août, 2013

La NSA peut surveiller 75% du trafic Web mondial, s’émeut le Monde reproduisant une dépêche Reuter. Avoir la possibilité de surveiller 75% des sites publics ouverts à tous, c’est toujours mieux que les 100 % des débuts du protocole http… ce qui prouve que 25% de ce qui est ouvertement publié échappe potentiellement à l’analyse de la NSA. Ajoutons que les 25% en question sont très probablement surveillés et analysés à leur tour par les centrales de renseignement Chinoise, Russe… ou Française.

De manière plus sérieuse, on ne peut que remarquer une citation du WSJ mentionnée par Reuter : « la NSA est en mesure d’intercepter pratiquement toutes les informations sur la toile dès lors qu’elle dispose d’un mandat signé par un juge. » Or, comme nous le faisions remarquer ce mardi au fil de l’article sur les Faux pas de la NSA, ladite agence génère plus d’un demi-million de requêtes par jour. On ne peut donc en conclure que soit les juges nord-américains sont pléthore et passent leur temps à signer des autorisations pour le compte de la NSA, soit la notion d’autorisation est entendue en son sens le plus large, n’est sujette à aucun contrôle et échappe totalement au juge qui en a autorisé l’exécution. La question n’est pas tant sur la capacité de récupération d’information et de traitement d’ycelle par la NSA (ou tout autre service de n’importe quel pays pratiquant ce genre de sport), mais sur le fait que la machine à accumuler les soupçons et les preuves par accumulation s’est emballée et échappe à tout encadrement légal réel.

En laissant la bride sur le cou de sa principale agence de renseignements, la Maison Blanche a agi sans en cerner précisément toutes les conséquences. Un peu comme ces députés qui demandent l’intervention de l’armée dans les banlieues pour rétablir l’ordre : le court terme et le chant électoralo-sécuritaire entraînent toujours des conséquences graves qui dépassent largement le but initial.

En moins d’un an, entre 2011 et 2012, la NSA, le service de renseignements US, aurait commis près de 2800 « incidents » et violations juridiques, révèle un audit interne partiellement publié par le Washington Post. Ces statistiques englobent aussi bien les erreurs informatiques que les interprétations des demandes des juges d’instruction, non-conformité des opérations et autres erreurs relevant de la responsabilité des opérateurs.

Comme pour justifier ces erreurs, la NSA rétorque qu’il ne s’agit là que d’un problème marginal compte tenu du nombre élevé de requêtes effectuées chaque mois et qui se compteraient par milliards. Plus exactement, estime nos confrères de TechDirt, la NSA serait frappée d’une véritable boulimie de cyber-perquisitions, avec près de 20 millions d’interrogations de bases de données chaque mois. Et l’on se demande vraiment, au rythme de 600 000 requêtes/jour, comment les fournisseurs de service tels qu’Apple, Microsoft, Google ou Yahoo peuvent non seulement espérer contrôler le bien fondé de toutes ces requêtes, mais en plus affirmer que ne sont autorisées que celles jugées nécessaires à la défense des intérêts nationaux. Devant un tel emballement du système de flicage, aucun outil de contrôle n’est véritablement concevable. Ou alors, il y a, au sein des « big five », un demi-million d’avocats et experts juridiques capables d’évaluer dans la journée chaque demande de la No Such Agency.

Bitcoin, pour ou contre la « reconnaissance d’Etat » ? Deux éclairages, l’un par le site BFM, l’autre par le très conservateur Bob Graham, arguent chacun du danger que représente cette monnaie, vecteur probable de trafic et de blanchiment d’argent. Pour l’Allemagne, taxer les transactions Bitcoin, c’est déjà s’assurer que ces flux financiers n’échapperont pas à la politique fiscale nationale, en espérant ainsi que la déclaration des transactions constituera une garantie de légalité des opérations. Graham, de son côté, pense que la reconnaissance de cette « non-monnaie » non-sonnante et non-trébuchante (d’autant moins trébuchante que sa parité varie très rapidement) va plonger un peu plus le Bitcoin dans l’underground. En légalisant le Bitcoin, on supprime toute possibilité de représailles dit en substance le patron d’Errata Security.

L’opération friserait le million de dollars. IBM a officiellement annoncé son intention d’acquérir Trusteer, entreprise spécialisée dans la protection des systèmes d’information du domaine bancaire par détection des transactions frauduleuses et usurpation d’identité (analyse comportementale notamment).

Inside Secure, un industriel spécialisé dans la fabrication d’équipement de payement sans contact (processeurs, NFC, RFID…) annonce avoir acquis la licence de la technologie DRM (Digital Rights Management) TrustedShow de Trustonic. Trustsonic possède un savoir-faire dans l’intégration de DRM dans des processeurs ARM, visant ainsi le marché du verrouillage de contenu sur matériel embarqué.

Dans une ultime tentative pour maîtriser la situation, les autorités Britanniques viennent de commettre une double erreur : arrêter et interroger durant plus de 7 heures le compagnon de Glenn Greenwald, le journaliste qui a couvert l’affaire Snowden pour le compte du quotidien, puis effectué, sous les yeux des journalistes, une « saisie-destruction » du matériel informatique de la rédaction. L’article de l’Associated Press relatant ce véritable autodafé a été repris par la majorité des médias anglophones, dont le Washington Post.

