CyberCrime@Octopus (DG1/3021)

UE-MS-failLa lutte contre la cybercriminalité ne se met pas en place qu’au niveau national avec les différents outils que nous connaissons aujourd’hui ou avec la Loi sur la Programmation Militaire (relative à la cyberdéfense et à la « prévention » des risques). Au niveau européen, ça bouge également. Nous connaissions déjà INDECT visant à mettre en place des outils de détection comportementale. Voici aujourd’hui le projet CyberCrime@Octopus : Octopus Project (PDF 175Ko).

CyberCrime@Octopus est porté par le Conseil de l’Europe et résulte de la convention de Budapest sur la prévention de la cybercriminalité, la lutte contre délinquance économique, la xénophobie et le racisme, et de la protection de l’enfance (…) bref, on ratisse assez large.

Notez que sur le papier, ce projet se veut très respectueux des libertés publiques, notamment en matière de confidentialité, de respect des procédures etc… il n’y aurait donc pas de quoi crier au loup au niveau européen, mais le regard critique peut venir de l’examen des outils techniques et juridiques mis en place dans chaque états membres que la Convention de Budapest vise à souder au sein de la CE, en proposant des passerelles d’échanges et de mutualisation entre états membres. La coopération policière est une nécessité, la délinquance ne l’ayant pas attendu. Ce n’est donc pas CyberCrime@Octopus lui même qui pose problème, il est même plutôt apporteur de solutions.

Dans le document qui décrit le projet CyberCrime@Octopus, on apprends que 2012 et 2013 ont marqué pour la Convention de Budapest un soutien politique, et donc un budget, pour mettre en place des outils dédiés. Une coopération accrue entre états membres portant sur l’accès aux données est notamment évoqué. Jusque là, rien de plus normal… mais le Projet CyberCrime@Octopus c’est aussi et surtout des intervenants privés. Et c’est là que ça se complique.

The Cybercrime Convention Committee (T-CY) assumed a stronger role, among other things by preparing Guidance Note as well as working on solutions for transborder access to data.

On parle ici d’accès transfrontalier aux données, rien de plus normal entre services européens, et puis de toutes façons, même si nos services n’échangeaient pas entre eux, il y aurait toujours le GCHQ britannique pour tout aspirer et communiquer les données des européens à la NSA.

Le chapitre français du projet s’est tenu à Strasbourg en juin 2012 porté par la division de la protection de données et de la cybercriminalité DG des droits de l’homme et de l’état de droit
Conseil de l’Europe portait sur les points suivants :

Points clés

  • L’accès transfrontalier aux données et la compétence dans le contexte de « cloud computing »
  • La mise en commun de l’ information

Mise à jour

  • Les menaces de la cybercriminalité et la tendance
  • La mise en œuvre de la Convention de Budapest sur la cybercriminalité
  • Les politiques et les initiatives des organisations internationales et du secteur privé dans le domaine de la cybercriminalité

Ateliers

  • La législation: l’état des lieux de la législation sur la cybercriminalité
  • La protection en faveur des enfants contre l’exploitation sexuelle
  • La sécurité et les droits fondamentaux : la protection des données personnelles et la sauvegarde et les conditions de procédure

Et COnseil de l’Europe, à votre avis, elle fait quoi après avoir « vivement réagi » suite aux révélations d’Edward Snowden ?

Un OpenBar à l’européenne ?

Elle se réjouit de son partenariat avec Microsoft …normal. Reste plus qu’à connaitre les modalités de ce partenariat et sur quoi porte ce partenariat et la contribution de Microsoft dont la Commission semble si fière… un système d’échange de données transfrontalier que l’on confierait à une entreprise soumise au Patriot Act?

« Nous nous réjouissons de poursuivre notre partenariat de longue date avec le Conseil de l’Europe pour promouvoir la Convention de Budapest sur la cybercriminalité. Notre priorité est de créer un environnement informatique plus sûr, plus fiable et mieux protégé. Nous avons pris l’engagement de respecter la vie privée et la sécurité des utilisateurs. Il est essentiel de soutenir le travail du Conseil de l’Europe dans ce domaine important pour atteindre ces deux objectifs »

 

Interceptions légales, technologies duales et commerce d’armes électroniques entre amis

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler « des vraies inquiétudes des français » (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon « ton dramatique » et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Capture d’écran 2013-11-23 à 19.42.11

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale « nation wide », un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des « technologiques duales grand public » « destinées à de l’interception légale ».

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et « alégal » de ces pratiques.

De la technologie duale

Capture d’écran 2013-11-23 à 19.48.57

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire « les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

caramba-550x451

Et quand on fabrique des bombes, toutes aussi duales et « grand public » soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

  • Qatar
  • Maroc
  • Kazakhstan
  • Arabie Saoudite
  • Gabon
  • Libye

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une « petite dictature » qui a lâché la première bombe atomique.

 

#Cloud #Quantique : La phrase qu’elle est con du #Trolldi

cloudASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Sourcehttp://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.

Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux « je n’ai rien à cacher ».

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

EPSON MFP image

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services « pros » aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques »« Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit « Isabelle, tu exagères… », voire « Tu es parano », même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.

Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team

SFR SQLi
… Our website may be subject to SQLi

Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.

Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…

Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).

sfrbusinessteamfail

Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.

sfr lulz

Chapeau la Business Team et merci pour le fou rire 😉

Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.

Attention ce qui suit est un scoop 🙂

Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !

Capture d’écran 2013-11-20 à 15.40.15

admin cat

La CADA donne son accord pour la transmission des documents relatifs au coût du site web de la Fondation #Carla Bruni #Sarkozy

Image-61-300x284C’est à la vigilance de @VincentGranier que nous devons cette information. La CADA (Commission d’Accès aux Documents Administratifs) a publié sur son site web un avis favorable à la transmission des documents de ce qui semble tout à fait être les documents relatifs à l’élaboration et la maintenance du site web de la fondation Carla Bruni Sarkozy. Si le demandeur comme le site web et la fondation ne sont pas explicitement nommés, il semble tout de même faire peu de doutes qu’il s’agisse bien du site de la fondation Carla-Bruni Sarkozy qui avait cet été défrayé la chronique et dont je vous avais largement parlé sur Rue89 comme ici ou encore .

Pour mémoire, le site web de la fondation aurait été largement financé par la Présidence de la République entre 2007 et 2012. L’examen technique du site faisait froid dans le dos et nous étions nombreux à ne pas nous expliquer un tel coût pour le contribuable correspondant à deux rubriques qui à en croire les explications de la fondation, n’existeraient même plus ! La Cour des Comptes avait confirmé ces informations.

cdc

Ce nouvel épisode devrait donc lever le voile sur les mystères qui ont conduit la Présidence de la République à financer une partie d’un des WordPress les plus chers du monde.

Je vous copie donc ici l’avis complet de la CADA :

Présidence de la République

Avis 20133473 – Séance du 10/10/2013

Monsieur X a saisi la commission d’accès aux documents administratifs, par courrier enregistré à son secrétariat le 10 septembre 2013, à la suite du refus opposé par le secrétaire général de la Présidence de la République à sa demande de communication des documents suivants, relatifs à la création, l’entretien, la sécurité et le développement du site www.X.org, pour les années 2007 à 2012 :
1) la définition des besoins par la présidence, les organismes consultés avant le choix définitif des prestataires pour ce site et les avis d’appel d’offres ;
2) les équivalents temps plein des personnels de la présidence affectés à la réalisation et la tenue de ce site ;
3) les contrats de prestations et fournitures commandés et financés par la Présidence de la République ;
4) les factures correspondant à ces prestations ;
5) les prestations produites et les actes de « service fait » ;
6) les financements extérieurs de ce site, tels ceux en provenance de la fondation X-X.

La commission estime tout d’abord que, s’ils existent, les documents produits ou reçus par la Présidence de la République qui se rapportent au financement du site internet de la fondation X-X par des fonds publics, à des prestations financées sur fonds publics ou à des contrats passés par la Présidence de la République doivent être regardés comme se rapportant aux missions dévolues à l’Etat dans l’exercice de sa mission de service public au sens de l’article 1er de la loi du 17 juillet 1978 et présentent de ce fait le caractère de documents administratifs, sujets au droit d’accès prévu par l’article 2 de cette loi (cf jugement du tribunal administratif de Paris, 17 février 2012, n° 0920763). Il en irait notamment ainsi des documents mentionnés au point 6) s’ils existent et se rapportent à des financements privés qui auraient abondé le budget de l’Etat. Les documents mentionnés au point 6 qui se rapporteraient seulement au financement privé d’un organisme de droit privé tel que la fondation en cause devraient, en revanche, être regardés comme des documents privés dépourvus de caractère administratif au sens de la loi du 17 juillet 1978.

La commission considère ensuite qu’eu égard à l’objet des documents sollicités, leur communication, s’ils existent, ne paraît pas susceptible de porter atteinte à l’un des intérêts protégés par l’article 6 de la même loi, sauf en ce qui concerne les éventuelles mentions dont la communication porterait atteinte au secret en matière commerciale et industrielle et que pourraient comporter les documents correspondant aux points 3 à 5.

La commission estime donc, sous cette réserve, que les documents sollicités, s’ils existent, sont communicables à toute personne qui en fait la demande.

La commission précise que, conformément au troisième alinéa de l’article 2 de la loi du 17 juillet 1978, le dépôt aux archives publiques des documents sollicités qui sont communicables ne fait pas obstacle au droit à communication à tout moment de ces documents. Seuls les documents qui, compte tenu des mentions relevant du secret en matière commerciale et industrielle qu’ils comporteraient, ne seraient communicables à toute personne qui le demande qu’à l’expiration du délai de vingt-cinq ans fixé au a du 1° du I de l’article L. 213-2 du code du patrimoine ne pourraient être communiqués au demandeur qu’après délivrance de l’autorisation de déroger à ce délai prévue à l’article L. 213-3 du même code, si l’intérêt qui s’attacherait à une telle consultation ne conduisait pas à porter une atteinte excessive à ce secret. S’agissant de documents d’archives publiques émanant du Président de la République et dont le versement a été assorti de la signature du protocole prévu à l’article L. 213-4, cette autorisation de déroger au délai prévu à l’article L. 213-2 nécessiterait l’accord du signataire du protocole. Aux termes mêmes du premier alinéa de l’article L. 213-4, ce protocole ne s’applique pas aux documents qui, compte tenu des délais fixés à l’article L. 213-2, sont déjà communicables à toute personne qui le demande, et l’accord du signataire du protocole n’est pas requis pour leur communication.

La commission émet donc un avis favorable à la demande, sous les réserves précisées plus haut. Elle comprend de la réponse que lui a faite la directrice du cabinet du Président de la République que les documents sollicités ne sont pas détenus par ses services mais, s’ils existent, n’ont pu qu’être inclus dans le versement aux archives des documents émanant de l’ancien Président de la République. La commission l’invite donc, conformément au quatrième alinéa de l’article 2 de la loi du 17 juillet 1978, à transmettre la demande, accompagnée du présent avis, au service d’archives susceptible de détenir ces documents. »

Ton Internet est plus souverain que le mien ? Mon cul !

internet
Avez-vous confiance en chacun de ces points ?

Assez régulièrement, de manière directe ou indirecte, personnelle ou impersonnelle, j’ai le droit au couplet Google vs privacy. Ce n’est d’ailleurs pas comme si je n’avais jamais abordé la question, comme si je ne m’étais pas moi même questionné sur le bien fondé d’utiliser tel ou tel service pour tel ou tel usage. Derrière Google qui motive les interrogations de certains, se cache souvent notre propre incurie en matière de nouvelles technologies. On peut retourner le problème dans tous les sens et penser qu’on détient la vérité parce qu’on utilise tel ou tel outil, mais Internet est là pour nous rappeler qu’au final, nous sommes nous même un maillon d’une chaine que l’on voudrait croire de confiance.

Si je devais définir Internet aujourd’hui (ce ne sera surement plus le cas demain), je dirais que c’est ce qui part de vos doigts et qui s’affiche sur mon écran. Ce que je lis, ce par quoi je communique, l’intelligence comme l’outil sont fournis par tout ce que je ne maitrise pas. Internet est donc par définition pour moi « ce que je ne peux pas maîtriser ». Ce qui me conforte dans cette définition que je me fais d’Internet, c’est que je croise régulièrement des gens qui m’expliquent qu’utiliser tel ou tel service, quand on s’appelle Bluetouff, ou Reflets, c’est incohérent, paradoxal, stupide, hypocrite… En général, les personnes qui m’adressent ce genre de remarques ne le font pas par le biais d’un pigeon voyageur, ni même d’un mail sur-chiffré, ils le font sur un réseau bien public, contrôlé par une entreprise américaine dont une bonne partie de l’infrastructure se trouve hébergée chez… Google.

