Le décret n° 2015-125 du 5 février 2015 « relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique » est entré en application.

C’est long comme nom, mais c’est toujours bon d’avoir le point de départ du billet.

Ce décret autorise le blocage de certains sites. La méthode de blocage choisie est celle du DNS menteur… et c’est important de savoir ce que c’est, parce que le DNS, vous l’utilisez en permanence. Partout sur vos ordinateurs, tablettes et téléphones, frigos et appareils connectés et j’en passe.

Pour comprendre ce que fait un DNS qui ment, il faut déjà comprendre ce que c’est qu’un DNS, je vais donc faire un peu de vulgarisation.

DNS, c’est pour Domain Name System, ça permet de traduire un nom de domaine en adresses compréhensibles par les machines qui font qu’Internet fonctionne, comme des adresses IP.

« C’est cool mais ce n’est pas très clair… »

On va faire plus simple : Internet ne parle pas notre langue, il parle en adresses qui ressemblent à ça : 185.34.33.4. On parle d’adresses IP.

Je pense que tout le monde sera d’accord…

« Hey salut, hier soir j’étais sur 185.34.33.4 c’était excellent
– Ah moi j’étais sur 186.208.17.1 et c’était pas top top
– Ah ouais, bon je te laisse je vais causer sur 191.18.12.4 »

… ce n’est franchement pas très pratique.

Le rôle du DNS, c’est de faire en sorte que l’adresse que vous saisissez vienne correspondre à l’adresse du serveur derrière, c’est comme une énorme annuaire d’Internet si vous préférez.

Seconde vulgarisation : comment ça fonctionne ?

J’étais parti pour vous faire un schéma mais je suis très nul avec les dessins et puis ça existe déjà, Andréa Fradin, aka @FradiFrad, l’a fait à l’époque où elle travaillait pour le regretté OWNI. Le dessin suivant est d’elle, j’espère qu’elle ne m’enverra pas la police pour lui avoir piqué.

Dans votre barre d’adresse, vous avez saisi « http://www.owni.fr», et quelques instants après la page s’affiche, ce que vous ne voyez pas, c’est ce qu’il s’est passé entre temps :

On passera sur les notions de « racine », je vois renvoie à l’excellent billet d’où est tiré le dessin si vous voulez en savoir plus.

Votre ordinateur va donc interroger un serveur qui le guide vers un autre serveur qui le guide vers le bon chemin. Ça, c’est le fonctionnement « normal » d’un DNS, je pense que vous avez compris l’importance du système.

Alors, il se passe quoi lorsqu’il ment ?

Comme expliqué au début de l’article, le décret N° 2015-125 instaure le blocage de certains sites grâce à des DNS menteurs. Ces DNS sont ceux de certains opérateurs français(Orange, Free, SFR…), ils sont automatiquement fournis à votre ordinateur, sauf si vous avez configuré vous même votre connexion, avec autre chose que les serveur DNS de votre opérateur.

Ce sont des DNS là qui vous mentent. Dans les faits, lorsque vous allez essayer d’accéder à un site bloqué sur la base de ce décret, votre requête va toujours arriver au serveur DNS de votre opérateur, mais ce dernier ne vous orientera pas au bon endroit.

Il vous enverra sur un autre serveur, qui vous servira une autre page. Cette page vous dira que le site que vous tentez de visiter est bloqué car il fait l’apologie du terrorisme ou qu’il contient des images pédopornographiques.

Le site fonctionne toujours, le contenu est toujours là mais, lorsque vous voulez y accéder, le DNS ne vous dirige pas au bon endroit.

Si vous avez fait attention, vous avez déjà compris comment contourner ce blocage : ne pas utiliser les DNS de votre opérateur… et figurez-vous que c’est possible. Il existe des serveurs DNS que tout le monde peut utiliser, comme ceux mis à disposition par FDN, ou les « Google Public DNS ». Ces serveurs DNS ne sont pas concernés par le décret, puisqu’ils ne sont pas ceux d’opérateurs français.

C’est tout ?

Oui oui, c’est tout.
Pour contourner cette censure, il « suffit » de changer de serveur DNS.

