juillet, 2015

King cope publie, sur la liste Full Disclosure , la recette d’un moyen simple pour éliminer le nombre maximum d’essais d’OpenSSH lors d’une authentification, facilitant ainsi les attaques brute force.

Lorsque Charlie Miller écrit dans un Twitt « Cette mise à jour ne va probablement pas vous sembler importante, mais croyez-moi, si vous en avez la possibilité, vous devriez vraiment déployer celle-ci ». Le message de Miller renvoie sur une alerte de sécurité qui ne porte ni la signature Adobe, ni l’estampille « Internet Explorer », mais le logo Fiat-Chrisler Automobiles.

Le même jour, Andy Greenberg, de Wired, publie un très long article sur sa journée durant laquelle lui et sa Jeep Cherokee se sont fait hacker par Charlie Miller et Chris Valasek.

Miller et Valasek n’en sont pas à leur coup d’essai. Déjà, par le passé, les deux chercheurs avaient démontré qu’il était possible de prendre le contrôle de la direction et du système de freinage sur des modèles Ford et Toyota. Mais à l’époque, le hack avait été minimisé par les constructeurs, arguant du fait qu’il était nécessaire d’avoir eu accès à la prise de diagnostic (située à l’intérieur du véhicule) pour conduire à bien cette compromission. L’équivalent, en quelques sortes, de « l’accès console » dans une attaque informatique classique.

Cette fois, la compromission est bien plus spectaculaire, puisque la prise de contrôle est effectuée à distance. Par Wifi, dans un premier temps, ce qui limite tout de même un peu l’importance du hack. Mais Miller découvre que l’attaque peut être conduite via la liaison cellulaire qui alimente en données le système d’aide à la conduite de l’automobile. « Uconnect’s cellular connection also lets anyone who knows the car’s IP address gain access from anywhere in the country » affirme Miller. Uconnect est un système commun à une multitude de modèles chez Chrysler.

Une courte séquence vidéo montre Greenberg aux prises avec sa Jeep récalcitrante. Absence de freinage, tableau de bord fournissant des indications de vitesse fantaisiste, coups de volant imprévisibles, accélérations brutales et coups de kaxon intempestifs… il faut avoir le cœur bien accroché pour prendre un passager comme Chris Valasek.

Il faut également faire preuve d’un certain détachement lorsque l’on confie le fruit de ses recherches à un journaliste. Car Greenberg veut trop en faire. Il accentue l’aspect mélodramatique de la situation. La « route 40 » sur laquelle sont effectués les tests se transforme en « Interstate 40 »… une autoroute, avec une circulation dense, des véhicules circulant à grande vitesse, des poids-lourds « 18 roues » se ruant, aveugles, sur le véhicule compromis… Oui, il faut savoir appâter le lecteur, lui faire vivre le scénario-catastrophe auquel il pourrait être confronté si le secteur automobile continue sur cette voie de l’informatique embarquée bâclée. Mais à trop vouloir crier au loup, Greenberg provoque un effet inverse. La preuve sur le blog de Richard Bejtlich qui titre « Aller trop loin pour avancer une preuve ». Le Maître du Tao de la sécurité reprend précisément les passages les plus anxiogènes (et peut-être les plus douteux) de l’article publié dans Wired. Où se situe la frontière entre le sensationnel et le sensationnalisme ? demande Bejtlich. Epineuse question.

