Que vous soyez puissant ou misérable…

D’autant que généralement, le seul perdant, c’est le client. Les hacks ultra médiatiques sont oubliés aussi vite qu’ils apparaissent. Et dans ce domaine, personne n’est épargné : les plus gros, les plus riches, comme les plus anonymes. Tous se font avoir un jour ou l’autre.

Pas de souci, tout cela est si vite oublié…

Ceux qui ne l’oublieront pas sont généralement des anonymes, qui n’ont pas les moyens de faire payer ceux qui sont à l’origine de leurs ennuis. Des clients lambda dont les données personnelles se retrouvent sur le Net. Noms, adresses, numéros de sécurité sociale, numéros de carte bancaire, logins et mots de passe pour tel ou tel service en ligne. Factures qui s’allongent, comptes en banques qui se vident. Bienvenue sur Internet, le réseau où ceux qui transigent avec la sécurité de vos données ne seront jamais poursuivis.

Bien entendu, ces entreprises, ces ministères, blâmeront les « pirates » qui ont accédé à ces données. Ils sont maléfiques, viennent au choix de l’Est ou de Chine, mettent en péril le gentil capitalisme.

Pourtant, on semble oublier un peu vite que le défaut de protection des infrastructures est le fait desdites entreprises, desdits ministères.

Leurs économies de bouts de chandelles ont des conséquences.

Le législateur français, à une époque lointaine, lorsqu’il réagissait avec sa tête plutôt qu’en fonction de peurs infondées et sur la base d’un savant storytelling, avait compris que, s’il fallait punir le « pirate », il fallait aussi punir celui qui ne prenait pas les mesures nécessaires  pour protéger les données qui lui étaient confiées.

Ainsi, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ) en son article 34 dispose que :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Et l’article 226-17 du Code Pénal dispose que :

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.

Fuite de données personnelles : mise en garde partout, condamnation nulle part…

Maintenant, observons la jurisprudence en France dans ce domaine. Si les condamnations pour « piratage » sont légion (mais pas aussi dures que ce que la loi permet), celles qui concernent la non protection des données personnelles sont… inexistantes.

La dernière remonte à l’époque du Minitel. De mémoire, une femme avait mis en vente son appartement sur un serveur immobilier et ses données avaient malencontreusement « basculé » sur un serveur « rose ».

Les fuites de données personnelles sans même avoir besoin d’avoir recours à un quelconque « piratage » sont légion depuis l’arrivée d’Internet. Et pas une seule condamnation.

Le législateur (français et européen) réfléchit actuellement à un projet obligeant les entreprises à rendre public un éventuel piratage de leurs infrastructures. Voilà qui fera une belle jambe aux personnes dont les données auront fuité…

Depuis 1998, Kitetoa.com, vite rejoint par nombre de sites, dont l’excellent blog de Korben, ou le site Zataz.com, listent inlassablement les milliers de serveurs qui, mal paramétrés, laissent fuiter les données.

Que l’on se comprenne bien, pour ce qui est de Kitetoa.com, il ne s’agit pas d’expliquer des piratages, des moyens illégaux pour accéder à ces données. L’utilisation d’un simple navigateur, sans aucune identification sur le serveur suffit. Avec un peu d’imagination, on comprend ce que de vrais pirates pourraient faire.

Bilan des courses ? Rien.

De toutes ces informations rendues publiques… qu’en est-il ressorti ?

Rien.

La CNIL ne s’est jamais appropriée un seul de ces dossiers. Elle n’en a jamais transmis un seul au procureur.

Et les procureurs, justement… Aucun ne s’est jamais saisi de ces affaires, pourtant publiques. Imaginez un site listant des infractions, des actes pénalement répréhensibles. Donnant tous les détails. Il a des chances pour que des procureurs se réveillent et fassent en sorte que des vérifications soient menées. Dans le domaine de la non protection des données personnelles, rien.

