reflets.info

Depuis ce matin, l’Internet Numérique™ est le théâtre d’une comédie technico-dramatique dont il la le secret. À quel sujet ? Bitcoin, what else ?

Dramatis Personae

En effet, la BBC, The Economist et le magazine GQ nous apprenaient, de concert et à l’heure où blanchit la campagne, que l’identité de Satoshi Nakamoto, le mystérieux créateur de Bitcoin, avait (encore) été révélée. Il s’agirait ainsi de Craig S. Wright, un entrepreneur australien. L’information fut rapidement reprise de ci de là. Par exemple, dans la langue de Molière, par le Huffington Post ou le Monde, ou encore sur Wikipédia.

Malgré quelques réserves de la BBC (timides) et de The Economist (un peu plus appuyées), les différents articles présentent l’information comme plutôt crédible, sinon probable. En effet, Wright aurait signé cryptographiquement des messages en présence de journalistes de la BBC, avec une clé privée liée à des transactions de la blockchain Bitcoin connus pour avoir été créés par Satoshi. Un lien « inextricable » – pour reprendre les termes de la BBC – aurait ainsi été établi entre les deux identités. De plus, les allégations de Wright auraient été appuyées par deux membres de la Bitcoin Foundation, notamment le très respecté développeur Gavin Andresen, qui aurait déclaré être convaincu que « Craig Steven Wright est la personne qui a inventé le Bitcoin ».

L’enfer, c’est les autres

Pour que tout un chacun puisse vérifier la véracité de ses allégations, Wright s’est aimablement fendu d’un billet de blog.

Pour rappel, une signature cryptographique s’appuie sur deux clés liées mathématiquement l’une à l’autre. La première, la clé privée, est secrètement conservée par son propriétaire. C’est cette clé qui permet de produire, à partir de messages, des signatures. La seconde, la clé publique, peut-être librement diffusée. Elle permet de vérifier l’authenticité des signatures, qu’elles aient bien été créées à l’aide de la clé privée correspondante.

La démonstration de Wright est la suivante. On sait avec certitude que Satoshi a effectué certaines transactions Bitcoin, comme celle-ci. L’adresse d’entrée de cette transaction,12cbQLTFMXRnSzktFkuoG3eHoMeFtpTu3S, est donc un identifiant de Satoshi. À cette adresse est associée le hash (l’empreinte) d’une clé publique. Quiconque peut signer des messages avec la clé privée correspondante est donc probablement Satoshi, ou à tout le moins un candidat un peu plus crédible que les autres, puisqu’il contrôle une de ses clés privées. Wright prétend avoir signé un passage de Jean-Paul Sartre et nous livre le mode d’emploi « for dummies ».

Dans le billet, Wright fournit la clé publique, qui correspond bien à l’adresse Bitcoin. Il fournit également le message à signer (ou plus exactement une empreinte du message, ce qui revient au même puisqu’il permet de vérifier que le message est bien celui qu’il utilise), ainsi que les paramètres à utiliser (la courbe elliptique secp256k1). Tous les éléments sont donc disponibles pour créer une signature et la comparer à celle fournie par Wright. Le gros problème, c’est que, ce faisant, on n’obtient pas la même signature. Vous pouvez essayez par vous même, nous avons jeté un œil au code, aux éléments et à la méthode utilisée par Patrick McKenzie ici, tout cela nous semble correct. Par ailleurs, la signature fournie par Wright est celle contenue dans une ancienne transaction. Non seulement elle ne prouve rien, mais est de plus totalement hors sujet.

Le billet de Wright ne permet donc absolument pas de confirmer qu’il soit en possession de la clé privée de Satoshi, et contient des incohérences (comme l’utilisation de & au lieu de && ici), et pose nombre de questions. Pourquoi avoir fourni une signature qui ne correspond pas au message, pire, une signature sans rapport avec la démonstration ? Est-ce une erreur de la part de Wright ? Est-ce une tentative de falsification, pensait-il que personne n’irait vérifier ?

Si la signature était valide, elle ne constituerait d’ailleurs pas une preuve irréfutable. Elle pourrait tout à fait avoir été créée par quelqu’un d’autre il y a des années, la clé privée aurait pu être volée, etc. Mais, en tout état de cause, ce serait quand même un bien meilleur début que le billet tarabiscoté de Wright.

