Spécial sécurité : semaine de la paranoïa ordinaire

Sommaire
1 - Première minute de paranoïa ordinaire
2 - Seconde minute de paranoïa ordinaire
3 - Troisième minute de paranoïa ordinaire
4 - Hadopi : perte de confidentialité des correspondances privées …
5 - Hacking des poubelles : Chine 1, Allemagne 0

1 - Première minute de paranoïa ordinaire
Enfer et damnation : Apple enregistre le moindre des déplacements de ses clients sous IOS. La preuve en image et en code grâce à iPhone Tracker, le logiciel open source (et non béni par Jobs) capable d’extraire cette accumulation de données de manière lisible. Car les coordonnées des gadgets Apple seraient enregistrées en permanence grâce à une application discrètement glissée dans le noyau, et les données collectées seraient même sauvegardées avec les données… Histoire probablement de faciliter le retour de l’appareil au bercail en cas de vol. Apple pense toujours à nous. La presse anglo-saxonne en général et londonienne en particulier s’en émeut. Diable, un flicage de plus en ce pays qui compte presque autant de caméras de surveillance que d’habitants, voilà qui fait déborder la coupe de sauce à la menthe. Quelles sont les raisons purement marketing qui ont poussé Apple à se montrer encore plus indiscret qu’une GoogleCar WiFi ? Et surtout combien encore « d’easter Eggs » d’un tel calibre reste-t-il à découvrir dans les iPhones, iPads, Apple TV et autres appareils passés, présents et futurs ? Enfin, cet ennemi juré de l’empire Microsoft, qui, des décennies durant, a observé les travers et les techniques de son adversaire, semble avoir oublié la virulence avec laquelle l’ennemi en question a été conspué chaque fois qu’il tentait d’ajouter une routine de « traçage », un accessoire « antipiratage » ou un prétendu accessoire de sécurité un peu trop intrusif. Tant qu’Apple était soutenu par une secte d’adorateurs inconditionnels, ce genre d’indélicatesses pouvait encore être accepté. Mais depuis que la maison des « deux Steeve » s’est engagée dans la vente de biens de consommation grand public, elle ne peut plus compter sur l’adoration béate de sa clientèle et doit « faire avec » le regard critique des consommateurs normaux.

2 - Seconde minute de paranoïa ordinaire
La BBC nous apprend une chose horrible, une chose absolument abominable, une chose… comment la décrire avec objectivité sans en éprouver une terreur irrépressible ? En bref, le métro londonien déploie des bornes d’accès WiFi gratuites. Que les âmes sensibles nous pardonnent, mais il faillait que les lecteurs de CNIS soient prévenus de cette incroyable nouvelle. Bien sûr, de brillants experts ont immédiatement réagi, en signalant que grâce à ces bornes d’accès, les terroristes pourront établir des communications avec leur base à l’aide de logiciels VoIP, que lesdites bornes d’accès pourraient également être utilisées pour déclencher à distance une bombe à fragmentation thermonucléaire et double arbre à came en tête. Ce que n’aurait certainement pas pu faire un simple téléphone GSM, car les « experts » londoniens en savent toujours plus. Pis encore, cette technologie permettra aux terroristes « d’utiliser leurs ordinateurs portables en guise de téléphone cellulaire » et ainsi faciliter le travail d’un « groupe terroriste du métropolitain ». Ça, c’est de l’Insider Underground New Wave comme on n’en a jamais connu. Et ceci sans tenir compte de la délinquance quotidienne que faciliterait un tel réseau : ce réseau WiFi, affirment les experts es-paranoïa, encouragerait les mécréants épandeurs de chevaux de Troie et utilisateurs intensifs de logiciels d’interception des communications, leur facilitant le travail et leur offrant chaque jour une manne de données à voler sur les ordinateurs portables des usagers réguliers, allant, jusque dans leurs bras, voler leurs données bancaires. Après l’APT, pour Advanced Persistant Threat, voilà l’APT, pour Abnormal Paranoïa in the Tube.

3 - Troisième minute de paranoïa ordinaire
Cette poussée de paranoïa-là nous vient d’un billet amusé rédigé par François Paget de l’Avert. Un billet sur la multiplication des fameux « drop box » ou boîtes à lettres mortes, ces clefs USB noyées dans le ciment des murs et qui offrent au passant tantôt un programme utile, tantôt l’œuvre complète de Balzac, tantôt un morceau de musique en Creative Commons… Ces boîtes d’échanges utopistes, estiment quelques experts anxieux (anxiété qui n’affecte pas particulièrement François Paget), pourraient servir de dépôt de fichiers pour le compte d’organisations terroristes. On ne prête qu’aux riches. Dans le meilleur des cas, ces USB bétonnées se transformeraient en vecteurs d’infection après compromission, touchant telle une peste rouge tous les ordinateurs coupables de connexion vagabonde. Monsieur Paget possède une grande âme et fait preuve d’une gentillesse infinie… car d’autres ne se seraient pas gênés pour « balancer » les noms et titres de ces cassandres d’opérette. Un terroriste même particulièrement obtus et peu instruit n’a pas besoin de lire les avis de ces « experts » pour comprendre qu’il est préférable pour lui d’utiliser ses propres clefs USB et de les coller avec une simple bande adhésive sous le banc d’un parc, de les camoufler dans une poubelle publique au milieu de détritus divers, bref, de la transmettre de manière toute rationnelle comme l’aurait fait un Burguess, un Philby, un Hansen, un Ames ou la famille Walker. Car quel terroriste ayant plus de deux neurones en état de se connecter utiliserait un moyen de communication dont chaque « drop box » se trouve cartographiée sur Google Maps ? Quant à utiliser une « boîte à lettres » pour propager un virus, c’est là une idée tellement inefficace qu’elle n’a pu sortir que de l’espr it d’un éditeur d’antivirus en quête de nouveaux marchés.

