Spécial sécurité : La vente d’exploit, générateur de salive, d’encre et de suspens sauce barbouzes

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, attirent notre attention sur cinq informations qui ont rythmé ce début d’avril. Ils se sont tout d’abord intéressés à la polémique autour de ventes d’exploits en revenant sur le refus de l’équipe de Vupen à partager sa trouvaille. Puis ils pointent du doigt quelque principe de l’Hadopi et une étude sur le copyright et le livre électronique. Ils terminent ce premier tour de piste du mois par un projet de loi européen anti-hacker et un autre, outre-Manche, de surveillance de l’ensemble des communications des citoyens de sa Gracieuse Majesté.

Sommaire :
1 - La vente d’exploit, générateur de salive, d’encre et de suspens sauce barbouzes
2 - Hadopi, occulter l’encouragement au piratage
3 - Etude : Le Copyright, pour mieux tuer le livre
4- Le parlement Européen veut une cyber-Europe flicable à 100%
5- Ici Londres, les fliqués parlent aux fliqués…

1 - La vente d’exploit, générateur de salive, d’encre et de suspens sauce barbouzes
La polémique a plus ou moins débuté sur la liste Daily Dave, lorsque Dave Aitel, patron d’Immunity Sec et vendeur d’un redoutable outil de pentesting, signale l’existence d’un article d’Andy Greenberg dans les colonnes de Forbes. Il relate notamment la performance de l’équipe Vupen lors du challenge P0wn20wn. En un temps record, le groupe de Français éparpille façon puzzle les tripes du navigateur Google, mais refuse, au moment de la remise des prix, de fournir la recette de son exploit.
Consternation
Dévoiler les secrets de fabrique est une quasi-tradition lors de ces concours. L’esprit du jeu s’inscrit dans la droite ligne des CTF Defcon ou des courses au cassage de clefs de chiffrement. Des concours généralement remportés par des gourous du code venus soigner leur image de marque ou par des instituts de recherche disposant de réseaux de machines massivement parallèles dressées à détecter des « collisions » aussi hermétiques tortueuses et abstruses que les pensées cachées d’un homme politique en période pré-électorale.

L’histoire aurait pu toutefois s’arrêter là. Un discret « Nous réfléchissons aux modalités liées aux nécessités de remédiation éventuelle de ce genre de vulnérabilité, mais il est encore un peu trop tôt pour en fixer les étapes définitives » aurait noyé le p0ney avec tout au plus quelques remarques acides dans certains blogs de la côte Ouest. Une non-présence au dit concours aurait même été bien plus efficace… ou, en admettant que la participation de Vupen à cette épreuve soit d’une importance marketing certaine, une troisième place ou l’usage d’un exploit moins sensible serait passé comme un courriel au MTA*.

Mais le patron de Vupen, très probablement emporté par l’ivresse de la victoire et la pression des journalistes sur place, manque de diplomatie, et déclare que « même contre un million de dollars nous ne partagerons cette connaissance avec Google/…/ Nous conservons cette découverte pour nos propres clients ». 3pic F4il diplomatique : Vupen n’a fait qu’énoncer très haut ce que ses concurrents pensent tout bas… la discrétion est mère de la porcelaine, dans le business de la cyber-armurerie.

Il n’en faut pas plus pour que le papier de Greenberg fasse réagir l’EFF (Electronic Frontier Foundation). On sait très bien à qui Vupen et les sociétés de ce type vendent leurs exploits, écrivent en substance Marcia Hofmann et Trevor Timm : aux pays membres de l’Otan, dont font partie des pays peu réputés pour leur sens aigu de la démocratie : Russie, Ukraine, Azerbaïdjan, Bello-Russie… et de conclure « tout chercheur en sécurité qui vend un exploit zéro day à ceux qui l’utilise autrement que pour réparer le logiciel incriminé porte la responsabilité de contribuer à un Internet moins sûr pour ses usagers » (any security researcher selling zero-day exploits to those who take advantage of vulnerabilities rather than fixing the software is responsible for making the Internet less secure for users).

Greenberg récidive avec un second papier « faire son marché de ZDE » : tous les tarifs des exploits secrets qu’utilisent les hackers. Un barème que reprennent d’ailleurs nos confrères de ZD Net. La liste de prix en question semble un peu fantaisiste (la valeur de l’exploit Flash dans la vraie vie, par exemple, est située bien en dessous de 100 000$, et encore, s’il est payé) mais ce tableau donne au grand public une information qui, jusqu’à présent, ne dépassait pas les discussions entre gens du milieu : on vend du trou logiciel, et il existe un business de ce qui peut en résulter, à savoir un programme d’espionnage.

Hors, le maquignonnage de la faille avec exploit est un sujet tabou. Tabou car il recouvre une foultitude de cas de conscience.

A commencer par celui soulevé depuis des années par le mouvement « full disclosure », qui milite pour une divulgation publique du défaut en vertu du principe qu’une faille connue est une faille à laquelle on fait attention et que l’on soigne, soit par application d’un correctif, soit par mise en œuvre d’une mesure de contournement. Face à eux, les défenseurs de la sécurité par l’obscurantisme, qui prônent la discrétion : faille inavouée n’est pas à corriger, et coûte donc rien au contribuable. « A condition que les blackhats ne découvrent pas cette faille à leur tour » rétorquent les premiers. La querelle dure depuis quelque 20 ans.

Vient ensuite la question de la rétribution des inventeurs de failles. Une revendication qui date de l’époque des multiples « Month of XXX Bug » et de la campagne « No more free bug » lancée en mars 2009 par trois grands noms de la découverte de faille : Dino Dai Zovi, Charlie Miller et Alex Sotirov. Le message est simple : La découverte d’une faille et de sa méthode d’exploitation (donc de son indice de dangerosité) est le fruit d’un travail important. Nous ne voulons plus travailler « pour la gloire et pour des prunes », les failles devront pouvoir être monnayées, et non pas être le prétexte de la part des éditeurs de menaces de poursuite en justice (rappelons que la loi Française peut être sujette à interprétation lorsque l’inventeur n’est pas un professionnel patenté).

Cette peur de l’avocat a d’ailleurs profité à des organismes pilotés par d’autres éditeurs, notamment le ZDI ( Zero Day Initiative ) qui joue le rôle de tampon entre inventeur et éditeur, et rétribue au passage le chercheur en fonction de l’indice de gravité de sa trouvaille. Dans la foulée, Google, la Mozilla Foundation et quelques autres éditeurs ont accepté de publier des tarifs officiels de rétribution en cas de découverte de faille. Mais la « L33t Prime » de Google, si l’on en juge par l’aventure Vupen, n’est pas assez bien payée pour être incitative.

Mais alors, pourquoi la vivacité de la réaction de l’EFF ?

Parce qu’avec le fil du temps, la liste « Full Disclosure » a vu ses principaux ténors quitter la scène. Certains par peur des représailles des éditeurs, d’autres sans motif réel. Comment un « couple » comme http-equiv et Liu Die Yu, habitués à publier au minimum une faille exploitable par semaine, a-t-il littéralement disparu du jour au lendemain du paysage de la recherche en sécurité ? Pour certains, la raison se résume en trois lettres. NSA, CIA, FBI… Les fantasmes et les preuves indirectes des opérations de cyber-guerre, notamment les vagues d’intrusion « qui ne sont pas d’origine Chinoise de manière certaine » ont rapidement fait grimper les grilles de salaires dans la fonction publique. L’inventeur de faille ne travaille plus pour un Internet plus sûr et des logiciels plus sains, il œuvre à la défense de son pays. Jusque-là, rien de franchement critiquable, même si la moralité et l’amour de la paix en prennent un coup. Glissons au passage une remarque sur le vieux mythe de la «trappe NSA » contenue dans les sources Unixiens : à l’époque de cette rumeur, les noyaux en service étaient tous bien plus truffés d’imperfection qu’ils ne le sont à l’heure actuelle. Se fabriquer une trappe ne nécessitait aucun développement particulier.

