Archives d’auteur : ianlb

Prendre les zombies au sérieux

Zombie_Army_by_Vermyn_NÇa vous dit quelque chose. Vous en avez entendu parler, peut-être en lisant votre journal. Peut-être même plusieurs fois. Mais vous n’avez jamais compris ce qui se cachait derrière. Je parle d’une mode populaire depuis quelques années auprès de gens qui ont pourtant la réputation d’être toujours très sérieux: les zombies. Ou, plus précisément, l’utilisation du thème des zombies dans un contexte de scénario catastrophe.

Pièce à conviction: Cet article, datant du mois dernier, et qui détaille comment le Pentagone utilise ce thème pour entraîner son personnel en planification de mesures d’urgence à grande échelle. Ça aurait pu être une attaque terroriste ou une épidémie, mais non, c’est contre les zombies que les stratèges américains font leur classe. Ce n’est vraiment qu’un exemple – une recherche rapide sur internet vous montrera que le thème a été réutilisé à toutes les sauces dans des circonstances semblables, et ce depuis plusieurs années. Mais cette mode à l’apparence farfelue cache des objectifs bien pragmatiques.

Prenez une organisation quelconque. Cette organisation dépend de personnel, de systèmes et de processus d’affaires pour offrir ses services et est donc vulnérable à toute sorte d’incidents qui pourraient venir perturber ses opérations. Les organisations adoptent des plans de continuité des affaires visant à prévoir ce genre d’évènements et à préparer une réponse qui permettra à l’organisation de poursuivre ses activités. Ces plans de continuité seront ensuite révisés et testés annuellement dans l’organisation.

Dans la grande majorité des cas, « tester » veut dire ici réunir des acteurs clés autour d’une table, et réviser avec eux une à une les étapes du plan. À la base, c’est donc un exercice théorique qui n’a absolument rien d’excitant. Motiver le personnel à participer, alors qu’il considère souvent avoir d’autres chats à fouetter que se préparer contre quelque chose qui n’arrivera probablement jamais, devient donc important. Le thème des zombies permet d’introduire une nouveauté à un exercice ennuyant. Un groupe peu intéressé à réviser pour une énième fois les mesures à prendre en cas d’incendie deviendra soudainement attentif face à quelque chose de complètement différent.

Ce thème permet de revoir un grand nombre d’éléments qui sont tout aussi présents dans d’autres scénarios catastrophes plus réalistes. L’évacuation et le transport de masse, le rôle des premiers répondants, et un tas de questions logistiques auront des réponses semblables, peu importe le scénario retenu. Les efforts déployés peuvent être réutilisés dans ces autres contextes. En bout du compte, le choix du scénario exact n’est finalement pas si important que cela (dans les limites du raisonnable).

Finalement, il existe un dernier avantage aux zombies, plus subtil: personne ne pense qu’ils existent pour de vrai. En testant un plan de mesures d’urgence, il arrive parfois que certains membres d’une organisation soient spontanément sollicités à participer en périphérie. Par exemple, on peut demander à un département de TI une estimation du temps nécessaire à récupérer un système à partir d’une copie de sauvegarde. En situation de test, ce genre de demande doit être accompagné d’une mention précisant qu’il s’agit d’une simulation, question de ne pas faire paniquer des employés qui pourraient se demander si un incendie s’est vraiment déclaré dans la salle des serveurs. Le thème des zombies, lui, ne porte jamais à confusion, et le personnel impliqué saura instinctivement qu’il n’a pas affaire à quelque chose de réel.

Cela n’arrive pas souvent que les professionnels en sécurité ont l’occasion de s’amuser un peu. Et c’est pourquoi ils ont récupéré cette idée partout dans le monde… vraiment partout? Non! Une petite province d’irréductibles aux tendances réactionnaires résiste encore et toujours à l’envahisseur. Alors ça donne des choses comme celle-là, l’année dernière. Je laisse soin au lecteur de deviner ce que j’en pense.

Une astuce chinoise en matière d’évasion fiscale

ReceiptSwissJe suis tombé sur cet article qui m’a fait sourire; une stratégie chinoise pour combattre les transactions commerciales qui ne sont pas rapportées aux autorités.

Le principe est simple: le gouvernement chinois – comme celui de plusieurs autres pays – demande aux commerçants de conserver une trace des transactions effectuées avec leur clientèle. Cette trace existe sous la forme de reçus. Grâce à eux, le gouvernement est en mesure d’imposer des taxes sur le total des transactions effectuées par ces commerces.

