Nous vous avons expliqué comment Amesys avait réussi son petit tour de passe passe pour exiler (tout en gardant la propriété) Eagle, son outil de surveillance de masse aux Emirats Arabes Unis, il y a quelques mois de ça. Aujourd’hui en refusant d’accorder à Edward Snowden l’asile politique, ou du moins en montrant une grande frilosité à se poser la question, la France conchie les libertés fondamentales inscrites dans sa Constitution, elle conchie ce qui est censé être notre ciment social.

Comme Julian Assange, Edward Snowden est physiquement menacé. Les informations qu’ils ont révélé sont classifiées aux USA et au motif du délit de « conspiracy » et d’espionnage, tous deux risquent la peine de mort, au mieux, comme le prévoit le Patriot Act, de finir leurs jours à Guantanamo, sans même être jugés.

La France, sur le papier, pays des droits de l’Homme et de la liberté d’expression, préfère donc couvrir l’exile financier et technologique de ses produits de surveillance de masse « made in France », plutôt que d’octroyer à ces deux personnes, auxquelles nous devons une prise de conscience mondiale, leur droit le plus élémentaire : celui de vivre.

Il faut bien comprendre que sous notre droit à nous, Edward Snowden comme Julian Assange n’ont commis aucun délit en publiant des informations classifiées aux USA car elles ne le sont pas du tout en France.

Du point de vue du droit « connu » de nos citoyens (que l’on opposera à des accords secrets), rien ne s’oppose donc à ce que Snowden et Assange puissent bénéficier de la protection de la France, ce serait même parfaitement légitime, humain et dans la droite lignée des valeurs que notre République dit défendre.

Cette frilosité, mise en perspective avec la fuite incompréhensible et innacceptable des activités d’Amesys qui lui valent pourtant aujourd’hui une enquête pour complicité de tortures en Libye sous le régime de Kadhafi, donne un très mauvais signal. Si notre gouvernement cherche à ressouder les citoyens français, qu’il le fasse avec les valeurs inscrites dans notre Constitution. Qu’il ne se dérobe pas derrière des accords secrets passés avec les USA ou toute autre puissance. A l’heure où notre pays a besoin d’envoyer un message fort pour unir un pays en proie à la crise, au doute, à la défiance de la classe politique, il a une occasion unique d’enfin parler d’une seule voix en faisant bloc derrière des valeurs fortes, des valeurs humaines.

Aussi, nous pouvons, nous devons interpeler nos élus sur cette question. Nous avons le devoir, en tant que citoyens, de comprendre ce qui empêche notre gouvernement de donner son accord pour accueillir Edward Snowden et Julian Assange, nous avons le devoir de lui rappeler que les valeurs de la République ne sont pas exclusivement des produits d’exportation.

Nos politiques européens sont de très talentueux comédiens. L’indignation d’Angela Merkel, en soi, c’était déjà risible. En France, exception culturelle oblige, nous ne sommes pas les plus mauvais quand il s’agit de sortir les violons pour endormir les masses. Souffler le chaud et le froid, c’est un art. En la matière, Fleur Pellerin est loin d’être la plus mauvaise. Notre ministre, en plus d’avoir une parfaite compréhension technique de l’affaire PRISM et des différentes sources d’informations constituant le gros de la doctrine SIGINT des USA depuis les attentats du 11 septembre, connait parfaitement les dossiers relatifs à la surveillance des réseaux, attendu qu’elle s’est très probablement penchée sur la cession d’Eagle par AMESYS à AMESys (le spin-off d’Amesys domicilié aux Émirats Arabes Unis pour vendre des outils de surveillance de masse sans avoir à se soucier d’éventuelles violations des droits de l’Homme… business is business).

Souvenez vous c’était il y a 48 heures, lors de son passage sur BFM. Fleur Pellerin nous expliquait quelque chose de très surprenant… Elle mentait, à minima, par omission :

« Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)»
(…)
« il n’est pas question d’une surveillance généralisée des réseaux (…) »

Aujourd’hui, le Monde titre « Espionnage de la NSA : la classe politique française estomaquée ». Estomaquée… rien que ça. Et la petite perle, c’est quand même la réaction toute neuve de Fleur Pellerin, qui avant les révélations du Guardian au sujet de l’espionnage des instances européennes, minimisait la portée de PRISM… mais non en fait, pas de PRISM (qui tout seul n’est pas grand chose et dont il fait peu de sens de  dissocier du contexte global), mais bien du programme de surveillance de masse opéré par la NSA et au moins 7 pays européens partenaires de la NSA, tous bien complices, tous parfaitement au courant.

