PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

#PRISM : Comment passer d’un #spagrave® au #chuichoquée® en moins de 48h ? (avec du @fleurpellerin dedans)

lundi 1 juillet 2013 à 17:09

catchlonNos politiques européens sont de très talentueux comédiens. L’indignation d’Angela Merkel, en soi, c’était déjà risible. En France, exception culturelle oblige, nous ne sommes pas les plus mauvais quand il s’agit de sortir les violons pour endormir les masses. Souffler le chaud et le froid, c’est un art. En la matière, Fleur Pellerin est loin d’être la plus mauvaise. Notre ministre, en plus d’avoir une parfaite compréhension technique de l’affaire PRISM et des différentes sources d’informations constituant le gros de la doctrine SIGINT des USA depuis les attentats du 11 septembre, connait parfaitement les dossiers relatifs à la surveillance des réseaux, attendu qu’elle s’est très probablement penchée sur la cession d’Eagle par AMESYS à AMESys (le spin-off d’Amesys domicilié aux Émirats Arabes Unis pour vendre des outils de surveillance de masse sans avoir à se soucier d’éventuelles violations des droits de l’Homme… business is business).

Souvenez vous c’était il y a 48 heures, lors de son passage sur BFM. Fleur Pellerin nous expliquait quelque chose de très surprenant… Elle mentait, à minima, par omission :

« Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)»
(…)
« il n’est pas question d’une surveillance généralisée des réseaux (…) »

Aujourd’hui, le Monde titre « Espionnage de la NSA : la classe politique française estomaquée ». Estomaquée… rien que ça. Et la petite perle, c’est quand même la réaction toute neuve de Fleur Pellerin, qui avant les révélations du Guardian au sujet de l’espionnage des instances européennes, minimisait la portée de PRISM… mais non en fait, pas de PRISM (qui tout seul n’est pas grand chose et dont il fait peu de sens de  dissocier du contexte global), mais bien du programme de surveillance de masse opéré par la NSA et au moins 7 pays européens partenaires de la NSA, tous bien complices, tous parfaitement au courant.

Voici la réaction toute neuve de Fleur Pellerin :

En revanche, Mme Pellerin s’est dite choquée par le « dispositif de surveillance généralisée » des populations révélé par les premières fuites d’Edward Snowden, le programme Prism. Interrogée sur l’opportunité de représailles, comme la suspension des discussions commerciales, la ministre a appelé à « ne pas mélanger les sujets à ce stade. »

Si je rejoins Fleur Pellerin sur la position à adopter face aux USA, en évitant de tout mélanger, je suis bien plus sceptique sur le message subliminal renvoyé par ce genre de revirement. Non pas de la part de Fleur Pellerin qui se dit choqué par la mise sous surveillance des citoyens, mais par les réactions de nombreux politiques, tout bords confondus, que l’on entend s’indigner pour la surveillance des institutions européennes.

Lisons entre les lignes :

Puis après tout, si l’UE n’a rien à se reprocher, c’est qu’elle n’a rien à cacher non ? Ah non ? Ça marche pas ça avec les institutions ? C’est que pour les citoyens ?

Heu … WTF ? Aurais-je loupé un épisode ?

flattr this!

Les inquiétants mensonges de Fleur Pellerin au sujet de PRISM

samedi 29 juin 2013 à 09:47

lolcat-oathOn attendait une réaction de Fleur Pellerin au sujet de PRISM un peu moins farfelue que « le cloud souverain » avec lequel elle a tenté de nous endormir la semaine passée. Nous avons failli en avoir une ce matin un peu plus sérieuse… mais non. Fleur Pellerin a décidé de récidiver et de s’enfoncer dans le mensonge.

Dormez tranquilles citoyens, la République et l’Europe veillent.

Une fois de plus, notre ministre, reçue par Jean-Jacques Bourdin sur BFM a commencé à évoquer PRISM d’une bien étrange manière. Écoutons attentivement ses propos, ils sont édifiants.

Pour notre ministre, PRISM, c’est juste l’équivalent de la PNIJ, des petites interceptions ultra ciblées qui ne concerneraient qu’une poignée de personnes, le tout sur demande d’un juge.

