reflets.info

La cryptographie, c’est la pierre angulaire de tout ce qui est plus ou moins sécurisé sur l’Internet numérique digital 2.0. C’est une science qui n’intéressait pourtant, jusqu’à récemment, qu’une poignée d’initiés à la pilosité faciale plus ou moins époustouflante. Depuis les révélations d’Edward Snowden, la vie privée, la confidentialité, la sécurité des communications jouissent d’une exposition médiatique grandissante.

L’ennui, c’est que lorsque des chercheurs ou spécialistes découvrent une faille d’importance, la matière étant complexe, ils ont de plus en plus besoin de faire le buzz pour être entendus au delà d’un public averti. Publier un papier académique au format PDF ne suffit plus : il faut faire du marketing, à grand renfort de « marques » (Shellshock, Poodle, Heartbleed, etc.), de logos sanguinolents ou de sites web (plutôt bien foutus, d’ailleurs).

Y a pas de fumée sans FUD

Or donc, courant mai, une équipe de chercheurs a publié un travail vraiment remarquable (no joke) sur une faille de sécurité et sur la manière dont la NSA en a très probablement tiré parti. Le papier a ensuite été complété en octobre, présenté dans une conférence et les auteurs ont obtenu une récompense bien méritée. Ça, c’est pour le côté positif.

Dans la foulée, on a vu fleurir des articles sensationnalistes aux titres clickbait, pleins de FUD, d’approximations, d’incompréhensions ou de contre-vérités qui nous annoncent la fin du monde, ou en tout cas son équivalent Internet (« HTTPS/VPN/SSH est tout cassé, on va tous mourir ! »). Je ne vous le cache pas, ça m’énerve. Parmi ces articles, mon préféré c’est celui-ci. Pour ne citer qu’un bout du chapeau :

la NSA serait parvenue à décrypter des milliers de milliards de données à travers le monde grâce à l’échange de clés Diffie-Hellman, une méthode de décryptage très complexe.

D’abord, on se demande bien ce que ça veut dire, « des milliers de milliards de données », et les chercheurs n’étaient pas deux, comme c’est mentionné dans l’article, mais quatorze. Sympa pour les autres. Dans la catégorie mékéskidi, « le piratage du décryptage des données » devrait finir la saison dans le haut du classement. Ensuite, l’échange de clés Diffie-Hellman (DH pour les intimes) n’est pas une méthode de chiffrement, et encore moins une méthode de décryptage. Enfin et surtout, DH est considéré comme sûr quand il est configuré correctement, ce que nombre d’auteurs oublient bien soigneusement de mentionner.

Diffie, Hellman… et Michel

Notre protagoniste, Michel, aime bien se tirer le portrait. Du coup, sa tante Brigitte lui a offert une magnifique perche à selfie télescopique. Et depuis, c’est le moins que l’on puisse dire, Michel est à fond dedans. Il s’auto-immortalise dès qu’il en a l’occasion, c’est devenu une passion. À tel point qu’il a fini par avoir sa petite notoriété dans le milieu de l’égoportait, le gredin.

Michel et POTUS

Assez fier de lui, il a décidé de poster ses derniers chefs-d’oeuvre sur Facebook. Lorsque Michel va se connecter pour envoyer ses photos, le transport d’informations entre son smartphone et le serveur va être chiffré. Mais pour ce faire, il faut que Michel et Facebook trouvent un moyen de s’entendre, au préalable, sur une clé, un secret partagé qui servira au chiffrement de la session.

Facebook propose à Michel un paramètre public, un nombre qui peut être librement échangé sur les réseaux. Pour simplifier, nous allons utiliser l’analogie des couleurs (également utilisée par la page Wikipedia en anglais). Notre paramètre public est ici le violet (8388736 sous sa forme numérique). Chacun va ensuite choisir une couleur qu’il gardera secrète ; Michmich le jaune (16776960), Facebook le rouge (16711680). Puis ils mélangent leur couleur secrète à la couleur publique, le violet. Michel obtient du brun tout moche, Facebook une sorte de fuschia foncé du plus vilain effet. Chacun transmet via Internet son mélange à l’autre, qui le recombine alors avec sa couleur secrète. À la sortie, ils obtiennent tous deux la même couleur, un orange foncé (13980971), qu’ils vont pouvoir utiliser comme clé de chiffrement.

Échange de clés Diffie-Hellman

Les couleurs secrètes n’ont jamais circulé sur les réseaux, seuls les produits du mélange avec la couleur publique. Si un indiscret voulait s’emparer de la clé de chiffrement pour chiper les selfies de Michel, il lui faudrait donc deviner les couleurs secrètes à partir des teintes ayant circulé sur le réseau : le brun et le fuschia. Dans notre exemple, c’est très facile, car la fonction de mélange de couleurs est facilement réversible ; elle fonctionne à peu près de la même façon dans les deux sens. C’est pour cette raison que DH utilise une méthode mathématique qu’il est facile de jouer en marche avant, mais très difficile à dérouler en marche arrière. Les chercheurs estiment que pour réussir à casser un échange DH (1024 bits) en un an, le coût serait de quelques centaines de millions de dollars. Une broutille, hein ?

Alors, vous dites-vous, il est où le problème ?

