Vous êtes plusieurs à m’avoir demandé une réaction aux récentes révélations sur ce qui a gentiment débuté par le pseudo scandale Verizon. Je n’en avais pas particulièrement envie car je trouve tout ce foin complètement ridicule. Entre les américains indignés, les européens qui jouent les vierges effarouchées (les anglais qui accueillent des bases relais d’Echelon sur leur territoire doivent bien rigoler), et la presse qui fait ses choux gras de cette information vieille d’une douzaine d’années, j’estimais ne pas avoir de choses particulièrement intéressantes à vous raconter. D’ailleurs, je ne suis toujours pas convaincu que ce qui va suivre sera vraiment intéressant pour nombre d’entre vous… vous voilà avertis. Je ne m’étendrai d’ailleurs pas bien longtemps sur PRISM, car une autre information me semble tout de même un peu plus intéressante.
Depuis quelques jours, il faut l’avouer, je rigole allègrement. Je rigole de la naiveté patriotique candide des américains, je rigole de toute cette presse qui fait semblant de s’étonner, je rigole des réactions des politiques européens qui miment de tomber des nues… car oui, c’est soit disant nouveau, tout ce petit monde peut enfin mettre un sobriquet sur Big Brother : PRISM. Enfin, ça, c’est ce que tout le monde pense, la réalité est toute autre et c’est Kitetoa (désolé pour le ComicSansMS) qui vous l’exposera à l’occasion de Passage en Seine. Prism n’est en fait qu’une infime partie d’un programme bien plus vaste.
Merde ! Les adeptes de la conspiracy theory avaient raison alors ? Ben ouais ils avaient raison…wow le scoop !
C’est quand même pas faute de vous en avoir rabâché les oreilles ici ou ailleurs, pas plus tard que le mois dernier dans ce billet où je vous expliquais qu’un ancien du FBI avait craché le morceau au sujet de la traque des frères Tsarnaev. Il me semble bien avoir écrit en toute lettres que les autorités américaines interceptaient et stockaient toutes les communications… mais bon. #spapossib’ me dit-on. Ce billet est d’ailleurs passé relativement inaperçu, aucun média n’a repris ce qui constituait pourtant une information tout à fait crédible, d’une source qui ne l’est pas moins… mais non, un mois plus tard 12 ans plus tard, tout le monde semble tomber des nues.
Ce billet d’ailleurs m’avait valu les interrogations de certains
« Mais comment ki font ! »;
« Bluetouff tu dis de la merde »;
« Même pas cap les ricains »;
« T’imagines pas la taxe sur la copie privée en achat de disques durs ! »
Et à votre avis ? Quand on hurlait comme des putois sur l’AFP qui cause gentiment sur Skype avec ses sources et qui l’écrit dans ses dépêches, des fois qu’Oncle Sam n’avait pas tapé la bonne requête dans sa base de données pour identifier la source de l’agence de presse… c’était juste pour rire ? Pour troller sur Twitter avec un bot qui crache les dernières dépêches ? Pour le plaisir de se fritter par blogs interposés ? Ou parce que tout indique depuis des années déjà que les américains interceptent non seulement les communications téléphoniques des américains mais aussi à peu près tout ce qui ressemble à une communication à l’exception peut-être d’un protocole encore mal maitrisé, décrit dans la RFC 1149 ?
- Qui me fera gober que la presse américaine ne s’est pas interrogée sur les dispositions pratiques issues du Patriot Act dont l’acronyme signifie « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme » ?
- Qui me fera gober que le Parlement Européen, après les antécédents d’Echelon ne s’est jamais penché sur ce que les USA écoutent, interceptent et stockent…?
- Qui me fera gober que la presse française pensait que les SMS et les conversations de Dominique Strauss Khan ont été tirés du chapeau de Bozo le clown ?
Oui, très franchement, je suis mort de rire, c’est un peu comme si tout ce que la planète compte de faux-culs s’était donné rendez-vous sur la time line du hashtag #Prism…
Les américains, qui ont tous soutenu, le Patriot Act au lendemain des attentats du 11 septembre étaient ils assez naifs pour croire que les autorités américaines allaient contrer une menace intérieure en écoutant uniquement ce qu’il se passe à l’extérieur ?
Il y a quelques années, avant que Wikipedia ne déchaine les passions, les personnes de ma génération qui s’intéressaient au sujet de la surveillance de masse fréquentaient les newsgroups ou des sites web comme Cryptome. Cryptome qui révélait déjà des choses pas jolies jolies sur les durées de rétention d’informations concernant les communications des américains.
- Rétention de données des opérateurs de téléphonie mobile aux USA (1) – PDF 76,6 ko
- Rétention de données des opérateurs de téléphonie mobile aux USA (2) – PDF 87,5 ko
☠ Spapossib’®
Dans le pire scénario que j’avais évoqué il y a déjà bien longtemps, j’expliquais que si la France avait envie d’écouter hors de tout cadre légal et de manière massive les communications électroniques, elle opèrerait ces interceptions depuis l’étranger. Là encore, les réactions à mes « élucubrations » étaient les mêmes : #spapossib’.
Ben oui, mais voilà… non seulement c’est tout à fait possible, mais voilà que le Monde, par la plume de Laurent Borredon et de Jacques Follorou appuie maintenant ma thèse avec des affirmations qui se font un peu plus pressantes et plus précises. Dans un article daté d’hier et intitulé « En France, la DGSE au cœur d’un programme de surveillance d’Internet « , Le Monde pointe les installations souterraines de la DGSE situées boulevard Mortier à Paris. Mais Le quotidien lâche surtout le morceau qui semble passer totalement inaperçu tout obnubilés que nous sommes par PRISM :
La France dispose-t-elle d’un programme de surveillance massif proche de celui mis en place par l’Agence américaine de sécurité nationale (NSA) ? La réponse est oui. La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal.
☠ Etkomentkifon ?
Là encore je vous avais déjà parlé de la bénédiction que representent certains points de concentration du trafic, et plus particulièrement les câbles sous-marin. Mais ce n’est probablement le gros du dispositif. Allez, je vous la récapitules avec des mots très simples. Imaginez une entreprise française qui vend à un dictateur un système d’interception des communications électroniques dimensionné à l’échelle d’une nation. Imaginez que cette entreprise soit, étrangement, aidée par des personnes de la direction du renseignement militaire pour former les équipes sur place. On vend ensuite ce système à d’autres nations, pas franchement connues pour leurs aspirations démocratiques, mais toutes étrangement situées sur une dorsale de trafic Internet stratégique (suivez les câble sous-marins).
☠ Tagada tsoin tsoin …
Et vous obtenez tout simplement un système d’interception stratégique, situé hors de nos frontières, distribué, résilient, suffisamment backdooré pour que nos services puissent y accéder en fonction de leurs besoins et mener des interceptions massives pour extraire une poignée d’informations.
Et ce scénario, comme je vous le disais :
- je l’ai développé ici il y a presque deux ans de ça !
- Kitetoa en a causé assez récemment ici ,
- Et javais jugé bon d’en remettre une petite couche ici.
Allez, je vous la refais :
voici comment je m’y prendrais si je voulais écouter massivement, à moindre coût, et surtout discrètement.
-
J’appuierai, au plus haut niveau de l’Etat, une société privée (un fusible comme on dit dans le jargon), spécialisée dans l’interception de masse, pour que cette dernière exporte ses jouets sur le territoire national des gens que je souhaite écouter. Je leur vendrai le bébé comme une arme de guerre électronique, à part que cette dernière n’est pas répertoriée légalement en tant que telle, et donc, non soumise à un contrôle strict des exportations.
-
J’en profiterai pour surdimensionner un peu le système en prévision d’une utilisation non documentée (un backdoor).
-
J’enverrai ensuite, au nom d’une « fraternelle coopération » des officiers du renseignement militaire pour former les équipes du « client » (comprenez le dindon de la farce). Cette opération de « formation » permettrait en outre de paramétrer le jouet vendu afin que ce dernier soit accessible à distance par les services du renseignement extérieur, avec un accès complet aux interceptions réalisées par le « client »… évidemment à son insu.
-
Ce qu’il y a de bien avec TCIP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.
-
Si je multiplie cette « opération commerciale » avec des « partenaires » géographiquement bien choisis, je m’offre une sorte de cloud de l’interception, financé par des puissances étrangères. Peu importe si elles ne sont pas franchement reconnues comme les plus grandes démocraties. Peu importe si leurs dirigeants sont connus comme des terroristes ou des fous furieux. L’éthique ce n’est pas franchement le fond du problème.
-
En cas de pépin, pas de souci; l’Etat pourrait ainsi se défausser de toute responsabilité. Notre entreprise privée est le fusible, c’est à elle de sauter. Mais évidemment, comme elle demeure « stratégique », je lui offre une porte de sortie en bidonnant une cession d’activité à une société tierce, créée par elle même. Elle pourrait ainsi, par exemple sous drapeau Qatari, continuer à vendre ses petits jouets et la collaboration entre les services extérieurs et cette « nouvelle société » qui ne renaît que des cendres de la première, pourrait ainsi continuer de plus belle et s’attaquer tranquillement à d’autres « marchés ».
