reflets.info

Restons raisonnables : demandons l'impossible

Comment ne pas éclater de rire devant le grand cirque qui a débuté autour de la « pas du tout récente affaire » d’influence électorale de Cambridge Analytica via des profils Facebook ? Le problème viendrait-il du modèle Facebook (et des autres opérateurs du net) ou bien simplement du modèle plébiscité par les utilisateurs?

Qu’est-ce qui est le plus dérangeant dans le [pseudo] scandale des 50 millions de profils utilisés par Cambridge Analytica pour effectuer du traitement statistique à des fins d’influence électorale (article Reflets du 14 juin 2017) ? Que CA utilise des données en masse pour cibler des électeurs ? Rien ne les empêche de le faire, tout comme les centaines d’entreprises du net (article Reflets du 10 octobre 2017) dont le modèle est similaire : influencer les consommateurs ou les électeurs, (Article_ Reflets_ sur l'opération électorale au Kenya de CA en 2017) là est leur objectif. Du côté de Facebook, où est le problème ? Leur business model est avéré : les données des utilisateurs du réseau social sont échangées vendues, données, traitées, moulinées pour générer des profits colossaux. Pour influencer les foules aussi (scandale de l'influence psychologique par Facebook, article Reflets de 2014).

Cette affaire est en réalité une non-affaire et son dénouement est connu d’avance (article Reflets du 22 mars 2018) . Facebook va "faire des efforts", prendre des engagements (que la firme ne tiendra pas ou si peu et de façon détournée), opérer des grandes manœuvres de séduction des foules. En parallèle, le mouton numérique, toujours prêt à se faire tondre pour conserver sa « gratuité de service » va continuer à lâcher des tonnes de données personnelles partout où il peut le faire…

Une société automatisée pour des moutons hypnotisés

Le problème réel auquel nous sommes...

Pas si simple

Après la fameuse et fumeuse théorie du "loup solitaire", voici celle du terroriste qui passe à l'acte de manière spontanée, sans que rien ne permette de le prédire.

"Il s'appelait Redouane Lakdim. Il avait 26 ans et était connu pour des faits de petite délinquance et nous l'avions suivi et nous pensions qu'il n'y avait pas de radicalisation, mais il est passé à l'acte brusquement", a immédiatement déclaré après l'attentat le ministre de l'Intérieur Gérard Collomb. Pour le ministre qui a peut-être parlé un peu vite, Redouane Lakdim "a agi seul". Rien ne laissait présager un passage à l’acte a pour sa part indiqué le procureur de Paris, François Molins. Sans vouloir faire l'enquête à la place des services de police et de renseignement il est possible d'infirmer au moins partiellement ces propos.

En mai 2013, Redouane Lakdim entre dans les radars des services de renseignements pour sa radicalisation. C'est là que tout se noue. Les services notent qu'il est en contact au sein de la pizzeria dans laquelle il travaille avec une personne ayant un lourd passé. Selon les informations que Reflets a pu regrouper, ce point aurait dû être un marqueur bien plus important.

En 2014, la DGSI émet une fiche S au nom de Redouane Lakdim car elle détecte des contacts «avec le haut du spectre» des radicalisés de la région. Sa tante est également repérée pour sa radicalisation. Les service de renseignement soupçonnent Redouane Lakdim de vouloir partir combattre en Syrie. En 2015, il est logiquement inscrit dans le FSPRT, le nouveau Fichier des signalements pour la prévention et la...

Saymal, mais c'est comme ça...

Etrangement, par la magie du phénomène de buzz, l'affaire Cambridge Analytica ressurgit dans la presse, les politiques s'en emparent. Au delà du buzz du moment, qui va s'estomper, que doit-on retenir de cela ?

Marc Zuckerberg est convoqué par une commission d'enquête du Parlement britannique. L’Information Commissionner’s Office (ICO), la CNIL d'outre-Manche, s'offusque. Les utilisateurs du réseau social tombent des nues, certains ferment leur compte. Quoi, nos données personnelles sont moulinées par des algorithmes ? Des gens créent des profils sur la base de nos données ? Quoi, des entreprises sans foi ni loi tentent de manipuler notre vote ? Surprise... Bienvenue dans le monde d'hier, mais avec la puissance informatique en plus.

