S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
Reflets poursuivi par Altice : la liberté d'informer menacée

Le groupe de Patrick Drahi tente de contourner le droit de la presse. Altice a des milliards, nous avons un site Web. Aidez-nous à défendre la liberté de la presse.

À la Une
Technos
par Antoine Champagne - kitetoa

De l'endogamie à l'exogamie en matière d'informatique

Ou le cercle sans fin du grand n'importe quoi

C'est bien connu, le problème est entre la chaise et le clavier. Et si le user est un imbécile, autant essayer d'en tirer le plus grand profit. Au delà de ce triste constat qui sied si bien aux GAFAM, l'écosystème se tire un balle dans le pied en admettant le pire.

Philippe Vannier - Copie d'écran - CC

C'est comme ça... Vous pouvez avoir signé un contrat inavouable avec Kadhafi, être poursuivi par la Justice pour cela et rester au sommet de l'écosystème. Ce dernier permet que Philippe Vannier soit "Vice President Big Data & Security Solutions and Group" d'Atos. Notre dernier article évoquant" l'asile politique" accordé par Thierry Breton à Philippe Vannier nous avait valu un courrier d'avocat assez menaçant. Thierry Breton est un habitué des procès contre les journalistes qui grattent un peu le vernis duquel il est recouvert.

Dans le domaine de la sécurité informatique, comme dans à peu près tous les cercles, il est assez improbable que quiconque dénonce la présence en son sein de canards boiteux. Les casseroles sont très proprement remisées, oubliées au fond d'un placard fermé à double tour.

Philippe Vannier est donc auréolé de son titre de vice-président Big Data et solutions de sécurité, de CTO du groupe Atos. Oublié le contrat avec Kadhafi, les fonds versés au festival mondial des arts nègres. Tout est pardonné.

Thierry Breton et Philippe Vannier, l'homme phare du DPI français se sont bien trouvés. Il y a des hasards surprenants dans la vie. Souvenez-vous... Le 6 juin 2016, Reflets révélait que la France s'était équipée dès 2009 de sondes DPI dans les DSLAM pour des interceptions administratives. IOL, pour Interceptions obligatoires légales, était justement... Illégal. Comme le rappelait à l'époque Jérôme Hourdeaux dans son article sur Médiapart (l'enquête IOL avait été menée conjointement par Mediapart et Reflets) :

Au moment de l’installation du dispositif IOL, la collecte en temps réel de ces données de connexion était strictement interdite. Le régime alors en vigueur avait été fixé par la loi antiterroriste du 23 janvier 2006. Celle-ci permettait la consultation des métadonnées mais a posteriori, chez les opérateurs qui avaient l’obligation de les conserver durant une année. L’analyse « en temps réel » des métadonnées et sur « sollicitation du réseau » n’a officiellement été autorisée que par l’article 20 de la loi de programmation militaire votée en décembre 2013 et dont le décret d’application n’a été publié qu’un an plus tard, le 26 décembre 2014. Ce n’est donc qu’à compter du 1er janvier 2015 que les services ont eu le droit de piocher immédiatement dans les métadonnées.

Alors que l'on aurait pu imaginer que le cahier des charges du programme IOL venait du ministère de l'Intérieur, il émanait en fait de Bercy. Thierry Breton était ministre de l'Économie, des Finances et de l'Industrie dans le gouvernement Raffarin de 2005 à 2007. Au moment donc où naît l'idée d'IOL. Le rapport 2006 du haut fonctionnaire de défense et sécurité (services du Haut fonctionnaire de défense) évoque déjà le sujet :

Rapport 2006 du haut fonctionnaire de défense nationale - Copie d'écran - CC
Rapport 2006 du haut fonctionnaire de défense nationale - Copie d'écran - CC

Fuites de données

Atos a une longue carrière de fuite de données, mais ce n'est pas de cela dont il sera question ci-après. Non, parlons maintenant de la fabuleuse fuite de nos données personnelles vers les GAFAM. N'est-ce pas terrible que toutes ces informations, qui vont bien au delà des méta-données collectées illégalement par les FAI en France, filent outre-Atlantique, nourrir les algorithmes ? Ne peut-on rien faire contre cela ? Les Etats sont-ils impuissants ? Le GRDP ne nous sauvera-t-il pas ?

