Comme ils sont mignons. Tous ces hommes, toutes ces femmes politiques à se plaindre de la montée du Front National, à chercher comment le combattre. A se précipiter devant les micros et caméras pour faire la leçon au bon peuple qui se laisse séduire par les sirènes de l’extrême-droite rance. Et pourtant… Ils ne ménagent pas leurs efforts pour pousser tout un pan de la population dans les bras de la bête immonde.

Le changement c’est maintenant, disait François Hollande. On a vu. La finance sans visage, son ennemie, qui est devenue son amie au moment où il a été élu. On a vu… Les milliards de cadeaux offerts au Medef, sur un plateau. Avec un résultat sans égal. Les patrons n’ont pas respecté leur part de l’accord. On a vu… La Loi Macron qui va finir de dépecer les restes du code du Travail et qui voulait même, grâce aux bonnes idées de Jean-Jacques Urvoas, offrir aux entreprises un moyen de mettre fin au journalisme d’investigation. On a vu… Les petits arrangements du pouvoir qui ont perduré, les planques aménagées avec salaire confortable pour les amis, afin de patienter jusqu’à la prochaine élection. On a vu… L’impunité qui se poursuit. Jack Lang et sa femme qui déjeunent quasiment aux frais de la princesse avec leurs 1000 amis dans le restaurant sur le toit de l’Institut du Monde Arabe que l’ancien ministre de la culture dirige. On a vu… Claudie Haigneré, ancienne astronaute, recasée par la droite et maintenue par la gauche à la tête d’un établissement public regroupant la Cité des sciences et de l’industrie de la Villette et le Palais de la découverte. Avec un salaire et un budget de fonctionnement que lui envieraient tous les patrons d’établissements publics. (Voir pour ces deux dernières affaires le Canard Enchaîne du mercredi 11 février 2015). On a vu. Le changement, ce n’est ni hier, ni maintenant, ni demain.

Dans le domaine de la diplomatie, c’était déjà marquant durant les 100 premiers jours de la présidence Hollande. Le nouveau président avait en effet reçu le roi du Maroc (le mouvement du 20 février appréciera), le roi de Bahreïn (Najib Rajab appréciera), le premier ministre du Qatar, le fils du roi d’Arabie saoudite, le roi de Jordanie et le prince héritier d’Abu Dhabi. Tous pays connus pour leur souci du respect des Droits de l’Homme. Et pour leur goût prononcé pour les technologies de surveillance globale.

Rafale de légion d’honneur pour les tortionnaires : un message clair

Alors qu’il y a quelques jours la FIDH s’inquiétait de la lenteur de la procédure contre Amesys et sa vente d’un système de surveillance globale à la Libye, un message très clair vient d’être envoyé par la présidence française au pôle spécialisé dans les crimes contre l’humanité, crimes et délits de guerre au sein du TGI de Paris. Première salve : la vente accélérée et rocambolesque d’avions Rafale à l’Egypte du maréchal Abdel Fattah al-Sissi. Un vrai démocrate ce al-Sissi. Arrivé à la faveur d’un putsch qui arrangeait les occidentaux (il chassait les méchants islamistes), il s’est illustré en emprisonnant des journalistes, en laissant des massacres être perpétrés par les forces de sécurité. Deuxième salve : Bernard Cazeneuve, en visite au Maroc, vient d’annoncer qu’Abdellatif Hammouchi, patron du contre-espionnage marocain, déjà Chevalier de l’ordre de la Légion d’honneur depuis 2011, allait recevoir les insignes d’Officier.

Que peut-on faire de mieux, pour soutenir les peuples en lutte contre des Etats policiers qui se distinguent par leur usage de la torture contre les opposants politiques, que de leur vendre des armes et de leur distribuer des breloques ? Que peut-on faire de mieux pour soutenir la justice française qui tente d’auditionner Abdellatif Hammouchi dans le cadre de deux plaintes différentes pour actes de torture et de complicité de tels actes, que de lui décerner les insignes d’officier de la légion d’honneur ?

Les lecteurs de Reflets savent par ailleurs depuis longtemps que la France a vendu au Maroc le même Eagle que celui qui avait été livré à la Libye.

