PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

#BullshitOfTheDay : Toi aussi fais toi ton #PRISM… chez #Google !

mardi 25 juin 2013 à 15:01

research-cat-lolcat-706798Il y a des jours comme ça où on se demande pourquoi  on s’emmerde à essayer de comprendre et d’expliquer de manière à peu près sérieuse un sujet aussi complexe que  PRISM. Derrière les 5 PowerPoints d’Edward Snowden, la presse du monde entier a réussi à atteindre des sommets de conneries. La plus belle d’entre elles pourrait bien revenir à Computerworld sur lequel je suis tombé grâce à BigBrowser qui ne m’avait pourtant pas habitué à relayer ce genre d’article totalement débile. L’objet du délit s’intitule « How to run your own NSA spy program » que BigBrowser a évoqué ici : « Créer votre propre programme Prism à la maison« .

Outre le fait que l’article navigue entre absurdité technique et sensationnalisme parsemé de buzzwords 2.0 qui ressemblent à un billet sponsorisé par une agence de comm’, on se demande bien ce qui a pu passer par la tête de l’auteur pour tenter de faire gober à ses lecteurs qu’il est possible, pour le péquin moyen, de se créer un système de surveillance de masse grâce à un simple compte Gmail. Pourtant, en s’arrêtant au titre, on se dit que l’article va parler d’outils sympas comme mmnt, ShodanHQ ou les excellents Maltego et Casefile de Paterva… Je me disais qu’on allait nous fournir un patch SQLMap pour dorker différents moteurs de recherches, le tout plugué sur un bruteforcer de services en ligne et de réseaux sociaux qui réutilise les dumps de tables passwords en mode automatisé… ben non !

Au lieu de ça, toute la démonstration de l’auteur porte sur « comment créer son programme PRISM en reposant à 100% sur les services de… Google ». Une sorte de Prism dans le Prism ! Fallait y penser.

Et c’est un véritable festival :

One easy way is to use integrated Google services together.

Google now offers 15 GB of free storage that can be divided any way you like between Gmail, Google Drive and Google+ photos. And they’ll give you more if you pay for it.

Google also offers an Alerts service that searches the Internet and mails you the results. Most people set up only the number of Alerts that they can read. But that’s not the NSA way.

The PRISM approach would be to harvest far more Google Alerts than any human could possible process, then use Gmail filters to automatically skip the inbox and send them straight to a specially created folder within Gmail. You can set up new Alerts every day each time you think of an area of interest. These can include people you know, companies to watch, ideas to keep up with.

Repris par BigBrowser, on se rend compte de l’absurde marmelade que l’on obtient :

L’un des moyens les plus simples pour collecter un grand nombre de données, c’est encore d’utiliser de manière intégrée tous les services Google. Avec une offre gratuite de stockage de 15 Go, bon nombres de possibilités s’offrent à vous.

Google Voice (restreint aux internautes américains), un service de télécommunication en ligne, permet ainsi de sauvegarder tous vos appels téléphoniques et chats. Il suffit de cocher l’option de « sauvegarde » pour recevoir toutes vos informations par e-mail et le tour est joué.

Petit rappel, PRISM sur le papier, c’est pour collecter les communications des autres… pas ses propres communications (ça chez les gens normalement cortiqués, on appelle ça une sauvegarde domestique, pas PRISM). A lire l’auteur, on a l’impression qu’il suffit d’avoir un compte Google pour accéder aux communications de tous les utilisateurs de Google… du grand n’importe quoi. Mais la comparaison entre Google Drive, Google Hangout, Google Scholars, Google Vibromassor® et PRISM ne s’arrête pas là. Très sérieusement, l’auteur nous explique que pour se la jouer comme la NSA, il faut tweaker votre code pour bénéficier au mieux de Google Alert (sûrement pour mieux dumper vos flux RSS sur Google Drive !). Bon sang mais c’est bien sûr ! :

The key to great NSA-style data harvesting, by the way, is to constantly tweak your code. Keep adding, deleting and modifying your Google Alerts and RSS feeds to make sure they deliver the kind of data you want.