Paroles, paroles

Pour prouver que l’on est en possession d’une clé privée, la méthode est pourtant triviale : il suffit de signer un message, n’importe quel message, choisi par un tiers avec cette clé privée. Gavin Andresen, sollicité sur Reddit, a assuré que c’est très exactement ce que Wright et lui auraient fait. Andresen aurait fourni un message (un chosen plaintext), que Wright aurait signé. La signature aurait été copiée sur une clé USB et vérifiée par Andresen sur une autre machine. Il n’aurait pas été autorisé à la conserver, pour éviter qu’il ne puisse la divulguer avant le jour J. Ce n’est pas forcément faux, mais ça semble quand même un peu léger. Comme le note très justement le cryptologue Nadim Kobeissi dans sa réponse à Gavin Andresen, « la cryptographie n’a pas été créée pour que nous nous croyions sur parole. Elle a été créée spécifiquement pour que nous n’ayons pas à le faire ».

Gavin Andresen est un personnage respecté, que peu suspectent de malhonnêteté. Les hypothèses vont donc bon train quant aux tours de passe-passe que Wright aurait pu utiliser pour manipuler Gavin Andresen, certaines étant très crédibles. La situation est tellement rocambolesque que, craignant même que ce dernier puisse avoir été « hacké », l’équipe Bitcoin aurait révoqué ses droits d’accès en écriture sur les dépôts de code source.

Si l’intention de Wright était de mettre le waï, c’est plutôt réussi. Pour le reste et mis à part le fait que certains journalistes, notamment de la BBC, devraient peut-être insister un peu sur le fact-checking (ou fournir la signature, s’ils l’ont à leur disposition), nous n’avons pas appris grand chose. Craig S. Wright est-il Satoshi Nakamoto ? Pour l’instant, nous n’en savons rien. Et on s’en fout un peu « en vrai », non ?

Nous verrons bien. En attendant, je laisse le mot de la fin à notre facétieux Jean-Paul national : « ceux qui me voient se fient rarement à ma parole : je dois avoir l’air trop intelligent pour la tenir ».

Je vote avec mes mains à Nuit Debout. Et après ?

En un peu plus d’un mois, le mouvement « Nuitdebout » a permis de vendre beaucoup de papier, fait couler pas mal de salive, et démontré de nombreuses choses. Pas toujours celles que l’on attendait. Les analyses se succèdent sur le mouvement, avec leur lot de prédictions ou commentaires sur l’impossibilité de prédire la suite des événements, sans que personne ne puisse véritablement déterminer la qualité réelle de cet ovni politique et social qui enchaîne assemblée générale sur assemblée générale et commissions sur plusieurs places de villes françaises. Dont celle de la République, à Paris. Sauf que ce n’est peut-être pas seulement « Nuit Debout » en tant que tel qu’il faut analyser, mais plutôt la société française, ses élites déconnectées et opportunistes, son système politique à bout de souffle : tous ces phénomènes de plus en plus sous le feu des projecteurs, et qui ont… engendré le mouvement.

Une poignée de citoyens énervés et concernés

C’est à partir du film de François Ruffin « Merci patron ! » et les manifestations contre le projet de loi de réforme du code du travail que l’idée de rester sur la Place de la République à la suite de la manifestation du 31 mars a émergé. C’est ATTAC qui a fait la demande préfectorale pour occuper la place de la République, puis l’organisation physique s’est effectuée avec le collectif « convergence des luttes » et l’association « droit au logement ».

De quelques dizaines de personnes, puis des centaines les premiers jours, une foule plus dense s’est réunie Place de la République (ailleurs aussi en France, à Lyon, Toulouse, Rennes, etc…) pour « discuter », « s’organiser », « animer » le mouvement. L’objet de toutes ces AG faites de prise de parole, et des « commissions » où chacun peut venir s’inscrire est le plus souvent une réinvention des pratiques démocratiques. Décider de quelque chose, de façon horizontale, par consensus.

Les acteurs de « Nuit Debout » croient en une pratique de la démocratie directe, avec des règles simples de vote, d’adhésion ou de refus à l’aide de signes des mains. Ils sont une poignée à l’échelle du pays, ce sont des citoyens de conditions d’âge et d’origines différentes, bien qu’une majorité soit jeune (moins de 40 ans), « blanche » et plutôt diplômée. Des citoyens concernés par les problèmes sociaux, économiques, démocratiques majeurs que le pays subit, et énervés, bien que pacifiques, par l’immobilisme des décideurs politiques ou économiques face à cet état de fait.

Nuit Debout dérange-t-il ?

