This is the final paper from the inaugural Research for Practice selections, and the third of Justine Sherry’s three picks. The fundamental problem addressed is the same as we looked at yesterday: how do you accommodate middleboxes in HTTPS traffic? More specifically, this paper looks at deep packet inspection (DPI) network functions as used for intrusion detection and prevention (IDS/IPS). Sherry et al. have a more evocative way to describe the state-of-the-practice Split TLS solution than yesterday’s paper authors:
To enable middlebox processing, some currently deployed middlebox system support HTTPS in an insecure way: they mount a man-in-the-middle attack on SSL and decrypt the traffic at the middlebox. This approach violates the end-to-end security guarantees of SSL and thus cause an unfortunate set of issues as surveyed in Jeff Jarmoc’s SSL/TLS Interception Proxies and Transitive Trust talk at Black Hat Europe 2012.
Dans son rapport remis au Sénat, Jean-Pierre Raffarin révèle que selon les services de renseignement eux-mêmes, c'est par le biais d'une "sonde placée sur le réseau" que les services pourront collecter en temps réel des métadonnées sur les réseaux des FAI, opérateurs télécoms et hébergeurs. [...] A notre connaissance ça n'avait jamais été dit explicitement, et ça vient même contredire tout le discours anti-paranoïaque qui avait été servi au moment de loi de programmation militaire (LPM) de décembre 2013. Le rapport Raffarin sur le projet de loi renseignement confirme que les services de renseignement installent ou installeront des sondes directement sur les réseaux des FAI et opérateurs mobiles, pour collecter toutes les métadonnées qu'ils souhaitent sans avoir de comptes à rendre à quiconque, si ce n'est secrètement aux contrôles institutionnels prévus (Premier ministre et CNCTR). http://www.senat.fr/rap/a14-445/a14-4451.pdf (Rapport Raffarin) [...] "Selon les explications fournies par les responsables des services de renseignements, il s’agit de pouvoir vérifier qu’un groupe d’individus inscrits sur une liste et qui ont été, à un moment donné, impliqués dans les agissements d’un groupe terroriste, ne sont pas à nouveau entrés en relation. Une sonde sera ainsi placée sur le réseau afin de pouvoir comparer les métadonnées relatives à ces individus avec les métadonnées circulant sur ce réseau".
Un FAI, par définition, ça ne peut pas s’expatrier, et ça dépend du pouvoir pour – notamment – l’attribution des fréquences de téléphonie portable: un FAI, ça ferme sa gueule ou ça démi ferme tout court. Pour qu’un « algorithme de détection de signal faible » soit un tant soit peu efficace (mouahaha), il faut qu’il traite tout le tas de données disponibles en vrac pour essayer d’en extraire quelque chose d’intelligible. Et pour le faire, il faut du DPI.
En coulisses, loin de l’intérêt des médias, il s’est joué une très importante bataille qui a été partiellement relatée sur FRNog par Philippe Bourcier. Une pétition réunissant 60 opérateurs signataires faisant part des vives inquiétudes d’un dispositif gouvernemental d’interception sur leurs infrastructures a conduit à une négociation avec le gouvernement pour que ce dernier abandonne l’idée de sondes capables d’intercepter le contenu des communications. Et les opérateurs ont été entendus (mieux vaut tard que jamais), puisque ces négociations ont conduit à l’adoption d’un amendement à l’article L] Et effectivement, nous pouvons tous remercier OVH et tous les opérateurs signataires qui ont empêché ce vers quoi le gouvernement s’orientait, c’est à dire un dispositif qui aurait fait passer Orwell pour un « bisounours hémiplégique ». http://blog.fdn.fr/?post/2009/12/08/Un-temps-de-retard
Avec l’éviction du juge, l’installation de « boites noires » sur les réseaux des FAI et autres hébergeurs ou réseaux sociaux est le point le plus hallucinant du projet de Loi sur le renseignement. Il implique un changement de paradigme qui devrait faire frémir tous les parlementaires (ce qui n’est absolument pas le cas, au contraire) et plus largement, tous les Français. Et pourtant, l’arrivée de ces boites noires n’est en rien une nouveauté.
