Quand la Toile se déchire…

Vous prendrez bien un peu une petite DDoSe de paranoïa ce matin ? Blague à part, j’avais choisi de ne pas vous proposer la traduction de cet article de Bruce Schneier, lorsqu’il est paru au mois de septembre, en pensant qu’il allait un peu loin dans l’énoncé de la menace : en route vers la cyberguerre, pas moins.

L’épisode récent qui a vu hier « tomber » des sites populaires comme Twitter ou eBay et bien d’autres m’incite à y revenir.

Attention toutefois : cette récente attaque n’a probablement rien à voir avec ce que décrit Schneier (voyez par exemple cet article sur la récente « panne »), et par ailleurs les intuitions ou soupçons de ce spécialiste de la cybersécurité ne sont nullement des preuves : il serait trop « facile » d’accuser des puissances présumées hostiles quand de « simples » négligences, des erreurs humaines ou la zombification d’objets connectés sans sécurité peuvent s’avérer responsables.

L’intérêt de cet article est plutôt de montrer la toile de fond de la Toile, sa fragilité surtout dont nous ne prenons véritablement conscience que lorsqu’elle se déchire brutalement, révélant un bric-à-brac high-tech dont on se demande par quel miracle il ne tombe pas en panne de lui-même plus souvent.

Pas grand-chose à faire, conclut de façon pessimiste Bruce Schneier.

Re-décentraliser Internet, peut-être ?

Quelqu’un est en train d’apprendre à faire tomber Internet

par Bruce Schneier

article original sur son blog : Someone Is Learning How to Take Down the Internet

BruceSchneierByTerryRobinsonDepuis un ou deux ans, quelqu’un a sondé les défenses des entreprises qui font tourner des composantes critiques d’Internet. Ces sondes prennent la forme d’attaques précisément calibrées destinées à déterminer exactement comment ces entreprises peuvent se défendre, et ce qui serait nécessaire pour les faire tomber. Nous ne savons pas qui fait cela, mais ça ressemble à un grand État-nation. La Chine ou la Russie seraient mes premières suppositions.

Tout d’abord, voyons la toile de fond. Si vous voulez vous emparer d’un réseau sur Internet, la meilleure façon de le faire est avec une attaque (DDoS) distribuée par déni de service. Comme son nom l’indique, il s’agit d’une attaque destinée à empêcher les utilisateurs légitimes d’accéder au site désiré. Ça peut être plus subtil, mais, fondamentalement, cela signifie saturer le site cible de tellement de données qu’il est débordé. Ces attaques ne sont pas nouvelles : les pirates l’utilisent contre des sites qu’ils n’aiment pas, et les criminels l’utilisent comme une méthode d’extorsion. Il y a toute une industrie, avec un arsenal de technologies, consacrée à la défense DDoS. Mais surtout, il est une question de bande passante. Si l’attaquant a un plus gros pipeline pour déverser ses données que le défenseur, c’est l’attaquant qui gagne.

Récemment, quelques-unes des grandes entreprises qui fournissent l’infrastructure de base qui fait fonctionner Internet ont vu une augmentation des attaques DDoS contre elles. De plus, elles ont repéré un certain type d’attaques. Ces attaques sont nettement plus importantes que ce qu’elles sont habituées à voir. Elles durent plus longtemps. Elles sont plus sophistiquées. Et elles ressemblent à des coups de sonde. Une semaine, l’attaque commencera à un niveau particulier d’attaque et progressera lentement avant de cesser. La semaine suivante elle commencera à ce point élevé et continuera. Et ainsi de suite, selon ce même processus, comme si l’attaquant était à la recherche du point exact de fragilité fatale

Les attaques sont également configurées de manière à voir la totalité des défenses de l’entreprise ciblée. Il existe de nombreuses façons de lancer une attaque DDoS. Plus vous utilisez de vecteurs d’attaque simultanément, plus le défenseur doit multiplier ses diverses défenses pour les contrer. Ces entreprises voient davantage d’attaques qui utilisent trois ou quatre vecteurs différents. Cela signifie que les entreprises doivent utiliser tout ce qu’elles ont pour se défendre. Elles ne peuvent pas garder de munitions. Elles sont obligées de démontrer leurs capacités de défense face à l’attaquant.

Il m’est impossible de donner des détails, parce que ces entreprises m’ont parlé sous couvert d’anonymat. Mais tout cela est conforme à ce que Verisign rapporte. Verisign est le registraire pour de nombreux domaines Internet parmi les plus populaires, comme.com et.net. Si Verisign tombe, on assiste à une panne mondiale de tous les sites et adresses électroniques des domaines les plus courants. Chaque trimestre, Verisign publie un rapport sur les tendances DDoS. Bien que sa publication n’ait pas le niveau de détail des propos que m’ont confié des entreprises, les tendances sont les mêmes : « au 2e trimestre 2016, les attaques n’ont cessé de devenir plus fréquentes, persistantes et complexes »

Il y a plus. Une entreprise m’a parlé d’une variété d’attaques par sondage associées aux attaques DDoS : elles consistent à tester la capacité de manipuler des adresses et des itinéraires Internet, voir combien de temps il faut à la défense pour répondre, et ainsi de suite. Quelqu’un est en train de tester en profondeur les capacités défensives de base des sociétés qui fournissent des services Internet critiques.

Qui pourrait faire cela ? Ça ne ressemble pas à ce que ferait un activiste, un criminel ou un chercheur. Le profilage de l’infrastructure de base est une pratique courante dans l’espionnage et la collecte de renseignements. Ce n’est pas ce que font normalement les entreprises. En outre, la taille et l’échelle de ces sondes – et surtout leur persistance – pointe vers les acteurs étatiques. Tout se passe comme si l’armée électronique d’une nation essayait de calibrer ses armes dans l’éventualité d’une cyberguerre. Cela me rappelle le programme de la guerre froide des États-Unis qui consistait à envoyer des avions à haute altitude au-dessus de l’Union soviétique pour forcer son système de défense aérienne à s’activer, et ainsi cartographier ses capacités.

Pouvons-nous y faire quelque chose ? Pas vraiment. Nous ne savons pas d’où viennent les attaques. Les données que je vois suggèrent la Chine, une évaluation partagée par les gens auxquels j’en ai parlé. Mais d’autre part, il est possible de dissimuler le pays d’origine de ces sortes d’attaques. La NSA, qui exerce plus de surveillance sur la colonne vertébrale d’Internet que tout le reste du monde combiné, a probablement une meilleure idée, mais à moins que les États-Unis ne décident d’en faire un incident diplomatique international, on ne nous dira pas à qui l’attribuer.

Mais c’est ce qui se passe. Et ce que les gens devraient savoir.

 

  • Pour aller plus loin, un article en anglais qui reprend et discute des arguments de Bruce Schneier, sans le contredire toutefois.

Photo de Bruce Schneier par Terry Robinson CC BY-SA 2.0

Attaque sournoise
Attaque sournoise




Bientôt l’Internet des objets risqués ?

Il sera peut-être une nouvelle fois traité de Cassandre et de parano, mais Bruce Schneier enfonce le clou !

Sensible aux signaux qu’envoient de façon croissante les faits divers mettant en cause les objets connectés — le fameux Internet des objets pour lequel « se mobilise » (sic) la grande distribution avec la French Techce spécialiste de la sécurité informatique qui a rejoint récemment le comité directeur du projet Tor veut montrer que les risques désormais ne concernent plus seulement la vie numérique mais bien, directement ou non, la vie réelle. Il insiste aussi une fois encore sur les limites de la technologie et la nécessité d’un volontarisme politique.

Quand l’internet des objets menace la sécurité du monde réel

par Bruce Schneier

Article original sur son blog Real-World Security and the Internet of Things

Traduction Framalang : Valdo, KoS, serici, audionuma, goofy

BruceSchneierByTerryRobinson
Photo par Terry Robinson (licence CC BY-SA 2.0)

Les récits de catastrophes qui impliquent l’Internet des objets sont à la mode. Ils mettent en scène les voitures connectées (avec ou sans conducteur), le réseau électrique, les barrages hydroélectriques et les conduits d’aération. Un scénario particulièrement réaliste et vivant, qui se déroule dans un avenir proche, a été publié le mois dernier dans New York Magazine, décrivant une cyberattaque sur New York qui comprend le piratage de voitures, du réseau de distribution de l’eau, des hôpitaux, des ascenseurs et du réseau électrique. Dans de tels récits, un chaos total s’ensuit et des milliers de gens meurent. Bien sûr, certains de ces scénarios exagérèrent largement la destruction massive, mais les risques pour les individus sont bien réels. Et la sécurité classique des ordinateurs et des réseaux numériques n’est pas à la hauteur pour traiter de tels problèmes.

La sécurité traditionnelle des informations repose sur un triptyque : la confidentialité, l’intégrité et l’accès. On l’appelle aussi « C.I.A », ce qui, il faut bien le reconnaître, entretient la confusion dans le contexte de la sécurité nationale. Mais fondamentalement, voici les trois choses que je peux faire de vos données : les voler (confidentialité), les modifier (intégrité), ou vous empêcher de les obtenir (accès).

« L’internet des objets permettra des attaques que nous ne pouvons même pas imaginer. »

Jusqu’à présent, les menaces occasionnées par internet ont surtout concerné la confidentialité. Elles peuvent coûter cher; d’après cette étude chaque piratage de données a coûté 3.8 millions de dollars en moyenne. Elles peuvent s’avérer très gênantes, c’était le cas par exemple quand des photos de célébrités ont été volées sur le cloud d’Apple en 2014 ou lors du piratage du site de rencontres Ashley Madison en 2015. Elles peuvent faire des dégâts, comme quand le gouvernement de Corée du Nord a volé des milliers de documents à Sony ou quand des hackers ont piraté 83 millions de comptes de la banque JPMorgan Chase, dans les deux cas en 2014. Elles peuvent menacer la sécurité nationale, on l’a vu dans le cas du piratage de l’Office of Personnel Management par — pense-t-on — la Chine en 2015.

