Préparez vos mouchards, la Loppsi arrive 🙁

(Au fait, vous connaissiez cette chansonnette de la Parisienne Libérée ?)

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Vendredi dernier, Benjamin Bayart était invité au journal du soir de Public Sénat pour venir s’exprimer sur la loi Loppsi (dont les débats commencent aujourd’hui à l’Assemblée nationale et que l’on peut suivre par exemple sur Numérama).

Le récent et édifiant livre d’InLibroVeritas dont il est question dans l’interview est Confession d’un pédophile, l’impossible filtrage du web.

—> La vidéo au format webm

Transcript de l’intervention de Benjamin Bayart

La Chaîne Parlementaire – Journal de 22h – Vendredi 5 février 2010
(Transcript récupéré et modifié sur BàB : L’Blog à Birdy)

À partir de mardi, les députés entameront l’examen du projet de Loi d’Orientation de Programmation pour la Performance de la Sécurité Intérieure, un nom à rallonge qui est en général résumé par le petit nom de Loppsi et pour en parler nous sommes avec Benjamin Bayart. Bonsoir.

Bonsoir,

Vous êtes expert en communication, président de FDN. C’est le plus ancien, j’ai lu, fournisseur d’accès Internet en France.

Oui.

Alors, la LOPPSI, pour la résumer, prévoit une mutualisation et une coopération entre les forces de sécurité, donc la police et la gendarmerie, et une modernisation de leurs moyens, notamment en ayant recours aux nouvelles technologie pour être plus efficace, notamment contre la cybercriminalité. Mais cette loi inquiète les associations internautes qui la jugent liberticide. Pourquoi ?

Alors il faut comprendre que toute la loi n’inquiète pas les associations internautes. Elle est très longue je n’ai pas eu le temps de la lire en entier, alors que dieu sait que je passe énormément de temps sur les questions législatives.

Il y a une mesure précisément qui vous inquiète.

Il y a un article très précis qui nous pose problème, qui est l’article 4, tel qu’il était proposé et rédigé par le gouvernement. Il prévoyait que sur décret du ministère de l’Intérieur, les fournisseurs d’accès internet auraient obligation d’empêcher l’accès à certains sites Web, que la liste…

Lesquels, les sites pornographiques ?

Ce que prévoit le texte de loi ce sont les site pédopornographiques. Mais ce que prévoit aussi le texte et ses conditions d’application évidentes, c’est que la liste des sites doit être secrète, sinon c’est un annuaire des sites pédoporno, c’est un truc inconcevable. Donc la liste est secrète, elle aurait été publiée par le ministère de l’Intérieur et je dois dire que censure secrète sur le ministère de la police, c’est quand même curieux dans un pays normalement démocratique. Ça c’était vraiment le point de départ tel que ca sortait vu par le gouvernement, visiblement les députés ont bien compris ce qu’il leur est arrivé dans l’affaire Hadopi, ils ont relu la décision du Conseil Constitutionnel…

Donc il y a eu un amendement.

Ils ont décidé qu’on ne pouvait pas filtrer Internet n’importe comment. Et pour le moment, dans l’état des discussions, on en est a : y’aura un juge dans la boucle.

Donc ça, ça vous rassure ?

Donc c’est plutôt rassurant.

Mais c’est vrai que, quand même, Internet peut être un lieu de danger. Il y a la pédopornographie, y’a aussi les escroqueries, le terrorisme etc. Est ce qu’il ne faut pas instaurer des filtres ?

Instaurer des filtres, je sais pas. La bonne façon de comprendre ça c’est qu’Internet est un lieu public, et donc jouer sur les peurs, légitimes, les crimes abominables comme la pédopornographie, ca fait peur de manière légitime et logique. Mais jouer sur les peurs des gens pour instaurer un tout sécuritaire, c’est quelque chose de dangereux. Ça met en place des dérives qui sont malsaines. Internet est un lieu public comme les autres, il y a des pédophiles sur Internet exactement comme il y a des pédophiles dans la rue et on filtre pas la rue. On ne met pas un policier tous les trois mètres pour surveiller tout le monde. De la même manière, pour les mêmes raisons, cette tendance de fond qui est de vouloir contrôler Internet, dénote fondamentalement quelque chose d’assez précis, qui est que basiquement les hommes politiques n’ont pas bien compris ce qu’était Internet et qu’ils commencent par contre à comprendre un élément là-dedans : c’est que ça les gêne.

