usalama

Cet article est la deuxième partie d'un article précédent sur la coopération.Vous pouvez le lire ici 

Dans le ‘Savant et le Politique’, Wax WEBER définit l’État comme « Le Monopole de la violence physique légale ». Mais dans le cyberespace la violence, ce sont les attaques informatiques. Aujourd’hui nous assistons à une valorisation de la donnée, donc sur internet Bonne donnée = vérité. Il devient de plus en plus primordial que corrompre la donnée est plus important que de la voler.  C’est ce qu’on appelle des  attaques sémantiques, c’est à dire la corruption de la donnée, donc de la vérité.

Rétablir la vérité va devenir le premier rôle militaire de l’état dans le cyberespace. Les coopérations militaires en matière de cyber-défense seront de développer cette capacité de rétablir la vérité numérique en travaillant en réseau entre États et bien cela pourrait bouleverser les hiérarchies mondiales.

Nous sommes entrain d’assister à une fragmentation d’internet en sous-réseaux.  Les nations d’internet sont désormais choses réelles. Les premières nations qui ont émergé sont les pays scandinaves et la Suisse.

En 2012 les pays en tête étaient des états scandinaves et Israël. Israël avec juste 1% de la population mondiale s’était positionné au sommet du marché mondial de la cybersécurité. Ces classements font écho à ceux de la « world economic forum » qui font de la Finlande un état scandinave, de la Suisse et d’Israël, les trois pays les plus innovants au monde dans ce domaine.

Le Royaume-Uni est en tête de la liste des pays les plus engagés en matière de cybersécurité, selon le Global Cybersecurity Index (CGI) , suivi des États-Unis, de la France, de la Lituanie et de l’Estonie. Singapour, l’Espagne, la Malaisie, la Norvège et le Canada complètent le Top 10, dans cet ordre.

https://www.itu.int/en/ITU-D/Cybersecurity/Pages/Top-countries-best-prepared-against-cyberattacks.aspx

Pour évaluer l’engagement d’un pays en matière de cybersécurité, le Global Cybersecurity Index (CGI) se base sur 5 catégories :

• Juridique: Basé sur la base de l’existence d’institutions et de cadres juridiques traitant de la cybersécurité et de la cybercriminalité
• Mesures techniques: évalué sur la base de l’existence d’institutions et de cadres techniques traitant de la cybersécurité
• Mesures organisationnelles: basé sur l’existence d’organes de coordination des politiques et de stratégies pour le développement de la cybersécurité au niveau national
• Renforcement des capacités: mesuré en fonction de l’existence de programmes de recherche et de développement, d’éducation et de formation, professionnels certifiés et agences du secteur public favorisant le renforcement des capacités.
• Coopération: mesuré sur la base de l’existence de partenariats, de cadres de coopération et de réseaux de partage d’informations

Avant la révolution industrielle, la principale richesse d’un Etat était la terre agricole qui est une ressource limitée. Plus il y avait d’habitants, plus il y avait de terres par habitant alors plus de richesses. Aujourd’hui les nations les plus influentes sont les plus menaçantes en matières de réseaux et les réseaux quant à eux suivent la loi de ‘ metcalfe ‘ : plus il y a d’utilisateurs sur un réseau, plus sa valeur augmentait et dans ce contexte les nations les plus influentes d’internet ne vont pas être les plus agressives mais les plus coopératives.

Peu importe votre taille, le pouvoir va dépendre de votre talent et de votre utilité pour autrui  et aussi bien sûr de votre ouverture au monde.

Le numérique, internet et les services liés aux technologies de l’information et de la communication soulèvent des questions de plus en plus vives, y compris dans notre vie quotidienne. En 2016, près de la moitié de la population mondiale utilisait internet soit 3,5 milliards d’utilisateurs et d’après le rapport Gartner de 2016, on aurait près de 12 milliards de machines connectées à Internet d’ici 2020.

La révolution numérique a transformé notre manière de communiquer, de créer de la richesse, de rétablir l’ordre ou de le détruire. En Ukraine, en décembre 2015, plus de 200 000 foyers se sont retrouvés plongés dans le noir. Une trentaine de stations électriques ont été stoppées à distance. Ce black-out avait été provoqué par une attaque informatique, appelée DDOS.

Chose surprenante, juste après cette attaque, une convergence de recherche a été développée entre l’Ukraine, les États Unis, Israël et aussi tout un groupe d’acteurs privés de la sécurité informatique pour retrouver les auteurs et prévenir tout nouveau risque. Ce faisceau convergent de recherche autonome a si bien fonctionné que, deux mois après, ils étaient tous en mesure non seulement de prévoir une nouvelle attaque, mais également de prévenir des opérateurs d’électricité européens et américains de nouveaux risques.