La méthode utilisée pour casser DH se décompose en deux phases. La première, le précalcul, est la seule qui nécessite un temps de calcul et des investissements significatifs, la seule qui soit difficile et coûteuse pour une organisation du type NSA. Cette étape dépend principalement de l’originalité d’un très grand nombre premier, défini sur chaque serveur, le « groupe Diffie-Hellman ». La seconde phase, dite de « descente », est infiniment plus facile et rapide. Ainsi, si un grand nombre de serveurs utilisent le même nombre premier, le même « groupe », la NSA n’aura à faire le plus gros du boulot, c’est à dire le précalcul, qu’une seule fois. Elle pourra ensuite très facilement casser tous les échanges individuels quand l’envie lui en prend.

Et c’est tout bêtement là où le bât blesse : bon nombre de logiciels sont installés avec des groupes Diffie-Hellman « par défaut », identiques d’un serveur à l’autre. Les opérateurs de certains systèmes ont oublié de générer des groupes Diffie-Hellman originaux (et suffisamment larges), ou ignoraient qu’il était recommandé de le faire. L’opération prend quelques minutes, mais il semble qu’à ce jour un nombre significatif de serveurs soit encore vulnérable.

Errare humanum est, perseverare diabolicum

Dans ce type d’articles anxiogènes, comme celui que je cite en introduction, articles souvent truffés d’erreurs, on ne trouve aucune mention que des solutions existent (alors que c’est non seulement clairement mentionné par les chercheurs, mais qu’ils proposent de surcroît un guide pour les administrateurs système). On n’y fait que constater les problèmes, quand ils n’y sont pas amplifiés sans vergogne. Ce qu’on y lit, en creux, c’est la toute puissance de la NSA (ou d’organisations du même tonneau), et, par réciproque, l’impuissance de la cryptographie. Or, jusqu’à nouvel ordre, en réalité c’est tout le contraire. La force de la cryptographie moderne est la règle, sa faiblesse l’exception.

La sécurité, la vie privée, la confidentialité des échanges sont des sujets sérieux. Ce serait franchement une bonne idée d’arrêter d’écrire n’importe quoi, de repenser la manière de communiquer sur ces questions de sécurité informatique en général, et de crypto en particulier. D’arrêter de tomber dans le sensationnel et de faire preuve de pédagogie, de livrer une information précise et lisible sur les maux et les remèdes. Peut-être aussi serait-il intéressant de mettre à disposition des opérateurs de services, et de leurs utilisateurs, des informations et des outils qui leur permettent, au cas par cas, d’évaluer facilement le niveau de sécurité auquel ils peuvent s’attendre, ainsi que les risques auxquels ils s’exposent.

Et les selfies de Michel seront bien gardés.

Nous vous parlions il y a quelques jours de la contribution française à la création des frontières « intelligentes ». Statewatch avait récupéré un document exposant la position française. Nous avions immédiatement demandé via le formulaire ad hoc au Conseil une copie de ce document.

Nous avons reçu une réponse à notre demande. Et, elle est, comment dire, assez instructive.

Après nous avoir remercié pour notre demande, le « Directorate-General Communication and Document Management – Directorate Document Management – Transparency and Access to Documents Unit » (ouf…) nous le dit tout de go : « I regret to inform you that access to document 12272/15 cannot be given for the reasons set out below. »

Nous ne saurons donc pas si le document de Statewatch est véridique ou non. Même si bien entendu, nous pensons qu’il l’est. Le contenu du courrier que nous avons reçu et le refus de diffuser ce document est par ailleurs en soi, une piste qui milite pour une authentification du contenu dévoilé par Statewatch.

Mais revenons aux raisons évoquées par le Conseil pour refuser de communiquer aux électeurs un document élaboré par des personnes à qui ces électeurs ont délégué leur pouvoir :

This document contains some information put forward by the French authorities on the question of the free movement of persons within the Schengen area. This issue is the subject of considerable debate and constitutes a politically sensitive topic with regard to the differences of viewpoints to which it gives rise.

In addition, the requested document deals with questions related to the existing Schengen framework which were discussed at the European Council and Council’s level and which will also be on the agenda of the Justice and Home Affairs Council in December 2015.

This issue is thus still under discussion within the Council.

Release to the public of the information contained in this note would affect the negotiating process and diminish the chances of the Council reaching an agreement.

Disclosure of the document at this stage would therefore seriously undermine the decision making-process of the Council. As a consequence, the General Secretariat has to refuse access to the document at this stage.

Having examined the context in which the document was drafted and the current state of play on this matter, on balance the General Secretariat could not identify any evidence suggesting an overriding public interest in its disclosure.

We have also looked into the possibility of releasing parts of the document. However, as the information contained in the document forms an inseparable whole, the General Secretariat is unable to give partial access.

Sachez-le, le secrétariat général du Conseil ne voit pas, lui, en quoi cela pourrait avoir un intérêt de laisser les électeurs européens se faire une idée personnelle de la position de la France en matière de systématisation des contrôles biométriques en Europe. Circulez ! Ou retournez commenter #ONPC sur Twitter. L’Europe s’occupe des choses sérieuses, des choses de grandes personnes, mais dans son coin. Sans vous.

Le journalisme est une pratique professionnelle très large. Il n’y a pas un type de journaliste, une sorte de modèle qui donnerait le « La » à tous les autres. Certains relayent les informations de [la centrale française de l’information] l’AFP, et les « habillent », d’autres mettent bout-à-bout des actualités récupérées par des confrères. Il y a des journalistes assis, d’autres debout, en mouvement, des journalistes qui analysent, qui n’analysent pas, qui creusent ou non, enquêtent, fouillent, vont sur le terrain, ou au contraire, relayent principalement le message de groupes d’intérêts.

Toutes ces formes de journalisme créent ce que l’on nomme « l’information ». Et dans un monde complexe, hétérogène, aux politiques d’influence d’une puissance historique incomparable, recouvert de technologies [de l’information] en perpétuelles améliorations, le journalisme continue, malgré tout, à pratiquer son activité de manière [majoritairement] uniforme. Majoritairement, mais pas intégralement, puisque des hisoires commencent à être racontées avec l’aide de nouveaux acteurs — qui peuvent être nommés de façon large — les hackers.

Poitras et Greenwald, avec les révélations d’Edward Snowden en sont un exemple frappant. Reflets, avec les affaires Amesys, Qosmos, en est un autre. Ces nouvelles manières d’aborder les réalités  — beaucoup par et — grâce à Internet, offrent une autre vision du monde qui nous entoure. Elles critiquent la réalité établie, celle qui est servie par « l’information ». Personne ne pouvait imaginer il y a un peu plus de 2 ans, que la planète entière était sous écoute américaine (et d’autres grandes nations), même si cette possibilité était pointée par Reflets, depuis 2011, inlassablement, avec entre autres les ventes d’armes numériques de la France à la Lybie, la Syrie — et d’autres nations très peu démocratiques.

La réalité commune, véhiculée par l’information des journalistes, n’est donc pas fixe. Mais elle a la peau dure. Le rapprochement avec le monde d’Orwell commence à émerger, et étrangement — alors que chacun pouvait le penser au départ — ce n’est pas grâce à une surveillance permanente des individus par un œil étatique invisible (Big Brother) et omniprésent. Le monde d’Orwell est en place, mais c’est avant tout celui de la fabrication et de la refabrication de la réalité qui le définit. Par le biais de l’information.

La guerre c’est la paix (créer le chaos c’est la sécurité)

Les attentats de janvier 2015 ne sont pas survenus au gré de circonstances équivoques, par la simple volonté d’illuminés vengeurs qui ne supportaient pas des caricatures vieilles de 10 ans, d’un journal satirique en cours d’effondrement économique pour cause de manque de lecteurs. Cette histoire de liberté d’expression bafouée ne fut qu’un paravent pour éviter de parler de politiques françaises lourdes de conséquences.

La première de ces politiques est la participation militaire de la France à des bombardements en Irak depuis l’automne précédent. La seconde est la politique de rapprochement avec Israël, marquée par un discours du chef de l’Etat français soutenant – durant l’été 2014 — les bombardements aveugles d’un Nethanyaou plus martial que jamais, et causant par des bombardements aveugles la mort de plus de 2000 Palestiniens de la bande de Gaza, dont un nombre impressionnant d’enfants.

« La guerre c’est la paix » était le slogan d’un ministère de la société de Big Broter imaginée par Georges Orwell dans 1984. Le « chaos c’est la sécurité » pourrait dire Hollande, qui prétend protéger la France en envoyant son armée pilonner des territoires partout où des fondamentalistes appellent leurs « frères », en Occident, à causer le maximum de morts dans les populations des pays engagés militairement contre eux.

La cause et l’effet sont évidentes, elles ne sont pourtant pas fortement discutées : la réalité ne semble pas vouloir plonger dans les racines des événements. Au contraire, elle semble devoir être l’événement, et lui seul. Une forme d’amnésie permanente de « l’information au présent simple », avec laquelle l’histoire est évacuée.

L’ignorance c’est la force (et la distraction assurée)

« Notre ennemi, c’est la finance, mais ce sont aussi les djihadistes, bien que nos alliés soient des bourreaux qui ont financé ces mêmes djihadistes et participent au grand désordre financier mondial. Quand nous soutenons la dictature militaire égyptienne en leur vendant de l’armement, nous soutenons la démocratie et les révolutions arabes, parce que nous sommes le pays des Droits de l’homme qui aide les dictatures à torturer ses opposants politiques grâce à nos technologies duales de surveillance numérique. Nous soutenons la transition écologique grâce à l’énergie nucléaire — qui exploite nos ex-colonies riches en uranium, aux populations affamées — énergie que nous allons pourtant réduire, tout en déclarant la guerre aux centrales à charbon, car la planète se réchauffe dramatiquement par notre faute, par la croissance économique, que nous souhaitons pourtant la plus forte possible. »

Discours imaginaire de François Hollande.

La réalité commune, celle du monde qui nous entoure est forgée — au XXIème siècle — non pas par une observation personnelle d’un environnement local, ou par la lecture approfondie de documents fabriqués par des personnes observatrices et analystes d’événements locaux, dans la durée, mais par un flot ininterrompu d’informations. Cette information est rapide, fabriquée par des acteurs plus ou moins indépendants, plus ou moins présents lors des événements. Sa principale vocation est d’appeler à réagir, émotionnellement le plus souvent.

