La #NSA surveillerait #Alcatel, l’un de ses fournisseurs… sans blague ?

obama-big-brotherLe Monde nous a hier gratifié de nouvelles révélations sur les programmes d’interception et de surveillance des services américains. Ces dernières révélations ont fait du bruit, poussant Laurent Fabius à convoquer dans l’urgence l’ambassadeur des Etats-Unis en France, tout particulièrement pour demander à ce dernier de s’expliquer sur l’espionnage dont serait les cibles deux joyaux technologiques français :

  • le franco français Orange, enfin Wanadoo comme on l’appelle encore à la cafet’ de la NSA
  • le franco américain Alcatel, un fournisseur comme on l’appelle au service compta de la NSA

Si l’espionnage de Wanadoo peut sembler “curieux” de prime abord, il faut simplement se remémorer quelques éléments de contexte.

  • Orange est le plus important fournisseur d’accès à Internet de France
  • Orange opère la majorité des infrastructures acheminant des données en France, y compris celles par lesquelles passent les données des autres fournisseurs d’accès, appelons-les “les autres” ou  « les opérateurs pas historiques”.
  • Orange a une présence à l’étranger très, très importante. Si vous voulez intercepter les conversations téléphoniques de pédo-nazis terroristes en Ethiopie par exemple, c’est bien sur le cas d’Orange qu’il faut se pencher puisque c’est ce dernier qui a mis en place les infrastructures de l’opérateur national local.
  • Posez vous une question idiote : combien de députés ou de journalistes ont encore un mail @wanadoo.fr actif ? En fait, ce sont encore 4,5 millions de français qui utilisent une adresse @wanadoo.fr
  • Orange opère aussi d’autres réseaux (x25, système de communication des professionnels de santé etc…) et quelques échanges de techniciens d’une messagerie pseudo sécurisée par une entreprise qui a découvert par accident le chiffrement asymétrique il  y a trois ans (ne riez pas cette anecdote est authentique), croyez le ou non, mais c’est providentiel quand on joue les big brothers.

Aussi pour toutes ces raisons et certainement d’autres comme celles qui lient contractuellement Orange à de gros autres opérateurs mondiaux, c’est une proie plutôt sympa quand on s’appelle la NSA.

Passons maintenant au cas Alcatel. Alcatel Lucent est une entreprise franco américaine et surtout, en 2010, l’un des principaux équipementiers déployant des routeurs de services chez les opérateurs US (auxquels la NSA accède dans le cadre du programme PRISM). Le renforcement des lois exerçant l’emprise des services secrets américains sur les infrastructures des fournisseurs d’accès à Internet aux USA ne leur laisse pas tellement le choix, il faut déployer de puissants systèmes embarquant le nécessaire pour la collecte de données. Et quoi de mieux qu’un bon gros routeur de service pouvant intercepter le contenu des communications (grâce au Deep Packet Inspection) sur des débits relativement importants ?

En 2010, Alcatel, c’est un peu l’arme ultime anti hackers chinois, tout comme une poignée d’entreprises américaines (Narus, Cisco Systems, Juniper…) . Les USA sont alors en pleine cyber gueguerre sur deux fronts distincts : le front chinois avec Aurora, le front iranien avec le déploiement de Stuxnet dont on commence déjà à l’époque à perdre le contrôle.

Alcatel présente un autre avantage quand on veut par exemple écouter Orange et nombre des fournisseurs d’accès avec lequel l’opérateur travaille directement. Alcatel et Orange ne sont d’ailleurs pas non plus étrangers à la technologie xDSL, l’une des plus répandue dans le monde. On ne vas donc pas reprocher aux américains de s’intéresser à une technologie française pouvant avantageusement remplacer leur réseau câblé tout moisi de l’époque.

C’est donc avec une paranoia qui n’est pas exclusivement due à la traque aux barbus jihadistes que la NSA opère ses écoutes. En fait, avec Alcatel, elle opère avant tout un contrôle sur les équipements qu’elle utilise elle-même, à savoir des routeurs de services Alcatel 7750 : 7750_SR_Portfolio_R10_EN_Datasheet (PDF)

7750_largeEn 2010, les plus gros clients d’Alcatel pour cette gamme sont américains et canadiens. Il gèrent déjà du DPI (que l’on appelle alors du H-QoS, pour Hierarchical Quality of Service) à raison de  100 Gb/s par puce… et il y a jusqu’à 4 puces en fonction des configurations sur ces modèles. Déployés au coeur de réseau chez les opérateurs ils permettent aussi bien de facturer des services IP que d’intercepter à la volée des communications IP. Faites une recherche des termes “lawful interception” sur ce PDF : 9301810201_V1_7750 SR OS OAM and Diagnostics Guide 6.1r1.

Alcatel et Orange intéressent donc la NSA, ok c’est un fait. Nous en avons naturellement beaucoup parlé et ceci indigne à juste titre la France, alliée indéfectible des USA. Mais peut-il réellement en être autrement pour ces deux entreprises qui déploient à travers le monde leurs câbles sous-marins, autoroutes de nos échanges numériques, et dorsales d’interception privilégiées de tous les services de renseignements de la planète ?

le-Raymond-Croze
Le Raymond Croze, un navire câblier de la flotte d’Orange Marine

Si la NSA surveille Alcatel, il y a fort à parier qu’elle surveille également des entreprises comme Amesys ou surtout Qosmos, dont on retrouve la technologie chez des équipementiers américains et qui est précurseur dans les technologies d’inspection en profondeur des paquets (DPI).

