Le Mega retour de Kim Dot Com

megaOn a beau ne pas être fan du bonhomme, il faut quand même lui accorder qu’il a le sens du suspens et du rebondissement. Depuis la fermeture de Megaupload, Kim Dot Com n’avait de cesse d’expliquer qu’il reviendrait avec mieux, plus gros, plus fort. C’est donc aujourd’hui que Mega, son nouveau site devrait ouvrir ses portes. J’ai donc voulu aller jeter un oeil à la plomberie du nouveau site de l’ami Kim.

A ma première tentative de connexion au frontal http://mega.co.nz/, il semble que le DNS en mange déjà plein la tête, et une redirection me téléporte sur kim.com/mega avec un joli message m’expliquant l’embouteillage :

Capture d’écran 2013-01-19 à 17.34.52

Peu importe, nous y accèderons par l’IP : http://94.242.253.38/

Première surprise, l’hébergeur est un illustre inconnu : as5577 et voici ses informations de peering.

Le frontal semble être un apache et petite subtilité… il est en debug !

Capture d’écran 2013-01-19 à 17.39.30

Et voici ce que nous raconte le Nmap  :

Capture d’écran 2013-01-19 à 17.44.15

Un apache en debug, un MySQL… c’est quand même un peu étrange pour un site qui est sensé encaisser des millions de requêtes dans quelques minutes… mais bon, pourquoi pas après tout ? Alors bluff ou pas bluff ton Mega, Kim ?

Update : le host et le dig sont assez intéressants également :

Capture d’écran 2013-01-19 à 18.12.17

 Update 2, cette fois nous y sommes Mega est ouvert, et la véritable infrastructure se dévoile, on est niveau AName sur une architecture similaire à celle de Megaupload :

Capture d’écran 2013-01-19 à 19.16.03

Update 3 : Le lancement semble être un succès, les premiers chiffres devraient le confirmer rapidement. En parcourant un peu le code source on tombe sur le CDN qui sert les fichiers statics, ces derniers semble être servis par Cogent. Gageons que ceci va faire super plaisir à Orange et que la guerre du transit qui a opposé les deux entreprises va surement s’étendre à d’autres fournisseurs d’accès Internet français.

Capture d’écran 2013-01-19 à 23.30.47

 

A la racine du static files server, circulez, il n’y a rien à voir :

Capture d’écran 2013-01-19 à 23.25.24

Mes premiers tests d’upload… merdiques, je n’ai jamais réussi à finir l’upload d’un binaire d’openoffice, l’upload s’est tout simplement bloqué, et la crête d’upload a du avoisiner les… 6,4ko (Mega a peut-être été victime de son succès, mais c’est franchement pas top) :

Capture d’écran 2013-01-19 à 21.13.05

J’ai tenté ensuite une inscription comme ça pour le fun après avoir lu un article de Gizmodo qui nous explique que Méga fait dans la Méga sécurité… mouais bof, utiliser les mouvements de souris pour ajouter de l’entropie lors d’une génération de clé, ça n’a rien d’une nouveauté, c’est comme ça que procèdent déjà de nombreux logiciels « sérieux ».

Capture d’écran 2013-01-19 à 23.21.26

En tout cas, Kim l’a bien vendu en appelant ça de la crypto contrôlée par l’utilisateur. Je n’y vois personnellement pas de procédé révolutionnaire mais la presse devrait se laisser embobiner assez facilement, les 3 mots ensemble claquent pas mal.

Update 4 : La crypto coté user c’est un concept plutôt sympa, mais voilà quand on sert la secu de son paquet de javascript avec une clé 1024 bits, on parait tout de suite un peu moins blindé, c’est ce que relève  @DrWHax (thx @koolfy).

Capture d’écran 2013-01-20 à 00.38.19

On commence à voir fleurir une multitude d’âneries sur le supposé blindage de Mega, une analyse un peu plus fine de l’infra et des petites horreurs en Javascript qui traitent un peu trop de logique pour que ce soit si blindé que ça, devraient vite révéler les faiblesses de Mega. Si vous comptez utiliser Mega « professionnellement », pour le moment, réfléchissez y à deux fois.

Un XSS a même déjà été trouvé.

mega xss

Le XSS peut conduire à un vol de la clé RSA privée puisque cette dernière utilise LocalStorage, ce qui est bien… mais franchement pas top.

Capture d’écran 2013-01-20 à 00.35.42

De multiples grossières erreurs peuvent avoir un impact important sur la sécurité globale des utilisateurs de Mega et pour le moment, le « blindage » du site reste à démontrer, mais une chose est sûre… peut mieux faire.

Update 5 : Bon ça commence à être la fête du slip, un nouveau scan met en évidence d’autres ports ouverts sur le front en 166 (errata le 7070 et le 554 sont probablement de faux positifs):

Capture du 2013-01-20 01:31:23

Update 6 : Niveau accessibilité c’est pas non plus trop ça, en fait c’est même à se demander qui y accède :

Capture du 2013-01-20 02:51:33

Update 7 : il y aurait bien un souci concernant le mécanisme de génération des clés de chiffrement, assuré par un fichier javascript. En fait Mega semble utiliser assez peu de différents paramètres pour générer ses clés. Il en découle une entropie non satisfaisante et on peut donc supposer que la séquence de prédiction des clés est faillible. @Kaepora signale aussi fort justement que Mega peut très bien désactiver le chiffrement serveur side pour un utilisateur donné sans que ce dernier en soit notifié. La crypto coté user ok mais le contrôle reste à Mega… Bref si vous avez des fichiers confidentiels, oubliez tout de suite de les coller sur Mega, ils ne sont pas en sureté.

Update 8 : les bizarreries au niveau du certificat SSL commencent. Voir le paste de l’analyse SSLyze de @fo0_ .Ce qui était valide hier ne l’est plus aujourd’hui :

Capture d’écran 2013-01-20 à 10.28.21

Wget le met en évidence, l’émetteur est maintenant rapporté comme étant inconnu (thx @ali0une)… et c’est vrai que le choix de Comodo peut paraitre un peu curieux :

Capture d’écran 2013-01-20 à 11.01.22

De l’engagement

Syria-300x300Nos récents articles sur Reflets, celui sur Syria News, et celui sur le Parlement syrien, comme  chaque fois lorsque l’on parle de la Syrie, ont soulevé quelques commentaires exprimant une certaine perplexité. Ces commentaires sont parfois parfaitement construits et expriment des interrogations et  des réserves parfaitement légitimes. Nous essayons donc de répondre à ces commentaires, et c’est aussi un peu l’objet de ce billet. D’autres, plus péremptoires se veulent des leçons de geopolitique de comptoir, dispensées par des personnes qui, sous prétexte d’avoir rencontré deux syriens à leurs dernières vacances au ClubMed affirment que notre démarche est motivée par d’obscurs intérêts, que nous serions à la solde de la CIA, du Mossad, du MI6, quand nous ne cherchons pas à instaurer la Charia dans le Proche-Orient.

Notre réalité est cependant bien différente. Nous avons engagé une forme de lutte pacifique qui se limite en une réponse mesurée à ce qu’applique le gouvernement syrien en terme de propagande, de répression et de surveillance électronique.

Le gouvernement syrien, avec l’aide d’entreprises locales ou occidentales a décidé d’exercer une surveillance active de son réseau. Le but est clair, il s’agit de :

  • prévenir la diffusion de toute information qui lui serait défavorable ;
  • localiser, arrêter, torturer les émetteurs de ces informations, de ces documents vidéo ;
  • mener une propagande active à la gloire de la personne de Bachar Al Assad, tyran népotique au culte de sa propre personne bien affirmé.

Les réseaux de propagande du régime syrien sont internationaux, à l’image du site Infosyrie.fr, « l’Agence de ré-information » sur l’actualité en Syrie, proche de l’extrême droite française et financé par le régime syrien lui même.

☠ Pourquoi s’engager ?

En ce qui me concerne, et ceci n’est probablement pas valable pour d’autres qui s’engagent eux aussi, je puise ma motivation de nombreux échanges avec des syriens. Certains anti régimes qui ont vu leurs proches massacrés ou persécutés, mais surtout par une majorité de gens qui ne sont ni pros, ni antis, mais qui subissent au quotidien, depuis 18 mois, une guerre civile.

Je ne pense pas personnellement me battre pour une démocratie en Syrie, le terme démocratie étant lui même soumis à interpretation de chacun, même chez nous. Encore faut-il croire en nos définitions de la démocratie, et bien naif faut-il être pour penser que notre conception de cette dernière est transposable n’importe où.

Si je m’engage sur ce terrain cybernétique qui est le mien, c’est d’abord pour essayer de rétablir un équilibre entre un régime qui déploie de gros moyens pour surveiller Internet, et des internautes qui souhaitent accéder à une information que le régime lui refuse.

Puis, et c’est bien la le coeur de mon action, pour apporter des outils et des connaissances nécessaires à l’exercice de la liberté d’expression bafouée de ces internautes. Ceci passe par des outils d’anonymisation sur Internet et parfois, il est vrai, quelques prises de bec peu courtoises avec des « professionnels » qui mettent involontairement la vie de leurs sources en danger. Mais penser que nous faisons ça pour le plaisir de taper sur la presse est parfaitement inexact. C’est en revanche l’impression que ça peut laisser de l’extérieur, attendu que nous ne communiquons, que je ne communique pas sur toutes (nos) mes actions.

Mais par dessus tout, après 18 mois de conflit, il y a cette majorité silencieuse des « ni pour ni contre » qui se sent abandonnée par toute la communauté internationale, ce sont eux que nous n’avons pas le droit de laisser tomber, ce sont eux qui ont probablement besoin d’être considérés.

☠ Pourquoi le Parlement ?

C’est un symbole avant tout, derrière ce symbole, il y a un message informationnel, n’en déplaise à certains. Ce message, c’est d’offrir des données brutes, des accès à des comptes de dignitaires syriens. Le message est dual, il s’adresse au peuple syrien : « Des personnes surveillent vos surveillants », et il s’adresse à la presse car nous offrons l’accès à des données brutes, factuelles, des correspondances, la capacité pour chacun s’il en a la curiosité de se faire sa propre opinion d’un conflit complexe.

Penser que nous agissons au doigt mouillé en fonction des like Facebook ou des hashtags Twitter est une erreur. Nous agissons pour le réseau, et non en fonction du réseau.

Du troll Google vs privacy

Suite à ce billet dans lequel je m’insurgeais contre les positions de deux blogueurs, j’ai eu quelques échanges assez vifs, particulièrement avec l’un d’entre eux, Nicolas Jegoun. Ce dernier a cru bon d’en rajouter une couche me reprochant mon manque d’argumentation dans le billet sus-mentionné, un comble quand on lit ses arguments. Il a cependant pris le temps de coller mon texte dans un éditeur pour compter le nombre de caractères de mon billet en omettant visiblement de le lire comme il l’avoue implicitement dans un troisième billet répondant à l’article de Ju.

Vu que mes commentaires sur son blog semblent se perdre, je vais lui répondre ici, en prenant soin cette fois ci de ne pas poser de lien vers ses billets qui appellent cette réponse, attendu qu’il me reproche de lui envoyer « ma meute »… et oui chers lecteurs, pour ce monsieur, vous êtes une meute. Un meute qui a eu l’affront de poster à tout casser une quarantaine de commentaires, le reste étant ses réponses. Une réaction qui n’est pas sans me rappeler une certaine 3M

De l’art de bien troller

Cher Nicolas, quand on se lance dans un troll, il y a quelques règles à observer.

La première, c’est de savoir avec qui on troll. Je te montre comment on fait, tu vas voir c’est pas extraordinairement compliqué, même pour toi qui a un blog nommé « aubistrogeek.com » qui tient visiblement plus du bistro que du geek. On commence par se rendre sur l’objet du troll, google.fr par exemple, puis on fait comme ça. Ça va ? C’est pas trop technique jusque là pour toi ? Je ne t’ai pas encore perdu ?

La seconde règle pour bien troller, et là encore c’est du bon sens, c’est qu’il faut être au moins deux pour établir ce que l’on va qualifier de dialogue trollogène. Le dialogue trollogène n’est en soi qu’une variante de ce qu’on appelle communément un dialogue. Il répond donc aux mêmes règles, ce qui implique qu’avant de répondre à un truc, tu lises le texte appelant ta propre réponse. Dire qu’on l’a fait ne suffit pas, il faut le faire, et attentivement, ce qui nous amène à la troisième règle.

Troisième règle… attention cette fois on rentre dans les trucs un peu complexes, on va causer web. Tu tiens un blog, donc tu as peut être vaguement entendu parler d’un truc qui s’appelle « Lien Hypertexte ». Ils sont assez compliqués à utiliser, on les repère généralement dans un texte car ils sont pas de la même couleur que le reste du texte ou sont soulignés. Mais il existe un moyen super pour les repérer, quand on passe le curseur de la souris dessus, ce dernier change de forme ! Et tiens toi bien, si tu cliques dessus, tu arrives sur un autre texte, des fois même sur un site qui n’est pas celui que tu étais en train de lire !

Quatrième règle, quand on se voit opposer une foule d’arguments, documentés, réfléchis, par des personnes qui travaillent ces problématiques depuis des années, quand on paye des impôts pour financer un truc à la con qui s’appelle la CNIL… on prend un minimum de recul avant d’asseiner conneries sur conneries, au risque de se faire incendier par une « meute » impie qui a le toupet de t’expliquer que tu écris du caca, elle aussi avec foule d’arguments que tu balayes d’un revers de main. Mais tu le fais terriblement bien, à coup de tautologies épiques du genre « Le marché de la publicité ciblée va explosée avec les télés qui se transformeront en PC »… t’es dans le marketing toi non ?

Cinquième règle : éviter de prendre les lecteurs pour des cons pour masquer sa propre inculture avec ce genre de phrase : « Le billet d’Olivier est bien trop technique pour intéresser le grand public. Donc la description des moyens techniques ne sert à rien. Quand j’ai fait un billet en montrant l’historique de mes recherches Google, j’étais sûrement plus efficace. » Ce au risque de se faire ridiculiser lors du concours de quéquettes qu’il implique. Pour ta gouverne cher Nicolas, Reflets.info qui est le site sur lequel j’officie le plus, a accusé le mois dernier plus de 300 000 visiteurs uniques qui se sont par exemple passionnés pour le dossier Amesys en Lybie, ou BlueCoat en Syrie. Nos publications sont régulièrement reprises dans des médias mainstream, et les gens que tu juges trop cons pour nous lire sont au final de l’ordre d’un nombre à 7 chiffres. En outre il se trouve que c’est justement sur ce site que ce que tu acquiesces béatement en commentaire à l’article de Ju a été révélé, par mes propres soins plusieurs mois avant le Wall Street Journal… Un truc que tu aurais d’ailleurs pu trouver par tes propres soins en observant la règle 3 du présent manuel de l’art de bien troller for dummies, celle relative aux liens hypertextes.

