Tout savoir (ou presque) sur Big brother
Fantasmes ou frayeurs réelles ? Le 12 avril, Le Monde consacrait sa une au "big brother du renseignement français" en affirmant que les services de renseignement disposaient d'un "programme secret de surveillance" permettant "d'intercepter et de stocker des milliards de données et de communication". Une information censée alimenter la crainte d'une surveillance généralisée au moment où le parlement se penche sur la nouvelle loi renseignement. Pour faire la part des choses entre les risques et les fantasmes de cette loi et des systèmes de surveillance déjà en place, nous avons invité Eduardo Rihan-Cypel, député socialiste, porte-parole du PS et membre de la commission de la défense nationale et des forces armées, Alexandre Archambault, ancien cadre chez Free, et Andrea Fradin journaliste à Rue 89 et auteur d'un article sur le sujet.
Abonnez-vous pour pouvoir commenter !
si vous êtes déjà abonné Connectez-vous Connectez-vous
Derniers commentaires
http://desencyclopedie.wikia.com/wiki/Algorithme_de_Jean-Pierre_Pernaut
Ben si !
Par contre on peut dire : "Ce n'est pas parce que c'est au PS, que c'est démocratique !"
Visiblement le monsieur ne connait pas grand chose techniquement, et ne sait pas vraiment concrètement comment tout ça se met en place.
Comment peut-il en comprendre sérieusement la portée.
D'où l'interrogation, les experts invoqués pour mettre ces lois en place n'ont-ils pas un pouvoir effrayant?
En serait-il de même dans les autres domaines, je pense à la santé à l'éducation, à l'économie, où le diable des lois (de plus en plus fourre-tout) est souvent dans les détails?
Quid des ministres et députés, sont-ils vraiment des crétins, ou font-ils semblant de ne pas comprendre pour respecter la ligne du parti?
"C'est le boulot des services de faire la part de ce qui les intéressent et de ce qui les intéressent pas, des bonnes pistes et des mauvaises pistes."
Tout est dit... le respect des libertés individuelles... c'est le boulot des services...
Nous ne pouvons qu'approuver un programme qui sécuriserait notre patrie !
Bon point pour la gauche ! (pour une fois )
Et pourtant j'ai aimé l'internet sans contraintes ...
Ce message a été supprimé suite à la suppression du compte de son auteur
Et puis tout devient clair quand il nous parle de DPI n'accédant pas au contenu applicatif: en fait je pense qu'il ne rentre pas dans les détails parce qu'il ne doit pas y comprendre grand chose.
L'évolution des lois de renseignement de plus en plus intrusives et des lois policières de plus en plus répressives alliés à la perte de pouvoir du judiciaire et à l'asservissement des médias de masse sont des signes qui ne trompent pas !
Espéront que les citoyens sauront si opposer à temps peu importe la manière nécessaire !
Une recette de cuisine est un algorithme.
La vacuité du discours d'Eduardo Rihan-Cypel donne une petite idée de la pertinence de la commission de la défense nationale et des forces armées.
Il était où d'ailleurs Eduardo le 15 avril ? Il avait piscine ?
Le plus intéressant dans cette émission et le débat national depuis quelques jours c'est l'utilisation du mot algorithme par les journalistes non spécialisés et les hommes politiques: on a l'impression qu'un algorithme est un truc un peu flou mais très puissant sur lequel sont projetés tous les fantasmes sur ce qui peut être fait avec des ordinateurs. Est-ce qu'un algorithme est une machine? un code ou des codes? Est-ce que ça utilise le data-mining? ou peut-être le big-data? Est-ce que c'est de l'intelligence artificielle?
On a aussi l'impression que les gens qui utilisent le mot entretiennent le flou à la fois à dessein (parce que ce truc mystérieux et super puissant est bon pour l'histoire qu'ils racontent) et parce qu'ils ne sont pas compétents pour savoir exactement de quoi ils parlent.
https://reflets.info/agent-de-double-langage/
comme il le précise, les hébergeurs peuvent menacer de quitter le pays, pour les FAI (qui se sont pas beaucoup exprimés), c'est plus compliqué.
En effet tous les webmails utilisent SSL aujourd'hui (depuis les attaques sur les boites mail d'opposants au régime iranien d'ailleurs).
Donc, il faut soit :
1/ Faire un "man in the middle" SSL/TLS de façon active sur le réseau. On est pas dans le passif.
2/ Compter sur une mauvaise configuration SSL (pas de DH/ECDH), capter tout le trafic chiffré de Hotmail, Gmail et consorts et demander la clé RSA du serveur au fournisseur (ce qui permet de déchiffrer les communications de tous les utilisateurs sans restriction).
Une alternative au 2 est un éventuel décryptage des communications capturées sur la plateforme de cryptanalyse. C'est improbable si le site est bien configuré et se prête plutôt à un traitement ciblé: déchiffrer une communication éventuellement, déchiffrer toutes les communications en masse c'est improbable.
Le problème est d'ailleurs le même pour Facebook, Twitter ou équivalent. Aujourd'hui SSL est universellement nécessaire et utilisé pour sécuriser les applications Web (sinon très vulnérables, en particulier depuis les accès Wifi publics). Dès que SSL est actif, le réseau cesse de voir le contenu de la navigation sur le site.