Présenter des événements inquiétants, violents, perturbants, gênants, qui appellent les spectateurs à la fascination et au dégoût, tel est le principe de l’information actuelle. Le but étant de faire commerce de cette information, il est crucial qu’elle « fasse événement », soit forte, et surtout, qu’elle soit une nouveauté. D’où le remplacement nécessaire d’une information forte par une autre, quand la première commence à se dégonfler, à perdre de son intensité. Cette faculté de l’information à ne jamais revenir sur les origines des événements, de ne jamais traiter les causes et les effets (faculté qui existait auparavant mais pas dans des proportions aussi importantes, cf l’info en continu) de ce qu’elle montre, mène à des manipulations par omissions, certainement inconscientes de la part des journalistes, mais qui posent de véritables problèmes. Démocratiques.

Comment les citoyens peuvent-ils débattre, échanger, chercher à connaître la réalité de la façon la plus honnête qui soit, demander à leurs représentants d’améliorer, faire progresser leur société (ou d’autres plus lointaines), s’ils sont en permanence floués, assommés par des réalités/vérités qui remplacent et annulent les anciennes ?

L’information, c’est l’affirmation

Une quinzaine d’articles publiés sur Reflets (du même auteur que cet article) — plus ou moins satiriques — à propos du changement climatique, ont tenté de réfléchir et faire réfléchir sur cette capacité à revisiter l’histoire que la société de l’information actuelle pratique intensivement. Le but de ces articles, malgré les apparences, n’était pas moins d’invalider purement et simplement les thèses sur le réchauffement anthropique — démonstration impossible s’il en est à l’échelle d’un journaliste — que de pointer le traitement quasi hallucinatoire de ce sujet.

L’intérêt principal de l’information sur le changement climatique est sa capacité à refaire sa propre histoire, à oublier ses erreurs, approximations, ses prédictions fausses, et recréer de façon continue une cohérence illusoire dans sa vocation unique. Cette « vocation », l’objectif de l’information sur le climat, n’est pas de parler du climat en tant que tel, mais des catastrophes que celui-ci, en se modifiant à cause de l’activité humaine, va provoquer. De façon « certaine ». D’où les annonces permanentes de prévisions d’augmentation de la température du globe, à 10 ans, 15 ans, 30, 50 ou 100 ans.

Si l’information d’il y a 15 ans, pour la période actuelle, s’avère fausse, à propos de la hausse générale de température prévue, cette information n’est pas ou peu franchement traitée, et quand c’est le cas, elle est balayée d’un revers de main par un expert officiel du « consensus », qui quand il admet que la hausse n’est pas franchement là (le hiatus), laisse entendre que, certes, la chaleur n’est pas autant là que prévu, mais qu’elle existe quand même (théorie de la chaleur captive des océans). De la même manière, les années plus chaudes sont relayées de façon massive, mais lorsque des années plus froides surviennent, cette information n’est pas relayée, ou cataloguée dans le registre « météo ». Une année très chaude est une information climatique, une année froide est de la météo, et écartée. Ou bien encore, elle trouve une explication par le « forçage naturel » du climat.

Le principe de l’histoire [de l’information] revisitée en permanence — pour le traitement du changement climatique — est central. Le terme de réchauffement a d’ailleurs été modifié en « changement », en quelques années (alors que le phénomène de réchauffement est le cœur du sujet, les conférences le stipulent toutes, comme les différents rapports du GIEC). La courbe qui a affolé la communauté scientifique (courbe de Mann en crosse de hockey) dans les années 2000, bien que déclarée fausse, tronquée, et admise comme telle par la communauté scientifique (puis corrigée) — n’a rien changé à l’information sur l’évolution du climat [et des prévisions de changements de température au cours du temps]

Tout comme les 9 mensonges d’Al Gore dans son film « Une vérité qui dérange » (et reconnus comme tels par un tribunal anglais) ne l’ont pas empêché d’obtenir un Nobel de la paix. Les mêmes types d’information contenues dans le le film d’Al Gore, circulent toujours, sont relayées.

Cette information revisitée, ré-évaluée en permanence — quasi amnésique — est logique puisque le but n’est pas d’informer sur le réchauffement climatique, mais de démontrer — à tout prix — la réalité d’un réchauffement anthropique. Ceux qui se penchent sur les ré-écritures de cette histoire, sur les prévisions ratées, sur les jeux de données choisis de façon univoque [avec l’écartement des études ou jeux de données ne collant pas bien avec la démonstration anthropique], ou simplement qui pointent des incohérences ou émettent des doutes sur la connaissance parfaite du climat par la science actuelle — sont donc taxés de climato-sceptiques.

Ce qui ne signifie rien en soi, puisque personne « ne doute de la réalité du climat ». Mais le terme a cette capacité à créer deux camps : ceux du consensus scientifique sur le changement climatique anthropique (le consensus scientifique n’existe QUE pour le changement climatique, et nulle part ailleurs en sciences) et les climato-sceptiques. Le premier camp est celui de ceux qui veulent sauver l’humanité de ses propres errements, et l’autre, ceux de ceux qui osent douter, questionner l’information sur le changement climatique. Le procès de Gallilée n’est pas loin. Sachant que de nombreux « climato-sceptiques » sont avant tout des chercheurs qui tentent [encore] de comprendre quelque chose qui ne leur semble pas « fini » en l’état de la science. Les modèles, les informations manquantes, les méthodes, la manière de « prendre la température de la planète » etc…

La plupart ne contestent pas la hausse de 0,8°c en 150 ans. Ni le ralentissement de cette progression depuis 17 ans. Ils ne cherchent pas non plus forcément à démontrer qu’il n’y a aucune influence de l’homme dans cette élévation, mais contestent les rapports du GIEC et son discours univoque, tout comme l’information générale actuelle sur le réchauffement climatique anthropique. Mais cette (petite) information qui met en cause la validité intégrale des rapports du GIEC et de son relais journalistique, qui doute de l’influence unique des gaz à effets de serre dans le réchauffement, n’a simplement plus droit de cité, elle est désormais condamnée, suspecte, considérée comme propagandiste. Le plus étonnant (et ironique) est de voir les pires propagandistes de la planète, à la tête des plus grandes nations, des plus grandes entreprises, des plus grands médias, pointer du doigt une fraction d’individus comme étant ceux pratiquant la propagande.

La liberté c’est l’esclavage

L’intégrisme est devenu un fonctionnement partagé par le plus grand nombre. Intégrisme religieux, politique, intellectuel, informatif. La capacité des individus de la société de l’information à douter, questionner [l’information] se raréfie et mène à une radicalisation des esprits. Le flot continu d’actualités anxiogènes, décousues mais martelées en permanence semble forcer les spectateurs du monde à tenir une position radicale face à celui-ci.

Le doute et le questionnement n’ont donc plus véritablement de valeur : ils mèneraient à une forme d’inconsistance, de mollesse dangereuse, d’un manque de positionnement affirmé. La servitude à l’information est devenue la règle, que cette information soit médiatique ou par échanges de points de vue, d’opinions sur les réseaux [informatiques].

L’éducation est censée avoir progressé et pourtant le nombre d’adultes ne connaissant l’histoire de leur propre pays, ou du monde, que par fragments totalement superficiels est devenu la norme. Jamais la liberté de déplacement, d’apprentissage, de s’informer n’a été aussi grande qu’aujourd’hui pour les populations occidentales, et jamais le servage (aux technologies, à la distraction, à la consommation industrielle) de ces mêmes populations n’a été aussi important. L’homme et la femme actuels des pays industrialisés sont pourtant convaincus de leur libre arbitre, de leur capacité à s’émanciper par l’accès aux technologies de l’information, à s’affirmer par celles-ci, alors qu’en réalité, il n’ont jamais été autant asservis. Leur autonomie est réduite à très peu de choses, leur indépendance, quasi nulle. Paris, si elle n’est plus ravitaillée de l’extérieur, possède une autonomie alimentaire de 5 jours. Elle était de 60 jours en 1960 avec la ceinture verte, qui a disparu. Les réseaux de téléphonie mobile s’arrêtent ? C’est la panique pour une grande majorité des individus actuels qui dépendent à tous les niveaux de leurs smartphones.

Un télécran pour tous ?

Le principe d’une surveillance constante de la population par un dictateur via des écrans nommés « télécrans » et placés dans les logements, les entreprises, les lieux publics, était inquiétant dans le roman « 1984 ». Mais s’il était difficile d’imaginer une population acceptant de se soumettre à ce diktat de l’image, imposé par un pouvoir un place, la réalité de 2015 a trouvé bien plus fin et acceptable : le télécran auto-géré, auto-imposé et valorisé.

La dictature la plus insidieuse et la plus durable est celle des esprits, et elle passe par l’enfermement volontaire d’une majorité des individus dans un écosystème informatif propagandiste et délassant, le tout sous surveillance d’une administration invisible mais en capacité légale et affichée de fouiller la vie privée de tout un chacun. Sachant que les citoyens en redemandent, consomment chaque jour un peu plus de leur télécran, les pouvoirs en place ne peuvent qu’être incités à utiliser cet outil de contrôle pour affirmer et maintenir leur position. Orwell était bien en dessous des possibilités totalitaires qu’une société technologiquement avancé peut mettre en place. Bien en dessous…

Le monde orwellien est celui de 2015. Il est le monde orwellien de l’information .

L’histoire est connue de ceux qui s’intéressent à ce réseau depuis assez longtemps. Mais il n’est pas inutile de la rappeler en préalable. Peu avant 2000, les entreprises liées au Net étaient tellement recherchées, les promesses de bénéfices tellement élevées que tout investisseur qui se considère comme tel se devait d’investir dans ce secteur. Deux petits grains de sables virent doucher les espoirs. D’une part les entreprises étaient valorisées sur du vent, au doigt mouillé, sur des promesses improbables. Les unes se vantaient de recevoir des millions de visiteurs. Les autres se rêvaient en pionniers d’une technologie qui allait révolutionner la vie. L’univers même, peut-être. Ce qui nous avait conduit, par exemple, avec l’ami Zipiz, à créer un site pour expliquer que les statistiques, sur le Web, ne voulaient absolument rien dire. En outre, il suffisait d’avoir un peu de vision historique sur les quelques années d’existence du Net pour le grand public, pour comprendre que les technologies déployées étaient surtout, temporaires. A peine implémentées, à peine adoptées par les utilisateurs, un nouveau « standard » était adopté. Le chemin habituel était inversé. Ce n’étaient plus les entreprises qui imposaient un standard, mais les utilisateurs. Et l’utilisateur est fluctuant. Bref… L’autre grain de sable tient en un phrase que les investisseurs connaissent bien, se répètent inlassablement en l’oubliant immédiatement : « les arbres ne montent pas au ciel ». Si quelqu’un expose publiquement que tout repose sur du vent, ce que tout le monde sait mais que personne ne disait jusque là, la bulle spéculative explose. Ce qu’elle fit au milieu de l’an 2000. Catastrophe mondiale, bien que nettement moins impactante que la crise financière de la dette souveraine que nous connaissons aujourd’hui. Les crises qui secouent la finance mondiale ont tendance à être chaque fois plus importantes. Mais c’est un autre sujet. Comment faire pour sortir de ce mauvais pas ? Le secteur des NTIC a trouvé la parade. Pur marketing, mais diablement efficace.

Fin 2004, Tim O’Reilly invente le concept du Web 2.0. Un nouveau Web, donc, mais cette fois, participatif, permettant l’autopublication de manière facile, non technique, à la portée de n’importe qui. L’utilisateur du Net devient acteur.

Sur cette base, nombre d’entreprises et de personnes, vont construire une maison, un immeuble, peuplé de termes tout aussi ridicules uns que les autres, mais auto-réalisateurs.

The Social networking

En 2005, quelques temps après l’apparition du concept de Web 2.0, qui relance le secteur moribond des NTIC, Jonas Luster crée la surprise au sein d’une conférence (dans laquelle intervenait également Jacob Appelbaum) de plusieurs jours sur ce que l’on appelait encore les « Webzines », c’est à dire les projets d’autopublication indépendante sur le Web. Jonas a fait un discours remarquable et remarqué à propos du « social networking » : « Social networking’ is a non-existent, overused and over hyped concept« . Jonas, qui en a vu d’autres, explique de manière relativement énervée, l’évidence. On ne crée pas de relations « sociales » en discutant via Twitter ou Facebook (qui n’existent pas encore) avec de parfaits inconnus que l’on qualifie d’amis. Pour lui, l’amitié est quelque chose qui se construit sur la durée, en face à face, dans des dîners, lors de sorties, en vivant des expériences en commun.

Et pourtant, le concept s’est imposé et les utilisateurs croient avoir des milliers d’amis, hypertrophient leur ego en consultant régulièrement leur nombre d’amis ou de followers.

En attendant, sur un concept inepte, Facebook ou Twitter sont devenus des empires, des machines à cash. En attendant qu’une nouvelle technologie les détrône. Vous doutez ? Qui aurait anticipé à l’époque que Yahoo ou Altavista allaient être détrônés ou sombrer dans l’oubli quelques années après la naissance d’un certain Google ?

The Internet of things…

Nouvelle époque, nouveau mot ajouté au jargon, nouveau concept qui permettra de créer un nouveau business, une nouvelle activité lucrative liée à Internet : l’internet des objets, les objets connectés.

Réfléchissons deux minutes.

Ou plutôt, laissons parler Waren Ellis, créateur de Spider Jerusalem (entre autres choses). Son discours d’ouverture de ThingsCon15 à Berlin est frappé au coin du bon sens : on parle d’internet des objets, mais Internet toujours été un truc peuplé d’objets, il n’a jamais été quelque chose d’organique.

Bien sur, le fait que les têtes pensantes des tendances marketing inventent des mots vides de sens ou ayant un sens inapproprié n’est pas une nouveauté. Quand on vous a vendu la « télé-réalité », vous vous doutiez, même inconsciemment que c’était tout sauf de la « réalité ». Les personnes enfermées dans un hangar (Le Loft par exemple) faisaient toutes sortes de choses, sauf ce qu’elles faisaient dans la « vraie » réalité de leur vie de tous les jours.

Il en va de même pour les « tendances » du Net. A chaque année, son wagon de nouveau termes à la mode. Vides de sens, mais générant de l’activité. Jusqu’à la fin de la prochaine bulle.

Le SEO, c’est beau. Mais quand c’est mal fait, c’est le fail assuré. Reflets a souvent disserté sur ce sujet. L’histoire du CERT du Crédit Agricole nous donne une occasion de revenir sur la thématique avec un exemple franchement drôle. Résumé de la situation : un compte twitter semblant appartenir à l’un des membres du CERT du Crédit Agricole énonce de manière assez abrupte une série de dysfonctionnements au sein de ce CERT. Reflets se fait l’écho de cette histoire. Elle implique le Crédit Agricole, mais aussi, toujours selon le lanceur d’alerte, Lexsi.

Nous nous attendions à des mails comminatoires de la part du Crédit Agricole ou de Lexsi. Celui que nous avons reçu est d’un tout autre ordre. C’est, semble-t-il le prestataire en SEO de Lexsi qui a dégainé en premier.

En lisant le titre du mail « Ajout d’un lien », nous nous attendions à voir une demande d’ajout de lien dans notre article, pointant vers un démenti quelconque.

Pas du tout. L’expert SEO qui gère l’optimisation de Lexsi commence par nous remercier d’avoir cité Lexsi, puis nous demande d’ajouter un lien vers le site de son client dans notre papier. Histoire d’améliorer la position de Lexsi dans les recherches via Google, sans doute. Sauf que, bien entendu, notre article risque de ressortir dans les pages de réponses de Google.