Sixième règle : pour paraitre sérieux, éviter l’axe du bien contre l’axe du mal et avancer soi même des contres arguments. A ce titre, tu dois bien te douter que je suis le premier à utiliser Google, et certainement plus intensivement que toi. Je suis un utilisateur de Google Music, je « joue » pas mal avec Android, je suis un petit rat des Google labs, j’utilise Google Apps… j’en passe et des meilleures. Ceci fait, théoriquement, de moi une personne, mais je peux me tromper, plus disposée que toi à savoir de quoi elle parle. Si on ajoute à ça que tu avoues même dans ton premier billet ne pas lire les conditions d’utilisation des services de Google, on commence, forcement à se demander pourquoi tu la ramènes. Mais ce n’est pas tout, et celle ci est pour Thierry… Si j’ai effectivement une certaine expertise, je la mets à disposition de mon engagement, et ce dernier, il se situe plus du côté activisme que de « l’Etat ». Car oui cher lecteur tu ne le sais pas mais ton dévoué serait selon certains à la solde de l’État qui me manipulerait ou pire, me paierait pour semer la peur ! Il y en a qui doivent se fendre la poire à la DCRI. Je vais vous décevoir tous les deux, mais non, je ne suis pas « payé par l’Etat pour vous faire peur« , une simple recherche vous le confirmera, voir règle numéro un si vous ne savez pas comment faire. Puis bon, c’est pas comme si vous étiez les premiers à porter ces accusations risibles (vous êtes lecteur du Figaro ?’), j’ai en vrac eu droit à « agent de la DCRI », « Agent de la CIA », et « agent du Mossad », quand je ne suis pas accusé d’être un salafiste voulant renverser le beau régime démocratique syrien (tu es dispensé Nicolas ce dernier lien est trop technique pour toi il pourrait te donner des maux de tête). Bref avec tout ça j’en accumule des points retraite ! En outre c’est assez amusant de se faire traiter de parano et de vous lire partir tous en sucette sur « ouais l’Etat sait tout de nous, moi je fais plus confiance à une entreprise privée comme Google qu’à l’Etat« … c’est totalement ridicule et je vais y revenir dans la seconde partie de mon billet que je n’aurais pas eu à écrire si Nicolas n’avait pas mystérieusement égaré mon commentaire.

Septième règle relative au déni et à la mauvaise foi : des gens qui sont venus commenter ton billet t’ont fait remarquer ta mauvaise foi ponctuée d’éructations du type « ça prouve rien » « ton argument c’est de la merde » « j’attends toujours qu’on m’apporte des preuves » etc… Lorsqu’on te pose un commentaire répondant aux exemples que appelles, on évite de le censurer. La raison en est simple, c’est que ça se termine, de fait en billet, avec une visibilité bien plus importante qu’un commentaire. C’est toi l’expert SEO non ?

Revenons à Google

Ces précisions étant faites, nous allons maintenant passer aux exemples de débordements de Google relatifs à la vie privée.

Commençons par un débordement verbal d’Eric Schmidt qui a tenu les propos débiles que tu tiens toi même cher Nicolas. Le truc ‘est qu’en Europe et en France, il y a certaines lois. Là on te demande pas ton avis, on te demande pas d’être pour ou contre… c’est la loi. Il y a par exemple la CNIL que tu connais probablement au moins de nom. Il y aussi le code des postes et des télécommunications électroniques, mais il y a, surtout, un petit manuel poussiéreux qui s’appelle le code pénal. Alors il raconte quoi le code pénal à ton avis ? Il raconte, article 226-15, que :

Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende. 

Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.

J’espère ce que ce jargon juridique n’est pas trop technique pour toi, je te le décode par charité chrétienne au cas où. Ça veut dire que violer les correspondances privées d’autrui c’est mal et que panpan cucul.

Et si tu te réfères à mon précédent article, tu sais quand j’emploie un mot savant, le « deep packet inspection » pour parler de Gmail qui se sert du CONTENU de ton message pour t’afficher des pubs… déjà c’est limite du viol de correspondance… mais pas vraiment puisque ça fonctionne sur base de dictionnaire de mots clés, en utilisant les MEMES DISPOSITIFS que les trucs que tu crains tant quand ils sont dans les mains de l’ETAT, pour procéder, en France, à des ECOUTES LEGALES, sur COMMISSION ROGATOIRE D’UN JUGE. Bah oui Thierry, nous on vit en France, on a des lois, et le BOPE ne déboule pas dans nos favelas en tirant sur tout ce qui bouge. On ne procède pas à des écoutes n’importe comment… bon ok, sauf Amesys des fois… ah non en fait ça leur arrive souvent.

Quand toujours dans le précédent billet je te parle de Google Screenwise et que tu juges bon de t’épargner un clic ici, puis que tu oses ensuite dire qu’on a pas d’argument « sérieux » et que tu ponctues par un « il est évident que ce type parle pour ne rien dire », ça nous laisse le choix entre la mauvaise foi, l’ignorance crasse, ou la bêtise. Dans ton cas il y a probablement un savant mélange des 3.

En clair, ta position à toi Nicolas, c’est de défendre qu’une entreprise privée utilise le même matos que Kadhafi ou Bachar El Assad utilis(ai)ent pour traquer les opposants et les tuer. Désolé, mais je trouve ton raisonnement d’une connerie sans borne cher Nicolas.

Continuons sur Google. Tu as probablement entendu parler de Street View, tu sais peut être qu’en Allemagne des villes et villages ont refusé aux Google cars censées prendre les vues l’accès à leur commune ? Tu sais pourquoi ? Regarde ça ….

Autre petit exemple de rien du tout pendant que tu as l’article 226-15 du code pénal en tête, il y a très longtemps de ça, sur ce même blog, j’avais remarqué un étrange manège d’une voiture autours d’un lieu sur lequel je déployais un réseau wifi, comme je sais encore reconnaitre une antenne wifi d’une antenne radio. Il était évident pour moi que cette voiture faisait un truc pas net avec notre réseau, passant et repassant. J’avais alors pensé à une association militant contre les ondes magnétiques. Et 2 ans plus tard… SURPRIIIIIIISE, on apprend que Google a intercepté « par erreur » des milliers d’emails et de mots de passe en wardrivant gaiement pour les besoins de Street View… C’est dingue non ?

Je vais aller plus loin avec la grande confiance que tu portes dans les entreprises privées américaines (ou pas), car je ne te l’ai pas dit, mais tout troll qui se respecte (et c’est la 8e règle) se solde tôt ou tard par un point Godwin. Le point Godwin est bien l’objet de ce dernier paragraphe. Il s’agit de l’histoire d’une petite startup, dans les années 30, qu’on appelait IBM. Ça se passe aux Pays-Bas, le gouvernement veut financer des lieux de cultes. Il cherche donc un moyen de recenser la population et tombe sur l’américain IBM qui lui informatise tout ça. Quelques années plus tard, les nazis débarquent. Ils sont tout contents, ils ont sur cartes perforées des fichiers qui vont leur faciliter la tâche dans leur oeuvre. Impressionnés, ces derniers contactent IBM… je te laisse lire la suite sur Wikipedia en te recommandant également la lecture du livre d’Edwin Black.

« Bon, je baisse pavillon. Après une bonne heure de recherches je n’ai pas trouvé d’exemple que Google ai essayé ou essaye de nous nuire intentionnellement. » disait l’un de tes lecteurs en commentaire. Et oui, c’est tout le problème, l’enfer est pavé de bonnes intentions.

Pour conclure, deux questions :

Qu’adviendra t-il quand les actuels dirigeants ne seront plus là et que le capital de Google sera disloqué dans une nébuleuse de fonds de pensions obscurs qui ne s’embarrasseront pas des considérations morales auxquelles l’entreprise se tient actuellement ?

Et si Google était la première agence de renseignement (non)gouvernementale américaine ?

De la polémique Google sur la vie privée

Il y a des jours comme ça où on se dit, après la lecture d’un billet, et puis d’un autre… qu’après tout, on devrait laisser tomber les combats que l’on juge importants. J’ose cependant croire qu’il s’agissait pour le premier d’un billet totalement irréfléchi, mal inspiré et surtout pas du tout documenté. Un billet, gentiment benêt, et donc excusable. Pour le second, j’ose espérer qu’il s’agit d’un billet autocentré sur le nombril de son auteur, lui aussi non réfléchi et non documenté… soit. Sauf qu’il est tout de même compliqué de ne pas réagir.

