featured – ☠ Bluetouff's blog

23 novembre 201320 mai 2017

Interceptions légales, technologies duales et commerce d’armes électroniques entre amis

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler « des vraies inquiétudes des français » (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon « ton dramatique » et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale « nation wide », un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des « technologiques duales grand public » « destinées à de l’interception légale ».

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et « alégal » de ces pratiques.

De la technologie duale

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire « les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

Et quand on fabrique des bombes, toutes aussi duales et « grand public » soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

Qatar
Maroc
Kazakhstan
Arabie Saoudite
Gabon
Libye

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une « petite dictature » qui a lâché la première bombe atomique.

21 novembre 201321 novembre 2013

Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux « je n’ai rien à cacher ».

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

Administrations, mais aussi fournisseurs d’accès Internet offrant des services « pros » aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

« il y a une totale méconnaissance de ces problématiques par les décideurs politiques ». « Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit « Isabelle, tu exagères… », voire « Tu es parano », même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.

20 novembre 201320 novembre 2013

Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team

SFR SQLi — … Our website may be subject to SQLi

Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.

Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…

Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).

Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.

Chapeau la Business Team et merci pour le fou rire 😉

Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.

Attention ce qui suit est un scoop 🙂

Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !

14 novembre 201314 novembre 2013

La CADA donne son accord pour la transmission des documents relatifs au coût du site web de la Fondation #Carla Bruni #Sarkozy

C’est à la vigilance de @VincentGranier que nous devons cette information. La CADA (Commission d’Accès aux Documents Administratifs) a publié sur son site web un avis favorable à la transmission des documents de ce qui semble tout à fait être les documents relatifs à l’élaboration et la maintenance du site web de la fondation Carla Bruni Sarkozy. Si le demandeur comme le site web et la fondation ne sont pas explicitement nommés, il semble tout de même faire peu de doutes qu’il s’agisse bien du site de la fondation Carla-Bruni Sarkozy qui avait cet été défrayé la chronique et dont je vous avais largement parlé sur Rue89 comme ici ou encore là.

Pour mémoire, le site web de la fondation aurait été largement financé par la Présidence de la République entre 2007 et 2012. L’examen technique du site faisait froid dans le dos et nous étions nombreux à ne pas nous expliquer un tel coût pour le contribuable correspondant à deux rubriques qui à en croire les explications de la fondation, n’existeraient même plus ! La Cour des Comptes avait confirmé ces informations.

Ce nouvel épisode devrait donc lever le voile sur les mystères qui ont conduit la Présidence de la République à financer une partie d’un des WordPress les plus chers du monde.

Je vous copie donc ici l’avis complet de la CADA :

Présidence de la République

Avis 20133473 – Séance du 10/10/2013

Monsieur X a saisi la commission d’accès aux documents administratifs, par courrier enregistré à son secrétariat le 10 septembre 2013, à la suite du refus opposé par le secrétaire général de la Présidence de la République à sa demande de communication des documents suivants, relatifs à la création, l’entretien, la sécurité et le développement du site www.X.org, pour les années 2007 à 2012 :
1) la définition des besoins par la présidence, les organismes consultés avant le choix définitif des prestataires pour ce site et les avis d’appel d’offres ;
2) les équivalents temps plein des personnels de la présidence affectés à la réalisation et la tenue de ce site ;
3) les contrats de prestations et fournitures commandés et financés par la Présidence de la République ;
4) les factures correspondant à ces prestations ;
5) les prestations produites et les actes de « service fait » ;
6) les financements extérieurs de ce site, tels ceux en provenance de la fondation X-X.

La commission estime tout d’abord que, s’ils existent, les documents produits ou reçus par la Présidence de la République qui se rapportent au financement du site internet de la fondation X-X par des fonds publics, à des prestations financées sur fonds publics ou à des contrats passés par la Présidence de la République doivent être regardés comme se rapportant aux missions dévolues à l’Etat dans l’exercice de sa mission de service public au sens de l’article 1er de la loi du 17 juillet 1978 et présentent de ce fait le caractère de documents administratifs, sujets au droit d’accès prévu par l’article 2 de cette loi (cf jugement du tribunal administratif de Paris, 17 février 2012, n° 0920763). Il en irait notamment ainsi des documents mentionnés au point 6) s’ils existent et se rapportent à des financements privés qui auraient abondé le budget de l’Etat. Les documents mentionnés au point 6 qui se rapporteraient seulement au financement privé d’un organisme de droit privé tel que la fondation en cause devraient, en revanche, être regardés comme des documents privés dépourvus de caractère administratif au sens de la loi du 17 juillet 1978.

La commission considère ensuite qu’eu égard à l’objet des documents sollicités, leur communication, s’ils existent, ne paraît pas susceptible de porter atteinte à l’un des intérêts protégés par l’article 6 de la même loi, sauf en ce qui concerne les éventuelles mentions dont la communication porterait atteinte au secret en matière commerciale et industrielle et que pourraient comporter les documents correspondant aux points 3 à 5.

La commission estime donc, sous cette réserve, que les documents sollicités, s’ils existent, sont communicables à toute personne qui en fait la demande.

La commission précise que, conformément au troisième alinéa de l’article 2 de la loi du 17 juillet 1978, le dépôt aux archives publiques des documents sollicités qui sont communicables ne fait pas obstacle au droit à communication à tout moment de ces documents. Seuls les documents qui, compte tenu des mentions relevant du secret en matière commerciale et industrielle qu’ils comporteraient, ne seraient communicables à toute personne qui le demande qu’à l’expiration du délai de vingt-cinq ans fixé au a du 1° du I de l’article L. 213-2 du code du patrimoine ne pourraient être communiqués au demandeur qu’après délivrance de l’autorisation de déroger à ce délai prévue à l’article L. 213-3 du même code, si l’intérêt qui s’attacherait à une telle consultation ne conduisait pas à porter une atteinte excessive à ce secret. S’agissant de documents d’archives publiques émanant du Président de la République et dont le versement a été assorti de la signature du protocole prévu à l’article L. 213-4, cette autorisation de déroger au délai prévu à l’article L. 213-2 nécessiterait l’accord du signataire du protocole. Aux termes mêmes du premier alinéa de l’article L. 213-4, ce protocole ne s’applique pas aux documents qui, compte tenu des délais fixés à l’article L. 213-2, sont déjà communicables à toute personne qui le demande, et l’accord du signataire du protocole n’est pas requis pour leur communication.

La commission émet donc un avis favorable à la demande, sous les réserves précisées plus haut. Elle comprend de la réponse que lui a faite la directrice du cabinet du Président de la République que les documents sollicités ne sont pas détenus par ses services mais, s’ils existent, n’ont pu qu’être inclus dans le versement aux archives des documents émanant de l’ancien Président de la République. La commission l’invite donc, conformément au quatrième alinéa de l’article 2 de la loi du 17 juillet 1978, à transmettre la demande, accompagnée du présent avis, au service d’archives susceptible de détenir ces documents. »

12 juin 201312 juin 2013

#Prism : pourquoi ce pseudo scandale m’en touche une sans faire bouger l’autre ?