Les psyops ne sont pas une nouveauté. L'armée Française les utilisait en Algérie, les Américains au Vietnam, tous les partis politiques utilisent des bases de données pour faire du marketing ciblé et vendre leur sauce. Disons qu'aujourd'hui les choses sont rendues plus simples en raison des "progrès" technologiques.

Mais revenons à Facebook. L'entreprise de Mark Zuckerberg se contrefout de la confidentialité ou pas des données que les utilisateurs lui confient. Cet état de fait est assez bien résumé dans une conversation que le patron de Facebook aurait eu avec un ami en 2004 :

Zuck: Yeah so if you ever need info about anyone at Harvard
Zuck: Just ask.
Zuck: I have over 4,000 emails, pictures, addresses, SNS
[Redacted Friend's Name]: What? How'd you manage that one?
Zuck: People just submitted it.
Zuck: I don't know why.
Zuck: They "trust me"
Zuck: Dumb fucks.

Si l'on se place dans...

Et ce n'est pas triste

Ce n'est pas nouveau, cela a déjà échoué, souvent lamentablement. Mais la Ville de Marseille veut son système d'analyse de big data, pour faire notamment, du prédictif. Les ratés de PredPol n'ont pas refroidi la mairie qui compte mettre en route son "fusion center" cette année.

Annoncé au mois de novembre 2017 par la municipalité marseillaise et l'entreprise ayant obtenu le marché — Ineo Digital, filiale du groupe Engie (anciennement GDF Suez) — le « Big Data de la tranquillité publique » (sic) vise à booster l'efficacité de la police municipale grâce à un système de traitement de « l'ensemble des données disponibles sur le territoire ». Un document que s'est procuré la Quadrature du Net et que Reflets a pu consulter, livre des détails sur le programme de création de cet outil, déjà en cours et qui s'achèvera en 2020.

Le projet est composé de deux lots distincts. D'une part, la création de l'outil proprement dit, d'autre part des prestations d'accompagnement visant en réalité à affiner le cahier des charges initial, à recruter de nouveaux partenaires susceptibles de fournir des jeux de données au système et à « valoriser » ces derniers.

Le programme est structuré autour de différents axes thématiques, comme « l'analyse et l'anticipation des faits de délinquance et des troubles à la sécurité des administrés sur l'espace public », « des problématiques liées à l'occupation du domaine public », ou encore à celles « de fluidité de la circulation, de stationnement et de sécurité routière ». Les finalités sont donc plutôt larges, c'est en effet l'ensemble des principales missions de la police municipale qui est couvert. Pour chacun de ces axes, la municipalité donne des exemples de « ...

Que de chemin parcouru...

Nous vivions dans un Far West sans Shérif. Aujourd'hui, un Shérif est caché dans chaque sonde DPI qui équipe nos chers DSLAM... Les temps changent. Pas les hommes.

Mi-mai 2003, lors de la première du deuxième volet de Matrix, un jeune homme se penche vers son voisin : « tiens, une scène de hack, ça va être du grand n’importe quoi comme d’habitude ». Il a tout faux. Trinity, l’un des personnages principaux du film utilise un logiciel permettant de créer une cartographie d’un réseau informatique. Son nom ? NMAP, pour « Network Mapper ». Le jeune homme écarquille les yeux : « Mais… Mais c’est mon logiciel ! ». Gordon Lyon, plus connu sous son alias, « Fyodor », vient de voir apparaître sur l’écran le logiciel qu’il a codé. Il le reverra dans d’autres films (Jason Bourne, Die Hard, sur un mur d’écrans de la NSA lors d’une visite de George Bush au sein de l’agence de renseignement américaine). Fyodor est devenu une sorte de légende tant son logiciel est prisé. Par des pirates, par des hackers, par des experts en sécurité informatique, mais aussi, désormais par le cinéma qui l’utilise comme une sorte de symbole du hack.

Les hackers… Depuis le début des années 2000, ce mot s’affiche de plus en plus fréquemment à la Une de la presse. Parmi les derniers gros événements en date en France, le piratage de TV5 Monde qui a plongé la chaîne francophone dans le noir. Le gouvernement a parlé à cette occasion de cyber-terrorisme, de jihad électronique. Pourtant, ce monde est complexe, multiple. On y trouve à peu près la même chose que dans le monde « réel » où...

Quand l'arène numérique embarque tout

A un moment, quand tout est récupéré de manière bornée et agressive, on se dit qu’en fait tout ça n’a plus aucun sens et ne mènera nulle part. Autant alors se dégager de toute forme de défense d’idéal social ou quoi que ce soit d’équivalent.