 

Au coeur de la pseudo polémique, la collecte et l’exploitation des données personnelles collectées par Google. Tout le Net en parle, la presse y compris, on peut lire un peu de tout et surtout beaucoup de n’importe quoi. Il est toujours délicat de causer de Google. J’admire les personnes qui sont capables d’élaborer une reflexion sur un sujet aussi complexe et se forger leur opinion en une vingtaine de lignes, sans même avoir lu ce que Google dit collecter, ce qu’il en fait, ni souvent d’ailleurs sans connaitre les services proposés par ce qui ressemble de plus en plus à l’étoile noire des données personnelles.

 

Même si l’on fait preuve d’un esprit de synthèse brillant, qu’on pense connaitre Google de A à Z parce qu’on utilise Gmail et Youtube, la question des données personnelles et de la protection de la vie privée méritent une réflexion un tantinet plus poussée.

 

Google est un univers

Il fut une époque où une immense majorité d’utilisateurs d’Internet assimilaient dans leur inconscient l’icône d’Internet Explorer, le navigateur de Microsoft à Internet. Quand vous demandiez à une personne au téléphone de lancer son navigateur, elle vous faisait un long « heeeeiiiiiiiiiinn » et vous finissiez par craquer en lui disant « le E bleu d’Internet », il s’en suivait un « aaaaahhhh » soulagé quasi systématique.

 

Dans l’inconscient de ces internautes (souvent les mêmes, mais toujours une majorité), aujourd’hui Internet = Google. C’est le premier point de contact visuel après le lancement du navigateur. C’est un univers dans lequel des centaines de millions de personne évoluent tous les jours, parfois même sans s’en rendre vraiment compte. Ces internautes :
  • font des recherches sur Internet et de plus en plus souvent avec le navigateur de Google, Chrome;
  • consultent les actualités sur Google News ;
  • lisent leur mail dans Gmail ;
  • regardent des vidéos sur Youtube ;
  • partagent leurs photos de famille sur Picasa ;
  • supertweetpokent de manière géolocalisée sur Google+ ;
  • préparent leurs vacances sur Google Map ;
  • se guident grâce à Google Street View ;
  • téléphonent avec Google Voice, quand ce n’est pas depuis leur téléphone Android ;
  • regardent la TV avec GoogleTV ;
  • écoutent de la musique sur Google Music ;
  • … arrêtons nous ici, la liste des services proposés par Google est interminable.

Un univers qui reste une partie d’Internet

Google n’est pas qu’un moteur de recherche, c’est un univers et c’est un univers, qui contrairement à AOL en son temps a réussi à trouver un juste équilibre pour retenir les utilisateurs, tout en les laissant sur Internet. Ceux qui ont connu AOL comprennent surement de quoi je parle, ce n’est probablement pas le cas pour les plus jeunes, sachez simplement que si aujourd’hui AOL est mort, c’est parce qu’il contraignait ses utilisateurs à accéder à une sorte de gros intranet, ce, exclusivement depuis son navigateur propriétaire, inclus dans son kit de connexion, indispensable pour accéder à cet ersatz d’Internet.

 

Si Google et ses services venaient à « s’éteindre » brutalement, Internet fonctionnerait toujours. En revanche, la majorité des internautes seraient perdus. Ils perdraient des points de repère et devraient se formaliser avec l’utilisation de plein de services, non unifiés sous un logo, une ergonomie, une cohérence.

 

Pour de nombreuses entreprises en revanche, les effets seraient bien plus gênants. Quand Google change son algorithme de positionnement pour afficher ses résultats de recherche, certains e-commerçants très bien positionnés sur une recherche donnée se retrouvent subitement 4 ou 5 pages plus loin sur des produits qui généraient une grosse partie de leur chiffre d’affaires. C’est quelque chose dont je m’étais amusé sur Reflets, de manière un peu méchante. Google a un impact énorme sur le chiffre d’affaires des e-commerçants.

 

Gratuit… en échange de votre vie privée

Google propose des services gratuits pour l’usage couvrant de nombreux besoins des particuliers. Cette gratuité pour le grand public de la quasi intégralité de ses services, leur caractère plus que confortable en terme de volume, d’ergonomie ou de simplicité d’accès sont très appréciés, et à juste titre. Mais la gratuité n’existant, pas, Google a pour modèle économique de financer cette gratuité grâce à sa régie publicitaire Google Ads.

 

Toute la polémique qui agite tant le Net aujourd’hui, porte sur 2 points :

 

  • La premier, médiatiquement le plus anecdotique, concerne une partie de Google Ads, le Google Display Network, les display ads étant l’un des 5 produits d’affichage des publicités de Google. Les 4 autres sont les Search Ads, les Video & YouTube Ads, les TV Ads et le Mobile Ads. La brouille oppose Apple à Google, le premier reprochant au second d’avoir contourné des dispositifs normés du navigateur web d’Apple, Safari, ainsi que ceux d’IOS, son système d’exploitation embarqué que l’on retrouve sur ses téléphones (iPhone) et ses tablets (iPad). Nous ne nous attarderons pas sur ce point, pour éviter de partir dans des considérations trop techniques.
  • Le second concerne le changement de règles de confidentialité des services de Google qui entrait en vigueur hier, le 1er mars. Pour faire très simple au risque de faire simpliste, Google va maintenant s’octroyer le droit de consolider les données qu’il collectait de manière indépendante sur ses divers services. Il ne collecte dans les faits pas plus d’informations qu’avant, mais il les centralise, et donc peut avoir plus de facilités à les croiser.

 

On peut dater assez précisément le début de l’évolution de la politique de confidentialité de Google, il s’agit de l’arrivée de Google+. À l’instar de Facebook, Google+ est un service trop complexe pour que les règles de confidentialité soient simples. Nous allons voir qu’il s’agit d’un service qui en regroupe de nombreux autres, et qui donc par définition, cumule un nombre effarant de données collectées, consolidées par défaut, et rattachées, à un compte… nominatif.

 

Le business des données personnelles

Quand on parle de données personnelles, on aime distinguer :
  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention).

Les données collectées

Google est plutôt transparent sur les données qu’il collecte pour qui se donne la peine de lire de quoi il en retourne. Il y a quand même une limite par rapport à cette transparence, c’est que pour beaucoup d’utilisateurs, tout ceci demeure du charabia technique, bien peu parlant. Voici par exemple ce que Google collecte sur un utilisateur de son service Google Music. Il s’agit d’un exemple particulièrement intéressant qui donne bien l’étendue du degré de connaissance que Google peut avoir sur ses utilisateurs

google privacy datas collected

Le moins que l’on puisse dire, c’est que ça fait beaucoup. Ça fait beaucoup, mais Google vous le dit, et certains ne prennent pas cette peine, y compris en France. On peut donc reprocher la masse d’informations que Google accumule et il faut comprendre que ceci est grandement une conséquence du nombre de services qu’il propose. Mais il va être compliqué de lui reprocher son manque de transparence sur la question.

 

Autre point de reproche lié à la collecte, et même en amont, il s’agit du point relatif à l’identification aux services. Il s’agit d’une authentification unifiée : un identifiant et un mot de passe vous donnent accès à l’ensemble des services de Google, il est rarement besoin (sauf dans le cas d’une acquisition récente) d’avoir à se créer un compte pour accéder à un nouveau service de Google. Votre identifiant, vous le savez, c’est une adresse email Gmail, bien pratique pour son caractère par nature unique.

