Ce mercredi, le canard envoyait un nouveau FUD dans la marre de la parano informatique, donc il me faut prendre mon costume de justicier et rappeler cette maxime importante, et sa corolaire pour vous rassurer :

Il ne faut pas chercher une volonté délibérée de nuire, ou un génie malveillant surpuissant là ou une incompétence crasse suffit.

Corolaire : Même si méchants il y a, eux aussi sont handicapés par l’incompétence dans leurs rangs ...

Ce que dit le canard

 [1]

L’informatique c’est parfois brumeux

En substance après demande aux opérateurs d’une certaine info, des n’hackers pénètrent vos machines, et c’est vachement flippant.

Ou pas, sinon, pourquoi saisissent ils les ordinateurs (dans le cas de l’affaire Surcouf par exemple) ou les soupçonne-t’on d’en voler ?

Reconstruisons l’information avec le peu d’éléments

Je sais cela peut paraître de la haute voltige, mais en physique on adore ça.

Ce qu’a précisé Angelli sur France Inter c’est que les méchants n’hackers au 10é étage de la DCRI ne pouvaient infiltrer tous les ordinateurs, cette précision nous permet de reconstruire ce que fait vraiment la DCRI :
 pour attaquer un ordi, il faut savoir quelle est son adresse : donc il y a demande de l’IP aux opérateurs [2] ;
 ensuite il faut passer le boitier (qui souvent fait office de par feu, voir parfois le boitier supplémentaire de partage de connexion qui fait par feu) ;
 ensuite ils analysent les machines présentent et essaient de trouver la bonne parmi n ;
 ils recherchent les vulnérabilités courantes ;
 appliquent un exploit à cette vulnérabilité (si il y en a) ;
 prennent le contrôle et essaient de faire discrètement des recherches.

Cette méthodologie n’est pas nouvelle, et relativement simple à appliquer. Seulement, elle demande beaucoup d’actes non standards (tous les boitiers ne sont pas identiques, les OS non plus...), et de temps, et de chance. C’est pas tout de vouloir attaquer M Dupond sur son réseau personnel, encore faut-il qu’il y soit connecté.

De plus tous les ordinateurs ne sont pas vulnérables, et des logiciels peuvent même parfois empêcher l’attaque ou avertir la victime, ce qui rend l’opération risquée, surtout quand on veut rester secret (le but d’un service secret est quand même de rester secret).

Donc cette méthode est ridiculement coûteuse eu égard aux bénéfices escomptés. Surtout que le temps d’inspection correspond au temps de connexion de la victime, et qu’une recherche trop brutale peut rendre évidente l’intrusion.

En résumé :
 oui la DGCRI possède probablement de petits génies informatiques qui peuvent pirater vos machines ;
 mais c’est coûteux ;
 potentiellement contre-productif.

Donc pour la vaste majorité des gens qui ne sont ni journalistes, ni terroristes, vu le budget du contre espionnage, votre probabilité d’être hacké par l’état est aussi grande que de vous ramasser un pot de fleur mal attaché sur la tête. De plus si vous appliquez le B-A B.A. de la sécurité (mise à jour courante de vos machines, pare feu configuré proprement et mis à jour, système de fichier et messageries cryptés/chiffrés) vous risquez de leur rendre la tâche si difficile qu’il n’est même pas garanti qu’ils y arrivent. Et si jamais ils sont repérés, l’état français pourraient se voir condamner par la cour européenne des droits de l’Homme pour atteinte aux libertés publiques .... ça la collerait mal.

Le rapport gain espéré / risque pour cette opération est peu intéressant. Messieurs du canard, arrêtez de faire peur aux gens et de détourner l’attention de vrais sujets.

Le canard participerait-il à une opération d’intox des services ?

Quel est le contexte dans lequel cet article apparaît ? Celui des fadettes, des écoutes, et de vols d’ordinateurs suspects.

Cela ressemble de loin à ce que l’on appelle une manœuvre dilatoire ayant pour but de détourner l’attention ... soit des vols suspects d’ordinateurs, soit des fadettes, soit tout simplement de la surveillance illégale des citoyens ...

En démocratie, on dépend du fait que les citoyens s’expriment, il faut arrêter de leur faire peur avec des fables pour enfants.

Maintenant rentrons dans le vif du sujet celui des techniques vraiment efficaces ou fantasmées telles :)

L’écoute des flux

big brother & big sister

are watching you

Un de nos pires ennemis en sécurité informatique et « l’homme au milieu ».

Le principe est que deux interlocuteurs échangent des données chiffrées et qu’un homme au milieu se fait passer pour B auprès de A et inversement afin qu’ils échangent leur méthode secrète avant d’aboutir à un chiffrage en toute confiance. Cette technique est malheureusement bien plus dure quand on utilise des certificats signés (c’est fait pour) : ainsi firefox vous averti de manière effrayante quand cela arrive sur le web. Certes, les services secrets pourraient avoir une copie des clés privées détenus sur le web ... par des compagnies américaines ... qui signent aussi les clés des armées nationales de tous les pays ...

Vous croyez vraiment que les américains nous donneraient les clés pour les espionner ? Allez soyons réalistes. La réponse est non.

