Le Canada et ses terroristes

parlement_canadaMaintenant que la poussière est quelque peu retombée, j’aimerais commenter les évènements qui ont eu lieu la semaine dernière au Canada; je parle ici des meurtres de militaires à St-Jean et à Ottawa. On soupçonne dans les deux cas les coupables d’être des individus instables et motivés par la propagande extrémiste musulmane.

J’essaie ici de bien choisir mes mots, à cause des nombreuses choses qui se sont dites et écrites sur le sujet au cours des derniers jours dans la presse canadienne et sur les blogues et forums de discussion. Dans le cas de Martin Couture-Rouleau, l’influence de la propagande de l’ISIS s’est confirmée rapidement à travers les traces qu’il a laissées sur internet, et les services de sécurité ont admis avoir eu le meurtrier en observation à cause de son intérêt manifeste à rejoindre la lutte en Syrie. Dans le cas du second, il n’était pas connu des forces de l’ordre. Ces dernières affirment être en possession d’un vidéo prouvant que Michael Zehaf-Bibeau avait des motifs idéologiques et politiques pour commettre son geste, mais au moment d’écrire ces lignes, ce vidéo n’est pas encore disponible au public. À la lumière de ce que nous en savons à ce stade-ci des enquêtes respectives, on peut tout de même en conclure qu’il s’agit d’actes terroristes, fort probablement influencé par la propagande venant de l’ISIS, en Syrie et en Iraq.

Influencé ne veut pas dire « dirigé », ou « engagé par ». Personne ne prétend ici que les deux meurtriers avaient reçu directement la commande de la part d’un groupe terroriste d’effectuer ces actes. Mais l’ISIS, depuis plusieurs semaines déjà, encourage publiquement ses sympathisants venant de partout dans le monde occidental à commettre ce genre de crimes pour leur cause, sans planification ni engagement particulier autre que le salut éternel. Et des évènements semblables, impliquant encore une fois des sympathisants intégristes, mais citoyens des pays concernés, ont eu lieu ces derniers temps un peu partout, en Australie, en Grande-Bretagne et ailleurs en Europe. C’est donc plutôt normal d’y voir une piste des plus évidentes pour expliquer les motivations des deux individus.

Il ne faut pas avoir peur d’appeler un chat un chat, et cela vaut également pour le terrorisme. J’ai l’impression qu’une partie de la gauche désire ardemment éviter d’appeler ainsi ces deux incidents, peut-être parce qu’ils pensent que le faire reviendrait à soutenir les institutions fédérales de sécurité et de surveillance, avec toutes les critiques qu’on a peu leur faire ces dernières années. Mais c’est, en soi, un raisonnement un peu cynique. On peut reprocher aux gouvernements occidentaux d’avoir historiquement joué avec la carte du terroriste islamique pour fouetter l’électorat, mais cela ne veut pas dire qu’il faut en faire un débat sémantique en niant l’évidence.

D’autres crient déjà à la perte des libertés civiles. Par un hasard qui a tout l’air de sincère, le gouvernement s’apprêtait le jour même à déposer une loi (le projet de loi C-44) modifiant le mandat et les pouvoirs du CSRC, l’agence de sécurité canadienne. À première vue, cette loi semble réellement indépendante des évènements de la semaine dernière; elle donne principalement le droit à l’organisation d’opérer à l’étranger (au lieu de continuellement se fier à des pays alliés comme source d’information) et précise les règles de confidentialité des témoins en cas de procès pour rendre leurs droits similaires à ceux aux informateurs policiers. De quoi exciter le poil des jambes de ceux qui remettent en question l’existence d’une agence de renseignement au Canada. Personnellement j’y vois plutôt des ajustements nécessaires qui n’auraient pas eu toute cette attention médiatique en circonstances normales.