Vous êtes plusieurs à m’avoir demandé une réaction aux récentes révélations sur ce qui a gentiment débuté par le pseudo scandale Verizon. Je n’en avais pas particulièrement envie car je trouve tout ce foin complètement ridicule. Entre les américains indignés, les européens qui jouent les vierges effarouchées (les anglais qui accueillent des bases relais d’Echelon sur leur territoire doivent bien rigoler), et la presse qui fait ses choux gras de cette information vieille d’une douzaine d’années, j’estimais ne pas avoir de choses particulièrement intéressantes à vous raconter. D’ailleurs, je ne suis toujours pas convaincu que ce qui va suivre sera vraiment intéressant pour nombre d’entre vous… vous voilà avertis. Je ne m’étendrai d’ailleurs pas bien longtemps sur PRISM, car une autre information me semble tout de même un peu plus intéressante.

Depuis quelques jours, il faut l’avouer, je rigole allègrement. Je rigole de la naiveté patriotique candide des américains, je rigole de toute cette presse qui fait semblant de s’étonner, je rigole des réactions des politiques européens qui miment de tomber des nues… car oui, c’est soit disant nouveau, tout ce petit monde peut enfin mettre un sobriquet sur Big Brother : PRISM. Enfin, ça, c’est ce que tout le monde pense, la réalité est toute autre et c’est Kitetoa (désolé pour le ComicSansMS) qui vous l’exposera à l’occasion de Passage en Seine. Prism n’est en fait qu’une infime partie d’un programme bien plus vaste.

Merde ! Les adeptes de la conspiracy theory avaient raison alors ? Ben ouais ils avaient raison…wow le scoop !

C’est quand même pas faute de vous en avoir rabâché les oreilles ici ou ailleurs, pas plus tard que le mois dernier dans ce billet où je vous expliquais qu’un ancien du FBI avait craché le morceau au sujet de la traque des frères Tsarnaev. Il me semble bien avoir écrit en toute lettres que les autorités américaines interceptaient et stockaient toutes les communications… mais bon. #spapossib’ me dit-on. Ce billet est d’ailleurs passé relativement inaperçu, aucun média n’a repris ce qui constituait pourtant une information tout à fait crédible, d’une source qui ne l’est pas moins… mais non, ~~un mois plus tard~~ 12 ans plus tard, tout le monde semble tomber des nues.

Ce billet d’ailleurs m’avait valu les interrogations de certains

« Mais comment ki font ! »;
« Bluetouff tu dis de la merde »;
« Même pas cap les ricains »;
« T’imagines pas la taxe sur la copie privée en achat de disques durs ! »

Et à votre avis ? Quand on hurlait comme des putois sur l’AFP qui cause gentiment sur Skype avec ses sources et qui l’écrit dans ses dépêches, des fois qu’Oncle Sam n’avait pas tapé la bonne requête dans sa base de données pour identifier la source de l’agence de presse… c’était juste pour rire ? Pour troller sur Twitter avec un bot qui crache les dernières dépêches ? Pour le plaisir de se fritter par blogs interposés ? Ou parce que tout indique depuis des années déjà que les américains interceptent non seulement les communications téléphoniques des américains mais aussi à peu près tout ce qui ressemble à une communication à l’exception peut-être d’un protocole encore mal maitrisé, décrit dans la RFC 1149 ?

Qui me fera gober que la presse américaine ne s’est pas interrogée sur les dispositions pratiques issues du Patriot Act dont l’acronyme signifie « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme » ?
Qui me fera gober que le Parlement Européen, après les antécédents d’Echelon ne s’est jamais penché sur ce que les USA écoutent, interceptent et stockent…?
Qui me fera gober que la presse française pensait que les SMS et les conversations de Dominique Strauss Khan ont été tirés du chapeau de Bozo le clown ?

Oui, très franchement, je suis mort de rire, c’est un peu comme si tout ce que la planète compte de faux-culs s’était donné rendez-vous sur la time line du hashtag #Prism…

Les américains, qui ont tous soutenu, le Patriot Act au lendemain des attentats du 11 septembre étaient ils assez naifs pour croire que les autorités américaines allaient contrer une menace intérieure en écoutant uniquement ce qu’il se passe à l’extérieur ?

Il y a quelques années, avant que Wikipedia ne déchaine les passions, les personnes de ma génération qui s’intéressaient au sujet de la surveillance de masse fréquentaient les newsgroups ou des sites web comme Cryptome. Cryptome qui révélait déjà des choses pas jolies jolies sur les durées de rétention d’informations concernant les communications des américains.

Rétention de données des opérateurs de téléphonie mobile aux USA (1) – PDF 76,6 ko
Rétention de données des opérateurs de téléphonie mobile aux USA (2) – PDF 87,5 ko

☠ Spapossib’®

Dans le pire scénario que j’avais évoqué il y a déjà bien longtemps, j’expliquais que si la France avait envie d’écouter hors de tout cadre légal et de manière massive les communications électroniques, elle opèrerait ces interceptions depuis l’étranger. Là encore, les réactions à mes « élucubrations » étaient les mêmes : #spapossib’.

Ben oui, mais voilà… non seulement c’est tout à fait possible, mais voilà que le Monde, par la plume de Laurent Borredon et de Jacques Follorou appuie maintenant ma thèse avec des affirmations qui se font un peu plus pressantes et plus précises. Dans un article daté d’hier et intitulé « En France, la DGSE au cœur d’un programme de surveillance d’Internet « , Le Monde pointe les installations souterraines de la DGSE situées boulevard Mortier à Paris. Mais Le quotidien lâche surtout le morceau qui semble passer totalement inaperçu tout obnubilés que nous sommes par PRISM :

La France dispose-t-elle d’un programme de surveillance massif proche de celui mis en place par l’Agence américaine de sécurité nationale (NSA) ? La réponse est oui. La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal.

☠ Etkomentkifon ?

Là encore je vous avais déjà parlé de la bénédiction que representent certains points de concentration du trafic, et plus particulièrement les câbles sous-marin. Mais ce n’est probablement le gros du dispositif. Allez, je vous la récapitules avec des mots très simples. Imaginez une entreprise française qui vend à un dictateur un système d’interception des communications électroniques dimensionné à l’échelle d’une nation. Imaginez que cette entreprise soit, étrangement, aidée par des personnes de la direction du renseignement militaire pour former les équipes sur place. On vend ensuite ce système à d’autres nations, pas franchement connues pour leurs aspirations démocratiques, mais toutes étrangement situées sur une dorsale de trafic Internet stratégique (suivez les câble sous-marins).

☠ Tagada tsoin tsoin …

Et vous obtenez tout simplement un système d’interception stratégique, situé hors de nos frontières, distribué, résilient, suffisamment backdooré pour que nos services puissent y accéder en fonction de leurs besoins et mener des interceptions massives pour extraire une poignée d’informations.

Et ce scénario, comme je vous le disais :

je l’ai développé ici il y a presque deux ans de ça !
Kitetoa en a causé assez récemment ici ,
Et javais jugé bon d’en remettre une petite couche ici.

Allez, je vous la refais :

voici comment je m’y prendrais si je voulais écouter massivement, à moindre coût, et surtout discrètement.

