août 22nd, 2013

Matthew M. Aid, auteur d’ouvrages sur la NSA et éditorialiste-blogueur, attire l’attention de ses lecteurs sur l’aspect « effrayant » de petits quadcopters télécommandés.

Pourquoi « effrayant » ? Parce qu’au cours d’une manifestation en Allemagne, l’un de ces appareils équipé d’une caméra a pu pénétrer dans l’espace aérien d’un camp de la NSA et prendre quelques images du parking attribué à cette fascinante synthèse de l’esprit et du muscle que sont Les Barbouzes.

Il n’est pas inutile de rappeler que l’aéromodélisme, que l’on désignait autrefois sous le sobriquet de « F1000 » (du nom de la licence d’exploitation radio qu’il fallait alors détenir) est une activité ludique qui existe depuis une bonne cinquantaine d’année, tant en France qu’aux Etats-Unis. Que la mode des quadcopters et autres ballons captifs, si elle a largement contribué à rajeunir le mouvement, n’a en rien, ou presque, modifié ses pratiques. Et qu’une agence de super-espions dont les secrets seraient compromis par une caméra montée sur hélices aurait quelque intérêt à revoir en profondeur ses fondamentaux.

Mais là n’est pas le fond de la question. A périodes régulières, des éditorialistes s’émeuvent des risques que représenteraient les jardiniers, utilisateurs de désherbants à base de chlorate (alors on interdit le chlorate par décret), craignent que l’usage généralisé de raticide entraîne une vocation chez certains lecteurs d’Agatha Christie (et l’on réserve la vente de certains produits au seul usage de professionnels), s’imaginent que la possession d’un scanner IP ou d’un CD de Backtrack transforme le primo-informatisé en dangereux pirate (et l’on promulgue une loi sur la confiance numérique qui stigmatise chaque usager et la lui fait totalement perdre, cette fameuse confiance numérique). La science, qu’elle soit chimique, électronique, physique ou mécanique, fait peur à certains politiques, et notamment à ceux particulièrement doués d’imagination pour tout ce que Bruce Schneier appelle les « incredible movie plot », ou scénarii catastrophe hautement improbables.

Monter un four à plasma, jouer avec un quadcopter miniature, fabriquer de toute pièce un émetteur-récepteur logiciel capable de décoder quasiment tous les types de modulation possibles traînant sur le spectre radioélectrique, apprendre la chimie et la biologie par la pratique, synthétiser des nanoparticules de carbone, plancher sur l’art et la manière de mettre à mal, puis renforcer, les défenses périmétriques d’un réseau informatique, cela s’appelle du hacking. Et c’est, pour l’heure, la meilleure filière de formation pluridisciplinaire, polytechnique qui soit. C’est par le développement de hackerspaces et fablabs, par l’encouragement de ces structures de recherche et d’échange de connaissance qu’un Etat peut espérer voir « aussi » se développer des compétences qui donneront naissance à des pépinières de startup : le culte du garage qui donna naissance à des Microsoft, à des Apple ou HP existe toujours. Mais prenons garde à ne pas tuer dans l’œuf ces élans d’inventivité sous prétexte de risques probables.

Les radioamateurs (hackers d’installations wireless) existent depuis les années 20, les chimistes amateurs depuis plus longtemps encore, et le fardier de Cugnot, bricolage diabolique qui terrorisa quelques vaches et détruisit quelques murs, est contemporain de la Révolution Française. Ils n’ont, jusqu’à présent, provoqué aucun Armageddon.

La NSA peut surveiller 75% du trafic Web mondial, s’émeut le Monde reproduisant une dépêche Reuter. Avoir la possibilité de surveiller 75% des sites publics ouverts à tous, c’est toujours mieux que les 100 % des débuts du protocole http… ce qui prouve que 25% de ce qui est ouvertement publié échappe potentiellement à l’analyse de la NSA. Ajoutons que les 25% en question sont très probablement surveillés et analysés à leur tour par les centrales de renseignement Chinoise, Russe… ou Française.

De manière plus sérieuse, on ne peut que remarquer une citation du WSJ mentionnée par Reuter : « la NSA est en mesure d’intercepter pratiquement toutes les informations sur la toile dès lors qu’elle dispose d’un mandat signé par un juge. » Or, comme nous le faisions remarquer ce mardi au fil de l’article sur les Faux pas de la NSA, ladite agence génère plus d’un demi-million de requêtes par jour. On ne peut donc en conclure que soit les juges nord-américains sont pléthore et passent leur temps à signer des autorisations pour le compte de la NSA, soit la notion d’autorisation est entendue en son sens le plus large, n’est sujette à aucun contrôle et échappe totalement au juge qui en a autorisé l’exécution. La question n’est pas tant sur la capacité de récupération d’information et de traitement d’ycelle par la NSA (ou tout autre service de n’importe quel pays pratiquant ce genre de sport), mais sur le fait que la machine à accumuler les soupçons et les preuves par accumulation s’est emballée et échappe à tout encadrement légal réel.

En laissant la bride sur le cou de sa principale agence de renseignements, la Maison Blanche a agi sans en cerner précisément toutes les conséquences. Un peu comme ces députés qui demandent l’intervention de l’armée dans les banlieues pour rétablir l’ordre : le court terme et le chant électoralo-sécuritaire entraînent toujours des conséquences graves qui dépassent largement le but initial.

En moins d’un an, entre 2011 et 2012, la NSA, le service de renseignements US, aurait commis près de 2800 « incidents » et violations juridiques, révèle un audit interne partiellement publié par le Washington Post. Ces statistiques englobent aussi bien les erreurs informatiques que les interprétations des demandes des juges d’instruction, non-conformité des opérations et autres erreurs relevant de la responsabilité des opérateurs.

Comme pour justifier ces erreurs, la NSA rétorque qu’il ne s’agit là que d’un problème marginal compte tenu du nombre élevé de requêtes effectuées chaque mois et qui se compteraient par milliards. Plus exactement, estime nos confrères de TechDirt, la NSA serait frappée d’une véritable boulimie de cyber-perquisitions, avec près de 20 millions d’interrogations de bases de données chaque mois. Et l’on se demande vraiment, au rythme de 600 000 requêtes/jour, comment les fournisseurs de service tels qu’Apple, Microsoft, Google ou Yahoo peuvent non seulement espérer contrôler le bien fondé de toutes ces requêtes, mais en plus affirmer que ne sont autorisées que celles jugées nécessaires à la défense des intérêts nationaux. Devant un tel emballement du système de flicage, aucun outil de contrôle n’est véritablement concevable. Ou alors, il y a, au sein des « big five », un demi-million d’avocats et experts juridiques capables d’évaluer dans la journée chaque demande de la No Such Agency.