Mais il y a des moyens de contourner ce filtre par exemple ?

Oh oui, de manière très efficace et très simple. Il faut comprendre que les… il y a un livre qui est paru récemment aux éditions InLibroVeritas sur le sujet qui explique assez bien, y compris détaillé par des gens de la gendarmerie spécialisés dans le domaine, que le monde du pédoporno mafieux, business, etc, a déja trois guerres d’avance sur ce genre de sujets là, et se diffuse indépendamment de ce qu’on sait faire de manière simple comme filtre.

Donc liberticide et inefficace, nous dites-vous ?

Donc particulièrement inefficace puisque lorsque l’on interroge la police et la gendarmerie sur le sujet, comme j’en ai eu l’occasion de le faire lors d’une réunion, petit un, il n’y a pas de sites pédos en France, ça c’est très clair, il y en a deux ou trois qui ouvrent temporairement tous les ans, fermés dans la semaine avec les gens derrière qui finissent en prison. Et surtout quand on leurs demande ce que ça a donné comme effet positif dans les pays où cela a été mis en place, par exemple en Australie, par exemple en Grande Bretagne, ils ne savent pas donner de chiffres. On leur demande quelle influence, en quoi est-ce que ça a fait baisser la délinquance, parce que c’est quand même ca le but. Réponse : néant.

Il n’y a pas d’efficacité prouvée. Merci beaucoup Benjamin Bayart d’être venu nous expliquer ce que vous redoutez dans cette loi.

Ceux qui ont eu, comme moi, la curiosité de goûter du bout des lèvres au navigateur Google Chrome au moment de sa sortie sous Windows, se sont peut-être aperçus alors qu’un autre drôle de petit logiciel, répondant au doux nom de GoogleUpdate, s’installait à votre insu et travaillait toujours en toile de fond, quand bien même Chrome ne se trouve plus ouvert.

Voici comment le Centre d’aide Google en parle : « GoogleUpdate.exe est un composant logiciel qui joue le rôle de méta-programme d’installation et d’outil de mise à jour automatique dans de nombreuses applications Google que vous pouvez télécharger, notamment Google Chrome. Il maintient vos programmes à jour avec les fonctionnalités les plus récentes. Plus important encore, GoogleUpdate permet une mise à jour rapide de vos applications Google si des failles de sécurité venaient à être détectées. »

Et puis, plus loin, dans le paragraphe (sensible) Informations transmises à Google : « Lorsque GoogleUpdate communique avec les serveurs Google, il envoie les ID des applications qu’il gère sur votre ordinateur ainsi que des informations générales sur l’utilisation de ces applications. GoogleUpdate utilise également un numéro d’identification unique généré de manière aléatoire pour comptabiliser le nombre total d’utilisateurs. Ces informations concernent notamment les numéros de version, les langues, le système d’exploitation et d’autres données sur l’installation ou la mise à jour, telles que l’exécution des applications. Ces informations ne sont associées ni à vous-même, ni à votre compte Google. D’autres informations peuvent nous être transmises si vous choisissez d’envoyer vos statistiques d’utilisation concernant Google Chrome. »

Son processus de désinstallation est lui aussi assez étonnant (et sujet à caution) : « Pour désinstaller complètement GoogleUpdate, désinstallez toutes les applications Google actuellement installées sur votre ordinateur. La désinstallation de GoogleUpdate devrait intervenir automatiquement quelques heures après la désinstallation de vos programmes Google. GoogleUpdate étant lié aux applications Google installées sur votre ordinateur, il ne peut être supprimé individuellement. Si vous supprimez uniquement le processus GoogleUpdate, il se peut que vos programmes Google ne fonctionnent plus correctement et, très souvent, GoogleUpdate se réinstallera de toute façon automatiquement. »

On comprendra alors facilement que certains se sont émus de la présence de ce logiciel, surtout qu’en absence d’accès au code source, on ne pouvait que faire confiance à Google dans sa collecte d’informations.