Mais l’auteur peut encore creuser, il en a sous le pied. Point d’orgue de son article : le filtrage algorithmique. Avons nous sous les yeux l’article du seul journaliste qui semble avoir eu un accès complet aux différents programmes du GCCS-J … dont la presse semble se foutre éperdument en préférant reprendre le premier énorme bullshit qui passe sur « comment sécuriser ses communications mobiles grâce à des programmes diffusés sur l’AppStore d’Apple et maintenant comment jouer à la NSA grâce à Google ? » :

There’s one ironic caveat to using the NSA’s methods for wide-scale information harvesting and algorithmic filtering, which is that the NSA may theoretically know everything you’re doing.

The NSA’s domestic surveillance programs are controversial and possibly unconstitutional. But let’s face it: They work.

« Wide-scale » avec ton compte Gmail ?… on ne doit pas avoir la même notion de ce qu’est le wide-scale.

flattr this!

Tempora : le premier dommage collatéral de l’affaire Prism

mardi 25 juin 2013 à 02:46

vaderVous pensiez que seuls les américains avaient la possibilité de s’adonner à de l’écoute massive ? Et voilà Tempora révélé au grand public par le Guardian. L’affaire a de quoi faire sourire et il y a fort à parier que c’est le premier d’une longue liste de noms. Les autorités Allemandes ont officiellement demandé des explications au gouvernement britannique. Ce qui est amusant car il n’y a pas bien longtemps… je vous parlais de quoi et de qui ? Ah oui… de l’hypocrisie des allemands et des britanniques.

Et les allemands, ils en ont des raisons de ne pas être contents, car figurez vous qu’ils découvrent tout juste que les britanniques ont aussi leur programme d’interception de masse, Tempora. La ministre de la justeice ne semble pas avoir de mot assez fort pour qualifier cet affront. Et tout ça dans leur dos, à eux, leurs copains européens.

The Guardian said documents from Snowden showed that Britain’s Government Communications Headquarters (GCHQ) began « Tempora » 18 months ago to tap and store world phone calls and Internet data traffic for 30 days « without any form of public acknowledgement or debate. »

Alors que l’on date PRISM de 2004, le programme britannique n’aurait lui que 18 mois. Et comme nos copains anglais sont connus pour avoir un plus petit zizi que nos amis américains, ils ne stockent les communications que 30 jours… oui juste 30 jours. Et si vous pensiez que Prism c’était LE gros zizi ultime, je vous invite à lire cet article de Kitetoa sur Reflets (si tu es journaliste et que tu as découvert PRISM dans des dépêches AFP, et que tu as envie de briller lors de soirées mondaines, la lecture de cet article est indispensable)… bref vous allez vite comprendre pourquoi depuis le début de cette affaire nous n’avons de cesse d’expliquer que Prism est en fait un tout petit bidule.

Et bien on a pas finit de rigoler. Allez avant que nos euros députés ne fassent mine de s’étonner, on va les aider un peu :

La Suisse fait pareil, le programme se nomme Onyx. Quand à la Suède, elle n’est pas en reste, elle a une loi dédiée qui se nomme FRA… Mais nous en France, on ne fait pas ce genre de trucs, il se peut que de temps en temps, on refourgue un système ou deux de surveillance à l’échelle d’une nation à des des dictateurs, de manière complétement désintéressée, il va de soi, mais ce n’est évidemment qu’un produit d’exportation. Puis tant qu’à y aller franchement, quand on voit tout ce qui passe comme tuyauterie optique aux Pays-Bas, on se dit que les autorités locales seraient bien bêtes de ne pas en profiter…

Il est d’ailleurs assez amusant de voir que Fleur Pellerin, loin d’aller demander des comptes aux américains ou aux anglais, @FleurPellerin, les données ne naissent pas et ne meurent pas sur des serveurs américains… elles circulent." href="http://bluetouff.com/2013/06/16/prism-non-fleurpellerin-les-donnees-ne-naissent-pas-et-ne-meurent-pas-sur-des-serveurs-americains-elles-circulent/" target="_blank">s’empresse de raconter n’importe quoi à la presse en préconisant un cloud souverain là où il faudrait éduquer le public à chiffrer et anonymiser ses communications. Peut-être est-ce parce qu’en rendant sourds et aveugles les services étrangers, nous nous rendrions sourds et aveugles nous même ?

Bref à l’ouest rien de nouveau depuis 2010 : à force de vouloir écouter tout le monde, on finit par ne plus entendre personne.

flattr this!