J’appuierai, au plus haut niveau de l’Etat, une société privée (un fusible comme on dit dans le jargon), spécialisée dans l’interception de masse, pour que cette dernière exporte ses jouets sur le territoire national des gens que je souhaite écouter. Je leur vendrai le bébé comme une arme de guerre électronique, à part que cette dernière n’est pas répertoriée légalement en tant que telle, et donc, non soumise à un contrôle strict des exportations.
J’en profiterai pour surdimensionner un peu le système en prévision d’une utilisation non documentée (un backdoor).
J’enverrai ensuite, au nom d’une « fraternelle coopération » des officiers du renseignement militaire pour former les équipes du « client » (comprenez le dindon de la farce). Cette opération de « formation » permettrait en outre de paramétrer le jouet vendu afin que ce dernier soit accessible à distance par les services du renseignement extérieur, avec un accès complet aux interceptions réalisées par le « client »… évidemment à son insu.
Ce qu’il y a de bien avec TCIP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.
Si je multiplie cette « opération commerciale » avec des « partenaires » géographiquement bien choisis, je m’offre une sorte de cloud de l’interception, financé par des puissances étrangères. Peu importe si elles ne sont pas franchement reconnues comme les plus grandes démocraties. Peu importe si leurs dirigeants sont connus comme des terroristes ou des fous furieux. L’éthique ce n’est pas franchement le fond du problème.
En cas de pépin, pas de souci; l’Etat pourrait ainsi se défausser de toute responsabilité. Notre entreprise privée est le fusible, c’est à elle de sauter. Mais évidemment, comme elle demeure « stratégique », je lui offre une porte de sortie en bidonnant une cession d’activité à une société tierce, créée par elle même. Elle pourrait ainsi, par exemple sous drapeau Qatari, continuer à vendre ses petits jouets et la collaboration entre les services extérieurs et cette « nouvelle société » qui ne renaît que des cendres de la première, pourrait ainsi continuer de plus belle et s’attaquer tranquillement à d’autres « marchés ».
Si une bande de cyber-beatniks venait à poser des questions au Gouvernement sur la présence avérée d’officiers du renseignement, il suffirait de brandir la menace terroriste et d’expliquer que ces « armes » n’en sont pas, qu’elles sont en fait du matériel grand public.

18 avril 201218 avril 2012

L’Europe souhaite encadrer l’exportation de ventes d’armes numériques

Si l’on devait compter sur la nature humaine pour faire preuve de la plus élémentaire des morales dans le business, on trouverait bien une entreprise française ou allemande pour aller déployer une centrale nucléaire en Corée du Nord ou en Iran. Si les armes numériques sont moins médiatiquement « dignes d’intérêt » que les centrales nucléaires, jusque là, il faut bien avouer que dans certains pays elles ont fait surement bien plus de victimes.

Il fallait bien une loi pour moraliser ce business d’armes qui ne sont pas même reconnues comme telles. C’est finalement le parlement européen qui envisage de légiférer sur les exportations de ces « jouets » à des gens comme Kadhafi ou Bachar El Assad. Ce n’est pour l’instant qu’une résolution visant à encadrer légalement les exportations d’outils de censure et de cyber surveillance aux régimes autocratiques… un premier pas.

Je suis en revanche profondément choqué par la méprisable indifférence de la classe politiques française sur ce sujet, en dehors d’une infime poignée, à l’image de Christian Paul, personne ne s’est soucié des morts et des torturés grâce à nos belles technologies françaises, financées à coups de millions par le fond stratégique d’investissement pour ne citer que lui. Plus cynique encore, la dizaine de questions de parlementaires n’aura trouvé comme réponse qu’un Gérard Longuet, qui après avoir fait chevalier de la légion d’honneur l’un de ces vendeurs de mort (le PDG d’Amesys/Bull), se paye le luxe de lire dans l’hemicycle un communiqué de presse rédigé par sa propre fille, directrice de la communication chez Bull.

Je me sens assez partagé sur cette résolution du parlement européen. Je suis dans un premier temps déçu qu’il faille une loi pour ça et que les commerciaux capables de telles ventes arrivent à se regarder dans un miroir. D’un autre côté, j’ai l’impression que le travail fourni avec les copains de Reflets, Telecomix, FHIMT, ou d’Owni pour démonter ces business nauséabonds n’aura peut être pas été du temps perdu. Et on se prend à rêver qu’une loi épargnera quelques vies… Merci au Parlement européen pour cette initiative.

9 mars 201218 avril 2012

Social DDoS : merde on a perdu Bachar #OpSyria

Previously dans OpSyria : Il a quelques jours, nous dévoilions sur Reflets quelques photos de vacances de notre dernier séjour en Syrie. Nous sommes tombés sur une bonne dizaine de machines que nous suspections d’avoir été mises en place l’été dernier par l’italien Area Spa, ce peu avant qu’il se fasse prendre la main dans le pot confiture par Bloomberg. Il a depuis, semble t-il dénoncé le contrat, ce qui n’empêche pas les appliances qui opèrent la censure en Syrie de ronronner. Le souci des admins de Bachar, c’est qu’ils sont pas supers doués. En fait c’est même de belles quiches.

En jouant un peu avec un proxy BlueCoat de la Syrian Computer Society, je me suis rendu compte d’un phénomène paranormal. Je me mets à causer à cette machine. Elle m’explique que que comme tous les vendredi soirs chez Bachar, c’est happy hour sur certains ports :

Interesting ports on 77.44.210.6:
 Not shown: 979 closed ports
 PORT STATE SERVICE
 22/tcp filtered ssh
 23/tcp filtered telnet
 80/tcp open http
 81/tcp open hosts2-ns
 135/tcp filtered msrpc
 139/tcp filtered netbios-ssn
 443/tcp open https
 514/tcp open shell
 1720/tcp filtered H.323/Q.931
 1723/tcp filtered pptp
 2000/tcp filtered callbook
 3128/tcp open squid-http
 4444/tcp filtered krb524
 5060/tcp filtered sip
 8000/tcp open http-alt
 8008/tcp open http
 8080/tcp open http-proxy
 8081/tcp open blackice-icecap
 8088/tcp open unknown
 8090/tcp open unknown
 9090/tcp open zeus-admin

Alors pour rigoler je suis allé faire un tour là dessus : http://77.44.210.6:8090/. Et comme avec certains autres ports, me voilà téléporté sur cette URL : http://scs-net.org/files/index.html IP 213.178.225.50). Sans avoir l’oeil super exercé, on se dit que dans ce petit répertoire « files », il est possible qu’on trouve des trucs amusants… ce ne serait pas la première fois. On serait curieux pour moins non ? Notez que le site SCS-NET est celui d’un fournisseur d’accès un peu spécial en Syrie. Créé par Bachar El Assad lui même, il concentre les l33tz de la t34m D4m45… ouais ça fout la trouille. Mais attendez y’a encore plus flippant.


 ---------------------------------------------------------------------------
 + Target IP: 213.178.225.50
 + Target Hostname: scs-net.org
 + Target Port: 80
 + Start Time: 2012-03-10 17:38:20
 ---------------------------------------------------------------------------
 + Server: Microsoft-IIS/6.0
 - Root page / redirects to: /portal/
 + No CGI Directories found (use '-C all' to force check all possible dirs)
 + Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.0)
 + Retrieved X-Powered-By header: ASP.NET
 + Retrieved microsoftofficewebserver header: 5.0_Pub
 + Retrieved x-aspnet-version header: 2.0.50727
 + Uncommon header 'microsoftofficewebserver' found, with contents: 5.0_Pub
 + Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + OSVDB-396: /_vti_bin/shtml.exe: Attackers may be able to crash FrontPage by requesting a DOS device, like shtml.exe/aux.htm -- a DoS was not attempted.
 + OSVDB-3233: /postinfo.html: Microsoft FrontPage default file found.
 + OSVDB-3092: /guest/: This might be interesting...
 + OSVDB-3233: /_vti_inf.html: FrontPage is installed and reveals its version number (check HTML source for more information).
 + OSVDB-3500: /_vti_bin/fpcount.exe: Frontpage counter CGI has been found. FP Server version 97 allows remote users to execute arbitrary system commands, though a vulnerability in this version could not be confirmed. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-1376. http://www.securityfocus.com/bid/2252.
 + OSVDB-67: /_vti_bin/shtml.dll/_vti_rpc: The anonymous FrontPage user is revealed through a crafted POST.
 + 3818 items checked: 13 item(s) reported on remote host

Vous ne rêvez pas ! Un FAI sous FrontPage ! Et un FAI qui hoste le dispositif de censure nationale ! Elle est pas belle la vie ? Du coup, juste pour rigoler j’ai tweeté cette URL : http://scs-net.org/_vti_bin/shtml.exe/aux.htm … et il semble que depuis, le site expérimente quelques petits désagréments, il est injoignable depuis presqu’une heure.

Chers admins Frontpage de la SCS, soyez forts dans votre tête, rallumez nous vite ce serveur j’en ai encore 3 ou 4 à tweeter… bisous !

6 mars 201210 mars 2012

Du troll Google vs privacy

Suite à ce billet dans lequel je m’insurgeais contre les positions de deux blogueurs, j’ai eu quelques échanges assez vifs, particulièrement avec l’un d’entre eux, Nicolas Jegoun. Ce dernier a cru bon d’en rajouter une couche me reprochant mon manque d’argumentation dans le billet sus-mentionné, un comble quand on lit ses arguments. Il a cependant pris le temps de coller mon texte dans un éditeur pour compter le nombre de caractères de mon billet en omettant visiblement de le lire comme il l’avoue implicitement dans un troisième billet répondant à l’article de Ju.

Vu que mes commentaires sur son blog semblent se perdre, je vais lui répondre ici, en prenant soin cette fois ci de ne pas poser de lien vers ses billets qui appellent cette réponse, attendu qu’il me reproche de lui envoyer « ma meute »… et oui chers lecteurs, pour ce monsieur, vous êtes une meute. Un meute qui a eu l’affront de poster à tout casser une quarantaine de commentaires, le reste étant ses réponses. Une réaction qui n’est pas sans me rappeler une certaine 3M…

De l’art de bien troller

Cher Nicolas, quand on se lance dans un troll, il y a quelques règles à observer.

La première, c’est de savoir avec qui on troll. Je te montre comment on fait, tu vas voir c’est pas extraordinairement compliqué, même pour toi qui a un blog nommé « aubistrogeek.com » qui tient visiblement plus du bistro que du geek. On commence par se rendre sur l’objet du troll, google.fr par exemple, puis on fait comme ça. Ça va ? C’est pas trop technique jusque là pour toi ? Je ne t’ai pas encore perdu ?

La seconde règle pour bien troller, et là encore c’est du bon sens, c’est qu’il faut être au moins deux pour établir ce que l’on va qualifier de dialogue trollogène. Le dialogue trollogène n’est en soi qu’une variante de ce qu’on appelle communément un dialogue. Il répond donc aux mêmes règles, ce qui implique qu’avant de répondre à un truc, tu lises le texte appelant ta propre réponse. Dire qu’on l’a fait ne suffit pas, il faut le faire, et attentivement, ce qui nous amène à la troisième règle.

Troisième règle… attention cette fois on rentre dans les trucs un peu complexes, on va causer web. Tu tiens un blog, donc tu as peut être vaguement entendu parler d’un truc qui s’appelle « Lien Hypertexte ». Ils sont assez compliqués à utiliser, on les repère généralement dans un texte car ils sont pas de la même couleur que le reste du texte ou sont soulignés. Mais il existe un moyen super pour les repérer, quand on passe le curseur de la souris dessus, ce dernier change de forme ! Et tiens toi bien, si tu cliques dessus, tu arrives sur un autre texte, des fois même sur un site qui n’est pas celui que tu étais en train de lire !

Quatrième règle, quand on se voit opposer une foule d’arguments, documentés, réfléchis, par des personnes qui travaillent ces problématiques depuis des années, quand on paye des impôts pour financer un truc à la con qui s’appelle la CNIL… on prend un minimum de recul avant d’asseiner conneries sur conneries, au risque de se faire incendier par une « meute » impie qui a le toupet de t’expliquer que tu écris du caca, elle aussi avec foule d’arguments que tu balayes d’un revers de main. Mais tu le fais terriblement bien, à coup de tautologies épiques du genre « Le marché de la publicité ciblée va explosée avec les télés qui se transformeront en PC »… t’es dans le marketing toi non ?

Cinquième règle : éviter de prendre les lecteurs pour des cons pour masquer sa propre inculture avec ce genre de phrase : « Le billet d’Olivier est bien trop technique pour intéresser le grand public. Donc la description des moyens techniques ne sert à rien. Quand j’ai fait un billet en montrant l’historique de mes recherches Google, j’étais sûrement plus efficace. » Ce au risque de se faire ridiculiser lors du concours de quéquettes qu’il implique. Pour ta gouverne cher Nicolas, Reflets.info qui est le site sur lequel j’officie le plus, a accusé le mois dernier plus de 300 000 visiteurs uniques qui se sont par exemple passionnés pour le dossier Amesys en Lybie, ou BlueCoat en Syrie. Nos publications sont régulièrement reprises dans des médias mainstream, et les gens que tu juges trop cons pour nous lire sont au final de l’ordre d’un nombre à 7 chiffres. En outre il se trouve que c’est justement sur ce site que ce que tu acquiesces béatement en commentaire à l’article de Ju a été révélé, par mes propres soins plusieurs mois avant le Wall Street Journal… Un truc que tu aurais d’ailleurs pu trouver par tes propres soins en observant la règle 3 du présent manuel de l’art de bien troller for dummies, celle relative aux liens hypertextes.

