Il risque quelques années de prison et pas mal d’euros d’amende pour avoir menti devant une commission du Sénat. Ce médecin avait des conflits d’intérêts et avait déclaré le contraire devant les sénateurs. C’est mal de mentir aux Sénateurs. Surtout qu’il était prévenu. Les Sénateurs le disent avant de commencer l’audition. On est sous serment, on risque gros si l’on ment. Ça n’a pas loupé, les représentants du peuple ont transmis le dossier à la justice. Nous, à la place de Frédéric Oudéa, on se ferait du mouron… #OhWait…

Les anciens internautes le savent, en matière de sécurité informatique, la France bat des records d’immobilisme. On pourrait mettre ça sur le compte d’un système éducatif à la traîne, sur le compte d’un manque de cyber souveraineté , sur le compte des pirates qui assassinent des artistes à coups de clics, sur le compte des anciens astronautes, mais on revient toujours au fait politique, celui qui fait la loi.

Jusque là, il existait un texte assez poussiéreux, l’article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles. Mieux, la jurisprudence ne limitait pas l’obligation de sécurité à une obligation de moyens, mais elle l’étendait à une obligation de résultat. Tout allait alors pour le mieux dans le meilleur des mondes puisque si un responsable de traitement ou même un sous-traitant faisait n’importe quoi avec vos données de santé ou vos données bancaires, ce qui n’arrive jamais c’est bien connu, il encourrait une peine de 5 ans de prison et 300 000 euros d’amende. Dans les faits, un nombre infime d’affaires ont été portées devant les tribunaux sur le fondement de cet article. Bref, cet article n’a pas servi à grand chose, mais c’est probablement parce qu’il ne concernait pas assez de monde (#oupas).

Dans un élan sécuritaire visant à éduquer les particuliers à la cybersécurité, le législateur a étendu l’obligation de sécurité « pour tous », en définissant une infraction de négligence caractérisée. L’abonné à Internet a maintenant pour obligation de sécuriser sa connexion pour s’assurer que cette dernière ne serve pas de moyen au cyber-génocide des artistes. L’internaute encourt un mail, suivi d’un recommandé, suivi d’une coupure de connexion. Il y a bien eu un jour une connexion coupée, mais pas celle d’un particulier. Hay caramba, encore raté. Jusque là, tout allait toujours pour le mieux dans le meilleur des mondes puisque tout le monde était condamnable pour une raison ou pour une autre (il ne faut se fermer aucune porte) :

• le vilain pirate qui pirate et cherche à tuer toute la planète ;
• le vilain mauvais admin qui procrastine ;
• la mamie du Cantal qui ne capte rien à cette histoire de « faille heurouâle au paine ofisse » et « ouifi crypté à Heuesse tékahypé » du mail de recommandation qu’elle a reçu sur son adresse Caramail, dont elle ne se souvient plus de l’URL.

Et puis, un jour, le législateur s’est aperçu d’un truc qu’on lui expliquait depuis 30 ans

• les vilains pirates ne sont pas tous vilains;
• ils ne cherchent pas forcément à tuer toute la planète;
• certains essayent même d’alerter l’opinion dans une optique citoyenne ;
• ils ne portent pas tous une cagoule devant leur écran.

Là vous vous dites « mais c’est super, on va enfin foutre la paix aux chercheurs qui trouvent et aux journalistes qui font leur métier ».

Faut pas déconner non plus…

Protéger les lanceurs d’alerte, mais pas trop

Le projet de loi sur le numérique a soulevé la question de la protection des lanceurs d’alerte. On se dit, forcément, que ça va dans le bon sens. Mais soulever une question, c’est une chose, y apporter une réponse sensée en est une autre et étrangement, c’est rarement sur le second point que le politique excelle quand ça touche au numérique.

Les députés PS ont eu une idée géniale, exempter les lanceurs d’alerte de peine, mais pas de poursuite, ni de garde vue, ni de procès…

L’amendement qui te protège, camarade, ça donne ça en pratique :

« Vous êtes un chercheur qui trouve ? Vous venez de sauver la planète en alertant les autorités au détour d’une recherche Gogleuh vous donnant accès aux centrifugeuses de la centrale nucléaire de Fessenheim ? Vous visiteriez bien nos geôles 72h, on a quelques questions à vous poser, mais ce sera plus rapide si vous vous passez d’un avocat, donc c’est une formalité hein. En plus c’est super, vous êtes exempté de peine ! Bon il y aura un procès donc prévoyez quand même un petit budget avocat au cas où… oui en plus de celui pour remplacer la porte que nous venons d’enfoncer ».

Ça donne envie non ?

Rebondissement aujourd’hui comme l’explique Nextinpact, le signalement pourrait se faire directement à l’ANSSI, ce qui est en soi une bonne chose. Cette dernière pourra (ou pas), s’exempter de son obligation de dénonciation de délit… sympa non ?

Le bon côté de l’affaire, c’est que l’ANSSI ne sera probablement pas débordée par les signalements.

