16
Commentaires

La France, un Gafam comme les autres pour Darmanin

"Toutes les grandes entreprises utilisent des algorithmes. Et il n’y aurait que l’État qui ne pourrait pas les utiliser ?" s'est écrié Gérald Darmanin pour justifier une nouvelle proposition de loi sur le terrorisme, qui augmente encore le pouvoir des algorithmes de surveillance. Faire fonctionner le renseignement sur le modèle de Google, vraiment ? 3è épisode de Clic gauche, la chronique de Thibault Prévost.

Commentaires préférés des abonnés

bravo, une fois de plus, cette chronique m'apparaît toujours plus indispensable et de qualité !

ou comment démonter en un article toute la politique sécuritaire extrême-droitière de ces guignols.. arguments et ironie à l'appui !

Excellente chronique à laquelle j'ajouterais un point technique mais pas trop rassurez vous !
Si vous vous connectez à un site internet en https alors tout ce qui est après le / est encrypté


Pour arriver à savoir ce qu'il y a après le / il faut casser/(...)

Finalement, ça laisse à réfléchir. Avec la surveillance de masse, on aurait vite intercepté les sms de ce sale type et pu empêcher, à minima un abus de faiblesse, voir peut-être un viol.

Derniers commentaires

Je commence cet article, et je suis d'accord il est excellent. Je reviens tout de suite 


Une question me préoccupe cependant et je veux la dire de suite : les algorithmes peuvent-ils servir à l’État pour clarifier les affaires de viol. Est ce que Darmanin peut nous éclairer à ce sujet, lui qui a été confronté à une plaignante qui se plaignait de lui à ce sujet.


Bon je reprends ma lecture

Il existe des méthodes incassables qui sont bien plus sûres que les applis made in USA .

Darmanin croît encore que la criminalité se ballade ouvertement sur le net. 

Il n'y a que les néophytes à qui s'applique l'expression signaux faibles.

Des pros du renseignement se reconvertissent dans la criminalité.

Il y en a même en France qui sont condamné pour cela.

Darmanin vibrionne mais il n'arrête que la friture, jamais un gros poisson.

C'est comme s'il criait victoire chaque fois qu'il fait prisonnier un fantassin d'une armée adversaire.

Il met toute la population en coupe réglée pour communiquer sur le petit poisson parce que Darmanin n'est qu'un petit joueur.

Pour le terrorisme, il faut mettre le nez dans la finance plutôt que dans facebook.


Petite correction de l'article, le Parlement européen n'est pas nécessairement impliqué dans l'adoption d'un règlement.

C'est un acte qui dépend de la volonté des gouvernants des Etats membres qui le prennent directement via le Conseil européen, ou via la Commission qu'ils délèguent à cet effet (car la commission n'est pas le décisionnaire, son rôle est d'exécuter les orientations décidées par le Conseil).


En la matière c'est Darmanin qui a sûrement participé au Conseil décidant de l'adoption du règlement.


Pour plus de détails sur les procédures législatives européennes :

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=LEGISSUM:ai0016


Le discours sécuritaire est le syndrome de l'impuissance politique MAIS en fait, ce que dit l'article en coin, c'est qu'en fait l'etat investira massivement dans une startup sans réele competence sur le sujet à cause de tous les problèmes de crypto :

- on aura donc une fois de plus brûlé du capital public sans intêret

-le patron de cette startup disparaitra dans la nature

-l'application laissera une bonne partie des usagers dans la panade puisqu'on aura aussi paralysé pour l'occasion une structure existente qui n'avait deja pas assez de moyens pour avancer et cette techno n'aura jamais la qualité pour bosser correctement.

Bref : le projet startup nation: c'est investir dans des equipes qui n'ont ni les epaules, ni les competences , ni la comprehension d'un sujet géré par une unité de service exangue par manque de moyens et le mille feuilles legislatif. La startup fait une release d'un produit inadapté puisque l'administration avait ce qu'auncun coder ne comprend : la capacité d'abstraction que chaque cas necessite pour etre traité correctement. En gros le programmeur programme les cas qu'on lui a  donnés, le fonctionnaire peut creer un nouveau cas.

Au final Macron detruit l'etat dans sa capacité fonctionnelle à grande vitesse.

Quand je vois ca, je pense que bientôt on rêvera d'etre le Venezuela....

Finalement, ça laisse à réfléchir. Avec la surveillance de masse, on aurait vite intercepté les sms de ce sale type et pu empêcher, à minima un abus de faiblesse, voir peut-être un viol.

Excellente chronique à laquelle j'ajouterais un point technique mais pas trop rassurez vous !
Si vous vous connectez à un site internet en https alors tout ce qui est après le / est encrypté


Pour arriver à savoir ce qu'il y a après le / il faut casser/déchiffrer https
La NSA pourait le faire : https://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
La France ?

