Intercepter des données sur de la fibre optique, c’est possible.

Le mois dernier, nous parlions ici même de certaines façons de fonctionnement de la fibre optique. Il était question de différentes technologies, de différents fonctionnements et j’avais promis un second billet sur un problème de sécurité qui existe sur la fibre optique.

L’attente est donc terminée, j’ai un peu de temps pour écrire. Promis, j’ai encore plein de choses à dire, mais les journées ne font que 24 heures et c’est bien dommage. Bref.

Tout d’abord, il faut préciser ce que je vais définir par interception. Interception ici définit le fait de récupérer des données, nous allons nous pencher sur l’interception « à l’arrache », non déclarée, illégale pour être plus clair.

L’interception légale ne sera donc pas abordée, des méthodes existent déjà, un cadre légal strict existe également. De plus, cette interception légale ne fait généralement pas de la façon présentée dans le billet.

Néanmoins, il faut savoir qu’il n’existait pas de système d’interception de données sur de la fibre avant.

Bref, passons aux explications. Tout commence en novembre 2012 lorsque Senetas, une entreprise australienne, annonce qu’elle a trouvé le moyen de lire et de copier des données transportées par de la fibre optique [PDF en anglais], le tout sans se faire repérer.

Je n’ai pas testé l’appareil mais il semble être assez petit, ressemble à une sorte de pince et, plus grave, et complètement indétectable par votre opérateur. En effet, Senetas annonce que la communication n’est pas interrompue et que la fibre n’est pas « coupée », partant de ce constat et des explications du précédent billet, vous comprenez pourquoi il n’est pas possible de détecter ce type d’interception.

Le risque ?

Il me semble assez évident : l’utilisation de cet outil dans des écoutes non déclarées, une mauvaise utilisation de cet outil ou encore un pirate en herbe qui essaye de jouer aux espions sont autant de risques possible liés à cet outil.

Faut-il devenir parano pour autant ?

La réponse dépend de votre définition de « vie privée » et sécurité. Ces deux choses sont parfois radicalement différentes selon les personnes cependant, il faut relativiser la découverte.

Premièrement, l’outil n’est pas utilisable partout, il doit se connecter à un point de branchement de fibre, que ce point soit sur le réseau ou dans l’entrée de votre bâtiment. Cela sous-entend qu’il faut d’abord avoir accès aux infrastructures qui accueillent la fibre. Ce n’est pas simple mais ce n’est pas non plus mission impossible.

Après, l’outil, il faut se le procurer. C’est une étape obligatoire et il faudra débourser une somme non négligeable qui va calmer pas mal de pirates en herbe. J’espère aussi que la société fait attention à ce qu’elle vend et encore plus à qui souhaite acheter.

Pour terminer, Senetas propose un outil de chiffrement pour éviter l’interception de ces données. D’autres solutions existent d’ailleurs, celles qui permettent de chiffrer vos communications, ou de passer vos données dans un tunnel qui, pour résumer, va chiffrer vos données.

Encore faut-il être curieux et savoir que des solutions de chiffrement existent afin d’éviter, qu’un jour, un éventuel pirate récupère vos données en venant se brancher sur votre fibre…

Skype remplace Messenger. Il est temps de désinstaller Skype.

Ou de ne pas l’installer tout court. C’est officiel, Skype sera bientôt proposé forcé en lieu et place de l’ex logiciel de communication MSN Messenger, renommé Windows Live Messenger depuis quelques temps déjà.

Je ne vais pas m’éterniser sur les raisons qui font que je vous recommande de ne pas utiliser Skype tant elles sont nombreuses. Entre la géolocalisation d’une adresse IP, le fait qu’il soit propriétaire et que son code source soit fermé et qu’il existe donc de fausses versions de Skype sans communauté pour vérifier le code, que l’outil soit assez dangereux pour mettre en danger la vie d’opposants (le site est de confiance, promis) à un régime comme celui en Syrie , le fait que Skype soit un nid à failles de sécurité … bref, je vous invite à lire car le billet ne va pas parler de cette « chose » qu’est Skype, mais des alternatives qui libres qui existent.

De façon générale, il est possible d’utiliser un logiciel fonctionnant avec XMPP, comme Google Talk par exemple.