« Ce qu’on sait aujourd’hui c’est qu’un certain nombre de sites, pas tous, ont donné sur requête judiciaire ou sur requête de l’administration américaine un certain nombre d’informations (…)« 

Comme si l’interception de fibres sous-marines ne concernait que « quelques sites »… ahem…

L’ensemble du trafic et des communications des américains, dans la bouche de Fleur Pellerin devient donc « un certain nombre d’informations ».

« il n’est pas question d’une surveillance généralisée des réseaux (…) »

Ah… ça, c’est quand même gonflé !

De deux choses l’une, soit Fleur Pellerin est très mal informée, soit elle ment éhontément pour nous cacher quelque chose. Et comme je doute fort qu’elle soit mal informée, j’en déduis assez logiquement qu’elle nous ment avec un aplomb qui ne peut que cacher quelque chose d’inquiétant… au hasard, la complicité des autorités françaises (et européennes) sur des programmes connus de longue date, auxquels nous collaborons certainement et des écoutes hors de tout cadre juridique, opérées depuis l’étranger.

Le cabinet de Fleur Pellerin lui aurait il caché Mainway, Nucleon, Marina (…). Loin d’être comparable à un programme d’interception judiciaires, PRISM s’inscrit au sein d’un programme beaucoup plus vaste d’interceptions parfaitement massives composé de plusieurs sources de renseignement d’origine électromagnétique comprenant :

Voyons par exemple ce que dit CNet (et c’est le son de cloche dans toute la presse anglo-saxonne)

Newly disclosed classified document suggests firms allowed spy agency to access e-mail and phone call data by tapping into their « fiber-optic cables, gateway switches, and data networks. »

Fleur Pellerin, comme la commission européenne, est également étrangement silencieuse au sujet de Tempora, le programme britannique d’interceptions de masses.

D’ici à ce qu’on apprenne que la France était non seulement parfaitement au courant de Stellar Wind et fait elle même partie du dispositif, il n’y a franchement plus très loin. Mais voilà, Fleur Pellerin le sait, ce qui est à peu près accepté aux USA ne le serait probablement pas en France. Pourquoi ? Parce que contrairement aux USA, la France ne dispose pas de loi antiterroriste comme la FISA (Foreign Intelligence Surveillance Act) ou le Patriot Act permettant de violer massivement les communications de l’ensemble de la population.

Et plus le temps passe plus tout porte à croire que notre ministre allume des contre feu ridicules pour tenter d’éluder quelque chose dont elle a parfaitement conscience et qui devient particulièrement nauséabond.

Fleur… attention, ça commence à se voir.

flattr this!

HADOPI : vers la fin d’une absurde prohibition culturelle ?

vendredi 28 juin 2013 à 00:37

prohibitionJe vous annonçais ce matin que quelque chose d’énorme était en train de se préparer rue du Texel… et effectivement, la surprise est de taille. Comme je vous l’expliquais tout à l’heure, l’HADOPI marque une volonté de sortir de la riposte graduée contre laquelle nous luttons depuis plus de 4 ans. Mais contrairement à ce que l’on peut déjà lire dans certains articles, il ne s’agit pas d’une licence globale : ce ne sont pas les utilisateurs qui financeraient directement par une contribution ce système, mais les acteurs qui en tirent un profit financier. L’HADOPI envisage ce que nous n’osions nous même pas imaginer après tout ce temps à avoir l’impression de lutter contre des moulins à vent : une reconnaissance, formelle, des échanges non marchands, s’appuyant sur un système de rétribution des auteurs, financé par les diffuseurs faisant commerce (direct ou indirect) de la diffusion d’œuvres de l’esprit dématérialisées.

Pour ceux à qui ces mots font mal au crâne, je vais vous la faire plus simple :

Si ce projet est mené à bien, nous pourrions enfin échanger en peer to peer sans qu’une bande de guignols ne tente de flasher notre adresse IP pour la transmettre à l’HADOPI… fini la police privée du P2P, fini les spams qui vous demandent de « sécuriser votre connexion » sans vous expliquer comment, fini le risque d’amende, fini le risque de se retrouver devant un juge, fini les coupures de connexion, et surtout… fini le délit de contrefaçon totalement crétin lorsque l’on télécharge un film ou un MP3.