Une entreprise qui désire rapporter des ventes plus faibles que la réalité à évidemment avantage à effectuer des transactions sans reçus, ce qui lui permet de les camoufler et donc de diminuer son fardeau fiscal.

Face à ce problème (particulièrement grave en Chine, à cause du haut taux de transactions utilisant la monnaie comparé à ce dont nous sommes habitués ici), le gouvernement chinois a imposé aux commerces sur son territoire l’utilisation d’un format standardisé de reçus. Mais comment encourager les commerces à participer si cela n’est pas à leur bénéfice?

Les Chinois ont eu une idée astucieuse en liant ces reçus avec une nouvelle loterie d’état. Soudainement, ce sont les consommateurs eux-mêmes qui ont tout intérêt à exiger l’utilisation de ces reçus, puisqu’ils obtiennent ainsi l’opportunité de gagner à cette loterie.
Cette stratégie d’encourager indirectement un comportement via un bénéfice marginal est utilisée à toutes les sauces en sécurité, dans toute sorte d’occasions.

Un scénario similaire est celui retrouvé dans certains restaurants qui ont pour politique annoncée d’offrir le repas gratuit à leur clientèle s’ils ne reçoivent pas de reçus suite à leur achat. Cette fois-ci par contre, ce n’est pas le gouvernement qui se protège, mais le propriétaire lui-même: il cherche ainsi à s’assurer que son personnel n’empoche pas tout simplement l’argent sans enregistrer officiellement la transaction, une forme commune de fraude dans ce type d’industrie. Le consommateur a tout intérêt à demander son repas gratuit en l’absence de reçu, et le personnel a tout intérêt à produire ce reçu sous peine de devoir expliquer pourquoi il permet ainsi à la clientèle de profiter de la situation.

Un autre exemple d’une stratégie semblable est dans la déclaration d’incidents de sécurité. Les entreprises (ou du moins, celles qui prennent leur sécurité au sérieux) vont typiquement demander à leur personnel de rapporter les incidents potentiels pouvant avoir un impact sur la sécurité de l’information à travers un processus formel de gestion des incidents. Mais ce personnel peut parfois être enclin à cacher les problèmes qu’il observe, par peur de représailles ou parce qu’il ne désire pas voir la situation se corriger. Une solution consiste à offrir un montant d’argent (ou tout autre bénéfice, comme des points pouvant être échangés contre des prix) pour chaque incident rapporté. Cela représente un coût direct pour l’entreprise, tout comme la création d’une nouvelle loterie nationale représente un coût pour la Chine, mais l’investissement peut être avantageux si cela encourage les employés à rapporter promptement les problèmes de sécurité.

Ces stratégies ne sont pas applicables dans toutes les circonstances, et peuvent également être exploitées par des acteurs malicieux. Un commerçant chinois pourrait se lier à un de ses clients pour produire artificiellement un très grand nombre de transactions, et ainsi augmenter les chances de gagner à la loterie. Ou encore, un employé astucieux pourrait déclarer un très grand nombre d’incidents de sécurité sans réelles conséquences dans le but de recevoir un maximum de récompenses du programme de gestion des incidents de son employeur. Même avec ces problèmes potentiels, ces solutions, appliquées avec un peu d’imagination, peuvent être plus efficace à influencer un comportement que les approches plus traditionnelles.

United States of Secrets – la suite

La seconde partie du documentaire « United States of Secrets » est maintenant disponible sur leur site web.

Au final, je dois dire que j’ai réellement apprécié le travail de PBS, certainement parmi les meilleurs reportages journalistiques produits sur le sujet. Loin de la pornographie habituelle, j’ai trouvé leur documentaire clair, posé et factuel. Dans la seconde partie, on parle longuement des relations entre les agences de sécurité américaines et les grandes entreprises de services informatiques comme Google et AT&T. Leur rôle dans tout le débat dépasse celui de victime, un rôle qu’ils ont parfois tendance à adopter trop facilement.

J’aurais aimé peut-être que le documentaire s’attarde un peu plus à certains faits – on passe très rapidement sur l’aventure de Snowden en Chine et en Russie, mais bon, c’est une bien petite critique.

Si vous ne l’avez pas encore fait, je vous recommande de nouveau chaudement son visionnement.

Marqué

United States of Secrets – Un documentaire à voir

PBS_american_flagFrontline, une émission produite par PBS, a diffusée un excellent reportage mardi dernier sur les programmes de surveillance domestique de la NSA. Très étoffé, le documentaire de deux heures ne se gêne pas pour donner la parole à plusieurs des acteurs politiques et gouvernementaux derrière le scandale, remontant jusqu’à ses origines du 11 septembre 2001, et même au delà. Il discute longuement des fuites médiatiques qui ont précédé celles de la dernière année, et des délateurs (principalement de la NSA mais aussi du département de la justice) qui en sont peut-être (ou non – le documentaire évite sagement de confirmer quoi que ce soit) l’origine.

