Spécial sécurité : les Anonymes contre Bank of America, Quai d’Orsay, Health Net/IBM
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur les fuites (vols) de données très médiatisées, de Bank of América, du Quai d’Orsay (dans une moindre mesure) et des fichiers égarés par les services de Health net aux Etats-Unis. Ils s’intéressent ensuite à la prise de parole d’un blogger américain sur le droit à l’oubli. Un problème épineux que doivent affronter aujourd’hui les politiques français.
Sommaire
1 - Les Anonymes contre Bank of America, Quai d’Orsay, Health Net/IBM
2 - Droit à l’oubli, anonymat : le bâton de poulailler d’Internet
3 - Devenir spam-king en une leçon
1 - Les Anonymes contre Bank of America, Quai d’Orsay, Health Net/IBM
Une partie de la correspondance échangée entre une société d’assurance-crédit et Bank of America a été volée par des anonymes, puis diffusée sur différents canaux de diffusion publique. Les courriels de l’entreprise ciblée, Balboa Insurance, dévoileraient des irrégularités commises par la société afin d’accélérer les procédures de saisie-expulsion. Ces saisies concerneraient des dossiers provenant des affaires anciennement traitées par IndyMac et Aurora Loan Services, deux grands cabinets de prêt hypothécaires ayant fait faillite. IndyMac était un spécialiste des opérations de prêts usuriers dont le dépôt de bilan remonte avant la crise des subprimes. Il avait fait l’objet de différentes accusation pour pratiques frauduleuses, usure, et avait été poursuivi en « class action » par des associations de consommateurs. Aurora était une filiale du défunt Lehman Brothers.
Bank of America, par la voix de la BBC Online notamment, dément toute pratique frauduleuse et considère les accusations des anonymes comme étant « extravagantes ». Du côté des anonymes, l’on sous-entend que cette première fuite d’information pourrait être suivie d’autres vagues de diffusion de données… menace qu’avait déjà proféré Julian Assange, fondateur de Wikileaks peu de temps avant son arrestation, et qui n’a pas été mise à exécution. S’agit-il là des mêmes documents ? Pour l’heure, il y a considérablement moins d’information dans les « révélations » des anonymes que dans un des films de Michael Moore.
Sur le thème de la fuite de données, continuons avec « l’affaire du siècle », la fuite de données qui aurait fait trembler le Quai d’Orsay (0,5 sur l’échelle de Richter : la publication d’un appel d’offre public relativement abstrus). Cedric Blancher revient sur ce ténébreux scandale et décortique... les mécanismes informatiques qui permettent à nos fonctionnaires de transformer un document classé « confidentiel » en un formulaire « public », par simple masquage au noir des parties sensibles. Mais contrairement à ce qui se pratique sur Cryptome (qui numérise des documents « papier » déjà expurgés par un véritable feutre indélébile) nos doctes Serviteurs de l’Etat persistent à effectuer un « raturage informatique », qui ne masque rien si l’on connaît un tant soit peu la structure du format de fichier PDF.
Si les documents publiés aux USA sur Cryptome en vertu du « freedom of information act » sont dévoilés avec une attention soigneuse, ce n’est pas le cas des fichiers de Health Net, un fournisseur de services sous-traités spécialisé dans le traitement de dossiers d’assurance médicale aux Etats-Unis. Cette fois, nous apprend un communiqué de l’entreprise, ce sont 1,9 million d’identités qui auraient disparu. Noms, adresses, informations médicales, peut-être même informations bancaires ou financières… La faute à quelques disques durs baladeurs dont on ne retrouverait pas la trace, et qui, en toute logique, auraient dû se trouver quelque part dans un datacenter géré par IBM. L’alerte a été donnée par les techniciens de Big Blue. Généralement, ce genre de perte accidentelle ne débouche qu’exceptionnellement sur des usurpations d’identité, mais les obligations d’avertissement auprès de chaque victime potentielle et l’impact à l’image de marque coûtent relativement cher à l’entreprise fautive.
