Ma passion pour le journalisme s’était progressivement dégonflée, comme, lorsqu’enfant, on abandonne après deux ou trois jours un cadeau de Noël devenu terne et insipide. Je n‘étais pas un grand journaliste mais j’avais dès le début de cette expérience professionnelle eu une sorte de foi, de volonté à amener quelque chose de l’ordre du serment d’Hippocrate version journalistique. Un serment qui se résumerait à “vérité et devoir de lutte contre les dérives des puissants”. Ce genre de croyance militante naïve dont on a besoin à vingt ou vingt cinq ans et qui peut durer par la suite, voire s’amplifier. C’étaient les années quatre vingt dix et ma profession avait déjà plongé loin du mythe originel : dix ans plus tard, à l’aube du vingt et unième siècle, les journaux français étaient mis en coupe par quelques groupes d’armementiers, plus rien à l’horizon, les intellectuels muets ou presque, une sorte de vide culturel colossal, une pensée molle de l’élite, certainement piégée par ses propres contradictions, doutes et autres atermoiements emplis de concessions et d’asservissement aux pouvoirs financiers et politiques.

Avant de jeter l’éponge je m’étais intéressé aux mouvements altermondialistes qui m’avaient vite désappointé : le fond du problème ne tenait sûrement pas en une seule dénonciation d’un système hyper-capitaliste et fortement emballé. Les réponses de Bové, trop caricaturales, les réflexions des groupes Attac, trop atrophiées dans un système de pensée issu des courants contestataires de Mai 68, une forme de serpent qui se mord la queue. Serpent qui aurait digéré Mao, Marx, Freud, Sartre, Malraux et quelques autres. On ne décrit pas le monde de «l’après-onze-septembre» avec des idées réduites et fabriquées du temps de la guerre froide ou de la découverte de la psychanalyse. Mon regret restait Pierre Bourdieu. Trop fainéant pour le lire complètement, je n’avais pas saisi la dimension qu’apportait cet homme. Un film dénonçant les collisions entre journalisme et pouvoir, intitulé “Enfin pris”, m’aida à prendre conscience du vide engendré par la disparition du “sociologue-philosophe-grande gueule”. Un vide qui aurait pu être comblé, mais qu’aucun média, en réalité, ne désirait combler.

Des intellectuels devaient encore exister et pouvaient peut-être amener une nouvelle réflexion, et, comme Bourdieu, avaient du finir par se réfugier quelque part, refusant de se laisser manipuler par les médias ou avaient été tout simplement mis de côté pour leur entêtement à ne pas se “vassaliser”. Ce fut une coïncidence qui me mit sur la piste de Martin Siderm. Mon dernier reportage tenait en un mot lorsque je pris la décision de le faire: “euphorie.”

L’homme était inconnu du grand public, ses textes n’avaient jamais été publiés et il avait touché à de nombreux domaines. Sa vie comportait beaucoup de points obscurs et contradictoires, admiré par certains, détesté par d’autres, Martin Siderm n’était pas le candidat idéal pour un scoop, voire simplement une interview dans un titre national. Mais je m’obstinai pour une raison simple : l’un de mes amis grand reporter l’avait rencontré dans des circonstances particulières, au fin fond de l’Afrique et avait été perturbé, puis agacé et enfin, d’après ses mots, “séduit” par la pensée de Siderm. Cet ami pensait qu’en s’y prenant bien il y avait quelque chose de véritablement intéressant à tirer de cette interview. Il m’avait dit :

— “Si c’est ton dernier papier, c’est lui qu’il te faut. C’est un type bizarre avec autant d’amis que d’ennemis, mais il peut t’amener ce que tu cherches, une autre manière d’entrevoir l’époque. Il manie la philosophie, l’histoire, la sociologie, la psychanalyse, la politique, la théologie, avec le décalage que tu recherches.”

Ca m’avait plu. Et puis je n’avais rien à perdre, après tout, j’arrêtai le métier. Je ne connaissais ni son âge (mon ami m’avait dit qu’il n’était ni vieux ni jeune, difficile à définir, entre quarante et cinquante ans très certainement), ni son parcours, ses diplômes, compétences véritables et autres garanties de sérieux que recherche un journaliste. Je ne savais pas non plus s’il travaillait. La seule chose que put me fournir mon ami fut une adresse électronique (leur rencontre avait eu lieu en 1997 au Botswana). Je lui écrivis par ce biais. La réponse fut presque instantanée et loin de me satisfaire. Le message était le suivant :

— “Qui êtes vous ?” Obligé de répondre, je me surpris à lui envoyer un long texte résumant ma vie depuis la petite enfance, mes réflexions et recherches journalistiques. Une sorte d’autobiographie. S’il était vraiment tel que me le décrivait mon ami, c’étaient ce genre de choses qui lui feraient peut-être accepter cette interview. La réponse fut tout aussi laconique :

— “Aujourd’hui à 15 heures à Lyon, jardin du musée Saint Pierre.”

Je me préparai en catastrophe et fonçai à Lyon : il était 11 heures du matin et je vivais à Paris…

S’il y a bien quelque chose qui fait les gros titres de la presse aujourd’hui, c’est la divulgation sur 4chan, la nuit dernière de photos et de vidéos d’une centaine de stars d’Hollywood. L’affaire aurait presque été banale. Ce n’est pas la première fois qu’un bout de nichon leak sur Internet après tout. C’est le genre d’anecdote qui en France avait par exemple conduit à la fermeture d’Altern.org (« c’est vraiment trop injuste »).  Mais d’anecdotes en anecdotes, la centralisation et la concentration d’une importante masses de données personnelles chez une poignée d’acteurs, le nombre croissant d’utilisateurs de ces services en ligne, la pluralité et la complexification des protocoles, des objets connectés, le tout conjugué à une politique complètement débile de rétention des données de la part de ces gros acteurs du Net, mène à des fuites toujours plus « spectaculaires ».

Nous n’allons pas ici prendre la défense du pirate qui aurait mené une attaque en règle en utilisant entre autres une attaque par force brute sur le service de localisation des iPhones pour accéder aux espaces de stockage iCloud des victimes, il savait manifestement très bien ce qu’il faisait et dans quel but (les données récoltées doivent déjà être mises en vente sur certains black markets)… mais oui ce genre de fuite est inéluctable, et c’est évidemment appelé à se reproduire, encore et encore.

Authentification défaillante, données stockées (presque) en clair dans le cloud (souverain ou pas, car ce n’est certainement pas la souveraineté qui prémunit des implémentations hasardeuses d’outils de chiffrement) et politique de rétention absurde sont les trois nouvelles mamelles des leaks de données personnelles. Le fait qu’il s’agisse ici de photos de stars dans leur intimité prête à sourire pour beaucoup et les responsabilités des uns et des autres sont discutées dans les fils de commentaires de tous les articles de presse traitant du sujet. Certains blâment les victimes, d’autres le pirate, et d’autres (un plus petit nombre), se penchent sur la responsabilité d’Apple qui aurait réintroduit une vulnérabilité déjà exploitée dans le passé pour rendre possible cette fuite… là, c’est quand même déjà plus embarrassant.

Authentification défaillante ?

Il semblerait que le script à l’origine de l’intrusion soit un bête script de brute force en langage python. Qui dit force brute dit pas de limite sur le nombre d’authentifications ratées conduisant à un blocage du compte et à une procédure de vérification pour le déblocage. On parle tout de même d’iCloud, l’aspirateur à données personnelles d’Apple émanant des iPhones. A la décharge d’Apple, une authentification multifactorielle est naturellement un frein à « l’expérience utilisateur », comprenez que la sécurité, ce n’est pas magique, et que si c’est magique, c’est forcément défaillant quelque part.

Des données personnelles presque chiffrées

iCloud a déjà fait l’objet de proof of concept visant à démontrer ses faiblesses, c’est par exemple ce que démontre ce document PDF intitulé iCloud Keychain and iOS 7 Data Protection (3Mo) qui nous explique qu’Apple, qui jure dans toutes ses CGU ne pas être en mesure de lire vos données dans iCloud, stocke quand même votre secret de déchiffrement… un concept assez particulier de la notion d’indéchiffrable. Un peu comme si vous juriez qu’il vous est impossible d’ouvrir une porte dont vous avez la clé dans la poche.

Rétention de données ?

Tout le monde sait aujourd’hui que de chez les gros acteurs d’Internet, comme Facebook pour ne pas le citer, il vous est impossible de supprimer des données. Vous pouvez mettre votre compte en sommeil, mais vos données restent bien dans le cloud de Facebook, et si vous y revenez, vous aurez la joie, ou la stupéfaction, c’est selon, de retrouver les données que vous étiez convaincus d’avoir supprimé de Facebook en fermant votre compte. Et ce dernier point, il a de quoi faire peur, à l’heure où il faut entrer un email dans son téléphone pour accéder à des services qui activeront une synchronisation de données « dans le cloud », à laquelle une immense majorité d’utilisateurs ne prête pas même attention. Et quand on pense avoir supprimé des données de son téléphone, ce n’est parce pas que ce dernier est « synchronisé » avec l’ami « cloud » que ces données effacées d’un téléphone seront effacées du cloud… et ce n’est même pas parce qu’on les supprime de son espace de stockage que le cloud n’en conservera pas trace.

A quand une fonctionnalité OBLIGATOIRE de suppression de données sur les espaces de stockage distants de ces services dont nous sommes les premiers produits ?

C’est très bien que la presse française relaie cette affaire, même si c’est triste qu’elle le fasse car elle concerne les données personnelles d’une centaine de célébrités, ceci à le mérite de permettre à des gens de s’identifier indirectement à ces stars et de comprendre que nul n’est à l’abri de ce genre de fuites. Mais ne perdons pas de vue qu’en France, un pauvre bout de téton pixélisé d’Estelle Halyday aura suffit en 1999 à faire fermer Altern qui était à l’époque le plus gros hébergeur associatif français… et ces photos, qui ont fait fermer des milliers de sites de la toile francophone, on les retrouve toutes sur Google images.

Le droit à l’oubli finira t-il par s’opposer au devoir de mémoire ? La question est plus que jamais d’actualité depuis que Google, conformément à l’arrêt de la cour européenne de justice, a ouvert un formulaire de demande de retrait de contenus. Ce formulaire, destiné aux particuliers, profite évidemment aussi aux entreprises, même si ces dernières ne devraient pas en profiter. Sous les feux des projecteurs, le PDG de Qosmos a commencé à faire nettoyer Internet de certains articles… et c’est un peu visible.

Sauf que l’actualité ne se prête pas forcément à ce que l’on oublie ces entreprises, et Qosmos n’est certainement pas un acteur que nous oublierons, peu importe les opérations de whitewashing menées (et ce n’est pas la première)…

La Thaïlande, depuis des années, alterne élans démocratiques coups d’états de la junte militaire, écrasant toute contestation. Suite à un énième coup d’état la junte a placé au pouvoir un gouvernement majoritairement militaire reflets de la ligne la plus dure de l’échiquier politique local en matière de répression. Ce gouvernement, dont un tiers de sa composition est militaire, va avoir le bonheur de (re)trouver à sa disposition une infrastructure de censure d’Internet. Le blocage des sites web est monnaie courante depuis 2006/2007 mais s’oriente depuis 2010 vers une censure politique franche. Le risque de voir la Thaïlande basculer dans la surveillance numérique massive n’a jamais été aussi grand, ce n’est plus maintenant qu’une question de moyens, donc de temps.

Dans ce nouveau gouvernement thaïlandais, on retrouve quelques têtes connues… et pas des plus tendres, comme le général Anupong Paochinda au ministère de l’intérieur, responsable direct d’une répression meurtrière des chemises rouges en 2010. C’est donc le général Anupong Paochinda qui se voit confier le maintien de l’ordre dans le pays. Niveau méthodologie, il ne va pas falloir s’attendre à beaucoup de changement de sa part et de ce gouvernement en général. Mais ce sont aujourd’hui près de 25 millions d’internautes qui vont devoir, plus que jamais rester sur leurs gardes.

La situation de la censure sur Internet en Thaïlande n’est pas nouvelle, mais ils semble aujourd’hui inéluctable, que le royaume, où la police réitérait au printemps dernier que tout like Facebook d’un message contre la junte était un crime, va chercher à ajouter à la censure une surveillance accrue du réseau, et chercher à développer son infrastructure avec l’aimable collaboration des fournisseurs d’accès locaux qui n’ont pas franchement le choix.
A ce jour, la Thaïlande est principalement connue pour user de diverses techniques de blocage de sites web (blocage DNS et redirections web). Citizen Lab a d’ailleurs mis en évidence (pdf) l’utilisation de proxys et de Packet Shappers d’une vieille connaissance de Reflets… BlueCoat.

Avec ce nouveau gouvernement affichant la ligne la plus dure en matière répressive, la Thaïlande est autant à surveiller politiquement que numériquement. C’est bien un marché qui est en train de s’ouvrir pour les entreprises qui vendent de la surveillance électronique de masse.
Internet risque de devenir un outil rêvé pour la junte pour prévenir toute manifestation et autres formes d’opposition. Les journalistes et blogueurs thaïlandais, plus que jamais, sont en danger.

Alors qu’Orange et la RATP annoncent un partenariat pour proposer un Wi-Fi gratuit dans les Roissybus, il n’est pas inutile de rappeler la notion de « gratuit »… selon les grandes entreprises.

Possédée a 30% par l’État, premier FAI français à assumer le DPI (deep packet inspection : un protocole visant à analyser en profondeur les « paquets » de données), Orange fait figure de cas d’école en France pour la neutralité du net.

A plus grande échelle on peut prendre le cas Google, qui en multipliant les services « gratuits » de qualité s’est assuré une position ultra dominante sur la publicité en ligne avec sa régie publicitaire Adsense. Cette position lui permet de brasser une quantité astronomique de données sur de nombreux sites et de les mettre en relation afin de mieux vous cerner et d’établir un profil de vos goûts et habitudes.

Exemple : vous cherchez à acheter un nouveau smartphone.

Vous cherchez un modèle, ou un site revendeur. Via Google.

Une fois sur le site, Google vous suit toujours grâce aux cookies et autres systèmes de traçage, et récolte patiemment toutes vos recherches.

Les conséquences sont immédiatement visibles : quelques instants plus tard apparaissent des publicités pour smartphones sur un autre site que vous visitez, lui aussi fonctionnant avec Adsense.

Que vous achetiez ou pas n’est pas la question, il s’agit de cerner ce qui vous intéresse et de créer un profil qui permettra de vous proposer des produits susceptibles de vous intéresser.

Certains apprécient, d’autres s’en offusquent. Ce qui est certain c’est que Google sait qui vous êtes (via Gmail, Google+…) et ce que vous aimez : on cautionne ou pas, mais chez Reflets nous préférons exposer clairement les pratiques pratiques plus ou moins bien camouflées, généralement inconnues du grand public.

Pour revenir aux Roissybus, l’intérêt d’Orange est de proposer un service gratuit donc difficilement refusable, et d’en échange faire main-basse sur les données qui transiterons dans ces bus. On notera aussi la présence dans ce partenariat de Media Transports, une régie publicitaire appartenant au 3ème groupe mondial de communication (Publicis). Souriez, vous êtes fichés.

Facebook, Microsoft, Google, Orange : toutes ces grandes multinationales proposant des services gratuits ont un business model à respecter et des actionnaires à rémunérer.

Vos adresses mail, numéros de téléphone sont utilisées plus ou moins correctement (spam…) pour remplir des bases de données qui n’ont pour limites que ce que vous renseignez…  vous-mêmes…