La question du contexte, que je martèle depuis quelques années est donc largement éludée. Ce n’est pas forcément un « troll », mais le reflet brut de notre méconnaissance d’autrui. Combien sommes nous à opiner du chef avant de cliquer « j’accepte de me faire baiser la gueule en gobant toutes vos conneries sur la protection de ma vie privée tellement elles sont bien rédigées par un putain d’avocat qui déchire sa mère ? »

La question de la souveraineté d’un service que l’on utilise sur Internet est une connerie sans borne. Quand je tape le mot souverain dans Google images, voici ce que l’intelligence mondiale me répond… voyez y un signe… ou pas. Moi ce que j’y vois, c’est l’illustration de l’interdépendance la plus forte qui soit de nos jours. Il n’y a rien de plus censurable, de moins sécurisé, de moins résilient (yes comment j’ai bien réussi à le placer celui là), de moins quantique, de moins hipster… et de moins hypocrite… qu’un service souverain. Vous m’objecterez quoi ? Qu’un fournisseur d’accès souverain c’est souverainitude absolue ? … oui probablement… enfin sur son LAN.

Les tuyaux comme l’intelligence qui acheminent vos informations d’un bout à l’autre de la planète sont tout sauf souverains, c’est pour ça qu’on les voudrait neutres. Vous pourrez stocker vos données dans un cloud quantique souverain, quand ça bouchonnera entre l’AS de Free et celui de votre cloud souverain, vous passerez probablement par un routeur chinois pas souverain, par un câble anglais pas souverain, par une appliance allemande pas souveraine… le tout envoyé depuis une machine dont le seul truc souverain que vous pourrez revendiquer sera le taux de TVA applicable sur la facture papier de la FNAC. Notez que je vous épargne l’aspect business du machin souverain filiale d’un fond de pension américain.

La défense de nos droits à la vie privée ne passe pas par Internet mais par les urnes… mais que nous reste t-il quand ces urnes nous mentent ? Internet n’est que la première banderole mondiale, à nous d’y inscrire un truc intelligent, à nous de croire qu’elle pourra être lue par tous aux quatre coins de la planète, certifiée par le cachet x509 d’un tiers de confiance.

Sans polémique… aucune

sidHier nous apprenions le décès de Sid, Cédric Blancher. Talentueux hacker, figure incontournable de la sécurité informatique, blogueur non moins talentueux, et avant tout, un personnage attachant. Cédric a trouvé la mort à 37 ans… un saut en parachute qui a mal tourné.

La pudeur aurait voulu que sa mémoire soit saluée dignement, pour sa famille, pour ses proches, pour toutes les personnes qui l’ont croisé et apprécié son accessibilité, son ouverture, ses contributions aux communautés de hackers. Mais un journal en a décidé autrement. Un journaliste a jugé intelligent d’aller interviewer le président de la ligue de Picardie de parachutisme, ce dernier tient des propos qui peuvent nous paraitre, à nous qui connaissions Cédric, parfaitement déplacés dans ce contexte douloureux.

Se servir de cette tragédie pour servir un tel article est indigne de la part d’un média. Sans polémique aucune, je m’en tiendrai à ces quelques mots, pour ne pas ajouter à la douleur, la colère.

A bientôt Sid.

La #NSA surveillerait #Alcatel, l’un de ses fournisseurs… sans blague ?

obama-big-brotherLe Monde nous a hier gratifié de nouvelles révélations sur les programmes d’interception et de surveillance des services américains. Ces dernières révélations ont fait du bruit, poussant Laurent Fabius à convoquer dans l’urgence l’ambassadeur des Etats-Unis en France, tout particulièrement pour demander à ce dernier de s’expliquer sur l’espionnage dont serait les cibles deux joyaux technologiques français :

  • le franco français Orange, enfin Wanadoo comme on l’appelle encore à la cafet’ de la NSA
  • le franco américain Alcatel, un fournisseur comme on l’appelle au service compta de la NSA

Si l’espionnage de Wanadoo peut sembler « curieux » de prime abord, il faut simplement se remémorer quelques éléments de contexte.