Et puis posons clairement la question… Qosmos marque un intérêt prononcé pour la détection de protocoles et la reconnaissance de signatures émanant d’applications en ligne d’origine chinoise. A t-elle développé ceci pour ses propres besoins ou a t-elle un client qui a ses grandes oreilles rivées sur la Chine ?

La menace terroriste est très loin d’être la seule chose qui intéresse le monde du renseignement aux USA. On ne peut que regretter de l’apprendre à nos dépends, de manière aussi brutale, ou se consoler en se disant que la France, elle aussi, profite des informations collectées par les services américains qu’elle échange contre ses propres informations.

Mais que Laurent Fabius ne s’inquiète pas, nul besoin de convoquer la diplomatie américaine et nous jeter de la poudre aux yeux, puisque je vous parle ici de matériel grand public et de méthodes d’interception grand public comme il le dit lui même (enfin sous la bienveillante égide d’un nègre de la Direction du Renseignement militaire qui avait déjà fait déblatérer les mêmes âneries à Alain Juppé) quand la France vend un Eagle au Maroc qui ne manquera surement pas d’idées pour en faire un usage en parfaite adéquation avec les valeurs de notre république.

Alors Alcatel ? … Entre nous, ça vous fait quoi d’être vous mêmes les pseudos victimes de vos propres équipements ?

Corée du Nord : les DNS c’est une chose, mais il y a encore peer

cyber-warfareLa question de la cyber souveraineté est une question importante pour de nombreux pays. Pour la Corée du Nord, on ne peut pas dire que ce soit une préoccupation majeure, et c’est peu de le dire. On pourrait qualifier l’architecture Nord Coréenne d’architecture en entonnoir. L’absence de réseau filaire, très probablement liée à l’absence d’opérateurs privés a conduit la Corée du Nord à des choix singuliers. Au coeur de l’architecture : deux satellites. Mais voilà, ces deux satellites ne sont pas sous contrôle nord coréen.

Nous avons vu dans le dernier article que le petit bout d’Internet Nord Coréen était pour le moins fragile niveau DNS. Mais ceci n’est probablement pas grand chose face au choix de laisser à un opérateur tiers, d’une puissance étrangère, avoir le droit de vie ou de mort sur chaque octet qui rentre ou qui sort du territoire national. Il est très surprenant pour un état réputé si paranoïaque et  qui dit avoir développé son propre système d’exploitation (en tout cas niveau serveurs, ça utilise surtout du CentO), de constater que toute la connectivité est assurée par un opérateur chinois et un opérateur américain :

Capture d’écran 2013-04-14 à 11.12.51

3 des 4 réseaux nord coréens sont routés par China Unicom et un l’est par Intelsat depuis maintenant un mois (source). Et il s’est bien passé quelque chose les 13 et 14 mars dernier. Des indisponibilités globales laissent à penser que le réseau nord coréen a essuyé une importante panne, peut-être même une attaque. On peut s’étonner de voir, à la suite de cet incident, Intelsat router une partie du trafic nord coréen. Peu après, le 20 mars, c’est Séoul qui semblait être la cible d’attaques ciblant les AS de groupes média et de compagnie énergétiques. S’agissait-il d’une attaque menée par la Corée du Nord ? Il est difficile de ce prononcer à ce stade. Les adresses IP des attaquants semblaient venir de Chine, mais Séoul y a vu la main de Pyongyang. Mais quelle est la capacité d’attaque réelle de la Corée du Nord ? En a t-elle seulement une ? Vu le nombre restrein d’IP et l’absence du tuyaux à la disposition de Pyongyang, on imagine qu’elle doit recourir à des services étrangers (du cloud chinois ou russe, des botnets off-shore ?), et via des tunnels chiffrés, si elle veut mener une attaque massive par déni de service sans trop attirer l’attention du monde entier.

Vu la manière dont est routé l’internet nord coréen, on se doute que chaque octet qui entre ou sort de Corée du Nord est attentivement disséqué par les chinois en premier lieu puis par les américains, on imagine donc mal des attaques partir de Corée du Nord, ça serait un peu voyant. On peut décemment penser que le tout petit bout d’internet Nord Coréen est attentivement scruté, et pas par les nord coréens qui concentrent probablement leur surveillance sur le Kwangmyong, lui même non connecté à Internet.

Difficile dans ces conditions de mener une attaque depuis son propre réseau. Si Pyongyang veut mener une attaque, il devra la mener depuis l’extérieur pour ne pas éveiller les soupçons de China Unicom et d’Intelsat. Il n’est alors pas délirant de penser que les coréens mènent des attaques depuis la Chine. Mais à l’heure actuelle, la Corée du Nord nie avoir mener ces attaques sur Corée du Sud en mars dernier. Le scénario le plus noir serait que la Corée du Nord était alors en pleine répétition en perspective d’une intervention militaire appuyée par des attaques informatiques de grande envergure.