Cette réaction coordonnée illustre la nécessité de coopération avec un maximum de partenaires, tant publics que privés, dans une enquête pour obtenir l’information la plus juste et la plus précise sur qui est à l’origine d’une attaque malveillante sur internet.

La cyber-sécurité, en fait, est en train de devenir un jeu collectif avec en son cœur un groupe d’États réunis en cercles concentriques de confiance, mais connectés en réseau à des instituts de recherche, des groupes privés de cyber-sécurité et même des plateformes communautaires d’Ethical Hackers. Nous sommes en train d’assister à l’émergence d’un nouveau système de défense collective autre que celui de l’Otan ou le consensus autour de l’implication militaire dans les conflits armés de l’Union Africaine.

Ce type d’arrangement n’avait jamais vraiment fonctionné dans le passé et avec la chute du mur de Berlin, personne ne pensait encore qu’en Europe, développer une telle unicité était encore possible. La cyber-sécurité est en train de transformer ce principe de la défense collective, en une nécessité stratégique pour la sécurité au 21ème siècle et il va y avoir d’autres implications pour les Etats et leurs politiques de défense comme le sont déjà le Conseil de sécurité de l’ONU, l’OTAN, les accords militaires au sein de l’Union Africaine, de la CEDEAO…

En septembre 2012, plusieurs banques américaines sont victimes d’une attaque informatique par Déni de Service Distribué (DDOS). Malgré les soupçons qui étaient tournés vers plusieurs groupes de hackers, le gouvernement américain a gardé le silence durant trois ans, contrairement à ce qu’on pouvait attendre d’eux. Une fois l’enquête officielle terminée, le FBI et le département de la Justice émettent un mandat d’arrêt international contre 7 hackers d’origine iraniennes très précisément identifiés. Avec la coopération de services de plusieurs États, une enquête minutieuse avait été menée et les coupables très précisément identifiés. Les représailles sont restés juridiques et non militaires comme on pouvait s’y attendre entre ces deux pays.

Les attaquants se croyaient protégés par l’anonymat du web. Mais cela ne demeure qu’un leurre.

Le nouveau pouvoir de la cyber-sécurité est de démontrer qu’il est possible de connaître la vérité, l’origine précise d’une attaque et la rétablir signifie que l’on rend justice.

La question sur la sécurité des applications mobiles est devenue très présente depuis quelques années. Depuis le scandale « Prism » avec la défection d’un ancien analyste de la NSA Edward Snowden, on se demande si nos échanges sont sécurisés sur internet.  On entend tous dire que la plupart des IM Apps (applications de messagerie instantanée) qu’on utilise au quotidien sont des usines à gaz et j’ajoute qui en plus de nous encombrer, font de nous des cibles flottantes mais bien à découvert !!! Je vous explique…

Je suis tombé sur un article paru dans une revue informatique britannique qui a fait tilt 💡 dans ma tête. Ils parlaient du  « Signal protocol » . Signal Protocol est un protocole non fédéré qui permet de faire le chiffrement de bout en bout pour les messages instantanés. Crée par Open Whisper Systems en 2013, il est totalement open source. Son lien se trouve ici sur github pour ceux qui veulent le télécharger. Toujours est-il qu’il est le meilleur chiffrement disponible sur le marché et qui offre un niveau de sécurisation assez performant. Actuellement, il est utilisé par Whatsapp, Google Allo, Facebook Messenger, Signal…

Vous pouvez vous dire que vos échanges peu catholiques sur whatsapp et consorts sont en sécurité. 😙😙 uuh pas vraiment. Je vous explique pourquoi :

Google Allo ne fournit pas le chiffrement signal par défaut. Il faut penser à l’activer avec le mode incognito. Donc si vous l’activez pas, vos échanges ne sont pas cryptés. Qui peut être sur que son correspondant  » hot  » à l’autre bout est en mode incognito ? Même Snowden le déconseille :

Free for download today: Google Mail, Google Maps, and Google Surveillance. That’s #Allo. Don’t use Allo. https://t.co/EdPRC0G7Py

— Edward Snowden (@Snowden) September 21, 2016

Facebook Messenger, quant à lui est d’abord associé à sa mère génitrice : Facebook, le plus incroyable réseau social à l’instar de celui de la planête Scarif dans Stars Wars Rogue One, où une gigantesque base de données, qui possédait des informations sur toutes les galaxies s’est vue fauchée par la première étoile de la mort, recueille des informations sur le comportement social de chaque personne dans le monde entier. Rien que par cette association, on pourrait atteindre tout le monde entier.