Voici la réaction toute neuve de Fleur Pellerin :

En revanche, M^me Pellerin s’est dite choquée par le « dispositif de surveillance généralisée » des populations révélé par les premières fuites d’Edward Snowden, le programme Prism. Interrogée sur l’opportunité de représailles, comme la suspension des discussions commerciales, la ministre a appelé à « ne pas mélanger les sujets à ce stade. »

Si je rejoins Fleur Pellerin sur la position à adopter face aux USA, en évitant de tout mélanger, je suis bien plus sceptique sur le message subliminal renvoyé par ce genre de revirement. Non pas de la part de Fleur Pellerin qui se dit choqué par la mise sous surveillance des citoyens, mais par les réactions de nombreux politiques, tout bords confondus, que l’on entend s’indigner pour la surveillance des institutions européennes.

Lisons entre les lignes :

• Que la NSA viole les communications privées de tous les citoyens européens, ça, on s’en fout, c’est pas grave, on peut le minimiser, histoire de couvrir les pratiques de nos amis à gros zizi... et il faut le dire, aussi un peu peut-être nos propres pratiques.
• Que la NSA viole les communications publiques d’une institution publique, au service du public, et financé par de l’argent public, ça c’est choquant !

Puis après tout, si l’UE n’a rien à se reprocher, c’est qu’elle n’a rien à cacher non ? Ah non ? Ça marche pas ça avec les institutions ? C’est que pour les citoyens ?

Heu … WTF ? Aurais-je loupé un épisode ?

On attendait une réaction de Fleur Pellerin au sujet de PRISM un peu moins farfelue que « le cloud souverain » avec lequel elle a tenté de nous endormir la semaine passée. Nous avons failli en avoir une ce matin un peu plus sérieuse… mais non. Fleur Pellerin a décidé de récidiver et de s’enfoncer dans le mensonge.

Dormez tranquilles citoyens, la République et l’Europe veillent.

Une fois de plus, notre ministre, reçue par Jean-Jacques Bourdin sur BFM a commencé à évoquer PRISM d’une bien étrange manière. Écoutons attentivement ses propos, ils sont édifiants.

Pour notre ministre, PRISM, c’est juste l’équivalent de la PNIJ, des petites interceptions ultra ciblées qui ne concerneraient qu’une poignée de personnes, le tout sur demande d’un juge.

« Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)« 

Comme si l’interception de fibres sous-marines ne concernait que « quelques sites »… ahem…

L’ensemble du trafic et des communications des américains, dans la bouche de Fleur Pellerin devient donc « un certain nombre d’informations ».

« il n’est pas question d’une surveillance généralisée des réseaux (…) »

Ah… ça, c’est quand même gonflé !

De deux choses l’une, soit Fleur Pellerin est très mal informée, soit elle ment éhontément pour nous cacher quelque chose. Et comme je doute fort qu’elle soit mal informée, j’en déduis assez logiquement qu’elle nous ment avec un aplomb qui ne peut que cacher quelque chose d’inquiétant… au hasard, la complicité des autorités françaises (et européennes) sur des programmes connus de longue date, auxquels nous collaborons certainement et des écoutes hors de tout cadre juridique, opérées depuis l’étranger.

Le cabinet de Fleur Pellerin lui aurait il caché Mainway, Nucleon, Marina (…). Loin d’être comparable à un programme d’interception judiciaires, PRISM s’inscrit au sein d’un programme beaucoup plus vaste d’interceptions parfaitement massives composé de plusieurs sources de renseignement d’origine électromagnétique comprenant :

• L’accès aux données chez de gros acteurs de la téléphonie et de l’Internet (avec stockage pour une durée indéterminée et exploitation à postériori) ;
• L’interception massive des données au cul des câbles sous marins ;
• Le piratage de backbones pour accéder à des masses d’informations considérables ;
• Et probablement bien d’autres joyeusetés.