Miller et Valasek, (et, comme le rappelle Bejtlich, Chris Roberts qui a prétendu avoir accédé aux commandes d’un avion de ligne en hackant son réseau vidéo) s’attaquent à des lobbys d’une incroyable puissance, et qui ont, par le passé, montré que le culte du chiffre d’affaires pouvait passer avant celui de la sécurité du conducteur ou du passager. Par exemple, le combat acharné (et la diabolisation par l’industrie automobile toute entière) de Ralf Nader dans les années 60. Mais grâce à lui, les « rappels de véhicules » pour des motifs de sécurité sont devenus plus fréquents. Les Renault, Toyota, Ford ont compris que, malgré le coût qu’engendrent de tels rappels, ils jouent en faveur d’un renforcement de l’image de marque. La chose est devenue courante lorsqu’une pièce mécanique est réputée défectueuse ou peu fiable. Mais la pilule est plus difficile à passer lorsque le problème touche un domaine qui sort totalement de la compétence des équipementiers du secteur automobile. Et c’est le cas précisément des ordinateurs de bord, des capteurs, des systèmes de navigation, qui amoncellent d’importantes erreurs d’intégration. Greenberg le résume en une formule lapidaire forte (et juste) : « les constructeurs automobile tentent de transformer leurs véhicules en smartphones ». Et par là même font entrer tout ce qui a un moteur dans le monde merveilleux des objets de l’Internet, ce paradis de l’exploit distant, cette thébaïde du bug à tous les étages. La « smartbagnole » et la gadgétisation des fonctions de pilotage (réseaux de tracking antivol, ordinateurs de bord multifonctions, assistances mécaniques diverses) ne peuvent que multiplier les trous de sécurité, les failles… et par conséquent les exploits. « En donnant accès aux fonctions vitales d’une voiture via une simple connexion IP, les constructeurs prennent le risque qu’un individu mal intentionné lance une attaque massive contre des centaines de milliers de véhicules à la fois » explique Miller en substance. Et ce n’est pas une extrapolation fantasmatique, mais bel et bien une réalité technique.

Les travaux de Charly Miller, Chris Valasek, mais également d’Adam Laurie, Karsten Nohl, Dan Kaufman (du Darpa), Mathew Solnik, Eric Evenchick, Stefan Savage et d’autres encore sont là pour nous prouver que tout ça n’est pas seulement un « coup médiatique » précédant une présentation à la prochaine DefCon. D’ailleurs, durant cette prochaine conférence sécurité, tout ce qui a quatre roues (y compris d’ailleurs les skateboards ) sera sous les feux de la rampe ». « Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars » par Samy Kamkar, « Remote Exploitation of an Unaltered Passenger Vehicle », la presentation de Miller et Valasek, « How to Hack a Tesla Model S » de Marc Rogers et Kevin Mahaffey, « Low-cost GPS simulator, GPS spoofing by SDR » , un “talk” radio sur un accessoire de navigation devenu indispensable, par Lin Huang et Qing Yang, et « Unbootable: Exploiting the PayLock SmartBoot Vehicle Immobilizer », exposé donné par fluxist et directement inspiré par un fait-divers ayant provoqué l’immobilisation de plus d’une centaine d’autos aux USA.

Détecteur d’exploit Hacking Team : Rook Security offre une suite baptisée « Milano », une quarantaine d’outils capables de détecter la présence de spywares et autres outils d’intrusion développés par l’entreprise Hacking Team. La panoplie, promettent les auteurs, s’enrichira au fur et à mesure que de nouvelles menaces seront découvertes au fil des 400 Go de données « fuitées » des serveurs de l’officine Italienne.

Il en fait couler, de l’encre, du code et du mauvais sang, ce bulletin MS15-078, de son petit nom CVE-2015-2426. Le Sans le peint en rouge vif avec la mention « trou critique, corrigez maintenant ! ».

Il faut dire qu’il s’agit d’un trou exploité et qu’il affecte toutes les éditions de Windows, de Vista aux préversions de Windows 10, serveurs y compris. Le défaut se situe dans Atmfd.dll la bibliothèque « Adobe Type Manager » de Windows et constituerait une voie royale pour une exécution de code dans le noyau distant. L’attaque, explique le bulletin de Microsoft, pourrait être menée via un document ou une page web utilisant des fontes de caractère OpenType forgées.

Si le déploiement de correctif n’est pas possible dans l’immédiat, l’éditeur conseille de désactiver Atmfd.dll, la méthode de contournement changeant selon le type de noyau utilisé 32 ou 64 bits, ainsi que l’ancienneté de l’édition de Windows.

