HADOPI : vers la fin d’une absurde prohibition culturelle ?

prohibitionJe vous annonçais ce matin que quelque chose d’énorme était en train de se préparer rue du Texel… et effectivement, la surprise est de taille. Comme je vous l’expliquais tout à l’heure, l’HADOPI marque une volonté de sortir de la riposte graduée contre laquelle nous luttons depuis plus de 4 ans. Mais contrairement à ce que l’on peut déjà lire dans certains articles, il ne s’agit pas d’une licence globale : ce ne sont pas les utilisateurs qui financeraient directement par une contribution ce système, mais les acteurs qui en tirent un profit financier. L’HADOPI envisage ce que nous n’osions nous même pas imaginer après tout ce temps à avoir l’impression de lutter contre des moulins à vent : une reconnaissance, formelle, des échanges non marchands, s’appuyant sur un système de rétribution des auteurs, financé par les diffuseurs faisant commerce (direct ou indirect) de la diffusion d’œuvres de l’esprit dématérialisées.

Pour ceux à qui ces mots font mal au crâne, je vais vous la faire plus simple :

Si ce projet est mené à bien, nous pourrions enfin échanger en peer to peer sans qu’une bande de guignols ne tente de flasher notre adresse IP pour la transmettre à l’HADOPI… fini la police privée du P2P, fini les spams qui vous demandent de « sécuriser votre connexion » sans vous expliquer comment, fini le risque d’amende, fini le risque de se retrouver devant un juge, fini les coupures de connexion, et surtout… fini le délit de contrefaçon totalement crétin lorsque l’on télécharge un film ou un MP3.

Ça, c’est ce que la majorité d’entre nous appréciera, c’est déjà en soi une première mondiale. Mais il faut pousser la réflexion un peu plus loin pour comprendre jusqu’où va cette proposition de reconnaissance des échanges non marchands. L’HADOPI dit étudier la faisabilité de cette reconnaissance des ces échanges en proposant une compensation financière aux ayants droit, payée par les entités qui tirent un profit direct ou indirect de la mise à disposition des œuvres.

Les implications dépassent même le stade de la diffusion des œuvres culturelles. Les effets de cette petite révolution si elle venait à se concrétiser, serait un moteur pour l’innovation dont de nombreuses PME ou TPE pourraient tirer profit. Même des plateformes aujourd’hui considérées comme illégales pourrait devenir parfaitement légales en contribuant à la rémunération des auteurs. L’innovation dans la diffusion des œuvres est principalement freinée par les coûts d’accès aux différents catalogues. Pire, impossible pour une société ne disposant pas de plusieurs millions d’euros d’accéder à tous les catalogues, et ainsi de proposer une « offre légale » digne de ce nom. La reconnaissance des échanges non marchands pourrait ainsi mettre un sacré coup de pied dans la fourmilière et les ayants droit n’auraient plus aucun intérêt à restreindre l’accès à leur catalogue puisque ce dernier s’échangerait d’une manière ou d’une autre, à eux de décider s’ils veulent tirer un profit des échanges au lieu de rien du tout… et ça, c’est la vraie révolution. Ceci pourrait donc au final directement profiter à des auteurs qui ont le malheur de faire partie du « mauvais catalogue », celui auquel s’agrippe un ayant droit le privant d’espoir de toute diffusion, et donc de toute rémunération.

Il y a quand même maintenant deux caps qui vont être compliqués à franchir :

Le premier est d’ordre légal. C’est là que nous verrons si le gouvernement entreprendra la sortie de la riposte graduée, ou si ce dernier, reniant ses promesses de campagne, décide de ne rien faire et donc, de rester dans une ère répressive absurde qui pénalise autant les internautes que les auteurs. Quand on fait rentrer quelque chose d’aussi débile que la riposte graduée dans le corpus législatif, il est forcément un peu compliqué de s’en débarrasser.

Le second est d’ordre technique puisqu’il touchera au modèle de rémunération et risque de s’opposer de manière assez frontale aux réticences des SPRD qui profitant de leur quasi monopole, ont su créer un véritable système mafieux épinglé à maintes reprises par la cours des comptes.

Bref, la bataille HADOPI n’est pas terminée, et ce n’est peut être pas le CSA qui la gagnera.

#PRISM : iTrust, ou le iBullshit souverain avec du iFud dedans

albundyLe site Toulouse7.com ayant décidé d’égarer mon commentaire en réaction à cet article, je me suis dit qu’au final, une réponse trouverait un peu plus d’écho sur ce blog pour sensibiliser les personnes qui pourraient se laisser berner. On se doutait bien que des petits malins allaient surfer sur la vague PRISM pour refourguer leurs « solutions » qui n’en sont pas. Je viens de tomber sur le parfait exemple d’article de page de pub totalement à côté de la problématique de fond pour mettre en avant une solution technique qui ne répond en rien à l’expression d’un besoin de confidentialité pourtant réel des entreprises comme des particuliers face à PRISM, Tempora, et tous les programmes de renseignement d’origine électromagnétique… qui se traduit, rappelons le, par ce qu’on appelle de l’interception massive sur les réseaux IP…

Par pitié, si vous êtes chef d’entreprise et que vous vous sentez concerné par la confidentialité de vos données professionnelles, ne vous laissez surtout pas endormir par ce genre de charlatan qui vous préconise une solution (la leur) alors qu’ils n’ont visiblement pas compris le problème. Nous le savons, le monde de la « sécurité » informatique raffole des peurs des uns et des autres. Un prospect qui a peur, c’est un client en puissance. Si en plus on joue sur sa fibre patriotique, c’est le jackpot.

Si vous vous souvenez par exemple du logiciel de « sécurisation » HADOPI qui n’a finalement jamais vu le jour et dont j’ai d’ailleurs largement parlé sur ce blog, vous vous souvenez peut être aussi des pseudo solutions à la con, comme les HADOPIPOWARES vendus par des sociétés comme Orange et beaucoup d’autres, ce alors qu’aucune spécification n’était rédigée. Un défilé de « solutions » toutes plus crétines les unes que les autres, quand elles n’étaient pas tout simplement vouées à créer plus d’insécurité que de sécurité. A n’en pas douter, et je m’y attendais, PRISM va provoquer le même phénomène, mais cette fois à l’échelle mondiale. Et ça c’est inquiétant.

i (won’t) Trust you

Notre premier winner s’appelle Jean-Nicolas Piotrowski, il dirige la société iTrust, dont je ne remets pas en cause la qualité des produits, je ne les connais pas, je ne les ai pas testé. En revanche je remets en cause ses propos sans queue ni tête pour vendre sa salade, et tout le iBullshit qu’il met autour pour nous enrober ça en se parant de sa blouse blanche.

