Interceptions légales, technologies duales et commerce d’armes électroniques entre amis

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler “des vraies inquiétudes des français” (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon “ton dramatique” et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Capture d’écran 2013-11-23 à 19.42.11

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale “nation wide”, un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des “technologiques duales grand public” “destinées à de l’interception légale”.

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et “alégal” de ces pratiques.

De la technologie duale

Capture d’écran 2013-11-23 à 19.48.57

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire “les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

caramba-550x451

Et quand on fabrique des bombes, toutes aussi duales et “grand public” soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

  • Qatar
  • Maroc
  • Kazakhstan
  • Arabie Saoudite
  • Gabon
  • Libye

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une “petite dictature” qui a lâché la première bombe atomique.

 

Les inquiétants mensonges de Fleur Pellerin au sujet de PRISM

lolcat-oathOn attendait une réaction de Fleur Pellerin au sujet de PRISM un peu moins farfelue que “le cloud souverain” avec lequel elle a tenté de nous endormir la semaine passée. Nous avons failli en avoir une ce matin un peu plus sérieuse… mais non. Fleur Pellerin a décidé de récidiver et de s’enfoncer dans le mensonge.

Dormez tranquilles citoyens, la République et l’Europe veillent.

Une fois de plus, notre ministre, reçue par Jean-Jacques Bourdin sur BFM a commencé à évoquer PRISM d’une bien étrange manière. Écoutons attentivement ses propos, ils sont édifiants.

Pour notre ministre, PRISM, c’est juste l’équivalent de la PNIJ, des petites interceptions ultra ciblées qui ne concerneraient qu’une poignée de personnes, le tout sur demande d’un juge.

“Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)

Comme si l’interception de fibres sous-marines ne concernait que “quelques sites”… ahem…

L’ensemble du trafic et des communications des américains, dans la bouche de Fleur Pellerin devient donc “un certain nombre d’informations ».

“il n’est pas question d’une surveillance généralisée des réseaux (…)”

Ah… ça, c’est quand même gonflé !

De deux choses l’une, soit Fleur Pellerin est très mal informée, soit elle ment éhontément pour nous cacher quelque chose. Et comme je doute fort qu’elle soit mal informée, j’en déduis assez logiquement qu’elle nous ment avec un aplomb qui ne peut que cacher quelque chose d’inquiétant… au hasard, la complicité des autorités françaises (et européennes) sur des programmes connus de longue date, auxquels nous collaborons certainement et des écoutes hors de tout cadre juridique, opérées depuis l’étranger.

Le cabinet de Fleur Pellerin lui aurait il caché Mainway, Nucleon, Marina (…). Loin d’être comparable à un programme d’interception judiciaires, PRISM s’inscrit au sein d’un programme beaucoup plus vaste d’interceptions parfaitement massives composé de plusieurs sources de renseignement d’origine électromagnétique comprenant :

  • L’accès aux données chez de gros acteurs de la téléphonie et de l’Internet (avec stockage pour une durée indéterminée et exploitation à postériori) ;
  • L’interception massive des données au cul des câbles sous marins ;
  • Le piratage de backbones pour accéder à des masses d’informations considérables ;
  • Et probablement bien d’autres joyeusetés.

Voyons par exemple ce que dit CNet (et c’est le son de cloche dans toute la presse anglo-saxonne)

Newly disclosed classified document suggests firms allowed spy agency to access e-mail and phone call data by tapping into their “fiber-optic cables, gateway switches, and data networks.”

Fleur Pellerin, comme la commission européenne, est également étrangement silencieuse au sujet de Tempora, le programme britannique d’interceptions de masses.

D’ici à ce qu’on apprenne que la France était non seulement parfaitement au courant de Stellar Wind et fait elle même partie du dispositif, il n’y a franchement plus très loin. Mais voilà, Fleur Pellerin le sait, ce qui est à peu près accepté aux USA ne le serait probablement pas en France. Pourquoi ? Parce que contrairement aux USA, la France ne dispose pas de loi antiterroriste comme la FISA (Foreign Intelligence Surveillance Act) ou le Patriot Act permettant de violer massivement les communications de l’ensemble de la population.

Et plus le temps passe plus tout porte à croire que notre ministre allume des contre feu ridicules pour tenter d’éluder quelque chose dont elle a parfaitement conscience et qui devient particulièrement nauséabond.

Fleur… attention, ça commence à se voir.

Affaire Tsarnaev : la surveillance de masse des citoyens américains révélée par un ex-agent du FBI

catchlonVoici une information qui risque d’avoir l’effet d’une petite bombe, aux USA, et probablement ailleurs. Sur Reflets comme sur ce blog, nous avons souvent pointé du doigt de “grandes démocraties” qui font un usage immodéré des technologies de surveillance de masse. D’une certaine manière, l’usage de ces technologies est un excellent baromètre des dérives de certains pays. Et en matière de dérive, les USA sont définitivement champions du monde.

Ca se passe mercredi dernier sur CNN, Erin Burnett reçoit Tim Clemente, un ancien agent du FBI pour aborder les méthodes d’investigations qui ont conduit à l’arrestation de Tamerlan Tsarnaev dans le cadre de l’enquête des services américains sur le récent attentat du marathon de Boston. Les autorités américaines s’intéressent alors aux conversations téléphoniques entre Katherine Russell, la veuve du suspect décédé, et Tamerlan Tsarnaev. Quand Erin Burnet demande à Tim Clemente si les enquêteurs seraient en mesure de mettre la main sur ces conversations, Tim Clemente est catégorique : oui, les autorités ont bien la possibilité d’accéder à ces conversations !

Tamerlan Tsarnaev faisait il l’objet d’une attention spécifique qui aurait conduit les autorités à le placer sur écoute ? Non ! L’explication de Tim Clemente est simple : TOUTES les conversations des citoyens américains sont enregistrées, archivées, et indexées dans une gigantesque base de données à laquelle les autorités peuvent accéder dans le cadre d’enquêtes sur des questions de sécurité nationale. Tim Clemente prévient cependant que ces conversations ne seront probablement présentées comme pièces à conviction devant le tribunal mais qu’elles permettront sans doute aux enquêteurs de comprendre tous les détails de l’affaire.

BURNETT: “So they can actually get that? People are saying, look, that is incredible.

CLEMENTE: “No, welcome to America. All of that stuff is being captured as we speak whether we know it or like it or not.”

Pas besoin de l’autorisation d’un juge, ces enregistrements sont systématiques, pour toutes les communications. Et il ne s’agit évidemment pas que des communications téléphoniques… nous parlons ici de toutes les communications électroniques des américains, de quoi faire froid dans le dos quand on se rend compte que même en France, les services de messagerie les plus utilisés sont… américains.