Avant j’étais féministe, parce que — certainement — ma mère était une militante féministe des années 70. Certainement. Parce que j’ai bien vu et senti — très tôt — que mépriser les femmes était une idée absurde, dégueulasse et humainement inacceptable. Ou même leur assigner des fonctions spécifiques quotidiennes. J’étais aussi écologiste : mes parents étaient des anti-nucléaires de la première heure et s’étaient lancés dans l’agro-biologie. La Terre allait crever de la pollution humaine, déjà, et il fallait la préserver, pour préserver aussi les humains, leur santé. Les remettre en harmonie avec la nature. C’était il y a plus de 40 ans.

J’étais aussi égalitariste dans le sens où l’injustice me faisait mal. Je pensais que si l’on créait plus de choses pour aider les gens à faire «plus ce qu’ils voulaient», ce serait mieux pour tout le monde et qu’en créant plus d’égalité — dans le sens d’offrir des outils qui donnent leur chances à tous — on s’éclaterait plus, en gros. Ca irait mieux. Mais ça n’a pas bien fonctionné. A tous les niveaux, que ce soit d’un point de vue politique ou social. Chez les gens aussi, dans leur tête, ça n’a pas bien fonctionné.

Mon féminisme à moi…

Aujourd’hui, être féministe c’est assez compliqué pour quelqu’un comme moi. On a été quelques uns — avec quelques potes — à montrer l’exemple en fait. Je pense. On n’est pas allé dans la rue avec des pancartes revendiquer des trucs pour les femmes, non. On a fonctionné avec les femmes de façon juste et...

L0pht, Rhino9, ADM, w00w00, Teso, les groupes sont déjà là

Dans un esprit de partage commun aux débuts du Web, les hackers répondent à mes questions débiles. Je découvre RTFM...

C’est en explorant l’Internet Relay Chat (IRC) que je finis par trouver mes premiers « hackers ». Ils sont français. J’ai des tonnes de questions de béotien dans la tête. J’en pose quelques unes. Je ne sais pas bien expliquer pourquoi, mais ils me répondent. Mieux, ils m’expliquent comment fonctionne ce réseau. J’apprends. Peut-être prennent-ils le temps de m’apprendre toutes ces choses parce que l’on est à une époque du Net où le partage n’est pas un vain mot. Il y a bien dû avoir un RTFM (read the fucking manual) qui s’est affiché à un moment ou un autre, mais dans l’ensemble, l’ambiance est bonne. Dans le même temps, je lis. Pas que le fucking manual, mais BugTraq. La mailing list qui permet aux hackers de publier les failles qu’ils découvrent dans tel ou tel logiciel. Je suis de près quelques groupes américains et leurs publications.

A cette époque, on était encore dans une tendance « full disclosure ». En d’autres termes, les chercheurs en sécurité informatique qui trouvaient des failles les publiaient, avec des Proof of Concept ( PoC). C’était un mouvement de balancier logique. Depuis des années, les remontées de failles n’aboutissaient à rien. En tout cas pas à des correctifs. Qui savait que tel ou tel logiciel était troué ? Où se renseigner ? Quel journal en parlait ? BugTraq et Internet changent la donne. Ceux qui trouvent peuvent publier si l’éditeur ne fait rien. Et toute la communauté saura qui est réactif ou pas. Mais comme tout mouvement de balancier, il...

Ou le cercle sans fin du grand n'importe quoi

C'est bien connu, le problème est entre la chaise et le clavier. Et si le user est un imbécile, autant essayer d'en tirer le plus grand profit. Au delà de ce triste constat qui sied si bien aux GAFAM, l'écosystème se tire un balle dans le pied en admettant le pire.

C'est comme ça... Vous pouvez avoir signé un contrat inavouable avec Kadhafi, être poursuivi par la Justice pour cela et rester au sommet de l'écosystème. Ce dernier permet que Philippe Vannier soit "Vice President Big Data & Security Solutions and Group" d'Atos. Notre dernier article évoquant" l'asile politique" accordé par Thierry Breton à Philippe Vannier nous avait valu un courrier d'avocat assez menaçant. Thierry Breton est un habitué des procès contre les journalistes qui grattent un peu le vernis duquel il est recouvert.

Dans le domaine de la sécurité informatique, comme dans à peu près tous les cercles, il est assez improbable que quiconque dénonce la présence en son sein de canards boiteux. Les casseroles sont très proprement remisées, oubliées au fond d'un placard fermé à double tour.

