16
Commentaires

La France, un Gafam comme les autres pour Darmanin

"Toutes les grandes entreprises utilisent des algorithmes. Et il n’y aurait que l’État qui ne pourrait pas les utiliser ?" s'est écrié Gérald Darmanin pour justifier une nouvelle proposition de loi sur le terrorisme, qui augmente encore le pouvoir des algorithmes de surveillance. Faire fonctionner le renseignement sur le modèle de Google, vraiment ? 3è épisode de Clic gauche, la chronique de Thibault Prévost.

Commentaires préférés des abonnés

bravo, une fois de plus, cette chronique m'apparaît toujours plus indispensable et de qualité !

ou comment démonter en un article toute la politique sécuritaire extrême-droitière de ces guignols.. arguments et ironie à l'appui !

Excellente chronique à laquelle j'ajouterais un point technique mais pas trop rassurez vous !
Si vous vous connectez à un site internet en https alors tout ce qui est après le / est encrypté


Pour arriver à savoir ce qu'il y a après le / il faut casser/(...)

Finalement, ça laisse à réfléchir. Avec la surveillance de masse, on aurait vite intercepté les sms de ce sale type et pu empêcher, à minima un abus de faiblesse, voir peut-être un viol.

Derniers commentaires

Je commence cet article, et je suis d'accord il est excellent. Je reviens tout de suite 


Une question me préoccupe cependant et je veux la dire de suite : les algorithmes peuvent-ils servir à l’État pour clarifier les affaires de viol. Est ce que Darmanin peut nous éclairer à ce sujet, lui qui a été confronté à une plaignante qui se plaignait de lui à ce sujet.


Bon je reprends ma lecture

Il existe des méthodes incassables qui sont bien plus sûres que les applis made in USA .

Darmanin croît encore que la criminalité se ballade ouvertement sur le net. 

Il n'y a que les néophytes à qui s'applique l'expression signaux faibles.

Des pros du renseignement se reconvertissent dans la criminalité.

Il y en a même en France qui sont condamné pour cela.

Darmanin vibrionne mais il n'arrête que la friture, jamais un gros poisson.

C'est comme s'il criait victoire chaque fois qu'il fait prisonnier un fantassin d'une armée adversaire.

Il met toute la population en coupe réglée pour communiquer sur le petit poisson parce que Darmanin n'est qu'un petit joueur.

Pour le terrorisme, il faut mettre le nez dans la finance plutôt que dans facebook.


Petite correction de l'article, le Parlement européen n'est pas nécessairement impliqué dans l'adoption d'un règlement.

C'est un acte qui dépend de la volonté des gouvernants des Etats membres qui le prennent directement via le Conseil européen, ou via la Commission qu'ils délèguent à cet effet (car la commission n'est pas le décisionnaire, son rôle est d'exécuter les orientations décidées par le Conseil).


En la matière c'est Darmanin qui a sûrement participé au Conseil décidant de l'adoption du règlement.


Pour plus de détails sur les procédures législatives européennes :

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=LEGISSUM:ai0016


Le discours sécuritaire est le syndrome de l'impuissance politique MAIS en fait, ce que dit l'article en coin, c'est qu'en fait l'etat investira massivement dans une startup sans réele competence sur le sujet à cause de tous les problèmes de crypto :

- on aura donc une fois de plus brûlé du capital public sans intêret

-le patron de cette startup disparaitra dans la nature

-l'application laissera une bonne partie des usagers dans la panade puisqu'on aura aussi paralysé pour l'occasion une structure existente qui n'avait deja pas assez de moyens pour avancer et cette techno n'aura jamais la qualité pour bosser correctement.

Bref : le projet startup nation: c'est investir dans des equipes qui n'ont ni les epaules, ni les competences , ni la comprehension d'un sujet géré par une unité de service exangue par manque de moyens et le mille feuilles legislatif. La startup fait une release d'un produit inadapté puisque l'administration avait ce qu'auncun coder ne comprend : la capacité d'abstraction que chaque cas necessite pour etre traité correctement. En gros le programmeur programme les cas qu'on lui a  donnés, le fonctionnaire peut creer un nouveau cas.

Au final Macron detruit l'etat dans sa capacité fonctionnelle à grande vitesse.

Quand je vois ca, je pense que bientôt on rêvera d'etre le Venezuela....

Finalement, ça laisse à réfléchir. Avec la surveillance de masse, on aurait vite intercepté les sms de ce sale type et pu empêcher, à minima un abus de faiblesse, voir peut-être un viol.

Excellente chronique à laquelle j'ajouterais un point technique mais pas trop rassurez vous !
Si vous vous connectez à un site internet en https alors tout ce qui est après le / est encrypté


Pour arriver à savoir ce qu'il y a après le / il faut casser/déchiffrer https
La NSA pourait le faire : https://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
La France ?

