Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux « je n’ai rien à cacher ».

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

EPSON MFP image

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services « pros » aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques »« Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit « Isabelle, tu exagères… », voire « Tu es parano », même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.

25 réponses sur “Sécurité : l’après Snowden vu du smartphone d’un eurodéputé”

  1. C’est un constat édifiant, déprimant, mais logique. Il y a un monde qui sépare les générations en ce qui concerne le numérique. Nous avons un pays dirigés par des vieux, old school qui n’ont pas cherché à comprendre le monde informatique et tout ce qui y est lié. En gros, la plupart sont de vieux briscards qui ne savent même pas ce que signifie HTTP:// que veux tu faire avec ça ?

    Attendre qu’il claquent tous et qu’une nouvelle génération de politiciens, avertis et consciencieux arrive. Mais je crois qu’il est déjà trop tard, les lobbying ont déjà la part belle sur le monde de la surveillance et de l’espionnage numérique. Notre pays est grave en retard et le discours qui est sorti c’est  » j’ai rien à cacher alors je m’en cogne « . Un peu comme lorsque ta belle sœur fou des photos de son môme de 4 ans sur FB. Le môme dans 15 ans, il va se mordre les doigts, il a rien demandé pour être affiché comme ça, en pâture … On est dans une société égoïste et individualiste qui ne voit pas plus loin que le bout de son nez, qui ne réfléchit plus parce qu’elle ne s’éduque plus, ne s’informe plus, elle suit le chemin comme un mouton suit son berger. Et quand le Berger lui même suit le chemin tel un mouton également à la solde d’un plus gros élevage, alors on s’en sort plus.

  2. Je ne suis pas plus étonné que ça …il y avait deja des soucis de sécurité dans le gouvernement Sarkozy , c ‘est bien gentil de parlé chiffrement , mais il faut des murs en beton et des gardes , donc un vrai OS digne de ce nom et des spécialistes …

  3. Dur choix à faire entre l’utilisabilité (le confort) et la sécurité. Je prend un exemple con : Utiliser un Microsoft Word 2013, c’est vachement plus confortable qu’un openOffice (oups, devrai-je dire « LibreOffice »)… Sans déconner, l’OpenSource est parfois a des années lumières de ce que peux produire une boite pro, avec un système fermé.

    C’est un choix à faire. Peut-être que l’état devrai investir des effort de dev sur une version d’OpenOffice ultra sécurisée et aussi facile et agréable à utiliser que MS Word?

    1. Je vais prendre sur moi pour ne pas devenir vulgaire…

      « Utiliser un Microsoft Word 2013, c’est vachement plus confortable qu’un openOffice (oups, devrai-je dire « LibreOffice »)… Sans déconner, l’OpenSource est parfois a des années lumières de ce que peux produire une boite pro, avec un système fermé. »

      …Tu te trompe lourdement.

      1. J’avoue Bluetouff, grand fan d’Office (pas de MS en général mais d’office et de Word et D’excel en particulier). j’ai un grand plaisir à utiliser Word et Excel (2013 dans mon cas, mais cela fait un moment).
        A la maison, comme je ne pirate pas les softs, je n’utilise pas Office (trop chère) et je me suis donc installer fièrement un Libre Office.
        Je souffre vraiment. Je dois mal m’y prendre mais j’avoue que j’insiste, je cherche, je tente de retrouver mes marques, mais ce que je fais en quelques secondes, sans difficultés sous MS Office, j’arrive pas à le faire sous Libre Office.
        Alors cela ne fait que quelques semaines que je bosse sur LibreOffice à la maison, peut être que c’est le temps d’adoption qui est plus long hein, mais je retrouve pas mes petits.

        Bon, je pense que malheureusement, certains des avantages important de libre Office (version portable, support du changement de langue d’interface) ne me touche pas directement car je n’en est pas besoin …

        Bref, je continue mes efforts pour apprendre à utiliser libre Office, mais pour le moment, je le trouve « moins bien » et « moins fonctionnel ». (je parle pas d’ergonomie, c’est très subjectif comme avis ca …)

        1. Je me rends compte que j’aurais tout de même du préciser ma pensée… Je vais essayer de ne pas rentrer dans le troll de l’IHM et du ressenti utilisateur qui est à mon sens loin d’être LE critère absolu pour juger si un logiciel est professionnel ou pas.
          Ce qui m’a fait bondir dans l’affirmation de Christophen, c’est l’opposition entre :
          Logiciel propriétaire et privateur de liberté : un truc professionnel
          Logiciel libre : donc « logiquement », pas professionnel/
          Cette affirmation est une absurdité.
          Internet est construit sur la base exclusive de logiciels et de protocoles libres… est-ce qu’aujourd’hui vous qualifieriez Bind, Apache ou BGB de « pas pros » ?

