Louable initiative de Korben, blogueur Français réputé, qui vient d’ouvrir le Wiki Free.Korben. Lequel Wiki est une amorce d’encyclopédie relative à la protection de la vie privée. Inutile de préciser qu’on y parle de chiffrement, de TOR, de TrueCrypt, des antispywares et antivirus gratuits, payants, en ligne ou locaux… l’ensemble est tout de même nettement typé GNU, et il serait bon que des contributeurs puissent enrichir la sectop, « purement Microsoft ». Car, en attendant l’avènement du règne incontesté de Debian et de ses enfants, la grande majorité des usagers est encore Windowisée. Deux doigts de Bitlocker et d’EFS, un soupçon de gpg4win, une ombre de GigaTribe par exemple ?
Pourquoi ce soudain engouement du grand public pour les techniques d’anonymisation et de chiffrement ? La réponse tient en quelques lettres : LCEN, Lopsi, Loppsi, Hadopi, Edwige, Stic, Judex (22 points au Scrabble, fiche compte double peine), Salvac, fichiers des RG… un palmarès de toutes ces usines officielles à stocker du fichage fait d’ailleurs l’objet d’un article de fond dans le prochain numéro « papier » de Cnis-mag. Paradoxalement, les menaces les plus immédiates et les plus fréquentes –notamment les vols d’identité bancaire, les spywares récolteurs de mots de passe et autre malwares- ne semblent revêtir qu’un aspect secondaire dans la dangerosité des outils intrusifs. Un virus Chinois serait-il moins nuisible qu’un Albaniciel ou qu’un MAMware Hadopesque ou Loppsique ? Hélas oui. Car les spywares officiels sont faits pour durer, ne rien oublier et surtout amalgamer des faits qui n’ont pas nécessairement de rapports entre eux. On peut toujours, en changeant de numéro de carte de crédit, de banque, de système d’exploitation, d’adresse email, échapper aux assiduités d’une armada d’espionniciels commerciaux ou « noirs ». On n’échappe pas aux SGBD du Ministère de l’Intérieur ou aux bases SQL de la société Extelia. Rappelons que cette dernière a postulé et emporté le « marché Hadopi ». Les premières victimes, comme il fallait s’y attendre, clament leur innocence : les magasins Carrefour, les Experts-Comptables… Mais sur Internet, les innocents n’existent pas et les pratiques discutables, de quelque bord que ce soit, contraignent les responsables sécurité et les chefs d’entreprise à prendre des dispositions… sinon des positions. Sur la Toile, il est devenu impossible de dire « cette guerre n’est pas la mienne ».
Il n’est pas non plus agréable d’être visé par les foudres du groupe Anti-Sec. Lequel, dans un élan destructeur après quelques revendications sur la liste Full Disclosure, s’en est pris aux services d’Image Shack, Astalavista et, comble de malchance, du Web de Matasano. Lequel avait déjà disparu de la surface du monde virtuel durant plus d’un mois au printemps dernier. News0ft faisait remarquer qu’une fois de plus, le succès de ces attaques est bien souvent la conséquence d’une politique de mot de passe trop faible. L’occasion de rappeler l’existence de deux URL très pratiques en cas de doute, le Password checker de Microsoft et celui de Security Stats.
Ceci étant, l’origine de la catastrophe importe peu. Ce qui est intéressant, c’est l’accroissement du facteur risque qui affecte tout ce qui touche tcp/ip de près ou de loin. A tel point que, lorsque qu’un fournisseur d’accès voit une partie de son réseau disparaître et ainsi réduit au silence tout un arrondissement de Paris, il ne se fatigue plus à rédiger le moindre communiqué et n’envisage de « geste commercial » que sous la menace d’une lettre d’avocat. Internet n’est ni moins sûr, ni moins protégé qu’auparavant, mais l’idée de sa faillibilité s’est répandue et a atteint les couches les plus profondes de l’inconscient populaire. Certains, tel Korben, en profitent pour prêcher la bonne parole et apprendre à tous comment protéger les biens immatériels, d’autres utilisent ce prétexte pour invoquer la fatalité et se dédouaner de toute responsabilité.