Sources sur Numerama :

• TrueCrypt ferme pour insécurité, et conseille de faire confiance à… Microsoft

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

« Sarah Harrison est une journaliste britannique et chercheur en droit qui travaille avec l’équipe de défense juridique de WikiLeaks. Elle a aidé le lanceur d’alerte Edward Snowden à obtenir l’asile, suite à ses révélations, en 2013, sur plusieurs programmes de surveillance de masse américains et britannique. »

Voici ce qu’on peut lire sur sa fiche Wikipédia et qui justifie aux yeux du gouvernement de son pays qu’on la considère plus comme une terroriste que comme une journaliste^[1].

Un témoignage accablant.

Le Royaume-Uni traite les journalistes comme des terroristes – croyez-moi, je le sais

Britain is treating journalists as terrorists – believe me, I know

Sarah Harrison – 14 mars 2014 – The Guardian
(Traduction : loicwood, MrTino, Kcchouette, Romane, r0u, lumi, aKa + anonymes)

Mes liens avec WikiLeaks et Edward Snowden signifient que je suis considérée comme une menace et que je ne peux pas revenir au Royaume-Uni. Nous avons besoin d’une feuille de route pour la liberté d’expression.

La liberté d’expression et la liberté de la presse sont attaquées au Royaume-Uni. Je ne peux pas revenir en Angleterre, mon pays, à cause de mon travail journalistique avec Wikileaks et le lanceur d’alerte de la NSA, Edward Snowden. Il y a des choses que je pense même ne pas pouvoir écrire. Par exemple, si je déclarais que j’espère que mon travail à WikiLeaks puisse changer les comportements du gouvernement, ce travail journalistique serait considéré comme un crime selon le « UK Terrorism Act » (NdT : Loi contre le terrorisme au Royaume-Uni) datant de 2000.

Cette loi définit le terrorisme comme « tout acte ou menace d’action ayant pour but d’influencer le gouvernement ou une organisation gouvernementale internationale » ou « conçue dans le but de faire prospérer une cause politique, religieuse, raciale ou idéologique » ou « conçue pour interférer ou perturber un système électronique ». Par ailleurs, la loi indique que « gouvernement » signifie le gouvernement de n’importe quel pays­ – y compris les États-Unis. Le Royaume-Uni a utilisé cette loi afin d’ouvrir une enquête pour terrorisme contre Snowden et les journalistes qui ont coopéré avec lui, et ont utilisé ce prétexte pour entrer dans les bureaux du Guardian et demander la destruction de leurs disques durs relatifs à Snowden. Ce pays est en train de devenir un pays qui ne différencie plus les terroristes des journalistes.

Le jugement récent de l’affaire Miranda le démontre. David Miranda assistait le journaliste Glenn Greenwald et transitait par l’aéroport d’Heathrow l’été dernier, en possession des documents du journaliste, quand il fut arrêtéen vertu de l’article 7 de la loi contre le terrorisme. L’article 7 permet aux autorités d’arrêter une personne dans tous les ports, aéroports et gares du Royaume-Uni, de la détenir jusqu’à neuf heures, et n’accorde aucun droit à garder le silence. Cette loi vous oblige à répondre aux questions et à fournir tous les documents que vous possédez, et c’est ainsi que Miranda a été forcé de remettre ses documents relatifs à l’affaire Snowden. Par la suite, Miranda a intenté un procès contre le gouvernement britannique sur la légalité de sa détention, afin de démontrer que cette loi bafouait son droit de faire son travail de journaliste librement. La cour a outrageusement utilisé une question de transparence politique pour ignorer la liberté d’expression telle que définie par la Convention européenne des droits de l’homme.

Si le Royaume-Uni se met à enquêter sur nous, les journalistes, pour terrorisme en prenant et en détruisant nos documents, en nous forçant à donner nos mots de passe et à répondre aux questions – comment être sûrs de pouvoir protéger nos sources ? Mais comme il y a désormais un précédent, aucun journaliste ne peut être certain que s’il sort, entre ou transite par le Royaume-Uni, cela ne peut lui arriver. Mes avocats m’ont conseillé de ne pas rentrer chez moi.

L’avocate américaine de Snowden, Jesselyn Radack, fut questionnée à propos de Julian Assange et de son client lors de son récent passage au Royaume-Uni. Je suis fortement liée à ces deux hommes : je travaille pour l’un, et j’ai aidé et protégé l’autre pendant quatre mois. En outre, si l’article 7 est utilisé pour m’arrêter dès que je débarque au pays, je ne pourrais pas répondre à de telles questions ou renoncer à quoi que ce soit, car ce serait un risque pour le travail journalistique de WikiLeaks, pour nos collaborateurs et nos sources. Comme je n’ai pas le droit au silence d’après cet article, je commettrais un crime aux yeux du gouvernement. Une condamnation pour « terrorisme » aurait de sévères conséquences pour ma liberté de circulation à travers les frontières internationales.

L’article 7 ne concerne pas vraiment la capture de terroristes, de part la façon même dont il a été rédigé. Le jugement de l’affaire Miranda établit qu’il a dans ce cas « constitué une interférence indirecte avec la liberté de la presse » et est certes « en mesure, selon le contexte, d’être déployé pour interférer avec la liberté journalistique ». Les forces de l’ordre peuvent détenir quelqu’un non pas parce qu’elles le suspectent d’être impliqué dans des activités terroristes, mais pour voir « si quelqu’un semble » – même indirectement – « faciliter » le terrorisme, tel qu’il est bizarrement défini par cette loi.