Whatsapp, quant à lui, est chiffré de bout en bout et depuis qu’ils se sont mis à signal protocol, on a tous vu ce message au début d’une nouvelle conversation avec un contact : (voir image)

Par contre, là où ca bogue avec whatsapp, c’est simple :

• Whatsapp, appartient à Facebook de Mark Zuckerberg (déjà ils veulent associer vos contacts avec vos amis sur facebook)  👎
• Whatsapp ne sauvegarde pas vos conversations sur ses serveurs 👍
• vos backups sont faits sur vos phones en local et/ou sur un drive de votre choix dans le cloud. 👍

Tant que ce dernier est sécurisé, vous craignez rien. Mais quand ils collectent des métadonnées (rapports d’activités) qui sont comme des fichiers journaux (logs) structurés et précis, qui peuvent fournir l’information sur l’horodatage de vos échanges  » quand est ce que vous avez échangé avec Henry ? » « où avec qui vous étiez en communication ». Métadonnées c’est quoi ? Bah c’est tout ce qui vous identifie de façon non directe. Whatsapp recueille des données quand vous installez l’application : données sur le modèle du téléphone, sur l’OS, votre IP, réseau mobile utilisé, votre numéro de téléphone etc… Même dans le FAQ de l’application, il est dit que les informations sur la façon dont vous utilisez leur service ou la façon dont vous interagissez avec vos contacts etc.) les rapports de plantage, les journaux de performance… sont envoyés enfin d’améliorer ou de corriger les bogs. Blablabla… En gros, les métadonnées qu’ils recueillent sur vous sont encore plus riches en informations intéressantes que s’ils lisaient le contenu de vos échanges (chose qu’ils peuvent pas faire avec le chiffrement de bout en bout). Snowden même affirme que les métadonnées, ce sont des relevés de vos activités 😝😝 wesh !

Are your readers having trouble understanding the term « metadata »? Replace it with « activity records. » That’s what they are. #clarity

— Edward Snowden (@Snowden) November 2, 2015

Le chiffrement bout en bout du signal protocol leur permet pas de savoir ce qui a été dit durant vos échanges, mais le fait de le savoir compromet déjà votre vie privée et vos secrets.

Avant pour retrouver une personne, on fouillait les bureaux de poste… Aujourd’hui, on interroge encore plus facilement Internet. Une amie, de la marine militaire d’un pays africain, me racontait comment ils faisaient des exercices en tirant sur des futs jetés dans l’océan. Le roulis rend le tir instable d’où l’expression  » cibles flottantes « . Nous sommes comme des cibles flottantes dans cette mer qu’est l’Internet et même si on ne touche pas, on est quand même assuré de l’identité de la cible. Quoi de mieux pour augmenter notre scepticisme à propos de la sécurité sur les applications mobiles préférées des habitants de la Terre ? Chez moi, pas autant quand même d’où ma décision de faire  » chut  » sur ces apps tout en incluant Telegram qui a son protocole MTProto qui a pas mal de brèches également il paraîtrait (on reviendra peut être la dessus dans un autre post).

On est pas du tout obligé de quitter ces applications (Whatsapp, Telegram, Facebook messenger et le tout nouveau Google Allo). On doit juste penser à « soigner » nos échanges quotidiens avec nos amis, proches, collègues, copines, femmes, ex-femmes, parents, prêtre ou pasteur etc..😂😂😂😂 ou à opter pour le klingon.

Par contre, il y a une solution simple pour les addicts de sécurité informatique. C’est adopter l’application mobile SIGNAL Messenger. Développée par Open Whisper Systems même, elle propose le protocole par défaut et ne prend aucune métadonnée. Donc totalement opaque puisque rien n’est sauvegardé 😂😂😂😂. J’ai pas pu faire de captures d’écran avec mon propre signal. C’est parce que Signal l’empêche. Il est impossible de faire des captures d’écran de vos conversations avec vos correspondants. Double protection n’est ce pas ? Yeah 👍👍 !!! Un genre de snapchat de la messagerie instantanée quoi en fait! Avec cette application, vous pouvez mener vos discussions super « chanmées » là. Je l’impose à personne, mais selon mon observation, SIGNAL offre plus de confidentialité et de protection que bien d’autres applications du genre.

Vivez tous en <<mode secure>>.

Depuis quelques années, Tim Berners-Lee tire la sonnette d’alarme par rapport à l’évolution du web, son oeuvre, qui se retrouve concentré dans les bras de certains conglomérats qui sont :

Google, Facebook, Amazon, Twitter et autres grosses boites .

