novembre, 2008

Verba volent, scriba manent ? Certainement plus ! s´exclame Bruce Schneier dans la reprise d´un de ses épitres initialement écrit pour le Wall Street Journal. Ce billet, intitulé « Le futur des conversations éphémères », peut être résumé ainsi : « No Future pour les conversations éphémères ». Car les babillages futiles de notre époque moderne sont -ou peuvent être- gravés à tout instant dans l´airain des disques durs d´un quelconque fournisseur de services. Des balbutiements SMSisés de nos ados via Messenger ou autre messagerie instantanée, en passant par nos conversations téléphoniques VoIPisées, les fichiers transmis « pour information », les Twitters, les Facebook/LinkedIn, les blogs… tout ce que fait l´homme moderne peut être tracé, stocké, puis ressorti un jour à un moment peu opportun. Même les « verba » manent désormais.

Mais le Blackberry d´Obama, dans tout çà ? C´est précisément ce qu´explique le New York Times : Ce que pouvait se permettre le sénateur, grand utilisateur d´emails sur terminal mobile, n´est plus permis au Président. Il sera interdit de Blackberry, y compris dans le cadre de ses communications privées. Car en utilisant des moyens de communication contemporains qui échappent aux archives institutionnelles, c´est tout un pan de la mémoire du pays qui s´efface. Pour la durée d´un mandat, le moindre SMS familial, à l´instar des écrits relevant de l´exercice du pouvoir, transitera par des outils maîtrisés par les services de sécurité de la Maison Blanche, avec leur cortège de chiffrement, de camouflage des sources et des origines et d´enregistrement minutieux de leur contenu. Le moindre geste d´un homme d´Etat appartient à l´histoire, et ce n´est pas à un simple fournisseur de téléphones ou à un vague secrétaire d´Etat de déterminer ce qui, ou non, sera intéressant pour un historien dans un avenir lointain. Seuls les dictateurs et monarques absolus ont parfois tenté de réécrire leur histoire, en censurant tantôt une opposition politique, tantôt un autre aspect peu glorieux de leur règne. Mais il faut bien admettre que, depuis 5 ou 6 siècles, il se trouve toujours un Philippe de Commynes, un Machiavel ou un Saint Simon pour rapporter les faits, banals ou glorieux, des grands de ce monde.

Elle est d´ailleurs paradoxale, cette notion de « chose publique », de « Res publica » au sens premier du terme. Durant un mandat tout entier, les moindres paroles, gestes, écrits d´une personne appartiennent à la postérité et à la contemplation de tous. Mais une contemplation qui est elle-même soumise à une période conservatoire plus ou moins longue, protégée par le Secret d´Etat. Avant, tout accès à ces données relève de la « tentative d´intelligence et atteinte à la sûreté de l´Etat »… à quelques jours près, un employé de Verizon en aurait fait la dure expérience, pour s´être intéressé d´un peu trop près au détail des communications passées par le candidat à la Présidence. Subtiliser le carnet d´adresses de Paris Hilton, c´est œuvre de paparazzi. Examiner la « fadet » (facture détaillée) du premier homme des Etats-Unis, c´est de l´espionnage.