L’autre scénario plausible, c’est que le “pupetmaster” de l’attaque essuyée par la Corée du Sud n’a jamais été nord coréen. Cependant cette thèse semble infirmée par les observations de Renesys pour qui les attaques du 20 mars dernier impactaient à la fois la Corée du Sud et la Corée du Nord. Mais là encore difficile à partir de simples mesures réseau d’expliquer avec exactitude ce qu’il s’est passé. La Corée du Nord peut très bien avoir subi une attaque d’un tiers pour ensuite attaquer par rebond la Corée du Sud. Il y a fort à parier aujourd’hui que la Chine et les USA en savent bien plus que ce qui est divulgué au grand public.

Rappelons que les USA s’octroient le droit d’attaquer militairement toute puissance menant des cybers attaques contre ses intérêts. Vu les horreurs constatées hier, si on suit ce raisonnement crétin, n’importe quel taré sur cette planète avec quelques notions de réseau pourrait être en mesure de déclencher une guerre. En espérant que ces quelques informations éveillent votre sens critiques sur les propagandes multiples qui rythment l’escalade de ces derniers jours et conservez un oeil sur ce qu’il va se passer aujourd’hui et demain (date à laquelle on soupçonne la Corée du Nord de vouloir lancer ses missiles).

Comment des FAI américains injectent et remplacent des publicités dans les pages web contre la volonté des éditeurs des sites

net_neutrality_intro-via-journalduhackL’épisode SFR aura mis en évidence une pratique manifestement dangereuse de la part de certains fournisseurs d’accès. Il ne fallait pas sortir de l’EPITA pour se rendre compte que ce type de pratiques étaient une atteinte manifeste à la neutralité du Net. Pour vous en convaincre, nous allons voir ce qu’un fournisseurs d’accès Internet spécialisé dans les réseaux Wifi publics s’autorise par le même genre de procédé. Vous allez voir, c’est particulièrement sale et révoltant.

C’est Zachary Henckel, sur son blog, qui nous fait part de ses découvertes. Tout commence par la visite du site d’Apple où Zachary se retrouve avec une pub assez disgracieuse en bas de page, une publicité pour File Free Online, quelque chose qui n’a donc pas grand rapport avec la firme à la pomme. On imagine mal les web graphistes d’Apple placer de cette manière un bandeau en bas de page :

Screenshot par Zachary Henckel
Screenshot par Zachary Henckel

Ceci éveille donc assez naturellement son attention, il pense dans un premier temps que sa machine a été infectée par un adware. Mais très vite, après avoir testé sur la même machine depuis une autre connexion la même page, il se rend compte que c’est bien le fournisseur d’accès, CMA Communications, qui lui joue un tour.

Et la blague ne s’arrête pas là. En changeant de machine, Zachary Henkel se retrouve confronté au même problème. Exit la thèse du malware, et après vérification que ce ne pouvait pas être le routeur qui était infecté, il faut se rendre à l’évidence, il se passe bien quelque chose de louche sur le réseau wifi de CMA Communication… Examen du code source des pages… et paff :

Screen Shot 2013-03-29 at 3.36.27 PM

Cette petite ligne injecte un Javascript venant d’un serveur tiers qui n’a pas grande chose à voir avec apple.com ni avec les autres sites visités: node.r66t.com. Et on retrouve cette injection sur toutes les pages “défigurées” par ces publicités. Leur format et leur placement est un véritable hijacking, jugez plutôt du rendu sur le site du Huffington Post :

Huffington

CMA Communication injecte donc ses propres publicités dans les pages visitées par ses utilisateurs, et ce de la pire manière qui soit. Une manière pour lui de tirer un bénéfices des sites web visités par ses utilisateurs.

Techniquement, on est assez proche de ce que nous avons vu avec SFR . Sauf que SFR fait ça à des fins d’optimisation sur les réseaux mobiles. Avec CMA Communication, nous avons le parfait exemple des dérives possibles quand on met en place ce genre de dispositifs. Evidemment les utilisateurs ne sont pas les seuls lésés. Les éditeurs de sites (y compris ceux qui ne truffent pas leurs pages de publicités) se retrouve chez ce “FAI” avec leurs pages défigurées par des placements publicitaires disgracieux. Il y a là une captation de valeur indue de la part de CMA communication qui sort totalement de son rôle de fournisseur d’accès en délivrant systématiquement des messages altérés à ses utilisateurs… Une pratique inacceptable.

Questionné sur cette pratique CMA Communication a préféré conserver le silence ! Et malheureusement pour Zachary Henkel, aux USA seuls les éditeurs ont le moyen de se retourner contre CMA communication. Le parasitage que peut entrainer ce genre de pratique peut avoir des conséquences “surprenantes”. Imaginez vous sur le site Debian.org avec une belle publicité pour Windows 8…

La FCC s’est déclarée incompétente mais devant les protestations de Zachary Henkel, CMA Communication a modifié ses conditions générale d’utilisation pour y inclure cette pratique (Section 10), une section que Zachary Henkel trouve, à juste titre, terrifiante! Et oui, avant ils faisaient bien ça dans le dos des utilisateurs.

Ars Technica s’est fait l’écho de cette affaire.

