On se dit parfois qu’une faille de sécurité, c’est compliqué à comprendre, qu’il faut être un expert et comprendre l’art du code pour l’exploiter… ce n’est pas toujours vrai.
Étiquette : Hacking
Vie privée et infidélité : mariage consumé.
Le site AshleyMadison.com s’est fait pirater ses bases de données, plus de 37 millions de clients risquent de voir leur vie intime exposée. Le compteur « plus de 37.565.000 membres » prend un tout autre sens maintenant.
Qu’on se le dise, votre serviteur n’est pas pour les pratiques du site AshleyMadison.com, qui offre une solution aux hommes et femmes mariés en recherche d’une liaison adultère. Pour autant, comme toute fuite de données privées, nous allons en parler.
Que s’est-il passé exactement ?
Il semblerait que les bases de données du site se baladent dans la nature et que certaines menaces apparaissent avec, notamment celle de publier toutes les données « in the wild ».
The Impact Team – qui n’a rien à voir avec Next Inpact, espérons-le – revendique le piratage et exige la fermeture de l’ensemble des sites gérés par Avid Life Media, le groupe qui gère AshleyMadison.com ainsi que deux autres sites du même acabit.
La société déclare avoir déjà identifié le ou les membres de The Impact Team, déclarant qu’il pourrait s’agir d’un ancien employé de la société.
Les raisons de la colère?
Selon un message de The Impact Team, l’action fait suite à un « faux droit à l’oubli », payant de surcroit. Le site propose en effet de supprimer toutes vos données personnelles (résultats de recherche, contenus, photos, messages…) pour 19 dollars, mais ne le fait pas, ce que la team est en capacité de démontrer.
En résumé, l’éditeur du site masque simplement les données pour qu’elles n’apparaissent plus. Si on ne les voit plus sur le site, elles n’en restent pas moins présentes sur les serveurs dudit éditeur.
Pour le reste des explications, allez lire l’article de Guillaume Champeau, dont je me suis fortement inspiré.
Une action collective ?
La question mérite d’être posée : si les données sont publiées, est-ce que les clients du site peuvent se retourner contre l’éditeur ?
Si ce dernier n’est pas l’auteur du piratage, il n’en reste pas moins qu’il a vendu une prestation – la suppression des données personnelles – sans l’honorer, puisque les données fuitent maintenant dans la nature. Les clients de ce site sont peut-être dispersés aux quatre coins du globe, envisagent-t-ils d’attaquer Avid Life Media pour manquement à ses obligations ?
Une question de confiance. (Encore.)
L’éternelle question de la confiance revient sur la table : « Doit-on accorder notre confiance à un site lorsqu’on sait qu’un jour il sera peut-être piraté ? » .C’est un problème complexe où la réponse ne peut se résumer à un simple « oui » ou « non », le oui revenant à ne pas prendre en compte ces dangers, le non revenant à ne plus rien faire sur Internet.
La question est d’autant plus importante que les données de ce site sont très particulières, on ne parle pas de bisounours mais d’adultères, de désirs et souhaits sexuels, d’orientation sexuelle aussi, de choses qui touchent globalement à la sphère très intime de ce qui définit la vie privée.
La divulgation de ces données pourrait porter préjudice à l’ensemble des clients, dans de nombreux domaines de ces derniers. On pourra me répondre « ils n’avaient qu’à pas tromper » mais c’est une réponse à une action sans doute composée d’énormément de paramètres dont nous n’avons pas forcément connaissance, c’est trop simple, c’est un ressenti que tout le monde ne partage pas. La simple existence de ce genre de sites en est la preuve.
Bref, la confiance, revenons-y. Comme j’en parlais très récemment au sujet de Google, lorsque je demande la suppression des données, qu’est-ce qui me garantit que la demande est prise en compte et effective ?
Google n’est pas en reste, puisque ce problème existait déjà avec Facebook, quand vous supprimiez une donnée, elle restait stockée sur les serveurs de Facebook, la société désactivait simplement son affichage, comme Google, comme AshleyMadison…
Cliquer sur le bouton supprimer revient donc à croire un simple « faites-moi confiance », sans garanties supplémentaires.
edit : je me permets un petit ajout suite à divers tweets que j’ai pu voir passer, qui se « réjouissent » de cette nouvelle, en condamnant les clients et surtout les clientes dudit site…
Premièrement, il n’y a aucune différence entre un homme qui trompe son ou sa partenaire et une femme qui trompe son ou sa partenaire. Non. A ce titre, un « homme à femmes » n’est pas un Don Juan et une « femme à homme » n’est pas une….
Pour terminer : saviez-vous que certaines personnes (très très très largement des hommes) frappent, battent et parfois tuent leur femme lorsqu’ils apprennent qu’elle a commis l’adultère ?