 

Le traitement et l’utilisation des données

La nature des services proposés par Google (en ligne), fait que l’entreprise ne distinguera pas, ou dans de rares cas, traitement et exploitation. Le traitement à proprement parlé est automatisé et instantané. C’est de ce traitement dont découle ensuite la démarche commerciale de Google. En clair, c’est de là qu’il tire ses bénéfices. Et là en revanche il faut bien comprendre que Google dispose de bien des manières d’exploiter, directement ou indirectement vos données. Dans le cadre d’une exploitation directe, Google les utilisera pour  « fournir, maintenir, protéger  ou améliorer ses propres services« . Il pourra aussi se servir de ces données pour développer de nouveaux services. Le point relatif à la protection des services est à mon sens très intéressant mais il est bien trop technique pour le traiter dans ce billet, il en mériterait un à lui seul.

 

Il est également à noter que Google propose à ses utilisateurs des outils lui permettant un certain contrôle sur ce qu’il partage comme données, je cite :
  • Review and control certain types of information tied to your Google Account by using Google Dashboard.
  • View and edit your ads preferences, such as which categories might interest you, using the Ads Preferences Manager. You can also opt out of certain Google advertising services here.
  • Use our editor to see and adjust how your Google Profile appears to particular individuals.
  • Control who you share information with.
  • Take information out of many of our services.
Vos activités sur Google font ce que vous attendez d’elles, mais parfois elles en font aussi un peu plus. Vous avez tous eu un jour où l’autre à utiliser reCaptcha, un outil racheté par Google, que tout le monde pense être une simple protection antispam. Et bien vous ne le saviez peut être pas, mais en plus d’être une solution antispam, reCaptcha a été utilisé par Google afin d’améliorer ses performances en matière de reconnaissance de caractères (OCR) dans le cadre de son titanesque projet de numérisation de livres, Google Books, ainsi que les anciens numéros du New-York Times.

 

La rétention de données

C’est le second point de notre bref exposé qui pourrait avoir de quoi sérieusement nous fâcher. Dans cet article d’Arstechnica, on découvrira que selon le site, Google se sent investis d’une mission : « apprendre des bonnes personnes pour combattre les mauvaises personnes« … et ça, il y a vraiment de quoi trouver ça effrayant, surtout dit comme ça, en dehors de tout contexte.

 

La réalité en fait assez duale, ce n’est ni tout blanc, ni tout noir. Cependant la durée de conservation de certaines données est illimitée. La commission européenne a demandé à Google d’anonymiser les données relatives aux recherches, c’est ce que Google fait plus ou moins en supprimant le dernier octet de l’adresse IPau bout de 6 mois. Mais lorsque l’on parle d’anonymisation, on se doute bien que cette mesure est loin d’être suffisante. Le dernier octet effacé sur les IP ayant servi à faire des recherches ne suffiront certainement pas à anonymiser, au sens de garantir l’anonymat de l’internaute. Ces données pouvant être corrélées à d’autres services il sera toujours très simple de les rattacher à un compte Gmail, des historiques de chat, et donc obtenir l’identification de la personne, même si cette dernière a changé entre temps d’IP. On peut donc estimer que Google conserve ces données à vie et qu’il a en outre le loisir de les croiser avec beaucoup d’autres : carnets d’adresse, vidéo regardées sur Youtube, bibliothèque musicale de Google music ou encore déplacements via l’API de google maps avec des produits tels que Latitude. Données non anonymisées… rétention à vie… exploitation commerciale, dont la revente ou le partage à des tiers (avec votre consentement, pour peu que vous preniez la peine de lire ce que Google vous propose quand vous souscrivez à ses services)… vous commencez peut être à mieux comprendre le problème.

 

« Même pas peur j’ai rien à me reprocher »

C’est ici une réflexion qui m’agace au plus haut point, l’argument des personnes qui n’ont aucune compréhension des problématiques de la gestion de données personnelles à caractère nominatif. C’est typiquement le cas de l’auteur de ce billet qui n’a d’ailleurs probablement jamais lu ce que que Google conserve comme données sur lui, et encore moins combien de temps il les garde ou ce qu’il se réserve le droit d’en faire. C’est au bas mot triste pour lui, mais il est surtout parfaitement inconscient de véhiculer l’idée que « après tout ce n’est pas grave puisque je n’ai rien à me reprocher« .

 

Et dans ce domaine, la palme de la bêtise revient à ce billet, techniquement parfaitement faux. Je cite : « Je pense que notre ISP en sait encore plus que google, tout comme nos opérateurs mobiles et là on ne dit rien? Si vous avez un package complet chez SFR (tv, téléphone, internet), toutes vos données passent dans le même tuyau.« . La comparaison avec un fournisseur d’accès à Internet en France est nulle et non avenue. Un fournisseur d’accès est régi par certaines lois, comme le Code des Postes et communications électroniques et surtout l’article 226-15 du code pénal. Pour les comprendre, il faut encore une fois distinguer le métier d’un FAI : acheminer vos communications, et les principes relatifs aux données personnelles que j’ai cité plus haut :
  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention).
Un FAI a une obligation légale de conservation, pendant une période donnée, de journaux de connexion. Ces derniers ne visent qu’à une seule chose : mettre un nom derrière une adresse IP à un instant T en cas de réquisition judiciaire. Il existe ensuite une exception, il s’agit de l’interception légale, qui permet aux FAI, sur demande expresse des autorités judiciaires, de procéder à des écoutes dites légales, c’est à dire des interceptions des vos communications qui seront soumises à un régime spécial de rétention.

 

L’auteur de ce même billet est également  parfaitement inconscient  en terme de mesure du danger de l’exploitation des données personnelles : Je cite « Je ne surfe pas sur des sites pédophiles ou illicites. Même si je surfe sur des sites porno, ce n’est pas illégal  que je sache, alors google peut toujours m’espionner. » Gageons que l’auteur apprécierait que sa femme recoive des catalogues de sextoys par la Poste parce que ce dernier est passé devant un sex shop. Je dis bien devant… je ne parle même pas de rentrer, nous allons y revenir avec le Deep Packet Inspection.

 

Un chiffre devrait commencer à vous faire réfléchir. Aujourd’hui Facebook serait cité dans un cas de divorce sur trois au Royaume-Uni. Le caractère intrusif et l’aspect un peu « mouchard » des réseaux sociaux est indéniable et il arrive forcément, un jour, où ceci a un impact, direct ou indirect sur votre vie… même au bistrot !

 

Un autre point, bien connu des techniciens, c’est celui de la publicité contextuelle en temps réel lorsque vous utilisez la messagerie Gmail à partir de l’interface de Google. Quand vous écrivez un mail à votre compagne pour lui demander où elle souhaite partir en vacance et que vous voyez apparaitre alors même que vous composez le message, des publicités pour des séjours tout compris en Tunisie, SVP, ne croyez pas un instant qu’il s’agisse la de hasard. Techniquement, Google lit vos emails pour vous renvoyer une publicité contextualisée. Dans cet article traitant également de la vie privée et des pratiques des publicitaires utilisant ces technologies d’inspection en profondeur des paquets (Deep Packet Inspection) à des fins publicitaires, souvent hors de tout controle (à priori pas en France, mais on va y revenir…), je m’étais insurgé contre cette pratique.

 

La CNIL ? … et pourquoi pas le père Noel ?

« Je suis en France tout va bien j’échappe à ces pratiques, la CNIL me protège« … monumentale erreur !

La CNIL cautionne parfaitement cette pratique pourtant par définition assimilable à du viol de correspondance privée, en l’encadrant cependant semble t-il de manière très stricte… voir l’expérimentation Orange Préférences et une représentante de la CNIL en faire la promotion à la radio sans nommer ni Orange ni la technologie en question.