Mais l’histoire récente a prouvé que l’usage de ces cyber-armes ne servait pas seulement à combattre des Etats-Nation en état de se défendre ou des hordes de terroristes. Ce que l’on pourrait appeler le « complexe Amesys » (voir l’ouvrage de notre confrère Jean Marc Manach sur le sujet ) frappe également ces fournisseurs d’exploits. Des outils pour se défendre, certes, mais des outils qui se banalisent et sont employés de plus en plus contre des citoyens « normaux ». L’exploit est à la cyberculture ce que l’écoute téléphonique était aux politiques il n’y a pas si longtemps : une technique de très basse police qui peut viser des journalistes, des acteurs, des syndicalistes… y compris dans des pays qui ne présentent pas les signes extérieurs d’une dictature. Le prétexte du terrorisme favorise les dérives et les actions populistes. Le danger de l’exploit ne réside pas dans sa fabrication mais dans son usage. Il en est de même pour tout autre engin de mort : canon de 155, automobile, couteau de cuisine…

Ce que l’EFF exprime, avec son communiqué, c’est que les vendeurs d’exploits doivent être conscients de leur responsabilité et de l’usage de leurs outils. Ils sont la source, pas coupables mais responsables indirects. Il ne peut y avoir d’amoralité (d’absence de problème moral) en vertu d’une logique d’entreprise : le marchand d’armes a autant de sang sur les mains que celui qui les utilise extrapole l’EFF.

La critique vise d’ailleurs moins Vupen (et concurrents) que les gouvernements clients de ces entreprises de vente d’exploit. Il faudrait que ces armes logicielles ne soient jamais banalisées, qu’elles ne franchissent jamais la frontière d’usage très précise qui sépare d’un côté l’armée (cyber ou non) et les services spéciaux (qui, puisqu’ils sont « spéciaux », utilisent des méthodes hors de tout cadre légal) et les forces régaliennes civiles, la police, la justice, qui se doivent de ne jamais dépasser les limites de la constitution. Aux politiques de ne pas déplacer ces limites ni rendre cette frontière trop élastique. Que les exploits servent à la défense de la nation, utilisés par des espions ou des militaires, passe encore, qu’ils soient utilisés contre les citoyens, à l’intérieur de nos frontières, cela devient insupportable. Un débat houleux qui n’est pas prêt de se calmer.

*NDLC Note de la correctrice : la Commission de la Langue Française s’interroge encore sur cette formulation moderne d’une expression fort ancienne. La quasi disparition des lettres-papier et des bureaux de poste ruraux aidant, certains dires doivent nécessairement évoluer ou périr.



2 - Hadopi, occulter l’encouragement au piratage
Alors que l’on entend grincer chaque jour un peu plus le ressort du siège éjectable qui menace les locataires de la Rue du Texel, de nouveaux chiffres, de nouveaux éclairages laissent entendre des vérités nouvelles, ou plus exactement des faits que peu de personnes veulent entendre.

A commencer par cette étonnante frénésie pré-électorale qui frappe la Haute Autorité, qui, coup sur coup, lance les premières procédures qui conduiront aux poursuites de contrevenants supposés et vante à qui veut bien l’entendre son efficacité au fil d’un rapport de 14 pages au contenu discutable… et discuté, notamment par nos confrères du, Figaro, journal que l’on peut difficilement taxer d’antigouvernemental. Dans les grandes lignes, le mécanisme de délation mis en place par la Haute Autorité et assuré par des entreprises privées prétend à des victoires (la baisse du téléchargement de fichiers de musique et de vidéo numérique) en utilisant des statistiques expurgées. Certes, la peur du gendarme a fait brutalement baisser la fréquentation des sites d’échange P2P, cela ne fait aucun doute. Mais la brusque montée en puissance des sites de streaming a volontairement été sous-évaluée dans cette étude, explique l’article du « Fig.com ». L’article en profite d’ailleurs pour revenir sur un sujet qui fâche, l’indigence de l’offre légale en matière de produits de divertissement sur support numérique (et ce, malgré les tentatives de maquillage d’échelle effectuées sur les graphiques du rapport Hadopi). S’ajoute à cette pauvreté de l’offre les freins que les éditeurs imposent aux produits ainsi diffusés (verticalité des plateformes, catalogue peu étoffé, application de mécanismes anti-copie allant à l’encontre du principe de l’écoute « mobile »…).