Sur tout le traffic Web issu de France ???


Autre alternative : placer une boite noire chez le fournisseur du site web ... même s'il est en dehors du territoire français ???


En résumé :


* HTTPS : le gouvernement français ne voit RIEN de ce qui est après le /

* N'oubliez pas les VPNs en plus

* N'oubliez pas TOR


En résumé :  L'algorithme n'aura rien à manger ...


Par contre je vois des trucs fun à faire : 


automatiser le signalement pour terrorisme de personnes/sites/blog/médias sociaux de personnes ou organisations qui ne vous plaisent pas 


Les gafam appliqueront alors l'algorithme "on retire - bon courage pour demander au support de restaurer le contenu retiré"

Un petit complément :


"Suivant les statistiques Google, 95-99% du temps passé sur les sites Web est chiffré" (en https donc )


"According to Google's stats, as a percentage of user time, between 95-99% of user time on the web is encrypted"


Source :

https://twitter.com/jlivingood/status/1389584630299385856

Je comprends bien pourquoi ça fonctionne si le site a généré ses certificats dans son coin. Mais s'ils dépendent d'une autorité de certification, et c'est nécessaire si l'on ne veut pas d'alertes sur le poste de l'utilisateur et d'une sécurité complète depuis le premier échange, alors les clefs privées peuvent être centralisées chez l’émetteur pour peu qu'il les conserve. Or, j'imagine qu'il est fort probable, compte tenu de ce que nous savons déjà par Snowden par exemple, que certains États aient accès à ces certificats privés.

Celui d'ASI est un RSA 2048 bits. C'est très bien. Mais il est délivré par Gandi, New Jersey, Jersey City par The USERTRUST Network. Alors je ne sais pas si le gouvernement français y a accès directement mais pour le gouvernement américain c'est très probable. 

Je ne serais d'ailleurs pas surpris que les États collaborent entre eux en s'échangeant des informations selon la nationalité du site web qui utilise ces certificats.

Il suffit ensuite d'attraper les données chiffrées au vol puis d'utiliser la clef privée liée à la racine du site visité (ce que fait le site lui-même en temps réel d'ailleurs) pour avoir accès à tout ça et l'analyser pour n'en garder que le significatif.

Si nous y réfléchissons bien, il y a assez peu de certificats à conserver finalement. Les sites qui intéressent les gouvernements et voient passer la majorité des échanges se comptent sur les doigts d'un charpentier aveugle.


J'en viens d'ailleurs à me demander si le fait que la plupart des entreprises américaines du web ont des filiales dans le paradis fiscal du New Jersey, et que les EUA le tolère, ne serait pas une forme de rémunération pour cette collaboration et si la centralisation de ces certificats n'en serait pas l'atout principal.

Mais s'ils dépendent d'une autorité de certification, et c'est nécessaire si l'on ne veut pas d'alertes sur le poste de l'utilisateur et d'une sécurité complète depuis le premier échange, alors les clefs privées peuvent être centralisées chez l’émetteur pour peu qu'il les conserve.


C'est un peu plus compliqué. Si vous demandez pour votre site web un certificat SSL à Gandi et que vous vous souciez de sécurité vous le ferez par une CSR (Certificate Signing Request) que vous générerez chez vous avec, par exemple, OpenSSL. Vous garderez la clef privée (sauf si vous êtes fou, bien sûr) et vous ne transmettrez à Gandi que les informations publiques qui lui permettront de faire émettre le certificat par Sectigo (l'autorité de certification à laquelle Gandi sous-traite ça).


Personne à part vous ne pourra accéder à votre clef privée, pas même Darmanin (en supposant qu'il sache dans quel sens orienter le clavier).


Mais bien sûr, si vous vous faites héberger par Gandi et que vous lui confiez l'intégralité de la gestion des certificats pour votre domaine alors oui, c'est Gandi qui stocke les clefs privées et qui les utilise en votre nom. Et comme c'est "gratuit" (pas l'hébergement, la génération de certificats) alors que l'autre option est payante...

D'accord. Il faut donc générer sa clef et passer par un CSR puis prendre garde à ne pas laisser son certificat accessible à l'hébergeur en gérant entièrement ses serveurs. Tout en maintenant la sécurité des dis serveurs à un niveau qui empêchera le gouvernement d'y accéder, même avec la complicité de l'hébergeur du serveur physique. 

Je ne suis pas certain que le HTTPS protège autant que le disait .  

Je ne suis pas certain que le HTTPS protège autant que le disait...