Le juge Ouseley, qui a également présidé l’affaire d’extradition d’Assange, a déclaré dans son jugement qu’un officier peut agir sur la base « d’un simple pressentiment ou d’une intuition ». Il est donc maintenant décrété par nos tribunaux qu’il est acceptable d’interférer sur la liberté de la presse, sur la base d’une intuition – tout cela au nom de la « sécurité nationale ». Aujourd’hui, au lieu d’« assurer la stabilité d’une nation pour son peuple », la sécurité nationale utilise ces lois pour justifier leurs propres infractions, que ce soit pour envahir un autre pays ou espionner leurs propres citoyens. Cette loi – c’est maintenant clair comme du cristal – est consciencieusement et stratégiquement mise en oeuvre pour menacer les journalistes. Elle est devenu un moyen pour sécuriser l’opacité derrière laquelle notre gouvernement peut construire un tout nouveau Big Brother du 21ème siècle.

Cette érosion des droits humains fondamentaux présente de dangereux risques de dérive. Si le gouvernement peut se permettre de nous espionner – pas seulement en collusion avec, mais aux ordres, des États-Unis – alors quels contrôles et contrepoids nous sont laissés ? Peu de nos représentants font quoi que ce soit à l’encontre de cette restriction abusive pour les libertés de la presse. La députée des verts Caroline Lucas a déposé une « Early Day Motion » (NdT : pratique parlementaire britannique consistant à déposer une motion à la Chambre des Communes afin de sensibiliser les députés sur un sujet particulier) le 29 janvier, mais seuls 18 députés l’ont signée jusqu’à présent.

Depuis mon refuge à Berlin, toute cette affaire à des relents d’adoption du passé allemand, plutôt que son futur. Je me suis demandé dans quelle mesure l’histoire britannique aurait été plus pauvre si le gouvernement de l’époque avait eu un tel instrument abusif à sa disposition. Que serait-il arrivé à toutes ces campagnes publiques menées afin d’« influencer le gouvernement » ? Je peux voir les suffragettes qui se battaient pour leur droit de vote être menacées d’inaction, les marcheurs de Jarrow être qualifiés de terroristes et Dickens être enfermé à la prison de Newgate.

Dans leur volonté de piétiner nos traditions, les autorités britanniques et les agences d’État sont saisies par un extrémisme qui est très dangereux pour la vie publique anglaise tout comme la (réelle ou imaginaire) lutte contre le terrorisme. Comme le souligne Ouseley, le journalisme au Royaume-Uni ne possède pas de « statut constitutionnel ». Mais il n’y a aucun doute que ce pays a besoin d’une feuille de route pour la liberté d’expression pour les années à venir. La population anglaise doit se battre pour montrer au gouvernement que nous préserverons nos droits et nos libertés, quelles que soient les mesures coercitives et les menaces qu’il nous lance.

Sources sur Numerama :

• Un « Internet européen » au menu de la rencontre Hollande-Merkel
• L’idée d’un Internet européen séduit les sénateurs

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

« Dessine-moi les menaces informatiques ! »

Telle est la proposition de l’AFUL qui souhaite ainsi sensibiliser la jeune génération sur cet épineux sujet.

Dessine-moi les menaces informatiques ! Comment se protéger de l’informatique à l’ère post-Snowden

URL d’origine du document

Février 2014 – AFUL

À l’occasion de la publication de son document « Comment se protéger de l’informatique, ou l’informatique à l’ère post-Snowden » l’AFUL organise une grande activité de dessin pour les enfants en leur demandant « Dessine-moi les menaces informatiques ! ».

L’AFUL vient de publier le document Comment se protéger de l’informatique, ou l’informatique à l’ère post-Snowden.

À cette occasion l’AFUL convie les enfants de 7 à 17 ans à dessiner ce que leur évoquent les menaces informatiques (de celles des téléphones portables aux navigateurs Internet des ordinateurs de bureau) en même temps que des bonnes habitudes à prendre.

Il est demandé que les dessins envoyés soient placés sous une licence libre, idéalement Creative Commons Paternité – Partage des Conditions Initiales à l’Identique (ce sera la licence par défaut si rien n’est précisé) de manière à ce que l’AFUL puisse les publier et qu’ils servent au plus grand nombre.

Alors jeunes gens, filles et garçons, à vos crayons de couleur, crayons feutres et/ou logiciels de dessin !

Nous attendons des dessins de toute la francophonie (Afrique, Europe, Amérique du Nord, DOM-TOM français, écoles francophones), nous voulons voir quel est le degré de prise de conscience sur toute la Terre.

Dans la continuité de son accord cadre avec le ministère de l’Éducation, l’AFUL sollicite les maîtresses et maîtres d’école, les professeurs, les éducateurs et bien entendu les parents pour assurer l’encadrement et la motivation des troupes. Ce peut être aussi l’occasion de nouer des partenariats pédagogiques. Un dossier pédagogique sera fourni aux adultes sur ces sujets, histoire de ne pas alimenter de paranoïa mais bien de donner des éléments favorisant la compréhension du sujet par des citoyens libres et éclairés.