Il commence d’ailleurs assez fort en mettant en branle son expertise en droit international, un terrain sur lequel peu d’experts en sécurité s’aventurent tant il est casse gueule :

L’espionnage par PRISM n’est pas légal et va à l’encontre à la fois de la règlementation US du tribunal fédéral relatif au renseignement étranger et de la règlementation européenne.

Ah bon ? PRISM ne serait donc pas « légal »… Please define « légal »… légal pour qui ? Légal pour quoi ? Le Patriot Act est illégal ? Un traité comme l’UKUSA est illégal ? J’entends déjà d’ici les britanniques ricaner… j’entends aussi tous les juristes se fendre la poire. Après ce bref interlude juridique, on rentre dans le FUD technique, un peu comme le coup du « connu inconnu » qui m’avait tant fait rigoler :

tel qu’il est techniquement décrit, il ne permet pas seulement de surveiller des individus (officiellement étrangers aux USA) mais permet aussi de perpétrer de l’espionnage économique (notamment à destination des entreprises utilisant les services tels que par exemple : Google, Microsoft, Apple.)

PRISM serait donc « techniquement décrit », intéressant. Bon si vous avez des spécifications techniques sous le coude, elles m’intéressent, n’hésitez pas à me les transmettre par mail. Chez Reflets, nous avons assez candidement cherché dans les moult gigas de PDF et PowerPoint tout laids de la DISA, et on est loin, très loin, d’avoir un descriptif technique du gros zizi américain. La surveillance de masse, c’est un peu comme une boite de chocolats, on ne sait jamais sur quelle agence on va tomber.

Maintenant que le lecteur est persuadé que PRISM est illégal et qu’il est face à un « expert », le voilà mûr pour se faire cueillir :

Alors que faire ? Il faut simplement appliquer ce que certaines instances européennes légitimes et certains experts préconisent

  • utiliser des logiciels et solutions professionnelles européennes (Préconisations faites par la CNIL, le rapport du sénateur Boeckel et l’agence européenne ENISA)
  • héberger des données d’entreprises dans des data centers sur sol européen,
  • choisir des prestataires informatiques privilégiant des solutions européennes dans leurs infrastructures et qui ne seront donc pas soumises au Patriot Act
  • choisir des prestataires de droits européens.

Si Jean-Nicolas Piotrowski avait la moindre idée de ce qu’est PRISM, il ne sortirait pas de telles énormités. Nous l’avons expliqué depuis le début, PRISM est un tout petit machin au sein d’un programme bien plus global… et un programme faisant l’objet d’accords internationaux… avec des pays européens, les britanniques en tête (avec TEMPORA), mais pas que. En outre les USA sont loin d’être les seuls à wiretaper les câbles sous marins ou le cul des iX. Britaniques et français (pour ne citer qu’eux) s’adonnent aussi très certainement à ce genre de pratiques. Prétendre que la problématique de l’interception de masse se limite à PRISM, c’est faire preuve d’un manque de discernement et d’information crasse sur le monde fou fou fou du renseignement d’origine électromagnétique. Je passe sur le clin d’œil au rapport Bockel (et non Boeckel) et le troll sur les routeurs chinois en vous invitant à lire ce billet de Stéphane Bortzmeyer pour vous laisser prendre la mesure de tout le FUD autour de ce sujet.

La conclusion de Jean-Nicolas Piotrowski, on s’y attendait un peu :

Les solutions existent, la preuve en est, j’en ai développé une non soumise au Patriot Act qui garantit une totale confidentialité des données. L’histoire de PRISM nous montre que ce n’est pas le cas pour les solutions américaines.

Wahou… un solution non soumise au Patriot Act ! c’est fort ça ! Nous voila rassurés ! Mais mesurons le degré de soumission au Patriot Act de manière un peu plus objective.

  • Le domaine iTrust.fr est déposé chez Gandi, jusque là tout est souverain
  • iTrust est hébergé sur l’AS39405, un AS souverain (Full Save Network)… jusque là tout va bien, mais attention, le peering est moins souverain (Level3, Cogent et Hurricane sont tout les trois soumis au Patriot Act).

On va dire que pour la tuyauterie, c’est à peu près bon, regardons les dessous. C’est tout de suite moins souverain…

fbscript

C’est d’ailleurs assez curieux pour une société de sécurité informatique d’avoir des trackers Facebook et une fan page sur ce réseau social soumis au Patriot Act et collaborant directement avec la NSA, mais pourquoi pas… C’est bien mignon de claironner qu’on a développé un logiciel non soumis au Patriot Act, ce qui est au passage une tautologie pour une entreprise française, mais si on veut se positionner commercialement de manière sérieuse dans les solutions « PRISMproof », on commence par éviter les trackers Facebook sur son site professionnel.

PRISMproof ?

Avant que vous ne me posiez la question « alors comment on fait pour échapper à PRISM », je vais tenter de vous faire une (trop) brève réponse, elle n’est pas parole d’évangile mais elle ne vise qu’à vous donner des pistes, en fonction de vos activités (car il serait idiot de penser que nous avons tous les mêmes besoins et les mêmes exigences en matière de confidentialité, ce en fonction de nos activités) :

  • Oui, on conserve ses données de préférence sur le territoire national et encore, tout dépend… Vous imaginez bien que nous n’irons par exemple pas héberger Reflets.info ni même ce blog chez Numergie (le cloud by Bull / Amesys), ou dans le cloud de Thales.
  • Oui on chiffre son trafic (et tout son trafic), oui on utilise un VPN, mais pas n’importe lequel, on choisi correctement son point d’entrée, son point de sortie (ce en fonction du contexte à protéger lors de vos activités en ligne). J’ai fais le choix de privilégier de l’ OpenVPN (L2TP, c’est la loose). Je privilégie également une PKIx509 en PFS (Perfect Forward Secrecy). Le PFS a une vertu : même si la clé master tombe dans les mains de la NSA, elle ne pourra pas déchiffrer tout le trafic, il lui faudra casser de la clé session par session… ce qu’elle ne manquera pas un jour de faire, sachez le !
  • Non, on utilise pas son VPN pour aller superpoker tout son carnet de contact chez Facebook !
  • On durci son navigateur, par exemple avec JonDoFox et en utilisant, au cul du VPN, un bridge TOR, et des proxys différents pour les autres applications (mail, chat etc… que l’on chiffre également… PGP, OTR tout ça …)
  • Pour une sécurité accrue, on recommandera l’utilisation de machines virtuelles, ce afin d’isoler les différents contextes liés à nos différentes activités (une vm sous GNU/Linux pour les mails, qui sort en Suisse, une vm pour bittorrent, qui sort en Suède, etc…)
  • Oui c’est plus lent, mais vous apprendrez plein de choses passionnantes et vous corrigerez vos comportements en ligne pour gagner en confidentialité et en sécurité.
  • Enfin, on gardera en tête qu’il n’y a pas de secret numérique éternel : toute donnée chiffrée sera déchiffrable un jour ou l’autre (les américains stockent le trafic chiffré, et c’est bien dans le but de le déchiffrer un jour ! Pensez donc à l’anonymiser)

