lundi 21 avril 2014

Heartbleed et les faiblesses d'Internet (Interview Atlantico)

Heartbleed a récemment secoué l'ensemble du web. Pour autant cette faille existe depuis plus de deux ans, et n'a été découverte qu'il y a peu. Que traduit-elle finalement, de l'état d'Internet  et de l'open source ? Est-ce vraiment le lieu sûr qu'on prétend souvent qu'il est ?

Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ? 
Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur. Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels. 
La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun. 
L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute « machine », Internet peut connaître des dysfonctionnements.  


Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?

Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais non totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives  (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites. 
Concernant la notion d’harmonisation du Web, elle me paraît fondamentale. Ce qui fait la force d’Internet aujourd’hui, c’est son interopérabilité : que vous soyez aux Etats-Unis ou dans une ville au nord du Japon, que vous utilisiez un ordinateur équipé de tel ou tel OS, vous devez pouvoir (si les services ont bien été conçus) accéder à l’information comme n’importe quel autre internaute. Internet doit continuer à obéir à des standards appliqués par tous pour conserver son identité. L’idée de protocoles plus ciblés, sûrs mais cloisonnés à un univers informatique précis, peut sembler séduisante mais elle serait dangereuse à court terme.


Des experts américains évoquent un "nœud de spaghettis" pour parler des lignes de codes qui composent le web. Y-a-t-il moyen de "démêler" tout cela ? Comment sécuriser Internet, finalement ?

La solution ultime n’existe clairement pas. En revanche, il y a une marge de progression possible pour améliorer sensiblement la sécurisation d’Internet. Cela passe déjà par une plus grande attention des créateurs de protocoles et logiciels à la correction de bugs et de failles avant la publication de leur travail, tout en reconnaissant que ce n’est guère évident dans un contexte économique et stratégique où c’est souvent le premier à sortir un produit qui s’assure une position confortable. 
Cela nécessite aussi, et surtout, une plus grande prise de conscience de la part des internautes qu’Internet est une entité en construction et que même si ses fondations sont solides, elle n’en demeure pas moins fragile. De plus, il serait envisageable que les internautes soient plus en alerte sur les services qu’ils utilisent, exigeant que ces derniers soient mis à jour régulièrement, selon un calendrier prédéfini, ce qui est déjà fait par de nombreuses sociétés des NTIC. 
Enfin, on pourrait souhaiter une plus grande démocratisation des savoirs liés globalement à l’informatique, ce qui participerait à une réactivité accrue en cas de défaillance d’Internet (réinitialisation des services). 


Faut-il se préparer à d'autres catastrophes de l'ampleur d'Heartbleed ?

C’est une probabilité qu’il faut assurément envisager, même s’il faut reconnaître qu’Heartbleed a un tel niveau de dangerosité qu’il est un peu à part. Avec une part toujours plus croissante des nouvelles technologies dans nos sociétés et nos modes de vie, les failles vont s’accroître, de même que les conséquences pour le bon fonctionnement de nos services. Le vrai problème avec ce genre de « catastrophes », c’est qu’elles sont difficiles à cerner rapidement. La faille a certes été découverte, mais à aujourd’hui, personne n’est en mesure de dire combien il y a eu d’actes cybercriminels utilisant cette faille. 

Interview réalisée le 17 avril 2014 et publiée le 21 avril 2014 pour le compte d'Atlantico (http://www.atlantico.fr/decryptage/comment-heartbleed-mis-en-evidence-faiblesses-internet-open-source-maxime-pinard-1047764.html)

mardi 1 avril 2014

Dis moi qui t'écoute... Comment les métadonnées récoltées par la NSA parviennent à prédire votre personnalité (Interview Atlantico)

1. Barack Obama a annoncé il y a peu que la NSA ne disposerait plus aussi aisément des 
données des internautes. Mais, finalement, à quoi servent les données récupérées ? Une partie de la presse anglo-saxonne  estime qu'il est possible de décrypter la personnalité de l'internaute. Comment ? Dans quel but ?
Lors des révélations de Snowden, les services de sécurité américains ont beaucoup insisté sur le type d’écoutes menées entre autres par la NSA, rappelant qu’il ne s’agissait que des métadonnées (qui ?, avec qui ?, quand ?, où ?, durée ?, etc…) et non des contenus des messages en eux-mêmes. C’était déjà des informations précieuses dans la mesure où ces métadonnées permettent d’établir des connexions entre individus, de retracer leur parcours sur un temps déterminé, en d’autres termes, de connaître la vie (du moins sur la forme) d’un individu. 
Néanmoins, comme on peut aisément le comprendre (et comme le rappelle à présent des sites web anglo-saxons), les métadonnées ne sont pas que des données temporelles et physiques. De façon implicite, elles donnent des indications très précises sur la nature même de l’individu écouté. La fréquence de ses appels, le lieu où ces derniers sont passés (travail, soirées), leur durée, permettent aujourd’hui de dresser des profils type d’individus, qui s’affinent de plus en plus avec des algorithmes prenant en compte un nombre impressionnant de paramètres. Le résultat ne saurait être sûr à 100% mais il donne déjà de sérieuses indications quant aux tendances psychologies d’un individu (est-il ouvert, introverti ?, etc...). Cela fait partie de l’analyse prédictive, très en vogue dans les milieux sécuritaires américains, avec les dérives que l’on peut facilement imaginer. 


