juin, 2013

L’édition finale 4.0 de Emet (Enhanced Mitigation Experience Toolkit) est disponible en téléchargement sur le centre de téléchargement Microsoft. Pour ceux qui ne souhaiteraient pas se plonger dans la documentation, il suffit d’installer le programme et d’indiquer, via le GUI, quelles sont les applications que l’on souhaite voir protégées par ce système d’encapsulation (compatible DEP/ASLR etc.). Comme définir ce genre de liste de logiciels à protéger est un travail fastidieux au possible, un certain nombre de profils prédigérés prenant en compte les programmes les plus courants peuvent être invoqués depuis l’interface graphique ou la ligne de commande.

La révélation Prism sera-t-elle assez puissante pour provoquer une réaction de l’Europe et d’une partie de l’Asie ? La question se pose de plus en plus directement autant dans les milieux politiques que dans le landernau sécurité. La récente réaction de l’Allemagne, du Japon, et même de la Grande Bretagne qui montre qu’elle sait « barbouzer » même (et surtout) lorsqu’elle invite des chefs d’Etat, laisse à penser que ces quelques aspirations à posséder un « prism maison » ne constituent que la partie émergée d’un iceberg de l’espionnage numérique. Pour trois coming-out, combien de décision demeurées secrètes et pourtant en cours de formalisation dans les autres pays de l’OCDE ?

Car ce Prism comporte une multitude de facettes qui, chacune, décompose en un éventail de possibilités selon l’éclairage qui tente de les mettre en valeur : Militaro-policier, industriel, infrastructurel, politique intérieure, politique extérieure, commerciale et situation de crise.

L’aspect concernant les outils régaliens de défense, tant militaires que policiers, n’est contesté par personne, surtout depuis le précédent Stuxnet. Internet peut devenir un espace d’affrontements, et chaque Etat se prépare non seulement à réagir à d’éventuelles agressions, mais également travaille à développer une composante offensive efficace. Si vis pacem… Ce qui implique le concours de quelques fabricants d’armes et de boucliers, généralement des entreprises spécialisées dans le secteur de la sécurité Informatique. La France n’est pas l’un des pays les plus mal dotés en ce domaine.

La facette industrielle demeure, en Europe, assez faible. L’indolence et l’absence de concertation Européenne en matière de politique numérique a fait qu’il n’existe pratiquement pas de véritable vecteur capable de pénétrer le tissu industriel international (quelques trop rares SAP ou Siemens mis à part). La « grande frousse » Prism n’est pas tant liée à la prise de conscience qu’un service de renseignement étranger pouvait faire ce pourquoi il a été constitué, mais parce que les outils qu’il pilotait (les services en ligne commerciaux de nationalité U.S.) s’étaient incrustés depuis des années au plus profond de la société Européenne. A tel point que l’ablation semble désormais impossible. Cette osmose, ou cette croissance parasitaire, est fondamentalement univoque. Il n’existe pas de « dépendance » comparable Outre Atlantique vis-à-vis d’outils Européens dont l’industrie du Nouveau Monde puisse se passer.

Infrastructurel ensuite, bien que des efforts considérables aient été prodigués durant ces dernières années pour que chaque pays d’Europe soit moins dépendant de l’architecture définie par l’Icann et le bon vouloir des Top Level Administrators. L’infrastructure est une composante stratégique Scada que l’Europe ne maîtrise pas encore. Pourtant, quelques signes annonciateurs de danger ont déjà été ressentis. Dès le début de l’aventure Internet grand-public d’ailleurs. Il suffisait qu’un backup d’annuaire cafouille chez Network Solution pour que tout internet s’enrhume durant deux ou trois jours. Plus récemment, en novembre 2010, la Chine était accusé d’avoir détourné, durant 18 minutes, une partie du trafic Internet détournant momentanément 15 % des échanges courriel du monde occidental. Cette brève tentative et démonstration de force aurait dû plonger l’Europe dans un abîme de perplexité et une frénésie de réactions. Deux semaines après cet évènement, plus un seul Ministre n’en parlait, et aucune remise en cause radicale des réseaux IP n’a été mise en chantier.