D’une manière générale, ne croyez jamais un commerçant qui affirme vous rendre 100% anonyme sur le Net, c’est forcément un menteur. D’une manière générale ne croyez jamais une personne qui après 20 lignes pour vous expliquer PRISM conclura par « la preuve, j’ai moi même développé la solution qui garantie la confidentialité de vos données« , car ce dernier n’a non seulement rien prouvé, mais c’est très probablement un menteur. Et en matière de confidentialité, il y a certains pays ou ces menteurs peuvent finir avec des morts sur la conscience

Enfin, ne croyez jamais un expert en sécurité qui sort les mêmes âneries qu’un ministre qui dépend de Bercy.

Un pourcentage non négligeable de la confidentialité se passe entre la chaise et le clavier, non sur un disque dur.

L’HADOPI ouvre la porte à la normalisation des échanges non marchands

lolcat-gets-bustedC’est une petite révolution. Après plus de 3 ans de choc frontal avec les Internautes la Haute Autorité ouvre (enfin) une porte à la reconnaissance des échanges non marchands (attention ça va seeder chérie). Dans un communiqué daté de ce jour, l’HADOPI « commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands« . Les mots ont leur sens. On parle bien ici de sortir du principe de la riposte graduée et _enfin_ d’envisager un système de rémunération des auteurs qui ne reposerait plus que sur le bon vouloir des SPRD en quasi monopole et des copyright nazis.

Il n’est pas ici question de licence globale mais bien d’aller chercher l’argent là où il se trouve, sur les plateformes de téléchargement qui tirent profit de la diffusion des œuvres, tout en permettant à des trackers torrent de « vrai partage » d’exister, et ce en toute légalité. L’HADOPI parle d’un cercle vertueux, et effectivement, on peut très bien imaginer à terme certaines « grosses » boards warez qui tirent profit de la diffusion d’œuvres (des revenus publicitaires), devenir légales, si elles acceptent de reverser une partie de leurs bénéfices aux auteurs.

Tout le travail porte maintenant sur le calcul de ces participations en fonction de paramètres qui restent probablement à définir, mais c’est tout de suite plus plausible et réaliste que les spécifications techniques d’un « contre logiciel » comme l’appelait Christine Albanel.

Oui c’est bien une petite révolution, un virage à 180° qui est en train de s’opérer… et peut être le début de la sortie des sombres années de cyber-prohibition culturelle que nous vivons. Légaliser les échanges non-marchand en faisant payer ceux qui font commerce des oeuvres.

Voici le communiqué complet que je vous invite à lire et à relire, à en débattre, car on peut penser ce que l’on veut de l’HADOPI, mais nous avons peut être sous les yeux le geste que beaucoup d’entre nous attendent depuis le début. Certes il ne faut pas se réjouir trop vite, certes, c’est loin d’être fait, mais si l’Autorité marque une volonté affichée de sortir de la riposte graduée pour enfin permettre la circulation des œuvres, c’est un pas de géant

Accès aux œuvres sur Internet : l’Hadopi engage l’analyse d’un système de rémunération proportionnelle du partage.
27/06/2013

Dans le cadre de ses travaux d’étude et de recherche, l’Hadopi commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands. Ce travail prospectif s’inscrit dans le cadre de la mission légale de l’institution d’identification et d’étude des modalités techniques permettant l’utilisation illicite des œuvres sur les réseaux et de propositions de solutions pour y remédier.

Selon l’approche retenue, un même usage est qualifié soit de « piratage en ligne », soit « d’échange non marchand ». Cet usage a été rendu possible par internet et les sites et services développés sur le réseau. Il est complexe, migrateur et résilient. La dernière enquête publiée par l’institution, « carnets de consommation », en donne une illustration riche d’enseignements.

Face à la permanence de cet usage, que l’Hadopi a pour mission de dissuader, il reste à apporter une réponse durable à la question de la création, de l’acquisition et du partage des œuvres sur internet. La possibilité, ou non, d’intégrer les « échanges non marchands » dans cette réponse est posée dans le rapport de la mission « Acte II de l’exception culturelle ».

En accord avec la Présidente de l’Hadopi, le Secrétaire général a présenté au Collège les orientations de cette analyse. Son objectif est d’évaluer la pertinence et la faisabilité d’une « rémunération proportionnelle du partage » emportant acceptation des échanges concernés.

L’expérience acquise par l’institution au cours des trois dernières années tendrait à laisser penser que l’intégration de ces usages pourrait être de nature à créer un cercle vertueux favorable tout à la fois à la création, aux usages, à l’innovation et à un meilleur partage de la valeur.

Cette intégration pourrait être envisagée sous la double condition d’une définition légale claire du statut des œuvres et des usages, et d’une compensation équitable et proportionnelle pour les titulaires des droits des œuvres échangées.

L’exception pour copie privée comme la rémunération équitable fournissent des modèles dont il semblerait possible de s’inspirer pour aller en ce sens, notamment en matière d’inscription dans le droit et de mode de répartition en gestion collective.

La piste de réflexion poursuivie s’appuie sur deux postulats : seule la consommation non marchande des œuvres protégées peut engendrer une compensation financière potentielle ; seules les entités tirant, par leurs activités, un gain marchand des échanges non marchands des œuvres protégées doivent participer à la compensation, à due proportion du volume, de la nature des activités, et du profit qui en est retiré.

Les travaux ont vocation à valider ou invalider la faisabilité d’un tel système et d’en évaluer la pertinence. Ils feront l’objet de consultations et de publications régulières et ouvertes.

Ils porteront pour l’essentiel sur la possibilité, ou non, de déterminer un profil d’usages, un profil d’intermédiaires redevables, une méthode de calcul de barème de rémunération pour les titulaires de droit, déterminant les caractéristiques d’un modèle valide de rémunération ; et, si un tel modèle semble exister, ses conséquences économiques et son encadrement juridique.