Moralité, si vous êtes lanceur d’alerte, lancez plutôt des chouquettes, si vous êtes chercheur en sécurité, évitez de trouver, et surtout, si vous trouvez… fermez là.

Sinon, vous pouvez toujours revendre vos 0day à Hacking Team, c’est immoral, ils les revendront à de parfaits salopards, mais au moins, vous ne risquez pas de garde à vue.

Ah ! Oui vous aussi vous vous demandez ce que va devenir notre article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles ? Ah mais ça on s’en fout ! Contre ça, il y a le bon vieux « gogogadgétobug ».

Allez, voici un petit exemple très actuel avec les LuxLeaks:

Étape 1 : nommer un « enquêteur » (enfin une auditrice interne) qui découvre les permissions non récursives sur un dossier d’un serveur de fichiers (niveau 1er trimestre de BTS info).

Étape 2 : faire gober au juge que c’est une faille informatique, un bug… alors qu’il s’agit d’un problème d’interface chaise/clavier bien connu, ici le classique « on a pas lu le chapitre permissions de la documentation avant de mettre en prod notre intranet ulta secure, mais on est sûr que c’est un 0DAY »… too easy.

Étape 3 : crier au piratage et faire condamner au motif de maintien frauduleux dans un espace public (on a testé pour vous).

La cyber sécurité française était au bord du gouffre, mais comptons sur le législateur pour nous faire faire un grand pas en avant.

Aujourd’hui s’est ouvert le procès des Luxleaks. C’est un procès hors norme, celui d’Antoine Deltour et Raphaël Halet, lanceurs d’alerte et Edouard Perrin, journaliste. Ils sont poursuivis pour «divulgation de secrets d’affaires ou de fabrication, violation du secret professionnel, vol et vol domestique». Je ne me lancerai pas dans une analyse juridique à la simple lecture des faits qui leurs sont reprochés même si j’ai l’intime conviction que ces trois personnes n’ont rien à faire dans le box des accusés.

Cependant, il y a quelque chose qui me fait bondir, c’est la confusion entretenue par les journalistes et les juristes entre un « bug » ou une faille informatique, et une faille humaine, qu’honteuse, une accusation fera adopter à l’opinion comme une « faille informatique ».

Rappel : Quand un administrateur système n’est pas fichu d’appliquer les bonnes permissions sur un dossier, sur des fichiers, il s’agit d’un bug HUMAIN.

La fonction d’un serveur de fichiers, par défaut, est … tenez vous bien… de servir des fichiers.

S’il y a une authentification à la racine, ça ne veut pas dire que tout ce qui se trouve sous la racine est forcément privé ! Les pages d’accueil de Facebook ou de Twitter disposent bien d’une authentification et pourtant, la majorité des contenus se trouvant sous la racine sont publics.

Une « faille » ou un « bug » informatique impliquerait que les accusés aient contourné une mesure d’authentification pour s’octroyer des permissions qu’ils n’avaient pas.

Or, ce que l’on peut lire ce matin, c’est ça :

Nous avons donc des docs scannés placés dans un dossier qui se nomme « confidentiel » mais dont les permissions récursives ne sont pas appliquées, ou pire, qui n’est pas lui même configuré avec les bonnes permissions. Tant et si bien qu’une recherche, sans autorisation particulière restituera ces documents scannés. Une simple recherche qui restitue des documents publics parce que de mauvaises permissions sont appliquées, outre le fait que ça me rappelle quelque chose, c’est, encore une fois, un comportement NORMAL, et non « bug » informatique, ou encore moins une « faille ».

Maintenant, que vous soyez journaliste ou juriste, merci d’éviter ceci :

• ici un avocat qui dans un article sur les backdoors (wtf ?) qualifie le résultat d’une recherche Google comme l’exploitation d’une faille ;
• un autre avocat qui qualifie de faille informatique une erreur humaine ;
• encore un avocat qui qualifie de « faille dans le système de sécurité » une erreur humaine ;
• encore et toujours un avocat qui qualifie de faille de sécurité une erreur humaine ;
• et le fin du fin se trouve sur Legalis puisqu’on apprend que « l’accès qu’il ne conteste pas, lui a, en fait, été permis en raison d’une défaillance technique concernant les certificats existants dans le système, défaillance que reconnaît l’ANSES« … bah tu m’étonnes qu’elle la reconnait vu que ça n’a rien d’une défaillance technique mais d’une défaillance bien humaine.

Bref tout ça pour vous dire, qu’avant d’écrire n’importe quoi, au risque de porter inutilement préjudice à des accusés, apprenez à faire la distinction entre une vulnérabilité technique qui aurait été exploitée de manière malicieuse et une erreur humaine d’un administrateur distrait qui n’a pas coché la bonne case et qui permet à n’importe quel utilisateur d’accéder à des documents.

En parlant de « bug » ou de « faille », vous condamnez Antoine Deltour, Raphaël Halet et Edouard Perrin dans l’opinion publique, et c’est le genre de bourde sémantique qui pèse lourd le jour d’un délibéré.