L’aspect politique, en revanche, est l’un des plus développés. Pas toujours dans le sens ou le souhaiterait l’industrie ou les électeurs, d’ailleurs. La menace d’une cyberguerre, l’existence d’une frange de cyberdélinquance ont, très tôt, été instrumentalisées par les pouvoirs en place pour légaliser et répandre des outils de surveillance intérieure… nonobstant le fait que la majorité desdites menaces sont essentiellement extérieures. Cette politique de la gesticulation à tous prix, qui prévoit de lourdes peines au seul soupçon de détenir un sniffer mais qui protège, d’un coupable silence, les réseaux extra-européens d’alimentation en matériel pédopornographique ou d’incitation à l’acte terrorisme sous prétexte de non-ingérence, ont causé un tort considérable dans la confiance citoyenne envers ses institutions et ses capacités de recherche. Certaines initiatives d’autrefois se transforment même de plus en plus en structures passives d’enregistrement au service d’intérêts financiers, quelques vieilles médailles se ternissent (les critères communs d’un NT4 certifié EAL4 sont-ils une garantie anti-intrusion ? certes non, mais ils permettent de ne pas se poser de questions). D’autres fort heureusement, tel l’Anssi, tentent de construire un socle défensif avec des actes concrets : certifications d’outils et logiciels de sécurité, labélisation de sociétés spécialisées dans les audits sécurité, diffusions de bulletins et avis d’information, évangélisation des bonnes pratiques, émission de messages clairs expliquant « où » se trouve l’adversaire (pas nécessairement du côté de la Chine)… On attend encore la création d’un véritable Cert destiné aux citoyens, qui tranche avec la vision autistique actuelle : un humain ne peut être informé que durant les heures de travail, lorsqu’il est fonctionnaire, universitaire, banquier ou qu’il travaille dans l’industrie. Pourtant, plusieurs études l’ont prouvé, les premiers vecteurs d’information demeurent les média… ceux que chaque citoyen consulte en dehors de ses heures de travail. Il ne peut exister de véritable sensibilisation que de sensibilisation populaire, quitte à ce que ce premier niveau soit, par la suite, relayé et complété par les Cert ist, Renater, A et consorts. S’ajoute à cela un manque notable de recul à la fois culturel et technique de certains politiques. Chanter les louanges de l’Internet des objets, donc indirectement plaider en faveur d’une aliénation toujours plus forte du quotidien à une infrastructure IP que l’on sait facile à compromettre et vecteur de fuites d’informations en défaveur de l’Europe, est-ce de l’inconscience ou de l’aveuglement ? Ou, plus trivialement, la quête d’un profit opportuniste à court terme, quitte à payer à crédit en hypothéquant un peu plus notre dépendance technologique et notre liberté d’action ? S’il est sot de refuser en bloc toute nouveauté technologique, il est sage d’en limiter la dépendance ou de pouvoir en récupérer la gouvernance en cas d’urgence.

En matière de politique extérieure, en revanche, tout est encore à réaliser. Favoriser la création de spécialistes du Cloud, avec des budgets d’envergure Européenne (donc une concertation économique et une contribution Européenne) sans tomber dans le saupoudrage et le copinage économico-politique destiné à favoriser tel opérateur télécom historique ou tel équipementier connu, faire fi des pré-carrés, tout ça est encore totalement utopique. Etape quasi insurmontable dans cette vieille Europe qui déchirée par des conflits d’intérêts tantôt nationaux, tantôts business.