Alors, que vous soyez d’accord ou non avec la pratique, de grâce, réfléchissez.
GoLeaks : les leaks de l’Ouest.
J’ai décidé de vous parler de GoLeaks, une plateforme de leaks comme son nom l’indique, suite à une conférence très intéressante lors du festival « Pas Sage en Seine 2015 », où j’ai rencontré @Datapulte, hacker en charge de la partie technique du projet.
Le projet semble bien parti, solide et pas décidé sur un coup de tête. Les personnes qui vont s’occuper du projet sont fiables et de confiance.
La première plateforme régionale de récolte et de diffusion d’information, de « leaks », par des sources anonymes, va donc prochainement voir le jour.
Petit tour d’horizon de GOLeaks.
Le GO, c’est pour Grand Ouest, les leaks porteront sur l’ensemble de la Bretagne et on peut déjà imaginer des leaks en lien avec Notre-Dame-des-Landes par exemple, mais pas que. De la fuite très locale, du village à la ville, de l’élu local à beaucoup plus, il y a là, à mon avis, beaucoup de choses à récupérer.
Ce sont ces raisons qui ont entrainé la création de GOLeaks.
Le projet
Le besoin est le suivant : partager une information sensible ou compromettante, une information qui mérite d’être connue du grand public. Cette information, en raison de son caractère sensible, ne peut pas être partagée via des outils « classiques », par mail, SMS, au téléphone …
Il faut être capable de protéger et d’anonymiser au maximum la source de l’information, clef de la réussite des sites de leaks. Nous reviendrons sur ce point un peu plus loin dans le billet.
Protection des sources, travail avec les journalistes et les maisons de presse, gestion des échanges entre source et journaliste pour sécuriser au maximum la source, telles sont les ambitions du projet.
Techniquement
La plateforme est découpée en deux parties, l’une servant de vitrine, l’autre étant la réelle plateforme d’échange.
« Les deux sites sont séparés et hébergés à des endroits différents, chez un opérateur de confiance, afin de sécuriser au maximum les plateformes. S’il y a une faille de sécurité sur un site, elle ne permettra pas de remonter jusqu’à l’autre », m’explique @Datapulte, hacker en charge du projet.
Sur le site web « classique », on découvre les raisons du projet ainsi que ses ambitions. D’ici à son lancement, la vitrine de Goleaks changera, pour indiquer aux utilisateurs qu’il faut un protocole de connexion et de contact spécifique pour déposer une information sur la plateforme.
La plateforme centrale sera un service caché dans le réseau TOR (avec une adresse qui se termine en .onion pour faire plus clair). De facto, il faudra obligatoirement utiliser TOR afin de pouvoir envoyer une information au site, @Datapulte m’explique…
« on ne veut pas mettre en danger une source, nous allons donc forcer l’utilisation de TOR pour sécuriser un peu plus les échanges. Notre but est de servir de plateforme de leaks mais pas n’importe comment et surtout pas en compromettant des sources désireuses d’échanger des informations sensibles ».
Qu’on se le dise, @Datapulte sait où il veut mener le projet, ce qui est très rassurant aux vues du projet.
Une fois un leaks déposé sur le site, il sera mis à disposition de journalistes afin qu’ils puissent traiter l’information, nous y reviendrons. Les échanges avec les journalistes exigeront le même protocole de connexion que celui des sources : TOR.
GOleaks permettra aussi l’envoi de mails chiffrés, à la source et au journaliste, en servant d’intermédiaire. « Nous avons choisi d’être l’intermédiaire entre une source et un journaliste pour sécuriser au maximum les échanges. Une source souhaite contacter un journaliste, un mail chiffré est envoyé par Goleaks au journaliste, qui doit passer par la plateforme d’échange afin de pouvoir répondre à la source. ».
Pourquoi servir de plateforme centrale et incontournable ?
A cette question, @Datapulte me répond « nous pensons qu’il est préférable qu’un journaliste et une source ne soient pas directement en contact. En procédant ainsi, s’il y a un problème, la source ne met pas en danger le journaliste et vice-versa. Dans le pire des cas, si une source est grillée ça ne pourra remonter que jusqu’à Goleaks, idem si c’est un journaliste, la piste ne pourra remonter que jusqu’à Goleaks. Nous sommes conscients de notre rôle de fusible ».
Je trouve ce point très positif, dans les explications fournies, je sens réellement la volonté de minimiser les risques et dangers, « le risque zéro n’existe pas, mais on cherche à s’en approcher le plus possible ».
Rajoutons que Goleaks tourne sous Globaleaks, une plateforme open-source dédiée aux leaks. Globaleaks est développé par “Hermes Center for Transparency and Digital Human Rights”, Globaleaks est, par exemple, utilisé par « Le Monde » via https://secure.sourcesure.eu.
