Indymedia Grenoble

Renverser l’État avec un smartphone (fin de la blague)

vendredi 9 mars 2018 par anonyme

[Sciences / Nécrotechnologies] [Répression / Contrôle social] [Autres infos]

Indymedia Grenoble fonctionne selon le principe de la publication ouverte, c’est à dire que chacun·e peut y publier une contribution (textes photos, liens). Le collectif de modération n’est pas l’auteur des contributions. Celles-ci n’engagent que leurs auteur·e·s. L'équipe d'administration − comme indiqué dans la charte − n’a pas à porter de jugement collectif sur les contenus publiés.

Je suis dans cette situation, en tant que technicien informatique, où ne pas insister auprès de mes camarades pour leur sécurité informatique me donne le sentiment d’être un hypocrite, et si ce n’est un indic un idiot utile.

On parle des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) – ainsi que des NATU – et de leur contribution à la surveillance de masse, avec un sentiment de "tou·te·s foutu·e·s", en ignorant que la sécurité informatique est faite pour que les mathématiques du langage C, une fois interprétées électriquement par le processeur, garantissent l’authenticité et le secret d’un contenu pour une chose aussi bête qu’une page en HTTPS.

Ainsi, si la NSA (et Géocell – lire Chamayou, 2015) peuvent accéder à l’ensemble des données traitées par Google, Apple, Facebook, Amazon, et Microsoft, c’est car ces entreprises leur en donnent la possibilité électronique en créant une clé maîtresse – un fichier texte que les processeurs de leurs datacenters interpréteront pour leur donner l’accès aux informations demandées.

La création de ces clés maîtresses, que l’on appelle improprement backdoors, résulte de la collaboration d’entreprises comme Amazon ou Orange avec les administrations policières et étatiques. Il est à noter que tout opérateur mobile sait où se trouve chaque téléphone contractuel pour lui donner un accès au réseau. En outre, pour tout appareil connecté à Internet, il est raisonnable de considérer que le constructeur du téléphone ainsi que le mainteneur du système d’exploitation ont un accès complet à votre répertoire et peuvent vous mettre sur écoute.

Contractuellement, en utilisant Google ou Facebook, vous signez un contrat (les conditions générales d’utilisation) les autorisant à exploiter vos données vocales et vos contacts. De fait, si vous m’avez dans vos contacts Android, Facebook et Google peuvent m’ajouter à votre réseau de contacts. À titre d’exemple, des étudiants du MIT ont conçu un algorithme pouvant déterminer l’orientation sexuelle d’un profil à partir de ses contacts Facebook (http://firstmonday.org/article/view...). Ainsi, à titre anecdotique, si vous avec un téléphone Android ou/et l’application Facebook, vous êtes légalement tenu·e d’informer votre entourage que Google ou/et Facebook enregistrent vos conversations (regardez les permissions que Facebook demande).

D’où mon malaise : étant moi-même moyennement compétent, tolérer l’usage d’un appareil Android pour renverser l’État est une erreur de "débutant" (me considérant moi-même comme tel, remplacez à loisir cette expression par "crétin irresponsable") ou d’hypocrite.

Et, oserai-je dire, ce n’est pas car il n’y a pas eu de guerre sur le territoire français depuis plus de 70 ans que ça ne se produira plus jamais : un jour viendra peut-être où la sécurité informatique sera devenue de la sécurité pure et simple. Pour ne pas se prendre une balle en pleine tête.

Je vais donc exposer des mesures de sécurité informatique de ma connaissance pour se protéger et s’organiser, qui sont évidemment totalement discutables [2], les trois premières étant crypto-anarchistes et ne dépassant pas 40 euros, les deux suivantes étant purement logicielles et gratuites, et pouvant donc plus facilement être compromises en créant une clé maîtresse :

1) un Nokia 3310, 3320, ou 3330, ou tout autre téléphone ne disposant pas du matériel capable de le connecter à Internet et ne pouvant donc pas vous mettre sur écoute (à l’exception de vos SMS et appels) ;

2) Lavabit développe un nouvel environnement d’emails (le Dark Internet Mail Environment : https://lavabit.com/security.html), proposant un chiffrement interopérable et totalement transparent (https://theintercept.com/2017/01/20...) ainsi qu’une implémentation serveur sous licence AGPL (https://github.com/lavabit/magma, https://www.theregister.co.uk/2017/...) ;

3) une clé USB Yubikey (https://yubico.com), coûtant 40€, permettant à votre syndicat/groupuscule/squat/association de protéger ses messages par un fichier texte ne pouvant matériellement pas en sortir ;

4) GNU/Linux propose des systèmes d’exploitation exploitant vos données de manière moins enthousiaste que Windows ou Android. (Je sais qu’Android est basé sur le noyau Linux mais intègre une "couche" Google Suite, ce qui rend le concept inopérant.) Méritent d’être mentionnés Debian, Ubuntu, Fedora Linux, et Qubes OS (cet article étant à but pédagogique, je ne parlerai pas des systèmes BSD simplement par manque de support des pilotes, des imprimantes, des cartes wifi, etc.). Avant d’installer GNU/Linux, renseignez-vous sur les pilotes : ce qui sera une promenade avec un ThinkPad deviendra un cauchemar avec un HP. Et :

5) Semaphor, un clone de Slack incapable de lire vos messages et dont les concepteurs sont approuvés par Edward Snowden, disposant d’une version gratuite, et remplaçant idéalement Discord pour Windows, macOS, Linux (fichiers .deb et .rpm), iOS, et Android (lol). (https://spideroak.com/semaphor/download)

[1] Il en va de même pour les adresses Gmail de vos orgas, dont le seul reCAPTCHA devrait suffire à être rédhibitoire : https://theintercept.com/2018/03/06...;; à nouveau, lire Dans la tête de la NSA, Chamayou, 2015, La Revue du Crieur.

[2] Je pense que toute recommandation de sécurité expose son énonciateur·ice aux règles de Crocker (http://sl4.org/crocker.html), lui ôtant, ne serait-ce que par respect élémentaire, le droit d’être outré·e par un manque de diplomatie ou de politesse face à son irresponsabilité.



Compléments d'informations :
Maladroit
par anonyme,
le 10 mars

Je suis perplexe. Si cet article part de constats avec lesquels je suis d’accord et donne au final des conseils plutôt pertinents (bien que sous une forme imprécise et foutraque), certaines des phrases sont étranges, et sont trompeusement techniques sans que cette technicité soit utile au discours. Par exemple :

"la sécurité informatique est faite pour que les mathématiques du langage C, une fois interprétées électriquement par le processeur, garantissent l’authenticité et le secret d’un contenu pour une chose aussi bête qu’une page en HTTPS."

D’autres informations sont inexactes (pourquoi traduire backdoor en "clés maîtresses ?!), mais ça n’influe pas vraiment sur des conclusions correctes.

Bref, ça sent un peu l’amateurisme, sans que ce soit vraiment grave au final. C’est juste source de confusion.

N’est pas Bortzmeyer qui veut…

Ajouter un complément d'information


copyLeft Indymedia (Independent Media Center). Sauf au cas où un auteur ait formulé un avis contraire, les documents du site sont libres de droits pour la copie, l'impression, l'édition, etc, pour toute publication sur le net ou sur tout autre support, à condition que cette utilisation soit NON COMMERCIALE.