Le pouvoir socialiste, définitivement démasqué comme un pouvoir autoritaire, de type « droite libérale », réactionnaire — et à la solde des puissances capitalistes issues du CAC40 — ne sait pas encore comment se débarrasser du mouvement « Nuit Debout ». Évacuer définitivement les places et jouer de l’autorité pure le démasquerait encore un peu plus et pourrait faire monter le thermomètre social contre sa politique, déjà bien contestée. Et puis quand on lance un hashtag « Eh Oh la gauche », pour tenter de démontrer qu’on défend des valeurs humanistes, de justice sociale, d’égalité et de démocratie, il est quand même difficile dans le même temps d’empêcher les manifestations démocratiques populaires de type « Nuit Debout ».

La solution actuelle retenue par Hollande, Valls, Cazeneuve & Co reste simple, et très XXème siècle : créer les conditions d’une dérive violente pour justifier la fin de la récréation. Les forces de police excitent par moments les foules en usant de la force de façon exagérée, puis se retirent (un peu, mais pas trop) laissent (un peu) des casseurs perpétrer leurs méfaits, pour de nouveau abuser de la violence contre des personnes pacifiques et souvent très jeunes. Les vidéos, les témoignages de ces abus circulent, des policiers en sont même venus à parler d’ordres « venus d’en haut » demandant de casser le mouvement…

Cette stratégie gouvernementale n’a pas fonctionné pour l’heure, la place de la République (pour ne parler que d’elle) est toujours emplie d’une foule de bisounours gens organisant des réunions « non-mixtes » (sic), provoquant des AG sur autant de sujets qu’il y a de militantismes dans le pays. La question de savoir qui est dérangé par ce squat  à mi-temps — qui se maintient depuis plus de 30 soirées  malgré des évacuations musclées — survient alors, au delà de l’exécutif. Difficile à dire. Les sondages, pour ce qu’ils valent, indiquent qu’une immense majorité de la population n’est pas pour l’interdiction de « Nuit Debout ». Presque autant  que ceux qui rejettent la politique de François Hollande : plus de 70%. Nuit Debout rejette la politique de Hollande, comme les trois quarts du pays, peut-être est-ce là que se situe la liaison entre la population et le mouvement ?

Passer l’été, et après ?

« Nuit Debout » devrait perdurer au delà de l’été, à moins que des violences « intolérables et inadmissibles » ne surviennent, légitimant une évacuation définitive des places françaises, comme ce fut le cas en Espagne avec la Puerta del Sol. Le mouvement ne renvoie toujours pas de signes d’une convergence des luttes concrètes, et ne semble donc toujours pas s’autoriser à rallier des syndicats. Pas de porte-paroles, pas de leaders, des commissions, des AG, des AG, des commissions seulement ?

Le mouvement Nuit Debout représente concrètement, donc physiquement, quelques milliers de personnes. Les syndicats, en ne comptant pas la CFDT ou la CGC, ont en gros 1,5 à 2 millions d’adhérents. Le choix de ne pas converger s’entend très bien par la crainte de récupération d’une quelconque organisation, mais la puissance de feu sans cette convergence est très réduite.

Malgré tout, pouvoir rester Place de la République jusqu’à l’automne en se relayant est tout à fait possible pour les acteurs de « Nuit Debout ». Sans que rien ne bouge particulièrement. Sans propositions ou organisations autres que celles déjà en place. A l’automne, la pluie surviendra, les primaires à droite, la rentrée des classes, le froid, les agitations des Le Pen et Sarkozy, la nouvelle saison des experts sur TF1/Walking Dead sur AMC et en P2P, and whatever…

Le cas d’Occupy WallStreet est parallèle à Nuit Debout. Sa conclusion devrait être un modèle-repoussoir pour tous ceux qui souhaitent que le mouvement français ne finisse pas comme le mouvement américain. Parce qu’au fond, Nuit Debout est avant tout un espace de parole qui cristallise tous les blocages de la société française. Des blocages, qui en 2016, deviennent des impasses emplies de barils de poudre. Ou plutôt de bruits de bottes.

La fin d’un système qui résiste très fortement

Les analystes de la chose politiques sont à peu près tous unanimes pour dire que le « système politique français » est à bout de souffle, ne peut plus perdurer tel qu’il est, qu’il doit changer. La présidentialisation excessive, que la Vème République de 1958 a inscrite dans le marbre est l’un des éléments du blocage. Mais le fonctionnement parlementaire, lui aussi, amène les citoyens à ne plus adhérer à la démocratie représentative, qui n’a de « démocratique et de représentative » que le nom.

