#Prism : non @FleurPellerin, les données ne naissent pas et ne meurent pas sur des serveurs américains… elles circulent.

spy_gadget_phone_hidden_cameraJe vous donnais il y a quelques jours mon sentiment sur l’affaire Prism qui agite tant Internet, et juste Internet… Car oui au café du coin, Prism on a pas grand chose à faire. En rire ? Pas en rire ? J’ai personnellement pris le parti d’en rire. Ce n’est pas la première fois que j’explique et que j’écris noir sur blanc que Google est la première agence non gouvernementale de renseignement du monde. Ce n’est pas non plus la première fois que j’explique que l’illusion de gratuité que vous offre un Facebook ou un Google est quelque chose de dangereux. On peut me reprocher de ne pas toujours m’adresser à notre bonne vieille madame Michu sur ce blog ou sur Reflets, mais limiter à Internet ce champs d’action est hors de propos, attendu qu’il m’arrive également d’exprimer ce genre de craintes sur des médias nationaux.

Oui il est légitime de rire de ces réactions, par contre, très franchement, je commence à sérieusement m’inquiéter quand je lis les solutions avancées par certains dirigeants. Notre madame Michu, si elle se laisse bercer par les inepties du ministère du pognon des Internets… elle n’est pas sortie de l’auberge.

Dans un article publié sur 20minutes, Fleur Pellerin, notre ministre déléguée chargée des PME, de l’Innovation et de l’Économie numérique, nous avance une solution assez amusante. Le titre nous donne tout de suite le ton : « L’affaire Prism rend «pertinent» de localiser les data centers en France« . Et voici la déclaration exacte :

«L’affaire Prism, si elle est avérée, rend pertinent de localiser les data centers et des serveurs sur le territoire national afin de mieux garantir la sécurité des données».

Je ne doute pas qu’il arrive au cabinet de Fleur Pellerin de lire Reflets.info… Aziz Ridouan, si vous me lisez, c’est le moment de corriger le tir niveau communication, car notre ministre s’égare en commettant une grossière erreur technique.

Quand Fleur Pellerin parle de garantir la sécurité des données, elle omet un léger détail. Les données des citoyens français et européens, comme ceux du monde entier, ne naissent pas et ne meurent pas sur des serveurs américains. Ces données, à un moment ou à un autre, elles transitent sur le réseau Internet, un réseau public, sur lequel les agences du monde entier (je vous invite à vous rapprocher de la Direction du Renseignement Militaire pour connaitre ses pratiques en terme de renseignement d’origine électromagnétique… ou par exemple de lire cet article) s’adonnent à de l’interception. Au passage, inquiétez vous aussi du stockage de données biométriques par nos amis américains.

La pseudo nouveauté de Prism, ce n’est pas que ces données soient interceptées mais qu’elles soient, après interception, stockées pour une durée indéterminée et pour une utilisation à posteriori. Voici un petit schéma qui vous explique relativement clairement le problème de la vulnérabilité des données qui circulent en clair sur Internet :

ConnexionInternetNonSecure-413x550

La grosse blague du cloud souverain

Parmi les pistes envisagées par Fleur Pellerin, il y en a une qui m’a clairement fait rire, le gogogadgetocloud©… mais un cloud « souverain ». Alors ça ressemble à quoi un « cloud souverain ». Attendu que la France, comme le monde entier est un gros consommateur d’équipements chinois et américains, la question est légitime. Le « cloud souverain français », ça ressemble à ça :

Un cloud souverain français
Un cloud souverain français

«La nécessité d’avoir un cloud souverain se pose avec beaucoup d’acuité», comme un «moyen pour des entreprises qui détiennent des informations stratégiques de protéger leurs données», a-t-elle souligné.