Ça, c’est ce que la majorité d’entre nous appréciera, c’est déjà en soi une première mondiale. Mais il faut pousser la réflexion un peu plus loin pour comprendre jusqu’où va cette proposition de reconnaissance des échanges non marchands. L’HADOPI dit étudier la faisabilité de cette reconnaissance des ces échanges en proposant une compensation financière aux ayants droit, payée par les entités qui tirent un profit direct ou indirect de la mise à disposition des œuvres.

Les implications dépassent même le stade de la diffusion des œuvres culturelles. Les effets de cette petite révolution si elle venait à se concrétiser, serait un moteur pour l’innovation dont de nombreuses PME ou TPE pourraient tirer profit. Même des plateformes aujourd’hui considérées comme illégales pourrait devenir parfaitement légales en contribuant à la rémunération des auteurs. L’innovation dans la diffusion des œuvres est principalement freinée par les coûts d’accès aux différents catalogues. Pire, impossible pour une société ne disposant pas de plusieurs millions d’euros d’accéder à tous les catalogues, et ainsi de proposer une « offre légale » digne de ce nom. La reconnaissance des échanges non marchands pourrait ainsi mettre un sacré coup de pied dans la fourmilière et les ayants droit n’auraient plus aucun intérêt à restreindre l’accès à leur catalogue puisque ce dernier s’échangerait d’une manière ou d’une autre, à eux de décider s’ils veulent tirer un profit des échanges au lieu de rien du tout… et ça, c’est la vraie révolution. Ceci pourrait donc au final directement profiter à des auteurs qui ont le malheur de faire partie du « mauvais catalogue », celui auquel s’agrippe un ayant droit le privant d’espoir de toute diffusion, et donc de toute rémunération.

Il y a quand même maintenant deux caps qui vont être compliqués à franchir :

Le premier est d’ordre légal. C’est là que nous verrons si le gouvernement entreprendra la sortie de la riposte graduée, ou si ce dernier, reniant ses promesses de campagne, décide de ne rien faire et donc, de rester dans une ère répressive absurde qui pénalise autant les internautes que les auteurs. Quand on fait rentrer quelque chose d’aussi débile que la riposte graduée dans le corpus législatif, il est forcément un peu compliqué de s’en débarrasser.

Le second est d’ordre technique puisqu’il touchera au modèle de rémunération et risque de s’opposer de manière assez frontale aux réticences des SPRD qui profitant de leur quasi monopole, ont su créer un véritable système mafieux épinglé à maintes reprises par la cours des comptes.

Bref, la bataille HADOPI n’est pas terminée, et ce n’est peut être pas le CSA qui la gagnera.

flattr this!

#PRISM : iTrust, ou le iBullshit souverain avec du iFud dedans

jeudi 27 juin 2013 à 20:44

albundyLe site Toulouse7.com ayant décidé d’égarer mon commentaire en réaction à cet article, je me suis dit qu’au final, une réponse trouverait un peu plus d’écho sur ce blog pour sensibiliser les personnes qui pourraient se laisser berner. On se doutait bien que des petits malins allaient surfer sur la vague PRISM pour refourguer leurs « solutions » qui n’en sont pas. Je viens de tomber sur le parfait exemple d’article de page de pub totalement à côté de la problématique de fond pour mettre en avant une solution technique qui ne répond en rien à l’expression d’un besoin de confidentialité pourtant réel des entreprises comme des particuliers face à PRISM, Tempora, et tous les programmes de renseignement d’origine électromagnétique… qui se traduit, rappelons le, par ce qu’on appelle de l’interception massive sur les réseaux IP…

Par pitié, si vous êtes chef d’entreprise et que vous vous sentez concerné par la confidentialité de vos données professionnelles, ne vous laissez surtout pas endormir par ce genre de charlatant qui vous préconise une solution (la leur) alors qu’ils n’ont visiblement pas compris le problème. Nous le savons, le monde de la « sécurité » informatique raffole des peurs des uns et des autres. Un prospect qui a peur, c’est un client en puissance. Si en plus on joue sur sa fibre patriotique, c’est le jackpot.

Si vous vous souvenez par exemple du logiciel de « sécurisation » HADOPI qui n’a finalement jamais vu le jour et dont j’ai d’ailleurs largement parlé sur ce blog, vous vous souvenez peut être aussi des pseudo solutions à la con, comme les HADOPIPOWARES vendus par des sociétés comme Orange et beaucoup d’autres, ce alors qu’aucune spécification n’était rédigée. Un défilé de « solutions » toutes plus crétines les unes que les autres, quand elles n’étaient pas tout simplement vouées à créer plus d’insécurité que de sécurité. A n’en pas douter, et je m’y attendais, PRISM va provoquer le même phénomène, mais cette fois à l’échelle mondiale. Et ça c’est inquiétant.

i (won’t) Trust you

Notre premier winner s’appelle Jean-Nicolas Piotrowski, il dirige la société iTrust, dont je ne remets pas en cause la qualité des produits, je ne les connais pas, je ne les ai pas testé. En revanche je remets en cause ses propos sans queue ni tête pour vendre sa salade, et tout le iBullshit qu’il met autour pour nous enrober ça en se parant de sa blouse blanche.

Il commence d’ailleurs assez fort en mettant en branle son expertise en droit international, un terrain sur lequel peu d’experts en sécurité s’aventurent tant il est casse gueule :

L’espionnage par PRISM n’est pas légal et va à l’encontre à la fois de la règlementation US du tribunal fédéral relatif au renseignement étranger et de la règlementation européenne.

Ah bon ? PRISM ne serait donc pas « légal »… Please define « légal »… légal pour qui ? Légal pour quoi ? Le Patriot Act est illégal ? Un traité comme l’UKUSA est illégal ? J’entends déjà d’ici les britanniques ricaner… j’entends aussi tous les juristes se fendre la poire. Après ce bref interlude juridique, on rentre dans le FUD technique, un peu comme le coup du « connu inconnu » qui m’avait tant fait rigoler :

tel qu’il est techniquement décrit, il ne permet pas seulement de surveiller des individus (officiellement étrangers aux USA) mais permet aussi de perpétrer de l’espionnage économique (notamment à destination des entreprises utilisant les services tels que par exemple : Google, Microsoft, Apple.)

PRISM serait donc « techniquement décrit », intéressant. Bon si vous avez des spécifications techniques sous le coude, elles m’intéressent, n’hésitez pas à me les transmettre par mail. Chez Reflets, nous avons assez candidement cherché dans les moult gigas de PDF et PowerPoint tout laids de la DISA, et on est loin, très loin, d’avoir un descriptif technique du gros zizi américain. La surveillance de masse, c’est un peu comme une boite de chocolats, on ne sait jamais sur quelle agence on va tomber.

Maintenant que le lecteur est persuadé que PRISM est illégal et qu’il est face à un « expert », le voilà mûr pour se faire cueillir :

Alors que faire ? Il faut simplement appliquer ce que certaines instances européennes légitimes et certains experts préconisent

  • utiliser des logiciels et solutions professionnelles européennes (Préconisations faites par la CNIL, le rapport du sénateur Boeckel et l’agence européenne ENISA)
  • héberger des données d’entreprises dans des data centers sur sol européen,
  • choisir des prestataires informatiques privilégiant des solutions européennes dans leurs infrastructures et qui ne seront donc pas soumises au Patriot Act
  • choisir des prestataires de droits européens.

Si Jean-Nicolas Piotrowski avait la moindre idée de ce qu’est PRISM, il ne sortirait pas de telles énormités. Nous l’avons expliqué depuis le début, PRISM est un tout petit machin au sein d’un programme bien plus global… et un programme faisant l’objet d’accords internationaux… avec des pays européens, les britanniques en tête (avec TEMPORA), mais pas que. En outre les USA sont loin d’être les seuls à wiretaper les câbles sous marins ou le cul des iX. Britaniques et français (pour ne citer qu’eux) s’adonnent aussi très certainement à ce genre de pratiques. Prétendre que la problématique de l’interception de masse se limite à PRISM, c’est faire preuve d’un manque de discernement et d’information crasse sur le monde fou fou fou du renseignement d’origine électromagnétique. Je passe sur le clin d’œil au rapport Bockel (et non Boeckel) et le troll sur les routeurs chinois en vous invitant à lire ce billet de Stéphane Bortzmeyer pour vous laisser prendre la mesure de tout le FUD autour de ce sujet.

