Carnet de notes

Auteur/autrice : Éric

  • “Fadettes” : Orange veut attaquer l’Etat en justice

    Je termine une petite série sur la télé­pho­nie mobile et la sécu­rité qu’on y porte avec l’af­faire des fadettes. Rien de neuf pour ceux qui suivent l’ac­tua­lité. L’État s’est affran­chit des règles en récla­mant trop faci­le­ment aux opéra­teurs des dizaines de milliers de demandes d’in­for­ma­tion.

    Ces demandes permettent de connaitre l’iden­tité des titu­laires, leur compte en banque, leur adresse, la liste de leurs posi­tions géogra­phiques dans le temps, les numé­ros appe­lés ou reçus. Bref, une intru­sion magni­fique dans la société de surveillance que 1984 abor­dait tout juste.

    Bien évidem­ment on s’en sert vite pour gérer le pouvoir et espion­ner les jour­na­listes ou les juges. Bien évidem­ment tout ceci est illé­gal. Bien évidem­ment, ceux qui en sont à l’ori­gine ne sont même pas suspen­dus de leurs fonc­tions.

    L’ac­tua­lité est toujours une source d’hu­mour noir. “Fadettes” : Orange veut attaquer l’Etat en justice. Ils répondent à 10 à 15 000 demandes par mois (multi­pliez par 3 pour obte­nir les chiffres tous opéra­teurs confon­dus). Ça coûte cher et l’État aurait un arriéré de 50 millions d’eu­ros à payer. Dans sa grande magna­ni­mité, il propose de n’en régler que la moitié, ce que bien évidem­ment Orange ne peut accep­ter.

    Mais outre le chiffre de 15 000 demandes par mois rien que pour Orange ou le montant fara­mi­neux de la dette pour payer ces demandes, il est inté­res­sant de noter un chiffre : Ce sont 160 personnes qui travaillent à temps plein chez Orange unique­ment pour inter­cep­ter factures détaillées, dont au moins une partie est réali­sée hors contexte légal au profit du pouvoir en place.

    Ne comp­tons pas sur les opéra­teurs mobiles pour signa­ler le scan­dale d’eux même. Dans notre société l’éthique a peu d’im­por­tance. Par contre, dès qu’on parle de sous… Il faut dire qu’une société de surveillance à la 1984, ça coûte cher.

  • Voda­fone femto­cell hack lets intru­ders listen to calls

    Conti­nuons avec la sécu­rité des réseaux de télé­pho­nie mobile : Voda­fone femto­cell hack lets intru­ders listen to calls.

    Les femto­cell sont de véri­tables trous dans la sécu­rité des réseaux mobiles. Côté sécu­rité il y a d’un côté le réseau interne et de l’autre le réseau externe. L’in­no­va­tion de ces femto­cell c’est mettre un élément de réseau interne chez les parti­cu­liers.

    Voda­fone a four­nit des boitiers troués. D’autres l’ont fait avant. D’autres le feront encore. Il sera possible d’en­trer dans ces boitiers. Il sera possible d’en faire des systèmes d’écoute ou d’in­ter­cep­tion. Nous allons entrer dans un joyeux monde où nous ne pour­rons plus faire confiance à nos réseaux mais où aucun télé­phone ne propose de chif­frer les commu­ni­ca­tions de pair à pair.

  • UK Cops Using Fake Mobile Phone Tower to Inter­cept Calls, Shut Off Phones

    Nous vivons une époque formi­dable dans la télé­pho­nie mobile. Voilà que la Metro­po­li­tain police du Royaume Uni met en place de fausses antennes pour télé­phone mobile dans les mani­fes­ta­tions : UK Cops Using Fake Mobile Phone Tower to Inter­cept Calls, Shut Off Phones

    Avec ça ils peuvent récu­pé­rer les numé­ros de carte SIM et de télé­phone (IMSI et IMEI) pour iden­ti­fier les présents sur place. À force de requêtes et de croi­se­ments, il est possible de tracer les gens dura­ble­ment.