Les dessins peuvent être envoyés par n’importe quel moyen et sous n’importe quelle forme. Que ce soit par la poste ou par voie électronique. Dans le cas d’un gros fichier, pensez à plutôt le mettre à disposition sur un espace en ligne plutôt que de nous l’envoyer par courriel, ce qui aurait pour effet de saturer nos boîtes aux lettres.

Les dessins sont à envoyer à :

dessine-moi-les-menaces-informatiques@aful.org

ou

AFUL
Boîte associative 14
23 rue GRENETA
75002 PARIS
FRANCE

Toutes les classes, et tous les enfants en individuel, ayant participé recevront un diplôme personnalisé de l’AFUL !

L’opération dure toute l’année civile 2014, dans le cadre de Éducation au numérique : grande cause nationale 2014. La date limite pour envoyer vos dessins est donc le 31 décembre 2014.

L’espoir est dans les jeunes générations. Des jeunes qui s’interrogent, qui exercent leur esprit critique, qui savent programmer, c’est l’espoir d’avoir des citoyens et des décideurs qui comprennent l’outil informatique. Plutôt que de le subir (perdre la main sur ses données personnelles, etc.) ou de s’en servir comme justification de l’incompétence (choix des ordinateurs de vote, etc.) ou du manque de courage (prescription de logiciels non libres, etc.), ils pourront en tirer parti pour le bien de la société.

Dans l’œil du cyclone…

Au lendemain de « la journée de la riposte », nous vous proposons une édifiante histoire qui peut arriver à chacun d’entre nous.

L’affaire Brandon Mayfield : une surveillance terrifiante

Face aux excès de la NSA, plus personne n’est à l’abri du biais de confirmation.

The terrifying surveillance case of Brandon Mayfield

Matthew Harwood – 8 février 2014 – America Aljazeera
(Traduction : bouzim, amha, Nemecle, Diab, Achille, Scailyna, z1tor, Robin Dupret, sinma, peupleLà + anonymes)

Fin janvier, dans un webchat en direct, Edward Snowden le lanceur d’alertes de la NSA, a exposé l’un des dangers les moins débattus à propos de la surveillance de masse. En balayant aveuglement les enregistrements de toutes les conversations téléphoniques et communications internationales des États-Uniens, le gouvernement a la possibilité d’initier une enquête rétroactive, autrement dit de rechercher dans les données passées des cibles n’importe quelle preuve d’activité suspecte, illégale ou seulement embarrassante. C’est une possibilité qui a de quoi déranger : même ceux qui sont persuadés d’être eux-mêmes des gens honnêtes devraient y réfléchir à deux fois avant de proclamer haut et fort : « Qu’ai-je à craindre puisque je n’ai rien à cacher ».

Mais il y a un autre danger que Snowden n’a pas mentionné, inhérent au fait que le gouvernement dispose facilement d’un accès aux énormes volumes de données que nous générons chaque jour : il peut insinuer la culpabilité là où il n’y en a pas. Quand des enquêteurs ont des montagnes de données sur une cible donnée, il est facile de ne retenir que les éléments qui confirment leurs théories — en particulier dans les enquêtes de contre-terrorisme où les enjeux sont si importants — tout en ignorant ou minimisant le reste. Nul besoin d’une quelconque malveillance de la part des enquêteurs ou des analystes, même s’il ne fait aucun doute que les préjugés sont de la partie : il s’agit seulement de preuves circonstancielles et de cette dangereuse croyance en leur intuition. Les chercheurs en sciences sociales nomment ce phénomène « biais de confirmation » : lorsque des personnes sont submergées de données, il est bien plus simple de tisser ces données dans une trame narrative qui confirme les croyances auxquelles elles adhèrent déjà. Le criminologue D. Kim Rossmo, un inspecteur de la police de Vancouver à la retraite, était tellement soucieux du biais de confirmation et des échecs qu’il entraîne dans les enquêtes qu’il a incité les officiers de police dans le Police Chief Magazine à toujours se montrer vigilants sur le sujet. « Les éléments du biais de confirmation », écrit-il, « comprennent le fait de ne pas chercher de preuves qui démantèleraient une théorie, de ne pas utiliser une telle preuve s’ils en trouvaient, de ne pas envisager d’hypothèses alternatives et de ne pas évaluer la recevabilité de la preuve ».

Pour nous faire une meilleure idée de ces dangers, examinons l’affaire Brandon Mayfield.

Une erreur d’identité

Le 11 mars 2004 à Madrid, des terroristes proches de la mouvance d’Al-Qaïda ont coordonné un attentat à la bombe sur plusieurs trains de banlieue durant l’heure de pointe matinale. 193 personnes furent tuées et environ 1 800 furent blessées. Deux empreintes digitales partielles découvertes sur un sac de détonateurs au cours de l’enquête par la Police Nationale Espagnole (PNE) furent partagées avec le FBI par le biais d’Interpol. Les deux empreintes furent entrées dans la base de données du FBI, qui retourna vingt concordances possibles pour l’une d’entre elles : sur ces vingt concordances, l’une appartenait à Brandon Mayfield. Ancien chef de peloton de l’armée américaine, Mayfield officiait alors à Portland, dans l’Oregon, comme avocat spécialisé dans les gardes d’enfants, les divorces et les lois sur l’immigration. Ses empreintes étaient répertoriées dans le système du FBI parce qu’il avait fait son service militaire mais aussi parce qu’il avait été arrêté sur un malentendu vingt ans auparavant. Les charges avaient ensuite été abandonnées.