Pour permettre aux internautes de retrouver un des préceptes de départ d’Internet qui est le contrôle des données personnelles, et assainir le web, ouvrir de nouvelles perspectives, le créateur du www lance un nouveau projet, appelé Solid. Il est nécessaire de reprendre la main sur nos données !!!

C’est le nouveau cri que lance les différents acteurs du web, moi y compris. Réseau sensé être décentralisé à ses débuts, Internet commence à devenir l’apanage de différents acteurs tech-économiques (réseaux sociaux, fournisseurs d’accès, fournisseurs de services etc.). Au cœur de cette bataille : la lutte contre les plateformes de géants comme Facebook ou Google, dont le modèle économique se fonde sur la collecte de données personnelles.

Principal inventeur du World Wide Web au début des années 1990, Tim Berners-Lee entre désormais dans la bataille pour la libération d’internet en passant de la critique à l’action. Son nouveau projet, baptisé Solid, vise à redonner aux utilisateurs le contrôle de leurs données. Le britannique, récipiendaire du prix Turing, l’équivalent du prix Nobel en informatique, est inquiet pour l’avenir d’Internet. Dans une lettre ouverte publiée le 12 mars dernier, il décriait trois menaces qui pèsent sur le web, parmi lesquelles la perte de contrôle sur nos données personnelles.

 »Le point de bascule pourrait être atteint quand les gens réaliseront que les données leur appartiennent »

Développé au sein du MIT et dérivé du syntagme « social linked data » le projet Solid, est un projet de recherche, dont l’objet est de créer un nouveau standard pour permettre de séparer les données des applications et des serveurs qui les utilisent.

Un standard de ce type vous permettrait par exemple de stocker les données liées à votre réseau social préféré sur le serveur de votre choix, dont vous gardez le contrôle. L’idée est que vous décidiez de stocker toutes vos données personnelles sur un serveur vous appartenant, en autorisant, ou pas, les plateformes à s’y connecter. Autrement dit, dans le monde idéal de Berners-Lee, la constitution d’un Web moins centralisé est encore possible : « Le point de bascule pourrait être atteint quand les gens réaliseront que les données leur appartiennent », confie-t-il à Wired, avant de mentionner les décisions récentes des législateurs américains comme potentiel détonateur de cette prise de conscience.

Pour Tristan Nitot, « fanboy » assumé de Tim Berners-Lee et « Chief Product Officer » chez CozyCloud, Solid a pour objet de lutter contre « l’accumulation de nos données personnelles dans ce qu’on appelle vulgairement le cloud, mais qu’il faudrait plutôt appeler « Software as a service », comme GoogleMaps ou Facebook :  des applications Web qui tournent dans des datacenters appartenant à d’énormes entreprises. L’idée est simple : on échange nos données personnelles et notre temps de cerveau disponible contre ce service. Ces données sont donc stockées chez un tiers, auquel vous êtes liés par un contrat que personne ne lit, et à qui vous donnez le droit de faire tout ce qu’il veut, notamment de la publicité ciblée. »

« Cela permettrait de changer de réseau social sans perdre toutes nos données, puisqu’elles nous suivront »

Dans son dernier ouvrage, Surveillance, Tristant Nitot fait le calcul : le service que nous fournit Facebook coûte 5 euros par an et par personne. Et en échange, nous donnons à l’entreprise de Mark Zuckerberg une immense masse de données personnelles, qui lui rapporte beaucoup plus.

L’approche de Solid évoque désormais des applications développées selon ce standard. Les données produites par les applications seront contrôlées par l’utilisateur. A la place de passer par l’utilisation de données personnelles pour bénéficier de services d’un réseau social ou d’une application, on peut choisir librement solid pour réutiliser ses données n’importe où. Tristan Nitot de CozyCloud pense qu’Internet n’a pas été conçu pour être centralisé et devait au contraire permettre à tout le monde de proposer un service à n’importe quel nœud du réseau. 

Reste à savoir si Solid est capable de pouvoir de tenir face à la monstruosité des grandes compagnies de la tech qui fonctionnent sur des modèles d’affaires axés sur la collecte de données tant personnelles que de masse.  Si nous pouvons stocker nos données où nous voulons, choisir de les réutiliser ailleurs ou pas, de les détruire sans qu’une tierce compagnie puisse y accéder ferait de la neutralité d’internet, beaucoup plus qu’un cheval de bataille.

Vous pouvez consulter le site du projet Solid en cliquant sur ce lien.

Sources : Solid, le projet de Tim Berners-Lee pour sauver Internet;  || Solid  || WEB IS DEAD