Archives

La vision que les quotidiens US (y compris ceux que l’on pourrait soupçonner d’opinion conservatrice) est assez critique lorsqu’elle traite des récents évènements ayant secoué les TIC ces dernières semaines. Pris au hasard, ou presque, trois articles du PilotOnLine (Norfolk). A commencer par l’annonce de la sentence à 35 ans de privation de liberté pour Bradley Manning. Traître à la patrie ou défenseur de l’honneur militaire ? Le tribunal s’est montré « moyennement clément » pour l’homme qui a révélé les bavures de l’armée US sur les terrains d’opération (notamment l’assassinat de journalistes) et diffusé plus de 700 000 documents confidentiels traitant des guerres d’Iraq et d’Afghanistan. Mais les charges d’entente avec l’ennemi et d’espionnage n’ont pas été retenues contre lui, ce qui fait dire à certains (les porte-parole de Wikileaks …) que grâce aux mécanismes de liberté conditionnelle, Manning pourrait voir le ciel dans 8 ou 10 ans.

On ne peut s’empêcher de se demander dans quelle mesure le procès de Manning n’était pas aussi une sorte de procès Snowden par contumace. Il est difficile, voire impossible pour un jury ou un juge, de ne pas être influencé par l’actualité et par les propos extrêmes proférés par nombre de sénateurs. Et le quotidien de Norfolk n’est pas le dernier à faire le parallèle.

Encore une tranche de PilotOnLine, du lendemain cette fois, avec les « révélations » sur les dérapages de la NSA considérés comme contraire à la Constitution des Etats-Unis. Une information rendue publique grâce à l’EFF suite à un procès contre le gouvernement. L’EFF réclamait l’application de la loi sur la transparence de l’information (FOIA) à propos des avis émis par la Foreign Intelligence Surveillance Court. Laquelle condamnait les agissements de la NSA, condamnation émise en 2011 mais demeurée secrète jusqu’à présent.

Si l’on tourne une fois de plus une page du PilotOnLine, on tombe sur une… affaire d’espionnage. Cette fois, il s’agit d’un ancien militaire chiffreur de la Navy qui vendait des informations secrètes à des espions Russes… lesquels espions n’étaient autres que des agents sous couverture du FBI. Lorsque les barbouzes se font rares, il suffit d’en inventer, et de tenter le premier lampiste venu dans le cadre d’une opération de provocation. Entretien du climat psychotique général ou cours normal de l’espionite aiguë qui frappe les Etats-Unis ? Par moment, on se croirait revenu aux grandes heures du Maccarthysme. Mais contrairement aux années 50, l’ennemi n’est plus réellement le « rouge ». Il est diffus, il prend tantôt le nom de terroriste, tantôt d’ennemi intérieur, tantôt de djihadiste, ou encore d’adversaire économique.

De tous temps, les USA ont eu besoin d’un pendant militaro-politique pour canaliser leur énergie. L’unité nationale contre l’Angleterre coloniale, puis contre l’Espagne, plus tard l’Allemagne, puis contre l’URSS. Lorsque s’est effondré l’adversaire historique, le Grand Large s’est senti totalement déstabilisé, période marquée par le début des opérations militaires extérieures anti-terroristes et la quête d’un sparring-partner à sa mesure. Cet ennemi existe-t-il ailleurs que dans la vision que l’Amérique porte sur le reste du monde ? Pour l’instant, le Nouveau Monde boxe dans le vide, incapable de frapper un insaisissable et invisible adversaire

Si l’on se rapporte aux documents déclassifiés, on se rend compte que les démons seront difficiles à combattre. L’espionnite a métastasé tout le tissu administratif US. En 2011, le juge James D. Bates révélait que, trois ans durant, la NSA a fouillé dans les emails et archives téléphoniques de plus de 56 000 citoyens Etats-Uniens qui n’avaient strictement aucun lien avec la plus petite enquête anti-terroriste. Pis encore, ce même juge s’étonne que les membres du gouvernement se soient rendus coupables de « présenter sous un jour inapproprié » (l’expression exacte est « fausse déclaration », misrepresentation) l’étendue du programme de surveillance électronique de la NSA (This court is troubled that the government’s revelations regarding NSA’s acquisition of Internet transactions mark the third instance in less than three years in which the government has disclosed a substantial misrepresentation regarding the scope of a major collection program) Trois mensonges en trois ans, on peut se demander si cette attitude n’a pas perduré après 2011.

