Turing, Asimov, Orwell, Huxley - 70 ans d’histoire de l’informatique et de la surveillance - Benjamin Sonntag

Une synthèse issue d’années de réflexion sur les enjeux du numérique. Après un rappel, exemples à l’appui, d’à quel point notre monde est informatisé et pourquoi, depuis Turing, cela pose des problèmes majeurs aux entreprises, aux états, aux individus, et surtout aux défenseurs des libertés fondamentales Je vous proposerai des solutions à ces problèmes, à court ou long terme, chacun selon ses capacités. Au final, venez découvrir une belle histoire, y apprendre ou réapprendre les fondamentaux de la cryptologie, des DRM, du big data, et leurs enjeux.

Mon petit point sur la conférence de Benjamin de LQDN, dont je lis régulièrement le blog et regarde inlassablement les conférences passées, sur une mise au point de l’histoire de l’informatique.

Le monde actuel est géré par des ordinateurs, et s’il n’y a pas encore dans certains domaines, c’est simplement que les projets ne sont pas encore lancés, mais croyez bien que des prototypes ou des esquisses sont déjà chez quelques personnes.

La voiture, le distributeur (de billets ou de confiseries), l’avion, même le pacemaker, sont désormais géré par des ordinateurs. Ce dernier aura droit à une petite histoire : de nos jours le pacemaker à une interface de connexion, filaire ou non, ce qui signifie que potentiellement quelqu’un pourrait s’insinuer par cette interface et ensuite prendre le contrôle de l’appareil. Oui, ça signifie que la personne en question peut le couper, l’accélérer, le ralentir, il a votre vie entre ses mains, je toruve ça charmant. Ceci est le fruit de ce qu’on appelle l’informatique programmable, c’est effectivement une lame à double tranchant.

L’état dans tout ça, voudrait réguler le domaine des technologies, on le voit avec les voitures : des freins sont obligatoires (seriously?), et les clignotants aussi, pourtant, nul besoin de ça pour que la voiture fonctionne, et on aura beau la modifier, la voiture restera une voiture, c’est un appareil qui a une fonction qu’on ne peut pas vraiment lui enlever. On dit qu’un appareil est physiquement dédié à une tâche.

Des régulations peuvent être faites pour les ordinateurs, pour l’informatique programmable, mais les limitations ne sont pas possibles par définition, car ce qui se programme peut se reprogrammer. Nous avons eu droit à un exemple avec une imprimante, une personne a réussi à programmer l’écran de son imprimante pour jouer à Doom, n’est-ce pas beau ?

Seulement, s’il a pu faire ceci, imaginez ce que peut faire le constructeur, lui qui connaît bien mieux son propre appareil. On ne peut pas du tout se fier à une imprimante, branchez-en une chez vous, vous ne l’empêcherez pas de scanner votre réseau, de bloquer une impression d’image sous copyright. Ce qu’il y a de plus chiant avec une imprimante ? Le coût de la cartouche (plus coûteux que votre sang !), et vous pouvez être obligé de l’acheter que les constructeur, car encore une fois, ils programment en générale une petite puce pour reconnaître une cartouche de la famille et l’accepter, sinon elle n’imprimera rien avec une étrangère.

Eh oui, ce sont encore des DRMs, qui freinent encore plus notre consommation du numérique que l’on ne pourrait le faire avec notre consommation physique. Heureusement, pour citer Benjamin, « > les DRMS c’est de la crypto qui ne marche pas ». Malheureusement on en trouve tellement un peu partout… Un DVD acheté ne pourra être lu que sur un support disposant d’une clé pour déchiffrer le contenu du média, un livre electronique ne peut être lu que sur la liseuse choisie (Amazon, u know ?), et bien d’autres.

Le bilan aujourd’hui c’est :

  • informatique ubiquitaire,
  • réseau ubiquitaire,
  • stockage massif,
  • capacité de calculs (algo & CPU),
  • + impossibilité de prouver la disparition ou la suppression d’une donnée.

Il y a des ordinateurs partout, il y a du réseau partout (qualités différentes certes mais quand même), stockage à n’en plus savoir quoi faire (si je pouvais intercepter les communications de mes voisins, j’aurais déjà la place pour tout enregistrer), des processeurs toujours plus puissants/performant pour traiter l’informations et avec des algorithmes plus pointu et dédié à certains calculs (surveillance…).

Je trouve que nous sommes dans une triste époque pour l’informatique, quoique, c’est justement le moment de monter à la charge, de se battre contre EUCD, DADVSI, DMCA, de bloquer les DRMs, de rendre la surveillance impossible ou fichtrement difficile. Si quelque chose vous paraît anormal, illégitime, dénoncez ! et privilégiez le concept de « privacy by design ».