https://www.wikileaks.org/spyfiles/list/company-name/amesys.html
https://www.wikileaks.org/spyfiles/list/company-name/qosmos.html
http://openews.eu/les-technologies-de-dpi-et-lethique/
http://openews.eu/intrusion-massive-de-la-dgse-dans-les-communications-des-clients-dorange-libertes-en-danger/
http://www.europe1.fr/high-tech/surveillance-les-boites-noires-en-5-questions-2429915
On a demandé à des spécialistes en informatique s’il était possible de concevoir un programme répondant aux attentes du gouvernement en matière de renseignement. Résultat : techniquement, c’est très foireux.
Il n’en reste pas moins que ce système de surveillance opérera dans la plus grande opacité. Les entreprises chargées de surveiller leurs utilisateurs se verront imposer le secret de la défense nationale. De
plus, leurs locaux pourront faire l’objet de visites de contrôle de la part d’agents de la CNCTR.
L’un des nœuds du problème dans ce débat est le statut des métadonnées. De nombreux experts, mais également les journalistes ayant étudié les documents fournis par Edward Snowden tels que Glenn Greenwald,
soulignent régulièrement le caractère intrusif de ces données et l’appétence toute particulière des services de renseignement pour ce type de surveillance. Celle-ci est en effet automatisée et son
exploitation demande beaucoup moins de moyens que l’interception de contenus qu’il faut ensuite analyser. Lors d’une audition, au mois de novembre dernier[1], par la Commission de réflexion sur le droit et
les libertés à l’âge du numérique de l’Assemblée nationale, le président de la CNCIS, Jean-Marie Delarue, avait lui-même fait part des dérives qu’il avait pu constater dans la collecte des métadonnées. « Je
suis personnellement persuadé que la saisie répétitive et portant sur des domaines étendus de métadonnées révèle autant en matière de contenant que la saisine de certains contenus », avait-il déclaré. « Elle
révèle d’autant plus que, bien entendu, ceux qui pensent être l’objet d’interceptions de sécurité sont en général discrets dans leurs propos. La saisine de contenant parle beaucoup plus que ce qu’ils peuvent
dire au téléphone. »
Jusqu’à présent, le gouvernement balaye de la main ces arguments et s’obstine à considérer les métadonnées uniquement comme des données techniques ne bénéficiant pas de la même protection. Ainsi, dans le
projet de loi renseignement, leur durée de conservation est portée à cinq ans, contre un mois pour les écoutes et un an pour les autres types de contenu. Dans un rapport relatif à l’activité de la délégation
parlementaire au renseignement, remis au mois de décembre 2014,[2] Jean-Jacques Urvoas avait indirectement répondu au président de la CNCIS. « Dans tous les cas, ces documents et informations ne portent que
sur les données techniques de connexion », écrivait-il. « À l’inverse de ce qui peut-être abondamment répété, le caractère intrusif s’avère donc limité puisqu’une facture détaillée révèle moins d’un individu
que le contenu de ses conversations », martelait Jean-Jacques Urvoas, renvoyant, en note de bas de page, à un article de Mediapart qui relayait les critiques de Jean-Marie Delarue.
Malgré les dénégations du gouvernement, et de réelles avancées potentielles en matière de contrôle, ce nouveau dispositif dessiné touche par touche au fil des lois n’est pas sans rappeler le "Patriot Act",
adopté en octobre 2001 aux États-Unis, comme le fait remarquer le Washington Post[3], et les dérives dénoncées par Edward Snowden. Les services français ne risquent-ils pas de se trouver en position de
mettre en place une surveillance de masse des internautes, avec la complicité forcée des acteurs du Net ? Le projet de loi a, en tout cas, d'ores et déjà suscité une vague de réactions en ce sens.