Il se trouvait que l’empreinte de Mayfield ne concordait pas exactement avec l’empreinte laissée sur le sac de détonateurs. Malgré cela, les spécialistes des empreintes au FBI fournirent des justifications aux différences, selon un rapport du Bureau de l’inspecteur général du département de la Justice (OIG). D’après la règle de divergence unique, le laboratoire du FBI aurait dû conclure que Mayfield n’avait pas laissé les empreintes trouvées à Madrid — c’est la conclusion à laquelle était parvenu le PNE et qu’il avait communiquée au FBI à plusieurs reprises. Pourtant, le bureau local du FBI à Portland se servit de cette correspondance d’empreinte pour commencer à fouiller dans le passé de Mayfield. Certains détails de la vie de l’avocat ont convaincu les agents qu’ils tenaient leur homme. Mayfield s’était converti à l’Islam après avoir rencontré sa femme, une égyptienne. Il avait offert son aide juridique sur une affaire de garde d’enfant à l’un des « Portland Seven », un groupe d’hommes qui avait essayé d’aller en Afghanistan afin de combattre pour Al-Qaïda et les Talibans contre les États-Unis et leurs forces alliées. Il fréquentait aussi la même mosquée que les militants. À la suite des événements du 11 Septembre, ces innocentes associations et relations, quoique approximatives, étaient devenues pour les enquêteurs des preuves que Mayfield n’était pas un bon citoyen américain, mais un terroriste sanguinaire déterminé à détruire l’Occident.

Les détails biographiques de Mayfield, en particulier sa religion et l’image de terroriste qu’on lui prêtait, ont contribué à ce que les laboratoires du FBI se montrent réticents au réexamen de l’identification erronée. Selon l’OIG, « l’un des inspecteurs a clairement admis que si la personne identifiée n’avait pas eu ces caractéristiques, le laboratoire aurait pu revoir l’identification en se montrant plus sceptique et repérer l’erreur. »

Comme les agents du FBI n’avaient aucune preuve concrète que Mayfield était impliqué dans l’attentat à la bombe des trains de Madrid, ils décidèrent de ne pas faire une demande de mise sur écoute, qu’il faut justifier par un motif suffisant de croire à une activité ou intention criminelle. À la place, ils ont donc fait appel à un mandat FISA (NdT : Foreign Intelligence Surveillance Act, loi décrivant les procédures de surveillance sur des puissances étrangères) en affirmant qu’ils avaient des motifs suffisants de croire que Mayfield agissait pour le compte d’un groupe terroriste étranger. Ainsi, le FBI pouvait contourner le Quatrième Amendement : s’ils découvraient accidentellement au cours de leur activité de renseignement la preuve d’une activité criminelle; ils pourraient la partager avec les procureurs et les enquêteurs. La cour confidentielle de la FISA approuva la demande, comme elle le fait presque toujours, et c’est ainsi que le FBI a pu commencer la surveillance sous couverture de Mayfield et de sa famille, de manière clandestine et incroyablement intrusive.

Des théories inventées de toutes pièces

Des agents du FBI pénétrèrent par effraction dans la maison de Mayfield et dans son cabinet d’avocat. Ils fouillèrent dans des documents protégés par le secret professionnel entre un avocat et son client, ils mirent sur écoute ses téléphones, ils analysèrent sa comptabilité et son historique de navigation Internet, ils fouillèrent même ses poubelles. Ils le suivirent dans tous ses déplacements. Malgré tout cela, le FBI ne trouva pas le moindre indice qui puisse le relier aux événements de Madrid. Ils trouvèrent cependant, des recherches Internet sur des vols vers l’Espagne et découvrirent qu’il avait pris une fois des leçons de pilotage d’avion. Pour ces agents du FBI, d’ores et déjà convaincus de sa culpabilité, tout cela était la preuve que Mayfield était un terroriste en puissance. Ses recherches sur le web étaient cependant tout à fait banales : sa fille devait organiser des vacances fictives pour un projet scolaire. Quant aux leçons de vol, elles témoignaient de l’intérêt de Mayfield pour le vol en avion, et rien de plus.

Il peut sembler qu’il y a là un nombre bizarre de coïncidences. Mais quand on présenta les preuves qui démontraient l’innocence de Mayfield au FBI, le Bureau les déforma pour pouvoir soutenir la thèse première qui faisait de lui un coupable. Le passeport de Mayfield avait expiré, et le dernier enregistrement d’un passage de frontières remontait à son service militaire en 1994. En l’absence de preuves d’un voyage à l’étranger depuis des années, le FBI a tout simplement élaboré une théorie selon laquelle il avait forcément voyagé sous une fausse identité dans le cadre de ce complot terroriste .