La conclusion de Jean-Nicolas Piotrowski, on s’y attendait un peu :

Les solutions existent, la preuve en est, j’en ai développé une non soumise au Patriot Act qui garantit une totale confidentialité des données. L’histoire de PRISM nous montre que ce n’est pas le cas pour les solutions américaines.

Wahou… un solution non soumise au Patriot Act ! c’est fort ça ! Nous voila rassurés ! Mais mesurons le degré de soumission au Patriot Act de manière un peu plus objective.

On va dire que pour la tuyauterie, c’est à peu près bon, regardons les dessous. C’est tout de suite moins souverain…

fbscript

C’est d’ailleurs assez curieux pour une société de sécurité informatique d’avoir des trackers Facebook et une fan page sur ce réseau social soumis au Patriot Act et collaborant directement avec la NSA, mais pourquoi pas… C’est bien mignon de claironner qu’on a développé un logiciel non soumis au Patriot Act, ce qui est au passage une tautologie pour une entreprise française, mais si on veut se positionner commercialement de manière sérieuse dans les solutions « PRISMproof », on commence par éviter les trackers Facebook sur son site professionnel.

PRISMproof ?

Avant que vous ne me posiez la question « alors comment on fait pour échapper à PRISM », je vais tenter de vous faire une (trop) brève réponse, elle n’est pas parole d’évangile mais elle ne vise qu’à vous donner des pistes, en fonction de vos activités (car il serait idiot de penser que nous avons tous les mêmes besoins et les mêmes exigences en matière de confidentialité, ce en fonction de nos activités) :

D’une manière générale, ne croyez jamais un commerçant qui affirme vous rendre 100% anonyme sur le Net, c’est forcément un menteur. D’une manière générale ne croyez jamais une personne qui après 20 lignes pour vous expliquer PRISM conclura par « la preuve, j’ai moi même développé la solution qui garantie la confidentialité de vos données« , car ce dernier n’a non seulement rien prouvé, mais c’est très probablement un menteur. Et en matière de confidentialité, il y a certains pays ou ces menteurs peuvent finir avec des morts sur la conscience

Enfin, ne croyez jamais un expert en sécurité qui sort les mêmes âneries qu’un ministre qui dépend de Bercy.

Un pourcentage non négligeable de la confidentialité se passe entre la chaise et le clavier, non sur un disque dur.

flattr this!

L’HADOPI ouvre la porte à la normalisation des échanges non marchands

jeudi 27 juin 2013 à 18:48

lolcat-gets-bustedC’est une petite révolution. Après plus de 3 ans de choc frontal avec les Internautes la Haute Autorité ouvre (enfin) une porte à la reconnaissance des échanges non marchands (attention ça va seeder chérie). Dans un communiqué daté de ce jour, l’HADOPI « commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands« . Les mots ont leur sens. On parle bien ici de sortir du principe de la riposte graduée et _enfin_ d’envisager un système de rémunération des auteurs qui ne reposerait plus que sur le bon vouloir des SPRD en quasi monopole et des copyright nazis.

Il n’est pas ici question de licence globale mais bien d’aller chercher l’argent là où il se trouve, sur les plateformes de téléchargement qui tirent profit de la diffusion des œuvres, tout en permettant à des trackers torrent de « vrai partage » d’exister, et ce en toute légalité. L’HADOPI parle d’un cercle vertueux, et effectivement, on peut très bien imaginer à terme certaines « grosses » boards warez qui tirent profit de la diffusion d’œuvres (des revenus publicitaires), devenir légales, si elles acceptent de reverser une partie de leurs bénéfices aux auteurs.

Tout le travail porte maintenant sur le calcul de ces participations en fonction de paramètres qui restent probablement à définir, mais c’est tout de suite plus plausible et réaliste que les spécifications techniques d’un « contre logiciel » comme l’appelait Christine Albanel.