Analyse succincte : l’expert en SEO n’a même pas lu l’article dans lequel il nous demande d’ajouter un lien.

C’est un beau métier.

Pas trop éreintant…

EDIT : Communiqué du Crédit agricole qui conteste les accusations portées à l’encontre de son CERT.

Cette nuit a été assez mouvementée. Si vous l’avez raté, c’est sur Twitter que ça se passe. Dans la journée d’hier, le compte @cyrilbruder balance du lourd sur les pratiques « étranges », et c’est un euphémisme si elles s’avèrent exactes, du CERT (Computer Emergency Response Team) du Crédit Agricole… tout y passe allant de la simple négligence à des infractions plus lourdes.

• Une politique sur les données personnelles aberrante et des infractions sur le traitement et la transmission à des tiers de ces dernières ;
• Des mots de passe stockés en clair qui exposent les données bancaires des clients ;
• Des falsifications, visant à dissimuler les preuves numériques de piratages ;
• Non conformité PCIDSS ;
• Conflits d’intérêts ;
• Fichiers illégaux (appartenance religieuse) ;
• …

Les accusations sont graves, mais elles semblent, du moins partiellement, crédibles. C.B déclare avoir travaillé quatre ans au CERT du crédit Agricole (une cellule de 4 personnes qui semble agir en totale autarcie).

Son profil Linkedin semble confirmer ce qu’il déclare être, ce n’est pas un profil créé récemment pour la circonstance et il apporte des éléments matériels liés à ses propos, déclarant tenter de joindre l’ANSSI depuis des semaines sans que cette dernière ne daigne lui répondre.

Listings de comptes blacklistés à l’appui, le lanceur d’alerte explique en substance comment le CERT blackliste des choses douteuses et des personnes ne peuvent plus recevoir de virement car elles ont été blacklistées injustement. Ainsi une personne qui s’est fait pirater ne peut par exemple plus recevoir de virement. Elle n’en serait pas même informée…

Les listings de comptes bloqués ont été partiellement vérifiés cette nuit. Les déclarations et les éléments de preuve apportés par C.B se confirment, les comptes en question provoquent une erreur quand on tente de les ajouter :

Selon le lanceur d’alerte, La société Lexsi, prestataire de du Crédit Agricole aurait également contribué à la fourniture de moyens visant à commettre des « infractions pénales ».

Le lanceur d’alerte confesse avoir transmis de manière illégale plus de 700 comptes IBAN sur une mailing liste non officielles interne mise en place par LEXSI

Et maintenant… en pleine consultation sur le « grand projet » de loi sur le « Numérique », que diriez vous de renforcer les sanctions contre les dissimulations de piratages qui impactent les données personnelles de particuliers ? Ne nous faisons pas d’illusions, le cas du Crédit Agricole n’est sûrement pas un cas isolé, le système bancaire tire souvent ses pratiques en matière de sécurité d’une logique d’opacité propre à son secteur, une logique qui a maintes fois montré ses limites. Ajoutez à ça des systèmes vieillissants et des personnels à l’image des systèmes, et vous avez là un cocktail détonnant, illustration de tout ce qu’il ne faut pas faire.

La prochaine étape logique serait que le CERT du Crédit Agricole reçoive une petite visite conjointe de la CNIL et de l’ANSSI. Si l’ensemble de ces accusations venaient à se confirmer… et bien… il ne se passerait pas grand chose. La CNIL ordonnerait une mise en conformité sous un délai de N jours, l’ANSSI communiquerait au CERT du Crédit Agricole un ensemble de recommandations techniques que le CERT ne saura pas mettre en oeuvre, et voilà, circulez y’a rien à voir.

Si aucun client effectivement lésé ne porte plainte, aucune sanction ne sera prise, sauf peut-être si un procureur s’intéresse par exemple aux falsifications de preuves numériques volontaires présumées lors de compromissions de sites web. Mais là encore, que faire contre une « victime » qui dissimule elle-même des preuves d’un piratage dont elle est victime ?

Un grand merci à @_michigale_ pour ses vérifications.

Si le doute persistait, nous savons désormais quel type de société souhaite le gouvernement français. Une société de la suspicion, du fichage. Le rêve de l’ultra-conservateur Nicolas Sarkozy se met peu à peu en place, par le truchement d’un gouvernement étiqueté à gauche. Paradoxe ?

La loi sur le renseignement instaure la collecte massive de données pour un traitement par des algorithmes. Une violation patente de l’un des piliers de notre démocratie : le secret des correspondances. Les plus rétifs à ce changement de paradigme y voient la manifestation de la transformation du pays en Etat totalitaire. Sur le papier, ce n’est pas complètement faux.

Par ici les données biométriques !

Au niveau européen, la France se démarque également. L’Union européenne voudrait instaurer un système de contrôle aux frontières qui fait appel au traitement des données biométriques. Pour l’instant, le projet ne concernerait que les non-résidents de l’Union européenne. Mais c’était sans compter sur la France. En pointe de la lutte contre les méchants terroristes qui ne manqueront pas d’envahir Paris et plus spécifiquement Radio-France, la délégation française a souhaité que ces contrôles biométriques (ainsi que, bien entendu, le stockage et le traitement de ces données) s’appliquent également aux ressortissants de l’Union européenne.

