Catégorie : Renseignement

  • Combattre l’agilité numérique du crime

    Il n’y a plus d’enquêtes policières sans preuve numérique, sans recours massifs aux données électroniques que des criminels peuvent aussi chiffrer de manière inviolable, transférer dans des serveurs de pays peu coopératifs, rendre leur origine anonyme ou les disséminer sur le dark web. Qui des criminels ou des forces de police auront le dernier mot1 ? Charles Cuvelliez et Jean-Jacques Quisquater partagent avec le nous le bilan de ces obstacles qu’Europol vient de dresser. Pierre Paradinas et Benjamin Ninassi
    © canva.com avec le prompt « plus d’enquêtes policières sans preuve numérique, sans recours massifs aux données électroniques »

     

    Volume et volatilité des données

    Il y a le volume des données à examiner : il se chiffre en teraoctets si pas petaoctets qu’il faut stocker, exploiter, analyser pour les autorités policières. Ce sont les fournisseurs de services numériques qui sont obligés de les conserver quelques mois2 au cas où. Ces données peuvent être de tout type, structurées comme des bases de données ou libres, comme des boites emails, des fichiers. Entre autorités policières, il n’y pas d’entente comment les données doivent être stockées, exploitées, structurées, ce qui pose ensuite un problème de coopération entre elles.

    La perte de données est un autre obstacle : il y a eu une tentative d’harmoniser entre Etats membres la durée de rétention des données exploitables à titre judiciaire mais elle a été invalidée par la Cour Européenne de Justice. Depuis, chaque Etat membre a ses règles sur quelles données doivent être gardées et pendant combien de temps pour d’éventuelles enquêtes. Dans certains Etats membres, il n’y a aucune rétention prévue ou à peine quelques jours. Quand une demande arrive, les données ont évidemment disparu.

    Adresse Internet multi-usage

    L’épuisement des adresses Internet est un autre obstacle : les adresses dites IPv4 qui sont nées avec Internet sont toutes utilisées. Il faut les partager avec une adresse parfois pour 65 000 utilisateurs. Ces adresses sont en fait étendues avec le port IP, une extension qui dit quel service est utilisé par l’internaute (et qui donc ne l’identifie pas) et n’est pas conservée. C’est que les adresses de nouvelle génération peinent à devenir la norme puisqu’on étend justement artificiellement le pôle d’adresse IPv4. On pourrait à tout le moins imposer un nombre maximum d’internautes qui se partagent une seule adresse, dit Europol, ou imposer la rétention du port.

    Jusqu’au RGPD, on pouvait accéder au titulaire d’un nom de domaine, ses coordonnées, son email, quand il l’avait ouvert. C’était précieux pour les enquêteurs mais le RPGD a amené l’ICANN, qui gère les noms de domaines non nationaux (gTLD) à ne plus rendre cette information publique. Tous les gTLD gérés par l’ICANN sont concernés. Il y a encore moyen de consulter ces données qui ne sont plus publiques mais les intermédiaires (registrars) qui assignent les noms de domaines à une organisation ou à une personne physique communiquent ces données sur base volontaire. Et surtout, rien n’est prévu pour garantir qu’une demande de renseignement policière sur le propriétaire d’un nom de domaine par une autorité policière reste anonyme. Interpol a bien proposé sa propre base de données de tous les noms de domaines impliqués dans des activités illicites mais encore faut-il les identifier. De toute façon, le système DNS qui traduit un nom de domaine en adresse IP sur Internet est exploité et détourné par les criminels pour réorienter les internautes vers des domaines qui contiennent des malwares ou de l’hameçonnage.

    Chiffrement de tout

    Autre défi : l’accès aux données. Les criminels prennent l’habitude de chiffrer toutes leurs données et sans clé de déchiffrement, on ne peut rien faire. Dans un Etat membre, il est possible de forcer par la contrainte un criminel à donner son mot de passe, à déverrouiller son appareil, même sans l’intervention d’un juge tandis que dans un autre Etat membre (non cité dans le rapport) un mot de passe même découvert légalement lors d’une perquisition n’est pas utilisable. Non seulement les criminels appliquent le chiffrement à leurs données mais les fournisseurs de communications électroniques vont aussi chiffrer par défaut leurs communications3. La 5G prévoit par défaut le chiffrement des données de bout en bout pour les appels vocaux si l’appel reste en 5G. L’opérateur peut même appliquer le chiffrement des données en roaming : l’appareil de l’utilisateur échange des clés de chiffrement avec son opérateur à domicile avant de laisser du trafic s’échapper sur le réseau du pays visité. Les criminels le savent et utilisent des cartes étrangères avec une clé…à l’étranger. Autre progrès fort gênant de la 5G, la technique dite de slicing, en cours de déploiement (5G SA) : elle permet de répartir le trafic d’un même utilisateur entre différents réseaux 5G virtuels à l’intérieur du réseau 5G réel pour n’optimiser les performances qu’en fonction de l‘usage (latence à optimiser ou débit à maximiser). Cela permet aux entreprises d’avoir leur réseau 5G privé dans le réseau 5G public mais cela complique la tâche des autorités policières qui doivent poursuivre plusieurs flux de trafics d’une même cible. Même les textos sont chiffrés de bout en bout avec le déploiement de RCS, un protocole dont s’est inspiré WhatsApp.