Voyons par exemple ce que dit CNet (et c’est le son de cloche dans toute la presse anglo-saxonne)

Newly disclosed classified document suggests firms allowed spy agency to access e-mail and phone call data by tapping into their « fiber-optic cables, gateway switches, and data networks. »

Fleur Pellerin, comme la commission européenne, est également étrangement silencieuse au sujet de Tempora, le programme britannique d’interceptions de masses.

D’ici à ce qu’on apprenne que la France était non seulement parfaitement au courant de Stellar Wind et fait elle même partie du dispositif, il n’y a franchement plus très loin. Mais voilà, Fleur Pellerin le sait, ce qui est à peu près accepté aux USA ne le serait probablement pas en France. Pourquoi ? Parce que contrairement aux USA, la France ne dispose pas de loi antiterroriste comme la FISA (Foreign Intelligence Surveillance Act) ou le Patriot Act permettant de violer massivement les communications de l’ensemble de la population.

Et plus le temps passe plus tout porte à croire que notre ministre allume des contre feu ridicules pour tenter d’éluder quelque chose dont elle a parfaitement conscience et qui devient particulièrement nauséabond.

• Pourquoi Fleur Pellerin qui a une parfaite compréhension technique de l’affaire Prism / StellarWind / Tempora (etc) nous sert du cloud souverain en omettant d’évoquer le chiffrement des données ?
• Pourquoi Fleur Pellerin cherche t-elle à minimiser la portée de cette affaire en nous faisant passer du massif pour du tactique, ciblé et sous le contrôle de juges ?
• Pourquoi Bercy a t-il par exemple autorisé l’auto-cession de Eagle d’Amesys à A.M.E.Sys (Advanced Middle East System), entité crée de toute pièce par Amesys pour exporter ses activités un peu trop sales aux Émirats Arabes Unis ?
• Comment se fait-il que l’on apprenne aujourd’hui que les autorités de l’État sécurisent les locaux d’une entreprise comme Qosmos dont la devanture affiche un savoir faire marketing alors que nous savons très bien que le cœur de métier de Qosmos est la surveillance IP.

Fleur… attention, ça commence à se voir.

Je vous annonçais ce matin que quelque chose d’énorme était en train de se préparer rue du Texel… et effectivement, la surprise est de taille. Comme je vous l’expliquais tout à l’heure, l’HADOPI marque une volonté de sortir de la riposte graduée contre laquelle nous luttons depuis plus de 4 ans. Mais contrairement à ce que l’on peut déjà lire dans certains articles, il ne s’agit pas d’une licence globale : ce ne sont pas les utilisateurs qui financeraient directement par une contribution ce système, mais les acteurs qui en tirent un profit financier. L’HADOPI envisage ce que nous n’osions nous même pas imaginer après tout ce temps à avoir l’impression de lutter contre des moulins à vent : une reconnaissance, formelle, des échanges non marchands, s’appuyant sur un système de rétribution des auteurs, financé par les diffuseurs faisant commerce (direct ou indirect) de la diffusion d’œuvres de l’esprit dématérialisées.

Pour ceux à qui ces mots font mal au crâne, je vais vous la faire plus simple :

Si ce projet est mené à bien, nous pourrions enfin échanger en peer to peer sans qu’une bande de guignols ne tente de flasher notre adresse IP pour la transmettre à l’HADOPI… fini la police privée du P2P, fini les spams qui vous demandent de « sécuriser votre connexion » sans vous expliquer comment, fini le risque d’amende, fini le risque de se retrouver devant un juge, fini les coupures de connexion, et surtout… fini le délit de contrefaçon totalement crétin lorsque l’on télécharge un film ou un MP3.

Ça, c’est ce que la majorité d’entre nous appréciera, c’est déjà en soi une première mondiale. Mais il faut pousser la réflexion un peu plus loin pour comprendre jusqu’où va cette proposition de reconnaissance des échanges non marchands. L’HADOPI dit étudier la faisabilité de cette reconnaissance des ces échanges en proposant une compensation financière aux ayants droit, payée par les entités qui tirent un profit direct ou indirect de la mise à disposition des œuvres.