    Comme cela ne suffit pas, la fausse antenne peut aussi inter­cep­ter les SMS ou simple­ment bloquer les commu­ni­ca­tions. On parle aussi d’in­ter­cep­ter les commu­ni­ca­tions mais les choses ne sont pas claires (ce qui est en soi un problème pour un tel outil).

    Bien entendu, on masque ça derrière la capa­cité à bloquer un télé­phone qui servi­rait à un terro­riste pour déclen­cher des explo­sifs. Peu importe si le cas ne se produira peut être jamais, et encore moins dans une zone suffi­sam­ment connue pour pouvoir déployer la fausse antenne, et proba­ble­ment jamais dans une situa­tion où couper les vraies antennes aurait été impos­sible : Entre temps on peut surveiller des mani­fes­tants, et ça ça n’a pas de prix. Liber­tés publiques ? tout ceci ce fait sans déci­sion judi­ciaire.

    Qu’on se rassure, il n’y a toujours rien d’in­no­vant, le FBI pour­rait faire de même.

  • Les réseaux GSM sont des passoires, affirme un cher­cheur en sécu­rité

    C’est connu depuis long­temps et même plus un secret de poli­chi­nelle. Les télé­phones portables sont un vrai problème de sécu­rité. Les réseaux GSM sont des passoires, affirme un cher­cheur en sécu­rité.

    Il faut dire qu’on parlait déjà de problèmes de sécu­rité à ce niveau il y a 10 ans. Il est simple, pour un élec­tro­ni­cien du dimanche, d’es­pion­ner ou d’in­ter­ve­nir sur le réseau. Pensez de plus que sur les mobiles certains SMS spéci­fiques permettent de recon­fi­gu­rer ou mani­pu­ler la confi­gu­ra­tion du télé­phone, et vous pouvez déjà faire pas mal de choses.

    Ajou­tez la police UK qui monte de fausses bornes GSM pendant les mani­fes­ta­tions, ou les fabri­cants de télé­phone qui deman­daient il y a quelques années dans les réunions un mini­mum stra­té­giques « télé­phones sur la table, batte­rie reti­rée » par peur d’un télé­phone qui écoute silen­cieu­se­ment à l’insu de son proprié­taire, et désor­mais vous n’avez plus aucune excuse pour croire à la sécu­rité de votre télé­phone mobile.

    Rien de neuf, malheu­reu­se­ment.

  • Censure sur inté­rêts privés, Univer­sal Music

    Quand on parle de justice privée à propos de la Hadopi ou des lois que tentent de mettre en œuvre les états contre la contre­façon, nous n’en­vi­sa­gions pas que ce soit si expli­cite que ce qu’il se passe depuis un bon mois.

    Les produc­teurs et distri­bu­teurs de conte­nus se croient libres d’agir au mieux de leurs inté­rêts. Le mois dernier c’est Warner Bross qui faisait reti­rer de Hotfile (un service d’hé­ber­ge­ment-télé­char­ge­ment de fichiers) un programme qu’il consi­dé­rait permettre le télé­char­ge­ment illé­gal mais qui n’était en lui même pas illé­gal et sur lequel Warner ne déte­nait aucun droit. Plus récem­ment c’est un site espa­gnol, qui avait passé avec succès l’épreuve des tribu­naux espa­gnols, qui a été coupé au niveau DNS par les États Unis (qui contrôlent indi­rec­te­ment le registre .com). Depuis que les États Unis ont déployé l’ar­se­nal contre wiki­leaks, les produc­teurs ne se sentent aucune limite dans leurs demandes. Régu­liè­re­ment les produc­teurs abusent de leur inter­face de modé­ra­tion de Youtube pour faire reti­rer des vidéos tout à fait légales ; certaines par erreur, mais certaines consciem­ment, parce qu’elles les gênent.

    Depuis une dizaine de jours c’est un débat entre MegaU­pload (un autre service d’hé­ber­ge­ment-télé­char­ge­ment de fichiers) et Unive­ral Music qui a lieu. Pour une fois les choses sont dites expli­ci­te­ment, à haute voix, et on peut juger de la légi­ti­mité ou de l’hon­nê­teté de chacun.

    MegaU­pload a lancé une vidéo promo­tion­nelle où plusieurs artistes connus chantent leur atta­che­ment au service. Peu de temps après, cette vidéo est supprimé des serveurs Youtube sur demande d’Uni­ver­sal Music.