Reçu le lendemain par Carol Costello, toujours sur CNN, Tim Clemente enfonce le clou en confirmant ses dires : il n’y a aucune communication numérique sécurisée, tout est intercepté, email, chat, recherches…

Le Guardian rappelle que ce n’est pas la première fois que de fortes suspicions planent. En 2010, Mark Klein, un ancien ingénieur d’AT&T avait révélé au Washington Post comment AT&T avait mis en place un dispositif d’interceptions massives et globales, avec un accès complet aux interceptions donné à la NSA. Et les chiffres font mal au crâne :

Every day, collection systems at the National Security Agency intercept and store 1.7 billion e-mails, phone calls and other types of communications.

1,7 milliard de communications sont enregistrées quotidiennement. Techniquement le dispositif consiste en une installation spéciale, dans un bâtiment situé non loin du coeur des installations d’AT&T. La technologie, vous la connaissez évidemment tous si vous suivez Reflets ou ce blog, il s’agit bien de Deep Packet Inspection pour l’analyse de contenus, avec des sondes développées par Narus, un concurrent direct de nos amis de Qosmos.

Le Guardian nous rappelle également que William Binney, un ancien agent de la NSA avait démissionné de l’agence pour protester contre cette surveillance de masse. Car les abus sont visiblement légion. Le programme Total Information Awareness que le Pentagone avait tenté de mettre en place en 2002, suite aux attentats du 11 septembre, avait profondément choqué l’opinion. Ce dernier est finalement revenu par la petite porte.

Enfin si vous êtes utilisateurs de Blackberry, sachez que la NSA a clairement accès à l’ensemble de vos conversations qui sont systématiquement archivées. Il n’est pas non plus déraisonnable de penser que les iPhone d’Apple sont de véritables SpyPhones et que les services américains accèdent à de nombreuses données personnelles de ses utilisateurs… et oui, Android aussi.

Allons un peu plus loin maintenant. En France, le pays des droits de l’homme, ce genre d’interception systématique serait parfaitement illégal. Du moins ce qui est illégal c’est de le faire soi même. Mais dans quelle mesure les services français demandent à leurs homologues américains l’accès à des données personnelles de français… ont ils seulement besoin de les demander ou accèdent ils naturellement à ces données via un réseau de “coopération” mis en place conjointement par les services français et américains ?

Bienvenu dans le 21e siècle, le siècle qui relègue Orwell au rang de bisounours.

Thx @antoine_bdx pour l’info.

 

Syrie / Liban : dis moi avec qui tu t’interconnectes, je te dirai qui tu écoutes

Internet est un réseau public, basé sur des interconnexions entre opérateurs. Ces interconnexions sont libres, elles dépendent des infrastructures disponibles, donc des bonnes volontés ou des appétits commerciaux de sociétés ou d’institutions, souvent un savant mix des deux, des quatre. Il y a cependant un autre paramètre moins avouable : la doctrine militaire d’une nation en matière de SIGINT (Signal Intelligence, ou renseignement d’origine électromagnétique). Comme Internet est un réseau public, il est aisé de trouver des données concernant les interconnexions optiques assurant la connectivité internationale d’opérateurs ou de pays entiers. Ainsi, il est très simple, pour une personne un peu curieuse, de détecter les particularités de chacun.

On trouvera par exemple assez aisément les fibres optiques transatlantiques indispensables pour que Google et Youtube puissent assurer leurs services en Europe, on découvrira aussi la steppe numérique de Corée du Nord qui assure l’intégralité de son trafic Internet par le biais d’un satellite chinois, ou encore… la connectivité internationale de la Syrie. Mais qui surveille qui au juste ?

La toile

Les câbles sous-marin assurent une énorme partie du transit IP d’un continent à l’autre, d’un pays à l’autre. Il existe des cartes de ces câbles sous-marins, elles sont parfaitement publiques et nous allons voir que concernant la Syrie, elles nous donnent beaucoup d’informations.

La connectivité internationale de la Syrie est principalement assurée par 3 câbles sous-marins, pour une capacité de 11,2 Gbps.

Première information capitale, ces 3 câbles ont un landing point situé au même endroit, dans la ville de Tartous. Étrange coincidence, c’est dans cette ville que la Russie dispose d’une base navale. Des rumeurs insistantes voudraient que la famille al Assad y ait un temps trouvé refuge quand des affrontements se tenaient à Damas. Tartous est une ville côtière stratégique, probablement l’un des meilleurs endroits par lesquels Bachar al Assad pourraient envisager une sortie précipitée s’il trouvait à tout hasard une porte de sortie vers… la Russie.

Mais revenons à ce qui nous intéresse, c’est à dire ces 3 câbles sous-marin :

  • Le premier, UGARIT, d’une capacité de 1,2 Gbps, relie Tartous à Pentaskhinos (Chypres).
  • Le second, ALETAR, d’une capacité de 5Gbps, relie Tartous à Alexandrie (Égypte).
  • Le dernier, BERYTAR, luis aussi d’une capacité de 5Gbps, relie Tartous à Beyrouth (Liban).

BERYTAR a une particularité intéressante, il est une liaison directe et exclusive entre les deux pays. Pour Beyrouth, ce câble est “vital” en terme de connectivité puisque le seul autre câble sous-marin partant de la capitale libanaise et reliant Beyrouth à Pentaskhinos, dispose d’une capacité relativement anecdotique (0,622 Gbps) en comparaison de BERYTAR et de ses 5 Gbps. BERYTAR déssert également les villes libanaises de Saida et Trablous (source).

Les grandes oreilles waterproof… ou pas.

Pour qui veut écouter le trafic entier d’un pays, il faut commencer par créer des points de centralisation. Vous aurez compris que les landing points de transit IP des câbles sous-marin sont une pièce de choix pour qui veut jouer les Amesys en herbe. Où qu’ils se trouvent, particulièrement ceux qui désservent de grandes démocraties, comme, au pif les USA, ces câbles sous marins sont wiretapés, c’est à dire écoutés. Comme il est complexes, sur des très grosses liaisons, de traiter des interceptions en temps réel, les surveillants se retournent vers de l’interception basée sur des listes de mots clés, un peu sur le même principe qu’Echelon, mais en quand même un peu plus élaboré.

Aussi, on sait aujourd’hui surveiller sur ce type de liaisons un protocole particulier, comme Skype, ou des sites précis… comme Youtube. Nous avons publié sur reflets des éléments matériels attestant de cette surveillance. S’il peut s’averer complexe, voir impossible de décrypter toutes les communications Skype, il est en revanche d’une déconcertante simplicité d’identifier une connexion de l’un des deux FAI gouvernementaux syriens entre un opposant et une adresse IP appartenant à des plages IP de l’AFP. Vous comprendrez donc, à la lumière de ces éléments, la colère de certains d’entre nous (les barbus des Intertubes, pas du terrain) quand nous observons l’AFP, écrire en toutes lettres dans ses dépêches qu’elle contacte ses sources via Skype.