Ce phénomène de rejet a débuté avec le référendum de 2005, dont le vote citoyen a été balayé 3 ans plus tard par un certain Nicolas Sarkozy. Les différentes affaires de conflits d’intérêts, de corruption, de justice aux ordres, de votes reliés aux lobbies, de stratégies de communication mensongères des différents pouvoirs en place et de leurs représentants ont encore un peu plus accentué le divorce entre les élus nationaux et les 90% de la population soumise « aux sacrifices » économiques et sociaux, demandés… par ceux qui bénéficient de privilèges ahurissants — plus importants que les monarques du XVIIIème siècle et de leur cour.

Ceux qui profitent éminemment du fonctionnement à la fois institutionnel, politique et économique en place savent bien que sa contestation s’amplifie. Dans les urnes, avec un absentéisme qui profite au FN, dans les commentaires sur Internet, les réseaux sociaux, les sondages, les cafés, les réunions de famille, la haine à l’encontre de la classe politique et de leurs soutiens issus de la classe des ultra-riches grandit. Et chacun de se questionner sur le comment « s’en débarrasser » ?

Les Panama Papers sont venus à point nommé démontrer la résistance du système en place, qui s’il est fait en apparence, de vieilles structures issues du siècle dernier, est en réalité basé sur une architecture financière souterraine ultra complexe et d’une puissance phénoménale. L’argent achète tout, surtout lorsqu’il est condensé dans des proportions démesurées entre les mains de quelques acteurs clés. Il n’y a aucun intérêt pour ceux qui se sont construits des forteresses de pouvoir — grâce au système en place — de le changer. Ce continent de flux financiers, puisque c’est bien cela qui est évoqué, est mafieux. L’argent (très) sale se mélange à celui des bénéfices des multinationales, ou encore celui des rentiers spéculateurs grâce à des circuits entièrement autorisés par les pouvoirs politiques en place depuis des décennies. Ceux qui bénéficient de ce système opaque détiennent la majorité des médias, orientent et menacent les représentants, voire les achètent, et n’ont en aucune manière l’intention de changer quoi que ce soit dans leurs pratiques. Sauf si un changement politique survenait, totalement indépendant de leurs circuits habituels (grandes écoles, grandes entreprises).

Ce que Podemos n’arrive pas à faire, les Français le peuvent-ils ?

La création et l’évolution du parti Podemos, issu du mouvement « Indignados » du printemps 2011, a mené pour l’heure l’Espagne à un statu-quo politique,  mais avec des avancées positives en termes de changements et d’évolutions des mœurs politiques. Avant que Podemos ne se déclare, la vie politique espagnole post-indignados était retournée dans le vieux schéma des pseudo-socialistes contre la droite libérale, avec la victoire de la droite dans un premier temps. Podemos n’arrive pas encore à s’imposer, fait de nombreuses concessions et recule souvent, c’est un fait. Mais il a le mérite d’exister et de donner la parole à de nouveaux acteurs politiques, jeunes et déterminés à permettre que de nouvelles voix s’expriment, que de nouvelles pratiques démocratiques apparaissent. Rien d’équivalent en France.

Nuit Debout est une caisse de résonance pour une partie des « déçus de la politique française », un espace de réinvention démocratique sympathique, jeune et revendicatif. Il permet de fournir aux journalistes des sujets pour le 20h, et force les élites à se positionner. Mais au fond, si rien n’est fait pour transformer l’initiative en force politique permettant de remettre en cause la classe au pouvoir, que peut donc apporter au final Nuit Debout ? Un test pour le gouvernement, qui va pouvoir vérifier sa capacité à « mater » le mouvement, l’incapacité de Nuit Debout à aller plus loin qu’organiser des débats ? Ou bien les deux ?

L’Odieux Connard s’est fendu d’un pastiche d’un roman graphique sur la révolution française en version Nuit Debout. « Si la Nuit Debout avait existé en 1789 » est un chef d’œuvre d’humour et de dérision qui peut résumer assez bien le mouvement. Dans sa… heu… complexité ? Bon, un extrait, et allez le lire entièrement sur son site :

Toute force de contestation, demandeuse de changements de société, doit se donner les moyens de tenter de « gagner » le pouvoir. Si elle se contente de demander au pouvoir de bien vouloir changer, elle n’est rien d’autre qu’un valet qui supplie son maître. Et le maître ne donne jamais rien à un valet suppliant.

