#PRISM : Comment passer d’un #spagrave® au #chuichoquée® en moins de 48h ? (avec du @fleurpellerin dedans)

catchlonNos politiques européens sont de très talentueux comédiens. L’indignation d’Angela Merkel, en soi, c’était déjà risible. En France, exception culturelle oblige, nous ne sommes pas les plus mauvais quand il s’agit de sortir les violons pour endormir les masses. Souffler le chaud et le froid, c’est un art. En la matière, Fleur Pellerin est loin d’être la plus mauvaise. Notre ministre, en plus d’avoir une parfaite compréhension technique de l’affaire PRISM et des différentes sources d’informations constituant le gros de la doctrine SIGINT des USA depuis les attentats du 11 septembre, connait parfaitement les dossiers relatifs à la surveillance des réseaux, attendu qu’elle s’est très probablement penchée sur la cession d’Eagle par AMESYS à AMESys (le spin-off d’Amesys domicilié aux Émirats Arabes Unis pour vendre des outils de surveillance de masse sans avoir à se soucier d’éventuelles violations des droits de l’Homme… business is business).

Souvenez vous c’était il y a 48 heures, lors de son passage sur BFM. Fleur Pellerin nous expliquait quelque chose de très surprenant… Elle mentait, à minima, par omission :

« Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)»
(…)
« il n’est pas question d’une surveillance généralisée des réseaux (…) »

Aujourd’hui, le Monde titre « Espionnage de la NSA : la classe politique française estomaquée ». Estomaquée… rien que ça. Et la petite perle, c’est quand même la réaction toute neuve de Fleur Pellerin, qui avant les révélations du Guardian au sujet de l’espionnage des instances européennes, minimisait la portée de PRISM… mais non en fait, pas de PRISM (qui tout seul n’est pas grand chose et dont il fait peu de sens de  dissocier du contexte global), mais bien du programme de surveillance de masse opéré par la NSA et au moins 7 pays européens partenaires de la NSA, tous bien complices, tous parfaitement au courant.

Voici la réaction toute neuve de Fleur Pellerin :

En revanche, Mme Pellerin s’est dite choquée par le « dispositif de surveillance généralisée » des populations révélé par les premières fuites d’Edward Snowden, le programme Prism. Interrogée sur l’opportunité de représailles, comme la suspension des discussions commerciales, la ministre a appelé à « ne pas mélanger les sujets à ce stade. »

Si je rejoins Fleur Pellerin sur la position à adopter face aux USA, en évitant de tout mélanger, je suis bien plus sceptique sur le message subliminal renvoyé par ce genre de revirement. Non pas de la part de Fleur Pellerin qui se dit choqué par la mise sous surveillance des citoyens, mais par les réactions de nombreux politiques, tout bords confondus, que l’on entend s’indigner pour la surveillance des institutions européennes.

Lisons entre les lignes :

  • Que la NSA viole les communications privées de tous les citoyens européens, ça, on s’en fout, c’est pas grave, on peut le minimiser, histoire de couvrir les pratiques de nos amis à gros zizi... et il faut le dire, aussi un peu peut-être nos propres pratiques.
  • Que la NSA viole les communications publiques d’une institution publique, au service du public, et financé par de l’argent public, ça c’est choquant !

Puis après tout, si l’UE n’a rien à se reprocher, c’est qu’elle n’a rien à cacher non ? Ah non ? Ça marche pas ça avec les institutions ? C’est que pour les citoyens ?

Heu … WTF ? Aurais-je loupé un épisode ?

Les inquiétants mensonges de Fleur Pellerin au sujet de PRISM

lolcat-oathOn attendait une réaction de Fleur Pellerin au sujet de PRISM un peu moins farfelue que « le cloud souverain » avec lequel elle a tenté de nous endormir la semaine passée. Nous avons failli en avoir une ce matin un peu plus sérieuse… mais non. Fleur Pellerin a décidé de récidiver et de s’enfoncer dans le mensonge.

Dormez tranquilles citoyens, la République et l’Europe veillent.

Une fois de plus, notre ministre, reçue par Jean-Jacques Bourdin sur BFM a commencé à évoquer PRISM d’une bien étrange manière. Écoutons attentivement ses propos, ils sont édifiants.

Pour notre ministre, PRISM, c’est juste l’équivalent de la PNIJ, des petites interceptions ultra ciblées qui ne concerneraient qu’une poignée de personnes, le tout sur demande d’un juge.

« Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)« 

Comme si l’interception de fibres sous-marines ne concernait que « quelques sites »… ahem…

L’ensemble du trafic et des communications des américains, dans la bouche de Fleur Pellerin devient donc « un certain nombre d’informations ».

« il n’est pas question d’une surveillance généralisée des réseaux (…) »

Ah… ça, c’est quand même gonflé !

De deux choses l’une, soit Fleur Pellerin est très mal informée, soit elle ment éhontément pour nous cacher quelque chose. Et comme je doute fort qu’elle soit mal informée, j’en déduis assez logiquement qu’elle nous ment avec un aplomb qui ne peut que cacher quelque chose d’inquiétant… au hasard, la complicité des autorités françaises (et européennes) sur des programmes connus de longue date, auxquels nous collaborons certainement et des écoutes hors de tout cadre juridique, opérées depuis l’étranger.

Le cabinet de Fleur Pellerin lui aurait il caché Mainway, Nucleon, Marina (…). Loin d’être comparable à un programme d’interception judiciaires, PRISM s’inscrit au sein d’un programme beaucoup plus vaste d’interceptions parfaitement massives composé de plusieurs sources de renseignement d’origine électromagnétique comprenant :

  • L’accès aux données chez de gros acteurs de la téléphonie et de l’Internet (avec stockage pour une durée indéterminée et exploitation à postériori) ;
  • L’interception massive des données au cul des câbles sous marins ;
  • Le piratage de backbones pour accéder à des masses d’informations considérables ;
  • Et probablement bien d’autres joyeusetés.