Je trouve rafraichissant l’angle sous lequel la NSA est présentée, plus intéressant que la caricature que l’on s’en fait trop souvent. Loin d’être épargnée, on peut y deviner la crise existentielle qui accaparait plusieurs de ses employés de longue date. Le conflit entre leur volonté de prendre toutes les mesures nécessaires pour éviter la répétition d’un attentat terrorisme d’importance sur le sol américain, et leurs convictions patriotiques, est montré comme jamais auparavant.

Obama en prend pour son rhume, présenté comme celui qui a tout simplement continué une pratique à la légalité douteuse commencée par son prédécesseur. Mais il est également victime de sa réalité politique, et de sa peur d’être celui qui rendra les États-Unis moins sécuritaires par faiblesse. Les arguments selon lesquels le démantèlement de cette surveillance pourrait causer le prochain acte terrorisme domestique peuvent sembler exagérés du confort de notre salon, mais je n’ai aucun doute de leur effet dans la pratique, même si l’efficacité réelle de la surveillance de la NSA n’a jamais été démontrée avec conviction.

Vraiment, un documentaire qui vaut le détour, malgré sa longueur. La diffusion de la seconde partie, portant sur la vie privée, est prévue pour le 20 mai prochain. On devrait normalement s’attarder un peu plus longuement sur l’année Snowden, et sur la collaboration étroite entre les services de renseignement et les grandes entreprises informatiques américaines.

« United States of Secrets » est disponible sur le site de PBS. Bon visionnement!

Marqué

Non, le chiffrement n’est pas mort.

facepalmC’est le genre de lecture qui donne mal à la tête. Un titre accrocheur, des propos confus, une conclusion risible. Les 11 raisons pour lesquelles le chiffrement est (presque) mort. Notez qu’il s’agit en fait d’une traduction de l’anglais, publié un peu partout sur la toile au cours des derniers jours. Comme quoi la qualité d’un article n’a rien à voir avec la portée de sa diffusion. Son auteur a clairement lu un truc ou deux, parce que plusieurs de ses « arguments » ont une origine véridique. C’est la conclusion donnée qui laisse sérieusement à désirer. Voici mes commentaires, faiblesse par faiblesse.

« L’absence de preuve dans le chiffrement, apparaît juste un algorithme mathématique, certes impressionnant, avec beaucoup d’exposants et d’indices, il est situé au coeur du cryptage mais n’apporte pas de preuve absolue. » En effet, la vaste majorité des algorithmes de chiffrements ne sont pas supportés par des preuves complètes de leur sécurité. De nouvelles avancées en mathématique pourraient démontrer des failles irréconciliables dans des algorithmes jugés aujourd’hui solide. La sécurité de certains, tel que décrit dans l’article, dépend de la complexité de problèmes mathématiques classiques, comme la factorisation en nombres premiers pour l’algorithme RSA. Ces limitations sont bien connues et comprises des cryptographes depuis longtemps. Ce n’est certainement pas un « problème » pour le chiffrement en général. Lorsqu’un algorithme considéré jusqu’alors comme solide est finalement brisé, il est remplacé par un autre. C’est déjà arrivé et ça arrivera probablement encore. Oui, c’est dérangeant, mais on est loin, très loin de la catastrophe appréhendée. Ce n’est certainement pas un argument pour prédire la mort du chiffrement!

« Bon nombre de nos hypothèses quant à la sécurité du chiffrement sont basées sur la croyance que les gens vont partager toutes leurs connaissances sur les vulnérabilités, mais il n’y a pas de garantie que quiconque le fera. Les agences de renseignement par exemple gardent régulièrement leurs connaissances pour elles-mêmes. » Cette seconde « faiblesse » semble confondre les vulnérabilités logicielles avec celles des algorithmes de chiffrement. Ces dernières sont beaucoup plus rares que les premières. Est-ce possible qu’une organisation découvre une faille importante dans AES (par exemple) et l’exploite sans en parler? Oui, et c’est même déjà arrivé (comme Enigma pendant la seconde guerre mondiale). Mais cela ne veut pas dire que « le chiffrement est presque mort », et encore moins que « les technologies de chiffrement sont remises en cause ».