Tout un programme de blocage des sites qui s’effondre. Il faut bien comprendre ce blocage n’arrête pas grand-chose, tout au plus il permet à certains de se dire qu’ils ont réellement fait quelque chose contre le terrorisme et la pédophilie, mais j’en doute.

Pourquoi c’est important, alors, de comprendre ce que c’est qu’un DNS menteur ?

La première réponse qui me vient est assez évidente : parce que si vous ne le savez pas, vous pouvez être redirigé n’importe où sans même avoir conscience que votre DNS vous ment.

La seconde raison, c’est que cet outil va finir par être utilisé pour d’autres motifs que le terrorisme et la pédophilie sur Internet.

Et pourquoi pas un blocage pour le fait d’avoir ouvertement critiqué un représentant de l’état, tiens ?

Pure coïncidence, un député à l’air assez tenté de mettre ça en place…

C’est beau, non ?

Je ne lis pas l’avenir, mais il ne me semble pas absurde de déclarer que le jeu du chat et de la souris va s’amplifier, au risque de nous forcer à utiliser les DNS menteurs de nos opérateurs, au risque de bloquer massivement, au risque de casser un peu Internet… et la liberté d’expression, à un moment ou à un autre. J’espère me tromper, sincèrement.

Si vous voulez un exemple concret, rendez-vous sur islamic-news.info (la police ne viendra pas vous arrêter si vous cliquez dessus, vous serez, si vous utilisez les DNS de votre opérateur, renvoyé vers une page de l’Etat. Page assez moche, d’ailleurs.

Posons-nous la question suivante : sommes-nous en train de basculer dans un état sécuritaire ? Y sommes nous déjà depuis bien longtemps ?

Si oui, quelles sont les conséquences futures de cette bascule ?

Si non, en sommes-nous éloignés ?

Afin de répondre à cette question, il faut déjà se demander « c’est quoi un état sécuritaire ? ».

Un état sécuritaire, c’est un des pouvoirs qui donne la priorité, de façon excessive, à la sécurité. Il bascule peu à peu dans une logique d’augmentation des moyens de surveillance, de contrôle et de répression. Dans les pires situations, cette dérive vers un état sécuritaire mène à la dictature, nous verrons ensemble pourquoi.

Attention, mettre en place des mesures ou des lois qui répondent à un réel besoin de sécurité, ce n’est pas aberrant. Tout miser sur la sécurité au motif d’un prétendu danger permanent, ça l’est déjà un peu plus, et c’est très dangereux.

Un bon exemple d’état sécuritaire se trouve de l’autre côté de la Manche : l’Angleterre. Au nom d’une menace invisible, David Cameron souhaite inviter la sécurité à votre table, dans votre vie privée…. Et que dire des Etats-Unis d’Amérique et du traumatisme qu’est le 11 septembre ?

Alors, sommes-nous en train de basculer dans un état sécuritaire ?

Depuis les attentats récents, dont celui de Charlie Hebdo, la poigne du gouvernement est devenue plus sèche, plus dure.

Les forces de l’ordre sont en alerte, nous avons atteint le plus haut niveau du plan Vigipirate jamais atteint depuis sa création.

Les juges et tribunaux également, le pouvoir exécutif a donné des consignes de fermeté dans une circulaire datée du 12 janvier 2015. Il l’emporte donc sur le pouvoir judiciaire et le pouvoir législatif.

Les juges ont un rôle important dans ce pouvoir judiciaire : ils sont dans la mesure, ils doivent arrêter le bras de l’état qui frappe fort et s’assurer que la réponse soit mesurée, proportionnelle.

Moins d’un mois après les attentats, c’est la passion et le dégoût qui animent les cœurs de beaucoup de cesjuges, en témoignent les 234 procédures initiées pour apologie du terrorisme depuis les attentats….

Info @franceculture : depuis les attentats, 234 procédures pour apologie et provocation au terrorisme, 16 condamnations à de la prison ferme

— Frédéric Says (@FredericSays) January 29, 2015

<script src="//platform.twitter.com/widgets.js" async="" charset="utf-8">

Avant ces actes, le bilan était de 20 condamnations en 20 ans pour apologie du terrorisme. En moins d’un mois, nous sommes presque au record.