Un premier document de travail balayant les différents usages va être rendu public prochainement. Il a pour objectif de clarifier et préciser ceux d’entre eux susceptibles d’être qualifiés d’ « échanges non marchands ». Il sera soumis à remarques et contributions.

Les résultats seront présentés au Collège de l’Hadopi qui, sur le fondement de ses compétences légales, décidera des suites qu’il choisit de leur donner.

#BullshitOfTheDay : Toi aussi fais toi ton #PRISM… chez #Google !

research-cat-lolcat-706798Il y a des jours comme ça où on se demande pourquoi  on s’emmerde à essayer de comprendre et d’expliquer de manière à peu près sérieuse un sujet aussi complexe que  PRISM. Derrière les 5 PowerPoints d’Edward Snowden, la presse du monde entier a réussi à atteindre des sommets de conneries. La plus belle d’entre elles pourrait bien revenir à Computerworld sur lequel je suis tombé grâce à BigBrowser qui ne m’avait pourtant pas habitué à relayer ce genre d’article totalement débile. L’objet du délit s’intitule « How to run your own NSA spy program » que BigBrowser a évoqué ici : « Créer votre propre programme Prism à la maison« .

Outre le fait que l’article navigue entre absurdité technique et sensationnalisme parsemé de buzzwords 2.0 qui ressemblent à un billet sponsorisé par une agence de comm’, on se demande bien ce qui a pu passer par la tête de l’auteur pour tenter de faire gober à ses lecteurs qu’il est possible, pour le péquin moyen, de se créer un système de surveillance de masse grâce à un simple compte Gmail. Pourtant, en s’arrêtant au titre, on se dit que l’article va parler d’outils sympas comme mmnt, ShodanHQ ou les excellents Maltego et Casefile de Paterva… Je me disais qu’on allait nous fournir un patch SQLMap pour dorker différents moteurs de recherches, le tout plugué sur un bruteforcer de services en ligne et de réseaux sociaux qui réutilise les dumps de tables passwords en mode automatisé… ben non !

Au lieu de ça, toute la démonstration de l’auteur porte sur « comment créer son programme PRISM en reposant à 100% sur les services de… Google ». Une sorte de Prism dans le Prism ! Fallait y penser.

Et c’est un véritable festival :

One easy way is to use integrated Google services together.

Google now offers 15 GB of free storage that can be divided any way you like between Gmail, Google Drive and Google+ photos. And they’ll give you more if you pay for it.

Google also offers an Alerts service that searches the Internet and mails you the results. Most people set up only the number of Alerts that they can read. But that’s not the NSA way.

The PRISM approach would be to harvest far more Google Alerts than any human could possible process, then use Gmail filters to automatically skip the inbox and send them straight to a specially created folder within Gmail. You can set up new Alerts every day each time you think of an area of interest. These can include people you know, companies to watch, ideas to keep up with.

Repris par BigBrowser, on se rend compte de l’absurde marmelade que l’on obtient :

L’un des moyens les plus simples pour collecter un grand nombre de données, c’est encore d’utiliser de manière intégrée tous les services Google. Avec une offre gratuite de stockage de 15 Go, bon nombres de possibilités s’offrent à vous.

Google Voice (restreint aux internautes américains), un service de télécommunication en ligne, permet ainsi de sauvegarder tous vos appels téléphoniques et chats. Il suffit de cocher l’option de « sauvegarde » pour recevoir toutes vos informations par e-mail et le tour est joué.

Petit rappel, PRISM sur le papier, c’est pour collecter les communications des autres… pas ses propres communications (ça chez les gens normalement cortiqués, on appelle ça une sauvegarde domestique, pas PRISM). A lire l’auteur, on a l’impression qu’il suffit d’avoir un compte Google pour accéder aux communications de tous les utilisateurs de Google… du grand n’importe quoi. Mais la comparaison entre Google Drive, Google Hangout, Google Scholars, Google Vibromassor® et PRISM ne s’arrête pas là. Très sérieusement, l’auteur nous explique que pour se la jouer comme la NSA, il faut tweaker votre code pour bénéficier au mieux de Google Alert (sûrement pour mieux dumper vos flux RSS sur Google Drive !). Bon sang mais c’est bien sûr ! :

The key to great NSA-style data harvesting, by the way, is to constantly tweak your code. Keep adding, deleting and modifying your Google Alerts and RSS feeds to make sure they deliver the kind of data you want.

Mais l’auteur peut encore creuser, il en a sous le pied. Point d’orgue de son article : le filtrage algorithmique. Avons nous sous les yeux l’article du seul journaliste qui semble avoir eu un accès complet aux différents programmes du GCCS-J … dont la presse semble se foutre éperdument en préférant reprendre le premier énorme bullshit qui passe sur « comment sécuriser ses communications mobiles grâce à des programmes diffusés sur l’AppStore d’Apple et maintenant comment jouer à la NSA grâce à Google ? » :

There’s one ironic caveat to using the NSA’s methods for wide-scale information harvesting and algorithmic filtering, which is that the NSA may theoretically know everything you’re doing.

The NSA’s domestic surveillance programs are controversial and possibly unconstitutional. But let’s face it: They work.

« Wide-scale » avec ton compte Gmail ?… on ne doit pas avoir la même notion de ce qu’est le wide-scale.

Tempora : le premier dommage collatéral de l’affaire Prism

vaderVous pensiez que seuls les américains avaient la possibilité de s’adonner à de l’écoute massive ? Et voilà Tempora révélé au grand public par le Guardian. L’affaire a de quoi faire sourire et il y a fort à parier que c’est le premier d’une longue liste de noms. Les autorités Allemandes ont officiellement demandé des explications au gouvernement britannique. Ce qui est amusant car il n’y a pas bien longtemps… je vous parlais de quoi et de qui ? Ah oui… de l’hypocrisie des allemands et des britanniques.

Et les allemands, ils en ont des raisons de ne pas être contents, car figurez vous qu’ils découvrent tout juste que les britanniques ont aussi leur programme d’interception de masse, Tempora. La ministre de la justeice ne semble pas avoir de mot assez fort pour qualifier cet affront. Et tout ça dans leur dos, à eux, leurs copains européens.