Voyons par exemple ce que dit CNet (et c’est le son de cloche dans toute la presse anglo-saxonne)

Newly disclosed classified document suggests firms allowed spy agency to access e-mail and phone call data by tapping into their « fiber-optic cables, gateway switches, and data networks. »

Fleur Pellerin, comme la commission européenne, est également étrangement silencieuse au sujet de Tempora, le programme britannique d’interceptions de masses.

D’ici à ce qu’on apprenne que la France était non seulement parfaitement au courant de Stellar Wind et fait elle même partie du dispositif, il n’y a franchement plus très loin. Mais voilà, Fleur Pellerin le sait, ce qui est à peu près accepté aux USA ne le serait probablement pas en France. Pourquoi ? Parce que contrairement aux USA, la France ne dispose pas de loi antiterroriste comme la FISA (Foreign Intelligence Surveillance Act) ou le Patriot Act permettant de violer massivement les communications de l’ensemble de la population.

Et plus le temps passe plus tout porte à croire que notre ministre allume des contre feu ridicules pour tenter d’éluder quelque chose dont elle a parfaitement conscience et qui devient particulièrement nauséabond.

Fleur… attention, ça commence à se voir.

HADOPI : vers la fin d’une absurde prohibition culturelle ?

prohibitionJe vous annonçais ce matin que quelque chose d’énorme était en train de se préparer rue du Texel… et effectivement, la surprise est de taille. Comme je vous l’expliquais tout à l’heure, l’HADOPI marque une volonté de sortir de la riposte graduée contre laquelle nous luttons depuis plus de 4 ans. Mais contrairement à ce que l’on peut déjà lire dans certains articles, il ne s’agit pas d’une licence globale : ce ne sont pas les utilisateurs qui financeraient directement par une contribution ce système, mais les acteurs qui en tirent un profit financier. L’HADOPI envisage ce que nous n’osions nous même pas imaginer après tout ce temps à avoir l’impression de lutter contre des moulins à vent : une reconnaissance, formelle, des échanges non marchands, s’appuyant sur un système de rétribution des auteurs, financé par les diffuseurs faisant commerce (direct ou indirect) de la diffusion d’œuvres de l’esprit dématérialisées.

Pour ceux à qui ces mots font mal au crâne, je vais vous la faire plus simple :

Si ce projet est mené à bien, nous pourrions enfin échanger en peer to peer sans qu’une bande de guignols ne tente de flasher notre adresse IP pour la transmettre à l’HADOPI… fini la police privée du P2P, fini les spams qui vous demandent de « sécuriser votre connexion » sans vous expliquer comment, fini le risque d’amende, fini le risque de se retrouver devant un juge, fini les coupures de connexion, et surtout… fini le délit de contrefaçon totalement crétin lorsque l’on télécharge un film ou un MP3.

Ça, c’est ce que la majorité d’entre nous appréciera, c’est déjà en soi une première mondiale. Mais il faut pousser la réflexion un peu plus loin pour comprendre jusqu’où va cette proposition de reconnaissance des échanges non marchands. L’HADOPI dit étudier la faisabilité de cette reconnaissance des ces échanges en proposant une compensation financière aux ayants droit, payée par les entités qui tirent un profit direct ou indirect de la mise à disposition des œuvres.

Les implications dépassent même le stade de la diffusion des œuvres culturelles. Les effets de cette petite révolution si elle venait à se concrétiser, serait un moteur pour l’innovation dont de nombreuses PME ou TPE pourraient tirer profit. Même des plateformes aujourd’hui considérées comme illégales pourrait devenir parfaitement légales en contribuant à la rémunération des auteurs. L’innovation dans la diffusion des œuvres est principalement freinée par les coûts d’accès aux différents catalogues. Pire, impossible pour une société ne disposant pas de plusieurs millions d’euros d’accéder à tous les catalogues, et ainsi de proposer une « offre légale » digne de ce nom. La reconnaissance des échanges non marchands pourrait ainsi mettre un sacré coup de pied dans la fourmilière et les ayants droit n’auraient plus aucun intérêt à restreindre l’accès à leur catalogue puisque ce dernier s’échangerait d’une manière ou d’une autre, à eux de décider s’ils veulent tirer un profit des échanges au lieu de rien du tout… et ça, c’est la vraie révolution. Ceci pourrait donc au final directement profiter à des auteurs qui ont le malheur de faire partie du « mauvais catalogue », celui auquel s’agrippe un ayant droit le privant d’espoir de toute diffusion, et donc de toute rémunération.

Il y a quand même maintenant deux caps qui vont être compliqués à franchir :

Le premier est d’ordre légal. C’est là que nous verrons si le gouvernement entreprendra la sortie de la riposte graduée, ou si ce dernier, reniant ses promesses de campagne, décide de ne rien faire et donc, de rester dans une ère répressive absurde qui pénalise autant les internautes que les auteurs. Quand on fait rentrer quelque chose d’aussi débile que la riposte graduée dans le corpus législatif, il est forcément un peu compliqué de s’en débarrasser.

Le second est d’ordre technique puisqu’il touchera au modèle de rémunération et risque de s’opposer de manière assez frontale aux réticences des SPRD qui profitant de leur quasi monopole, ont su créer un véritable système mafieux épinglé à maintes reprises par la cours des comptes.

Bref, la bataille HADOPI n’est pas terminée, et ce n’est peut être pas le CSA qui la gagnera.

L’HADOPI ouvre la porte à la normalisation des échanges non marchands

lolcat-gets-bustedC’est une petite révolution. Après plus de 3 ans de choc frontal avec les Internautes la Haute Autorité ouvre (enfin) une porte à la reconnaissance des échanges non marchands (attention ça va seeder chérie). Dans un communiqué daté de ce jour, l’HADOPI « commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands« . Les mots ont leur sens. On parle bien ici de sortir du principe de la riposte graduée et _enfin_ d’envisager un système de rémunération des auteurs qui ne reposerait plus que sur le bon vouloir des SPRD en quasi monopole et des copyright nazis.