Nos confrères de PCInpact rappellent à ce sujet une vieille étude de 2012 qui laissait clairement entendre que le « piratage » était un vecteur favorisant la consommation de produits légaux : plus je consomme, plus je suis victime d’accoutumance, plus je suis accoutumé, plus je cherche à enrichir les canaux d’addiction, donc plus j’achète de disques et de DVD. Cette logique qui règle depuis toujours le business de l’édition musicale, littéraire et cinématographique (voir également des logiciels) pourrait pourtant constituer la nouvelle voie qu’une Hadopi pourrait exploiter avec profit.

Mais pour y parvenir, il faudrait qu’un certain nombre de choses change. A commencer par la « motivation » des actions de la Haute Autorité. Interrogé lors d’un débat public sur les raisons des dispositions et sanctions, le patron même de l’Hadopi déclarait « parce qu’il fallait bien faire quelque chose ». Une politique de l’action à tout prix qui manquerait malencontreusement de réflexion étayée.

Si motivation il fallait trouver, ce serait déjà en abandonnant le langage amphigourique tenu jusqu’à présent. Ne plus parler d’œuvres, de mise en danger de la création artistique, de dols qui contraignent les artistes au chômage … L’art réel n’est que ce qui résiste au temps, quant au terme générique d’ayant-droit , il désigne financièrement essentiellement les sociétés de production, et quasiment pas les auteurs-interprètes. Une Hadopi qui clamerait franchement qu’elle défend avant tout les intérêts d’un système de fabrication de produits formatés, industriels, pourrait enfin justifier le fait que la duplication d’un produit (et non son vol au sens technique du terme) constitue un manque à gagner pour un business de produits de variétés et de divertissement (et ne voyons pas la moindre connotation péjorative dans cette formulation). Il n’y a dans cette vision aucune prétention artistique, aucun pseudo héritage créatif, seulement une logique de l’argent. Si justification à la répression il fallait trouver, ce serait à la seule condition que les contrevenants les plus « coupables » soient punis proportionnellement à leurs méfaits. On appelle ça la « proportionnalité de la peine », notion absente de l’actuelle loi régissant le cadre de la Haute Autorité. Un adolescent accro à David Guetta peut fort bien fauter 3 fois de suite… sans pour autant mériter le titre de Serial Downloader. Techniquement parlant, c’est une victime du consumérisme de variétés. Il est en revanche assez étrange que l’Hadopi n’ait elle-même engagé aucune poursuite sur des IP qui ne téléchargent jamais mais qui « font télécharger », adresses pourtant généralement situées au sein de l’espace européen. EZTV par exemple et à tout hasard. Ou lorsqu’une organisation politique, une institution officielle ou qu’un élu quelconque se rend ouvertement coupable de violation de la loi et ne déclenche strictement aucun début d’enquête. La notion d’exemplarité et de responsabilité est pourtant bien présente dans le droit Français. Cette inertie, aux yeux du public, est rapidement assimilée à une coupable cécité, voir intelligence. Vae victis, malheur aux faibles. Passons sur l’impossible poursuite judiciaire des « incitations et culpabilités par intention » des opérateurs télécom et fournisseurs d’accès qui, bien que conscients de la quasi inexistence d’offre légale, continuent à argumenter à coup de « mégabits/seconde » et de « téléchargement rapide ». Las, ces intermédiaires sont difficiles à prendre sur le fait. Toute menace d’imposition directe ou indirecte se répercuterait d’ailleurs sur le montant des abonnements. Ces promoteurs du piratage sont totalement inattaquables. D’ailleurs, ne faut-il pas leur « acheter » le service consistant à fournir les noms de leurs clients ayant utilisé les adresses IP capturées par les services de délation de l’Hadopi ? Il y a là un pouvoir politico-financier absolument intouchable, contre qui la moindre menace se retournera vers l’internaute-citoyen, que celui-ci soit coupable... ou pas. Si adhésion à sa politique il fallait inven ter, ce serait enfin que l’Hadopi puisse reconvertir une partie de son budget dans l’aide à la création individuelle et de petites structures (les labels indépendants par exemple) et non dans la consolidation financière d’entreprises de production et de diffusion de grandes envergures qui, elles, ne se sont jamais aussi bien portées. Ce serait là faire preuve de parti-pris, sans le moindre doute. Mais les gestes politiques les plus forts sont précisément ceux qui vont à l’encontre de la logique financière. On ne peut éternellement parler d’exception culturelle sans parfois tenter de jouer ces cartes de l’exception… et de la culture.