Harper a annoncé que d’autres mesures visant spécifiquement à répondre aux meurtres de la semaine dernière seraient présentées prochainement. Du peu que j’en ai lu, celles-ci permettraient aux agences de polices d’enquêter plus rapidement sur les individus qui publieraient de la propagande violente sur Internet. Comme toujours il est préférable d’attendre la teneur du texte de loi, mais une telle mesure n’est pas s’en susciter des craintes, bien justifiées, sur le genre d’abus que peut engendrer la volonté de légiférer sur l’expression libre des citoyens canadiens, aussi violentes soit-elle.

Il y a ceux qui relativisent le risque que cause le type de menace du « terrorisme spontanée ». Ce genre d’acte, effectué par des individus isolés et non organisé, et influencé par une propagande extrémiste, est un risque réel et qui dépasse même l’islamisme radical. Qu’on pense à Justin Bourque, qui a tué trois policiers à Moncton au début de l’été, et qui associe ouvertement son geste à des idées et groupes survivalistes d’extrêmes droites. Lui non plus ne faisait pas parti d’un groupe terroriste organisé. Mais l’incidence de tels évènements est si basse qu’on pourrait, individuellement, les ignorer facilement à comparer à des risques beaucoup plus communs (les accidents automobiles pour ne nommer que le plus évident). Si c’est si rare, pourquoi nous en faire avec un ou deux morts de plus? Ce n’est pas la première fois que des individus instables en viennent à commettre de tels actes, pourquoi s’en faire précisément avec ceux-là? Ce ne sont pas de mauvais arguments.

Sauf qu’il y a quelque chose de dangereux à vouloir ignorer les crimes motivés idéologiquement. Dans les trois cas (St-John, Ottawa, et Moncton avec Justin Bourque), les meurtriers ont été influencés par de la propagande extrémiste islamique pour les deux premiers, et libertano-survivaliste (à défaut d’avoir meilleure expression) pour le troisième. Leur geste (ou sacrifice, de leur point de vue), contribue à promouvoir l’idéologie qu’ils représentent. Les ignorer serait, pour une société démocratique, une façon de légitimer cette stratégie dans le discours politique. De plus, le caractère médiatique du terrorisme encourage ses initiateurs à continuellement chercher au plus grand coup d’éclat. Il s’en est fallu de bien peu pour que Michael Zehaf-Bibeau ne parvienne à faire bien plus de victimes, incluant des élus canadiens. Et les conséquences d’un tel geste d’auraient pas pu s’exprimer par le simple dénombrement des victimes.

Le DGEQ et la détection d’intrusions

ElectionUne petite manchette dans Le Soleil du premier octobre porte sur un appel d’offres du directeur général des élections du Québec. Ce dernier est à la recherche d’une solution de détection des intrusions pour ses installations informatiques et de services professionnels pour s’assurer que les incidents détectés sont traités correctement.

Le journaliste pose quelques questions à la représentante de l’organisme auprès des médias, sans obtenir de réponses bien concluantes. Ce n’est ni surprenant, ni suspect.

Les systèmes informatiques branchés sur internet sont régulièrement bombardés de code malicieux de toute sorte – virus, vers, chevaux de Troie – qu’on regroupe sous le nom générique de « malware » en anglais.

Dans la plupart des cas, ce code malicieux est généré automatiquement par d’autres ordinateurs déjà infectés et éparpillés dans le monde. Ceux-ci tentent d’étendre l’infection de manière automatique à tout autre ordinateur vulnérable et non protégé qui pourraient se retrouver sur internet. Leurs cibles sont donc plus ou moins aléatoires, sans égards aux fonctions particulières des systèmes touchés. Il s’agit d’une première catégorie d’attaques informatiques que les systèmes de détection d’intrusions sont en mesure de détecter et même de bloquer instantanément.

Ces mêmes systèmes de détection pourraient également identifier des attaques plus pernicieuses, qui viseraient directement le DGEQ et ses systèmes dans le but de les compromettre et en atteindre à la confidentialité et à l’intégrité des informations gardées par l’organisme. C’est le scénario qui fait peur, et auquel on pense immédiatement lorsqu’on lit ce genre d’article, mais il est important de garder à l’esprit que ces attaques demeurent rares en comparaison à la première catégorie, qui sont suffisamment problématique à elles seules pour motiver le DGEQ à se protéger correctement.