Reflets.info vient de démontrer en quelques lignes que l’ensemble de la loi Hadopi est boguée et qu’il importe de tout revoir. Le problème n’est pas récent, il avait été souligné par des parlementaires pendant les débats, par exemple sous forme de questions au ministre de la culture, des questions dont certaines sont encore sans réponse. La Haute Autorité consciente du problème, s’est montrée très réceptive aux problématiques de protection des données personnelles qui refont aujourd’hui surface. Pour autant, très probablement, les avocats ont désormais en main de quoi faire annuler toute procédure se fondant sur ce texte (Maître Eolas ?).

Ce dernier événement dans la trop longue liste des sites troués charrie un sacré cortège de questions. Pourquoi ce texte a-t-il pu être voté par les députés et les sénateurs ? Pourquoi le sénateur, Alex Türk a-t-il voté un texte critiqué par la CNIL qu’il préside par ailleurs ? Pourquoi personne n’a écouté ceux qui savent et qui fournissaient leurs analyses gratuitement ? Pourquoi tant de questions sont-elles restées sans réponses ?

Le règne des costumes cravates

Depuis que le Net est là,  depuis plusieurs postes d’observation, je contemple l’action des commerciaux en costumes cravates de mauvaise facture vendre à prix d’or des projets troués d’avance. Je les regarde vanter les mérites de leurs entreprises, qui n’en ont aucun. Les marchands de vent qui viennent crier sur tous les toits que leurs logiciels protègent contre les « hackers », contre les failles passées, présentes et futures. Je les contemple enfumer leurs clients, mais aussi les représentants du peuple.

Parmi les hommes en costumes cravates de mauvaise facture, il y en a même qui s’arrogent le droit de jouer aux cow-boys du Net. C’était le cas de HBGary aux Etats-Unis et l’affaire a très mal fini. Rien ne dit qu’il n’y a pas en France une ou des entreprises qui pensent engranger des millions en suivant cette voie périlleuse. L’avenir le dira sans doute. Patience.

Quoiqu’il en soit, le réseau Internet n’a pas été conçu pour faire du commerce électronique, bien au contraire. Il est tout sauf sécurisé. Allons plus loin, il est tout sauf sécurisable. C’est juste impossible. Alors vendre du stockage de données personnelles, du paiement d’impôts, de la e-administration publique, du commerce électronique, c’est simplement laisser, en toute conscience, un crime se dérouler.

J’ai coutume de dire dans des conférences qu’il ne faut pas craindre les piratages qui font la Une des journaux. Aussi incroyables soient-ils, aussi dérangeants puissent-ils paraître. Ce qu’il faut craindre, ce sont les piratages dont on n’entend jamais parler. Ils sont bien plus inquiétants. Et ils existent.

Pour ce qui est de la loi Hadopi, dire que les particuliers doivent sécuriser leur accès Internet, c’est très con. Et c’est faire preuve d’une fabuleuse mauvaise foi. Désolé de faire une comparaison avec le monde réel, mais visiblement un sénateur comme M. Türk ne doit pas comprendre autre chose.

Imaginons que l’on oblige les particuliers à prendre des mesures pour éviter que leurs voitures ne soient volées et ne servent à commettre un délit, comme une attaque à la voiture-bélier. Sans quoi ils seraient poursuivis. Stupide n’est-ce pas ? C’est pourtant à peu près la même chose que de dire que les particuliers doivent sécuriser leurs accès.

Dire que si l’adresse IP d’un particulier est repérée en train de télécharger un film cela doit aboutir à une coupure de l’accès au Net, c’est simplement méconnaître la réalité. Avec les millions de bots qui tournent pour exploiter des Windows troués, avec les milliers de logins et mots de passe qui trainent sur le Net pour se connecter à des accès Wifi de particuliers, c’est une honte de passer une telle loi.

