La Thaïlande, depuis des années, alterne élans démocratiques coups d’états de la junte militaire, écrasant toute contestation. Suite à un énième coup d’état la junte a placé au pouvoir un gouvernement majoritairement militaire reflets de la ligne la plus dure de l’échiquier politique local en matière de répression. Ce gouvernement, dont un tiers de sa composition est militaire, va avoir le bonheur de (re)trouver à sa disposition une infrastructure de censure d’Internet. Le blocage des sites web est monnaie courante depuis 2006/2007 mais s’oriente depuis 2010 vers une censure politique franche. Le risque de voir la Thaïlande basculer dans la surveillance numérique massive n’a jamais été aussi grand, ce n’est plus maintenant qu’une question de moyens, donc de temps.

Dans ce nouveau gouvernement thaïlandais, on retrouve quelques têtes connues… et pas des plus tendres, comme le général Anupong Paochinda au ministère de l’intérieur, responsable direct d’une répression meurtrière des chemises rouges en 2010. C’est donc le général Anupong Paochinda qui se voit confier le maintien de l’ordre dans le pays. Niveau méthodologie, il ne va pas falloir s’attendre à beaucoup de changement de sa part et de ce gouvernement en général. Mais ce sont aujourd’hui près de 25 millions d’internautes qui vont devoir, plus que jamais rester sur leurs gardes.

La situation de la censure sur Internet en Thaïlande n’est pas nouvelle, mais ils semble aujourd’hui inéluctable, que le royaume, où la police réitérait au printemps dernier que tout like Facebook d’un message contre la junte était un crime, va chercher à ajouter à la censure une surveillance accrue du réseau, et chercher à développer son infrastructure avec l’aimable collaboration des fournisseurs d’accès locaux qui n’ont pas franchement le choix.
A ce jour, la Thaïlande est principalement connue pour user de diverses techniques de blocage de sites web (blocage DNS et redirections web). Citizen Lab a d’ailleurs mis en évidence (pdf) l’utilisation de proxys et de Packet Shappers d’une vieille connaissance de Reflets… BlueCoat.

Avec ce nouveau gouvernement affichant la ligne la plus dure en matière répressive, la Thaïlande est autant à surveiller politiquement que numériquement. C’est bien un marché qui est en train de s’ouvrir pour les entreprises qui vendent de la surveillance électronique de masse.
Internet risque de devenir un outil rêvé pour la junte pour prévenir toute manifestation et autres formes d’opposition. Les journalistes et blogueurs thaïlandais, plus que jamais, sont en danger.

Alors qu’Orange et la RATP annoncent un partenariat pour proposer un Wi-Fi gratuit dans les Roissybus, il n’est pas inutile de rappeler la notion de « gratuit »… selon les grandes entreprises.

Possédée a 30% par l’État, premier FAI français à assumer le DPI (deep packet inspection : un protocole visant à analyser en profondeur les « paquets » de données), Orange fait figure de cas d’école en France pour la neutralité du net.

A plus grande échelle on peut prendre le cas Google, qui en multipliant les services « gratuits » de qualité s’est assuré une position ultra dominante sur la publicité en ligne avec sa régie publicitaire Adsense. Cette position lui permet de brasser une quantité astronomique de données sur de nombreux sites et de les mettre en relation afin de mieux vous cerner et d’établir un profil de vos goûts et habitudes.

Exemple : vous cherchez à acheter un nouveau smartphone.

Vous cherchez un modèle, ou un site revendeur. Via Google.

Une fois sur le site, Google vous suit toujours grâce aux cookies et autres systèmes de traçage, et récolte patiemment toutes vos recherches.

Les conséquences sont immédiatement visibles : quelques instants plus tard apparaissent des publicités pour smartphones sur un autre site que vous visitez, lui aussi fonctionnant avec Adsense.

Que vous achetiez ou pas n’est pas la question, il s’agit de cerner ce qui vous intéresse et de créer un profil qui permettra de vous proposer des produits susceptibles de vous intéresser.