« La chaîne de sécurité est longue et jamais parfaite. » Un truisme que n’importe quel professionnel de la sécurité sait intuitivement. En quoi est-ce un argument contre le chiffrement? Mystère. Surtout que le chiffrement est, dans la grande majorité des cas, le maillon fort de cette chaîne de sécurité – c’est l’humain qui est habituellement le maillon faible.

« Beaucoup d’algorithmes assurent qu’il faudrait  » des millions d’heures » pour essayer tous les mots de passe possibles. Donc un temps incroyablement long pour se rendre compte que seul Amazon peut avoir un demi-million d’ordinateurs à louer à l’heure. » De façon générale, la sécurité des algorithmes de chiffrement repose sur l’effort théorique nécessaire à déchiffrer un message crypté en essayant, successivement, chaque combinaison possible de clés. Sauf que dans le cas de AES-256 par exemple, où la clé fait 256 bits, on ne parle pas de « millions d’heures », mais de « plusieurs fois l’âge de l’univers, pour un ordinateur de la taille de la galaxie ». C’est à ce genre d’échelle que les algorithmes modernes sont conçus. Et ce n’est pas le parc informatique d’Amazon (ou de toute autre entreprise ayant accès à une importante puissance de calcul) qui y changera quoi que ce soit.

Un commentaire similaire peut être fait pour la faiblesse suivante: « Les cartes vidéo sont également faciles à craquer. Le même matériel peut fonctionner avec des millions de mots de passe. Les GPU sont des ordinateurs parallèles incroyables et ils sont moins chers que jamais. » En effet, mais même avec toutes les cartes vidéos de l’univers, personne ne réussira jamais à pratiquer un brute force de 256 bits. L’auteur fait référence aux mots de passe, ce qui n’est pas du tout la même chose, et confirme encore une fois qu’il ne sait pas vraiment de quoi il parle.

« Vous pensez télécharger ce qu’il y a de plus sûr. Vous avez appliqué toutes les mises à jour, vous avez nettoyé toutes les «cochonneries » et vous avez désactivé tous les processs bi-zarres. Félicitations […] Ce serait parfait, si l’hyperviseur en arrière-plan ne pouvait faire tout ce qu’il voulait à votre code ou à votre mémoire. » Et quel est le rapport avec les technologies de chiffrement? Il faudrait demander à l’auteur.

« L’hyperviseur et le BIOS ne sont que quelques-unes des couches cachées de la manière la plus évidente. Pratiquement chaque appareil dispose d’un firmware, qui peut être remarquablement poreux. Il est rarement touché par l’extérieur de sorte qu’il est rarement durci. » Une deuxième « faiblesse » qui n’a strictement aucun rapport avec le chiffrement.

« […]l’augmentation incessante des correctifs de sécurité suggère que c’est sans fin. Au moment où vous avez fini de lire cet article, il y a probablement deux nouveaux correctifs d’installés. N’importe laquelle de ces failles pourrait compromettre votre chiffrement. Il n’y a pas de fin, ni de limites, après une porte dérobée. » L’auteur confond les vulnérabilités logicielles avec les portes dérobées (de l’anglais « backdoor »). Les premières sont des erreurs fortuites de programmation. Les secondes sont des vulnérabilités volontaires. Dans les deux cas, ça n’a toujours aucun lien avec le chiffrement (mais bon, on commence à s’habituer).

« La battage médiatique autour du chiffrement met l’accent sur la force de l’algorithme, mais glisse généralement sur le fait que l’algorithme de sélection de clé est tout aussi important. Votre chiffrement peut être super efficace, si l’espion peut deviner la clé, fini l’efficacité. » Les spécialistes sont parfaitement au courant de la nécessité de se fier à des nombres aléatoires cryptographiquement sécuritaire. Peut-être que le « battage médiatique » n’en fait pas mention, mais les technologies en prennent certainement compte. Peut-être que l’auteur devrait cesser de lire les médias, et plutôt s’intéresser à la littérature professionnelle qui couvre ce sujet.

« L’un des attraits des logiciels open source, c’est qu’ils peuvent découvrir des bugs, peut-être pas tout le temps, mais de temps en temps. » Les algorithmes de chiffrement modernes sont toujours « open source ». Ce que cela veut dire, c’est que ces algorithmes sont considérés comme sécuritaires même si leur fonctionnement interne est connu de tous. Les remarques de l’auteur concernent les principes de logiciel libre tel qu’utilisés en programmation – un contexte complètement différent. Il fait référence à « une ligne supplémentaire » dans le code de l’iOS d’Apple. Il est vrai que l’implantation d’algorithme de chiffrement est souvent source de vulnérabilités. Mais cela n’a rien à voir avec le chiffrement comme tel.

