Bienvenue dans leur Far West

Internet n’est plus « votre »terrain de jeu, c’est le leur…

Souvenez-vous… Ou pas d’ailleurs… Au commencement était un réseau mondial qui luttait pour s’imposer, seul, avec quelques barbus aux commandes, principalement dans des universités. En face, des poids-lourds de l’industrie qui espéraient enfermer leurs abonnés dans un vaste centre commercial virtuel : Microsoft, AOL, etc. Les technologies associées à Internet étaient « nouvelles ». Tellement nouvelles, que peu de monde savait les utiliser. Les hackers n’étaient pas légion.

Avant le Web, il y avait Veronica.

VeronicaMars

Veronica permettait de trouver « des choses » sur des serveurs Gopher.

gopher

A cette époque, en France, il ne devait pas y avoir un grand nombre de policiers dans la cour où l’on jouait. Puis est arrivé le Web. Dans un premier temps, les entreprises françaises se refusaient à y publier quoi que ce soit. L’argument principal étant d’ailleurs que « sur Internet il n’y a que des pédophiles et des pirates ». Mieux, en marge d’une conférence de presse, Jean-Jacques Damlamian, ponte de France Telecom, m’expliquait benoîtement que FT ferait tout pour ralentir la progression du Net en France puisque l’on avait le Minitel. Un visionnaire.

Mais très vite, les directions générales de ces mêmes entreprises intimaient l’ordre à leurs services informatiques d’être présents sur le Web aussi vite que possible. Les technologies étant « nouvelles », les budgets étant -déjà- réduits, le résultat fut un festival de conneries.

Ce qui donna naissance à la rubrique des « admins fous, fous, fous » sur Kitetoa.com et me permit de rigoler plusieurs années durant, tout seul devant mon écran.

Les serveurs étaient des passoires qui laissaient fuiter des tonnes et des tonnes de données personnelles, de fichiers confidentiels… La situation s’est un peu améliorée avec le temps mais il est aisé d’imaginer que si je pouvais, moi un non technicien, trouver tout cela, les vrais techniciens pouvaient aller au plus profond du Net, s’introduire un peu partout voir la cyber ville comme une ville en verre tout à fait translucide.

Pirater un serveur était un jeu d’enfant. Il suffisait parfois d’utiliser une machine à l’étranger comme rebond pour échapper aux poursuites. La police avait du mal à obtenir des informations via des commissions rogatoires internationales, le temps de la justice étant souvent bien plus lent que celui de la rotation des logs. En d’autres termes, si une commission rogatoire était lancée (peu probable), les logs avaient déjà disparu lorsque la réponse revenait.

Quant aux policiers spécialisés, ils avaient encore du chemin à faire. