Il y a des jours comme ça où on se demande pourquoi on s’emmerde à essayer de comprendre et d’expliquer de manière à peu près sérieuse un sujet aussi complexe que PRISM. Derrière les 5 PowerPoints d’Edward Snowden, la presse du monde entier a réussi à atteindre des sommets de conneries. La plus belle d’entre elles pourrait bien revenir à Computerworld sur lequel je suis tombé grâce à BigBrowser qui ne m’avait pourtant pas habitué à relayer ce genre d’article totalement débile. L’objet du délit s’intitule « How to run your own NSA spy program » que BigBrowser a évoqué ici : « Créer votre propre programme Prism à la maison« .
Outre le fait que l’article navigue entre absurdité technique et sensationnalisme parsemé de buzzwords 2.0 qui ressemblent à un billet sponsorisé par une agence de comm’, on se demande bien ce qui a pu passer par la tête de l’auteur pour tenter de faire gober à ses lecteurs qu’il est possible, pour le péquin moyen, de se créer un système de surveillance de masse grâce à un simple compte Gmail. Pourtant, en s’arrêtant au titre, on se dit que l’article va parler d’outils sympas comme mmnt, ShodanHQ ou les excellents Maltego et Casefile de Paterva… Je me disais qu’on allait nous fournir un patch SQLMap pour dorker différents moteurs de recherches, le tout plugué sur un bruteforcer de services en ligne et de réseaux sociaux qui réutilise les dumps de tables passwords en mode automatisé… ben non !
Au lieu de ça, toute la démonstration de l’auteur porte sur « comment créer son programme PRISM en reposant à 100% sur les services de… Google ». Une sorte de Prism dans le Prism ! Fallait y penser.
Et c’est un véritable festival :
One easy way is to use integrated Google services together.
Google now offers 15 GB of free storage that can be divided any way you like between Gmail, Google Drive and Google+ photos. And they’ll give you more if you pay for it.
Google also offers an Alerts service that searches the Internet and mails you the results. Most people set up only the number of Alerts that they can read. But that’s not the NSA way.
The PRISM approach would be to harvest far more Google Alerts than any human could possible process, then use Gmail filters to automatically skip the inbox and send them straight to a specially created folder within Gmail. You can set up new Alerts every day each time you think of an area of interest. These can include people you know, companies to watch, ideas to keep up with.
Repris par BigBrowser, on se rend compte de l’absurde marmelade que l’on obtient :
L’un des moyens les plus simples pour collecter un grand nombre de données, c’est encore d’utiliser de manière intégrée tous les services Google. Avec une offre gratuite de stockage de 15 Go, bon nombres de possibilités s’offrent à vous.
Google Voice (restreint aux internautes américains), un service de télécommunication en ligne, permet ainsi de sauvegarder tous vos appels téléphoniques et chats. Il suffit de cocher l’option de « sauvegarde » pour recevoir toutes vos informations par e-mail et le tour est joué.
Petit rappel, PRISM sur le papier, c’est pour collecter les communications des autres… pas ses propres communications (ça chez les gens normalement cortiqués, on appelle ça une sauvegarde domestique, pas PRISM). A lire l’auteur, on a l’impression qu’il suffit d’avoir un compte Google pour accéder aux communications de tous les utilisateurs de Google… du grand n’importe quoi. Mais la comparaison entre Google Drive, Google Hangout, Google Scholars, Google Vibromassor® et PRISM ne s’arrête pas là. Très sérieusement, l’auteur nous explique que pour se la jouer comme la NSA, il faut tweaker votre code pour bénéficier au mieux de Google Alert (sûrement pour mieux dumper vos flux RSS sur Google Drive !). Bon sang mais c’est bien sûr ! :
The key to great NSA-style data harvesting, by the way, is to constantly tweak your code. Keep adding, deleting and modifying your Google Alerts and RSS feeds to make sure they deliver the kind of data you want.
Mais l’auteur peut encore creuser, il en a sous le pied. Point d’orgue de son article : le filtrage algorithmique. Avons nous sous les yeux l’article du seul journaliste qui semble avoir eu un accès complet aux différents programmes du GCCS-J … dont la presse semble se foutre éperdument en préférant reprendre le premier énorme bullshit qui passe sur « comment sécuriser ses communications mobiles grâce à des programmes diffusés sur l’AppStore d’Apple et maintenant comment jouer à la NSA grâce à Google ? » :
There’s one ironic caveat to using the NSA’s methods for wide-scale information harvesting and algorithmic filtering, which is that the NSA may theoretically know everything you’re doing.
The NSA’s domestic surveillance programs are controversial and possibly unconstitutional. But let’s face it: They work.
« Wide-scale » avec ton compte Gmail ?… on ne doit pas avoir la même notion de ce qu’est le wide-scale.
Pfff t’es juste jaloux parce que t’as pas de Gmail !
« Pourtant, en s’arrêtant au titre, on se dit que l’article va parler d’outils sympas comme mmmt, ShodanHQ ou les excellents Maltego et Casefile de Paterva… Je me disais qu’on allait nous fournir un patch SQLMap pour dorker différents moteurs de recherches, le tout plugué sur un bruteforcer de services en ligne et de réseaux sociaux qui réutilise les dumps de tables passwords en mode automatisé… ben non ! »
A tes souhaits 😉
Les médias mainstream se focalisent sur « Où est Swoden ? » & co mais pas / peu de papiers sur le problème de fond dans ces mêmes médias.
J’avoue que ce papier de bigbrother m’a surpris, je ne m’attendais pas à cet angle là…
t’as rien pigé … c’tait de l’humour …
big browser, c’est comme la chronique geek de BFMTV, c’est de l’humour …
Ce serait pas juste un écran de fumée ? Une tentative de délayer l’énormité du truc dans un bain de stupidité, une sorte de contre-feu un peu dérisoire à destination de ceux qui ne veulent pas trop aller plus loin ?
😀 moi je vois plutôt un excellent article se foutant du monde, mais il faut le prendre au 2nd ou au 3ème degré. Parce qu’au premier abord, c’est vrai qu’il est complètement tordu le bonhomme qui a osé écrire de telles absurdités !
Pareil, j’espere que c’est du 3e degré, parce que sinon on touche le fond du fond ^^
Par rapport à Maltego, ne pas oublier que toutes les requêtes passent aussi par les serveur de Paterva (sauf à acheter la version « server » à installer chez toi mais c’est plus cher).