Les systèmes de détections d’intrusions nécessitent souvent une expertise très pointue pour s’assurer qu’ils sont configurés correctement. Il faut, par exemple, s’assurer d’éliminer certains faux positifs qui pourraient amener l’organisation à se croire victime d’une attaque alors qu’il n’en est rien. Face à trop de faux positifs, le personnel pourrait en venir à ignorer les avertissements du système de détection en cas d’incident réel, ce qui n’est évidemment pas souhaitable.

Finalement, le système de détection et ses processus d’exploitations doivent être liés au processus de gestion des incidents internes de l’organisation; en cas d’incident de sécurité informatique, le personnel en TI doit être prêt à identifier correctement la nature de l’incident, ségréguer le serveur du reste des équipements informatiques afin d’empêcher l’infection de se propager, et effectuer les opérations nécessaires à son éradication du serveur compromis.

Que peut-on déduire de l’intérêt aujourd’hui de le DGEQ pour ce type de technologie? En vérité, pas grand-chose. Toutes les organisations moyennement importantes pratiquent la détection d’intrusions d’une façon ou d’une autre, via une expertise interne ou celle d’une tierce partie spécialisée. Sans avoir lu l’appel d’offres concerné, les exigences exprimées par le DGEQ ressemblent à celles qu’on retrouve ailleurs sur le marché.

Plusieurs compagnies québécoises se spécialisent dans la détection et la réponse aux intrusions pour des clients locaux et internationaux. Un second article sur le même sujet mentionne Above Security, une compagnie de Montréal, mais il en existe d’autres. Parions qu’elles seront intéressées à ajouter un client prestigieux comme celui-ci à leur feuille de route.

Le deuxième plus vieux métier du monde

United_Nations_Flags_-_croppedLes révélations de Snowden ont visiblement été un choc pour plusieurs et suscitent encore les passions. Cette réaction peut s’expliquer en partie par la façon dont la divulgation des documents de la NSA fut pratiquée (quelque chose que j’ai mentionné dans ce billet, le plus populaire de l’histoire de mon jeune blogue), mais aussi tout simplement par le peu d’intérêt général que les gens ont pour les enjeux de sécurité nationale, en dehors évidemment des grandes manchettes. Je crois parfaitement sincères les gens qui remercient Snowden de les avoir renseignés sur certaines pratiques « illégales » des états-nations. Je pense aussi que cet aveu en dit plus long sur leur propre culture personnelle que sur la moralité des États-Unis ou tout autre pays d’envergure qui s’adonnent à des activités d’espionnage en apparence pas trop catholique, parfois au détriment d’autres pays perçus comme alliés.

Les relations internationales sont souvent vues avec un brin de naïveté qui s’est accentué avec la Pax America. En été 2013, alors que Greenwald publiait ses premiers articles, plusieurs se demandaient ouvertement pourquoi les États-Unis voyaient d’un si mauvais oeil le fait que Snowden aille se réfugier en Russie. Ne sont-ils pas nos amis? La guerre froide n’est-elle pas terminée? À la lumière de la révolution Ukrainienne et de tout ce qui en a découlé, une telle question ne se pose plus, mais il y a un an, c’était les professionnels qui se faisaient traiter d’ignorants et de machiavélique pour remettre en doute le narratif présenté par Snowden.

Les pays modernes, même les plus démocratiques, ont encore des adversaires. Ces adversaires peuvent avoir des objectifs incompatibles avec les leurs. La nécessité des états-nations de se doter des outils nécessaires à l’exécution de leur politique étrangère n’est pas magiquement disparue.

C’est d’ailleurs ce que beaucoup de commentateurs ont encore de la difficulté à comprendre. On critique – souvent avec raison – les activités des agences d’écoute électronique (comme la NSA, ou le CSE chez nous au Canada) lorsqu’elles sont pratiquées sur leurs propres citoyens à cause des risques d’abus. Mais dès que l’analyse se tourne vers les activités traditionnelles de ces agences (l’espionnage étranger), c’est le dérapage au nom du droit absolu et universel à la vie privée.