  • Orange est le plus important fournisseur d’accès à Internet de France
  • Orange opère la majorité des infrastructures acheminant des données en France, y compris celles par lesquelles passent les données des autres fournisseurs d’accès, appelons-les « les autres » ou  « les opérateurs pas historiques ».
  • Orange a une présence à l’étranger très, très importante. Si vous voulez intercepter les conversations téléphoniques de pédo-nazis terroristes en Ethiopie par exemple, c’est bien sur le cas d’Orange qu’il faut se pencher puisque c’est ce dernier qui a mis en place les infrastructures de l’opérateur national local.
  • Posez vous une question idiote : combien de députés ou de journalistes ont encore un mail @wanadoo.fr actif ? En fait, ce sont encore 4,5 millions de français qui utilisent une adresse @wanadoo.fr
  • Orange opère aussi d’autres réseaux (x25, système de communication des professionnels de santé etc…) et quelques échanges de techniciens d’une messagerie pseudo sécurisée par une entreprise qui a découvert par accident le chiffrement asymétrique il  y a trois ans (ne riez pas cette anecdote est authentique), croyez le ou non, mais c’est providentiel quand on joue les big brothers.

Aussi pour toutes ces raisons et certainement d’autres comme celles qui lient contractuellement Orange à de gros autres opérateurs mondiaux, c’est une proie plutôt sympa quand on s’appelle la NSA.

Passons maintenant au cas Alcatel. Alcatel Lucent est une entreprise franco américaine et surtout, en 2010, l’un des principaux équipementiers déployant des routeurs de services chez les opérateurs US (auxquels la NSA accède dans le cadre du programme PRISM). Le renforcement des lois exerçant l’emprise des services secrets américains sur les infrastructures des fournisseurs d’accès à Internet aux USA ne leur laisse pas tellement le choix, il faut déployer de puissants systèmes embarquant le nécessaire pour la collecte de données. Et quoi de mieux qu’un bon gros routeur de service pouvant intercepter le contenu des communications (grâce au Deep Packet Inspection) sur des débits relativement importants ?

En 2010, Alcatel, c’est un peu l’arme ultime anti hackers chinois, tout comme une poignée d’entreprises américaines (Narus, Cisco Systems, Juniper…) . Les USA sont alors en pleine cyber gueguerre sur deux fronts distincts : le front chinois avec Aurora, le front iranien avec le déploiement de Stuxnet dont on commence déjà à l’époque à perdre le contrôle.

Alcatel présente un autre avantage quand on veut par exemple écouter Orange et nombre des fournisseurs d’accès avec lequel l’opérateur travaille directement. Alcatel et Orange ne sont d’ailleurs pas non plus étrangers à la technologie xDSL, l’une des plus répandue dans le monde. On ne vas donc pas reprocher aux américains de s’intéresser à une technologie française pouvant avantageusement remplacer leur réseau câblé tout moisi de l’époque.

C’est donc avec une paranoia qui n’est pas exclusivement due à la traque aux barbus jihadistes que la NSA opère ses écoutes. En fait, avec Alcatel, elle opère avant tout un contrôle sur les équipements qu’elle utilise elle-même, à savoir des routeurs de services Alcatel 7750 : 7750_SR_Portfolio_R10_EN_Datasheet (PDF)

7750_largeEn 2010, les plus gros clients d’Alcatel pour cette gamme sont américains et canadiens. Il gèrent déjà du DPI (que l’on appelle alors du H-QoS, pour Hierarchical Quality of Service) à raison de  100 Gb/s par puce… et il y a jusqu’à 4 puces en fonction des configurations sur ces modèles. Déployés au coeur de réseau chez les opérateurs ils permettent aussi bien de facturer des services IP que d’intercepter à la volée des communications IP. Faites une recherche des termes « lawful interception » sur ce PDF : 9301810201_V1_7750 SR OS OAM and Diagnostics Guide 6.1r1.

Alcatel et Orange intéressent donc la NSA, ok c’est un fait. Nous en avons naturellement beaucoup parlé et ceci indigne à juste titre la France, alliée indéfectible des USA. Mais peut-il réellement en être autrement pour ces deux entreprises qui déploient à travers le monde leurs câbles sous-marins, autoroutes de nos échanges numériques, et dorsales d’interception privilégiées de tous les services de renseignements de la planète ?

le-Raymond-Croze
Le Raymond Croze, un navire câblier de la flotte d’Orange Marine

Si la NSA surveille Alcatel, il y a fort à parier qu’elle surveille également des entreprises comme Amesys ou surtout Qosmos, dont on retrouve la technologie chez des équipementiers américains et qui est précurseur dans les technologies d’inspection en profondeur des paquets (DPI).