The Guardian said documents from Snowden showed that Britain’s Government Communications Headquarters (GCHQ) began « Tempora » 18 months ago to tap and store world phone calls and Internet data traffic for 30 days « without any form of public acknowledgement or debate. »

Alors que l’on date PRISM de 2004, le programme britannique n’aurait lui que 18 mois. Et comme nos copains anglais sont connus pour avoir un plus petit zizi que nos amis américains, ils ne stockent les communications que 30 jours… oui juste 30 jours. Et si vous pensiez que Prism c’était LE gros zizi ultime, je vous invite à lire cet article de Kitetoa sur Reflets (si tu es journaliste et que tu as découvert PRISM dans des dépêches AFP, et que tu as envie de briller lors de soirées mondaines, la lecture de cet article est indispensable)… bref vous allez vite comprendre pourquoi depuis le début de cette affaire nous n’avons de cesse d’expliquer que Prism est en fait un tout petit bidule.

Et bien on a pas finit de rigoler. Allez avant que nos euros députés ne fassent mine de s’étonner, on va les aider un peu :

La Suisse fait pareil, le programme se nomme Onyx. Quand à la Suède, elle n’est pas en reste, elle a une loi dédiée qui se nomme FRA… Mais nous en France, on ne fait pas ce genre de trucs, il se peut que de temps en temps, on refourgue un système ou deux de surveillance à l’échelle d’une nation à des des dictateurs, de manière complétement désintéressée, il va de soi, mais ce n’est évidemment qu’un produit d’exportation. Puis tant qu’à y aller franchement, quand on voit tout ce qui passe comme tuyauterie optique aux Pays-Bas, on se dit que les autorités locales seraient bien bêtes de ne pas en profiter…

Il est d’ailleurs assez amusant de voir que Fleur Pellerin, loin d’aller demander des comptes aux américains ou aux anglais, s’empresse de raconter n’importe quoi à la presse en préconisant un cloud souverain là où il faudrait éduquer le public à chiffrer et anonymiser ses communications. Peut-être est-ce parce qu’en rendant sourds et aveugles les services étrangers, nous nous rendrions sourds et aveugles nous même ?

Bref à l’ouest rien de nouveau depuis 2010 : à force de vouloir écouter tout le monde, on finit par ne plus entendre personne.

PRISM, l’Europe et l’hypocrisie des britanniques et des allemands

lolcat_internetjpgNous vous en avons déjà parlé sur Reflets ou sur ce blog…. l’hypocrisie des politiques européens semble sans borne. Mais la palme des faux culs européens revient sans hésitation aucune au gouvernement britannique. Historiquement, il faut revenir à 1946, époque à laquelle le Royaume Unis et les USA signaient un accord, l’ UKUSA, qui allait donner naissance au premier réseau de renseignement par interception de signaux d’origine électromagnétique : Echelon. Le Canada, l’Australie, la Nouvelle Zélande allaient vite rejoindre le Royaume Unis les USA. Mais comme au royaume des faux culs, plus on est nombreux et plus on intercepte, l’Autriche, la Thaïlande, le Japon, la Corée du Sud, la Norvège, le Danemark, l’Allemagne, l’Italie, la Grèce et la Turquie sont autant de nations qui vinrent se joindre à Echelon.

Vendredi, nous apprenions que Edward Snowden accuse le Royaume-Unis, plus exactement le GCHQ (Government Communications Headquarters), de s’adonner à de l’écoute de masse de ses citoyens… et aussi, c’est un peu le principe d’une communication, avec un émetteur et un récepteur, de collatéralement écouter des millions de citoyens du monde entier, et donc européens. Je ne vais pas vous faire un dessin, mais voilà la gueule du scoop ! Dés 1946, c’est ce même GCHQ qui déployait des bases relais d’Echelon sur son propre territoire, comme par exemple ici, à Menwith Hill… une station d’interception, directement opérée par la … NSA !

Menwith Hill google maps - Google Maps 2013-06-22 18-05-06

Nos gros faux culs de britanniques qui opèrent eux-mêmes la plus grosse station d’interception d’Echelon à Morwenstow en Cornouailles.

Morwenstow, Großbritannien - Google Maps 2013-06-22 18-08-44

By 2010, two years after the project was first trialled, it was able to boast it had the « biggest internet access » of any member of the Five Eyes electronic eavesdropping alliance, comprising the US, UK, Canada, Australia and New Zealand.

… tiens c’est marrant car on retrouve les mêmes zigotos que dans l’UKUSA !

Mais ce n’est pas tout, car à n’en pas douter, les Allemands aussi vont jouer leurs vierges effarouchées à Bruxelles. Sauf que ces gros hypocrites vont probablement oublier de parler à leurs collègues eurodéputés de la base d’interception de Bad Aibling, elle aussi opérée en direct par la NSA, ce jusqu’en 2004.

Bad Aibling - Google Maps 2013-06-22 18-15-19

Vous noterez que les 3 stations que nous venons de visiter ici n’ont pas l’air de vestiges de l’après guerre, elles sont bien toujours en activité pour de l’interception GSM et satellitaire… après ça, vous dire que je suis étonné que Edward Snowden déclare que le Royaume Unis wiretap les câbles de transit IP… comment vous dire ? Ah oui, ça m’en touche une sans faire bouger l’autre.

Ce qui m’agace profondément, vous l’aurez compris , c’est bien cette hypocrisie des politiques qui font mine de découvrir aujourd’hui qu’ils disposent sur leur propre territoire de stations d’interception de la NSA alors qu’elles collaborent depuis des années avec cette même NSA sur ces programmes qui sont issus d’accords bien connus, auxquels le 11 septembre a permis de donner une seconde jeunesse, avec la bénédiction des pays européens concernés.

En bref, mesdemoiselles, mesdames, messieurs les eurodéputés, attention de ne pas trop vous payer la tronche de vos concitoyens, parce que ça va franchement finir par se voir.

#PRISM, #MAINWAY, #MARINA, #NUCLEON… et ce n’est que le début de la liste

catchlonDepuis le début de la polémique autour de PRISM, avec Kitetoa, nous n’arrêtons pas de vous expliquer que PRISM est en fait un tout petit bidule qui fait partie d’un ensemble bien plus vaste, d’un programme de homeland security. Ce n’est pas pour vous effrayer que nous vous expliquons ça, c’est parce que nous savons que c’est vrai, que nous avons des documents qui prouvent ces propos, et Kitetoa profitera d’ailleurs de Passage en Seine pour vous montrer à quel point PRISM est un tout petit bidule perdu, quelque part, en bas à gauche, d’un machin bien plus gros.

En attendant, voici que le Washington Post qui n’attendra probablement pas Pas Sage en Seine commence à lâcher quelques noms, ainsi :

  • L’interception du contenu des communications téléphoniques atterrirait dans un système baptisé NUCLEON
  • Je vous parlais par exemple, citant Cryptome, de la rétention des métadonnées téléphoniques. Et PAN, le petit nom de cette base de données sous l’administration Bush, c’est MAINWAY

Capture d’écran 2013-06-16 à 15.39.22

Associated Press a le bon goût, comme nous l’avions nous même fait de rappeler que cette théorie du gros zizi (l’interception de masse), est la norme depuis les années 70.