C’est un projet très suivi, régulièrement mis à jour et assez sécurisé, considéré comme une excellente initiative par de nombreux journalistes et hackers, comme ceux du CCC ou Jacob Applebaum par exemple.
Serveurs séparés, hébergés chez un acteur de confiance, passage par TOR requis, mails chiffrés, plateforme qui s’impose un niveau de sécurité élevé… les outils ne manquent pas pour faire de Goleaks une réussite.
Reste le problème des sources et de l’utilisation des outils, parfois compliquée pour des utilisateurs néophites.
A nouveau, @Datapulte a les idées claires sur le sujet : « concernant les leaks, nous pensons qu’il peut y avoir beaucoup d’informations, si nous arrivons à faire connaître le projet, clef de notre réussite. Côté formation, nous avons déjà des contacts avec des journaux locaux pour les former à utiliser TOR et nous allons mettre, sur la vitrine publique du site, des informations et explications claires pour pouvoir déposer un leak ».
Le traitement de l’information sera assuré par les journalistes, « nous travaillons déjà avec des journalistes afin d’établir des partenariats. Lors du dépôt d’un leak, le lanceur d’alerte pourra choisir à qui envoyer l’information. Goleak enverra une alerte aux journalistes choisis, qui devront passer par TOR et un lien à usage unique afin de récupérer l’information transmise. »
On s’y met ?
« Pour l’instant, tout n’est pas encore prêt et nous avons besoin de soutiens et de visibilité avant de nous lancer. »
Je ne sais pas de quoi l’avenir est fait, mais Goleaks possède les clefs pour qu’il soit bon.
En revanche, je sais qu’ils auront prochainement besoin d’un financement pour faire tourner la plateforme, @Datapulte m’informe « qu’une campagne de financement verra prochainement le jour, d’ici septembre. »
Souhaitons-leur bon courage.
Vous pouvez retrouver toutes les informations de Goleaks à cette adresse https://goleaks.org/, @Datapulte sur Twitter et @R0aming_, un rédacteur en chef Web, lui aussi impliqué dans le projet Goleaks.
Vous pouvez également retrouver GOLeaks sur Twitter : http://twitter.com/goleaks_
C’est quoi « SS7 » ?
La semaine dernière, lors du 31C3 (le Chaos Communication Congress), deux chercheurs en sécurité ont présenté leurs travaux sur SS7, ou plutôt les failles qui permettent d’exploiter SS7.
Alors, SS7, c’est quoi exactement ?
Derrière l’acronyme se cache une panoplie de protocoles de signalisation téléphonique, utilisée sur la quasi-totalité du globe par des opérateurs de téléphonie.
« SS » c’est pour Signaling System ou Système de Signalisation et 7, c’est parce qu’avant, il y avait SS6, puis SS5 …
SS7, c’est un ensemble de protocoles de signalisation téléphonique, en français : c’est un moyen que les éléments du réseau téléphonique utilisent pour échanger des informations, ni plus, ni moins.
Si c’est un peu nébuleux, voici quelques exemples plus explicites :
- Vous tentez d’appeler quelqu’un qui est déjà en appel. SS7 le voit, demande à ce que l’appel soit libéré et à ce qu’on vous renvoie une tonalité d’occupation.
- Vous tentez d’appeler quelqu’un d’autre. C’est SS7 qui annonce qu’un appel est tenté vers tel numéro. Pour vulgariser, il demande « où je dois envoyer l’appel s’il vous plait ? »
Dans les grandes lignes, le rôle de SS7 c’est : la signalisation d’appel, l’interconnexion des appels, des réseaux, l’échange d’informations entre les utilisateurs et plein d’autres choses, dont les messages.
Ah, j’oubliais un détail très important : SS7 a aussi pour rôle de faire passer un appel téléphonique à travers les réseaux.
Pour ce faire, il doit impérativement disposer d’un certain nombre d’informations :
- D’où vient l’appel ?
- Par quels équipements l’appel passe ?
- Par quelles lignes téléphoniques l’appel passe ?
- Vers où doit aller l’appel ?
- Est-ce que le réseau est disponible ou non ? Et si ce n’est pas le cas, comment doit passer l’appel ?
SS7 est donc une importante source d’informations puisqu’il doit savoir qui fait quoi, quand, où, avec qui …
Voilà. Vous avez le réseau SS7 dans les (très) grandes lignes mais elles me semblent suffisantes pour la suite.
Reprenons donc… Au 31c3, deux chercheurs venaient présenter leurs travaux sur SS7. Le 29 décembre, le journal Le Monde, via sa chronique Pixels, publiait un article intitulé « Le SS7, le réseau des opérateurs qui permet de surveiller vos téléphones portables ».
Première « erreur » : SS7 ce n’est pas un réseau. C’est un ensemble de protocoles, comme nous avons pu le voir. Bon c’est tout bête comme erreur, mais c’est dommage. J’ai d’abord pensé que c’était compliqué d’expliquer, mais puisque je viens de le faire je pense que c’est accessible.
Que dit cet article ?
Un petit peu trop anxiogène à mon gout, l’article dit qu’il est possible de se faire localiser d’une façon très précise, de se faire intercepter ses SMS et ses appels… Bref, de se servir de ce que fait SS7 à la base.
Les chercheurs ont souligné un point bien plus dérangeant en revanche : l’accès « open bar » à SS7, c’est là qu’il faut s’alarmer, sans pour autant basculer dans la paranoïa, il faut simplement comprendre :
- les fonctions de SS7 n’ont rien de dérangeant en soi : pour fonctionner, SS7 doit localiser d’une façon très précise un terminal, il doit faire transiter des messages et des appels, il est donc possible de les intercepter, puisque les messages transitent grâce à ce SS7
- le fait qu’un utilisateur lambda ou qu’autre chose qu’un opérateur puisse se servir de SS7, là, c’est une autre histoire, bien plus dérangeante.
Cet open bar, c’est volontaire ?
Oui et non.
Non car techniquement parlant, SS7 est très ancien, il date de 1975. Depuis, de nombreuses (r)évolutions ont vu le jour et le protocole ne s’est pas spécialement adapté. C’est techniquement faux mais on pourrait dire que SS7 est un protocole de 1975 avec plein de rajouts.
Oui car à l’époque, il y avait une sécurité suffisante avec SS7. Oui également car cette ouverture permet de faciliter bien des choses sur le plan technique. Pour les opérateurs, qui ont moins de contraintes. Pour faciliter la rapidité des échanges également. Puis c’est pratique pour ceux qui ont besoin d’aller mettre leur nez dedans.
Et ça se corrige ?
A nouveau, oui et non.
Non, ça ne se corrige pas car il faudrait presque repenser un nouveau protocole et que c’est très compliqué, puisque la quasi-totalité des opérateurs téléphoniques passent à un moment ou à un autre avec SS7.
Oui, ça se corrige, mais l’actuel blocage est plus politique et financier que technique. Pourquoi investir des milliards pour refaire quelque chose qui fonctionne actuellement ? Les états, opérateurs et j’en passe n’iront pas investir tant qu’ils n’y seront pas obligés et les pouvoirs politiques n’ont aucune raison de forcer les opérateurs à le faire.
On pourrait également dire qu’à terme, avec l’arrivée de la 4G, SS7 serait de moins en moins utilisé. Les réseaux 4G ne se servent pas de SS7 pour la signalisation téléphonique, mais de SIP, un autre protocole. C’est techniquement faux, puisqu’il y aura toujours SS7 derrière… mais sur le papier, ça serait une jolie solution.
Rajoutons à cela que pour voir cette solution arriver, il faudrait que tout passe par le réseau 4G, tout le temps, sans jamais basculer en 3G ou 2G ou GSM. Autant dire que c’est impossible.
Et je dois être parano ?
Très sincèrement ? Non. Ces accès « open bar » ne datent pas d’hier, un article du Washington Post en parlait déjà au mois d’aout (EN) et, à mon humble avis, ils existaient bien avant.
Ce n’est pas SS7 qui pose problème, c’est sa facilité d’accès, certainement utilisée par des particuliers curieux, par des agences de renseignement, CIA, NSA et j’en passe, qui me dérange. A nouveau, il convient de ne pas sombrer dans la paranoïa, ce n’est pas parce qu’ils peuvent le faire qu’ils espionnent l’ensemble de la planète.
Résumons donc : SS7 est un ensemble de protocoles qui fait ce qu’on lui demande : faire de la signalisation d’appel. Ces protocoles fonctionnent mais l’accès à SS7, lui, est un peu trop ouvert parce que c’est vieux et que ça n’a pas bougé depuis et ça, ce n’est pas génial.
Problème assez sérieux qui ne sera hélas pas corrigé demain, ni dans un an, peut-être même pas dans 10…
Réponse à M. Amaury Mestre de Laroque, « journaliste » pour Marianne
Précisions sur ce billet : il est le travail d’environ 40 personnes issues d’un peu partout. Ainsi, ce billet a été rédigé avec une journaliste, des experts en sécurité informatique et, de façon générale, avec des gens qui savent ce qu’est Internet. En vous souhaitant bonne lecture.
I) Introduction
M. Amaury Mestre de Laroque, vous êtes l’auteur d’un torchon, ne l’appelons pas autrement, disponible à l’adresse suivante : http://www.marianne.net/Plongee-dans-l-Internet-criminel_a228487.html
Dans cette chose, vous présentez une sorte de monstre numérique, plus communément appelé Darknet, vous faites des mélanges de tout et surtout de n’importe quoi et, soyons clairs, votre article est manifestement indigne d’un journaliste. Au mieux, il démontre votre recherche partielle d’informations.
Au pire, il démontre un rejet profond d’Internet et de tout ce qui est numérique, de TOR à I2P. En effet, vous avez interviewé des responsables de police ainsi qu’un chercheur, mais, outre le point de vue de jeunes qui échangent des images, vous ne faites pas le point sur les utilisateurs de ces outils et, en ce sens passez en partie à côté du sujet.
Ce billet est rédigé collectivement, nous allons tâcher de vous expliquer, parce que nous (ces pédophiles terroristes nécrophiles mangeurs d’adorables chatons et consommateurs de substances illicites) sommes gentils et relativement patients, même si vous avez un peu tiré sur la corde.
II) Le « Deep Web »
Commençons donc. Dans votre « article », vous nous faites une présentation du « Deep Web », le « Web profond », les abîmes d’un monde que vous seul semblez ne pas connaître et qu’il aurait été facile de découvrir en cherchant un tout petit peu plus et en vous adressant aux bonnes personnes.
Donc, le « Deep Web ». Le Web plus caché où les Darknets sont comme toute chose dans le monde numérique : un ensemble de machines, de 0 et de 1, qui donnent une technologie totalement neutre. En résumé, il s’agit de serveurs et d’ordinateurs reliés entre eux par… Internet !
Oui M. Amaury Mestre de Laroque, les Darknets sont comme la rue, Internet, le Web et le reste : totalement neutre. C’est l’usage que l’on décide d’en faire qui ne l’est pas. Ainsi, vous aurez des endroits très glauques sur des Darknets ; comme vous aurez des quartiers peu fréquentables dans des villes, des dealers, des meurtriers…
Est-ce que cela fait de la rue un endroit aussi dangereux que ce que vous présentez ? Non.
Et comme dans une ville, il y a les rues sombres, les parcs, et même des lieux où des amis se retrouvent autour d’un verre en écoutant de la bonne musique. C’est ce que la plupart d’entre-nous faisons en se rendant sur IRC.
III) Internet c’est aussi le bien
Internet est, en somme, et pour commencer par quelque part, l’outil par excellence de communication et de partage. Et le seul aussi puissant existant au monde. Il est facile de voir les mauvais côtés des Internets (« Deep Web »), comme ceux exposés dans l’article publié sur Marianne ; cependant Internet n’est pas qu’un outil permettant la diffusion du « mal » et de ce qui est condamné par la (les) loi(s).
Tant s’en faut, il est évident qu’avec un outil aussi puissant, il est tout à fait normal que l’on puisse lui trouver des utilités qui ne sont pas celles qu’on lui attendait. Petit tour d’horizon du « 8th Wonderland », l’Internet du « bien » :
Internet, c’est également ce qui permet à des révolutions de se créer, à des pays oppressés d’avoir un moyen de communiquer, de se rencontrer, de se tenir informé. Qu’en aurait-il été des dernières révolutions qui ont fait trembler le monde ces derniers mois sans ce formidable outil qu’est Internet ? Sans les activistes qui les ont soutenues ?
Par ailleurs, sans Internet, nous n’aurions eu, à certains moments, aucun moyen de nous informer sur certaines situations dont seuls les NetCitoyens, aujourd’hui aussi protégés par RSF, sont les seuls témoins.
Loin des grandes causes, Internet est également en train de devenir le moyen le plus simple de soutenir des projets : Internet est clairement un des derniers moyens de financement libre et participatif (essor du crowdfunding basé sur de gros sites comme Kickstarter ou My Major Company ainsi que le site Ulule, en France).
Internet, et c’est son but le plus légitime, représente l’accès à la culture, au savoir, gratuitement et sous toutes ses formes (écrites, orales, vidéo), bien plus facilement qu’en se rendant en librairie acheter l’encyclopédie de la faune sous-marine.
Imaginons un monde sans Wikipédia, sans moteurs de recherche, sans ces milliards de milliards de blogs et de sites web tous plus documentés les uns que les autres, cela reviendrait à imaginer un monde complètement différent de celui dans lequel nous évoluons actuellement.
Réfléchissons à ce que pourrait être notre société sans Internet ou sans cet internet tel qu’il s’est développé, de la manière dont nous le connaissons actuellement :
Internet n’existe pas, je ne dispose donc d’aucun moyen aussi rapide pour diffuser un flux vidéo à l’autre bout du monde. Internet n’existe pas, les dictatures ne sont pas inquiétées, c’est même plus facile : ce moyen dérangeant de communication n’a jamais été inventé, et heureusement, ça aurait très certainement mené à la fin de leur règne.
Internet n’existe pas, combien me faut-il de jours pour être mis au courant de ce qu’il se passe dans le monde ? Internet n’existe pas, je suis donc obligé de passer par une forme d’actualité différente et moins rapide qu’Internet, certainement la presse écrite ou télévisuelle. Problème de taille : cette presse est facilement censurable, modifiable, transformable pour servir des desseins pas forcément des plus charitables.
Internet n’est qu’une interconnexion de machines et de serveurs, rien de plus. C’est l’utilisation que chacun en fait qui fait que nous sommes tous responsables face aux atteintes à la neutralité du Net : filtrage, surveillance, etc. que nous combattons.
En résumé (et bien que le « mal » et le « bien » soient des notions relatives), il est fou de ne dire et de ne montrer que le « mauvais » côté d’une technologie ; c’est aussi le plus puissant outil de communication existant, c’est aussi une technologie en constante expansion de plus en plus usitée et de plus utile, Internet c’est aussi le « bien ».
Pour le « Deep Web », c’est la même chose. On y trouve tout type d’individus, y compris des gens qui se réunissent pour parler de leurs passions, de leurs sociétés ou encore d’autres qui permettent à des révolutions de se créer, comme évoqué plus haut, ou qui essaient de communiquer au monde entier des images et des informations de leur pays et tout cela grâce à des outils tels que TOR. Ces humanistes ont aussi le droit d’avoir la possibilité de se protéger.
« Si l’intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. » – Phil Zimmermann, créateur de PGP (voir Annexe)
Retour sur les fonctions régaliennes : vous indiquez que « bitcoin » est une monnaie non régalienne, c’est en oubliant qu’Internet est un État en devenir : il possède sa monnaie, son territoire et son armée…
IV) Sur l’objectivité de votre papier
Prenons les sources citées dans votre article :
- Paul, 14 ans ;
- Nicolas Christin, chercheur à l’université Carnegie Mellon de Pittsburgh (NON RENCONTRÉ, citation d’un article) ;
- Paulo, un trafiquant d’armes ;
- Nous notons l’absence de sources claires (rapports, décisions de justice, etc.) quant aux chiffres que vous avancez.
Nous remarquons donc que mis à part le môme de 14 ans, vos sources sont soit inexistantes, soit d’un seul côté, celui de la police. Or, des hackerspaces ont pignon sur rue un peu partout en France et certains ont même le statut d’association, c’est le cas, par exemple, pour le /tmp/lab à Paris.
Alors pourquoi n’êtes vous pas venu à notre rencontre pour que l’on vous explique quelles utilisations nous faisons de tous ces outils ? En ce sens, votre article est biaisé puisque vous ne traitez qu’une seule partie du sujet, c’est à dire avec un regard partiel.
Cependant, la charte d’éthique professionnelle des journalistes, mise à jour en 2011, précise :
« Un journaliste digne de ce nom tient l’esprit critique, la véracité, l’exactitude, l’intégrité, l’équité, l’impartialité, pour les piliers de l’action journalistique ; tient l’accusation sans preuve, l’intention de nuire, l’altération des documents, la déformation des faits, le détournement d’images, le mensonge, la manipulation, la censure et l’autocensure, la non-vérification des faits, pour les plus graves dérives professionnelles » (http://www.snj.fr/spip.php?article1032)
En ce sens, donc, nous pensons que vous n’avez pas fait honnêtement votre travail en omettant une partie des sources qui vous auraient permis de mener à bien votre recherche d’informations et que vous n’avez pas respecté le devoir d’objectivité qui constitue pourtant une des bases du métier. Qu’il s’agisse de votre culture personnelle ou de recherche d’information, nous vous recevrons.
V) L’Anonymat
L’anonymat n’est pas étranger à une profession qui a pour devoir la protection de ses sources. Un journaliste se doit de vérifier leur crédibilité ainsi que la confiance qu’il leur témoigne, mais si lesdites sources souhaitent conserver l’anonymat, un journaliste doit respecter cette exigence à tout prix.
Rajoutons à cela qu’être anonyme est parfois une obligation : lorsqu’une personne souhaite parler de choses lourdes, l’anonymat est une nécessité. Il est par exemple plus aisé de parler d’un viol lorsque l’on sait que les gens ne vous jugeront pas, au hasard.
Nous pouvons également parler de l’anonymat dans le milieu du travail : comment dénoncer les actes inqualifiables, les entraves à la loi, lorsque l’on ne peut pas parler sous peine de poursuites ? L’anonymat est une chose fondamentale pour ces personnes qui font état de choses qui ne devraient pas exister.
Un dernier point sur l’anonymat : lors du début de la révolution tunisienne et de celles que nous connaissons aujourd’hui, il a été d’une aide très précieuse, tout comme TOR ou les Darknets qui servent encore à protéger la vie des activistes de différents pays comme la Chine, la Corée ou encore la Syrie.
Comme nous vous l’avons déjà expliqué, TOR, Darknet ou I2P sont neutres, ils peuvent faire le bien, nous en parlons même hors de la toile dans des lieux consacrés à la démystification des Internets et des nouvelles technologies : les hackerspaces.
VI) Bienvenue dans un hackerspace pour que l’on vous explique comment tout cela fonctionne
(En réaction au tag « hacker » de l’article)
Un hacker méchant pirate ? Non, ce sont simplement des individus capables qui veulent comprendre les choses pour eux-mêmes (quelqu’un qui aime comprendre le fonctionnement d’un mécanisme, afin de pouvoir le bidouiller pour le détourner de son fonctionnement originel, l’adapter pour son usage, partager et donc l’améliorer).
Si on applique le principe à l’informatique, un hacker sait où et comment bidouiller un programme ou matériel électronique pour effectuer des tâches autres que celles prévues.
« le hacker est celui qui apprécie le challenge intellectuel du dépassement créatif et du contournement des limitations. » – Eric S. Raymond
Un hackerspace est un lieu physique, sorte de laboratoire ouvert, où des gens avec un intérêt commun (souvent autour de l’informatique, de la technologie, des sciences, des arts…) peuvent se croiser, mettre en commun des idées, partager leurs projets et faire des choses grâce aux moyens techniques présents dans les locaux. On partage ressources, techniques et savoir-faire.
Leurs buts sont principalement :
- Promouvoir une utilisation originale, intelligente, éthique et innovante de la technologie ;
- – Promouvoir la liberté d’utiliser, de créer, de modifier les outils techniques ;
- – Mise à disposition et entretien d’un lieu de rencontre, de travail ;
- – Réalisation de projets en commun.
(tiré de https://fixme.ch/wiki/Press_kit)
Les hackerspaces peuvent aussi être des lieux de mise en commun d’outils (matériels ou logiciels) sous diverses formes (prêt, location).
Liste-non exhaustive des hackerspaces français : http://hackerspaces.org/wiki/France
PS : M. Amaury Mestre de Laroque, sachez également une chose : les méchants existent, partout. Nous avons déjà expliqué ce point, ne revenons pas dessus. Dès lors que l’on en a conscience, on fait attention à ce que l’on publie de sa vie privée. Ainsi, avant de critiquer Internet, assurez-vous bien, vous aussi, d’avoir une bonne approche de ce qu’est Internet.
Par exemple, publier une vidéo d’un enfant dans son bain n’est sans doute pas la meilleure des choses à faire (nous ne donnerons pas le lien, mais vous avez compris de quoi il était question).
Annexes :
– Deep Web : sites web accessibles en ligne publiquement, mais non-indexés par les moteurs de recherche traditionnels.
– Darknet : réseaux non accessibles directement (par exemple, avec Freenet).
– IRC : (Internet Chat Relay) Protocole de discussion, permettant également l’échange de fichiers. (https://fr.wikipedia.org/wiki/Internet_Relay_Chat)
– TOR : (The Onion Router). Système d’accès à Internet permettant l’anonymat au travers d’un réseau maillé. (https://www.torproject.org/, https://fr.wikipedia.org/wiki/Tor_(r%C3%A9seau))
– PGP : Pretty Good Privacy (en français : « Assez Bonne Intimité » ou « Assez Bonne Vie privée »), est un logiciel de chiffrement et de déchiffrement cryptographique, créé par l’américain Phil Zimmermann en 1991.
https://fr.wikipedia.org/wiki/Pretty_Good_Privacy
– En parlant Internet, savoir que des gens inventent des choses est bon à savoir (Meshnet, Datknet, réflexions): reddit.com/r/darknetplan/
Billet du soir, désespoir.
Je ne sais pas si sortir ce billet est une bonne idée, nous verrons bien.
Ce matin, j’ai lu que plus de 70% des français ne voyaient pas de problème à la vidéo-surveillance effectuée par des sociétés privées.
J’ai aussi lu, entendu, vu que la majorité des gens se moquaient de leur vie privée, de cette vidéo-surveillance, de leurs données personnelles, du fait qu’Internet soit de plus en plus repris et verrouillé par des géants de la vie physique. Ils ont mis du temps mais il faut admettre qu’ils ont des milliards de fois plus de puissance que 5 gus dans un garage. Ils ont du temps et de l’argent à donner en échange d’une décision qui va dans leur sens.
C’est ce qu’on appelle un petit service entre amis, également connu sous le nom de corruption ou pression, infiltrée dans les différentes strates des différents pouvoirs en place. Ici et ailleurs, en France, dans l’union européenne ou dans d’autres pays, on fait pression pour façonner Internet de la « bonne façon ».
Cette façon, qu’on se le dise, ce n’est pas celle que vous attendez. Ou alors vous vous en moquez complètement, ce qui n’est pas impossible. Reprenons si le voulez bien.
Celle qui vous attend, c’est un Internet verrouillé, fermé de partout. Un Internet où vous aurez le droit de parler si vous payez et si tout ce que vous dites n’entre pas en conflit avec une marque ou une société privée. C’est un espace qui ne ressemblera en rien à celui que vous connaissez, ça sera une vitrine commerciale pour se faire encore plus d’argent.
Cet Internet ça sera un espace où le DPI sera l’outil de référence, la Neutralité du net une connerie de ces anarchistes qui n’ont décidément rien compris au monde. Laissons place au flicage de chacun de vos paquets, de chaque échange de données numériques, place à l’écoute de toute la population par des sociétés privées, juste au cas où…
Ça ne sera pas une voie ouverte à tout ceci, mais un boulevard qui sera offert sans aucune résistance car… car tout le monde s’en tape. Ces sociétés seront capables de faire ce qu’elles veulent jusqu’à votre ordinateur et ceci sans votre consentement.
Vous avez le droit de ne pas croire à tout ceci, c’est trop gros pour être vrai, n’est-ce pas. C’est pourtant la triste réalité, que vous l’acceptiez ou non.
Ici, deux choses sont importantes à souligner. La première, c’est que je parle de vous, pas de moi ou des gens qui cherchent à comprendre, nous aurons trouvé un autre espace pour pouvoir nous exprimer sans avoir une armée d’espions collés sur nos connexions.
Nous savons créer des fournisseurs d’accès à Internet, nous savons parler en privé « privé », c’est-à-dire sans que des intermédiaires viennent mettre le nez dans un échange entre deux personnes. Nous aurons réussi à trouver des alternatives et, comme d’habitude, nous aurons toujours un temps d’avance face à des sociétés et des gouvernements qui ne comprennent pas un monde qui leur échappe totalement.
Est-ce prétentieux ? Si ça semble l’être, ce n’est absolument pas le cas. Non, c’est une réalité. Celles et ceux qui cherchent à comprendre comment ça fonctionne auront toujours une longueur d’avance et s’adapteront.
Donc, deux choses. La première c’est accepter ça. Après tout, pourquoi aider des personnes qui s’en moquent ? Pourquoi puisque nous n’allons pas avoir de problèmes, nous ?
Il est vrai que beaucoup (trop) de personnes se moquent de tout ceci. Ces derniers ne se sentent pas concernés car ils n’ont pas conscience de tout ce qui arrive, trop occupés par la vie quotidienne, déjà assez compliquée à gérer. Je peux comprendre, nous sommes tous ainsi avec nos problèmes et nous arrivons tous au même constat : les problèmes ne sont pas résolus même en essayant très très fort.
Une partie de ces personnes est désabusée, blasée, elle n’attend plus rien. L’autre partie se moque en bloc de tout ceci, préférant écouter ailleurs et parler de gens malades, de « truc de geek-qui-ne-parlent-qu’ à-des-ordinateurs ».
Donc, la liberté d’expression et la vie privée sont des trucs de geeks, je crois que j’ai dû rater quelque chose.
Ce soir, j’ai envie de tout claquer, de me dire « laisse tomber, les gens s’en tapent, les politiques tiennent un double discours et c’est l’argent qui dirige le monde et non la politique. Ça ne sert à rien du tout, arrête d’être naïf et crédule ».
Et puis là, je repense à une phrase que l’on m’a répondu, un jour : « à la fin, on gagne. Ça prendra du temps, beaucoup de temps, mais à la fin, on gagnera ».
Si des personnes passent des heures, des jours et parfois encore plus à décortiquer des lignes de codes, à analyser des textes de lois et à aller parler partout pour expliquer ce qu’il se passe, ce n’est pas pour eux : c’est pour l’intérêt collectif.
Je ne peux pas vous forcer à être d’accord avec moi, je ne peux pas non plus vous forcer à m’écouter. Je ne peux que vous présenter un petit état des lieux un peu alarmiste et très très édulcoré, histoire qu’il ne soit pas trop acide.
Seulement, si ces gens effectuent un travail colossal, cela ne représente pas la totalité du travail à effectuer. Ils font 50% du travail. Pour le reste, c’est à vous de faire l’effort et sans cela, vous vous condamnez vous-même à manger mon bilan alarmiste en plein dans les dents.
Les choses peuvent changer, la vraie question c’est : est-ce que vous avez vraiment envie que ces choses changent ?
Si oui, alors agissez. Sensibilisez votre entourage, renseignez-vous, diffusez de l’information. La plus petite action est déjà une action importante. Reprenez ce billet de blog, partagez-le, copiez-le, envoyez-le par mail… bref, vous pouvez faire quelque chose…
…encore faut-il le vouloir, et là, j’ai de plus en plus un énorme doute.