Internet évolue, du grand bazar collaboratif des années 90 à l'organisation commerciale des années 2000, que devient il en 2013 ?

Les années 90 ont été pour moi l'âge d'or d'internet, un âge où l'innovation était sans limite, au grand désespoir de certains, un âge de jubilation, où on n'était qu'à un clic de souris d'une personne à l'autre bout de la planète, où les échanges étaient riches et pleines de promesses pour l'éducation, l'accès à la culture et aux partages d'informations.

Cet internet n'est plus depuis que les deux tours du World trade center se sont retrouvées au sol, dans un chaos de poussières, de morts et d'exposition médiatique des terroristes qui ont sût gérer la médiatisation de leurs actes et leurs demandes excessives par ce média qu'est internet (site internet, youtube etc).

Une très grande vigilance s'est emparée des gouvernements qui ont vu cet internet libre, qui permet de s'exprimer librement et d'échanger, comme une menace pour les démocraties et la sécurité de leurs concitoyens.

Internet à donc été mis sous écoute, pour éviter qu'une deuxième catastrophe humaine se renouvelle.

Mais est ce que ce trop pleins de sécurité nuit à la liberté ?

Faisons un petit tour "paranoïaque" de cette question.

Il était une fois la NSA.

La NSA est un organe de renseignements d'état des USA qui permettent de surveiller certaines personnes, certains groupes pour prévenir d'attentats terroristes.

Mettre en surveillance quelques personnes est une chose pour prévenir des risques d'attentats et sécuriser ainsi la vie des citoyens, mais du fait de l'ampleur de la tâche, de la nébuleuse terroriste, il est difficile de savoir qui fait quoi et si des personnes représentent une menace réelle ou pas.

Les moyens mis en oeuvre après le 11 septembre sont considérables:

• La NSA a les capacités d'analyser 75% du traffic internet américain en direct
• La NSA a le pouvoir d'archiver pendant les données chiffrées circulant sur le net
• La NSA a le pouvoir d'archiver 3 à 5 jours d'internet mondial via Xkeyscore
• ...

L'intendance est encore plus impressionnante:

 Les recherches en cryptologie (recherche sur le chiffrage/déchiffrage) aux USA:

• c'est: 8,4 milliards d'Euros par an,
• 35 000 cryptanalystes à plein temps

Il y a donc une véritable armée de mathématiciens, de programmeurs en pleines recherches, pour trouver des moyens d'accèder à nos données personnelles, contre notre volonté à cause de cette ambiance délétère du "Tous présumé coupable"

Aux USA, on note par exemple la loi "PatriotAct" qui permet d'accéder sans mandat ni demande de justice aux contenus et données privées des utilisateurs,

Ce qui pose des soucis aux utilisateurs français des services internet américains (Google, Yahoo, Gmail, Twitter, Facebook etc) car sans aucune demande de justice, ces services basées aux états unis peuvent fournir sans consentement de votre part vos coordonnées téléphoniques, bancaires, age, adresse, mails, ce que vous avez dit en Chat et avec qui vous communiquez.

Sachez encore que s'il vous vient l'idée suivante: "c'est pas grave, je vais chiffrer mes messages", ces messages chiffrés sont automatiquement archivé pour 5 ans (le temps qu'on les déchiffre si c'est important)

Les Compagnies française ne sont pas exempte du "PatriotAct".

Si une compagnie à une branche aux USA, la compagnie ENTIERE est soumise à la loi américaine (voir la petite explication gênée et courageuse d'Octave Kabla, le patron d'OVH à ce sujet)

Tous les grands noms du logiciel et des systèmes d'exploitation ont signés des accords avec la NSA et ménage des backdoors pour accèder à vos données, de même que les FAI

Android possède une fonction pour installer discrêtement des applications à distance discrêment

(si vous ne me croyez pas: allez sur le Google Play Store avec votre ordinateur, laissez votre portable androïd à 500 km de là. vous pourrez avec votre ordinateur ajouter ou retirer des applications sur votre smartphone à distance.

Un des backdoors imaginable est de ne rien laisser afficher sur cette mise à jour à distance en masquant le téléchargement et le nom de l'appli lancé (mon exemple montre que c'est possible, mais on voit qu'un téléchargement d'une appli est lancée et on voit son nom)

C'est pareil avec l'Iphone, Windows, Apple/Mac et tous les gros programmes du commerce (LotusNote. CryptoAG, etc (liste incomplête +++))

Vous me direz, si vous êtes libristes (fan de programmes opensources) que c'est bien fait pour ceux qui achetent et utilisent des programmes commerciaux, dont on ne peut vérifier le code source pour détecter les backdoors.

Vive le libre <3 ! concluerez vous.

Panorama du logiciel libre en 2013.

Le logiciel libre a un mérite de taille:

le code source est disponible, c'est programmé par 5/6 personnes, contrôlées vaguement par une vingtaine de personnes dans le meilleur des cas, et c'est tout à fait fonctionnel et ça fait le boulot d'un logiciel commercial.

Le fait que son code source soit disponible est sur le papier un gage de sécurité.

Détrompez vous !

Des entreprises privées (ex: la société VUPEN à Montpellier) font pas mal d'argent sur les bogues trouvés dans ses logiciels et les monétisent à des services gouvernementaux: il est beaucoup plus intéressant pour eux de ne pas dévoiler/divulguer les bogues trouvés car ces failles trouvées sont vendues et revendues à bon prix aux sociétés qui veulent accèder à des données utilisateurs.