Ces dispositifs reposent sur une technologie bien de chez nous dont je vous rabat les oreilles depuis un bon moment, le Deep Packet Inspection, à l’origine destinés à assurer de la qualité de service, à “comprendre ce qu’il se passe sur un réseau” pour reprendre les termes d’Eric Horlait, co-fondateur de Qosmos. Le DPI, est, par extension, devenu l’arme numérique de prédilection de maintes dictatures pour traquer des opposants… ce grâce à l’éthique en toc de quelques entreprises comme Amesys, Cisco, et beaucoup d’autres. D’abord pour de l’écoute légale, en ciblant un certain nombre de connexions, puis, comme le préconise Amesys dans ses brillants exposés, en écoutant l’ensemble des communications d’un pays, en les enregistrant dans une base de données, puis en procédant par extraction.

Quand on est une puissance étrangère et que l’on a pas un accès direct aux landing points assurant la connectivité internationale du pays que l’on veut écouter, on peut par exemple, disposer de navires d’interception dotés de capacités d’écoute des câbles sous-marin. La France dispose de ce type de navire.

Dupuy-de-Lôme, navire collecteur de renseignements d’origine électromagnétique de la Marine nationale française (Source Wikipedia)

La France dispose également d’un autre atout, elle déploie et exploite certains de ces câbles, et certains d’entre eux ont une desserte stratégique, comme par exemple, le récent EIG (Europe India Gateway), en blanc sur la carte ci-dessous, et ses 14 landing points. EIG a été déployé par Alcatel Lucent, et en ce qui me concerne j’ai un peu de mal à croire que l’entreprise franco-américaine ne s’est pas assurée quelques sales blanches dans des landing points bien situés pour être en mesure d’intercepter de manière ciblée une partie du trafic.

L’interception des communications sur les liaisons sous-marines n’est que l’une de la demi douzaine de disciplines que compte le SIGINT. Elle s’avère souvent délicate pour une seule raison : les importants débits de certaines de ces liaisons offrent trop d’informations qu’il devient alors complexe de traiter en temps réel. Aujourd’hui des sondes qui opèrent de l’interception en profondeur de paquets savent écouter des liaisons d’un débit de 100 Gbps. Ensuite, ce n’est qu’une question de capacité de traitement, mais pour cette problématique du traitement, les architectures sont scalables, ce n’est donc pas un frein technologique, il suffit d’y mettre les moyens.

Qui écoute qui ?

BERYTAR est un câble appartenant à 3 entités :

  • Le Ministère des Télécom libanais à hauteur de 46.875 %
  • Le Syrian Telecom Establishment (STE) à hauteur de 46.875 %
  • Arento (Espagne) à hauteur de 6.25 %

Les gens de la STE sont des gens assez sympas, nous allons le voir, qui sous-traitent leurs basses besognes à des entreprises locales qui prétendent faire de la sécurité informatique. Quand on jette un oeil à leur timeline Twitter, on comprend vite ce à quoi ils passent leur temps, la sécurité en question, c’est plutôt de la surveillance qu’autre chose.

Nous savons que le régime syrien a, à maintes reprises, marqué sa volonté de contrôler Internet à des fins de surveillance et de contrôle de l’information : empêcher les activistes d’envoyer des vidéos ou même d’empêcher l’utilisation de solutions d’anonymisation des flux Internet afin de mieux localiser les opposants. OpenVPN est par exemple totalement inopérant en Syrie (notamment grâce à Fortinet), les activistes doivent se tourner vers le réseau TOR, bien plus compliqué à bloquer.

Les réfugiés syriens en Jordanie, en Turquie ou au Liban sont ils en sécurité ? Peuvent-ils communiquer librement ? La réponse courte est :

non, et tout particulièrement au Liban

BERYTAR, le seul tuyau qui relie le Liban à la Syrie est d’une capacité idéale pour réaliser des interceptions globales en temps réel en utilisant de l’inspection en profondeur de paquets (DPI). Si Qosmos dit vrai et qu’il s’est finalement retiré du consortium européen pour le projet ASFADOR, le régime syrien a probablement trouvé, ou trouvera une autre entreprise pour le mettre en place.

Attention, cette information vaut pour TOUS les journalistes qui travaillent depuis les “bases arrières” et se pensent, eux et leurs sources en sécurité. Communiquer avec la Syrie implique donc 2 choses :

  1. le chiffrement des données afin que les autorités syriennes ne puissent pas lire le contenu des communications
  2. l’anonymisation des flux afin que les autorités syriennes ne puissent pas identifier émetteurs et récepteurs.

Tout journaliste qui ne procède pas à ces deux précautions met sa vie et celle de sa source en danger.

Wikileaks : les Spy Files sont en ligne

Wikileaks, épaulé par OWNI, vient de publier aujourd’hui même les Spy Files, une liste de 1100 documents relatifs aux sociétés qui surveillent Internet. La majorité de ces documents sont des documents parfaitement publics mais ce travail de compilation reste tout à fait exceptionnel car il offre un instantané de l’état de l’art de la surveillance globale des communications sur Internet. On y trouve les principaux intégrateurs, leurs solutions, le superbe contrat d’Amesys à la Libye portant sur un système EAGLE d’interception global et ayant servi à la répression des opposants. Vous apprendrez d’ailleurs très prochainement qu’Amesys était parfaitement au courant de l’utilisation faite de son matériel.</subliminal>

BlueCoat, une autre entreprise que nous suivons de près sur Reflets.info est également à l’honneur dans cette publication et Wikileaks vous invite à découvrir toute sa gamme.

Comme vous vous en doutez, les collègues de la team Reflets et votre serviteur allons revenir très prochainement sur cette publication et vous faire de nouvelles revelations sur les deals d’Amesys dans le “massive interception” et ce, dans des pays où vous n’auriez pas spécialement envie de passer vos vacances.

Je profite également de ce court billet pour vous annoncer que cette publication de Wikileaks donnera lieu à d’autres publication de notre part sur le sujet (c’est une évidence), mais que nous réfléchissons activement aux contre-mesures depuis un petit moment. Pour passer outre cette surveillance globale dont Amesys vendait si bien les mérites en 2008 à Prague, nous allons tout prochainement lancer une offre de VPN un peu particulière (COMSEC). Une offre concernera les entreprises et l’autre les particuliers. Ces deux offres DPI-Proof® bénéficieront du même niveau de sécurité en offrant un chiffrement de vos communications portant sur les couches 4 à 7 du modèle OSI et viseront explicitement à rendre sourd et aveugles ces systèmes d’interceptions massifs.