          Vient ensuite la question de la sécurité dans le même commentaire.
          Microsoft fait des logiciels tellement « professionnels qu’il met parfois plus de 7 ans à corriger des trous de sécu qui ont coûté des millions aux entreprises (notamment sur Netbios).

          Ensuite savoir si sur un traitement de texte le compagnon office ou le chien qui aboie est plus pro qu’OpenOffice… ça ne changera pas mes raccourcis emacs 😉

    2. L’exemple de MS Word est des plus mauvais, c’est clairement une question d’habitude. Quand des collègues veulent savoir comment j’ai fais tel ou tel truc sous LibreOffice je suis bien incapable de leur montrer sous MS Word (et eux de le trouver).

      Il arrive qu’un logiciel fermé soit plus performant qu’un logiciel libre, mais ce n’est en rien du à ce choix de privation de liberté (les facteurs sont multiples : plus d’expérience, plus grosse équipe, …). Cela vaut parfois aussi pour le cas inverse.
      La position dominante de nombreux logiciels fermés est par contre très souvent du à leur modèle qui coince les utilisateurs et les obligeraient à faire de gros efforts pour changer (travaux lisible seulement avec leur logiciels, inter-dépendance logicielle, ect…)

  4. Je rejoins l’avis de ChristopheH pour le très grand confort d’utilisation de Word 2013, beaucoup plus pratique et intuitif qu’OpenOffice/LibreOffice.
    Par contre cela ne veut en rien signifier qu’une « boite pro » et « fermée » fait « mieux » … surtout que les principaux contributeurs des principaux logiciels opensources et/ou libres sont justement des « boites pros ». Il ne faut pas faire de mauvaises associations 😉

    L’autre aspect est aussi la popularité d’un système/logiciel, plus un système est populaire et utilisé, plus il va attirer l’intérêt des personnes malveillantes. Un Windows n’est pas forcément moins sécurisé qu’un Mac OS X (surtout que je ne vois pas comment on pourrait le « mesurer » proprement), c’est surtout qu’il s’attire bien plus d’attaques du fait de sa popularité.

  5. La notion d’un soft plus utilisable qu’un autre ou plus intuitif est parfaitement subjective. Après il y a des choses techniques qui sont faits par les fabricants qui peuvent convenir à certains et pas à d’autres. Il n’y a pas de meilleur en fait il n’y a que des chois ou des outils mis à disposition.

    Cela dit, il y a une notion importante à rajouter dans notre choix de tel ou tel soft, c’est :  » Est ce que ça respecte une certaine éthique « . Et là il faut chercher, rassembler les pièces du puzzle pour voir qui fait le logiciel, dans quel but, comment a t il été conçu etc … On en revient finalement à une différence notable entre les gens qui utilisent le libre ou le non libre : le choix par conviction et non par qualité technique ou aspect ergonomique.

  6. @Snow : Non, je ne suis pas d’accord, le fait que qu’une IHM soit plus ou moins « intuitive »/ergonomique se mesure complètement. Ca n’est pas subjectif. Quand tu vas à l’école, tu commences par faire une éval avec les critères de Bastien & Scapin (truc bateau, mais c’est le debut). Puis après tu commences à mesurer les distances qu’il te faut pour cliquer, là où le regard de l’utilisateur se pose naturellement, etc. Tout cela, MS le fait depuis longtemps car les chercheurs qu’ils embarquent sont vraiment bons (je parles des chercheurs hein).

    Tout ça pour dire Bluetouff, que tu le veuille ou non, il a pleins de cas où il est plus agréable d’utiliser un logiciel créé par une grosse boite Big Brother, que d’utiliser un même logiciel mal foutu, peu intuitif et finalement, pas utilisable par des « lambdas », open source, sécurisé et garantie sans backdoor. C’est triste je sais, mais c’est la réalité.