Merci à @MCCob@internetthought et @fiberguy pour l’info.

 

#Cablegate : vers une nouvelle donne des relations diplomatiques mondiales ?

corée
Corée du Nord : pas de ville dans Google Maps

Il faudra du temps, beaucoup de temps pour tenter de démêler le vrai du faux, les supputations des faits, les bons mots de diplomates des positions officielles des États. Aujourd’hui, le monde a découvert les petits dessous de la diplomatie, dans toute sa brutalité. Prenons un peu de recul et imaginons un seul instant de telles révélations en pleine guerre froide. Bien plus que les petites piques de diplomates vis à vis des dirigeants de l’Union Européenne, c’est vers le Moyen-Orien et l’Asie que le monde entier doit avoir les yeux rivés. Les documents diffusés aujourd’hui par Wikileaks font états de missiles d’origine Nord-Coréenne en possession de l’Iran, et de la construction d’un second site nucléaire à Qom en plus de celui de Natanz qui a été cette année la cible de l’une des attaques informatiques les plus élaborées jamais observées. L’Iran est bien en train de s’armer et ceci, en toute logique, inquiète.

Si l’impact du Cablegate pourrait être relativement limité entre les pays occidentaux, c’est bien entre les pays du monde arabe que les relations diplomatiques pourraient être amenées à évoluer. La réaction de Téhéran vis à vis de l’Arabie Saoudite ou du Bahrein, deux pays qui ont demandés à Washington d’intervenir pour mettre fin au programme nucléaire iranien, reste la grande inconnue. Les révélations sur la Turquie, ou le rôle des banques dans le financement d’alQaida pourraient également ajouter une couche de complexité à la situation et créer de nouvelles tensions.

En Asie, du côté de la Corée du Nord, on serait tenté de dire que la mise en évidence de collaboration avec l’Iran sur ses programme d’armement pourrait avoir une influence sur la position de Pékin, dans un contexte déjà particulièrement tendu suite à l’escarmouche entre la Corée du Nord et la Corée du Sud la semaine passée. La Chine va donc jouer un rôle crucial et devra assumer son rôle de pacificateur pour ne pas que la région entière se transforme en poudrière.

Le grand perdant de l’histoire ce soir, c’est l’administration américaine, mise à mal, sa diplomatie va devoir regagner la confiance de ses partenaires et pourrait de fait se trouver au chômage technique pendant de longs mois. Les effets commerciaux non plus ne sont pour l’instant pas non plus mesurés mais on sait que la diplomatie est intimement liées avec les échanges de nature commerciale entre États. Sans confiance, pas de business.

Les jours à venir devraient être passionnants en terme de géostratégie politique, le Cablegate va bien changer la donne, mais bien malin celui qui peut aujourd’hui affirmer pour qui et dans quelle mesure.

ACTA : inconstitutionnelle aux USA… lol

ACTA

75 professeurs américains, des universitaires spécialisés en droit, auraient adressé une lettre au président Obama, lui demandant explicitement de ne plus porter l’ACTA, un accord commercial multilatéral anti contrefaçon dont le Parlement Européen avait entre autres fustigé l’opacité. Dans ce courrier envoyé au Président américain, on trouve un déroulé d’argumentaires qui n’est pas sans rappeler quelques souvenirs de par chez nous.

L’ACTA serait en modifierait substanciellement le droit de la propriété intellectuelle aux USA. Ça devient gênant… voyons les arguments de ces 75 gus dans leur garage.

Un manque de transparence

L’USTR (United States Trade Representative) est accusée d’avoir négocié secrètement un vaste accord international sur la propriété intellectuelle,  sans offrir au public la possibilité de participer à son élaboration, en laissant dicter le contenu à quelques intérêts privés qui auraient tout à gagner de règles internationales durcies sur la propriété intellectuelle (les majors du divertissement). Ce, quitte à nuire à l’intérêt public ! Les universitaires américains désignent ici les même manque de transparence que les euros députés ont reproché à la commission européenne qui négociait ACTA… amusant. La lettre prend acte en déclarant les tractation de l’USTR en contradiction avec la politique d’ouverture et de transparence pronée par le président américain.

ACTA est inconstitutionnelle

Alors en quoi c’est inconstitutionnel chez vous l’ACTA ?

The President may only make sole executive agreements that are within his independent constitutional authority. The President has no independent constitutional authority over intellectual property or communications policy, the core subjects of ACTA. To the contrary, the Constitution gives primary authority over these matters to Congress, which is charged with making laws that regulate foreign commerce and intellectual property.

Ok donc,  vous avez une sorte de décret de l’exécutif, dépendant directement de la présidence, qui par une procédure nommés sole executive agreement permettrait de transposer les prérogatives de l’ACTA dans le droit américain… sans passer par le Congrés… ahahah ! Quel farceur ce Barack, il a du se dire “tien je vais tenter une Sarkozy”, ni vu ni connu. Mais voilà, le problème est que le président n’a pas autorité sur le droit de la propriété intellectuelle et des télécommunications qui constituent pourtant la substantifique moelle de l’ACTA… ☠ pwn3d ☠ …

En Europe, ACTA est soumise au vote des parlementaires, ce qui n’est pas le cas dans le processus initié par l’USTR et la présidence américaine.

