Mozilla a lancé hier la pétition Stop Watching Us suite à la retentissante affaire de la collecte de données privées d’internautes par le renseignement américain.

Nous en avons traduit la lettre adressée au Congrès qui apparaît en accueil de l’initiative.

Il va sans dire que cela nous concerne tous et pas seulement les Américains (à fortiori si vous avez déjà laissé des traces chez Google, Facebook, Twitter, Apple, Amazon, etc.)

Arrêtez de nous regarder

Stop Watching Us

Mozilla – 11 juin 2013
(Traduction : Mowee, Cyb, MFolschette + anonymes)

Les révélations sur l’appareil de surveillance de la National Security Agency, si avérées, représentent un abus stupéfiant de nos droits fondamentaux. Nous réclamons que le Congrès américain révèle l’étendue des programmes d’espionnage de la NSA.

Chers membres du Congrès,

Nous vous écrivons pour exprimer notre préoccupation à propos des rapports récemment publiés dans le Guardian et le Washington Post, et reconnus par l’administration Obama, qui révèlent l’espionnage secret par la NSA d’enregistrements téléphoniques et de l’activité sur Internet du peuple des États-Unis.

Le Washington Post et le Guardian ont récemment publié des rapports basés sur les informations fournies par un agent du renseignement, montrant comment la NSA et le FBI peuvent aisément accéder aux données collectées par neuf des principales sociétés américaines de l’Internet et partager ces données avec les gouvernements étrangers. Le rapport mentionne l’extraction par le gouvernement américain de données audio, vidéo, de photos, de courriels, de documents et d’historiques de connexion permettant aux analystes de suivre les mouvements et contacts des personnes au cours du temps. Il en résulte que les contenus des communications des personnes aussi bien résidant aux États-Unis qu’étrangères peuvent être parcourus sans aucune suspicion de crime ou d’association avec une organisation terroriste.

Ces rapports, également publiés par le Guardian et avérés par l’administration, révèlent que la NSA tire abusivement profit d’une section controversée du Patriot Act pour collecter les enregistrements d’appels de millions d’utilisateurs de Verizon. Les données collectées par la NSA incluent chaque appel, l’heure à laquelle il a été effectué, sa durée, et d’autres « informations d’identification » pour ces millions d’utilisateurs de Verizon, et ce pour l’ensemble des appels internes aux États-Unis, que les utilisateurs soient ou non suspectés de crime. Le Wall Street Journal rapporte que certains des principaux fournisseurs d’accès à Internet comme AT&T ou Sprint, sont sujets à de tels agissements secrets.

Ce type de collecte généralisée de données par le gouvernement est en contradiction avec le fondement des valeurs américaines de liberté et de vie privée. Cette surveillance massive viole le Premier et le Quatrième Amendement de la Constitution des États-Unis, laquelle protège le droit de parole des citoyens et leur anonymat et prémunit contre les perquisitions et saisies afin de protéger leur droit à la vie privée.

Nous appelons le Congrès à prendre des mesures immédiates pour mettre fin à cette surveillance et fournir publiquement toutes les données collectées par le programme de la NSA et du FBI. Nous appelons donc le Congrès à immédiatement et publiquement :

1. Réformer la section 215 du Patriot Act, le privilège du secret d’état ainsi que les amendements de la loi FISA. L’objectif est de bien faire comprendre que la surveillance de l’activité sur Internet ainsi que l’enregistrement de toutes les conversations téléphoniques de toute personne résidant au sein des États-Unis sont interdits par la loi et constituent des violations pouvant être jugées par des autorités compétentes tel qu’un tribunal public.
2. Mettre en place une commission spéciale qui, après investigation, publiera de façon publique l’étendue de cet espionnage domestique. Cette commission devrait de plus recommander des réformes juridiques et règlementaires spécifiques afin de mettre un terme à cette surveillance inconstitutionnelle.
3. Demander des comptes aux principaux fonctionnaires responsables de cette surveillance.

Je vous remercie de l’attention que vous porterez à ce sujet.