Et ces certificats sont aussi utilisés par les banques... les entreprises ... imaginez si vous n’avez plus confiance dans les échanges sécurisés sur internet, comment l’économie mondiale réagirait-elle si toutes transactions internet étaient suspicieuses ? Comment paieraient-on discrètement les commissions pour les ventes d’armes ? Et comme il y a des gens corrompus partout (même dans les services secrets) la mafia obtiendrait tôt ou tard cette méthode.

Quand bien même ces techniques magiques existeraient, elles ne sont pas dans l’intérieur supérieur des gouvernements.

Le précédent d’Échelon : l’absurdité de cette méthode

Imaginons quand même que ce soit faisable, vous tremblez ... autant que les terroristes d’Al Qaeda après le 11 septembre 2001. La capacité d’interception de l’information n’est rien sans non seulement la capacité de traitement, mais aussi d’interprétation. Or la compréhension du langage naturelle (celui des humains) est surtout une question de lecture par un humain. Or les humains ont une capacité de traitement et synthèse limitée et ils sont chers. L’écoute coute la peau des cou..des.

On a une capacité de détection des menaces évidentes, mais couteuses.

De plus comme dans la détection de SPAM parfaite à 99.9% ou c’est toujours la super offre d’emploi qui est le mail légitime qui finit ignorée, ces systèmes ne sont non seulement pas infaillibles mais en plus en donnant une fausse impression de sécurité, ils rendent les états un peu plus vulnérables.

L’arme ultime en rapport qualité prix : le sociogramme !

Qu’est ce qui a mis à mal Woerth ? Des preuves, des communications, des lettres ? Que nenni, l’affaire a commencée en exposant les relations de Woerth avec Patrice de Maistres qui a embauché sa femme en optimisation fiscale, et qui est aussi le gestionnaire de fortune de Bétencourt, elle même contributrice à des campagnes de parti politique (avéré dans la limite légale de 7 000€ par individu, pour les montants supérieurs on ne sait rien).

Savoir qui est lié à qui, avec quelle fréquence, quelle proximité, quels intérêts commun s’appelle un sociogramme.

Ces informations sont disponibles par des sources publiques ou dites semi publiques [3]. Les sociogrammes se batissent notamment avec : facebook, vos factures (téléphoniques) détaillées (fadettes), vos photos de vacances, votre liste d’invités aux évènements proches, vos greffes du tribunal de commerce, les comptes rendus d’AG d’associations ...

Bref, le sociogramme est d’autant plus intéressant que non seulement il est informatif, mais en plus il ne représente pas de risque puisque la plupart des informations sont gracieusement fournies par les intéressés.

Peut-on se prémunir ?

La règle de base voudrait que les personnes honnêtes n’ont rien à craindre. Un peu de réalisme montre que les honnêtes citoyens comme Woerth ou le procureur Courroie, ou d’autres encore syndicalistes, journalistes, cadre d’entreprises, pauvres hommes politiques ont besoin de masquer ce genre d’informations.

Deux méthodes sont possibles :
 tout cacher, ce qui à le tort de faire apparaître le peu qui est disponible ;
 tout montrer ce qui a le tort de tout montrer ....

Une méthode sensée est visiblement un optimum entre les deux consistant à fournir de l’information pour maîtriser sa diffusion, et de l’autre ne pas tout dire.

Ne pas faire ça

Ne pas mettre ce genre de photos sur internet, ça peut vous faire passer pour un sale c..

Ce qui -vu que vous avez suffisamment de jugeotte- est déjà le cas depuis longtemps ; cela m’étonnerait qu’en entretien d’embauche vous racontiez votre dernière partouze.

Donc, il en vous suffit de faire sur Internet ce que vous faites déjà au quotidien ... si vous ne le feriez pas en parlant avec un inconnu alors ne le faites pas sur les espaces publiques d’internet. Et réciproquement dîtes ce que vous osez dire à des inconnus dans la vie de tous les jours sur internet.

Vie privée ... démocratie ... liberté publique

Les hommes politiques et les entreprises ont communiqué jusqu’à l’écœurement sur la transparence des institutions, et pourtant, ils sont les premiers non seulement à vouloir masquer leurs relations, et de l’autre à exiger pouvoir collecter nos informations personnelles. Il est tentant pour le citoyen de vouloir que la règle soit la même pour tout le monde (un peu comme si c’était dans la constitution) et donc que
 soit le commun des mortels ait le droit de pouvoir exiger la consultation et le retrait effectif des informations tel que la loi informatique et libertés le garantit même auprès des services de polices,
 soit de l’autre nous aimerions que nos hommes politiques étant irréprochables, nous ayons accès à leur sociogramme afin de faire taire la suspicion de collusion qui entoure nos Femmes et Hommes politiques de tous bords avec les les médias, et les milieux d’affaires...

Bref, le sociogramme n’est pas un mal, il est peut être sain que nous vivions dans une maison de verre car comme dans la fable de l’anneau de Gygès, il ne peut y avoir de moralité sans regard de l’autre.

Quis custodiet ipsos custodes ?

Donc la transparence est plutôt une bonne chose, mais pour qu’elle soit applicable, encore faudrait-il que l’homme honnête n’ait rien à craindre de sa nation ... ce qui à mon avis est le scandale, dont j’attends avec impatience que les journaux s’emparent.