GuiGui's Show

« Le Gouvernement a fait paraître au Journal Officiel le décret qui permettra à Matignon d'imposer aux FAI et à d'autres entreprises "d'importance stratégique" l'installation de produits de sécurité ayant obtenu une qualification conforme aux prescriptions de l'Etat. »

Les OIV comportent bien les FAI/hébergeurs : « *Communications électroniques, approvisionnement en énergie électrique, gaz, hydrocarbures pétroliers, gestion de l’eau, transports, produits de santé, espace, alimentation, finances… » - http://www.ssi.gouv.fr/actualite/publication-du-decret-n-2015-351-du-27-mars-2015-relatif-a-la-securite-des-systemes-dinformation-des-operateurs-dimportance-vitale/ (oui, ça parle d'audit/déclaration des incidents mais c'est issu de la même LPM/décret).

Hum donc ça n'ira pas plus loin qu'Orange, SFR et peut-être Bouygues : les FAI de la FFDN sont encore loin derrière. C'est quand même déjà trop car les textes ne prévoient aucune garantie ni aucun moyen de contrôle démocratique. On a eu un aperçu de ce que donne la labellisation d'entreprises (dans le cadre des prestataires de réponse aux incidents de sécurité) ou de softs (cf : http://shaarli.guiguishow.info/?-HF0ow). Que feront ces logiciels/middleboxes ? Mouchards ou non ? Qui les contrôlera ?

« M. Hervé Poher appelle l'attention de Mme la garde des sceaux, [...] concernant les échanges de messageries électroniques entre une administration publique et un usager, quand le dispositif logiciel utilisé, par l'une, l'autre ou les deux, est adossé à un modèle économique qui lit le contenu de la correspondance électronique à des fins de ciblage publicitaire.

En effet, en échange d'un service gratuit, tels une adresse et une boite mèl, certaines entreprises lisent, captent, analysent et utilisent les informations contenues dans les correspondances électroniques de ses utilisateurs pour du profilage marketing. En conséquence, des informations confidentielles, comme des données concernant la santé, qui peuvent émaner de l'administration publique, peuvent se retrouver utilisées, contrairement à leur finalité, par des intérêts privés.

Aussi, il lui demande de lui préciser de quelles protections peuvent disposer les collectivités territoriales et les administrations publiques hospitalières, face à ce qui peut s'apparenter à un détournement de finalité d'informations privées, et surtout comment elles peuvent protéger leurs usagers, ce qui relève de leur responsabilité, de ce type d'utilisation de données les concernant. »

Quand on voit les tracts pour les départementales, on pourrait prolonger cela aux adresses mail de campagne car les mails envoyés à ces adresses relèvent bien d'une expression politique pas forcément publique.

«  Retiré le 30 janvier dernier de la loi Macron, l'amendement sur le secret des affaires pourrait bien refaire surface par le biais du Parlement européen. Selon Pascal Durand et Michèle Rivasi, députés européens EELV, sans une forte mobilisation de la société civile, cette directive restera entre les seules mains des techniciens.

[...]

Pour autant, une directive – certes moins dangereuse car sans sanctions pénales – est actuellement en discussion au Parlement européen et porte sur les mêmes sujets.

[...]

Première inquiétude, la définition beaucoup trop large du secret des affaires, qui peut viser tout et n'importe quoi, aussi bien dans la production, que la commercialisation ou le service apporté.
 
Seconde inquiétude qui en découle, si la définition est trop large, les exceptions sont, elles, bien trop restreintes. Ainsi, l'absence de prise en compte de mesures protégeant expressément les lanceurs d'alerte ou encore les salariés qui dénonceraient un fait confidentiel ou prétendu tel, alors que l'intérêt général impose parfois cette divulgation pour la protection de la santé, de l'environnement ou des libertés publiques.

Rappelons l'utilité publique de la dénonciation des scandales sanitaires ou plus récemment, celle du LuxLeaks. Ces révélations ont permis à des millions de citoyens européens de prendre conscience de l'ampleur de l'évasion fiscale en Europe et ont contraint la Commission européenne à réagir. Cependant, elles valent à son auteur d'être actuellement poursuivi au titre de la violation du secret des affaires.
 
Par ailleurs, la liberté de la presse, la possibilité d'enquêter, de divulguer et d'informer sans être poursuivi sont les conditions essentielles d'un État de droit, de même que l'est la liberté pour un salarié de changer d'emploi sans craindre des chantages ou des poursuites. »

« Manuel Valls a trouvé pour sa part un slogan similaire. « Protéger dans le respect des libertés ». Protéger, c’est installer des boites noires de surveillance du net, avec des algorithmes prédictifs de « comportement terroriste », ce qui revient à surveiller les communications de la population. Protéger est donc surveiller.

Mais « le respect des libertés », c’est à l’entendre, la garantie que « seuls les terroristes seront surveillés ». Répétons la phrase : les libertés seront protégées parce que seuls les terroristes seront surveillés ?

Si Manuel Valls affirme qu’il n’y aura pas de surveillance de masse, mais que son système de surveillance ne doit toucher que les terroristes, comment fait-il avec les futurs terroristes qui ne sont pas (encore) connus des services de renseignement ? A quoi sert un système de surveillance global (chez les FAI) pour surveiller des individus déjà connus pour être terroristes ? A rien. En réalité les libertés ne seront pas préservées, mais quelle protection sera assurée ?

Bref, sans novlangue : « la liberté de la vie privée, c’est d’accepter de ne plus en avoir, pour bénéficier d’une protection qui n’a aucune efficacité établie. »

[...]

Un site de critique littéraire conclue ainsi, à propos de 1984, de Georges Orwell :

    « Dans cette contre-utopie cinglante, Orwell propose une réflexion sur la ruine de l’homme par la confiscation de la pensée et la prolifération de la technocratie ».

Oui :  [la ruine de l’homme par] la confiscation de la pensée et la prolifération de la technocratie.

Si quelqu’un pense que nous ne sommes pas en plein dedans, qu’il lève la main. »

« Traditionnellement, pour trouver de l'information sur un objet enregistré dans une base de données publique de l'Internet (nom de domaine, adresse IP, etc), on utilisait le protocole whois (qui avait été normalisé, longtemps après sa création, dans le RFC 3912). Ce protocole a de grosses limitations (décrites au paragraphe suivant) et plusieurs tentatives ont déjà été faites pour le remplacer. Le nouveau venu, RDAP (Registration Data Access Protocol), va t-il mieux réussir que les précédents ?

Attention, comme le note le document SAC-051 « SSAC Report on Domain Name WHOIS Terminology and Structure », le terme « whois » est souvent employé incorrectement. Il désigne normalement un protocole (celui normalisé dans le RFC 3912) mais est également utilisé pour désigner un service (celui d'accès aux données d'enregistrement) voire pour désigner les données elle-mêmes (« informations WHOIS », terme erroné mais fréquent).

[...]

 Parmi les principales limites de whois :

    Aucun mécanisme d'authentification, donc pas de possibilité de restreindre les données selon le client (certains registres utilisent l'adresse IP du client pour donner des privilèges à certains clients),
    Aucun mécanisme de confidentialité (ce point est lié au précédent : comme tout est public actuellement, la confidentialité ne servirait à rien),
    Aucun mécanisme standard pour fournir des options spécifiques à la recherche,
    Aucune structuration des données : le client doit analyser des dizaines de formats différents pour trouver ce qu'il cherche (certains logiciels le font pour lui, comme Net::DRI mais ils sont rarement complets, il y a toujours un serveur whois quelque part qui suit des règles différentes et non reconnues) ; même chose pour les messages d'erreur (comme « entitée non trouvée »),
    Aucune internationalisation : peut-on envoyer de l'Unicode en réponse à un client et, si oui, avec quel encodage ?
    Aucune façon normalisée d'adapter le résultat au lecteur (par exemple envoyer une adresse en caractères chinois ou bien en caractères latins selon le client),
    Aucun mécanisme standard pour trouver le serveur pertinent pour un objet donné : chaque client whois utilise un truc particulier (par exemple, GNU whois a une liste de serveurs, qu'on peut modifier en éditant un fichier de configuration /etc/whois.conf).

Cette liste est connue depuis longtemps. C'est ainsi que le RFC 3707 dressait déjà un cahier des charges d'un bon successeur de whois.

En mai 2012, après pas mal de discussions, l'IETF a créé le groupe de travail WEIRDS pour produire un remplaçant à whois. Ce groupe WEIRDS publie aujourd'hui RDAP (Registration Data Access Protocol), le nouveau protocole. Ses principes ? Modularité (on peut utiliser plusieurs protocoles de transport, le langage d'expression des requêtes est séparé de la définition du format des réponses), et le respect des modes actuelles. Le premier transport normalisé utilise REST et le premier format de réponses est bâti sur JSON (RFC 7159).

[...]

RDAP remplacera-t-il whois ? C'est que whois en a eu, des concurrents malheureux, et que tous sont bien oubliés aujourd'hui. Dans l'ordre rétro-chronologique :

    IRIS (RFC 3981), qui reposait sur XML et un protocole spécifique. Trop compliqué, il a eu peu de déploiements (DENIC avait un service IRIS mais y a renoncé).
    LDAP avait été sérieusement proposé comme concurrent mais sans jamais de succès.
    rwhois (RFC 2167), le seul à avoir connu un réel déploiement, à l'ARIN (voir la documentation).
    whois++ (RFC 1913).

En tout cas, RDAP est déjà largement mis en œuvre (dix implémentations dont l'interopérabilité a été testée au cours de réunions IETF) même s'il n'y a guère de déploiement en production pour l'instant.

[...]

 C'est bien compliqué, tout ce JSON. Et si on veut juste extraire certaines informations ? On peut utiliser un client RDAP spécialisé, ou écrire soi-même un traitement, ou encore se servir des processeurs JSON tout faits comme jq : »

« Comme l'attaque sur l'équipe de Charlie Hebdo l'a démontré début janvier, des journalistes du monde entier sont actuellement la cible d'agresseurs. Des extrémistes religieux en sont responsables, mais souvent, ce sont des gouvernements et des groupes politiques qui sont à l'origine de violences commises contre ces hommes et ces femmes qui retranscrivent la vérité. »

Via http://korben.info/news/morts-pour-avoir-dit-la-verite-vice-france

Un excellent reportage court (30 minutes) sur l'action anti-corruption de Larry Lessig. À voir.

Aux USA, 96% des parlementaires sont élus par l'argent de leurs donateurs (qui représentent 1% de la population), pas pour leurs idées. Ils passent donc entre 30% et 70% de leur temps de travail à la collecte de fond pour la prochaine campagne. Ils sont également sous pression constante pour ne jamais decevoir leurs donateurs dans leurs actions politiques.

Pire que tout : 96% des américains estiment que l'appareil politique état-unien est totalement corrompu. 91% considèrent qu'il n'y a rien à faire, qu'on ne peut rien changer. La résignation totale... :(

But du projet de Lessig : collecter de l'argent de manière participative permettant la création d'un super PAC (Mayday PAC, https://en.wikipedia.org/wiki/Mayday_PAC) permettant lui-même l'élection de personnalités politiques qui s'engagent à voter la réforme du système de financement des partis politiques voulue par Lessig. En gros : super "hack" du fonctionnement des élections américaines, comme les licences libres le sont pour le droit d'auteur. :)

Aux élections partielles de mi-novembre 2014, 2 candidats sur 8 ont été élus.

Extrait de son talk TED « We the People, and the Republic we must reclaim » pour ceux qui sont résignés : « But even if you're not yet with me, even if you believe this is impossible, what the five years since I spoke at TED has taught me as I've spoken about this issue again and again is, even if you think it's impossible, that is irrelevant. Irrelevant. I spoke at Dartmouth once, and a woman stood up after I spoke, I write in my book, and she said to me, "Professor, you've convinced me this is hopeless. Hopeless. There's nothing we can do." When she said that, I scrambled. I tried to think, "How do I respond to that hopelessness? What is that sense of hopelessness?" And what hit me was an image of my six-year-old son. And I imagined a doctor coming to me and saying, "Your son has terminal brain cancer, and there's nothing you can do. Nothing you can do." So would I do nothing? Would I just sit there? Accept it? Okay, nothing I can do? I'm going off to build Google Glass. Of course not. I would do everything I could, and I would do everything I could because this is what love means, that the odds are irrelevant and that you do whatever the hell you can, the odds be damned. »

Le reste est une biographie sommaire de Larry Lessig avec, forcément, Aaron Swartz compte tenu de la proximité entre les deux hommes et du fait que c'est ce dernier qui a inspiré Larry pour commencer son combat contre la corruption.

Voir aussi : ses talks à TED : https://www.ted.com/speakers/larry_lessig

« Suite à mon billet précédent, Projet de loi Renseignement : peut-être du mieux, indéniablement du terrifiant, j’ai été gentiment invité à Matignon avec des collègues du CNNum cité dans le communiqué de presse Renseignement et des membres du SG. D’autres personnalités et associations étaient invitées, mais n’ont pas pu ou pas voulu participer.

[...]

Ça n’est pas anodin que d’être invité par les services du premier ministre suite à un billet de blog et une citation dans un communiqué de presse. Vérification d’identités par des policiers en gilet pare-balles et mitraillette en bandoulière. Nous sommes 4 du CNNum, trois permanents du Secrétariat Général et moi, seul membre ayant pu me libérer. En face, 8 représentants du gouvernement, du premier ministre, de l’intérieur et de l’économie numérique. Du lourd. On sent une certaine tension… Mais aussi une envie de séduire, de créer des liens, comme si on entendait “nous sommes des gentils, aidez-nous à faire un bon projet de loi, c’est pour lutter contre le terrorisme (mais pas que)”.

[...]

Il y a une évidence : ces dernières années, les techniques de renseignement ont considérablement évolué, avec l’arrivée d’Internet et des téléphones portables. Là où on surveillait des allées et venues de suspects et des rencontres dans le monde réel ou sur des lignes téléphoniques fixes, on voit plutôt des gens qui se connectent à Internet depuis chez eux ou s’appellent sur des téléphones portables jetables (c’était le cas pour les terroristes de janvier). Evidemment, la loi n’était pas prévue pour cela et les les terroristes ont suivi les progrès technologiques. Les services ont souvent semble-t-il, profité de zones grises comme par exemple l’utilisation d‘IMSI-catchers (fausses antennes GSM permettant de localiser des téléphones et/ou des cartes SIM). L’utilisation d‘IMSI-catchers sans l’autorisation est en théorie interdite, mais si l’on en croit le Canard Enchaîné, c’est monnaie courante.

Il était temps de faire évoluer la loi encadrant le renseignement, et c’est la volonté de Manuel Valls, qui a toujours eu une fibre sécuritaire.

[...]

Nous voilà prévenus. Vouloir limiter l’action des agents de renseignement, c’est devenir complice du terrorisme. Voilà qui ne pousse pas à une réflexion sereine. C’est dommage, les enjeux sont colossaux, et la loi concerne le renseignement, dont le champ est bien plus large que simple terrorisme.

[...]

C’est là le cœur du problème, ce qui est pour moi ce qui ne peut être admis dans la loi Renseignement : le plan qui consiste à obliger les services Internet et fournisseurs d’accès à mettre des boites noires dans le coeur du réseau pour observer le trafic et signaler tout comportement suspect, qui sera transmis aux services de renseignements.

Je vous le répète, tellement c’est énorme : un algorithme, forcément secret car classé défense, va surveiller Internet. Pour désigner ensuite les suspects. C’est dérangeant à plusieurs niveaux.

D’abord, il y a un problème sémantique : d’après le gouvernement, ça n’est pas de la surveillance de masse, vu que c’est un logiciel qui surveille, et compte tenu des limites techniques, il ne peut pas tout surveiller. Il ne peut surveiller qu’un échantillon de l’Internet français. (D’après moi, avec la loi de Moore et l’augmentation des budgets de lutte contre le terrorisme, le pourcentage ne va cesser d’augmenter, mais on me répond que le trafic augmente aussi. Soit.) Ensuite, il ne doit pas trouver “trop de suspects, sinon c’est rejeté par la commission CNCTR” (commission nationale de contrôle des techniques du renseignement) qui approuve la levée de l’anonymat des suspects avant de les passer aux services qui vont ensuite espionner de façon traditionnelle (filature, mais aussi éventuellement, et c’est une nouveauté, mettre un keylogger sur leur PC).

C’est un peu comme si on me disait que Google ne fait pas de surveillance de masse en lisant tout le courrier transitant par Gmail, parce que “ce ne sont pas des humains qui lisent le courrier, ce sont des ordinateurs”. (On me l’a vraiment faite, celle-là, promis !). Sauf que les courriers sont analysés, y compris les pièces jointes. Et c’est ainsi que Google a dénoncé un pédophile en Août dernier. C’est très bien que ce pédophile ait été arrêté, mais ça reste de la surveillance de masse.

[...]

On part d’un problème sur lequel tout le monde est d’accord. Par exemple, le terrorisme. On met le mécanisme pour lutter contre en place. Et puis on l’étend, d’abord pour des causes aussi justes que la pédopornographie. Et puis on l’étend encore. Par exemple pour éviter que les mineurs ne tombent « par erreur » sur de la pornographie « normale » entre adultes consentants. Et puis derrière, ça se bouscule au portillon, on cherche à l’étendre encore plus, par exemple pour préserver les artistes qui meurent de faim à cause de ces salauds de pirates (si vous vous souvenez de ce que l’industrie de la culture a réussi à faire avec Hadopi, vous savez de quoi je parle). Dernièrement, on a même vu un élu demander à ce que les sites insultant les élus soient filtrés. C’est à peine croyable, une histoire pareille ? Et pourtant c’est ce qui se passe en Angleterre, où 20 % des sites les plus visités sont bloqués (le porno, c’est seulement 4 %)[1]. Le coup de l’élu qui veut censurer les sites injurieux, c’est français, par contre, et ça démontre que l’envie d’étendre le champ d’action des outils n’a pas de frontières.

Commencer à surveiller le net depuis des boites noires, juste pour le terrorisme, c’est ce début de brèche. Un début de brèche n’est pas innocent, parce qu’il va s’étendre à toute vitesse.

[...]

J’ai posé la question à mes interlocuteurs sur le problème de l’efficacité de cette surveillance. La réponse, laconique, fut « même si les terroristes peuvent se planquer derrière du chiffrement, faut-il pour autant ne pas essayer de les surveiller ? »

[...]

La surveillance de masse a un coût énorme. Pas seulement un coût financier, mais avant tout un impact négatif sur la société, en ce sens que c’est la négation de la démocratie, de la liberté des individus. C’est ce qui fait qu’on passe d’une société où le peuple élit ses représentants à un modèle où des gouvernants surveillent des gouvernés. Je ne veux pas de ce modèle, surtout si c’est pour une efficacité proche du néant. Bien sûr, avec la surveillance de masse, on va attraper des apprentis-terroristes, mais ça ne sera que du menu fretin, le pauvre type pas très malin qui rêve du grand soir djihadiste, mais qui a un QI proche de sa température rectale, un peu comme le crétin qui a voulu mettre le feu à ses semelles pour faire sauter un avion.

[...]

Le contexte, deux mois après Charlie Hebdo, tout juste trois ans après Mohamed Merah, fait que l’émotion l’emporte sur la raison.

Ça n’est pas une raison pour baisser les bras et laisser s’écrouler une des pierres angulaires de la démocratie, celle du respect de la vie privée, tellement importante qu’on la retrouve dans les textes de loi fondateurs. Saurons-nous, citoyens français, sortir de cette torpeur, de cette résignation, pour essayer de comprendre les enjeux de la loi Renseignement et s’opposer à elle dans ce qu’elle a de dangereux, tout en la modernisant là où c’est nécessaire ? »

« Cela ne veut pas dire que des contenus illicites n'existent pas, mais la démocratie ne devrait pas imposer de faire confiance à la police sur la qualité de ses propres jugements. La démocratie impose la transparence. Chaque citoyen doit pouvoir vérifier le bien-fondé des décisions prises en son nom, or en l'espèce le blocage n'est pas motivé par la moindre décision publique. Il est affirmé sur la page de redirection que le contenu d'Islamic-News "provoque à des actes de terrorisme ou fait publiquement l'apologie d'actes de terrorisme", mais sans que le moindre début de preuve soit apporté. Or l'internaute ne peut pas lui-même vérifier, sauf à contourner le blocage qui l'empêche de vérifier le bien-fondé de l'accusation.

[...]

Lors des débats parlementaires, le ministre avait affirmé que les sites bloqués seraient des sites dont l'illégalité ne ferait aucun doute. Or l'illégalité de Islamic News ne semble pas être de la première des évidences. C'est bien pour cela que le rôle du juge est primordial, et que l'on craint que ce soit aussi pour cela que le juge est contourné. Garant des libertés, il aurait peut-être jugé que le site exerçait son droit à la liberté d'expression, fut-ce pour proférer des opinions choquantes qui déplaisent au Gouvernement, ou qui sont contraires à ses intérêts stratégiques.

[...]

Pour justifier le recours aux ordres de police plutôt qu'à la justice, le Gouvernement avait argué de la nécessité d'aller vite pour contrer la propagande lorsqu'elle apparaissait sur Internet, sans subir la lenteur judiciaire. Mais Islamic News était en ligne depuis 2013. Où était l'urgence de faire fermer ce site en particulier, en se passant y compris d'une procédure de référé, accomplie en quelques jours à peine ?

[...]

Le recours gracieux ou le recours hiérarchique seront réputés rejetés en l'absence de réponse dans les deux mois. Il suffira donc que les services du ministère de l'intérieur gardent le silence pour conserver le blocage sans avoir à s'en expliquer. La seule possibilité pour le site en cause sera d'attendre l'expiration des deux mois pour introduire un recours au fond devant le tribunal administratif de Cergy-Pontoise, ou de tenter une procédure de référé-liberté.

[...]

 Sur le fond, le blocage du site est un signe de faiblesse de la part de la France, qui n'a pas suffisamment foi dans la force de conviction de ses propres arguments, et se sent obligée à la fois de payer Google pour faire connaître ses arguments, et de censurer les sites de ses adversaires. Or ce n'est certainement pas en démontrant ainsi sa faiblesse que l'on combat le mieux le terrorisme, qui puisera de la force dans cette censure.
 
En redirigeant les internautes vers une page d'accueil sous son contrôle, le ministère de l'intérieur se donne les moyens de connaître les adresses IP [NDLR : et les Host: , User-Agent: et co] de tous les internautes qui demandent à visiter ces sites, potentiellement au mépris de la liberté d'opinion. Nous attendons des précisions du Gouvernement sur la politique de conservation des données de connexion, et leur éventuelle exploitation. »

Nicolas Ruff pour "Les produits de sécurité français vus des tranchées" #JSSI15 :
    * Windows 2000 (et suivants) : il fallait mettre le pays sur "Luxembourg" et pas "France", sinon on n'avait pas de crypto... #JSSI15

    * Un produit de sécurité qui teste le SHA1 du mot de passe, alors que le mot est en clair dans les commentaires du source PHP. #JSSI15 Le logiciel en question avait été labelisé en France... #JSSI15

    * Deux portails Wifi qui font chroot()... après avoir lancé un démon chroot_hole pour contourner le chroot. #JSSI15

    * Un firewall sur Windows qui ne bloque qu'IPv4 (alors que la machine a IPv6). #JSSI15

    * Un logiciel SIP qui permet de passer root en envoyant %n dans le User-Agent: #JSSI15

    * Un téléphone sécurisé où le mot de passe tapé est évalué avec exec(), sous root. #JSSI15

    * @newsoft qui nous refait une passe sur le portail wifi U**pia qualifié souverain à la #jssi15

    * Nicolas Ruff nous fait un festival de produits souverains , portail wifi, téléphone sécurisé, disque ... #JSSI15