Ce genre d’appel à la pureté idéologique, sans aucune perspective historique et concrète, est emmerdant et ne peut que générer de fausses attentes. Ceux qui retiennent leur souffle en exigeant le démantèlement de ces institutions vont attendre très longtemps. Bien au contraire, tout indique que nous assisterons à une croyance des activités reliées à l’exploitation de l’univers électronique; la surveillance de cibles étrangères, le vol d’information sensible, jusqu’à l’utilisation de logiciels malveillants visant à saboter des installations informatiques.

Du point de vue des nations, ces outils et techniques modernes s’inscrivent parmi l’ensemble des moyens qu’ils se dotent pour faire avancer leur politique étrangère. Il y en a évidemment bien d’autres. La diplomatie en est un. L’invasion militaire en est un autre. Personne de sensible n’est pour la guerre, avec ses morts et sa destruction. Mais tout aussi rares sont les gens qui prôneraient, avec sérieux, le démantèlement des institutions militaires de leur pays. Autant les conflits armés sont quelques choses de répréhensible, autant aucun gouvernement sérieux ne proposerait de carrément empêcher son propre pays d’y recourir. Il y a une différence fondamentale entre la théorie idéologique, et la volonté pratique qu’ont les états de se munir de moyens leur permettant d’établir un rapport de force avec leurs compétiteurs. La même logique s’applique aux activités des agences de renseignement. Alors que l’informatique et les communications prennent de plus en plus d’importance dans le monde, les états sont amenés à investir de plus en plus dans ces pratiques, sous peine de voir leurs compétiteurs les dépasser dans ce nouveau champ de bataille. Vous pouvez y voir une nouvelle course aux armements; à bien des égards, c’est le cas.

Ces nouveaux outils et techniques ont d’énormes avantages par rapport aux moyens plus traditionnels et sanglants d’imposer son point de vue. Tout comme on s’attendra toujours d’une nation qu’elle privilégie la diplomatie avant tout chose, je crois qu’il est tout aussi souhaitable de voir les nations tenter de régler leurs différents par l’espionnage d’une puissance étrangère, voir le sabotage électronique d’une infrastructure, plutôt que par les bombardements, les morts et la destruction. Et le plus fascinant, c’est qu’il existe déjà un excellent exemple de cela.

En 2010, des entreprises de sécurité informatiques ont annoncé la découverte d’un virus, appelé Stuxnet, à bien des égards unique et révolutionnaire, et dont la grande sophistication laissant entendre qu’un une organisation aux poches profondes en était l’instigateur. L’enquête a permis de découvrir que ce virus, très probablement conçu conjointement par les experts américains et israéliens, avait été spécialement conçu pour s’attaquer aux centrifugeuses iraniennes utilisées pour l’enrichissement d’uranium. De ce que nous en savons, Stuxnet et ses dérivés ont été utilisés avec succès, ce qui a ralenti le programme nucléaire iranien.

On peut critiquer ici l’ingérence de ces deux pays dans les affaires internes de l’Iran, mais on peut difficilement prétendre que l’utilisation de Stuxnet au lieu de moyens plus meurtrier n’a pas été quelque chose de bien. De nombreuses rumeurs faisaient état des pressions israéliennes qui voulaient coûte que coûte bombarder les installations nucléaires de l’Iran, avec toutes les conséquences que cela pouvait représenter. Entre les deux scénarios, je sais celui que je préconiserais.

Depuis, l’Iran a élu un nouveau premier ministre plus modéré que l’ancien. Les Iraniens auraient-ils voté ainsi s’ils se remettaient d’un bombardement? Des discussions multilatérales ont été entamées entre les pays impliqués pour tenter de dénouer la question nucléaire par les moyens diplomatiques. Je n’ai aucune idée si elles vont aboutir, mais je doute qu’elles aient pu avoir lieu si les deux pays se relevaient d’un conflit armé.

Il y en aura évidemment toujours qui prétendent critiquer les moyens, mais qui en ont en fait contre le principe même d’une politique étrangère. À les écouter, les pays ne devraient tout simplement pas être en mesure d’influencer ou d’imposer leurs préférences sur leurs voisins, quels qu’ils soient. Je n’ai pas de réponses faciles pour ces gens, sauf leur dire qu’ils risquent de trouver fastidieuse la lecture de ce blogue.

Face à ces premiers succès de l’espionnage et des attaques informatiques, et voyant la sophistication des moyens et la valeur des cibles augmentant d’année en année, il est bien évident, pourquoi les états ne sont pas prêts à abandonner ce genre de pratiques de sitôt. Cela ne veut pas dire que nous devons être cyniques et tolérer sans brocher les problèmes que ces nouvelles techniques nous causeront. Mais il faut aussi apprendre à choisir nos batailles. Et celle de l’espionnage étranger est perdue d’avance. On l’appelle le deuxième plus vieux métier du monde, et ce n’est pas parce qu’il repose de plus en plus sur des moyens informatiques que cela est appelé à changer.

Le braquage du Conseil national de recherche du Canada

GangstersLe Conseil national de recherche du Canada (CNR) a récemment admis avoir été victime d’une attaque cybernétique d’envergure, suffisante pour paralyser ses activités pendant un certain temps. L’information personnelle du public n’est, dit-on, pas en danger, mais entre vous et moi, les coupables n’ont pas visé cet organisme pour les informations personnelles des Canadiens. Le gouvernement s’est empressé d’identifier les services chinois comme le coupable numéro un. Il est peu probable que cela entraîne de véritables répercussions entre les deux pays tant ce genre d’espionnage économique est monnaie courante depuis longtemps déjà.

Ce n’est évidemment pas la première fois que les médias relaient ce genre de nouvelle, mais on imagine souvent à tort qu’il s’agit d’un problème ne concernant que les Américains (et les Chinois). Dans la pratique, les organisations canadiennes sont des cibles tout aussi intéressantes pour les services secrets étrangers, et on ne peut donc pas se surprendre quand ce sont nos propres institutions qui sont les victimes.

Afin de faire un peu de lumière sur la situation, le réseau CTV a interviewé Anthony Seaboyer, expert en sécurité nationale au Collège militaire royal du Canada, et Maxime Lamothe-Brassard, professionnel de la sécurité de l’information et frère de votre humble serviteur. Comme c’est souvent le cas avec ce genre d’article, on ne fait que survoler des problématiques très complexes auxquelles il n’y a pas toujours de solutions évidentes. Par manque d’espace, il n’est pas possible aux journalistes de s’étendre un peu sur le sujet – chose que les blogueurs de mon espèce se permettent de faire.

Notez que je n’ai pas directement discuté du dossier avec mon frangin, mais comme il lira ce billet, je suis certain qu’il se fera un plaisir d’y répondre et de rectifier sa pensée s’il le juge nécessaire.

M. Seaboyer mentionne dans l’article que la législation canadienne (et celles de tous les autres pays – nous sommes loin d’être seuls avec ce problème) ne parvient pas à suivre l’évolution du risque en sécurité TI. Il a raison, mais je crois que le problème dépasse la simple législation. Les organisations ayant des besoins en sécurité de l’information commencent à s’habituer aux risques de base; les « menaces de marchandise » (commodity threats), et les contrôles et investissements nécessaires pour s’en prémunir. Or, les ressources nécessaires pour se protéger efficacement contre des menaces avancées (advanced threats) des états nations sont bien plus importantes. Ces états sont devenus dans les dernières années des acteurs incontournables dans la sécurité de l’information et leur rôle et influence ne saura qu’augmenter dans le futur. Les entreprises œuvrant dans industries ciblées – et les normes qu’ils doivent respecter – devront s’ajuster à cette nouvelle forme de menace pour leur sécurité.