« Il est possible que le destinataire du mail utilise une autorité de certification différente de la vôtre, à partir de là un espion peut se glisser dans le contact. Il y a justement des centaines d’autorités de certification dans le monde ce n’est pas un souci hypothétique. Certaines de ces autorités sont sous le contrôle des gouvernements locaux et peuvent créer n’importe quel certificat. » Miracle! Je suppose qu’il fallait garder espoir: après s’être ridiculisé avec ses 10 premières faiblesses, l’auteur amène finalement un bon point! Les certificats de chiffrement sont utilisés pour identifier les partis impliqués lors d’une communication. Par exemple, ils permettent aux utilisateurs de s’assurer que le site web qu’il fréquente est bien celui de leur banque, et non pas une copie produite par un criminel cherchant à la personnifier. Et oui, la sécurité du système de certificats utilisés sur le web est considérée comme problématique, depuis plusieurs années déjà. Des solutions sont envisagées, mais aucune ne s’est démarquée jusqu’à récemment. Cela dit, ce n’est pas en soi une raison pour s’empêcher d’effectuer des transactions commerciales sur la toile, par exemple.

Le chiffrement n’est pas mort – loin de là en fait. Les algorithmes d’aujourd’hui sont très sécuritaires par rapport à ceux utilisés il y a quelques années. La sécurité de l’information fait face à plusieurs problèmes, parfois irrésoluble, et les défis sont nombreux. Mais ce n’est pas une raison pour en inventer.

Marqué

De la sécurité des installations électriques

electric_substationLes médias québécois ont rapporté mardi un acte de sabotage sur un transformateur du poste Joly, près de Québec. Les malfaiteurs s’en sont attaqués à l’huile minérale nécessaire à leur isolement électrique. Selon la source citée par La Presse, le ou les coupables connaissaient bien le fonctionnement de ces équipements ainsi que leur point faible (question de transparence: j’ai travaillé plusieurs années pour Hydro-Québec, en tant qu’employé et consultant).

Ce n’est pas la première fois qu’on s’en prend ainsi à l’infrastructure électrique; au Québec, certains se souviendront d’une bombe placée sur un pylône en 2004. Plus récemment, un autre poste électrique, Californien celui-ci, a subit d’important dommage – dans ce cas si, les coupables ont tout simplement utilisé des armes à feu pour mettre hors d’usage 17 (!) transformateurs.

Les enquêtes sont en cours, mais peu importe les motivations qui se cachent derrière ces évènements disparates, on peut comprendre l’anxiété des autorités. La grille électrique est une infrastructure critique pour n’importe quel pays industrialisé, et la perte d’un poste électrique névralgique au mauvais moment pourrait avoir des conséquences très fâcheuses pour la région touchée.

On a souvent discuté dans le passé que les compagnies électriques pourraient être la cible de cyber attaques, et l’importance de s’en prémunir, mais ces exemples montrent qu’elles peuvent tout autant être vulnérables à des menaces plus conventionnelles. Et avant qu’on crie à l’incompétence, sécuriser convenablement le tout n’est pas une tâche si évidente que ça quand on parle de centaines de postes, souvent loin des zones urbaines ou difficiles d’accès.

Heureusement, les autorités sont parfaitement au courant de la situation. En Amérique – incluant au Québec – des règles de sécurité particulières doivent être respectées pour l’ensemble des installations et systèmes considérés critiques pour l’intégrité de la grille électrique. Ces règles sont imposées à travers des normes dictées par la North American Electric Reliability Corporation.

Depuis 2 ans, un exercice annuel panaméricain a également lieu, le GridEx, qui rassemble l’ensemble des acteurs privés et publics, et qui a pour but de simuler une panne d’envergure du réseau électrique. Il ne s’agit que d’une simulation papier, aucune « panne » n’a réellement lieu, mais ce genre d’exercice permet quand même aux participants de mieux comprendre et d’échanger sur les risques auxquels ils font face, et sur les moyens disponibles pour les mitiger.

Pour mieux comprendre le conflit en Ukraine

Comme plusieurs, je suis la crise ukrainienne avec intérêt. Même si je me vois mal la commenter – c’est un sujet loin de mon expertise professionnelle – cela pourrait changer si des éléments de guerre électronique (cyberwarfare) se mettaient de la partie. Compte tenu de la nature du conflit, ça ne serait guère surprenant, et certaines voix ont commencés à en faire mention. Il s’agit d’un développement que je vais certainement surveiller de très près.

