GuiGui's Show

« Ce matin, sur l’antenne de France Info, le membre du gouvernement a considéré en effet que « ce ne sont pas les réseaux sociaux qui font la loi de la République. C’est le gouvernement qui présente des textes, c’est le Parlement qui va les voter, ce sont aussi les partenaires syndicaux qui vont les discuter et les renégocier ». La messe est dite : même s'il considère cette pétition comme « extrêmement significative » et se devant d'être respectée, son intérêt est rabaissé à un niveau beaucoup plus faible que le beau processus d’élaboration de la loi.

[...] En somme, non nuancée, la petite phrase de Placé est constitutionnellement juste, mais stratégiquement fragile. Elle succombe d’ailleurs à l’épreuve des faits. »

Il est mignon. < 3 Sauf qu'Internet c'est pas un monde à part mais bien les mêmes humain-e-s auxquelles cette loi s'appliquera, les mêmes qui votent et une partie d'entre eux/elles qui causent à leurs représentant-e-s au Parlement.

Pour moi, la sortie de Placé ne porte pas sur Internet mais sur le fait que les citoyen-ne-s n'ont pas le droit au chapitre : une loi se "discute" (s'ordonne je dirais) à huit-clos, entre gouvernement et Parlement. Ensuite on laisse des miettes aux partenaires sociaux et rien pour le reste des citoyen-ne-s. Système très pyramidal, très représentatif.

« Alors que l’effet de l’automatisation sur l’emploi est de plus en plus perçu comme une cause structurelle du chômage, actuel ou futur, la vieille idée d’instaurer un revenu universel de base que toucheraient tous les citoyens refait surface. Il pourrait en effet être financé en totalité ou en partie par les gains de productivité offerts par l’intelligence artificielle et la robotisation, permettant à l’Homme de tirer véritablement profit du progrès technologique.

Le Sénat doit ainsi débattre mercredi prochain d’un projet de résolution déposé par le groupe écologiste, qui vise à demander au gouvernement de prendre « les mesures nécessaires pour mettre en place un revenu de base, inconditionnel, cumulable avec d’autres revenus, notamment d’activité, distribué par l’État à toutes les personnes résidant sur le territoire national, de la naissance à la mort, sur base individuelle, sans contrôle des ressources ni exigence de contrepartie, dont le montant et le financement seront ajustés démocratiquement ».

Il s’agirait de garantir à toutes les personnes résidentes en France un revenu mensuel fixe minimum, sur le même modèle que des expérimentations déjà menées ou programmées en Finlande (800 euros par mois), aux Pays-Bas, en Inde, au Brésil, ou en Alaska ou plus récemment, en Ontario (Canada). »

Et du coup, un petit mail rapide pour les sénateurs et sénatrices de mon coin :
« *Mercredi 9 mars*, une *résolution* en faveur de l'instauration d'un *revenu de base inconditionnel* sera présentée devant le Sénat. Voir http://www.senat.fr/leg/ppr15-353.html.

Je vous demande de *soutenir cette déclaration de principe transpartisane*.

Mes principaux arguments :
    * Cette mesure sera nécessaire à l'avenir puisque nous *aurons toujours affaire à un chômage structurel croissant* dû, entre autres, à une *robotisation accrue et à une délocalisation persistante*. Il n'y a qu'à voir les progrès considérables de l'intelligence artificielle (voitures autonomes, drones de livraison, algorithmes prédictifs, algorithmes d'analyse,...) ces dernières années pour mesurer et prédire le fort impact négatif que cela aura sur les emplois dans les prochaines décennies.

    * Cette mesure permettra de *pallier au fait que*, comme l'expose la résolution, « de nombreuses activités, pourtant génératrices de valeur d'usage, notamment dans les domaines social, sanitaire et culturel, ne donnent droit aujourd'hui à aucune rémunération ». Cela *profiterait au monde associatif*, en général qui serait *dynamisé* et qui n'aurait plus forcément nécessité à arbitrer entre temps libre et subventions/partenariats privés. Je ne *crois pas* un seul instant à la prédiction fataliste selon laquelle on se retrouverait avec *une majorité de fénéant-e-s inactifs-ives*.

    * Cette mesure créerait, comme l'expose la résolution, « les conditions de dignité et de confiance favorisant l'employabilité » : je choisis mon emploi sans vice de consentement (économique, social, géographique,...) et sans pression, je travaille précisément sur le sujet sur lequel je souhaite travailler à un instant T. On améliore le *bien-être de tout un chacun-e*. Par prolongement, nous aurons des *relations sociales apaisées*.