    Ce seul fait est déjà fran­che­ment diffi­cile à avaler. Voir des artistes chan­ter « MegaU­pload » en vidéo, on peut diffi­ci­le­ment consi­dé­rer que c’est une contre­façon d’une œuvre Univer­sal Music. La suppres­sion ne peut être ici que de mauvaise foi.

    Mais plus sympa­thique : Une demande vient de l’avo­cat de l’ar­tiste Will.i.am, bien que ce dernier ait affirmé par la suite publique­ment n’avoir auto­risé aucune demande de ce type en son nom. Mieux : Une seconde demande, faite par Univer­sal Music, est au nom de Gin Wigmore, qui n’ap­pa­raît même pas dans la vidéo.

    Si on voit clai­re­ment la mauvaise foi et l’abus des outils de lutte contre la contre­façon, l’as­pect miri­fique n’est pas là. Dans les dernières commu­ni­ca­tions, Univer­sal Music affirme que rien ne peut lui être repro­ché vu qu’il s’agis­sait d’un échange avec Youtube et pas d’une requête légale de retrait. Bref, que quand bien même ils auraient fait volon­tai­re­ment reti­rer des conte­nus tiers qui les gênaient, personne n’a rien à y redire.

    Côté liberté d’ex­pres­sion et contrôle de l’es­pace public ça fait peur. Main­te­nant, pour Hotfile comme pour MegaU­pload, il est probable que les abus se retournent vite contre les produc­teurs de conte­nus. À force d’abus trop visibles, ils risquent de casser leurs jouets et de se retrou­ver du mauvais côté de la balance de la justice.

  • L’argent caché des syndi­cats

    En ce moment il y a beau­coup de commu­ni­ca­tion à charge contre les syndi­cats. Si certains abus vrai­ment inac­cep­tables ont été rele­vés, et trai­tés, il est diffi­cile de savoir si le tout est une opéra­tion de commu­ni­ca­tion pour dimi­nuer leur influence avant la campagne prési­den­tielle, ou s’il y a un fond vrai­ment problé­ma­tique. Les deux ne sont d’ailleurs pas exclu­sifs.

    Comme tout ce qui est de gestion publique ou collec­tive, il est malvenu que le secret soit apposé sur les flux finan­ciers et leur utili­sa­tion. C’est effec­ti­ve­ment la porte ouverte soit aux dérives, soit aux soupçons.

    Dans « l’argent caché des syndi­cats », le Figaro fait un état des lieux assez mauvais et aborde la ques­tion d’une commis­sion parle­men­taire sur le sujet.

    Dans la foulée, je ne peux que vous encou­ra­ger à lire l’ap­pel du parle­men­taire qui a rédigé le rapport d’enquête : « Vous avez le droit de savoir ». Qu’il y ait problème ou pas, les pres­sions pour éviter de mettre au grand jour certaines pratiques sont énormes. Un coup de projec­teur devient indis­pen­sable.

  • Affi­chage publi­ci­taire : Paysages de France fait condam­ner l’État pour la 54e fois

    Quand, au sujet de l’affi­chage publi­ci­taire : Paysages de France fait condam­ner l’État pour la 54e fois, ce n’est pas tant la ques­tion de l’af­fi­chage sauvage qui me préoc­cupe, mais l’en­tê­te­ment des repré­sen­tants de notre état à consi­dé­rer que fina­le­ment la loi ne s’ap­plique pas qu’à leur bon vouloir, alors qu’elle est d’abord là pour défendre le citoyen et non l’État. Je m’inquiète encore plus quand l’as­pect commer­cial est consi­déré comme ayant la primauté sur quasi­ment tout le reste.

    C’est vrai ici, mais aussi dans beau­coup de déci­sions de justice, de lois, ou simple­ment de déci­sions de tous les jours. C’est à croire que notre État est là pour les entre­prises, et que c’est seule­ment ensuite qu’on orga­nise les citoyens en ce qu’il est néces­saire des les lais­ser vivre dans un certain confort pour remplir ces entre­prises.

    Il y a comme un problème de prio­ri­tés.