2 - Droit à l’oubli, anonymat : le bâton de poulailler d’Internet
Ron Miller, journaliste aussi américain que blogueur, revient sur l’idée de « droit à l’oubli » sauce européenne ou tel que prôné par Nathalie Kosciusko-Morizet. « et pour parler franchement, le journaliste que je suis a la frousse devant une telle notion. Imaginez qu’un Richard Nixon puisse éliminer a posteriori toute trace de son implication dans l’affaire du Watergate ». Argument qu’il oppose immédiatement aux excès d’une « mémoire internet » qui exposerait en permanence la moindre incartade d’un adolescent, les propos haineux tenus par un lecteur répondant à un article de presse, les multiples stigmatisations, petites (ou grosses) calomnies et atteintes à la vie privée, à l’intimité des personnes. Même s’il pouvait exister une procédure légale ou morale qui facilite la suppression de certains détails gênants affectant un internaute, les caches Google, les « reprises » totales ou partielles de l’information par d’autres sites ou blogs, la propagation des propos par les réseaux sociaux rendraient vain tout espoir de véritable amnésie technique. Le droit à l’oubli est souvent juste et souhaitable, mais totalement irréaliste, conclut Miller.
Impossibilité technique, nécessité de mémoire historique, comportements naïfs ou imprudents de certains internautes, impunité quasi absolue des propagateurs de calomnie, agissant sous le couvert de l’anonymat… le « droit à l’oubli » soulève une multitude de vrais problèmes et un faux débat. Une solution politique ne pourrait que justifier l’instauration de nouvelles mesures de flicage, de nouvelles « bonnes idées » de la part du législateur qui, sous prétexte de protection de la vie privée, justifierait de nouveaux dispositifs d’identification encore plus intrusifs, de procédures de censure à action immédiate (si possible sans la moindre intervention d’un juge sous prétexte de ne pas encombrer les tribunaux). Ron Miller lève un lièvr e, et toute une armée de rongeurs en profite pour s’échapper.
Car aux questions de préservation de la vie privée et du droit à l’oubli, se greffe celle de l’anonymat. Une question toute aussi épineuse que pose Christopher Poole, 23 ans, créateur de 4chan, et que développent nos confrères du Monde : d’un côté l’école Zuckerberg qui milite en faveur d’une identification de chaque usager de Facebook, de l’autre la réaction opposée de Poole qui, en raison précisément de la surexposition de la vie privée qu’occasionnent les outils de l’Internet 2.0, milite en faveur d’un « droit à l’anonymat » (qui éviterait de se poser plus tard la question du droit à l’oubli).
Débat manichéen, débat biaisé. Car combien sont hypocrites les propos de Zuckerberg sur l’obligation « morale d’une identification des personnes qui entraînerait une prise de conscience sur la responsabilité des propos tenus sur le Web ». Quand on fait fortune sur une industrie qui exploite le nombrilisme et le voyeurisme, plaider en faveur d’une rectitude morale frise le paradoxe. Et combien est tout aussi intenable la position de Chris Poole, qui oublie, dans la balance, le risque d’absence de frontières morales que pourrait entraîner un anonymat complet. Le masque qui éliminerait le sur-moi, en quelques sortes « pas de transparence et d’indépendance de l’information si l’informateur peut être personnellement identifié ; il ne peut y avoir d’information ou de communication fiable sans un anonymat protecteur de la source ou du créateur » dit en substance Poole. Les propos de Poole se défendent d’autant plus que 4Chan est plus un espace de happening et de manifestations parfois humoristiques et contestataires. Et ce qui touche au monde de l’expression graphique est indissociable de la notion de « nom d’artiste ». Le pseudonyme devient une marque de fabrique, une identité à part entière, qui accompagne l’œuvre ou l’expression. Mais l’anonymat possède également un côté moins artistique, plus obscur, celui des règlements de compte, des opérations de chantage ou de diffamation. Anonymat, identification systématique, droit à l’oubli ou obligation de souvenir, il n’existe pas de réponse tranchée. Et toute tentative de solution politique ou juridique cherchant à « résoudre ce grave problème » ne pourrait être que suspecte, ou naïve, ou les deux à la fois.
3 - Devenir spam-king en une leçon
Social engineering pour les nuls ou, sur la liste FD, comment pirater des comptes Twitter à la pelle à l’aide d’un script minimaliste. Un mécanisme sans grande imagination qui peut être étendu à la plupart des applications web intégrant une fonction d’initialisation du mot de passe. Dans certains cas, un simple Captcha peut être utile… ou une « question secrète » réellement secrète.