Sixième règle : pour paraitre sérieux, éviter l’axe du bien contre l’axe du mal et avancer soi même des contres arguments. A ce titre, tu dois bien te douter que je suis le premier à utiliser Google, et certainement plus intensivement que toi. Je suis un utilisateur de Google Music, je « joue » pas mal avec Android, je suis un petit rat des Google labs, j’utilise Google Apps… j’en passe et des meilleures. Ceci fait, théoriquement, de moi une personne, mais je peux me tromper, plus disposée que toi à savoir de quoi elle parle. Si on ajoute à ça que tu avoues même dans ton premier billet ne pas lire les conditions d’utilisation des services de Google, on commence, forcement à se demander pourquoi tu la ramènes. Mais ce n’est pas tout, et celle ci est pour Thierry… Si j’ai effectivement une certaine expertise, je la mets à disposition de mon engagement, et ce dernier, il se situe plus du côté activisme que de « l’Etat ». Car oui cher lecteur tu ne le sais pas mais ton dévoué serait selon certains à la solde de l’État qui me manipulerait ou pire, me paierait pour semer la peur ! Il y en a qui doivent se fendre la poire à la DCRI. Je vais vous décevoir tous les deux, mais non, je ne suis pas « payé par l’Etat pour vous faire peur« , une simple recherche vous le confirmera, voir règle numéro un si vous ne savez pas comment faire. Puis bon, c’est pas comme si vous étiez les premiers à porter ces accusations risibles (vous êtes lecteur du Figaro ?’), j’ai en vrac eu droit à « agent de la DCRI », « Agent de la CIA », et « agent du Mossad », quand je ne suis pas accusé d’être un salafiste voulant renverser le beau régime démocratique syrien (tu es dispensé Nicolas ce dernier lien est trop technique pour toi il pourrait te donner des maux de tête). Bref avec tout ça j’en accumule des points retraite ! En outre c’est assez amusant de se faire traiter de parano et de vous lire partir tous en sucette sur « ouais l’Etat sait tout de nous, moi je fais plus confiance à une entreprise privée comme Google qu’à l’Etat« … c’est totalement ridicule et je vais y revenir dans la seconde partie de mon billet que je n’aurais pas eu à écrire si Nicolas n’avait pas mystérieusement égaré mon commentaire.

Septième règle relative au déni et à la mauvaise foi : des gens qui sont venus commenter ton billet t’ont fait remarquer ta mauvaise foi ponctuée d’éructations du type « ça prouve rien » « ton argument c’est de la merde » « j’attends toujours qu’on m’apporte des preuves » etc… Lorsqu’on te pose un commentaire répondant aux exemples que appelles, on évite de le censurer. La raison en est simple, c’est que ça se termine, de fait en billet, avec une visibilité bien plus importante qu’un commentaire. C’est toi l’expert SEO non ?

Revenons à Google

Ces précisions étant faites, nous allons maintenant passer aux exemples de débordements de Google relatifs à la vie privée.

Commençons par un débordement verbal d’Eric Schmidt qui a tenu les propos débiles que tu tiens toi même cher Nicolas. Le truc ‘est qu’en Europe et en France, il y a certaines lois. Là on te demande pas ton avis, on te demande pas d’être pour ou contre… c’est la loi. Il y a par exemple la CNIL que tu connais probablement au moins de nom. Il y aussi le code des postes et des télécommunications électroniques, mais il y a, surtout, un petit manuel poussiéreux qui s’appelle le code pénal. Alors il raconte quoi le code pénal à ton avis ? Il raconte, article 226-15, que :

Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.

J’espère ce que ce jargon juridique n’est pas trop technique pour toi, je te le décode par charité chrétienne au cas où. Ça veut dire que violer les correspondances privées d’autrui c’est mal et que panpan cucul.

Et si tu te réfères à mon précédent article, tu sais quand j’emploie un mot savant, le « deep packet inspection » pour parler de Gmail qui se sert du CONTENU de ton message pour t’afficher des pubs… déjà c’est limite du viol de correspondance… mais pas vraiment puisque ça fonctionne sur base de dictionnaire de mots clés, en utilisant les MEMES DISPOSITIFS que les trucs que tu crains tant quand ils sont dans les mains de l’ETAT, pour procéder, en France, à des ECOUTES LEGALES, sur COMMISSION ROGATOIRE D’UN JUGE. Bah oui Thierry, nous on vit en France, on a des lois, et le BOPE ne déboule pas dans nos favelas en tirant sur tout ce qui bouge. On ne procède pas à des écoutes n’importe comment… bon ok, sauf Amesys des fois… ah non en fait ça leur arrive souvent.

Quand toujours dans le précédent billet je te parle de Google Screenwise et que tu juges bon de t’épargner un clic ici, puis que tu oses ensuite dire qu’on a pas d’argument « sérieux » et que tu ponctues par un « il est évident que ce type parle pour ne rien dire », ça nous laisse le choix entre la mauvaise foi, l’ignorance crasse, ou la bêtise. Dans ton cas il y a probablement un savant mélange des 3.

En clair, ta position à toi Nicolas, c’est de défendre qu’une entreprise privée utilise le même matos que Kadhafi ou Bachar El Assad utilis(ai)ent pour traquer les opposants et les tuer. Désolé, mais je trouve ton raisonnement d’une connerie sans borne cher Nicolas.

Continuons sur Google. Tu as probablement entendu parler de Street View, tu sais peut être qu’en Allemagne des villes et villages ont refusé aux Google cars censées prendre les vues l’accès à leur commune ? Tu sais pourquoi ? Regarde ça ….

Autre petit exemple de rien du tout pendant que tu as l’article 226-15 du code pénal en tête, il y a très longtemps de ça, sur ce même blog, j’avais remarqué un étrange manège d’une voiture autours d’un lieu sur lequel je déployais un réseau wifi, comme je sais encore reconnaitre une antenne wifi d’une antenne radio. Il était évident pour moi que cette voiture faisait un truc pas net avec notre réseau, passant et repassant. J’avais alors pensé à une association militant contre les ondes magnétiques. Et 2 ans plus tard… SURPRIIIIIIISE, on apprend que Google a intercepté « par erreur » des milliers d’emails et de mots de passe en wardrivant gaiement pour les besoins de Street View… C’est dingue non ?

Je vais aller plus loin avec la grande confiance que tu portes dans les entreprises privées américaines (ou pas), car je ne te l’ai pas dit, mais tout troll qui se respecte (et c’est la 8e règle) se solde tôt ou tard par un point Godwin. Le point Godwin est bien l’objet de ce dernier paragraphe. Il s’agit de l’histoire d’une petite startup, dans les années 30, qu’on appelait IBM. Ça se passe aux Pays-Bas, le gouvernement veut financer des lieux de cultes. Il cherche donc un moyen de recenser la population et tombe sur l’américain IBM qui lui informatise tout ça. Quelques années plus tard, les nazis débarquent. Ils sont tout contents, ils ont sur cartes perforées des fichiers qui vont leur faciliter la tâche dans leur oeuvre. Impressionnés, ces derniers contactent IBM… je te laisse lire la suite sur Wikipedia en te recommandant également la lecture du livre d’Edwin Black.

« Bon, je baisse pavillon. Après une bonne heure de recherches je n’ai pas trouvé d’exemple que Google ai essayé ou essaye de nous nuire intentionnellement. » disait l’un de tes lecteurs en commentaire. Et oui, c’est tout le problème, l’enfer est pavé de bonnes intentions.

