Rien n’est plus inquiétant qu’un ennemi intérieur. La frustration qu’accompagne le sentiment de trahison qui suit cette découverte semble pire encore que toute acte, toute attaque provoquée par un adversaire ouvertement déclaré. C’est sur cette crainte sourde que tablent les marchands de DLP et sur cette psychose que font fortune les boutiquiers du vidéoflicage. Des angoisses qui, dans la majorité des cas, peuvent être classées sous l’étiquette « FUD » : Fear Uncertainty and Doubt. Certains FUD avaient même, tel le serpent de mer, le pouvoir de ressurgir à périodes régulières, ainsi les fameuses « backdoor de la NSA dans les noyaux Unix » ou les « spyware camouflés dans le silicium des Bios d’ordinateurs ».
Mais ça, c’était « avant ». Depuis que pas mal de doutes ont été transformés en quasi certitudes ou en lourds soupçons, et les réactions ne se font pas attendre. La plus importante d’un point de vue politique, cette semaine, a été l’annonce de la Présidente Dilma Rousseff, laquelle souhaite voir se développer un Internet Brésilien indépendant des infrastructures américaines et de la mainmise des services de renseignement US, nous apprend un article du World Time. Il faut dire qu’en matière d’interventionnisme dans les pays d’Amérique du Sud, les Etats-Unis ont une longue tradition et quelques réflexes conditionnés. Le développement économique du Brésil est tel que cette déclaration de cyber-indépendance doit être prise très au sérieux. Cette volonté d’indépendance numérique est d’ailleurs une constante au sein des « Bric », notamment en Russie et en Chine. Ce qui fait dire aux experts interrogés par le World Time que cette recherche d’indépendance risque de se transformer en une forme détournée de contrôle des voies de communication par des gouvernement à caractère totalitariste ou despotique. « La preuve, disent-ils en substance, il suffit de constater en Russie, en Chine, En Syrie, en Iran les conséquences de cette mainmise sur les outils de communication, la censure qui y est appliquée et la surveillance exercée contre les habitants de ces pays … ». Le lecteur sachant lire entre les lignes aura compris : il ne peut exister de véritable démocratie sans un internet « ouvert », ouvert surtout aux services de renseignement US. L’espionnage de la totalité d’Internet par les services de police des Etats-Unis ne serait qu’un léger prix à payer pour que règnent la paix, la démocratie et la liberté d’expression dans le monde.
Encore un peu de cyber-cinquième colonne avec cette confidence de Linus Torvalds lors de la conférence LinuxCon qui s’est déroulée à la Nouvelle Orléans, rapportée par nos confrères d’ eWeek. « A la question avez-vous été approché par le gouvernement US pour que soient insérées des portes dérobées dans le noyau Linux , Torvalds a répondu Non, tout en hochant la tête de manière affirmative » rapporte le journaliste Sean Michael Kerner.
Autre ennemi intérieur, celui qui se cache dans nos bras (ou ceux de nos ordinateurs), égorgeant nos fils de discussion et nos campagnes de communication. Et l’on en revient aux craintes fondamentales, celle de la Evil backdoor of the NSA. C’est Bruce Schneier qui en parle le premier, et qui aborde la question des « bugs NSA cachés dans l’électronique de nos ordinateurs ». Et si, se demande Schneier, les générateurs de nombres aléatoires intégrés dans les processeurs de nos machines étaient limités dès la conception, avec une faille « NSA Inside » ? La chose est quasi impossible à prouver, mais la question doit être posée. Cette vision du « bug d’implémentation » purement et simplement suggérée par les services d’espionnage US avait déjà été exposée par Rémi Février à l’occasion de la manifestation Hack in Paris.
Pourtant, les parades existent, qui n’exigent strictement aucune compétence particulière. La génération d’un nombre aléatoire généré à partir de bruit (bruit thermique par exemple, tics d’un rayonnement atomique ou toute autre source d’entropie) ne doit pas nécessairement passer par une fonction Rand d’un processeur dont on ne connaît pratiquement rien de la structure interne. Citons, en vrac, et par ordre de complexité technique, le générateur du Neug, l’implémentation de la clef cryptographique GnuPG Gitorious , la réalisation matérielle de ce qui précède (en kit… plus simple encore qu’un GoodFET), sans oublier un papier passionnant sur les diodes de Chua, un générateur de bruit reposant sur un composant imaginaire que l’on peut parfaitement modéliser avec une électronique conventionnelle. Ce qui prouve que lorsque les informaticiens tentent de dialoguer avec des électroniciens, les résultats font généralement des étincelles.
NdlC Note de la Correctrice : Le passage consacré à la fabrication d’un générateur de nombres aléatoires répond à une question posée par une de nos lectrices régulières, Madame Karine Belpère, de Loche, qui nous demander comment réaliser un tel équipement pouvant être partagé sur un réseau local. Si la génération d’un « bruit » aléatoire est un problème assez peu complexe (résistance carbone chauffée, bruit radio sur des bandes hyperfréquences, diode zener ou avalanche etc.), celui de la conversion de ce bruit en données numériques est un peu plus délicat, car parfois lié à la limitation d’un convertisseur analogique/numérique ou au seuil de déclanchement d’un trigger de schmitt par exemple. Une fois la question de cette conversion résolue, l’interface Ethernet et la diffusion des séquences en mode « chargen » est à la portée du premier Arduino venu. Les développements open source ci-dessus mentionnés nous aident à y voir plus clair tout en obscurcissant l’acuité visuelle de la NSA, ce qui représente un double tour de force. Nous remercions Madame Belpère d’avoir posé cette passionnante question.