Avec l’Internet des objets, les menaces sur l’intégrité et la disponibilité sont plus importantes que celles concernant la confidentialité. C’est une chose si votre serrure intelligente peut être espionnée pour savoir qui est à la maison. C’est autre chose si elle peut être piratée pour permettre à un cambrioleur d’ouvrir la porte ou vous empêcher de l’ouvrir. Un pirate qui peut vous retirer le contrôle de votre voiture ou en prendre le contrôle est bien plus dangereux que celui qui peut espionner vos conversations ou pister la localisation de votre voiture.

Avec l’avènement de l’internet des objets et des systèmes physiques connectés en général, nous avons donné à Internet des bras et des jambes : la possibilité d’affecter directement le monde physique. Les attaques contre des données et des informations sont devenues des attaques contre la chair, l’acier et le béton.

Les menaces d’aujourd’hui incluent des hackers qui font s’écraser des avions en s’introduisant dans des réseaux informatiques, et qui désactivent à distance des voitures, qu’elles soient arrêtées et garées ou lancées à pleine vitesse sur une autoroute. Nous nous inquiétons à propos des manipulations de comptage des voix des machines de vote électronique, des canalisations d’eau gelées via des thermostats piratés, et de meurtre à distance au travers d’équipements médicaux piratés. Les possibilités sont à proprement parler infinies. L’internet des objets permettra des attaques que nous ne pouvons même pas imaginer.

thermostat connecté
Thermostat connecté, photo par athriftymrs.com, licence CC BY-SA 2.0

L’accroissement des risques provient de trois choses : le contrôle logiciel des systèmes, les interconnexions entre systèmes, et les systèmes automatiques ou autonomes. Jetons un œil à chacune d’entre elles.

Contrôle logiciel. L’internet des objets est le résultat de la transformation de tous les objets en ordinateurs. Cela nous apporte une puissance et une flexibilité énormes, mais aussi des insécurités par la même occasion. À mesure que les objets deviennent contrôlables de façon logicielle, ils deviennent vulnérables à toutes les attaques dont nous avons été témoins contre les ordinateurs. Mais étant donné qu’un bon nombre de ces objets sont à la fois bon marché et durables, la plupart des systèmes de mise à jour et de correctifs qui fonctionnent pour les ordinateurs et les téléphones intelligents ne fonctionneront pas ici. À l’heure actuelle, la seule manière de mieux sécuriser les routeurs individuels c’est de les jeter à la poubelle pour en acheter de nouveaux. Et la sécurité que vous obtenez en changeant fréquemment d’ordiphone ou d’ordinateur ne servira à rien pour protéger votre thermostat ou votre réfrigérateur : en moyenne vous changez ce dernier tous les 15 ans, et l’autre à peu près… jamais. Une étude récente de Princeton a découvert 500 000 appareils non sécurisés sur Internet. Ce nombre est sur le point d’augmenter de façon explosive.

Interconnexions. Ces systèmes devenant de plus en plus interconnectés, une vulnérabilité de l’un entraîne des attaques contres les autres. Nous avons déjà vu des comptes Gmail compromis à cause d’une vulnérabilité dans un réfrigérateur connecté Samsung, le réseau d’un hôpital compromis à cause de vulnérabilités dans du matériel médical et l’entreprise Target piratée à cause d’une vulnérabilité dans son système d’air conditionné. Les systèmes sont soumis à nombre d’externalités qui affectent d’autres systèmes de façon imprévisible et potentiellement dangereuse. Ce qui peut sembler bénin aux concepteurs d’un système particulier peut s’avérer néfaste une fois combiné à un autre système. Les vulnérabilités d’un système peuvent se répercuter sur un autre système et le résultat sera une vulnérabilité que personne n’a vu venir et que personne ne prendra la responsabilité de corriger. L’internet des objets va rendre les failles exploitables beaucoup plus communes. C’est mathématique. Si 100 systèmes interagissent entre eux, cela fait environ 5000 interactions et 5 000 vulnérabilités potentielles résultant de ces interactions. Si 300 systèmes interagissent entre eux, c’est 45 000 interactions. 1 000 systèmes : 12,5 millions d’interactions. La plupart seront bénignes ou sans intérêt, mais certaines seront très préjudiciables.

connectedHuman
Image par Omran Jamal lic. CC BY 2.0

Autonomie. Nos systèmes informatiques sont des plus en plus autonomes. Ils achètent et vendent des actions, allument et éteignent la chaudière, régulent les flux d’électricité à travers le réseau et, dans le cas des voitures autonomes, conduisent des véhicules de plusieurs tonnes jusqu’à destination. L’autonomie est une bonne chose pour toutes sortes de raisons, mais du point de vue de la sécurité, cela signifie qu’une attaque peut prendre effet immédiatement et partout à la fois. Plus nous retirons l’humain de la boucle, plus les attaques produiront des effets rapidement et plus nous perdrons notre capacité à compter sur une vraie intelligence pour remarquer que quelque chose ne va pas avant qu’il ne soit trop tard.

« Les risques et les solutions sont trop techniques pour être compris de la plupart des gens. »

Nous construisons des systèmes de plus en plus puissants et utiles. Le revers de la médaille est qu’ils sont de plus en plus dangereux. Une seule vulnérabilité a forcé Chrysler à rappeler 1,4 million de véhicules en 2015. Nous sommes habitués aux attaques à grande échelle contre les ordinateurs, rappelez-vous les infections massives de virus de ces dernières décennies, mais nous ne sommes pas préparés à ce que cela arrive à tout le reste de notre monde.

Les gouvernements en prennent conscience. L’année dernière, les directeurs du renseignement national James Clapper et de la NSA Mike Rogers ont témoigné devant le Congrès, mettant l’accent sur ces menaces. Tous deux pensent que nous sommes vulnérables.

Voici comment cela a été formulé dans le rapport sur les menaces mondiales du DNI :

La plupart des discussions sur les menaces numériques traitent de la disponibilité et de la confidentialité des informations ; l’espionnage en ligne s’attaque à la confidentialité, là où les attaques par déni de service ou les effacements de données menacent la disponibilité. À l’avenir, en revanche, nous verrons certainement apparaître des opérations modifiant les informations électroniques dont l’objectif sera de toucher à leur intégrité (c’est à dire leur précision et leur fiabilité) plutôt que de les effacer ou d’empêcher leur accès. Le processus de prise de décision des responsables gouvernementaux (civils ou militaires), des chefs d’entreprises, des investisseurs et d’autres sera handicapé s’ils ne peuvent faire confiance à l’information qu’ils reçoivent.

Le rapport sur l’évaluation de la menace pour 2016 mentionnait quelque chose de similaire :

Les futures opérations cybernétiques attacheront presque à coup sûr une plus grande importance à la modification et à la manipulation des données destinées à compromettre leur intégrité (c’est-à-dire la précision et la fiabilité) pour influencer la prise de décision, réduire la confiance dans les systèmes ou provoquer des effets physiques indésirables. Une plus large adoption des appareils connectés et de l’intelligence artificielle — dans des environnements tels que les services publics et la santé — ne fera qu’exacerber ces effets potentiels.

Les ingénieurs en sécurité travaillent sur des technologies qui peuvent atténuer une grande partie de ce risque, mais de nombreuses solutions ne seront pas déployées sans intervention du gouvernement. Ce n’est pas un problème que peut résoudre le marché. Comme dans le cas de la confidentialité des données, les risques et les solutions sont trop techniques pour être compris de la plupart des gens et des organisations ; les entreprises sont très désireuses de dissimuler le manque de sécurité de leurs propres systèmes à leurs clients, aux utilisateurs et au grand public ; les interconnexions peuvent rendre impossible d’établir le lien entre un piratage et les dégâts qu’il occasionne ; et les intérêts des entreprises coïncident rarement avec ceux du reste de la population.

Il faut que les gouvernements jouent un rôle plus important : fixer des normes, en surveiller le respect et proposer des solutions aux entreprises et aux réseaux. Et bien que le plan national d’action pour la cybersécurité de la Maison Blanche aille parfois dans la bonne direction, il ne va sûrement pas assez loin, parce que beaucoup d’entre nous avons la phobie de toute solution imposée par un gouvernement quelconque.

Le prochain président sera probablement contraint de gérer un désastre à grande échelle sur Internet, qui pourrait faire de nombreuses victimes. J’espère qu’il ou elle y fera face à la fois avec la conscience de ce que peut faire un gouvernement et qui est impossible aux entreprises, et avec la volonté politique nécessaire.

 

Bruce Schneier est un spécialiste reconnu en matière de sécurité informatique, sur laquelle il a publié plusieurs livres et de nombreux articles sur son blog schneier.com.

SchneierQuote
Citation recueillie par le site AZ Quotes « Si vous croyez que la technologie peut résoudre vos problèmes de sécurité, c’est que vous ne comprenez pas les problèmes et que vous ne comprenez pas la technologie. »




L’anonymat en ligne avec Tor, c’est Nos oignons !

Comme beaucoup d’internautes, vous êtes ces dernières années de plus en plus préoccupé par la confidentialité de vos données et de vos communications.

Vous avez renforcé et renouvelé vos mots de passe, installé des extensions qui filtrent ou bloquent les contenus indésirables, vous luttez contre le pistage des GAFAM au cours de votre navigation, vous êtes en voie de dégooglisation, mais vous n’avez peut-être pas osé aborder une étape plus délicate et technique comme celle qui consiste à chiffrer vos échanges et vos disques durs, pas osé non plus utiliser le réseau Tor. C’est bien compréhensible, vous reculez un peu devant ce qui vous semble plus complexe et vous ne savez pas exactement de quoi il retourne… On entend dire des choses tellement inquiétantes aussi !

Liste des utilisateurs potentiels du réseau Tor
Tout le monde peut trouver des avantages à utiliser Tor

Eh bien nous vous proposons aujourd’hui d’apprendre un peu mieux ce qu’est réellement ce réseau Tor, pour démystifier ce qui peut s’avérer d’un usage quotidien pour beaucoup d’entre nous.

Vous en doutez ? Pourtant emprunter les trajectoires zigzagantes de Tor est non seulement parfaitement légal mais aussi tout à fait utile et à la portée d’un vaste public.