Un impact non mesuré

Dernier point venant enfoncer le clou et conforter le précédent,  ACTA modifie substantiellement le droit de la propriété intellectuelle et les effets sur l’innovation, sur les plans nationaux comme internationaux n’ont pas été prise en compte, la lettre insiste sur la nécessité de mener des études d’impact idoines. ACTA modifie le droit américain et en cela le président seul ne peut avoir autorité.

Tout ça pour ça ? #lol

Au final, on a donc un accord commercial initié par des lobbys américains, et dont on a jamais été assuré de la constitutionnalité dans le droit… américain. L’USTR a négocié un accord qui entre en conflit avec la loi et des propositions de réformes aux États-Unis.

Il y a quelques mois je vous disais que l’ACTA était une bataille gagnable, mais à aucun moment j’aurais pensé au coup des 75 gus universitaires. Depuis que l’accord a été mis au grand jour après des mois d’obscures tractations, certains avancent même la thèse que les USA pourraient au final l’abandonner.

J’ai une pensée émue pour la Quadrature du Net qui a tant fait au niveau européen pour alerter sur les risques induits par cet accord commercial. J’en profite d’ailleurs pour vous rappeler que la Quadrature du Net a toujours besoins de vos dons pour poursuivre ses activités pour le bien commun.

… then you win !

Thx @kaanou pour l’info

DRM : on confine toujours à l’absurde

Les DRM ou Digital Right Management sont un échec assez emblématique de la politique de fermeture par les constructeurs au nom du copyright des contenus dématérialisables. Les DRM sont arrivés dans notre corpus législatif par le biais de la loi DADVSI (elle-même issue d’une transposition d’une directive européenne, l’EUCD) qui sanctionnait jusqu’à 6 mois de prison et 30 000 euros d’amende toute personne diffusant ou facilitant la diffusion d’un logiciel destiné à casser ces mesures techniques de protection de médias. Décriés depuis le début, ils ont été en grande partie responsables de l’accélération du déclin du disque en France puisque de nombreux acheteurs de disques se retrouvaient frustrés de ne pouvoir lire ce CD dans leur voiture ou sur leur ordinateur pour le mettre dans leur baladeur MP3… une véritable invitation au téléchargement illicite.

Ici l’usage justifiait le contournement de ces mesures de protection pour pouvoir disposer d’un bien pourtant légalement acheté. Ainsi, il devenait souvent plus aisé de télécharger les MP3 sur les réseaux peer to peer que s’amuser à tenter de contourner une mesure technique de protection.

Pendant les débats sur la HADOPI, de nombreuses voix se sont faites entendre pour que, comme promis par le gouvernement de l’époque, une étude d’inpact du DADVSI soit publiée. Réponse du gouvernement “l’heure n’est plus à ça, passons à autre chose“. Si j’étais mauvaise langue, je dirais que cette étude nous aurait peut être permis de faire l’économie d’une mauvaise HADOPI.

Aux USA, les DRM sont aussi allègrement contournés. Fin juillet dernier, un tribunal américain légalisait même le jailbreak de l’iPhone, c’est à dire le contournement de ses mesures de protection pour en prendre le contrôle.

Aujourd’hui la justice américaine s’apprête à publier une liste de protections pouvant être légalement contournées. Un son de cloche très différemment perceptible de la part des négociateurs de l’ACTA qui plaident pour la généralisation de ces mêmes DRM entre d’autres frictions avec l’Union Européenne..

Peut-on dire pour autant que ceci sonne le glas du DRM ? Malheureusement non, et je prédis qu’en France certains ayants-droit ne sont pas prêts d’en démordre, ils nous resserviront du DRM en complément d’autres mesures absurdes et coûteuses du même cru avec un résultat toujours aussi nul sur la création.

Les USA vont accéder aux données bancaires des citoyens européens

Encore une conséquence du 11 septembre et du Patriot Act, l’Union Européenne a voté un texte un peu controversé permettant aux USA d’accéder aux données bancaires des transactions effectuées via SWIFT. Il a été adoptée par 484 voix pour, 109 voix contre et 12 abstentions. L’AFP rapporte que selon la commissaire européenne à la Justice Viviane Reding il s’agit d’un “mal nécéssaire”. Sans blâmer l’Union Européenne, on s’interroge sur le type de nécessité qui peuvent conduire à ce genre de transaction… la sécurité anti terroriste reste l’argument magique. Le Trésor américain, dés le 1er août 2010 pourra accéder aux données financières de 8.000 banques sur 200 pays gérées par la société Swift, ce pour une durée reconductible de 5ans. Et la contrepartie semble bien maigre vu l’enjeux de cette négociation : “un observateur européen, nommé par la Commission, sera présent au Trésor américain où sont traitées ces données pour s’assurer que cela est fait dans les règles“.  “Si le citoyen européen a un problème avec cela, il a le droit d’être informé de l’analyse de ses données et d’obtenir une compensation”, s’il y a eu abus. Puis, pour bien nous rassurer, sur la mise en place, Mme Reding a répondu: “je n’ai pas les détails techniques mais si un citoyen est soupçonné il le saura à un certain moment”.