La configuration d’un compte est à votre guise, j’évite Google personnellement car côté privée, j’ai quelques doutes. Je ne vais pas parler de ce qu’on peut configurer dessus, simplement expliquer que beaucoup de systèmes de communications gèrent le XMPP (Google, Facebook et même Skype en partie), passons à la partie logiciels :

Je n’en présente qu’une infime partie :

Pidgin : c’est un client de messagerie instantanée multi-protocoles, vous pourrez y paramétrer, entre autres AIM (AOL Instant Messenger, Facebook pour sa messagerie, Google Talk, IRC, un service de communication basé sur XMPP comme Jabber et bien d’autres. Le site officiel donne la liste complète.

Ce logiciel est libre, s’installe sans soucis sous Windows ou GNU/Linux, gère la vidéo et la VOIP (la voix à travers l’IP) et, avec des plugins supplémentaires comme OTR par exemple, il permet le chiffrement de vos communications.

Jitsi est un client qui fonctionne un peu de la même façon que Skype, en SIP. Il gère différents services de messagerie instantanée ainsi que de la téléphonie par IP et est multi-plateforme également.

Mumble est un logiciel libre de voix sur IP, il peut remplacer vos conversations sur des salons et ne permet pas, à la différence de Skype, de passer un appel direct à une personne ou un numéro. Le logiciel est également multi-plateformes.

Linphone, pour finir, est un logiciel similaire à Skype, libre et open source et multi-plateforme, je précise qu’il existe également sous Android et iOS. Il gère la voix, la vidéo et est gratuit. Il suffira juste de créer un compte SIP ou d’en paramétrer un déjà existant. Si vous n’en avez pas, il est possible d’en créer un depuis le site officiel.

La liste est tellement longue et les envies et usages de chacun tellement variés que je vous invite à faire vos recherches et vos choix pour trouver le logiciel XMPP qui vous plaira .

Vous pouvez également vous rendre sur le merveilleux site de Framasoft. Vous trouverez alors des rubriques détaillées sur chaque usages et par la suite, une série de logiciels libres.

Il est temps de tester l’alternative. L’avantage ici est que ces logiciels sont libres et que le code de ces logiciels est ouvert. Une communauté existe et elle observe le code des applications, ce qui garantit une bonne sécurité, des mises à jour en cas de problèmes et surtout, une absence de mauvaises surprises pour votre vie privée.

On teh Internets, nobody knows you’re a dog.

Ce billet fait suite à un début de coup de gueule sur Twitter.

Pour replacer les choses dans leur contexte, tout est parti d’un énorme coup de gueule d’un ensemble de personnes contre le magazine Joystick, spécialisé dans les jeux vidéo. Il était question de Lara Croft, personnage de la mythique saga Tomb Raider, elle incarne une aventurière archéologue qui lutte contre les méchants, dans différents pays du monde, dans la jungle comme au sein d’un tombeau viking au Groenland.

Joystick présente Lara Croft comme un morceau de viande, utilise un ensemble de mots qui se rapprochent de près ou de loin au viol et à la violence sexuelle, non consentie.

S’en suit un autre départ sur le fait de rire ou non à des blagues sur les femmes, ce qui me semble réducteur car on stigmatise une partie de la population, même si on peut rire de tout, on ne peut pas le faire n’importe comment.
Le rapport avec le titre dans tout ça ? Le débat que ça a déclenché. Un mélange de paroles toutes aussi stupides que les propos tenus par Joystick et… je dois avouer que ça m’a gonflé, donc j’en parle.

Le débat tournait autour d’un « voilà pourquoi il faut des féministes, les mecs réfléchissent avec leur queue, il faut leur faire comprendre qu’ils sont débiles. », de mémoire, il y avait aussi un « les mecs devraient défendre les filles plutôt que de baver devant le cul de Croft ».

En lisant ces propos (et d’autres), la seule chose qui m’est venue à l’idée, c’est que ces féministes-là sont aussi stupides que les certains hommes machos qui bossent chez Joystick.

Nous sommes dans la vie numérique, elle est réelle mais elle est ce que l’on veut : sur Internet, personne ne sait que vous êtes un chien.

Je m’explique : dans la vie physique, nous sommes liés à un ensemble de paramètres que l’on ne maîtrise pas : voix, âge, sexe et bien d’autres points sont autant de facteurs qui déterminent, pour beaucoup, la façon de parler à quelqu’un.

Ainsi, une femme pourra peut-être plus facilement parler à un homme qu’elle trouve mignon et un homme à une femme, juste parce qu’elle a des boobs. Fort heureusement, nous ne sommes pas tout d’accord pour rentrer dans ce modèle qui ressemble plus à de l’attirance sexuelle qu’autre chose.

La vie numérique est différente, le cyberspace permet de se passer de ces contraintes : vous êtes un(e) internaute. Vous n’êtes ni un homme, ni une femme, ni même un chien, vous êtes ce que vous décidez d’être.

On va sans doute me traiter de misogyne avec ce qui suit. Faites-vous plaisir, vous rentrez pile dans le moule de la société, félicitations. Je suis antiféministe, pas misogyne. Je suis également anti-« la même chose pour les mecs ». Seul l’Humain compte. Ou l’octet, au choix.

Si vous vous faites draguer, ennuyer, que vous tombez sur un(e) lourd(e) qui vient vous parler en query, en DM et j’en passe, la seule personne fautive, c’est vous.

Un homme ou une femme n’existe que parce que vous décidez que cela doit exister, que parce que vous décidez, consciemment ou non, de vous identifier à l’un ou l’autre. Selon vos propos et la conjugaison, il devient facile de savoir si vous êtes un homme ou une femme : « je suis fatigué », « je suis sportive » … ces mots permettent aux autres de savoir si vous êtes un homme ou une femme.

Il y a également les gens qui se plaignent du sexe opposé mais qui annoncent le leur (ex : je suis une femme qui code. Réponse : non, les codeurs codent, les filles ne codent pas, les garçons non plus d’ailleurs.). Si quelqu’un vient vous gonfler suite à cette annonce, c’est presque normal. Presque parce que on devrait être libre de dire ce que l’on veut, que l’on est un homme ou une femme sans que personne ne vienne vous faire chier directement après, mais bon, le monde parfait n’est pas encore pour demain, la société fonctionne quasi uniquement aux apparences.

Vous êtes un ensemble d’informations, un ou plusieurs pseudonymes, un éventuel avatar, une éventuelle adresse. Dès lors que vous annoncez que vous êtes une femme ou un homme, vous n’êtes plus neutre, vous apportez un bout de vie physique et de codes dans la vie numérique et fatalement, les mêmes schémas se reproduisent alors.

Il existe des sites dédiés ou le but est que des internautes annoncent de point afin de se rencontrer dans la vie physique, uniquement dans ce but : meetic. Internet n’est pas meetic (et c’est tant mieux).
Je serais presque tenté(e) de faire un lien avec les blancs et les noirs, comme on en parlait il y a une éternité. C’est exactement la même chose.

Lorsque j’étais plus jeune, je regardais un dessin animé qui parlait d’une souris super intelligente. Elle était capable de tout un tas de choses et elle travaillait souvent mieux que les Hommes. Seule obligation, elle travaillait toujours lorsque les autres n’étaient pas là. Tout le monde était content de la qualité de son travail dans le dessin animé.

Est-ce que ça aurait été pareil en sachant dès le départ que c’était une petite souris ? Non, je ne pense pas. C’est (malheureusement) pareil pour une majorité de la population, dès qu’on sait que vous êtes un homme ou une femme, la société part du principe qu’il ne faudra pas parler des mêmes sujets, de la même manière. Selon cette société, certaines choses ne se font pas de la même manière selon que l’on soit un homme ou une femme.

Bullshit. Internet vous donne la possibilité de vous affranchir de ces contraintes.

Ce n’est pas Internet qui fait que vous êtes un homme ou une femme, Internet ne décide pas, Internet est con. C’est vous qui transposez la façon dont vous fonctionnez sur Internet. Laissez la vie physique là où elle est, et celle numérique en paix.

Focalisez sur les idées, sans toujours chercher à savoir si vous vous adressez à un homme ou à une femme. Rien que pour ça, Internet est un outil démocratique, il permet l’égal à égal entre une femme, un homme, un chien et même un poulpe.

Je ne dis pas ça pour affirmer mon côté homme, hein. D’ailleurs, ce texte ne prouve en rien que j’en suis un, ni que je suis une femme d’ailleurs.

Facebook vous espionne, mais c’est pour votre bien.

Un des buzz du jour tournait autour des conversations privées de Facebook. L’information, découverte sur Le Monde, nous explique que c’est dans un but préventif, afin de traquer les criminels potentiels.

Dans ses déclarations, Facebook explique pouvoir « être amené à partager des informations quand nous estimons qu’elles sont nécessaires pour empêcher la fraude ou toute autre activité illicite, pour prévenir tout préjudice corporel imminent ou protéger nos intérêts et vos intérêts contre les personnes qui ne respectent pas notre Déclaration des droits et des responsabilités ».

Comment ça fonctionne ?

C’est une procédure automatisée, un serveur enregistre les communications privées et, en fonction de certains critères (contenus des échanges, différence d’age déclarée sur Facebook …), la conversation est lue et peut ensuite être transmise aux forces de l’ordre.

Cette procédure a servi à arrêter, par exemple, un homme d’une trentaine d’années. Ce dernier avait donné un rendez-vous à une fille de 13 ans. L’outil a détecté la conversation et Facebook l’a signalé à la police.

C’est bien mignon tout ça mais :

Au risque de choquer, je ne suis pas très fan de ce que fait Facebook. Ce site n’est déjà pas réputé pour respecter votre vie privée ni pour garder des données confidentielles  et il est possible, avec Facebook, de rapidement retracer votre vie et ce, même si vous ne dites rien. Vos amis peuvent s’en charger pour vous avec des tags, mentions …

Si l’intention est louable… Ah oui, précision : comme d’habitude lorsqu’il s’agit d’espionner des gens, il faut toujours une intention difficilement contestable. Donc, si l’intention est louable, il n’en reste pas moins que Facebook à la capacité d’intercepter et d’espionner ce que vous êtes en train de dire à une personne, en privé.

D’ailleurs, il serait appréciable que Facebook publie des données sur ce service d’espionnage : est-il vraiment efficace ? Combien de personne arrêtées avec ce logiciel ?

Il est possible d’aller un peu plus loin dans la réflexion lorsque l’on aborde les faux positifs : est-ce que c’est déjà arrivé avec ce logiciel ?

Facebook peut affirmer qu’il n’espionne pas chaque utilisateur, ce sont des paroles. Face à la confirmation qu’ils sont capables d’espionner des conversations privées, les paroles n’ont aucune valeur.

Bonjour Brigitte, la forme ?

On ne le dira jamais assez, la protection de vos données personnelles est importante si vous voulez être tranquille, sans personne pour vous espionner.

Cette protection de votre vie privée ne se limite pas aux seuls éléments qui font votre vie privée : elle s’étend à toute donnée considérée comme personnelle et, à ce titre, le couple d’identifiant « nom prénom » en fait partie.

Mon billet parle donc de Brigitte. Je resterai volontairement flou dans ce billet car les données traitées sont privées, mais je pense qu’il sera assez clair pour voir le danger que je souhaite présenter.

Bref. Nous étions à une terrasse après PSES (Pas Sage en Seine), un ami me demande de démarrer le bluetooth pour m’envoyer une donnée et me voilà donc, à cet instant, avec un petit scanner bluetooth dans les mains. Tout se passe normalement jusqu’à ce qu’un petit détail attire mon attention : un Macbook air dans les environs.

Comment l’ais-je vu ? Via le bluetooth. Le nom de ce périphérique était « Macbook Air de Brigitte R. » (donnée volontairement masquée pour le billet, le nom était entier).

Ici, deux cas de figure : soit vous êtes en train d’halluciner, auquel cas la suite ne vous étonnera pas, soit vous vous dites « oui, et ? Ce n’est qu’un nom. » et je vous invite à lire attentivement la suite.

Avec un téléphone et google et en environ 5 minutes, voici les données récupérées sur Brigitte :

  1. Nom / Prénom (via bluetooth)
  2. Age
  3. Numéro de téléphone fixe / portable
  4. Adresses mail privées et professionnelles
  5. Adresse postale
  6. Profession
  7. Passions
  8. Sites ou Brigitte est inscrite, ce qu’elle y fait, certaines choses qu’elle dit, d’ou elle vient, son lieu de naissance, ses études, son dernier emploi, son domaine d’expertise
  9. 12 photos venant confirmer qu’il s’agit bien de la bonne Brigitte, que les données citées ci-dessus concernent bien la dame assise à quelques mètres de nous et pas une autre.

Je vous passe quelques détails que j’ai obtenu avec une recherche plus approfondie, une fois revenu sur un ordinateur et j’insiste : tout est parti d’un nom + prénom.

Imaginons maintenant les possibilités offertes par ces informations et tant qu’a faire, allons au fond des choses :

Cas N°1 : vu son adresse, elle est loin de chez elle. Je peux donc aller la cambrioler et vu qu’elle n’a pas de mari ni d’enfants, la maison sera vide.

Cas N°2 : Je peux me faire passer pour quelqu’un proche d’un de ses amis, elle en a plus de 150, ça ne devrait pas être difficile. Ensuite, je suis presque libre de faire ce que je veux, obtenir d’autre noms, des numéros de téléphone …

Cas N°3 : Je peux me faire passer pour un de ses élèves, Brigitte étant prof d’informatique dans une université parisienne. De là, je peux obtenir énormément d’informations privées : noms de certains de ses élèves, contenu de ses cours, ambiance ou rumeurs sur telle ou telle personne.

Cas N°4 : Je peux lui faire peur également, arriver devant elle, lui dévoiler toute sa vie et lui demander de l’argent. Je peux tout aussi bien lui mentir et lui faire croire que je suis une personne des forces de l’ordre afin d’obtenir sa confiance.

Ca semble fou et un peu tiré par les cheveux mais pourtant, c’est possible. Ce n’est d’ailleurs qu’une toute partie des choses possibles, toujours avec un simple nom et prénom.

Nous aurions pu faire tout ceci, lui mentir, lui faire peur et encore plein d’autres choses. Nous ne l’avons pas fait. Un de mes amis s’est levé et est allé la voir.

– « Bonjour Madame R. »
– « Euh, bonjour, on se connaît ? »
– « Non. Mais si vous tenez à protéger votre vie privée, désactivez votre connexion bluetooth, votre nom apparaît dessus. »
– « Ah, euh, merci. »

L’ami en question nous à confirmé que ça lui avait fait tout bizarre qu’une personne vienne la voir, lui donne son nom sans la connaître, et lui dise de faire attention. Imaginez l’espace d’un instant si nous étions allé la voir dans un autre but ?

Fin de l’histoire, Brigitte a désactivé son bluetooth et est redevenu une personne prenant un verre, dans un bar.

Réfléchissez et ne laissez pas traîner vos données personnelles partout. Cette fois-ci Brigitte nous a rencontré, mais ça aurait pu être une autre rencontre, d’un genre radicalement différent.

En Angleterre, Big Brother se fait inviter par la reine.

Il y a quelques temps de cela, une proposition de loi arrivait en Angleterre. Cette dernière proposait d’obliger les F.A.I à fournir, en temps-réel, un accès à l’ensemble des communications électroniques du pays. Ce projet concerne donc l’ensemble de la population, que l’on ait fait quelque chose de mal, ou non.

Ce projet de loi est aujourd’hui acté. En fait, il l’est depuis hier. La reine a confirmé la mesure du ministère de l’intérieur lors d’un discours consultable sur http://www.cabinetoffice.gov.uk/queens-speech-2012 (EN)

« My Government intends to bring forward measures to maintain the ability of the law enforcement and intelligence agencies to access vital communications data under strict safeguards to protect the public, subject to scrutiny of draft clauses.»

En résume, la reine souhaite renforcer la capacité de ses agences de renseignement à accéder à des données importantes, voir essentielles. Elle garantit des conditions d’accès strictes afin de ne pas permettre d’abus mais, comme à chaque fois, il y a fort à parier que ce « Big Brother » sera utilisé à d’autres fins.

Depuis les émeutes de 2011, le ministère de l’intérieur n’a cessé de renforcer certaines lois afin que ces évènements ne puissent plus se reproduire. Lors des émeutes, le gouvernement avait également sollicité RIM afin de déchiffrer les communications de Blackberry Mobile (BBM) pour retrouver les émeutiers.

Je trouve cette déclaration grave pour la protection de la vie privée des anglais (il faut d’ailleurs se pencher sur le terme de pays utilisé parfois par le gouvernement, il peut être question de citoyens anglais, ou alors de citoyens sur le sol anglais, ce qui change beaucoup de choses).

Les forces de l’ordre et les services de renseignement auront bientôt accès à l’ensemble des données privées circulant sur les réseaux, en Angleterre. Mails, SMS, MMS, conversations instantanées (s’il est possible d’écouter une ligne, en temps-réel, il devient possible de tout écouter, de tout voir, même des éléments qui relèvent de la sphère privée, ou intime).

Londres est déjà infestée de caméras à chaque angle de rue, la reine ajoute maintenant la possibilité d’écouter tout pays. Quelle sera la prochaine étape dans la violation de la vie privée des citoyens ?

Il ne reste plus qu’à chiffrer systématiquement ses communications par mail, ses sms et tout le reste.