Du fait des erreurs commises par le FBI — ils avaient laissé des empreintes de chaussures sur le tapis de la maison de Mayfield et fait irruption un jour où son fils était seul à la maison —, Mayfield en conclut qu’il était sous la surveillance des autorités fédérales. La paranoïa s’installa. Quand il était au volant, il vérifiait s’il n’était pas suivi par une voiture jusqu’à son domicile ou jusqu’à son bureau. Le FBI interpréta sa nervosité comme une preuve supplémentaire de culpabilité. Pensant que leur couverture avait sauté, les agents du FBI placèrent Mayfield en détention comme témoin matériel dans l’attentat de Madrid, au motif qu’ils craignaient un risque de fuite. Ils ne pouvaient pas l’arrêter car malgré leur surveillance intrusive ils n’avaient toujours aucune preuve tangible d’aucun crime. Il passa deux semaines en prison, terrifié à l’idée que ses codétenus apprennent qu’il était impliqué d’une manière ou d’une autre dans les attentats de Madrid et qu’ils ne l’agressent.

Lorsque l’OIG examina comment l’affaire Mayfield avait été traitée, il établit que les demandes déposées par le FBI pour auditionner des témoins matériels et pour obtenir des mandats de perquisitions « contenaient plusieurs inexactitudes qui reflétaient un manque regrettable d’attention aux détails ». Malgré toutes les preuves contraires, le FBI était tellement convaincu de tenir son homme qu’il fournit de fausses déclarations sous serment devant un juge. La seule raison pour laquelle Mayfield est un homme libre aujourd’hui, c’est que la police espagnole a répété à plusieurs reprises au FBI que l’empreinte récupérée sur le sac de détonateurs ne correspondait pas à celles de Mayfield. Pourtant, le FBI s’en est tenu obstinément aux résultats de ses laboratoires jusqu’à ce que les autorités espagnoles identifient de manière concluante les empreintes du vrai coupable, Ouhane Daoud, de nationalité algérienne. Ce n’est qu’alors que le voyage traumatisant de Mayfield dans les entrailles de la sécurité nationale prit fin.

Un récit édifiant

L’épreuve qu’a vécue Mayfield est un récit édifiant de ce qui peut arriver lorsqu’un gouvernement s’acharne sur ses suspects et refuse de desserrer son étau. Heureusement, dans le cas de Mayfield, le gouvernement a fini par le relâcher mais non sans que la procédure ait chamboulé son existence.

Près d’une décennie plus tard, les capacités du gouvernement en matière de surveillance confidentielle n’ont fait que croître, grâce aux médias sociaux, téléphones connectés et autres technologies. La collecte massive de données personnelles des États-Uniens augmente le risque que des faux positifs — des Mayfield innocents tombant sous l’examen approfondi du gouvernement – se produisent . Et quand ce faux positif est un musulman américain ou un anarchiste ou un féroce activiste écologiste, les agents du gouvernement et les analystes auront-ils la capacité de mettre de côté leurs préjugés et leur nervosité afin de soupeser chaque information, particulièrement les preuves contradictoires, avant de condamner ces quelques malheureux à des charges bidons et à la vindicte publique ?

Le biais de confirmation devrait nous rendre sceptiques quant à cette possibilité.

Crédit photo : Fabbio (Creative Commons By-Sa)

Avec La Quadrature, Mozilla et tant d’autres organisations, nous nous associons à l’opération de riposte The Day We Fight Back^[1], journée de mobilisation contre la surveillance de masse, également journée hommage à Aaron Swartz^[2] et date anniversaire du succès remporté contre SOPA.

Nous n’avons pas prévu d’actions d’éclat particulières aujourd’hui dans la mesure où nous estimons, comme l’April en campagne actuellement, que nous y participons au quotidien, par la défense et la promotion du Libre en général et du logiciel libre en particulier.

Nous agissons pour re-décentraliser le Web^[3] en offrant nos libres services en ligne que chacun peut installer sur son propre serveur ou utiliser librement sur notre portail. Ils sont regroupées sous le projet global « Framacloud » : Framapad, Framadate, Framindmap, Framanews, le petit dernier Framabag, etc.
Comme annoncé, nous avons aussi récemment entrepris notre « libération de Google », en commençant par le mail.
Brique après brique, construisons des alternatives à GAFA (Google, Apple, Facebook, Amazon), ces géants du Net parfaitement transparents pour la NSA.

Tous ensemble, faisons en sorte que notre optimiste slogan se concrétise chaque jour davantage : La route est longue mais la voie est libre.

Comme nous l’avions annoncé il y a un mois ici, demain c’est la journée d’action The Day We Fight Back.

On peut toujours gloser sur la réelle portée d’un tel événement, mais il a le mérite de mettre le focus sur un sujet fondamental, pas assez relayé par les médias et peu pris à bras le corps par nos politiques. L’occasion justement d’en parler autour de nous et de faire avancer la sensibilisation.

Le jour de la contre-attaque : un appel à la communauté internationale pour lutter contre la surveillance de masse

The Day We Fight Back: A Call To the International Community to Fight Against Mass Surveillance

Katitza Rodriguez – 27 janvier 2014 – EFF.org
(Traduction : nitot, Asta, amha, piero, GregR, maxauvy)

Les révélations de Snowden ont confirmé nos pires craintes au sujet de l’espionnage en ligne. Elles montrent que la NSA et ses alliés ont construit une infrastructure de surveillance globale pour « contrôler Internet » et espionner les conversations mondiales. Ces groupes de l’ombre ont sapé les normes de chiffrement de base, et criblé la dorsale Internet avec des équipements de surveillance. Ils ont collecté des centaines de millions d’enregistrements téléphoniques de personnes qui n’étaient soupçonnées d’aucun crime. Ils ont écouté les communications électroniques de millions de personnes, chez elles et à l’extérieur, sans distinction aucune, en exploitant les technologies numériques que nous utilisons pour échanger et nous informer. Ils espionnent les populations alliées, et partagent ces informations avec d’autres organisations, au mépris le plus complet des lois.