Cordialement,

Crédit photo : Digital Cat (Creative Commons By)

À l’heure où les USA sont empêtrés dans une sombre histoire d’espionnage généralisé à grande échelle, il nous a paru intéressant de déterrer et traduire un article de Richard Stallman rédigé en 2001 juste après le 11 septembre.

Force est de reconnaître qu’une fois de plus il avait pressenti les conséquences néfastes que nous subissons aujourd’hui.

Des milliers de morts, des millions privés de libertés civiles ?

Thousands dead, millions deprived of civil liberties?

Richard Stallman – 2001 – Site personnel
(Traduction : Lamessen, Slystone, Sky, Amine Brikci-N, Asta)

Dans de nombreux cas, les dommages les plus sévères que cause une lésion nerveuse sont secondaires ; ils se produisent dans les heures qui suivent le traumatisme initial, car la réaction du corps à ces dommages tue davantage de cellules nerveuses. Les chercheurs commencent à découvrir des façons de prévenir ces lésions secondaires et réduire les dommages ultimes.

Si nous ne faisons pas attention, les attaques meurtrières sur New York et Washington vont conduire à des effets secondaires bien pire encore, si le congrès étasunien adopte des « mesures préventives » qui écartent la liberté que l’Amérique représente.

Je ne parle pas de fouilles dans les aéroports ici. Les fouilles de personnes ou de bagages, tant qu’ils ne cherchent pas autre chose que des armes et ne gardent pas de traces de ces fouilles, est juste un désagrément : elles ne mettent pas en danger vos libertés civiles. C’est la surveillance massive de tous les aspects de nos vies qui m’inquiète : de nos appels téléphoniques, nos courriels et nos déplacements physiques.

Ces mesures sont susceptibles d’être recommandées indépendamment du fait qu’elles seraient efficaces pour leur objectif déclaré. Un dirigeant d’une entreprise développant un logiciel de reconnaissance faciale est dit avoir annoncé à des journalistes que le déploiement massif de caméras embarquant un système de reconnaissance faciale aurait empêché les attaques. Le New York Times du 15 septembre cite un congressiste prônant cette « solution ». Étant donné que la reconnaissance humaine du visage effectuée par les agents d’accueil n’a pas permis de stopper les pirates, il n’y a pas de raison de penser que les caméras à reconnaissance faciale informatisée aurait été d’une quelconque aide. Mais cela n’arrête pas les agences qui ont toujours voulu mettre en place plus de surveillance de pousser ce plan aujourd’hui, ainsi que beaucoup d’autres plans similaires. Il faudra l’opposition du public pour les stopper.

Encore plus inquiétant, une proposition visant à exiger des portes dérobées gouvernementales dans les logiciels de chiffrement a déjà fait son apparition.

Pendant ce temps, le Congrès s’est empressé de voter une résolution donnant à Bush les pleins pouvoirs d’utilisation de la force militaire en représailles des attaques. Les représailles peuvent être justifiées, si les auteurs des attaques peuvent être identifiés et ciblés avec soin, mais le Congrès a le devoir d’examiner les mesures spécifiques lorsqu’elles sont proposées. Donner carte blanche au président dans un moment de colère est exactement l’erreur qui a conduit les États-Unis dans la guerre du Vietnam.

S’il vous plait, laissez vos représentants élus et votre président non élu savoir que vous ne voulez pas que vos libertés civiles deviennent les prochaines victimes du terrorisme. N’attendez pas, Les lois sont déjà en cours d’écriture.

Crédit photo : Sigg3net (Creative Commons By)

Signalons au passage que le tome 5 de GKND How I met your sysadmin est en cours de publication 😉

Sources :

• PRISM : la NSA a accès aux données de tous les géants du web (Numerama)
• Geektionnerd : CISPA (Framablogt)

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Un peu d’économie sur le Framablog aujourd’hui, avec le pirate Rick Falkvinge qui voit dans la monnaie Bitcoin une alternative à la fictive toute-puissance du dollar.

