06
mai
'15

Et vraoum, plus de vie privée !

Publié le 06 mai 2015

Le projet de loi relatif au renseignement a été voté le 5 mai à l'Assemblée Nationale à 438 votes contre 86 (dont 42 abstentions), et vise à encadrer les pratiques des services de renseignement dont celles liées à la lutte anti-terroriste.

Ce projet de loi est soutenu par un bon nombre de députés, et prévoit notamment les points suivant:

Et en quoi cela pose problème ?

En réalité, ce n'est pas le projet de loi entier qui a provoqué une levée de boucliers sur Internet, mais bel et bien des points de détails très importants. Le premier d'entre eux et certainement le plus discuté par les personnes ayant des compétences techniques est celui concernant les fameuses «boîtes noires» que le gouvernement prévoit de mettre en place chez des fournisseurs d'accès à Internet et les hébergeurs de données.

En effet, il a été évoqué l'utilisation d'algorithmes spécifiques permettant d'identifier des comportements caractéristiques des terroristes, permettant de cibler la surveillance sur un groupe restreint d'individus ainsi identifiés. Sauf que ces algorithmes vont devoir avoir un œil partout et sur toutes les données afin de pouvoir faire le tri. Ce qui implique la consultation de chaque information envoyée ou reçue par un internaute, et potentiellement une atteinte à la vie privée. Que nenni, rétorquent les promoteurs de ce projet de loi, «seules les métadonnées seront manipulées». Les métadonnées, ce beau terme décrivant des données associées à un contenu, mais qui ne sont pas du contenu. Ce ne sont pas pour autant des données n'ayant aucun rapport avec la vie privée: si l'on sait avec qui vous discutez, quand et comment, il est facile d'en déduire des informations utiles. Un exemple.

J'ai été amené il y a quelque temps de cela à effectuer une investigation numérique pour une société, car un des associés était suspecté de monter une société concurrente avec une ancienne employée. Lors de cette investigation, seuls des journaux d'évènements (remplis de métadonnées, et que de métadonnées) m'ont été fournis, en particulier ceux du serveur de messagerie. A l'aide de ces informations, j'ai découvert assez rapidement que l'associé en question possédait plusieurs adresses de courriel, et qu'il s'y connectait de différents endroits (identifiés en fonction de l'adresse IP et de la géolocalisation de ces adresses). Et que l'ancienne employée s'était connectée elle aussi d'un endroit similaire (adresse IP identique), mais que cette adresse IP n'était pas celle de l'entreprise, et cela hors heures ouvrées. Ce ne sont que des métadonnées, mais les interprétations/suppositions sont possibles à partir de ces données.

Un peu comme à Noël, lorsque tata Chantal vous offre un cadeau: vous le palpez, vous le secouez, vous le pesez, et vous essayez d'en déduire le contenu sans l'ouvrir. Eh bien avec les métadonnées, c'est exactement la même chose.

Une adresse IP, une adresse de courriel, des coordonnées géographiques, des dates d'envoi et de réception sont autant de données qui une fois corrélées, en révèlent tout autant que le contenu. Ce n'est pas pour rien que la CNIL (Commission Nationale Informatique et Libertés) considère l'adresse IP comme une donnée personnelle (rappelez-vous les débats HADOPI). D'ailleurs, ces mêmes métadonnées ont permis de déterminer que M. Urvoas a rédigé une réponse type transmise aux députés afin que ces derniers puissent répondre «comme il faut» aux citoyens inquiets (Numerama).

Le problème que pose ce mécanisme, c'est qu'il est obligatoirement intrusif et fournit des outils au gouvernement permettant s'il le souhaite d'être détournés de leur usage premier. Sans contrôle de l'autorité judiciaire. Malgré toute la bonne volonté du gouvernement, qui précise que ces outils ne seront pas employés à mauvais escient, on ne peut empêcher a priori un détournement de l'usage de ces outils dans le futur.

Des pratiques illégales, euuuh ?

Second point non-négligeable: le gouvernement reconnaît que ses services de renseignements emploient des pratique de recueil d'information non-encadrées par la loi. La loi relative au renseignement vise justement à combler ce manque, afin de légaliser entre autres:

Le patch législatif proposé n'est pas suffisant: il n'inclut aucun contrôle par l'autorité judiciaire, et légalise ces pratiques tout en permettant de possibles dérives. Toutefois, il est nécessaire de légiférer sur ces techniques récentes, afin d'encadrer ces pratiques, mais sans oublier d'y inclure un contrôle a priori.

Boarf, de toute manière je n'ai rien à cacher

Si vous n'avez rien à cacher, cela ne vous dérangera pas alors que l'on transforme votre maison en loft style télé-réalité, truffé de caméras et de micros. Après tout, vous n'êtes ni terroriste ni conspirateur, et vous n'avez aucun secret à cacher. Quoique.

A y réfléchir, peut-être que la caméra dans la chambre à coucher, ainsi que celle dans les toilettes et la salle de bains sont un brin intrusives ? Personne n'a besoin de savoir que vous galérez avec les dernières feuilles de votre rouleau de papier toilette, ou que vous prenez en photo vos plus beaux exploits délicatement déposés dans la cuvette. Personne n'a besoin de savoir que vous avez des relations sexuelles une à deux fois par semaine, ou que vous pratiquez l'onanisme tandis que madame a le dos tourné. Cela relève de l'intime, bien que les frontières de l'intime ont été repoussées par les réseaux sociaux.

On a tous quelque chose à cacher, pas que l'on soit terroriste mais plutôt que l'on a besoin d'avoir un jardin secret, son petit coin de plaisir personnel rien qu'à soi. Et on ne tient pas forcément à ce que tout le monde le découvre.

Quid des «boîtes noires» que le gouvernement prévoit d'installer ?

Je pense qu'un dessin vaut mieux qu'un long discours.

Et maintenant ? Que peut-on faire d'autre ?

Malgré le fait que M. Le Premier Ministre qualifie les appels des citoyens aux députés et sénateurs de «pressions», il est encore possible de contacter ces derniers (les sénateurs) afin de leur faire entendre raison quant au projet de loi. Ce dernier doit repasser au Sénat pour un examen final, et il n'est pas encore trop tard pour ouvrir les yeux. Contactez donc les sénateurs, la Quadrature du Net fournit un outil pour cela.

Une saisine du Conseil Constitutionnel est a priori en cours de la part des députés étant contre le projet de loi, ce qui devrait aboutir à un examen des articles controversés par les sages, et potentiellement la reconnaissance que certains d'entre eux sont contraires à la Constitution (si j'ai bien tout compris -- je ne suis pas juriste).

Bref, il reste un espoir.

Le premier à me trouver la référence du titre gagne toute mon estime

05
févr.
'15

Bonne année 0x7df !

Publié le 05 février 2015

A peine l'année entamée que je suis déjà en retard pour l'annoncer. L'année 2015 démarre fort bien.

Janvier, l'heure du bilan de l'année passée. Et ce n'est pas glorieux. Entre OpenIt, le projet crowdfundé que j'avais lancé en 2013, qui n'a guère avancé grâce à de magnifiques fails, et ma vie personnelle qui a été un brin chamboulée, je n'ai pas eu tellement de temps pour souffler. Certains d'entre vous ont pu s'en rendre compte, vu que j'ai été quasimment en silence pendant six longs mois. L'heure du bilan, disais-je. Hopla.

Côté personnel

Je sais, vous vous en fichez comme de votre premier *helloworld* en C, mais ça a sa petite importance. En mai 2014, ma petite famille a déménagé car ma moitié commençait à sévèrement déprimer pour des raisons qui lui sont propres, et je ne me voyais pas tenir encore le reste de l'année dans ces conditions. Du coup cela a eu plusieurs impacts, positifs et négatifs.

Du côté des impacts positifs, j'ai désormais un bureau au sous-sol, une pièce rien qu'à moi où j'ai commencé à entreposer tout mon bazar. Du coup, je m'organise un peu mieux et je peux geeker à tout va sans déranger personne. J'ai ainsi pu installer mon petit coin électronique (et reverse électronique bien sûr), et garder mon super bureau pour les bidouilles informatiques. La bonne nouvelle, c'est que je vais avoir suffisamment de place pour loger mon imprimante 3D, toujours en construction. La mauvaise, c'est que je dois trouver le temps de ranger tout ça (un problème récurrent).

Côté impact négatifs, ça a rendu les derniers mois un peu impossibles: je me cogne désormais pas mal de trajet pour aller bosser (toujours sur Paris), et les mois de Septembre à Décembre ont été rock and roll. Je crois que si je n'avais pas pris deux semaines de vacances entre Noël et le nouvel an, j'aurais fait un arrêt cardiaque. Ou un AVC. Spéciale dédicace à mon médecin qui s'inquiète de ma tension.

OpenIt

Alors forcément, OpenIt en a pris un coup. Je n'ai pas arrêté de travailler sur les projets relatifs à OpenIt, loin de là, mais j'ai du faire une pause entre novembre et décembre. Surtout après avoir loupé des prototypes de cartes d'interface à cause d'une mauvaise vérification due au manque de sommeil. Cela sera corrigé en 2015 (planifié pour début février).

Et maintenant que je fais le point, je me rends compte aussi d'une chose: le crowdfunding tout seul, c'est du retard assuré. Je suis en retard sur: * les trois minitels à transformer en consoles de jeux * les journées à hacker avec de généreux ululeurs que je dois planifier * les autres récompenses que je dois distribuer

Apparemment c'est le lot d'autres projets, mais ça me bouffe un peu quand même. Je suis déçu de pas réussir à tenir les délais que je m'étais imposé, et encore plus de faire traîner tout ça. Je me dis que des gens y croient (moi c'est toujours le cas), et que je vais devoir me défoncer pour au moins terminer tout ça. A noter que la carte d'interface du minitel vers le raspberry est conçue à 99% (reste à faire fabriquer et tester), et que les autres récompenses sont en standby dû à mon fail mentionné ci-avant. Reste les journées à planifier, ce que je compte faire ASAP (d'ailleurs si vous êtes concerné(e)s, n'hésitez pas à me mailer vos disponibilités).

Bref, faut que je sois plus rigoureux et mieux organisé pour cette année. Et vu le moment où j'écris cela (lundi soir, 23h55), ça vous laisse deviner que je suis parti sur le bon pied.

Mes bonnes résolutions

En vrac: * faire des points vidéos pour OpenIt de manière plus régulière, * communiquer un peu plus sur les coulisses, ce que je ne fais pas assez, * envoyer tout plein de trucs geeks aux gens qui le méritent, * relooker un peu le site, * me reposer un peu plus * rester focus sur 2/3 projets max (pas facile celle-là)

Et j'espère que je ne tomberai pas à court d'idées cette année (ma hantise perpétuelle).

Bref, que votre année soit geek/nerd, remplie de jolis hacks et de projets passionnants !

23
juil.
'14

Et nos libertés, c'est du pâté ?

Publié le 23 juillet 2014

Internet c'est mal, c'est peuplé de pédonazis et de terroristes, alors hein si ce n'est pas une bonne raison pour instaurer un permis Internet et vous surveiller, je ne vois pas ce que l'on peut faire de mieux. Quoi ? vos libertés ?

Il n'y a plus l'Internet, mais plusieurs Internet

C'est un constat flagrant mais quelque peu désolant. Non, l'Internet originel n'est plus. Le fait qu'il ait évolué est une très bonne chose, car cela montre bien qu'il est devenu nécessaire, mais malheureusement nous n'avons à notre disposition qu'une version d'un Internet que l'on veut nous laisser accéder, que l'on accepte bien que l'on utilise. Il y a l'Internet de Facebook, dans lequel on reste ... sur Facebook, et l'Internet de Google, dans lequel on reste aussi chez Google et ses services associés. Il y a aussi l'Internet "civilisé", où tout le monde poste des commentaires courtois sur des forums ou des billets de blog, et où l'on se salue gentiment. En bref, nous utilisons un Internet déjà restreint, limité, différent. Et si l'on souhaite passer outre, c'est de suite suspect.

On peut aussi citer les projets de loi divers, aux Etats-Unis et même ici en France, visant à contourner la nécessité de contrôle par un juge pour donner toute puissance côté filtrage de sites à une autorité administrative, sous prétexte de lutte contre le terrorisme et en se moquant ouvertement de ce que pense le CNNum. Car oui, c'est maintenant que 'lon brade une partie de nos libertés, mises dans les mains de ceux qui ne comprennent pas grand chose mais qui souhaitent faire avancer le schmilblick. Mieux vaut mal faire que ne rien faire, qu'ils disent.

L'Internet, cette zone de non-droit

On nous rabâche assez souvent, et cela depuis plusieurs années et peu importe les gouvernements, qu'Internet est une zone de non-droit. En faisant mouche: l'insécurité sur Internet est flagrante, et d'autant plus mise en avant par les médias. Vols d'information banquaires, diffamation sur les réseaux sociaux, pédopornographie et trafic de drogue sont semble-t-il monnaie courante. Sans parler des vilains cyber-pirates qui s'en prennent aux Etats. Une zone de non-droit, que l'on vous dit. Mais non, il n'y a rien de plus faux.

Internet n'est pas une zone de non-droit, car le droit s'y applique: de nombreuses affaires de piratage, de pédopornographie, de trafic de drogue sont amenées devant les tribunaux. Que ce soit Kim "DotCom" Schmidt, SilkRoad, les différentes affaires d'insultes et propos antisémites sur Twitter, ou encore Bluetouff et son "google hacking". La justice fait son travail. Présenter l'Internet comme un endroit peuplé de vils méchants pirates et personnes mal-intentionnés, c'est tout simplement réduire l'Internet à son côté sombre.

Le véritable problème, celui auquel on n'a pas encore trouvé de solution, est en réalité inhérent à la manière dont Internet a été pensé: le maillage et la dissémination des ressources. Car si Internet n'est pas une zone de non-droit, il n'en reste pas moins un vaste un réseau couvrant le monde et autant de juridictions, avec chacune d'entre elles leur particularité. Ajoutez à cela le fait que n'importe qui peut, en quelques clics, ouvrir un site web ou un blog et y diffuser ce que bon lui semble, et vous obtenez un affreux micmac impossible à "réguler" à l'échelle française. L'Internet n'a pas de frontières. Bloquer un site web, c'est retirer des chemins permettant d'accéder à une ressource., mais grâce au maillage d'Internet, il est possible de trouver d'autres chemins permettant de l'atteindre. Sans parler des réseaux au sein même du réseau, comme les systèmes ToR ou Freenet, qui ajoutent en complexité. Vouloir réguler l'Internet comme on régule l'accès à un lieu, en bloquant toutes les issues, reviendrait à figer celui-ci et aller à l'encontre de son essence même.

Combattre la menace terroriste

Le blocage va donc clairement à l'encontre du réseau, qui de par sa nature offrira toujours des moyens de contournement. Ainsi, pour empêcher le recrutement des jeunes et limiter leurs envies d'aller faire la Guerre Sainte ailleurs, peut-être devrions-nous songer à utiliser les mêmes armes. Mettre dans les mains d'une autorité administrative un aussi grand pouvoir que celui de vouloir d'une part donner droit de vie et de mort sur des sites web, et d'autre part d'instaurer une suspicion obligatoire de la part des fournisseurs de services (comme les hébergeurs), revient à jouer avec le feu. Car à un moment ou à un autre, ce formidable outil de censure (car ce n'est rien moins que cela) pourra être détourné de son usage sans contrôle. Pour arriver aux résultats que l'on connaît, comme cela a pu être observé au [Royaume-Uni->http://neosting.net/royaume-unis-filtrage-porno-inefficace-abusif-dangereux-gac] ou en Australie. Il existe d'autres moyens.

Si l'on met de côté le blocage des sites, comment pouvons-nous faire pour limiter le recrutement ? Ne nous leurrons pas: si un adolescent souhaite se renseigner sur ces sujets, il trouvera de l'aide quoiqu'il arrive: l'Internet regorge de personnes et de sites. La suppression de l'information à la source, via la fermeture du site par exemple (sous contrôle d'un juge) n'est pas assez efficace, car trop lent et au final rapidement sujette à l'apparition de sites miroirs. Sacré effet Streisand. Si l'on essaie de faire disparaître l'information, alors elle n'en sera que plus présente.

Pourquoi ne pas envisager la lutte contre ce fléau d'une autre manière ? Disons d'une manière déceptive, en utilisant les mêmes armes. Créons une foultitude de messages sur les forums, pointant vers des adresses de courriel inexistantes ou des sites complètement bidons, noyons les dans un flot d'information complètement idiot mais faisant en sorte que ceux-ci soient bien référencés. Quand on n'arrivera plus à différencier un site/message de recrutement réel d'un de ces faux sites/messages, nous pourrons considérer que le problème sera en partie résolu. Noyons l'information, utilisons la force de l'Internet pour rendre les messages concernés minoritaires et difficiles à trouver.

Et nos libertés dans tout ça ?

Ah oui, nos chères libertés... Si nous arrivons à convaincre que le flicage massif et le filtrage n'ont au final aucun avenir, alors nous pourrons certainement envisager un Internet un poil plus sain. Et pour ce faire, nous pouvons faire confiance à des organismes dont le principal effort consiste à sensibiliser nos politiques sur ce sujet, à les travailler au corps pour leur faire comprendre les principes fondamentaux de l'Internet, mais surtout à leur montrer pourquoi l'on tient tout particulièrement à cet Internet là. Même s'il n'est pas parfait. Même si on peut encore l'améliorer. Des organismes comme La Quadrature du Net par exemple, qui manquent cruellement de moyens. Soutenons-les, donnons-leurs les moyens d'agir pour nos droits, pour que les politiques et les personnes qui se sentent concernés par les problématiques actuelles puissent appréhender tous les enjeux qu'entourent leurs propositions de loi.



Les contenus disponibles sur ce blog sont publiés sous licence Creative Commons BY-NC-SA.
Vous pouvez réutiliser tout ou partie de ces contenus à condition de citer l'auteur et l'origine, vous ne pouvez en faire une utilisation commerciale, et enfin vous devez partager tout travail ou œuvre dérivée sous les mêmes conditions — c'est-à-dire avec la même licence d'utilisation Creative Commons.