Vendredi dernier, CVSphoto prévenait son aimable clientèle que ses serveurs avaient été visités. Sur ces serveurs, des numéros de carte de crédit, manifestement ni chiffrés, ni salés. CVSphoto est un service de tirage photographique rapide proposé par la chaîne de drugstore CVS, assuré par une entreprise sous-traitante qui offre ses offices à plusieurs grandes marques de supermarchés. Craignant que l’exploit serve à nouveau, plusieurs de ces clients ont suspendu leurs services photo, ainsi Tesco et Walmart Canada. Le nombre exact de victimes potentielles n’est pour l’instant pas encore connu.

Ashley Madison, site spécialisé dans les rencontres extraconjugales, arbore le slogan « La vie est courte. Tentez l’aventure » et revendique 37,5 millions de membres. Si l’on ajoute Cougarlife et Established Men, autres sites du même genre appartenant au groupe ALM, ces chantres du cyber-marivaudage alignent40 millions d’utilisateurs. Quelle aubaine pour les hackers, quel fantastique levier et moyen de chantage…

Aubaine qu’ont su exploiter (aux deux sens du terme) les hackers du groupe The Impact Team, nous apprend Brian Krebs. « Vos procédures (payantes) de suppression de compte sont totalement inefficaces, et l’anonymat de vos membres n’est nullement respecté » affirment les intrus. Si vos sites Ashley Madison et Established Men restent « en ligne », nous publierons l’intégralité des données de vos clients, leurs profils, leurs fantasmes sexuels, leurs transactions effectuées avec leurs cartes de crédit, leurs identités réelles, adresses… »

Les apparentes motivations puritaines du groupe de pirates pourraient (avec une forte probabilité) cacher des intentions moins morales. S’ils mettent leurs menaces à exécution, les avocats spécialisés en droit des familles, tant aux USA qu’au Canada, risquent d’afficher « complet » pour les 2 ou trois années à venir. Et si c’était ça, le véritable mobile de l’histoire ? Après l’employé frustré, le « disgrunded lawyer » ?

Depuis quatre jours, le site web de l’organisme bancaire Anversois AFC Credieten se limite à la page par défaut de Plesk. Spécialisé dans les prêts financiers, AFC Credieten a été la cible du groupe de pirates Rex Mundi spécialisés dans l’extorsion de fonds et le chantage. « Si vous ne payez pas, nous publierons les enregistrements de24 000 de vos clients » rapporte un article du Reg. Les Belges Dexia, Voo, Alpha Hosting, Xperthis, les Français Creditpret et Numéricable, les américains Domino’s Pizza et Americash Advance ont déjà été victimes de ces maître-chanteurs.

Une lecture attentive de l’article du Reg laisse à penser que la gestion de crise au sein d’ AFC Credieten est aussi subtile qu’une charge d’éléphants dans un magasin de porcelaine. « What that group did is illegal and writing about it would be against the law » declare un porte-parole du groupe. Il semblerait que menacer de poursuivre un journaliste en diffamation soit moins fatiguant, moins coûteux que d’augmenter un budget SSI ou de faire face à un groupe de pirates manifestement bien entraînés et hors de portée d’avocats. Le culte de l’omerta, si cher aux organismes bancaires Européens, n’est pas prêt de s’étioler. Il n’est en revanche pas certain du tout que les clients directs et indirects de cet organisme apprécient ce genre d’attitude.

4,5 millions d’enregistrements potentiellement compromis. C’est le bilan (provisoire) d’une intrusion informatique ayant frappé UCLA Health, un groupe hospitalier Californien. L’attaque aurait été découverte début mai dernier. Les informations dérobées comprennent les noms, adresses, dates de naissance, numéros de sécurité sociale, numéros d’enregistrement médical, informations portant sur les assurances santé complémentaires et de nombreuses autres données personnelles médicales. Pour l’heure, une enquête est en cours, assurée par le FBI, et les victimes se sont vues proposer la gratuité des opérations de récupération de données sur une période de 12 mois, ainsi qu’une police d’assurance en cas de dommage avec une prime d’un montant d’un million de dollars. Il n’est absolument pas certain, précise le communiqué de l’hôpital, que les données personnelles aient réellement été copiées.

Tor, Jabber et autres outils d’échanges confidentiels décrits de manière très didactique par Micah Lee de The Insider .

Que voici du fantasme à pas cher. Dans la foultitude des échanges révélés par la publication des emails Hacking Team, quelques journalistes ont remarqué un courrier provenant de Boeing. Lequel courrier demandait aux services techniques de Hacking Team s’il ne serait pas possible d’intégrer un exploit Wifi dans les « charges utiles » de leurs drones. Le rêve de tout sous-traitant de l’armée et des services de renseignement US : posséder un aéronef d’épandage de virus aussi efficace qu’un PT13 D Stearman poursuivant Cary Grand dans La Mort aux Trousses. Network World et The Intercept ne pouvaient manquer cette histoire rocambolesque.

Un tel scénario avait provoqué un léger buzz il y a un peu plus de 10 ans lorsqu’une équipe de hackers de la région de San Francisco avait imaginé « sniffer » le trafic Wifi en suspendant un Point d’Accès à un ballon captif. Les résultats étaient relativement spectaculaires et en avaient ému plus d’un.

Désormais, pour détecter la présence d’un pirate en uniforme, il suffira d’avoir de bonnes jumelles et de regarder en l’air.

Symantec, Ionic Security, FireEye, Synack, Global Velocity, WhiteHat… pour l’heure, la liste définitive des membres d’une toute nouvelle Coalition for Responsible Cybersecurity n’est pas encore connue. Cette annonce est la conséquence logique de l’affaire Hacking Team et des bruits de couloir à propos d’éventuels contrôles d’exportation en matière de cyber-armes. Rien de tel qu’une sorte de comité d’éthique qui serait à la fois juge et partie pour écarter les risques d’une loi fédérale ou pire, de dispositions internationales genre Wassenaar des outils de flicage. Car pour ces entreprises, la sécurité est avant tout un business.
L’idée peut sembler totalement saugrenue au sein de la vieille Europe. Mais Outre Atlantique, les puissances industrielles ont, de tous temps, marqué de leur influence la vie politique et sociale. Alors, on a un peu de mal à croire en la pureté des intentions et des actes d’entreprises dont le seul engagement consisterait à devenir membre d’un groupe, volontairement et sans la moindre obligation ou contrainte.

En revanche, fiers de cette nouvelle virginité, les membres de cette Coalition for Responsible Cybersecurity pourraient influencer quelques Sénateurs dans le but précisément de faire adopter une loi (de plus en plus inévitable) dont la formulation se réduirait à une série de règles de pure forme. Cela s’est déjà produit par le passé lorsque la Maison Blanche a souhaité juguler les flots de pourriel et a accouché de la loi CAN-Spam, dont on a pu connaître la totale inefficacité, et dont les conséquences en Europe se sont avérées relativement néfastes.

Ce dimanche, nos confrères de No Limit Secu diffusent un podcast consacré aux radios logicielles, nouvel outil d’analyse et de hacking numérique des appareils sans fil. Ont participé à cette émission Hervé Schauer, Nicolas Ruff, Eric Freyssinet et Marc Olanié, spécialiste SDR et journaliste à Cnis Mag, sous la houlette de Johanne Ulloa, animateur et coordinateur.

Une radio logicielle (software defined radio, SDR) est, au monde des transmissions sans fil, l’équivalent du « Winmodem » à la fin des années 70 : une interface radio simplifiée à l’extrême, qui n’intègre strictement aucun étage de traitement de signal lié à l’extraction de l’information transportée (la démodulation). Cette démodulation est prise en charge par un logiciel tournant sur un ordinateur de bureau ou une CPU « intégrée ». Peu coûteuses à fabriquer, simples à construire, extensibles par simple modification d’un firmware, les SDR existent depuis plus d’une trentaine d’années, développées essentiellement pour le compte de professionnels des transmissions sans fil. Thales, Motorola, Harris, Analog Device, Tadiran pour les militaires, Flex radio, Ettus, Covington dvlpt pour ne citer que quelques civils.