2. Dans quelle mesure la déclaration de Barack Obama va-t-elle changer les choses ? 
Transférer les données de la NSA aux opérateurs se fait-il dans l'intérêt des internautes ?
En réalité, il faut être très prudent avec les récentes annonces de réforme du Président Obama. Personnellement, je doute d’une véritable réforme et les premières informations disponibles tendent à montrer que l’on se dirige vers un semblant d’avancée sans réelle remise en cause du fond (mais en pouvait-il être autrement…). Il est question que ce ne soit plus la NSA qui stocke les métadonnées des internautes mais les opérateurs téléphoniques. De plus, une autorisation individuelle pour la collecte des données devra être demandée
auprès du tribunal secret régissant les interceptions de communications (FISC). Enfin, les analystes de la NSA devront se contenter des données d'un individu ayant au maximum deux degrés de séparation avec l'internaute écouté, contre trois actuellement. 
A première vue, ces changements semblent massifs et même Edward Snowden s’en est félicité, mais concrètement rien ne change. Cela va obliger les opérateurs téléphoniques à assurer davantage la sécurité des informations stockées, prenant une responsabilité supplémentaire et sensible, qu'ils n'étaient pas forcément enclins à accepter. La NSA ne voit pas son travail remis en cause; de -petites- barrières sont mises en place pour contenir le flux d'informations que demandera la NSA, mais concrètement, en invoquant l'impératif sécuritaire (les commissions d'attribution des autorisations ne s'opposeront qu'au compte goutte aux demandes de la NSA), on peut gager que son pouvoir ne sera que très peu altéré. Enfin, soulignons l'habileté (ou le cynisme) du Président Obama qui confie au Congrès la validation des mesures indiquées, jouant sur les dissensions des représentants et sur les projets concurrents pour édulcorer la version finale du projet.  
Est-ce que ces mesures vont dans l'intérêt des internautes? Dans la mesure où ces derniers savent que leurs métadonnées peuvent être communiquées aisément à la NSA, cela ne leur apporte pas grand-chose. Tout au plus auront-ils à l'avenir un "petit" pouvoir de pression sur leurs opérateurs téléphoniques s'ils découvrent que ces derniers font preuve d'une coopération "appuyée" avec la NSA. Néanmoins, rappelons que lors des révélations de Snowden, certes les Américains ont été choqués par les dérives de la NSA, mais des sondages ont montré qu'ils ne remettaient pas en cause pour autant les mesures censées assurer leur sécurité.


3. Les internautes vont-ils changer de comportement ? Dans quelle mesure ? Au fond, 
n'avons-nous pas accepté d'être tant les clients que les produits de la gratuité du net ?
Je ne crois pas du tout à un changement de comportement des internautes dans leur ensemble. Tout au plus y aura-t-il quelques mouvements isolés d’internautes sensibles aux thématiques de vie privée et de protection de l’information qui utiliseront des services moins ouverts aux oreilles de la NSA. 
Les révélations de Snowden ont fait la Une des médias pendant des mois, et chaque semaine, de nouvelles révélations (plus ou moins intéressantes d’ailleurs) arrivent, sans que les internautes ne se désinscrivent de Facebook, Google, Yahoo, ou renoncent à leur smartphone aux OS (Androïd et iOS principalement) qui communiquent en permanence des informations sur leur propriétaire. En vérité, il y a une sorte de schizophrénie chez l’internaute qui s’offusque d’être écouté, mais qui dans le même temps s’inscrit à des services dont il accepte les conditions d’utilisation sans les avoir lues, attiré par leur gratuité mais omettant (volontairement souvent, comme une mauvaise conscience) le fait que cette dernière n’est pas réelle et qu’il est en fin de compte le produit tant recherché par les géants du Net. 
Pour profiter gratuitement des services d’Internet, nous avons renoncé à comprendre le fonctionnement de ces services, les utilisant aveuglement et de manière coupable, puisqu’en fin de compte, ces derniers ont des conséquences potentiellement graves pour notre vie privée et notre libre arbitre. J’invite d’ailleurs à lire le premier chapitre du livre d’Eric Schmidt et Jared Cohen « A nous d’écrire l’avenir » qui explique à merveille comment sera notre futur grâce aux informations que nous laissons dans le cyberespace.