La CNIL notamment, dans un avis publié jeudi[4], s’inquiète de « mesures de surveillance beaucoup plus larges et intrusives » qu’actuellement. Concernant les nouveaux pouvoirs accordés aux services, la
commission affirme ne pas avoir « d’opposition de principe ». Elle se félicite même de la légalisation de certaines pratiques « qui, pour certaines, échappaient à tout contrôle » et qui désormais seront
soumises à un « contrôle administratif et juridictionnel ».
Mais c’est sur les dispositions visant Internet, et plus particulièrement la captation massive de données, que la CNIL tire la sonnette d’alarme. Les nouveaux pouvoirs accordés aux services auront des
« conséquences particulièrement graves sur la protection de la vie privée et des données personnelles », avertit-elle. « Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne
identifiée, mais de permettre de collecter de manière indifférenciée un volume important de données qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement. »
Le gendarme des données personnelles demande à ce que le « périmètre » des données collectées soit « clarifié » et s’inquiète plus particulièrement des projets visant à collecter les informations directement
chez les opérateurs. « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence », affirme la CNIL. Concernant les « IMSI catcher », la
commission souligne qu’un « tel dispositif permettra de collecter de manière systématique et automatique des données relatives à des personnes pouvant n’avoir aucun lien ou un lien purement géographique avec
l’individu effectivement surveillé ».
Enfin, la CNIL s’inquiète du sort réservé aux données collectées, et notamment de la manière dont seront conservés les fichiers ainsi créés. Elle propose même que la loi lui confie une mission de contrôle
des données stockées, « une garantie supplémentaire essentielle », estime-t-elle.
Le Conseil national du numérique (CNNum) a, lui, publié un communiqué[5] dans lequel il s’inquiète « d’une extension significative du périmètre de la surveillance », notamment à la « prévention des violences
collectives » ou encore à « la défense des intérêts de la politique étrangère », « deux champs dont les contours flous ne permettent pas de définir avec rigueur le champ d’intervention légal du
renseignement ». « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. C’est le cas, par
exemple, du dispositif de traitement automatisé ». Plus globalement, « le Conseil s’inquiète de la tendance à l’accumulation de dispositions législatives visant à une surveillance accrue des citoyens sur
Internet ».
Interrogé par L’Express[6], le juge antiterroriste Trévidic a lui aussi fait part de ses craintes. « Ces pouvoirs exorbitants se feront sans contrôle judicaire », rappelle-t-il. « Ne mentons pas aux Français
en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judicaires, pourtant garants des libertés individuelles dans
notre pays. »
Il n’en demeure pas moins que cette nouvelle réforme de la surveillance risque de passer, comme les précédentes, à la quasi-unanimité. Seuls quelques points pourraient être amendés. Il s’agirait notamment,
selon nos informations, de la protection de certaines professions, un point sur lequel le gouvernement attend les propositions des parlementaires. La demande de la CNIL de pouvoir exercer un contrôle sur le
stockage des fichiers a, elle, de fortes chances de rester lettre morte. En dehors de ces quelques points, l’union nationale devrait encore primer.
« Nous voterons cette loi, pas de polémique », a déjà annoncé Nicolas Sarkozy le 17 mars sur TF1, à la condition que celle-ci ne soit « pas dénaturée dans le cadre du débat parlementaire ». Frédéric
Péchenard, directeur général de l’UMP et ancien patron de la police, a de son côté salué[7] un projet « équilibré et cohérent », un texte « très intéressant », même s’il « arrive un peu tard ».
