Comme chaque année depuis maintenant 12 ans, je participe à la Nuit du Hack (et presque 5 ou 6 ans que j'y présente des trucs). Cette année, c'était la 13ème édition et à mon sens une des meilleures que j'ai vécu malgré les loupés habituels et autres tracasseries de dernière minute.

Un sacré cirque

Cette année, changement de décor: ce n'est plus chez Disney, mais à l'Académie Fratellini, au nord de Paris (Saint-Denis, 93). Et ça en jette. Le chapiteau principal est juste géant, la scène décorée à l'effigie de feu le magazine Hackerz Voice bien méchante, et le temps parfait. De très bonne conditions pour cet évènement. En plus, on disposait cette année d'une zone réservée aux bidouilles matérielles, que la DTRE, l'Electrolab et moi-même avons squatté. Le pied.

Une halle complète était quant à elle réservée au challenge public (le wargame), toute câblée par les gentils admins et ingés d'OVH, pour le coup partenaire de l'évènement. Et à côté, un bar. Normal, on retrouve bien l'esprit des premières NdH ;). On se sent à la maison, ici.

Enfin, et c'est inhabituel par rapport aux autres années, beaucoup d'espace aéré en dehors des batiments pour manger, se poser autour d'une table, et profiter du beau temps pour engager des rapports sociaux autres que sur IRC. C'est toujours un plaisir que de voir de nouvelles têtes, et de pouvoir discuter/troller avec d'autres personnes. Et pourquoi pas avec John Draper, a.k.a. CaptainCrunch, un des premiers phreakers US de passage à Paris qui nous a fait l'honneur de sa présence ! Je n'ai pas pu résister à une petite photo avec le personnage (merci @Zackhimself !).

NDH Kids, seconde édition

A nouveau, je participais à l'animation de NDH Kids, la Nuit du Hack pour les enfants (et babysitting pour les parents), avec un atelier encore plus débile que l'année précédente. L'objectif ? Concevoir une fusée fonctionnant sans poudre ni flamme. Oui, une fusée chimique, ce qui a permis à une quarantaine d'enfants de s'éclater avec du vinaigre et de la levure, à battre des records de hauteur et à avoir plein d'idées pour pourrir la vie de leurs parents. Vous m'excuserez, je faisais pareil à leur âge.

On en a d'ailleurs profité pour hacker la recette d'origine, et tandis que la première session faisait office de beta-testing, les deux dernières ont été plutôt réussies avec seulement quelques lancement ratés (et des t-shirts arrosés). On a terminé en beauté, car il nous restait une bouteille de vinaigre à moitié remplie et une dizaine d'enfants sur-excités qui nous ont proposé, à Samuel et moi-même, de la transformer en fusée. Version adulte. Ce que l'on a fait. Elle a décollé du tonnerre, et est allée assez haut de ce que je me rappelle. Pour le coup, les gamins étaient fans et ont même filmé le lancer. Quand je vous dis que les parents ont du souci à se faire ...

Seconde édition donc de Ndh Kids, et je compte bien rempiler l'année prochaine !

Atelier électronique et micro-controleur

Pour cloturer mon emploi du temps bien rempli, j'avais opté pour l'option «atelier qui dure toute la nuit», histoire de rencontrer des gens et partager autour de la fabrication d'un pendentif lumineux bien geek, à base d'une matrice de 8x8 LEDs. Pour ceux qui n'avaient jamais soudé, ce fut un peu rude mais tout le monde est reparti avec un pendentif fonctionnel, et le sourire. Certains ont même commencé à modifier le programme gérant l'animation de celui-ci !

Pas mal de personnes étaient emballées par le projet, mais ont été déçues sur place car elles ne se sont pas inscrites auparavant et du coup je n'avais pas de matériel en sus pour pouvoir assurer la fabrication de pendentifs supplémentaires. Un point à améliorer côté communication pour l'année prochaine.

J'ai pu aussi croiser des personnes ayant soutenu OpenIt, et qui désiraient savoir où j'en étais dans le projet. Cela fera l'objet d'un futur billet.

Le "Defuse Contest": un fail

Annoncé comme le nouveau challenge de la Nuit du Hack, le Defuse Contest (challenge visant à désamorcer un système à retardement) n'a tout simplement pas eu lieu pour diverses raisons dont les suivantes:

• un imprévu dans la préparation des badges (dont j'avais la charge) m'a juste fait perdre presque 6 heures sur la préparation du vendredi, donc pas eu le temps de régler les derniers détails
• les composants constituants le circuit du challenge ont été reçu deux jours avant la Nuit du Hack, chaud pour tout souder hors du temps de travail
• je n'ai pas trouvé le temps durant la nuit de terminer la préparation du challenge (soudure/firmware)

Je suis désolé pour ceux qui venaient juste pour ce challenge, mais rassurez-vous: j'ai tout ce qu'il faut pour l'année prochaine et je galérerai moins !

Conclusion

Cette édition toute neuve et originale a été un franc succès, autant pour la partie Ndh Kids que la Nuit du Hack dans son ensemble. C'est toujours un bonheur d'y croiser les gens, de prendre une bière avec eux, de discuter, troller et d'y présenter des trucs cool.

Et comme d'habitude, il m'a fallu deux jours pour m'en remettre. Oh, vieillesse ennemie.

La première édition de ce workshop ayant été un succès, on remet ça cette année ! Qu'est-ce qu'un workshop ? En réalité, rien de bien compliqué: un atelier ouvert à l'échange, durant lequel on réalise des trucs sympas, durant lequel on découvre et apprend, autant vous que nous. C'est un moment d'échange convivial, autour d'un thème qui réunit, en l'occurence le Hardware Hacking.

Plus simple, plus abordable, mais tout aussi sexy

Cette année, on fait dans le "wearable", en réalisant un pendentif tout ce qu'il y a de plus geek, basé sur un Arduino miniature alimenté par batterie et une matrice de 8 x 8 LEDs. De quoi afficher ses goûts, son nom, et de faire des animations sympas. Le workshop couvre:

• La théorie derrière ce pendentif, afin d'expliquer comment cela fonctionne,
• La réalisation du pendentif, qui nécessite peu de soudure,
• La programmation de l'Arduino (un ordinateur est nécessaire),
• La création et l'intégration de motifs et d'animations, dont quelques-uns spécifiques à la Nuit du Hack 2015

Les participants pourront exhiber fièrement leur pendentif ainsi réalisé et réutiliser certains des composants pour d'autres projets si cela leur chante ! Il y a aussi possibilité de combiner le pendentif au badge électronique de l'édition 2015 de l'évènement =).

Le pendentif ressemble, une fois assemblé et programmé, à ceci:

Ce pendentif électronique a été conçu par Limor Fried et AdaFruit, qui le recommande pour une initiation à la soudure et au développement sur micro-contrôleurs.

Comment participer ?

Eh bien, on ne change pas un système qui marche ! J'ai mis en place une campagne de financement participative sur Ulule dont la contrepartie principale offre droit à une place à cet atelier, dans la limite des 30 places disponibles.

Chaque participant se verra remettre un kit contenant:

• Un Arduino "Genma" ou "Trinket" (selon approvisionnement),
• Une batterie LiPo 3.7V,
• Un chargeur de batterie LiPo USB,
• Une matrice de 8 x 8 LEDs,
• Des fils de connexion,
• De la gaine thermorétractable,
• Un tour de cou

Le montant pour la participation est fixé à 40€, ce qui permet de couvrir les besoins matériels pour l'atelier, et de repartir avec un pendentif électronique trendy & geek au possible !

La place pour l'évènement de la Nuit du Hack, durant lequel se déroule cet atelier, n'est pas comprise dans la participation demandée ! Pour en obtenir une, il faut vous rendre sur le site de la Nuit du Hack.

Le projet de loi relatif au renseignement a été voté le 5 mai à l'Assemblée Nationale à 438 votes contre 86 (dont 42 abstentions), et vise à encadrer les pratiques des services de renseignement dont celles liées à la lutte anti-terroriste.

Ce projet de loi est soutenu par un bon nombre de députés, et prévoit notamment les points suivant:

• la légalisation de pratiques des services de renseignement qui n'étaient jusque là pas autorisées,
• la mise en place de «boîtes noires» au sein des fournisseurs d'accès à Internet et de services (hébergeur de données) afin de détecter les comportements suspects et faire de la surveillance ciblée,
• l'absence de toute autorité judiciaire dans le processus de surveillance et la mise en place d'une commission consultative indépendante,
• la mise en oeuvre de la surveillance dans un cadre large, incluant entre autres la lutte anti-terroriste mais aussi la défense des intérêts économiques de la France ou encore la lutte contre les violences collectives.

Et en quoi cela pose problème ?

En réalité, ce n'est pas le projet de loi entier qui a provoqué une levée de boucliers sur Internet, mais bel et bien des points de détails très importants. Le premier d'entre eux et certainement le plus discuté par les personnes ayant des compétences techniques est celui concernant les fameuses «boîtes noires» que le gouvernement prévoit de mettre en place chez des fournisseurs d'accès à Internet et les hébergeurs de données.

En effet, il a été évoqué l'utilisation d'algorithmes spécifiques permettant d'identifier des comportements caractéristiques des terroristes, permettant de cibler la surveillance sur un groupe restreint d'individus ainsi identifiés. Sauf que ces algorithmes vont devoir avoir un œil partout et sur toutes les données afin de pouvoir faire le tri. Ce qui implique la consultation de chaque information envoyée ou reçue par un internaute, et potentiellement une atteinte à la vie privée. Que nenni, rétorquent les promoteurs de ce projet de loi, «seules les métadonnées seront manipulées». Les métadonnées, ce beau terme décrivant des données associées à un contenu, mais qui ne sont pas du contenu. Ce ne sont pas pour autant des données n'ayant aucun rapport avec la vie privée: si l'on sait avec qui vous discutez, quand et comment, il est facile d'en déduire des informations utiles. Un exemple.

J'ai été amené il y a quelque temps de cela à effectuer une investigation numérique pour une société, car un des associés était suspecté de monter une société concurrente avec une ancienne employée. Lors de cette investigation, seuls des journaux d'évènements (remplis de métadonnées, et que de métadonnées) m'ont été fournis, en particulier ceux du serveur de messagerie. A l'aide de ces informations, j'ai découvert assez rapidement que l'associé en question possédait plusieurs adresses de courriel, et qu'il s'y connectait de différents endroits (identifiés en fonction de l'adresse IP et de la géolocalisation de ces adresses). Et que l'ancienne employée s'était connectée elle aussi d'un endroit similaire (adresse IP identique), mais que cette adresse IP n'était pas celle de l'entreprise, et cela hors heures ouvrées. Ce ne sont que des métadonnées, mais les interprétations/suppositions sont possibles à partir de ces données.

Un peu comme à Noël, lorsque tata Chantal vous offre un cadeau: vous le palpez, vous le secouez, vous le pesez, et vous essayez d'en déduire le contenu sans l'ouvrir. Eh bien avec les métadonnées, c'est exactement la même chose.

Une adresse IP, une adresse de courriel, des coordonnées géographiques, des dates d'envoi et de réception sont autant de données qui une fois corrélées, en révèlent tout autant que le contenu. Ce n'est pas pour rien que la CNIL (Commission Nationale Informatique et Libertés) considère l'adresse IP comme une donnée personnelle (rappelez-vous les débats HADOPI). D'ailleurs, ces mêmes métadonnées ont permis de déterminer que M. Urvoas a rédigé une réponse type transmise aux députés afin que ces derniers puissent répondre «comme il faut» aux citoyens inquiets (Numerama).

Le problème que pose ce mécanisme, c'est qu'il est obligatoirement intrusif et fournit des outils au gouvernement permettant s'il le souhaite d'être détournés de leur usage premier. Sans contrôle de l'autorité judiciaire. Malgré toute la bonne volonté du gouvernement, qui précise que ces outils ne seront pas employés à mauvais escient, on ne peut empêcher a priori un détournement de l'usage de ces outils dans le futur.

Des pratiques illégales, euuuh ?

Second point non-négligeable: le gouvernement reconnaît que ses services de renseignements emploient des pratique de recueil d'information non-encadrées par la loi. La loi relative au renseignement vise justement à combler ce manque, afin de légaliser entre autres:

• la pose de mouchards informatiques, GPS, et sonores,
• l'emploi d'«IMSI Catcher», des systèmes d'interception automatisés de communications via réseaux mobiles et de localisation

Le patch législatif proposé n'est pas suffisant: il n'inclut aucun contrôle par l'autorité judiciaire, et légalise ces pratiques tout en permettant de possibles dérives. Toutefois, il est nécessaire de légiférer sur ces techniques récentes, afin d'encadrer ces pratiques, mais sans oublier d'y inclure un contrôle a priori.

Boarf, de toute manière je n'ai rien à cacher

Si vous n'avez rien à cacher, cela ne vous dérangera pas alors que l'on transforme votre maison en loft style télé-réalité, truffé de caméras et de micros. Après tout, vous n'êtes ni terroriste ni conspirateur, et vous n'avez aucun secret à cacher. Quoique.

A y réfléchir, peut-être que la caméra dans la chambre à coucher, ainsi que celle dans les toilettes et la salle de bains sont un brin intrusives ? Personne n'a besoin de savoir que vous galérez avec les dernières feuilles de votre rouleau de papier toilette, ou que vous prenez en photo vos plus beaux exploits délicatement déposés dans la cuvette. Personne n'a besoin de savoir que vous avez des relations sexuelles une à deux fois par semaine, ou que vous pratiquez l'onanisme tandis que madame a le dos tourné. Cela relève de l'intime, bien que les frontières de l'intime ont été repoussées par les réseaux sociaux.

On a tous quelque chose à cacher, pas que l'on soit terroriste mais plutôt que l'on a besoin d'avoir un jardin secret, son petit coin de plaisir personnel rien qu'à soi. Et on ne tient pas forcément à ce que tout le monde le découvre.

Quid des «boîtes noires» que le gouvernement prévoit d'installer ?

Je pense qu'un dessin vaut mieux qu'un long discours.

Et maintenant ? Que peut-on faire d'autre ?

Malgré le fait que M. Le Premier Ministre qualifie les appels des citoyens aux députés et sénateurs de «pressions», il est encore possible de contacter ces derniers (les sénateurs) afin de leur faire entendre raison quant au projet de loi. Ce dernier doit repasser au Sénat pour un examen final, et il n'est pas encore trop tard pour ouvrir les yeux. Contactez donc les sénateurs, la Quadrature du Net fournit un outil pour cela.

Une saisine du Conseil Constitutionnel est a priori en cours de la part des députés étant contre le projet de loi, ce qui devrait aboutir à un examen des articles controversés par les sages, et potentiellement la reconnaissance que certains d'entre eux sont contraires à la Constitution (si j'ai bien tout compris -- je ne suis pas juriste).

Bref, il reste un espoir.

Le premier à me trouver la référence du titre gagne toute mon estime