Nous n’allons pas laisser la NSA et ses alliés détruire Internet. Inspirée par la mémoire d’Aaron Swartz, alimentée par la victoire contre SOPA et ACTA, la communauté numérique tout entière est unie pour retourner au combat.

Le 11 février, le jour de la contre-attaque (NdT : The Day We Fight Back), le monde va exiger la fin de la surveillance de masse dans tous les pays, tous les états, quels que soient les frontières et les régimes politiques. Les manifestations contre SOPA et ACTA ont été un succès car nous avons tous participé en tant que communauté. Comme le disait Aaron Swartz, tout le monde est devenu « le héros de sa propre histoire ». Nous pouvons choisir une date, mais nous avons besoin de tout le monde, de tous les utilisateurs de l’Internet, pour faire de ceci un mouvement.

Voici une partie de notre plan (mais ce n’est que le début). L’an dernier, avant qu’Ed Snowden ne fasse ses révélations au monde, les militants des droits numériques se sont entendus sur 13 Principes. Ces Principes expliquaient clairement en quoi la surveillance généralisée représente une violation des Droits de l’Homme, et donnaient aux législateurs et juges une liste de correctifs qu’ils pouvaient appliquer aux barbouzes de l’Internet. Ce jour de la contre-attaque, nous voulons que le monde adhère à ces principes. Nous voulons que les politiciens s’engagent à les respecter. Nous voulons que le monde voie que nous sommes concernés.

Voici comment vous pouvez rejoindre le mouvement :

1. Nous encourageons les sites web à faire un lien vers le site The Day We Fight Back. Cela permettra à des personnes du monde entier d’apposer leur signature sous nos 13 Principes, en riposte à la surveillance de masse de la NSA, du GCHQ et d’autres agences de renseignement. Si vous pouvez informer vos collègues sur cette campagne et le site avant la fin de la journée, nous pourrons envoyer de l’information à ce sujet dans chaque pays.

2. Dites à vos amis de signer les 13 Principes ! Nous (NdT : EFF) sommes en train de nous organiser pour nous associer à la journée d’action. Nous allons continuer à utiliser ces Principes pour montrer à ceux qui nous gouvernent que le respect de la vie privée est un droit pour chacun et doit être protégé sans tenir compte des frontières.

3. Courriels : Si vous avez besoin d’un prétexte pour en parler à vos collègues ou à vos proches à ce sujet, le 11 février est pile le bon moment pour leur dire de contacter les politiques locaux sur des sujets comme l’espionnage via Internet. Il faut les encourager à agir et à comprendre l’importance du combat contre la surveillance de masse.

4. Réseaux sociaux : touittez ! Postez sur Facebook et Google Plus ! Nous voulons faire autant de bruit que possible. Nous voulons vraiment une campagne à l’échelle du globe, où tous les pays sont impliqués. Plus nous serons nombreux à signer les Principes, plus ceux qui nous gouvernent entendront nos exigences visant à arrêter l’espionnage de masse chez nous et dans d’autres pays.

5. Outils : développez des mèmes, des outils, des sites web et tout ce que vous pouvez pour encourager d’autres personnes à participer.

6. Soyez créatifs (NdT : exemple) : préparez vos propres actions et vos propres engagements. Descendez dans la rue. Faites la promotion des Principes dans votre pays. Ensuite, dites-nous ce que vous comptez faire, de façon à ce qu’on fasse un lien vers vos efforts et qu’on leur donne de la visibilité.

Ce serait génial si vous participiez de ces six façons (ou plus encore !) mais franchement, tout ce que vous pourrez faire aidera le mouvement.

Les espions d’Internet ont passé trop de temps à écouter nos pensées et peurs les plus privées. Il est maintenant temps qu’ils nous entendent vraiment à leur tour. Si vous partagez notre colère, partagez aussi nos principes et contre-attaquez.

Crédit photo : Greenoid (Creative Commons By-SA)

Blog vraiment anonyme : mode d’emploi !

« Et si vous me trouvez, je serai vraiment très impressionné. »

Comment créer un blog anonyme

How to Start an Anonymous Blog

Anonyme (évidemment) – 26 janvier 2014 – Untraceable
(Traduction : crendipt, aKa, Diab, Penguin, Omegax, amha, nanoPlink, Paul, Scailyna, Scailyna, Asta, Unnamed, goofy, lamessen)

Introduction

Je crois qu’en suivant les étapes que j’expose dans ce billet, personne ne sera capable de dévoiler mon identité. Mon domaine peut être saisi et mon blog peut être fermé, mais je reste persuadé que mon identité restera un mystère.

Si je dis cela, c’est principalement parce que j’ai confiance dans un outil très important appelé Tor. Les développeurs et administrateurs des nœuds de Tor travaillent pour que chacun puisse être anonyme sur Internet. Tor est une sérieuse épine dans le pied pour la NSA et pour les autres organisations et pays qui font de l’espionnage sur Internet.

