62
Commentaires

Tout savoir (ou presque) sur Big brother

Fantasmes ou frayeurs réelles ? Le 12 avril, Le Monde consacrait sa une au "big brother du renseignement français" en affirmant que les services de renseignement disposaient d'un "programme secret de surveillance" permettant "d'intercepter et de stocker des milliards de données et de communication". Une information censée alimenter la crainte d'une surveillance généralisée au moment où le parlement se penche sur la nouvelle loi renseignement. Pour faire la part des choses entre les risques et les fantasmes de cette loi et des systèmes de surveillance déjà en place, nous avons invité Eduardo Rihan-Cypel, député socialiste, porte-parole du PS et membre de la commission de la défense nationale et des forces armées, Alexandre Archambault, ancien cadre chez Free, et Andrea Fradin journaliste à Rue 89 et auteur d'un article sur le sujet.

Derniers commentaires

Pour mémoire "Brazil" https://fr.wikipedia.org/wiki/Brazil_%28film,_1985%29
Un des nombreux algos qui rendent fous:

http://desencyclopedie.wikia.com/wiki/Algorithme_de_Jean-Pierre_Pernaut
"Ce n'est pas parce que c'est caché, qu'il n'y a pas de contrôle démocratique"
Ben si !

Par contre on peut dire : "Ce n'est pas parce que c'est au PS, que c'est démocratique !"
Quand je vois l'incompétence du député, je me demande qui pond les lois.
Visiblement le monsieur ne connait pas grand chose techniquement, et ne sait pas vraiment concrètement comment tout ça se met en place.
Comment peut-il en comprendre sérieusement la portée.
D'où l'interrogation, les experts invoqués pour mettre ces lois en place n'ont-ils pas un pouvoir effrayant?
En serait-il de même dans les autres domaines, je pense à la santé à l'éducation, à l'économie, où le diable des lois (de plus en plus fourre-tout) est souvent dans les détails?

Quid des ministres et députés, sont-ils vraiment des crétins, ou font-ils semblant de ne pas comprendre pour respecter la ligne du parti?
( Dans ce 14h42, attention aux interférences de téléphones portables ) @si serait sur écoute ?
Les 5 premières minutes sont très confuses et ne donnent pas envie de regarder l'émission. L'émission sur le même sujet de "là-bas si j'y suis" est beaucoup plus intéressante.
Comme faire la dinstinction entre un citoyen et un terroriste ? (22min26)

"C'est le boulot des services de faire la part de ce qui les intéressent et de ce qui les intéressent pas, des bonnes pistes et des mauvaises pistes."

Tout est dit... le respect des libertés individuelles... c'est le boulot des services...
Et la musique de l'émission.Je ne suis pas un geek, mais que pensez-vous de cette musique? Est-ce de la musique produite par ordinateur? Avec un soupçon d'algo "rythme"? Et les voix? C'est un clin d'oeil? clin d'oreille? Je ne comprend pas la démarche. pour tout dire, je trouve ça nul.
Mes amis !

Nous ne pouvons qu'approuver un programme qui sécuriserait notre patrie !
Bon point pour la gauche ! (pour une fois )
Je suis assez circonspect, quand on avance qu'il pourrait exister un "contrôle démocratique caché". Si il est caché, il n'est pas démocratique, personne n'étant en situation d'avoir un avis, d'en faire part, et de livrer ses idées au débat qui lui, public, pourrait se révéler démocratique. Je considère donc que ce député nous raconte n'importe quoi, ce qui me permet de penser qu'on prend les citoyens pour ce qu'ils ne sont pas. Si ces contrôles relèvent d'un pouvoir discrétionnaire en aucun cas démocratique (le "caché démocratique ne faisant pas partie de mes catégories de pensée), il faut bien évidemment s'opposer à cette loi. A moins qu'un défenseur de ces mesures un peu plus habile et honnête que ce monsieur ne démontre le contraire. Tout ceci ne sent pas très bon. Il ne manquait plus que cela, un autoritarisme avéré, pour faire de ce gouvernement et de Monsieur le Président de la République des émules de feu le bonapartisme mode Napoléon III. La croissance économique en moins. Quelle misère!
L'incompétence de ce député est terrifiante. A part se gargariser du mot algorithme dont il ignore visiblement la signification, il est incapable d'aligner deux réflexions sensées sur ce sujet. Les tristes personnages de sa sorte votent comme un seul homme des dispositions mortifères sans même comprendre le début du commencement du sujet. Après le contrôle des patrimoines il serait peut-être temps d'exiger un contrôle des compétences des élus. Sur des sujets techniques aussi graves, quels critères ces députés ignorants retiennent-ils au moment du vote ? La consigne du parti ? Le bagout des lobbyistes ? La taille de l'enveloppe ? Quelles bêtises croient-ils parce qu'un baratineur de première les a embobinés ? Au lieu de prendre le temps de s'instruire pour mieux comprendre les enjeux ils acceptent tels des moutons que les lois liberticides soient étudiées au pas de charge de la procédure accélérée. Le degré zéro de la conscience professionnelle et de l'honnêteté intellectuelle.
On se demande au début ce qui pousse ce député à adopter une comm aussi pourrie: « ne comptez pas sur moi pour vous dire ... » il n'y a pas mieux pour alimenter les soupçons qu'on nous cache des choses.