    C’est aux Madame michus qu’il faut penser, pas aux connaisseurs que nous sommes tous (phrase potentiellement ironique ^^) car la faille, c’est Madame michu souvent (je considère nos députés comme des Monsieur Michu…).

    Ou on fait de l’éducation pour faire comprendre aux gens la notion de VPN (LOL), ou on fait en sorte que ça soit hyper transparent pour eux.

    1. la facilité c’est de se dire : MO est plus facile à utiliser que Libre office. Donc en gros je me dirige vers le plus simple ou ce qui parait être le plus simple. Alors au départ c’est vrai, quand t’es habitué depuis 20 ans à utiliser le même soft, t’en dépêtrer c’est pas facile, tu as tes habitudes. Suffit que l’interface soit léger différent dans l’autre logiciel et la flemmardise prend le dessus. mais là on parle ergonomie, subjective.

      Moi je te parle de la seconde notion a mettre dans la balance, celle du choix fait par la conviction.
      Je n’ai plus Word ni office sur mon pc à la maison. j’en suis heureux, parce que je n’adhère pas à pas mal de choses. j’ai tenté linux, j’ai gardé. J’ai aussi Crosoft pour les jeux (oui j suis gamer) et la musique MAO étant musicien aussi. Mais je cherche à réduire les possibilités de filer de la thune à des lobbying sans éthique et sans scrupules. C’est à ça qu’il faut réfléchir, au delà de son confort, quel sera l’impact de mon choix sur d’autres générations (plus vieilles ou plus jeunes).

      Mes parents par exemple sont sous W8, ma mère pête un cable. C’est à choix ergonomiquement parlant quand t’es pas branché tactile. Elle veut à nouveau Seven. J’vais lui glisser l’éventualité de mettre linux également avec boot au choix. Il faut commencer à réapprendre aux gens que d’autres solutions existent et que ces solutions sont viables, et ont de bon objectifs louables et des valeurs positives. Mais il faut aussi expliquer que ça demande certains sacrifices, et une adaptation, et un peu de mettre à la porte sa propre flemme.

      1. Sauf que dans le cas d’un boîte qui travaille sur du Word ou Excel à longueur de temps, et que les clients ne demandent aucunement d’avoir du LO, et bien tu continues avec Office et tout le monde est content, personne ne se pose de questions d’interopéra-machin, etc…

        Je me suis séparé du libre pour cette raison: il faut savoir être pragmatique, et surtout, quand tu veux gagner ton pain à la fin du mois, tes convictions, tu les mets bien au chaud. Après chez toi, tu fais ce que tu veux. Comme toi, je suis musicien (MAO également), j’ai une biblio de jeux bien rempli, et je m’en carre le steak d’être sous Windows. Par contre, quand j’ai envie de surfer, regarder des photos, coder pour le fun, bidouiller, apprendre ou faire quelques courriers pour moi ou m’amuser avec mon petit, un Linux ne fait pas de mal. N’est ce peut être pas là la vraie liberté ?

    2. Merci de lire ma réponse un peu plus haut Chritopheh, car comme tu le dis si bien, que ça te plaise ou non, ce que tu dis est au bas mot réducteur et c’est surtout parfaitement inexact et insultant.
      Si encore tu me parlais de fonctionnalités avancées de publipostage qu’il manquerait par exemple sur le writer d’OpenOffice, je pourrais comprendre, mais très franchement ce n’est pas en mettant en avant ton ressenti utilisateur « au doigt mouillé », sans trop savoir pourquoi, que tu arriveras à me convaincre.
      PS : que vient faire un VPN dans ton argumentaire ?… tu n’as pas l’impression que tu pars un peu loin là 😉

  7. Pour en revenir à l’histoire d’origine, on n’a pas d’info « techniques » sur ce détournement d’ActiveSync ?

  8. Je propose d’utiliser LibreOffice pendant 10 ans. Puis, un jour, de lancer un Word ou un AbiWord : LibreOffice apparaîtra bien plus naturel que n’importe quelle autre solution…

    Nous avons MS dans la peau grâce à la vente liée depuis 30 ans… malheureusement, la desintox est difficile.