La loi travail est le détonateur qui a activé Nuit Debout et les syndicats sont une force indispensable pour contrer ce projet de réforme : il semble donc nécessaire pour Nuit Debout de tenter la « convergence des luttes » pour se lancer dans une aventure politique. Sinon, les forces d’oppression, réactionnaires, conservatrices et du « grand capital » ne feront qu’une bouchée des quelques milliers de bisounours gentils débatteurs-manifestants-militants. Et la démonstration sera alors faite que rien ne changera dans ce pays avant longtemps. Pour finir par prouver que le blocage politique et social français est total et peut rester encore des années en l’état ?

Ce serait fort dommage…

D.R.

Les violences policières se multiplient au fil de l’enracinement du mouvement social actuel et des liens qu’il tisse avec les syndicats. Un oeil perdu ici, des matraquages là, les forces de maintien de l’ordre s’en donnent à coeur joie. En se comportant comme des hors-la-loi, les représentants de la police sèment une graine qui fera grandir la violence, la haine, dans les années à venir. C’est totalement contre-productif, mais tellement classique. Manuel Valls qui est inversement martial à sa taille devrait y réfléchir. François Hollande qui a réussi le défi de laminer définitivement le Parti socialiste (le résultat de 2017 sera sans doute sidérant) devrait essayer de se projeter dans l’avenir.

Il risque quelques années de prison et pas mal d’euros d’amende pour avoir menti devant une commission du Sénat. Ce médecin avait des conflits d’intérêts et avait déclaré le contraire devant les sénateurs. C’est mal de mentir aux Sénateurs. Surtout qu’il était prévenu. Les Sénateurs le disent avant de commencer l’audition. On est sous serment, on risque gros si l’on ment. Ça n’a pas loupé, les représentants du peuple ont transmis le dossier à la justice. Nous, à la place de Frédéric Oudéa, on se ferait du mouron… #OhWait…

Les anciens internautes le savent, en matière de sécurité informatique, la France bat des records d’immobilisme. On pourrait mettre ça sur le compte d’un système éducatif à la traîne, sur le compte d’un manque de cyber souveraineté , sur le compte des pirates qui assassinent des artistes à coups de clics, sur le compte des anciens astronautes, mais on revient toujours au fait politique, celui qui fait la loi.

Jusque là, il existait un texte assez poussiéreux, l’article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles. Mieux, la jurisprudence ne limitait pas l’obligation de sécurité à une obligation de moyens, mais elle l’étendait à une obligation de résultat. Tout allait alors pour le mieux dans le meilleur des mondes puisque si un responsable de traitement ou même un sous-traitant faisait n’importe quoi avec vos données de santé ou vos données bancaires, ce qui n’arrive jamais c’est bien connu, il encourrait une peine de 5 ans de prison et 300 000 euros d’amende. Dans les faits, un nombre infime d’affaires ont été portées devant les tribunaux sur le fondement de cet article. Bref, cet article n’a pas servi à grand chose, mais c’est probablement parce qu’il ne concernait pas assez de monde (#oupas).

Dans un élan sécuritaire visant à éduquer les particuliers à la cybersécurité, le législateur a étendu l’obligation de sécurité « pour tous », en définissant une infraction de négligence caractérisée. L’abonné à Internet a maintenant pour obligation de sécuriser sa connexion pour s’assurer que cette dernière ne serve pas de moyen au cyber-génocide des artistes. L’internaute encourt un mail, suivi d’un recommandé, suivi d’une coupure de connexion. Il y a bien eu un jour une connexion coupée, mais pas celle d’un particulier. Hay caramba, encore raté. Jusque là, tout allait toujours pour le mieux dans le meilleur des mondes puisque tout le monde était condamnable pour une raison ou pour une autre (il ne faut se fermer aucune porte) :

• le vilain pirate qui pirate et cherche à tuer toute la planète ;
• le vilain mauvais admin qui procrastine ;
• la mamie du Cantal qui ne capte rien à cette histoire de « faille heurouâle au paine ofisse » et « ouifi crypté à Heuesse tékahypé » du mail de recommandation qu’elle a reçu sur son adresse Caramail, dont elle ne se souvient plus de l’URL.

Et puis, un jour, le législateur s’est aperçu d’un truc qu’on lui expliquait depuis 30 ans

• les vilains pirates ne sont pas tous vilains;
• ils ne cherchent pas forcément à tuer toute la planète;
• certains essayent même d’alerter l’opinion dans une optique citoyenne ;
• ils ne portent pas tous une cagoule devant leur écran.