Maintenant, on juge un homme ivre qui ne savait pas ce qu’il disait… et un enfant de 8 ans passe devant la police, alors qu’il ne sait pas ce que terrorisme veut dire.

La justice doit être froide, mener des actions sans peine, ni douleur, ni passion. Elle ne le fait pas dans ces dossiers actuellement.

Au-delà de l’idiotie de la chose, j’interprète ceci comme un signal d’alarme : la justice n’a plus la tête froide, l’exécutif prend le dessus sur les autres pouvoir, ce sont des signes alarmants d’une dangereuse bascule.

Mon second indicateur de cette bascule, c’est Internet. Plus on cherche à censurer Internet, plus on bascule dans une politique sécuritaire. Le raccourci est osé mais je vais m’expliquer.

Je ne parle pas des ayants-droits et de la Hadopi. Je parle de la LPM, de la loi contre le terrorisme, des prochaines mesures « exceptionnelles » qui sont tellement fréquentes qu’elles n’ont d’exceptionnelles que le nom.

Bernard Cazeneuve déclarait, il y a quelques jours – 90% de ceux qui s’engagent dans des opérations terroristes s’engagent après avoir consulté des sites sur Internet. Un bel effet cigogne dans l’optique de venir taper sur Internet sans retenue.

De nombreux politiques appellent à un « Patriot Act » à la française. Même si le gouvernement n’est pas pour, il proposera des réformes de la loi, il doit montrer qu’il fait quelque chose et ce même si c’est stupide.

Pour l’état et pour éviter la critique, il vaut mieux faire quelque chose d’inadapté et inefficace que d’être vu comme un gouvernement laxiste.

L’état souhaite également rendre responsable les intermédiaires et les hébergeurs (Twitter, Facebook & Co) des contenus publiés sur leurs plateformes respectives, et balaye d’un revers de la main les dangers que font peser ces décisions sur notre capacité à nous exprimer.

L’état compte également sur vous, sur nous. Sur notre capacité à ne pas se sentir concernés, à ne pas garder la tête froide, pour faire passer ce qu’il pense bon. Nous en revenons toujours à

« Souhaitez-vous protéger vos enfants* contre le terrorisme** ?
– Oui totalement.
– Donc, il faut sévir et censurer.
– Non, je pense qu’il existe d’autres solutions
– Si vous dites non, alors vous êtes pour le terrorisme. »

* : Amis/proches/élèves/employés, ça marche avec tout le monde.
** : pédophilie/violence/rajoutez un truc tant que c’est négatif ça fonctionne

La capacité du gouvernement à entendre la critique est au point mort et se résume à 0 ou à 1. Et c’est dangereux. Un gouvernement avec lequel il n’est plus possible de parler n’est plus représentatif des idées majoritaires de son peuple et bascule dans une logique sécuritaire qui va à l’encontre même de ses intérêts, malgré tout ce qu’il pense.

Pourquoi ?

Parce qu’en combattant « le mal » de cette façon, on crée « le mal ».

En faisant passer de plus en plus de lois qui portent atteinte à l’ensemble des libertés individuelles, les gouvernements successifs poussent des citoyens soucieux de ces libertés à se protéger, à savoir chiffrer des communications, utiliser des outils de protection d’un peu d’intimité, comme un VPN…

Plus l’état sécuritaire se rapproche, moins il y a de différences entre les outils qu’un terroriste et moi utilisons.

Je chiffre certains mails, refuse explicitement d’utiliser Skype au profit de solutions plus respectueuses de mon intimité, parle avec des gens qui font pareil, chiffre mes sms, parfois mes appels et je suis soucieux de mon intimité.

Qu’est-ce qui, aux yeux d’un état devenu incapable de lire mes communications, me différencie d’un terroriste ?

Quelles sont les conséquences de tout ceci ?

Une politique de plus en plus sécuritaire, « pour votre sécurité ».

Les différents gouvernements ne sont pas stupides : ils savent que la loi vient punir des actes, des délits, des crimes… la loi n’empêche en aucun cas que ces actes arrivent.