Car si incitation à la consommation il fallait créer, ce serait avant tout en redonnant au monde du show-business une apparence de valeur par la richesse et de diversité, diversité issue précisément des productions des labels indépendants et des auteurs travaillant hors de tout sérail. Il ne s’agit pas là de rêver la mort des grandes usines à tubes et à séries B, mais d’espérer se voir instituer un mécénat d’Etat alimenté par les débordements de l’économie numérique. C’est cet apport de qualité qui diminuera la dépréciation générale des productions aux yeux des consommateurs. On pirate bien souvent parce que l’on considère que le produit ne mérite pas son coût affiché (surtout au tarif des offres en ligne, voir l’article de Cedric Blancher à ce sujet). En rendant à ces productions de divertissement au moins un vernis de prétention réellement artistique et créateur, l’on commencerait très probablement à culpabiliser ou responsabiliser les internautes qualifiés de « pirates »… alors qu’ils ne sont généralement que consommateurs de productions sans valeur.

3 - Etude : Le Copyright, pour mieux tuer le livre
Il est passé quasiment inaperçu, cet article du The Atlantic relatant les travaux du professeur Paul Heald de l’Université de l’Illinois. Les propos de ce professeur, ainsi que les chiffres de son étude statistique, sont disponibles sur YouTube

Dans les grandes lignes, et en se basant sur les ventes du catalogue Amazon, il apparaît que les œuvres qui ont dépassé le siècle (autrement dit qui ne sont plus soumises au copyright) se vendent autant sinon plus que les nouveautés publiées en cours d’année. Mieux encore, les livres tombés dans le domaine public sont publiés par deux fois plus d’éditeurs et font l’objet de deux fois plus d’éditions (d’impressions) que des livres nouveaux, ceci pour un prix de vente sensiblement identique. Les trois mousquetaires sont au même tarif qu’une production Beigbeder. Tant que le copyright frappe les possibilités de reproduction d’un livre, ses chances de se faire mieux vendre passées les trois premières années de sortie sont quasi nulles : les chiffres ne mentent pas.

Les raisons de cette situation sont multiples. En premier lieu, la date fraîcheur d’un livre contemporain est très vite dépassée, en raison du déluge marketing des ouvrages tentant de prendre la relève. Au bout d’un an, le volume de vente d’un livre moderne chute de plus du tiers, et les espérances au bout de la troisième année ne sont plus que de 10 % du volume initial, toutes publications confondues. Les droits de reproduction n’encouragent pas trop les « reprint » compte tenu d’une part des frais que cela représente, et d’autre part de la difficulté de refaire du neuf avec du déjà vieux. Enfin, les produits imprimés ont, en volume, atteint une progression telle qu’il sort chaque année ce qui sortait en un siècle entier il n’y a pas 80 ans. L’industrie de l’édition est une forêt qui cache l’arbre en en tuant des millions (des arbres, bien entendu, et des livres par voie de conséquence). Enfin, pourrait-on ajouter, l’industrie du livre se rend coupable des mêmes excès que ceux constatés dans les domaines de l’édition musicale et cinématographique : l’éphémère et le volume de production immédiat l’emportent généralement sur la qualité, et l’on assiste depuis les années 70 à l’émergence d’une littérature de consommation courante, évènementielle, à très brève durée de vie. Il y a aussi de l’effet Britney dans les ouvrages d’hommes politiques, de chevaliers d’industrie, de romanciers-express moderne : aucune aspiration à la postérité dans ce genre d’écriture, seulement une volonté de vendre, vite, beaucoup, rapidement.