    Pour des raisons de sécurité, il faut aussi chiffrer le trafic DNS, celui qui traduit le nom de domaine en adresse IP. On peut le faire au niveau bas, TLS, ce qui permet  encore de suivre le trafic émis par le suspect, même s’il reste chiffré, mais parfois le trafic DNS est chiffré au niveau du protocole http, directement au niveau du navigateur ce qui le mélange avec tout le trafic internet. Ceci dit, accéder au traffic DNS de la cible requiert une forte coopération de l’opérateur télécom en plus.

    Fournisseurs de communications électroniques dits OTT

    Avec le Code de Communications Électronique, non seulement les opérateurs télécom traditionnels doivent permettre les écoutes téléphoniques mais aussi la myriade de fournisseurs de communications électroniques sur Internet (les Over The Top providers, ou OTT) mais ce n’est pas souvent le cas et il n’y rien qui est en place au niveau légal coercitif pour les forcer. Les techniques de chiffrement de bout en bout vont en tout cas exiger que ces opérateurs prévoient des possibilités pour les autorités policières de venir placer des équipements d’écoute comme au bon vieux temps. Mais comment vérifier qu’il n’y a pas d’abus non seulement des autorités judiciaires mais aussi des hackers.

    Les cryptomonnaies

    Les cryptomonnaies sont évidemment prisées par les criminels. Il est si facile d’échapper aux autorités judicaires avec les cryptomonnaies. C’est vrai qu’elles sont traçables mais les techniques pour les brouiller sont bien connues aussi : il y a le mixage qui consiste à mélanger les transactions pour dissimuler l’origine des sources. Il y a le swapping, c’est-à-dire échanger une cryptomonnaie contre un autre (et il y en a des cryptomonnaies) de proche en proche pour obscurcir le chemin suivi. Il s’agit aussi d’échanger les cryptomonnaies en dehors des plateformes ou alors via des plateformes décentralisées, sans autorité centrale à qui adresser une réquisition.

    Même dans le cas d’une plate-forme centralisée soi-disant dans un pays donné, une réquisition qui y est envoyée après avoir pris du temps, ne mènera nulle part car la plate-forme ne sera pas physiquement dans le pays où elle est enregistrée. Il y a depuis, en Europe, la Travel Rule : elle oblige les plateformes qui envoient et reçoivent des cryptomonnaies à conserver le nom de l’émetteur et du bénéficiaire des fonds (cryptos).

    Les techniques d’anonymisation sur Internet sont devenues redoutablement efficaces grâce à des VPNs. Ces réseaux privés sont à l’intérieur même d’internet et complément chiffrés. Ils masquent au niveau d’internet les vraies adresses IP du trafic. A côté des VPN, il y a les serveurs virtuels qu’on peut éparpiller sur les clouds en multiple exemplaires. C’est sur ces serveurs qu’est hébergé le dark web.

    La coopération internationale est le dernier défi. Chaque pays ne permet pas de faire n’importe quoi au point qu’un pays doit parfois pouvoir prendre le relais d’un autre pays pour faire un devoir d’enquête non autorisé dans le pays d’origine. Il faut aussi se coordonner, éviter la déconfliction, un terme barbare qui désigne des interférences involontaires d’un Etat qui enquête sur la même chose qu’un autre État.

    Tout ces constats, Europol les confirme dans son rapport sur le crime organisé publié le 18 mars. Ce dernier a bien compris le don d’ubquité que lui donne le recours à Internet et la transition vers un monde en ligne : recrutement à distance de petites mains, très jeunes, pour des tâches si fragmentées qu’elles ne se rendent pas compte pour qui et pour quoi elles travaillent, ni ne connaissent leur victime; possibilité de coordonner sans unité de temps ni de lieu les actions criminelles aux quatre coins du monde; utilisation de la finance décentralisée et des cryptomonnaies pour blanchir l’argent. Le tout avec la complicité des États qui pratiquent la guerre hybride et encouragent à l’ultra-violence, à l’infiltration des structures légales qui ont pignon sur rue, cette mise en scène visant à provoquer sidération et doute sur le bien-fondé de nos démocraties.