Deep in the oceans, hundreds of cables carry much of the world’s phone and Internet traffic. Since at least the early 1970s, the NSA has been tapping foreign cables. It doesn’t need permission. That’s its job.

Et comme l’explique très bien Wikipedia, la NSA elle même l’avait avoué :

De 1945 à 1975, la National Security Agency (NSA) américaine a obtenu systématiquement des principales entreprises de télégraphie (RCA global, ITT World Communications et la Western Union) l’accès aux messages circulant par câble (Project SHAMROCK). L’interception des télécommunications se faisait au départ par la collecte de copies papier detélégrammes, puis par la remise de bandes magnétiques; elle se fait aujourd’hui par la connexion directe des centres d’émission aux circuits internationaux de communications. Selon la commission Church du Sénat américain (1975), la NSA sélectionnait environ 150 000 messages par mois, sur un total de 6 millions de messages par mois, pour en faire un compte rendu (soit 1 message sur 40). Des milliers de messages étaient transférés à d’autres agences de renseignement pour analyse. (source)

Et Associated Press d’enfioncer le clou sur ce que nous vous claironnons depuis le début :

The second and far murkier one is how Prism fits into a larger U.S. wiretapping program in place for years.

Sans blaaaaaague ?

 

#Prism : non @FleurPellerin, les données ne naissent pas et ne meurent pas sur des serveurs américains… elles circulent.

spy_gadget_phone_hidden_cameraJe vous donnais il y a quelques jours mon sentiment sur l’affaire Prism qui agite tant Internet, et juste Internet… Car oui au café du coin, Prism on a pas grand chose à faire. En rire ? Pas en rire ? J’ai personnellement pris le parti d’en rire. Ce n’est pas la première fois que j’explique et que j’écris noir sur blanc que Google est la première agence non gouvernementale de renseignement du monde. Ce n’est pas non plus la première fois que j’explique que l’illusion de gratuité que vous offre un Facebook ou un Google est quelque chose de dangereux. On peut me reprocher de ne pas toujours m’adresser à notre bonne vieille madame Michu sur ce blog ou sur Reflets, mais limiter à Internet ce champs d’action est hors de propos, attendu qu’il m’arrive également d’exprimer ce genre de craintes sur des médias nationaux.

Oui il est légitime de rire de ces réactions, par contre, très franchement, je commence à sérieusement m’inquiéter quand je lis les solutions avancées par certains dirigeants. Notre madame Michu, si elle se laisse bercer par les inepties du ministère du pognon des Internets… elle n’est pas sortie de l’auberge.

Dans un article publié sur 20minutes, Fleur Pellerin, notre ministre déléguée chargée des PME, de l’Innovation et de l’Économie numérique, nous avance une solution assez amusante. Le titre nous donne tout de suite le ton : « L’affaire Prism rend «pertinent» de localiser les data centers en France« . Et voici la déclaration exacte :

«L’affaire Prism, si elle est avérée, rend pertinent de localiser les data centers et des serveurs sur le territoire national afin de mieux garantir la sécurité des données».

Je ne doute pas qu’il arrive au cabinet de Fleur Pellerin de lire Reflets.info… Aziz Ridouan, si vous me lisez, c’est le moment de corriger le tir niveau communication, car notre ministre s’égare en commettant une grossière erreur technique.

Quand Fleur Pellerin parle de garantir la sécurité des données, elle omet un léger détail. Les données des citoyens français et européens, comme ceux du monde entier, ne naissent pas et ne meurent pas sur des serveurs américains. Ces données, à un moment ou à un autre, elles transitent sur le réseau Internet, un réseau public, sur lequel les agences du monde entier (je vous invite à vous rapprocher de la Direction du Renseignement Militaire pour connaitre ses pratiques en terme de renseignement d’origine électromagnétique… ou par exemple de lire cet article) s’adonnent à de l’interception. Au passage, inquiétez vous aussi du stockage de données biométriques par nos amis américains.

La pseudo nouveauté de Prism, ce n’est pas que ces données soient interceptées mais qu’elles soient, après interception, stockées pour une durée indéterminée et pour une utilisation à posteriori. Voici un petit schéma qui vous explique relativement clairement le problème de la vulnérabilité des données qui circulent en clair sur Internet :

ConnexionInternetNonSecure-413x550

La grosse blague du cloud souverain

Parmi les pistes envisagées par Fleur Pellerin, il y en a une qui m’a clairement fait rire, le gogogadgetocloud©… mais un cloud « souverain ». Alors ça ressemble à quoi un « cloud souverain ». Attendu que la France, comme le monde entier est un gros consommateur d’équipements chinois et américains, la question est légitime. Le « cloud souverain français », ça ressemble à ça :

Un cloud souverain français
Un cloud souverain français

«La nécessité d’avoir un cloud souverain se pose avec beaucoup d’acuité», comme un «moyen pour des entreprises qui détiennent des informations stratégiques de protéger leurs données», a-t-elle souligné.

Le gros des interceptions se réalisent sur des points de concentration du trafic, au cul des câbles sous marins très souvent. Si une « donnée sensible » est envoyée dans un « cloud français » (PS : données sensibles, cloud ?! WTF?!) sans que l’on prenne soin de les envoyer via un VPN (un tunnel chiffré de bout en bout), ces données auront fait 4 fois le tour du monde avant d’arriver dans notre cluster de minitels ultra sécurisés (notre cloud français… cocorico). Bref si vous me suivez jusque là, vous devez déjà avoir compris que la solution avancée par Fleur Pellerin, c’est de la foutaise.

Ajoutons à ça que le principe d’un cloud sécurisé inclu la notion de résilience (DNS, connectivité, infrastructure physique, risque juridique…) et implique donc une présence dans plusieurs pays… nos datas dans notre cluster de minitels, elles circuleront de pays en pays. Ces données, mêmes chiffrées seront interceptées et stockées par la NSA. Et on se doute bien comme expliqué sur Reflets, qu’un jour où l’autre elle seront déchiffrées.

Un autre point au passage, la France n’a pas attendu les déclaration d’un ministre pour disposer de datacenters… dieu merci. Des entreprises comme Iliad, OVH, LDCom et bien d’autres ont réalisé des investissements très importants pour se doter de datacenters de qualité.