Un petit détail qui serait passé inaperçu sans la veille de Statewatch. Le document français appelant à l’inclusion des résidents de l’UE dans le projet « smart borders » (on dit frontières intelligentes, pas frontières intrusives) n’est pas public. Statewatch a probablement fait une demande pour l’obtenir (ce que nous avons également fait ce jour).

L’aspect sémantique de ce document est intéressant. On y retrouve toute la phraséologie des tenants de la surveillance. Les frontières sont, on l’a vu « intelligentes » et pas intrusives. Ces contrôles biométriques qui incluent les empreintes digitales et l’iris, permettront de « fluidifier » et rendre ainsi plus rapides les passages aux frontières. Cela permettrait également, toujours selon la délégation française, de renforcer le principe même de la libre circulation des personnes. On croirait entendre le directeur commercial d’Amesys qui expliquait qu’en vendant un système de surveillance massive à un terroriste, on lutte contre le terrorisme…

Le 15 octobre marquera la clôture des soumissions de films pour le « Flying robots international film festival« . Toutes sortes de catégories sont ouvertes, y compris la catégorie « LOL ». C’est dire si cela vaut le coup de participer. Le festival est organisé par Eddie Codel. Ce pionnier de la publication indépendante sur le Net organisait déjà Webzine dans les années 2000.

Le quatrième pouvoir n’est plus ce qu’il était. Sans parler, bien entendu, des journalistes qui se déplacent sur des terrains à risque, informer devient de plus en plus compliqué. Dans un recueil d’expériences vécues, 16 journalistes en donnent des exemples précis. « Informer n’est pas un délit, ensemble contre les nouvelles censures » (Calman-Lévy – 17 euros) est finalement une longue énumération des types de bâtons mis dans les roues du journaliste d’investigation. Les actionnaires, les annonceurs, les politiques, l’Etat, les officines, les communicants, la justice, tout y passe. Au travers d’exemples vécus, les journalistes racontent leur quotidien, la censure plus ou moins efficace et plus ou moins directe qui tente de les museler, les formes qu’elle prend.

C’est un constat très alarmant. Si l’on peut aisément se faire une idée du poids des annonceurs ou des actionnaires, de plus en plus lourd, l’opacité et l’omerta mises en place par les serviteurs de l’Etat face à l’investigation journalistique laisse sans voix. Mathilde Mathieu, de Mediapart livre un récit effrayant de ses difficultés à obtenir des informations sur le train de vie des parlementaires. Elle expose également les sanctions qui s’abattent sur ceux qui ont le malheur d’être simplement soupçonnés d’avoir renseigné un journaliste au sein de l’Assemblée Nationale ou du Sénat.

Les auteurs auraient également pu s’interroger sur le public. Souvent apathique, lassé des révélations en cascade ?

Mathilde Mathieu tire ce constat sur le Parlement : « Il s’est tué littéralement. Car l’antiparlementarisme se nourrit plus du secret, terreau des pires fantasmes, que de l’exposition des dérives individuelles en place publique ».

C’est juste. Mais pour ceux qui lisent Mediapart, ou d’autres enquêtes sur d’autres supports, la réponse des lecteurs devrait-elle vraiment être l’antiparlementarisme ou le développement de théories complotistes, ou plutôt une démarche de demande de comptes ?

Reflets a attendu plusieurs jours avant de réfléchir, réagir, analyser les événements du 7 au 9 janvier : le meurtre de 18 personnes  (dont une partie de la rédaction du journal Charlie Hebdo) par trois apprentis djihadistes.

La manifestation du 11 janvier et l’emballement sur les réseaux sociaux d’une foule d’internautes se revendiquant tous d’un unique slogan — le fameux « Je suis Charlie » — ne présumaient pas une suite très favorable à ce drame, largement récupéré par les politiques adeptes de la défense de la liberté d’expression, en façade, mais de la restriction des libertés individuelles et collectives, dans les actes.

Revendiquer la République tout en pointant du doigt les personnes issues d’une origine étrangère, de confession musulmane, accepter que la démocratie française se transforme en société panoptique, brandir la Liberté, la Fraternité tout en distillant la peur et le tout-sécuritaire, est désormais la règle. Ne pas prendre du recul et ne pas réfléchir en profondeur à cet « après-Charlie », totalement contradictoire dans les discours et les injonctions politiques ou médiatiques qu’il véhicule, a été une erreur grave.

Cette erreur est désormais corrigée par un documentaire d’Ana Dumitrescu, qui vient tout juste de sortir, et intitulé « Même pas peur ! ».

C’est ce qu’on appelle un documentaire « salvateur », qui débute au lendemain du 11 janvier 2015 et interroge des chercheurs, universitaires, observateurs de la société, sur la peur induite par le discours politique. « Même pas peur ! »  n’est malheureusement programmé, pour l’heure que dans 5 salles parisiennes uniquement.

« Même pas peur ! » est programmé un peu partout : http:/www.memepaspeur-film.com/actus_files/seances.php (toutes nos excuses pour l’information un peu plus haut regrettant le manque de programmation, extraite d’un site de programmation de salles…)

http://memepaspeur-film.com