Et puis tout devient clair quand il nous parle de DPI n'accédant pas au contenu applicatif: en fait je pense qu'il ne rentre pas dans les détails parce qu'il ne doit pas y comprendre grand chose.
très bonne émission, mériterait d'être étendue (un bon petit 2h)
Bref on nous prépare un bel état policier et un peu plus tard totalitaire pour protéger l'oligarchie financière et ses laquais politiques !

L'évolution des lois de renseignement de plus en plus intrusives et des lois policières de plus en plus répressives alliés à la perte de pouvoir du judiciaire et à l'asservissement des médias de masse sont des signes qui ne trompent pas !

Espéront que les citoyens sauront si opposer à temps peu importe la manière nécessaire !
Un algorithme est une suite finie et non ambiguë d’opérations ou d'instructions permettant de résoudre un problème.
Une recette de cuisine est un algorithme.

La vacuité du discours d'Eduardo Rihan-Cypel donne une petite idée de la pertinence de la commission de la défense nationale et des forces armées.

Il était où d'ailleurs Eduardo le 15 avril ? Il avait piscine ?
Algorithme, algorithme, vous avez dit algorithme?

Le plus intéressant dans cette émission et le débat national depuis quelques jours c'est l'utilisation du mot algorithme par les journalistes non spécialisés et les hommes politiques: on a l'impression qu'un algorithme est un truc un peu flou mais très puissant sur lequel sont projetés tous les fantasmes sur ce qui peut être fait avec des ordinateurs. Est-ce qu'un algorithme est une machine? un code ou des codes? Est-ce que ça utilise le data-mining? ou peut-être le big-data? Est-ce que c'est de l'intelligence artificielle?

On a aussi l'impression que les gens qui utilisent le mot entretiennent le flou à la fois à dessein (parce que ce truc mystérieux et super puissant est bon pour l'histoire qu'ils racontent) et parce qu'ils ne sont pas compétents pour savoir exactement de quoi ils parlent.
article de Laurent Chemla qui apporte de l'eau au moulin
https://reflets.info/agent-de-double-langage/
comme il le précise, les hébergeurs peuvent menacer de quitter le pays, pour les FAI (qui se sont pas beaucoup exprimés), c'est plus compliqué.
OVH a dit "on va voir", mais Gandi dit "pas question" : http://www.zdnet.fr/actualites/renseignement-gandi-ira-voir-ailleurs-39818376.htm#xtor=RSS-1
Comme le souligne A Archambault, pour analyser le comportement, l'exemple "boite mail partagée chez hotmail et gmail" une simple analyse de trafic par les "boites noires" est quasi impossible.

En effet tous les webmails utilisent SSL aujourd'hui (depuis les attaques sur les boites mail d'opposants au régime iranien d'ailleurs).

Donc, il faut soit :
1/ Faire un "man in the middle" SSL/TLS de façon active sur le réseau. On est pas dans le passif.
2/ Compter sur une mauvaise configuration SSL (pas de DH/ECDH), capter tout le trafic chiffré de Hotmail, Gmail et consorts et demander la clé RSA du serveur au fournisseur (ce qui permet de déchiffrer les communications de tous les utilisateurs sans restriction).

Une alternative au 2 est un éventuel décryptage des communications capturées sur la plateforme de cryptanalyse. C'est improbable si le site est bien configuré et se prête plutôt à un traitement ciblé: déchiffrer une communication éventuellement, déchiffrer toutes les communications en masse c'est improbable.

Le problème est d'ailleurs le même pour Facebook, Twitter ou équivalent. Aujourd'hui SSL est universellement nécessaire et utilisé pour sécuriser les applications Web (sinon très vulnérables, en particulier depuis les accès Wifi publics). Dès que SSL est actif, le réseau cesse de voir le contenu de la navigation sur le site.

Au final, c'est un cas ou il est beaucoup plus simple de demander au fournisseur de service (Google, Microsoft, Yahoo...) de fournir le contenu et donc probablement un mauvais exemple d'analyse de comportement non ciblée.

Un tel dispositif est probablement plus efficace pour récupérer le trafic complet d'un suspect et l'analyser hors ligne que "trouver" des terroristes inconnus via de l'analyse de méta-data.
Heureusement qu'il y avait un FAI sur le plateau qui puisse expliquer un peu ce qui se passe techniquement ; malheureusement, vous n'aviez pas d'hébergeur, car du coup on en est resté à la porte des services. Je vais essayer de combler ce vide.