En attendant, je me contente de lire d’autres plus renseignés que moi. Un de mes plaisirs coupables depuis quelque temps est le blogue de John R. Schindler, professeur en sécurité nationale au US Naval War College. J’ai commencé à suivre M. Schindler à cause de ses écrits sur Snowden. Mais ce n’est que cet hiver, suite au Maidan et à l’annexion de la Crimée, que je l’ai découvert comme une source très intéressante pour comprendre ce petit coin du monde. Attention: Schindler est un vieux de la vielle, un expert en relation russo-américaine et de la guerre froide, et défend résolument la pax americana. Son style et son langage peut être rebutant pour certains, mais il compense largement par sa très grande maîtrise du sujet.

Dans le même registre, Tom Nichols (un collègue de Schindler) est tout aussi intéressant, et son tempérament cordial le rend un peu plus accessible.

Pour finir cette courte mise à jour, un documentaire français, « Poutine pour toujours », diffusé sur TV5 il y a quelques jours, qui brosse un portrait intéressant de l’homme derrière le pays et explique son ascension au pouvoir. Très actuel – même s’il a été tourné avant la crise Ukrainienne et n’en fait donc pas mention.

Marqué

La pornographie

Lindsay Lohan. Je suis certain que c'est une bonne personne.

Lindsay Lohan. Je suis certain que c’est une bonne personne.

Jetez un coup d’œil à cet article, qui décrit plusieurs activités de surveillance de la NSA, notamment ses relations avec les entreprises de télécommunications américaines. Vous pouvez le lire au complet si ça vous chante, même s’il est plutôt long. Et il est probable que vous n’y appreniez pas grand-chose si vous avez suivi le dossier au cours des derniers mois. Vous serez peut-être déçu par le manque de détails et de preuves matérielles référencées pour les appuyer. Même l’identité du délateur n’est pas révélée.

Finalement, c’est un article plutôt terne. Pas excitant. Je suis certain que vous l’aurez finalement oublié dans une semaine. En attendant et si ce n’est pas déjà fait, remarquez sa date de publication: le 10 mai 2006. Surprise! Cet article est paru 7 ans avant la sortie de Snowden de l’année dernière.

Comment est-ce possible? L’article du USA Today discute pourtant de plusieurs des faits reprochés récemment à la NSA. Il y a 8 ans de cela! Pourquoi n’en avions-nous pas entendu parler? Oh, il avait bien créé un certain remous, pendant quelques jours, mais sans s’imposer dans le cycle médiatique américain. Une réaction fort différence de celle qu’on a réservée à Snowden. Mais pourquoi donc?

On peut commencer par observer les différences entre l’article du USA Today et ceux de Glenn Greenwald, le journaliste qui a travaillé depuis le début avec l’illustre délateur de la NSA, et qui est certainement l’un des grands architectes de son succès.

Comme discuté plus haut, l’article du USA Today ne mentionne pas l’identité de la ou des sources qui ont servi de base à son écriture. Il tente de brosser un portrait général de la situation. Il donne aussi la parole à plusieurs représentants américains, leur permettant d’expliquer certaines des allégations amenées – on peut croire ou non à la véracité de ces explications, mais il ne fait pas vraiment de doute que l’auteur a fourni les efforts nécessaires pour contextualiser ses allégations.

Greenwald a procédé d’une manière complètement différente avec Snowden. Ses nombreux articles portent moins sur l’expérience de Snowden que sur les documents sensibles qu’il a divulgués. En s’appuyant sur des documents individuels (et comme Snowden est soupçonné d’en avoir volé plus d’un million, ce n’est pas le contenu qui manque), Greenwald a été en mesure de publier ses articles au compte goûte, semaine en semaine, ce qui est une excellente stratégie pour s’assurer de demeurer présent dans le cycle médiatique. Les autorités américaines y ont également répondu, mais post-facto, et Greenwald en a profité pour les prendre de pieds, en publiant des jours plus tard de nouvelles allégations venant directement contredire les explications officielles. L’identité du délateur n’est pas cachée, mais est au contraire centrale à l’exercice – Snowden est devenu l’ambassadeur emblématique des critiques envers la NSA et son programme de surveillance domestique. Finalement, les articles de Greenwald contiennent beaucoup de détails techniques sur les opérations et les cibles de la NSA; bien qu’il dit s’efforcer de ne publier que ce qu’il considère pertinent, une grande quantité d’information divulguée suite à la fuite de Snowden n’a strictement aucun rapport avec cette surveillance domestique.

Les propos et les allégations sont en grande partie les mêmes, à 7 ans d’intervalle. La différence vient dans la présentation de cette information.