Plusieurs entreprises ayant des responsabilités en sécurité informatique continuent aujourd’hui à se buter contre les commodity threats. Dans ces circonstances, même des législations plus strictes n’aideront pas à régler le problème. Gérer correctement la sécurité de l’information d’une organisation est une tâche complexe et coûteuse, et qui peut être rendue caduque par une seule erreur. C’est vrai dans le secteur privé – l’essentiel de mon expérience personnelle – et je suis certain que ce l’est également dans le secteur public. Il ne s’agit donc pas d’une question de loi, mais plutôt de maturité organisationnelle. Les entreprises ont de la difficulté à faire ce qu’on leur demande déjà de faire, pas nécessairement par ignorance ou manque de persévérance, mais à cause de la complexité de la tâche, souvent relié à un changement de culture.

Cette constatation en cache une autre plus subtile: celle de la profonde asymétrie entre l’attaque et la défense dans sécurité de l’information. Il est bien moins coûteux – en terme d’effort, de temps et de ressources – pour un hacker de s’infiltrer dans une organisation, que pour une organisation de se protéger efficacement contre l’ensemble des risques TI auxquelles elle fait face. Tant que cette asymétrie demeure (et ce n’est pas près de changer de sitôt), les infrastructures critiques demeureront des cibles de choix pour les espions étrangers.

Cette tendance lourde entraîne progressivement un changement de stratégie pour les organisations cherchant à se prémunir contre les attaques commandées par des gouvernements étrangers, et c’est l’origine de la remarque de Maxime Lamothe Brassard sur nécessité de détecter les attaques au lieu de chercher à complètement les éviter. Cela peut sembler une admission de défaite, mais c’est en fait une stratégie pragmatique compte tenu de la situation. C’est d’ailleurs ce qui semble s’être produit avec le CNR. Sans être idéale, une telle approche a beaucoup plus de chances de réussir à long terme à mitiger le risque envers les infrastructures critiques nationales.

Les représentants du CNR parlent maintenant de rebâtir l’infrastructure technologique de l’organisation pour éviter qu’un tel incident se reproduise de nouveau. Cela peut sembler exagéré, mais ce n’est pas particulièrement inusité. Dans la pratique, lorsqu’un réseau est infiltré électroniquement, il est souvent souhaitable d’effacer et de rebâtir un grand nombre de systèmes, même lorsque ceux-ci ne présentent pas nécessairement des symptômes montrant qu’ils ont été compromis. La nature des attaques informatiques est telle qu’il est parfois très difficile d’en déterminer précisément la source. C’est d’autant plus vrai lorsque ces attaques viennent d’une agence de renseignement étrangère.

Bientôt dans un cinéma près de chez vous

Non, je n’ai pas l’intention de me transformer en critique du grand écran, mais deux films en production attirent particulièrement mon attention. Vous allez vite comprendre pourquoi:

Ce n’était qu’une question de temps avant que l’histoire d’Edward Snowden, délateur extraordinaire, soit portée à nos écrans. C’est Oliver Stone qui assurera la direction. Quand je pense à lui, je pense à JFK, un film qui m’avait fortement impressionné dans ma jeunesse et que j’avais beaucoup aimé. Par contre, ce n’est pas un amour partagé par plusieurs historiens professionnels, qui lui reproche d’être plutôt libéral avec les faits. Je vois très bien Stone faire un JFK de Snowden, et je me méfie donc du ton qui sera choisi pour traiter de l’affaire. On verra bien. Le projet n’est qu’en pré-production et on devrait en entendre un peu plus parler dès l’année prochaine.

Deuxièmement, il y a The Imitation Game, un film biographique portant sur la vie et l’œuvre de Alan Turing. Turing est considéré à la fois comme un des pères de l’informatique et de la cryptographie, ayant créé l’un des premiers ordinateurs dans le cadre de ses recherches portant sur le déchiffrage des codes secrets allemands de la seconde guerre mondiale. Sa vie mouvementée pourrait servir de base à une très belle (bien que tragique) histoire, et j’espère que le résultat sera meilleur que les tentatives antérieures de qualité douteuse. Benedict Cumberbatch, le Sherlock de Sherlock, assurera le rôle principal. Sa sortie est prévue pour novembre 2014.