London’s loling

En allant plus avant dans la lecture de l’article de 20minutes la dépêche AFP reprise sans la moindre once de réflexion sérieuse, on se rend vite compte à quel point il est néfaste pour Internet de dépendre de Bercy. La sortie téléguidée de Fleur Pellerin s’inscrit dans la droite lignée de celle d’Arnaud Montebourg sur le Made in France. Sauf que pour le coup, les solutions évoquées en plus d’être techniquement à côté de la plaque, peuvent poser quelques problèmes d’ordre plus … subjectif ?

Les groupes SFR et Bull (Numergy), puis Orange et Thales (Cloudwatt), ont chacun lancé fin 2012 de grands projets concurrents pour proposer aux entreprises et aux administrations françaises des solutions de «cloud computing» assurant le stockage sur le territoire national les données sensibles et qu’elles ne soient pas soumises au Patriot Act.

« Faisez confiance à Bull et Thalès qui eux au moins n’interceptent rien du tout, mettez vos données sensibles en sécurité chez les fous furieux dont l’un des coeurs de métier est … l’interception massive ou judiciaire… et qu’ils vendent à des Kadhafi« . On imagine bien nos camarades européens avoir une confiance aveugle en notre cloud souverain… particulièrement les anglais qui depuis l’UKUSA hébergent des bases d’interception du réseau Echelon sur leur territoire.

Donc oui… je le réaffirme. Nos politiques se payent joyeusement notre tête quand ils miment de découvrir que les américains ont accès à nos données, qu’ils tombent des nues en faisant mine de découvrir le Patriot Act en 2013… et ils se foutent carrément de nous quand ils nous balancent leurs solutions à 2ct.

#Prism : pourquoi ce pseudo scandale m’en touche une sans faire bouger l’autre ?

catchlonVous êtes plusieurs à m’avoir demandé une réaction aux récentes révélations sur ce qui a gentiment débuté par le pseudo scandale Verizon. Je n’en avais pas particulièrement envie car je trouve tout ce foin complètement ridicule. Entre les américains indignés, les européens qui jouent les vierges effarouchées (les anglais qui accueillent des bases relais d’Echelon sur leur territoire doivent bien rigoler), et la presse qui fait ses choux gras de cette information vieille d’une douzaine d’années, j’estimais ne pas avoir de choses particulièrement intéressantes à vous raconter. D’ailleurs, je ne suis toujours pas convaincu que ce qui va suivre sera vraiment intéressant pour nombre d’entre vous… vous voilà avertis. Je ne m’étendrai d’ailleurs pas bien longtemps sur PRISM, car une autre information me semble tout de même un peu plus intéressante.

Depuis quelques jours, il faut l’avouer, je rigole allègrement. Je rigole de la naiveté patriotique candide des américains, je rigole de toute cette presse qui fait semblant de s’étonner, je rigole des réactions des politiques européens qui miment de tomber des nues… car oui, c’est soit disant nouveau, tout ce petit monde peut enfin mettre un sobriquet sur Big Brother : PRISM. Enfin, ça, c’est ce que tout le monde pense, la réalité est toute autre et c’est Kitetoa (désolé pour le ComicSansMS) qui vous l’exposera à l’occasion de Passage en Seine. Prism n’est en fait qu’une infime partie d’un programme bien plus vaste.

Merde ! Les adeptes de la conspiracy theory avaient raison alors ? Ben ouais ils avaient raison…wow le scoop !

C’est quand même pas faute de vous en avoir rabâché les oreilles ici ou ailleurs, pas plus tard que le mois dernier dans ce billet où je vous expliquais qu’un ancien du FBI avait craché le morceau au sujet de la traque des frères Tsarnaev. Il me semble bien avoir écrit en toute lettres que les autorités américaines interceptaient et stockaient toutes les communications… mais bon. #spapossib’ me dit-on. Ce billet est d’ailleurs passé relativement inaperçu, aucun média n’a repris ce qui constituait pourtant une information tout à fait crédible, d’une source qui ne l’est pas moins… mais non, un mois plus tard  12 ans plus tard, tout le monde semble tomber des nues.

Ce billet d’ailleurs m’avait valu les interrogations de certains

« Mais comment ki font ! »;
« Bluetouff tu dis de la merde »;
« Même pas cap les ricains »;
« T’imagines pas la taxe sur la copie privée en achat de disques durs ! » 

Et à votre avis ? Quand on hurlait comme des putois sur l’AFP qui cause gentiment sur Skype avec ses sources et qui l’écrit dans ses dépêches, des fois qu’Oncle Sam n’avait pas tapé la bonne requête dans sa base de données pour identifier la source de l’agence de presse… c’était juste pour rire ? Pour troller sur Twitter avec un bot qui crache les dernières dépêches ? Pour le plaisir de se fritter par blogs interposés ? Ou parce que tout indique depuis des années déjà que les américains interceptent non seulement les communications téléphoniques des américains mais aussi à peu près tout ce qui ressemble à une communication à l’exception peut-être d’un protocole encore mal maitrisé, décrit dans la RFC 1149 ?

  • Qui me fera gober que la presse américaine ne s’est pas interrogée sur les dispositions pratiques issues du Patriot Act dont l’acronyme signifie « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme » ?
  • Qui me fera gober que le Parlement Européen, après les antécédents d’Echelon ne s’est jamais penché sur ce que les USA écoutent, interceptent et stockent…?
  • Qui me fera gober que la presse française pensait que les SMS et les conversations de Dominique Strauss Khan ont été tirés du chapeau de Bozo le clown ?

Oui, très franchement, je suis mort de rire, c’est un peu comme si tout ce que la planète compte de faux-culs s’était donné rendez-vous sur la time line du hashtag #Prism…

Les américains, qui ont tous soutenu, le Patriot Act au lendemain des attentats du 11 septembre étaient ils assez naifs pour croire que les autorités américaines allaient contrer une menace intérieure en écoutant uniquement ce qu’il se passe à l’extérieur ?

Il y a quelques années, avant que Wikipedia ne déchaine les passions, les personnes de ma génération qui s’intéressaient au sujet de la surveillance de masse fréquentaient les newsgroups ou des sites web comme Cryptome. Cryptome qui révélait déjà des choses pas jolies jolies sur les durées de rétention d’informations concernant les communications des américains.

☠ Spapossib’®

Dans le pire scénario que j’avais évoqué il y a déjà bien longtemps, j’expliquais que si la France avait envie d’écouter hors de tout cadre légal et de manière massive les communications électroniques, elle opèrerait ces interceptions depuis l’étranger. Là encore, les réactions à mes « élucubrations » étaient les mêmes : #spapossib’.