Or avec Google^[1], la confiance sur parole n’est plus forcément de mise. La confiance en acte c’est bien plus mieux et transparent. Et dans le monde logiciel cela se traduit comme ici par la libération du code source du programme, afin de l’étudier et constater effectivement que cette collecte d’informations est, si ce n’est inoffensive, tout de moins conforme à ce qui avait été annoncé.

Je ne sais si vous êtes désormais totalement rassuré (les commentaires sont grands ouverts) mais la démarche est intéressante : montre-moi ton code source et je te dirais qui tu es réellement. On rêve déjà d’en faire de même pour toute la gamme logicielle de Google, et puis aussi celle de Microsoft et Apple tant qu’on y est 😉

Pour évoquer cette nouvelle, nous n’avons pas choisi la voie officielle, c’est-à-dire le communiqué de Google, mais celle du blog Google Operating System, qui bien que totalement dédié à Google lui est indépendant.

Google Update libère son code source

Google Update, Open Sourced

Alex Chitu – 12 avril 2009 – Google Operating System
(Traduction Framalang : Tyah et Don Rico)

Ça n’a pas d’interface, c’est toujours actif en sous-tâche, prêt à mettre à jour silencieusement votre logiciel Google : Google Update est un service qui fait du bureau Google l’égal des applications web en constante mise à jour. Hélas, ce service n’est pas très stable, on ne peut pas le supprimer tant que l’on a pas désinstallé toutes les applications qui l’utilisent, et il présente des problèmes de confidentialité.

Certains se sont émus du fait que Google collecte de plus en plus d’informations. Pour montrer que ces reproches sont infondés, Google a décidé d’ouvrir le code source de GoogleUpdate, nom de code : Omaha.

« GoogleUpdate étant toujours actif sur votre système, il n’existe aucun moyen simple de l’arrêter, et puisque c’est un composant fondamental du logiciel Google qui y recourt, il ne s’installe pas de façon explicite. Certains seront surpris de le voir fonctionner, et chez Google, nous n’aimons pas décevoir nos clients. Nous avons travaillé dur pour répondre à ces inquiétudes. En libérant le code source d’Omaha, nous cherchons à rendre GoogleUpdate complètement transparent. Évidemment, nous comprenons que tout le monde n’ait ni la volonté ni la capacité d’examiner notre code dans le détail, mais nous espérons que ceux qui le feront confirmeront que GoogleUpdate sert bien à maintenir votre logiciel à jour. »

Un logiciel à jour en permanence empêche les logiciels malveillants d’exploiter les failles de sécurité, signale plus facilement les bogues et est constamment amélioré, mais Google devrait fournir une interface qui nous laisserait contrôler combien de fois le service demande à être mis à jour et même le désactiver. Certains utilisateurs avancés estiment que fonctionnement permanent de l’outil de mise à jour de Google représente une violation de leur droit de regard en tant qu’utilisateurs, une faille de sécurité potentielle et une charge indésirable sur leur système et leurs ressources réseau, qui sont déjà très sollicités.

La loi Création et Internet bat son plein à l’Assemblée. Elle pose tant et tant de problèmes qu’on comprendra que celle qui porte le projet ait ponctuellement quelques moments de fatigue (que l’on peut mesurer au nombre de « évidemment » prononcé).

À la question du député Christian Paul : « Les dispositifs de sécurisation des ordinateurs sont à l’opposée des dispositifs que peut tolérer et accepter le logiciel libre. Ou bien vous considérez que le logiciel libre ça n’a pas d’importance, que vous décrétez l’indifférence nationale contre le logiciel libre, ou bien vous nous dites comment c’est compatible ».

Voici ce qu’elle a répondu :

—> La vidéo au format webm

Transcription :

« Sur les logiciels… sur l’affaire des logiciels libres, évidemment les logiciels libres, quand on achète, évidemment des logiciels, par exemple le pack Microsoft (ça c’est pas du logiciel libre) : Word, Excel, Powerpoint, il y a évidemment des pare-feux, je viens de le dire, il y a des logiciels de sécurisation. Mais sur les logiciels libres vous pouvez également avoir des pare-feux, qui d’ailleurs, mais évidemment. Par exemple, nous au ministère, nous avons un logiciel libre, qui s’appelle Open Office et il y a effectivement un logiciel de sécurisation qui empêche en effet le ministère à la Culture d’avoir accès, bien sûr, et les éditeurs de logiciels libres fournissent des pare-feux, et fournissent même des pare-feux gratuits. Donc cet argument est sans fondement. Voilà ce que je voulais dire. »

Ravi d’entendre le logiciel libre et OpenOffice.org cités à l’Assemblée, mais y aurait-il une bonne âme dans la salle pour nous décrypter ce qu’elle a bien voulu dire ?

Dans notre récent billet Du choix risqué du logiciel propriétaire et étranger pour sa défense nationale, nous avions évoqué le cas de Conficker, ce ver informatique qui a récemment affecté (et infecté) bon nombre d’ordinateurs sous Windows.

Carla Schroder a fait sa petite revue de presse autour du sujet^[1] et… les bras lui en sont tombés ! À dire vrai, elle en a carrément gros sur la patate. Tout y passe : les journalistes, les militaires, les sociétés d’antivirus, les clients de Microsoft et bien sûr ce « système d’exploitation de merde ».

Ce qui nous donne, vous l’aurez compris, un article coup de gueule et coup de sang un « brin » polémique qui ne manquera pas de faire réagir dans les commentaires^[2].

J’abandonne. Windows ou la preuve que les gens sont trop cons pour utiliser des ordinateurs.

I Give Up. Windows Is Proof That People Are Too Stupid To Use Computers.

Carla Schroder – 12 février 2009 – LinuxToday Blog
(Traduction Framalang : Olivier et Don Rico)

Et trop cons ou faux-culs pour reconnaître en Windows l’échec qu’il est vraiment. S’il s’agissait de n’importe quel autre type de produit, on l’aurait banni de tous les pays du monde depuis des lustres. Pour parler de la dernière attaque virale affectant Windows, le ver Conficker, la BBC prend son ton nonchalant habituel, ne le décrit comme un ver spécifique à Windows qu’au bout de plusieurs paragraphes, cite des vendeurs d’antivirus comme si leur avis avait un quelconque intérêt, alors que ce ne sont que des nuisibles, pour finir par rejeter la faute sur les utilisateurs :

« Le ver se répand par les réseaux peu sécurisés, les cartes mémoires et les PC qui ne sont pas à jour (…) Microsoft a fait son travail en protégeant les ordinateurs familiaux, mais le ver continue sa progression dans les entreprises qui ont ignoré la mise à jour (…) Bien sûr, le vrai problème vient des utilisateurs n’ayant pas appliqué le correctif sur leurs ordinateurs », ajoute-t-il.

Veuillez m’excuser, il faut que j’aille me défouler sur quelque chose.

BIEN SÛR que c’est la faute des utilisateurs. Ils continuent à utiliser le pourriciel le plus cher et le plus mal conçu de tout le Système solaire. Mais ses défauts incurables ne leurs sont pas imputables. Abandonnez aussi l’idée que ces utilisateurs puissent être secourus par Linux, nous ne voulons PAS qu’ils utilisent Linux. « It is impossible to make anything foolproof, because fools are ingenious » (NdT : « Il est impossible de concevoir un produit infaillible, car les idiots sont ingénieux » Jeu de mots sur foolproof, infaillible et fool, imbécile).

Quand on parle de logiciels malveillants, ce sont des logiciels malveillants pour WINDOWS, PAS des logiciels malveillants pour les ordinateurs

Les armées américaine et anglaise sont mises à mal par des logiciels malveillants pour WINDOWS. Pas des logiciels malveillants pour ordinateurs, des logiciels malveillants pour WINDOWS. Chers journalistes, prenez note. C’est un fait de la plus haute importance. Je sais à quel point vous détestez les faits et les recherches, je vous l’apporte donc sur un plateau. Ne me remerciez pas. Même Wired, dont on attend pourtant mieux, s’est fendu de ces quelques lignes, du mauvais journalisme de première classe :

« La progression rapide d’un ver au sein du réseau de la Défense donne des sueurs froides aux ingénieurs informaticiens du ministère de la Défense. L’utilisation des clés USB, des CD, des cartes mémoire et de tout autre support de stockage est donc prohibée sur leurs réseaux pour essayer d’enrayer la progression du ver. »

À aucun moment l’article ne fait mention de Windows ou de Microsoft. Ça nous a bien fait marrer quand la Royal Navy a mis Windows sur ses sous-marins il y a tout juste quelques semaines. Mais la plaisanterie a assez duré :

« Le ministère de la Défense a confirmé aujourd’hui qu’il a été victime d’un virus ayant causé l’arrêt d’un "petit nombre" de serveurs de la Défense dont, en particulier, le réseau d’administration des bâtiments de la Royal Navy. »

Ils minimisent évidemment le problème, ne vous faites pas de bile, ce n’est rien de grave, circulez il n’y a rien à voir. Après tout, les têtes nucléaires sont à jour avec le SP4 ou une autre connerie du genre. Et là non plus personne n’évoque le mot tabou Windows.

Des avions de chasse cloués au sol par une infection bénigne, sans importance

Celle-là, elle est à se tordre :

« Des avions de chasse français n’étaient pas en mesure de décoller après que des ordinateurs militaires ont été infectés par un virus… Les appareils étaient dans l’incapacité de télécharger leur plan de vol après que les bases de données ont été infectées par un virus Microsoft malgré une alerte donnée quelques mois auparavant. »

Et là encore le problème est minimisé : « L’échange d’informations a été affecté, mais aucune donnée n’a été perdue. C’est un problème de sécurité que nous avions déjà simulé. » Il faut reconnaître que le reporter a eu le courage de dire Microsoft et Windows. Mais malheureusement c’est encore l’utilisateur qui est pointé du doigt.

Microsoft ameute les troupes !

Je vous ai réservé la meilleure histoire pour la fin. Je n’invente RIEN ! Microsoft elle-même, la plus grosse entreprise de logiciel, connue pour les milliers de milliards de dollars qu’elle a engrangé dans ses coffres-forts, qui dépense des milliards de dollars pour le développement de Windows mais dont les codeurs ne parviennent pas à se sortir de ce pétrin, offre donc une récompense :

Microsoft ameute les troupes pour choper Conficker
« Dans un effort coordonné à l’échelle mondiale pour venir à bout de ce que les experts désignent comme ce qui pourrait être le pire logiciel malveillant, des grands noms de l’industrie, du monde universitaire et des services de police joignent leurs efforts dans la chasse au ver Conficker… Microsoft coordonne des actions visant à arracher la tête du ver – offrant une récompense de 250 000 dollars à quiconque pourrait fournir des informations menant à l’arrestation et à la condamnation des responsables de la propagation de Conficker sur Internet. »

Vous devez vraiment lire cet article, on le croirait extrait du Journal des aberrations. Il nous conte comment cette ligue d’experts s’est mise en branle pour combattre ce ver : vendeurs d’antivirus, services secrets, ICANN, Verisign et les universités. Voici la chute de l’histoire :

« Conficker utilise la fonction Autorun de Windows – celle qui lance automatiquement les CD-Rom ou les DVD quand on les insère dans l’ordinateur.
Autorun facilite la vie des utilisateurs, mais désactiver AutoRun, c’est enquiquinant, d’après Nazario. »

Enquiquinant ? J’ai bien lu ? ENQUIQUINANT ???

Je ne sais pas trop, je suis tiraillé entre l’envie d’utiliser un langage peu châtié et celle de me mettre à pleurer. J’imagine alors que Conficker n’est « qu’un léger désagrément ». Et j’imagine que s’ils finissent pas attraper et punir les auteurs de Conficker, les 36 millions d’autres vers Windows, chevaux de Troie Windows et autres logiciels malveillants Windows disparaîtront tous.

