juin 15th, 2010

L’histoire commence un peu comme un échange sur le court central de Roland Garros : le blogueur Bluetouff dévoile que les premiers logiciels de « sécurisation » Hadopi (celui d’Orange en particulier) provoquent des fuites de données assez étonnantes de la part d’un opérateur (http://bluetouff.com/2010/06/13/orange-vous-securise-ayez-confiance/) qui se veut sérieux. L’Albaniciel échange, entre le poste du « client protégé » et le serveur de supervision, des informations transitant en clair sur Internet.

Renvoi de fond de court de la part de Cédric Blancher, qui, sortant à peine de l’amphithéâtre de l’Université de Rennes, en rajoute une couche en faisant remarquer une seconde et probable vulnérabilité liée à JBoss (car c’est précisément JBoss qu’utilise le logiciel de surveillance Orange).

N’ayant aucune envie de perdre son service, Bluetouff tente et réussit un revers, accompagné d’un superbe néologisme : le « failware de sécurisation Orange ». Et rappelle que, pour voir sa propre machine potentiellement compromise et son numéro IP semé aux quatre vents, les usagers doivent tout de même payer 2 euros par mois ce qui, multiplié par le nombre de personnes « sensibilisées » par les discours anxiogènes des promoteurs d’Hadopi, peut représenter une « opportunité commerciale » avantageuse.

Rappelons au passage que les Albaniciels étaient à l’origine destinés à « protéger » les usagers du Net contre les méfaits des « insiders téléchargeurs compulsifs ». En d’autres termes, il s’agit d’éroder la confiance qui peut régner au sein d’une cellule familiale pour mieux justifier l’installation de programmes de surveillance et de contrôle de contenu.

Une disposition dans l’air du temps

Alors, les hadopiciels sonnent-ils la fin de l’Internet Libre ? C’est là une question trop parcellaire. Il y a près deux ans et demi, Jean Marie Chauvet, éditorialiste-agitateur chez nos confrères d’ITR News, écrivait à propos du Rapport Olivennes

… « Sonia Katyal de la Fordham School of Law appelait très justement les « nouveaux réseaux de surveillance ». Il s’agit d’instaurer progressivement un régime extrajudiciaire de contrôle et de sanction des infractions aux réglementations de la contrefaçon et du copyright, dont l’inspiration rappelle inévitablement la métaphore du Panopticon de Jeremy Bentham »

Si l’on écarte la vision Foucaultienne du panoptique, parcellaire et partiale à tel point qu’elle transformerait en HLM le Familistère Gaudin, on ne peut que reconnaître la justesse de la vision de Katyal/Chauvet sur cette forme de « privatisation » des institutions d’Etats dans notre monde moderne. Avec pour premier justificatif, sous couvert de sécurité, l’économie à court terme induit par cette forme de sous-traitance. Confier à des opérateurs et fournisseurs de services –voir directement aux parties concernées- le droit de rendre justice sans que la Justice n’ait à intervenir, c’est là une logique de désengagement financier de la fonction publique qui rejoint d’autres actions. Ainsi la disparition progressive des antennes de gendarmerie dans les villages, au profit de « police municipale » -euphémisme intéressant pour désigner une milice locale financièrement supportée par les communes-. Ainsi la sous-traitance à des entreprises de droit privé chargées de la gestion à la fois des cinémomètres et de la verbalisation des excès de vitesse. Ainsi –l’exemple américain est là pour prouver cette tendance- la rétrocession à des entreprises privées des centres de détention, voir des centres d’éducation surveillée pour mineurs… ou, pis encore, l’entrée dans la ronde d’entreprises spécialisées dans la « sécurité physique des biens et des personnes sur les terrains d’opération »… en d’autres termes la privatisation de certains pans des forces armées par des Halliburton.

Si cette logique n’a rien de choquant dans des pays où le néolibéralisme confine à la religion, elle est difficilement acceptée en Europe, où les quatre attributs du pouvoir –Police, Justice, Finance et Armée- sont le ciment pour lequel le citoyen accepte de payer des impôts et à s’identifie à une nation. L’on pourrait adjoindre à ces secteurs « sacrés et intouchables » ceux de la santé, des infrastructures routières, des flux indispensables (eaux, gaz-électricité), des télécoms, de l’enseignement… domaines qui, peu à peu, sont « expulsés » du sein de l’Etat-Nation pour des raisons de « réalisme économique ». Sujet du Bac des années 2020 : sans ces institutions, un Etat est-il toujours un Etat ?