Comment le Bitcoin peut faire tomber les États-Unis d’Amérique

How Bitcoin can bring down the United States of America

Rick Falkvinge – 4 juin 2013 – Site personnel
(Traduction : Slystone, nhrx, letchesco, Asta, Gatitac, rou + anonymes)

Le Bitcoin représente une menace importante pour la domination monétaire des États-Unis, la seule chose qui conforte encore leur statut de superpuissance mondiale. Suite aux défauts de paiement des États-Unis sur leurs emprunts internationaux le 15 août 1971, la balance commerciale américaine avait été maintenue grâce aux menaces militaires et en incitant les gens à acheter des dollars pour financer la consommation permanente des États-Unis. Alors que d’autres devises n’ont pas réussi à dépasser le dollar américain, et donc ce mécanisme qui maintient la dominance économique de la nation, le Bitcoin pourrait bien y parvenir.

Pour comprendre ce scénario, il faut saisir à quel point les États-Unis sont en faillite. Pour certaines raisons, la plupart des feux de l’actualité sont actuellement braqués sur l’échec de l’Euro ; ceci probablement à cause du fait que le dollar américain a échoué depuis longtemps, et qu’il est maintenu sous perfusion en faisant éclater non sans mal une bulle spéculative par jour. Une version ELI5 est disponible ici (NdT : ELI5 : « explain it like I’m five », expliquez-le-moi comme si j’avais 5 ans), mais en un mot, les États-Unis sont en défaut de remboursement de leurs emprunts internationaux suite à la guerre du Viêtnam, et depuis ont dû emprunter de plus en plus pour financer leur consommation extravagante. Depuis bien longtemps ils empruntent toujours plus, pour simplement rembourser les intérets des emprunts antérieurs. L’an dernier, le déficit du budget des États-Unis a atteint le niveau astronomique de 50 % — pour chaque dollar de recette, deux ont été dépensés. Étrangement, peu de monde en parle — j’imagine que si c’était le cas, la capacité des États-Unis à rembourser leurs emprunts serait remise en question, ce qui provoquerait l’écroulement du château de cartes comme si une tonne de briques était déversée dessus, alors personne n’a intêret à faire des vagues. Après tout, tout le monde est assis sur des réserves de dollars qui deviendraient sans valeur du jour au lendemain si ceci devait arriver.

Les États-Unis ont relancé leurs planches à billets le 15 août 1971 et ne les ont pas arrêtées depuis. Rien que pour l’année 2011, 16 mille milliards (un 16 suivi de douze zéros) de dollars ont été imprimés pour maintenir l’économie américaine. Pour se faire une idée, c’est un peu plus que le produit intérieur brut des États-Unis. Pour chaque dollar produit à partir de la valeur (ajoutée), un dollar supplémentaire a été imprimé à partir de rien, dans l’espoir que quelqu’un voudrait bien l’acheter. Et les gens l’achètent ! C’est un fait, il y a ici un mécanisme clé qui force les gens à continuer à acheter des dollars américains.

Les États-Unis sont maintenus en vie en tant que nation par le fait que si quelqu’un souhaite acheter des produits à une autre nation comme la Chine, il doit d’abord acheter des dollars américains puis les échanger contre la marchandise qu’il désire en Chine. Cela conduit tous les pays à acheter des tas de dollars américains pour remplir leurs réserves monétaires.

Le fait que les gens soient obligés de continuer d’acheter des dollars américains pour obtenir ce qu’ils veulent de n’importe qui d’autre dans le monde est le mécanisme qui maintient l’ensemble de l’économie américaine et, plus important encore, alimente son armée qui applique à son tour ce mécanisme (voir en Irak, Libye, Iran, etc.). C’est un cycle de domination économique imposé par la force.

(À noter que l’on peut se demander dans quelle mesure la classe moyenne américaine profite encore de ce système. Il y a dix ans, cette boucle auto-alimentée faisait que le niveau de vie moyen aux États-Unis était sensiblement supérieur à celui du reste du monde occidental. De nos jours, les États-Unis arrivent souvent derniers des indicateurs de niveau de vie.)

Puisque les articles sur « la fin du monde » sont d’habitude rejetés comme relevant d’illuminés conspirationnistes, je voulais commencer cet article en présentant des faits économiques reconnus. Les États-Unis sont en faillite et la seule béquille pour les maintenir debout est leur armée, ainsi que le fait que tout le monde a de lourds investissements dans le pays, si bien que personne ne veut les voir faire faillite. Donc les emprunts et les dépenses excessives continuent une journée de plus… jusqu’à ce que cela ne soit plus possible.

Que se passerait-il si les États-Unis étaient un jour incapables de poursuivre leurs dépenses démesurées ? On assisterait à un crash gigantesque de l’économie mondiale, mais plus important, les États-Unis s’effondreraient à la mode soviétique, mais plus gravement encore, en raison de différences structurelles. (Pour comprendre ces différences, réfléchissez au fait que les transports publics ont continué de fonctionner pendant l’effondrement soviétique et que la plupart des familles étaient déjà bien préparées pour faire face à la pénurie de nourriture. Aux États-Unis vous verriez à la place des gens isolés dans des banlieues sans carburant, sans nourriture ni médicaments, avec seulement plein d’armes et de munitions. Consultez l’étude d’Orlov sur l’écart entre les effondrements et le retard d’effondrement pour plus d’informations sur cette différence structurelle).

Arrivent les Bitcoins, qui peuvent briser le cercle vicieux des emprunts et des dépenses excessives.

Comme nous l’avons vu, la raison pour laquelle les gens sont obligés d’acheter du dollar américain, c’est qu’il est la base du système d’échange de valeur. Si vous voulez un gadget fabriqué en Chine ou en Inde, vous devez d’abord acheter des dollars américains, pour ensuite échanger ces dollars contre le gadget. Mais nous l’avons observé, le Bitcoin dépasse de loin le dollar sous tous ses aspects en tant que gage de valeur pour le commerce international. Utiliser des Bitcoins c’est moins cher, plus facile et bien plus rapide que les actuels transferts de valeur internationaux.

Pratiquement toutes les personnes impliquées dans le commerce international à qui j’ai parlé passeraient à un système semblable à Bitcoin si elles en avaient la possibilité, évacuant des années de frustrations héritées du système bancaire actuel (qui utilise le dollar américain). Si cela arrivait, les États-Unis ne seraient plus en mesure de trouver des acheteurs pour leurs dollars fraîchement imprimés qui maintiennent leur économie (et financent leur armée).

Si ce cycle de monopole et dépendance commerciale du dollar prend fin, les États-Unis d’Amérique s’écrouleront. Lourdement. Cela semble inévitable désormais, et le Bitcoin est peut-être le système qui rompra ce cycle.

Crédit photo : Zcopley (Creative Commons By-Sa)

Une nouvelle traduction de Cory Doctorow

L’industrie américaine du divertissement au Congrès : autorisez-nous légalement à déployer des rootkits, des mouchards, des logiciels rançonneurs et des chevaux de Troie pour attaquer les pirates !

US entertainment industry to Congress: make it legal for us to deploy rootkits, spyware, ransomware and trojans to attack pirates!

Cory Doctorow – 26 mai 2013 – BoingBoing.net
(Traduction : Mowee, ehsavoie, audionuma, Asta)

La « Commission sur le Vol de la Propriété Intellectuelle Américaine », qui porte bien comiquement son nom, a finalement rendu son rapport de 84 pages complètement folles. Mais dans toute cette folie, il y a une part qui l’est encore plus que le reste : une proposition pour légaliser l’usage des logiciels malveillants afin de punir les personnes soupçonnées de copies illégales. Le rapport propose en effet que ce logiciel soit chargé sur les ordinateurs et qu’il détermine si vous êtes un pirate ou non. S’il soupçonne que c’est le cas, il verrouillera votre ordinateur et prendra toutes vos données en otage jusqu’à ce que vous appeliez la police pour confesser vos crimes. C’est ce mécanisme qu’utilisent les escrocs lorsqu’ils déploient des logiciels rançonneurs (NdT : ransomware).

