire « la guerre à la terreur », outre le fait qu’on ne peut pas combattre une idée avec des armes, ce genre de réactions a déjà mené à d’autres guerres sur site. Guerres que l’on pourrait qualifier de perdues puisqu’ayant donné naissance à l’Etat Islamique au bout du compte. Ne serait-il pas temps d’apprendre les leçons de ces échecs et de réfléchir « à froid » à la riposte ?

C’est le business florissant des données de géopositionnement vendues sous l’appellation « Telco Data as a service » (TDaaS). Un marché qui flirte avec les 24 milliards de dollars cette année et devrait dépasser 79 milliards de dollars en 2020, estime une étude du groupe 421 rapportée par cet article de Ad Age. De telles données sont commercialisées par des détaillants spécialistes, tel que SAP, qui revend cette « surveillance permanente as a service » sous le nom très discret de « Consumer Insights 365 ». « Grâce à notre service, explique en substance la brochure du service, vous savez exactement à quelle heure arrive votre client, combien de temps il demeure sur place… » et surtout « combien de fois il revient sur les lieux » : c’est là plus que de la simple analyse statistique de fréquentation, cela relèverait presque du marquage individuel. Des indiscrétions pourtant garanties « anonymes ». Mais plus personne n’est vraiment dupe quant au véritable anonymat dès lors que les données de ces TDaaS passent au crible de n’importe quel logiciel d’analyse « big data ». Avec de tels procédés, bien sûr, personne ne connaît le patronyme d’une personne ainsi surveillée, mais son lieu d’habitation et de travail, ses horaires de déplacement, ses résidences de vacances, ses trajets, ses habitudes de consommation font l’objet d’une constante consignation.

Cette crainte, (cette certitude affirment certains) est telle en Europe que SAP propose essentiellement ses services aux USA et en Asie, mais ne peut assurer le même niveau de précision au sein de la C.E. car il y est impossible « d’obtenir de la part des Telco des données intégrant ce niveau d’indiscrétion ».

Il serait injuste de transformer SAP en bouc émissaire. Le business du flicage marketing bat son plein et attire d’autres grands noms, tels qu’IBM, HP, AirSage, et des opérateurs réputés comme Verizon, Sprint, Telefonica, AT&T… Cette mode, ajoute l’article de Ad Age, explique également la frénésie de fusions-acquisitions autour des spécialistes de ces grandes braderies de l’identité et des déplacements. Ainsi l’absorption par Verizon d’Aol et du géant de la publicité sur réseaux mobiles Millenial Media.