    * Le revenu de base constitue une des pierres angulaires de *l'émancipation humaine collective*. Il m'apparaît important de nous poser la question de stopper la vision néo-libérale selon laquelle l'individu, autonome et responsabilisé doit trouver seul son chemin et acquérir, par lui-même, les compétences pour s'en sortir uniquement par lui-même. Ça n'a aucun sens : *l'homme est social par nature. L'entraide est naturelle*. Cette idéologie néo-libérale individualiste n'a pas porté ses fruits jusqu'à présent et a causé des dommages collatéraux sur la cohésion sociale. Peut-être est-il temps de réellement *jouer collectif* ?

Cordialement. »

Une résolution n'a rien de contraignant c'est juste une déclaration de principes qui recommande au gouvernement de faire quelque chose. Mais sur un malentendu...

« J'ai voulu me connecter à IRC en IPv6 via un tunnel HE (https://tunnelbroker.net/). Hé bah non. Filtré.

Sur le forum ci-lié on lit : "I realized that I have to go through all the certifications to enable IRC ports."

En testant au pif avec telnet on trouve qu'on n'a pas de connexion refusée sur 6660-6670 inclus et 6697 mais bien aucune réponse, donc du drop. Nmap confirme [...]

Pour vérifier que c'est pas sur le retour le filtrage mais bien à l'aller »

Oki donc du filtrage d'IRC en sortie des tunnels 6in4 HE (souscripteur->HE) . :( Sans doute pour éviter la constitution de botnets avec un C&C IRC IPv6.

« La décoration s’est faite dans la discrétion. François Hollande a remis, vendredi 4 mars, la Légion d’honneur au prince héritier d’Arabie saoudite, Mohammed Ben Nayef, également ministre de l’intérieur, reçu à l’Elysée. Cette visite, inscrite à l’agenda présidentiel, n’avait fait l’objet d’aucune communication de l’Elysée. Elle a été confirmée dimanche à l’Agence France-Presse (AFP).

[...]

Le prince héritier a reçu cette décoration « au titre de personnalité étrangère, une pratique protocolaire courante », a souligné l’entourage de François Hollande à l’AFP. Le président de la République avait lui-même été « décoré de l’ordre suprême du Royaume » lors d’une de ses visites en Arabie saoudite.

[ NDLR : bizarrement, le son de cloche est différent du côté de l'Arabie Saoudite : « Après cela, le président français a remis à son altesse la médaille de l’ordre national de la Légion d’honneur qui est la plus haute distinction française pour tous ses efforts dans la région et dans le monde dans la lutte contre le terrorisme et l'extremisme. ». Source : http://www.spa.gov.sa/viewstory.php?lang=fr&newsid=1474085 . ÉDIT DU 05/04/2016 À 17h45 : ça serait même à la demande du prince lui-même, en fait, car il souhaitait renforcer sa stature internationale. Source : http://www.20minutes.fr/politique/1804195-20160311-legion-honneur-prince-heritier-arabie-saoudite-decore-demande FIN DE L'ÉDIT ]

[...]

La France entretient des relations très suivies avec l’Arabie saoudite, avec lequel la France a conclu d’importants contrats d’armement et qui est allié important en Syrie dans la lutte contre l’organisation djihadiste Etat islamique (EI).

[...]

Le 2 janvier, 47 personnes avaient été mises à mort en une seule journée pour « terrorisme » dans le royaume, notamment le dignitaire et opposant chiite saoudien Nimr Al-Nimr, dont l’exécution a provoqué une crise diplomatique entre Riyad et Téhéran.

[...]

En 2015, 153 personnes ont été exécutées en Arabie saoudite, selon un décompte s’appuyant sur des chiffres officiels, un niveau inégalé depuis vingt ans dans ce royaume ultraconservateur régi par une interprétation rigoriste de la loi islamique. Les autorités invoquent la dissuasion pour justifier la peine de mort dans des affaires de terrorisme, de meurtre, viol, vol à main armée et trafic de drogue. »


La médaille de l'ordre national de la Légion d'honneur pour le prince héritier de l'Arabie Saoudite, ce royaume défenseur des Droits et Libertés des Humaine-s ! Ha mais c'est pour récompenser le fric et le combat sanglant contre Daesh donc c'est bon, ça autorise tout, suis-je bête !

Via https://twitter.com/bortzmeyer/status/706056634154553345 mais j'attendais que d'autres sources confirment.

Le projet de loi de réforme pénale, de son vrai nom « projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » est en lecture accélérée dans notre Parlement français. Le scrutin public sur l'ensemble du texte aura lieu mardi 8 mars (après-demain quoi) à partir de 15h. Nous sommes en procédure accélérée.

Et comme d'hab', ça sent mauvais :
    * Perquisitions de nuit élargies à la simple suspicion de "terrorisme" (apologie du terrorisme, intuition vis-à-vis du comportement d'une personne) dans le cadre d'enquêtes préliminaires et d'informations judiciaires qui sont donc placées sous la direction d'un Magistrat du parquet... qui n'a pas le statut d'indépendance du juge d'instruction... Banalisation de ce que l'on a connu sous l'état d'urgence, toujours sans contrôle (le juge des libertés, que ce projet de loi propose d'interroger n'a pas souvent connaissance de l'intégralité du dossier/contexte avant décider d'autoriser ou non ) ;

    * Autorisation d'utilisation de certaines techniques de renseignement (oui, celles qui viennent de la loi sur le Renseignement de mi-2015) comme les IMSI catcher (fausse antenne de téléphonie mobile qui scrute toute une zone géographique et collecte les informations comme qui est dans la zone, numéro appelant/appelé,...), la sonorisation et la fixation d'images (aussi dans les lieux privés), la captation de données (mais avec les termes flous du projet de loi, on a affaire à de vraies perquisitions, en réalité). Problème ? Certaines techniques étaient déjà utilisables par la justice comme la sonorisation et la fixation d'images mais uniquement par le juge d'instruction, pas par le procureur et autres Magistrats du parquet qui ne bénéficient pas d'une indépendance vis-à-vis du Ministère de la Justice. La captation était limitée à ce que le suspect affichait sur son écran, il n'était pas permis aux policiers d'aller voir autre chose. C'est désormais chose possible. À ces griefs on ajoute : banalisation des techniques de renseignement déjà contestée. On ajoute aussi : IMSI = collecte massive = surveillance de masse d'une zone géographique donnée et donc quid du secret professionnel et du secret des sources, entre autres ? Un dealer dans un quartier et pouf la surveillance de tous les habitants du coin... Notons qu'il n'y a pas de saisie des correspondances privées à la source (hébergeur ou FSI) mais on y a échappé de peu (amendement déposé mais rejeté).

    * Un autre truc flippant, c'est la retenue administrative dans le cadre d'un contrôle d'identité. En effet, si vous prouvez votre identité, on ne peut pas vous retenir sauf à vous placer en garde à vue ce qui nécessite des raisons plausibles de soupçonner que vous avez commis une infraction (ou que vous êtes sous un mandat d'arrêt). Cette retenue administrative permet de vous garder au poste si l'on vous soupçonne d'avoir des comportements terroristes ou des relations non fortuites avec des personnes au comportement estimé terroriste. Malin, hein ?

    * Actuellement, la loi permet déjà de contrôler préventivement les identités et de fouiller les véhicules de personnes se trouvant dans un espace géographique donné pour une durée de temps déterminé pour peu que tout ça ait été ordonné par un procureur non pas parce qu'il pense que les personnes dans la zone sont suspectes mais pour rechercher d'éventuelles infractions (terrorisme, vol, recel,...). C'est déjà inquiétant (le véhicule ne devrait-il pas être considéré comme un prolongement d'une habitation ?) mais ce projet de loi propose que la fouille des sacs et bagages suive ce même régime. On n'est pas suspect, juste les autorités recherche des infractions et ça permet de justifier un contrôle d'identité, une fouille des véhicules et des sacs/bagages. Super, non ? Des études ont démontré que les contrôles d'identité sont déjà faits au faciès et sont donc basés sur de la discrimination (voir http://www.cnrs.fr/inshs/recherche/docs-actualites/rapport-facies.pdf ) ! Mais continuons !

    * Le Ministère de la Justice et donc l'administration pénitencière seront parties des services de renseignement et pourront donc utiliser... les techniques de renseignements prévues par la loi sur le Renseignement de mi-2015. Elle est pas belle la vie ? N'avions-nous pas dit, à l'époque, que la liste des services serait élargie plus tard ? On remarquera que ce qui n'était pas envisageable pour les député-e-s en 2015 le devient en 2016.

    * D'un point de vue informatique et communications, nos chers députés ont été plus loin que le gouvernement puisqu'un article 4 quater renforce les sanctions contre les personnes (physiques et morales) qui refusent de répondre aux sollicitations des procureurs ou des policiers alors que ces dernières personnes pensent que les premières disposent d'infos pour faire avancer l'enquête. Les deux articles renforcés n'ont jamais été utilisés mais il faut bien brasser du vent et faire croire qu'on lutte contre le terrorisme. Dans ces mêmes articles, on ajoute une sanction (5 ans et 350 000 €) pour les constructeurs de moyens de cryptologie dont le décryptage est nécessaire à une enquête anti-terrorisme qui refuseraient de communiquer les données chiffrées et la clé. On alourdit donc les peines prévues par l'article L245-2 du Code de la sécurité intérieure qui sanctionnent le refus de donner « des clés cryptographiques ainsi que de tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données » (R244-3 du Code de la sécurité intérieure). Refus défini dans l'article L244-1 du Code de la sécurité intérieure. La même chose s'applique si la requête vient des agents du renseignement mais avec un délai de 72h (article L871-1 du Code de la sécurité intérieure).

    * Pour les personnes qui reviennent de l'étranger (pays à risque terrorisme, baratin habituel) et dont on pense qu'ils pourraient porter atteinte à la sécurité publique, on instaure une assignation à domicile administrative et une communication des identifiants (reste à savoir si ça englobe le mot de passe ou non) de tout moyen de communication électronique (même si la personne en change ;) ). Pas de juge judiciaire ici. Je rappelle que dans un état de droit, seul le pouvoir judiciaire peut priver de liberté. ;) Mais privons de libertés des innocents et des manifestants pour des causes nobles, ça ne les rendra pas plus défiance face à l'État. :))))

    * L'apparition de caméras individuelles, portées par les policiers et les gendarmes peut être une bonne chose. La non-activation systématique en est clairement une. Les personnes concernées par une intervention peuvent demander l'enregistrement : bien mais rien ne dit 1) que l'agent le fera -> comment le forcer ? -> quelle preuve ai-je de lui avoir demandé ? 2) qu'il n'y ait pas eu une hausse de la tension avant que l'enregistrement débute (l'enregistrement servirait uniquement à apaiser la tension, pas à résoudre l'incident avec l'agent). Les motifs pour commencer à enregistrer à l'initiative de l'agent me semblent bien flous aussi : « lorsqu’un incident se produit ou, eu égard aux circonstances de l’intervention ou au comportement des personnes concernées, est susceptible de se produire ». Dernier point : « La rapporteure a reconnu que les parlementaires soulevaient là « une question importante », tout en arguant qu’en l’état, la délivrance d’un tel document n’était « pas prévue ». « La généralisation posera de nombreuses questions de droit et il est probable que des évolutions auront lieu en application de la jurisprudence » a-t-elle soutenu ». Bref, les caméras individuelles débarquent sans cadre légal. J-O-I-E.

    * Les parties pourtant sur le renforcement des dispositions autorisant des détentions d'armes et ajoutant un nouveau motif de légitime défense sont bien corsées aussi. Je suis loin d'être un fana des armes, je préfère le dialogue mais, je me souviens aussi de cet extrait de notre Constitution « Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'Homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l'oppression.». Et je me dis qu'un gouvernement qui cherche à désarmer quand la grogne monte, ce n'est pas forcément sain... Je trouve que c'est signe d'un malaise : à la fois on désarme pour rendre les révoltes sanglantes (quand il ne reste plus que ça...) plus compliquées et pour tenter encore de convaincre l'opinion publique qu'on s'active sur la question du terrorisme. Une clause de plus permettant d'invoquer la légitime défense rendra plus complexe la décision des agents de faire usage de leur arme ou non (sous la pression, t'as pas le temps de dérouler un algo composé de « et » et de « ou » à rallonge) voire leur donnera une liberté supplémentaire pour ouvrir le feu... Je suis donc très sceptique.

    * Enfin, et parce qu'il faut bien rire, je vous propose la lecture de l'exposé des motifs de l'article 13 : « L’article 13 règlemente les cartes prépayées, afin de prévoir leur plafonnement et d’éviter qu’elles ne fassent l’objet d’utilisations abusives permettant la réalisation de transactions financières indétectables dans le cadre de la criminalité organisée ou du terrorisme. ». Si toi aussi tu finances le terrorisme avec des cartes prépayées, tape dans tes mains. Sérieusement, faut arrêter de nous prendre pour des abrutis crédules...

L'ennui, c'est que ce projet de loi passera pour la simple raison qu'il comporte aussi tout un volet d'harmonisation avec la législation européenne.


On a encore échappé à une tripotée d'idées de merde (ou de trolls pour focaliser le débat sur des non-thématiques pendant que des choses passent en douce) :
    * Géolocalisation par les opérateurs en dehors de l'acheminement du trafic et en dehors de réquisition judiciaire/administrative via un cheval de Troie : des SMS d'avertissements d'un danger (https://www.nextinpact.com/news/98887-les-operateurs-n-auront-pas-a-localiser-sms-d-avertissement-en-cas-d-attentats.htm

    * Forcer la participation des FAI, des FSI et de tout fabricant d'outils de télécommunication à coopérer aux enquêtes anti-terroristes avec une interdiction de vente sur le territoire national en sanction voire même à les considérer comme complice. Coopérer ça veut tout et rien dire comme fournir la copie en claire conservée dans le Cloud ou filer la clé de chiffrement ou un moyen de déchiffrement. On est en plein dans le débat Apple/FBI. On notera que le député Ciotti, qui a déposé l'amendement d'interdiction de vente semble utiliser lui-même un iPhone pour twitter. :)))) On n'est pas dans la lutte anti-terrorisme mais dans la lutte contre les citoyen-ne-s et la vie privée.

    * Interdire la consultation de contenus terroristes... Le cheval de bataille de Sarkozy pour faire son retour... Mais on ne se réjouit pas du tout puisque cette disposition est intégrée à la proposition de loi tendant à renforcer l'efficacité de la lutte antiterroriste.

    * Pérennisation du blocage de sites Internet faisant l'apologie du terrorisme par le Ministère de l'Intérieur, sans contrôle, permis par l'État d'urgence, lui-même déjà dérivé de la loi anti-terrorisme de 2014... Sauf que la loi anti-terrorisme de 2014 prévoit des délais et l'intervention d'une personnalité qualifiée désignée par la CNIL (voir http://www.nextinpact.com/news/98847-des-deputes-lr-veulent-perenniser-blocage-administratif-version-etat-d-urgence.htm ) mais ça semble déjà trop contraignant pour le Ministère et les député-e-s.


Pour clore le troll sur le chiffrement :
    * https://www.mediapart.fr/journal/france/171115/le-sms-dun-kamikaze-du-bataclan-est-au-coeur-de-lenquete . Rien qui est public ne permet d'affirmer que les attentats du 13 novembre ont été coordonnés via des communications chiffrées. En revanche, on a des éléments qui montrent qu'un SMS en clair semble avoir servi à la coordination de l'attentat.

    * http://www.lexpress.fr/actualite/societe/justice/attentats-a-paris-salah-abdeslam-a-ete-controle-a-trois-reprises-en-france_1747528.html . Il faut sortir de l'informatique et constater que la faille reste humaine (et je n'ai rien contre ça, c'est normal, naturel,...). Les amendements anti-chiffrement n'y changeront rien et sont une mauvaise réponse.


Sources pour écrire ce shaarli :
    * http://www.syndicat-magistrature.org/Questions-reponses-critiques-du-2443.html . Je vous en recommande vivement la lecture (avec le PDF joint, OFC) car c'est vraiment accessible et bien expliqué/détaillé.

    * https://wiki.laquadrature.net/Analyse_PJL_crime_organis%C3%A9

    * https://www.nextinpact.com/news/98620-ladministration-penitentiaire-en-passe-detre-service-renseignement.htm

    * http://www.numerama.com/politique/149560-le-gouvernement-veut-donner-au-juge-dinstruction-lacces-aux-mails-archives.html

    * http://www.numerama.com/politique/149590-loi-penale-chiffrement-blocage-de-sites-les-amendements-a-suivre.html

    * https://www.nextinpact.com/news/98848-reforme-penale-constructeurs-moyens-cryptologie-devront-cooperer.htm

    * Ma lecture de l'exposé des motifs du projet de loi :D

Fin octobre 2015, j'ai incisé ma carte bancaire afin de couper le circuit alimentant la puce NFC, ce qui permet de désactiver moi-même la fonctionnalité de paiement sans contact.

Mes motifs ? Absence de sécurité démontrée (voir http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf ) + une possible captation passive de données personnelles qui préoccupe même la CNIL (voir https://www.cnil.fr/fr/securite-des-cartes-bancaires-sans-contact-quelles-sont-les-avancees-et-les-ameliorations-possibles ).

Ce mois-là, j'ai également contacté la conseillère de ma banque, par courrier postal, afin de savoir ce que ma banque peut faire concernant la désactivation de cette fonctionnalité non désirée et indésirable à mon humble avis.

Tout cela est relaté dans un autre shaarli : http://shaarli.guiguishow.info/?o1wmdg

Nous sommes plus de 4 mois après et je n'ai pas reçu de réponse, bien évidemment. Cela démontre une fois de plus qu'il ne faut jamais rien attendre d'une société commerciale et faire les choses soi-même.

Je viens donc d'envoyer un autre courrier postal afin de rappeler mes doutes, de rappeler la position de la Banque de France et d'indiquer que j'ai désactivé moi-même la fonctionnalité NFC. L'idée est de faire remarquer que la banque ne m'a pas répondu (pas top pour l'image), que je n'ai cependant pas besoin d'elle et que je ne lâche pas l'affaire : mes doutes sur la fonctionnalité sans contact sont fondés.

Voici le contenu de mon courrier pour ceux et celles que ça peut inspirer :
« Madame,

Par un courrier du 31 octobre 2015, soit il y a plus de 4 mois, je vous interrogeais sur la procédure à suivre afin de désactiver/résilier sans frais le service de paiement sans contact de ma carte bancaire actuelle sans résilier intégralement mon service carte bancaire.

Mes arguments portaient sur une *absence de sécurité démontrée* ainsi que sur une *possible captation passive de données personnelles* qui préoccupe même la Commission nationale de l'informatique et des libertés[1]. Notez bien que *je ne parle pas de fraudes*.

Depuis, j'ai pris connaissance que les émetteurs de cartes bancaires ont pris un *engagement auprès de la Banque de France* « concernant la possibilité de désactiver la fonction sans contact des cartes, soit en mettant des étuis de protection à la disposition des utilisateurs, soit en mettant en œuvre la désactivation à distance de la fonction sans contact, soit en permettant le remplacement, à la demande du porteur, d’une carte sans contact par une carte dépourvue de cette fonctionnalité. »[2]. Si même la Banque de France invite à rester vigilant et à constituer des stocks d'étuis anti-NFC, c'est une *affirmation de plus qu'il existe des doutes raisonnables* qu'il faut prendre en considération.

*En l'absence de réponse de la <nom_banque>* à ma sollicitation d'octobre dernier, *j'ai procédé à la désactivation* mécanique et irrémédiable, par mes propres moyens, du circuit alimentant la puce de communication à champ proche. Ma carte bancaire est toujours fonctionnelle suite à cette incision.

La <nom_banque> ne m'imposera ni l'usage ni la présence de la fonctionnalité de paiement sans contact.

Cordialement.

Références :
[1] https://frama.link/x9PqTSz5
[2] Coupure de presse en https://frama.link/rxRmxdqI et rapport annuel de l'Observatoire de la sécurité des cartes de paiement 2014 en https://frama.link/oscp-2014 »

« Dans l’affaire qui oppose Apple au FBI, Amazon a choisi de soutenir l’entreprise à la pomme. Elle fait partie de la trentaine de sociétés américaines qui épaulent leur congénère dans un affrontement qui se résume à savoir si le chiffrement peut perdurer dans son état actuel. Et pourtant, alors qu’elle estime visiblement que tel est bien le cas, Amazon a décidé de supprimer le chiffrement de son système d’exploitation mobile, FireOS 5. »

Syndrome Nimby spotted (https://fr.wikipedia.org/wiki/Nimby) : tant que le FBI va toquer à la porte des autres, ça va mais il ne faudrait quand même pas qu'il vienne toquer à notre porte.

Tout la communication autour de l'affaire FBI/Apple est uniquement une partie de poker menteur qui détourne l'attention des vraies problématiques : oui, Apple peut accéder aux données sans casser le chiffrement via son cloud (synchro activée par défaut). Fin de l'histoire, le ver est dans la pomme, il faut passer à la suite.

Je me répète : C'est tout le jeu des GAFA depuis les révélations Snowden : rassurer le grand public (pour ne pas perdre d'audience et donc de chiffre d'affaires émanant de la publicité) avec des mesures de sécurité bidons qui sont seulement des illusions d'optique. Ne leur faîtes pas confiance ! Vos données persos, ça se stocke chez vous ou dans une asso locale sur une infrastructure en logiciel libre communautaire en utilisant du chiffrement dont vous seul avez la clé. Même chose lorsqu'il s'agit de les faire transiter : logiciel libre + communauté + chiffrement de bout en bout.

Notes :
    * L'invisibilité / la visibilité que l'on peut aussi désigner comme étant la reconnaissance sociale versus le mépris offre une grille de lecture complémentaire à la lecture habituelle en lutte des classes / utilitarisme (c'est utile donc valorisé et ça va percer, en gros).

    * Invisible signifie qu'une problématique, un besoin n'est pas dans le prisme des politiques sociales, des stats, des rapports. Est-ce que le débat est arrivé sur la place publique ou non.

    * Cas très concret d'invisibilité négative : lors de l'explosion de l'usine AZF de Toulouse, l'hôpital psychiatrique situé à 150 mètres de l'usine et qui a été soufflé par l'explosion sera gommé des cartes géographiques et du débat dans la presse avant d'y entrer 3 semaines plus tard.

    * L'invisibilité peut aussi être un vecteur d'action sociale, un refuge ou une manière différente d'appréhender la vie sociale. Exemple d'invisibilité positive : le mouvement Anonymous qui veut faire transcender des idées plutôt que des personnalités dans ses combats. C'est aussi le cas des actions locales qui recréent de la solidarité, du lien social pour dépatouiller des invisibles sans avoir recours à l'État & co.

    * L'invisibilité est forcément une question de perception, de visibilité par les institutions établies.

    * Notre société a connu un changement de paradigme entre la fin des 30 glorieuses et aujourd'hui : le passage d'une vision des rapports sociaux orientée sur la compassion et l'assistance (exemples : RMI en 1988 ou la fracture sociale comme thème de la campagne présidentielle de 1995) à une émanation de l'idéologie néo-libérale selon laquelle l'individu, autonome et responsabilisé doit trouver seul son chemin et acquérir, par lui-même, les compétences pour s'en sortir par lui-même.

    * Ce changement de paradigme de société éclipse tout un tas de questions. Exemple : si le chômage devient structurel (robotisation), que fait-on des millions de personnes qui ne pourront alors jamais trouver un emploi ? La responsabilisation individuelle conduit à la stigmatisation qui explique, en partie, le non-recours à des droits sociaux (exemple : j'ai le droit à des prestations sociales mais je n'en profite pas volontairement pour pas me faire taxer d'assisté ni avouer un échec personnel). Elle empêche également de penser à une émancipation collective. Au bout du bout, l'individu ne voit plus l'intérêt de se faire représenter collectivement. On constate cela avec le très faible pourcentage de salariés syndiqués même parmi les ouvriers (classe dans laquelle les syndicats étaient très puissants) ou bien encore dans l'absence de participation au débat public de la part des citoyens.

« La sécurité. Le mot-clef qui tourne en boucle actuellement sur les réseaux. Entre la mode des objets connectés, les affaires de chiffrement du FBI ou des attentats de novembre, les failles diverses et variées qui sont publiées chaque matin sinon chaque heure, ce n’est très clairement pas l’actualité qui va éteindre cette tendance.

Histoire de rigoler un petit peu (et de me faire peur beaucoup), je me suis lancé un petit défi pour mesure l’état de la non sécurité ambiante : tester l’intégralité de la plage IPv4 à la recherche de systèmes VNC ouverts.

[...]

IPv4 compte 4 294 967 295 adresses. Le scan de cette plage entière sur le port 5900 (port par défaut de VNC) a pris 8h sur une ligne à 100Mbps (merci ZMap).

[NDLR : en vrai, si l'on exclu les plages réservées (y comprend multicast et experimental) et les plages pas encore annoncées, il y a beaucoup moins d'adresses IPv4 que cela ].

Le scan a relevé 5 184 227 ports ouverts sur cette plage, soit 0.12%. Ça peut sembler un faible pourcentage, mais je trouve la valeur absolue assez flippante. Autant de serveurs avec un VNC public, c’est juste totalement effroyable. Un admin sys censé devrait mettre un pare-feu devant et restreindre au maximum les IP pouvant s’y connecter. [...]

Sur les VNC accessibles, 2 246 s’avèrent n’être protégés par aucun mot de passe, soit 0.043%. [...]

[ NDLR : Dont 44 trucs mega critique (avec des vies humaines en jeu). ]

Usine hydro-électrique, génératrice diesel, système d’aération, métro, silo, haut fourneau, système de production de bio-gaz ou d’eau potable… Tout y passe. Autant, les VNC d’avant, ça ne pouvait pas trop faire de dégat sinon la compromission de la machine en question, autant là on parle de systèmes qui peuvent conduire à des morts… Il se passe quoi si je coupe l’aération ? C’est un tunnel et j’asphyxie tous ses occupants ? Et si je change le taux de chloration de l’eau potable ? Ou si je ferme toutes les vannes d’un silo de bio-gaz ?
Il va sans dire que j’ai contacté les responsables de ces systèmes pour ceux que j’ai pu identifier (trop peu…), ou contacté les CERT des pays concernés. Mais les vitesses de réaction sont très (trop) faibles, par exemple sur les 12 systèmes français signalés, 5 sont toujours accessibles 15 jours après le signalement…
À noter aussi que la plupart de ces systèmes proviennent d’un seul et même fabriquant, qui semble mettre du VNC par défaut sur ses systèmes SCADA… »

« Aujourd'hui a été publiée la faille de sécurité Drown, touchant notamment la bibliothèque cryptographique OpenSSL. C'est l'occasion de se livrer à quelques réflexions sur Drown, TLS et la sécurité.

[...]

Pourtant, je suis étonné de constater que certaines choses n'ont pas été comprises. Par exemple bien des gens croient que, puisque leur serveur HTTPS n'accepte pas SSLv2, ils sont en sécurité. Rien n'est plus faux et c'est bien expliqué dans la FAQ de Drown : pour effectuer cette attaque, il suffit que le certificat du site visé (et donc la clé privée) soit disponible sur un autre site, qui, lui, accepte SSLv2. Et, c'est là un point qui m'a personnellement surpris, ce cas est assez fréquent. Comme le note l'article Drown, le modèle de financement des AC encourage à acheter le moins de certificats possibles, et donc à les utiliser sur plusieurs serveurs, ou bien sur le serveur de production et sur celui de développement.

Prenons un exemple : le serveur du journal quotidien Ouest-France n'est apparemment pas vulnérable, il ne gère pas SSLv2 [...] Mais on trouve, sur un tout autre réseau, une machine 93.17.51.145 qui, elle, accepte SSLv2 et a le certificat *.ouest-france.fr (les certificats avec joker sont évidemment les plus vulnérables à Drown puisqu'on les achète justement pour les mettre sur plusieurs machines) [...] Le journal Ouest-France est hébergé par SDV et cette 93.17.51.145 est apparemment dans les locaux du journal. Machine de développement ? Serveur utilisé pour des applications internes ? En tout cas, contrairement au site Web public, cette machine ne semble pas avoir fait l'objet de tests de sécurité et, à elle seule, elle rend l'attaque Drown possible.

[...]

On voit d'ailleurs un effet négatif de la gamification popularisée, dans le monde HTTPS, par SSLlabs. Pendant que tout le monde s'amuse à obtenir la meilleure note possible pour s'en vanter sur les rézosocios (« j'ai un A sur SSLlabs alors que la banque Machin a uniquement un B, je suis trop un geek crypto-expert »), des machines comme ce pauvre serveur restent ignorés.

Autre question posée par Drown, pourquoi est-ce qu'il y a autant de machines qui acceptent encore SSLv2 ? Il a été officiellement abandonné en 2011 par le RFC 6176. Et le RFC est sorti bien tard, tous les experts savaient depuis longtemps que SSLv2 était cassé sans espoir de réparation. Mais les mises à jour ne se font, sur l'Internet, qu'à un rythme glacial (voir nul). Le problème n'est pas technique, il vient du fait que les mises à jour ne rapportent rien, n'ont pas de retour sur investissement, et ne sont donc en général jamais faites. Tout le monde s'indigne lorsqu'une faille comme Drown est publiée mais, en temps normal, personne ne s'en préoccupe. La prévention est toujours le parent pauvre de la sécurité. L'opérationnel et la sécurité concrète n'intéressent personne.

[...]

Mais le danger exact de Drown n'est pas facile à évaluer. On est dans le cas classique en sécurité du verre que l'optimiste voit à moitié plein alors que le pessimiste le voit à moitié vide. L'optimiste va faire remarquer que l'exploitation effective de Drown est très difficile, dans les conditions du monde réel (en laboratoire, ça marche toujours mieux). Le pessimiste rétorquera que les attaques ne vont toujours qu'en s'améliorant. Si Drown est difficile à exploiter aujourd'hui, cela ne durera pas éternellement.

[...]

Je suggère d'ailleurs d'en tirer une leçon : ne jamais partager un certificat (et donc une clé privée) entre des machines qui ont des administrateurs différents : le risque est en effet très élevé que l'une d'elles soit moins sécurisée que les autres, permettant une attaque. »