Certains apprécient, d’autres s’en offusquent. Ce qui est certain c’est que Google sait qui vous êtes (via Gmail, Google+…) et ce que vous aimez : on cautionne ou pas, mais chez Reflets nous préférons exposer clairement les pratiques pratiques plus ou moins bien camouflées, généralement inconnues du grand public.

Pour revenir aux Roissybus, l’intérêt d’Orange est de proposer un service gratuit donc difficilement refusable, et d’en échange faire main-basse sur les données qui transiterons dans ces bus. On notera aussi la présence dans ce partenariat de Media Transports, une régie publicitaire appartenant au 3ème groupe mondial de communication (Publicis). Souriez, vous êtes fichés.

Facebook, Microsoft, Google, Orange : toutes ces grandes multinationales proposant des services gratuits ont un business model à respecter et des actionnaires à rémunérer.

Vos adresses mail, numéros de téléphone sont utilisées plus ou moins correctement (spam…) pour remplir des bases de données qui n’ont pour limites que ce que vous renseignez…  vous-mêmes…

 

…et que tous les journaux enchaînent le copier/coller.

Attention, voici une flopée de liens. Ne les cliquez pas tous, leur contenu est identique. Seul le titre change, probablement sous l’action d’un stagiaire estival.

• Le Monde : Qui sont les députés les plus assidus à l’Assemblée ?
• Le Nouvel Obs : Les écologistes sont les plus assidus à l’Assemblée, selon « Regards Citoyens »
• Boursorama (oui oui) : Les écologistes sont les plus assidus à l’Assemblée, selon « Regards Citoyens »
• Huffington Post : Les députés les plus assidus à l’Assemblée sont les écologistes
• Libération : Les écolos, députés les plus assidus

Allez, j’exagère un peu, l’article du Huffington Post a ajouté une réaction d’un député à la dépêche AFP d’origine. Et le Nouvel Obs a ajouté un diaporama des 10 députés les plus assidus (selon eux). Vous noterez la recherche dans la reformulation des titres…

Il manque plusieurs choses à ces « articles » (J’ai du mal avec ce nom. « Tas de nombres en vrac » serait plus adapté.)

Méthodologie

C’est bien de publier des chiffres. Ça change de tous ces articles qui ne sont que des éditoriaux basés sur le ressenti d’un auteur. Pour autant, la méthodologie de création de ces chiffres n’est jamais neutre. D’ailleurs, l’association Regards Citoyens reconnaît que les données qu’ils utilisent sont biaisées, mais qu’ils font avec ce qu’on leur donne. Ils font aussi beaucoup pour que les deux chambres de notre Parlement communiquent plus et mieux sur leur activité, big up à ces bénévoles qui font bouger les choses !

Premièrement, les données ne proviennent que du site Internet de l’Assemblée nationale. C’est un impératif pour permettre une génération automatique du site nosdeputes.fr. Les conséquences sont nombreuses. Par exemple, le calendrier des fermetures de l’Assemblée n’est disponible qu’en HTML ou en PDF. Regards Citoyens a donc créé un algorithme qui relève l’activité parlementaire, et en déduit si une semaine était ouverte ou bleue ou fermée.

Deuxièmement, leur catégorisation est issue de choix éditoriaux. Les interventions des députés sont classés en deux types : courtes, et longues lorsqu’elles dépassent 20 mots.

Vous êtes un député qui veut faire monter son score d’interventions longues ? Parsemez votre intervention de propos polémiques, qui vise l’autre camp. Vous provoquerez ainsi des réactions, qui seront notées au compte-rendu. Comme elles s’inséreront dans un discours de plusieurs centaines de mots, chaque partie de votre discours sera considérée comme une intervention longue.

Troisièmement, l’existence du classement modifie le comportement des députés. Il y a notamment un concours stupide sur le nombre de questions écrites, qui n’existerait pas si les recordmen ne bénéficiaient pas d’une exposition médiatique de ce fait. Le système est à tel point pénible que le président de l’Assemblée nationale va plafonner le nombre de questions qu’un député peut poser ! Cette information relativise beaucoup le « top » des députés questionneurs par écrit, non ?