Il n’est pas ici question de licence globale mais bien d’aller chercher l’argent là où il se trouve, sur les plateformes de téléchargement qui tirent profit de la diffusion des œuvres, tout en permettant à des trackers torrent de « vrai partage » d’exister, et ce en toute légalité. L’HADOPI parle d’un cercle vertueux, et effectivement, on peut très bien imaginer à terme certaines « grosses » boards warez qui tirent profit de la diffusion d’œuvres (des revenus publicitaires), devenir légales, si elles acceptent de reverser une partie de leurs bénéfices aux auteurs.

Tout le travail porte maintenant sur le calcul de ces participations en fonction de paramètres qui restent probablement à définir, mais c’est tout de suite plus plausible et réaliste que les spécifications techniques d’un « contre logiciel » comme l’appelait Christine Albanel.

Oui c’est bien une petite révolution, un virage à 180° qui est en train de s’opérer… et peut être le début de la sortie des sombres années de cyber-prohibition culturelle que nous vivons. Légaliser les échanges non-marchand en faisant payer ceux qui font commerce des oeuvres.

Voici le communiqué complet que je vous invite à lire et à relire, à en débattre, car on peut penser ce que l’on veut de l’HADOPI, mais nous avons peut être sous les yeux le geste que beaucoup d’entre nous attendent depuis le début. Certes il ne faut pas se réjouir trop vite, certes, c’est loin d’être fait, mais si l’Autorité marque une volonté affichée de sortir de la riposte graduée pour enfin permettre la circulation des œuvres, c’est un pas de géant

Accès aux œuvres sur Internet : l’Hadopi engage l’analyse d’un système de rémunération proportionnelle du partage.
27/06/2013

Dans le cadre de ses travaux d’étude et de recherche, l’Hadopi commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands. Ce travail prospectif s’inscrit dans le cadre de la mission légale de l’institution d’identification et d’étude des modalités techniques permettant l’utilisation illicite des œuvres sur les réseaux et de propositions de solutions pour y remédier.

Selon l’approche retenue, un même usage est qualifié soit de « piratage en ligne », soit « d’échange non marchand ». Cet usage a été rendu possible par internet et les sites et services développés sur le réseau. Il est complexe, migrateur et résilient. La dernière enquête publiée par l’institution, « carnets de consommation », en donne une illustration riche d’enseignements.

Face à la permanence de cet usage, que l’Hadopi a pour mission de dissuader, il reste à apporter une réponse durable à la question de la création, de l’acquisition et du partage des œuvres sur internet. La possibilité, ou non, d’intégrer les « échanges non marchands » dans cette réponse est posée dans le rapport de la mission « Acte II de l’exception culturelle ».

En accord avec la Présidente de l’Hadopi, le Secrétaire général a présenté au Collège les orientations de cette analyse. Son objectif est d’évaluer la pertinence et la faisabilité d’une « rémunération proportionnelle du partage » emportant acceptation des échanges concernés.

L’expérience acquise par l’institution au cours des trois dernières années tendrait à laisser penser que l’intégration de ces usages pourrait être de nature à créer un cercle vertueux favorable tout à la fois à la création, aux usages, à l’innovation et à un meilleur partage de la valeur.

Cette intégration pourrait être envisagée sous la double condition d’une définition légale claire du statut des œuvres et des usages, et d’une compensation équitable et proportionnelle pour les titulaires des droits des œuvres échangées.

L’exception pour copie privée comme la rémunération équitable fournissent des modèles dont il semblerait possible de s’inspirer pour aller en ce sens, notamment en matière d’inscription dans le droit et de mode de répartition en gestion collective.

La piste de réflexion poursuivie s’appuie sur deux postulats : seule la consommation non marchande des œuvres protégées peut engendrer une compensation financière potentielle ; seules les entités tirant, par leurs activités, un gain marchand des échanges non marchands des œuvres protégées doivent participer à la compensation, à due proportion du volume, de la nature des activités, et du profit qui en est retiré.

Les travaux ont vocation à valider ou invalider la faisabilité d’un tel système et d’en évaluer la pertinence. Ils feront l’objet de consultations et de publications régulières et ouvertes.

Ils porteront pour l’essentiel sur la possibilité, ou non, de déterminer un profil d’usages, un profil d’intermédiaires redevables, une méthode de calcul de barème de rémunération pour les titulaires de droit, déterminant les caractéristiques d’un modèle valide de rémunération ; et, si un tel modèle semble exister, ses conséquences économiques et son encadrement juridique.

Un premier document de travail balayant les différents usages va être rendu public prochainement. Il a pour objectif de clarifier et préciser ceux d’entre eux susceptibles d’être qualifiés d’ « échanges non marchands ». Il sera soumis à remarques et contributions.

Les résultats seront présentés au Collège de l’Hadopi qui, sur le fondement de ses compétences légales, décidera des suites qu’il choisit de leur donner.

#BullshitOfTheDay : Toi aussi fais toi ton #PRISM… chez #Google !

research-cat-lolcat-706798Il y a des jours comme ça où on se demande pourquoi  on s’emmerde à essayer de comprendre et d’expliquer de manière à peu près sérieuse un sujet aussi complexe que  PRISM. Derrière les 5 PowerPoints d’Edward Snowden, la presse du monde entier a réussi à atteindre des sommets de conneries. La plus belle d’entre elles pourrait bien revenir à Computerworld sur lequel je suis tombé grâce à BigBrowser qui ne m’avait pourtant pas habitué à relayer ce genre d’article totalement débile. L’objet du délit s’intitule « How to run your own NSA spy program » que BigBrowser a évoqué ici : « Créer votre propre programme Prism à la maison« .