-
Si une bande de cyber-beatniks venait à poser des questions au Gouvernement sur la présence avérée d’officiers du renseignement, il suffirait de brandir la menace terroriste et d’expliquer que ces « armes » n’en sont pas, qu’elles sont en fait du matériel grand public.
Le comble dans toute cette histoire c’est que l’aigle, qui est un des symbole du gentils tonton Sam, c’est une marque de système d’écoute d’un dispositif français. Obama P0wned ^^
Beaucoup de naïveté oui, mais pas que….
On se moque allégrement de la façon de faire des gouvernements chinois, iraniens, nord coréens & co (ouais le fameux axe du mal 😉 bouhhhhhhhh) dans nos beaux pays la surveillance / censure / …est juste beaucoup plus insidieuse.
Sans parler de Manning, Assange, Guantanamo, Abu Graib,….
Le bouquin « Kubark », même si parle des méthodes de tortures psychologique, montre jusqu’où le droit n’est ni plus ni moins qu’un vague concept pour certains…
C’est dommage de rigoler, on devrait surtout se réjouir que grâce à PRISM ces questions trouvent enfin un écho dans les médias et auprès du public. Les personnes qui en font des caisses sur PRISM ne sont pas forcément naïves : elles saisissent une belle occasion d’alerter le public. Ce « foin » n’est pas ridicule, il est salutaire, putain.
En même temps, avec l’avènement des objets connectés, va y avoir de plus en plus d’info.
C’est limite sur ça qu’il faut jouer. Trop d’info tue l’info. Sans parler de la redondance d’information propre à Internet. Je pense que la principale faiblesse de ces systèmes d’écoutes généralisés c’est justement ce pour quoi ils sont conçus
> C’est limite sur ça qu’il faut jouer. Trop d’info tue l’info.
Je n’y crois pas: la quantité actuelle d’information produite par la téléphonie est déjà énorme, elle est difficile à analyser. Le buzz WOT essayera de nous vendre des machins produisant des données faciles à utiliser (pauvres en information et au codage simple). L’obstacle de la voix est visiblement tombé, les frigos et autres télés connectés ne seront pas un pb vu les données qu’ils vont pouvoir produire.
Le boulot de recherche sur le data mining et sur le big data fait l’objet de gros financements, ce n’est sans doute pas sans rapport avec notre sujet. L’étape suivante (ce très bon article me semble surtout parler d’archivage) est l’analyse automatique des données collectées…
Un seule solution (avant la révolution bien sûr ;): un usage massif de chiffrement avec des tailles de clef respectables. Mais ça n’a rien d’une nouveauté…
Et avec les ordis quantiques qui peuvent casser du RSA en 20 min ?
Pour rappel, pour ceux qui pensent que cette hypothèse est fallacieuse, la NASA et Google viennent d’en acheter un pour 30 millions de dollars.
Aïe. Bon si c’est bien 20 minutes pour casser une clé ils ne peuvent que faire du cas par cas, mais ce n’est pas rassurant.
Il existe des contre mesures utilisable ?
C’est bizarre, parce que j’ai ouïe dire qu’il était possible de mettre en place des chiffrements à l’épreuve des chinois du fbi:
Et puis quel type de clés RSA? les 64 ou 128 bits?
Un peu plus de précision là dessus, genre un lien ou un truc du genre? J’ai du mal à croire qu’on en soit déjà à construire des machines pouvant casser de grosses clés RSA en 20mn.
mais… spapossib’ !!
t ouff blue !!
Pas exactement le même sujet, mais tout aussi important si ce n’est plus, il n’y a aucune fatalité technique ou légale à la goinfrerie actuelle d’informations personnelles sur les « profils utilisateurs », ni à l’utilisation de vrais noms plus ou moins imposée, etc.
Et *aucun besoin d’ID unique* partagé entre les services par utilisateur pour que les choses fonctionnent « sans friction ».(au contraire garantie d’échec, et à éviter à tout prix.
Par contre besoin nouveau rôle, plusieurs organisations ds ce rôle, et séparation très claire des rôles.
Il serait vraiment pas mal que F Pellerin le comprenne, dans le contexte « IDeNum » :
http://iiscn.wordpress.com/2011/06/29/idenum-une-mauvaise-idee/
D’autre part aucune loi « défensive ou contraignante sur l’existant » ne fonctionnera, un réel problème de structure, nouveau rôle, et cadre légal.
Rhô je dois être dur de la comprenette… je lis quasiment tout ici mais je n’avais pas saisi que dans l’affaire Amesys, il s’agissait de nous écouter nous…
Bon ben maintenant j’ai saisi, dès fois il vaut mieux utiliser des phrases directes plutôt que des sous-entendus…
Ce que je me demande, c’est 1)comment ils font pour trouver des infos pertinentes s’ils écoutent TOUT sans discrimination, et 2)si c’est rentable pour eux? ad.1 C’est pas parce que j’aurai passé un appel chez Verizon qu’un employé de la NSA l’écoutera. ad.2 J’imagine que les dépenses en disques durs de la NSA sont une demi-goutte d’eau pour le budget des US, mais les ressources humaines pour tripatouiller et data miner tout ça?
Ils stockent tout et analysent au coup par coup, en fonction des besoins. Le data mining c’est le ciblage, quelques critères et hop, ça devient un volume d’infos exploitable. Ils ne t’écouteront pas volontairement par hasard; s’ils ont besoin de connaître des choses sur toi, là ils t’écouteront.
Le matériel dont disposait Khadafi permettait de stocker toutes les conversations du pays pendant 1 mois, et de lancer des transcriptions automatiques, ça n’a pas l’air hors de portée de la NSA de faire la même chose à l’échelle des Etats-Unis et de quelques autres pays.
Le pire là-dedans, c’est que tout le monde s’en fout.
Quand j’ai parlé de PGP à mes amis il y a quelques années, plusieurs réactions :
– c’est compliqué
– qui ça va intéresser les photos de nos chats
– t’es parano
– de toute façon j’ai rien à cacher
Autant vous dire que personne parmi la 20aine d’amis, n’a installé PGP et créé une keypair…
C’est l’occasion rêvé pour retenter le coup, d’autant que les outils sont pour certains encore plus faciles à utiliser qu’il y a quelques années 😉
Maintenant que nous savons que les écoutes des télécommunications et d’internet sont généralisées, que faire ?
L’ensemble de la population n’en a rien à cirer et j’ai beau expliquer la situation, je passe perpétuellement pour l’empecheur de tourner en rond.
Je commence à fatiguer à prêcher dans le désert.
Oui, c’est vrai, les gens ont été naïfs mais à ton avis combien de personnes novices lisent ton blog ? ZERO, ou presque. Tout comme le mien.
Cracher et critiquer contre ceux qui ne s’y connaissent et péter plus haut que son cul J’vous l’avait dit !, ce n’est pas la bonne solution pour se faire écouter.
« Les adeptes de la conspiracy theory » Bah oui forcément, on ne récolte que ce que l’on sème.
Je suis d’accord avec pas mal de choses, je ne suis pas pour troller ou critiquer je te replace, c’est tout 😉
Je suis d’accord avec toi. Les gens « découvrent » que on les surveille.
Aux US on fait une loi avec un nom ronflant pour faire en sorte que si on s’y oppose on passe tout de suite comment un barbu-chinois-du-FBI-pédo-nazi-mangeur-d’enfant.(AKA=> Patriot Act) Car après tout après des attentats qui s’opposerait a une loi avec un tel nom…
Ils font appel avec hypocrisie aux « pères fondateurs » alors que Benjamin Franflin disait : »Those who would give up Essential Liberty to purchase a little Temporary Safety, deserve neither Liberty nor Safety. »
Il suffit de songer à google maps et à la qualité résolution des photos. Il y à quelques années on admettait pouvoir lire une plaque d’immatriculation. Aujourd’hui et sans paranoïa il doit être possible de pouvoir lire l’heure sur la montre d’un gus.
Petite question cependant: est-ce l’eagle Lybien était backdooré ou y avait t’il un échange de bons procédés?
Parce qu’à l’époque Sakro et Kada est kopaings.
Merci
» En France, la DGSE au cœur d’un programme de surveillance d’Internet »
Jamais entendu parler de Frenchelon ?
Il y avait HERISSON en effet, mais pas aussi vicieux en apparence.
Bon, et bien on progresse.
Prism c’est pas bien. Patriot Act était une entourloupe intellectuelle, comme les armes de destruction massive de l’Irak, comme les grottes de Tora Bora, comme le métal qui fond dans un incendie… etc etc
Tout ceci est en rapport avec des évènements dont je ne me rappelle plus la date précise ni le nom, mais ça devait être vers 2001.
D’autres mythes risquent encore de s’effondrer. Mais c’est encore un peu tôt.
Comme dans tout bon film hollywoodien, le meilleur est pour la fin.
Ce qu’il y a de bien avec TCIP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.