Quatrièmement, tous les députés ne sont pas égaux. Les travaux à l’Assemblée nationale sont systématiquement présidés par un député. Le président ou un des 6 vice-présidents dans l’hémicycle, un des 9 présidents de commission lors… du travail en commission, merci de suivre. Ces 16 députés sont donc ceux qui introduisent, animent et concluent les débats. Devinez qui on retrouve dans le top des députés qui parlent le plus ?

Les 7 présidents de séance sont ceux qui font le plus d’interventions longues dans l’hémicycle. Ce qui permet de titrer que le recordman est un UMP. Sans expliquer pourquoi…

Prenons le groupe écologiste, tant vanté comme le plus assidu. Ce groupe est aussi recordman du nombre moyen d’interventions longues dans l’hémicycle : 217 par député, quand le deuxième groupe (GDR) atteint péniblement 163, et le troisième (UDI) 120. Les trois autres groupes ne dépassent pas 92. C’est impressionnant, non ? Ben non. L’Assemblée compte deux grands groupes, UMP (199) et PS (290). Les quatre autres sont 30 (UDI), 18 (Ecolo), 17 (RRDP) et 15 (GDR). Devinez lequel des petits est le seul à compter un vice-président dans ses rangs ? Eh oui, ce score moyen de 217 est tiré vers le haut par les 949 interventions longues de Denis Baupin. Sans lui, la moyenne serait de 174. Nettement plus proche des 163 de GDR, non ?

Le contexte, cette valeur ajoutée du journaliste

Il est très facile de reprendre des chiffres sans réfléchir. La reformulation de dépêches AFP sans information contextualisée ne produit pas une information digne de ce nom. Cette course au titre qui fait cliquer, sans proposer de fond ensuite est franchement déplorable et creuse un peu plus la tombe dans laquelle s’enterre toute seule la presse. La meilleure comparaison qui vienne à l’esprit, ce serait d’avoir plusieurs grands restaurants qui serviraient la même bouillie produite en usine.

Pour ne pas tirer davantage sur l’ambulance, je n’aurai qu’une seule chose à dire aux rédacteurs en chef de ces journaux : la prochaine fois que vous vous demanderez comment stopper la chute de vos ventes, réfléchissez à ce que vous apportez réellement à vos lecteurs.

Basculer vers l’autonomie énergétique est une démarche qui appelle de nombreuses questions. Ou affirmations. L’une des plus fréquentes est celle de la « rentabilité ». « Si je passe au tout solaire, sans EDF, il me faudra 8 ans pour que ce soit rentable » est une phrase fréquemment entendue ou lue. Certains vont parler de 10 ans, 12 ans avant « rentabilité ». Le calcul effectué est assez simple : additionner sa note EDF sur un an, celle de l’installation solaire, et diviser cette dernière par le montant EDF. Le nombre qui en ressort  est censé correspondre aux années passées à payer EDF jusqu’à atteindre le montant de l’installation solaire. Lorsque l’échéance est atteinte, c’est un seuil où l’on commence à « gagner » de l’argent, ou tout du moins, en économiser. L’électricité deviendrait alors « gratuite ». Pourtant, la démarche de l’autonomie énergétique ne fonctionne pas de cette manière. Particulièrement aujourd’hui.

Une époque particulière

Nous ne vivons pas en 1971, ni en 1979, ou encore en 1985, 99, ou même 2010. Toutes ces dates peuvent correspondre à des périodes bien particulières : celle où l’énergie nucléaire était à son apogée en France, celle de l’après choc pétrolier, des signatures d’accords financiers mondiaux, d’avant la catastrophe de Tchernobyl, d’avant la bulle Internet, du 11 septembre —et plus encore, d’avant la catastrophe de Fukushima. L’énergie électrique nucléaire, le pétrole ou le gaz coûtent de plus en plus cher. Leurs limites ont été atteintes, et surtout, sont connues. La compétition mondiale pour l’énergie s’est transformée en guerre pour l’énergie, avec des morts et beaucoup d’enjeux qui affectent durablement les populations d’un point de vue économique, celles des pays riches comprises, peu habituées  à se priver.