Mais ce qui ressort le plus souvent en parcourant la presse d’Outre Atlantique, c’est l’étonnement face au fait que la Raison d’Etat et le caractère « top secret » de ces informations aient pu aussi facilement servir à camoufler des agissements qui ne relevaient absolument pas du secret d’Etat. Le « confidentiel défense » au secours des bavures de basse police en quelques sortes. Ce qui jette un discrédit général (bien que non ouvertement exprimé) de la presse sur le coupable aveuglement tant des Députés que des Sénateurs, dont le rôle est précisément de veiller au respect de l’esprit des lois et de la Constitution du pays.

Plus qu’une vague affaire d’espionnage, l’Amérique pourrait bien souffrir d’une crise de confiance politique. Tout ça à cause d’un abus de nouvelles technologies, d’emails, de flux VoIP et autres Internetteries, si faciles et si tentantes à surveiller.

Matthew M. Aid, auteur d’ouvrages sur la NSA et éditorialiste-blogueur, attire l’attention de ses lecteurs sur l’aspect « effrayant » de petits quadcopters télécommandés.

Pourquoi « effrayant » ? Parce qu’au cours d’une manifestation en Allemagne, l’un de ces appareils équipé d’une caméra a pu pénétrer dans l’espace aérien d’un camp de la NSA et prendre quelques images du parking attribué à cette fascinante synthèse de l’esprit et du muscle que sont Les Barbouzes.

Il n’est pas inutile de rappeler que l’aéromodélisme, que l’on désignait autrefois sous le sobriquet de « F1000 » (du nom de la licence d’exploitation radio qu’il fallait alors détenir) est une activité ludique qui existe depuis une bonne cinquantaine d’année, tant en France qu’aux Etats-Unis. Que la mode des quadcopters et autres ballons captifs, si elle a largement contribué à rajeunir le mouvement, n’a en rien, ou presque, modifié ses pratiques. Et qu’une agence de super-espions dont les secrets seraient compromis par une caméra montée sur hélices aurait quelque intérêt à revoir en profondeur ses fondamentaux.

Mais là n’est pas le fond de la question. A périodes régulières, des éditorialistes s’émeuvent des risques que représenteraient les jardiniers, utilisateurs de désherbants à base de chlorate (alors on interdit le chlorate par décret), craignent que l’usage généralisé de raticide entraîne une vocation chez certains lecteurs d’Agatha Christie (et l’on réserve la vente de certains produits au seul usage de professionnels), s’imaginent que la possession d’un scanner IP ou d’un CD de Backtrack transforme le primo-informatisé en dangereux pirate (et l’on promulgue une loi sur la confiance numérique qui stigmatise chaque usager et la lui fait totalement perdre, cette fameuse confiance numérique). La science, qu’elle soit chimique, électronique, physique ou mécanique, fait peur à certains politiques, et notamment à ceux particulièrement doués d’imagination pour tout ce que Bruce Schneier appelle les « incredible movie plot », ou scénarii catastrophe hautement improbables.

Monter un four à plasma, jouer avec un quadcopter miniature, fabriquer de toute pièce un émetteur-récepteur logiciel capable de décoder quasiment tous les types de modulation possibles traînant sur le spectre radioélectrique, apprendre la chimie et la biologie par la pratique, synthétiser des nanoparticules de carbone, plancher sur l’art et la manière de mettre à mal, puis renforcer, les défenses périmétriques d’un réseau informatique, cela s’appelle du hacking. Et c’est, pour l’heure, la meilleure filière de formation pluridisciplinaire, polytechnique qui soit. C’est par le développement de hackerspaces et fablabs, par l’encouragement de ces structures de recherche et d’échange de connaissance qu’un Etat peut espérer voir « aussi » se développer des compétences qui donneront naissance à des pépinières de startup : le culte du garage qui donna naissance à des Microsoft, à des Apple ou HP existe toujours. Mais prenons garde à ne pas tuer dans l’œuf ces élans d’inventivité sous prétexte de risques probables.

