A force de vouloir écouter tout le monde, on risque de ne plus rien entendre

Echelon

De nombreux sites web ainsi que la presse se sont fait l’écho de récentes remontrances émanant des services secrets américains à la France. La loi HADOPI était en cause. Le spectre d’une menace d’écoutes généralisées pour faire la chasse à l’échange de fichiers soumis au droit d’auteur est en passe de devenir un problème de sécurité nationale. Et c’est pas comme si les USA n’avaient pas d’intérêt à défendre leur industrie culturelle. Pourquoi sommes nous pionniers de “l’Internet civilisé” ? Les américains sont ils moins civilisés que nous ? On peut se demander pourquoi les services de renseignement français n’ont pas cherché à tuer dans l’oeuf les velléités de contrôle des populations à la gloire du sacro-saint droit d’auteur.

Les USA se sont posés il y a bien longtemps la question : est il opportun de menacer de mettre sous écoute sa population ? Il faut bien comprendre que dans la logique américaine, il y a une longue tradition du renseignement. L’exemple le plus connu des réseaux de renseignement en grande partie mis en place par les USA se nomme Echelon, il s’agit d’un réseau d’écoute planétaire capable d’intercepter n’importe quel type de communication (téléphone, internet, fax…). Il fonctionne sur dictionnaire, une liste de mots clés fait réagir le système, le message est ensuite intercepté, puis analysé, de manière informatisée, puis par des moyens humain. La France aussi est dotée de son réseau d’interception, baptisé Frenchelon. Il existe cependant une différence notable entre les USA et la France sur la finalité de ces outils. Les USA concentrent leur effort sur le renseignement exterieur et apportent le plus grand soint à ne pas utiliser ces outils contre leur propre population. De notre côté, en France, on ne s’embarrasse pas vraiment avec de telles considérations et à écouter Marc Guez (président d’une association caritative dont l’objet est la préservation des revenus issus des phonogrammes en plastique et le sauvetage les artistes des méfaits d’Internet), c’est tout à fait naturel, c’est déjà en place, alors pourquoi pas l’utiliser pour servir ses intérêts à lui, quitte à s’exposer à des répercutions particulièrement dangereuses.

Je m’étais à une époque amusé avec Google Map à aller jeter un oeil sur les infrastructures américaines pour les comparer aux infrastructures françaises et j’avais constaté que les français étaient quand même bien plus pudiques que les américains sur la question, jugez par vous même :

Voici des installations d’Echelon à Menwith Hill vues du ciel, difficile de les rater, c’est tellement net qu’on pourrait presque lire les plaques d’immatriculation des voitures qui y sont stationnées.

Echelon, site de Menwith Hill

Voici maintenant des installations de la DGSE à Domme dans le Périgors et qui constituent une petite partie du réseau Frenchelon, les arbres sont eux parfaitement nets, en revanche, nos grandes oreilles, on tente gentiment de les cacher.

Installations d'écoutes de la DGSE

Si les deux sites précédents sont parfaitement connus, on trouve sur Google Maps d’autres endroits sur le globe qui laissent assez rêveur, comme ce petit coin paumé au milieu de nul part, Wales, en Alaska. On croit y distinguer un peu le même type de boules blanches… et quand on recule un peu, plus au nord, on voit une énorme piste d’atterrissage… et on se demande du coup quel type de fret peut desservir les 4 baraques de pêcheurs qui semblent border cette côte sauvage du grand nord américain.

Wales, Alaska

L’objectif de ce billet n’est pas vraiment de comparer les infrastructures de Frenchelon à celle d’Echelon, mais cette petite digression me semblait nécessaire afin de de vous montrer que des réseaux entiers destinés à intercepter les communications sont bien en place et qu’en plus c’est loin d’être nouveau.

Ce qui est relativement nouveau en revanche, c’est l’engouement des français pour l’anonymat sur Internet, je crois que des gens comme Cupuccino, Korben ou Fabrice vous le confirmeront à la lecture de leurs statistiques, de très nombreux internautes se documentent sur l’art et la manière de télécharger tranquillement, et pour ça, ils n’hésitent pas à se tourner vers des solutions de chiffrement plus ou moins élaborées. L’usage massif de ce ces solutions créent inéluctablement une forme de bruit par convolution qui pourraient vite s’avérer gênant pour les autorités habilitées à mener des écoutes pour des affaires autrement plus sérieuses que le téléchargement.