Toutes ces actions d’un gouvernement de gauche qui est Charlie, bien entendu, ne font que pousser les mous du cortex se laissant séduire par le Front National, à voter extrême droite. Parce qu’il est complexe d’imaginer autre chose qu’un vote FN ou extrême gauche lorsque les gouvernements de gauche remplacent comme une photocopie un gouvernement de droite, sans que rien ne change. Et pourtant… Il y a d’autres voies.

A ce point, on en viendrait même à se demander si ce n’est pas une stratégie délibérée du PS pour amener le FN au pouvoir.

 

 

C’est beau comme… Comme de l’auto-certification. Comment se faire un peu de pub quand on est un groupe de sociétés françaises spécialisées dans la sécurité informatique ? Simple. Créer un énième label et certifier quelques produits. Petit plus ? Embarquer dans l’aventure des organismes d’Etat. L’arrivée dans le paysage de « France Cyber Security » (évoqué ici par ZDNet) n’est donc pas une surprise. Elle suit le précédent « label » qui ne marchait pas, Hexatrust (dans lequel on trouvait nos amis de Qosmos). Dans tous les cas, bien décorer le site Web avec de la peinture bleue, blanche et rouge, imaginer un logo qui ressemble à s’y méprendre à un écusson de force de police ou de l’armée, et se présenter comme une alternative à la méchante NSA des Etats-Unis. De la sécurité française, façon Super Dupont qui permet de faire la nique aux espions américains. Sauf que tout cela ne suffit pas à faire de la bonne sécurité.

France Cyber Security l’annonce clairement sur son site :

Les principes d’attribution s’appuient principalement sur les critères suivants :

1. Les produits et services sont fournis et/ou délivrés par une entreprise française
2. Les produits sont conçus et développés en France.
3. Les services sont fournis de France et hébergés en France le cas échéant.
4. La qualité et la performance des produits et services sont attestés par des certifications.

Du vrai produit de sécurité made in France avec du saucisson et de la baguette.

Nos oreilles ont sifflé cette semaine quand, assistant à une conférence de la DGSI visant à sensibiliser les entreprises françaises aux danger numériques, France Cyber Security a été cité comme un lieu intéressant pour choisir des produits permettant d’éviter la curiosité américaine.

Car il devait manquer quelques informations au policier, par ailleurs intéressant, de la DGSI.

Dans la liste des produits certifiés pur saucisson-baguette, il y a nos amis d’Atos, de Bull. Nos plus anciens lecteurs (début des années 2000) savent combien ces sociétés se sont illustrées au fil du temps dans le domaine de la sécurité informatique. Ne parlons même pas du fait que Bull/Amesys s‘est particulièrement distinguée en vendant du matériel de cyber surveillance à des dictatures et des Etats policiers, au point qu’une instruction vise l’entreprise pour complicité de torture… Mais il y a mieux…

Produit certifié avec teinture capillaire©

Dans la liste des certifiés, on trouve une entreprise bien française qui vend à des ministères et des banques mais qui, pour assurer un beau contrat, a vendu l’accès au code source de son produit à… Une entreprise américaine dont les liens avec le gouvernement américain ne font aucun doute. Pour tout dire, cette entreprise française était tellement fière de son contrat que l’un de ses dirigeant s’est teint les cheveux de la couleur du logo de la société américaine le jour de la signature. Pour autant, elle ne s’en est pas vantée car voyez-vous, il y a un non disclosure agreement entre elle et la société américaine qui l’en empêche. Chers ministères, chères banques, vous ne saurez donc pas à quelle sauce vous serez mangés. Une chose est sûre toutefois, vous serez mangé avec une sauce certifiée France Cyber Security.

Ce label a toutefois du mal à s’auto-certifier lui-même. Le très joli WordPress installé sur le serveur Apache qui héberge ses pages, semble avoir été mis en place sans supervision… d’un expert en sécurité (française ou pas).

Il ne s’agit pas d’un simple petit oubli puisque le site offre d’autres informations : il est possible de consulter les fichiers uploadés sur le site :

Piste de réflexion (cadeau Bonux) le site Hexatrust qui regroupait déjà la fine fleur de la sécurité informatique made in France, présente le même genre de problème :

Moralité ? L’auto-certification ne certifie pas grand chose…

Il est temps d’enclencher le compte à rebours. Dans les deux mois à venir, les apprentis-sorciers de gauche et de droite auront fignolé leur drôle de recette. Un projet de loi sur le renseignement est annoncé pour avril. Au menu de cette soupe à la grimace, on facilitera les écoutes des services de renseignement et l’on renforcera, dit-on, le contrôle de ces écoutes. Comme nous l’avions dit peu après les attentats de janvier dans notre émission de radio sur le terrorisme, ce sont surtout les écoutes illégales qui deviendront très probablement légales. Dans le jargon des zélateurs de l’écoute massive, on appelle ces écoutes, des écoutes a-légales. Pas légales, mais pas non plus illégales. Elles sont a-légales. Cherchez l’erreur, car tout étudiant de première année de droit sait, lui, que quelque chose est soit légal, soit illégal.

Mediapart publiait aujourd’hui un intéressant article sur les écoutes en France. C’est didactique, complet. A lire donc. Reste une inconnue, ces écoutes a-légales. Quelle est leur ampleur ? Qui les réalise ? Pour le compte de qui ? Même en ayant recueilli les confidences d’anciens membres de la CNCIS, Médiapart ne nous en apprend pas plus. Oui, elles existent, mais le détail reste flou.

C’est dommage, car selon nous, c’est justement cette partie des écoutes qui va être « légalisée » par le projet de loi à venir.

Sujet de polémique entre l’auteur de ces lignes et Jean-Marc Manach, il nous semble que la France pratique des écoutes massives parfaitement illégales.

Les mots ayant un sens, précisons notre pensée.

• La technologie existe et l’Etat Français a même aidé financièrement, diplomatiquement et « commercialement » les entreprises qui les ont développées (Qosmos, Amesys, EADS, etc.)
• Il serait fort étrange que Amesys ait pu déployer ses Eagle dans plusieurs pays sans que l’Etat ne se soit réservé un accès distant à ces infrastructures. La même question est posée pour les sondes Qosmos là où elles sont déployées.
• Les services de renseignement sont créés justement pour faire (aussi) des choses qui sortent du cadre légal. Le tout étant de ne pas se faire prendre en train de faire sauter un bateau en Nouvelle Zélande, par exemple.
• Define « Massives », please… Pour nous, massif, c’est au-delà de ce que l’on peut faire avec des écoutes judiciaires ou administratives. Par exemple, ramasser les meta-données de 100.000 personnes au hasard une fois de temps en temps, c’est du massif. Quand la France communique 70 millions de meta données à la NSA dans le cadre de l’accord Lustre, c’est du massif, par exemple.
• Le secret des correspondances étant un point important de cette « démocratie », il nous semble que la France, comme tous les autres Etats, s’assoit sur l’un des principes fondamentaux du contrat social qui nous unit.

Ce qui doit énerver les députés, sénateurs, policiers, espions, etc. qui militent pour plus d’écoutes, c’est que les écoutes illégales (a-légales, selon leur terminologie) ne peuvent pas entrer dans une procédure judiciaire, en raison justement de leur illégalité. Un petit projet de loi bien tourné pourrait peut-être régler ce point de détail.

Lustre : ce tabou français dont on ne peut pas parler

Selon un journal Allemand, et Le Monde, la France participe au grand n’importe quoi mis en place par les Etats-Unis, en communiquant des informations récoltées (en masse) par nos services. Ceci se fait sur la base d’un accord portant le nom de « Lustre ». Mais que sait-on de Lustre ? Rien.

Ce n’est pas faute de poser des questions. Simplement, les élus se refusent à répondre. De mémoire, les élus sont dépositaires du pouvoir délégué par le peuple français. Ils leur doivent donc une certaine transparence sur leurs actes. En tout cas, c’est ce qui est écrit noir sur blanc dans « Oui-Oui écrit la constitution de la Vème république »…

Le député Jean-Jacques Candelier a bien tenté de poser une question au gouvernement sur Lustre. C’était le 26/11/2013. Il attend toujours sa réponse.

Reflets a posé une question sur Lustre à Jean-Jacques Urvoas à la fin d’une conférence. Sans répondre, il s’est levé et a quitté le lieu. Laissant là les personnes qui l’avaient invité et les autres participants à la conférence qui n’ont pu lui poser aucune question. En près de 25 ans de journalisme, je n’avais jamais vu quelqu’un refuser de répondre à une question de cette manière.

Ce matin, rencontrant dans une conférence publique un membre de la DGSI qui sensibilisait les entreprises au risques numériques, j’ai également abordé l’accord Lustre. Je n’ai obtenu aucune réponse sur ce point.

Reflets a interpellé à de très nombreuses reprises des membres du gouvernement ,via Twitter ou par ses articles, à propos de Lustre et de l’infrastructure d’écoute française (liée au déploiement des Eagles de Bull/Amesys). Sans jamais obtenir la moindre réponse. A part celle d’Aziz Ridouan, un chargé de la com’ de Fleur Pellerin qui traitait Reflets de Troll…

Circulez, il n’y a rien à voir. La France ne fait pas de massif répètent en boucle Jean-Jacques Urvoas, les patrons de la DGSE, les gouvernements. Tout va bien. Dormez tranquilles. Et pour vous rassurer un peu plus, au nom de Charlie qui n’en peut mais, on vous concocte une soupe à la grimace nouvelle loi liberticide. Etonnament, son contenu sera porté à bouts de bras par Jean-Jacques Urvoas, le même qui avait introduit un amendement sur le secret des affaires dans la loi Macron, visant entre autres choses à mettre un terme au journalisme d’investigation… Pur hasard bien entendu.

Fin décembre, le Spiegel révélait une série de documents issus des informations récoltées par Edward Snowden. C’était en plein 31c3 (Chaos Computer Congress). Le journal allemand réitérait le 17 janvier. On en sait désormais un peu plus sur les moyens offensifs de la NSA ainsi que d’autres agences concernant la cryptographie. La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible sur le site du CCC. Un peu de temps s’étant écoulé, il n’est pas inutile de revenir sur ces révélations et d’en tirer quelques conclusions.

BULLRUN, yes we can…

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détails (comme The Guardian ou encore Propublica).

On savait, à l’époque, que l’on pouvait distinguer -en simplifiant, trois méthodes que la NSA utilise pour pouvoir accéder à du contenu chiffré :

• utiliser les mathématiques, c’est à dire trouver de nouvelles méthodes pour réussir à casser un algorithme (par exemple pour « casser » RC4),
• La deuxième méthode permet « simplement » d’accéder aux clés privées de la cible (pouvant aussi bien être une personne qu’une multinationale) ou aux informations demandées. On arrive là dans un ensemble d’autres programmes, un des plus secrets de la NSA (sa classification est « CORE SECRETS« ). On trouve dans les documents que les agents peuvent être sous couverture dans une entreprise (qu’elle soit américaine ou étrangère), ou encore que le programme TAREX (pour TARget EXploitation) conduit des opérations clandestines aussi bien SIGINT (renseignement d’origine électromagnétique) qu’HUMINT (renseignement humain) partout dans le monde pour exploiter des systèmes via différents moyens : “off net-enabling” (activité clandestine ou sous couverture sur le terrain), “supply chain-enabling” (modifier des équipements directement dans la chaîne logistique ou via le détournement de livraisons) et “hardware implant-enabling” qui semble regrouper un peu des deux précédents.

Les États-unis ne sont évidemment pas obligé de passer par ce genre de d’opérations pour obtenir ce qu’ils veulent de leurs entreprises, il existe le « Foreign Intelligence Surveillance Act » (FISA) et les « lettres de sécurité nationale » qui sont des requêtes contraignantes et qui peuvent obliger une entreprise à permettre un accès à quelque chose en ayant l’obligation de ne pas en parler.

Ainsi, en 2013, l’entreprise Lavabit décida de fermer plutôt que de donner sa clé privée SSL/TLS au FBI, le tribunal la menaçait d’une amende de 5000 € par jour de retard. Lavabit hébergeait les mails d’Edward Snowden parmi ses 400 000 utilisateurs.

En 2008, Yahoo a été menacé d’une amende de 250 000 $ par jour de retard si il ne donnait pas des données d’utilisateurs à la NSA

• La troisième méthode consiste à mettre en place ou profiter d’une mauvaise implémentation, comme le générateur de nombre aléatoire Dual_EC_DRBG, qui pourrait permettre, par exemple, de lire des flux SSL/TLS. Une méthode complémentaire consiste à payer une entreprise pour qu’elle utilise quelque chose en particulier, la NSA à payé 10 millions de dollars à l’entreprise RSA, pour utiliser Dual_EC_DRBG dans certains de ses produits (comme BSAFE).

Ainsi, la NSA (et sans doute les autres agences) a activement travaillé à insérer des vulnérabilités dans des produits commerciaux, des réseaux (par exemple en se connectant à un routeur pour diminuer la crypto d’un VPN), des protocoles (vous pouvez lire les spéculations de John Gilmore sur la NSA et IPsec) ou directement sur des périphériques de cibles.

Le New York Times rapporte qu’en 2006, la NSA avait réussi à pénétrer les communications de trois compagnies aériennes, un système de réservation de voyages, un programme nucléaire d’un gouvernement étranger en craquant les VPNs les protégeant, et en 2010, EDGEHILL (l’équivalent Britannique de BULLRUN) avait réussi à « déchiffrer » le trafic de 30 cibles.

À propos de configurations…

Pour ce que l’on en sait, il suffit d’une bonne configuration pour résoudre la majorité des problèmes (à noter tout de même : les documents datent de 2012, et énormément de choses ont pu changer depuis (Heartbleed, Poodle, nouvelles failles, etc).

SSL/TLS

Le cryptographe Matthew Green a fait un article sur les différents moyens dont la NSA dispose pour « casser » SSL/TLS. Selon lui, la NSA peut utiliser plusieurs méthodes :

• Voler les clés RSA (voir plus haut). En volant cette clé, la NSA peut « lire » le contenu des flux SSL/TLS, mais aussi déchiffrer les flux qu’elle a capté AVANT.
  • contre-mesure : utiliser les courbes elliptiques et surtout le Forward Secrecy (FS, ou confidentialité persistante).
• avoir « accès » aux chipsets matériel de chiffrement
  • contre-mesure : hum… changer de matos ? (et avoir de l’open-hardware, utiliser un générateur externe quand c’est possible)
• avoir « accès » aux chipsets logiciel de chiffrement (comme Dual_EC_DRBG)
  • contre-mesure : utiliser un générateur externe.
• Side channel attacks : un système peut faire fuiter des informations (operation time, resource consumption, cache timing, RF emissions) qui peuvent parfois être exploitable en étant sur le même espace physique (i.e le même serveur physique, voir Attack of the week: Cross-VM side-channel attacks). Matthew parle aussi d’une autre attaque, « remote timing information« , en notant que certains chipsets matériels désactivent la contre-mesure par défaut.
  • contre-mesure : faire attention à ses voisins, RSA blinding)

Bonnes pratiques :

• dans la mesure du possible, centraliser la configuration SSL/TLS pour un logiciel sur le serveur. Pour apache2, par exemple, vous pouvez mettre votre configuration (SSLCipherSuite…) dans /etc/apache2/mods-available/ssl.conf, cette conf sera alors pour l’ensemble de vos vhosts, et il faudra donc la changer uniquement là en cas de besoin (et non vhost par vhost, au risque d’en oublier)
• clé RSA égale ou supérieur à 2048 bits
• utilisation des courbes elliptiques
• Forward Secrecy
• SSLHonorCipherOrder on
• enlever les ciphers faibles et/ou obsolètes et/ou dangereux (DES, RC4, …)
• enlever SSLv3, et s’assurer par la même occasion que SSLv2 est bien mort et enterré (SSLProtocol all -SSLv2 -SSLv3 pour Apache2 par exemple)
• compression désactivée, pour éviter l’attaque CRIME

Pour vous aider dans la configuration de votre serveur Web, vous pouvez utiliser le site jeveuxhttps.fr, et bien entendu le désormais célèbre ssllabs.com qui permet de tester sa configuration.

Des outils comme sslscan, xmpp.net (XMPP/Jabber), starttls.info (mails) peuvent aussi être utiles.

SSH

La seule trace du terme backdoor dans les documents à propos d’openSSH est en fait un rootkit, ce qui signifie qu’il FAUT avoir réussi à rentrer dans le serveur et à être root pour pouvoir modifier le binaire et permettre l’accès à une clé ou à un mot de passe, à noter que cette modification empêche de voir les connexions « pirates » de ces comptes dans les logs.

Un problème concernant SSH pourrait être l’utilisation de ciphers obsolètes. Vous pouvez vérifier les ciphers proposés par votre serveur avec la commande ssh -vvv pour se connecter. Une connexion sur un serveur donne quelque chose ressemblant à ceci comme résultat ;

ssh -vvv skhaen@exemple.com

[...]
kex_parse_kexinit: ssh-rsa,ssh-dss
kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,
rijndael-cbc@lysator.liu.se
kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,
hmac-sha2-256-96,hmac-sha2-512,hmac-sha2-512-96,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
[...]

Arcfour est en fait un autre nom de RC4, qui pour le coup est cassé depuis un moment. La version 6.7 d’OpenSSH le supprime, et Microsoft recommande de le désactiver depuis 2013.

Pour améliorer la configuration de votre ssh (il n’y a pas que les ciphers), vous pouvez vous référer à ces trois articles. Faites TRÈS attention avant toute modification ! Elles pourraient vous empêcher de vous (re)connecter à votre serveur !

• Secure Secure Shell par stribika (hard way, nécessite d’avoir un système récent.)
• NSA-proof SSH par whykacper/ (soft way)
• Bettercrypto.org

IPSec

Concernant IPSec et comment mieux le configurer, vous pouvez vous référer à l’article de Paul Wouters « Don’t stop using IPsec just yet » (en espérant que le problème se trouve bien là).

TL;DR:

• utiliser Perfect Forward Secrecy : pfs=yes
• éviter les PreSharedKeys : authby=secret

Je peux utiliser quoi alors ?

Il ne faut surtout pas tomber dans le piège « on est tous foutu, rien ne marche, on ne peut rien faire », ce n’est absolument pas le cas. Dans les bonnes nouvelles, nous avons aussi la preuve que Tor, OTR, GPG, TAILS et Redphone sont sûr (ou du moins, l’étaient en 2012).

• Trivial : suivre le parcours d’un document sur Internet
• Mineur : enregistrer un chat privé sur Facebook
• Modéré : déchiffrer un email envoyé via le service de messagerie russe mail.ru
• Majeur : utiliser des services comme Zoho (?), Tor, TrueCrypt ou OTR
• Catastrophique : utiliser plusieurs protocoles en même temps, par exemple faire passer de la VoIP utilisant ZRTP par le réseau TOR, le tout à partir d’un ordinateur sous Linux.

On notera avec beaucoup d’intérêt qu’il n’y a aucune trace de logiciels commerciaux (bitlocker…) dans les documents.

• Tor est un logiciel libre qui, grâce à une technique de routage en oignon, permet d’anonymiser les connexions sur Internet.
• OTR permet de chiffrer des communications, en particulier sur XMPP/Jabber, ne pas hésiter à l’utiliser avec du SSL/TLS par dessus.

• GPG permet de chiffrer un mail, un fichier ou un dossier entier. Il permet aussi de signer un fichier (ou un mail) pour s’assurer de son authenticité.

• TAILS est un système d’exploitation live, que vous pouvez démarrer, sur quasiment n’importe quel ordinateur, depuis un DVD, une clé USB, ou une carte SD. Son but est de préserver votre vie privée et votre anonymat, et de vous aider à utiliser Internet de manière anonyme et contourner la censure (toutes les connexions sortantes vers Internet sont obligées de passer par le réseau Tor).
• Redphone est une application pour Android qui permet d’avoir des conversations chiffrées (on peut aussi s’intéresser à Textsecure, application Android de la même entreprise pour chiffrer les SMS).

Dans un autre document, le logiciel Truecrypt est aussi considéré comme « solide », il ne reste plus qu’à attendre que son fork soit prêt.

Le point commun de tous ces logiciels ? Ce sont des logiciels libres.

Les documents sont disponibles sur le site du Spiegel

• NSA Documents: Attacks on VPN, SSL, TLS, SSH, Tor
• The Digital Arms Race: NSA Preps America for Future Battle

——-
Cet article a été originalement publié sur www.libwalk.so par Skhaen

C’est un fait avéré : ne pas suivre le discours officiel catastrophiste sur le dérèglement climatique est un crime de lèse-majesté. Les détracteurs arrivent avec des lames de rasoir sur le clavier, vous insultent et le plus souvent vous traitent d’imbécile, d’incompétent. Avec toujours, dans leur discours, de la « science ».

Eux seraient des scientifiques, formés, qui savent ce qu’ils disent, et vous, un imbécile qui ne comprend pas un traître de mot sur le sujet. Alors que discuter autour d’une affirmation scientifique est en réalité un exercice tout à fait intéressant et normal, en général. Mais avec le climat, ce n’est visiblement pas le cas. Prenons justement le sujet du « plateau climatique », appelé « hiatus » en langue anglaise. En parler, c’est déchaîner l’indignation des grands défenseurs de la vraie science, des pros du réchauffement. Sauf, que ce hiatus existe bien, est réel, et est reconnu par… le GIEC lui-même. Mais qu’est-ce donc ? Et pourquoi est-ce intéressant de regarder la chose scientifique en question ? Parce que c’est de la science, pas de la politique ou de la religion mâtinée d’idéologie et d’intérêts divers et variés.

Il y a une pause dans le réchauffement depuis 1998

Et les modèles du GIEC se sont fait exploser la tronche. Ils le savent, le reconnaissent, essayent de minorer le phénomène,  mais au final, ils  l’avouent. Le titre de cette section d’un rapport du GIEC de juillet 2013 est évocateur : « Modèles climatiques et l’Hiatus dans le réchauffement global de la surface des 15 dernières années ». Les modèles n’ont pas donné ce qui était attendu. Ca na pas chauffé comme prévu. C’est très pénible à lire, très obscur, mais chacun peut aller vérifier.

La communauté scientifique a donc commencé à chercher à comprendre pourquoi le réchauffement était en « pause », donc très faible, n’augmentait que très très peu depuis 15 ans. Cette information a été donnée au grand public,  de manière toujours… très modérée. On retrouve quelques traces ici ou là dans l’espace francophone : http://www.lexpress.fr/actualite/societe/environnement/le-rechauffement-climatique-s-est-stabilise-depuis-15-ans_1276926.html. Et comme les chercheurs cherchent à savoir, il y a des tentatives d’explications, mais qui ne sont pas encore certaines à 90% : http://www.20minutes.fr/planete/1455593-20141006-climat-eaux-fonds-oceaniques-rechauffent-plus-depuis-2005

Ce sont des questionnements de ce type :

« La température moyenne des eaux froides profondes des océans a cessé d’augmenter depuis 2005, ce qui suscite de nouvelles interrogations chez les chercheurs: pourquoi le réchauffement climatique semble se ralentir ces dernières années malgré l’accroissement des gaz à effet de serre ? » Une des principales hypothèses avancées jusqu’à présent pour expliquer ce paradoxe était que la chaleur accumulée par les océans descendait dans les grandes profondeurs. (…) Mais les scientifiques de la Nasa, au Jet Propulsion Laboratory (JPL) à Pasadena, en Californie (ouest), ont analysé les relevés de température des océans de 2005 à 2013. Ces mesures ont été faites par des satellites, et directement dans les eaux océaniques à l’aide de 3.000 bouées réparties partout dans le monde (…) Ils ont découvert qu’au-dessous de 1.995 mètres il n’y a eu quasiment aucun changement de température durant cette période», ont-ils noté dans leurs travaux publiés dans la revue britannique Nature. »

La NASA est aussi sur le coup, et une conférence comme celle-ci, résumée sur leur site, peut donner des informations plutôt intéressantes sur le sujet :

Between 1998 and 2012, climate scientists observed a slowdown in the rate at which the Earth’s surface air temperature was rising. While the rise in global mean surface air temperature has continued, between 1998 and 2012 the increase was approximately one third of that from 1951 to 2012.

Entre 1998 et 2012, les scientifiques du climat ont observé un ralentissement de la vitesse à laquelle la température de l’air à la surface de la Terre augmentait. Alors que l’augmentation de la température de l’air de surface moyenne globale a continué entre 1998 et 2012,  cette augmentation était d’environ un tiers de la période 1951-2012.

Bien entendu, du côté NASA, il n’est pas question d’abandonner la thèse officielle, la chaleur est donc certainement quelque part :

« Observations are showing us the planet is still taking up heat, but it is just showing up in a different place »

That different place is the ocean.

« Ces observations nous montrent la planète accumule encore de la chaleur, mais cela doit juste apparaître dans un endroit différent« ,

Cet endroit différent est l’océan.

Rien n’est encore sorti de concret sur l’accumulation de chaleur dans les océans, et d’autres scientifiques pensent que les volcans peuvent être l’une des raisons :

The “warming hiatus” that has occurred over the last 15 years has been caused in part by small volcanic eruptions.
Scientists have long known that volcanoes cool the atmosphere because of the sulfur dioxide that is expelled during eruptions. Droplets of sulfuric acid that form when the gas combines with oxygen in the upper atmosphere can persist for many months, reflecting sunlight away from Earth and lowering temperatures at the surface and in the lower atmosphere.

La « pause dans le réchauffement » qui a eu lieu au cours des 15 dernières années a été causée en partie par de petites éruptions volcaniques.
Les scientifiques savent depuis longtemps que les volcans refroidissent l’atmosphère en raison de la dioxyde de soufre qui est expulsé pendant les éruptions. Ce sont des gouttelettes d’acide sulfurique qui se forment lorsque le gaz se combine avec l’oxygène dans l’atmosphère supérieure et peuvent persister pendant plusieurs mois, reflétant la lumière du soleil loin de la Terre et l’abaissement des températures à la surface et dans la basse atmosphère.

Revenir à la science ?

Ce qui est intéressant dans cette affaire de « hiatus », c’est de voir — qu’au delà du story-telling terrifiant, relayé en permanence par les mass-médias sur un futur horrible et déterminé par les modèles informatiques [défaillants] des scientifiques au service du GIEC — le climat de la planète, dans son ensemble, ses interactions, n’est pas encore pleinement compris par les sciences qui l’observent. De nombreuses théories se confrontent — loin du public à qui on annonce simplement un monde très difficile à vivre dans 30, 40 ou 50 ans, si « rien n’est fait » — pour tenter de comprendre comment et pourquoi, à certaines périodes, le climat se réchauffe ou se refroidit. Il y avait de grandes inquiétudes sur le réchauffement au pôle nord dans les années… 1920. La glace fondait très fortement. Au point qu’un communiqué de l’US bureau of weather énonça la chose suivante :

« L’Océan Arctique se réchauffe, les icebergs se font de plus en plus rares et dans certains endroits les phoques trouvent l’eau trop chaude. Tous les rapports pointent vers un changement radical des conditions climatiques avec des températures inconnues jusqu’à présent dans la zone arctique. Des expéditions nous rapportent que pratiquement aucune glace n’a été vue au dessus d’une latitude de 81 degrés 29 minutes. D’énormes masse de glace ont été remplacées par des moraines de terre et des pierres tandis qu’en de nombreux endroits, des glaciers bien connus ont entièrement disparu. »

Le document (en lien ci-dessus), se trouve sur le site de la NOAA, la National Oceanic and Atmospheric Administration (USA).