Les choses changent le 17 mars 2012, lorsque le groupe Osmocom publie un « reverse » du logiciel de pilotage d’une petite clef USB destinée à recevoir la télévision numérique HD. Le spectre électromagnétique couvrant de quelques kiloHertz à un peu moins de 2 GHz peut être écouté, analysé, traité par n’importe qui, et ce quel que soit le type de signal : bruits d’alimentation ou émissions électromagnétiques émis par un ordinateur (Tempest), analyse des données des réseaux sans fil de tous crins (du wifi aux systèmes de télémétrie, réseaux de pilotage à distance Scada, téléphonie cellulaire, Internet des objets etc.). L’écoute radio à la James Bond à la portée des caniches. Depuis ce jour, les « SDR orientés hacking » n’ont cessé de se multiplier : HackRF, BladeRF, AirSpy (le seul outil de conception Française), Funcube, SDRPlay (http://sdrplay.com/), Hermes, Hermes Lite, ASRP, Softrock, Fifi SDR, Afredi … de 8 Euros à 5 ou 6 000 euros, choisissez votre arme.

En moins d’un an, les mondes du hacking et de la SSI ont compris que les radios logicielles allaient devenir un des outils indispensables à la surveillance, au pentesting, à l’analyse de tout ce qui peut émettre un signal ou du bruit. La SDR, c’est le Nmap (et en partie le Wireshark) du royaume des ondes. Et contre ce genre d’outil, même la Loppsi et la LCEN n’y peuvent pas grand-chose, à moins de considérer comme hors la loi tous les possesseurs de téléphones mobiles, de récepteurs de télévision, d’infrastructures radio professionnelles qui peu à peu se tournent vers une approche pure logicielle. Les SDR sont partout, les SDR écoutent tout.

A tel point qu’elles constitueront probablement le socle des réseaux d’opérateurs et infrastructures de communication mondiales d’ici 5 ans (les fameux r réseaux « cognitifs » de Joseph Mitola , les grands chantiers E2R européens).

Elles peuvent tout intercepter et décoder (et non nécessairement déchiffrer), jusqu’au trafic aéromaritime et au déplacement des lignes de tramway. Plus une seule « con », de HITB à Hack in Paris, sans oublier les DefCon et autres CanSec ne peut se dérouler sans une « prèz » sur « comment j’ai intrusé ™ le réseau radio de ma salle de bain for fun and profit ».

D’un point de vue sécurité, il ne s’agit pas véritablement d’un risque technique supplémentaire. L’extension des infrastructures radio et des outils qui les constituent transpose, sur un nouveau médium, de « vieilles mauvaises pratiques » et « d’antiques trous de sécurité » : erreurs d’intégration, mécanismes de mise à jour souvent inexistants voire impossibles, mots de passe par défaut, outils de chiffrement dépassés, failles d’interfaces d’administration Web antédiluviennes, fragilité vis-à-vis des attaques utilisant force spoofing… Nihil nove sub sole. Reste que les fuites de données pouvant en résulter sont de plus en plus faciles et surtout de moins en moins coûteuses à provoquer (8 euros pour commencer). Et les outils du quotidien susceptibles d’offrir de tels risques de fuites d’information dans le domaine hertzien sont d’ores et déjà des dizaines de fois plus nombreux que ceux que nous avons l’habitude de surveiller dans le secteur de l’informatique de production.

