Spécial sécurité : desanonymisation de blogs, beaucoup de bruit pour rien
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'amusent de la poussée de fièvre du Web suite à un amendement déposé par un sénateur, proposant de rendre obligatoire l'identification des rédacteurs de blogs. Un amendement mort-né, estime CNIS. Avant de se pencher sur d'autres phénomènes d'emballement médiatique touchant le Web 2.0 : l'affaire touchant la capture de données WiFi par le service StreetView de Google et celle relative aux salariés d'Alten que leur employeur menace de licencier suite à leurs propos sur Facebook.
1) Désanonymisation des blogs : beaucoup de bruit pour rien
Par souci sécuritaire, le sénateur UMP Jean-Louis Masson propose une modification de l’article 6 de la LCEN contraignant les blogueurs « non professionnels et professionnels » à divulguer leurs nom, prénom, adresse e-mail, adresse de domicile et numéro de téléphone. Ceci dans le but de lutter contre toute possibilité de diffamation. Rappelons que ce même Jean-Louis Masson était, dès 2007, déjà parti en croisade contre l’anonymat des rédacteurs de Wikipedia, strictement pour les mêmes motifs.
Il n’en fallait pas plus pour mettre le feu aux poudres et déchaîner une avalanche de billets, tant dans la presse conventionnelle que sur les blogs d’amateurs. Le Nouvel Obs, MédiaPart, Numérama, 20 Minutes, PC Inpact, Korben... Les plumes s’enflamment rapidement.
Est-il utile de préciser que ce texte n’a quasiment aucune « chance » de passer ? Il ne fait qu’empirer le climat délétère qui règne sur la Toile Française depuis le passage d’Hadopi, la finalisation de la Loppsi 2 et le spectre d’Acta, et son adoption risquerait de réveiller l’ensemble des médias grand public qui, généralement, ne prêtent que peu d’attention à la « liberté de la presse non professionnelle ».
Cette loi ne passera pas car, en premier lieu, elle assimile un blogueur à un Directeur de Publication. Détail qui risque de ne pas être du goût des « véritables » directeurs de publication, puisque cela offrirait du même coup les prérogatives de directeur de publication à n’importe quel blogueur quel que soit son âge. A commencer par un détail d’importance si l’on pousse le raisonnement à l’extrême : cela offrirait auxdits blogueurs un statut d’organe de presse, avec son cortège d’avantages fiscaux et légaux associés.
Que l’on exige la divulgation des identités des blogueurs, et l’on entre immédiatement en conflit avec les textes visant à préserver la protection et l’anonymat des mineurs. Car la grande majorité des blogueurs est constituée de préadolescents. L’on ne peut invoquer en permanence la protection de l’enfance dans le but de justifier une surveillance croissante d’Internet et une chasse de tous les « violeurs, prédateurs sexuels et poseurs de bombes », puis exiger d’un autre côté une loi en totale contradiction avec la précédente, exposant la vie privée et la sécurité de ces mêmes enfants sous prétexte de lutte contre les écrits diffamants.
En outre, à l’instar des conséquences d’Hadopi, le passage d’une telle proposition aurait pour première conséquence une « prise de maquis » de ces mêmes blogueurs. Car si jusqu’à présent, des propos diffamatoires pouvaient faire l’objet d’une plainte, laquelle ouvrait la voie à une demande de coordonnées et d’identité à l’hébergeur du site, cet amendement Masson pourrait très rapidement « expatrier » les blogueurs vers d’autres cieux… si possible sur des plateformes et des hébergeurs ne possédant ni correspondant, ni filiale en Europe. Un tunnel SSL pour la mise à jour du site, une attention particulière aux propos écrits afin de ne pas fournir trop d’indices, et les persifleurs les plus acharnés souriront des gesticulations de quelques plaideurs face à l’hermétisme d’un « bullet proof host service » situé sur les bords de la Volga, du Yang Tse Kiang ou du Mississipi.
Déjà, par le passé, divers ministres ont tenté de faire taire les libelles, de censurer des chansons, de supprimer les pamphlets. De Mazarin à Richelieu en passant par Louis XIV ou le sinistre Adolphe Thiers, beaucoup ont cherché à inviter Anastasie au grand banquet de la chose imprimée. Avec pour première conséquence une exacerbation des positions critiques et un enrichissement des imprimeurs hollandais ou anglais. L’amendement Masson ne passera pas, enfin, car il existe sans le moindre doute, au sein de la majorité, plus d’un député, plus d’un ministre qui a lu le ARTFL, Le Dictionaire Historique et critique de Pierre Bayle (piratable sans vergogne sur le site Gallica), dictionnaire qui intègre une passionnante Dissertation sur les libelles diffamatoires.