Pour conclure, deux questions :

Qu’adviendra t-il quand les actuels dirigeants ne seront plus là et que le capital de Google sera disloqué dans une nébuleuse de fonds de pensions obscurs qui ne s’embarrasseront pas des considérations morales auxquelles l’entreprise se tient actuellement ?

Et si Google était la première agence de renseignement (non)gouvernementale américaine ?

2 mars 201220 juillet 2012

De la polémique Google sur la vie privée

Il y a des jours comme ça où on se dit, après la lecture d’un billet, et puis d’un autre… qu’après tout, on devrait laisser tomber les combats que l’on juge importants. J’ose cependant croire qu’il s’agissait pour le premier d’un billet totalement irréfléchi, mal inspiré et surtout pas du tout documenté. Un billet, gentiment benêt, et donc excusable. Pour le second, j’ose espérer qu’il s’agit d’un billet autocentré sur le nombril de son auteur, lui aussi non réfléchi et non documenté… soit. Sauf qu’il est tout de même compliqué de ne pas réagir.

Au coeur de la pseudo polémique, la collecte et l’exploitation des données personnelles collectées par Google. Tout le Net en parle, la presse y compris, on peut lire un peu de tout et surtout beaucoup de n’importe quoi. Il est toujours délicat de causer de Google. J’admire les personnes qui sont capables d’élaborer une reflexion sur un sujet aussi complexe et se forger leur opinion en une vingtaine de lignes, sans même avoir lu ce que Google dit collecter, ce qu’il en fait, ni souvent d’ailleurs sans connaitre les services proposés par ce qui ressemble de plus en plus à l’étoile noire des données personnelles.

Même si l’on fait preuve d’un esprit de synthèse brillant, qu’on pense connaitre Google de A à Z parce qu’on utilise Gmail et Youtube, la question des données personnelles et de la protection de la vie privée méritent une réflexion un tantinet plus poussée.

Google est un univers

Il fut une époque où une immense majorité d’utilisateurs d’Internet assimilaient dans leur inconscient l’icône d’Internet Explorer, le navigateur de Microsoft à Internet. Quand vous demandiez à une personne au téléphone de lancer son navigateur, elle vous faisait un long « heeeeiiiiiiiiiinn » et vous finissiez par craquer en lui disant « le E bleu d’Internet », il s’en suivait un « aaaaahhhh » soulagé quasi systématique.

Dans l’inconscient de ces internautes (souvent les mêmes, mais toujours une majorité), aujourd’hui Internet = Google. C’est le premier point de contact visuel après le lancement du navigateur. C’est un univers dans lequel des centaines de millions de personne évoluent tous les jours, parfois même sans s’en rendre vraiment compte. Ces internautes :

font des recherches sur Internet et de plus en plus souvent avec le navigateur de Google, Chrome;
consultent les actualités sur Google News ;
lisent leur mail dans Gmail ;
regardent des vidéos sur Youtube ;
partagent leurs photos de famille sur Picasa ;
supertweetpokent de manière géolocalisée sur Google+ ;
préparent leurs vacances sur Google Map ;
se guident grâce à Google Street View ;
téléphonent avec Google Voice, quand ce n’est pas depuis leur téléphone Android ;
regardent la TV avec GoogleTV ;
écoutent de la musique sur Google Music ;
… arrêtons nous ici, la liste des services proposés par Google est interminable.

Un univers qui reste une partie d’Internet

Google n’est pas qu’un moteur de recherche, c’est un univers et c’est un univers, qui contrairement à AOL en son temps a réussi à trouver un juste équilibre pour retenir les utilisateurs, tout en les laissant sur Internet. Ceux qui ont connu AOL comprennent surement de quoi je parle, ce n’est probablement pas le cas pour les plus jeunes, sachez simplement que si aujourd’hui AOL est mort, c’est parce qu’il contraignait ses utilisateurs à accéder à une sorte de gros intranet, ce, exclusivement depuis son navigateur propriétaire, inclus dans son kit de connexion, indispensable pour accéder à cet ersatz d’Internet.

Si Google et ses services venaient à « s’éteindre » brutalement, Internet fonctionnerait toujours. En revanche, la majorité des internautes seraient perdus. Ils perdraient des points de repère et devraient se formaliser avec l’utilisation de plein de services, non unifiés sous un logo, une ergonomie, une cohérence.

Pour de nombreuses entreprises en revanche, les effets seraient bien plus gênants. Quand Google change son algorithme de positionnement pour afficher ses résultats de recherche, certains e-commerçants très bien positionnés sur une recherche donnée se retrouvent subitement 4 ou 5 pages plus loin sur des produits qui généraient une grosse partie de leur chiffre d’affaires. C’est quelque chose dont je m’étais amusé sur Reflets, de manière un peu méchante. Google a un impact énorme sur le chiffre d’affaires des e-commerçants.

Gratuit… en échange de votre vie privée

Google propose des services gratuits pour l’usage couvrant de nombreux besoins des particuliers. Cette gratuité pour le grand public de la quasi intégralité de ses services, leur caractère plus que confortable en terme de volume, d’ergonomie ou de simplicité d’accès sont très appréciés, et à juste titre. Mais la gratuité n’existant, pas, Google a pour modèle économique de financer cette gratuité grâce à sa régie publicitaire Google Ads.

Toute la polémique qui agite tant le Net aujourd’hui, porte sur 2 points :

La premier, médiatiquement le plus anecdotique, concerne une partie de Google Ads, le Google Display Network, les display ads étant l’un des 5 produits d’affichage des publicités de Google. Les 4 autres sont les Search Ads, les Video & YouTube Ads, les TV Ads et le Mobile Ads. La brouille oppose Apple à Google, le premier reprochant au second d’avoir contourné des dispositifs normés du navigateur web d’Apple, Safari, ainsi que ceux d’IOS, son système d’exploitation embarqué que l’on retrouve sur ses téléphones (iPhone) et ses tablets (iPad). Nous ne nous attarderons pas sur ce point, pour éviter de partir dans des considérations trop techniques.
Le second concerne le changement de règles de confidentialité des services de Google qui entrait en vigueur hier, le 1er mars. Pour faire très simple au risque de faire simpliste, Google va maintenant s’octroyer le droit de consolider les données qu’il collectait de manière indépendante sur ses divers services. Il ne collecte dans les faits pas plus d’informations qu’avant, mais il les centralise, et donc peut avoir plus de facilités à les croiser.

On peut dater assez précisément le début de l’évolution de la politique de confidentialité de Google, il s’agit de l’arrivée de Google+. À l’instar de Facebook, Google+ est un service trop complexe pour que les règles de confidentialité soient simples. Nous allons voir qu’il s’agit d’un service qui en regroupe de nombreux autres, et qui donc par définition, cumule un nombre effarant de données collectées, consolidées par défaut, et rattachées, à un compte… nominatif.

Le business des données personnelles

Quand on parle de données personnelles, on aime distinguer :

La collecte des données ;
Le traitement des données (processing) ;
L’utilisation des données (exploitation) ;
La durée de conservation des données (rétention).