 

Deep Packet Inspection au Canada

privacyMichael Geist est professeur de droit à l’Universite d’Ottawa, c’est un fervent défenseur des libertés numériques, plaidant entre autres pour une réforme du copyright à l’heure d’Internet. Sur son blog, le professeur nous apprenait la semaine dernière que le Canada s’apprêtait à voter une loi terriblement dangereuse, c’est un lecteur de Numerama qui l’a relevé, elle se décompose en 3 volets :

  • Le premier oblige les FAI à transmettre les informations  personnelles d’abonnés à l’autorité judiciaire en se passant de l’avis d’un juge. La loi actuelle les y autorise, sans pour autant les y contraindre.
  • Le second incitant tous les fournisseurs d’accès à modifier leur infrastructure réseau afin de rendre possibles des écoutes légales ciblées. Ceci signerait l’arrêt de mort des plus petits fournisseurs d’accès canadiens. Les exigences semblent particulièrement précises et très contraignantes : il s’agit notamment de pouvoir intercepter les communications, d’isoler les communications d’un individu en particulier, et être en mesure de réaliser simultanément de  multiples interceptions. Les employés des FAI impliqués dans les interceptions de données devront en outre montrer patte blanche et pourront être soumis à des vérifications de leurs antécédents judiciaires. Pour mettre en place ce dispositif, un délai de 3 ans est donné aux fournisseurs d’accès, mais pour les plus petits d’entre eux qui n’auront pas les moyens de les mettre en place, ces dispositions n’en font que peu de cas.
  • Le troisième et dernier volet confère de nouveaux pouvoirs à l’autorité judiciaire, lui permettant notamment d’accéder en temps réel aux données interceptées, ce qui suppose une interconnexion directe entre les FAI et l’autorité judiciaire. Ces données concernent la création, la transmission, la réception, le type (protocole), la route, l’heure, la durée, l’origine et la destination de la communication… la totale. Le délai de rétention de ces informations serait fixé à 90 jours. Enfin les fournisseurs d’accès sont évidement tenus de ne pas communiquer aux abonnés d’information les alertant d’une écoute.

Selon Michael Geist, le coût de ces mesures est très important, tant financièrement qu’en terme d’impact sur la vie privée. On parle bien ici de surveillance par des sociétés privées (des fournisseurs d’accès Internet), sans mandat du juge.

Faut-il réguler la Neutralité du Net ?

neutrality

Je ne pensais pas avoir un jour à me poser cette question : faut-il que le législateur intervienne pour préserver un semblant de neutralité des réseaux ? J’ai plus de 15 ans de net derrière moi, mes Internets à moi se portent très bien et j’ai un peu de mal à me figurer que le fait que des politiques s’en mêlent puisse apporter quoi que ce soit de positif. Cette question m’est simplement venue au détour d’un tweet de Ludovic Penet (si vous ne le connaissez pas encore et que ces questions de neutralité vous intéressent, faites chauffer votre reader RSS, le monsieur sait de quoi il parle et il en parle très bien).

Tout est parti de ce billet où je revenais sur la réponse de CCIA à la consultation de l’HADOPI sur les moyens de sécurisation. Les poids lourds du Net (Yahoo, Google, Microsoft, Facebook…) mettaient les deux pieds dans le plat en contestant la légitimité de l’HADOPI dans sa mission toute neuve de sauver les internautes des méchants pirates qui utiliseraient leur connexion Internet pour downloader le dernier Lady Gaga. Dans ce billet, je m’amusais un peu de voir ces géants du Net se réveiller 2 ans après la bataille alors que Christine Albanel criait à qui voulait bien gober ses sornettes, que les accords Olivennes, à l’origine de la loi création et Internet, étaient issus d’un large consensus. Manque de bol, il semblerait que les principaux acteurs du Net (les internautes, les grosses entreprises du Net, ou encore l’ASIC) n’aient pas été invités à participer à ce large consensus… et oui, un consensus c”est toujours plus simple quand on est tous d’accord avant de commencer à causer… évidemment il y en a toujours un pour l’ouvrir mais quand on a une licence 3G à troquer, c’est assez simple de le faire plier. Le soucis c’est qu’une fois votée, il faut bien l’appliquer cette loi… et c’est là qu’on s’étonne de voir des entreprises, comme Google, Yahoo ou Microsoft, que l’on pensaient toutes “consensualisées à mort”, fustiger de manière véhémente le produit direct de ce consensus… voilà pour le contexte.

La discussion de fond maintenant

Quand Ludovic a réagi à ce billet, il m’a fait remarquer que je soutenais implicitement une atteinte à la neutralité. Je n’aurais pas relevé si ceci ne venait pas de Ludovic. S’il dit ça, c’est qu’il y a forcément un fond de vérité et quelque chose aurait donc échappé à mon analyse… ok, creusons.

Attention, sur les questions de neutralité, Google, Microsoft et Yahoo ou Facebook ne sont certainement pas à mettre à la même enseigne. Quoi qu’on en dise, Google s’est toujours montré très respectueux de la neutralité du Net, et pour cause, c’est en grande partie grâce à cette neutralité que Google est devenu ce qu’il est… et que d’autres, un jour, pourront aspirer à le détrôner. A contrario, Microsoft a très longtemps mené une politique de fermeture, il aura par exemple fallu attendre 2010, pour que dans sa grande mansuétude, Microsoft se décide à faire un navigateur qui respecte les standards du W3C.

Ce que Ludovic voulait me faire remarquer, c’est que tout ce petit monde a forcément un intérêt à être contre toute régulation. Les sociétés privées ont envie de continuer à tenir les rennes, à innover et à… brider un peu à leur manière le Net pour diriger les utilisateurs sur leurs services et pas celui du voisin… Et oui, Ludovic à raison, mais je reste assez perplexe, quelque chose me chiffonne dans ce raisonnement…

Toujours est-il qu’en désignant HADOPI comme illégitime dans sa mission de spécification d’un logiciel de sécurité labellisé et créant une incitation légale à acheter tel dispositif plutôt que tel autre, la CCIA met le doigt sur une entrave à l’innovation et sur un petit soucis de distorsion concurrentielle assez intéressant. Or la CCIA oppose cet argument qui est de dire que dans une société qui se dit libérale, on laisse le marché faire, on ne lui impose pas de ligne directrice susceptible de nuire à l’innovation et d’entraver la concurrence. Je vois par exemple assez mal la HADOPI préconiser le pare-feu par défaut de Windows comme une solution fiable de protection, mais est-ce bien l’efficacité de la protection des utilisateurs qui est recherchée par la HADOPI ? N’est-ce pas plutôt la protection du droit d’auteur qu’elle cherche à protéger en incitant vivement l’utilisateur à installer un moyen de sécurisation ?

Alors on régule ?

Au moment où je suis en train d’écrire ces mots, je n’ai pas la réponse à cette question et bien malin celui qui peut m’en donner une parfaitement argumentée. En revanche j’ai quelques observations assez factuelles à formuler  :

  • Premier constat : avant que les politiques ne commencent à y mettre leur nez, le Net fonctionnait très bien sans eux, ouvert et neutre, personne ne se posait d’ailleurs la question il y a une dizaine d’années, on bouffait du kilo-octet tout neutre et ça ne perturbait personne.
  • Second constat : en France, TOUTES les lois qui concernent Internet ont eu pour seul effet (voulu ou pas) d’entraver son ouverture et sa neutralité au bénéfice de quelques uns et au détriment du plus grand nombre.
  • Troisième constat : les atteintes à la neutralité sont jusque là du fait de deux entités, il s’agit soit d’états, soit de FAI (systématiquement du côté de ceux qui détiennent des infrastructures… en toute logique). Un état porte atteinte à la neutralité généralement pour de mauvaises raisons (fliquer ou materner sa population), les FAI, eux, le font pour des raisons économiques.

Il y a deux points capitaux qu’il semble donc de bon ton de dissocier :

  • l’infrastructure (les tuyaux)
  • et les services (le contenu).

Nous avons une particularité en France, c’est que ceux qui détiennent les infrastructures sont également éditeurs de contenus. Il est donc facile de comprendre, partant de là, qu’un opérateur préfère qu’on utilise SON infrastructure pour accéder à SES contenus plutôt qu’à ceux des voisins… et comme tous les éditeurs de services ne sont pas FAI, le rapport de force peut très vite tourner en la défaveur des entités qui ne possèdent ou n’ont accès à aucune infrastructure.

Je vois ici 3 issues possibles :

  • On régule en interdisant aux FAI d’être éditeurs de contenus (on peut toujours rêver).
  • On régule uniquement au niveau des infrastructures physiques, particulièrement si elles sont financées tout ou partie par des fonds publics. Il s’agirait d’inscrire dans la loi que n’importe quel acteur puisse accéder à ces infrastructures pour délivrer un service, qu’il soit local ou national. C’est de loin la solution la plus séduisante à mon sens et c’est surtout celle qui répond le plus intelligemment à cette problématique complexe.
  • On ne régule rien du tout et on laisse faire.

De ce que j’ai vu en 5 ans d’acharnement des politiques pour tenter de briser cet espace de liberté qu’est Internet (à coup de filtrage, blocage, croisade contre l’anonymat, ou encore cette escroquerie intellectuelle du droit à l’oubli numérique) m’incite à penser qu’on ferait mieux d’attendre que certains de nos élus ne prennent leur retraite avant que l’on envisage de pondre une loi sur la neutralité du Net… au risque de se retrouver soit avec un texte qui n’a ni queue ni tête, à l’image d’HADOPI, soit avec une super occasion pour l’Elysée d’officialiser la fin en grande pompe d’un Internet neutre, outil indispensable à l’exercice de la liberté d’expression… pour paraphraser le Conseil Constitutionnel.

Un marché de la sécurité complexe

Il faut d’abord distinguer les solutions qui s’adressent aux FAI, aux grandes entreprises, aux PME, puis aux particuliers. On distinguera également les solutions matérielles des solutions logicielles… et les charlots des gens sérieux mais ce n’est pas trop le débat. Nous allons nous concentrer sur deux niches :

  • Les solutions de sécurité ISP class : je parle ici de solutions, souvent matérielles (firewall/routeurs de service…), visant à prémunir le réseau des fournisseurs d’accès d’attaques diverses (dénis de service, vagues de spam, propagation de vers…). Ici, les solutions dites de Deep Packet Inspection ont une utilité certaine car elles servent le bon fonctionnement du réseau en luttant contre des attaques susceptibles de le perturber. Concrètement, des sondes ou des routeurs de services reconnaissent les signatures des attaques et stoppent leur acheminement. Le marché du DPI représente à horizon 2013 environ 1,5 milliards de dollars à lui tout seul. Un routeur de service capable de traiter un flux terabit coûte entre 120 et 250 000 euros. Là si vous m’avez bien lu, vous devez comprendre tout de suite que tout ce qu’on raconte sur le DPI est entièrement faux… fliquer toute le population française ne reviendrait certainement pas des centaines de millions d’euros… à la louche ça doit coûter entre 10 et 15 millions d’euros, à peine la moitié de ce que le gouvernement vient de mettre dans la carte musique jeune.
  • La sécurité des particuliers : là par contre, il faut bien l’avouer, c’est le Far West. L’offre se concentre principalement autour d’un système d’exploitation, Microsoft Windows qui en bon leader est le plus attaqué. Et sur Windows, on trouve de tout : antivirus, firewall, solutions de contrôle parental, solutions anti fishing… Open Office …. De ces solutions nous en retiendrons principalement 2 vu que toutes les autres peuvent être remplacées par un usage simple du cerveau (user side). Nous conserverons donc l’antivirus et le firewall. L’antivirus étant par définition utile quand c’est déjà trop tard (une fois que la machine est infectée), il nous reste le firewall qui contrôle ce qui rentre et ce qui sort de la machine.

Ici, on s’interroge donc sur quel(s) type(s) de solution(s) la HADOPI va pouvoir jeter son dévolu. Procédons de manière simple en nous remémorant ce que stipule le texte de loi : “moyen de sécurisation de l’accès Internet“… et ben on est pas dans la merde. On ne vous demande pas de sécuriser votre ordinateur, ni votre box… mais votre “accès Internet”. Si l’HADOPI veut prendre le texte au pied de la lettre, je vois assez mal comment elle pourrait ne pas se laisser tenter par compléter le dispositif de sécurisation situé chez l’utilisateur par un autre dispositif, placé sur le réseau de l’opérateur, et qui viserait à “dépolluer” l’Internet ou policer les internautes.

La CCIA s’inquiète donc à juste titre car de tels outils, par exemple à l’échelle d’un cloud ou pour du du Software as a Service (SaaS)… on a beau jurer par tous les grands dieux que le filtrage  que c’est totalement transparent… et bien permettez moi d’en douter. Jean-Paul Smets de la société Nexedi a déjà mis en garde à ce sujet après une expérience grandeur nature contre son gré, suite à la mise en place d’un filtrage par Eircom en Irlande : “il y a deux semaines environ, nous avons constaté que l’accès aux serveurs d’application en France s’était dégradé de façon inimaginable pour l’un de nos clients situé en Irlande. Nous sommes ainsi passé d’un temps d’accès de 1/2 sec à 4 sec.” (…) “Ce que nous avons remarqué, c’est que cet incident est arrivé au même moment que le filtrage mis en place par le fournisseur d’accès Irlandais Eircom que notre client utilise” .

L’invective de la CCIA me semble donc parfaitement légitime, ce qu’elle demande c’est un laissé faire, mais là où je vais rejoindre Ludovic, c’est qu’il ne faut pas non plus que ce laisser faire se transforme en laisser aller.

La vaste escroquerie des services gérés.