Il y a bien plus, derrière Hadopi et les Albaniciels qu’une simple chasse aux pirates de chansonnettes et autre futilités. En « inventant » Hadopi, l’actuel Gouvernement a répondu favorablement à la demande pressante d’un lobby –les éditeurs et industriels du loisir-, sans pour autant s’engager dans la moindre démarche institutionnelle, puisque la concrétisation de ce soutien relève précisément d’initiatives également privées. Et qui dit initiative privée pense immédiatement « logique de rentabilité », indépendamment de tout impératif qualitatif et éducatif.

Orange n’est donc pas coupable, ou du moins pas responsable, mais victime de cette logique du « rendement sécuritaire » et du désengagement institutionnel. Placé dans une situation analogue, un organisme public aurait mis en place probablement les mêmes mécanismes, mais avec une optique différente, visant à la disparition ou la forte diminution du piratage. En confiant ce travail au secteur privé, mu par une logique de bénéfice et de croissance, l’Etat a mis en place un système qui vise à faire perdurer et le piratage par téléchargement, et la victimisation des éditeurs du secteur du loisir. Car quel intérêt aurait une entreprise à développer, diffuser, entretenir une base de logiciels Hadopi si c’était pour voir s’étioler les ventes par excès d’efficacité ?

Dans la droite ligne de ces édifiantes histoires Facebook, l’on imagine fort bien que les flibustiers de la carambouille cherchent à automatiser ces attaques contre l’élément humain plongé dans un bain de Web Deuzéro. Depuis l’aube des premiers logiciels de « stupidité artificielle » aux recherches pointues sur l’art de tromper les tests de Turing, les mafieux du Web cherchent à confier à des machines le soin de récupérer des informations d’ordre personnel avec le même niveau de persuasion qu’un professionnel : vendeur de brosses, homme politique, marchands d’encyclopédies ou fourgues spécialisés dans le Viagra d’opérette ou de la toquante « imitation Helvétique », tous ne poursuivent qu’un but, l’approbation du crédule… Et vite et de façon massive s’il vous plait ! Car le temps, c’est de l’argent, et là où un humain derrière un clavier peut « convaincre » une victime de communiquer un nom, une adresse et un numéro de téléphone, un logiciel devrait pouvoir faire le même travail mais auprès de plusieurs centaines de personnes simultanément.

Hélas, constatent quatre chercheurs d’Eurecom, les outils générateurs de « faux dialogues » sont rapidement éventés par les victimes potentielles. Réponses évasives, répétitions dans les réactions, interactivités douteuses ou décalées… Pour éviter ce genre d’écueil, ces chercheurs ont inventé une nouvelle technique : faire converser des humains avec des humains, histoire de ne plus succomber aux pièges de Turing. Oui, mais alors, où se trouve l’automate malicieux ? Mais entre les deux personnes réelles, bien sûr, dans une sorte de « Botnet in the middle attack ». Le fonctionnement est presque simple. Le Bot initie une conversation avec Bob et avec Alice :

-Bonjour, dit le Bot.

-Salut, répond Alice

-Salut envoie le Bot à destination de Bob

Le quel Bob rétorque avec à-propos

-«Vous habitez chez vos parents ? »

… phrase que retourne le Bot vers Alice

… laquelle Alice rétorque

-« J’en avais entendu parler, mais on ne me l’avait encore jamais faite ! »…

Et la conversation est engagée. Le rôle du Bot in the middle est de choisir le moment le plus approprié pour glisser dans la conversation un « lien intéressant à cliquer » ou un fichier à récupérer (en fait, le « payload » de l’attaque), actes dont les conséquences seront plus que bénéfiques pour le « Bot herder » qui contrôle ainsi la communication.

Avec une telle technique, le taux de fiabilité et d’efficacité dépasse les 76%, affirment les chercheurs de Sophia, qui ont modélisé ce genre d’assaut sur des canaux IRC de conversations estudiantines et sur… Facebook, à tout hasard. 76% : De quoi rendre vert de rage les barons du scareware et les princes du scam Nigérian, qui ne se battent que sur des taux de retour ne dépassant pas 1 à 5 pour 1000 dans le meilleur des cas. Ajoutons que le procédé est indétectable et pratiquement impossible à contrer. Est-ce là une approche purement universitaire du problème qui n’a aucune chance d’être exploitée ? C’est hélas peu probable. Il existe d’ores et déjà des réseaux (notamment des filières chinoises et indiennes de déchiffrement de « Captcha »), qui exploitent une méthode inverse : des réseaux de robots qui emploient un « homme au milieu » pour lire et interpréter le contenu d’un test de Turing et ainsi améliorer les performances d’attaques automatisées. Paradoxe étonnant, l’homme devient robot au sein d’un réseau de machines sensées imiter le comportement humain. Il n’y a donc aucune raison pour qu’un jour des humains collaborent, à leur corps défendant, à des escroqueries d’envergure reposant sur ce principe du « botnet in the middle ».