Mais pour commencer, qu’est-ce que c’est au juste que Tor ? Comment ça marche, est-ce que c’est dangereux ? Comment peut-on l’essayer sans trop de difficultés ?

Pour répondre à ces questions, autant s’adresser directement à ceux sont sur le terrain et connaissent la question. Nous avons la chance d’avoir Nos oignons une jeune association francophone qui s’active pour multiplier les nœuds de sortie dont… STOOOOP ! Écoutons-les plutôt.

Merci à ned, syl, Chre, Cor, gagz, nicoo, Lunar, aeris et à tous ceux de l’association qui ont collectivement et gentiment répondu aux questions un peu… comment dire — enfin des questions de Goofy, quoi.

Tor c’est pour aller sur le Darknet, là où se trouvent les trafiquants de drogue et les terroristes, pourquoi vous voudriez que les internautes ordinaires y accèdent aussi ?

Utiliser Tor permet de retrouver un peu d’intimité quand on utilise Internet. Tout comme mettre une lettre dans une enveloppe, des rideaux à nos fenêtres ou son téléphone sur liste rouge, cela permet de retrouver le pouvoir de décider avec qui partager notre quotidien.
Des personnes qui veulent se livrer à des activités illégales vont bien entendu chercher à se cacher. Mais cela ne peut pas justifier d’espionner tout le monde. Tor est là pour nous aider à disposer de nos droits fondamentaux : libertés d’opinion, d’expression, d’association, de communication. Ces droits humains s’appliquent à tou·te·s, sans discrimination.

Ce qu’il faut comprendre, c’est que même si Tor était interdit, des activités illégales continueraient d’exister sur Internet sous d’autres formes et en utilisant d’autres outils. Il y a déjà sur Internet des activités illégales n’utilisant pas Tor.

Moi je veux bien essayer Tor, mais je ne veux pas d’ennuis avec la police, hein. Qu’est-ce que vous faites quand les services de police vous demandent de fournir des renseignements sur des utilisateurs considérés comme suspects ?
On leur dit la simple vérité : nous n’avons pas ces renseignements, d’une part parce que nous ne gardons pas trace de ce que les usagers font avec Tor, d’autre part parce que le réseau est conçu pour qu’il nous soit impossible de remonter à la source des communications.

C’est le moment de schématiser le fonctionnement de Tor.

Regardez d’abord comme la transmission des informations numériques est perméable à toutes sortes de gens ou institutions lorsqu’on n’utilise ni Tor ni https (le protocole sécurisé) :
tor-and-https-0
Maintenant, avec ces deux outils mis en place, observez que les diverses oreilles indiscrètes n’ont plus d’accès aux données que vous transmettez. Les trois relais Tor qui assurent ainsi votre anonymat sont d’ailleurs eux-mêmes « aveugles » à vos données. Chacun d’eux ne reçoit et transmet que des données chiffrées dont il ignore l’émetteur d’origine.
tor-and-https-3

Il paraît que la NSA a glissé ses propres nœuds Tor dans le réseau, alors il est compromis ou bien je peux avoir confiance ?
Même si c’est toujours intéressant intellectuellement d’y réfléchir, on a rarement affaire à une organisation aussi puissante que la NSA. La plupart du temps, on cherche à se protéger de publicitaires qui veulent nous bourrer le crâne, de patrons qui veulent nous empêcher de bosser tranquilles, de conjoints inquisiteurs, d’un filtre trop agressif dans une gare… Moins souvent, on veut protéger des communications confidentielles avec des médecins, des avocat·e·s, des journalistes… On est donc rarement une cible directe de la NSA. Et c’est tant mieux parce que si elle se débrouille pour pirater notre ordinateur, il sera facile de nous espionner, que nous utilisions Tor ou non.
Néanmoins, si la NSA faisait tourner des nœuds, ce ne serait pas nécessairement un problème. Le réseau Tor est conçu pour résister à la présence de nœuds sous surveillance tant qu’ils ne sont pas nombreux ou qu’ils sont surveillés par des adversaires différents. Des bénévoles font activement la chasse pour trouver des nœuds qui interfèrent avec les données échangées, ou des nœuds trop semblables qui apparaissent.

Il faut savoir qu’un adversaire comme la NSA, qui dispose de la capacité de surveiller directement les réseaux de communication, n’a nul besoin de faire tourner des relais Tor pour tenter de désanonymiser ses utilisateur·ice·s. En effet, plutôt que de s’embêter à faire tourner des relais, il suffit d’observer d’où vient et où va le trafic qui transite par les relais.
Tout serait donc perdu ? De ce qu’on en sait, bien au contraire : les documents internes que nous a transmis Edward Snowden nous ont permis de mieux comprendre l’étendue des possibilités de la NSA. La présentation interne intitulée « Tor Stinks » (Tor, ça pue), datée de 2012, explique qu’il est possible de retrouver le chemin d’une fraction des connexions traversant Tor, mais il est impossible de « désanonymiser » toutes les connexions tout le temps et il est très difficile de le faire avec une cible précise en tête.

À notre connaissance, Tor reste efficace contre la surveillance de masse, et rend bien plus compliquées les attaques ciblées.

Je me rends compte que tester Tor est à ma portée ! Un navigateur est disponible pour cela, c’est Torbrowser. Il me suffit d’aller sur le site https://www.torproject.org/projects/torbrowser.html.en et de choisir la bonne version :

Torstep0

une fois qu’elle est téléchargée et installée, je choisis mon type d’usage :

Torstep1

et me voilà prêt à naviguer en circulant de façon anonyme sur le Web.

torstep2

Bon, Tor c’est bien, mais quelles précautions faut-il que je prenne en plus selon vous, car Tor n’est pas une garantie contre tous les risques, hein ?
En effet ! Tor permet vraiment deux choses : empêcher le fournisseur d’accès Internet de surveiller les sites qu’on visite ; et empêcher que les sites apprennent où l’on se trouve malgré nous. Tor Browser contient des myriades de petites fonctionnalités pour empêcher que deux sites différents puissent apprendre qu’une même personne les visite tous les deux. Mais utiliser Tor Browser ne protégera pas forcément la connexion jusqu’au site visité, pour cela il faut veiller à ce que la connexion se fasse en HTTPS.

Tor n’est pas une poudre magique à « sécuriser » : la plupart des logiciels ont des défauts, Tor Browser est par exemple mis à jour toutes les six semaines afin de pouvoir colmater des brèches de sécurité le plus vite possible. Les connexions entre le réseau Tor et le site Internet auquel on accède peuvent être surveillées. Tor ou pas Tor, l’heure d’une connexion peut parfois permettre d’identifier une personne lorsqu’il y a peu de suspects.
Pour établir une analogie un peu bancale : mettre sa ceinture en voiture n’empêche pas les accidents, mais est-ce une bonne raison pour ne pas la mettre ?

Utiliser Tor ne protégera pas les échanges à partir d’un site : ça ne change rien à la sécurité des messages échangés via Twitter ou un webmail. Se « garantir contre tous les risques », c’est forcément un processus, pas un produit. Par exemple, des images contenant le numéro de série de l’appareil qui a servi à prendre les photos dans les métadonnées peuvent permettre d’identifier la source d’une journaliste, que les images aient été transférées en utilisant Tor ou pas.

Ah ben je découvre qu’il existe une liste impressionnante de projets connexes à Tor ? Pourquoi a-t-on besoin de tout cet écosystème ? Quels sont les principaux types de projets associés et quels sont ceux auxquels vous (Nos oignons) participez ?
Il y a effectivement plein de projets liés à Tor, en plus de Tor (le logiciel qui sert à faire tourner le réseau) : le navigateur Tor, HTTPS Everywhere, les logiciels de messagerie instantanée Tor Messenger et Ricochet, Pond (une alternative aux emails)…
C’est principalement pour pouvoir mieux protéger les usagers de Tor : par exemple, Tor Browser est une version de Mozilla Firefox équipée de contre-mesures pour éviter qu’on puisse vous pister de connexion en connexion.  Pond est un logiciel expérimental qui vise à fournir un service similaire aux emails, mais qui masque l’existence même d’une communication entre deux usagers donnés…
Il existe également Tails qui est un système d’exploitation live (i.e. qui peut fonctionner sur une clé USB sans installation sur un ordinateur) dont tous les logiciels intégrés passent par Tor. Utiliser un système spécialement conçu pour limiter les traces et les fuites comme Tails constitue une aide précieuse pour s’épargner des erreurs.
Notre équipe d’administration système contribue aussi à l’amélioration du projet Debian (la distribution GNU/Linux que nous utilisons principalement), entre autres sur la sécurité des services que nous utilisons, et une importante quantité de documentation, accessible à tou·te·s, couvre la configuration de nos services, leur sécurisation et les procédures que nous employons. Des membres de Nos oignons ont également créé graphnion pour afficher des graphes de relais.

Mais… c’est quoi les « services cachés » de Tor, encore un truc de fraudeurs pour échapper à la TVA sur les services ?
Pas vraiment… on parle de plus en plus de  services « .onion » ces temps-ci car de plus en plus de services sont accessibles publiquement ainsi.
Le fonctionnement habituel de Tor, c’est de permettre de se connecter à des sites Internet existants. Quand on utilise les services .onion, la connexion se fait vers un serveur qui utilise lui aussi Tor. Par exemple, cela permet pour une personne qui tient un blog politique d’être plus difficile à identifier par celles et ceux qui voudraient lui chercher des noises. Un autre intérêt est de s’assurer que les usagers du service « onion » n’y accèdent pas accidentellement sans Tor ; c’est en particulier utilisé par les systèmes de prise de contact avec les journalistes (comme « SecureDrop »), pour s’assurer que les sources ne s’exposent pas accidentellement. Depuis peu, on voit aussi de plus en plus de sites proposer un accès en .onion en plus de leur accès Internet habituel. Le plus utilisé est probablement Facebook. L’usage du .onion permet de garantir que la connexion se fait au bon serveur, et de bénéficier de la totalité de la bande passante du réseau Tor, sans être contraint par le nombre limité de nœuds de sortie.