Le site touteleurope.fr, insiste sur le travail parlementaire qui a porté ses fruits :

Point clé pour l’accord du Parlement européen, l’élimination, à terme, des transferts de données ‘en vrac’ : en contrepartie d’un soutien à l’accord, les députés ont obtenu que les travaux débutent dans les douze mois sur la mise en place d’un équivalent européen au ‘Terrorism Finance Tracking Programme’ (TFTP) nord-américain, qui mettrait fin aux transferts de données bancaires non-individualisées. L’Europe aurait en effet une structure permettant d’analyser les données sur son sol et ne transmettrait alors que les informations relatives à une piste terroriste précise.

Si l’accord ne semble pas non plus concerner les transactions financières intra-européennes, un doute subsiste sur la durée de rétention des données. Les USA négociaient initialement sur une base de 15 années de rétention des données collectées ! … Des croisements de données dans quelques Super Cray via un petit cloud maison pour passer tout ça au shaker avec quelques interceptions de communications satellitaires et quelques petits mesh relais sponsorisé par Google… dans le dos de l’UE, techniquement, avec les moyens de l’Etat américain, ça peut se faire relativement discrètement.

Cette situation n’est donc pas acceptable et Mme Reding de conclure : Les Européens devraient “construire leur propre système d’analyses de données financières”.

On peut par exemple déplorer que ce type d’accord ne fonctionne pas dans les deux sens et que le texte fasse l’impasse sur un éventuel sérieux (donc indépendant et doté de moyens) organisme de controle des données extraites par les américains qui font la chasse aux terroristes à défaut d’avoir trouver des armes de destructions massives sur les Internets.

  • Sur quels critères l’administration américaine définira la notion de terroriste ?
  • L’Union Européenne a t-elle négocié des contreparties, par exemple en coopération judiciaire ?
  • Quid des perquisitions et saisies de données aux frontières ?

Et si le Président pouvait couper Internet ?

On se calme ! L’idée ne vient pas d’un député français mais de sénateurs américains (… ah! Vous non plus ça ne vous rassure pas ?). En plus elle n’est pas vraiment nouvelle. Mais n’empêche quand on y pense, ça peut faire un peu peur.

On sait qu’Internet est au coeur de tous les systèmes d’information des entreprises, des administrations, des forces armées… cet état de fait rend vulnérable une nation à des attaques encore rares mais bien réelles, comme on a pu le voir avec la Georgie ou l’Estonie. Le Sénat américain propose donc que le président puisse avoir le loisir d’éteindre une partie du Net en cas d’attaque .. ou de diffusion d’une information pouvant mettre en danger la Nation. Typiquement la diffusion d’informations financières érronées destinées à faire plonger un cours de bourse en vue d’une OPA, ou, et là c’est plus sérieux, des informations classées défense.

nous ne pouvons pas nous permettre d’attendre un cyber 11 septembre avant que notre gouvernement réalise l’importance de protéger nos ressources informatiques(Susan M. Collins)

Le projet de loi est principalement porté par le sénateur  Joe Lieberman qui le décrit comme un ensemble de mesures visant “à préserver les réseaux actifs et de notre pays et de protéger notre peuple”. C’est un discours qui nous est assez familier en Europe, car la censure, c’est bien connu, c’est toujours pour “vous protéger”. TechAmerica s’inquiète de dérives possibles et d’un risque de contrôle absolu de l’État sur le Net qui s’octroi par exemple le pouvoir “d’arrêter ou de limiter le trafic Internet sur les systèmes privés”.

Concrètement, le président disposerait du droit de contrôler l’Internet… un terme qui revient de plus en plus sur la table et qui passera probablement les frontières dans peu de temps. Contrôler un flux d’information est fort complexe, la meilleure solution reste donc celle du blackout pur et simple et c’est bien ce qu’envisage le Sénat américain. Le projet implique que toutes les entreprises, les moteurs de recherche, les réseaux sociaux, les sites d’information… devront se plier aux directives du DHS (Department of Homeland Security) qui prend la menace Internet de plus en plus au sérieux.

Rappelons que contrairement à la stratégie politique qui se dessine en France, les fournisseurs d’accès américains n’ont aucun droit d’exercer une surveillance des citoyens américains.

Cette proposition intervient dans un contexte international assez tendu pour les USA qui traquent activement le fondateur de Wikileak, Julian Assange et l’arrestation de Bradley Manning qui est soupçonné d’être la source du plus gros buzz de Wikileaks, une video assez horrible que je n’ai pas vraiment envie de diffuser ici. Filmée à Bagdad au coeur des affrontements depuis un hélicoptère de l’armée américaine, on peut y voir groupe de personnes (en fait un journaliste et des civils … même deux enfants) sur lequel l’hélicoptère ouvre le feu. C’est un carnage. Wikileaks assure le teasing d’une prochaine vidéo à venir et les autorités américaines sont sur les dents car cette histoire plonge l’administration dans un sérieux embarras, on peut les comprendre.

Si cette loi venait à passer aux USA, nous aurions donc de fortes chances d’hériter dans nos contrées de projets de loi similaires (même si elle ne passe pas d’ailleurs), la grande inconnue maintenant est la définition exacte du périmètre de la main mise des États sur le Net.