 

Mais si la CNIL a pu encadrer Orange en exigeant certaines garanties sur la collecte, le traitement et l’exploitation des données analysées dans le cadre d’Orange Préférences, il n’en va pas du tout de même pour des entreprises non françaises. Et devinez qui on retrouve au coeur d’une expérimentation de ce type ? … Google ! Le service se nomme Google Screenwise, et comme pour Orange Préférences, il se fait sur Opt-In. Si Google rémunère les utilisateurs qui acceptent de se faire violer un peu plus leur vie privée, Google n’avoue pas publiquement utiliser de l’inspection en profondeur de paquets. Une lecture attentive des termes d’utilisation de ce service nous a permis de mettre en évidence un élément particulièrement inquiétant, par l’intermédiaire de GFK, partenaire de Google sur cette opération qui n’est autre qu’un actionnaire de Qosmos une entreprise française, qui est l’un des leaders mondiaux du Deep Packet Inspection. Avant de vous laisser séduire par Screenwise, de grâce lisez cet article. Et la CNIL, concernant Screenwise… on ne l’a pas entendu.

 

Enfin, il faut savoir qu’il n’est nul besoin de délivrer un service en France, et donc d’être soumis à nos lois restrictives en matière de protection de la vie privée, pour opérer une écoute et une interception de vos données sur Internet. Ce petit schéma devrait vous éclairer sur le nombre important de points sur le réseau qui permettent à des publicitaires, en dehors de tout contrôle, d’espionner votre activité sur Internet pour vous proposer de la publicité contextuelle ou collecter ces données à des fins de revente à des tiers.

 

Ne serait-ce qu’au niveau français, on ne peut pas dire que la CNIL fasse preuve de zèle. Il est naturel de l’entendre de temps en temps s’exprimer contre de « gros acteurs », c’est toujours bon en terme de communication et ça justifie les budgets. Il est en revanche bien plus rare de voir la CNIL monter au créneau pour des affaires pourtant très grave, comme cette énorme fuite de données à l’UMP où MesConseils, une petite entreprise visiblement peu qualifiée pour traiter des données personnelles, a eu l’idée grandiose de stocker sur des machines poubelles, des bases de données sensibles qui contenaient des mots de passe de parlementaires pour accéder à des applications du réseau de l’Assemblée Nationale ou du Sénat. A quoi servaient ces bases de données, comment ont elles pu se retrouvées gérées de manière aussi catastrophique ? … une fois de plus, la CNIL on ne l’a pas entendu.

 

La dernière foi que l’on a entendu la CNIL (et oui c’était encore à cause de nous)  se pencher sur un cas en France, c’est sur celui de TMG, dans le cadre de la procédure de riposte graduée de l’HADOPI. Et encore il y aurait encore énormément à en dire. Le rapport de la CNIL n’a pas été rendu public après que TMG ait été mis en demeure. Puis quelques semaines plus tard, dans une parfaite opacité, celle ci déclare que « maintenant c’est bon il n’y a plus de problème« … sans plus d’explication. L’HADOPI n’a pas été dupe n’a d’ailleurs, jusqu’à aujourd’hui encore, pas rétabli l’interconnexion entre son système et celui de TMG.

 

Conclusion … La CNIL, c’est bien mignon, mais ça ne sert pas à grand chose.Entendre la CNIL émettre des avis sur Google relève surtout du grand spectacle, mais sur le fond c’est relativement inintéressant. D’ailleurs Google lui a gentiment objecté une fin de non recevoir, lui expliquant que revenir en arrière créerait plus de confusion chez les utilisateurs qu’autre chose… ce qui est en pratique parfaitement vrai.

 

Plus sérieusement comment on fait ?

Ne pas être d’accord avec les règles de confidentialité de Google vous laisse en fait 3 alternatives.

  • Ne plus utiliser Google : une solution radicale, mais ne fera pour le coup aucune concession en matière de vie privée
  • Compter sur la CNIL pour qu’elle inflige une amende à Google : nous avons vu un peu plus haut que ce n’est certainement pas une amende qui changera un fait inhérent au pachydermique et incontournable Google. Nous avons également vu qu’il convient d’avoir une confiance toute relative en la CNIL attendu que celle-ci n’est déjà pas ultra réactive en France et que ce n’est surement pas pour des entreprises qui opèrent à l’étranger qu’elle sera techniquement et juridiquement compétente pour vous protéger.
  • Utiliser Google de la manière la plus anonymisée possible : il existe des manières, moyennant quelques sacrifices en terme de confort d’utilisation qui vous permettent de conserver un certain anonymat en utilisant les services de Google. Elles mériteraient elles aussi un billet à elles seules mais voici déjà quelques pistes très simples concernant l’utilisation du service de mail de Google :
  1. Préférer un client mail comme Thunderbird/enigmail, chiffrer ses emails avec OpenPGP.
  2. A la création du compte Gmail aller faire un tour dans les paramètres de son compte pour y désactiver l’archivage des conversations Gtalk (paramètres de votre compte mail sur l’interface de Google, puis onglet « chat »).
  3. Gtalk le chat de Google, qui est également un compte Jabber. Ceci veut dire qu’avec un client compatible comme Pidgin on peut avec ce compte parler de manière chiffrée grâce à l’extension OTR

Monsieur Google Plus : VA TE FAIRE FOUTRE !

Je viens d’avoir une belle surprise en tentant de me connecter sur Google+ le réseau social by Google (is not evil… mais particulièrement con des fois… et c’est pas la première). Donc voilà, mon expérience Google+ s’arrête ici. Il semblerait que Google ambitionne de devenir le prochain provider de carte d’identité électronique internationale et que pour lui je sois un couard d’anonyme qui ne respecterait pas le règlement des noms.

Laissons à Google le loisir de se Facebookiser, mais ce sera sans moi.

Evidemment, le bouton Google + disparait également des articles de ce site … ah tiens, … le analytics aussi.

Plus rien ne sera jamais comme avant

Le billet qui va suivre n’avait à mon sens pas sa place sur Reflets.info, c’est pour ça que je vous le propose ici. Il n’est pas à prendre pour parole d’évangile, il n’est que l’expression de ce que je pense, avec le peu de recul que j’ai, et non le fruit d’une investigation me permettant d’affirmer avec assurance les opinions présentées ici. Il fait suite à ce que je vous avais évoqué ici, et que nous avons finalement rendu public sur Reflets avant hier. Comprenez bien que nous n’en savons à ce jour pas beaucoup plus et ces menaces sont tellement cryptiques que nous ne sommes même pas sur du tout qu’elles soient en rapport avec nos recherches sur les ventes d’armes numériques à des nations faisant ouvertement peu de cas des droits de l’Homme. C’est ce que je vais tenter de vous exposer ici.

 

Le cas Libyen

Quand nous nous sommes mis à enquêter courant février sur les ventes d’armes électroniques à des dictatures, nous savions que nous allions mettre le doigt sur quelque chose de nauséabond. Oui vous avez bien lu, pas Juin 2011, pas Août 2011 mais bien Février 2011 comme en atteste ce billet très elliptique mais annonciateur de ce qui allait suivre pour qui savait lire entre les lignes.

Fin Mai 2011, toujours sur Reflets, j’en remettais une petite couche, toujours sans les nommer, mais en présentant cette fois le matériel exact composant une partie du dispositif d’écoutes globales vendu par Amesys au régime libyen.

Pourquoi désigner sans nommer ?