Au fil d’un article publié dans les colonnes de CNN, Ronald Deibert, un professeur de Sciences Po Canadien, écrit que les entreprises hors USA viennent brutalement de prendre conscience, après l’affaire Prism du « huge disadvantages of their dependence on U.S.-controlled networks in social media, cloud computing, and telecommunications, and of the formidable resources that are deployed by U.S. national security agencies to mine and monitor those networks ». Et la classe politique vient de réaliser que ce plan était établi sciemment, avec méthode, depuis bien longtemps. Et dans cette vraie-fausse découverte, ce qui impressionne le plus est le nationalisme extrême qui a dicté l’attitude des Microsoft, des Google ou des Apple, qui, bien que pris la « main dans le sac » en flagrant délit de trahison et de communication de contenus, continuent de nier, de minimiser, de parler de recherche d’enfants disparus et de personnes frappées par la maladie d’Alzheimer témoigne El Reg. Cet Alzheimer frappe-t-il les chargés de dossiers des ressortissants non-américains ? Il montre, en tous cas, la force de cette « obéissance et dévotion quasi fanatique envers sa Sainteté l’Etat » qui caractérise les entreprises US, obéissance qui, pour certaines d’entre elles, s’accompagne d’un mutisme, d’un culte du secret qui a su tenir plus de 10 années. La « fuite » de Snowden aurait tout aussi bien pu provenir d’un imprécateur travaillant pour le compte d’un Apple ou d’un Microsoft. Il est même surprenant que cette révélation soit venue de l’intérieur du service même qui a organisé ce formidable montage, et non du sein d’un de ses poissons-pilotes. Si surprenant que l’on pourrait presque se demander dans quelle mesure ladite fuite n’a pas été savamment orchestrée et planifiée …

La gamme des outils de la plateforme sécurité FirePOWER Sourcefire bénéficie d’une série d’améliorations techniques, notamment les équipements de la gamme 7000 et 8000 ainsi que les Next Generation Firewall et IPS. Côté 7000 et 8000, l’un des principaux perfectionnements est une amélioration sensible du débit traité, repoussant les limites de bande passante de 50 Mbps à plus 40 Gbps selon modèle. Les NGFW et NGIPS, quant à eux, voient leurs règles de politique de sécurité IPv6 étendues. Les attaques détectées sont désormais « géolocalisées » (dans la mesure du possible IP). La gestion des NAT est simplifiée et les extensions « haute disponibilité » renforcées.

C’est le second rapport sur la sécurité mobile que publie Checkpoint, industriel Israélien spécialiste de la protection périmétrique. A la suite de cette enquête réalisée par le cabinet d’analyse Dimensional Research, il semblerait que le montant des pertes provoquées par un incident de sécurité lié aux équipements mobiles se chiffre à près de 100 000€ pour 42% des entreprises victimes, montant qui atteindrait 400 000€ dans 16% des cas. L’accroissement des appareils provoqué par la vague Byod connaîtrait des taux jamais constatés jusqu’à présent, dépassant un facteur 5 en l’espace de 2 ans pour 45% des sociétés interrogées.

De toutes ces plateformes, celle jugée la plus risquée serait Android, citée dans 49% des cas, devant IOS d’Apple (25% des cas) Windows Mobile (17%) et Blackberry (9%).

Malgré ces chiffres alarmistes, l’étude précise que «63% des entreprises ne gèrent pas les données stockées sur les appareils personnels, et 93% rencontrent des difficultés à adopter des politiques guidant l’utilisation des appareils personnels ». Le paradoxe devient de plus en plus étonnant lorsque l’on apprend que (53%) des entreprises interrogées ont signalé que des données confidentielles de client sont stockées sur des appareils mobiles, contre 47% l’an passé.

L’intégralité du rapport peut être obtenu sans inscription nécessaire sur le site de l’équipementier.

L’appel à communication vient d’être lancé: Chercheurs spécialistes des Botnets et de l’art de les combattre, vous n’avez plus qu’une petite quinzaine pour soumettre un aperçu de vos travaux auprès du comité de lecture de la BotConf 2013. La date limite de soumission a été fixée au 30 juin et la confirmation des articles retenus au 15 septembre. La rédaction finale ne devra pas parvenir aux organisateurs après le 30 octobre. Les conférences pourront aborder aussi bien les aspects juridiques que techniques, humains et organisationnels, psychologiques ou méthodologiques. Qui se cache derrière les réseaux de Bot, comment les surveiller, les localiser, les combattre, comment recenser les différentes infections ou vecteurs d’attaque qu’ils sont capables de véhiculer, par quel moyen limiter ou faire cesser leur activité ? Cet appel à communication arrive au moment même où une polémique enfle autour des méthodes de lutte employées par Microsoft, jugées quelques peu expéditives, peu efficaces et causant pas mal de dommages collatéraux. Jamais colloque ne sera donc aussi opportun.