Le gros des interceptions se réalisent sur des points de concentration du trafic, au cul des câbles sous marins très souvent. Si une « donnée sensible » est envoyée dans un « cloud français » (PS : données sensibles, cloud ?! WTF?!) sans que l’on prenne soin de les envoyer via un VPN (un tunnel chiffré de bout en bout), ces données auront fait 4 fois le tour du monde avant d’arriver dans notre cluster de minitels ultra sécurisés (notre cloud français… cocorico). Bref si vous me suivez jusque là, vous devez déjà avoir compris que la solution avancée par Fleur Pellerin, c’est de la foutaise.

Ajoutons à ça que le principe d’un cloud sécurisé inclu la notion de résilience (DNS, connectivité, infrastructure physique, risque juridique…) et implique donc une présence dans plusieurs pays… nos datas dans notre cluster de minitels, elles circuleront de pays en pays. Ces données, mêmes chiffrées seront interceptées et stockées par la NSA. Et on se doute bien comme expliqué sur Reflets, qu’un jour où l’autre elle seront déchiffrées.

Un autre point au passage, la France n’a pas attendu les déclaration d’un ministre pour disposer de datacenters… dieu merci. Des entreprises comme Iliad, OVH, LDCom et bien d’autres ont réalisé des investissements très importants pour se doter de datacenters de qualité.

London’s loling

En allant plus avant dans la lecture de l’article de 20minutes la dépêche AFP reprise sans la moindre once de réflexion sérieuse, on se rend vite compte à quel point il est néfaste pour Internet de dépendre de Bercy. La sortie téléguidée de Fleur Pellerin s’inscrit dans la droite lignée de celle d’Arnaud Montebourg sur le Made in France. Sauf que pour le coup, les solutions évoquées en plus d’être techniquement à côté de la plaque, peuvent poser quelques problèmes d’ordre plus … subjectif ?

Les groupes SFR et Bull (Numergy), puis Orange et Thales (Cloudwatt), ont chacun lancé fin 2012 de grands projets concurrents pour proposer aux entreprises et aux administrations françaises des solutions de «cloud computing» assurant le stockage sur le territoire national les données sensibles et qu’elles ne soient pas soumises au Patriot Act.

« Faisez confiance à Bull et Thalès qui eux au moins n’interceptent rien du tout, mettez vos données sensibles en sécurité chez les fous furieux dont l’un des coeurs de métier est … l’interception massive ou judiciaire… et qu’ils vendent à des Kadhafi« . On imagine bien nos camarades européens avoir une confiance aveugle en notre cloud souverain… particulièrement les anglais qui depuis l’UKUSA hébergent des bases d’interception du réseau Echelon sur leur territoire.

Donc oui… je le réaffirme. Nos politiques se payent joyeusement notre tête quand ils miment de découvrir que les américains ont accès à nos données, qu’ils tombent des nues en faisant mine de découvrir le Patriot Act en 2013… et ils se foutent carrément de nous quand ils nous balancent leurs solutions à 2ct.

A force de vouloir écouter tout le monde, on risque de ne plus rien entendre

Echelon

De nombreux sites web ainsi que la presse se sont fait l’écho de récentes remontrances émanant des services secrets américains à la France. La loi HADOPI était en cause. Le spectre d’une menace d’écoutes généralisées pour faire la chasse à l’échange de fichiers soumis au droit d’auteur est en passe de devenir un problème de sécurité nationale. Et c’est pas comme si les USA n’avaient pas d’intérêt à défendre leur industrie culturelle. Pourquoi sommes nous pionniers de « l’Internet civilisé » ? Les américains sont ils moins civilisés que nous ? On peut se demander pourquoi les services de renseignement français n’ont pas cherché à tuer dans l’oeuf les velléités de contrôle des populations à la gloire du sacro-saint droit d’auteur.