Alors, que faire ?

C’est là que tout se joue. L’état, conscient que la loi n’empêche rien, souhaite pouvoir anticiper et… pour anticiper, il faut aller fouiller dans la vie de tout le monde. Cette façon de faire rend tout le monde méfiant vis à vis de tout, et de tout le monde.

Et cette attitude mène à quelque chose de bien pire que la censure : l’autocensure. Par peur de peut-être dire quelque chose d’interdit, par peur de peut-être se sentir observés, nous nous taisons. Nous sacrifions notre liberté d’expression pour une prétendue sécurité qui n’a toujours pas montré le bout de son nez et qui ne le montrera jamais. Un acte terroriste, par nature, est imprévisible. Rajoutons à cela que plus on observe tout le monde et plus on censure, plus les vrais terroristes se cachent, sur Internet comme ailleurs.

C’est donc ça, la leçon des attentats de Charlie Hebdo, icône de la liberté d’expression malgré lui ? Plus de censure ?

Nous basculons dans un système qui ressemble de plus en plus à une adaptation de « Minority Report », bien plus dangereux que le « Big Brother » que nous avons l’habitude de croiser dans quelques articles çà et là.

Un terroriste, quelqu’un qui a déjà basculé, sait très bien ce qu’il fait ou va faire. Il est pleinement conscient de ses envies et de ses actes, ce n’est pas un arsenal législatif qui va l’arrêter. La seule conséquence directe de tout ceci, c’est qu’il parlera là où il n’est pas observé. L’état aura perdu, et proposera alors un nouvel arsenal législatif encore plus poussé, et ainsi de suite… et pourquoi ne pas proposer d’interdire tout simplement le chiffrement de l’ensemble des communications ?

A forcer dans cette direction, l’état devient lui-même son ennemi et tout ce qu’il combat : un dictateur en herbe, ennemi de la liberté d’expression et potentiel ennemi d’Internet.

Alors, est-ce que l’état devient un état sécuritaire ?

Selon moi, c’est bien parti pour. Tout est là. L’exécutif qui prend le pas dans le difficile équilibre entre les pouvoirs, le législatif qui réagit à coup de mesures d’urgences et exceptionnelles qui deviennent la norme et judiciaire qui perd son sang froid. Tout y est.

Bien évidemment, tout ceci n’est que mon avis de simple citoyen. Et vous, quel est le votre ?

« 90% de ceux qui s’engagent dans des opérations terroristes s’engagent après avoir consulté des sites sur Internet »

Bernard Cazeneuve, Ministre de l’intérieur.

Ainsi s’exprimait M. Cazeneuve lors des dernières « QAG », la séance des questions au gouvernement. La réponse est faite suite à une question du député Galut sur les dispositif de cybersurveillance dans la lutte anti-terroriste et anti-criminalité. Si vous avez un doute sur la citation, vous pouvez la retrouver ici (à partir de 41 minutes 55 secondes), difficile de faire plus officiel comme source.

Mais, M. Cazeneuve, malgré tout le respect que je me dois de lui porter… qu’est-ce qui lui passe par la tête bordel !?

Étudions sa déclaration.

Il a raison. 90% de ceux qui s’engagent dans des opérations terroristes s’engagent après avoir consulté des sites sur Internet.

Sinon :

• 90% des étudiants se servent d’Internet pour faire leurs recherches.
• Plus de 50% de la population s’en sert pour simplement communiquer.
• Plus de 80% des administrations françaises se servent d’Internet au quotidien.

Au mieux, sa déclaration est l’expression d’un raccourci douteux, au pire, elle est la représentation d’une mauvaise foi doublée d’une incompréhension totale sur le sujet, ce dont je doute, cet homme est intelligent, il sait parfaitement ce qu’il déclare. Ce qui est pire.

Oui, les terroristes utilisent Internet. Comme lui, moi, ou même vous qui lisez ce blog. Comment ne pas le faire ? C’est un média incontournable, même pour un terroriste en puissance.

Cette déclaration est donc vide de sens.