ACTA : vers un Yalta de l’Internet ?

Alors qu’une poignée de politiques à travers le monde commencent à s’inquiéter de l’ACTA, cet accord commercial multilatéral de libre échange négocié secrètement, les pays, concernés ou pas (tous le seront à terme et nous allons ici le démontrer), commencent à prendre des mesures pour appréhender ce qui était jusqu’à aujourd’hui un espace virtuel d’exercice de ses libertés pas virtuelles du tout (nous avons, en France, une décision du Conseil Constitutionnel pour en attester).

Rappelons que l’ACTA vise à lutter au niveau mondial contre les échanges de fichiers soumis à copyright. L’ACTA est évidemment porté par les USA, forts de leur industrie culturelle et de la toute puissante RIAA dont on reconnait la griffe. La position des Etats-Unis est assez claire : elle souhaite mettre un terme aux échanges peer to peer (et pas seulement), mettre en place des dispositifs de filtrage (chose qu’elle ne peut pas faire de manière unilatérale à cause de la nature acentrée du réseau Internet), créer des officines privées sur le modèle HADOPI pour la mise en place d’une riposte graduée globale sans avoir à passer par un juge.

La lutte contre la contrefaçon numérique est elle vraiment nécessaire ?

Je sens que certains vont me trouver un peu gonflé, mais bon lâchons nous, vous allez voir c’est une question de point de vue. Si la contrefaçon numérique est inscrite dans le corpus législatif de nombreuses nation, ce n’est pas le fruit du hasard. On a toujours transposé au virtuel ce qui existait dans le réel, rien d’étonnant donc à voir apparaître des lois qui tendent à protéger ici le copyright ou là le droit d’auteur.

Depuis l’apparition de Napster, il est apparu comme une évidence que l’Internet était une énorme machine à copier. Sans contrainte, sans verrou, elle permet de faire des copies immatérielles à l’identique d’un bien culturel. La première réaction des industries a donc été de tenter de poser des verrous, d’abord avec les formats (toutes les tentatives ont été des flops retentissants : Real, Microsoft WMA/WMV/ASF, Sony …;  ensuite avec les DRM. Ceci aurait très bien pu fonctionner si la cupidité des uns et des autres ne les avait pas mener à tenter d’imposer chacun leur pseudos “standard” non intéropérables. On peut appeler cette période l’an 2 de l’Internet : celle où les industries ont tenté, par la technique, d’imposer au Net de la fermeture après plusieurs années d’ouverture. C’était évidemment voué à l’échec, quand on propose à un internaute de payer 20 euros un bout de plastique qu’il ne peut même pas lire dans sa voiture ou sur son ordinateur, à l’époque où les chaînes hi-fi son une espèce en voie de disparition, n’était pas une idée lumineuse. L’industrie a donc du faire marche arrière sur les DRM, avec les formats, c’est son second échec… les deux sur des mesures purement techniques.

Le téléchargement c’est tout sauf du vol

Un vol entend une soustraction, dans le cadre d’un échange sur Internet, le bien, dématérialisé, est dupliqué, et non soustrait. Ce fait, à lui seul, tend à démonter tout “vol”, il n’y a pas soustraction, mais multiplication. Mais approfondissons un peu… Le droit d’auteur (et non le copyright, même si depuis la Convention de Bernes, les frontières entre droit d’auteur et copyright tendent à s’estomper), dit imprescriptible et inaliénable, se compose d’un droit dit moral (c’est lui qui est imprescriptible et inaliénable) et de droits dits patrimoniaux. Pour faire simple (mes compétences juridiques sont très limitées), le droit moral assure à l’auteur la reconnaissance de la paternité de l’œuvre tandis que les droits patrimoniaux font directement référence à son exploitation commerciale. Dans le cadre de la propriété littéraire et artistique, nous ajouterons à ceci les droits voisins qui couvrent les droits des interprètes et des producteurs et afférent également à l’exploitation de l’œuvre.

Un téléchargement (une copie) n’est pas une expropriation, l’auteur conserve la jouissance pleine et entière de ses droits moraux. Preuve de la cupidité et surtout du misérabilisme assistanat auquel certaines industries culturelles sont habituées, la France a officialisé fiscalement le “droit à la copie privée” en instituant une taxe sur les supports vierges. Attention cependant, la copie privée est une exception au droit d’auteur et comme toute exception, elle n’a pas pour vocation à devenir la règle. Seul problème, sur les plusieurs centaines de millions d’euros perçues, les artistes n’en ont pas vu la queue d’un.

Jusque là, les aspects juridiques n’avaient servi qu’à une chose : protéger les mesures techniques… et jusque là … c’est un FAIL sur toute la ligne. Il faut donc changer de stratégie.