2) Quand les navigateurs parlent trop
Après la radioscopie Facebook de RabidGremlin qui dévoile tout, même ce que l’on croyait « préservé », après le PanoptiClick de l’EFF qui examine toutes les fuites de navigateur, voici un autre fouilleur de cache d’origine tellement Polonaise que Père Ubu n’y aurait rien trouvé à redire. Des sites X aux visites d’universités, en passant par les dernières requêtes expédiées à Google, ce site Web fleure bon son Bentham. Bien que relativement difficile à joindre, probablement en raison de son brusque succès, « What the Internet Knows About You » peut être un excellent outil de sensibilisation aux règles élémentaires de sécurité auprès d’un public de non-techniciens.
3) Leçon de diabolisation : Google, Facebook et les autres
La « cote de gueule » des grands fournisseurs d’applications Web 2.0 est en chute libre ces derniers temps. Une véritable tempête a notamment secoué le verre à dent de la Grande Toile à propos du « vol de données WiFi » dont aurait été coupable l’organisation de Google Map/Google Street et de son système associé de géolocalisation des points d’accès WiFi. La compagnie d’Eric Schmidt aurait diaboliquement fait « plus » que situer les A.P. : elle aurait en outre capturé au passage, et de manière fort indiscrète, desgigaoctets de trames. 600 Go pour être plus précis. Compte tenu de l’étendue géographique de Google Map et du nombre de routeurs cartographiés, le volume est ridicule… pas même une semaine de piratage de divx pour un ado en mal de nouveautés cannoises de sauvegarde pour une moyenne entreprise. Mais pourquoi ces captures ? Robert Graham vole à la rescousse de ce pauvre Google et explique la raison très probable de ces captures indésirables. En quelques mots, le GoogleCar ne peut embarquer un système aussi limité que NetStumbler… il lui faut un sniffer moins dépendant du système d’exploitation, le tout doublé d’un mécanisme capable de faciliter les relevés de doute et la précision des triangulations.
Autre martyr de la cause Webesque 2.0, Facebook, qui se fait bannir d’URL au Pakistan, nous apprend Al Jazeera.net, sous le motif qu’un groupe d’opinion encourageait la diffusion des « caricatures du prophète ». Le Président du tribunal de Lahore a demandé une réponse écrite au Ministère des Télécommunications avant le 31 mai. En attendant, une procédure de bannissement a été mise en application. Une censure qui, rapporte Al Jazeera en se référant à une dépêche AFP, ne serait pas d’une efficacité particulière. Les mesures « fermes » du Président du Tribunal de Lahore n’ont que très peu de chances d’être suivies d’effets. Car ce que ce magistrat tente de museler, ce n’est pas un site Web, mais l’opinion d’un groupe utilisant ce site Web. Un filtrage de Facebook aura probablement pour première conséquence d’attirer l’attention de ce groupe en direction du Pakistan (ce qu’il n’était probablement pas jusqu’à présent) et provoquera comme second effet le désir impérieux d’inonder les autres réseaux sociaux desdites caricatures. Le pouvoir subversif du rire contre celui des croyances, voilà une escarmouche inattendue sur le terrain des réseaux sociaux ...
Facebook encore, mais diabolisé cette fois par une entreprise française, Alten, qui, nous apprenait France Info dans la journée du 20 mai, envisageait de licencier deux employés coupables d’avoir émis des propos ironiques sur la direction et le chef du personnel. Notre éminent confrère Marc Rees, de PC-Inpact, laisse entendre que la bataille juridique devant les Prud'hommes portera sur l’aspect privé ou non des échanges émis à partir d’une page Facebook et sur le droit d’un employeur de se servir de la correspondance privée d’un de ses employés pour le licencier. Sans la liberté de blâmer dirait Figaro aujourd’hui, il n’y a plus de liberté du tout.
L’on ne peut manquer de remarquer que, depuis les débuts de la campagne « anti-Facebook » qui s’est déclenchée depuis ces dernières semaines, ce réseau social retient de plus en plus l’attention des hackers et des spécialistes en sécurité. Le dernier en date, AlertLogic, publie sur son blog une alerte dépourvue de détails techniques, ainsi qu’une courte séquence vidéo montrant un PoC fonctionnel. Alerte et PoC montrant combien il semble simple d’avoir accès, en lecture et en écriture, au profil de n’importe quel usager de Facebook. Suggérons donc à l’avocat des employés d’Alten de plaider l’absence de preuves concrètes déterminant la rédaction des propos considérés comme « portant atteinte à l’entreprise ». Après tout, si l’argument de « l’origine impossible à prouver » est utilisé avec succès lorsqu’il s’agit des « vrai-fausses attaques chinoises » contre les serveurs du gouvernement français, il n’y a aucune raison qu’elle ne puisse être employée pour une triviale histoire de réseau social.