Le prix de l’essence ou du gasoil ne baissera pas. Tous les indicateurs économiques mondiaux le démontrent : nous sommes définitivement entrés dans une ère du pétrole cher. L’électricité nucléaire suit le même schéma, mais pour d’autres raisons : Fukushima a obligé, à juste titre, à un renforcement de la sécurité du parc nucléaire, avec des investissements très coûteux à la clef. Les centrales sont vieillissantes, et leur démantèlement est lui aussi très onéreux. En construire de nouvelles est une gageure technologique que le chantier de l’EPR de Flamanville souligne clairement, avec un triplement du prix initial de l’ouvrage. Le prix du Kwh domestique a augmenté de 30% en 6 ans. Les projections pour les 5 ans à venir indiquent une augmentation comparable, sinon plus importante. En cause ? La nécessité de rémunérer les actionnaires ou investisseurs, cumulée à un coût de  maintenance et de sécurisation des centrales de plus en plus élevé. Avec des inquiétudes importantes quant à des scénarios de sécheresse trop fortes ou des hivers trop froids qui pourraient mener à des black-out régionaux en France, selon un rapport de RTE en 2013. L’époque est donc très particulière, et questionner l’autonomie individuelle solaire en termes du seul calcul de rentabilité financière semble un peu limité. Ce questionnement serait possible si nous étions à une autre époque, avec une progression normale des prix et des salaires, des enjeux énergétiques moins forts, de prix des infrastructures facilement finançables, d’une géopolitique moins complexe, d’une démographie plus douce, d’une économie mondiale moins agressive. Mais ce n’est pas le cas. Nous ne sommes pas en 1971…

Autonomie électrique : juste pour éviter les factures ?

Croire que l’autonomie électrique d’un habitat est seulement pour son propriétaire une manière d’éviter de payer des factures EDF procède d’une vision très étroite du sujet. Tout comme laisser croire qu’on participe à « sauver la planète » en produisant soi-même son électricité solaire. L’autonomie énergétique est avant toute chose une démarche intellectuelle, politique, philosophique, en lien avec la liberté, et de façon plus générale, les libertés. Comme le logiciel libre empêche qu’une « œuvre codée », collective ou non, ne devienne la propriété d’un petit nombre qui obligerait le reste à « passer par lui » pour en bénéficier, l’autonomie électrique redonne le pouvoir à celui qui la crée.

Ce pouvoir va au delà du simple fait de ne devoir rien à personne pour allumer des lumières et faire fonctionner des appareils électriques. Il va au delà de ne pas polluer lorsqu’on consomme de l’électricité. Ce pouvoir est celui de ne pas être soumis. Asservi. Pas simplement à une entreprise, mais à un ensemble : un système et des valeurs. La maîtrise technique est un moyen de changer d’état d’esprit, d’appréhender le rapport à la société, à l’Etat, d’une autre manière. Dans un système où l’infantilisation des citoyens est de plus en plus poussée à grands coups de normes,  de règlementations censées protéger chacun de soi-même et des autres, produire son électricité est une voie excessivement libératrice. Qui redonne du sens, et replace l’individu comme adulte.

A l’heure de la « transition énergétique »…

Le DiY peut devenir une mode gentillette, avec de gentils hypster bricolant des « trucs » et des « bidules » aidés d’imprimantes 3D, tout en cherchant à créer un « modèle économique » basé sur le concept. Comme déguiser un Techshop en FabLab ? Ce serait dommage, puisque le DiY n’est avant tout qu’une seule et unique chose : une démarche. Quotidienne. Une façon de penser le monde et une façon de s’y inscrire dans les actes. Comme de se ré-emparer des outils de production. La création d’électricité [solaire ou autre] autonome est donc pleinement reliée au DiY dans le sens où il faut penser le système électrique « par soi-même », le faire produire « par soi-même », le maintenir « par soi-même », le faire évoluer « par soi-même ». Le but n’étant pas d’en retirer des avantages financiers, d’en faire un business. Comme d’habitude.