L’article du USA Today suit la structure classique du journalisme d’enquête. Certains lui reprocheront d’utiliser une source anonyme, mais c’est une réaction moderne: plusieurs scandales américains (le Watergate vient immédiatement à l’esprit) ont été dévoilés suite à des fuites de sources anonymes. Mais en bout du compte, le résultat n’est guère attrayant, et ce n’est pas si surprenant que cela qu’il soit passé sous le radar.

La stratégie de Greenwald suit un modèle complètement différent. Elle est plutôt axée sur la volonté de maximiser l’impact de la nouvelle et sa durée. Greenwald est un polémiste et son travail vise autant à informer qu’à supporter ses idéaux libertariens et ceux de Snowden. En bout du compte, ce n’est plus vraiment de l’information: c’est de la pornographie. De la « security porn », une expression que certains commentateurs ont commencé à utiliser.

Le lecteur moyen qui a suivi à chaque semaine, pendant des mois, des révélations toujours plus croustillantes sur une agence dont les activités lui étaient, la plupart du temps, complètement inconnues, ne cherche pas tant à s’informer qu’à se divertir. Et les révélations sur la NSA compétitionnent avec d’autres types de divertissement. On suit la descente aux enfers du renseignement américain comme on suit les dernières frasques de Lindsay Lohan; la chute des grands a toujours été un spectacle populaire. Plus le scandale est juteux, plus il est biaisé et provoquant, plus on attend avec impatience le prochain chapitre. Personne ne se préoccupe réellement du sort de Lohan, tout comme personne ne se préoccupe réellement des conséquences des divulgations de Snowden sur la politique étrangère des pays concernés.

Malheureusement, beaucoup de journalistes sont tombés dans le piège de répéter sans trop se poser de questions des accusations qui cherchent à provoquer avant d’informer. C’est vrai aux États-Unis, et c’est vrai ici aussi.

Et c’est peut-être l’une des principales raisons qui m’ont poussé à créer ce blogue. Pour faire contrepoids aux pornographes.

Marqué ,

L’étrange cas de Mr. Snowden

Les téléspectateurs du réseau d’information russe RT ont eu droit à une surprise la semaine dernière lorsqu’Edward Snowden, délateur extraordinaire, a fait une apparition surprise lors de la séance de question réponse à laquelle le dirigeant russe se plie annuellement. Après un préambule dénonçant de nouveau les activités de surveillance américaine, Snowden a demandé à son illustre hôte de quoi il en retournait en Russie.

La réponse de Putin n’est guère intéressante – il prétend notamment que la loi russe ne permet pas ce genre d’activités, même si cela semblait le cas récemment à Socchi, mais la juxtaposition de ces deux personnalités médiatiques a quand même un côté surréaliste. Les réactions dans les médias occidentaux n’ont pas tardé, la majorité critiquant Snowden pour un geste qui avait tout l’air d’une grossière mise en scène cherchant à redorer le blason du chef russe, en pleine crise avec l’Ukraine. À quoi a-t-il pensé?

Les véritables motivations d’Edward Snowden font l’objet de questions et d’accusations depuis le tout début des divulgations le concernant. Et même si parfois ses détracteurs exagèrent, certains de leurs commentaires demeurent tout à fait légitimes.
Pourquoi fuir en Chine et en Russie, deux importants adversaires des États-Unis qui ont parmi les pires feuilles de routes en matière de droits humains et de liberté de presse? Pourquoi ne pas s’être contenté de divulguer des informations sur les programmes de surveillance domestique américains (son objectif avoué, du moins au début), alors que la vaste majorité des documents finalement publiée n’ont rien à voir avec cette question et concerne plutôt les activités habituelles des agences de renseignement?

Et maintenant, pourquoi cet exercice de propagande ridicule, qui ne bénéficie finalement que Putin?

Face au tollé, Snowden s’est empressé dès le lendemain de répondre à travers un éditorial du Guardian. Justifiant son acte, il explique qu’il désirait forcer Putin à se prononcer sur la question et, pour reprendre son expression, démarrer une conversation que d’autres journalistes pourront revisiter. Je suppose que c’est un point de vue qui a du sens à ses yeux, mais il m’apparait plutôt naïf dans le contexte politique russe. Putin, qui contrôlait très certainement cette séance de question réponse, tout comme il contrôle les médias télévisuels de son pays, n’a que faire d’avoir l’air hypocrite ou de se faire prendre à mentir. Et les journalistes russes qui désirent critiquer le Kremlin ont bien d’autres chats à fouetter que de suivre le leadership occidental d’un problème bien plus complexe que ce que nous pouvons vivre ici. Au 148ème rang dans l’index de liberté de presse de Journalistes sans Frontière, les liens entre les agences de renseignement russe et le pouvoir en place suivent une longue tradition qui n’a pas d’équivalence ici, et qui ne se règlera pas à coup de questions assassines.