Rappelons que la BotConf, qui se déroulera les 5 et 6 décembre de cette année, est la première conférence Européenne consacrée à ces réseaux d’attaque et de compromission informatique. Le comité de lecture compte bien des noms connus du monde de la défense des TIC et de la recherche. Eric Freyssinet, dont les travaux sur le sujet sont connus des spécialistes et habitués des conférences Sécurité, Fred Raynal, l’un des pères fondateurs des SSTIC de Rennes, Nicolas Brulez, chercheur chez Kaspersky, José Araujo de l’Anssi, David Nacache, Alexandre Dulaunoy… Le niveau d’exigence risque d’être relativement élevé et prometteur.

l’ICS Cert (USA) émet une alerte concernant plus de 300 équipements médicaux fabriqués par au moins 40 entreprises différentes. Motif : mot de passe codé en dur. En fait, la nouvelle n’est pas très fraîche, puisqu’elle a fait l’objet d’une présentation par MM Terry McCorkle et Billy Rios durant la conférence sécurité S4, consacrée aux systèmes scada, en janvier dernier. Bon nombre d’articles de presse, dont un dans les colonnes de Dark Reading ou du Washington Post, en ont fait état. On se demande soudainement pourquoi l’ICS Cert ne réagit que maintenant. Une panne informatique, sans doute. Car McCorkle et Rios avaient, par le passé, dénoncé les faiblesses potentielles du système de supervision Scada Niagara de Tridium (4 millions de ligne de codes, des clients dans 52 pays, 11 millions d’appareils connectés… et des liaisons passant par Internet)

Cette fois, il s’agit de défibrillateurs, de systèmes de pilotages de machines d’imagerie médicale, de « gaveuses » et autres pompes d’injection de médicaments. La liste des équipements médicaux susceptibles d’être « hackés » est longue. Absence de chiffrement sur le réseau reliant l’appareil et ses machines de supervision, mots de passe inscrits en « dur » dans le firmware et autres accès sans-fil considérés comme inviolables mais ouverts à tous les vents, les deux chercheurs se sont livrés à un fuzzing sauvage sans la moindre discrimination, et mis en évidence une « attitude de négligence générale » de la part de la quasi-totalité des constructeurs d’équipements médicaux. Déjà, par le passé, de nombreuses alertes avaient été émises, mettant en garde les centres hospitaliers de certaines mauvaises pratiques en matière d’informatisation et de trop faible protection périmétrique. Ceci sans oublier quelques communications sensationnalistes (attaques d’un pacemaker par liaison sans fil par Barnaby Jack notamment) mais peu réalistes.

Le domaine de la santé publique appartient aux domaines Scada, et doit être considéré comme tel d’un point de vue sécurité. Et comme certaines installations de contrôle de processus industriel, cette sécurité semble dater d’un autre âge, conditionnée par des années de « sécurité par l’obscurantisme » et une coupable assurance d’impunité. Mais ce qui semble le plus inquiétant, c’est qu’il ait fallu à un Cert 6 mois pour réagir … et qu’il en faudra un peu plus pour que les constructeurs d’appareils médicaux commencent à faire de même.

L’affaire Prism délie les langues et a pour première conséquence d’attirer l’attention du public sur les autres organisations d’espionnage dans le monde. En Grande Bretagne, le Guardian (encore lui) raconte comment le GCHQ (Government Communications Headquarters, la cellule d’espionnnage SigInt de Grande Bretagne) a espionné les membres du G20 durant le sommet de Londres de 2009… révélation faite le jour même de l’arrivée du Président Obama en Irlande du Nord à l’occasion du G8. Et les moyens furent conséquents : Keyloggers et logiciels d’interception dans tous les Internet Cafés susceptibles d’être utilisés par les participants, hacking offensif des téléphones BlackBerry des délégués afin de fouiller dans leurs emails et surveiller leurs appels téléphoniques, constitution d’une équipe de 45 spécialistes chargés d’analyser, 24H sur 24, les appels téléphoniques des personnalités, exploitation d’informations fournies par la NSA qui interceptait les échanges téléphoniques de Dimitri Medvedev, président du gouvernement Russe, lequel utilisait pourtant sa propre liaison satellite pour demeurer en liaison avec Moscou.