Personne ne rejette la faute sur Microsoft

Faut-il donc être un petit génie pour comprendre que « Tiens, si j’arrête d’utiliser ce système d’exploitation de merde je n’aurai plus ces problèmes ! Tiens, peut-être que le fabricant mérite bien un petit procès pour avoir fait subir au monde cette bouse, une bouse qui a engendré des milliards de dollars de dégâts et qui a mis en danger la sécurité publique ! »

Pensez-vous. Après avoir vu le même scénario se répéter des centaines de fois au cours des 13 dernières années, tout ce qu’on peut en conclure, c’est que :

• Les journalistes sont des crétins.
• Les militaires sont des crétins.
• L’industrie des antivirus n’est qu’un énorme parasite qui se satisfait bien de son inefficacité.
• Les clients de Microsoft sont des crétins.
• Tout le monde est corrompu… des corrompus bon marché qui plus est.

La seule hypothétique lueur d’espoir que nous ayons, c’est que les milliers de vers Windows vont se mettre en guerre les uns contre les autres et détruiront chaque machine Windows sur Terre. Mais le remède ne serait que de courte durée, car même après un holocauste nucléaire Windows la première chose que les gens feraient serait de se relever, de s’épousseter et d’essayer de redémarrer leur machine pour voir si ça ressuscite leur système.

Le blog de Libération, animé par le spécialiste maison des questions militaires Jean-Dominique Merchet, nous informe aujourd’hui que nos armées ont été attaquées par un virus informatique.

En effet la Marine nationale, ayant son réseau sous Windows, a récemment été infectée par le ver informatique Conflicker (qui exploite une faille du serveur de ce système d’exploitation), jusqu’à, semble-t-il, empêcher certains avions Rafales de décoller^[1].

Sachant que Microsoft avait identifié le problème et averti dès le mois d’octobre ses clients de la nécessité d’effectuer des mises à jour pour s’en prémunir, Jean-Dominique Merchet a raison de pointer là l’inquiétante négligence des services informatiques du Ministère.

Par contre il est passé complètement à côté de la question bien plus fondamentale de confier son informatique à un éditeur étranger de logiciels propriétaires. Qui plus est quand il s’agit de Windows dont on connait les problèmes de sécurité, qui plus est quand on travaille dans le domaine hautement sensible de la Défense nationale.

Heureusement certains commentaires sous son billet ne se sont pas privés de le lui rappeler, commentaires qui se trouvent être comme synthétisés par cette intervention lue sur LinuxFr et que je me suis permis de recopier ci-dessous :

Un ver s’attaque à la Marine française

URL d’origine

Patrick_g – 5 février 2009 – LinuxFr (Journal)

Conficker est le nom d’un ver qui infecte les machines sous Microsoft Windows. Il s’attaque au processus SVCHOST.EXE et il permet d’exécuter du code à distance. Un truc sérieux donc mais, hélas, pas inhabituel dans le monde merveilleux de Windows.

Ce qui est plus inhabituel en revanche c’est qu’il semble que ce ver ait réussi a se propager au sein du réseau informatique de la Marine Nationale (Intramar). L’isolation du réseau a été décidée mais elle a été trop tardive et des ordinateurs de la base aérienne de Villacoublay et du 8ème régiment de transmissions ont été infectés par la bestiole.

Sur ce lien on peut même lire que le 15 et le 16 janvier les chasseurs Rafale de la Marine Nationale qui devaient exécuter une mission n’ont pas pu décoller car ils étaient dans l’incapacité de télécharger les données de leur vol !

A priori Microsoft n’est pas coupable de négligence car un correctif pour la faille de SVCHOST.EXE avait été mis à disposition le 23 octobre 2008. Cette infection est donc entièrement la faute des administrateurs du réseau Intramar qui n’ont pas appliqué les correctifs et qui ont donc indirectement provoqué un gros "couac" dans la capacité de défense du pays.

Les questions qui se posent à la suite de cet épisode sont bien entendu les suivantes :

• Comment est-il possible qu’une fonction aussi critique que le réseau informatique de la Marine nationale dépende d’un système d’exploitation propriétaire fourni par une firme étrangère ?
• Comment est-il possible de choisir un système d’exploitation à la réputation sécuritaire plus que douteuse et dont il est impossible de relire le code source pour le vérifier ou l’améliorer ?
• Comment les administrateurs d’un réseau militaire sensible peuvent-ils laisser leurs serveurs non patchés pendant des mois alors que le danger a été signalé et le que le correctif a été mis à disposition ?

Il y a quelque chose de pourri au royaume de la Royale…