Le plan de transition énergétique qui vient d’être lancé en pâture aux médias et sera prochainement discuté dans les chambres parlementaires est-il une mascarade ? La classe politique veut-elle changer de modèle énergétique ou simplement montrer sa bonne volonté ? Cette transition voulue permettra-elle de sortir du système ultra centralisé et d’asservissement de la population à l’énergie ? Libre à chacun d’en juger, mais comme à chaque fois, de nombreux indices laissent penser que même si une volonté de « mieux faire » est présente, la finalité ne sera pas d’inciter les citoyens à plus d’autonomie et moins d’asservissement. Ce qui est dommage, car c’est là que se situe l’enjeu de ce siècle.

Et certainement pas dans un « verdissement » supposé ou des « économies d’énergie » forcées ou incitatives.

Article reliés :

DiY : une maison bio-climatique autonome en énergie, why not ?

DiY de maison bioclimatique : autonomie solaire électrique effective

Electricité libre : la transition énergétique, c’est maintenant 

Cadeau bonus pour illustrer cet article, parce que nous sommes sur Reflets, et que même les chose les plus sérieuses méritent aussi d’être traitées avec humour : « The Jean-Jacques Band, le punk des campagnes » .

 

Les programmes de surveillance ne sont pas une nouveauté… En 1988, le journaliste Duncan Campbel révélait l’existence d’un programme de renseignement, Echelon, dans un article pour The New Statesman qui s’intitulait « Somebody’s listening« . En 1996, c’était le journaliste néo-zélandais Nicky Hager qui publiait « Secret power » sur l’implication de son pays dans le programme. En 1999, suite à une demande du Parlement Européen, Duncan Campbell rend un rapport intitulé « Interception capabilities 2000 » pour le STOA (Science and Technology Options Assessment du Parlement Européen — traduction française disponible sous le titre « surveillance éléctronique planétaire » aux éditions Allia).

Le projet Echelon désignait un système mondial d’interception SIGINT via les satellites, et regroupant les États-Unis (NSA), le Royaume-Uni (GCHQ), le Canada (CSTC), l’Australie (DSD) et la Nouvelle-Zélande (GCSB) dans le cadre du traité UKUSA.

Pour ne pas rester à la traîne, la France a rapidement mis en route un projet similaire, surnommé « frenchelon« .

Plus près de nous, en 2013, Edward Snowden, (ex-)analyste de la CIA et de la NSA décide d’alerter l’ensemble de la planète sur les nouvelles capacités d’écoute et d’interception des États-unis et de ses alliés. Mais vous connaissez cette histoire…

Fin 2013, ne trouvant aucune base de données des différents programmes, La Quadrature du Net commence, grâce à quelques bénévoles, le site nsa-observer.net qui regroupe l’ensemble des programmes de la NSA et du GCHQ provenant des fuites de Snowden.

premier tour d’horizon

Même si l’immense majorité des programmes est sous l’égide de la NSA (National Security Agency) et donc des États-unis, certains programmes viennent d’autres pays (en particulier du Royaume-uni via le GCHQ). La NSA classe ses pays partenaires en 3 grandes familles :

• Five Eyes (FVEY / AUSCANNZUKUS)
  • États-unis (indicatif pays : USA – agence : NSA),
  • Royaumes-unis (indicatif pays : GBR – agence : GCHQ),
  • Nouvelle-Zélande (indicatif pays : NZL – agence : GCSB),
  • Canada (indicatif pays : CAN – agence : CSEC),
  • Australie (indicatif pays : AUS – agence : ASD).