C’est « un effet cigogne » : elle mélange volontairement corrélation et causalité. Pour celles et ceux qui se demandent ce que c’est, démonstration :

Dans les communes qui abritent des cigognes, le taux de natalité est plus élevé qu’ailleurs. Les cigognes apportent donc les bébés…

En réalité, les cigognes sont généralement en campagne et dans les petits villages, où le taux de natalité est plus élevé qu’en ville. Il y a donc une corrélation entre deux phénomènes, sans que l’un ne soit responsable de l’autre. Donc, pas de causalité

Bernard Cazeneuve à décidé de prendre ce chemin dans ses déclarations et c’est bien dommage, car il sous entend à demi-mots qu’Internet est plus ou moins responsable du terrorisme. C’est ainsi qu’il compte, lui aussi, diaboliser Internet pour pouvoir proposer un nouvel arsenal législatif. Arsenal dont il parlera, à la fin de la réponse au député Galut.

M. Cazeneuve déclarera d’ailleurs « nous avons également sur Internet énormément de propos qui sont tenus, notamment sur des réseaux sociaux, qui sont  des propos racistes, antisémites qui sont tenus d’ailleurs sans qu’il n’y ait de régulation » …

Oublions un peu le discours à deux ronds et analysons-le : régulation de l’ensemble des communications afin qu’il n’y ait plus de propos racistes ou antisémites. Techniquement, Cazeneuve exprime cela, non ? Puisqu’il semble s’étonner qu’il n’y ait pas de régulation de ces propos.

D’ailleurs, cette déclaration, c’est faux. Il existe une régulation de ces propos et la loi les concerne aussi. Elle s’applique simplement après les faits. La scène de théâtre jouée par Cazeneuve lui permettra, le moment venu, de demander un contrôle a priori des propos tenus sur Internet, ce qui est tout bonnement impossible, sauf à basculer dans un système où la liberté d’expression n’est plus tant une liberté que ça.

Moins d’un mois après les attentats que nous avons tous en tête, c’est osé, pour ne pas dire déplacé.

C’est l’idée suggérée aujourd’hui par le premier ministre anglais, David Cameron.

Cette réaction fait suite aux drames dans les locaux de Charlie Hebdo, à celui de Montrouge et dans ceux d’une épicerie casher, où les victimes étaient juives.

« Dans notre pays, voulons-nous autoriser un moyen de communication entre les gens, que même dans les cas extrêmes avec un mandat signé personnellement par le ministre de l’intérieur, nous ne puissions pas lire ? »

- David Cameron, premier ministre anglais. -

Dans une société qui prend peu à peu conscience de l’ampleur de la surveillance des communications, cette déclaration fait l’effet d’une petite bombe qui, j’imagine, sera pourtant saluée par de nombreuses personnes.

Ma résolution de 2015, c’est d’écrire le plus souvent possible avec la tête froide, nous allons donc analyser les propos du premier ministre anglais.

Dans un monde « post-Snowden » où de plus en plus d’entreprises chiffrent directement leurs communications et celles de leurs clients, cette déclaration est brutale. Il faut se demander si les moyens proposés par Cameron sont réellement justifiés et adaptés.

Et, à mon avis, la réponse est non.

Il va de soi qu’il faut faire quelque chose et j’ose penser que vous serez d’accord avec moi. Cependant, cela ne doit pas se faire au détriment de la liberté qu’à chacun de pouvoir chiffrer ses communications afin de protéger un peu ses données personnelles et son intimité.

Nous pouvons également remettre en doute l’efficacité des moyens suggérés par Cameron. La traque aux terroristes, c’est un peu comme le jeu du chat et de la souris : lorsque le chat est assez compétent pour traquer la souris, cette dernière a déjà mis au point une autre technique pour ne pas se faire attraper.

J’ai déjà eu l’occasion de « traquer » des délinquants sur les Internets, des pédophiles aussi, et une chose est sûre : si le fait de chiffrer ses communications devient illégal, les terroristes & Co. iront voir ailleurs, plus loin, plus profondément dans les tréfonds des Internets.

A ma connaissance, la majorité de la population en capacité de protéger ses communications n’a pas l’envie de tuer son prochain, alors pourquoi vouloir appliquer quelque chose d’aussi violent à l’ensemble de ladite population ?

L’Angleterre, et Cameron en particulier, est connue pour sa politique de surveillance extrêmement étendue et, pour être moi-même anglais, je sais exactement de quoi je parle. La surveillance, c’est un des fers de lance de Cameron, comme ça l’est pour Nicolas Sarkozy ici.

Dans les faits, Cameron « surfe » sur un acte assez rare dans « notre bonne vieille Europe » et odieux pour justifier des choses qui, normalement, ne pourraient pas arriver. Il profite de l’instant et sans doute de l’émotion pour proposer le pire car, littéralement ou presque, le monde entier est en émoi.

Je doute que de telles déclarations, dans un climat aussi compliqué, soient une bonne chose.

S’il marque un point en déclarant qu’il faut faire quelque chose, sa proposition doit être modérée et analysée avec énormément de recul : Cameron est en campagne, les prochaines élections auront lieu au plus tard avant mai 2015 et David Cameron représentera le parti conservateur, en perte de vitesse face au parti UKIP, très nationaliste.

Cameron n’hésitera d’ailleurs pas à déclarer que « ceci arrive dans des cas extrêmes », alors que dans un même temps les lois anglaises sont extrêmement intrusives, sans pour autant être efficaces.

Résumons donc : Cameron a fait une déclaration, il souhaite interdire le chiffrement des communications, au titre de la protection de la nation. Ses déclarations font suite à des attentats et il « profite » de l’instant pour proposer quelque chose de totalement incohérent et disproportionné.

Espérons que ces déclarations ne restent que des déclarations… déclarations que vous pouvez regarder ici (en anglais)

La semaine dernière, lors du 31C3 (le Chaos Communication Congress), deux chercheurs en sécurité ont présenté leurs travaux sur SS7, ou plutôt les failles qui permettent d’exploiter SS7.

Alors, SS7, c’est quoi exactement ?

Derrière l’acronyme se cache une panoplie de protocoles de signalisation téléphonique, utilisée sur la quasi-totalité du globe par des opérateurs de téléphonie.

« SS » c’est pour Signaling System ou Système de Signalisation et 7, c’est parce qu’avant, il y avait SS6, puis SS5 …

SS7, c’est un ensemble de protocoles de signalisation téléphonique, en français : c’est un moyen que les éléments du réseau téléphonique utilisent pour échanger des informations, ni plus, ni moins.

Si c’est un peu nébuleux, voici quelques exemples plus explicites :

• Vous tentez d’appeler quelqu’un qui est déjà en appel. SS7 le voit, demande à ce que l’appel soit libéré et à ce qu’on vous renvoie une tonalité d’occupation.
• Vous tentez d’appeler quelqu’un d’autre. C’est SS7 qui annonce qu’un appel est tenté vers tel numéro. Pour vulgariser, il demande « où je dois envoyer l’appel s’il vous plait ? »

Dans les grandes lignes, le rôle de SS7 c’est : la signalisation d’appel, l’interconnexion des appels, des réseaux, l’échange d’informations entre les utilisateurs et plein d’autres choses, dont les messages.

Ah, j’oubliais un détail très important : SS7 a aussi pour rôle de faire passer un appel téléphonique à travers les réseaux.

Pour ce faire, il doit impérativement disposer d’un certain nombre d’informations :

• D’où vient l’appel ?
• Par quels équipements l’appel passe ?
• Par quelles lignes téléphoniques l’appel passe ?
• Vers où doit aller l’appel ?
• Est-ce que le réseau est disponible ou non ? Et si ce n’est pas le cas, comment doit passer l’appel ?

SS7 est donc une importante source d’informations puisqu’il doit savoir qui fait quoi, quand, où, avec qui …

Voilà. Vous avez le réseau SS7 dans les (très) grandes lignes mais elles me semblent suffisantes pour la suite.

Reprenons donc… Au 31c3, deux chercheurs venaient présenter leurs travaux sur SS7. Le 29 décembre, le journal Le Monde, via sa chronique Pixels, publiait un article intitulé « Le SS7, le réseau des opérateurs qui permet de surveiller vos téléphones portables ».