Les implications dépassent même le stade de la diffusion des œuvres culturelles. Les effets de cette petite révolution si elle venait à se concrétiser, serait un moteur pour l’innovation dont de nombreuses PME ou TPE pourraient tirer profit. Même des plateformes aujourd’hui considérées comme illégales pourrait devenir parfaitement légales en contribuant à la rémunération des auteurs. L’innovation dans la diffusion des œuvres est principalement freinée par les coûts d’accès aux différents catalogues. Pire, impossible pour une société ne disposant pas de plusieurs millions d’euros d’accéder à tous les catalogues, et ainsi de proposer une « offre légale » digne de ce nom. La reconnaissance des échanges non marchands pourrait ainsi mettre un sacré coup de pied dans la fourmilière et les ayants droit n’auraient plus aucun intérêt à restreindre l’accès à leur catalogue puisque ce dernier s’échangerait d’une manière ou d’une autre, à eux de décider s’ils veulent tirer un profit des échanges au lieu de rien du tout… et ça, c’est la vraie révolution. Ceci pourrait donc au final directement profiter à des auteurs qui ont le malheur de faire partie du « mauvais catalogue », celui auquel s’agrippe un ayant droit le privant d’espoir de toute diffusion, et donc de toute rémunération.

Il y a quand même maintenant deux caps qui vont être compliqués à franchir :

Le premier est d’ordre légal. C’est là que nous verrons si le gouvernement entreprendra la sortie de la riposte graduée, ou si ce dernier, reniant ses promesses de campagne, décide de ne rien faire et donc, de rester dans une ère répressive absurde qui pénalise autant les internautes que les auteurs. Quand on fait rentrer quelque chose d’aussi débile que la riposte graduée dans le corpus législatif, il est forcément un peu compliqué de s’en débarrasser.

Le second est d’ordre technique puisqu’il touchera au modèle de rémunération et risque de s’opposer de manière assez frontale aux réticences des SPRD qui profitant de leur quasi monopole, ont su créer un véritable système mafieux épinglé à maintes reprises par la cours des comptes.

Bref, la bataille HADOPI n’est pas terminée, et ce n’est peut être pas le CSA qui la gagnera.

Le site Toulouse7.com ayant décidé d’égarer mon commentaire en réaction à cet article, je me suis dit qu’au final, une réponse trouverait un peu plus d’écho sur ce blog pour sensibiliser les personnes qui pourraient se laisser berner. On se doutait bien que des petits malins allaient surfer sur la vague PRISM pour refourguer leurs « solutions » qui n’en sont pas. Je viens de tomber sur le parfait exemple d’article de page de pub totalement à côté de la problématique de fond pour mettre en avant une solution technique qui ne répond en rien à l’expression d’un besoin de confidentialité pourtant réel des entreprises comme des particuliers face à PRISM, Tempora, et tous les programmes de renseignement d’origine électromagnétique… qui se traduit, rappelons le, par ce qu’on appelle de l’interception massive sur les réseaux IP…

Par pitié, si vous êtes chef d’entreprise et que vous vous sentez concerné par la confidentialité de vos données professionnelles, ne vous laissez surtout pas endormir par ce genre de charlatant qui vous préconise une solution (la leur) alors qu’ils n’ont visiblement pas compris le problème. Nous le savons, le monde de la « sécurité » informatique raffole des peurs des uns et des autres. Un prospect qui a peur, c’est un client en puissance. Si en plus on joue sur sa fibre patriotique, c’est le jackpot.

Si vous vous souvenez par exemple du logiciel de « sécurisation » HADOPI qui n’a finalement jamais vu le jour et dont j’ai d’ailleurs largement parlé sur ce blog, vous vous souvenez peut être aussi des pseudo solutions à la con, comme les HADOPIPOWARES vendus par des sociétés comme Orange et beaucoup d’autres, ce alors qu’aucune spécification n’était rédigée. Un défilé de « solutions » toutes plus crétines les unes que les autres, quand elles n’étaient pas tout simplement vouées à créer plus d’insécurité que de sécurité. A n’en pas douter, et je m’y attendais, PRISM va provoquer le même phénomène, mais cette fois à l’échelle mondiale. Et ça c’est inquiétant.

i (won’t) Trust you

Notre premier winner s’appelle Jean-Nicolas Piotrowski, il dirige la société iTrust, dont je ne remets pas en cause la qualité des produits, je ne les connais pas, je ne les ai pas testé. En revanche je remets en cause ses propos sans queue ni tête pour vendre sa salade, et tout le iBullshit qu’il met autour pour nous enrober ça en se parant de sa blouse blanche.