  9. @snow Les jeunes n’en savent pas plus ni mieux que les plus âgés en matière de sécurité informatique et de confidentialité des données et je ne crois pas que la France soit si en retard, après tous les députés concernés n’étaient pas tous français…

    Mais effectivement cela soulève un gros lièvre, d’autant plus malvenu qu’on vient de se prendre la NSA et PRISM dans la figure. Cela dit, l’administration, au niveau européen,qui est intégralement passée aux logiciels libres plus contrôlables avec le plus grand nombre de postes est l’administration de l’Intérieur française. Cela signifie qu’il faut d’une part une volonté politique forte (je ne parle pas de politique politicienne) et d’autre part des personnes moins susceptibles d’être influencées par les lobbies (ce que je pense exactement est carrément diffamatoire) et, probablement des compétences intellectuelles qu’on ne trouve pas forcément dans toutes les institutions (par exemple se dire qu’on peut faire autrement, que la marque ne se suffit pas en soi et d’avoir un minimum de paranoïa efficace).

  10. C’est à se demander si il faudrait pas paralyser le sénat et l’assemblée national pendant une semaine histoire de leur montrer que l’informatique est important et sa sécurité essentielle.

  11. Pour moi qui utilise plutôt Latex ou Markdown, il y a deux choses.

    Tout d’abord, cela a déjà été dit, Microsoft fait des produits de bureautique depuis pas mal temps, ils ont eu le temps de bosser sur l’ergonomie et de s’incruster partout. Personnellement, je pense que le problème des gens est plus un changement d’habitude qu’un problème d’ergonomie. Il suffit de regader les changements d’interfaces opérés par MS sur Office 2k7 et suivants ainsi que Windows 8. Je pense cependant que madame Michu est capable de passer très facilement de MS Office à Open Office, surtout si elle se sert du logiciel pour de fonctions basiques et qu’elle a connu les versions d’avant 2007.

    Ensuite, La plupart des utilisateurs n’ont qu’une connaissance limité des fonctions de logiciels. Beaucoup font des documents structurés en utilisant seulement la barre de raccourcis. Donc des documents textes en utilisant la mise en forme des caractères plutôt que des paragraphes, numérotation de titre avec les puces/énumération, non inclusion de certaines ressources à cause de l’utilisation abusive de cliquer-glisser. (Dans les tableur, c’est plus du genre je permute les colonnes car le raccourcis de tri ne tris que selon le contenu de la la premier colonne sélectionnée).
    Ils font ça parce que l’ergonomie du logiciel n’est pas pensée pour mettre en avant la structuration du document, mais le fait d’avoir un jolie simplement. Ils ignorent d’ailleurs qu’il existe des possibilités de structuration du document parce qu’ils obtiennent malgré tout un truc qui leur semble correct visuellement après beaucoup d’effort et de bidouille. De ce côté là, MS office et Libre office sont à mettre dans le même panier.

    Bref pour moi le problème de Word (comme Open Office) est qu’il a donné de mauvaises habitudes dans la rédaction de documents, parce que ce qui est mis en avant est la mise en forme des mots et non la structure du propos. Personnellement, je trouve beaucoup plus naturel et facile de rédiger en Latex ou autre Markdown. Ça demande un petit effort pour Latex, mais en Markdown c’est l’affaire de quelques minutes avec un bon éditeur.

  12. Numerama donne plus d’info même si le titre reste racoleur :

    (Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n’est pas celui attendu, et demande confirmation à l’utilisateur s’il souhaite tout de même s’y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)

    Donc même si je ne peux que pluzzuner tout cet engouement pour le logiciel libre, Microsoft ActiveSync n’est pas en cause et l’utilisation d’IMAPs aurait conduit au même résultat… seule solution, le VPN ! (mais libre hein :p)

  13. Vous avez réfléchi au concept d’influence (des masses), d’habituation, de quart d’heure de cerveau disponible dans l’accointance avec les logiciels proprio ? Le fait, en gros, qu’à force d’être toujours dans le même environnement, on en vient à trouver normal d’appuyer sur un bouton démarrer pour éteindre un OS, par exemple ? Que si on décidait de coder les fonctions les plus utiles et les plus utilisées dans un traitement de texte en raccourcis claviers au lieu de menus contextuels par clic droit et autres onglets, on ne serait pas à chercher en permanence les fonctions ? Comme le ctrl+C et ctrl+V par exemple ? Avant, il y avait les touches de fonction. Ca suffisait. Les IHM ont tendance à enfermer les utilisateurs. Ils ne savent pas utiliser un logiciel, ils sont conditionnés à un logiciel. La nuance est importante.

Répondre à Flo Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.