4 - Hadopi : perte de confidentialité des correspondances privées …
La quatrième minute de paranoïa ordinaire nous est offerte par nos confrères de Tom’s Guide, qui sont parmi les premiers à annoncer les récentes décisions techniques de la Commission Hadopi : les « chasseurs de pirates » viennent de faire passer légalement la possibilité d’intégrer dans chaque « box » d’opérateur un logiciel de tenue de log enregistrant les moindres faits et gestes des internautes, fichier pouvant être, sur simple suspicion, consultable à distance par n’importe quelle organisation privée à but lucratif (alias un « ayant droit »). Avec cette nouvelle feuille de route, la Commission Hadopi est parvenu à rendre caduque une vieille idée démocratique qui remonte à 1789, celle de la confidentialité des correspondances privées. Bien sûr, cette mesure n’affectera en aucune manière les pirates « industriels » qui, depuis belle lurette, utilisent des clients P2P externalisés à l’étranger et s’y connectent par le biais de VPN solidement chiffrés. Un détail technique qu’aucun membre de la commission ne peut ignorer, ce qui laisse clairement entendre que ces histoires de piratage ne sont qu’un prétexte futile.

Par le plus grand des hasards, la Haute Court de Justice de Sa Gracieuse Majesté (celle qui marie son petit-fils) vient au même moment de rendre son oukaze obligeant British Telecom et un autre fournisseur d’accès à Internet, TalkTalk, à bloquer eux-mêmes les contenus jugés illégaux. Et ce malgré les nombreux appels et recours effectués par les deux FAI. En Bretagne Grande, le Digital Economy Act soutenu par quelques éditeurs de musique a permis au Ministère de l’Intérieur d’établir un filtrage efficace sans pour autant avoir eu à invoquer des prétextes tels que la lutte anti-terroriste, un peu trop éculé et surexploité de l’autre côté du Channel.

5 - Hacking des poubelles : Chine 1, Allemagne 0
Le magazine Der Spiegel nous entraîne dans une fantastique carambouille, celle des « véritables faux Euros Chinois ».

Chaque année, expliquent nos confrères, des tonnes de pièces de monnaie sont retirées de la circulation, trop usées ou trop abîmées pour continuer leur vie fiduciaire. Des pièces qui sont passées au pilon, et dont les déchets sont revendus au poids du métal au « mieux offrant », fût-il non européen.

Or, il semblerait que ce passage au pilon ne faisait que séparer les parties centrales et périphériques des pièces bimétalliques de 1 et 2 euros… ce qui inspira immédiatement un acheteur de « pièces détachées » de l’Empire du Milieu, lequel se spécialisa dans la reconstitution de ces moins que monnaies (ou sous-sous) en véritable sur-argent sonnant et trébuchant. Encore fallait-il trouver acheteur faisant bon accueil pour ces écus éculés (un ECU étant une European Currency Unit). C’est là qu’entre en scène la Banque Fédérale d’Allemagne, la seule acceptant d’échanger de vieux sequins non pas contre de vieille cuirasse, mais pour une contrevaleur en Euros frais.

Le plus étonnant, c’est que cette pratique durera de 2007 à 2010, période durant laquelle 29 tonnes de ferraille ont été rachetées au prix fort, soit une perte sèche de 6 millions d’Euros pour la Banque Fédérale d’Allemagne. Pour éviter toute possibilité de suspicion, les asiates ferrailleurs employaient des « mules » Teutonnes, généralement des employés de compagnies aériennes telles que Lufthansa, qui jouaient les porteurs de valises entre Pékin et Bonn. Ce qui, au passage, réalisait une certaine économie sur le transport des effets. C’est précisément le poids anormal des valises desdites mules volantes qui a provoqué la suspicion des gabelous germaniques et conduit à la découverte du pot aux roses… ou du pot à oseille devrait-on dire.

Monnaies ou ordinateurs, l’art de « dé-commissionner » un bien ou un équipement dépend à la fois des techniques de destruction ou de reconditionnement employées ainsi que des acheteurs potentiels du produit neutralisé. L’on a longtemps glosé sur les disques durs et les photocopieuses bradées sur eBay et dont le contenu pouvait s’avérer très indiscret s’il tombait entre de mauvaises mains. Mais personne n’aurait pu imaginer que nos chers, très chers (au moins 6 millions d’Euros pour le coup) Eurocrates et überbankers ne soient jamais allés au cinéma et n’aient vu l’un de ces navets rocambolesques parlant de billets périmés volés puis réinjectés dans le circuit. De telles histoires mettant en scène des Grands Argentiers sûrs de leurs faits et dogmatiques en diable expliquent peut-être un peu mieux des affaires comme celle des « APT de Bercy ».