• Nine Eyes : comprend Five Eyes avec en plus : le Danemark, la France, les Pays-bas et la Norvége.
• Fourteen Eyes (SSEUR – Sigint Senior EURope) : comprentd les Nine Eyes avec en plus l’Allemagne, la Belgique, l’Italie, l’Espagne et la Suède.

La collecte de données

Les services récupèrent tout ce qu’ils peuvent, c’est à dire dans le désordre :

Tout ce que vous faites avec un navigateur (sans oublier sa version, la langue, les plugins installés…), les flux voix (VoIP, GSM, téléphone fixe…), fax, emails, chats (MSN-like, Jabber…), vidéos (que ce soit en provenance de youtube, de skype,…), photos, fichiers (en transferts, stockés, …), DNI (Digital Network Intelligence), DNR, empreintes des réseaux wifi (cf. VICTORY DANCE en dessous), activités sur les réseaux sociaux, détails des comptes google/yahoo/outlook…), et l’on en passe.

Pour faire simple, tout ce que vous faites laisse forcément des traces quelque part. Et c’est ce qu’ils cherchent, collectent, et parfois stockent. Voici donc la première partie de ce tour d’horizon concernant quelques programmes de la NSA et du GCHQ.

UPSTREAM / TEMPORA / RAMPART-(x)

Aussi connu sous le nom de « ROOM641A« , le programme UPSTREAM a commencé en 2003, a été révélé en 2006 et consiste à la collecte via des « écoutes » sur les câbles de fibres optiques (de manière très simplifiée). Le projet UPSTREAM concerne la collecte sur l’ensemble des fibres optiques trans-océaniques, qui permettent l’acheminement des communications internationales, comme Internet, les appels, les SMS…

UPSTREAM englobe beaucoup de sous-programmes qui correspondent à des régions du monde. Ils collectent différentes données (DNI, DNR, métadonnées, contenu, voix, fax…). Pour plus de détails sur UPSTREAM et ses sous-programmes, le blog electrospaces est une très bonne source d’information.

TEMPORA est l’équivalent d’UPSTREAM pour le Royaume-uni, et RAMPART l’équivalent en coopération via certains pays Européens.

PRISM

PRISM est un accès direct aux serveurs de certaines sociétés américaines : Microsoft (+Skype), Yahoo, Google (+Youtube), Facebook, PalTalk, AOL, Apple…

Ce programme permet de faire des requêtes concernant des personnes ou des groupes précis concernant les emails, les chats/vidéos, les photos, les données stockées (coucou le cloud), de la VoiP, etc. Il suffit de lister les différents services de ses entreprises pour avoir une idée de qu’ils peuvent avoir. PRISM est donc utilisé pour « cibler » quelqu’un en particulier.

MUSCULAR

Ce programme a fait beaucoup parler de lui quand il a été rendu public, et pour cause : il permet l’interception des données entre les datacenters de Google (et de Yahoo) ce qui permet, entre autre, d’éviter les connexion HTTPS clients/serveurs. Google a chiffré ses communications inter-datacenters depuis.

VICTORY DANCE

Coopération entre la CIA et la NSA au Yémen. Ils ont listé les empreintes wifi de presque toutes les grandes villes Yéménites via des drones (si vous ne voyez pas à quoi ça peut servir, cf. XKEYSCORE).

Souvenez-vous de ce que les Google Cars ont fait pendant un bon moment dans le reste du monde et ce que cela a pu devenir depuis…

MYSTIC

MYSTIC est un ensemble de programmes qui collecte des données (le plus souvent provenant des téléphones et/ou des GSM) dans certains pays. On peut ainsi noter ACIDWASH (qui a collecté entre 30 et 40 millions de métadonnées par jour en Afghanistan), DUSKPALLET (qui vise les GSM au Kenya), EVENINGWEASEL (wifi mexicain) et SOMALGET.

SOMALGET permet de « monitorer » les systèmes de télécommunications d’un pays (via des entreprises américaines implantées localement le plus souvent). Ce programme a visé les Bahamas (sans doute pour servir de test avant de passer à plus gros) puis l’Afghanistan où il a collecté et stocké TOUS les appels téléphoniques, aussi bien localement que vers l’international.