Ben oui, mais voilà… non seulement c’est tout à fait possible, mais voilà que le Monde, par la plume de Laurent Borredon et de Jacques Follorou appuie maintenant ma thèse avec des affirmations qui se font un peu plus pressantes et plus précises. Dans un article daté d’hier et intitulé « En France, la DGSE au cœur d’un programme de surveillance d’Internet « , Le Monde pointe les installations souterraines de la DGSE situées boulevard Mortier à Paris. Mais Le quotidien lâche surtout le morceau qui semble passer totalement inaperçu tout obnubilés que nous sommes par PRISM :

La France dispose-t-elle d’un programme de surveillance massif proche de celui mis en place par l’Agence américaine de sécurité nationale (NSA) ? La réponse est oui. La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal. 

☠ Etkomentkifon ?

Là encore je vous avais déjà parlé de la bénédiction que representent certains points de concentration du trafic, et plus particulièrement les câbles sous-marin. Mais ce n’est probablement le gros du dispositif. Allez, je vous la récapitules avec des mots très simples. Imaginez une entreprise française qui vend à un dictateur un système d’interception des communications électroniques dimensionné à l’échelle d’une nation. Imaginez que cette entreprise soit, étrangement, aidée par des personnes de la direction du renseignement militaire pour former les équipes sur place. On vend ensuite ce système à d’autres nations, pas franchement connues pour leurs aspirations démocratiques, mais toutes étrangement situées sur une dorsale de trafic Internet stratégique (suivez les câble sous-marins).

☠ Tagada tsoin tsoin …

Et vous obtenez tout simplement un système d’interception stratégique, situé hors de nos frontières, distribué, résilient, suffisamment backdooré pour que nos services puissent y accéder en fonction de leurs besoins et mener des interceptions massives pour extraire une poignée d’informations.

Et ce scénario, comme je vous le disais :

Allez, je vous la refais :

 voici comment je m’y prendrais si je voulais écouter massivement, à moindre coût, et surtout discrètement.

  • J’appuierai, au plus haut niveau de l’Etat, une société privée (un fusible comme on dit dans le jargon), spécialisée dans l’interception de masse, pour que cette dernière exporte ses jouets sur le territoire national des gens que je souhaite écouter. Je leur vendrai le bébé comme une arme de guerre électronique, à part que cette dernière n’est pas répertoriée légalement en tant que telle, et donc, non soumise à un contrôle strict des exportations.

  • J’en profiterai pour surdimensionner un peu le système en prévision d’une utilisation non documentée (un backdoor).

  • J’enverrai ensuite, au nom d’une « fraternelle coopération » des officiers du renseignement militaire pour former les équipes du « client » (comprenez le dindon de la farce). Cette opération de « formation » permettrait en outre de paramétrer le jouet vendu afin que ce dernier soit accessible à distance par les services du renseignement extérieur, avec un accès complet aux interceptions réalisées par le « client »… évidemment à son insu.

  • Ce qu’il y a de bien avec TCIP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.

  • Si je multiplie cette « opération commerciale » avec des « partenaires » géographiquement bien choisis, je m’offre une sorte de cloud de l’interception, financé par des puissances étrangères. Peu importe si elles ne sont pas franchement reconnues comme les plus grandes démocraties. Peu importe si leurs dirigeants sont connus comme des terroristes ou des fous furieux. L’éthique ce n’est pas franchement le fond du problème.

  • En cas de pépin, pas de souci; l’Etat pourrait ainsi se défausser de toute responsabilité. Notre entreprise privée est le fusible, c’est à elle de sauter. Mais évidemment, comme elle demeure « stratégique », je lui offre une porte de sortie en bidonnant une cession d’activité à une société tierce, créée par elle même. Elle pourrait ainsi, par exemple sous drapeau Qatari, continuer à vendre ses petits jouets et la collaboration entre les services extérieurs et cette « nouvelle société » qui ne renaît que des cendres de la première, pourrait ainsi continuer de plus belle et s’attaquer tranquillement à d’autres « marchés ».

  • Si une bande de cyber-beatniks venait à poser des questions au Gouvernement sur la présence avérée d’officiers du renseignement, il suffirait de brandir la menace terroriste et d’expliquer que ces « armes » n’en sont pas, qu’elles sont en fait du matériel grand public.

 

 

 

Dis, ça ressemble à quoi un Internet tout pourri ?

ahmadinejadVous n’aurez probablement pas manqué que nous nous intéressons en ce moment pas mal à l’Iran sur Reflets. Les quelques recherches que nous y avons fait nous ont conduit tout droit à la TCI (Telecommunication Infrastructure Company). Déjà spotté par le BlueCabinet ce fournisseur d’accès national concentre à lui seul tout le trafic Internet du pays. La TCI est LE point de centralisation rêvé pour surveiller Internet en Iran.

Pour bien visualiser ce qu’est la TCI, je vous propose de vous pencher sur ces graphs générés par le splendide outil mis à disposition par le Berkman Center for Intenet & Society de l’université d’Harvard (thx Wizasys) :

Capture d’écran 2013-06-05 à 15.54.48

Capture d’écran 2013-06-05 à 15.56.17

Ces schémas mettent en évidence un point de centralisation dont toutes les adresses IP iraniennes dépendent, la marque de fabrique d’un Internet tout pourri, ultra surveillé et passablement censuré.

Ce point de centralisation, c’est l’AS12880, celui sur lequel nous avons trouvé de très intéressantes machines, à savoir 4 ZTE ZXSS10 B200 et 2 HP H3C SR8808 équipés de modules dédiés au filtrage applicatif. Vous trouverez plus d’informations sur ces trouvailles dans l’article publié cet après midi sur Reflets.info.

Ces machines sont situées sur les plages IP attribuées à TCI. Le BlueCabinet de Telecomix rappelle que TCI s’est justement doté d’une infrastructure de surveillance dans laquelle on retrouve tous les grands noms, et qu’au coeur de ce système, on trouve bien du ZTE :

« Mahmoud Tadjallimehr, a former telecommunications project manager in Iran who has worked for major European and Chinese equipment makers, said the ZTE system supplied to TCI was « country-wide » and was « far more capable of monitoring citizens than I have ever seen in other equipment » sold by other companies to Iran. He said its capabilities included being able « to locate users, intercept their voice, text messaging … emails, chat conversations or web access. »‘…

Nous en savons donc maintenant un peu plus sur l’infrastructure de surveillance iranienne, nos questions sont remontées jusqu’à Palo Alto, nous vous tiendrons naturellement informés des réponses des intéressés.