Et puis posons clairement la question… Qosmos marque un intérêt prononcé pour la détection de protocoles et la reconnaissance de signatures émanant d’applications en ligne d’origine chinoise. A t-elle développé ceci pour ses propres besoins ou a t-elle un client qui a ses grandes oreilles rivées sur la Chine ?

La menace terroriste est très loin d’être la seule chose qui intéresse le monde du renseignement aux USA. On ne peut que regretter de l’apprendre à nos dépends, de manière aussi brutale, ou se consoler en se disant que la France, elle aussi, profite des informations collectées par les services américains qu’elle échange contre ses propres informations.

Mais que Laurent Fabius ne s’inquiète pas, nul besoin de convoquer la diplomatie américaine et nous jeter de la poudre aux yeux, puisque je vous parle ici de matériel grand public et de méthodes d’interception grand public comme il le dit lui même (enfin sous la bienveillante égide d’un nègre de la Direction du Renseignement militaire qui avait déjà fait déblatérer les mêmes âneries à Alain Juppé) quand la France vend un Eagle au Maroc qui ne manquera surement pas d’idées pour en faire un usage en parfaite adéquation avec les valeurs de notre république.

Alors Alcatel ? … Entre nous, ça vous fait quoi d’être vous mêmes les pseudos victimes de vos propres équipements ?

Reflets.info est censuré par @Maroc_Telecom : #FreeAnouzla

Ali-AnouzlaC’est probablement suite à un article évoquant la censure des sites lakome.com et fr.lakome.com  que Reflets.info se voit censuré depuis cette nuit par le fournisseur d’accès national marocain, Maroc Telecom. Reflets entre ainsi au panthéon du terrorisme marocain pour son allégorie de l’iceberg, un article vous le noterez qui a tout ce qu’il faut comme critères objectifs pour être assimilé à une incitation au terrorisme, argument brandi par le pouvoir marocain pour priver illégalement de liberté le responsable de Lakome, Ali Anouzla, depuis maintenant plus d’un mois.

La stupidité de cette censure n’a d’égal que la peur d’un régime fébrile qui ne sait plus quoi faire pour étouffer la liberté de la presse, pour manipuler l’opinion publique et surtout, pour essayer de préserver ce qui lui reste de crédibilité.

En France nous pouvons regretter que nos politiques cautionnent par leur silence la vente de systèmes de surveillance de masse et de censure à un pouvoir marocain qui affirme jour après jour sa volonté de museler toute opposition en brandissant l’argument du terrorisme. En vendant un Eagle au Maroc, et pour une poignée de millions d’euros de quoi stocker l’ensemble des métadonnées des communications des marocains, la France par le biais des sociétés Amesys, ServiWare et Alten pour ne citer qu’elles, cautionne le muselage de la presse et du peuple marocain, tranchant ainsi fortement avec les atours de chantre des droits de l’Homme que notre république est sensée incarner.  Le silence des politiques à ce sujet est intolérable et sur Reflets.info comme ailleurs nous n’aurons de cesse de dénoncer les mensonges hypocrites de ces derniers quand ils affirment qu’il s’agit de matériel grand public et que ce dernier n’a à souffrir d’aucune autorisation à l’exportation.

xaqxa

La censure illégale de Lakome et celle totalement absurde de Reflets.info par Maroc Telecom ne sont qu’une illustration de plus d’un pouvoir fébrile qui n’a pour arme que de tenter de dissimuler l’information, comme on cacherait de la poussière sous un tapis. Personne n’a jamais arrêté l’océan avec ses mains. Face à Internet, dont il a visiblement une peur bleue, le pouvoir marocain aura beau s’équiper de tous les outils de censure que la France ou d’autres pays qui se font chantres des libertés voudront bien lui vendre, son illusion de pouvoir finira par s’écrouler. On ne nourrit pas un peuple qui a faim d’information et de liberté avec des matraques, soient elles numériques.