Outre le fait que l’article navigue entre absurdité technique et sensationnalisme parsemé de buzzwords 2.0 qui ressemblent à un billet sponsorisé par une agence de comm’, on se demande bien ce qui a pu passer par la tête de l’auteur pour tenter de faire gober à ses lecteurs qu’il est possible, pour le péquin moyen, de se créer un système de surveillance de masse grâce à un simple compte Gmail. Pourtant, en s’arrêtant au titre, on se dit que l’article va parler d’outils sympas comme mmnt, ShodanHQ ou les excellents Maltego et Casefile de Paterva… Je me disais qu’on allait nous fournir un patch SQLMap pour dorker différents moteurs de recherches, le tout plugué sur un bruteforcer de services en ligne et de réseaux sociaux qui réutilise les dumps de tables passwords en mode automatisé… ben non !

Au lieu de ça, toute la démonstration de l’auteur porte sur « comment créer son programme PRISM en reposant à 100% sur les services de… Google ». Une sorte de Prism dans le Prism ! Fallait y penser.

Et c’est un véritable festival :

One easy way is to use integrated Google services together.

Google now offers 15 GB of free storage that can be divided any way you like between Gmail, Google Drive and Google+ photos. And they’ll give you more if you pay for it.

Google also offers an Alerts service that searches the Internet and mails you the results. Most people set up only the number of Alerts that they can read. But that’s not the NSA way.

The PRISM approach would be to harvest far more Google Alerts than any human could possible process, then use Gmail filters to automatically skip the inbox and send them straight to a specially created folder within Gmail. You can set up new Alerts every day each time you think of an area of interest. These can include people you know, companies to watch, ideas to keep up with.

Repris par BigBrowser, on se rend compte de l’absurde marmelade que l’on obtient :

L’un des moyens les plus simples pour collecter un grand nombre de données, c’est encore d’utiliser de manière intégrée tous les services Google. Avec une offre gratuite de stockage de 15 Go, bon nombres de possibilités s’offrent à vous.

Google Voice (restreint aux internautes américains), un service de télécommunication en ligne, permet ainsi de sauvegarder tous vos appels téléphoniques et chats. Il suffit de cocher l’option de « sauvegarde » pour recevoir toutes vos informations par e-mail et le tour est joué.

Petit rappel, PRISM sur le papier, c’est pour collecter les communications des autres… pas ses propres communications (ça chez les gens normalement cortiqués, on appelle ça une sauvegarde domestique, pas PRISM). A lire l’auteur, on a l’impression qu’il suffit d’avoir un compte Google pour accéder aux communications de tous les utilisateurs de Google… du grand n’importe quoi. Mais la comparaison entre Google Drive, Google Hangout, Google Scholars, Google Vibromassor® et PRISM ne s’arrête pas là. Très sérieusement, l’auteur nous explique que pour se la jouer comme la NSA, il faut tweaker votre code pour bénéficier au mieux de Google Alert (sûrement pour mieux dumper vos flux RSS sur Google Drive !). Bon sang mais c’est bien sûr ! :

The key to great NSA-style data harvesting, by the way, is to constantly tweak your code. Keep adding, deleting and modifying your Google Alerts and RSS feeds to make sure they deliver the kind of data you want.

Mais l’auteur peut encore creuser, il en a sous le pied. Point d’orgue de son article : le filtrage algorithmique. Avons nous sous les yeux l’article du seul journaliste qui semble avoir eu un accès complet aux différents programmes du GCCS-J … dont la presse semble se foutre éperdument en préférant reprendre le premier énorme bullshit qui passe sur « comment sécuriser ses communications mobiles grâce à des programmes diffusés sur l’AppStore d’Apple et maintenant comment jouer à la NSA grâce à Google ? » :

There’s one ironic caveat to using the NSA’s methods for wide-scale information harvesting and algorithmic filtering, which is that the NSA may theoretically know everything you’re doing.

The NSA’s domestic surveillance programs are controversial and possibly unconstitutional. But let’s face it: They work.

« Wide-scale » avec ton compte Gmail ?… on ne doit pas avoir la même notion de ce qu’est le wide-scale.

Tempora : le premier dommage collatéral de l’affaire Prism

vaderVous pensiez que seuls les américains avaient la possibilité de s’adonner à de l’écoute massive ? Et voilà Tempora révélé au grand public par le Guardian. L’affaire a de quoi faire sourire et il y a fort à parier que c’est le premier d’une longue liste de noms. Les autorités Allemandes ont officiellement demandé des explications au gouvernement britannique. Ce qui est amusant car il n’y a pas bien longtemps… je vous parlais de quoi et de qui ? Ah oui… de l’hypocrisie des allemands et des britanniques.

Et les allemands, ils en ont des raisons de ne pas être contents, car figurez vous qu’ils découvrent tout juste que les britanniques ont aussi leur programme d’interception de masse, Tempora. La ministre de la justeice ne semble pas avoir de mot assez fort pour qualifier cet affront. Et tout ça dans leur dos, à eux, leurs copains européens.

The Guardian said documents from Snowden showed that Britain’s Government Communications Headquarters (GCHQ) began « Tempora » 18 months ago to tap and store world phone calls and Internet data traffic for 30 days « without any form of public acknowledgement or debate. »

Alors que l’on date PRISM de 2004, le programme britannique n’aurait lui que 18 mois. Et comme nos copains anglais sont connus pour avoir un plus petit zizi que nos amis américains, ils ne stockent les communications que 30 jours… oui juste 30 jours. Et si vous pensiez que Prism c’était LE gros zizi ultime, je vous invite à lire cet article de Kitetoa sur Reflets (si tu es journaliste et que tu as découvert PRISM dans des dépêches AFP, et que tu as envie de briller lors de soirées mondaines, la lecture de cet article est indispensable)… bref vous allez vite comprendre pourquoi depuis le début de cette affaire nous n’avons de cesse d’expliquer que Prism est en fait un tout petit bidule.

Et bien on a pas finit de rigoler. Allez avant que nos euros députés ne fassent mine de s’étonner, on va les aider un peu :

La Suisse fait pareil, le programme se nomme Onyx. Quand à la Suède, elle n’est pas en reste, elle a une loi dédiée qui se nomme FRA… Mais nous en France, on ne fait pas ce genre de trucs, il se peut que de temps en temps, on refourgue un système ou deux de surveillance à l’échelle d’une nation à des des dictateurs, de manière complétement désintéressée, il va de soi, mais ce n’est évidemment qu’un produit d’exportation. Puis tant qu’à y aller franchement, quand on voit tout ce qui passe comme tuyauterie optique aux Pays-Bas, on se dit que les autorités locales seraient bien bêtes de ne pas en profiter…

Il est d’ailleurs assez amusant de voir que Fleur Pellerin, loin d’aller demander des comptes aux américains ou aux anglais, s’empresse de raconter n’importe quoi à la presse en préconisant un cloud souverain là où il faudrait éduquer le public à chiffrer et anonymiser ses communications. Peut-être est-ce parce qu’en rendant sourds et aveugles les services étrangers, nous nous rendrions sourds et aveugles nous même ?

Bref à l’ouest rien de nouveau depuis 2010 : à force de vouloir écouter tout le monde, on finit par ne plus entendre personne.

PRISM, l’Europe et l’hypocrisie des britanniques et des allemands

lolcat_internetjpgNous vous en avons déjà parlé sur Reflets ou sur ce blog…. l’hypocrisie des politiques européens semble sans borne. Mais la palme des faux culs européens revient sans hésitation aucune au gouvernement britannique. Historiquement, il faut revenir à 1946, époque à laquelle le Royaume Unis et les USA signaient un accord, l’ UKUSA, qui allait donner naissance au premier réseau de renseignement par interception de signaux d’origine électromagnétique : Echelon. Le Canada, l’Australie, la Nouvelle Zélande allaient vite rejoindre le Royaume Unis les USA. Mais comme au royaume des faux culs, plus on est nombreux et plus on intercepte, l’Autriche, la Thaïlande, le Japon, la Corée du Sud, la Norvège, le Danemark, l’Allemagne, l’Italie, la Grèce et la Turquie sont autant de nations qui vinrent se joindre à Echelon.

Vendredi, nous apprenions que Edward Snowden accuse le Royaume-Unis, plus exactement le GCHQ (Government Communications Headquarters), de s’adonner à de l’écoute de masse de ses citoyens… et aussi, c’est un peu le principe d’une communication, avec un émetteur et un récepteur, de collatéralement écouter des millions de citoyens du monde entier, et donc européens. Je ne vais pas vous faire un dessin, mais voilà la gueule du scoop ! Dés 1946, c’est ce même GCHQ qui déployait des bases relais d’Echelon sur son propre territoire, comme par exemple ici, à Menwith Hill… une station d’interception, directement opérée par la … NSA !

Menwith Hill google maps - Google Maps 2013-06-22 18-05-06

Nos gros faux culs de britanniques qui opèrent eux-mêmes la plus grosse station d’interception d’Echelon à Morwenstow en Cornouailles.

Morwenstow, Großbritannien - Google Maps 2013-06-22 18-08-44

By 2010, two years after the project was first trialled, it was able to boast it had the « biggest internet access » of any member of the Five Eyes electronic eavesdropping alliance, comprising the US, UK, Canada, Australia and New Zealand.

… tiens c’est marrant car on retrouve les mêmes zigotos que dans l’UKUSA !

Mais ce n’est pas tout, car à n’en pas douter, les Allemands aussi vont jouer leurs vierges effarouchées à Bruxelles. Sauf que ces gros hypocrites vont probablement oublier de parler à leurs collègues eurodéputés de la base d’interception de Bad Aibling, elle aussi opérée en direct par la NSA, ce jusqu’en 2004.

Bad Aibling - Google Maps 2013-06-22 18-15-19

Vous noterez que les 3 stations que nous venons de visiter ici n’ont pas l’air de vestiges de l’après guerre, elles sont bien toujours en activité pour de l’interception GSM et satellitaire… après ça, vous dire que je suis étonné que Edward Snowden déclare que le Royaume Unis wiretap les câbles de transit IP… comment vous dire ? Ah oui, ça m’en touche une sans faire bouger l’autre.

Ce qui m’agace profondément, vous l’aurez compris , c’est bien cette hypocrisie des politiques qui font mine de découvrir aujourd’hui qu’ils disposent sur leur propre territoire de stations d’interception de la NSA alors qu’elles collaborent depuis des années avec cette même NSA sur ces programmes qui sont issus d’accords bien connus, auxquels le 11 septembre a permis de donner une seconde jeunesse, avec la bénédiction des pays européens concernés.

En bref, mesdemoiselles, mesdames, messieurs les eurodéputés, attention de ne pas trop vous payer la tronche de vos concitoyens, parce que ça va franchement finir par se voir.

#PRISM, #MAINWAY, #MARINA, #NUCLEON… et ce n’est que le début de la liste

catchlonDepuis le début de la polémique autour de PRISM, avec Kitetoa, nous n’arrêtons pas de vous expliquer que PRISM est en fait un tout petit bidule qui fait partie d’un ensemble bien plus vaste, d’un programme de homeland security. Ce n’est pas pour vous effrayer que nous vous expliquons ça, c’est parce que nous savons que c’est vrai, que nous avons des documents qui prouvent ces propos, et Kitetoa profitera d’ailleurs de Passage en Seine pour vous montrer à quel point PRISM est un tout petit bidule perdu, quelque part, en bas à gauche, d’un machin bien plus gros.