Mais que fait-on des données après ?

Voici justement quelques exemples.

ANTICRISIS GIRL

Via des programmes comme UPSTREAM / TEMPORA / RAMPART qui permettent de faire de la collecte passive, il est possible de collecter les adresses IP des personnes se connectant à un site, par exemple au site wikileaks.org ou celles des auteurs de recherches Google ayant permis l’accès au site.

XKEYSCORE

XKEYSCORE consiste en un ensemble d’interfaces et de bases de données qui permettent de sélectionner certaines données collectées via différents moyens (et il y en a beaucoup).

Voici quelques exemples des possibilités de ce programme :

• trouve-moi tous les allemands (langue du navigateur) qui sont en Afghanistan (géolocalisation de l’IP) et qui ont été sur Youporn et sur Facebook dans les dernières 24h.
• marque comme « extrémiste » toutes les personnes (connexion IP) allant sur le site du projet Tor ou sur celui du projet Tails. Même chose si la source télécharge Tor.

Ne vous leurrez pas, ce dernier exemple est bel et bien réel, je vous laisse voir par vous même :

• XKeyscore exposed: How NSA tracks all German Tor users as ‘extremists’
• The NSA Is Targeting Users of Privacy Services, Leaked Code Shows.

OPTIC NERVE (GCHQ)

En 2008, ce programme a collecté une photo toutes les 5 secondes provenant de chaque flux vidéos des chat Yahoo (soit environ 1.8 millions d’utilisateurs sur une période de 6 mois). Les documents indiquent qu’il y a un avertissement pour les opérateurs car l’on y trouve entre 8 et 12% de « nudité » (à prendre au sens large).

Pour information, en 2008 déjà, le GCHQ indiquait faire des tests pour de la reconnaissance faciale automatique, ainsi que pour la XBOX360. Nous sommes maintenant en 2014, parions que c’est aussi le cas pour Skype) ainsi que pour Snapchat. N’oubliez pas que la X BOX ONE a une caméra et un micro allumés 24/7, avec de la reconnaissance faciale/vocale par défaut).

Mais ce n’est pas tout, la NSA espionne aussi certains sites pornos.

Et oui ! Et il parait que c’est pour la lutte contre le terrorisme (comme le reste quoi…). Par exemple, pour pouvoir faire pression sur un intégriste musulman parce qu’il a été « vu » en train de regarder du porno.

Une cible ? Que peut-on faire ?

QUANTUM (à lire en écoutant Attack !)

Une fois identifiée, une « cible » devient potentiellement autre chose qu’une simple « cible d’écoutes ». Elle peut devenir une cible d’attaques personnalisées qui feront de ses outils informatiques de véritables passoires.

Pour rediriger une cible vers un serveur FOXACID, la NSA réalise un Man-in-the-Middle (ou Man-on-the-Side) sur une connexion vers des serveurs de sociétés US (Google (Gmail), Yahoo, Linkedin..) grâce à l’emplacement de noeuds (TAO nodes) à des endroits clés sur le réseau (comprendre : « sur les dorsales de certains FAI »). La NSA utilise donc ses noeuds pour permettre des redirections à la volée vers les serveurs FOXACID, qui lanceront eux-mêmes différents types d’attaques selon la cible et les besoins.

Il existe beaucoup de sous-programmes pour QUANTUM, chacun visant quelque chose en particulier, comme QUANTUMBOT pour IRC, QUANTUMINSERT (implantation de malware – utilisé dans le hack de Belgacom), QUANTUMCOOKIE (force les cookies dans le navigateur ciblé), QUANTUMSPIM (messagerie instantanée, comme MSN ou XMPP)…

HUNT SYSADMINS (à lire en écoutant « a bullet in your head« )

ATTENTION : pour faciliter la lecture, la partie technique a été "coupée", 
merci de suivre les liens pour approfondir ! C'est TRÈS intéressant !