    Depuis 2019, plusieurs nouveaux instruments législatifs de l’Union E uropéenne ont été introduits pour répondre à ces problèmes, explique Europol. Leur efficacité dépendra de la manière dont elles sont mises en œuvre dans la pratique.

    Les seules histoires de démantèlement de réseau criminels qui réussissent, lorsqu’on lit les communiqués de presse entre les lignes, ont toutes une caractéristique en commune : elles sont internationales, alignées au cordeau, avec des capacités techniques reconnues des agences qui y ont travaillé. Europol a raison : ce cadre législatif a surtout pour vocation d’abattre les frontières entre pays qu’internet ne connait pas. Mais c’est une condition nécessaire, pas suffisante.

    Charles Cuvelliez (Ecole Polytechnique de Bruxelles, Université de Bruxelles) & Jean-Jacques Quisquater (Ecole Polytechnique de Louvain, Université de Louvain et MIT). 

    Pour en savoir plus :
    – The changing DNA of serious and organised crime EU Serious and Organised Crime Threat Assessment 2025 (EU-SOCTA), Europol.
    – Eurojust and Europol (2025), Common Challenges in Cybercrime – 2024 review by Eurojust and Europol, Publication Office of the European Union, Luxembourg

    Notes:

    1/ Cette question a pris toute son actualité avec les discussions à l’Assemblée sur la loi sur le narcotrafic qui a essayé d’imposer aux messageries chiffrées (comme WhatsApp, Signal, Telegram…) un accès à la justice quant aux échanges cryptés des narcotrafiquants et criminels. De tout façon, un amendement sur la loi NIS2 votée au Sénat devrait interdire aux messageries d’affaiblir volontairement leur sécurité

    2/ La durée de rétention des données par les opérateurs télécom en France est de 12 mois suite à un décret de la Première Ministre de l’époque E. Borne qui évoquait une menace grandissante. Il n’y a pas d’harmonisation européenne en la manière suite au recalage de e-Privacy, le RGPD qui devait s’appliquer aux opérateurs télécoms. Il y avait une directive annexe de rétention des données pour des fins judiciaires mais elle a été recalée il y a des années par la Cour Européenne de Justice. Donc, c’est resté une matière nationale, comme souvent les matières de sécurité.

    3/ Un chiffrement de bout en bout des communications ou des données a toujours été présenté comme la solution inviolable et Apple a constamment mis en avant cette sécurité,expliquant ne pouvoir répondre à aucune demande d’entrer dans un iPhone saisi à un criminel ou un terroriste, mais contrainte et forcée et par le gouvernement de Grande-Bretagne, elle vient de faire volte-face, avec peut-être des conséquences pour tous les appareils Apple de la planète. En savoir plus…

  • Pourquoi le gouvernement russe n’a-t-il pas encore lancé une cyberattaque d’ampleur ?

    Sur binaire, nous avons souvent traité du sujet des cyberattaques qui se développent de plus en plus. La sinistre actualité nous a conduit à « attendre » que de telles agressions se déroulent tant en Ukraine que dans les autres pays. Pour l’instant, il semblerait que rien de tel ne se soit encore produit.
    Pour mieux comprendre cette situation, nous avons interrogé plusieurs experts dont les noms ne peuvent pas apparaitre pour des obligations de réserve et qui ont choisi Jean-Jacques Quisquater comme porte-parole. Pascal Guitton & Pierre Paradinas

    Photo de Tima Miroshnichenko provenant de Pexels

    Alors que tout le monde s’y attendait, il semblerait qu’à l’heure où nous publions ce texte aucune cyberattaque d’ampleur n’a eu lieu de la part de la Russie contre l’Occident, en réponse aux sanctions économiques, ni même contre l’Ukraine : à peine a-t-on relevé deux effaceurs de données (wipers  en anglais) dont on n’est même plus très sûr de l’origine offensive. Il s’agit de HermeticWiper et WhisperGate (déjà actif au moins de janvier) et IsaacWiper sans compter quelques variantes. Ils devaient s’infiltrer dans des réseaux informatiques des autorités ukrainennes, effacer le contenu des disques durs jusque dans la partie qui empêche ensuite la machine de redémarrer. HermeticWiper, lancé quelques heures avant l’attaque, se cachait derrière un rançongiciel (HermeticRansom) qui avait pour but de leurrer les victimes et de détourner leur attention. HermeticRansom s’avère de piètre qualité car des chercheurs des sociétés Crowdstrike et Avast ont pu proposer un script et un outil de déchiffrement, comme si le code avait été écrit à la va-vite sans être testé. Il n’utilisait même pas les techniques classiques de brouillages des rançongiciels. Son préfixe, Hermetic, vient du certificat numérique usurpé à une société : Hermetica Digital Ltd.  Les auteurs ont  pu se faire passer pour cette société et acquérir le certificat en tout régularité.