En attendant, voici que le Washington Post qui n’attendra probablement pas Pas Sage en Seine commence à lâcher quelques noms, ainsi :

  • L’interception du contenu des communications téléphoniques atterrirait dans un système baptisé NUCLEON
  • Je vous parlais par exemple, citant Cryptome, de la rétention des métadonnées téléphoniques. Et PAN, le petit nom de cette base de données sous l’administration Bush, c’est MAINWAY

Capture d’écran 2013-06-16 à 15.39.22

Associated Press a le bon goût, comme nous l’avions nous même fait de rappeler que cette théorie du gros zizi (l’interception de masse), est la norme depuis les années 70.

Deep in the oceans, hundreds of cables carry much of the world’s phone and Internet traffic. Since at least the early 1970s, the NSA has been tapping foreign cables. It doesn’t need permission. That’s its job.

Et comme l’explique très bien Wikipedia, la NSA elle même l’avait avoué :

De 1945 à 1975, la National Security Agency (NSA) américaine a obtenu systématiquement des principales entreprises de télégraphie (RCA global, ITT World Communications et la Western Union) l’accès aux messages circulant par câble (Project SHAMROCK). L’interception des télécommunications se faisait au départ par la collecte de copies papier detélégrammes, puis par la remise de bandes magnétiques; elle se fait aujourd’hui par la connexion directe des centres d’émission aux circuits internationaux de communications. Selon la commission Church du Sénat américain (1975), la NSA sélectionnait environ 150 000 messages par mois, sur un total de 6 millions de messages par mois, pour en faire un compte rendu (soit 1 message sur 40). Des milliers de messages étaient transférés à d’autres agences de renseignement pour analyse. (source)

Et Associated Press d’enfioncer le clou sur ce que nous vous claironnons depuis le début :

The second and far murkier one is how Prism fits into a larger U.S. wiretapping program in place for years.

Sans blaaaaaague ?

 

#Prism : non @FleurPellerin, les données ne naissent pas et ne meurent pas sur des serveurs américains… elles circulent.

spy_gadget_phone_hidden_cameraJe vous donnais il y a quelques jours mon sentiment sur l’affaire Prism qui agite tant Internet, et juste Internet… Car oui au café du coin, Prism on a pas grand chose à faire. En rire ? Pas en rire ? J’ai personnellement pris le parti d’en rire. Ce n’est pas la première fois que j’explique et que j’écris noir sur blanc que Google est la première agence non gouvernementale de renseignement du monde. Ce n’est pas non plus la première fois que j’explique que l’illusion de gratuité que vous offre un Facebook ou un Google est quelque chose de dangereux. On peut me reprocher de ne pas toujours m’adresser à notre bonne vieille madame Michu sur ce blog ou sur Reflets, mais limiter à Internet ce champs d’action est hors de propos, attendu qu’il m’arrive également d’exprimer ce genre de craintes sur des médias nationaux.

Oui il est légitime de rire de ces réactions, par contre, très franchement, je commence à sérieusement m’inquiéter quand je lis les solutions avancées par certains dirigeants. Notre madame Michu, si elle se laisse bercer par les inepties du ministère du pognon des Internets… elle n’est pas sortie de l’auberge.

Dans un article publié sur 20minutes, Fleur Pellerin, notre ministre déléguée chargée des PME, de l’Innovation et de l’Économie numérique, nous avance une solution assez amusante. Le titre nous donne tout de suite le ton : « L’affaire Prism rend «pertinent» de localiser les data centers en France« . Et voici la déclaration exacte :

«L’affaire Prism, si elle est avérée, rend pertinent de localiser les data centers et des serveurs sur le territoire national afin de mieux garantir la sécurité des données».

Je ne doute pas qu’il arrive au cabinet de Fleur Pellerin de lire Reflets.info… Aziz Ridouan, si vous me lisez, c’est le moment de corriger le tir niveau communication, car notre ministre s’égare en commettant une grossière erreur technique.

Quand Fleur Pellerin parle de garantir la sécurité des données, elle omet un léger détail. Les données des citoyens français et européens, comme ceux du monde entier, ne naissent pas et ne meurent pas sur des serveurs américains. Ces données, à un moment ou à un autre, elles transitent sur le réseau Internet, un réseau public, sur lequel les agences du monde entier (je vous invite à vous rapprocher de la Direction du Renseignement Militaire pour connaitre ses pratiques en terme de renseignement d’origine électromagnétique… ou par exemple de lire cet article) s’adonnent à de l’interception. Au passage, inquiétez vous aussi du stockage de données biométriques par nos amis américains.

La pseudo nouveauté de Prism, ce n’est pas que ces données soient interceptées mais qu’elles soient, après interception, stockées pour une durée indéterminée et pour une utilisation à posteriori. Voici un petit schéma qui vous explique relativement clairement le problème de la vulnérabilité des données qui circulent en clair sur Internet :

ConnexionInternetNonSecure-413x550

La grosse blague du cloud souverain

Parmi les pistes envisagées par Fleur Pellerin, il y en a une qui m’a clairement fait rire, le gogogadgetocloud©… mais un cloud « souverain ». Alors ça ressemble à quoi un « cloud souverain ». Attendu que la France, comme le monde entier est un gros consommateur d’équipements chinois et américains, la question est légitime. Le « cloud souverain français », ça ressemble à ça :

Un cloud souverain français
Un cloud souverain français

«La nécessité d’avoir un cloud souverain se pose avec beaucoup d’acuité», comme un «moyen pour des entreprises qui détiennent des informations stratégiques de protéger leurs données», a-t-elle souligné.

Le gros des interceptions se réalisent sur des points de concentration du trafic, au cul des câbles sous marins très souvent. Si une « donnée sensible » est envoyée dans un « cloud français » (PS : données sensibles, cloud ?! WTF?!) sans que l’on prenne soin de les envoyer via un VPN (un tunnel chiffré de bout en bout), ces données auront fait 4 fois le tour du monde avant d’arriver dans notre cluster de minitels ultra sécurisés (notre cloud français… cocorico). Bref si vous me suivez jusque là, vous devez déjà avoir compris que la solution avancée par Fleur Pellerin, c’est de la foutaise.