Les sommets politiques ont, de tous temps, été l’objet d’attentions soutenues de la part des services de renseignements, cela n’est pas franchement nouveau. Mais cette affaire rappelle que le MI6 et le GCHQ restent intimement liés avec la NSA, et rendent peu plausible l’étonnement feint par la Chambre de Londres.

Pendant ce temps, au Japon, l’activité de la NSA semble inspirer quelques esprits, écrit Paul Kallender-Umezu dans Defense News. La législation Japonaise est excessivement stricte en matière de respect des correspondances et communications. Le précédent « Prism », ainsi que la mode très répandue du Deep Packet Inspection intéressent de plus en plus l’actuel gouvernement très conservateur de l’Empire du Soleil Levant. « Nous n’irons pas jusqu’au DPI, nous cherchons essentiellement à surveiller les dorsales sous-marines qui alimentent notre pays dans le but de bloquer d’éventuelles attaques en déni de service. Le DoS a bon dos.

En Allemagne, le magazine Der Spiegel rapporte que le Service d’Information Fédéral (BND, Bundesnachrichtendienst) envisage de renforcer sa surveillance sur Internet grâce à un budget de 100 millions d’Euros. La capacité actuelle du BND n’excèderait pas 5% du trafic email/chat/VoIP, explique une dépêche de l’AFP (extrait dans PressTv.ir) rapportant les écrits du Spiegel. La limitation en volume imposée par la loi autorise actuellement une surveillance de 20 % des échanges. Une surveillance qui doit s’opérer « au fil de l’eau », avec des outils de détection temps réel, puisque l’encadrement législatif ne permet pas que ces informations soient stockées et conservées.

L’Allemagne, unifiée depuis moins de 23 ans, garde encore les stigmates du flicage de la Stasi (Ministerium für Staatssicherheit), le service de police politique de l’ex Allemagne de l’Est. Son statut de pays anciennement occupé notamment par les troupes US (ainsi que Françaises, Britanniques et Russes) n’incitait pas, jusqu’à présent, les gouvernements fédéraux successifs de droite comme de gauche à adopter une attitude calquée sur les habitudes et pratiques d’espionnage de ces trois Etats.

Après plusieurs jours de flottements, parfois de stupeur, plus souvent d’exaspération et surtout de grands silences de la part du gouvernement US, le monde numérique commence à recevoir un certain nombre de signaux. Le plus important a été lancé par le Président Obama qui a clairement déclaré que les citoyens de son pays allaient devoir « going to have to make some choices » rapporte le Huffington Post. On ne peut à la fois bénéficier d’une sécurité absolue et d’une préservation de la vie privée absolue déclarait-il en substance. Le jour même, nos confrères de C-Net apprenaient, de la bouche même d’un Sénateur démocrate, que le contenu des communications téléphoniques nationales pouvaient être écoutées « simply based on an analyst deciding that », autrement dit, sans même qu’un juge en soit informé, contrairement à ce que prétendent les porte-paroles de la Maison Blanche en général et son principal résident en particulier. Le Washington Post en rajoute une couche et ouvre une grande enquête sur le réseau d’écoute et la collaboration des opérateurs téléphoniques. Au temps pour les affaires intérieures de la grande Amérique… mais cela ne fait toujours pas l’affaire des particuliers et des entreprises du reste du monde dont les systèmes d’information et les communications sont violés ad majorem USA gloriam.
Reste que la révélation de l’existence de Prism déclenche un « effet domino » et entraîne la révélation d’autres barbouzeries justifiées par un prétendu terrorisme omniprésent. En attendant, quelques citoyens du nouveau monde (dont Brewster, sur Archive.org) tentent de se livrer à un petit exercice de calcul pour estimer les coûts réels que représenterait le stockage des conversations téléphoniques. Le coût estimé de ce flicage intensif est étonnamment bas. Mais les chiffres relatifs au volume de stockage donnent le vertige si l’on envisage un seul instant qu’ils peuvent s’étendre à une très grande partie de la planète, pour peu que l’on prenne en compte les communications VoIP maintenues ou tout simplement routées par les opérateurs nord-américains. Et la VoIP, c’est à nouveau du ressort de Prism.