A contrario, les livres tombés dans le domaine public ne sont plus entravés par les coûts dus aux ayant-droits (aux USA, principalement des auteurs et descendants). Ils ont, de plus, franchi l’épreuve du temps, et ne sont rééditées que les valeurs sûres… les imprimeurs et grands librairies jouent sur du velour. En outre, la pérennité d’une réédition d’ancien est plus longue… d’une année sur l’autre, une édition de livre considéré comme classique ne perd que quelques pourcents de sa diffusion, et il faut attendre plus de 4 ou 5 ans pour que les ventes chutent de moitié. On est loin de la rapide obsolescence de l’écrit moderne. Il faut préciser que cette étude porte essentiellement sur un thésaurus d’ouvrages de langue anglaise et de livres audio (qui n’ont que très peu de succès en Europe). Mais la tendance générale s’applique également au marché européen pour ce qui concerne l’édition papier.

Il y a fort à parier que ces statistiques sont connues depuis très longtemps par les éditeurs eux-mêmes. Pour preuve, certaines maisons d’édition tentent de « se refaire » en numérisant, puis en vendant et en protégeant avec des DRM, des œuvres françaises appartenant au domaine public. Racket pour certains, préservation de la mission d’éditeur pour d’autres, la position est difficilement défendable puisque ces œuvres numériques ne coûtent rien en termes de diffusion.

En outre, l’on voit apparaître depuis quelques temps des lobbys d’éditeurs qui militent en faveur d’une appropriation des œuvres « anciennes mais non encore tombées dans le domaine public », dites Œuvres Orphelines. Si l’on se rapporte au graphique ci-dessus fourni par l’étude du professeur Heald, il s’agit ni plus ni moins de « décaler vers la gauche » les ventes de livres encore protégés par les droits de reproduction, qui ne coûteraient rien en terme de réédition (faute d’ayant droit déclarés) mais qui pourraient rapporter autant qu’une rosière de l’année. L’appât du gain est tel que des mouvements de pression agissent au niveau européen pour organiser ce que certains (dont l’Aful) considèrent comme une forme de vol organisé au profit d’un quarteron d’entreprises financières.

Nous nous trouvons aujourd’hui à l’aube d’une évolution des usages, qui pourrait bien changer une nouvelle fois les statistiques des grands ( du grand) marchands de livres : le livre électronique. Plus aucun circuit de diffusion physique n’est nécessaire entre l’éditeur et le lecteur. Sans oublier un détail qui a son importance : l’écriture ne se démode pas. Si l’on peut sourire aux accents larmoyants de Tino Rossi ou de Léo Dassary, les mots et les idées de Lucrèce, de Dumas, de Plutarque, de Balzac, voire de Pierre Dac ou de Michel Audiard ne prennent pas une ride. Ce qui veut dire que plus se développera le livre électronique, plus l’industrie de l’édition sera en concurrence directe avec un mastodonte indestructible, le thésaurus des œuvres du domaine public, celui-là même qui se « vend » autant que les productions de l’année lorsqu’il est réédité en format papier, et qui risque bien de battre tous les records s’il est disponible et diffusé gratuitement sur le marché des tablettes tactiles et liseuses.

Tout comme dans les domaines de la musique et de la vidéo, la seule parade que pourront trouver les éditeurs consistera à augmenter la proportion d’œuvres de qualité dans la soupe générale de la production de consommation. Dans le cas contraire, il faudra s’attendre à ce que se reproduisent les mêmes erreurs, les mêmes fausses études, les mêmes cris d’orfraie, les mêmes rudutexelisations d’une industrie qui est nettement moins bien portante que celle de la musique de distraction ou des blockbusters Hollywoodiens.