Après des années années de “ranafout'” voici que les fournisseurs d’accès s’intéressent maintenant à l’acheminement de communications prioritaires. Et là comment vous dire ça sans ménerver… cette histoire de services gérés qui nécessiteraient l’usage d’outils comme le QoS et le trafic shaping afin de préserver l’usage d’un service (dans 99,99% des cas, payant) au détriment d’autres services (dans 100% des cas gratuits oui dans lesquels le FAI n’a rien à gagner), est dans certains cas une splendide escroquerie intellectuelle. Si pour l’Internet filaire on ne rencontre pas encore de manifestations inquiétantes de FAI trop zélés, il en est tout autrement sur les services d’accès à l’Internet mobile

Non vous ne me ferez pas croire qu’il est nécessaire, sur le réseau d’un opérateur mobile, de filtrer la voix sur IP ou que le surf en tethering, sous prétexte que cela consomme de la bande passante et met en danger le bon fonctionnement d’un réseau 3G. La vérité est toute autre, si la VOIP ne fonctionne pas c’est que l’opérateur mobile est avant tout un opérateur téléphonique qui se rémunère à prix d’or sur un réseau qui ne lui coûte quasiment rien. Ce même opérateur, pour que vous puissiez utiliser votre navigateur de votre ordinateur en 3G, préfère évidemment que vous achetiez chez lui une clef 3G avec un abonnement dédié alors que votre téléphone peut tout à fait remplacer votre clef 3G. Bref, ces opérateurs se foutent complètement de vous. Pas convaincus ? Alors expliquez moi pourquoi tous proposent  des abonnements mobiles GSM/3G /EDGE (aux environs de 2 fois le coût d’une connexion ADSL) qui vous proposent de la TV en illimité sur les réseaux 3G. La vidéo, streamée est évidemment bien plus consommatrice de bande passante que surfer sur le web en tethering. En aucun cas le fait d’assurer une qualité de service ne saurait justifier le bridage de la voix sur IP ou du tethering. Il s'(agit d’une atteinte manifeste à la neutralité des réseaux et en plus, les opérateurs se payent le luxe d’appeler ça de l’Internet illimité (une situation qui en pratique ne change pas vraiment depuis les déclarations de bonnes intentions à l’issue du colloque de l’ARCEP.

Un traitement de faveur pour le DPI ?

A l’heure actuelle de nombreux opérateurs expérimentent ou utilisent le DPI pour manager leur réseau, ceci est un usage correct de ces technologies, mais pour franchir le cap de la discrimination des contenus et des services de tiers, il n’y a qu’un pas. Et pour ne pas le franchir, il faudra que le législateur se prononce. Le seul hic, c’est que je le vois très mal dire aux FAI de ne pas détourner l’usage du DPI à des fins de discrimination des contenus du voisin si par malheur il autorisait aux ayants-droit un usage contre nature de ces mêmes outils à des fins de reconnaissance des contenus pour nettoyer Internet des contenus dit illicites car soumis à droit d’auteur. Et comment déterminer si un contenu est illicite ? C’est simple, il suffit par exemple de dire que tout mp3 sur un réseau P2P est illicite, que tout fichier vidéo entre 650 et 720 Mo est un divx piraté… C’est donc la négation parfaite d’une exception au droit d’auteur, le DPI se fichera bien de faire la différence entre un divx mal acquis et un divx légalement acquis et encodé par son propriétaire qui transite sur le réseau pour que ce dernier puisse par exemple le visionner sur son lieu de vacance. Tout fichier est suspect, tous les internautes sont coupables…

Conclusion

Oui, il faudra que le législateur intervienne (et ce n’est pas fait pour me réjouir) en se prononçant sur la neutralité des infrastructures. Une concurrence locale accrue est une bonne garantie, les petits acteurs pourront surveiller les gros et plus nombreux seront ces acteurs, plus le service gagnera en qualité et plus nous aurons des chances de conserver un Net ouvert et neutre. Autre effet bénéfique, les collectivités ne se trouvant pas en zone assez denses pour que les “gros” opérateurs ne daignent s’y établir, auront le loisir de confier des délégations de service public à des acteurs locaux, impliqués au sein de leur région, de leur département, et même de leur commune… tout le monde a donc à y gagner et c’est même peut-être là l’occasion de rattraper notre retard dans l’accès au très haut débit.

Il me semble aussi impératif de fixer légalement des limites à l’usage de technologies de Deep Packet Inspection et d’inscrire dans la loi que ces dernières ne doivent en aucun cas servir à des fins de discrimination, ni a toute pratique susceptible de violer les correspondances des utilisateurs du réseau. En pratique, je doute que le moment soit opportun car je n’ai qu’une confiance très limitée en notre représentation nationale pour comprendre toute la mesure des enjeux de ces questions, et je crains fort que nos députés et sénateurs ne se limitent à une vision franco française d’une problématique de nature internationale dont les enjeux sont capitaux pour notre compétitivité à l’international.

/-) Un énorme merci au channel IRC de FDN

DPI over SSL, pour un Internet vachement plus civilisé

SonicWall NSA E7500 DPI SSL
SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour “dépoluer” Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande “drop moi tous les paquets illégaux ?”…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme “illégal”. Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour “civiliser notre Internet“, des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

“SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected.”

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

DPI : Stonesoft découvre une AET (Advanced Evasion Technique ) sur les solutions d’inspection de contenus

Il va se passer aujourd’hui quelque chose de drôle… de très drôle… Je n’ai pas encore réussi à obtenir plus d’information sur la vulnérabilité dont il est fait état dans ce communiqué de presse ni son impact sur des technologies d’inspection de contenu que certains aimeraient utiliser pour faire la chasse aux contenus copyrightés, en tout cas, vu d’ici, je sens la bonne barre de rire en perspective.

Le CERT-FI devrait dans la journée nous apporter plus d’information mais en gros, STONESOFT aurait découvert une technique avancée d’évasion qui permettrait la compromission d’un grand nombre de technologies d’inspection de contenu. Pour le moment, impossible de dire si cette découverte aura un impact sur les technologies de deep packet inspection que certains souhaitent mettre à disposition de la chasse aux fichiers copyrightés. Cette information à prendre avec des pincettes, donnerait un terrible écho à ce billet ainsi qu’à celui ci si elle venait à être confirmée et si son impact sur les technologies de DPI était mis en évidence.

Voici le communiqué de la société :

Communiqué de presse

Découverte d’une nouvelle menace de sécurité : les entreprises du monde entier menacées

Des techniques d’évasion avancées capables de traverser la plupart des équipements de sécurité réseau ont été découvertes.

Levallois-Perret, le 18 octobre 2010 – Stonesoft, fournisseur innovant de solutions de sécurité réseau intégrées et de continuité de l’activité annonce aujourd’hui avoir découvert une nouvelle forme de techniques avancées d’évasion (AET = Advanced Evasion Techniques) qui menacent très sérieusement les systèmes de sécurité du monde entier. Cette découverte vient compléter et renforcer ce qui est déjà connu des techniques d’évasion dites plus classiques. L’information a été remontée au CERT et aux ICSA Labs qui ont également validé son sérieux et son fondement.