Le député PS, Christian Paul, membre de la commission sur les libertés numériques, se dit « sur le principe, favorable à une loi sur le renseignement ». « Tout d’abord, on sait bien qu’aujourd’hui les
terroristes et le crime organisé utilisent les différents réseaux. Et quand une menace évolue, cela ne me choque pas que la loi évolue », explique-t-il. « Ensuite, et parallèlement, les services de
renseignement disposent de technologies aux capacités intrusives de plus en plus inquiétantes. Il faut donc qu’il y ait une loi pour encadrer ces pratiques et ne pas se retrouver dans une jungle des données
dans laquelle les services pourraient se servir. »
« Mais cette loi doit donc être une loi pour encadrer », prévient-il. « Si l’idée est de donner un cadre légal à certaines pratiques, il faudrait déjà s’interroger sur ce qui doit être légal ou non et ne pas
forcément tout autoriser. Et pour cela, il va falloir, durant les débats, entrer véritablement dans la pratique, dans "l’état de l’art" du renseignement. Il faudra également être vigilant à ne pas tomber
dans une surveillance généralisée de type NSA. La fameuse "boîte noire" évoquée par la presse par exemple pose question », poursuit-il. « Enfin, et c’est un point important de ce texte, il faudra être très
vigilant sur la nature des autorités de contrôle. Il faudra s’assurer qu’elles ne se résument pas à un simple système d’enregistrement », prévient Christian Paul.
En attendant l’adoption très probable de ce texte, le ministère de l’intérieur songe déjà aux prochaines mesures. Et la prochaine cible pourrait bien être le chiffrement, considéré par de nombreux
internautes comme un pilier de la vie privée sur les réseaux. Le projet de loi renseignement prévoit déjà que le délai de conservation des données chiffrées ne court qu’à partir du moment où elles ont été
déchiffrées. Ce qui permet en théorie de les conserver ad vitam, si les services techniques ne parviennent pas à briser le chiffrement. Mais le gouvernement envisage d’aller plus loin et réfléchit, selon nos
informations, à la possibilité d’exiger des acteurs d’Internet que soient remises aux autorités les « clefs » de chiffrement permettant de décrypter les informations protégées.
==================================================================
Loi et compilation de liens : https://shaarli.cafai.fr/?-1t_0Q
Cette loi ou projet de loi, bien partie pour passer sans aucun débat contradictoire dépasse l'entendement. Elle baffoue purement et simplement une multitude de libertés civiles.
Avis de la CNIL: https://cdn.nextinpact.com/medias/avant-projet-de-loi-sur-le-renseignement.pdf
CNN:
http://www.cnnumerique.fr/renseignement/
Revue de Presse:
http://www.nextinpact.com/news/93509-projet-loi-sur-renseignement-tous-points-noirs-denonces-par-cnil.htm
http://www.lesinrocks.com/2015/03/19/actualite/le-projet-de-loi-renseignement-de-manuel-valls-en-5-questions-11612463/
http://www.telerama.fr/medias/les-francais-doivent-se-battre-contre-le-projet-d-une-enieme-loi-contre-le-terrorisme-giorgio-agamben,121729.php
http://www.telerama.fr/medias/renseignement-une-loi-pour-punir-le-pre-terrorisme,124333.php
http://www.telerama.fr/medias/premiers-coups-de-frein-contre-le-projet-de-loi-renseignement,124354.php
http://reflets.info/pjlrenseignement-deja-vu-lecons-de-lhistoire-et-aruspicine/
http://reflets.info/putain-de-dns-menteurs/
http://reflets.info/censure-administrative-du-net-pour-parfaire-le-decor/
http://reflets.info/deuxieme-mutation-de-la-democratie-en-vue/
http://standblog.org/blog/post/2015/03/19/Projet-de-loi-Renseignement
http://reflets.info/censure-et-surveillance-administrative-lessence-de-la-tyrannie/
http://korben.info/il-y-aura-bien-un-patriot-act-a-la-francaise.html
http://reflets.info/une-boite-noire-pour-nous-surveiller-tous-mais-une-boite-noire-de-gauche/
http://reflets.info/la-boite-noire-gouvernementale-chez-les-fai/
http://www.nextinpact.com/news/93484-surveillance-et-boite-noire-au-menu-loi-sur-renseignement.html
http://www.numerama.com/magazine/32536-la-detection-par-algorithmes-des-menaces-terroristes-dans-la-loi-renseignement.html
http://www.nextinpact.com/news/93476-comment-france-veut-decupler-pouvoirs-renseignement.htm
http://aboudjaffar.blog.lemonde.fr/2015/03/18/cest-sans-danger/
http://signal.eu.org/blog/2015/03/17/pourquoi-la-loi-renseignement-va-etre-votee/
http://www.lesechos.fr/politique-societe/societe/0204237587960-anti-terrorisme-valls-defend-le-projet-de-loi-renseignement-1103555.php
http://www.lemonde.fr/pixels/article/2015/03/19/le-conseil-national-du-numerique-critique-plusieurs-points-du-projet-de-loi-sur-le-renseignement_4597153_4408996.html
http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/renseignement-le-gouvernement-veut-donner-carte-banche-aux-espions-19-03-2015-1914132_506.php
http://www.leparisien.fr/high-tech/les-experts-critiquent-le-blocage-des-sites-jihadistes-18-03-2015-4614625.php
http://www.lefigaro.fr/secteur/high-tech/2015/03/18/01007-20150318ARTFIG00048-le-gouvernement-veut-installer-une-boite-noire-chez-les-operateurs-telecoms.php
http://www.lefigaro.fr/secteur/high-tech/2015/03/17/01007-20150317ARTFIG00008-terrorisme-de-nouvelles-obligations-de-surveillance-pour-les-geants-du-net.php
http://www.lefigaro.fr/flash-eco/2015/03/19/97002-20150319FILWWW00053-la-cnil-critique-le-projet-de-loi-renseignement.php
http://www.lemonde.fr/pixels/article/2015/03/18/les-critiques-de-la-cnil-contre-le-projet-de-loi-sur-le-renseignement_4595839_4408996.html
http://www.lesechos.fr/tech-medias/hightech/0204235783787-les-reserves-de-la-cnil-sur-le-projet-de-loi-renseignement-1103298.php
http://www.lefigaro.fr/secteur/high-tech/2015/03/17/01007-20150317ARTFIG00319-loi-renseignement-un-projet-qui-divise.php
http://www.lesechos.fr/journal20150318/lec1_france/0204231811597-la-mise-sous-surveillance-du-net-suscite-des-remous-1102999.php
http://www.lefigaro.fr/actualite-france/2015/03/16/01016-20150316ARTFIG00396-ecoutes-balises-micros-ce-que-la-nouvelle-loi-sur-le-renseignement-va-autoriser.php
Reserves d'un juge antiterrotiste:
http://www.lexpress.fr/actualite/projet-de-loi-sur-le-renseignement-les-reserves-du-juge-antiterroriste-marc-trevidic_1662838.html
Démocratie, Etat de droit:
http://blogs.lexpress.fr/passe-droits/democratie-loi-renseignement/
Radio:
http://www.franceinter.fr/emission-le-telephone-sonne-le-projet-de-loi-sur-le-renseignement-big-brother-nous-regardera-t-il
Aller plus loin:
Deleuze et Michel Foucault:
https://infokiosques.net/imprimersans2.php3?id_article=214
Foucault:
http://www.monde-diplomatique.fr/2014/01/AGAMBEN/49997
Lettre ouverte:
http://blog.keltia.net/2015/03/17/lettre-ouverte-a-nos-gouvernants/
Conséquences, implications: http://reflets.info/category/sagas/deep-packet-inspection/
=========
EDIT 20.03.2015:
http://ecrans.liberation.fr/ecrans/2015/03/16/cinq-sites-web-projihad-bloques-de-l-interieur_1222042
http://www.mediapart.fr/journal/france/190315/loi-renseignement-la-france-veut-rattraper-son-retard-sur-la-nsa
http://www.avocatparis.org/actualites-2015/2991-projet-de-loi-sur-le-renseignement-opacite-et-danger-pour-les-libertes.html
https://www.amnesty.org/en/press-releases/2015/03/france-new-intelligence-bill-would-pave-the-way-for-extremely-intrusive-surveillance/