Ajoutons à ça que le principe d’un cloud sécurisé inclu la notion de résilience (DNS, connectivité, infrastructure physique, risque juridique…) et implique donc une présence dans plusieurs pays… nos datas dans notre cluster de minitels, elles circuleront de pays en pays. Ces données, mêmes chiffrées seront interceptées et stockées par la NSA. Et on se doute bien comme expliqué sur Reflets, qu’un jour où l’autre elle seront déchiffrées.

Un autre point au passage, la France n’a pas attendu les déclaration d’un ministre pour disposer de datacenters… dieu merci. Des entreprises comme Iliad, OVH, LDCom et bien d’autres ont réalisé des investissements très importants pour se doter de datacenters de qualité.

London’s loling

En allant plus avant dans la lecture de l’article de 20minutes la dépêche AFP reprise sans la moindre once de réflexion sérieuse, on se rend vite compte à quel point il est néfaste pour Internet de dépendre de Bercy. La sortie téléguidée de Fleur Pellerin s’inscrit dans la droite lignée de celle d’Arnaud Montebourg sur le Made in France. Sauf que pour le coup, les solutions évoquées en plus d’être techniquement à côté de la plaque, peuvent poser quelques problèmes d’ordre plus … subjectif ?

Les groupes SFR et Bull (Numergy), puis Orange et Thales (Cloudwatt), ont chacun lancé fin 2012 de grands projets concurrents pour proposer aux entreprises et aux administrations françaises des solutions de «cloud computing» assurant le stockage sur le territoire national les données sensibles et qu’elles ne soient pas soumises au Patriot Act.

« Faisez confiance à Bull et Thalès qui eux au moins n’interceptent rien du tout, mettez vos données sensibles en sécurité chez les fous furieux dont l’un des coeurs de métier est … l’interception massive ou judiciaire… et qu’ils vendent à des Kadhafi« . On imagine bien nos camarades européens avoir une confiance aveugle en notre cloud souverain… particulièrement les anglais qui depuis l’UKUSA hébergent des bases d’interception du réseau Echelon sur leur territoire.

Donc oui… je le réaffirme. Nos politiques se payent joyeusement notre tête quand ils miment de découvrir que les américains ont accès à nos données, qu’ils tombent des nues en faisant mine de découvrir le Patriot Act en 2013… et ils se foutent carrément de nous quand ils nous balancent leurs solutions à 2ct.

#Prism : pourquoi ce pseudo scandale m’en touche une sans faire bouger l’autre ?

catchlonVous êtes plusieurs à m’avoir demandé une réaction aux récentes révélations sur ce qui a gentiment débuté par le pseudo scandale Verizon. Je n’en avais pas particulièrement envie car je trouve tout ce foin complètement ridicule. Entre les américains indignés, les européens qui jouent les vierges effarouchées (les anglais qui accueillent des bases relais d’Echelon sur leur territoire doivent bien rigoler), et la presse qui fait ses choux gras de cette information vieille d’une douzaine d’années, j’estimais ne pas avoir de choses particulièrement intéressantes à vous raconter. D’ailleurs, je ne suis toujours pas convaincu que ce qui va suivre sera vraiment intéressant pour nombre d’entre vous… vous voilà avertis. Je ne m’étendrai d’ailleurs pas bien longtemps sur PRISM, car une autre information me semble tout de même un peu plus intéressante.

Depuis quelques jours, il faut l’avouer, je rigole allègrement. Je rigole de la naiveté patriotique candide des américains, je rigole de toute cette presse qui fait semblant de s’étonner, je rigole des réactions des politiques européens qui miment de tomber des nues… car oui, c’est soit disant nouveau, tout ce petit monde peut enfin mettre un sobriquet sur Big Brother : PRISM. Enfin, ça, c’est ce que tout le monde pense, la réalité est toute autre et c’est Kitetoa (désolé pour le ComicSansMS) qui vous l’exposera à l’occasion de Passage en Seine. Prism n’est en fait qu’une infime partie d’un programme bien plus vaste.

Merde ! Les adeptes de la conspiracy theory avaient raison alors ? Ben ouais ils avaient raison…wow le scoop !

C’est quand même pas faute de vous en avoir rabâché les oreilles ici ou ailleurs, pas plus tard que le mois dernier dans ce billet où je vous expliquais qu’un ancien du FBI avait craché le morceau au sujet de la traque des frères Tsarnaev. Il me semble bien avoir écrit en toute lettres que les autorités américaines interceptaient et stockaient toutes les communications… mais bon. #spapossib’ me dit-on. Ce billet est d’ailleurs passé relativement inaperçu, aucun média n’a repris ce qui constituait pourtant une information tout à fait crédible, d’une source qui ne l’est pas moins… mais non, un mois plus tard  12 ans plus tard, tout le monde semble tomber des nues.

Ce billet d’ailleurs m’avait valu les interrogations de certains

« Mais comment ki font ! »;
« Bluetouff tu dis de la merde »;
« Même pas cap les ricains »;
« T’imagines pas la taxe sur la copie privée en achat de disques durs ! » 

Et à votre avis ? Quand on hurlait comme des putois sur l’AFP qui cause gentiment sur Skype avec ses sources et qui l’écrit dans ses dépêches, des fois qu’Oncle Sam n’avait pas tapé la bonne requête dans sa base de données pour identifier la source de l’agence de presse… c’était juste pour rire ? Pour troller sur Twitter avec un bot qui crache les dernières dépêches ? Pour le plaisir de se fritter par blogs interposés ? Ou parce que tout indique depuis des années déjà que les américains interceptent non seulement les communications téléphoniques des américains mais aussi à peu près tout ce qui ressemble à une communication à l’exception peut-être d’un protocole encore mal maitrisé, décrit dans la RFC 1149 ?