Toujours plus chiffré, toujours plus simple d’utilisation, les solutions se font à la fois plus grand public, plus qualitatives et font monter en compétences les internautes sur des problématiques dont ils n’avaient guère à se soucier il y a quelques mois. Est-ce souhaitable ? Surement pas. Il n’est jamais souhaitable qu’un concitoyen éprouve un besoin de se cacher pour pratiquer ce qui en plus de 10 ans est devenu un usage. Et je dois dire que je suis particulièrement surpris du silence du ministère de la Défense à ce sujet. J’ai beaucoup de mal à comprendre que l’armée n’ait pas alerté les pouvoirs publics sur le risque d’une démocratisation du chiffrement. Certes, la France compte parmi ses services des mathématiciens de talent capables de casser des algorithmes incroyables, ou des d’informaticiens doués, capables de se jouer de mauvaises implémentations de ces protocoles de chiffrement, mais dans le cadre d’une écoute “sur dictionnaire” (c’est de cette manière qu’opère un outil comme Echelon, je ne sais pas trop pour son pendant français), on se doute bien qu’il est plus compliqué et plus coûteux en terme de traitement de repérer une information intéressante sur un flux de données chiffrées de plusieurs dizaines ou centaines de milliers de personnes que quand on a traiter un flux de données chiffrées de quelques centaines d’individus.

Si la NSA ne se sent pas très à l’aise avec HADOPI, on se demande ce que peuvent en penser les communautés du renseignement français, je serai fort curieux d’entendre leur son de cloche là dessus, comme par exemple savoir s’ils ont été consultés avant la mise en oeuvre du dispositif HADOPI ou encore de ce qu’ils pensent d’une utilisation des technologies de reconnaissance de contenu (Deep Packet Inspection) pour faire la chasse aux téléchargeurs, alors que ces techniques leur étaient jusque là réservées… mais comme on l’a vu ci-dessus, nos services savent se faire discret.

Aujourd’hui ce qui m’inquiète le plus, c’est cette crise de confiance entre le gouvernement et ses administrés qui commence à devenir une tendance lourde : les internautes cherchent des moyens de se protéger… de l’Etat.

Comme le dit fort justement Benjamin Bayart, dans une démocratie, il est nécessaire que l’on puisse prendre le maquis, en revanche, quand on a 20% de la population qui souhaite le prendre, c’est qu’on a un sérieux problème.

Contourner HADOPI pour les nuls (Partie 16) : I2P un autre réseau anonymisé

J’ai tenté de vous expliquer à plusieurs reprises le danger que pouvait représenter une loi comme HADOPI pour la sécurité intérieure d’un pays. On peut parler de l’effet “Echelon” du nom du réseau éponyme qui s’est fixé pour objectif d’écouter toutes les conversations électroniques, téléphoniques, fax … Echelon est une réalité, il existe bien, voici à quoi ressemble un centre d’interception (ici la base très connue de Menwith Hill au Royaume Unis) :

Image 6

Echelon est déjà un vieux système et s’il a rendu de nombreux services aux services de renseignement, sa méthodologie est fortement contestable et a bien montré ses limites sur les attentats du 11 septembre aux USA.

  • Toutes les communications sont interceptées
  • Une liste de mots clefs extrait les messages en contenant un ou plusieurs
  • L’information subit ensuite un traitement automatisé
  • Puis dans un certain nombre de cas, un traitement humain.

Le modèle d’Echelon fonctionne à peu prêt dans un monde idéale où les communications ne sont pas chiffrées. Du coup, ce réseau mis en place principalement par les américains et les britanniques essaye tant bien que mal de préserver cette habitude qu’ont les gens de transmettre des données en clair. Il serait pour eux bien plus coûteux, voir impossible d’intercepter toutes les communications et d’avoir à la les déchiffrer.

La France s’est dotée de son propre Echelon, surnommé Frenchlon (on parlera de Péricles et de ses ancêtres américains, Carnivor et Omnivor, un autre jour, promis). L’une des stations d’interception les plus connues de la DGSE est la base de Dome dans le Périgord. D’ailleurs c’est assez amusant de voir que, pudiquement, les services de renseignement ont demandé à Google Maps de flouter cette base, du coup on a des arbres bien nets et un site tout flou :

Image 7

Cette petite introduction sur les services d’interception “légaux”, et en quelques sortes normaux, étant faite, concentrons nous maintenant sur la “boulette” d’HADOPI. Quand des députés tentaient d’expliquer au rapporteur Riester que les mesures d’écoutes confiées à des officines privées risquaient de créer une importante convolution gênant énormément la tâche des services renseignement, ce dernier prétendait très naïvement, que ceci concernerait une toute partie de la population, mettons ça sur le compte de la jeunesse et son déni de la réalité terrain, car c’est en fait aussi compliqué :

… et bien d’autres techniques de Huber Hacker Chinois… et oui l’ami Franck nous aurait donc menti (ça vous étonne vous ?)