Les USA se sont posés il y a bien longtemps la question : est il opportun de menacer de mettre sous écoute sa population ? Il faut bien comprendre que dans la logique américaine, il y a une longue tradition du renseignement. L’exemple le plus connu des réseaux de renseignement en grande partie mis en place par les USA se nomme Echelon, il s’agit d’un réseau d’écoute planétaire capable d’intercepter n’importe quel type de communication (téléphone, internet, fax…). Il fonctionne sur dictionnaire, une liste de mots clés fait réagir le système, le message est ensuite intercepté, puis analysé, de manière informatisée, puis par des moyens humain. La France aussi est dotée de son réseau d’interception, baptisé Frenchelon. Il existe cependant une différence notable entre les USA et la France sur la finalité de ces outils. Les USA concentrent leur effort sur le renseignement exterieur et apportent le plus grand soint à ne pas utiliser ces outils contre leur propre population. De notre côté, en France, on ne s’embarrasse pas vraiment avec de telles considérations et à écouter Marc Guez (président d’une association caritative dont l’objet est la préservation des revenus issus des phonogrammes en plastique et le sauvetage les artistes des méfaits d’Internet), c’est tout à fait naturel, c’est déjà en place, alors pourquoi pas l’utiliser pour servir ses intérêts à lui, quitte à s’exposer à des répercutions particulièrement dangereuses.

Je m’étais à une époque amusé avec Google Map à aller jeter un oeil sur les infrastructures américaines pour les comparer aux infrastructures françaises et j’avais constaté que les français étaient quand même bien plus pudiques que les américains sur la question, jugez par vous même :

Voici des installations d’Echelon à Menwith Hill vues du ciel, difficile de les rater, c’est tellement net qu’on pourrait presque lire les plaques d’immatriculation des voitures qui y sont stationnées.

Echelon, site de Menwith Hill

Voici maintenant des installations de la DGSE à Domme dans le Périgors et qui constituent une petite partie du réseau Frenchelon, les arbres sont eux parfaitement nets, en revanche, nos grandes oreilles, on tente gentiment de les cacher.

Installations d'écoutes de la DGSE

Si les deux sites précédents sont parfaitement connus, on trouve sur Google Maps d’autres endroits sur le globe qui laissent assez rêveur, comme ce petit coin paumé au milieu de nul part, Wales, en Alaska. On croit y distinguer un peu le même type de boules blanches… et quand on recule un peu, plus au nord, on voit une énorme piste d’atterrissage… et on se demande du coup quel type de fret peut desservir les 4 baraques de pêcheurs qui semblent border cette côte sauvage du grand nord américain.

Wales, Alaska

L’objectif de ce billet n’est pas vraiment de comparer les infrastructures de Frenchelon à celle d’Echelon, mais cette petite digression me semblait nécessaire afin de de vous montrer que des réseaux entiers destinés à intercepter les communications sont bien en place et qu’en plus c’est loin d’être nouveau.

Ce qui est relativement nouveau en revanche, c’est l’engouement des français pour l’anonymat sur Internet, je crois que des gens comme Cupuccino, Korben ou Fabrice vous le confirmeront à la lecture de leurs statistiques, de très nombreux internautes se documentent sur l’art et la manière de télécharger tranquillement, et pour ça, ils n’hésitent pas à se tourner vers des solutions de chiffrement plus ou moins élaborées. L’usage massif de ce ces solutions créent inéluctablement une forme de bruit par convolution qui pourraient vite s’avérer gênant pour les autorités habilitées à mener des écoutes pour des affaires autrement plus sérieuses que le téléchargement.

Toujours plus chiffré, toujours plus simple d’utilisation, les solutions se font à la fois plus grand public, plus qualitatives et font monter en compétences les internautes sur des problématiques dont ils n’avaient guère à se soucier il y a quelques mois. Est-ce souhaitable ? Surement pas. Il n’est jamais souhaitable qu’un concitoyen éprouve un besoin de se cacher pour pratiquer ce qui en plus de 10 ans est devenu un usage. Et je dois dire que je suis particulièrement surpris du silence du ministère de la Défense à ce sujet. J’ai beaucoup de mal à comprendre que l’armée n’ait pas alerté les pouvoirs publics sur le risque d’une démocratisation du chiffrement. Certes, la France compte parmi ses services des mathématiciens de talent capables de casser des algorithmes incroyables, ou des d’informaticiens doués, capables de se jouer de mauvaises implémentations de ces protocoles de chiffrement, mais dans le cadre d’une écoute « sur dictionnaire » (c’est de cette manière qu’opère un outil comme Echelon, je ne sais pas trop pour son pendant français), on se doute bien qu’il est plus compliqué et plus coûteux en terme de traitement de repérer une information intéressante sur un flux de données chiffrées de plusieurs dizaines ou centaines de milliers de personnes que quand on a traiter un flux de données chiffrées de quelques centaines d’individus.

Si la NSA ne se sent pas très à l’aise avec HADOPI, on se demande ce que peuvent en penser les communautés du renseignement français, je serai fort curieux d’entendre leur son de cloche là dessus, comme par exemple savoir s’ils ont été consultés avant la mise en oeuvre du dispositif HADOPI ou encore de ce qu’ils pensent d’une utilisation des technologies de reconnaissance de contenu (Deep Packet Inspection) pour faire la chasse aux téléchargeurs, alors que ces techniques leur étaient jusque là réservées… mais comme on l’a vu ci-dessus, nos services savent se faire discret.

Aujourd’hui ce qui m’inquiète le plus, c’est cette crise de confiance entre le gouvernement et ses administrés qui commence à devenir une tendance lourde : les internautes cherchent des moyens de se protéger… de l’Etat.

Comme le dit fort justement Benjamin Bayart, dans une démocratie, il est nécessaire que l’on puisse prendre le maquis, en revanche, quand on a 20% de la population qui souhaite le prendre, c’est qu’on a un sérieux problème.

Visualiser et comprendre le trafic internet mondial

Je me suis amusé à chercher un moyen de visualiser graphiquement le trafic internet mondial. J’ai trouvé pas mal d’outils proposés par des éditeurs antivirus ou des compagnies de transit ip… rien d’extraordinaire en fait mais j’étais juste curieux de visualiser un peu l’état du net mondial et surtout d’avoir un outil me permettant d’interpréter des flux, d’en déduire des activités.

Akamai en propose une petite panoplie ici mais rien d’extraordinaire ni de très lisible si ce n’est un calcul des routes, des temps de latence et des packet loss restitués graphiquement ou encore celle ci présentant les attaques sur le réseau. Globalement ces cartes ne sont pas de très bonne qualité et n’offrent pas d’indicateurs très fiables, en revanche, en les corrélant, on peut en déduire certaines choses. Sur une carte au nom un peu racoleur proposée par MacAffee j’ai la semaine dernière observé un trafic très conséquent en Alaska, les pingouins feraient ils du p2p sur la banquise ? Pas vraiment, il s’agit peut être de transit entre le continent américain et le continent asiatique.

Du coup je suis allé faire un tour sur google maps, et en regardant un peu mieux, on se rend compte qu’il y a comme qui dirait des installations un peu étranges dans les zones en question, en voici une qui présente très nettement une espèce d’énorme boule… Les installations autour ne ressemblent pas non plus à des installations civiles ou alors … elles sont l’oeuvre d’une communauté monastique ne souhaitant pas être trop dérangée. Cette énorme boule me fait penser aux installation utilisées par Echelon, le désormais célèbre système d’interception de communication de l’armée américaine déployé après la seconde guerre mondiale. Ce ne sont là encore que des suppositions, mais regardez un peu autour, la zone est désertique et la grosse artère en plein milieu ça ne doit pas être les Champs Elysées du coin. Une telle piste d’aviation, dans cette région, c’est quand même un peu surprenant et on se doute bien qui ne s’agit pas d’un aéroport commercial… d’ailleurs on ne voit pas non plus d’avion mais un petit bâtiment un peu discret et un relief, des routes, qui semblent indiquer que quelques troglodytes se trouvent peut être quelque part en dessous.

Bref ce Google maps c’est vraiment amusant, on y trouve des choses qui laissent un peu rêveur. En cherchant à trouver une zone avec des installations susceptibles de faire passer de la fibre optique et de générer un gros trafic, on tombe sur des choses assez étranges et qui laissent libre cour à l’imagination … ou pas.