Il y a plusieurs raisons pour lesquelles on peut douter de la sécurité procurée par un protocole ou un algorithme cryptographique.


Il y a tout d'abord les possibles failles (accidentelles ou intentionnelles) du protocole ou de l'algorithme lui-même. Dans le cas de https le protocole est public, ainsi que les algorithmes cryptographiques qu'il utilise. Considérant le nombre de chercheurs en sécurité qui le scrutent en permanence on peut raisonnablement penser qu'aucune faille n'a été découverte et n'est actuellement exploitée à l'insu des utilisateurs. Attention, je fais référence aux versions à jour du protocole. En effet, il arrive régulièrement que tout ou partie de la version courante du protocole soit considérée comme devenue trop fragile. Ce peut être dû à des évolutions récentes dans la recherche en sécurité (découverte d'une faiblesse dans un algorithme, voir l'histoire de MD5 et SHA-1), soit à cause de l'augmentation constante de la puissance de calcul (baisse du coût et augmentation des performances des cartes graphiques, par exemple), soit à cause de l'apparition de nouvelles technologies de calcul (ordinateurs quantiques, lorsqu'ils existeront vraiment, si cela arrive un jour). Quelle qu'en soit la raison, si vous ne mettez pas à jour votre serveur, c'est un peu comme si vous ne faisiez jamais aucune mise à jour de sécurité de votre système, vous prenez des risques. Bien sûr il n'est pas totalement impossible que la NSA exploite une faille connue d'elle seule, mais c'est peu probable. Et bien sûr, cette probabilité est considérablement plus élevée avec des protocoles propriétaires non publics. Moralité : préférez toujours l'ouverture, fuyez comme la peste les solutions fermées. Auguste Kerckhoffs le disait déjà en 1883...


Il y a ensuite les failles non pas du protocoles ou des algorithmes mais de la façon dont ils sont implémentés en logiciel. Mais dans ce cas ce ne serait pas https le fautif, ce serait la façon dont il a été mal implémenté, soit intentionnellement, soit par accident. Moralité, là encore, il est essentiel de faire consciencieusement ses mises à jour de sécurité et il est de loin préférable d'utiliser du code ouvert (dit "logiciel libre" ou "open source" dans le langage courant) que des solutions propriétaires fermées que les experts en sécurité ne peuvent pas facilement inspecter, et qui contiennent beaucoup plus probablement des faiblesses intentionnelles ou du code de mauvaise qualité mal écrit par des gens pressés.


J'ajouterai une considération qui n'est pas toujours très connue ou comprise : https est un protocole client-serveur (comme beaucoup d'autres protocoles de communication, sécurisés ou non). Il y a donc au moins deux participants : un serveur web et un navigateur (plus les ressources du système d'exploitation que les deux utilisent). Or https est très flexible, il offre de nombreuses possibilités de réaliser chaque partie du protocole en choisissant les algorithmes cryptographiques impliqués ou leurs paramètres (comme la taille des clefs secrètes, par exemple). Les communications entre le client et le serveur commencent donc par un échange sur ce que chacun sait faire et une négociation sur les algorithmes qu'on va utiliser ensuite. Et c'est là que se cache un autre risque important : pour continuer à servir des vieux navigateurs obsolètes l'administrateur d'un site web peut volontairement abaisser ses exigences en matière de sécurité et accepter des versions moisies du protocole. Symétriquement, pour continuer à accéder à un site web mal administré un utilisateur peut volontairement dégrader les paramètres de sécurité de son propre navigateur. Moralité : mieux vaut renoncer à visiter https://grosse-daube-marrante.com/, aussi marrante soit la grosse daube, plutôt que de remplacer le cadenas solide de son navigateur par une petite cale en bois. Et, quand on administre un site web, peut-être vaut-il mieux annoncer franchement aux millions de clients obsolètes que puisqu'ils ne sont pas capables de faire mieux on va tout faire en clair (http), plutôt que de leur donner l'illusion de la sécurité avec un https au rabais.


J'aimerais bien savoir combien de postes de travail dans les hôpitaux publics sont encore sous Windows XP et utilisent Internet Explorer 6 (ou tout autre combinaison tout aussi navrante)...

Merci d'avoir pris le temps pour ces précisions. Grace à vous la prochaine fois que j'aborderai le sujet je n'en serai que plus pertinent. C'est vraiment magique cette puissance d'internet pour agréger les savoirs. A côté de ça la souffrance que nous inflige les troll et un prix bien faible que je paye sans regret (mais sans joie quand même).

bravo, une fois de plus, cette chronique m'apparaît toujours plus indispensable et de qualité !

ou comment démonter en un article toute la politique sécuritaire extrême-droitière de ces guignols.. arguments et ironie à l'appui !

Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.