Sur tout le traffic Web issu de France ???


Autre alternative : placer une boite noire chez le fournisseur du site web ... même s'il est en dehors du territoire français ???


En résumé :


* HTTPS : le gouvernement français ne voit RIEN de ce qui est après le /

* N'oubliez pas les VPNs en plus

* N'oubliez pas TOR


En résumé :  L'algorithme n'aura rien à manger ...


Par contre je vois des trucs fun à faire : 


automatiser le signalement pour terrorisme de personnes/sites/blog/médias sociaux de personnes ou organisations qui ne vous plaisent pas 


Les gafam appliqueront alors l'algorithme "on retire - bon courage pour demander au support de restaurer le contenu retiré"

Un petit complément :


"Suivant les statistiques Google, 95-99% du temps passé sur les sites Web est chiffré" (en https donc )


"According to Google's stats, as a percentage of user time, between 95-99% of user time on the web is encrypted"


Source :

https://twitter.com/jlivingood/status/1389584630299385856

Je comprends bien pourquoi ça fonctionne si le site a généré ses certificats dans son coin. Mais s'ils dépendent d'une autorité de certification, et c'est nécessaire si l'on ne veut pas d'alertes sur le poste de l'utilisateur et d'une sécurité complète depuis le premier échange, alors les clefs privées peuvent être centralisées chez l’émetteur pour peu qu'il les conserve. Or, j'imagine qu'il est fort probable, compte tenu de ce que nous savons déjà par Snowden par exemple, que certains États aient accès à ces certificats privés.

Celui d'ASI est un RSA 2048 bits. C'est très bien. Mais il est délivré par Gandi, New Jersey, Jersey City par The USERTRUST Network. Alors je ne sais pas si le gouvernement français y a accès directement mais pour le gouvernement américain c'est très probable. 

Je ne serais d'ailleurs pas surpris que les États collaborent entre eux en s'échangeant des informations selon la nationalité du site web qui utilise ces certificats.

Il suffit ensuite d'attraper les données chiffrées au vol puis d'utiliser la clef privée liée à la racine du site visité (ce que fait le site lui-même en temps réel d'ailleurs) pour avoir accès à tout ça et l'analyser pour n'en garder que le significatif.

Si nous y réfléchissons bien, il y a assez peu de certificats à conserver finalement. Les sites qui intéressent les gouvernements et voient passer la majorité des échanges se comptent sur les doigts d'un charpentier aveugle.


J'en viens d'ailleurs à me demander si le fait que la plupart des entreprises américaines du web ont des filiales dans le paradis fiscal du New Jersey, et que les EUA le tolère, ne serait pas une forme de rémunération pour cette collaboration et si la centralisation de ces certificats n'en serait pas l'atout principal.

Ce message a été supprimé suite à la suppression du compte de son auteur

D'accord. Il faut donc générer sa clef et passer par un CSR puis prendre garde à ne pas laisser son certificat accessible à l'hébergeur en gérant entièrement ses serveurs. Tout en maintenant la sécurité des dis serveurs à un niveau qui empêchera le gouvernement d'y accéder, même avec la complicité de l'hébergeur du serveur physique. 

Je ne suis pas certain que le HTTPS protège autant que le disait .  

Ce message a été supprimé suite à la suppression du compte de son auteur

Merci d'avoir pris le temps pour ces précisions. Grace à vous la prochaine fois que j'aborderai le sujet je n'en serai que plus pertinent. C'est vraiment magique cette puissance d'internet pour agréger les savoirs. A côté de ça la souffrance que nous inflige les troll et un prix bien faible que je paye sans regret (mais sans joie quand même).

bravo, une fois de plus, cette chronique m'apparaît toujours plus indispensable et de qualité !

ou comment démonter en un article toute la politique sécuritaire extrême-droitière de ces guignols.. arguments et ironie à l'appui !

DÉCOUVRIR NOS FORMULES D'ABONNEMENT SANS ENGAGEMENT

(Conditions générales d'utilisation et de vente)
Pourquoi s'abonner ?
  • Accès illimité à tous nos articles, chroniques et émissions
  • Téléchargement des émissions en MP3 ou MP4
  • Partage d'un contenu à ses proches gratuitement chaque semaine
  • Vote pour choisir les contenus en accès gratuit chaque jeudi
  • Sans engagement
Offre spéciale
3 mois pour 3 € puis 5 € par mois

ou 50 € par an (avec 3 mois offerts la première année)

Sans engagement
Devenir
Asinaute

5 € / mois
ou 50 € / an

Je m'abonne
Asinaute
Généreux

10 € / mois
ou 100 € / an

Je m'abonne
Asinaute
en galère

2 € / mois
ou 22 € / an

Je m'abonne
Abonnement
« cadeau »


50 € / an

J'offre ASI

Professionnels et collectivités, retrouvez vos offres dédiées ici

Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.