Première « erreur » : SS7 ce n’est pas un réseau. C’est un ensemble de protocoles, comme nous avons pu le voir. Bon c’est tout bête comme erreur, mais c’est dommage. J’ai d’abord pensé que c’était compliqué d’expliquer, mais puisque je viens de le faire je pense que c’est accessible.

Que dit cet article ?

Un petit peu trop anxiogène à mon gout, l’article dit qu’il est possible de se faire localiser d’une façon très précise, de se faire intercepter ses SMS et ses appels… Bref, de se servir de ce que fait SS7 à la base.

Les chercheurs ont souligné un point bien plus dérangeant en revanche : l’accès « open bar » à SS7, c’est là qu’il faut s’alarmer, sans pour autant basculer dans la paranoïa, il faut simplement comprendre :

• les fonctions de SS7 n’ont rien de dérangeant en soi : pour fonctionner, SS7 doit localiser d’une façon très précise un terminal, il doit faire transiter des messages et des appels, il est donc possible de les intercepter, puisque les messages transitent grâce à ce SS7

• le fait qu’un utilisateur lambda ou qu’autre chose qu’un opérateur puisse se servir de SS7, là, c’est une autre histoire, bien plus dérangeante.

Cet open bar, c’est volontaire ?

Oui et non.

Non car techniquement parlant, SS7 est très ancien, il date de 1975. Depuis, de nombreuses (r)évolutions ont vu le jour et le protocole ne s’est pas spécialement adapté. C’est techniquement faux mais on pourrait dire que SS7 est un protocole de 1975 avec plein de rajouts.

Oui car à l’époque, il y avait une sécurité suffisante avec SS7. Oui également car cette ouverture permet de faciliter bien des choses sur le plan technique.  Pour les opérateurs, qui ont moins de contraintes. Pour faciliter la rapidité des échanges également. Puis c’est pratique pour ceux qui ont besoin d’aller mettre leur nez dedans.

Et ça se corrige ?

A nouveau, oui et non.

Non, ça ne se corrige pas car il faudrait presque repenser un nouveau protocole et que c’est très compliqué, puisque la quasi-totalité des opérateurs téléphoniques passent à un moment ou à un autre avec SS7.

Oui, ça se corrige, mais l’actuel blocage est plus politique et financier que technique. Pourquoi investir des milliards pour refaire quelque chose qui fonctionne actuellement ? Les états, opérateurs et j’en passe n’iront pas investir tant qu’ils n’y seront pas obligés et les pouvoirs politiques n’ont aucune raison de forcer les opérateurs à le faire.

On pourrait également dire qu’à terme, avec l’arrivée de la 4G, SS7 serait de moins en moins utilisé. Les réseaux 4G ne se servent pas de SS7 pour la signalisation téléphonique, mais de SIP, un autre protocole. C’est techniquement faux, puisqu’il y aura toujours SS7 derrière… mais sur le papier, ça serait une jolie solution.

Rajoutons à cela que pour voir cette solution arriver, il faudrait que tout passe par le réseau 4G, tout le temps, sans jamais basculer en 3G ou 2G ou GSM. Autant dire que c’est impossible.

Et je dois être parano ?

Très sincèrement ? Non. Ces accès « open bar » ne datent pas d’hier, un article du Washington Post en parlait déjà au mois d’aout (EN) et, à mon humble avis, ils existaient bien avant.

Ce n’est pas SS7 qui pose problème, c’est sa facilité d’accès, certainement utilisée par des particuliers curieux, par des agences de renseignement, CIA, NSA et j’en passe, qui me dérange. A nouveau, il convient de ne pas sombrer dans la paranoïa, ce n’est pas parce qu’ils peuvent le faire qu’ils espionnent l’ensemble de la planète.

Résumons donc : SS7 est un ensemble de protocoles qui fait ce qu’on lui demande : faire de la signalisation d’appel. Ces protocoles fonctionnent mais l’accès à SS7, lui, est un peu trop ouvert parce que c’est vieux et que ça n’a pas bougé depuis et ça, ce n’est pas génial.

Problème assez sérieux qui ne sera hélas pas corrigé demain, ni dans un an, peut-être même pas dans 10…