Vu que le réseau Tor rend très difficile l’identification des adresses IP et que l’enregistrement de domaines est désormais possible via Bitcoin, je n’ai à aucun moment besoin de fournir une quelconque information personnelle pour la mise en place de ce blog.

Outils et ressources

• Clé USB
• Système d’exploitation Tails
• Réseau Tor
• Bitcoins locaux – Acheter des bitcoins en espèces
• Comptes mail gratuits chez outlook.com et anonymousspeech.com
• Nom de domaine acheté chez IT Itch
• Site statique hébergé sur des pages GitHub

Tails / Tor

Tails est lancé depuis une clé USB qui inclut une partition chiffrée. Cette partition contient un porte-monnaie Bitcoin, le code source du blog et une base de données Keepass. Mes mots de passe pour des services tiers sont des mots de passe très forts générés aléatoirement. Avec Tails, il est difficile de se tromper, car toutes les connexions doivent obligatoirement passer par Tor. Par exemple, pour développer ce blog en local, je dois ajuster les règles du pare-feu pour autoriser les connexions locales au port 4000, télécharger un navigateur différent (Midori) et régler celui-ci pour qu’il n’utilise pas de serveur proxy. Le pare-feu bloque toutes les requêtes externes de Midori, mais je peux accéder à http://localhost:4000.

Donc, à moins d’agir de manière insensée, par exemple me connecter à StackOverflow au moyen de mon vrai compte Google et utiliser l’identifiant de « untraceableblog », je pense qu’il est quasiment impossible de me pister.

Je fais une sauvegarde de la clé USB sur mon ordinateur principal, sur un volume caché TrueCrypt. J’aime le concept des volumes cachés, j’ai l’impression d’être un putain d’espion. L’idée, c’est d’avoir un mot de passe factice qui déverrouille un faux dossier chiffré et un mot de passe réel pour déverrouiller le vrai dossier chiffré, sans qu’il y ait aucun moyen pour les autres de savoir lequel vous déverrouillez. Dans mon faux dossier chiffré, je garde ma base personnelle de Keypass, de cartes de crédit, et des scans de mon passeport et permis de conduire. Donc si quelqu’un me force à entrer mon mot de passe pour déverrouiller mon ordinateur et découvre que j’ai un volume TrueCrypt, il n’aura aucun moyen de savoir si j’ai entré le mot de passe réel ou bidon.

Cette fonctionnalité autorise une légère protection contre les tentatives d’extorsion de votre mot de passe par la force.

La plupart du temps, je cache la clé dans un endroit secret de la maison. Quand je dois aller quelque part et que je veux pouvoir mettre à jour ce blog, je le sauvegarde sur le volume caché, puis j’efface la clé de manière sécurisée et je peux l’emporter avec moi sans aucune crainte. C’est ce que je devrai faire jusqu’à ce que Tails intègre sa propre fonction pour les « volumes cachés ».

Messagerie électronique

J’ai créé un compte de messagerie gratuit sur Outlook.com et j’utilise anonymousspeech.com pour la vérification et la sauvegarde.

J’ai d’abord essayé Gmail, mais Google rend la création de compte très difficile quand on utilise Tor, à cause de la vérification par téléphone. C’est compréhensible, à cause des gens qui aiment créer un grand nombre de faux comptes pour envoyer du spam.

Blog

Ce blog est libre sur les pages GitHub, il utilise Octopress pour créer un site statique et j’ai installé le thème Page Turner. J’ai envoyé le contenu sur GitHub avec une clé SSH, bien entendu chiffrée et stockée sur ma clé USB.

Il me vient à l’esprit deux vecteurs susceptibles de vous donner des informations sur mon identité :

L’horodatage des messages

Le système d’exploitation Tails dispose d’une bonne stratégie pour forcer l’heure du système à être systématiquement en UTC. Mais si j’écris une série de billets dans les années à venir, vous pourriez en analyser l’horodatage pour déterminer mon fuseau horaire. Cependant, le site compilé indique uniquement la date. Par ailleurs, je voyage beaucoup (ou pas ?) 😉

Analyse de la fréquence des mots et caractères

Vous pourriez être capables de déterminer mon pays d’origine ou mon identité grâce à mes mots et mes phrases. Vous pourriez même trouver une corrélation avec les autres contenus que j’ai publiés en ligne sous ma véritable identité. Je contre cette possibilité en passant tous mes billets dans Google Translate. Je traduis dans une autre langue, puis en anglais et je corrige ensuite les erreurs. C’est parfait pour diversifier mon vocabulaire, mais j’aurais aimé que ça ne casse pas autant le Markdown et le HTML. Jusqu’ici vous pourriez croire que l’anglais est ma seconde langue. Mais laissez-moi vous assurer d’une chose : je n’ai jamais affirmé ni infirmé ce point.

Un des problèmes, c’est que Google peut voir mes messages originaux et probablement aussi la NSA. Si je voulais l’éviter, je pourrais poster des demandes de traductions anonymes et payer les traducteurs en bitcoins.

Statistiques

Les raisons de l’indisponibilité de Google Analytics vous sont données sous « Messagerie électronique ». À la place, j’ai choisi StatCounter.

Mais même si Google Analytics avait été disponible, je n’aurais pas utilisé une ID de suivi liée à mon identité réelle. Beaucoup de blogueurs anonymes ont été trahis par l’annuaire d’ID inversé proposé par Google.

