Samedi 07 janvier 2012
Les Etats-Unis d'Amérique et Israël, pays pourtant réputés peu regardant sur les méthodes pour faire taire des contestataires de l'ordre établi, n'ont pas été épargnés par le vol d'informations personnelles sensibles au rang desquelles on trouve des données bancaires en Israël, aux Etats-Unis, des données militaires, des données "sensibles" et bien évidemment "des trucs" embarrassants.
C'est pourquoi ils répètent haut et fort, et à intervalles réguliers, qu'ils n'hésiteront pas à s'en prendre physiquement à ceux qui perpétuent ces actes de piratage, où qu'ils se trouvent dans le monde.
Ceci est "amusant" pour trois raisons essentielles :
La première :
A titre de comparaison avec les outils juridiques dont s'est doté l'Europe, de ce côté de l'Atlantique nous avons une Directive européenne de 1995, qui prévoit qu'une personne physique, qui constaterait que des informations personnelles sont en circulation sur la Toile, pourrait demander réparation du préjudice subi au dit détenteur de ces informations, qui n'auraient pas pris les mesures suffisantes pour leur protection (article 23).
Aux Etats-Unis, il existe une loi qui oblige les entreprises ayant constaté une fuite d'informations sensibles à la déclarer aux autorités fédérales dans les 48 heures après sa découverte de manière à pouvoir engager le "pistage de la cause" le plus rapidement possible.
Ces deux approches sont complémentaires MAIS produisent le même résultat : on n'a jamais vu, d'un côté ou de l'autre de l'Atlantique, une banque ou une multinationale condamnée à une lourde amende pour avoir négliger la protection des données dont elles sont détentrices.
La gesticulation politique des Républiques impose donc d'en appeler à "l'Ennemi de la Nation" pour mieux masquer le fait que l'Etat ne sait pas gérer ce type de problème, pour des raisons autant technique, que politique, qu'économique, voire même légale (trop de traçage tue la Liberté ; l'absence de traçage empêche la constitution de preuves au sens juridique du terme).
La seconde :
Si Sabu n'avat pas fait "une énorme boulette" la première puissance militaire au monde serait toujours sur les dents. Quand on sait que pendant des années, "l'ennemi numérique public numéro un" vivait aux Etats-Unis, cela permet de relativiser quelque peu ces menaces.
La troisième :
Lorsque les Etats agitent "l'Ennemi de la Nation" aux yeux de leurs concitoyens, c'est pour mieux masque le fait que si les terroristes peuvent attaquer la Nation depuis l'autre bout du monde sans se montrer, les pays développés peuvent aussi attaquer à distance et anonymement les infrastructures d'un pays ou d'une entité ennemi.
Bien qu'il n'ait jamais été démontré que les Etats-Unis et / ou Israël étai(en)t derrière Stuxnet, l'efficience de l'attaque, la capacité à s'adapter du virus et les dommages irrémédiables causés témoignent d'une maîtrise avérée de la chose informatique, de la cible visée et de l'objectif à atteindre.
La Toile étant par définition un domaine non sécurisé, il est à la fois un levier inestimable du développement des libertés individuelles et comme tout espace non règlementé, soumis au meilleur comme au pire émanant de la nature humaine.
Dans le cadre d'un entretien à propos de Stuxnet, Michael HAYDEN, ancien patron de la N.S.A. et ex-directeur de la C.I.A., a déclaré : "Lorsque vous utilisez une arme physique, celle-ci est détruite en même temps que la cible si elle est proprement employée. Une cyber-arme, non. Donc il y a des tiers qui peuvent l'étudier et peut-être même tenter de la mettre au service de leurs propres buts".
Qui sera le prochain apprenti-sorcier ?
Une ébauche de réponse... / archive pdf ici.
Samedi 03 décembre 2011
Avec le printemps arabe, nous avons découvert que les pays dit "démocratiques" avaient vendu ou facilité la vente de produits de haute technologie destinés à espionner les échanges des personnes aujourd'hui propulsées à la tête de pays ou régnaient au préalable des dictateurs de renommée internationale.
Au delà du fait qu'en tant que pays des Droits de l'Homme, vendre ce genre de produits à un régime qui érige en mode de fonctionnement des pratiques contraires à ces 'Droits de l'Homme', pourtant érigés en barrière légale et judiciaire de ce côté de la Méditerranée, il ne faut pas avoir beaucoup d'amour propre et de respects pour ces Droits pour le faire. Pour autant, au niveau des entreprises, qui plus est celles qui vivent grâce à une forte valeur ajoutée (c'est-à-dire qui nécessite en général de puissants investissements en R&D), se pencher sur la nature et le contenu des données qui sont transmises en clair dans les courriels ou dans leur pièce jointe par les salariés via ce vecteur de communication, ne serait pas vain.
Une Lapalissade que de dire que la facilité du réflexe "un petit mail" et le gain de temps prime sur la protection des intérêts de l'entreprise.Quelle est la responsabilité de la part de l'entreprise dans ce mode de fonctionnement ? En l'absence de Charte interne ou de formation adéquate à la sensibilisation entre données sensibles et générales, nous dirions qu'elle est totale.
Nous rappelons au passage aussi bizarre que cela puisse paraître à notre époque qu'en l'absence de système de cryptage fort, la communication la plus sûre aujourd'hui reste le fax par ligne de cuivre côté émetteur ET côté destinataire [à opposer au fax qui passe aujourd'hui par la VOIP ou directement en pièce jointe sur Internet]. Puisqu'une communication "fax cuivre" est une communication :
1- de point à point sans "aires de stockage numérique" (traduire des serveurs),
2- échappe au cadre des LOPPSI 1, 2, etc...
3- que légalement (en tout cas en France) seuls les Etats peuvent obtenir le contenu de telles communications.
Un article de Challenges sur le sujet / archive pdf ici.