    Aujourd’hui, l’Ukraine est toujours une cible : les sociétés qui offrent un service de blocage d’accès à des serveurs web compromis, ont vu une augmentation (d’un facteur 10) des requêtes bloquées provenant d’Ukraine : c’est la preuve qu’on clique de plus en plus souvent sur des liens d’hameçonnage ou que des malwares essaient d’établir une connexion avec un site à partir duquel ils peuvent être dirigés.

    Entretemps, les certificats numériques utilisant les protocoles SSL/TLS venant de Russie ne pourront plus être renouvelés à la date d’échéance à titre d’embargo.  « Les Russes émettent maintenant leurs propres certificats que les navigateurs les plus répandus n’accepteront pas », ont déjà annoncé les Google et autres Microsoft qui les conçoivent. Ces certificats « made in Russia » posent d’ailleurs plus un problème pour les russes que pour les étrangers : c’est une porte ouverte pour mieux espionner les citoyens qui, dans leurs communications sur le web, utiliseront des certificats dont les clés de chiffrement sont connues des autorités russes….

    Plus problématique est l’apparition des protestwares : il s’agit de modifications apportées dans les logiciels open source qui s’activeront si la bibliothèque est utilisée sur une machine avec des réglages russes : un message inoffensif de protestation contre la guerre s’affiche. Cette initiative n’est cependant pas innocente car elle met à mal le paradigme même de la communauté open source, à savoir la bonne volonté et la transparence, pas l’hacktivisme. A ce stade, les protestware sont anecdotiques et minimalistes mais c’est une nouvelle menace à suivre, surtout pour les développeurs

     Pourquoi lancer une cyberattaque contre l’Occident ?

    Si le gouvernement russe n’a pas lancé de cyberattaque contre l’Occident, c’est peut-être par manque de prévoyance car il ne s’attendait sans doute pas à une réaction si vive des démocraties occidentales. Il a sous-estimé la cohésion de nos pays à s’opposer, sanctions à la clé en un rien de temps, à son coup de force. Peut-être pensait-il pouvoir faire un remake du printemps de Prague avec un Occident qui n’avait pas prise sur l’Union Soviétique à moins d’entrer en guerre avec elle. Mais contrairement à l’Union Soviétique, la Russie fait partie du système économique mondial.  Le président russe doit casser cette cohésion occidentale, poussée et soutenue par les opinions publiques dans tous les pays. Des attaques cyber ont ce potentiel, en perturbant le fonctionnement de l’économie via la mise à l’arrêt d’infrastructures critiques, de transports, de banques, de services de l’administration. Le but est de saper la confiance du citoyen face à ses gouvernants qui n’auraient alors plus l’assise – ni le temps du fait des « perturbations cyber » sur leurs propres économies – pour consacrer tous leurs efforts à lutter contre l’agresseur. Celui-ci peut encore lancer des attaques de déni de service (DDoS en anglais) qui inondent les réseaux de requêtes artificielles pour les saturer et rendre inaccessibles les sites web des banques ou leurs applications mobiles, et qui peuvent aussi mettre à plat les systèmes de paiement ou les réseaux de carte de crédit. Les institutions financières remarquent une augmentation des attaques de déni de service, qu’on peut sans doute attribuer à un « échauffement » des forces cyber-russes qui testent leur force de frappe au cas où.

    Les institutions financières sont une cible de choix : elles sont directement reliées à Internet pour permettre à leurs clients de s’y connecter et d’y mener leurs opérations. Les attaques de déni de service sont très bien contrées mais il faut rester humbles : on ne sait pas ce que les attaquants pourraient avoir préparé. Toujours avec l’objectif de saper la confiance, le président russe pourrait ordonner de défigurer les sites des banques pour faire peur aux clients qui n’auraient alors plus confiance dans leurs banques incapables d’éviter des graffitis sur leurs sites. Avec la mise au ban des banques russes via Swift, le gouvernement russe pourrait chercher à faire œil pour œil, dent pour dent et aller un cran plus loin : pénétrer les réseaux des infrastructures de marchés financiers (Financial Market Infrastructure ou FMI en anglais). Ce sont les organisations-rouages des marchés financiers, peu connues du grand public, qui sont essentielles à leur fonctionnement. Il en va de même pour MasterCard et Visa qui, eux aussi, sont allés un cran plus loin en suspendant leurs services en Russie.