Les données collectées

Google est plutôt transparent sur les données qu’il collecte pour qui se donne la peine de lire de quoi il en retourne. Il y a quand même une limite par rapport à cette transparence, c’est que pour beaucoup d’utilisateurs, tout ceci demeure du charabia technique, bien peu parlant. Voici par exemple ce que Google collecte sur un utilisateur de son service Google Music. Il s’agit d’un exemple particulièrement intéressant qui donne bien l’étendue du degré de connaissance que Google peut avoir sur ses utilisateurs

Le moins que l’on puisse dire, c’est que ça fait beaucoup. Ça fait beaucoup, mais Google vous le dit, et certains ne prennent pas cette peine, y compris en France. On peut donc reprocher la masse d’informations que Google accumule et il faut comprendre que ceci est grandement une conséquence du nombre de services qu’il propose. Mais il va être compliqué de lui reprocher son manque de transparence sur la question.

Autre point de reproche lié à la collecte, et même en amont, il s’agit du point relatif à l’identification aux services. Il s’agit d’une authentification unifiée : un identifiant et un mot de passe vous donnent accès à l’ensemble des services de Google, il est rarement besoin (sauf dans le cas d’une acquisition récente) d’avoir à se créer un compte pour accéder à un nouveau service de Google. Votre identifiant, vous le savez, c’est une adresse email Gmail, bien pratique pour son caractère par nature unique.

Le traitement et l’utilisation des données

La nature des services proposés par Google (en ligne), fait que l’entreprise ne distinguera pas, ou dans de rares cas, traitement et exploitation. Le traitement à proprement parlé est automatisé et instantané. C’est de ce traitement dont découle ensuite la démarche commerciale de Google. En clair, c’est de là qu’il tire ses bénéfices. Et là en revanche il faut bien comprendre que Google dispose de bien des manières d’exploiter, directement ou indirectement vos données. Dans le cadre d’une exploitation directe, Google les utilisera pour « fournir, maintenir, protéger ou améliorer ses propres services« . Il pourra aussi se servir de ces données pour développer de nouveaux services. Le point relatif à la protection des services est à mon sens très intéressant mais il est bien trop technique pour le traiter dans ce billet, il en mériterait un à lui seul.

Il est également à noter que Google propose à ses utilisateurs des outils lui permettant un certain contrôle sur ce qu’il partage comme données, je cite :

Review and control certain types of information tied to your Google Account by using Google Dashboard.

View and edit your ads preferences, such as which categories might interest you, using the Ads Preferences Manager. You can also opt out of certain Google advertising services here.

Use our editor to see and adjust how your Google Profile appears to particular individuals.

Control who you share information with.

Take information out of many of our services.

Vos activités sur Google font ce que vous attendez d’elles, mais parfois elles en font aussi un peu plus. Vous avez tous eu un jour où l’autre à utiliser reCaptcha, un outil racheté par Google, que tout le monde pense être une simple protection antispam. Et bien vous ne le saviez peut être pas, mais en plus d’être une solution antispam, reCaptcha a été utilisé par Google afin d’améliorer ses performances en matière de reconnaissance de caractères (OCR) dans le cadre de son titanesque projet de numérisation de livres, Google Books, ainsi que les anciens numéros du New-York Times.

La rétention de données

C’est le second point de notre bref exposé qui pourrait avoir de quoi sérieusement nous fâcher. Dans cet article d’Arstechnica, on découvrira que selon le site, Google se sent investis d’une mission : « apprendre des bonnes personnes pour combattre les mauvaises personnes« … et ça, il y a vraiment de quoi trouver ça effrayant, surtout dit comme ça, en dehors de tout contexte.

La réalité en fait assez duale, ce n’est ni tout blanc, ni tout noir. Cependant la durée de conservation de certaines données est illimitée. La commission européenne a demandé à Google d’anonymiser les données relatives aux recherches, c’est ce que Google fait plus ou moins en supprimant le dernier octet de l’adresse IPau bout de 6 mois. Mais lorsque l’on parle d’anonymisation, on se doute bien que cette mesure est loin d’être suffisante. Le dernier octet effacé sur les IP ayant servi à faire des recherches ne suffiront certainement pas à anonymiser, au sens de garantir l’anonymat de l’internaute. Ces données pouvant être corrélées à d’autres services il sera toujours très simple de les rattacher à un compte Gmail, des historiques de chat, et donc obtenir l’identification de la personne, même si cette dernière a changé entre temps d’IP. On peut donc estimer que Google conserve ces données à vie et qu’il a en outre le loisir de les croiser avec beaucoup d’autres : carnets d’adresse, vidéo regardées sur Youtube, bibliothèque musicale de Google music ou encore déplacements via l’API de google maps avec des produits tels que Latitude. Données non anonymisées… rétention à vie… exploitation commerciale, dont la revente ou le partage à des tiers (avec votre consentement, pour peu que vous preniez la peine de lire ce que Google vous propose quand vous souscrivez à ses services)… vous commencez peut être à mieux comprendre le problème.

« Même pas peur j’ai rien à me reprocher »

C’est ici une réflexion qui m’agace au plus haut point, l’argument des personnes qui n’ont aucune compréhension des problématiques de la gestion de données personnelles à caractère nominatif. C’est typiquement le cas de l’auteur de ce billet qui n’a d’ailleurs probablement jamais lu ce que que Google conserve comme données sur lui, et encore moins combien de temps il les garde ou ce qu’il se réserve le droit d’en faire. C’est au bas mot triste pour lui, mais il est surtout parfaitement inconscient de véhiculer l’idée que « après tout ce n’est pas grave puisque je n’ai rien à me reprocher« .

Et dans ce domaine, la palme de la bêtise revient à ce billet, techniquement parfaitement faux. Je cite : « Je pense que notre ISP en sait encore plus que google, tout comme nos opérateurs mobiles et là on ne dit rien? Si vous avez un package complet chez SFR (tv, téléphone, internet), toutes vos données passent dans le même tuyau.« . La comparaison avec un fournisseur d’accès à Internet en France est nulle et non avenue. Un fournisseur d’accès est régi par certaines lois, comme le Code des Postes et communications électroniques et surtout l’article 226-15 du code pénal. Pour les comprendre, il faut encore une fois distinguer le métier d’un FAI : acheminer vos communications, et les principes relatifs aux données personnelles que j’ai cité plus haut :

La collecte des données ;
Le traitement des données (processing) ;
L’utilisation des données (exploitation) ;
La durée de conservation des données (rétention).

Un FAI a une obligation légale de conservation, pendant une période donnée, de journaux de connexion. Ces derniers ne visent qu’à une seule chose : mettre un nom derrière une adresse IP à un instant T en cas de réquisition judiciaire. Il existe ensuite une exception, il s’agit de l’interception légale, qui permet aux FAI, sur demande expresse des autorités judiciaires, de procéder à des écoutes dites légales, c’est à dire des interceptions des vos communications qui seront soumises à un régime spécial de rétention.