Les radioamateurs (hackers d’installations wireless) existent depuis les années 20, les chimistes amateurs depuis plus longtemps encore, et le fardier de Cugnot, bricolage diabolique qui terrorisa quelques vaches et détruisit quelques murs, est contemporain de la Révolution Française. Ils n’ont, jusqu’à présent, provoqué aucun Armageddon.

La NSA peut surveiller 75% du trafic Web mondial, s’émeut le Monde reproduisant une dépêche Reuter. Avoir la possibilité de surveiller 75% des sites publics ouverts à tous, c’est toujours mieux que les 100 % des débuts du protocole http… ce qui prouve que 25% de ce qui est ouvertement publié échappe potentiellement à l’analyse de la NSA. Ajoutons que les 25% en question sont très probablement surveillés et analysés à leur tour par les centrales de renseignement Chinoise, Russe… ou Française.

De manière plus sérieuse, on ne peut que remarquer une citation du WSJ mentionnée par Reuter : « la NSA est en mesure d’intercepter pratiquement toutes les informations sur la toile dès lors qu’elle dispose d’un mandat signé par un juge. » Or, comme nous le faisions remarquer ce mardi au fil de l’article sur les Faux pas de la NSA, ladite agence génère plus d’un demi-million de requêtes par jour. On ne peut donc en conclure que soit les juges nord-américains sont pléthore et passent leur temps à signer des autorisations pour le compte de la NSA, soit la notion d’autorisation est entendue en son sens le plus large, n’est sujette à aucun contrôle et échappe totalement au juge qui en a autorisé l’exécution. La question n’est pas tant sur la capacité de récupération d’information et de traitement d’ycelle par la NSA (ou tout autre service de n’importe quel pays pratiquant ce genre de sport), mais sur le fait que la machine à accumuler les soupçons et les preuves par accumulation s’est emballée et échappe à tout encadrement légal réel.

En laissant la bride sur le cou de sa principale agence de renseignements, la Maison Blanche a agi sans en cerner précisément toutes les conséquences. Un peu comme ces députés qui demandent l’intervention de l’armée dans les banlieues pour rétablir l’ordre : le court terme et le chant électoralo-sécuritaire entraînent toujours des conséquences graves qui dépassent largement le but initial.

En moins d’un an, entre 2011 et 2012, la NSA, le service de renseignements US, aurait commis près de 2800 « incidents » et violations juridiques, révèle un audit interne partiellement publié par le Washington Post. Ces statistiques englobent aussi bien les erreurs informatiques que les interprétations des demandes des juges d’instruction, non-conformité des opérations et autres erreurs relevant de la responsabilité des opérateurs.

Comme pour justifier ces erreurs, la NSA rétorque qu’il ne s’agit là que d’un problème marginal compte tenu du nombre élevé de requêtes effectuées chaque mois et qui se compteraient par milliards. Plus exactement, estime nos confrères de TechDirt, la NSA serait frappée d’une véritable boulimie de cyber-perquisitions, avec près de 20 millions d’interrogations de bases de données chaque mois. Et l’on se demande vraiment, au rythme de 600 000 requêtes/jour, comment les fournisseurs de service tels qu’Apple, Microsoft, Google ou Yahoo peuvent non seulement espérer contrôler le bien fondé de toutes ces requêtes, mais en plus affirmer que ne sont autorisées que celles jugées nécessaires à la défense des intérêts nationaux. Devant un tel emballement du système de flicage, aucun outil de contrôle n’est véritablement concevable. Ou alors, il y a, au sein des « big five », un demi-million d’avocats et experts juridiques capables d’évaluer dans la journée chaque demande de la No Such Agency.