Peut-on parler de problèmes de sécurité propres aux radios logicielles ? A l’heure actuelle, la réponse est « pratiquement pas ». Mais à terme, cela ne fait aucun doute. Pour l’heure, les SDR dans le domaine de la SSI servent essentiellement à réaliser des tests d’analyse et d’intrusion sur des équipements de transmission sans fil. Mais dans un proche avenir, les grandes infrastructures d’opérateurs, les réseaux d’urgence, les équipements militaires, les réseaux d’entreprise, les liaisons de machine à machine des TPE et particuliers seront majoritairement constitués de « nodes » SDR, dont on pourra modifier la fréquence, le type de modulation, les protocoles d’échange et l’architecture par simple téléchargement d’un firmware. Et là, l’affaire devient tout de suite plus complexe.
Pourquoi ? Parce que planera toujours le risque d’une « injection de mauvais firmware » susceptible soit de perturber le réseau, soit de faciliter une attaque MIM. Parce que ces nouveaux outils permettent surtout d’optimiser les plans d’occupation de spectre de manière bien plus efficace que ne le font les radios traditionnelles et leurs protocoles (CSMA/CA par exemple). Sans entrer dans les détails techniques, ces réseaux seront capables, après analyse dans les domaines temps et fréquence, de s’immiscer dans les « espaces libres » laissés par les systèmes de multiplexage spatiaux et temporels. Las, les outils et logiciels même qui permettent cette analyse déterministe temps-fréquence, ces protocoles évolués sur lesquels reposent les échanges de ces réseaux cognitifs sont eux-mêmes susceptibles d’être attaqués, soit par spoofing, soit par déni de service.

Ce sont ces différents thèmes (et bien d’autres encore) qui sont abordés au fil de l’émission de No Limit Sécu.

Les Chandleris Sapiens ou IanFlemmingus Vulgaris (voir parfois quelques spécimens de Vladimirus « Angelis » Volkoffis ) ont longtemps été considérés comme des spécimens d’une espèce à reproduction relativement discrète, si discrète que certains la considéraient comme totalement imaginaire, au même titre que le Cœlacanthe, le Marsupilami ou la carte « erreur de la banque en votre faveur ». Tout le monde en parlait, personne ou presque ne le croisait, si ce n’est au prix de longues chasses à l’affût sur les quais Néozélandais. Mais depuis la grande révolution numérique, cet animal, d’un naturel pourtant photophobe, est surpris de plus en plus par les cyber-zoologues du monde entier. Leurs témoignages nous dévoilent des aspects jusque-là inconnus de leurs comportements sociétaux et de leurs instincts.

Le cyber-espion est économe. Il se soucie du budget du ménage. Longtemps, l’on a pensé que les individus de l’espèce Barbouzis dépensaient des mille et des cents au Casino Royal ou dans des suites princières, buvant force cocktails coûteux (à la cuillère, pas au shaker). Nos confrères du Temps, quotidien « édition papier » Helvétique, nous révèle que la Police Cantonale Zurichoise se trouva fort dépourvue lorsqu’à la suite de l’affaire Hacking Team, elle découvrit qu’elle n’était « plus en mesure de surveiller la communication Internet cryptée (sic) dans le cadre de procédures pénales ». Et de justifier l’usage d’outils par le fait qu’il se trame, dans la patrie de Guillaume Tell, « d’importants trafics de drogue et blanchiment d’argent », outils qui, en temps normal, vaudraient à son utilisateur quelques années de séjour gratuit dans un établissement d’Etat. Las, cette panoplie complète de surveillance généralisée avait coûté la bagatelle de 500 000 Francs (Suisses, cela va sans dire). Or, puisque les principales failles exploitées par les outils Hacking Team se sont vues colmatées et l’usage desdits outils fortement compromis en raison de certaines « backdoors », cet investissement a été réduit à néant, à tel point « qu’une procédure est en cours pour se voir rembourser la totalité ou au moins une partie des dommages ». C’est un peu comme si un utilisateur de Pirate Bay envisageait de poursuivre la commission Hadopi pour rupture de service.

D’autres courriels glanés au fil des 400 Go de documents Hacking Team « fuités » montrent que plusieurs Cantons d’Outre Léman auraient, sans toutefois avoir signé de contrats, pris contacts avec l’entreprise Italienne. Mais soyons rassuré, il n’y a d’écoute ni Vaudoise ni « Gen’vois’ style ».