Il est évident que si on explique à des internautes que des officines mandatées par des maisons de disques vont s’adonner à ce genre d’écoutes, ces derniers vont très vite commencer à chiffrer leurs communications. La presse fait état de notes édifiantes et très explicites des services de renseignement américains ou britanniques à ce sujet. Plus proche de nous, Orange, qui sait ce qui passe dans ses tuyaux a également mis en garde le gouvernement sur ce genre d’effets de bord pas vraiment souhaitables.

Le décor étant planté, HADOPI étant votée, je vais vous présenter un nouveau réseau visant à préserver l’anonymat sur le Net. Il se nomme I2P, il est d’origine allemande et il fait, comme Perseus ou TOR, la démonstration que le gouvernement vient de se lancer dans une course à l’armement alors qu’il n’est en possession que d’un lance pierre et que les internautes disposent de lance roquettes. I2P est un réseau anonymisant fonctionnant par construction de tunnels utilisant plusieurs couches de chiffrement (sur un modèle clefs publiques/clefs privées pour ses nœuds) pour les données transitant par certaines applications sensibles (comme votre navigateur, votre client mail …). I2P est donc une suite logicielle chiffrant l’intégralité des communications de point à point, de votre ordinateur jusqu’au serveur consulté et vous renvoi les données toujours chiffrées sur votre ordinateur. En clair, même si le gouvernement avait un jour l’idée de placer un mouchard dans la box de votre fournisseur d’accès (ne riez pas ceci existe en Allemagne), il aurait un métro de retard.

Contrairement à TOR, I2P ne vous permettra pas d’accéder au P2P et s’expose aux mêmes faiblesses et limitations que ce dernier (il ne chiffre pas Internet de manière magique). Gageons que dans les mois qui viennent I2P va venir s’enrichir de nouvelles fonctionnalités et représenter un casse tête d’un nouveau genre pour les services de renseignement. Si des utilisateurs venaient à swicher massivement sur ces réseaux (le trafic sur TOR est littéralement en train d’exploser en France, en Allemagne, en Grande Bretagne, en Suède …), il deviendra totalement impossible d’écouter les vrais criminels … mais bon, vous savez, nous en France … on ne fait que défensif hein 😉

HADOPI serait elle un proof of concept d’un théorème énnoncé dans la ‘loi Echelon’

“Plus t’écoute plus de monde, moins t’intercepte plus de gens”

Contourner HADOPI pour les nuls (Partie 15) : Perseus pour Firefox

Image 2Les repositories d’extensions pour Firefox sont un monde merveilleux. Rien que sur ce blog, vous êtes plus de 60% à utiliser ce navigateur. En fouillant un peu ses extensions en rapport avec la protection de la vie privée, vous êtes peut être tombé sur ceci… enfin si c’est du chinois pour vous, regardez plutôt cette page. Développé par l’ESEIA, cette extension Firefox promet de donner des cheveux blancs à l’HADOPI alors que cette dernière n’est toujours pas appliquée. Qu’est ce que fait exactement Perseus ?

Perseus est une technologie open source dont le but est de protéger les flux de tous types tout en ménageant les besoins de sécurité d’un état (fonctions régaliennes). Une librairie en C sera publiée bientôt. Le module Firefox Perseus est une implémentation de cette technologie pour les flux HTTP. Les retours, rapports de bugs sont appréciés. Le module Perseus (sources, fichier XPI…) est disponible sur le site dédié

Comprenez que Perseus chiffre et brouille les flux réseaux de manière à perturber suffisamment l’écoute d’un mouchard, tout en respectant la limite imposée par l’obligation de possibilité de déchiffrement par les services autorisés (protection du territoire, services secrets)… par contre, notre pauvre HADOPI, qui est une autorité indépendante et non investie des mêmes pouvoir que la DST ou la DGSE, c’est à dire la nouvelle Direction centrale du renseignement intérieur (DCRI)… ne sera pas techniquement équipée pour contrer Perseus, à moins d’investir dans un clustering de déchiffrement. HADOPI sera alors complètement sourde et aveugle face à Perseus et ne pourra plus vous surveiller.

Les plus techniques d’entre ous vont se régaler à lecture de ce white paper (en anglais) qui explique le fonctionnement exacte des algos mis en oeuvre. Vous pouvez également visionner cette vidéo (au format propre et à lire avec VLC).

Contourner l’HADOPI pour les nuls (partie 5) : wireless (in)fidelity

imageLe wifi est une très belle invention, c’est génial, c’est sans fil, c’est Brazil … mais niveau sécurité, le moins que l’on puisse dire c’est que ce n’est pas vraiment simple pour notre Madame Michu d’avoir un réseau blindé.
En agglomération, certains vont s’en donner à cœur joie ! Ce n’est pas si compliqué que ça et ça nécessite un investissement dérisoire de quelques dizaines d’euros : Il faut commencer par s’équiper d’une carte compatible avec le logiciel que vous souhaitez utiliser (entre 20 et 50 euros) et éventuellement d’une antenne pour maximiser la réception et éventuellement l’injection de paquet.