Votre association gère aussi des « signalements d’abus ». De quoi s’agit-il ?
Parfois, des gens nous contactent pour nous informer d’un problème en provenance de nos serveurs : une tentative d’utiliser « toto123 » comme mot de passe sur un service Web, l’envoi de spam, ou encore des services qui trouvent que recevoir autant de connexions en provenance d’une même adresse Internet partagée par plusieurs personnes, c’est suspect. On leur explique alors que nous gérons des relais Tor et que nous ne sommes donc pas la source du problème. Cela dit, notre expérience est que seule une petite quantité de personnes utilisent Tor pour être pénibles : le nombre de signalements que nous recevons est bien faible en comparaison de la quantité de données que les relais de Nos oignons font transiter chaque mois.

En lisant votre documentation, on voit que vous cherchez à avoir davantage de « relais » ou des « nœuds de sortie », c’est la même chose ou non ?
Pas tout à fait : les relais (ou nœuds) sont les ordinateurs faisant partie du réseau Tor ; les nœuds de sortie sont ceux qui permettent de joindre des sites Internet existants. Pour ces sites, il est facile de penser que le nœud de sortie est à l’origine de la connexion. En cas d’usage malintentionné de Tor, c’est donc souvent l’opérateur du nœud de sortie qui est consulté. Ça représente plus de travail que de faire tourner un relais « simple ».

Est-ce que tous les opérateurs acceptent qu’on mette son ordinateur au service du réseau Tor ?
Pour les nœuds de sortie, beaucoup d’opérateurs ou d’hébergeurs ont des clauses qui leur permettent de couper l’accès sans préavis, à cause des plaintes qui pourraient leur arriver. Cela n’empêche pas d’utiliser Tor ou de faire tourner des points d’entrée prévus qui permettent de contourner les dispositifs de censure (appelés « bridges »).
D’autre part, faire tourner un nœud de sortie chez soi n’est pas très utile, à cause de la bande passante limitée et de la gestion des risques liés aux abus. Il est plus utile d’aider Nos oignons à financer de nouveaux nœuds de sortie. 🙂

Le projet Tor se bat contre tous ceux qui voudraient faire disparaître l’anonymat, partout dans le monde. Mais en France, quelle est la situation, avec les lois sécuritaires qui s’empilent ? Tor est-il menacé ? Faut-il dès maintenant envisager un repli vers autre chose ?
L’anonymat est essentiel pour l’exercice des libertés fondamentales, particulièrement la liberté d’opinion. Tor n’est pour l’instant pas directement menacé en France. On sait toutefois que certains policiers souhaiteraient empêcher son usage, et que plus généralement, l’élite politique comprend mal les enjeux autour du chiffrement, comme on peut le voir autour de l’affaire FBI contre Apple couverte par les médias aux mois de mars-avril 2016.

Adopter Tor

Quoi qu’il en soit, Tor est conçu pour être un outil de contournement de la censure. Tor fonctionne même dans des pays particulièrement répressifs comme la Chine ou l’Iran qui disposent pourtant d’une capacité de filtrage et d’une politique répressive bien supérieures à ce qui existe en France actuellement. Réprimer l’utilisation de Tor risque d’être aussi efficace que de réprimer le partage d’œuvres en pair-à-pair : c’est un logiciel libre, facile à installer et à diffuser. En revanche il est clair que contribuer au projet, sous forme de code ou de relais pourrait être rendu plus difficile ou dangereux.

Il est donc important que les dizaines d’organisations et la centaine de particuliers qui font tourner des relais en France s’allient aux millions de personnes (dont une centaine de milliers en France !) qui utilisent régulièrement Tor. Restons vigilant·e·s et défendons nos libertés.

Tor a été conçu en partant du principe qu’il existera toujours des endroits où il sera possible de faire tourner des relais, où il sera possible de travailler à améliorer les logiciels et en faire la promotion.

Plusieurs projets envisagent un modèle beaucoup plus distribué et encore plus difficile à arrêter, mais c’est tout de suite plus compliqué comme problème à résoudre : ça pose la question de la compatibilité avec l’existant, et pour l’instant, rien n’est prêt pour le grand public. Il aura fallu dix ans à Tor pour être accessible à tout le monde. C’est important de soutenir ces projets le temps qu’ils mûrissent. Si Tor est remplacé un jour par un système plus fiable, ce sera tant mieux !

Je vois que vous utilisez une ribambelle de logiciels libres (Debian, Postfix, Mailman, Schleuder, SpamAssassin, BIND, Apache, Ikiwiki, Git, Keyringer, et encore de nombreux autres…) : le projet Tor serait-il possible sans des logiciels libres ?
Au-delà du fait qu’on ne peut pas faire confiance à un logiciel dont il est impossible de vérifier le fonctionnement, Tor doit rester accessible à toutes et tous. Personne de devrait avoir à payer pour pouvoir échapper au sentiment d’être surveillé·e. Mais partant de là, les ressources du projet sont plutôt limités. L’intérêt des logiciels libres est aussi de permettre de construire des solutions sur-mesure en assemblant plusieurs logiciels qui existent déjà. Ou alors de pouvoir demander de l’aide à d’autres personnes qui partagent les objectifs du projet Tor tout en travaillant sur d’autres projets. C’est important de pouvoir faire confiance à une communauté. Le projet Tails, par exemple, explique bien cette question de la chaîne de confiance en œuvre dans le logiciel libre.

De quoi avez-vous le plus besoin ? De compétences techniques, d’argent, de matériel, d’hébergement… ?

logoNosOignons
Le saviez-vous ? TOR est l’acronyme de The Onion Router, le routeur oignon. Sur le logo de l’association on voit en pointillés le trajet des données, chaque oignon-relais assure l’anonymat.

Nos oignons a bien sûr besoin d’argent pour payer l’hébergement de ses relais actuels et en ouvrir de nouveaux. Les dons réguliers sont précieux car ils nous permettent de mieux voir venir. Pour ce qui est des activités bénévoles, il y a beaucoup plus à faire côté communication et administratif que technique. On essaye d’accueillir toutes les bonnes volontés au mieux !

Actuellement, nous sommes particulièrement à la recherche de nouveaux hébergeurs, prêts à accepter un nœud de sortie Tor avec une bande passante conséquente. C’est nécessaire pour contribuer à la diversité du réseau : répartir les relais Tor chez le plus possible d’hébergeurs participe à la sécurité du réseau.

Message reçu ! Que nos lecteurs les plus aguerris rejoignent Nos oignons !

 

Quelques liens pour aller plus loin :




Surveillance n’est pas synonyme de sécurité

Aux suites des attentats de janvier, le Framablog titrait « Patriot act à la française ? Pour nous, c’est NON ! ». Le projet de loi sur le renseignement de 2015, faisant suite aux lois antiterroristes de 2014 et à la loi de programmation militaire 2013 témoigne d’une volonté claire de légaliser la surveillance de masse en France.

Cory Doctorow, écrivain et activiste bien connu du monde Libre, nous rappelle encore une fois que surveillance et sécurité ne sont pas des synonymes… Son écriture est tellement riche que nous avons choisi d’éluder deux passages dont les références intensément anglo-saxonnes auraient demandé bien des explications nous détournant de son propos simple et efficace.

Pouhiou

Non, messieurs les ministres, plus de surveillance ne nous apportera pas plus de sécurité !

Traduction Framalang par : Simon, goofy, audionuma, Vinm, nilux, yog, Joe, r0u, Maéva, sc
Source : Article de Cory Doctorow sur The Guardian

 

Cory Doctorow CC-BY-SA Jonathan Worth

On se croirait dans Un jour sans fin. Cette sensation, lorsque les mêmes mauvaises idées sur Internet refont surface. On se réveille à la case départ, comme si tout ce pourquoi nous nous sommes battus avait été balayé pendant la nuit.[…]

Le fait que des tueurs déséquilibrés aient assassiné des défenseurs de la liberté d’expression ne rend pas moins stupide et ni moins irréalisable la surveillance de masse (à ne pas confondre avec, vous savez, la surveillance de djihadistes soupçonnés de préparer des actes de terrorisme, à quoi les barbouzes français ont échoué, probablement parce qu’ils étaient trop occupés à chercher des aiguilles dans les bottes de foin avec leur surveillance de masse).

La semaine dernière, lors d’un débat intitulé « l’après Snowden » à la London School of Economics and Political Science (LSE), un intervenant a rappelé que des projets de surveillance de masse avaient déjà été proposés — et débattus à la LSE — depuis des dizaines d’années, et qu’à chaque fois ils avaient été jugés dénués d’intérêt. Ils coûtent cher et ils détournent les policiers des personnes qui ont fait des choses vraiment suspectes (comme les frères Tsarnaïev auxquels les agences d’espionnage américaines ont cessé de s’intéresser car elles étaient trop occupées avec les montagnes de données issues de leurs « détecteurs de terrorisme » pour suivre effectivement des gens qui avaient annoncé leur intention de commettre des actes terroristes).

De fait, il y a eu des tentatives pour créer des bases de données de surveillance centralisées dès que les gens « normaux » ont commencé à utiliser des ordinateurs dans leur vie quotidienne. […]

Pourquoi cette idée ne cesse-t-elle de revenir, malgré les preuves connues de son inefficacité ? Un jour, j’ai posé cette question à Thomas Drake et Bill Binney, deux lanceurs d’alerte de l’ère pré-Snowden. Ils ne savaient pas vraiment pourquoi, mais l’un d’eux m’a dit qu’il pensait que c’était une conséquence de l’émergence d’une fonction publique hégémonique : avec des espions aux budgets extensibles à l’infini, toujours plus de rapports sur l’organigramme, toujours plus de pouvoir, et d’accès à des postes haut placés — et fortement rémunérés dans le secteur privé lorsqu’ils quittent le gouvernement.

Ce dernier point à propos des postes dans le secteur privé sonne particulièrement vrai. Keith Alexander, anciennement directeur de la NSA, a bien quitté son poste de fonctionnaire pour fonder une société de conseil en sécurité qui facture ses prestations 1 million de dollars par mois. L’espionnage est un business, après tout : les opérateurs BT et Vodafone reçoivent de l’argent du GCHQ contre un accès illégal à leurs installations de fibre optique. L’énorme data center de la NSA à Bluffdale dans l’Utah, construit par des entreprises privées, a couté 1,5 milliard de dollars au contribuable américain.

N’oubliez pas qu’Edward Snowden ne travaillait pas pour la NSA : il était sous-traitant de Booz Allen Hamilton, une entreprise qui s’est fait 5,4 milliards de dollars en 2014. Chaque nouveau grand projet de surveillance de la NSA est un contrat potentiel pour Booz Allen Hamilton.

Autrement dit, l’espionnage généralisé n’attrape pas les terroristes, mais il rapporte gros aux sous-traitants de l’armée et aux opérateurs telecom. Dans la surveillance de masse, politique et modèle économique vont de pair.

Nous vivons dans un monde où les mesures politiques ne s’inspirent plus des observations. […] Il y a un curieux contraste entre ce que les gouvernements disent vouloir faire et ce qu’ils font réellement. Que l’objectif stratégique soit d’attraper des terroristes, éduquer des enfants ou améliorer la santé publique, les tactiques déployées par le gouvernement n’ont pas grand-chose à voir avec ce que les observations suggéreraient de faire.

Au contraire, systématiquement et peu importe le domaine, les mesures qui l’emportent sont celles qui ont un modèle économique rentable. Des mesures qui créent de la richesse en abondance pour un petit nombre d’acteurs, suffisamment d’argent concentré dans assez peu de mains pour qu’il reste de quoi financer le lobbying qui perpétuera cette politique.

C’est un peu comme à l’épicerie : la vraie nourriture, comme les fruits, la viande, les œufs, etc. ne sont que de la nourriture. Il n’y a pas grand-chose à dire à leur sujet. Vous ne pouvez pas vanter les qualités nutritionnelles des carottes (pour la santé) : vous devez en extraire le bêta-carotène et le vendre comme une essence magique de carotte bonne pour la santé (et peu importe que la substance s’avère cancérigène une fois extraite de la carotte). C’est pourquoi Michael Pollen conseille de ne manger que la nourriture dont personne ne vante les bienfaits. Mais la majorité des choses disponibles dans votre épicerie, et pour lesquelles on vous fera de la publicité sont les choses que Michael Pollen déconseille fortement de manger, à savoir des produits avec des marges tellement juteuses qu’elles génèrent un surplus de profit qui permet d’en financer la publicité.

« Ne pas être constamment espionné » ne correspond à aucun modèle économique. Les avantages d’une telle politique sont diffus. D’une part, vous ne serez pas interdit de vol à cause d’un algorithme incompréhensible, vous ne serez pas arrêté pour avoir pris le mauvais virage puis pris pour cible par un devin du Big Data qui trouvera vos déplacements inhabituels, vous rendant intéressant à ses yeux. D’autre part, vous serez libre de discuter de sujets intimes avec les gens que vous avez choisis. De savoir que votre gouvernement protège votre ordinateur plutôt que d’en faire une arme au cas où il décide d’en faire un traître, un espion dans votre environnement. Combinés, ces avantages valent bien plus pour nous que l’argent sale de British Telecom vaut pour ses actionnaires, mais nos avantages sont diffus et sur le long terme, alors que ceux de BT sont concentrés et sur le court terme.

Alors on nous ressert la « Charte de l’Espionnage », encore et encore. Parce que les lobbyistes ont l’argent pour appuyer son adoption et la marteler dans la presse à chaque fois qu’elle ressurgit. La mort de défenseurs de la liberté d’expression vaut de l’or quand il s’agit de l’exploiter pour demander un renforcement de la surveillance.

L’automne dernier, à l’ORGCon, j’ai vu une représentante de Reprieve (NdT : association de lutte contre la torture et la peine de mort) qui parlait de son travail consistant à compter et mettre des noms sur les victimes des frappes de drones US, notamment au Pakistan et au Yémen. Ces frappes sont dirigées par la CIA à l’aide de métadonnées (dixit Michael Hayden, ancien directeur de la CIA : « Nous tuons les gens en nous basant sur des méta-données ») telles que les identifiants uniques transmis par la puce radio de votre téléphone portable. Si des recoupements de métadonnées permettent aux analystes de la CIA de déduire qu’ils ont trouvé un terroriste, un drone se dirige vers ce téléphone et tue quiconque se trouve à proximité; mais même la CIA est souvent incapable de dire qui était la cible et qui d’autre a pu être tué.

Jennifer Gibson, la représentante de Reprieve, a expliqué que c’était lié à une modification du mode de fonctionnement de la CIA. Historiquement, la CIA était une agence de renseignement humain (« Humint »), qui faisait son travail en envoyant sur le terrain des espions déguisés qui parlaient aux populations. Aujourd’hui, c’est devenu une deuxième NSA, une agence de renseignement électronique (« Sigint »), qui aspire des données et tente d’y trouver un sens. Pourquoi les États-Unis se retrouvent-il avec deux agences de renseignement électronique au détriment de leurs capacités de renseignement humain ? Après tout, ce serait stratégiquement intéressant pour les États-Unis de savoir qui ils ont tué.

Je pense que c’est parce que le Sigint a un modèle économique. Il existe des marchés publics pour le Sigint. Et qui dit marchés publics, dit déjeuners dans des groupes de réflexion (think tank) grassement financés et dans les bureaux des lobbyistes pour dire aux membres du comité sur le renseignement du Sénat à quel point ces marchés sont importants pour le gouvernement. Les marchés publics sont propices aux avantages en nature. Ils créent de l’emploi dans le privé. Ils reviennent dans le circuit législatif par le biais de contributions aux campagnes.

Il n’y a pas grand-chose à se mettre sous la dent au sein de l’Humint. En dehors de l’occasionnel billet d’avion et de quelques postiches pour se déguiser, l’Humint consiste principalement à embaucher des gens pour qu’ils aillent fouiner à droite à gauche. Cela peut impliquer la corruption de fonctionnaires ou d’autres informateurs, mais c’est n’est pas le genre d’investissement gouvernemental qui rameute les lobbyistes au Capitole ou à Westminster.

Je pense qu’on admet généralement ceci dans le milieu politique depuis des années : si vous pensez qu’une chose peut être bonne pour la société, vous devez trouver comment elle peut enrichir davantage quelques personnes, de façon à ce qu’elles se battent pour la défendre jour après jour. C’est comme ça que le commerce de droits d’émission de carbone est né ! Une bonne leçon pour les activistes qui souhaitent atteindre leur objectif en créant un modèle économique autour de leur proposition politique : les gens que vous rendrez riches se battront pour que soit adoptée la mesure que vous proposez si elle les rend le plus riche possible, quitte à la détourner des améliorations pour la société qu’elle est censé apporter.




Sécurité de nos données : sur qui compter ?

Un des meilleurs experts indépendants en sécurité informatique résume ici parfaitement ce qui selon lui constitue un véritable problème : notre dépendance aux commodités que nous offrent les entreprises hégémoniques de l’Internet. Nous bradons bien facilement nos données personnelles en échange d’un confort d’utilisation dont on ne peut nier sans hypocrisie qu’il nous rend la vie quotidienne plus facile.

Dès lors que nous ne pouvons renoncer aux facilités que nous procurent Google, Facebook et tous les autres, pouvons-nous espérer que les technologies de sécurité nous épargnent un pillage de nos données personnelles ? Rien n’est moins sûr, selon Bruce Schneier, qui en appelle plutôt à la loi qu’à la technique.

 

Goofy.

 

Traduction Framalang : Simon, Docendo, KoS, goofy, audionuma, seb, panini, lamessen, Obny, r0u

Article original : Everyone Wants You To Have Security, But Not from Them

Ils veulent tous notre sécurité, mais pas grâce à d’autres

Bruce Schneier, exepert en sécurité informatiquepar Bruce Schneier

En décembre dernier, le PDG de Google Eric Schmidt a été interviewé lors d’une conférence sur la surveillance de l’Institut CATO. Voici une des choses qu’il a dites, après avoir parlé de certaines des mesures de sécurité que son entreprise a mises en place après les révélations de Snowden : « si vous avez des informations importantes, l’endroit le plus sûr pour les garder, c’est chez Google. Et je peux vous assurer que l’endroit le plus sûr pour ne pas les conserver en sécurité, c’est partout ailleurs ».

J’ai été surpris, parce que Google collecte toutes vos informations pour vous présenter la publicité la plus ciblée possible. La surveillance est le modèle économique d’Internet, et Google est l’une des entreprises les plus performantes en la matière. Prétendre que Google protège vos données mieux que quiconque, c’est méconnaître profondément ce pourquoi Google conserve vos données gratuitement.

Je m’en suis souvenu la semaine dernière lorsque je participais à l’émission de Glenn Back avec le pionnier de la cryptographie Whitfield Diffie. Diffie a déclaré :


Vous ne pouvez pas avoir de vie privée sans sécurité, et je pense que nous avons des défaillances flagrantes en sécurité informatique, pour des problèmes sur lesquels nous travaillons depuis 40 ans. Vous ne devriez pas vivre avec la peur d’ouvrir une pièce jointe dans un message. Elle devrait être confinée ; votre ordinateur devrait être en mesure de la traiter. Et si nous avons continué depuis des dizaines d’années sans résoudre ces problèmes, c’est en partie parce que c’est très difficile, mais aussi parce que beaucoup de gens veulent que vous soyez protégés contre tout le monde… sauf eux-mêmes. Et cela inclut tous les principaux fabricants d’ordinateurs qui, grosso modo, veulent contrôler votre ordinateur pour vous. Le problème, c’est que je ne suis pas sûr qu’il existe une alternative viable.

Cela résume parfaitement Google. Eric Schmidt veut que vos données soient sécurisées. Il veut que Google soit le lieu le plus sûr pour vos données tant que vous ne vous préoccupez pas du fait que Google accède à vos données. Facebook veut la même chose : protéger vos données de tout le monde sauf de Facebook. Les fabricants de matériels ne sont pas différents. La semaine dernière, on a appris que Lenovo avait vendu des ordinateurs avec un logiciel publicitaire préinstallé, appelé Superfish, qui casse la sécurité des utilisateurs pour les espionner à des fins publicitaires.