Lorsqu’un gouvernement s’attaque à ses propres médias, il tourne le dos ouvertement aux fondements même de la démocratie.

Les réactions de Greenwald ne se sont pas faites attendre. Il aurait alors déclaré posséder quelques cartouches en réserve, et promet des révélations fracassantes sur les services d’écoute tant Nord-américains que Britanniques (propos rapportés dans la matinée du 20 août notamment par nos confrères de France Culture). S’engage alors une partie de bras de fer, dans laquelle le gouvernement Cameron tente de satisfaire son homologue US et la presse d’Outre-Manche combat pour sa sacro-sainte indépendance, Raison d’Etat ou pas.

Cette double opération policière (une intimidation personnelle indirecte et une destruction de preuve) montre à quel point Londres est désemparé. La destruction des disques durs du journal relève de la gesticulation la plus infantile et la plus inutile qui soit, les données sensibles étant probablement depuis longtemps réparties sur une multitude de serveurs. C’est là visiblement le signe d’une intense frustration et certainement d’une absence de maîtrise de soi, un véritable paradoxe au pays du self control … Quant à l’arrestation et à l’interrogatoire du compagnon de Glenn Greenwald sous des prétextes d’antiterrorisme (l’acte de terrorisme consistant en l’occurrence à signaler les actes d’espionnage d’une puissance étrangère), elle prouve, si besoin était, à quel point les services de renseignement de la Grande Bretagne sont totalement inféodés aux décisions de Washington. Les intérêts des îles Britanniques sont ici ceux du Grand Large, en totale contradiction avec ceux de l’Europe.

Une Europe qui, de son côté, gesticule tout autant. Plus d’une centaine de titres Français (dont Le Monde, le Point, L’Expansion…) reprennent l’information du jour : les Cnil Européennes, regroupées sous la bannière du G29, ont saisi la Commission Européenne et demandent des éclaircissements sur le programme Prism. Il leur aura fallu plus de 70 jours pour réagir. L’espoir que l’information retomberait rapidement dans l’oubli ? A se demander si les photocopieuses de Bruxelles sont tombées en panne, car il suffirait de reprendre les principaux chapitres du Rapport Echelon A5-02-64/2001 et des travaux de MM Duncan Campbell, Franck Leprevost et Chris Elliot commandités par le STOA (Science and Technology Options Assessment dépendant du Parlement Européen) pour en tirer des conclusions identiques et provoquer des réactions également identiques, c’est-à-dire inexistantes. Lorsque les choses vont mal, l’Eurocratie se plonge dans l’écriture de rapports et généralement sur un sujet très éloigné du fond du problème. Si études et propositions de solutions devaient être entamées, cela ne devrait-il pas être plutôt sur la responsabilité politique de la Grande Bretagne dans cette affaire d’espionnage, sur son zèle à étouffer l’affaire, sur sa participation active dans le concert UKUSA, ainsi que sur l’absence de volonté d’autonomie stratégique de l’Europe elle-même dans le domaine des TIC. Une autonomie (et non nécessairement une indépendance) qui ne peut se mettre en place que par le biais d’efforts financiers mis en commun, et non par le truchement de saupoudrages nationaux servant plus à une politique de subventions ne favorisant que quelques grands opérateurs et sociétés d’ingénierie …

Toute vie privée cesse aux frontières de Gmail. Ce secret de polichinelle, révèlent nos confrères du Consumer Watchdog, n’appartient plus au domaine de « l’opinion » ou de la suspicion mais à celui de la certitude juridique. « People should not expect privacy when they send messages to a Gmail account » ont affirmé les avocats de l’entreprise devant une cour fédérale US à l’occasion d’une tentative de procès collectif portant précisément sur cette atteinte à la vie privée.

Ce qui, en temps normal,n’aurait pu attirer l’attention que d’un journal de défense des consommateurs prend une toute autre dimension à la lumière des évènements passés. Elle nous rappelle en premier lieu le peu de cas que l’ancien timonier de Google faisait de tout ce qui se rattachait aux informations personnelles comme nous le rappelait le Huffington Post il y plus de trois ans : seuls les criminels ont quelque chose à cacher sur Internet, les personnes ne souhaitant pas voir la photographie de leur maison sur Google Street peuvent déménager… Les petites phrases du bon docteur Schmidt avaient, en leur temps, fait les grands titres des quotidiens. Ce n’était alors que des mots dépassant parfois la pensée de son auteur croyait-on. Jamais l’on n’aurait pu imaginer, à la lumière des révélations Prism/Snowden, à quel point elles étaient empreintes d’un certain cynisme. Si les Internautes ont la mémoire courte (comme doivent l’espérer bon nombre de grands opérateurs de services compromis par les fichiers Snowden), Internet lui-même a la mémoire longue, et le « droit à l’oubli » des petites phrases et des petits actes des grands hommes du monde IP ne s’évanouissent pas avec le temps. Rappelons que déjà un souci du flicage fit couler de l’encre à l’époque et ce, encore sous la férule du Docteur Schmidt lors du projet « Digital Me » de Novell (bien avant le rachat Attachmate). En un temps où le rêve avoué était d’unifier, dans le monde entier, les fichiers médicaux, la carte d’identité numérique, les informations bancaires dans une seule et unique carte à puce à l’aide d’un formidable annuaire distribué. C’était l’époque bénie du boom des annuaires universels, du grand combat entre Microsoft Passport et OpenID et du désir de fichage universel envisagé par les éditeurs de logiciels. On frémit à l’idée de ce qu’aurait pu en tirer Prism …