Bitcoin, pour ou contre la « reconnaissance d’Etat » ? Deux éclairages, l’un par le site BFM, l’autre par le très conservateur Bob Graham, arguent chacun du danger que représente cette monnaie, vecteur probable de trafic et de blanchiment d’argent. Pour l’Allemagne, taxer les transactions Bitcoin, c’est déjà s’assurer que ces flux financiers n’échapperont pas à la politique fiscale nationale, en espérant ainsi que la déclaration des transactions constituera une garantie de légalité des opérations. Graham, de son côté, pense que la reconnaissance de cette « non-monnaie » non-sonnante et non-trébuchante (d’autant moins trébuchante que sa parité varie très rapidement) va plonger un peu plus le Bitcoin dans l’underground. En légalisant le Bitcoin, on supprime toute possibilité de représailles dit en substance le patron d’Errata Security.

L’opération friserait le million de dollars. IBM a officiellement annoncé son intention d’acquérir Trusteer, entreprise spécialisée dans la protection des systèmes d’information du domaine bancaire par détection des transactions frauduleuses et usurpation d’identité (analyse comportementale notamment).

Inside Secure, un industriel spécialisé dans la fabrication d’équipement de payement sans contact (processeurs, NFC, RFID…) annonce avoir acquis la licence de la technologie DRM (Digital Rights Management) TrustedShow de Trustonic. Trustsonic possède un savoir-faire dans l’intégration de DRM dans des processeurs ARM, visant ainsi le marché du verrouillage de contenu sur matériel embarqué.

Dans une ultime tentative pour maîtriser la situation, les autorités Britanniques viennent de commettre une double erreur : arrêter et interroger durant plus de 7 heures le compagnon de Glenn Greenwald, le journaliste qui a couvert l’affaire Snowden pour le compte du quotidien, puis effectué, sous les yeux des journalistes, une « saisie-destruction » du matériel informatique de la rédaction. L’article de l’Associated Press relatant ce véritable autodafé a été repris par la majorité des médias anglophones, dont le Washington Post.

Lorsqu’un gouvernement s’attaque à ses propres médias, il tourne le dos ouvertement aux fondements même de la démocratie.

Les réactions de Greenwald ne se sont pas faites attendre. Il aurait alors déclaré posséder quelques cartouches en réserve, et promet des révélations fracassantes sur les services d’écoute tant Nord-américains que Britanniques (propos rapportés dans la matinée du 20 août notamment par nos confrères de France Culture). S’engage alors une partie de bras de fer, dans laquelle le gouvernement Cameron tente de satisfaire son homologue US et la presse d’Outre-Manche combat pour sa sacro-sainte indépendance, Raison d’Etat ou pas.

Cette double opération policière (une intimidation personnelle indirecte et une destruction de preuve) montre à quel point Londres est désemparé. La destruction des disques durs du journal relève de la gesticulation la plus infantile et la plus inutile qui soit, les données sensibles étant probablement depuis longtemps réparties sur une multitude de serveurs. C’est là visiblement le signe d’une intense frustration et certainement d’une absence de maîtrise de soi, un véritable paradoxe au pays du self control … Quant à l’arrestation et à l’interrogatoire du compagnon de Glenn Greenwald sous des prétextes d’antiterrorisme (l’acte de terrorisme consistant en l’occurrence à signaler les actes d’espionnage d’une puissance étrangère), elle prouve, si besoin était, à quel point les services de renseignement de la Grande Bretagne sont totalement inféodés aux décisions de Washington. Les intérêts des îles Britanniques sont ici ceux du Grand Large, en totale contradiction avec ceux de l’Europe.