Là vous vous dites « mais c’est super, on va enfin foutre la paix aux chercheurs qui trouvent et aux journalistes qui font leur métier ».

Faut pas déconner non plus…

Protéger les lanceurs d’alerte, mais pas trop

Le projet de loi sur le numérique a soulevé la question de la protection des lanceurs d’alerte. On se dit, forcément, que ça va dans le bon sens. Mais soulever une question, c’est une chose, y apporter une réponse sensée en est une autre et étrangement, c’est rarement sur le second point que le politique excelle quand ça touche au numérique.

Les députés PS ont eu une idée géniale, exempter les lanceurs d’alerte de peine, mais pas de poursuite, ni de garde vue, ni de procès…

L’amendement qui te protège, camarade, ça donne ça en pratique :

« Vous êtes un chercheur qui trouve ? Vous venez de sauver la planète en alertant les autorités au détour d’une recherche Gogleuh vous donnant accès aux centrifugeuses de la centrale nucléaire de Fessenheim ? Vous visiteriez bien nos geôles 72h, on a quelques questions à vous poser, mais ce sera plus rapide si vous vous passez d’un avocat, donc c’est une formalité hein. En plus c’est super, vous êtes exempté de peine ! Bon il y aura un procès donc prévoyez quand même un petit budget avocat au cas où… oui en plus de celui pour remplacer la porte que nous venons d’enfoncer ».

Ça donne envie non ?

Rebondissement aujourd’hui comme l’explique Nextinpact, le signalement pourrait se faire directement à l’ANSSI, ce qui est en soi une bonne chose. Cette dernière pourra (ou pas), s’exempter de son obligation de dénonciation de délit… sympa non ?

Le bon côté de l’affaire, c’est que l’ANSSI ne sera probablement pas débordée par les signalements.

Moralité, si vous êtes lanceur d’alerte, lancez plutôt des chouquettes, si vous êtes chercheur en sécurité, évitez de trouver, et surtout, si vous trouvez… fermez là.

Sinon, vous pouvez toujours revendre vos 0day à Hacking Team, c’est immoral, ils les revendront à de parfaits salopards, mais au moins, vous ne risquez pas de garde à vue.

Ah ! Oui vous aussi vous vous demandez ce que va devenir notre article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles ? Ah mais ça on s’en fout ! Contre ça, il y a le bon vieux « gogogadgétobug ».

Allez, voici un petit exemple très actuel avec les LuxLeaks:

Étape 1 : nommer un « enquêteur » (enfin une auditrice interne) qui découvre les permissions non récursives sur un dossier d’un serveur de fichiers (niveau 1er trimestre de BTS info).

Étape 2 : faire gober au juge que c’est une faille informatique, un bug… alors qu’il s’agit d’un problème d’interface chaise/clavier bien connu, ici le classique « on a pas lu le chapitre permissions de la documentation avant de mettre en prod notre intranet ulta secure, mais on est sûr que c’est un 0DAY »… too easy.

Étape 3 : crier au piratage et faire condamner au motif de maintien frauduleux dans un espace public (on a testé pour vous).

La cyber sécurité française était au bord du gouffre, mais comptons sur le législateur pour nous faire faire un grand pas en avant.

Aujourd’hui s’est ouvert le procès des Luxleaks. C’est un procès hors norme, celui d’Antoine Deltour et Raphaël Halet, lanceurs d’alerte et Edouard Perrin, journaliste. Ils sont poursuivis pour «divulgation de secrets d’affaires ou de fabrication, violation du secret professionnel, vol et vol domestique». Je ne me lancerai pas dans une analyse juridique à la simple lecture des faits qui leurs sont reprochés même si j’ai l’intime conviction que ces trois personnes n’ont rien à faire dans le box des accusés.

Cependant, il y a quelque chose qui me fait bondir, c’est la confusion entretenue par les journalistes et les juristes entre un « bug » ou une faille informatique, et une faille humaine, qu’honteuse, une accusation fera adopter à l’opinion comme une « faille informatique ».

Rappel : Quand un administrateur système n’est pas fichu d’appliquer les bonnes permissions sur un dossier, sur des fichiers, il s’agit d’un bug HUMAIN.

La fonction d’un serveur de fichiers, par défaut, est … tenez vous bien… de servir des fichiers.

S’il y a une authentification à la racine, ça ne veut pas dire que tout ce qui se trouve sous la racine est forcément privé ! Les pages d’accueil de Facebook ou de Twitter disposent bien d’une authentification et pourtant, la majorité des contenus se trouvant sous la racine sont publics.