Dans l'émission, on parle des 7 couches, ce sont les 7 couches du modèle OSI qui décrit le fonctionnement d'un réseau informatique : physique (câble coaxial, fibre optique, etc.), liaison (où des machines proches se reconnaissent), réseau (où des machines lointaines se reconnaissent), transport (où on crée une connexion entre deux machines), session (où on maintient dans le temps une connexion), présentation (chiffrement, formatage de données dans la connexion) et application (mail avec SMTP, page web avec HTTP, etc.). M. FAI est sensé travailler sur les 5 premières et ne rien savoir des deux dernières qui sont la responsabilité des fournisseurs de service ; M. FAI est sensé vous connecter à une machine distante et maintenir cette connexion, ce que vous mettez comme données dans cette connexion, il n'est pas sensé le savoir.

Par exemple, si vous effectuez une connexion sécurisée à un site internet (en https avec le petit cadenas), M. FAI vous ouvre une connexion sur un serveur à une porte particulière, mais ne comprend rien à ce que vous mettez dedans car les données sont cryptées de telle façon qu'en théorie seul vous et le serveur puissiez les lire (c'est dans les couches 6 et 7). Du coup, si les algorithmes des services de renseignement se contentent de regarder dans les tuyaux des FAI, ils ne verront rien de ce qui est crypté - à moins d'utiliser des supercalculateurs capables de casser le cryptage (le bidule évoqué au début de l'émission). Ils ne sauront même pas la page que vous souhaitez lire sur le site en question, cette information étant dans la couche 7, qui dans notre cas est cryptée - d'où le fait que pour ces fameux algorithmes, on inspectera nécessairement en profondeur les paquets, enfin si on peut.

Or,pour en arriver aux hébergeurs (couches 6 et 7), dans le projet de loi, il est indiqué que ceux-ci font aussi partie du dispositif et doivent fournir les clés permettant de décrypter les conversations (c'est dans un article de loi qui existe déjà, article L244-1 du code de la sécurité intérieure http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000028344961&cidTexte=LEGITEXT000025503132&dateTexte=20150422&fastPos=7&fastReqId=1570728342&oldAction=rechCodeArticle, modifié en L871-1 (voir page 28) http://www.assemblee-nationale.fr/14/ta-pdf/2697-p.pdf). Ce qui change par rapport à avant, ce sont les conditions dans lesquelles la remise des clés de cryptage peut avoir lieu - encore une fois, pas de juge judiciaire, que de l'administratif, patati, patata - et on ajoute un "sans délais". Ne pas remettre la clé, c'est juste passible de deux ans de prison et 300 000 euros d'amende ! Pour un site en https, les clés, il n'y en a pas 50, il n'y en a qu'une ; elle peut se changer, mais d'abord ça coûte des sous, et ensuite ce n'est pas rétroactif : une fois que vous avez la clé que j'ai utilisée du 22 février 2013 au 22 février 2015, vous pourrez décrypter TOUTES les communications faites dans cette plage de date. Enfin, à la page 7 du projet de loi, vous remarquerez que le délai de destruction des données cryptées ne court qu'à partir de leur décryptage ; elles peuvent donc être conservées ad vitam, au cas où elles pourraient finir par être utiles...

Pour l'opposition analyse des flux ou analyse de données stockées, je suis d'accord avec M. Archambault, ils ne pourront pas faire ce qu'ils veulent en analysant uniquement les flux : ils vont devoir stocker des données, au moins temporairement. Ce n'est d'ailleurs interdit nulle part dans le projet de loi, le stockage est juste limité dans le temps. D'ailleurs, une chose n'est pas du tout évoquée dans ce projet de loi : la destruction des données brutes est clairement indiquée avec des délais. Or, un algorithme d'analyse de comportement - en tous cas ceux que je connais - ne relit pas systématiquement tout le comportement de l'utilisateur depuis le premier jour ; en général, il crée des indicateurs composites au fur et à mesure de ses passages. Par exemple, au lieu de conserver toutes les pages visitées par un internaute, on va enregistrer que le gars semble intéressé par un produit en particulier, une valise ou un ordinateur portable, et oublier la donnée source qui nous a amené à cette conclusion. Quid de la conservation des données calculées sur la base des données de connexion ?
«Il ne s'agit pas de boite noire, il s'agit d'algorithmes»

Dans le genre foutage de gueule, c'est fort, ils s'exécutent où les algorithmes?

Si on intercepte tout les paquets pour les analysé, on fait de la surveillance de masse, point-barre.

Si on surveille tout ceux qui chiffres leur communications, on prive les citoyens du droit a leur vie privé.

Bref, faire des grandes phrases pour expliqué que non, tout va bien, il n'y a rien a voir, c'est de la propagande.
Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.