  • Le désen­chan­te­ment des femmes amou­reuses d’agents doubles

    James Bond n’est jamais loin. On emploie des hommes pour infil­trer des groupes poli­tiques écolo­gistes. La méthode histo­rique est toujours la meilleure : l’amour et les senti­ments.

    Du coup c’est le désen­chan­te­ment des femmes amou­reuses d’agents doubles.

     

  • HADOPI : la gadge­to­phrase de l’Ely­sée qui fait tâche

    Des fois il y a des croi­se­ments amusants.

    Premier acte, le gouver­ne­ment tente d’agir contre la contre­façon en prenant des moyens détour­nés qui lui évitent d’avoir à prou­ver quoi que ce soit : Si votre adresse IP est repé­rée sur des serveurs de télé­char­ge­ment et liée à des conte­nus proba­ble­ment illi­cites, vous voilà aver­tis puis inter­dit de connexion Inter­net. Le prétexte offi­ciel c’est le défaut de sécu­ri­sa­tion de la connexion. L’ar­gu­ment offi­ciel c’est que votre adresse IP suffit à vous attri­buer la faute.

    Second acte, un petit malin monte un site qui tente de lister les télé­char­ge­ments P2P faits à partir de votre adresse IP. Là on peut tenter des adresses de l’Ély­sée et rire d’y trou­ver des conte­nus contre­faits. Il est diffi­cile de savoir si l’adresse IP a été injec­tée dans les serveurs P2P par un petit malin ou si réel­le­ment quelqu’un a télé­chargé des conte­nus illi­cites à partir de l’Ély­sée. Les deux hypo­thèses semblent peu crédibles et nous ne saurons jamais laquelle est la bonne.

    C’est le troi­sième acte qui est amusant avec une décla­ra­tion de l’Ély­sée. HADOPI, la gadge­to­phrase de l’Ely­sée qui fait tâche :

    « les adresses IP ne sont pas fiables car elles peuvent être pira­tées. »

    C’est le fonde­ment même de toute la poli­tique du gouver­ne­ment via la Hadopi qui est pour­tant basé sur la soli­dité des repé­rages par adresse IP. Bref, ça fonc­tionne pour les autres, mais pas pour eux.

    Bien évidem­ment, nous sommes dans la réalité et il ne faut pas cher­cher de la cohé­rence. Cela ne remet bien entendu pas du tout en cause le côté répres­sif de la Hadopi qui fonc­tionne sur ce prin­cipe, ou les millions d’eu­ros qui y sont dédiés. Faudrait pas rigo­ler trop long­temps.

  • Google’s Android Update Alliance Is Already Dead

    En mai dernier, les construc­teurs de smart­phones et tablettes s’as­so­ciaent à Google pour promettre des mises à jour vers les nouvelles versions de l’OS Android pendant 18 mos après la sortie du télé­phone.

    C’est le mini­mum si on veut consi­dé­rer que le produit est main­tenu, et qu’il a une durée de vie signi­fi­ca­tive. Ache­ter un produit plus de 500 euros et avoir l’im­pres­sion qu’il est dépassé car non mis à jour 6 mois après, ce n’était plus tenable. Que cette obso­les­cence soit unique­ment du ressenti marke­ting ou pas n’y change fina­le­ment rien, c’est inte­nable.

    Sauf que voilà, à peine moins de 6 mois après cet enga­ge­ment, sort la version 4 d’An­droid, tant atten­due. Visi­ble­ment l’en­ga­ge­ment n’aura même pas tenu une seule mise à jour. Les construc­teurs parlent de mises à jour discré­tion­naires pour tel ou tel appa­reil suivant les volon­tés marke­ting. Avoir un appa­reil haut de gamme large­ment assez puis­sant n’y chan­gera rien : Google’s Android Update Alliance Is Already Dead.

    S’il fallait un exemple sur le pourquoi il devient impor­tant d’ou­vrir les boot­loa­der des télé­phones pour que les commu­nau­tés puissent prendre la main sur les mises à jour : le voilà. À vous de faire votre choix, sur ce point comme sur celui du suivi des mises à jour, tous ne sont pas logés à la même enseigne.