L’auteur de ce même billet est également parfaitement inconscient en terme de mesure du danger de l’exploitation des données personnelles : Je cite « Je ne surfe pas sur des sites pédophiles ou illicites. Même si je surfe sur des sites porno, ce n’est pas illégal que je sache, alors google peut toujours m’espionner. » Gageons que l’auteur apprécierait que sa femme recoive des catalogues de sextoys par la Poste parce que ce dernier est passé devant un sex shop. Je dis bien devant… je ne parle même pas de rentrer, nous allons y revenir avec le Deep Packet Inspection.

Un chiffre devrait commencer à vous faire réfléchir. Aujourd’hui Facebook serait cité dans un cas de divorce sur trois au Royaume-Uni. Le caractère intrusif et l’aspect un peu « mouchard » des réseaux sociaux est indéniable et il arrive forcément, un jour, où ceci a un impact, direct ou indirect sur votre vie… même au bistrot !

Un autre point, bien connu des techniciens, c’est celui de la publicité contextuelle en temps réel lorsque vous utilisez la messagerie Gmail à partir de l’interface de Google. Quand vous écrivez un mail à votre compagne pour lui demander où elle souhaite partir en vacance et que vous voyez apparaitre alors même que vous composez le message, des publicités pour des séjours tout compris en Tunisie, SVP, ne croyez pas un instant qu’il s’agisse la de hasard. Techniquement, Google lit vos emails pour vous renvoyer une publicité contextualisée. Dans cet article traitant également de la vie privée et des pratiques des publicitaires utilisant ces technologies d’inspection en profondeur des paquets (Deep Packet Inspection) à des fins publicitaires, souvent hors de tout controle (à priori pas en France, mais on va y revenir…), je m’étais insurgé contre cette pratique.

La CNIL ? … et pourquoi pas le père Noel ?

« Je suis en France tout va bien j’échappe à ces pratiques, la CNIL me protège« … monumentale erreur !

La CNIL cautionne parfaitement cette pratique pourtant par définition assimilable à du viol de correspondance privée, en l’encadrant cependant semble t-il de manière très stricte… voir l’expérimentation Orange Préférences et une représentante de la CNIL en faire la promotion à la radio sans nommer ni Orange ni la technologie en question.

Mais si la CNIL a pu encadrer Orange en exigeant certaines garanties sur la collecte, le traitement et l’exploitation des données analysées dans le cadre d’Orange Préférences, il n’en va pas du tout de même pour des entreprises non françaises. Et devinez qui on retrouve au coeur d’une expérimentation de ce type ? … Google ! Le service se nomme Google Screenwise, et comme pour Orange Préférences, il se fait sur Opt-In. Si Google rémunère les utilisateurs qui acceptent de se faire violer un peu plus leur vie privée, Google n’avoue pas publiquement utiliser de l’inspection en profondeur de paquets. Une lecture attentive des termes d’utilisation de ce service nous a permis de mettre en évidence un élément particulièrement inquiétant, par l’intermédiaire de GFK, partenaire de Google sur cette opération qui n’est autre qu’un actionnaire de Qosmos une entreprise française, qui est l’un des leaders mondiaux du Deep Packet Inspection. Avant de vous laisser séduire par Screenwise, de grâce lisez cet article. Et la CNIL, concernant Screenwise… on ne l’a pas entendu.

Enfin, il faut savoir qu’il n’est nul besoin de délivrer un service en France, et donc d’être soumis à nos lois restrictives en matière de protection de la vie privée, pour opérer une écoute et une interception de vos données sur Internet. Ce petit schéma devrait vous éclairer sur le nombre important de points sur le réseau qui permettent à des publicitaires, en dehors de tout contrôle, d’espionner votre activité sur Internet pour vous proposer de la publicité contextuelle ou collecter ces données à des fins de revente à des tiers.

Ne serait-ce qu’au niveau français, on ne peut pas dire que la CNIL fasse preuve de zèle. Il est naturel de l’entendre de temps en temps s’exprimer contre de « gros acteurs », c’est toujours bon en terme de communication et ça justifie les budgets. Il est en revanche bien plus rare de voir la CNIL monter au créneau pour des affaires pourtant très grave, comme cette énorme fuite de données à l’UMP où MesConseils, une petite entreprise visiblement peu qualifiée pour traiter des données personnelles, a eu l’idée grandiose de stocker sur des machines poubelles, des bases de données sensibles qui contenaient des mots de passe de parlementaires pour accéder à des applications du réseau de l’Assemblée Nationale ou du Sénat. A quoi servaient ces bases de données, comment ont elles pu se retrouvées gérées de manière aussi catastrophique ? … une fois de plus, la CNIL on ne l’a pas entendu.

La dernière foi que l’on a entendu la CNIL (et oui c’était encore à cause de nous) se pencher sur un cas en France, c’est sur celui de TMG, dans le cadre de la procédure de riposte graduée de l’HADOPI. Et encore il y aurait encore énormément à en dire. Le rapport de la CNIL n’a pas été rendu public après que TMG ait été mis en demeure. Puis quelques semaines plus tard, dans une parfaite opacité, celle ci déclare que « maintenant c’est bon il n’y a plus de problème« … sans plus d’explication. L’HADOPI n’a pas été dupe n’a d’ailleurs, jusqu’à aujourd’hui encore, pas rétabli l’interconnexion entre son système et celui de TMG.

Conclusion … La CNIL, c’est bien mignon, mais ça ne sert pas à grand chose.Entendre la CNIL émettre des avis sur Google relève surtout du grand spectacle, mais sur le fond c’est relativement inintéressant. D’ailleurs Google lui a gentiment objecté une fin de non recevoir, lui expliquant que revenir en arrière créerait plus de confusion chez les utilisateurs qu’autre chose… ce qui est en pratique parfaitement vrai.

Plus sérieusement comment on fait ?

Ne pas être d’accord avec les règles de confidentialité de Google vous laisse en fait 3 alternatives.

Ne plus utiliser Google : une solution radicale, mais ne fera pour le coup aucune concession en matière de vie privée
Compter sur la CNIL pour qu’elle inflige une amende à Google : nous avons vu un peu plus haut que ce n’est certainement pas une amende qui changera un fait inhérent au pachydermique et incontournable Google. Nous avons également vu qu’il convient d’avoir une confiance toute relative en la CNIL attendu que celle-ci n’est déjà pas ultra réactive en France et que ce n’est surement pas pour des entreprises qui opèrent à l’étranger qu’elle sera techniquement et juridiquement compétente pour vous protéger.
Utiliser Google de la manière la plus anonymisée possible : il existe des manières, moyennant quelques sacrifices en terme de confort d’utilisation qui vous permettent de conserver un certain anonymat en utilisant les services de Google. Elles mériteraient elles aussi un billet à elles seules mais voici déjà quelques pistes très simples concernant l’utilisation du service de mail de Google :

Préférer un client mail comme Thunderbird/enigmail, chiffrer ses emails avec OpenPGP.

A la création du compte Gmail aller faire un tour dans les paramètres de son compte pour y désactiver l’archivage des conversations Gtalk (paramètres de votre compte mail sur l’interface de Google, puis onglet « chat »).

Gtalk le chat de Google, qui est également un compte Jabber. Ceci veut dire qu’avec un client compatible comme Pidgin on peut avec ce compte parler de manière chiffrée grâce à l’extension OTR…

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.