C’est la même chose pour les gouvernements. Le FBI veut que les gens utilisent un chiffrement fort, mais veut des portes dérobées pour pouvoir accéder à vos données. Le Premier ministre britannique David Cameron veut que vous ayez une sécurité efficace, tant qu’elle n’est pas trop forte pour vous protéger de son gouvernement. Et bien sûr, la NSA dépense beaucoup d’argent pour s’assurer qu’il n’y a pas de sécurité qu’elle ne puisse casser.

Les grandes entreprises veulent avoir accès à vos données pour leurs profits ; les gouvernements les veulent pour des raisons de sécurité, que ces raisons soient bonnes ou moins bonnes. Mais Diffie a soulevé un point encore plus important : nous laissons beaucoup d’entreprises accéder à nos informations parce que cela nous facilite la vie.

J’ai abordé ce point dans mon dernier livre, Data and Goliath :


Le confort est l’autre raison pour laquelle nous cédons volontairement des données hautement personnelles à des intérêts privés, en acceptant de devenir l’objet de leur surveillance. Comme je ne cesse de le dire, les services basés sur la surveillance sont utiles et précieux. Nous aimons pouvoir accéder à notre carnet d’adresses, notre agenda, nos photos, nos documents et tout le reste sur n’importe quel appareil que nous avons à portée de la main. Nous aimons des services comme Siri et Google Now, qui fonctionnent d’autant mieux quand ils savent des tonnes de choses sur nous. Les applications de réseaux sociaux facilitent les sorties entre amis. Les applications mobiles comme Google Maps, Yelp, Weather et Uber marchent bien mieux et plus rapidement lorsqu’elles connaissent notre localisation. Permettre à des applications comme Pocket ou Instapaper de connaître nos lectures semble un prix modique à payer pour obtenir tout ce que l’on veut lire à l’endroit qui nous convient. Nous aimons même quand la publicité cible précisément ce qui nous intéresse. Les bénéfices de la surveillance dans ces applications, et d’autres, sont réels et non négligeables.

trap

Comme Diffie, je doute qu’il existe une alternative viable. Si Internet est un exemple de marché de masse à l’échelle de la planète, c’est parce que toute l’infrastructure technique en est invisible. Quelqu’un d’autre s’en occupe pour vous. On veut une sécurité forte, mais on veut aussi que les entreprises aient accès à nos ordinateurs, appareils intelligents et données. On veut que quelqu’un d’autre gère nos ordinateurs et smartphones, organise nos courriels et photos, et nous aide à déplacer nos données entre nos divers appareils.
Tous ces « quelqu’un d’autre » vont nécessairement avoir la capacité de violer notre vie privée, soit en jetant carrément un coup d’œil à nos données soit en affaiblissant leur sécurité de façon à ce qu’elles soient accessibles aux agences nationales de renseignements, aux cybercriminels, voire les deux. La semaine dernière, on apprenait que la NSA s’était introduite dans l’infrastructure de la société néerlandaise Gemalto pour voler les clés de chiffrement de milliards, oui, des milliards de téléphones portables à travers le monde. Cela a été possible parce que nous, consommateurs, ne voulons pas faire l’effort de générer ces clés et configurer notre propre sécurité lorsque nous allumons pour la première fois nos téléphones ; nous voulons que ce soit fait automatiquement par les fabricants. Nous voulons que nos données soient sécurisées, mais nous voulons que quelqu’un puisse les récupérer intégralement lorsque nous oublions notre mot de passe.

Nous ne résoudrons jamais ces problèmes de sécurité tant que nous serons notre pire ennemi. C’est pourquoi je crois que toute solution de sécurité à long terme ne sera pas seulement technologique, mais aussi politique. Nous avons besoin de lois pour protéger notre vie privée de ceux qui respectent les lois, et pour punir ceux qui les transgressent. Nous avons besoin de lois qui exigent de ceux à qui nous confions nos données qu’ils protègent nos données. Certes, nous avons besoin de meilleures technologies de sécurité, mais nous avons également besoin de lois qui imposent l’usage de ces technologies.

Crédit photo : Nicubunu (CC BY-SA 2.0)




Des lois européennes pour renforcer la surveillance de masse  ?

Parmi les articles qui soulignent l’importance de ne pas sacrifier notre liberté de communication et d’expression par Internet à une illusoire sécurité, nous vous invitons aujourd’hui à prendre un peu de champ en adoptant le point de vue d’un juriste britannique.

Steve Peers se positionne sur le principe, et pas seulement sous l’effet d’une émotion ou d’une vision partisane franco-centrée. Il est assez bon connaisseur des institutions européennes pour savoir que l’arsenal des procédures légales en ce qui concerne la recherche et la transmission des informations est déjà suffisant dans la communauté européenne — et bien sûr la France n’est pas en reste.

C’est un professeur de droit de l’Université de l’Essex qui nous le dit : davantage de lois anti-terroristes en Europe, c’est une erreur dictée par la panique !

L’Europe a-t-elle vraiment besoin de nouvelles lois anti-terroristes ?

par Steve Peers

source : Does the EU need more anti-terrorist legislation?

Traduction Framalang : Framatophe, nilux, goofy, niilos, r0u, Asta, peupleLà, Diab, Jane Doe, lamessen

stevePeers.pngÀ la suite des attentats épouvantables subis par Paris il y a quelques jours, il n’aura fallu que 24 heures à la Commission européenne pour déclarer qu’elle allait proposer une nouvelle série de mesures anti-terroristes pour l’Union européenne dans un délai d’un mois. On ne sait pas encore quel sera le contenu de ces lois ; mais l’idée même d’une nouvelle législation est une grave erreur.

Bien entendu, il était légitime que les institutions européennes expriment leur sympathie pour les victimes des attentats et leur solidarité pour tout ce qui relève de la défense de la liberté d’expression. De même, il ne serait pas problématique de recourir si nécessaire aux lois anti-terroristes qui existent déjà de l’Union européenne, afin par exemple de pouvoir livrer les suspects de ce crime sur la base d’un mandat d’arrêt européen (MAE), au cas où ils fuiraient vers un autre État membre. La question est plutôt de savoir si l’Union européenne a vraiment besoin de davantage de lois dans ce domaine.

En effet, l’UE a déjà réagi à des actes de terrorisme antérieurs, d’abord à l’occasion du 11 septembre puis au moment des atroces attentats de Madrid et de Londres en 2004 et 2005. Le résultat en est un vaste corpus de lois anti-terroristes, répertoriées ici dans le projet SECILE. Il comprend non seulement des mesures ciblant spécifiquement le terrorisme (comme les mesures de droit pénal adoptées en 2002 et modifiées en 2008), mais aussi de nombreuses autres mesures qui facilitent la coopération pour tout ce qui concerne tant le terrorisme que les infractions pénales, telles que, par exemple, le mandat d’arrêt européen, les lois sur l’échange d’informations entre les polices, la transmission des indices et preuves par-delà les frontières, etc.

En outre, sont déjà discutées des propositions qui s’appliqueraient entre autres aux questions de terrorisme, comme une nouvelle législation pour Europol, les services de renseignement de l’UE (voir ici pour la discussion) ou un projet de loi de l’UE visant à faciliter la transmission des données nominales des passagers de transports aériens (Passenger Name Record, dont l’acronyme PNR est utilisé plus loin dans ce billet).

Alors quelles sont les nouvelles lois que va probablement proposer la Commission ? Elle peut suggérer une nouvelle version de la directive sur la rétention des données, dont la précédente version avait été invalidée au printemps dernier [1] par la Cour de justice de l’Union européenne (CJUE), dans son jugement sur les droits numériques (en discussion ici). Les autres idées débattues, selon des documents qui ont été divulgués (voir ici et ), concernent de nouvelles lois visant à renforcer les contrôles obligatoires aux frontières.

Est-ce que ces lois sont véritablement nécessaires ? Les États membres peuvent déjà adopter des lois sur la rétention des données de communication, conformément à la directive de l’UE concernant la protection de la vie privée sur Internet. Comme l’a confirmé le service juridique du parlement européen (voir son avis ici), si les États membres adoptent de telles mesures, ils seront soumis aux contraintes de l’arrêt sur les droits numériques, qui interdit la surveillance de masse menée en l’absence de garde-fous pour protéger la vie privée. De même, les États membres sont libres d’établir leur propre système de PNR, en l’absence de toute mesure à l’échelle de l’UE (en-dehors des traités PNR entre l’UE et les États-Unis, le Canada et l’Australie). La question de savoir si la surveillance de masse est compatible, en tant que telle, avec les droits de l’Homme a déjà été soumise à la CJUE par le Parlement européen, qui a demandé à la Cour de se prononcer sur cette question dans le contexte du traité PNR UE/Canada (en discussion ici).

Il serait possible d’adopter de nouvelles lois imposant un contrôle systématique des frontières dans certains cas. En pratique, cela signifierait probablement des contrôles ciblant les musulmans revenant d’endroits comme la Syrie. On peut se demander si poser des questions détaillées supplémentaires aux frontières extérieures serait, en soi, un moyen d’empêcher le terrorisme. Après tout, suite aux attentats de Paris, il a malheureusement été démontré qu’il était impossible d’empêcher une attaque terroriste malgré une législation anti-terroriste développée sur le papier et malgré la présence de gardes du corps pour protéger les collaborateurs d’une personne identifiée comme une cible des terroristes.

Il est également question de principe ici. Les attentats de Paris étaient directement dirigés contre la liberté d’expression : c’est le fondement d’une démocratie avancée. Bien sûr, il faudra intensifier les efforts pour empêcher ces situations de se reproduire ; mais les lois existantes permettent déjà la collecte et le partage de renseignements ciblés. La réponse immédiate de la Commission a une odeur nauséabonde de panique. Et l’attaque directe des principes fondamentaux de la démocratie dont a été victime Paris ne devrait pas servir de prétexte à de nouvelles attaques contre d’autres libertés civiles fondamentales.

Des articles sur le même thème :

Note

[1] Voir le communiqué de presse en français sous ce lien




Et si nous concevions une informatique pour le grand public  ?

Conference_Benjamin_Sonntag_17_mai_2014_2_CC-BY-SA_Lionel_Allorge.jpgEn mai dernier, sur l’événement « Vosges Opération Libre », j’ai eu la chance d’assister à une conférence de Benjamin Sonntag qui ne m’était pas adressée. Ce défenseur de la culture libre, du chiffrement et de la neutralité du net avait choisi de parler aux barbu-e-s, à ces personnes qui font l’informatique, qui développent nos systèmes d’exploitation, logiciels et services. Son message était simple. Si l’on veut revenir à un « ordinateur ami », celui qui ne se retourne pas contre nous pour aspirer nos données, il faut qu’un maximum de monde utilise des services décentralisés, du chiffrement et du logiciel libre.

Et pour cela, inspirons-nous des succès du logiciel libre. Firefox, VLC, Wikipédia… sont constamment utilisés par les Dupuis-Morizeau, sans que cette sympathique famille-témoin de Normandie n’aille regarder sous le capot. Coder ne suffit pas. Il faut s’efforcer d’impliquer à la source du développement des ergonomistes, des designeurs et des graphistes. Des gens qui rendront l’utilisation du libre décentralisé et chiffré tellement simple qu’elle en deviendra évidente et se répandra comme une trainée de poudre. Des gens qui sauront se mettre à la place de l’utilisateur lambda, d’une Jessica.

L’histoire de Jessica ne nous enseigne pas d’abandonner toute éducation à l’informatique, au Libre et aux sujets qui nous mobilisent. L’histoire de Jessica nous rappelle qu’il y a des personnes qui conduisent sans connaître le fonctionnement d’un moteur à explosion. Et que c’est à nous de ne pas les laisser au bord de la route.

L’histoire de Jessica

Par SwiftOnSecurity (CC-BY 4.0)
Article original paru sur le tumblr de SwiftOnSecurity
Traduction Framalang : audionuma, Penguin, Diab, nilux, Omegax, nilux, lumi, teromene, r0u et les anonymes…

Je veux que vous vous imaginiez quelqu’un pour moi. Son nom est Jessica et elle a 17 ans. Elle vit dans un petit 3 pièces avec sa mère, et elle a un vieil ordinateur portable récupéré d’un ex de sa mère. Elle s’en sert pour se connecter au portail communautaire de son lycée. Elle s’intéresse aux garçons, à l’amour et au versement de la prochaine mensualité du loyer qui permettra à sa mère et elle de garder leur logement.

Elle n’a pas d’argent pour un nouvel ordinateur portable. Elle n’a pas non plus d’argent pour le mettre à niveau. Elle ne sait même pas comment on fait ça. Elle a d’autres centres d’intérêt, comme la biologie. Ce qui l’inquiète, c’est de savoir comment elle va payer ses études à la fac, et si ses résultats seront assez bons pour, d’une manière ou d’une autre, obtenir une bourse.

innocent_girl_on_laption_CC-BY-SA_picture_youth.jpg

La seule personne de son entourage qui s’y connaisse en ordinateurs, c’est Josh, du cours d’anglais. Elle sait qu’il lui faut un antivirus, alors c’est à lui qu’elle demande. Il lui en propose un à 50$ par an, mais remarquant son soudain malaise, il mentionne gentiment un antivirus gratuit. Lorsqu’elle rentre à la maison, elle le télécharge et l’installe. Ça lui a demandé des efforts, ça semblait compliqué, ça a pris un peu de temps, mais il y avait maintenant une nouvelle icône rassurante en bas à droite de son écran qui indiquait « Protégé » lorsqu’elle passait sa souris dessus.

Jessica entend constamment aux infos des histoires d’entreprises piratées, de photos volées. Elle a entendu sur CNN qu’il fallait avoir un mot de passe complexe contenant quelque chose de spécial, comme un symbole dollar, alors elle obtempère. Au moins pour son compte Facebook — tout ça ne l’intéresse pas assez pour chercher comment changer les mots de passe de ses autres comptes. Ça semble tellement fastidieux, et elle est déjà assez occupée à retenir les équations abstraites de son cours de maths. Elle n’a pas envie de mémoriser une autre chaîne de caractères abstraite pour ses mots de passe. Et puis, c’est une adolescente ; son cerveau n’est doué ni pour l’organisation, ni pour prévoir et pallier les risques.

Elle a entendu parler d’un truc appelé gestionnaire de mots de passe, mais elle sait qu’il ne faut pas télécharger sur Internet. Elle ne sait pas à qui faire confiance. Une fois, elle a cliqué sur le bouton « Télécharger maintenant » pour un programme dont elle avait entendu parler aux infos, et ça l’a emmenée sur un site différent. Elle n’a pas de communauté à qui demander conseil. Et à côté de ça, elle essaie de trouver quoi porter pour son rendez-vous avec Alex samedi. Jessica se demande s’il l’aimera bien quand il la connaîtra mieux, après avoir passé du temps ensemble et parlé en tête à tête pour la première fois. Elle s’inquiète aussi de savoir s’il va briser son cœur, comme les autres.

Parfois, elle a des fenêtres qui lui demandent de mettre à jour un logiciel. Mais une fois, elle a mis à jour un truc appelé Java, et après avoir cliqué sur le E bleu qui la conduit sur Facebook, une nouvelle ligne d’icônes est apparue. Elle n’est pas sûre que ce soit lié, mais elle est du genre suspicieuse. L’ordinateur fonctionne toujours, et elle ne veut pas le casser en essayant de tirer ça au clair. Elle ne peut pas s’offrir une hotline comme Geek Squad pour 200$. C’est embêtant, mais ça fonctionne toujours. La prochaine fois que quelque chose lui demandera une mise à jour, elle dira non. Elle n’a pas besoin de nouvelles fonctionnalités, surtout si elles rendent sa fenêtre Facebook encore plus petite. Et si c’était important, elles s’installeraient toutes seules, non ? Pourquoi devraient-elles demander ? Il est 19H42, elle doit aller à son rendez-vous.

Un jour, Jessica reçoit un e-mail qui se dit être une lettre d’expulsion. Il dit aussi provenir de communication-locataires@hud.gov. Elle sait ce qu’est HUD, pour l’avoir vu sur les formulaires que sa mère remplit pour bénéficier d’une aide au paiement de l’appartement. Mais elle a entendu aux informations qu’il ne fallait pas ouvrir de fichiers inconnus. Elle s’improvise alors détective. Elle va sur le site hud.gov, et c’est bien ce à quoi elle s’attendait : le Département Américain de l’Habitation et du Développement Urbain. Elle navigue sur le site, qui ne semble pas avoir été écrit par un Russe. Elle ouvre donc le fichier. Adobe Reader s’ouvre, mais le mail dit clairement que si le document est vide, il n’y a pas à s’inquiéter. Elle essaie d’aller à la page suivante, mais il n’y en a pas. Tant pis. Elle n’en parlera pas pas à sa mère, car elle ne veut pas l’inquiéter.

Ce que Jessica ne sait pas, c’est que la lumière blanche qui a commencé à s’allumer sur son ordinateur est celle de la caméra intégrée. Elle ne sait même pas que son ordinateur a une caméra. Mais cette caméra a commencé à l’enregistrer. Et le logiciel qui enregistre sa caméra a aussi commencé à enregistrer tout ce qui s’affiche sur son écran. Y compris quand elle a envoyé à Alex les photos qu’elle a prise pour lui, lorsqu’elle est tombée amoureuse de lui. De toute façon, quand elle entre ses mots de passe, ils s’affichent sous la forme de ronds noirs. Même si quelqu’un était derrière elle et regardait son écran, il ne pourrait pas connaître son mot de passe. Elle ne sait pas que le logiciel enregistre aussi ce qu’elle tape sur son clavier. Rien ne l’a alertée. Tout comme rien ne l’a alertée que la caméra était allumée. Et le microphone.

De temps en temps, elle passe sa souris sur l’icône de l’antivirus. Ça lui dit « protégé ». Ça ne peut qu’être vrai. Après tout c’est le logiciel que Josh lui a conseillé…

internet_surveillance_CC-BY_Mike_Licht.png

Quel est le tort de Jessica dans cette histoire ? Est-ce le fait de ne pas s’être renseignée sur les avantages de l‘Open Source et de ne pas utiliser Linux, qui est gratuit ? Est-ce le fait de ne pas avoir d’amis ou de personnes de sa famille suffisamment calées en informatique et à qui elle pourrait demander conseil ? Est-ce le fait de ne pas s’être liée d’amitié avec Josh ? Est-ce le fait d’avoir d’autres priorités dans la vie ? Est-ce le fait de ne pas savoir que les sociétés qui lui fournissent des mises à jour en profitent pour envahir son ordinateur de logiciels malveillants, et qu’elle doive systématiquement décocher une case pour ne pas les avoir ? Est-ce le fait de ne pas savoir que le protocole SMTP est une vieille technologie qui ne demande pas d’authentification ? Pourquoi n’a-t-elle pas mis de ruban adhésif devant sa webcam ? Pourquoi n’a-t-elle pas démonté son ordinateur pour en retirer le microphone ?

Peut-être que ce n’est pas de sa faute. Peut-être que la sécurité informatique pour les gens normaux n’est pas la série d’étapes faciles et de vérités absolues que nous leur assénons avec notre prétendue sagesse, et qu’ils préfèrent ignorer par mépris pour la sous-classe de nerds que nous sommes.

Peut-être que c’est le fonctionnement même de l’informatique grand public qui en est la cause. Et qui a construit ce monde de libertés, un monde qui a si bien servi à cette Jessica de 17 ans ? C’est vous. C’est nous.

Alors ? À qui la faute ?
***

Crédits photos :

Conférence Benjamin Sonntag : CC-BY-SA Lionel Allorge

Innocent Girl on Laptop : CC-BY-SA Picture Youth

Internet Surveillance : CC-BY Mike Licht.




Patriot Act à la française  ? — Pour nous, c’est NON !

Comme une immense majorité de personnes qui se sont rassemblées, en France et dans le monde, à plusieurs reprises, depuis le 7 janvier, nous avons été sous le choc et dans l’incrédulité. Quels que soient nos parcours, quelles que soient nos positions, nos croyances, nos parti-pris, nous n’acceptons pas que l’on assassine 17 personnes au nom d’une conception du monde qu’il serait dangereux ou interdit de ne pas partager, de questionner, de moquer. Nous n’acceptons pas que l’on ait fait taire des voix et des plumes et que l’on ait pris pour cible ceux qui incarnaient Charlie Hebdo.
Nous ne l’acceptons pas mais il y a des morts aujourd’hui. Et les cadavres n’étaient même pas froids que déjà commençaient à se faire entendre les voix charognardes qui, au nom de la défense de la liberté et des valeurs républicaines, sont prêtes à restreindre nos libertés individuelles et collectives, comme par effet d’aubaine, comme s’ils n’attendaient que ça. [1]

Ils n’ont pas même attendu la fin du deuil officiel. Plus rapides que les événements en cours pour s’emparer de la tragédie et l’instrumentaliser, les politiques glapissants de l’obsession sécuritaire ont commencé à se répandre : « il nous faut renforcer notre arsenal sécuritaire », « il faudra bien entendu un Patriot Act à la française » (le tweet historique de Valérie Pécresse ), ou encore François Baroin qui laisse entendre au journal de France 2 ce dimanche qu’il va falloir mesurer quel degré d’acceptation aura la population de la restriction des libertés individuelles au profit de la sécurité (journal TV de 13h, vers la minute 48) etc. On peut être sûr que dès ce lundi, la surenchère sécuritaire va battre son plein.

En tant que membres d’une association qui vise à promouvoir le logiciel et la culture libres en s’efforçant de développer une éducation populaire, nous redoutons bien sûr de voir bridé et censuré ce qui est à nos yeux aujourd’hui le principal instrument de notre liberté à l’échelle de la planète : Internet.
Il nous semble donc urgent de dire avec force dès maintenant à quel point prendre pour cible cet outil précieux est à la fois inefficace et dangereux. Nous redoutons aussi l’usage immodéré qui pourrait être fait de nos données personnelles, notamment numériques, sans autorisation, sans que nous en soyons informés, sans qu’il soit possible d’exercer de contrôle. Déjà des voix s’élèvent parmi les défenseurs de nos libertés numériques (ne sont-elles pas devenues de facto des libertés fondamentales ?) mais seront-elles suffisantes pour contrebalancer le boucan médiatique qui va nous tympaniser ?

Un article récent du Point, pourtant peu suspect d’opinions gauchistes, expose bien ce qu’a été le Patriot Act et comment les dérives qui lui sont inhérentes, exposées par les révélations de Snowden, conduisent aujourd’hui l’opinion états-unienne à en remettre en question la nécessité :

le gouvernement avait une interprétation très vaste du Patriot Act qui lui permettait de collecter des informations sur des millions d’Américains sans lien avec le terrorisme. Selon un rapport du ministère de la Justice, les perquisitions secrètes servent surtout à coincer les trafiquants de drogue. En 2013, sur 11 129 demandes de perquisitions, seules 51 visaient des suspects de terrorisme.

Faut-il vraiment que les services qui veillent sur notre sécurité nationale aient un accès sans restriction ni contrôle judiciaire à toutes nos données personnelles ? Sans avoir à justifier que ces informations ont un quelconque rapport avec une enquête terroriste ? Faut-il croire aveuglément ou plutôt vouloir faire croire que le Patriot Act a été efficace, alors que nous avons encore en mémoire les attentats de Boston pour ne citer que ce terrible exemple ?

Que disent les responsables sérieux des forces de sécurité ? — Rien de tel : ils constatent qu’ils n’ont pas les moyens humains de surveiller et cibler le nombre à la fois limité mais inquiétant de personnes dangereuses susceptibles d’actes terroristes. Vous avez bien lu : ils ne réclament pas une surveillance généralisée ni la censure du Net (dont l’espace de communication leur est probablement au contraire un précieux moyen d’identifier les menaces) mais davantage de personnels formés et opérationnels pour mener cette lutte souterraine extrêmement compliquée et pour laquelle leur action est légitime et indispensable.
Alors qui veut vraiment que nous renoncions à nos libertés sous le prétexte d’obtenir davantage de sécurité ? Qui sont les vrais ennemis de notre liberté d’expression ?

Nous entamons aujourd’hui une série d’articles sur le sujet. Voici pour commencer une tribune libre de Christophe Masutti, à laquelle souscrit l’ensemble de l’association.
Les commentaires sont ouverts et seront modérés.

Aujourd’hui, tous au garde-à-vous — demain, chacun en garde à vue ?

Une tribune libre de Christophe Masutti

Mercredi dernier, c’était mon anniversaire, j’ai eu 40 ans. Eh bien, des jours comme ça, je m’en serais bien passé.
Hier, c’était la barbarie : c’est Cabu, Charb, Wolinski, Tignous, Honoré, et d’autres acteurs de Charlie Hebdo [2] qui ont été lâchement assassinés dans les locaux du journal par deux gros cons, des beaufs, des salauds. Ils s’en sont pris à des dessinateurs qui ont largement contribué à la formation de ma propre pensée critique à travers la lecture régulière du journal. Des copains, nos copains.
Ce matin, j’ai la tête en vrac. J’ai à l’esprit ces mots de Ricœur qui définissait la démocratie par le degré de maturation d’une société capable de faire face à ses propres contradictions et les intégrer dans son fonctionnement. Au centre, la liberté d’expression, outil principal de l’exercice de la démocratie. À travers nos copains assassinés, c’est cette liberté qui est en jeu aujourd’hui. Ils exerçaient cette liberté par le crayon et le papier. L’arme absolue.
La liberté est insupportable pour les pseudos-religieux sectaires — et pour tout dire, une grosse bande de crétins — qui tentent de la faire taire à grands coups de Kalachnikov et de bombes sournoises. La liberté est insupportable pour les fachos et autres réacs de tout poil qui ne manqueront pas de s’engouffrer dans le piège grossier du repli et de la haine. La liberté est insupportable pour celui qui a peur.

Le contre-pouvoir, c’est nous tous

Charlie Hebdo n’a pas vocation à incarner de grands symboles, au contraire, les dénoncer et faire tomber les tabous est leur principale activité. C’est justement parce que la mort de dessinateurs est aujourd’hui devenue un symbole universellement répété comme un mantra qu’il va falloir s’en méfier, car dans cette brèche s’engouffrent les tentatives protectionnistes et liberticides.
Car tel est le paradoxe de la peur appliqué aux outils de la liberté d’expression : ce qui menace vraiment la démocratie ne frappe pas forcément au grand jour…
Nous vivons depuis des années sous le régime des plans Vigipirate, des discours sécuritaires et du politiquement correct. Sous couvert de lutte contre le terrorisme, la surveillance généralisée de nos moyens de communication s’est taillé une belle part de nos libertés, sans oublier les entreprises qui font leur beurre en vendant aux États (et pas toujours les plus démocratiques) des « solutions » clé en main. Des lois liberticides au nom de l’antiterrorisme sont votées sans réel examen approfondi par le Conseil Constitutionnel. En guise de contre-pouvoir, on nous refourgue généralement des administrations fantoches aux pouvoirs ridicules, des « Conseils » et des « Hauts Comités » des mes deux.
Mais le vrai contre-pouvoir, ce sont les copains de Charlie Hebdo et tous leurs semblables, journalistes ou caricaturistes, qui l’exercent, ou plutôt qui le formalisent pour nous, à travers leurs dessins et leurs textes. Le contre-pouvoir, c’est nous tous tant que nous n’oublions pas de penser et d’exprimer nos contradictions. Et pour maintenir la démocratie, nous devons disposer intégralement de nos moyens de communication dont il revient à l’État de garantir la neutralité et la libre disposition.
Demain, nous risquons de nous retrouver tous en garde à vue et pas seulement à cause des terroristes. C’est là tout le paradoxe. La terreur est aussi bien instrumentalisée par les assassins que par certains membres de la classe politique, et pas seulement à droite. Tous sont prêts à brider et tenir en laisse notre liberté pour maintenir leurs intérêts électoraux ou d’autres intérêts financiers. La contrainte à laquelle ils veulent nous soumettre, c’est l’obligation du choix : il faudrait choisir entre la liberté et la dictature, entre la liberté et la peur, entre la liberté et l’esclavage, avec à chaque fois un peu de nos libertés qui s’envolent. securiteLiberte2.png

Soyons les jihadistes de la liberté

Non ! Assez ! Stop ! je suis pour la liberté sans concession. Une liberté obligatoire, une liberté que l’on assène sans contrepartie. Je suis un radical du papier, un ayatollah de la liberté d’expression, un taliban des communications ouvertes, un nazi des protocoles informatiques libres, un facho de la révélation snowdenienne ! Du moins je voudrais l’être, nous devrions tous l’être. Et sans avoir peur.
Je suis né il y a 40 ans, et cela fait presque autant de temps que se sont développés autour de moi des supports de communication qui sont autant de moyens d’exercices de la liberté d’expression. Comme beaucoup, j’oublie souvent que rien n’est acquis éternellement, que nos libertés sont le fruit de luttes permanentes contre ceux qui voudraient nous en priver.
La boucherie de la semaine dernière nous l’a cruellement rappelé.

Crédit image
Photo d’un graf mural à Saint-Nazaire, par bmanolea (CC BY 2.0)

Notes

[1] Rappelons qu’il a été demandé aux candidats au 3e concours d’entrée à l’ENA 2014, de plancher sur une note « permettant d’évaluer les marges de manœuvre des pouvoirs publics pour restreindre les libertés publiques » (sic) Lien direct vers le PDF

[2] Sans oublier les policiers, un agent d’entretien puis d’autres victimes quelques jours après… cet article a initialement été rédigé jeudi matin, version sur le blog de Christophe Masutti