octobre 9th, 2013

Tor espionné par la NSA grâce à quelques exploits visant Firefox : tous les détails publiés par le Guardian et le Washington Post sont compilés et détaillés par Bruce Schneier au fil de son Blog. On y parle de Girafes Egotistes (bel hommage des hommes de l’ombre à Stendhal), de Renard Acide, de Gâteaux Quantiques, de Tourmente, autant de noms de code d’outils et de serveurs utilisés par la NSA pour compromettre le navigateur des usagers du réseau chiffré Tor et les orienter vers des serveurs-espions. L’on notera au passage que la communauté hacker (ainsi que le noyau dur de l’équipe de développement de Tor), si prompte à conspuer les travaux d’Eric Filliol sur le sujet en octobre 2011, est étonnamment muette, deux ans plus tard, devant ce hack systématisé. Tor sous-mariné par la NSA, tout le monde s’en doutait, Snowden l’a confirmé.

On notera au passage que les techniques d’attaque « Man in the middle », que l’usage de « droppers » et de serveurs de mise à jour de malware, tant appréciés par les cyber-mafias du RBN et héritiers, est maîtrisé avec la même virtuosité par les barbouzes américaines. Mêmes méthodes, mêmes moyens, même chanson, même refrain.

Mais la vie de super-espion n’est pas drôle tous les jours. La NSA connaît également certaines restrictions. Oh, non pas politiques, encore moins budgétaires, mais électriques, nous apprend Forbes. Le formidable centre d’espionnage situé dans le sous-sol de l’Utah n’est pas assez au courant, au sens propre du terme. Du coup, les teraflops en ligne sont quasiment incapables de remplir leur besogne. Pour le contribuable US, qui a payé des milliards de dollars d’équipement pour pouvoir librement se laisser espionner, la pilule est amère, l’électrochoc difficilement supportable. Rien que la note d’électricité mensuelle frise le million de dollars, assurent nos confrères de la presse économique. Mais les résultats ne sont pas à la hauteur de la facture, la faute aux installateurs qui auraient mal équilibré les charges dans l’organisation de la structure informatique du centre. Du coup, il arrive que des arcs électriques bondissent de boîtier en boîtier à périodes régulières, détruisant allègrement quelques centaine de milliers de dollars d’appareils à chaque saute d’humeur et de courant. L’origine de ces déséquilibres de potentiel manifestement très importants est totalement mystérieuse, encore inconnue à ce jour. Ce qui permet à nos confrères de conclure que le datacenter de la NSA est de loin bien plus important du monde, surpassant ceux de Microsoft, Amazon ou Google qui, eux, n’ont encore jamais rencontré ce genre de problème.

Ces contingences domestiques ne sont rien en regard des cas de conscience posés par le recrutement. Un bon agent de la NSA doit être à la fois discret (du moins légèrement plus qu’un certain Snowden) et compétent. La chasse aux cerveaux prend alors une tournure festive démesurée. On est loin du « wallpaper-CTF de l’Anssi », le Pentagone et la No Such Agency organisent du grand et du lourd affirment nos confrères du Washington Post. Seulement voilà, pour entrer à la NSA, il faut être « propre sur soi » « Applicants must have exceptionally clean records. That means no arrests or expulsions for hacking into school computers or shutting down Web sites ». C’est le mythe du premier de la classe qui ouvre un coffre-fort comme un caïd sorti tout droit d’un roman de Simonin et qui restitue l’intégralité de son contenu à ses chefs, espionne sa voisine sur ordre et sans le moindre état d’âme et hacke 100% des systèmes connus sans jamais avoir piraté la plus petite copie de Sim-City ni volé le moindre caramel mou. Soit les futures recrues n’ont pas fait philo première langue et possèdent un sur-moi en acier trempé (mais assez souple pour se satisfaire de la Raison d’Etat), soit le fantôme d’Eugène-François Vidocq en rit à gorge déployée.

Quand on parle de cyber-espionnage et de NSA, en général, Dilma Rousseff, la Présidente du Brésil n’est jamais très loin. Cette semaine, elle s’en prend au gouvernement Canadien, et plus particulièrement aux Communications Security Establishment Canada qui auraient orchestré une série d’écoutes téléphoniques visant le Ministère des Mines et de l’Energie du Brésil, ainsi que l’Ambassadeur en poste au Canada. Une révélation du New York Times qui survient quelques mois à peine après que l’on ait appris que Madame Rousseff elle-même ainsi que la direction de la compagnie pétrolière nationale Petrobras aient fait l’objet des attentions particulières de la NSA. Encore une révélation signée Snowden.

Quant aux écoutes du réseau de téléphonie mobile utilisé à l’encontre des citoyens des Etats-Unis, elles ne portent pas sur le contenu, juré-craché… ce n’étaient jusqu’à présent que des tests. Des tests qui se sont étalés, du moins officiellement, sur plus d’un an nous apprend encore et toujours le Washington Post. Le quotidien relate les dires du Directeur de la NSA interrogé par une commission Sénatoriale. Ce projet de surveillance se « limitait » à effectuer des collectes de points de géolocalisation en utilisant les capacités goniométriques des réseaux GSM. Une activité généralement très encadrée par la justice, que ce soit en Europe ou aux Etats-Unis, et qui n’est autorisée que dans le cadre de recherches dans l’intérêt des familles ou enquêtes portant sur des opérations de grande délinquance. En marge de cette audition Sénatoriale, se pose la question de la conservation dans les archives de la NSA qui, durant plus de 300 jours, a littéralement enregistré les parcours des citoyens ainsi surveillés. L’on s’interroge également sur ce que pourrait bien en tirer la NSA. La fréquentation de certains lieux, s’ils sont communs à ceux visités par des personnes recherchées ou soupçonnées d’activité illégales, pourrait bien transformer un innocent quidam en un suspect numéro 1 dans une affaire de terrorisme. Etre là, au mauvais moment, au mauvais endroit, voilà qui devient de moins en moins le début d’un bon roman policier et de plus en plus l’amorce d’un mauvais cauchemar kafkaïen. Dans cette grande valse des suspicions qui en entraînent d’autres, dans cet univers d’analyse des « degrés de relations », tout le monde finit un jour ou l’autre par se découvrir un lien quelconque avec un Chef d’Etat, un artiste réputé, un chercheur de renom ou un poseur de bombes.