Les prestataires de services, pour leur part, tentent de minimiser l’affaire, car le gros de leur chiffre d’affaires ne repose pas seulement sur le marché intérieur. Certains journaux français parlent de « transparence » à propos de l’attitude de Facebook et de Microsoft, ainsi l’Expansion… avec une dose d’ironie non feinte. Car cette « transparence » se limite à déclarer sans la moindre preuve que Facebook aurait rejeté une grande partie des demandes de la NSA et dicte à Microsoft d’entretenir un flou très peu artistique sur le volume des demandes de la No Such Agency. Une attitude qui s’explique assez facilement. Car si la vacuité des propos tenus sur les réseaux sociaux a peu de chances de retenir l’attention des espions nord-américains (on imagine mal un « super vilain » faire des « like » sur un service destiné teenagers), ce n’est certainement pas le cas pour ce qui concerne le contenu des fichiers stratégiques des entreprises ayant confié leur bureautique et gestion aux services Cloud de Microsoft. Une seule demande de communication de la part d’une puissance étrangère serait encore trop si elle concerne une entreprise Européenne. Les propos des porte-parole de Microsoft laissent également entendre que la responsabilité de leur communication extérieure leur a totalement échappé. Pour fournir des renseignements sur le nombre de personnes visées par Prism, il leur faut attendre l’aval des autorités fédérales. Ce qui semble logique d’un point de vue national mais totalement ubuesque sur le plan des relations commerciales internationales.

Et nos confrères de l’Expansion continuent en rapportant l’attitude de ces mêmes entreprises U.S. interrogées par… non, pas la Cnil, mais le Ministère Allemand de la Justice. Lequel ne semble avoir obtenu que des réponses en xylolangue.

Achevons avec une notre humoristique très probablement involontaire, signée du Gartner. La société d’analyse et d’étude de marché, nous apprennent nos confrères de Security News (inscription préalable nécessaire), conseille de négocier chaque contrat Cloud en exigeant des détails sur l’administration et la sécurité. Ah, s’il suffisait de cocher une case « NSA Snooping Yes/No », comme la vie des vendeurs de nuages serait simple.

Nos confrères de IT World titrent « La grande vérité de Snowden : nous sommes tous de moins en moins libre ». Un papier constellé d’understatements dignes d’un humoriste britannique. Notamment au fil d’un passage abordant la réaction des opérateurs de services Internet tels que Zuckerberg de Facebook ou Larry Page de Google, qui clament à qui veut entendre « nous n’avons pas de backdoor »… dame oui, elles serviraient à qui, elles serviraient à quoi, puisque la NSA possède un droit d’accès officiel et direct ? Ceci sans perdre de vue qu’avec leur arsenal de ZDE, les agences à trois lettres n’ont pas franchement besoin d’outils techniques aussi instables et risqués qu’une porte dérobée.

Snowden a soulevé un coin du tapis, et il y a un sacré paquet de saletés là-dessous, écrit Bruce Schneier. Avant même de poursuivre l’imprécateur pour haute trahison et divulgation de documents confidentiels visant à la sécurité nationale (mais est-ce plausible), il faudrait peut-être enquêter sur les activités « légalement illégales » de la NSA et du FBI, sur la cécité (ou la complicité) des politiques qui ont permis cette dérive. Sans oublier la manière, aux Etats Unis, dont on a l’habitude de traiter les dénonciateurs de scandales et tous ceux dont le procès pourrait à son tour déclencher d’autres procès bien plus dérangeants. Jusqu’à présent, la Sûreté U.S. ne fait pas dans la dentelle : la mise au secret dans une prison hors du pays. Si un Snowden Français faisait son apparition, devrait-on rouvrir l’Ile du Diable ou le Château d’If ? Faut-il chercher sur terre un endroit écarté Où vivre en déshonneur on ait la liberté ?*