Philippe Vannier est donc auréolé de son titre de vice-président Big Data et solutions de sécurité, de CTO du groupe Atos. Oublié le contrat avec Kadhafi, les fonds versés au festival mondial des arts nègres. Tout est pardonné.

Thierry Breton et Philippe Vannier, l'homme phare du DPI français se sont bien trouvés. Il y a des hasards surprenants dans la vie. Souvenez-vous... Le 6 juin 2016, Reflets révélait que la France s'était équipée dès 2009 de sondes DPI dans les DSLAM pour des interceptions administratives. IOL, pour Interceptions obligatoires légales, était justement... Illégal. Comme le rappelait à l'époque Jérôme...

Sans Anonymous, sans pirates chinois, nord-coréens ou russes

Quelques hackers et les groupes auxquels ils appartenaient ont marqué les débuts du Web. Leurs nicknames et les noms de leurs groupes font désormais partie de l'Histoire du Net.

« C’était mieux avant »… Voilà une phrase que les vieux ont tendance à répéter. En tout cas, c’était différent. Et pour ce qui est des hackers, c’était comment, avant que les Anonymous, Wikileaks, les hackers russes, nord-coréens, chinois, soient les vedettes des médias ? Avant que la presse ne nous vende ces derniers comme l’unique représentation des « hackers » ?

C’était différent.

Si l’histoire des hackers remonte plus loin que l’arrivée du Web, ce dernier a créé un appel d’air. Une sorte de « big bang ». Avec lui est arrivé une nouvelle génération de personnes qui ont écrit les premières pages d’une histoire sans fin. Mais qui s’en souvient aujourd’hui ? Et pourtant…

Ceux qui utilisent des SQL injections à n’en plus finir pour pirater tel ou tel site savent-ils à qui ils doivent cette technique ? A l’un de ces pionniers. Ceux qui utilisent NMAP pour cartographier des réseaux savent-ils que son auteur était l’un de ces premiers hackers qui ont marqué l’histoire du Web ?

Nous allons tenter au fil de quelques articles, de raconter cette histoire du Web. En partie tout au moins. Raconter ce qui est racontable. Et avec un prisme. Ce prisme, c’est celui de l’auteur. Embeded, comme on dit aujourd’hui, dans plusieurs groupes de hackers, je n’ai qu’une vision partielle de ce qu’a été cette époque. Je ne peux parler que de ceux que j’ai connu et fréquentés. Pas des autres, et ils sont nombreux.

Chapeau : Une histoire de hackers - Sans Anonymous, sans pirates chinois,...

Ma porte d'entrée sur Internet

Le BBS de l'Atelier ou les prémices d'un Internet qui pointe le bout de son nez. Avec Internet, la question de la sécurité est consubstantielle...

1993… Je suis journaliste financier et je m’occupe des banques. Plus particulièrement des nouveaux canaux de distribution. Les nouvelles technologies, à l’époque, c’est principalement la carte à puce qui va se généraliser et qui permet d’envisager de nouveaux services. Ma chef de service me parle d’un professeur Nimbus, travaillant dans les sous-sols d’une banque. « Il faut que tu ailles le voir. Il paraît qu’il fait des trucs incroyables ». Soit…

En décrochant mon téléphone quelques jours plus tard, ma vie va changer. Je vais m’arrimer, sans le savoir, à Internet. Le Web n’existe pas encore. Google n’est même pas une idée.

J’obtiens un rendez-vous. Avenue Kléber, la Compagnie Bancaire est une institution. On me fait descendre dans les sous-sols. Au bout d’un long couloir, je pénètre dans « l’Atelier ». Effectivement, je trouve là une sorte de professeur Nimbus qui me parle d’avenir avec un sourire perpétuel. Jean-Michel Billaut a créé au sein de la Compagnie Bancaire un service de recherche et développement : « L’Atelier de la Compagnie Bancaire ». Lui et son équipe sont chargés de prévoir l’évolution du secteur financier. Quels services, que sera la banque de demain, comment mieux tirer partie du Minitel ?

Mais au lieu de confiner son service de recherche et développement au groupe, Jean-Michel Billaut l’ouvre sur l’extérieur. Il le transforme en très puissante boite à idées, à expérimentations. Il organise des Ateliers de l’Atelier où chacun vient présenter son...