    Ce sont des scénarios mais c’est ainsi qu’il faut  procéder. Ils prennent en compte le mobile du crime pour ne pas disperser ses efforts et cerner la menace. Imaginer ce que visent les autorités russes dans une éventuelle cyberattaque, c’est cibler le renforcement des défenses là où c’est nécessaire et détecter au plus vite les signes annonciateurs.

    Que faire ?

    Sans savoir quand viendra le coup, et même si on sait d’où il viendra et ce qu’il visera, il faut appliquer la tolérance-zéro en cyber-risque.

    Toutes les entreprises, surtout celles qui administrent des infrastructures critiques ou qui opèrent des services essentiels, comme les banques, doivent doper leur threat intelligence, c’est-à-dire activer tous les canaux qui peuvent les renseigner sur les malwares qui circulent, d’où ils viennent, comment les repérer, inclure leur empreinte numérique dans les systèmes de détection interne dans le réseau IT. Il existe, heureusement, une communauté cyber efficace qui publie et relaie tout ce qu’un de ses membres trouve : ce sont les sociétés de sécurité promptes à découvrir ces malwares pour mettre à jour leurs propres produits en publiant sur leur blog leur trouvaille comme preuve de leur savoir-faire. Mentionnons également les agences de cybersécurité nationale (comme l’ANSSI en France), les CERT et les agences gouvernementales qui relaient ces informations.

    Les entreprises doivent corriger (patcher) les vulnérabilités qui apparaissent dans les logiciels et composants informatiques qu’elles utilisent, dès que les constructeurs les annoncent avec un correctif à la clé. Il faudra aussi penser à prioriser ces mises à jour correctives car c’est tous les jours que des vulnérabilités sont annoncées grâce au dynamisme des scientifiques qui, jusqu’à présent, sont plus rapides que les attaquants. Cependant, soyons honnêtes, cela ne suffit pas car ces derniers ont toujours tout le loisir d’exploiter des vulnérabilités anciennes que trop d’entreprises tardent à corriger. On voit régulièrement apparaître des mises en garde sur des vulnérabilités  qui, tout à coup, sont exploitées par des hackers pour compromettre les systèmes des entreprises qui  ne les ont pas mis à jour. Il est alors  minuit moins une pour ces dernières.

    Il faut par ailleurs continuer à surveiller les groupes d’activistes ou les espions étatiques, ce qui permet de savoir quel type de cible est visé au niveau des états. Aujourd’hui, c’est l’Ukraine, demain, ce sera peut-être un autre pays. On surveillera les groupes de hackers notoirement connus pour avoir des accointances en Russie. Ils vont sûrement s’exercer dans le sens d’une mission « freelance » que pourrait leur demander leur pays de tutelle.

    Enfin, les entreprises doivent refaire le tour des mesures techniques qui rendent leurs réseaux étanches aux attaques, mesures qu’elles appliquent déjà certainement mais il faut contrôler qu’aucune exception qui aurait été accordée n’est restée active par mégarde. Les plus avancées parmi les entreprises auront déjà implémenté le concept de réseau zéro confiance (zero-trust network), une nouvelle manière de penser les réseaux d’entreprise. Son principe est que toute machine dans le réseau de son entreprise pourrait, à l’insu de tous, avoir été compromise. Aucune machine ne peut faire confiance à aucune machine, comme sur Internet. C’est considérer son propre réseau comme un Far-West équivalent à Internet. L’autre concept est la défense en profondeur : une défense informatique doit toujours être en tandem avec une autre défense informatique. Si l’une est compromise, l’autre fonctionnera encore et l’attaque sera un échec.

    L’authentification à deux facteurs que certains activent déjà pour leurs compte Gmail est un exemple. Ne connaitre que le mot de passe et le login ne vous permet plus d’accéder à votre boite email. Il faut encore un code qui parviendra à votre smartphone par exemple. Pour vaincre ces deux couches, un voleur doit non seulement connaitre le mot de passe et login mais aussi posséder le smartphone du titulaire du login.

    Plus prosaïquement, les sociétés seraient bien inspirées de jeter un coup d’œil à leurs sous-traitants et contractants qui pourraient connaitre des manquements bien pires que les leurs.

    Enfin, tout cette communauté peut avoir du personnel lié aux zones de conflit, donc très affecté par la situation, qui pourrait partir protéger leur famille, aller combattre ou qui serait tenté par des actions patriotiques sur leur lieu de travail avec les ressources IT de leur employeur. Deutsche Bank en fait pour l’instant l’amère expérience : cette banque dispose d’un centre à Moscou où travaillent 1500 experts dont la banque a besoin tous les jours en support de son trading. Elle est forcée d’élaborer à toute vitesse des plans d’urgence pour « accompagner » la perte future de ce centre, soit parce que le gouvernement russe le ferme en représailles, soit parce que l’embargo occidental intense rend impossible la collaboration, soit parce Deutsche Bank n’arrive tout simplement plus à verser les salaires du fait de l’isolement financier de la Russie. Elle a par exemple mené récemment un stress test en fonctionnant trois jours sans faire appel à son centre de Moscou.