Les USA sont-ils malades de leurs fonctionnaires ? Car un imprécateur qui dévoile quelques secrets d’Etat, c’est un épiphénomène. Deux de suite en moins de 2 ans et demi, ce n’est plus un hasard, c’est une mode, semble penser Greg Miller du Washington Post. Car l’on ne peut s’empêcher d’établir un parallèle entre l’affaire des « fuites Wikileaks des dépêches d’ambassade » de Bradley Manning et la divulgation du Powerpoint NSA Maudit d’Edward Snowden. Tous deux ont agi avec le sentiment d’une action quasi messianique. Il y a, dans l’attitude de ces deux hommes, tout le poids du folklore Hollywoodien et une grande partie du rêve américain : le mythe de l’homme investi d’une mission rédemptrice face à la corruption du système. Snowden laisse d’ailleurs clairement entendre dans un email envoyé au Whashington Post qu’il espère que son exemple sera suivi.

Mais là ne s’arrête pas la comparaison. Tous deux ont servi en Irak et ont fait partie des cohortes de militaires qui sont partis la fleur au fusil défendre la veuve et l’orphelin Qatari et sont revenus sans illusion. Tous deux n’appartenaient pas à la hiérarchie militaire, ne sortaient pas d’une université prestigieuse, tous deux, sans être de véritables hackers, possédaient une maîtrise « geekesque » des outils informatiques (Manning maîtrise la programmation en C++), tous deux disposaient des droits d’accès nécessaires pour consulter des informations confidentielles ou à diffusion restreinte. Le volume d’informations exfiltré par Manning est en revanche considérablement plus volumineux, son extraction a pris plus de temps, ce qui lui a très certainement donné à réfléchir sur le sens de ses actes et interdit de conclure que son attitude a été moins réfléchie que celle de Snowden. Lequel Snowden s’est toutefois préalablement réfugié en Chine avant que de rendre publique son document Prism. Il n’a mis nommément en cause aucune personne physique, et ne semble pas avoir laissé une « empreinte Internet » particulièrement visible derrière lui.

Dans les deux cas, il est certain que ce qui a motivé ces deux imprécateurs relève plus du sentiment d’exaspération que d’une réaction égotiste de recherche de célébrité. Exaspération elle-même née, et c’est là le paradoxe, d’un nationalisme profond et idéalisé. Lorsque l’Etat ne ressemble plus à l’image d’Epinal qu’il tente de donner, lorsque les institutions semblent ne plus faire cas de l’individu, il se crée des Lone Rangers, des Roy Rodgers, des Ralph Nader, des Erin Brokovich, des Bradley Manning et des Edward Snowden qui forcent l’admiration d’une partie de la population et de la presse nord-américaine.

Ndlc Note de la Correctrice : Citant Lapointe (Bobby) citant lui-même Jean Baptiste Poquelin, qui écrivait tout en grinçant des moliaires : de toute manière, tout est loué depuis pâques.

Passées les premières heures d’abasourdissement qui ont suivi la révélation de l’existence du réseau d’espionnage civil ourdi par la NSA, quelques organisation et ténors du monde de la sécurité commencent à réagir. A commencer par la NSA elle-même qui tente d’expliquer devant le congrès, sans surprise, que ces écoutes étaient réalisées pour le bien de la Nation et ont permis d’éviter des dizaines d’attaques terroristes.

Pour la Maison Blanche, le scoop du Guardian est une pilule difficile à avaler, estime Mathew M. Aid dans un article publié par le quotidien Chinois SCMP. Faire apparaître les USA comme un monstrueux espion qui pille la moindre donnée parcourant Internet, au moment même où le Président Obama est en visite officielle en Chine pose de sérieux problèmes diplomatiques. Face à la barbouzerie prouvé (et impossible à démentir) de la NSA, il est difficile d’accuser Pékin d’être à l’origine des fameuses Advanced Persistent Threats. L’on apprend même au fil de cet article qu’un Office of Tailored Access Operations (bureau des opérations « sur mesure ») Américain a été chargé d’effectuer des intrusions sur les serveurs stratégiques Chinois. Que fait ce Tao ? Il « glanes des renseignements sur des cibles étrangères en pénétrant subrepticement sur leurs ordinateurs et systèmes de télécommunication, en cassant leurs mots de passe, en compromettant les systèmes de protection périmétrique, en volant des données stockées sur leurs disques durs et en copiant tous les messages, tous les échanges de données possibles, des courriers électroniques aux systèmes de messagerie « texte » (SMS, ndt) ». A se demander si le rapport Mandiant sur les APT ne serait pas en fait un descriptif des méthodes utilisées par ce club de joyeux cybert-Taoistes.

Toujours dans les colonnes du South China Morning Post, Snowden en rajoute et précise « cela fait des années que les USA espionnent la Chine ». Et l’homme par qui le scandale arrive de préciser que la NSA serait à l’origine de plus de 61 000 attaques dirigées contre les serveurs Chinois.

Techniquement parlant, tout cela est plausible. Il faut se rappeler que les certificats qui ont permis à Stuxnet et à Flame (deux virus fortement soupçonnés d’être d’origine militaire U.S.) ont été volés dans le campus de la République de Chine à Taïwan (l’autre Chine). Ce qui, depuis la découverte de ce vecteur d’infection, a laissé planer bien plus qu’un doute sur le sentiment d’impunité et la brutalité des procédés de l’Administration Fédérale venant « faire ses courses » sur les serveurs appartenant à des pays souverains.

Cette brutalité est le résultat d’une lente et imperceptible dérive que les services de basse police ont su opérer, tant en Europe que de l’autre côté de l’Atlantique, en arguant par exemple que le secret de la correspondance ne s’appliquait que très peu au courrier électronique, que la notion de confidentialité des archives (privées et d’entreprise) s’était dématérialisée encore plus rapidement que leur équivalent papier, que les entraves légales (commissions rogatoires et semblables) n’avaient de raison d’être que dans la « vraie vie » et qu’elles pouvaient être considérablement allégées dès lors que l’on entrait dans le monde virtualisé des échanges numériques.

Pis encore, ces mêmes services ont compris aussi rapidement que les industriels du piratage MP3 l’intérêt d’agir dans un monde sans frontière physique. Autrement dit de pouvoir perquisitionner des espaces de stockage situés physiquement en dehors des frontières physiques de leur juridiction, en arguant une sorte de « droit du sang » lié à la nationalité (souvent U.S.) du prestataire de services, droit primant sur le « droit du sol » des infrastructures du prestataire de service. Une attitude appuyée par les demandes incessantes de « protection de la propriété intellectuelle » de la part d’entreprises multinationales. La défense des intérêts économiques, si souvent mise en avant par certains Eurodéputés ou par les faucons républicains du Sénat des Etats Unis, a fait d’Internet un véritable Far West où règne la loi du plus fort, du fait même des décisions et initiatives de ceux-là mêmes qui dénonçaient le prétendu Far West d’Internet. Entre deux spammers Ukrainiens et trois vendeurs de Viagra frelaté d’un côté, et le bigbrotherisme d’un Prism ou d’un Frenchelon, lequel des deux maux est-il le moins pire ?

Les associations de défense des libertés individuelles, tout ce que la terre compte de « EFF-Like » (plus de 80 organisations) se sont réunies pour lancer une formidable pétition planétaire. Pour la signer, il suffit de fournir ses noms, adresse email, adresse physique, code postal. Voilà qui fera un fichier de dangereux opposants de plus dans les archives du FBI. Mais au moins, ces associations réagissent … Du côté de chez nous, l’on peut lire sur la page de garde de notre Forteresse Nationale Chargée de Préserver Notre Vie Privée « Faire de l’éducation au numérique une grande cause nationale en 2014 ».