Tout cela a été dit lors des débats précédant le vote de la loi par ceux qui savent comment fonctionne le réseau. Personne ne les a écoutés. Depuis des années et des années, nous sommes nombreux à dire que si l’on n’attaque pas les entreprises au portefeuille, les données personnelles continueront de fuiter. En vain.

Laisser le secteur s’auto-réguler, prendre des dispositions comme PCI-DSS, c’est le laisser faire n’importe quoi (voir Sony et Hartland par exemple). C’est à peu près aussi stupide que d’attendre des financiers qu’ils arrêtent, sans aucune pression extérieure, de créer des crises monumentales.

Les seuls qui pourraient faire quelque chose, les procureurs, la CNIL, le législateur, les politiques, sont silencieux et inactifs. Il y a bien quelques écrans de fumée déclenchés de temps à autre. Sept minutes d’amende pour Google par exemple. Mais pour TMG, combien ? Pour ceux qui ont monté l’usine à gaz qu’est la loi Hadopi, combien de minutes d’amende ?

Photos flickr CyberHades; Le Bourg Heïdi ; AngusKingston ; Reza Vaziri.

La cryptographie basique

Pour cela, vous pouvez choisir une méthode simple, comme substituer une lettre par une autre dans l’alphabet. C’est le principe qu’utilisait César pour communiquer avec ses généraux. Les messages étaient codés de la manière suivante : chaque lettre est remplacée par la lettre située 3 cases plus loin dans l’alphabet : A devient D, B devient E, etc. En voici le principe en image pour coder le mot « BONJOUR » :

Les méthodes de substitution simples sont malheureusement assez peu sûres car chaque lettre est toujours codée de la même manière : on peut donc casser ces codes en faisant de la statistique et en analysant les occurrences des lettres : ainsi en français, le E est la lettre qui doit revenir le plus souvent, suivie des lettres AIST, qui bien sûr sont elles-mêmes bien plus fréquentes que WXYZ.

La cryptographie à clé

Pour éviter cela, il faut un codage dans lequel une même lettre n’est pas toujours codée de la même manière. C’est le principe des codes à clé. Imaginons que l’on veuille encoder le mot « BONJOUR » et qu’on choisisse comme clé de cryptage le mot « DECO ». On convertit chaque lettre du mot et de la clé en chiffre (A=1, B=2, …,Z=26), on les additionne et on reconvertit les chiffres obtenus en lettre. Comme la clé est souvent un simple mot, on la répète autant de fois que nécessaire pour coder l’ensemble du message. Pour décoder, on fait la même chose mais en soustrayant la clé au message codé. En voici l’illustration :

Et vous voyez ici que les deux lettres O du mot « BONJOUR » sont bien codées par une lettre différente. On ne peut pas facilement casser ce code par des analyses statistiques.

Toutefois le codage à clé pose un autre problème car il s’agit d’un codage symétrique : si vous savez coder les messages, alors vous savez aussi automatiquement les décoder. Donc si un espion parvient à se procurer la clé que vous donnerez à votre ambassadeur, alors l’ennemi saura ensuite décrypter les messages qu’il vous enverra !

La cryptographie asymétrique

La solution pour s’en sortir est d’utiliser une méthode de cryptographie asymétrique, c’est-à-dire où les procédures de codage et de décodage sont très différentes, de sorte que quelqu’un qui sache encoder les messages ne sache pas pour autant les décoder. Comment est-ce possible ?

Un algorithme asymétrique fait appel à deux clés : une clé dite « publique » qui sert à encoder le message, et une clé dite « privée » qui sert à le décoder. Donc si vous êtes le chef de la diplomatie, vous expédiez une clé publique à votre ambassadeur, et vous gardez pour vous la clé privée correspondante. Vos diplomates pourront encoder les messages, mais s’ils se font voler la clé publique, l’ennemi ne pourra pas pour autant décoder vos communications, car seule la clé privée permet de le faire !