Il commence d’ailleurs assez fort en mettant en branle son expertise en droit international, un terrain sur lequel peu d’experts en sécurité s’aventurent tant il est casse gueule :

L’espionnage par PRISM n’est pas légal et va à l’encontre à la fois de la règlementation US du tribunal fédéral relatif au renseignement étranger et de la règlementation européenne.

Ah bon ? PRISM ne serait donc pas « légal »… Please define « légal »… légal pour qui ? Légal pour quoi ? Le Patriot Act est illégal ? Un traité comme l’UKUSA est illégal ? J’entends déjà d’ici les britanniques ricaner… j’entends aussi tous les juristes se fendre la poire. Après ce bref interlude juridique, on rentre dans le FUD technique, un peu comme le coup du « connu inconnu » qui m’avait tant fait rigoler :

tel qu’il est techniquement décrit, il ne permet pas seulement de surveiller des individus (officiellement étrangers aux USA) mais permet aussi de perpétrer de l’espionnage économique (notamment à destination des entreprises utilisant les services tels que par exemple : Google, Microsoft, Apple.)

PRISM serait donc « techniquement décrit », intéressant. Bon si vous avez des spécifications techniques sous le coude, elles m’intéressent, n’hésitez pas à me les transmettre par mail. Chez Reflets, nous avons assez candidement cherché dans les moult gigas de PDF et PowerPoint tout laids de la DISA, et on est loin, très loin, d’avoir un descriptif technique du gros zizi américain. La surveillance de masse, c’est un peu comme une boite de chocolats, on ne sait jamais sur quelle agence on va tomber.

Maintenant que le lecteur est persuadé que PRISM est illégal et qu’il est face à un « expert », le voilà mûr pour se faire cueillir :

Alors que faire ? Il faut simplement appliquer ce que certaines instances européennes légitimes et certains experts préconisent

• utiliser des logiciels et solutions professionnelles européennes (Préconisations faites par la CNIL, le rapport du sénateur Boeckel et l’agence européenne ENISA)
• héberger des données d’entreprises dans des data centers sur sol européen,
• choisir des prestataires informatiques privilégiant des solutions européennes dans leurs infrastructures et qui ne seront donc pas soumises au Patriot Act
• choisir des prestataires de droits européens.

Si Jean-Nicolas Piotrowski avait la moindre idée de ce qu’est PRISM, il ne sortirait pas de telles énormités. Nous l’avons expliqué depuis le début, PRISM est un tout petit machin au sein d’un programme bien plus global… et un programme faisant l’objet d’accords internationaux… avec des pays européens, les britanniques en tête (avec TEMPORA), mais pas que. En outre les USA sont loin d’être les seuls à wiretaper les câbles sous marins ou le cul des iX. Britaniques et français (pour ne citer qu’eux) s’adonnent aussi très certainement à ce genre de pratiques. Prétendre que la problématique de l’interception de masse se limite à PRISM, c’est faire preuve d’un manque de discernement et d’information crasse sur le monde fou fou fou du renseignement d’origine électromagnétique. Je passe sur le clin d’œil au rapport Bockel (et non Boeckel) et le troll sur les routeurs chinois en vous invitant à lire ce billet de Stéphane Bortzmeyer pour vous laisser prendre la mesure de tout le FUD autour de ce sujet.

La conclusion de Jean-Nicolas Piotrowski, on s’y attendait un peu :

Les solutions existent, la preuve en est, j’en ai développé une non soumise au Patriot Act qui garantit une totale confidentialité des données. L’histoire de PRISM nous montre que ce n’est pas le cas pour les solutions américaines.

Wahou… un solution non soumise au Patriot Act ! c’est fort ça ! Nous voila rassurés ! Mais mesurons le degré de soumission au Patriot Act de manière un peu plus objective.