http://www.numerama.com/magazine/31893-eelv-et-nouvelle-donne-opposes-a-une-nouvelle-loi-anti-terrorisme.html
http://www.zdnet.fr/actualites/loi-renseignement-extension-du-domaine-de-la-programmation-militaire-39816576.htm
http://www.silicon.fr/projet-loi-renseignement-dangereux-liberticide-stupide-111470.html
http://www.nextinpact.com/news/93516-loi-sur-renseignement-cnil-a-t-elle-ete-ecoutee.html
http://tempsreel.nouvelobs.com/tech/20150319.OBS5029/la-loi-sur-le-renseignement-c-est-5-menaces-graves-pour-nos-libertes.html
http://www.liberation.fr/societe/2015/03/19/projet-de-loi-l-extension-du-domaine-du-renseignement_1224379
http://www.itele.fr/chroniques/grand-decryptage-olivier-galzi/renseignement-au-nom-de-la-securite-116347
http://reflets.info/parlons-un-peu-de-la-sous-democratie-francaise/
http://bugbrother.blog.lemonde.fr/2010/12/23/safari-et-la-nouvelle-chasse-aux-francais/
http://www.nextinpact.com/news/93526-boite-noire-et-loi-sur-renseignement-details-l-etude-d-impact.htm
http://www.numerama.com/magazine/32547-amnesty-international-denonce-le-projet-de-loi-renseignement.html
http://objectifnews.latribune.fr/entreprises/business/2015-03-19/le-projet-de-loi-sur-le-renseignement-fait-reagir-les-professionnels-a-toulouse.html
http://www.publicsenat.fr/lcp/politique/valls-defend-texte-renseignement-critique-defenseurs-des-libertes-publiques-852144
http://www.telerama.fr/medias/le-projet-de-loi-renseignement-defendu-par-son-geniteur,124370.php
http://www.laquadrature.net/fr/vague-dopposition-a-linfect-projet-de-loi-surveillance
http://www.dw.de/council-of-europe-rights-chief-worried-by-french-bill/a-18329073
http://signal.eu.org/blog/2015/03/17/pourquoi-la-loi-renseignement-va-etre-votee/
http://web-engage.augure.com/pub/link/392917/02424929027695461426850306775-amnesty.fr.html
http://www.avocatparis.org/actualites-2015/2991-projet-de-loi-sur-le-renseignement-opacite-et-danger-pour-les-libertes.html
http://www.pierrederuelle.com/declaration-des-droits-de-lhomme-et-du-citoyen-mise-a-jour-2015/
http://www.nextinpact.com/news/93532-loi-sur-renseignement-arcep-redoute-perturbation-reseaux.htm
http://www.lesaf.org/blog-libertes.html?fb_746248_anch=2235924
http://www.syntec-numerique.fr/actualite/projet-loi-renseignement-patriot-act-francais
http://framablog.org/2015/03/12/le-confort-ou-la-liberte/
Une Emission sur Itélé:
http://www.itele.fr/chroniques/grand-decryptage-olivier-galzi/renseignement-au-nom-de-la-securite-116347
Dispo sur le Media Kit de LQDN: https://mediakit.laquadrature.net/view.php?id=2251
Adrienne Charmet Alix sur Canal:
https://mediakit.laquadrature.net/view.php?id=2246
Point de vue d'un ancien commissaire:
http://moreas.blog.lemonde.fr/2015/03/20/un-avenir-prive-de-vie-privee/comment-page-1/
http://authueil.org/?2015/03/20/2290-le-fondement-de-la-confiance
http://www.lopinion.fr/blog/secret-defense/loi-renseignement-est-revolution-juridique-22492
http://www.afdel.fr/actualites/categorie/actualite-afdel/article/projet-de-loi-renseignement-les-acteurs-du-numerique-s-inquietent-du-flou-qui-entoure-les-nouveaux-dispositifs-visant-une-systematisation-des-technologies-d-interception
http://www.filpac.cgt.fr/spip.php?article9545
http://www.amnesty.fr/CP-Projet-de-loi-Renseignement-14620
http://www.nextinpact.com/news/93529-le-renseignement-pratiquera-piratage-informatique-legal.html
http://www.cnnumerique.fr/renseignement/
Dans le cadre d’une enquête préliminaire ouverte en juillet 2012 par le Parquet de Paris, visant l’implication de sociétés françaises, en particulier l’entreprise Qosmos, dans la fourniture de matériel de surveillance au régime de Bachar Al Assad, James Dunne a été entendu en tant que témoin le 25 mai 2013.