L’algorithme RSA

L’algorithme asymétrique le plus populaire s’appelle l’algorithme RSA, en référence à ses concepteurs Rivest Shamir et Adleman, qui l’ont inventé au MIT à la fin des années 70. Il est relativement simple car il ne fait appel qu’à des notions élémentaires d’arithmétique. Ceux qui veulent le calcul précis peuvent aller voir plus bas, mais pour ceux que les maths fatiguent, il est basé en gros sur le principe suivant : vous choisissez deux nombres premiers P et Q, vous les multipliez pour obtenir un nombre N=P.Q. Le nombre N donne la clé publique, alors que la privée nécessite de connaître la décomposition en P et Q.

Il est vrai qu’en théorie, la connaissance de la clé publique N permet de déduire la clé privée (P,Q) : il suffit de factoriser N. Sauf que factoriser un nombre peut être une opération très longue, même avec un gros ordinateur. Donc il suffit de choisir des nombres premiers suffisamment grands et en pratique la décomposition de N en P*Q sera très difficile et le codage RSA impossible à violer par le calcul (sauf en un temps égal au nombre de protons dans l’Univers…)

Le RSA en pratique

L’algorithme RSA est assez difficile à utiliser pour chiffrer des grands messages, car bien que les opérations de base soient élémentaires (multiplication, puissance, division), les calculs peuvent se faire sur des nombres énormes et prendre pas mal de temps. Néanmoins pour des codes de carte bleue ou des requêtes vers des sites internet, ça reste faisable. D’ailleurs le RSA est largement employé dans ce type d’applications.

Pour en revenir à nos ambassadeurs, la puissance et l’importance stratégique du RSA est telle qu’en France, il a longtemps été classé « Arme de deuxième catégorie » (catégorie à laquelle appartiennent entre autres les Rafales, les porte-avions et les sous-marins). Dans le même genre, le gouvernement américain l’a aussi classé comme arme et a interdit pendant longtemps l’exportation de l’algorithme en dehors du territoire. Évidemment interdire l’exportation d’un algorithme, ça paraît difficile, et des petits malins anarcho-libertaires se sont amusés à se transformer en « arme d’exportation illégale » en se faisant tatouer l’algorithme RSA. Très tendance sur la plage…

BONUS : Pour les violents, le détail de l’algorithme RSA

Choisissez deux nombres premiers P et Q (que vous gardez pour vous), prenons par exemple P=5 et Q=11.

Fabriquez le produit des deux N=P.Q, dans notre cas N=55.

Choisissez un nombre E n’ayant pas de facteur premier commun avec (P-1).(Q-1) Dans notre cas puisque (P-1).(Q-1) = 40 = 2*2*2*5, on peut choisir par exemple E = 7.

La paire (E,N) constitue la clé publique, que vous donnez à votre ambassadeur

Choisissez ensuite un nombre D tel E.D modulo (P-1).(Q-1) = 1 par exemple dans notre cas D = 23 fait l’affaire car 7*23 modulo 40 = 1

La paire (D,N) constitue la clé privée, que surtout vous gardez pour vous.

Comment se passe la procédure d’encodage ? Tout d’abord il vous faut ramener votre message à un nombre. Vous pouvez le faire par le moyen que vous voulez comme A=01 ; B=02 ; … ;Z =26 par exemple. Une fois votre message traduit sous la forme d’un nombre M, vous allez encoder ce nombre avec la clé publique (E,N) de la manière suivante :

C = M^E modulo N

Pour décoder C (et donc retrouver M), il vous faut appliquer une opération différente, utilisant la clé privée (D,N) :

C^D modulo N.

Et c’est là que les maths des nombres premiers nous sont utiles, car elles permettent de prouver que ça marche c’est-à-dire que l’opération de décodage permet effectivement bien de retrouver le message M initial. On peut en effet démontrer que :

(M^E modulo N)^D modulo N = M