Oui c’est bien une petite révolution, un virage à 180° qui est en train de s’opérer… et peut être le début de la sortie des sombres années de cyber-prohibition culturelle que nous vivons. Légaliser les échanges non-marchand en faisant payer ceux qui font commerce des oeuvres.

Voici le communiqué complet que je vous invite à lire et à relire, à en débattre, car on peut penser ce que l’on veut de l’HADOPI, mais nous avons peut être sous les yeux le geste que beaucoup d’entre nous attendent depuis le début. Certes il ne faut pas se réjouir trop vite, certes, c’est loin d’être fait, mais si l’Autorité marque une volonté affichée de sortir de la riposte graduée pour enfin permettre la circulation des œuvres, c’est un pas de géant

Accès aux œuvres sur Internet : l’Hadopi engage l’analyse d’un système de rémunération proportionnelle du partage.
27/06/2013

Dans le cadre de ses travaux d’étude et de recherche, l’Hadopi commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands. Ce travail prospectif s’inscrit dans le cadre de la mission légale de l’institution d’identification et d’étude des modalités techniques permettant l’utilisation illicite des œuvres sur les réseaux et de propositions de solutions pour y remédier.

Selon l’approche retenue, un même usage est qualifié soit de « piratage en ligne », soit « d’échange non marchand ». Cet usage a été rendu possible par internet et les sites et services développés sur le réseau. Il est complexe, migrateur et résilient. La dernière enquête publiée par l’institution, « carnets de consommation », en donne une illustration riche d’enseignements.

Face à la permanence de cet usage, que l’Hadopi a pour mission de dissuader, il reste à apporter une réponse durable à la question de la création, de l’acquisition et du partage des œuvres sur internet. La possibilité, ou non, d’intégrer les « échanges non marchands » dans cette réponse est posée dans le rapport de la mission « Acte II de l’exception culturelle ».

En accord avec la Présidente de l’Hadopi, le Secrétaire général a présenté au Collège les orientations de cette analyse. Son objectif est d’évaluer la pertinence et la faisabilité d’une « rémunération proportionnelle du partage » emportant acceptation des échanges concernés.

L’expérience acquise par l’institution au cours des trois dernières années tendrait à laisser penser que l’intégration de ces usages pourrait être de nature à créer un cercle vertueux favorable tout à la fois à la création, aux usages, à l’innovation et à un meilleur partage de la valeur.

Cette intégration pourrait être envisagée sous la double condition d’une définition légale claire du statut des œuvres et des usages, et d’une compensation équitable et proportionnelle pour les titulaires des droits des œuvres échangées.

L’exception pour copie privée comme la rémunération équitable fournissent des modèles dont il semblerait possible de s’inspirer pour aller en ce sens, notamment en matière d’inscription dans le droit et de mode de répartition en gestion collective.

La piste de réflexion poursuivie s’appuie sur deux postulats : seule la consommation non marchande des œuvres protégées peut engendrer une compensation financière potentielle ; seules les entités tirant, par leurs activités, un gain marchand des échanges non marchands des œuvres protégées doivent participer à la compensation, à due proportion du volume, de la nature des activités, et du profit qui en est retiré.

Les travaux ont vocation à valider ou invalider la faisabilité d’un tel système et d’en évaluer la pertinence. Ils feront l’objet de consultations et de publications régulières et ouvertes.

Ils porteront pour l’essentiel sur la possibilité, ou non, de déterminer un profil d’usages, un profil d’intermédiaires redevables, une méthode de calcul de barème de rémunération pour les titulaires de droit, déterminant les caractéristiques d’un modèle valide de rémunération ; et, si un tel modèle semble exister, ses conséquences économiques et son encadrement juridique.

Un premier document de travail balayant les différents usages va être rendu public prochainement. Il a pour objectif de clarifier et préciser ceux d’entre eux susceptibles d’être qualifiés d’ « échanges non marchands ». Il sera soumis à remarques et contributions.

Les résultats seront présentés au Collège de l’Hadopi qui, sur le fondement de ses compétences légales, décidera des suites qu’il choisit de leur donner.

flattr this!