C'est ainsi que des bogues se transforment en redoutable BackDoors (même si ça reste un bogue à l'origine, la fonction est identique)

Prenons comme exemple le logiciel de chiffrage "Cryptocat"

Cryptocat est une application web open source destinée à permettre des communications sûres et chiffrées. Cryptocat chiffre les chat côté client ; la confiance au serveur se limite à des données déjà chiffrées. Cryptocat est accessible par HTTPS, tandis qu'il propose une application Google Chrome qui charge le code localement. Cryptocat entend fournir un moyen de communiquer de façon impromptue et chiffrée, en offrant plus de confidentialité que Google Talk, tout en garantissant un niveau d'accessibilité plus élevé que les autres plateformes de chiffrement. (Wikipedia)

• Une faille fut connue dès le 17 octobre 2011 et ne fut trouvée officiellement le 15 juin ... 2013

Tous les messages de chat en groupe sont compromis entre ces deux dates à cause de ce bogue (connu et exploité par certains mais pas trouvé par l'équipe de développement)

RAPPEL:

• Cryptocat: c'est 5 développeurs à mi temps
• des sociétés comme VUPEN, c'est une cinquantaine d'employés professionnels à plein temps
•  La NSA: c'est 35 000 cryptanalystes professionnels à plein temps

(ne jettez pas de cailloux sur l'équipe de développement de cryptocat. ;-) )

La chasse aux Bogues dans le logiciel libre populaire rapporte plus d'argent, surtout si ces bogues ne sont pas dévoilés.

exemple:

En 2012, Vupen avait de nouveau gagné le concours de Vancouver en faisant deux démonstrations de piratage de navigateurs - Chrome, de Google, et Explorer 9, de Microsoft. A l'époque, Google offrait une prime de 60 000 dollars à celui qui réussirait une attaque contre Chrome à condition qu'il lui livre le mode d'emploi. Or, Chaouki Bekrar avait fait scandale en refusant l'offre de Google. Selon la presse américaine, il aurait déclaré qu'il ne traiterait jamais avec Google, car il gardait ce type de trouvaille pour ses clients, qui payaient bien plus cher.(source)

 

 

 

 Le chiffrage est le nerf de la guerre.

La NSA a réussit le tour de force de corrompre les systèmes de chiffrement, pas les algorithmes permettant de les faire,

en posant des backdoors un peu partout sur le réseau et des bogues volontaires.

La surveillance est devenue une industrie à part entière, très lucrative, en plein développement.

De la surveillance d'état pour tenter de prévenir un attentat, des actes odieux, on est passé à une industrie de la surveillance qui vend ses machines à des dictatures pour museler les opposants.

• Je vous passerai sous silence les machines d'Amesys à scruter internet et les mails des lybiens, pour attraper les opposants au régime de Kadhafi,

• et aussi les machines Qosmos que la France à essayer de refourguer à Bashar El Assad, pour tenter aussi d'attraper les opposants à son régime.

revenons à nos moutons, à notre internet de 2013 un peu malmené:

Beaucoup de sociétés privées vous propose de sécuriser votre ordinateur en vous vendant un parefeu, un antivirus, vos mails en vous proposant des packs "Tout en Un"

exemple: Sophos:

La suite de sécurité tout en un

Protection des postes, des portables, des mobiles, des données, du Web et même de la messagerie en une seule licence (source)

 

Une société de sécurité privée vous proposant des produits de qualité pour sécuriser votre internet de tous ceux qui voudraient accèder à vos données personnelles, tentant n'est ce pas ?

Il faudrait noter que Sophos a des acrivités bien plus lucratives ailleurs, avec une autre société lui appartenant,

"Ultimaco Safeware AG", qui permet de faire des copies des données de les analyser dans un but d'expertise légale.

Avouez que c'est pratique de vendre un antivirus, un parefeu, et en même temps avoir une autre branche (Ultimaco) qui permet d'accèder aux données des utilisateurs, les stocker malgré les parefeux, les antivirus et autres brouzoufs électroniques.

et ....

"Ho suprême citrouille sur le gateau d'anniversaire"

Sophos via Ultimaco travaille avec QOSMOS.

avouez quand même que c'est assez flippant qu'une société éditant un antivirus/parefeu grand public fasse aussi du DPI et de la récupération des données personnelles en parallèle sur le réseau internet ou autre (il récupère aussi les SMS sans saisir le téléphone portable).

et voilà, la boucle est bouclée.

Du chiffrage dans l'art de la guerre.

le RSA semble être à bout de force sur le réseau (le protocole, pas le chiffrage), les certificats ne sont plus fiables, des bogues sont introduits dans la chaine de certification, ce qui affaiblit le chiffrage et le rend tout à fait déchiffrable par la NSA.

La presse américaine ne dit que du bien actuellement de ce chiffrage (oui, j'ironise XD ): "Chiffrage sur les courbes elliptiques" (cf Wikipedia)

Car je vois que de ce petit programme "Mobile Encryption Program" basé sur ce nouveau protocole de chiffrage de courbes elliptiques fait couler beaucoup d'encre sur les rotatives américaines

Le fait d'avoir un chiffrage robuste, résistant à la NSA et à l'analyse, et qui permet de conserver sa vie privée à l'écart des yeux indiscrets est tout à fait plaisant, sauf que ce programme a été conçu et développé par une branche d'Alqaeda elle même aux services de ceux qui ne veulent pas être espionnés par les USA.

Leur programme de protection des données personnelles est tentant, et le syndrôme de Stockholm n'est pas loin.

Tout le paradoxe et l'absurdité  de l'époque résumé en un programme de moins de 300 ko

Alqaeda protégeant désormais la vie privée, les USA les bafouants

Un comble.