Les plus cyniques diront que ce fiasco confirme que Snowden est sous influence des services secrets russes depuis son arrivé là-bas, peut-être même depuis son séjour à Hawaï. « Sous influence » veut dire ici bien des choses, mais disons que certaines de ses fréquentations laissent à désirer.

Je préfère l’explication plus banale. Snowden est sincère dans ses convictions, mais s’est retrouvé dépassé par la place et le rôle qu’il occupe, et est devenu le pion bien malgré lui du jeu géopolitique russe. Il existe même un terme pour cela: les idiots utiles. C’est le nom qu’on donnait aux sympathisants occidentaux qui ont vanté les politiques soviétiques à l’époque stalinienne et durant la guerre froide. Comme Walter Duranty, ce journaliste anglais reconnu pour ses articles éloquents qui niait la famine ukrainienne de 1933 (ironiquement, Duranty fut récompensé du prix Pulitzer pour son travail.)

Snowden se dit déçu de la réaction des médias américains sur son apparition télévisuelle – c’est du moins ce que laissent entendre certains de ses collaborateurs. Parions qu’il ajustera son tir et se fera un peu plus tranquille à partir de maintenant. Il doit également appréhender l’anniversaire fatidique de son asile politique – parions qu’il désirera le voir renouveler.

Marqué

De sécurité, de vie privée et de nuage

Article paru hier dans le Journal de Montréal, portant sur l’infonuagique (qui est une jolie traduction de « cloud computing »), écrit par M. Pierre Trudel, titulaire de la Chaire L.R. Wilson sur le droit des technologies de l’information et du commerce électronique. J’ai eu l’occasion de croiser M. Trudel alors que nous étions tous les deux invités sur le même panel dans le cadre du colloque « Maître chez vous » de Force Jeunesse en février dernier.

M. Trudel est un avocat qui voit les questions de protection de la vie privée et des renseignements personnels avec ses yeux de juriste, ce qui lui donne une perspective différente de la question (en tout cas, différente de celle dont je suis habitué).

Il y a évidemment une relation entre la protection des renseignements personnels et la sécurité de l’information, pour la raison évidente que ces renseignements sont de l’information. Protéger la confidentialité de l’information personnelle n’est guère différent de protéger la confidentialité de secrets industriels, ou de numéros de carte de crédit.

D’un autre côté, les principes protection des renseignements personnels dépassent la simple sécurité de l’information. Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques exige que les entreprises soient en mesure de mettre à jour l’information personnelle sur demande, ou restreignent son utilisation aux seules fins spécifiées lors de leur divulgation. Ce sont évidemment des considérations importantes, mais qui n’ont que peu d’équivalents ailleurs dans l’industrie.

Sur l’infonuagique, l’article de M. Trudel porte sur les considérations légales reliées à l’emplacement physique de l’information. Ces considérations ont toujours été importantes dans un contexte de sécurité des TI, mais M. Trudel apporte un bon point, à savoir que l’espionnage électronique est devenu un nouvel argument dans cette réflexion.

Si j’utilise les services d’une entreprise internet pour enregistrer de l’information sensible sur son nuage, je peux toujours m’assurer que l’entente contractuelle qui nous relie l’oblige à respecter les lois du pays où j’habite. Les entreprises qui offrent des services à la planète deviennent de plus en plus habiles à jongler avec toutes ces législations parfois complètement différentes. Mais si mon information peut être impunément volée car les lois en vigueur où elle réside physiquement (ex: aux États-Unis) permettent au gouvernement en place d’en demander l’accès, et interdisent même à l’entreprise concernée de m’en avertir, aucune entente contractuelle ne pourra me protéger. Cela dit, il existe des moyens techniques (le chiffrement) qui peuvent être adaptés à ce genre de problème.

Qu’on ne se fasse pas d’idée, les États-Unis ne sont pas les seuls à vouloir jouer à ce petit jeu. Et cette « révolte des pays européens  » (voir le lien à la fin de l’article de Pierre Trudel) cache une certaine forme de protectionnisme. En critiquant l’utilisation de services étrangers, les Européens se trouvent à mousser les leurs. Une dynamique semblable est présente dans les critiques envers les grandes compagnies d’équipements de télécommunication (comme Cisco) et leur collaboration avec les services de renseignements américains.

Marqué