[...]
«En 2007, les activités de Qosmos prenaient donc un tout autre virage. Nos clients les plus importants sont devenus les Ministères de la Défense et de l’Intérieure françaises. De surcroit, nous n’avions pas le droit d’en faire la publicité de ces contrats. Nous avions reçu une commande même de ces mêmes clients, à l’été 2007, qui permettrait aux services de l’état d’intercepter certaines recherches sur Internet en temps réel, afin de pouvoir proposer des faux résultats.
C’est-à-dire, nous touchions à l’intégrité d’Internet. Nous n’étions plus une entreprise comme une autre.»
[...]
« Mais personne ne s'explique que ces traces aient pu figurer sur un document communiqué par Amesys à la dictature libyenne. » Quant à moi, je pouvais l’expliquer très bien.
============
Témoignage chronologique
James Dunne a travaillé pour l’entreprise au statut Confidentiel Défense, Qosmos, pendant 7 ans, en tant que Responsable de la Documentation Technique au sein de son département Recherche & Développement.
Inexorablement, les technologies de DPI* et de Data-Mining nous amènent vers un traitement de l'information de plus en plus intrusif, des systèmes de profilage de plus en plus efficaces.
Or ces technologies devancent dans les faits l'encadrement législatif sensé protéger les droits des citoyens, qui se trouvent contraints de se servir des applications qui fonctionnent grâce à ces technologies d'une manière ou d'une autre.
On aurait pu espérer une réflexion à la hauteur des enjeux citoyens qui accompagnerait le développement et l'usage de ces technologies, et un volet législatif qui encadrerait - dans le respect des droits de chacun - les produits qui en résultent.
En France, nous avons pu constater à quel point les produits dévéloppés dans ce domaine et les acteurs et décideurs dans ce domaine stratégique ont cruellement manqué d'une telle réflexion et d'un tel encadrement législatif et juridique.
Deux ans après la plainte déposée par la FIDH et la LDH, le parquet de Paris a confié à trois magistrats l'ouverture d'une enquête préliminaire visant l'éventuelle complicité d'actes de torture par l'équipementier télécoms français Qosmos, soupçonné d'avoir collaboré avec le régime syrien.
Oui, le DPI, c’est politique. En le laissant s’installer, proliférer, les citoyens choisissent de vivre dans un monde où un agent des renseignement habite sous leurs lits. Il n’y a plus ni respect de la vie privée, ni contrôle des écoutes par des juges. Encore moins de droit à l’anonymat.
Si l’on peut comprendre que Mme Michu ne soit pas alertée sur ces problématiques, on comprend moins que les journalistes ne jouent pas leur rôle de contre pouvoir. Mais, il est vrai, il y a Nabila, les petites phrases des politiques, l’immigration, la France raciste, …
Mais… Oh, wait… Les journalistes sont parmi les premiers visés par ces technologies…
Fort heureusement, les volontaires se pressent pour les former à la cryptographie, leur assurant ainsi un faux sentiment de sécurité qui génèrera peut être plus d’ennuis que de choses positives.
Le DPI est également une question éminemment juridique. Si le législateur (coucou @jjurvoas) continue de plébisciter ces technologies comme il a plébiscité la vidéosurveillance, l’avenir est franchement sombre. S’il se saisit de ces problématiques, il deviendra peut être plus difficile de laisser le Far West des services de renseignement s’installer et perdurer.
Le DPI est une question éminemment culturelle et économique. Car demain, avec le DPI, ne passeront sur nos réseaux que les paquets « purs ». Chacun est libre de défendre son bout de gras, mais pas au prix de la neutralité du Net, là aussi, une histoire très politiques (au bon sens du terme).
Chère France, tu as vraiment un souci avec les questions que te posent tes citoyens. Tiens… Prends exemple sur les Etats-Unis. Un condensé de délire paranoïaques et de surveillance massive. Et pourtant…, Reflets a demandé à la NSA quels étaient ses contrats avec la société Narus. La NSA nous a répondu en moins de quatre semaines. Et toi ?