De l’utilisation du chiffrement par le vrai monde

cryptoLe chiffrement de données ayant pour but d’en protéger la confidentialité est utilisé depuis longtemps sur Internet dans toutes sortes de contextes, souvent sans que l’utilisateur n’en soit conscient. Par exemple, l’accès à des pages web contenant de l’information particulièrement sensible – disons votre site bancaire – est protégé automatiquement de la sorte. Avez-vous déjà remarqué un petit icône de cadenas sur la barre de navigation de votre fureteur? Sa présence signifie que la transmission avec ce site via SSL, un protocole de chiffrement largement utilisé.

Protéger ainsi l’information dans sa transmission est une application commune de la cryptographie (la science derrière les techniques de chiffrement), mais il y en a d’autres. Des technologies similaires peuvent être utilisées pour protéger la confidentialité de n’importe quel type de données. Les cybercriminels cherchant à cacher leurs agissements, les professionnels désirant protéger de l’information sensible de la vue de compétiteurs ou de pays étranger, ou les défenseurs des droits humains vivant dans la clandestinité ont tous pris conscience au cours des années de l’importance de comprendre et d’utiliser ces technologies pour leur propre sécurité. Suite aux révélations sur la NSA, c’est maintenant monsieur et madame tout le monde qui se sent concerné, pour toutes sortes de raisons.

Contre les menaces électroniques à la confidentialité de l’information, les technologies de chiffrement demeure le moyen technique le plus efficace et pour lequel nous avons un haut niveau de confiance. Du moins en théorie. Mais qu’en est-il de la pratique? Sont-elles réellement utilisées, particulièrement par les utilisateurs non professionnels? Le sont-elles efficacement?

Cet article du magazine Wired nous donne une partie de la réponse, du moins dans le contexte de l’écoute électronique de cybercriminels par les forces policières américaines. Les données sont intéressantes. En 2013, la police a procédé à 3500 opérations d’écoute électronique. Elle n’a observé l’utilisation du chiffrement que dans 41 cas sur ces 3500, ce qui est bien peu. Et dans 32 de ces 41 cas, elle a tout de même été en mesure de contourner la technologie en place et d’accéder à l’information, pour un total de seulement 9 utilisations fructueuses d’une technologie de chiffrement. L’article n’indique malheureusement pas la nature de ce contournement.

Il est indéniable que ces nombres sont appelés à augmenter dans les prochaines années alors que les questions de protection de l’information et de vie privée continuent à prendre de l’importance. On peut quand même se désoler non seulement de cette faible utilisation, mais de la fréquence avec laquelle les forces policières parviennent tout de même à la contourner. Ce n’est pas particulièrement surprenant dans le contexte où l’implantation pratique des technologies de chiffrement a toujours leurs talons d’Achille – de simples bogues qui ne sont pas présents dans les considérations théoriques peuvent venir bousiller l’implantation d’un protocole pourtant solide. Il n’y a pas meilleur exemple que Hearthbleed, un bogue dont nous avons discuté récemment ici, et qui affectait OpenSSL, une implantation du protocole SSL mentionné plus haut. Notez que l’article du Wired est avare de détails à ce niveau – il est tout aussi possible que les forces policières aient accès à d’autres indices pour faire avancer leur enquête, rendant inutile le déchiffrement du message codé.

Dans tous les cas, les technologies de chiffrement ont tendance à être trop difficiles à utiliser (et surtout à utiliser de façon sécuritaire) par le commun des mortels. Afin d’aider les utilisateurs communs à utiliser ces technologies, des outils spécialement adaptés pour eux voient le jour. Cet article en présente un. Je ne suis pas vraiment en mesure de le recommander – trop de détails peuvent rendre un produit intéressant complètement inutilisable dans la pratique. Mais si ce n’est pas lui, d’autres suivront. L’intérêt pour le chiffrement n’a jamais été aussi élevé, et beaucoup de gens veulent encourager leur utilisation par toutes sortes de moyens.