S’il ne faisait pour nous plus l’ombre d’un doute qu’Amesys avait bien vendu un dispositif d’interception global à Kadhafi, les raisons de cette vente nous paraissaient encore bien fumeuses. Amesys, filiale de Bull, n’avait probablement pas besoin de ce contrat, aussi juteux soit-il, pour assurer sa pérennité. Il y avait donc autre chose. Nous avons logiquement gratté un peu la piste diplomatique et du renseignement militaire, mais là encore, rien de convaincant. Rien qui pouvait justifier de mettre entre les mains du dictateur ce Glint, dans un but, quoi qu’en dise Amesys dans son communiqué, de mettre sous surveillance l’ensemble de la population libyenne. Pour être clair, je ne crois pas un seul instant qu’un tel dispositif soit nécessaire pour surveiller quelques dizaines, voire centaines de membres supposés d’Al Qaida agissant sur le territoire libyen (une hypothèse fort peu crédible quand on sait en plus comment Kadhafi a perçu l’extrémisme religieux dans son pays avant 2010, à savoir un concurrent néfaste pour son règne). Ce qui me permet d’affirmer ceci c’est la nature même de l’équipement, « Nation Wide » (à l’échelle d’une nation), doublé du fait qu’il s’agisse ici de surveillance intérieure. Ce dispositif porte sur l’écoute en coeur de réseau d’un fournisseur d’accès. A aucun moment on me fera croire qu’on est allé poser des sondes chez les FAI au Pakistan, au Yemen ou en Afghanistan, susceptibles d’intercepter les communications externes pour alimenter la base de données Eagle des interceptions de ce dispositif situé en Libye. Pour traquer Al Qaida, il valait mieux dealer avec les autorités pakistanaises que libyennes, et je ne pense pas que nos services extérieurs aient besoin de mes lumières pour le savoir.

Qui a fait quoi ?

Nous n’avons aujourd’hui d’autre réponse « officielle »sur cette question que le communiqué de presse d’Amesys publié sur son site qu’il ferma suite aux révélations publiées dans le Wall Street Journal. Sur Twitter, Même son de cloche du service de communication de la maison mère, Bull, visiblement embarrassée, qui n’a pas voulu répondre à mes questions autrement que par un lien sur le ridicule communiqué d’Amesys.

twitter bull à propos d'amesys

Du côté des politiques, c’est le silence absolu, les autorités nient en bloc avoir eu connaissance d’une telle vente à la Libye. Je vais exprimer mon avis sur ce point en 3 lettres : LOL.

Je cite OWNI : « Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) confirmait la nécessité d’une autorisation de la Commission interministérielle pour l’étude des exportations de matériel de guerre (CIEEMG) pour les produits de guerre électronique, tout en affirmant ne rien savoir de cette affaire… »

Là, on nous fait gober à peu près que le GLINT a passé la frontière comme une barrette de shit dans la poche de Ziad Takieddine

Glint Amesys
T'as vu la gueule de la barrette de shit ?

Le 6 septembre, le Figaro révélait que la Direction du Renseignement Militaire (DRM) avait pris part au déploiement du centre d’écoute sur le sol libyen. Owni pointera du doigt le même jour un autre élément intéressant, pouvant partiellement expliquer la soudaine aphasie d’Amesys sur le dossier libyen : « Tiphaine Hecketsweiler, embauchée en tant que directrice de la communication du groupe Bull en janvier 2011, est en effet la fille de Gérard Longuet ». Oui, Gérard Longuet, le ministre de la Défense et des Anciens combattants, en poste depuis février 2011, soit un mois après (il me semble utile et honnête de le préciser) l’embauche de sa fille à la tête de la communication de Bull.

Information reprise par le journal télévisé de 20h du 15 octobre sur France 2.

Kadhafi et la France — France2

Pourquoi ?

La décision de cette vente est donc à mon sens :

  • Soit le fruit d’une décision politique assumée, en échange d’un arrangement dont nous ne connaissons pas la nature exacte, mais il ne me semble aujourd’hui pas idiot d’envisager le fait qu’il ne s’agissait aucunement de lutte anti-terroriste.
  • Soit un mix d’intérêts politiques et économiques… comme c’est probablement le cas pour le Maroc, un autre contrat portant sur un dispositif de surveillance « Nation Wide » sur lequel nous reviendrons probablement plus tard dans Reflets.

La vente d’armes numériques ne saurait à mon sens justifier les tentatives d’intimidation dont la rédaction de Reflets (et ses amis) ont, par personnes interposées, fait l’objet… ça ne colle pas. Du moins, je vois très mal Amesys s’intéresser à nos modestes travaux alors que la presse entière expose ses activités et ses liaisons dangereuses au grand jour. La vérité est probablement ailleurs.

 

Le piste syrienne

Je confesse volontiers ne pas avoir la culture suffisante pour avoir une vision précise des intérêts occidentaux dans le monde arabo-musulman. Mais la piste de la région syrienne me semble à ce jour particulièrement intéressante, ce à plusieurs titres.

Une petite mise au point préalable

Il faut d’abord comprendre avec précision l’action conjointe de Reflets, Telecomix et FHIMT. Loin d’avoir l’envie de jouer aux barbouzes pour renverser le gouvernement de Bachar El Assad, notre action a exclusivement porté sur l’aide aux individus menacés pour leurs opinions dans ce pays. C’est contre ces individus que le régime syrien envoi les snipers. Nous sommes avant tout des internautes, des « gens du réseau », qui nous intéressons à nos semblables, quel que soit leur religion, leurs opinions politiques… Ces gens du réseau sont pris pour cibles car un régime utilise le réseau contre eux en utilisant des armes numériques d’origines occidentales. Nous n’avons pas la possibilité de leur venir en aide autrement qu’en essayant de leur donner les outils leur permettant de se prémunir de ces armes numériques. Malheureusement, ces motivations ne sont pas comprises de tous et il arrive que la presse fasse de malheureux amalgames ou nous prête des intentions qui n’ont jamais été les nôtres. Je vous invite, si vous l’avez manqué à lire cet article de Kheops qui exprime parfaitement ce décalage.

On dérange qui à part Bachar ?

La région est une poudrière qui n’a pas attendu quelques hacktivistes pour s’embraser. Le mal me semble bien plus profond. Notre rôle en Syrie, comme en Libye, a simplement été de dénoncer le business, que notre bon sens et notre éthique nous interdirait, d’entreprises occidentales qui mettent à disposition des technologies de surveillance de masse. C’est là tout l’objet de notre publication des « logs de la censure syrienne » qui se veut un instantané de l’état de l’art de la mise en place d’outils numériques de surveillance et de répression. Outils que BlueCoat, principal incriminé qui ne souhaite pas nous répondre, nie avoir directement vendu à la Syrie (contournant ainsi l’embargo commercial sur la Syrie)… on veut bien les croire. Là où on a plus de mal avec BlueCoat, c’est quand il raconte n’importe quoi à Slashdot, niant que ces logs proviennent de ses équipements. Nous avons donc pris le temps de faire la démonstration technique du mensonge de BlueCoat… Pas de doute, on dérange bien BlueCoat.

On dérange peut être également Fortinet, une entreprise allemande que nous soupçonnons ouvertement de compléter les basses besognes des équipements BlueCoat avec ses Fortigates… à coup Deep Packet Inspection.

Là encore aucune réponse officielle des intéressés à nos questions peut-être un peu trop précises…

Fortinet twitetr

Cependant, la piste strictement technique ne me satisfait pas. Il nous reste donc 3 pistes :

  • Commerciale
  • Diplomatique
  • Politique

Et si ces 3 pistes n’en faisaient en fait qu’une seule ? Difficile de pousser plus amont la réflexion sans spéculer avec les éléments dont nous disposons à ce jour. Mais les logs finissent toujours par parlerToujours.

Naturellement, nous irons fouiller les pistes purement syriennes, mais pas que… un pays frontalier commence à attirer notre attention. En fait, ce qui attire le plus notre attention, c’est l’activité diplomatique et politico-commerciale de pays occidentaux dans cette région.

Nous continuerons nos travaux, nous ne nous laisserons pas intimider.

Le gouvernement français, par la voix d’Alain Juppé, condamne la sanglante répression en Syrie. Tant que le sang coulera, l’action de Telecomix, Reflets et FHIMT visant à venir en aide à des internautes syriens sera, à nos yeux, légitime et parfaitement proportionnée.