    Ce qui ne manque pas de frapper, c’est le niveau inédit de coopération public-privé : on voit un Microsoft coopérer directement avec le gouvernement ukraininen. Les partenariats privé-public sont depuis des années appelés de leur vœux en cybersécurité. Les voilà mis en œuvre, enfin.

    Quand la Russie attaquera-t-elle au niveau cyber ?

    On se perd en conjectures sur l’absence d’attaques cyber d’ampleur pour l’instant à l’extérieur de l’Ukraine : certains analystes pensent que le président russe n’a pas averti/impliqué ses agences de renseignement à temps pour les prévenir de l’imminence de l’attaque, de sorte que ces dernières n’ont rien préparé et ont continué leurs opérations d’infiltrations/espionnages habituelles. Lancer une attaque cyber sur plusieurs pays à la fois, simultanément, cela se prépare. Ce n’est pas comme s’introduire dans une entreprise donnée à la recherche de secrets ou pour lancer un petit rançongiciel, histoire de garder la main.

    Jean-Jacques Quisquater (Université de Louvain Ecole Polytechnique de Louvain).

  • Le divulgâcheur : une nouvelle rubrique dont vous pouvez être le héros !

    L’informatique est rentrée dans toutes les facettes de nos vies, y compris les toiles sur lesquelles nous regardons films et séries. Parfois même, nous y voyons des scènes où l’utilisation des outils informatiques nous questionne, parce que non conventionnelle à l’écran. Aussi nous vous proposons une nouvelle rubrique, dans laquelle nous inviterons des experts, pour décoder certaines scènes où le numérique joue un rôle important, en nous expliquant ce qui se passe, ce qui est crédible, ce qui l’est moins. Il ne s’agit en aucun cas de singer un rôle de critique sur la qualité de la scène mais bien d’utiliser cet angle pour parler – encore et toujours – du numérique. Et vous pouvez nous aider ! Charlotte Truchet et Pascal Guitton.

    Binairiens, binairiennes !

    En ce début d’année, nous avons une nouvelle à partager avec vous. L’équipe éditoriale s’étant creusé la tête pour trouver des façons toujours plus vivantes de vous faire découvrir le monde merveilleux de la science informatique, ce blog va bientôt inaugurer une toute nouvelle rubrique, pour laquelle nous allons avoir besoin de vous, lectrices et lecteurs !

    Nous avons intitulé cette série : le divulgâcheur.

    Traduit en anglais, ce joli mot devient « spoiler ». « Et c’est quoi le rapport avec l’informatique ? », direz-vous, car vous êtes des lecteurs et lectrices pointilleux. Et bien, pendant des années, des décennies même, l’informatique montrée à l’écran était souvent ridiculement caricaturale. On avait souvent affaire à un gamin en hoodie tapant frénétiquement du code HTML écrit en vert sur fond noir dans un sous-sol cradingue, ou alors à un policier interrogeant des bases de données omniscientes sur un terminal à petit écran (voir par exemple ici une drôle de liste de références !). Mais à Binaire, nous avons ressenti que plusieurs séries récentes, par exemple Black Mirror, The Good Wife, ou Le Bureau des Légendes, traitaient de vraies questions informatiques, de façon assez travaillée, voire réaliste.

    Réaliste, certes, mais à quel point ? C’est ce que le Divulgâcheur va vous révéler. Dans chaque épisode de notre rubrique, nous inviterons un.e chercheur.euse en informatique à décoder pour nous une scène de série montrant un usage informatique non conventionnel, et à nous en livrer les clefs.

    « Mais vous allez nous spoiler, alors ?!!! » direz-vous car vous êtes des lectrices et lecteurs exigeants. Hé oui, d’où le titre de la rubrique. Si vous souhaitez garder le plaisir de la découverte de vos séries favorites, il sera prudent de regarder les épisodes avant de nous lire. Le numéro de l’épisode concerné sera toujours indiqué clairement, c’est promis.

    « Mais si je n’aime pas le Bureau des Légendes ? », demanderez-vous, car tout pointilleux et exigeants que vous êtes, vous avez aussi le droit d’avoir mauvais goût 😉 . C’est justement le but de ce petit texte : nous comptons sur vous pour nous proposer des épisodes à traiter ! Plus précisément, voilà ce que nous cherchons :

    => Une scène d’une série, ou d’un film, qui soit basée sur un usage non conventionnel du numérique : pour que l’exercice soit intéressant, il faut que l’informatique soit partie intégrante du scenario et pas juste un élément de décor,

    => idéalement, plutôt de séries ou de films récents,

    => non, pas que Black Mirror ; nous avons déjà un épisode dans les tuyaux et on ne fera pas que des épisodes de Black Mirror !