4 - Le parlement Européen veut une cyber-Europe flicable à 100%
Une page du site du Parlement Européen explique dans les grandes lignes les bases d’un projet de loi « anti hacker » qui risque fort bien de transformer le Net du vieux continent en une sorte de panoptique exposé aux seuls yeux des polices… et des véritables black-hat.

Le projet est présenté comme un texte visant à défendre contre des attaques Scada et rassure en disant que les sanctions prévues ne concerneront pas les « cas mineurs »… une pondération qui n’a bien entendu strictement aucune signification d’un point de vue juridique.

Aux termes de cette loi, la production et la vente de « cyber-attaque » (y compris des logiciels de cassage de mot de passe) sont passibles de poursuites. Le but évident est d’entraver le développement de toute entreprise privée d’écriture d’outils de test de pénétration et d’en interdire l’usage. Ce qui exposera encore plus les entreprises Européennes aux attaques distantes perpétrées par des réseaux mafieux ou des entités nationales impliquées dans des opérations d’intelligence économique. Le pentesting, qu’il soit artisanal (car toutes les PME ne peuvent s’offrir le luxe et l’attention toute particulière des fonctionnaires de l’Anssi) ou professionnel, ainsi que le développement de certains métiers de la sécurité sont donc condamnés à terme. Font également partie des choses condamnables l’IP spoofing (l’usage de Tor ou d’un vpn en font donc nécessairement partie). Le parlement étend d’ailleurs au niveau de l’entreprise le « délit d’incompétence technique » inventé pour Hadopi, en cas de cyber-méfait commis par un intrus qui se serait infiltré sur le réseau de ladite entreprise. Ces dispositions, précise avec un cynisme le communiqué, sont dictées par les précédents des attaques qui ont visé l’Estonie en 2007, la Lituanie en 2008, et le secteur IT de structures publiques et privées dans plus de 103 pays en mars 2009. Dans les trois cas, l’attaque ne provenait pas de l’intérieur des frontières de l’Europe, aucune puissance du concert Européen n’a été capable de déterminer avec précision et certitude l’origine de ces attaques (donc de poursuivre les éventuels « spoofeurs » d’adresses IP) et ont clairement mis en évidence la carence des administrations Européennes ainsi que du secteur privé en matière d’audit et de contrôle des protections périmétriques et des filtrages au niveau des infrastructures nationales.

5 - Ici Londres, les fliqués parlent aux fliqués…
24 heures plus tôt, l’article de Guillaume Champeau aurait pu passer pour un poisson d’Avril de très mauvais goût. Londres, titre notre confrères du Numerama, va surveiller tous les appels et visites de sites Web. Un projet de loi conçu dans le but de profiler les communications des sujets de sa Gracieuse Majesté et ainsi établir une base de données des relations habituelles de chaque personne sur Internet. C’est avec de tels outils, et en vertu des textes Britanniques donnant à la police le droit d’arrêter quelqu’un sous prétexte de « légitime suspicion », que régulièrement des citoyens se font arrêter, emprisonner, spolier de certains de leurs biens.

Un article du Guardian se veut rassurant : le contenu des conversations ne se ra pas écouté… seules les identités des correspondants serviront dans cette collecte d’information.

Mettons de côté l’aspect Orwellien d’un tel flicage et passons l’éponge sur cette disparition totale de l’intimité des communications. Et plaçons-nous dans le contexte d’une entreprise Française ou d’un collaborateur envoyé en mission Outre-Manche. Si ce texte est adopté, il faudra oublier toute confidentialité des réseaux d’affaire. La destination, la fréquence, la durée des communications dans des secteurs sensibles constituent des informations importantes, des indices capitaux en matière d’intelligence économique. A l’échelon d’une nation, cela devient de l’espionnage industriel extensif. Lorsque l’on rapproche cet éclairage et le fait que le Royaume Uni fait partie de l’alliance UKUSA, on est en droit de se demander si le rôle du Parlement Européen ne serait pas précisément de règlementer des initiatives aussi extrémistes.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close