• Le domaine iTrust.fr est déposé chez Gandi, jusque là tout est souverain
• iTrust est hébergé sur l’AS39405, un AS souverain (Full Save Network)… jusque là tout va bien, mais attention, le peering est moins souverain (Level3, Cogent et Hurricane sont tout les trois soumis au Patriot Act).

On va dire que pour la tuyauterie, c’est à peu près bon, regardons les dessous. C’est tout de suite moins souverain…

C’est d’ailleurs assez curieux pour une société de sécurité informatique d’avoir des trackers Facebook et une fan page sur ce réseau social soumis au Patriot Act et collaborant directement avec la NSA, mais pourquoi pas… C’est bien mignon de claironner qu’on a développé un logiciel non soumis au Patriot Act, ce qui est au passage une tautologie pour une entreprise française, mais si on veut se positionner commercialement de manière sérieuse dans les solutions « PRISMproof », on commence par éviter les trackers Facebook sur son site professionnel.

PRISMproof ?

Avant que vous ne me posiez la question « alors comment on fait pour échapper à PRISM », je vais tenter de vous faire une (trop) brève réponse, elle n’est pas parole d’évangile mais elle ne vise qu’à vous donner des pistes, en fonction de vos activités (car il serait idiot de penser que nous avons tous les mêmes besoins et les mêmes exigences en matière de confidentialité, ce en fonction de nos activités) :

• Oui, on conserve ses données de préférence sur le territoire national et encore, tout dépend… Vous imaginez bien que nous n’irons par exemple pas héberger Reflets.info ni même ce blog chez Numergie (le cloud by Bull / Amesys), ou dans le cloud de Thales.
• Oui on chiffre son trafic (et tout son trafic), oui on utilise un VPN, mais pas n’importe lequel, on choisi correctement son point d’entrée, son point de sortie (ce en fonction du contexte à protéger lors de vos activités en ligne). J’ai fais le choix de privilégier de l’ OpenVPN (L2TP, c’est la loose). Je privilégie également une PKIx509 en PFS (Perfect Forward Secrecy). Le PFS a une vertu : même si la clé master tombe dans les mains de la NSA, elle ne pourra pas déchiffrer tout le trafic, il lui faudra casser de la clé session par session… ce qu’elle ne manquera pas un jour de faire, sachez le !
• Non, on utilise pas son VPN pour aller superpoker tout son carnet de contact chez Facebook !
• On durci son navigateur, par exemple avec JonDoFox et en utilisant, au cul du VPN, un bridge TOR, et des proxys différents pour les autres applications (mail, chat etc… que l’on chiffre également… OpenPGP, OTR tout ça …)
• Pour une sécurité accrue, on recommandera l’utilisation de machines virtuelles, ce afin d’isoler les différents contextes liés à nos différentes activités (une vm sous GNU/Linux pour les mails, qui sort en Suisse, une vm pour bittorrent, qui sort en Suède, etc…)
• Oui c’est plus lent, mais vous apprendrez plein de choses passionnantes et vous corrigerez vos comportements en ligne pour gagner en confidentialité et en sécurité.
• Enfin, on gardera en tête qu’il n’y a pas de secret numérique éternel : toute donnée chiffrée sera déchiffrable un jour ou l’autre (les américains stockent le trafic chiffré, et c’est bien dans le but de le déchiffrer un jour ! Pensez donc à l’anonymiser)

D’une manière générale, ne croyez jamais un commerçant qui affirme vous rendre 100% anonyme sur le Net, c’est forcément un menteur. D’une manière générale ne croyez jamais une personne qui après 20 lignes pour vous expliquer PRISM conclura par « la preuve, j’ai moi même développé la solution qui garantie la confidentialité de vos données« , car ce dernier n’a non seulement rien prouvé, mais c’est très probablement un menteur. Et en matière de confidentialité, il y a certains pays ou ces menteurs peuvent finir avec des morts sur la conscience…

Enfin, ne croyez jamais un expert en sécurité qui sort les mêmes âneries qu’un ministre qui dépend de Bercy.

Un pourcentage non négligeable de la confidentialité se passe entre la chaise et le clavier, non sur un disque dur.