Reflets a déjà évoqué cet étrange grand écart intellectuel tenté par les éditeurs de presse qui consiste d’une part à demander à Google News de bien indexer tout leur contenu et d’autre part, à attaquer Google News qui leur volerait, qui leurs lecteurs, qui leurs recettes publicitaires… C’est au tour de News Corp de rejoindre officiellement la #TeamOuinOuin. Le géant qui publie entre autres choses le Wall Street Journal, s’associe à une plainte contre la position dominante (sans blague ?) de Google.

Mais ce que ne dit évidemment pas News Corp, c’est qu’il peut, s’il le souhaite, éviter l’indexation par Google de ses articles. S’il ne le fait pas, c’est que tout de même, quelque part, le géant de la presse y trouve son compte. Le désormais fameux fichier « robots.txt » des sites impose aux robots des moteurs de recherche de ne pas indexer tel ou tel contenu, pourvu que la volonté de l’éditeur soit au rendez-vous. Pour les quelques sites suivant de News Corp, la volonté de ne pas être indexé par Google n’y est pas évidente, d’autant que la volonté de ne pas être indexée par certains site, est elle, évidente :

 

L’antienne « si je n’ai rien à me reprocher, je n’ai rien à cacher » a finalement eu raison de la mobilisation des défenseurs des libertés individuelles, vent debout contre les différents projets de loi sécuritaires (Loi sur le Renseignement, projet de loi pénal, …). La population n’a pas rejoint leur indignation. Les opposants à ces projets n’étaient pas tous des informaticiens anarchisants. On peut citer par exemple le Conseil de l’Ordre des avocats de Paris et son bâtonnier Pierre-Olivier Sur, le Syndicat de la magistrature, qui ont violemment critiqué cette loi ouvrant la voie à l’installation des fameuses « boites noires », un élément de langage intégré dans le débat par le gouvernement.. Dans les faits, ces boites noires sont une infrastructure permettant de siphonner tout trafic Internet et de le stocker pour une utilisation ultérieure. Il est compréhensible que le grand public n’ait pas mesuré la portée de ce texte et les risques qu’il fait peser sur tous les citoyens. Après tout, le sujet est technique, obscurci par un jargon de bon aloi et semble destiné à « protéger » la Nation contre les actions terroristes. En revanche, il est tout à fait paradoxal de constater que les hommes et les femmes politiques n’aient pas envisagé ce qui va inexorablement survenir.

Vous avez aimé l’affaire Takieddine ? Vous allez adorer la deuxième saison de cette série. Petit retour en arrière… Ziad Takieddine est un intermédiaire dans de gros contrats internationaux, notamment des ventes d’armes. On le retrouve ainsi au cœur des affaires Sawari II (Arabie saoudite) et Augusta (Pakistan). Sa très embarrassante proximité avec des hommes politiques français, les commissions exubérantes empochées lors de la signature de ces contrats ont été mises à jour lorsque son ex-femme a confié le contenu de son ordinateur aux enquêteurs en charge du volet financier du dossier Karachi. Sans ces traces informatiques, tout cela aurait pu rester confidentiel.

Dans un avenir plus ou moins lointain, avec la mise en place des fameuses « boites noires », l’affaire Takieddine va ressembler à une anecdote. Rares sont les présidents ou les gouvernements n’ayant pas utilisé à leurs propres fins les outils mis à disposition par les services de renseignement. Des écoutes de l’Elysée sous François Mitterrand aux fadettes des journalistes du Monde dans l’affaire Bettencourt sous Nicolas Sarkozy, la liste est longue. Il y a fort à parier que les boites noires serviront un jour à un gouvernement pour obtenir des informations sur des opposants politiques.

Cette fois, il ne s’agira plus seulement d’affaires financières. Toute la projection numérique des vies des hommes et femmes politiques sera à la disposition des indélicats. Leurs préférences sexuelles ou leurs éventuelles infidélités, leurs achats douteux via Internet, leur usage de stupéfiants, les petits arrangements et autres calculs politiques, tout ce qui sera passé par mail, visio-conférence, par des serveurs Web, même les mails restés en brouillons et jamais envoyés seront à la porté de ceux auront la main sur les boites noires.

La récente affaire impliquant un pauvre internaute accusé à tort de multiples téléchargements, et même de pédophilie, devrait cette fois faire réfléchir à la fois le grand public et les hommes et femmes politiques qui signent des chèques en blanc sur des sujets éminemment techniques à un gouvernement désormais en roue libre sur ces sujets. L’internaute en question a été victime d’une machine : le système automatisant la livraison aux enquêteurs des données d’identification des abonnés par Numericable. Lorsqu’il ne parvenait pas à identifier un contrevenant supposé, le système informatique de Numericable fournissait automatiquement aux enquêteurs l’adressse IP de cette personne, totalement étrangère aux méfaits supposés.

Donner la main aux machines, c’est toujours une histoire qui finit mal, comme le démontre l’allégorie du film Terminator. Une idée que devraient d’ailleurs méditer ceux qui pensent avoir trouvé une martingale dans le high frequency trading…