Voilà une preuve supplémentaire que les stratégies en terme de réseau des défenseurs du copyright sont les mêmes que celles utilisées par les dictateurs et les criminels. En 2011, la MPAA (Motion Picture Association of America) a dit au Congrès qu’ils souhaitaient l’adoption de la loi SOPA (Stop Online Piracy Act). Selon eux, cela ne pouvait que fonctionner vu que la même tactique est utilisée par les gouvernements en « Chine, Iran, Émirats Arabes Unis, Arménie, Éthiopie, Arabie Saoudite, Yémen, Bahreïn, Birmanie, Syrie, Turkménistan, Ouzbékistan et Vietnam. » Ils exigent désormais du Congrès que soit légalisé un outil d’extorsion inventé par le crime organisé.

De plus, un logiciel peut être écrit de manière à ce que seuls des utilisateurs autorisés puissent ouvrir des fichiers contenant des informations intéressantes. Si une personne non autorisée accède à l’information, un ensemble d’actions peuvent alors être mises en œuvre. Par exemple, le fichier pourrait être rendu inaccessible et l’ordinateur de la personne non autorisée verrouillé, avec des instructions indiquant comment prendre contact avec les autorités pour obtenir le mot de passe permettant le déverrouillage du compte. Ces mesures ne violent pas les lois existantes sur l’usage d’Internet, elles servent cependant à atténuer les attaques et à stabiliser un cyber-incident, pour fournir à la fois du temps et des preuves, afin que les autorités puissent être impliquées.

De mieux en mieux :

Alors que la loi américaine interdit actuellement ces pratiques, il y a de plus en plus de demandes pour la création d’un environnement légal de défense des systèmes d’informations beaucoup plus permissif. Cela permettrait aux entreprises de non seulement stabiliser la situation, mais aussi de prendre des mesures radicales, comme retrouver par elles-mêmes les informations volées pouvant aller jusqu’à altérer voire détruire ces dernières dans un réseau dans lequel elles n’ont pourtant aucun droit. Certaines mesures envisagées vont encore plus loin : photographier le hacker avec sa propre webcam, infecter son réseau en y implantant un logiciel malveillant ou même désactiver voire détériorer physiquement le matériel utilisé pour commettre les infractions (comme son ordinateur).

Source : La Commission sur le Vol de la Propriété Intellectuelle Américaine recommande les malwares !

Source : La loi CISPA adoptée par les députés aux Etats-Unis (Numerama)

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Riposte graduée, sécurisation de son réseau, oubli systématique du copyleft, répression qui s’accompagne d’une prévention propagande… les Américains sont sur le point de lancer leur propre Hadopi, qui porte le nom chantant de Copyright Alert System.

Pourtant on ne peut pas dire que ce soit un franc succès chez nous, n’est-ce pas Monsieur Lescure ?

Ici comme ailleurs, de grands mais vains efforts pour transformer la « génération du partage » en une « génération pirate » !

La propagande du copyright s’offre un nouvel acteur : votre fournisseur d’accès à Internet (FAI)

The Copyright Propaganda Machine Gets a New Agent: Your ISP

Corynne McSherry – 25 février – EFF.org
(Traduction : Moosh, goofy, Alpha, LGT + anonymes)

Voilà un moment qu’on le redoutait, la machine de surveillance du copyright connue sous le nom de Copyright Alert System (CAS) est finalement en marche. Le CAS est un accord entre les plus grands fournisseurs de contenus et les principaux fournisseurs d’accès (FAI) qui vise à surveiller les réseaux de peer-to-peer pour détecter la violation de copyright et sanctionner les abonnés supposés coupables par des rappels à l’ordre « éducatifs » voire une réduction importante de la vitesse de connexion.