Acheter des bitcoins avec le maximum d’anonymat

J’ai acheté les bitcoins en utilisant un compte anonyme créé via Tor. J’ai trouvé un vendeur qui souhaitait me rencontrer en personne et nous avons convenu d’un rendez-vous. Nous nous sommes rencontrés, je lui ai donné l’argent et il m’a transféré les bitcoins en utilisant son téléphone.

Acheter un nom de domaine avec des bitcoins

IT Itch est un registrar qui accepte les paiements via BitPay. Leurs noms de domaine sont assez chers,15 USD chacun, mais permettent un enregistrement totalement anonyme. Ce fut une démarche facile, mais il a fallu du temps pour que le domaine devienne actif (plus d’une heure). Une fois activé, j’ai configuré les enregistrements DNS pour GitHub Pages, et ensuite mon blog était accessible sur http://untraceableblog.com.

IT Itch a fait la grosse erreur de m’envoyer mon mot de passe en texte clair après la création du compte. PAS BIEN ! Si quelqu’un parvient à accéder à mon compte Outlook, il peut se connecter et détruire mon site. Donc j’ai effacé le message et changé mon mot de passe, et heureusement ils ne l’ont pas renvoyé par e-mail.

Comment je pourrais être découvert, 1ère partie

Pister les Bitcoins

En théorie, vous pouvez suivre la trace des transactions Bitcoins et découvrir mon identité. Toutefois, dans ce cas, il est très peu probable que même l’organisation la plus sophistiquée et la mieux financée puisse me découvrir.

Voyez-vous, j’ai acheté ces Bitcoins en utilisant un compte anonyme sur localbitcoins.com (créé en utilisant Tor). Nous avons convenu, le vendeur et moi, de nous rencontrer en personne, et j’ai payé en liquide. Pour dévoiler mon identité, il faudrait que vous puissiez casser les défenses de tous les services que j’ai utilisés ou bien travailler chez eux. Il faudrait par exemple :

1. Accéder à la base de données de ititch.com et trouver l’identifieur de la transaction BitPay pour untraceableblog.com
2. Accéder à la base de données de BitPay et trouver l’adresse Bitcoin qui a envoyé les Bitcoins pour cette transaction
3. Accéder à la base de données de localbitcoins.com. Trouver l’adresse Bitcoin qui a envoyé les Bitcoins à BitPay, retracer la transaction jusqu’à ce que vous trouviez l’adresse localbitcoins du dépôt fiduciaire.
4. À partir de l’adresse du dépôt fiduciaire, vous pourrez trouver le compte localbitcoins, et retrouver les messages que nous avons échangés pour nous rencontrer.
5. Vous devrez vous rendre au point de rendez-vous et espérer qu’il existe des caméras de surveillance qui auraient pu nous enregistrer ce jour-là.
6. Vous aurez enfin besoin d’accéder à la société de sécurité qui possède les enregistrements des caméras de surveillance, obtenir une bonne image de mon visage et faire tourner d’une façon ou d’une autre un logiciel de reconnaissance faciale pour découvrir mon identité. Travailler pour Facebook ou la NSA pourrait aider si vous avez réussi à parvenir à ce point.

Comment je pourrais être découvert, 2ème partie

Tout est hacké. Absolument tout.

Internet est une machine basée sur la confiance et il existe de nombreuses manières de briser cette confiance. Quelqu’un peut générer des certificats SSL de confiance pour n’importe quel domaine, exiger que son FAI route l’intégralité du trafic au travers de ces certificats, ou contrôler un grand nombre de nœuds Tor et réaliser des attaques par analyse de trafic. Je n’entrerai pas dans les détails mais si vous êtes intéressés, vous pouvez en apprendre davantage sur les attaques Tor :

• Comment la NSA attaque les utilisateurs de Tor / Firefox avec quantum et FOXACID
• Articles concernant les attaques sur le blog de Tor

Conclusion

Je n’ai fait ce blog que comme un exercice amusant d’anonymat, même si j’y posterai probablement des choses dans le futur. J’ai simplement utilisé des outils créés par des gens bien plus intelligents que moi et je ne suis sûrement pas le premier blogueur anonyme, mais j’espère vous avoir appris quelque chose.

Bien évidemment, on peut aller beaucoup plus loin que ça. J’aurais pu héberger ce blog sur un VPS que j’aurais loué avec des Bitcoins et installer le serveur comme un service Tor masqué. L’adresse IP du serveur aurait été totalement protégée mais, de ce fait, vous n’auriez pu consulter ce blog qu’au travers du réseau Tor, et les liens de nœud Tor (TBR) ça ne fait pas très chouette en page d’accueil. J’aurais également pu faire toutes mes actions depuis un cybercafé, juste au cas où Tor serait compromis, mais je n’aurais pas été découvert. Enfin, j’aurais pu choisir un domaine en « .se » si j’avais eu peur de l’intervention du gouvernement américain. C’est ce qui est actuellement utilisé par The Pirate Bay, et les Suédois leur laissent toute liberté d’action.

N’hésitez pas à m’envoyer quelques Satoshis (fractions de Bitcoins) si vous aimez ce billet : 146g3vSB64KxxnjWbb2vnjeaom6WYevcQb.

Et si vous me trouvez, je serai vraiment très impressionné.

Crédit illustrations : AndyRobertsPhotos (Creative Commons By) et XKCD