Au final, c'est un cas ou il est beaucoup plus simple de demander au fournisseur de service (Google, Microsoft, Yahoo...) de fournir le contenu et donc probablement un mauvais exemple d'analyse de comportement non ciblée.
Un tel dispositif est probablement plus efficace pour récupérer le trafic complet d'un suspect et l'analyser hors ligne que "trouver" des terroristes inconnus via de l'analyse de méta-data.
Dans l'émission, on parle des 7 couches, ce sont les 7 couches du modèle OSI qui décrit le fonctionnement d'un réseau informatique : physique (câble coaxial, fibre optique, etc.), liaison (où des machines proches se reconnaissent), réseau (où des machines lointaines se reconnaissent), transport (où on crée une connexion entre deux machines), session (où on maintient dans le temps une connexion), présentation (chiffrement, formatage de données dans la connexion) et application (mail avec SMTP, page web avec HTTP, etc.). M. FAI est sensé travailler sur les 5 premières et ne rien savoir des deux dernières qui sont la responsabilité des fournisseurs de service ; M. FAI est sensé vous connecter à une machine distante et maintenir cette connexion, ce que vous mettez comme données dans cette connexion, il n'est pas sensé le savoir.
Par exemple, si vous effectuez une connexion sécurisée à un site internet (en https avec le petit cadenas), M. FAI vous ouvre une connexion sur un serveur à une porte particulière, mais ne comprend rien à ce que vous mettez dedans car les données sont cryptées de telle façon qu'en théorie seul vous et le serveur puissiez les lire (c'est dans les couches 6 et 7). Du coup, si les algorithmes des services de renseignement se contentent de regarder dans les tuyaux des FAI, ils ne verront rien de ce qui est crypté - à moins d'utiliser des supercalculateurs capables de casser le cryptage (le bidule évoqué au début de l'émission). Ils ne sauront même pas la page que vous souhaitez lire sur le site en question, cette information étant dans la couche 7, qui dans notre cas est cryptée - d'où le fait que pour ces fameux algorithmes, on inspectera nécessairement en profondeur les paquets, enfin si on peut.
Or,pour en arriver aux hébergeurs (couches 6 et 7), dans le projet de loi, il est indiqué que ceux-ci font aussi partie du dispositif et doivent fournir les clés permettant de décrypter les conversations (c'est dans un article de loi qui existe déjà, article L244-1 du code de la sécurité intérieure http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000028344961&cidTexte=LEGITEXT000025503132&dateTexte=20150422&fastPos=7&fastReqId=1570728342&oldAction=rechCodeArticle, modifié en L871-1 (voir page 28) http://www.assemblee-nationale.fr/14/ta-pdf/2697-p.pdf). Ce qui change par rapport à avant, ce sont les conditions dans lesquelles la remise des clés de cryptage peut avoir lieu - encore une fois, pas de juge judiciaire, que de l'administratif, patati, patata - et on ajoute un "sans délais". Ne pas remettre la clé, c'est juste passible de deux ans de prison et 300 000 euros d'amende ! Pour un site en https, les clés, il n'y en a pas 50, il n'y en a qu'une ; elle peut se changer, mais d'abord ça coûte des sous, et ensuite ce n'est pas rétroactif : une fois que vous avez la clé que j'ai utilisée du 22 février 2013 au 22 février 2015, vous pourrez décrypter TOUTES les communications faites dans cette plage de date. Enfin, à la page 7 du projet de loi, vous remarquerez que le délai de destruction des données cryptées ne court qu'à partir de leur décryptage ; elles peuvent donc être conservées ad vitam, au cas où elles pourraient finir par être utiles...
Pour l'opposition analyse des flux ou analyse de données stockées, je suis d'accord avec M. Archambault, ils ne pourront pas faire ce qu'ils veulent en analysant uniquement les flux : ils vont devoir stocker des données, au moins temporairement. Ce n'est d'ailleurs interdit nulle part dans le projet de loi, le stockage est juste limité dans le temps. D'ailleurs, une chose n'est pas du tout évoquée dans ce projet de loi : la destruction des données brutes est clairement indiquée avec des délais. Or, un algorithme d'analyse de comportement - en tous cas ceux que je connais - ne relit pas systématiquement tout le comportement de l'utilisateur depuis le premier jour ; en général, il crée des indicateurs composites au fur et à mesure de ses passages. Par exemple, au lieu de conserver toutes les pages visitées par un internaute, on va enregistrer que le gars semble intéressé par un produit en particulier, une valise ou un ordinateur portable, et oublier la donnée source qui nous a amené à cette conclusion. Quid de la conservation des données calculées sur la base des données de connexion ?
Dans le genre foutage de gueule, c'est fort, ils s'exécutent où les algorithmes?
Si on intercepte tout les paquets pour les analysé, on fait de la surveillance de masse, point-barre.
Si on surveille tout ceux qui chiffres leur communications, on prive les citoyens du droit a leur vie privé.
Bref, faire des grandes phrases pour expliqué que non, tout va bien, il n'y a rien a voir, c'est de la propagande.