    Laissez-nous en commentaire le nom de la série, le numéro exact de l’épisode (ou le titre du film), et une courte description de la scène considérée. Nous nous engageons alors à essayer de trouver un.e expert.e pour décrypter la scène. Nous n’y arriverons peut-être pas toujours, mais nous essaierons !

    Alors, à vous !

    L’équipe Binaire

  • Les liaisons dangereuses du renseignement français

    L’analyse de données massives, le big data, a de nombreuses applications : on peut vouloir faire parler les données dans de nombreux domaines. Nous nous intéressons ici à un en particulier, le renseignement.   Des matériels informatiques de plus en plus puissants, des algorithmes de gestion et d’analyse de données de plus en plus sophistiqués, la disponibilité de données numériques de plus en plus massives changent notre monde. Ils permettent des avancées extraordinaires de la recherche scientifique dans de nombreux domaines, comme la médecine, l’astronomie ou la sociologie. Ils mettent à notre service des outils fantastiques comme, aujourd’hui, des moteurs de recherche du Web tel Qwant (1) et, peut-être demain, les systèmes d’informations personnelles tel celui en cours de développement par l’entreprise française Cozy Cloud. Ils sont beaucoup utilisés par les entreprises, par exemple pour le marketing… et aussi par les gouvernements. Il suffit de collecter des masses de données numériques – on y trouvera toute l’intelligence (au sens anglais (2)) du monde – pour lutter contre la criminalité, détruire ses opposants politiques, découvrir les secrets industriels de ses concurrents.

    © Progressistes

    Une société s’est imposée sur ce marché juteux, Palantir Technologies. Le cœur de leur technologie est un système, Palantir Gotham, qui permet d’intégrer massivement des données structurées (provenant de bases de données) et non structurées (par exemple des textes du Web ou des images), de faire des recherches sur ces données, de les analyser, d’en extraire des connaissances.

    Comment ça marche ?

    La difficulté est de comprendre le sens des données. Celles d’une entreprise sont relativement propres et bien structurées. Quand nous utilisons les données de plusieurs entreprises, quand nous les « intégrons », c’est déjà moins simple. Les données sont organisées différemment, les terminologies peuvent être différentes. Par exemple, les deux systèmes peuvent utiliser des identifiants différents pour une même personne, des adresses ou des courriels différents, etc. Les informations du Web et des réseaux sociaux peuvent être encore plus difficiles à extraire : les personnes utilisent parfois juste des prénoms ou des surnoms; les imprécisions, les erreurs, les incohérences sont fréquentes; surtout, les données sont très incomplètes. En outre, une grande masse des informations disponibles consiste en des textes et des images où il faut aller chercher des connaissances.

    Les « progrès » de la technique ont été considérables ces dernières années. Par exemple, le système XKeyscore, un des bijoux (en termes de coût aussi) de la NSA, peut réunir, pour une personne, quasi instantanément la liste de ses appels téléphoniques, de ses paiements avec une carte de crédits, de ses courriels, ses recherches Web, les images de vidéosurveillance d’un magasin où elle a réalisé des achats… Palantir propose à ses utilisateurs XKeyscore Helper pour importer des données de XKeyscore, les interroger, les visualiser, les analyser et les réexporter.

    Palentir et la DGSI

    Est-ce la fin de la vie privée ? Ne s’agirait-il là que d’exagérations ? De la parano ? J’ai peur que non. Nous n’en sommes pas encore là en France, même si des lois comme la celle de 2015 relative au renseignement nous engagent dans cette direction. Heureusement, nos services de renseignements ont moins de moyens, et d’autres textes, la loi informatique et libertés ou le règlement européen sur la protection des données personnelles à partir de 2018, nous protègent.

    Revenons à Palantir. Parmi ses premiers investisseurs, on trouve la CIA, et parmi ses clients étatsuniens, la CIA, la NSA, le FBI, les Marines, l’US Air Force, les Forces d’opérations spéciales. La technologie de Palantir est utilisée notamment pour relier les données de plusieurs agences de renseignement et leurs permettre ainsi de coopérer. Depuis 2016, Palantir travaille aussi en France pour la Direction générale de la sécurité intérieure. Nous nous inquiétons peut-être pour rien, mais que font-ils pour la DGSI ? À quelles données sur des Français ont-ils accès ? Dans le cadre de la transparence de l’État, il nous semble que nous avons le droit de savoir.