Les réseaux chiffrés en WEP sont encore très nombreux, mais ce n’est pas parce que notre madame Michu est en WPA qu’elle sera pour autant épargnée, le TKIP est lui aussi tombé et c’est souvent ce que proposent par défaut les “box” des fournisseurs d’accès… Le choix des passphrases devant porter sur certaines box sur une suite d’au moins 10 caractères alphanumériques, de nombreux utilisateurs ont la bonne idée de mettre leur numéro de téléphone en passphrase, vous seriez surpris de savoir à quel point le bottin téléphonique représente un super dico d’attaque.

Et puis il existe une méthode assez bourrin de profiter du débit de ses voisins, voici le matériel ultime, le slurpr… une telle box est cependant très simple à réaliser mais il vous faudra quelques connaissances du système Linux pour parvenir à configurer ça correctement, le principe est de coller un max de cartes wifi qui se chargeront de voler la bande passante de plusieurs connexion pour en restituer une énorme.

Si notre madame Michu souhaite se protéger, il lui faudra désactiver purement et simplement l’usage de TKIP et privilégier l’AES CCMP, de quoi lui donner de bons maux de crâne, mais c’est le prix qu’elle devra payer pour qu’on ne lui coupe sa connexion à cause d’un Jean-Kevin indélicat.

Grâce à l’HADOPI je leverage mon crypto skills

plus-on-est-de-fous-moins-ya-d-hadopi Ouai bon, je sais le titre là il fait peur vu comme ça, mais en réalité, vous allez voir, installez vous dans le canap, ouvrez vous une bière et appuyez sur le bouton … et hop, vous voilà crypto terroriste !
– Mais comment t’as fait ?
– Ben c’est simple j’ai appuyé sur le bouton là, tu vois ?
– Et donc avec ce bouton, l’HADOPI c’est finit ?
– Oui
– Ca s’appelle comment ton truc pour leverager mon p2p en mode crypté ?
– Limewire.
– Ah bon Limewire fait ça ?
– Ben ouai regarde !

OpenPGP dans SeaMonkey la suite d’applications internet opensource

Depuis plus d’un an maintenant, je n’en finis plus de chanter les louanges de SeaMonkey, le navigateur “tout en un” de Mozilla. Client mail, éditeur html wysiwyg, carnet d’adresses, client IRC et surtout excellent navigateur web. Travaillant beaucoup sur OSx j’ai vite cherché une alternative open source à Safari. J’ai naturellement commencé avec Firefox mais sur un g4 il s’avérait complètement inutilisable montrant de grosses lenteurs sur des pages un peu chargées en javascript / ajax. Je me suis donc vite penché sur SeaMonkey dont les performances m’ont bluffé alors qu’elles étaient sensées être moindres si on se réfère aux nombreuses fonctionnalités supplémentaires qu’offre nativement SeaMonkey par rapport à Firefox qui se borne à être un simple navigateur.

Seul regret, les plugins sont sûrement moins fournis que pour Firefox. Et c’est justement ces plugins qui m’amènent à ce post puisque SeaMonkey propose une extension Enigmail qui permet de tirer partie d’OpenPGP pour chiffrer et signer vos emails… pil poil ce que je voulais.

J’ai donc configuré tout ce petit monde et encore une fois j’ suis sur le cul de voir la qualité du travail fourni par les développeurs de SeaMonkey et de ses plugins en 3 minutes chrono tout était au poil.

Voici comment faire sous OSX :

Commencez par récupérer SeaMonkey et installez le ;

Il vous faut ensuite installer GnuPG ;

Et il nous reste maintenant à installer le bon plugin SeaMonkey Enigmail ;

Et voilà vous relancez votre seamonkey vous configurez un compte mail si vous ne l’avez pas fait entre temps. A la première utilisation vous allez devoir générer votre jeux de clefs et votre certificat de révocation, le tout est parfaitement et simplement interfacé graphiquement ça se fait vraiment en quelques clics. Par défaut les clés générées le sont en 2048 bits ce qui est considéré comme un chiffrement tout à fait satisfaisant.

Encore une fois bravo aux développeurs ce navigateur est à mon sens définitivement le meilleur actuellement sous OsX comme sous Linux (sous Windows désolé j’ai pas pu me résigner à essayer). Les nombreuse extensions professionnelles qu’il propose m’ont vraiment séduit et le client mail, proprement configuré me fait oublier le confort de Mail.app sur OsX qui du coup se montre franchement plus limité.