Une « faille » ou un « bug » informatique impliquerait que les accusés aient contourné une mesure d’authentification pour s’octroyer des permissions qu’ils n’avaient pas.

Or, ce que l’on peut lire ce matin, c’est ça :

Nous avons donc des docs scannés placés dans un dossier qui se nomme « confidentiel » mais dont les permissions récursives ne sont pas appliquées, ou pire, qui n’est pas lui même configuré avec les bonnes permissions. Tant et si bien qu’une recherche, sans autorisation particulière restituera ces documents scannés. Une simple recherche qui restitue des documents publics parce que de mauvaises permissions sont appliquées, outre le fait que ça me rappelle quelque chose, c’est, encore une fois, un comportement NORMAL, et non « bug » informatique, ou encore moins une « faille ».

Maintenant, que vous soyez journaliste ou juriste, merci d’éviter ceci :

• ici un avocat qui dans un article sur les backdoors (wtf ?) qualifie le résultat d’une recherche Google comme l’exploitation d’une faille ;
• un autre avocat qui qualifie de faille informatique une erreur humaine ;
• encore un avocat qui qualifie de « faille dans le système de sécurité » une erreur humaine ;
• encore et toujours un avocat qui qualifie de faille de sécurité une erreur humaine ;
• et le fin du fin se trouve sur Legalis puisqu’on apprend que « l’accès qu’il ne conteste pas, lui a, en fait, été permis en raison d’une défaillance technique concernant les certificats existants dans le système, défaillance que reconnaît l’ANSES« … bah tu m’étonnes qu’elle la reconnait vu que ça n’a rien d’une défaillance technique mais d’une défaillance bien humaine.

Bref tout ça pour vous dire, qu’avant d’écrire n’importe quoi, au risque de porter inutilement préjudice à des accusés, apprenez à faire la distinction entre une vulnérabilité technique qui aurait été exploitée de manière malicieuse et une erreur humaine d’un administrateur distrait qui n’a pas coché la bonne case et qui permet à n’importe quel utilisateur d’accéder à des documents.

En parlant de « bug » ou de « faille », vous condamnez Antoine Deltour, Raphaël Halet et Edouard Perrin dans l’opinion publique, et c’est le genre de bourde sémantique qui pèse lourd le jour d’un délibéré.

Reflets a déjà évoqué cet étrange grand écart intellectuel tenté par les éditeurs de presse qui consiste d’une part à demander à Google News de bien indexer tout leur contenu et d’autre part, à attaquer Google News qui leur volerait, qui leurs lecteurs, qui leurs recettes publicitaires… C’est au tour de News Corp de rejoindre officiellement la #TeamOuinOuin. Le géant qui publie entre autres choses le Wall Street Journal, s’associe à une plainte contre la position dominante (sans blague ?) de Google.

Mais ce que ne dit évidemment pas News Corp, c’est qu’il peut, s’il le souhaite, éviter l’indexation par Google de ses articles. S’il ne le fait pas, c’est que tout de même, quelque part, le géant de la presse y trouve son compte. Le désormais fameux fichier « robots.txt » des sites impose aux robots des moteurs de recherche de ne pas indexer tel ou tel contenu, pourvu que la volonté de l’éditeur soit au rendez-vous. Pour les quelques sites suivant de News Corp, la volonté de ne pas être indexé par Google n’y est pas évidente, d’autant que la volonté de ne pas être indexée par certains site, est elle, évidente :

L’antienne « si je n’ai rien à me reprocher, je n’ai rien à cacher » a finalement eu raison de la mobilisation des défenseurs des libertés individuelles, vent debout contre les différents projets de loi sécuritaires (Loi sur le Renseignement, projet de loi pénal, …). La population n’a pas rejoint leur indignation. Les opposants à ces projets n’étaient pas tous des informaticiens anarchisants. On peut citer par exemple le Conseil de l’Ordre des avocats de Paris et son bâtonnier Pierre-Olivier Sur, le Syndicat de la magistrature, qui ont violemment critiqué cette loi ouvrant la voie à l’installation des fameuses « boites noires », un élément de langage intégré dans le débat par le gouvernement.. Dans les faits, ces boites noires sont une infrastructure permettant de siphonner tout trafic Internet et de le stocker pour une utilisation ultérieure. Il est compréhensible que le grand public n’ait pas mesuré la portée de ce texte et les risques qu’il fait peser sur tous les citoyens. Après tout, le sujet est technique, obscurci par un jargon de bon aloi et semble destiné à « protéger » la Nation contre les actions terroristes. En revanche, il est tout à fait paradoxal de constater que les hommes et les femmes politiques n’aient pas envisagé ce qui va inexorablement survenir.