    Naïvement, nous aurions aussi pu penser que, sur des données de sécurité intérieure, une entreprise européenne aurait été plus appropriée, ne serait-ce que parce qu’elle serait plus directement soumise aux lois européennes.

    Pour tenter de nous rassurer, nous pouvons consulter le site Web de Palantir, où sous l’intitulé What We Believe (Ce que nous croyons), on peut lire :

    « Palantir is a mission-focused company. Our team is dedicated to working for the common good and doing what’s right, in addition to being deeply passionate about building great software and a successful company. » (Palantir est une entreprise concentrée sur sa mission. Notre équipe est dévouée à travailler pour le bien commun et à faire ce qui est bien, en plus d’être profondément passionnée par la création de logiciels géniaux et d’une entreprise prospère.)  

    Certes, mais après nombre de révélations, notamment celles d’Edward Snowden sur des programmes de surveillance à l’échelle mondiale, impliquant la NSA ou l’alliance de renseignement Five Eyes (Australie, Canada, Nouvelle-Zélande, Royaume-Uni, États-Unis), nous pouvons difficilement nous contenter de bonnes intentions.

    Airbus parmi les clients

    Parmi les clients de Palantir, on trouve aussi Airbus. Il s’agit dans ce cas, en principe, d’intégrer des informations dispersées sur plusieurs systèmes d’Airbus, et de les analyser pour comprendre les problèmes de qualité des A350. C’est pour la collecte, l’intégration et l’analyse de données qu’Airbus utilise la technologie et l’expertise de Palantir. Nous pouvons bien sûr nous réjouir de l’amélioration de la sécurité de l’A350. Mais, n’y a-t-il pas à craindre que des informations stratégiques se retrouvent par hasard, via les réseaux de la CIA proches de Palantir, dans les mains de concurrents d’Airbus ? Ne dites pas que c’est improbable ! Naïvement, nous aurions aussi pu penser que, sur de telles données, une entreprise européenne aurait été plus appropriée, ne serait-ce que pour éviter trop de connexions occultes avec des entreprises étatsuniennes ou asiatiques.

    Si nous préférons penser que les services de renseignement français et ceux de la sécurité d’Airbus sont compétents, responsables, et qu’ils savent ce qu’ils font, nous pouvons légitimement nous inquiéter de les voir utiliser les services d’une société étatsunienne proche des services secrets et dont un des fondateurs est Peter Thiel, un libertarien, aujourd’hui conseiller numérique de Donald Trump, qu’il a soutenu tout au long de la campagne électorale qui mena Trump à la Maison-Blanche.

    L’analyse de données massives est un outil moderne pour lutter contre le terrorisme. En croisant les bases de données des différentes agences gouvernementales, on peut détecter des comportements suspects, des activités qui intéressent la lutte antiterroriste. J’ai été marqué par ce que m’a dit un jour (c’était avant le 13 novembre 2015) un officier de renseignement : « S’il y a un attentat terroriste majeur en France, on nous reprochera de ne pas avoir fait tout ce qui était en notre pouvoir pour l’empêcher. » Pourtant, cette surveillance massive de la population, d’individus a priori suspects… ou pas dans des pays démocratiques peut raisonnablement inquiéter, être prise pour une atteinte aux libertés. C’est bien là le dilemme. Après chaque attentat, les politiques, bouleversés par les images, l’horreur, sont prêts à tout pour éviter que cela se reproduise, même à restreindre les libertés. On peut les comprendre. Mais, entre l’épouvante du terrorisme et la répulsion du totalitarisme, il faut choisir où placer le curseur. Peut-être faudrait-il garder en tête que le renseignement intérieur se fait, dans un état de droit, sous le contrôle de la justice et ne surtout pas oublier qu’un affaiblissement de la démocratie est une victoire du terrorisme.

    Serge Abiteboul, Arcep, Inria et École normale supérieure, Paris.

    (1) Qwant est un moteur de recherche européen qui préserve la vie privée et ne transmet ni ne retient donc d’informations vous concernant.

    (2) En effet, nul ne penserait à traduire Intelligence Service par « service intelligent », ça se saurait !

    Pour en savoir plus

    • Sam Biddle, How Peter Thiel’s Palantir Helped the NSA Spy on the Whole World, The Intercept, 2017.
    • Ashlee Vance et Brad Stone, Palantir, the War on Terror’s Secret Weapon, Bloomberg Businessweek, 2011.
    • Vous pouvez aussi consulter ce blog.

    Cet article est paru originellement dans la revue Progressistes, Numéro 18, oct-nov-déc 2017. Le numéro, dans sa totalité, est disponible électroniquement ou en format papier.