Si nous te demandons quels sont tes contrats avec, au pif, Alcatel Submarine Networks, Orange Marine, Amesys, Qosmos, EADS dans le domaine de l’interception massive, tu nous répondras ?
«Une manière, aussi, de plaider à nouveau pour l'installation de sondes chez les FAI, qui permettraient à la Hadopi d'analyser avec précision l'évolution du trafic des différents services et sites internet utilisés pour le piratage»
Qu'on soit d'accord, ce genre de proposition est DANGEUREUSE et pas innocente du tout. C'est un pied dans la porte, si il en fallait encore un.
Le Monde nous apprend que la NSA s’est intéressée aux communications téléphoniques des Français et surtout, qu’elle a observé de très près ce qui se disait chez les détenteurs d’emails @wanadoo.fr et @alcatel-lucent.com. Ah ? Etonnant non ? Non. [...] Le fait qu’Alcatel est lui même, un fournisseur de solutions d’interception que les FAI doivent déployer en coeur de réseau aux USA (en 2010 ils étaient très fan de la gamme de routeurs de services Alcatel 7500), et auxquelles la CIA et la NSA elles mêmes ont accès, est sans doute un autre détail qui pourra peut-être éveiller notre attention.
Les articles du monde et les sources en question:
http://www.lemonde.fr/technologies/article/2013/10/21/editorial-du-monde-combattre-big-brother_3499858_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/comment-la-nsa-espionne-la-france_3499758_651865.html
http://www.lemonde.fr/technologies/visuel/2013/08/27/plongee-dans-la-pieuvre-de-la-cybersurveillance-de-la-nsa_3467057_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/inside-the-nsa-s-web-of-surveillance_3499742_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/l-ampleur-de-l-espionnage-mondial-par-la-nsa_3499756_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/espionnage-nsa-manuel-valls-demande-des-explications_3499880_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/les-services-secrets-americains-tres-interesses-par-wanadoo-et-alcatel-lucent_3499762_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/glenn-greenwald-le-croise-des-libertes-publiques_3499753_651865.html
http://www.lemonde.fr/technologies/article/2013/10/21/espionnage-de-la-nsa-tous-les-documents-publies-par-le-monde_3499986_651865.html
The title basically covers it. I want to know if using HTTPS, TLS, S/MIME, SSL will protect you from Deep Packet Inspection and Big Data Analytics? (I know that if someone fakes a cert or gets you to install a fake CA or using MITM software they can fool the average user, I want to know if a semi-diligent semi-intelligent IT security person is safe using those technologies to encrypt the data and connections)
=================================================
Long Thread sur le très très bon http://security.stackexchange.com, à propos de SSL et de payload et de DPI etc
France Info, Le Monde, toute la presse bien informée raconte… ce que raconte le Guardian en y ajoutant une touche personnelle, française : XKesycore (lire le document) est « le Google de la NSA ». Voilà qui nous avance bien. A part traduire l’article du Guardian, les journaux français ne nous apportent pas grand chose. Mais rassurons nos journalistes français, les journalistes étrangers ne vont pas beaucoup plus loin, que le descriptif de ce que permet de faire XKeyscore. Et encore, on est cantonnés à une présentation Powerpoint un peu légère.
Que pouvait-on dire de plus sur l’outil de la NSA ? Sans doute pas grand chose de plus que ce qu’il y avait dans la présentation. Mais il n’était pas impossible de se poser quelques questions.
http://www.ecrans.fr/La-NSA-a-son-etoile-de-la-mort,16762.html
Avant Prism, le système massif d'écoutes «découvert» vendredi, il y avait Echelon. Et la France n'est pas la dernière à ouvrir ses «grandes oreilles»: pnij, écoutes adminstratives, DPI, Hadopi...
===========
Compléments :
http://xena.ww7.be/neoskills/html/BP/argumentaire/rapport_echelon_fr.pdf