Pour preuve de ce lancement, le centre d’information sur le copyright (Center for Copyright Information ou CCI), qui administre le programme, a refondu son site web. Ce site est censé contribuer à la sensibilisation des internautes sur le système et le copyright. Malheureusement, le site est rempli de signes qui indiquent que cette campagne va dériver.

Par exemple, concernant le processus de ciblage des utilisateurs, le site explique :

Avant d’envoyer une nouvelle alerte, un processus rigoureux permet de s’assurer que le contenu concerné est bel et bien protégé par un copyright et que la notification est envoyée au bon abonné.

Le simple fait que le contenu soit soumis à copyright ne signifie pas que son partage soit illégal. Il serait préférable d’avoir un processus rigoureux afin de s’assurer que l’utilisation identifiée constitue bien une violation. Il serait encore mieux d’avoir un processus qui soit approuvé par une entité parfaitement indépendante, suivi d’un examen public du résultat global.

Et puis il y a ces quelques pépites :

La CCI encourage tous les utilisateurs à sécuriser leurs réseaux privés, mais c’est encore plus important pour ceux qui ont reçu un avertissement à la violation de copyright (Copyright Alert).

En d’autres termes, si vous recevez un avertissement vous feriez mieux de verrouiller votre réseau, et vite. Comme nous (NdT : l’Electronic Frontier Foundation) l’avions expliqué, il semble que cela ait pour objectif de saper le mouvement pour un Wi-Fi ouvert, même si l’accès libre sans fil est largement reconnu comme bénéfique au public.

La responsabilité incombe aux abonnés de s’assurer que leur accès Internet n’est pas utilisé pour violer le copyright.

Pas tant que ça, au moins, pas d’après les lois pour le copyright, pas tant que des conditions supplémentaires ne sont pas remplies. Nous n’avons pas souhaité faire partie de la brigade de surveillance du copyright, mais si votre FAI a signé l’accord (AT&T, Cablevision, Comcast, Time Warner, and Verizon), vous avez souscrit à cette surveillance.

Et puis on retrouve les abus classiques et orientés de leur approche du copyright :

Quand vous créez un poème, une histoire ou une chanson, elle vous appartient, et personne d’autre ne peut s’en servir sans votre permission.

Encore raté : grâce au principe de l’usage raisonnable (fair use) d’autres personnes peuvent utiliser les œuvres que vous créez de différentes façons. C’est grâce à cela que nous sommes assurés du bon usage du copyright, permettant ainsi la créativité et l’innovation plutôt qu’une entrave.

Tout aussi inquiétant : le site du CIC renvoie les utilisateurs vers la Copyright Alliance pour en apprendre plus sur l’histoire du copyright. La Copyright Alliance est loin d’être une « ressource » neutre – il s’agissait de l’un des principaux acteurs du combat pour faire voter SOPA et elle reste un fervent défenseur du copyright tout-puissant.

En conclusion, le CIC entrera probablement en partenariat avec iKeepSafe pour développer un cursus sur le copyright au sein des universités publiques de Californie. Qui pourrait s’appeler « Sois un créateur : la valeur ajoutée du copyright ». Basé sur ce que l’on voit venir depuis longtemps, ce cursus devrait pouvoir aider les plus jeunes à comprendre les enjeux du copyright. Par ailleurs, cela apprendra aux plus jeunes comment les droits sur la création peuvent être acquis et les étapes de vérification avant l’utilisation de la création de l’œuvre.

Loin de nous l’idée de faire notre propre publicité, mais l’EFF a développé un cours visant à expliquer ce que la loi sur le copyright permet et interdit, et qui, nous l’espérons, encourage les étudiants à réfléchir de manière critique sur la créativité, l’innovation et la culture. De plus, il est sous licence CC (Creative Commons), ainsi, le CIC ne devrait pas hésiter à s’en servir, ça lui économisera du temps et de l’argent.

Dans le même temps, nous sommes déçus, pour ne pas dire désagréablement surpris, de l’approche du CIC en matière de surveillance et d’éducation. Suivez-nous pour plus d’informations à venir sur le CAS et ce que vous pouvez faire pour vous y opposer.

