mai 3rd, 2013

Cet article du Houston Chronicle est le plus proche équivalent d’un roman d’horreur pour un commercial Microsoft. Il nous apprend que chez Conroe, spécialiste de filtres industriels et de boîtes à graisse, maison de qualité, on utilise encore un IBM 402, une vénérable antiquité à cartes perforées et traitement mécanographique, capable, depuis la fin des années 40, de travailler au rythme infernal de 150 cartes à la minute dans le silence très relatif d’une tabulatrice et de sa perfo modèle 026. La madeleine de Proust prend des allures de kugelhof pavlovien, tandis que le bruit des moteurs d’entraînement fait résonner de sinistres accords aux oreilles de tout commercial Microsoft, Oracle ou SAP. Pensez donc. Un ensemble logiciel-matériel qui fonctionne sans patch ni mise à jour (si ce n’est un peu d’huile de vaseline et des bacs cartonnés) depuis plus de 60 ans, sans le moindre add-on à refourguer, sans même la plus petite nécessité d’y installer un firewall (SNA n’existait pas encore lorsque naquit le 402) ou y ajouter un antivirus. On imagine mal la mafia Pétersbourgeoise ou le haut commandement Pékinois publier une petite annonce « Recherche programmeur-mécanographe, H/F, pour portage Slammer sur carte Fortran. Ecrire à la Loubianka qui transmettra ». Vision dantesque de ce qui pourrait advenir si ce genre d’habitude venait à se répandre : du Windows XP encore opérationnel en 2061, de l’IBM PC 64 k de ram frais comme un gardon à l’horizon 2040, tandis que Raspberry et Arduino égrèneraient à un train de sénateur leurs codes sur les tables de TP des premières années Epitec promo 2073. Les auteurs de malwares, virus, APT, techniques dDoS auraient depuis belle lurette désassemblé l’intégralité du parc logiciel existant (ça en fait, des longues soirées d’hivers derrière IDA Pro, 60 années de fuzzing et de désassemblage) et n’auraient, faute de faille à découvrir, plus écrit le moindre exécutable pervers depuis 10 ans. Les spécialistes de la chasse aux virus n’ayant plus rien à apprendre ou à contrer, de guerre lasse, auraient fini pas mettre la clef sous la porte, faute de nouveaux clients. Enfin, l’antivirus aurait atteint son but : bloquer l’intégralité des attaques passées, présentes et à venir. Le second mardi de chaque mois serait désormais consacré au nettoyage des rouages et à la lubrification des cames, certains préférant utiliser l’huile Kaspersky tandis que d’autres ne jureraient que par la brosse Symantec à nettoyer dans les coins.

La Cnil vient de rendre public son bilan d’activité 2012. Bilan marqué par une certaine continuité dans son recours très modéré aux moyens répressifs (43 mises en demeure, 9 avertissements, 4 sanctions financières… et 2 relaxes) malgré un accroissement notable des plaintes (plus de 6000 sur l’année écoulée) en augmentation de 5% l’an et 3682 demandes de droit d’accès indirect soit +75% par rapport à 2011. Un bilan qui s’accompagne d’un constat de semi-échec lorsque les plaintes visent des organismes étrangers, et qui doivent passer par l’autorité de Cnil nationale. Bilan également mitigé pour ce qui concerne l’augmentation exponentielle des systèmes de flicage par caméra et autres moyens de contrôle, chiffre à comparer aux « 300 plaintes reçues en 2012 qui ont pour objet la vidéosurveillance au travail » : 8946 déclarations relatives à des systèmes de vidéosurveillance (+49,3%), 795 autorisations de systèmes biométriques (+6,8%), 5483 déclarations relatives à des dispositifs de géolocalisation (+ 22,3%). Pour être plus qu’une chambre d’enregistrement, la Cnil souhaite jouer un rôle majeur à l’échelon Européen, et plus particulièrement dans le cadre du groupe 29A. Rappelons que l’un des principaux regrets d’Alex Türk, ex-président de la Cnil et qui a présidé durant 2 ans aux destinées du groupe de travail Européen, portait précisément sur l’absence totale de budget pouvant garantir un minimum d’autonomie.

Sur le plan de la politique intérieure, la Cnil a tout de même additionné quelques actions positives, notamment en renforçant ses audits et sa surveillance autour des Gafa (Google, Amazon, Facebook et Apple). Le mot Google est répertorié 30 fois au fil du rapport (notamment lorsque sont mentionnés les audits de sa politique de confidentialité), Apple 2 fois et Facebook 15 fois (dont deux fois pour signaler la présence d’un compte au nom de la Cnil).