L’espion aime ses compatriotes et s’y intéresse. De très près même. Encore une idée reçue, injustement propagée par Albert Broccoli et Georges Lautner : le barbouze ne part pas combattre de dangereux psychopathes briguant un poste de Maître du Monde ou de vils ennemis en terres étrangères. Non, le barbouze est casanier. Il se concentre essentiellement sur l’existence de ses proches, ainsi que le prouve l’usage Helvète précédemment cité, ou que nous le dévoile nos confrères de Netzpolitik. Org. Les journalistes Allemands estiment aux alentours de 2,7 millions d’Euros l’enveloppe consacrée au flicage national d’Internet (sur un budget annuel général de 230 millions d’Euros alloués au Bundesamt für Verfassungsschutz -BfV). Les meurs des « moustaches » Allemandes sont toutefois très éloignées de celles de leurs confrères Alémaniques, puisqu’ils contrôlent eux-mêmes la fabrication de leurs virus, chevaux de Troie et autres cyber-armes d’analyse big data. En outre, plutôt que de faire appel à des Troyens ciblés, l’espion Allemand pêche au chalut et récolte large. Il s’intéresse notamment à la surveillance étroite des réseaux sociaux : Twitter, Facebook , Youtube… 75 personnes y travaillent déjà précise un autre article.

Reste que, de par la loi, le BfV ne peut fliquer un particulier sans motif sauf cas de « légitime suspicion »… donc d’une enquête en cours. Mais, afin de se faciliter le travail, les services de renseignements intérieurs que sont le BfV, vont piocher dans les données collectées par le BND (service de renseignement Fédéral) qui, lui, n’est pas soumis à ce même genre de contrainte.

La phase suivante est plus épineuse, puisque de cet amas de données comptant plus d’innocents que de véritables truands, il faut bien en extraire des éléments d’enquêtes. « A system for the collection, processing and analysis of bulk internet data should be developed in cooperation with external partners » notent nos confrères de Netzpolitik. Externe ne signifie pas nécessairement étranger, et l’on peut s’attendre à ce que le BND développe un “label rouge” Prussien de l’écriture d’outils d’analyse Big Data et une “certification” Bavaro-Souabe de sociétés de développement spécialisées dans l’écriture de spywares, troyens et autres virus. Une source d’inspiration pour notre Anssi Nationale ?
Certains de ces outils sont déjà opérationnels. Ainsi Perseus, une version Germanique des « solutions Amesys », à savoir capable d’effectuer « le traitement et l’analyse des communications téléphoniques traditionnelles (voix, fax, SMS) et contemporaines (email, « chats », Web, transferts de fichiers ) ». Aux dernières nouvelles, une enveloppe de 3,5 millions d’Euros aurait été votée pour moderniser les capacités de Perseus.

A ce système de traitement s’ajoutent d’autres accessoires, notamment chargés d’établir des « liens de parenté » entre personnes échangeant des informations, ainsi que des tableaux de bord spatiaux-temporels pouvant établir la chronologie des déplacements d’un suspect en suivant ses différentes signatures IP ou Radio (liens GSM, Wifi etc.). De là à en tirer un profil comportemental jugé suspect ou non, il n’y a qu’un pas. La notion même de « niveaux de connaissances sociales », si chères aux promoteurs de réseaux tels que LinkedIn ou Facebook, a souvent été dénoncée par les organisations de défense des libertés individuelles. Une simple consultation ou acceptation d’une invitation (voir émission d’un « like ») peut fort bien relier n’importe quelle personne innocente avec une autre personne ayant accepté une liaison « sociale » avec les pires pédo-terroristes de la planète. Et comme les outils de flicage effectuent des analyses sur une profondeur atteignant parfois plus de 5 niveaux de relations entre membres de réseaux sociaux, l’on peut considérer que tout le monde est, à un moment donné ou à un autre, susceptible d’être fiché et sa vie privée décortiquée par un fonctionnaire Fédéral.