Pourtant, l´article de Schneier insiste sur ce point, notre monde moderne n´est qu´une succession de traces numériques. Le Web, consulté ou écrit, est devenu une forme quasi innée de communication, pratiquement aussi naturelle que la parole. Il est totalement impensable, à moins de vouloir passer pour un tyran inique ou un parent rétrograde, d´interdire la messagerie instantanée ou le blog à un adolescent. Il n´est plus concevable, pour 80 % de la population, d´affirmer quelque chose sans en avoir vérifié ou puisé l´origine dans les entrailles d´un Google ou d´un Wikipedia. Il n´est plus envisageable même, dans le cadre du travail, de ne pas contrôler si telle ou telle bibliothèque n´a pas déjà été développée, si tel ou tel outil ne serait pas déjà disponible sur un Sourceforge ou une ressource de freewares. A terme, il sera très probablement nécessaire que le droit et l´esprit des lois s´adapte à cette nouvelle situation. Non seulement parce qu´il est de moins en moins naturel de considérer que l´usage d´Internet à des fins « privées » relève de l´abus de bien social -on n´interdit plus de parler sur le lieu de travail depuis le gouvernement Thiers, demain, on ne devrait plus interdire cette autre forme d´expression quasi naturelle qu´est le « en ligne ». Ensuite, parce qu´il faudra bien unifier un jour ce qu´il est « possible » de faire et ce qui relève de l´abus, sans que cela soit le fruit d´un capharnaüm « d´avenants au contrat de travail » ou de constats « d´actes non nécessaires à l´exercice d´une fonction ». Il y a, en ces périodes de récession économique, bien des abus qui servent de prétextes pratiques pour éviter à certains patrons -une minorité espérons-le- les charges financières d´un « plan social ». Enfin, parce qu´il sera également nécessaire de définir des limites juridiques de ce qu´il est possible d´exhumer et de faire ressortir sur la place publique. Il est de plus en plus fréquent de voir utilisé par les parties adverses, dans des procès d´Outre-Atlantique, un vieux « mémo confidentiel » ou un ancien échange d´email privé, souvent utilisé hors contexte.

Un spammeur Canadien, nous apprend une dépêche de l’Associated Press, se serait fait condamner à une amende de près de 900 millions de dollars pour avoir pollué la messagerie des usagers du réseau social Facebook. Il s’agit là d’une très grosse conséquence pour un tout petit spam (4 millions d’emails non sollicités, une paille comparée à certains polluposteurs d’Europe de l’Est).

Et la dépêche de conclure qu’il y avait peu de chances que Facebook parvienne un jour à récupérer ledit pactole, qui équivaut à peu près à 30 fois son « net » annuel. Probablement aussi peu de chances également que ce même Facebook dédommage ses propres clients pour la nuisance provoquée directement par l’usage de son propre service. Et encore moins pour que cette histoire, contrairement à ce que prétendent certains experts, puisse avoir la moindre conséquence ou la moindre exemplarité susceptible d’influencer d’autres spammeurs notoires. La première conséquence d’une somme aussi astronomique ne fera qu’inciter les spécialistes du pourriel à disséminer leurs sources de diffusion et à externaliser leurs activités dans des contrées échappant à tout contrôle juridique.

Les fournisseurs d’accès Australiens sont des victimes incomprises. Poursuivis par les industriels de l’édition phonographique et cinématographique, pour complicité de piratage, ils protestent, nous explique The Australian IT, contre l’iniquité de cette accusation, et refusent énergiquement d’endosser la responsabilité de leurs abonnés. Difficile combat que celui de ces pauvres opérateurs qui, des années durant, ont chanté les mérites des « téléchargements illimités » offerts par l’Internet haut débit. Que ce soit en Australie ou en France d’ailleurs. Cette pratique incitative au piratage (qu’une banque Française persiste à vanter encore sur les écrans de télévision) est pourtant une évolution logique des habitudes sociétales. Face à une marchandisation croissante de ce qui relevait autrefois du domaine artistique, il est devenu de plus en plus difficile de faire admettre à la clientèle que la valeur demandée reflétait la contrepartie qualitative des « produits » proposés. On ne pirate pas Bach ou Mozart (ou alors très faiblement), on ne télécharge ni les concerts Colonne ni l’intégrale de Boby Lapointe. Le public, quoi qu’en disent les marchands de chansonnettes formatées, est tout à fait capable de faire la différence entre quelque chose de faible qualité qui se consomme distraitement et une œuvre qui constituera plus tard les fondement d’un thésaurus culturel familial. Surtout si l’intégrale de Shakira est commercialisée au même prix que celle de Buxtehude. Le problème du piratage pourrait-il alors se résumer à une simple question de tarification justifiée du contenu ?

Poster une sorte de publicité déguisée dans les commentaires du blog F-Secure n’était probablement pas la meilleure des choses à faire. Cette bévue, commise par un auteur d’antivirus de contrebande, a immédiatement attiré l’attention de l’équipe : phrases laudatives, satisfaction quasi-extatique, une telle euphorie ne peut être que suspecte. D’autant plus suspecte que ce programme miracle répond au doux nom de « search and destroy ». Google lui-même ne parvient pas à faire la différence d’avec l’original, celui de Spybot, logiciel gratuit d’une qualité indiscutable et qui se nomme « Search&Destroy ». L’esperluette fait toute la différence. Le programme étant largement répandu en France, une certaine prudence est donc de mise.

« Un de plus »se contente d’écrire l’inventeur du genre, pdp, sur Gnu Citizen. Et c’est l’équipe de Geek Condition qui a été la première à avoir révélé l’affaire, tandis que Read Write Web dressait un rapide historique des failles Gmail conduisant à de telles vulnérabilités. A l’origine de cette découverte, la mésaventure de MakeUseOf.com, dont le nom de domaine a été kidnappé par un black hat. Lequel, en piratant l’accès Gmail de la victime, est tombé sur un courriel de son registrar habituel, courriel contenant les crédences d’accès administratives. Il semble que MakeUseOf soit loin d’être la seule victime de cette méthode.

L’usage d’une messagerie publique à des fins administratives en général et de Gmail en particulier est évidemment déconseillé. A plus forte raison lorsque ce même compte est également déclaré sur un service de paiement en ligne, tel Paypal.

3 ans de probation, 300 heures de travaux d’intérêt général… les patrons de E-Gold ont été relaxés. Cette entreprise est réputée pour sa relative cécité vis à vis des opérations de blanchiment d’argent sale et ayant directement trempé dans des affaires de pédopornographie. L’E-Commerce Journal précise tout de même que le CEO risquait à l’origine 20 ans de privation de liberté et 500 000 dollars d’amende. Il n’aura à s’acquitter que de 200 $ de dommages. L’entreprise elle-même a été taxée de près de 300 000 $, alors qu’elle risquait une imposition de 3,7 millions de dollars qui, de toute manière, n’étaient pas dans les caisses.

Cette clémence aurait été le résultat d’une « collaboration volontaire des dirigeants d’E-Gold avec les autorités » luttant contre les activités de certains de leurs clients. Ces organismes de payement transfrontière sont, encore et toujours, des vecteurs de trafic très efficaces sur les marchés des ventes d’identités. C’est également un système facilitant l’anonymisation des usagers. On comprend donc assez mal la clémence extrême des tribunaux américains.

En doublage français dans le texte : Mikko Hyppönen, patron des laboratoires F-Secure, avait, il y a quelques jours, diffusé sur YouTube une courte séquence vidéo brossant les grandes lignes de l’évolution des malwares. Botnets, réseaux de blanchiment d’argent sale, extensions mafieuses et évolutions techniques, tout y est clairement expliqué, de manière synthétique et simple. Le succès rencontré auprès des différents spectateurs a incité l’éditeur à en produire des versions localisées … dont une notamment en Français.

Les spécialistes regretteront que ne soient pas abordés les aspects infrastructurels des grandes places de marché du malware, ou la complexité croissante des outils d’attaque, leurs coûts, leur R.O.I., leurs modèles financiers… ce sera peut-être l’occasion pour Hyppönen de revenir sur les écrans.

Le Cert US émet un bulletin rappelant que l’usage des clefs USB pouvait constituer une menace sérieuse capable de véhiculer des virus et chevaux de Troie. Cette même semaine, une consigne interne du Département de la Défense américaine (DoD) interdisait formellement, mais de façon temporaire, l’emploi et l’échange de clefs USB, de CD-Rom enregistrables et autres disques durs amovibles, le temps de désinfecter son propre réseau d’un ver Agent.bztplutôt tenace. Deux faits qui, sur certaines listes de diffusion, sont immédiatement rapprochés et servent de prétexte à condamner l’usage de ces navettes numériques dans le cadre du travail. Il est souvent plus pratique, chez les administrateurs peu talentueux, de frapper d’un Oukase ce que l’on ne sait maîtriser. Un peu comme si, dans les années 80, l’on ait décidé de bannir l’usage des disquettes, en vertu du fait que les principaux virus connus se propageaient par le truchement des « boot sector » floppy. Las, la sécurité par l’obscurantisme n’a jamais, pour première conséquence, que d’aider précisément les auteurs des malwares. Car, en l’absence d’information ou en présence d’une mesure que l’on fait croire « radicale », l’on endort les usagers, les conforte dans un sentiment de fausse sécurité qui sera propice à une attaque exploitant un tout autre chemin. Le résultat est alors, une fois de plus, bien pire que le remède.

_T-Systems_network_assignments,_13_Nov_2008) (BND), les services secrets Fédéraux Allemands. L’analyse du document, dont l’authenticité de la provenance a été garantie par une bourde des avocats de T-Systems, laisserait entendre notamment que le Goethe Institute servirait de couverture aux antennes du BND à l’étranger. Le mémo rédigé par l’équipe de WikiLeak s’achève même avec des accents fleurant bon les parfums de Mata Hari et le charme des romans de Ian Flemming.

Ecoutera, écoutera pas ? Passée l’euphorie des élections, les journalistes américains attendent les réformes promises par Barack Obama et son équipe. Et, parmi les changements les plus attendus, une abrogation des dispositions « extraordinaires » ayant permis à la Présidence Bush de mettre sur écoute téléphonique, et sans le moindre avis d’un juge, toute personne résidant sur le sol américain. Une disposition qui, sous prétexte de menace terroriste, a été étendue de manière considérable au fil du temps, englobant même l’intégralité des transmissions téléphoniques ou emails transitant sur le territoire US. En toute logique, et conformément à la mouvance démocrate, ouvertement opposé à ce droit régalien, le nouveau Président des Etats-Unis devrait renvoyer ces habitudes quasi-dictatoriales dans les oubliettes de l’histoire.

Or, rien n’est moins sûr. Dans les colonnes de l’International Herald Tribune du 18 novembre – article repris par Military.com -, James Risent et Eric Lichtblau s’interrogent. Et de rappeler notamment que, au moment où le gouvernement Bush a fait passer devant le Sénat ces lois d’exception, le ci-devant Sénateur Obama a approuvé de son vote. Vote d’autant plus compromettant qu’il ne faisait qu’entériner une activité de la NSA conduite dans le plus grand secret durant plus de 4 ans, à l’insu même des instances judiciaires et politiques. Or, sous-entendent les deux journalistes du Herald, il existe une certaine différence entre décider de la mise en place de mesures d’exception et un vote de « couverture » destiné à protéger les dérives anticonstitutionnelles d’une agence Fédérale qui n’a jamais été véritablement contrôlée par la Présidence.

Deux attitudes s’opposent. D’un côté, la « ligne politique », qui part du principe qu’Obama tentera de se démarquer fermement de la ligne de conduite de Dick Cheney, partisan acharné d’un pouvoir présidentiel absolu. De l’autre, la « ligne pratique », qui reconnaît bien volontiers que le cadeau d’un tel droit régalien peut s’avérer utile. Utile notamment pour justifier l’arrestation d’organisations musulmanes ou de représentants musulmans à la lumière de certaines de ces écoutes sans avoir à en justifier la légalité. Ecoutes que les accusés contestent, sous prétexte que ce ne sont que des preuves partielles coupées de tout contexte, et dont la solidité s’évaporerait à l’écoute de l’intégralité des enregistrements effectués. Enregistrements que le précédent gouvernement refusait de communiquer sous prétexte de Secret d’Etat.

Ces embrouillaminis juridico-politique montrent à quel point les risques d’écoutes arbitraires sont loin d’être éliminés de l’autre côté de l’atlantique. Et ce n’est pas là la seule atteinte à la préservation tant de la vie privée que des secrets professionnels. La perquisition des unités de stockage aux frontières US, le filtrage systématique des données IP sont, également, encore en vigueur. Autant de points sur lesquels il n’est pas certain que la « vague libérale » et la nouvelle équipe en place aient l’intention d’effacer à tout prix. Autant de points qui doivent inciter à une certaine prudence les ressortissants européens devant soit communiquer, soit se déplacer en Amérique du Nord.