 

… et plus rien ne sera jamais comme avant

Aujourd’hui, le réseau n’a pas besoin des gouvernements pour veiller sur ses semblables. La classe politique doit, et va en prendre conscience. Nos actions sont pacifistes, nous n’avons rien de cyber-terroristes ou de cyber-criminels. Nous nous foutons des enjeux diplomatiques et commerciaux dans telle ou telle région, nous sommes le réseau, notre région c’est Internet notre rôle est de faire en sorte d’acheminer les informations qui y circulent et non d’espionner vos communications. Des gouvernants ont l’illusion de pouvoir contrôler tous les flux d’informations qui y circulent pour y imposer une nouvelle forme d’assise de leur pouvoir : ils n’ont pas compris que derrière chaque machine se cache un de leur semblable. Cette erreur… ils seront amenés à la payer très cher un jour où l’autre. Tout peuple oppressé finit un jour par se libérer. Oppresser le réseau est dangereux.

Le réseau et l’information qui y transite peuvent de prime abord paraître bien dérisoires face à des snipers et des chars, mais l’information véhicule des idées… et on ne tue pas des idées.

Expect us.

Du troll velu à la vraie Gallaire

copyleft
Free as Free speech... not Free Beer

Le troll enfle, ça prend des proportions démesurées et pour tout vous dire, moi aussi ça commence à m’agacer, ça en cause partout sur les forums, même à la télévision aujourd’hui sur BFM entre autres… A l’origine de ce troll, Florent Gallaire, un jeune homme aux opinion politiques bien tranchées, qui, s’emparant d’une cause qu’il ne maîtrise visiblement pas tant que ça (la culture libre), est en train de porter sérieusement préjudice aux partisans du logiciel et de la culture libre en général.

Florent Gallaire, juriste spécialisé en droit du numérique, a unilatéralement décidé de diffuser sur son blog le dernier prix Goncourt « La carte du territoire » de Michel Houellbecq sous prétexte que ce dernier utiliserait des passages tirés de Wikipedia et donc sous licence Creative Commons. Son argumentaire est développé sur son blog, mais voilà, il y a comme un hic. Florent, qui n’a aucune légitimité ni sur l’oeuvre, ni sur les contenus libres de Wikipedia (il n’en est pas l’auteur et encore moins le conseil juridique des auteurs) a décidé de s’investir de droits de libre redifusion selon les termes de la Creative Commons by SA, arguant que l’oeuvre de Michel Houellebecq est de fait une oeuvre composite. Comme cette oeuvre contient des passages sous licence Copyleft, il en déduit que l’oeuvre de Michel Houellebecq est également Copyleft… un bien hasardeux raccourci. Je ne vais pas me lancer dans une explication sur la viralité des licences libres, le débat n’est même pas là, mais vous trouverez d’intéressants commentaires sur le beau, le grand, l’unique… j’ai nommé LinuxFR, qui, comme la tradition du vendredi l’y oblige, a abondamment commenté le troll servi sur un plateau d’argent par Florent Gallaire. Linux FR n’étant pas le dernier endroit en France ou les défenseurs du libre échangent, j’invite Florent à lire ces commentaire avec la plus grande attention, ou encore à se rapprocher de Benjamin Jean, de Veni Vidi Libri ou des excellents Antoine Moreau et  Mathieu des non moins excellents Artlibre et In Libro Veritas.

Bilan, Flammarion, l’éditeur,  va porter plainte et nous devrions assister à une issue qui me déplaît fortement, tant pour Florent qui me semble vraiment être dans l’erreur, que pour le libre qui aurait mérité une bien meilleure cause pour faire valoir sa légitimité devant les tribunaux français. Florent a à mon sens cherché une certaine visibilité pour sa propre pomme, sinon, il aurait simplement contacté les auteurs des textes de Wikipedia en question pour faire en sorte que ces derniers fassent, légitimement cette fois, valoir leurs droits.

Aujourd’hui c’est le site SurLeRing qui termine de m’achever en exhumant une vidéo de Florent Gallaire, vous allez voir, il va droit au but, atteignant son point Godwin en moins d’une minute, et pas qu’une fois, c’est un superbe combo. Je ne commente pas plus et  je vous laisse découvrir qui risque d’être le premier à tenter de faire valoir le libre pour autre chose que des logiciels devant la justice française, je ne saurai plus exprimer ma consternation… J’espère juste que Flammarion et  Michel Houellbecq n’assimileront pas la culture libre à ce débordement, et qui sait, que Flammarion, un jour, éditera une oeuvre dont l’auteur aura choisi délibérément une licence copyleft.


L’appel des Cordeliers
envoyé par Doumenge_Mistral. – Gag, sketch et parodie humouristique en video.

OpenDATA hunt à la Cantine

opendata
OpenData constellation

Ce vendredi se tiendra à la Cantine une chasse aux données publiques. C’est à l’initiative du collectif Regards Citoyens et de l’association Silicon Sentier que cet évènement se tiendra. Cette pratique s’inspire de l’initiative de l’Open Knowledge Foundation et vise à encourager la libération de données publiques dans le but de les rendre accessibles et donc utilisables. Ainsi, ces données peuvent être croisées avec d’autres données publiques et être exploitées dans le but de faciliter l’accès à certaines informations souvent pénibles à obtenir par voies administratives. L’OpenData est une nécessité et ce premier évènement du genre en France permettra aux différents acteurs d’échanger pour tenter de combler un retard certain pris par notre pays en la matière. Ajoutons au passage que la LOPPSI, dont la seconde lecture vient d’être repoussée à la mi-décembre, pourrait bien menacer cette évolution souhaitable comme le soulignait récemment Owni et Regards Citoyens.

En cette occasion, une table ronde se tiendra, elle sera animée par Romain Lacombe (Re-Open / Etats numériques) et réunira :

L’OpenDATA Hunt se tiendra donc le 26 novembre 2010 à 19 heures à 22h à la Cantine, à Paris. Vous pouvez vous inscrire ici.

Musique : Google Lab India vous offre le catalogue Hindi

Google India Music Search

S’il y a bien une entreprise qui se contrefiche de la labellisation de l’offre légale de l’HADOPI et qui doit doucement rigoler en observant l’industrie du disque se débattre pour continuer à essayer de vendre des galettes en plastique, c’est bien Google. Au hasard d’un surf et comme il m’arrive d’apprécier la musique Hindi, je suis tombé sur quelque chose qui devrait faire frémir nos moines copistes de CD franchouillards, et je dois vous avouer que ça me fait beaucoup rire.

Le Google Lab India ne vous offre pas moins que l’intégralité du catalogue hindi en srtreaming, c’est juste énorme pour tous les amateurs de Bollywood, de pop Hindi et de musique Tamoule ou indienne traditionnelle. Alors qu’en France tout le monde a les yeux rivés sur Apple et l’iTune Store, Google, en partenariat avec les sites in.com, Saavn et Saregama, ouvre le catalogue culturel d’une population d’1,2 miliard d’habitants… Voilà ce qu’il est possible de faire quand on est un minimum cortiqué et qu’on a pas en face de nous des dinosaures qui tentent bêtement de s’accrocher à leur rente au lieu de faire leur métier :  découvrir de nouveaux talents.

Et moi de mon côté je suis heureux de pouvoir réécouter légalement des ragas de Nikhil Banerjee que j’ai encore en cassettes achetées à La Chapelle, à côté de la Gare du Nord à Paris, il y a plus de 20 ans et que je pensais ne plus jamais pouvoir entendre vu que j’ai plus rien pour les lire.

Pas besoin de carte musique jeune en Inde, même si Google spécifie sur son site que pour le moment, seul le catalogue Hindi est disponible… à bon entendeur. On imagine aisément ce modèle se décliner sur d’autres pays, en Amérique du sud ou en Afrique, à tel point qu’un jour ou l’autre le catalogue à la René la Taupe matraqué à la TV risque de paraître bien fadasse aux internautes.

J’en connais qui vont pas la voir venir, qui vont la sentir passer, et qui vont encore pleurer dans pas longtemps.