Un Prism qui, en l’espace de deux mois, a pratiquement su se faire oublier. Les titres des journaux grand public ne considèrent les « révélations » d’Edward Snowden que sous l’angle de l’espionnage d’Etat (ce qui, depuis Carnivore, n’est une nouvelle pour personne) et passent sous silence ce qui pourtant devrait être le fond du scandale : l’implication (la complicité active pourrait-on dire) des entreprises US du secteur de la prestation de services Internet dans cette grande aventure barbouzesque. Tout au plus a-t-on pu lire quelques cris et protestations de quelques acteurs du Cloud Computing qui hurlaient à la mort financière, alléguant que la perte de confiance, conséquence des révélations Prism, leur avait déjà fait perdre « des millions de dollars ». Estimations non fondées la plupart du temps, visant essentiellement à faire passer l’intéressé du statut peu reluisant de mouchard à celui plus sympathique de victime. Pour que cette perte financière soit confirmée, car elle est, pour l’heure, aussi virtuelle que les veaux, vaches, cochons et couvées de Perette, il faudra attendre au moins la remise des formulaires boursier 10K en fin d’exercice fiscal 2013, puis à ce moment-là effectuer un contrôle statistique sur l’évolution du C.A. desdites entreprises. Il est donc encore bien trop tôt pour émettre et pouvoir considérer de telles affirmations. Gageons que les révélations Prism n’auront pas fait tressaillir les administrateurs d’Office365, d’iCloud, de Zoho, de Google Apps (même après les susdites affirmations de ses avocats) ou d’Adobe Creative. Les clients des services en ligne resteront fidèles ne serait-ce que pour des raisons de captivité liée à une situation de quasi-monopole. L’espionnage, ça n’existe donc que chez les autres et sur les manchettes des journaux.

« Non, l’espionnage est moralement inacceptable, sachez dire « non » aux sirènes de l’Administration Fédérale, au prétendu prestige de ces réunions secrètes avec le Président Obama » écrit en substance Bruce Schneier sur son blog. « Votre image de marque en prendra nécessairement un coup, car tout finit par se savoir. Si ce n’est pas par le biais des fuites Snowden, se sera grâce au travail d’un autre imprécateur ». Et de conclure « la NSA ne peut demeurer éternellement au-dessus des lois ».

Quelle importance pour les acteurs et consommateurs que nous sommes ? Quasiment aucune. L’électrochoc Snowden n’a fait que remettre en perspective le fait qu’il n’existe plus en nos contrées la moindre trace d’une industrie représentative dans le monde des services IP, de l’édition de logiciels et de systèmes d’exploitation et que l’économie Européenne est pieds et poings liés devant les 5 grands vendeurs US. Le fait de savoir ou pas que ce qui est proposé sur le marché soit faisandé par les services de renseignement nord-américain n’est qu’une question rhétorique : il n’existe aucune solution de rechange comparable en Europe, ce qui nous contraint de subir la situation avec stoïcisme. Le problème se résume donc à cette simple question : accepter d’être espionné ou périr, sans le moindre espoir (à quelques rodomontades près) que la sphère politique puisse soit nous protéger de l’attention soutenue du « grand large », soit encourager le développement de solutions nationales viables.

Des politiques d’ailleurs d’une assourdissante passivité, probablement la fautes aux grandes vacances… ou, comme le suggère notre confrère Olivier Laurelli de Reflets, d’une trop grande discrétion au nom de l’Union Internationale des Spécialistes SigInt. La NSA, aurait révélé un récent article du Guardian, possède également un accès aux fichiers des grands spécialistes du Cloud Télécom et Radio que sont les services secrets Britanniques (rien de très surprenant, on appelle ça l’alliance UKUSA) mais également Danois, Hollandais, Allemands, Espagnols, Italiens et… Français. Une autre série de révélations ayant pour source un autre « ex employé de la NSA », 5.Wayne Madsen. La succession de Snowden est assurée, le complexe de Schmidt n’est pas prêt de disparaître.

Trois failles « seulement » sont considérées comme critiques par le Response Team de Microsoft, sur un total de 23 CVE. On notera au passage que cette série de rustines mensuelle contient un « cumulatif Internet Explorer » MS13-059 portant l’étiquette « critique ». Il faut dire qu’il aurait été difficile de louper un tel abysse, puisque le défaut qui valut au correctif cette pourpre cardinalice fut un des clous du concours P0wn3d20wn lors de la dernière conférence CanSecWest.