L’ensemble de ces quelques péripéties qui ont émaillé le quotidien des agents de la NSA s’est déroulé sur moins de 4 jours de lecture des quotidiens US. On ne peut avoir qu’une pensée émue envers ces hommes de l’ombre qui cherchent en vain à vivre heureux et cachés, qui, sans cesse, se retrouvent en butte aux harcèlements de la presse, des politiques, des imprécateurs, des internautes et de l’opinion internationale.

Rarement décision de justice n’aura entraîné autant de commentaires à chaud, tant dans la presse que sur les réseaux sociaux : le tribunal de Pau a condamné un usager professionnel de Paypal sous prétexte qu’en utilisant ce système de transaction, l’intéressé avait techniquement ouvert un compte au Luxembourg, base centrale de Paypal Europe. Or, le fait de ne pas déclarer l’existence d’un compte en banque situé à l’étranger est considéré comme une dissimulation et passible d’une amende de 1500 euros, quand bien même ce compte ne contiendrait pas le moindre centime. Fermez le ban.

Pour bon nombre de fiscalistes, cette décision est inepte, puisque le jugement ne fait pas la différence entre (ou du moins confond) un compte technique et un compte fiduciaire. Inepte également car allant à contre-courant des habitudes de la Justice dans des affaires analogues. La fameuse « liste des 3000 » provenant de la HSBC Genevoise ne compte que 3000 noms qu’après expurgation des comptes vides ou négatifs… hors, comme chacun le sait, un compte vide ou négatif ne constitue un compte de transit et de blanchiment d’argent que dans les mauvais romans policiers ou les films de seconde zone. Jamais, en aucun cas, dans la vraie vie, surtout si ceux-ci appartiennent à des notables ou des personnages politiques en vue. Mais après tout, Vae Victis…. Un antiquaire de province n’est pas un Ministre.

Débordées par les avalanches d’appels téléphoniques, les perceptions de France et de Navarre assuraient leurs chers contribuables qu’un compte « vide » et ne servant qu’à acheter (et non à encaisser la moindre somme) n’était pas soumis à cette obligation de déclaration. Une interprétation qui elle-même semble en contradiction partielle avec le jugement de Pau et avec l’éclairage qu’en donnent plusieurs experts, les un s’exprimant par voie de presse radio-TV, les autres sur les réseaux sociaux ou via la presse en ligne. « En cas de doute, tirez dix centimètres de formulaire Cerfa 11916*06 (http://www.impots.gouv.fr/portal/dgi/public/popup;jsessionid=DBBEEJC1YWD31QFIEIPSFFA?temNvlPopUp=true&action=openImprime&docOid=ficheformulaire_3791&typePage=ifi01&hlquery=null) propres et sec » insistent les plus prudents

Mais le principal danger que cette décision risque fort d’entraîner est ce que l’on pourrait appeler une « réaction Hadopi ». Face à un risque de poursuites légales, les habitués d’eBay ou du Bon Coin pourraient changer de mécanisme de payement comme d’autres abandonnent le Peer to peer pour se lancer dans le Direct Download. Et les alternatives ne manquent pas. Ce serait une aubaine pour les organismes financiers ne garantissant pas, contrairement à Paypal, la transaction de bout en bout (Moneygram, Western Union, Cash Deposit de Wells Fargo, REloadit), et dont on sait l’intérêt que leurs portent escrocs, scammers et autres artistes de l’entourloupe Nigériane.

Pis encore, les internautes pourraient recourir aux services de certaines banques en ligne Russes réputées pour leur totale absence de transparence et de scrupules, celles-là même qui alimentent les caisses noires des mafias de l’Est et sont si prisées des Bot Herders et professionnels du skimming. Un juge d’instruction un tant soit peu au fait des réactions du public et du marché bancaire en ligne ne peut ignorer l’existence de ces réseaux, et a certainement rendu son jugement en parfaite connaissance de cause et en pleine conscience de ses conséquences. On ne peut soupçonner un grand magistrat d’avoir pris une décision irréfléchie.

Dans le milieu du hack matériel « noble » et du DIY, de la vente de particulier à particulier, de la vie associative ou dans le monde des collectionneurs amateurs, on ne vit que par une foultitude d’échanges, d’achats mutuels, de groupements de revente, et donc de comptes paypal servant à des collectes souvent destinées à « payer les timbres » ou alimenter des caisses d’association. Dans ces cercles-là, le mot d’ordre a immédiatement été donné : règlements en liquide à partir de ce jour. La décision de Pau a eu, à un petit niveau, pour première conséquence d’enterrer un peu plus, d’occulter plus encore, une mini-économie parallèle touchant des millions de personnes, et ainsi inciter les contribuables à des pratiques noyant les fraudes (les véritables) par foisonnement dans un océan de petites transactions.