Les exercices de confinement dans les écoles du Québec

high_schoolJ’ai adoré l’article de Rima Elkouri dans La Presse cette semaine sur la mode des exercices de confinement dans les écoles. Ces exercices ont pour but de préparer les élèves à la présence d’un tireur dans l’école, un crime fortement médiatisé depuis plusieurs années. Je savais que ce genre d’initiative existait aux États-Unis depuis longtemps, mais j’ignorais qu’on faisait de même ici.

J’ai adoré parce que ce n’est pas un article populiste qui exploite la peur des gens, mais qui cherche plutôt à expliquer pourquoi mettre des jeunes dans une telle situation, même simulée, peut être une mauvaise idée à cause du caractère hautement émotionnel de ce genre d’évènements. Si on accuse les médias de prendre trop souvent le côté du sensationnalisme, on ne peut que les féliciter lorsqu’ils font le contraire. Sans trop de surprises, les nombreux commentaires qu’elle a reçus (disponible en fin d’article) semblent indiquer que plusieurs lecteurs demeurent sceptiques, même si les observations de Mme Elkouri et des gens qu’elle a rencontrés sont très légitimes. Personnellement, je ne crois pas que ce genre d’exercice de confinement soit particulièrement utile, et je pense qu’ils peuvent carrément être contreproductifs en marquant négativement un enfant en bas âge.

Peu importe la perception, hautement influencée par les médias de masse, que les cas de fusillades dans les écoles ou dans d’autres endroits publics sont significativement en hausse depuis plusieurs années, les chiffres sont loin d’être convaincants. Aux États-Unis, les décès annuels causés par ce genre d’incident fluctuent d’une année à l’autre, ce qui n’est pas vraiment surprenant lorsqu’on parle d’une incidence aussi faible (autour de 100 décès par année, et cela inclus tous les lieux publics). Ils sont tout simplement plus médiatisés, et des drames qui n’auraient profité auparavant que d’une couverture locale sont maintenant montrés par les chaînes nationales d’information continue.

Ces décès, extrêmement tragiques mais tout aussi rares, sont à comparer aux 81.5 millions inscrits aux études primaires, secondaires et post-secondaires, toujours aux États-Unis. Les chances de mourir dans un tel incident sont donc une fraction de pourcentage. Les chances de vivre un tel incident (être présent dans une école sans être directement impliqué) sont évidemment plus grandes, mais demeure tout de même minuscules.

De l’autre côté, on peut se demander l’impact psychologique sur un enfant d’un exercice de confinement spécifiant la présence d’un tueur leur voulant du mal. Il s’agit d’une menace personnelle qui peut être stressante, surtout pour un enfant de bas âge. Si seulement une petite fraction d’entre eux en vient à être affectée, on parle quand même de millions d’enfants, tout ça pour se prémunir d’un risque comparativement bien plus rare. Affecté doit évidemment être pris ici au sens large: de mauvais souvenirs jusqu’au développement d’anxiété face au risque de fusillade, une anxiété qui n’est pas rationnelle par rapport au risque réel qu’ont des enfants à fréquenter le milieu scolaire.

Qui plus est, ce genre d’exercice n’est véritablement efficace (en tant que mesure de sécurité) que s’il est pratiqué de façon répétée, tout comme les exercices d’évacuations à cause en cas d’incendie sont pratiqués annuellement. 4000 feux sont déclarés à chaque année dans des établissements scolaires américains, et même si la vaste majorité de ces feux ne causent pas de pertes de vie humaine, il s’agit d’un risque bien plus commun que les fusillades.

La palme des mesures les plus contre-productive revient par contre à certaines écoles américaines qui ont décidé de s’équiper d’arme à feu pour se défendre, dans le scénario hollywoodien qu’ils se sont créé, d’un éventuel forcené. Heureusement, je ne crois pas voir de telles initiatives au Québec de sitôt.

Suivre

Recevez les nouvelles publications par courriel.

Joignez-vous à 84 autres abonnés