Mais ça nécessite la coopération des opérateurs sur un réseau configuré correctement (filtrage de préfixes, peering privé), et c’est très loin d’être discret, vu qu’il faut intercepter une bonne plage d’adresse : les recommandations sont de filtrer les préfixes trop grands (> /22) pour éviter d’exploser les tables bgp … Rerouter une telle quantité d’IP (et donc de traffic), ca va faire chauffer les fibres ! Chercher « bcp bgp security » pour plus d’infos. Et ca se verra aussi dans les looking glass et autres outils de rejeu bgp, comme vu après les récentes déconnections iraniennes/syriennes, ainsi que dans les temps de réponse dans un traceroute (il faut un peu de longueur de fibre pour faire un aller/retour a l’étranger).
Je ne pense pas que ce soit la solution utilisée, c’est pas assez discret. C’est bien plus simple d’écouter directement à la source. Une écoute de fibre (split) ou même un banal netflow/sflow c’est bien plus simple et discret (pour le public). Et le nombre d’opérateurs internet/téléphone n’est pas trop élevé en France, donc pas trop de sondes à placer. Je parie qu’on trouve des salles cachées dans les POP des fai français.
Rien n’empêche de renvoyer le tout à l’étranger ensuite … Mais c’est pas les RG/DGSE ou autre qui vont s’embeter avec les lois …
Eh bien, on va se faire traiter de rageux maintenant aussi si on parle à mme michu « tu vois bordel, jte le repête depuis 12 ans qu’on va au casse pipe à vitesse grand V ! mais tu m’écoutes pas bordel, à chaque fois, je suis un conspirationniste »
Et le résultat est toujours le même. Mr et mme michu est étonné, grand yeux ouvert tel le hibou surprit.
Bordel…
Merci pour ce bon texte. Jvais essayer de faire lire ça aux copains, mais à par demander à nabilla d’en parler en faisant une petite danse exotique, je vois mal comment mes potes essayeront de s’interesser au sujet.
Ha, mais oui, mais non, monsieur Bluetouff. Que nous le sachions (en partie grâce à vous), et qu’on ne soit pas surpris ok.
Mais il faut y voir la possibilité éducatrice du bordel.
Cet événement, il faut le prendre comme un choc de conscience pour madame Michu et tata Jeannine. C’est le moment pour nous de les éduquer un peu, de leur expliquer les choses, parce que là maintenant, leur temps de cerveau est disponible, et la fenêtre de tir va être courte avant que l’on nous traite à nouveau de conspirationniste.
Fin je dis ça hein…
« Mais il faut y voir la possibilité éducatrice du bordel. » Tout à fait, c’est pas à nous qu’il faut dire ça c’est à ta soeur ou ta tante.
Les « madame Michu » comme tu les appelles n’en n’ont rien à faire de tout ce bordel, peut-être seulement jusqu’à ici. Comme toi tu t’en tapes surement de la déforestation ou de l’aspartame dans le coca.
Il faut éduquer, sensibiliser sans les prendre de haut.
très rigolo les grandes gueules ce matin sur RMC, à grand renfort de Spaspossib’ et faupadéconner ça se saurait si on savait faire, de toute façon Fleur elle va vérifier que sur le territoire français… SIC !
Bonjour et merci pour ce bon texte, un peu atterri ici par hasard …
Je suis au peu au courant de tous ces trucs mais pas expert, loin de la, comme certains… je suis meme un novice lambda meme si je pratique internet depuis un baille… j’ai connu irc, le html, etc etc, bref depuis 1997 en gros …
Mais voila, au fil du temps je me suis laissé embrigadé par la facilité, pour le taf, pour le confort … Google, Gmail, Facebook, Chrome, Apple … en plein dedans quoi … alors j’ai commencé à me reveiller depuis quelques temps, petit à petit, retour à Firefox, duckduck… mais la le coup de Prism c’est la goutte d’eau pour moi et d’autres autour de moi… Resultat et objectif : quitter Gmail ( ca prend un peu de temps, ca s’organise un peu … ) retour au libre au maximum … par contre pour Facebook… que faire ? quitter ? y’a que ca à faire non ? quitter, se sevrer …
Manhack hier sur arte disait qu’il était plus judicieux d’être attentif à ce que l’on post et à la façon de l’utiliser que quitter complètement…
C’est un point de vue…
Oui je viens de regarder l’émission. Ils ne disent pas grand chose quand même,focalisant sur le Whistleblower plutôt que sur le fond du problème.
Vivement de la tune, que je puisse remettre un vpn.
And what about INDECT?
https://www.youtube.com/watch?v=8OQba_yyi8I
http://fr.wikipedia.org/wiki/INDECT
Moi, c’est décidé je vais remettre un vpn et comme ça tout le monde sera content. Ils nous barbent avec leur Prism à deux balles !
Galaxy S4 zoom