La France, comme la Grande-Bretagne, sont les champions de la collecte de méta-données des clients des FAI. C'est parfaitement illégal mais notre pays a décidé de s'asseoir sur le droit communautaire. L'arrêt Tele2 de la Cour de justice de l’Union européenne est très clair : la conservation généralisée des données de connexion des utilisateurs n'est pas autorisée. Dans l'ombre, la France et quelques alliés tentent de renverser cette jurisprudence qui s'impose aux Etats membres.

Et bien non. Tant que les utilisateurs se tireront une balle dans le pied volontairement tous les jours, que peut-on y faire ? Ce n'est ni à coup de procès à gain médiatique, ni par la loi que l'on peut tarir le flux de données personnelles vers les Etats-Unis ou d'autres pays. Cette fuite de données personnelles ne s'arrêtera que le jour où les utilisateurs arrêteront d'utiliser des plate-formes qui ne les respectent pas. Le jour où la presse arrêtera de signer des contrats perdant-gagnant avec les plateformes. Le jour où chacun maîtrisera son adresse mail, le jour où l'on ne dira pas à Google en permanence où l'on se trouve, le jour où l'on arrêtera d'expliquer à Google comment notre pensée se construit en modifiant à la volée nos recherches. Le jour où... Le jour qui n'arrivera pas. Le problème est, dans ce cas, entre la chaise et le clavier.

Dans ton cloud...

Mais il est aussi ailleurs. Dans son édition N°802, du 14 mars 2018, Intelligence Online explique la tentative actuelle de percée en France d'Amazon Web Services. L'idée du géant américain est de proposer ses services d'hébergement aux pouvoirs publics. Pas bête, la société américaine a demandé à l'ANSSI la certification SecNumCloud. Si Amazon se débrouille bien, elle obtiendra une certification ANSSI lui permettant d'aller démarcher les autorités françaises auréolée de son tampon ANSSI. Après Palantir à la DGSI, Palantir chez Airbus, voilà Amazon dont les liens avec les services américains sont publics, qui se propose d'héberger des données gouvernementales françaises.

Les sites gouvernementaux français, comme ceux des entreprises fournissent déjà des tonnes de données aux GAFAM avec leurs boutons de partages "sociaux".

Site du gouvernement français - copie d'écran - CC
Site du gouvernement français - copie d'écran - CC

Ministère de l'Intérieur - capture d'écran - CC
Ministère de l'Intérieur - capture d'écran - CC

Quand ce n'est pas à des société de sécurité informatique parce que en France se protéger contre des DDoS, c'est un peu choisir entre OVH et OVH. Ceci dit quand on clame partout vouloir faire du souverain, on pourait commencer par là.

Dans ton CAC 40

Bien entendu tout cela n'est pas nouveau. Depuis des dizaines d'années, toutes les grandes entreprises françaises sont auditées par les grands cabinets américains. Cela vaut pour les comptes mais aussi pour les grands plans stratégiques. Les cabinets américains aident les grandes entreprises du CAC 40 à définir leurs stratégies. Ils sont ainsi au cœur des plans commerciaux et stratégiques des entreprises françaises. Mais l'on n'est pas obligés de continuer à creuser lorsque l'on est déjà au fond du trou...

Bien sûr, ce grand n'importe quoi, cette idée très particulière de la souveraineté nationale en matière "cyber", cette vision de "l'hygiène informatique" n'empêche pas le gouvernement de plancher sur des textes révolutionnaires pour mieux nous protéger, le Deep Packet Protection© arrive, pas de panique. Mounir Mahjoubi veille et s'émerveille des ouvertures d'écoles par Microsoft, la "start-up nation" décolle, tout va bien Madame la marquise.

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée