février 18th, 2016

«Surveiller Internet, tout Internet » le but du CGHQ, nid d’espions Britannique selon Cory Doctorow, qui à l’aide d’une nouvelle fournée de documents Snowden, énumère l’arsenal numérique des barbouzes d’Outre-Manche.

« l’Internet des Objets sera utilisé par les services de renseignement pour espionner, recruter et pirater ». Cette petite phrase Orwellienne est signée James Clapper, le Directeur National chargé des renseignements des Etats-Unis. Et c’est Hot for Security qui l’a dénichée

Drame de la vie numérique : le compte Twitter de l’ex Beatles Ringo Starr a été piraté par un hacker surnommé « af », nous apprennent nos confrères de Daily dot.

Prenez quelques centaines d’outils d’espionnage technologique sauce Snowden employés sur cinq ou six milliers de cas d’espèce. Ajouter un peu de concurrence sauvage et une bonne main d’analyse des métadonnées mûries sous le soleil des Gafa. Mélangez énergiquement avec une dénonciation des accords unilatéraux du Safe Harbor par la Cour de Justice Européenne. Epicez avec une dématérialisation des progiciels et une généralisation des messageries Cloud, nappez le tout avec une bonne couche d’OIV et autres acteurs stratégiques qui ont vu s’envoler en fumée tout espoir de « cloud souverain ». Et servez vos données encore chaudes à qui veut se donner la peine d’y goûter.

Voilà très exactement à la fois la clientèle que vise la startup Française Difenso (fondée en juillet de l’an passé), un « Cloud broker » concurrent des CypherCloud ou Adallom. Son DG, Eric Sallou, explique « Mon travail : chiffrer les données depuis le poste de l’usager jusqu’au service Cloud qu’il utilise, rendre opaque tout échange devant transiter sur le réseau public. Mes atouts : être Français, donc échapper aux contraintes juridiques liées à un Patriot Act quelconque, et tout faire pour obtenir une certification Anssi » (ndlr Certification Sécuritaire de Premier Niveau). Et l’on pourrait ajouter « rester abordable ». Les tarifs proposés sont à la portée des PME et professions libérales, aux environs de 5 Euros par poste et par mois pour ce qui concerne les offres Messagerie. La protection des modèles SaaS à la Salesforce reste, quant à elle, établie selon un barème lié au coût de licence utilisateur.

Techniquement parlant, Difenso commercialise un service reposant sur une « appliance », qui intercepte tout trafic destiné à un service en particulier, le chiffre de manière transparente, puis l’expédie à destination. Pour l’heure, le « core system » gère les services Salesforce, Talensoft (service R.H.), les offres Cloud Google (Gmail etc.) et Exchange 365. Exchange seulement ? « Pour l’heure, c’est essentiellement sur cette partie que la demande est la plus forte. Nous commençons à recevoir quelques demandes pour Sharepoint, mais pas encore sur les autres services 365 ».

L’opération inverse est également totalement transparente tant que le destinataire appartient à la même organisation et fait transiter ses échanges via la même passerelle. « Presque » transparente devrait-on écrire. Car s’il n’est pas nécessaire d’invoquer une interface de chiffrement spécifique lors de l’envoi d’un courriel, il faut cependant ajouter un interrupteur pour que la passerelle sache si le courrier sortant est à chiffrer ou non. En général, cet interrupteur est constitué par un groupe de lettres remarquables glissé dans l’intitulé du message. Les services cloud tels que Salesforces et assimilés, quant à eux, sont automatiquement protégés par une session SSL, du navigateur situé sur le poste client jusqu’au service SaaS.

Les contacts de messagerie extérieurs qui ne sont pas client Difenso, quant à eux, doivent faire appel à un service accessible en ligne pour obtenir une clef de déchiffrement. L’opération est gratuite, et devient elle aussi transparente une fois que la personne s’est inscrite sur le portail. « Nous sommes très attachés à cette gratuité d’usage pour les personnes « extérieures », d’autant plus qu’elle est indispensable à certains de nos clients, tels les cabinets d’avocats, qui doivent correspondre en permanence avec des particuliers » insiste Eric Sallou. Apparemment, la chose paraît simple. Il a pourtant fallu adapter les agents « client » à tous les logiciels et services de messagerie les plus courants : imap, smtp, solution dédiées, interface Web ou U.A. spécifique (Outlook et concurrents), en versions poste fixe ou applications mobiles sous Android ou IOS. D’autres développements et services sont en cours, qui suivent l’évolution de l’informatique dans le nuage. Bien sûr, on pense aux services publics de partages de fichiers, à la possibilité de « réponse chiffrée » d’un non-abonné à une entreprise équipée d’une passerelle Difenso, à d’autres outils de communication plus instantanés mais rarement chiffrés.

Toute l’attention de la presse US est retenue par une affaire jugée dans le comté de San Bernardino (Californie). Le juge demande à Apple de fournir à la cour une « mise à jour » du firmware IOS facilitant l’accès aux données d’un terminal modèle 5C.

La demande fait grand bruit car le jugement en question porte sur l’assassinat de 14 personnes par un couple se réclamant combattre sous la bannière de l’Etat Islamique. L’affaire est d’autant plus médiatisée qu’elle est politiquement exploitée par le Gouvernement Obama dans son combat contre la vente libre des armes à feu. Elle pourrait bien servir également dans l’affrontement qui oppose conservateurs d’un côté et défenseurs des libertés individuelles de l’autre.

Nos confrères d’Engadget font discrètement remarquer que la Justice US tente d’exploiter au mieux le pathos qui entoure cette histoire. Plus discrète, effectivement, est une demande d’accès aux données chiffrées d’un autre iPhone par un juge de New York. Là, l’affaire ne concerne qu’un simple trafic de stupéfiants. Exploiter l’émotion pour justifier une systématisation des perquisitions numériques pour des motifs de moins en moins graves, c’est ce que dénoncent les organisations de défense des libertés individuelles. Tim Cook ne s’y est pas trompé et refuse de céder à cette forme de chantage .

Mais le combat est difficile, les affirmations populistes et anxiogènes des faucons conservateurs touchant une large part de l’opinion publique. Situation paradoxale également, car les supporters de ce « droit de perquisition numérique » sont également, pour la plupart, des soutiens indéfectibles de la NRA (National Riffle Association), fer de lance du lobby des armes. La stigmatisation du « coupable numérique » focalise toutes les attentions sur la question du chiffrement exploité par des terroristes, et fait oublier l’origine du problème : dans la plupart des Etats de l’Ouest des USA, il suffit d’un permis de conduire pour acheter une arme automatique.

D’un point de vue purement technique, un billet non signé du blog Errata Sec estime que techniquement, la demande du juge est envisageable, le modèle 5C n’étant pas équipé de la fameuse « secure enclave » (également baptisée « zero knowledge implementation ») qui fait la force du 5S. Et de rappeler les différents mécanismes de protection dont bénéficie le terminal, tel que le nombre limité de tentatives d’entrées de mot de passe ou l’effacement des données en cas d’échecs successifs.

Ni David Maynor, ni Robert Graham n’ont le moindre penchant pour les thèses Républicaines. Pourtant, leurs avis sur la question ne laissent planer aucun doute : toucher à la sécurité des terminaux et contraindre Apple à collaborer à cette fragilisation risque de créer un précédent et une banalisation d’usage.