Les AET sont l’équivalent d’un passe-partout permettant aux cybercriminels d’ouvrir les portes de tout système vulnérable comme un ERP ou un CRM. Elles sont en effet capables de contourner les systèmes de sécurité réseau sans laisser aucune trace. Pour les entreprises, cela signifie qu’elles risquent de perdre des données confidentielles. Par ailleurs, on peut tout à fait imaginer que des cyber terroristes s’appuient sur ces AET afin de mener des activités illégales pouvant avoir des graves conséquences.

La découverte a eu lieu dans les laboratoires de recherche de Stonesoft basés à Helsinki. Les experts ont ensuite envoyé des échantillons et remonté l’information à l’organisme de sécurité nationale finlandais le CERT ainsi qu’aux laboratoires ICSA (division indépendante de Verizon Business) qui testent et délivrent des certifications aux solutions de sécurité et aux équipements connectés au réseau. Le CERT-FI, chargé coordonner au niveau mondial les parades aux vulnérabilités identifiées, en collaboration avec les éditeurs de sécurité réseau, a publié, le 4 octobre quelques
informations sur ces techniques avancées d’évasion et les mettront à jour, aujourd’hui même.

Les vulnérabilités identifiées par Stonesoft touchent un grand nombre de technologie d’inspection du contenu*. Pour contrer ces vulnérabilités, une collaboration permanente du CERT-FI de Stonesoft et des autres éditeurs de sécurité réseau est absolument essentielles. Le CERT-FI s’efforce de faciliter cette coopération » explique Jussi Eronen, à la tête du département Coordination sur les Vulnérabilités.

Juha Kivikoski, COO chez Stonesoft explique : « Beaucoup de facteurs nous poussent à croire que n’avons découvert que la partie émergée de l’iceberg.  La nature dynamique et indétectable de ces techniques avancées d’évasions peut potentiellement bouleverser l’ensemble du paysage de la sécurité réseau. Le marché rentre désormais dans une course sans fin contre ce nouveau type de menaces avancées et il semblerait que seules les solutions dynamiques pourront tirer leur épingle du jeu. »

« Stonesoft a découvert de nouvelles techniques de contournement des systèmes de sécurité réseau. Les laboratoires ICSA ont validé les recherches et la découverte de Stonesoft. Par ailleurs, nous pensons que ces techniques avancées d’évasion peuvent avoir des conséquences pour les entreprises touchées, comme entre autres la perte de données stratégiques et
confidentielles » déclare Jack Walsh, directeur des programmes IPS (Système de Prévention des Intrusions) chez ICSA Labs.

Les AET « dans la nature »

C’est à l’occasion du test de leurs propres solutions de sécurité réseau StoneGate face à des nouvelles attaques élaborées que les experts de Stonesoft ont découvert cette nouvelle catégorie de menaces. Les tests en conditions réelles et les données recueillies lors de l’expérience démontrent que la plupart des solutions de sécurité réseau n’ont pas su détecter ces AET et n’ont, par conséquent, pas pu les bloquer.

Stonesoft soutient l’idée que des pirates du monde entier sont peut-être déjà en train d’exploiter ces AET pour lancer des attaques élaborées et très ciblées. Seuls quelques produits sont à même de fournir une protection contre ce phénomène, les entreprises doivent donc mettre en place un moyen de défense très rapidement.

Quel est le meilleur moyen de se protéger contre une AET ?

Pour se protéger de ces techniques d’évasion dynamiques et en constante évolution, il est nécessaire de s’équiper de *systèmes logiciels de sécurité capables de se mettre à jour à distance et d’être administrés de façon centralisée.  Ces systèmes possèdent un avantage indéniable en termes de protection contre des menaces aussi dynamiques que les AET. Stonesoft fait partie des acteurs délivrant ce type de solutions, via sa gamme StoneGate.

Cependant, la grande majorité des équipements de sécurité réseau dans le monde sont des solutions matérielles, pour lesquelles il est difficile voire impossible de se mettre à jour au même rythme que ces techniques d’évasion, qui mutent en permanence.

Pour en savoir plus sur les techniques d’évasion et participer au débat sur la façon de les combattre, connectez-vous au site www.antievasion.com
Pour plus d’informations sur les solutions StoneGate de Stonesoft, rendez-vous à l’adresse suivante : www.stonesoft.com

Centre Mondial d’information 24h/24 sur ce sujet : + 358 40 823 7511

Contact presse ICSA Labs :
Brianna Carroll Boyle,
Public Relations Manager
Verizon and ICSA Labs
+1 703-859-4251
[email protected]

Le CERT-FI encourage les personnes désireuses de communiquer par email à utiliser la clé PGP. La clé est disponible est disponible à cette adresse :
https://www.cert.fi/en/activities/contact/pgp-keys.html
Les politiques du groupe de coordination sur les vulnérabilités sont disponibles à l’adresse suivante :
https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html

A propos de Stonesoft :
Stonesoft Corporation (OMX : SFT1V) est un fournisseur innovant de solutions de sécurité réseau intégrées. Ses produits sécurisent le flux d’informations à l’échelle d’entreprises distribuées. Les clients de Stonesoft sont notamment des entreprises dont les besoins commerciaux croissants requièrent une sécurité réseau avancée et une connectivité professionnelle permanente.

La solution de connectivité sécurisée StoneGate™ fusionne les aspects de la sécurité réseau que sont le pare-feu (FW), le réseau privé virtuel (VPN), la prévention d’intrusion (IPS), la solution de réseau privé virtuel à technologie SSL (SSL VPN), la disponibilité de bout en bout, ainsi qu’un équilibrage des charges plébiscité, au sein d’une appliance dont la gestion est centralisée et unifiée. Les principaux avantages de la solution de connectivité sécurisée StoneGate se traduisent notamment par un coût total de possession faible, un excellent rapport prix/performances et un retour sur investissement élevé. La solution StoneGate virtuelle protège le réseau et assure une continuité de service aussi bien dans les environnements
réseaux virtuels que physiques.

La solution SMC (StoneGate Management Center) permet une gestion unifiée des solutions StoneGate Firewall with VPN, IPS et SSL VPN. Les solutions StoneGate Firewall et IPS fonctionnent en synergie pour fournir une défense intelligente à l’échelle du réseau de l’entreprise toute entière, tandis que la solution StoneGate SSL VPN renforce la sécurité dans le cadre d’une utilisation mobile et à distance. Fondé en 1990, Stonesoft Corporation a son siège mondial à Helsinki, en Finlande, et un autre siège social aux États-Unis, à Atlanta, en Géorgie.