Vous avez aimé l’affaire Takieddine ? Vous allez adorer la deuxième saison de cette série. Petit retour en arrière… Ziad Takieddine est un intermédiaire dans de gros contrats internationaux, notamment des ventes d’armes. On le retrouve ainsi au cœur des affaires Sawari II (Arabie saoudite) et Augusta (Pakistan). Sa très embarrassante proximité avec des hommes politiques français, les commissions exubérantes empochées lors de la signature de ces contrats ont été mises à jour lorsque son ex-femme a confié le contenu de son ordinateur aux enquêteurs en charge du volet financier du dossier Karachi. Sans ces traces informatiques, tout cela aurait pu rester confidentiel.

Dans un avenir plus ou moins lointain, avec la mise en place des fameuses « boites noires », l’affaire Takieddine va ressembler à une anecdote. Rares sont les présidents ou les gouvernements n’ayant pas utilisé à leurs propres fins les outils mis à disposition par les services de renseignement. Des écoutes de l’Elysée sous François Mitterrand aux fadettes des journalistes du Monde dans l’affaire Bettencourt sous Nicolas Sarkozy, la liste est longue. Il y a fort à parier que les boites noires serviront un jour à un gouvernement pour obtenir des informations sur des opposants politiques.

Cette fois, il ne s’agira plus seulement d’affaires financières. Toute la projection numérique des vies des hommes et femmes politiques sera à la disposition des indélicats. Leurs préférences sexuelles ou leurs éventuelles infidélités, leurs achats douteux via Internet, leur usage de stupéfiants, les petits arrangements et autres calculs politiques, tout ce qui sera passé par mail, visio-conférence, par des serveurs Web, même les mails restés en brouillons et jamais envoyés seront à la porté de ceux auront la main sur les boites noires.

La récente affaire impliquant un pauvre internaute accusé à tort de multiples téléchargements, et même de pédophilie, devrait cette fois faire réfléchir à la fois le grand public et les hommes et femmes politiques qui signent des chèques en blanc sur des sujets éminemment techniques à un gouvernement désormais en roue libre sur ces sujets. L’internaute en question a été victime d’une machine : le système automatisant la livraison aux enquêteurs des données d’identification des abonnés par Numericable. Lorsqu’il ne parvenait pas à identifier un contrevenant supposé, le système informatique de Numericable fournissait automatiquement aux enquêteurs l’adressse IP de cette personne, totalement étrangère aux méfaits supposés.

Donner la main aux machines, c’est toujours une histoire qui finit mal, comme le démontre l’allégorie du film Terminator. Une idée que devraient d’ailleurs méditer ceux qui pensent avoir trouvé une martingale dans le high frequency trading…

Les violences policières lors des manifestations ne sont pas une nouveauté, les plus vieux se souviennent de Mai 68, les moyens vieux, de Malik Oussekine. Si pour Malik, environ un million de personnes étaient descendues dans la rue pour demander des comptes au gouvernement, il est notable que cela ne se produit plus lors de la mort d’un jeune manifestant. Cela dit sans doute quelque chose sur une société qui ne s’indigne pas assez de la mort de ceux qui sont son avenir, pour reprendre la rue. Ce qui a changé, en revanche, c’est la capacité des gens à cartographier avec précision les violences policières. Le couple téléphone portable et Internet est redoutable.

Voici donc une très intéressante carte des effets de la police sous un gouvernement qui se dit socialiste. Heureusement que la droite n’est plus au pouvoir…

Mossack Fonseca ne fait pas que des sites web troués sur lesquels il place des scripts Google Analytics pour mieux assurer la confidentialité de ses clients. Mossack Fonseca ne fait pas que lutter activement contre la fraude et le blanchiment avec sa filiale Evolusoft. La société navigue en zone grise, c’est ça son coeur de métier.

On aura beau vous crier qu’une société offshore c’est légal, et ça l’est, c’est la motivation pour laquelle on y recoure qui est souvent plus discutable.

Ainsi Mossack Fonseca est capable de vous rendre des services pour des problèmes d’ordre très personnels, comme planquer vos biens si vous vous trouvez en situation de divorce.

Il s’agit d’un « petit service » proposé par la filiale luxembourgeoise de Mossack Fonseca ici à un ressortissant hollandais.