ACTA : an 3 de l’Internet sale

Avec l’ACTA, on rentre dans l’an 3 de cette guerre perdue d’avance. On passe d’une stratégie globale que l’on appliquait aux fabricants, à une stratégie globale applicable localement par des états souverains en brandissant le bâton des mesures de rétorsion économique… ce qu’on appelle pudiquement le libre échange en économie. C’est malin, mais là encore ce ne sera pas suffisant. Le document de travail publié par La Quadrature du Net montre que le Japon et et les USA sont les deux locomotives de ce projet et n’hésitent pas à faire pression sur les Etats pour rendre les fournisseurs d’accès responsables de ce qui transite sur le réseau, portant ainsi un coup fatal à la neutralité du Net, principe fondateur du réseau qui s’il venait à être remis en cause modifierait profondément la nature de l’Internet tel que nous les connaissons. Je vous invite à écouter, une fois de plus, la définition que Benjamin Bayart donne de la neutralité du Net avec des mots intelligibles par tous.

  • A la question “Sommes nous capables de poser un dôme opaque sur un pays car le soleil est une concurrence déloyale aux producteurs d’électricité” … la France dit OUI … c’est notre exception culturelle à nous, les “créateurs de possible”.
  • A la question “Pouvons nous poser un dôme opaque sur plusieurs pays ?”, la réponse est oui
  • A la question “Pourrons nous quand même voir le soleil malgré le dôme ?”, la réponse est oui
  • A la question “Pouvons nous créer un réseau alternatif et délaisser un Internet non neutre au profit d’un réseau lourdement chiffré et impossible à surveiller ?”, la réponse est oui, il en existe déjà plusieurs

Pourquoi l’ACTA ?

ACTA n’est ni plus ni moins qu’une réponse protectionniste à des difficultés économiques rencontrées par les USA, la Chine commence à faire peur et les USA travaillent donc leur point fort, leur industrie culturelle et entendent bien jouer de tout leur poids. La position du Japon est de marcher main dans la main avec les USA, et pour cause, le pays du soleil levant dispose d’une énorme industrie des biens culturels (si je vous dis consoles de jeux ?).

La Chine de son côté n’est pas vraiment concernée, il faut dire que le gouvernement chinois n’a pas attendu les ACTA pour filtrer Internet et que du coup, la Chine ressemble plus à un gros LAN qu’à l’Internet. Le piratage est loin d’être le problème du gouvernement chinois, il préfère surveiller et enfermer ses opposants, filtrer Twitter ou Facebook.

Les USA et le Japon ont un poids encore considérable sur l’économie mondiale, ils sont donc bien armés pour entrainer quelques pays dans leur vision du nouveau cyber ordre mondial, un monde où le copyright et les brevets porteraient atteinte à la neutralité du Net, et donc comme l’a souligné le Conseil Constitutionnel en France, porteraient de fait atteinte à la liberté d’expression, à la liberté d’entreprendre (un Internet filtré est le meilleur moyen de créer une importante distortion à la libre concurrence).

Il y aura forcément de la casse avec ACTA, les USA et le Japon entraineront avec eux les pays qu’ils tiennent économiquement dans le creux de leur main, si l’Europe courbe l’échine, c’est qu’elle dit oui à un Yalta de l’Internet dans lequel les valeurs qu’elle défend seront allègrement piétinée par des société privées.

ACTA : La Commission Européenne s’exprime officiellement

S’il est une blague beaucoup moins drôle et bien plus secrète qu’HADOPI qui se joue actuellement, c’est bien l’ACTA (Anti-Counterfeiting Trade Agreement). Depuis plusieurs années, des négociations secrètes multilatérales se tiennent, menées par l’administration américaine, qui entend mettre fin aux échanges illégaux de fichiers copyrightés sur Internet. On reconnait évidemment derrière la griffe des lobby de l’industrie des biens culturels. Au menu, on retrouve les grands classiques : le filtrage, une riposte graduée … et des atteintes évidentes aux libertés individuelles et au principe de Neutralité du Net. Des documents qui ont fuit font état de déconnexion des internautes qui téléchargent, un peu comme pour le modèle à la française… mais sans intervention d’un juge.

Pour la première fois, la Commission Européenne, par la voix d’un fonctionnaire de la Commission de l’UE impliqué dans les négociations, a donné sa position officielle sur le négociations en cours et l’opacité qui les entoure. Les nombreuses associations de défense des droits de l’Homme et des organisations non gouvernementales ont demandé à ce que soient rendues publiques ces négociations.

Dans les véritables nouveautés, on apprend par exemple que la Neutralité du net est plus que remise en cause puisque la responsabilité des hébergeurs et des fournisseurs d’accès (tels que définis en France dans la LCEN) pourraient directement être mise en cause avec l’ACTA. Ils deviendraient de fait responsables des contenus, avec tous les problèmes que l’on connait sur les réseaux sociaux et les sites qui proposent du contenu généré par les utilisateurs. Ceci reviendrait à les obliger à une modération à priori des contenus soumis.

Autre point de détail, il a été entériné récemment avec le Paquet Télécom que toutes procédure de déconnexion d’un internaute ne peut se faire en Europe sans passer par les mains d’un juge. On sait que la France continue à faire pression sur le l’Europe pour édulcorer ce point. HADOPI est le parfait exemple d’une loi qui sera inapplicable en l’état.

Le porte parole de la Commission Européenne indique que les documents de négociation de l’ACTA pourraient être prochainement rendus publics. En France, de rares députés comme Nicolas Dupont Aignan, déjà très actif et remonté contre HADOPI,  plaident également en faveur de la transparence sur ces négociations.