En Bref : la sécurité des données dépend toujours du maillon le plus faible

Comme dirait LinksTheSun, j’aimerais ouvrir une (

Si vous travaillez dans le monde de la sécurité, le titre du billet vous parlera forcément. Pour les autres, nous allons aborder un point relatif à la sécurité de l’information voire à la sécurité, de façon générale. Continuer la lecture de En Bref : la sécurité des données dépend toujours du maillon le plus faible

En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles.

Strava, vous connaissez ? Si vous faites du sport, de la course plus précisément, sans doute. Pour les autres : Strava est une application qui permet d’enregistrer son parcours en se servant du GPS du Smartphone sur lequel l’application est installée. L’entreprise propose une carte mondiale des trajets enregistrés… et on y retrouve des données plutôt sensibles. Continuer la lecture de En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles.

Hackers (lol) et canular à Paris, le nawak

J’ai essayé d’éviter les informations stupides, mais celle-là m’a fait réagir… Deux adolescents ont « piraté » la ligne téléphonique d’une église parisienne pour faire un canular. Particulièrement con, surtout en ce moment, mais un canular. Et depuis quelques jours, je lis çà et là « deux hackers » ceci, « deux hackers » cela. Et bordel, ça m’énerve.

Pourquoi ?

Entrons dans le vif du sujet d’emblée : ça me gonfle profondément qu’on utilise le terme « hacker » à toutes les sauces et ce depuis des années. Certains diront qu’il ne faut pas s’emporter pour ça, d’autres que c’est ainsi et d’autres s’en fichent éperdument. Ce n’est pas mon cas.

Aujourd’hui, lire « hacker » dans un article quelque part, généralement, ça me déprime. On qualifie rapidement tout et tout le monde de hacker, si bien qu’au final, « hacker » ne signifie plus vraiment grand-chose. Tour à tour, c’est un méchant pirate informatique, un cybercriminel, un héros du printemps arabe, un bidouilleur, un manipulateur.

C’est même lui, ce vilain hacker, qui est responsable de la faim dans le monde et de la guerre. Tant qu’à faire, autant pousser l’absurde jusqu’au bout.

Alors non, lecteurs, lectrices, copains, inconnus, journaux, médias, un hacker, ce n’est PAS, à la base, quelqu’un de mauvais, quelqu’un de méchant, quelqu’un qui veut détruire la planète. Ce n’est pas non plus un asocial sociopathe dangereux qui mange des petits chats enroulés dans des câbles RJ45.

Ce terme est malmené depuis déjà fort longtemps et tout le monde gagnerait à utiliser les bons mots. Parce qu’il ne faut pas croire que ce glissement sémantique soit sans conséquences, ce n’est pas qu’un mauvais usage du terme. Lorsque ce mot est utilisé à tort, il dégrade l’image déjà bien fragile dudit hacker. Dans l’esprit des gens, du moins selon moi, on imagine le hacker comme quelqu’un qui n’a aucune vie, qui pirate des comptes Facebook, qui reste le cul posé sur sa chaise sans jamais voir personne, qui « casse » et « vole » des choses.

Sauf que dans les faits, ce n’est pas ça, un hacker. Ici, on peut parler d’une personne qui a des problèmes sociaux, on peut parler de criminel, de cybercriminel, de pirate informatique à la limite ou tout simplement, de con. Mais pas de hacker.

Hacker, c’est neutre comme mot. Du moins ça devrait l’être. Hacker – le verbe cette fois – c’est « bricoler », bidouiller un système, essayer de le comprendre, essayer d’en comprendre le fonctionnement, les limites et parfois essayer de s’en affranchir. La meilleure explication que je puisse avoir est celle des baguettes chinoises… elles servent à manger mais si vous vous en servez pour faire tenir un chignon ou un abat-jour, vous avez hacké son fonctionnement, vous l’avez détourné de son fonctionnement initial.

Est-ce que cela fait de vous une mauvaise personne ? Non. Du moins tant que détourner un objet de son usage principal n’est pas interdit.

C’est un sujet à débat, même au sein des communautés de hackers, mais le vrai combat n’est pas sur l’usage du mot, pas comme dans « chiffrer » au lieu de « crypter », il n’y a pas le même impact derrière.

Bref, vous l’aurez compris, je suis fatigué de voir ce mot utilisé dans tous les sens, de n’importe quelle façon.

Le cas des deux ados

Sans avoir le détail de ce qui s’est passé et de la façon dont ils ont procédé, usurper un numéro de téléphone, c’est relativement simple. Parole de moi, qui a travaillé plus de 10 ans dans le domaine.

Ce n’est pas forcément mauvais, certaines entreprises s’en servent pour utiliser le même numéro partout, que ce soit Pierre, Paul ou Jacques qui contacte monsieur ou madame untel. Le principe dans ce cas-là, c’est d’avoir un numéro de désignation de l’installation, qui sera le numéro connu des clients, 01 23 45 67 89 par exemple. On configure l’installation pour que chaque personne qui appelle affiche ce numéro. Rien de mauvais donc, comme beaucoup de choses, cette technologie est neutre, c’est ce qu’on en fait qui est bon, ou mauvais dans le cas de nos deux ados.

Monter un canular en usurpant un numéro de téléphone c’est donc très simple, à condition de chercher un peu. Des solutions existent sur Internet, pour quelques euros ou quelques neurones à y consacrer, et le tour est joué.

Pour déjouer ça, ça peut être aussi simple : rappeler le numéro de téléphone suffit parfois. On tombe alors sur la bonne personne, la vraie personne, celle à qui appartient vraiment le numéro et c’est terminé. J’imagine que les forces de l’ordre l’ont fait dans ce cas, j’espère du moins…

D’autant plus que les deux ados ne semblaient pas experts dans la protection de leurs données personnelles puisque des informations les concernant ont été publiées.

Bref, nous avons affaire à deux ados, un peu (très) cons sur ce coup, qui ont fait un canular débile et dangereux, mais pas à des hackers.

Si des journalistes me lisent, de grâce, utilisez les bons mots, cybercriminel dans ce cas, mais pas « hacker ».

« Plus d’autorisation de manifester », vraiment ?

Petit passage éclair, pour rebondir sur un déclaration du Président Hollande.

En conseil des ministres, monsieur a déclaré la chose suivante :

« A un moment où la France accueille l’Euro, où elle fait face au terrorisme, il ne pourra plus y avoir d’autorisation de manifester si les conditions de la préservation des biens et des personnes et des biens publics ne sont pas garantis. »

140 caractères étant parfois trop court, je profite d’un bref instant pour vous expliquer en quoi cette déclaration est une énorme bêtise qui, malheureusement, risque de prendre dans l’esprit de bien des gens.

Que dit la loi ?

Le code de la sécurité est très précis sur le sujet. Les articles L211-1 et L211-2 en particulier nous disent la chose suivante :

L211-1
Sont soumis à l’obligation d’une déclaration préalable tous cortèges, défilés et rassemblements de personnes, et, d’une façon générale, toutes manifestations sur la voie publique.
Toutefois, sont dispensées de cette déclaration les sorties sur la voie publique conformes aux usages locaux.
Les réunions publiques sont régies par les dispositions de l’article 6 de la loi du 30 juin 1881.

L211-2
La déclaration est faite à la mairie de la commune ou aux mairies des différentes communes sur le territoire desquelles la manifestation doit avoir lieu, trois jours francs au moins et quinze jours francs au plus avant la date de la manifestation. A Paris, la déclaration est faite à la préfecture de police. Elle est faite au représentant de l’Etat dans le département en ce qui concerne les communes où est instituée la police d’Etat.
La déclaration fait connaître les noms, prénoms et domiciles des organisateurs et est signée par trois d’entre eux faisant élection de domicile dans le département ; elle indique le but de la manifestation, le lieu, la date et l’heure du rassemblement des groupements invités à y prendre part et, s’il y a lieu, l’itinéraire projeté.
L’autorité qui reçoit la déclaration en délivre immédiatement un récépissé.

Donc ?

On récapitule : l’Etat ne délivre pas d’autorisations de manifester. Une manifestation se déclare, on ne dépose pas une demande d’autorisation de manifester mais une déclaration de manifestation.

Cette déclaration doit comprendre de nombreux éléments, certes. De la même façon, s’il est question d’occuper l’espace public lors de ladite manifestation, il faut, cette fois-ci, une autorisation.

Donc si vous marchez dans les rues, sur un trajet défini et annoncé dans la déclaration, si vous n’avez pas prévu d’occuper un espace public, il n’y a pas besoin d’autorisation.

Attention cependant, je vous conseille vivement de déclarer votre manifestation, ne pas le faire vous expose à quelques risques, genre payer des gros sous et une potentielle peine de prison… même si les manifestations sauvages, c’est sympa aussi.

L’autorité peut aussi, car c’est la loi, interdire votre manifestation une fois votre déclaration de manifestation déposée auprès des personnes compétentes.

Cependant, dire « il n’y aura plus d’autorisations de manifester » et « cette manifestation est déclarée interdite », ce n’est pas la même chose, clairement pas d’ailleurs. Fichtre.

Dans un premier cas, on fait croire que, par défaut, toutes les manifestations seront interdites « à priori » car on ne donnera plus « d’autorisations » pour manifester, ce qui est impossible. Diantre.

Dans un second cas, on décide de déclarer cette manifestation interdite parce qu’on constate un certain nombre de manquements ou de potentiels troubles à l’ordre public.

Conclusion de ce rapide passage : lisez la loi. Et ne vous laissez pas faire. Bordel.

Edit : un commentaire de Tris, qui gère le Projet Arcadie, rajoute des informations importantes, que voici, si vous n’avez pas l’habitude de lire les commentaires :

Précision utile et pour répondre à une question qui est revenue à plusieurs reprises : quid de l’état d’urgence ?

Ainsi que l’exprime liberté, libertés chéries => http://libertescheries.blogspot.fr/2016/02/etat-durgence-premiere-declaration.html il appartient au juge administratif de veiller à la conciliation entre les libertés fondamentales et la sauvegarde de l’ordre public et procède à une analyse au cas par cas, de façon concrète.

Il n’est donc pas possible de restreindre globalement la liberté de manifester même si des restrictions peuvent être apportées mais elles doivent motivées, limitées dans le temps et dans l’espace.

[En bref] Google, Apple, les autres et ta vie privée

Sommes-nous réellement en droit de penser que Google, Apple et leurs concurrents se sentent concernés par la protection de notre vie privée ?

Continuer la lecture de [En bref] Google, Apple, les autres et ta vie privée

Watch_dogs, partie 2 : point de vue d’un hacker

Comme promis, voici le second volet de mon impression sur Watch_Dogs. Cette fois, vu sous l’œil d’un hacker, puisque les gens aiment dire que j’en suis un (ça fait plus sexy que bidouilleur sans doute, même si bidouilleur serait plus adapté dans mon cas).

Bref, hacker donc. Nous allons voir ça en deux temps, un pour le personnage et l’autre pour ctOS, le système de traitement automatique des données de la ville de Chicago inventé pour le jeu.

Premier temps.

Le personnage, Aiden Pearce, nous est présenté comme un hacker par Ubisoft. La majorité de la campagne de communication d’Ubisoft repose d’ailleurs sur ce simple fait. Il faut croire que des histoires avec des hackers, ça devient sexy et si c’est sexy, ça se vend.

En se basant sur la stratégie de communication d’Ubisoft, j’avais imaginé Watch_Dogs comme un jeu qui gravitait autour du hacking, que c’était une composante essentielle du jeu, que c’était développé.

J’imaginais mon personnage s’infiltrer dans un système informatique pour y injecter des programmes, tout en évitant de se faire numériquement repérer grâce à une panoplie d’outils. J’imaginais aussi avoir besoin de mettre réellement les mains dans un CLI à la recherche de fichiers, taper quelques lignes de commande imaginées par Ubisoft, me servir de quelques programmes underground imaginaires pour faire tomber tout un système en deux secondes.

J’ai pris une claque.

Ce qui était annoncé par Ubisoft comme l’évènement majeur de ce jeu, à savoir le hacking, n’est qu’une fonction assez « banale » du jeu, quelque chose classé au même rang que l’utilisation d’une arme ou que la conduite des voitures. Bien sur le hacking est nécessaire, mais il est résumé à trop peu pour en faire l’axe principal du jeu.

En gros, Watch_Dogs met à disposition des joueurs une panoplie d’outils présentés comme des hacks (hacking de la signalisation, des feux tricolores, des bornes, de téléphone …) en appuyant sur un simple bouton. Puis c’est tout.

A aucun moment vous n’avez à mettre vos mains sur une ligne de code, il suffit d’appuyer sur « pirater ». De facto, ça relègue tout ce pan du jeu au statut de simple fonction. Pas de programme pirate à installer, pas de galères pour prendre la main sur un équipement, pas d’infiltration numérique, tout passe par un simple bouton magique.

Exemple concret : si vous vous en souvenez, hier, je parlais des points de contrôle de ctOS dans la ville, j’expliquais qu’il fallait faire un parkour pour y arriver … une fois que vous êtes devant le point de contrôle, il vous suffit juste d’appuyer sur le bouton magique, votre personnage pose son smartphone devant l’appareil et magie, vous venez de pirater le système ctOS du quartier.

J’aurais aimé voir un peu plus que ça, par exemple, tomber dans une interface de commande lorsque je tente de pirater ce point ctOS, avoir besoin de rentrer deux trois commandes présentées par un tutorial, enfin, quelque chose de plus développé que « piratez en appuyant sur a » quoi.

Watch_Dogs est un jeu grand public et je sais donc que l’on ne peut pas demander à ce type de jeu de proposer une expérience de hacking développée, de réelles commandes à taper, un niveau de complexité supérieur et tout ceci, mais quand même, je pense que ce n’est pas assez mis en valeur, il aurait été possible d’exploiter ça d’une bien meilleure manière.

Je ne demande pas un jeu comme Uplink, bien trop complexe pour finir grand public, mais j’aurais aimé voir un peu de hacking, comme Ubisoft l’annonçait.

Ensuite, au-delà du bouton magique, parlons de ce qu’il fait : des miracles.

Votre téléphone dispose d’un mode, le mode profiler, qui vous permet de pirater n’importe quel téléphone à proximité, vous récupérez ainsi des appels, sms, vous pouvez prendre la main sur le téléphone et faire tout un tas de choses. C’est assez magique, mais ça reste de la magie.

Qu’on se rassure, cet aspect du jeu n’existe pas dans la vie réelle, même si nous n’en sommes pas loin.

Dans le jeu, lorsque vous arrivez près d’un équipement piratable, il vous suffit d’appuyer sur le bouton magique et d’attendre deux à trois secondes, et le tour est joué : c’est tout sauf réaliste.

Dans notre monde, il est possible de faire ce qui se fait dans Watch_Dogs, mais pas aussi aisément. Il faut être à une faible distance de sa cible, réussir à obtenir un signal de son téléphone, injecter un virus dedans, prier pour que la liaison ne saute pas, une fois le virus injecté, prier pour qu’un antivirus mobile ne le repère pas et à ce moment-là, oui, il devient possible de prendre la main sur le téléphone.

Le jeu nous offre un raccourci, à nouveau, j’aurais aimé une sorte de barre de téléchargement, indiquant que l’opération est en cours, qu’il faut maintenir une liaison stable, histoire d’avoir quelque chose de plus immersif.

Pitié, n’allez pas croire que ce qui se fait dans Watch_Dogs est vrai, pitié.

Pour conclure sur cette première partie, le hacking dans Watch_Dogs n’est, pour moi, absolument pas au rendez-vous, il diffuse une idée préconçue du truc, la même que celle qu’on peut voir dans les films où un hacker de 11 ans pirate en deux clics le site de la NSA.

Second temps

ctOS. Ah, ctOS, là, il y a du neuf, du beau, du flippant et quelque chose de parfaitement réaliste. Il faut savoir qu’Ubisoft travaillait depuis deux ans sur le projet, bien avant les révélations de Snowden donc, et ce qu’il a révélé renforce encore plus le réalisme du jeu : Big Brother vous observe.

ctOS, pour Central Operating System, est un système de traitement automatisé de données à l’échelle de toute une ville, Chicago. Tout, absolument tout est connecté à ce ctOS. Dans le jeu, ce ctOS sert à de nombreuses choses, comme la gestion de la circulation routière, la détection d’infractions, il réduit le taux de criminalité en effectuant une analyse comportementale des individus, il sait tout, absolument tout. Et c’est ce truc-là que vous piratez, lui qui vous ouvre la porte de n’importe quel système informatique du Chicago de Watch_Dogs.

Ce système repose en partie sur des données publiques et ouvertes, il se sert également des téléphones, des connexions des opérateurs, des données médicales, mails, bref, tout ce qui existe au format numérique est connu de ctOS.

Ainsi, lorsque vous activez le profiler, sur votre smartphone, ça donne ça :

ctOS, le système de données de Chicago dans Watch_Dogs

ctOS, le système de données de Chicago dans Watch_Dogs

ctOS, le système de données de Chicago dans Watch_Dogs
ctOS, le système de données de Chicago dans Watch_Dogs

ctOs peut connaitre votre métier, nom et prénom mais aussi vos habitudes de navigation, j’ai croisé des personnes qui aimaient télécharger deux films pornographiques, par exemple. D’autres qui avaient des impayés, d’autres qui ceci ou cela…

C’est très bien fait, extrêmement précis et ce qui fait un peu mal, c’est que ça existe plus ou moins. ctOS fait de l’agrégation des données comme le font nos services de renseignements, la NSA ou d’autres.

Watch_Dogs devrait nous laisser perplexes face à ctOS, il devrait susciter des questions de vie privée, de traitement des données, de protection de ces dernière, de tout ce qu’il est possible de savoir grâce à l’agrégation et de toutes les dérives que cela peut engendrer.

D’ailleurs, Ubisoft oriente le jeu de cette manière selon moi. Dans de nombreux endroits, les habitants parlent en mal de ctOS, craignent pour leur vie privée, des « 1984 » sont présents sur quelques murs, des caméras omniscientes également …

Je ne connais pas la position d’Ubisoft sur la question, mais je pense qu’ils ont souhaité sensibiliser les joueurs aux dérives de la surveillance de masse, et sur ce point, ctOS fait parfaitement bien le travail.

D’ailleurs, le jeu continue sur… non, pas de spoiler…

J’en ai terminé de ma présentation de Watch_Dogs, pour conclure, je dirai que c’est un assez bon jeu d’action, assez immersif tout de même, que le piratage et le hacking ne sont pas à la hauteur de mes espérances, j’ai même envie de déclarer que ce n’est pas ça, le hacking… et que ctOS est largement à la hauteur de mes craintes

D’ailleurs, si vous voulez avoir un aperçu d’un ctOS dans le monde physique, rendez-vous sur http://wearedata.watchdogs.com et essayez, c’est très loin de ce qu’il y a dans le jeu, mais ça donne un bon aperçu de ce qu’il est déjà possible de faire.

Je vous invite à lire les sources, présentes dans les mentions légales du site, pour savoir comment fonctionne le site.