Pour plus d’informations sur Stonesoft Corporation, ses produits et services, consultez le site www.stonesoft.com – le blog institutionnel :http://stoneblog.stonesoft.com


A force de vouloir écouter tout le monde, on risque de ne plus rien entendre

Echelon

De nombreux sites web ainsi que la presse se sont fait l’écho de récentes remontrances émanant des services secrets américains à la France. La loi HADOPI était en cause. Le spectre d’une menace d’écoutes généralisées pour faire la chasse à l’échange de fichiers soumis au droit d’auteur est en passe de devenir un problème de sécurité nationale. Et c’est pas comme si les USA n’avaient pas d’intérêt à défendre leur industrie culturelle. Pourquoi sommes nous pionniers de “l’Internet civilisé” ? Les américains sont ils moins civilisés que nous ? On peut se demander pourquoi les services de renseignement français n’ont pas cherché à tuer dans l’oeuf les velléités de contrôle des populations à la gloire du sacro-saint droit d’auteur.

Les USA se sont posés il y a bien longtemps la question : est il opportun de menacer de mettre sous écoute sa population ? Il faut bien comprendre que dans la logique américaine, il y a une longue tradition du renseignement. L’exemple le plus connu des réseaux de renseignement en grande partie mis en place par les USA se nomme Echelon, il s’agit d’un réseau d’écoute planétaire capable d’intercepter n’importe quel type de communication (téléphone, internet, fax…). Il fonctionne sur dictionnaire, une liste de mots clés fait réagir le système, le message est ensuite intercepté, puis analysé, de manière informatisée, puis par des moyens humain. La France aussi est dotée de son réseau d’interception, baptisé Frenchelon. Il existe cependant une différence notable entre les USA et la France sur la finalité de ces outils. Les USA concentrent leur effort sur le renseignement exterieur et apportent le plus grand soint à ne pas utiliser ces outils contre leur propre population. De notre côté, en France, on ne s’embarrasse pas vraiment avec de telles considérations et à écouter Marc Guez (président d’une association caritative dont l’objet est la préservation des revenus issus des phonogrammes en plastique et le sauvetage les artistes des méfaits d’Internet), c’est tout à fait naturel, c’est déjà en place, alors pourquoi pas l’utiliser pour servir ses intérêts à lui, quitte à s’exposer à des répercutions particulièrement dangereuses.

Je m’étais à une époque amusé avec Google Map à aller jeter un oeil sur les infrastructures américaines pour les comparer aux infrastructures françaises et j’avais constaté que les français étaient quand même bien plus pudiques que les américains sur la question, jugez par vous même :

Voici des installations d’Echelon à Menwith Hill vues du ciel, difficile de les rater, c’est tellement net qu’on pourrait presque lire les plaques d’immatriculation des voitures qui y sont stationnées.

Echelon, site de Menwith Hill

Voici maintenant des installations de la DGSE à Domme dans le Périgors et qui constituent une petite partie du réseau Frenchelon, les arbres sont eux parfaitement nets, en revanche, nos grandes oreilles, on tente gentiment de les cacher.

Installations d'écoutes de la DGSE

Si les deux sites précédents sont parfaitement connus, on trouve sur Google Maps d’autres endroits sur le globe qui laissent assez rêveur, comme ce petit coin paumé au milieu de nul part, Wales, en Alaska. On croit y distinguer un peu le même type de boules blanches… et quand on recule un peu, plus au nord, on voit une énorme piste d’atterrissage… et on se demande du coup quel type de fret peut desservir les 4 baraques de pêcheurs qui semblent border cette côte sauvage du grand nord américain.

Wales, Alaska

L’objectif de ce billet n’est pas vraiment de comparer les infrastructures de Frenchelon à celle d’Echelon, mais cette petite digression me semblait nécessaire afin de de vous montrer que des réseaux entiers destinés à intercepter les communications sont bien en place et qu’en plus c’est loin d’être nouveau.

Ce qui est relativement nouveau en revanche, c’est l’engouement des français pour l’anonymat sur Internet, je crois que des gens comme Cupuccino, Korben ou Fabrice vous le confirmeront à la lecture de leurs statistiques, de très nombreux internautes se documentent sur l’art et la manière de télécharger tranquillement, et pour ça, ils n’hésitent pas à se tourner vers des solutions de chiffrement plus ou moins élaborées. L’usage massif de ce ces solutions créent inéluctablement une forme de bruit par convolution qui pourraient vite s’avérer gênant pour les autorités habilitées à mener des écoutes pour des affaires autrement plus sérieuses que le téléchargement.

Toujours plus chiffré, toujours plus simple d’utilisation, les solutions se font à la fois plus grand public, plus qualitatives et font monter en compétences les internautes sur des problématiques dont ils n’avaient guère à se soucier il y a quelques mois. Est-ce souhaitable ? Surement pas. Il n’est jamais souhaitable qu’un concitoyen éprouve un besoin de se cacher pour pratiquer ce qui en plus de 10 ans est devenu un usage. Et je dois dire que je suis particulièrement surpris du silence du ministère de la Défense à ce sujet. J’ai beaucoup de mal à comprendre que l’armée n’ait pas alerté les pouvoirs publics sur le risque d’une démocratisation du chiffrement. Certes, la France compte parmi ses services des mathématiciens de talent capables de casser des algorithmes incroyables, ou des d’informaticiens doués, capables de se jouer de mauvaises implémentations de ces protocoles de chiffrement, mais dans le cadre d’une écoute “sur dictionnaire” (c’est de cette manière qu’opère un outil comme Echelon, je ne sais pas trop pour son pendant français), on se doute bien qu’il est plus compliqué et plus coûteux en terme de traitement de repérer une information intéressante sur un flux de données chiffrées de plusieurs dizaines ou centaines de milliers de personnes que quand on a traiter un flux de données chiffrées de quelques centaines d’individus.

Si la NSA ne se sent pas très à l’aise avec HADOPI, on se demande ce que peuvent en penser les communautés du renseignement français, je serai fort curieux d’entendre leur son de cloche là dessus, comme par exemple savoir s’ils ont été consultés avant la mise en oeuvre du dispositif HADOPI ou encore de ce qu’ils pensent d’une utilisation des technologies de reconnaissance de contenu (Deep Packet Inspection) pour faire la chasse aux téléchargeurs, alors que ces techniques leur étaient jusque là réservées… mais comme on l’a vu ci-dessus, nos services savent se faire discret.

Aujourd’hui ce qui m’inquiète le plus, c’est cette crise de confiance entre le gouvernement et ses administrés qui commence à devenir une tendance lourde : les internautes cherchent des moyens de se protéger… de l’Etat.

Comme le dit fort justement Benjamin Bayart, dans une démocratie, il est nécessaire que l’on puisse prendre le maquis, en revanche, quand on a 20% de la population qui souhaite le prendre, c’est qu’on a un sérieux problème.