  • Qui me fera gober que la presse américaine ne s’est pas interrogée sur les dispositions pratiques issues du Patriot Act dont l’acronyme signifie « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme » ?
  • Qui me fera gober que le Parlement Européen, après les antécédents d’Echelon ne s’est jamais penché sur ce que les USA écoutent, interceptent et stockent…?
  • Qui me fera gober que la presse française pensait que les SMS et les conversations de Dominique Strauss Khan ont été tirés du chapeau de Bozo le clown ?

Oui, très franchement, je suis mort de rire, c’est un peu comme si tout ce que la planète compte de faux-culs s’était donné rendez-vous sur la time line du hashtag #Prism…

Les américains, qui ont tous soutenu, le Patriot Act au lendemain des attentats du 11 septembre étaient ils assez naifs pour croire que les autorités américaines allaient contrer une menace intérieure en écoutant uniquement ce qu’il se passe à l’extérieur ?

Il y a quelques années, avant que Wikipedia ne déchaine les passions, les personnes de ma génération qui s’intéressaient au sujet de la surveillance de masse fréquentaient les newsgroups ou des sites web comme Cryptome. Cryptome qui révélait déjà des choses pas jolies jolies sur les durées de rétention d’informations concernant les communications des américains.

☠ Spapossib’®

Dans le pire scénario que j’avais évoqué il y a déjà bien longtemps, j’expliquais que si la France avait envie d’écouter hors de tout cadre légal et de manière massive les communications électroniques, elle opèrerait ces interceptions depuis l’étranger. Là encore, les réactions à mes « élucubrations » étaient les mêmes : #spapossib’.

Ben oui, mais voilà… non seulement c’est tout à fait possible, mais voilà que le Monde, par la plume de Laurent Borredon et de Jacques Follorou appuie maintenant ma thèse avec des affirmations qui se font un peu plus pressantes et plus précises. Dans un article daté d’hier et intitulé « En France, la DGSE au cœur d’un programme de surveillance d’Internet « , Le Monde pointe les installations souterraines de la DGSE situées boulevard Mortier à Paris. Mais Le quotidien lâche surtout le morceau qui semble passer totalement inaperçu tout obnubilés que nous sommes par PRISM :

La France dispose-t-elle d’un programme de surveillance massif proche de celui mis en place par l’Agence américaine de sécurité nationale (NSA) ? La réponse est oui. La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal. 

☠ Etkomentkifon ?

Là encore je vous avais déjà parlé de la bénédiction que representent certains points de concentration du trafic, et plus particulièrement les câbles sous-marin. Mais ce n’est probablement le gros du dispositif. Allez, je vous la récapitules avec des mots très simples. Imaginez une entreprise française qui vend à un dictateur un système d’interception des communications électroniques dimensionné à l’échelle d’une nation. Imaginez que cette entreprise soit, étrangement, aidée par des personnes de la direction du renseignement militaire pour former les équipes sur place. On vend ensuite ce système à d’autres nations, pas franchement connues pour leurs aspirations démocratiques, mais toutes étrangement situées sur une dorsale de trafic Internet stratégique (suivez les câble sous-marins).

☠ Tagada tsoin tsoin …

Et vous obtenez tout simplement un système d’interception stratégique, situé hors de nos frontières, distribué, résilient, suffisamment backdooré pour que nos services puissent y accéder en fonction de leurs besoins et mener des interceptions massives pour extraire une poignée d’informations.

Et ce scénario, comme je vous le disais :

Allez, je vous la refais :

 voici comment je m’y prendrais si je voulais écouter massivement, à moindre coût, et surtout discrètement.

  • J’appuierai, au plus haut niveau de l’Etat, une société privée (un fusible comme on dit dans le jargon), spécialisée dans l’interception de masse, pour que cette dernière exporte ses jouets sur le territoire national des gens que je souhaite écouter. Je leur vendrai le bébé comme une arme de guerre électronique, à part que cette dernière n’est pas répertoriée légalement en tant que telle, et donc, non soumise à un contrôle strict des exportations.

  • J’en profiterai pour surdimensionner un peu le système en prévision d’une utilisation non documentée (un backdoor).

  • J’enverrai ensuite, au nom d’une « fraternelle coopération » des officiers du renseignement militaire pour former les équipes du « client » (comprenez le dindon de la farce). Cette opération de « formation » permettrait en outre de paramétrer le jouet vendu afin que ce dernier soit accessible à distance par les services du renseignement extérieur, avec un accès complet aux interceptions réalisées par le « client »… évidemment à son insu.

  • Ce qu’il y a de bien avec TCIP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.

  • Si je multiplie cette « opération commerciale » avec des « partenaires » géographiquement bien choisis, je m’offre une sorte de cloud de l’interception, financé par des puissances étrangères. Peu importe si elles ne sont pas franchement reconnues comme les plus grandes démocraties. Peu importe si leurs dirigeants sont connus comme des terroristes ou des fous furieux. L’éthique ce n’est pas franchement le fond du problème.

  • En cas de pépin, pas de souci; l’Etat pourrait ainsi se défausser de toute responsabilité. Notre entreprise privée est le fusible, c’est à elle de sauter. Mais évidemment, comme elle demeure « stratégique », je lui offre une porte de sortie en bidonnant une cession d’activité à une société tierce, créée par elle même. Elle pourrait ainsi, par exemple sous drapeau Qatari, continuer à vendre ses petits jouets et la collaboration entre les services extérieurs et cette « nouvelle société » qui ne renaît que des cendres de la première, pourrait ainsi continuer de plus belle et s’attaquer tranquillement à d’autres « marchés ».

  • Si une bande de cyber-beatniks venait à poser des questions au Gouvernement sur la présence avérée d’officiers du renseignement, il suffirait de brandir la menace terroriste et d’expliquer que ces « armes » n’en sont pas, qu’elles sont en fait du matériel grand public.