Privacy by design : intégrer le concept d’intimité dans la conception même des systèmes.

IMSI Catchers, GSM/3G/LTe - Yves Rougy

Qu’est-ce qu’un IMSI Catcher ? Présentation des bases GSM pour comprendre l’IMSI Catcher, passage en 3G en 4G. Dangers et conséquences. Détections et contre-mesures.

J’ai trouvé que les bases étaient facilement introduites pour comprendre le principe du réseau des téléphones. Reprenons le schéma explicatif :

  • Téléphone identifié par IMEI (adresse unique de l’appareil),
  • carte SIM (abonné) identifié par IMSI (contient clé de chiffrement),
  • antenne qui annonce son opérateur.

Un téléphone recherche toujours l’antenne offrant le meilleur signal, il vérifie périodiquement la présence d’une antenne plus proche. Lorsque le contact entre le téléphone et l’antenne a lieu, ils génèrent un TMSI (IMSI temporaire) afin de préserver la confidentialité de ce numéro (unique donc). Pour transférer un appel ou un SMS, une antenne broadcast un message pour savoir (dans la dernière zone où l’appareil était connu) où se trouve tel appareil, ça s’appelle le « paging ».

Alors un IMSI catcher dans tout ça ? Eh bien il vient se poser entre une antenne et notre téléphone, il émet un signal de meilleure qualité, ainsi notre téléphone s’y connecte. Pour avoir notre code IMSI, le vilain demande une authentification, mais il peut aussi demander à ce que notre appareil ne cherche pas de meilleur signal tant qu’il est relié au IMSI Catcher, il peut lui faire changer sa configuration de serveur MMS/SMS, et encore dans le cadre du possible, il peut envoyer un nouveau dirmware à l’appareil pour une mise à jour.

C’est sale, très sale tout ça, mais, mais ! l’IMSI C. n’a pas de clé de chiffrement, historiquement ils faisaient passer la conversation entre vous et lui en claire. Maintenant ils peuvent ne pas y toucher, puisque le chiffrement est vulnérable, (A5/1 et A5/2) ainsi, après une petite minute au pire ils auront la possibilité de déchiffrer et chiffrer votre conversation à la volée, peut-être même le proxy pour l’accès à Internet. Cette configuration modifiée peut rester jusqu’à ce qu’un opérateur vous propose une nouvelle configuration.

Pourquoi ça a été déployé/répandu ? Pour faire une liste des IMSI dans une zone donnée, et corrêler les informations avec d’autres captures afin d’identifier des personnes. Pour de l’écoute ciblé, pour bloquer les communications GSM (p. ex. lors d’une manifestion, pour empêcher la coordination ils peuvent ne pas laisser passer d’appel). L’avantage (pour eux) c’est de ne pas avoir besoin de l’accord d’un juge (qui astreindrait un opérateur pour l’écoute de quelqu’un). Le soucis c’est que cela ça peut être fait pas n’importe qui ayant deux prérequis : connaissances techniques des réseaux de téléphones, matériel radio. C’est loin d’être réservé à une minorité spécialisée.

C’est un gros soucis pour la sécurité, car non seulement on ne sait pas qui s’en sert, et encore moins comment. Il y a aussi de l’écoute passive contre laquelle on ne peut rien faire si ce n’est avoir une couche de chiffrement, c’est peu fiable comme attaque mais elle est indétectable.

Comment se protéger, concrètement, comment détecter la présence d’un IMSI catcher ? Désolé, pas de vraie solution, seulement des relevés d’informations.

  • Snoopsnitch : détecte mes anomalies du réseau, le problème c’est que dans la vraie vie on peut voir les mêmes. Comme sortir du métro, revient à passer d’un signal faible à fort, sera détecté comme suspect. Il faudra trier les informations.
  • AIMSICD : il y a beaucoup de travaille à faire, il se base sur une base d’antenne connue.
  • Analyse radio d’un lieu fixe : mapper le réseau sur plusieurs jours pour voir comment il se comporte dans la zone, ainsi détecter une activité anormale (brouillage de fréquences, une antenne d’un opérateur sur la fréquence d’un autre).
  • Chiffrement : SMSSecure pour vos messages, RedPhone pour les appels, ou autre, mais dans ce style vous chiffrer au niveau applicatif, ce sera déjà une bonne chose de faite.
  • Si gros doute et risque critique : éteignez le téléphone, ou demandez à quelqu’un de vous appeller, si cela ne marche pas, ou très mal, c’est qu’il y a une anomalie.