Une Europe qui, de son côté, gesticule tout autant. Plus d’une centaine de titres Français (dont Le Monde, le Point, L’Expansion…) reprennent l’information du jour : les Cnil Européennes, regroupées sous la bannière du G29, ont saisi la Commission Européenne et demandent des éclaircissements sur le programme Prism. Il leur aura fallu plus de 70 jours pour réagir. L’espoir que l’information retomberait rapidement dans l’oubli ? A se demander si les photocopieuses de Bruxelles sont tombées en panne, car il suffirait de reprendre les principaux chapitres du Rapport Echelon A5-02-64/2001 et des travaux de MM Duncan Campbell, Franck Leprevost et Chris Elliot commandités par le STOA (Science and Technology Options Assessment dépendant du Parlement Européen) pour en tirer des conclusions identiques et provoquer des réactions également identiques, c’est-à-dire inexistantes. Lorsque les choses vont mal, l’Eurocratie se plonge dans l’écriture de rapports et généralement sur un sujet très éloigné du fond du problème. Si études et propositions de solutions devaient être entamées, cela ne devrait-il pas être plutôt sur la responsabilité politique de la Grande Bretagne dans cette affaire d’espionnage, sur son zèle à étouffer l’affaire, sur sa participation active dans le concert UKUSA, ainsi que sur l’absence de volonté d’autonomie stratégique de l’Europe elle-même dans le domaine des TIC. Une autonomie (et non nécessairement une indépendance) qui ne peut se mettre en place que par le biais d’efforts financiers mis en commun, et non par le truchement de saupoudrages nationaux servant plus à une politique de subventions ne favorisant que quelques grands opérateurs et sociétés d’ingénierie …

Toute vie privée cesse aux frontières de Gmail. Ce secret de polichinelle, révèlent nos confrères du Consumer Watchdog, n’appartient plus au domaine de « l’opinion » ou de la suspicion mais à celui de la certitude juridique. « People should not expect privacy when they send messages to a Gmail account » ont affirmé les avocats de l’entreprise devant une cour fédérale US à l’occasion d’une tentative de procès collectif portant précisément sur cette atteinte à la vie privée.

Ce qui, en temps normal,n’aurait pu attirer l’attention que d’un journal de défense des consommateurs prend une toute autre dimension à la lumière des évènements passés. Elle nous rappelle en premier lieu le peu de cas que l’ancien timonier de Google faisait de tout ce qui se rattachait aux informations personnelles comme nous le rappelait le Huffington Post il y plus de trois ans : seuls les criminels ont quelque chose à cacher sur Internet, les personnes ne souhaitant pas voir la photographie de leur maison sur Google Street peuvent déménager… Les petites phrases du bon docteur Schmidt avaient, en leur temps, fait les grands titres des quotidiens. Ce n’était alors que des mots dépassant parfois la pensée de son auteur croyait-on. Jamais l’on n’aurait pu imaginer, à la lumière des révélations Prism/Snowden, à quel point elles étaient empreintes d’un certain cynisme. Si les Internautes ont la mémoire courte (comme doivent l’espérer bon nombre de grands opérateurs de services compromis par les fichiers Snowden), Internet lui-même a la mémoire longue, et le « droit à l’oubli » des petites phrases et des petits actes des grands hommes du monde IP ne s’évanouissent pas avec le temps. Rappelons que déjà un souci du flicage fit couler de l’encre à l’époque et ce, encore sous la férule du Docteur Schmidt lors du projet « Digital Me » de Novell (bien avant le rachat Attachmate). En un temps où le rêve avoué était d’unifier, dans le monde entier, les fichiers médicaux, la carte d’identité numérique, les informations bancaires dans une seule et unique carte à puce à l’aide d’un formidable annuaire distribué. C’était l’époque bénie du boom des annuaires universels, du grand combat entre Microsoft Passport et OpenID et du désir de fichage universel envisagé par les éditeurs de logiciels. On frémit à l’idée de ce qu’aurait pu en tirer Prism …

Un Prism qui, en l’espace de deux mois, a pratiquement su se faire oublier. Les titres des journaux grand public ne considèrent les « révélations » d’Edward Snowden que sous l’angle de l’espionnage d’Etat (ce qui, depuis Carnivore, n’est une nouvelle pour personne) et passent sous silence ce qui pourtant devrait être le fond du scandale : l’implication (la complicité active pourrait-on dire) des entreprises US du secteur de la prestation de services Internet dans cette grande aventure barbouzesque. Tout au plus a-t-on pu lire quelques cris et protestations de quelques acteurs du Cloud Computing qui hurlaient à la mort financière, alléguant que la perte de confiance, conséquence des révélations Prism, leur avait déjà fait perdre « des millions de dollars ». Estimations non fondées la plupart du temps, visant essentiellement à faire passer l’intéressé du statut peu reluisant de mouchard à celui plus sympathique de victime. Pour que cette perte financière soit confirmée, car elle est, pour l’heure, aussi virtuelle que les veaux, vaches, cochons et couvées de Perette, il faudra attendre au moins la remise des formulaires boursier 10K en fin d’exercice fiscal 2013, puis à ce moment-là effectuer un contrôle statistique sur l’évolution du C.A. desdites entreprises. Il est donc encore bien trop tôt pour émettre et pouvoir considérer de telles affirmations. Gageons que les révélations Prism n’auront pas fait tressaillir les administrateurs d’Office365, d’iCloud, de Zoho, de Google Apps (même après les susdites affirmations de ses avocats) ou d’Adobe Creative. Les clients des services en ligne resteront fidèles ne serait-ce que pour des raisons de captivité liée à une situation de quasi-monopole. L’espionnage, ça n’existe donc que chez les autres et sur les manchettes des journaux.

« Non, l’espionnage est moralement inacceptable, sachez dire « non » aux sirènes de l’Administration Fédérale, au prétendu prestige de ces réunions secrètes avec le Président Obama » écrit en substance Bruce Schneier sur son blog. « Votre image de marque en prendra nécessairement un coup, car tout finit par se savoir. Si ce n’est pas par le biais des fuites Snowden, se sera grâce au travail d’un autre imprécateur ». Et de conclure « la NSA ne peut demeurer éternellement au-dessus des lois ».

Quelle importance pour les acteurs et consommateurs que nous sommes ? Quasiment aucune. L’électrochoc Snowden n’a fait que remettre en perspective le fait qu’il n’existe plus en nos contrées la moindre trace d’une industrie représentative dans le monde des services IP, de l’édition de logiciels et de systèmes d’exploitation et que l’économie Européenne est pieds et poings liés devant les 5 grands vendeurs US. Le fait de savoir ou pas que ce qui est proposé sur le marché soit faisandé par les services de renseignement nord-américain n’est qu’une question rhétorique : il n’existe aucune solution de rechange comparable en Europe, ce qui nous contraint de subir la situation avec stoïcisme. Le problème se résume donc à cette simple question : accepter d’être espionné ou périr, sans le moindre espoir (à quelques rodomontades près) que la sphère politique puisse soit nous protéger de l’attention soutenue du « grand large », soit encourager le développement de solutions nationales viables.

Des politiques d’ailleurs d’une assourdissante passivité, probablement la fautes aux grandes vacances… ou, comme le suggère notre confrère Olivier Laurelli de Reflets, d’une trop grande discrétion au nom de l’Union Internationale des Spécialistes SigInt. La NSA, aurait révélé un récent article du Guardian, possède également un accès aux fichiers des grands spécialistes du Cloud Télécom et Radio que sont les services secrets Britanniques (rien de très surprenant, on appelle ça l’alliance UKUSA) mais également Danois, Hollandais, Allemands, Espagnols, Italiens et… Français. Une autre série de révélations ayant pour source un autre « ex employé de la NSA », 5.Wayne Madsen. La succession de Snowden est assurée, le complexe de Schmidt n’est pas prêt de disparaître.

Trois failles « seulement » sont considérées comme critiques par le Response Team de Microsoft, sur un total de 23 CVE. On notera au passage que cette série de rustines mensuelle contient un « cumulatif Internet Explorer » MS13-059 portant l’étiquette « critique ». Il faut dire qu’il aurait été difficile de louper un tel abysse, puisque le défaut qui valut au correctif cette pourpre cardinalice fut un des clous du concours P0wn3d20wn lors de la dernière conférence CanSecWest.