Crédit photo : Martin Fisch (Creative Commons By-Sa)

Nous imaginant technophiles béats, les gens sont souvent surpris de la prise de position de la grande majorité des partisans du logiciel libre en défaveur du vote électronique (quand bien même on ait accès au code source qui pilote la machine et le processus, ce qui semble être du bon sens mais non partagé).

Ce n’est pas l’expérience ci-dessous, au moment même où se déroulent les élections présidentielles américaines, qui risque de nous faire changer d’avis.

Comment j’ai hacké une machine de vote électronique

Roger Johnston (raconté par Suzanne LaBarre) – 5 novembre 2012 – PopSci.com
(Traduction : Zii, ehsavoie, plink, KoS, aKa, lgodard, MF, Ag3m, greygjhart)

How I Hacked An Electronic Voting Machine

De quoi avez-vous besoin pour truquer une élection ? Des connaissances basiques en électronique et 30 dollars d’équipement de RadioShack suffisent, révèle le hackeur professionnel Roger Johnston. La bonne nouvelle : nous pouvons empêcher cela.

Roger Johnston est à la tête de la « Vulnerability Assessment Team » au Laboratoire National d’Argonne. Récemment, lui et ses collègues ont lancé une attaque de sécurité sur des machines de vote électronique pour montrer la facilité déconcertante avec laquelle quelqu’un peut trafiquer les votes. Encore plus surprenant : les versions de ces ordinateurs seront présentes dans les bureaux de vote de toute l’Amérique ce mardi. Le magazine Harper a rapporté recemment que l’écran tactile Diebold Accuvote-TSX va être utilisé par plus de vingt-six millions de votants dans ving États et que l’ordinateur de vote à bouton pressoirs Sequoia AVC va être utilisée par presque neuf millions de votants dans quatre États. Dans cet article, Johnston révèle comment il a hacké ces machines — et que c’est à la portée du premier venu, du lycéen à la grand-mère de 80 ans.

La Vulnerability Assessment Team du Laboratoire National d’Argonne scrute une large variété d’équipements électroniques — serrures, sceaux, tags, contrôle d’accès, biometrie, sécurité des cargaisons, sécurité nucléaire — pour tenter de trouver des vulnérabilités et repérer des solutions potentielles. Malheureusement, on n’alloue pas assez de budget à l’analyse de la sécurité des élections dans ce pays. Alors nous nous sommes penchés dessus, histoire de nous occuper, un samedi après-midi.

On appelle cela une attaque de l’homme du milieu. C’est une attaque classique sur les appareils de sécurité. On implante un microprocesseur ou un autre appareil électronique dans la machine de vote, et cela vous permet de contrôler le vote et de tricher ou non. Basiquement, on interfère avec la transmission de l’intention du votant.

Nous avons utilisé un analyseur logique. La communication digitale est une série de zéros et de uns. Le voltage augmente, diminue. Un analyseur logique rassemble les voltages oscillants entre haut et bas et vous présentera ensuite les données digitales dans une variété de formats. Mais il y a plein de manières de faire. Vous pouvez utiliser un analyseur logique, un microprocesseur, un ordinateur — en gros, n’importe quoi qui vous permette de voir l’information qui est échangée et ensuite vous laisse comprendre ce qu’il faut faire pour imiter l’information.

Nous avons donc espionné les communications entre le votant et la machine. Dans un cas, le votant appuie sur des boutons (c’est une machine à voter avec des boutons poussoirs) et dans l’autre, il interagit avec un écran tactile. Puis, nous avons écouté les communications entre le logiciel de la machine et le votant. Disons que je veux que Jones gagne l’élection, et que vous votez pour Smith. Alors, mon microprocesseur va dire à la machine de voter pour Jones si vous essayez de voter pour Smith. Mais si vous votez pour Jones, je n’interviendrai pas dans les communications. Parfois on bloque les communications, parfois on les déforme, parfois on ne fait que les regarder et les laisser passer. C’est ça l’idée. Deviner quels sont les échanges en cours, puis les modifier si besoin est, y compris ce qui sera présenté au votant.

Nous pouvons faire ceci car la plupart des machines, autant que je sache, ne sont pas chiffrées. C’est simplement un format de communication standard. Il est donc très simple de deviner les informations échangées. N’importe quelle personne qui fait de l’électronique numérique — un amateur ou un fan d’électronique — peut le deviner.

Le dispositif que nous avons intégré dans la machine à écran tactile valait en gros 10 $. Si vous voulez une version de luxe où vous pouvez le contrôler à distance jusqu’à environ 800 mètres, il vous en coutera 26 $. Ce n’est pas très cher. Vous pouvez trouver ça chez RadioShack. Je suis allé à des salons scientifiques dans des lycées où les gosses avait des projets avec des processeurs plus sophistiqués que ceux nécessaires pour truquer ces machines.

Parce qu’il n’y a pas de financements pour ce genre de tests de sécurité, il faut compter sur des gens qui achètent des machines d’occasion sur eBay (dans ce cas l’écran tactile Diebold Accuvote TS Electronic Voting Machine et la machine à boutons Sequoia AVC Advantage Voting Machine). Ces deux machines étaient un peu vieilles, et nous n’avions pas de manuel ou de schéma de circuits. Mais, dans le cas du Sequoia AVC, nous avons deviné comment elle marchait en moins de deux heures. En deux heures nous avions une attaque viable. L’autre machine nous a pris un peu plus de temps car nous ne comprenions pas comment l’affichage sur un écran tactile fonctionnait. Nous avons dû donc apprendre, mais ce n’était qu’une question de jours. C’est un peu comme un tour de magie, vous devez le pratiquer beaucoup. Si nous avions pratiqué longtemps, voir mieux, si quelqu’un de très bon avait pratiqué pendant deux semaines, nous aurions mis 15 à 60 secondes pour exécuter ces attaques.

Les attaques nécessitent un accès physique à la machine. C’est facile pour les personnes en interne qui les programment pour une election ou les installent. Et nous pouvons supposer que ce n’est pas si difficile pour des personnes extérieures. Beaucoup de machines à voter gisent dans la cave de l’église, le gymnase ou le préau de l’école élémentaire, sans surveillance pendant une semaine ou deux avant l’election. Généralement elles ont des serrures très bon marché que n’importe qui peut ouvrir ; quelquefois elles n’en ont même aucune. Personne ne s’identifie auprès des machines quand il prend son poste. Personne n’est chargé de les surveiller. Leurs scellés ne sont pas si différents des dispositifs anti-fraude sur les paquets de nourriture et les médicaments en libre service. Falsifier un produit alimentaire ou un médicament, vous pensez que c’est difficile ? Ça ne l’est vraiment pas. Et un grand nombre de nos juges d’élections sont de petites vieilles à la retraite, et, Dieu les garde, c’est grâce à elles que les élections marchent, mais elles ne sont pas forcement fabuleusement efficaces pour détecter des attaques subtiles de sécurité.

Formez les personnels chargés de la vérification des scellés, et ils auront une chance de détecter une attaque raisonnablement sophistiquée. Faites des vérifications sur les personnes en interne et cette menace sera bien moins sérieuse. Dans l’ensemble il manque une bonne culture de la sécurité. Nous avons beau avoir des machines de vote avec des défauts, avec une bonne culture de la sécurité nous pouvons avoir des élections sans fraude. D’un autre côté, on peut avoir des machines fabuleuses, mais sans une culture de la sécurité à la hauteur, cela ne servira à rien. Il faut vraiment prendre du recul. Notre point de vue est qu’il sera toujours difficile d’arrêter un James Bond. Mais je veux faire avancer les choses jusqu’à un niveau où au moins ma grand-mère ne puisse pas truquer les élections, et nous en sommes encore loin.

Crédit photo : Steve Jurvetson (Creative Commons By)