Lalecture des posts sur un forum interne d’un opérateur de la NSA qui s’intitule « hunt sysadmins » est édifiante… Cet opérateur raconte que le meilleur moyen d’avoir accès à des informations est de « passer » par les administrateurs systèmes qui ont accès aux serveurs ou au routeurs (possibilité de mettre la main sur la topologie des réseaux, trouver des configurations, obtenir des accès, des emails…).

Il explique ainsi comment la NSA collecte PASSIVEMENT toutes les transmissions via le protocole telnet (programme DISCOROUTE). Oui, telnet le protocole développé en 1968 (dans la RFC 15, c’est dire que c’est vieux !), absolument non sécurisé (aucun chiffrement), et qui est apparemment encore pas mal utilisé pour administrer des routeurs à distance.

Dude! Map all the networks!!!
    (l'opérateur de la NSA en question)

Il explique alors comment identifier un administrateur système, trouver son webmail et/ou son compte Facebook (oui, oui) et de là, utiliser la famille QUANTUM pour réaliser une attaque et avoir un accès à sa machine ET/OU au(x) routeur(s).

Et là, comme tout le monde, tu te dis « Moi j’utilise SSH \o/ »

Sauf qu’il explique AUSSI comment identifier une personne ayant accès à un serveur en SSH.

En clair : on peut deviner qui a vraiment accès à un serveur selon la taille des paquets qui passent et le temps de connexion.

Une fois la source (via l’IP) identifiée, vous pouvez voir (par exemple avec XKEYSCORE) les connexions à des webmails, Facebook (ou n’importe quoi qui peut l’identifier), et là, PAN ! Tu peux le QUANTUM-ifier \o/

Et il termine gentiment sur le pourquoi et comment prendre la main sur un routeur (fort instructif aussi).

ATTENTION : encore une fois, TOUT le document est disponible en ligne, et sa  lecture est obligatoire si vous êtes sysadmins.

INTERDICTION

C’est tout simplement la possibilité pour la NSA d’intercepter un colis (comme l’ordinateur que vous venez de commander en ligne), d’installer ce qu’ils veulent dessus (comme un firmware persistant dans le BIOS, un composant permettant à un appareil de la famille d’ANGRYNEIGHBOR (qui porte toujours aussi bien son nom) de fonctionner…).

Il suffit de jeter un coup d’oeil au catalogue pour avoir une idée de ce qu’ils peuvent faire.

Et pour finir…

« le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire. » (Albert Einstein)

Après ce tour d’horizon rapide (il y a plus de 400 programmes sur nsa-observer.net), tout le monde aura compris que cette voie est dangereuse. Il est impossible de prévoir qui décidera de son utilisation demain, ni même aujourd’hui.

Nous ne pouvons pas faire confiance aux gouvernements et encore moins aux entreprises pour assurer notre sécurité et notre vie privée.

Nous pouvons, par contre, nous appuyer sur la société civile (comme l’EFF (eff.org) ou La Quadrature du Net, les lanceurs d’alerte (comme Chelsea Manning ou Edward Snowden) et sur des outils qui ne nous trahiront pas, comme les logiciels libres.

La cryptographie fonctionne ! Et c’est une des nouvelles importantes de ces révélations. Il existe des tutoriaux partout sur le net pour se mettre à chiffrer ses communications. C’est le cas d’OTR pour Jabber (messagerie instantanée), SSL/TLS pour à peu près tout (mails, chat,…), GPG (qui demande un niveau technique un peu supérieur), Tor…  Il est également recommandé de venir à des cryptoparty / café vie privée pour apprendre à s’en servir.

Pour autant une confiance aveugle dans ces outils, surtout pris séparément, n’est pas recommandée. A chaque parade développée par la communauté des internautes, les services de renseignement comme la NSA ou les sociétés privées spécialisées dans la surveillance de masse, développent des contre-parades en quasi temps réel. C’est sans doute à celui qui sera le plus inventif. Gageons que l’intelligence collective du réseau gagnera à la fin…