Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler “des vraies inquiétudes des français” (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon “ton dramatique” et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale “nation wide”, un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des “technologiques duales grand public” “destinées à de l’interception légale”.

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et “alégal” de ces pratiques.

De la technologie duale

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire “les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

Et quand on fabrique des bombes, toutes aussi duales et “grand public” soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

• Qatar
• Maroc
• Kazakhstan
• Arabie Saoudite
• Gabon
• Libye

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une “petite dictature” qui a lâché la première bombe atomique.

 

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler « des vraies inquiétudes des français » (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon « ton dramatique » et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale « nation wide », un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des « technologiques duales grand public » « destinées à de l’interception légale ».

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et « alégal » de ces pratiques.

De la technologie duale

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire « les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

Et quand on fabrique des bombes, toutes aussi duales et « grand public » soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

• Qatar
• Maroc
• Kazakhstan
• Arabie Saoudite
• Gabon
• Libye

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une « petite dictature » qui a lâché la première bombe atomique.

 

ASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Source : http://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.

ASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Source : http://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux « je n’ai rien à cacher ».

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services « pros » aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques ». « Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit « Isabelle, tu exagères… », voire « Tu es parano », même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.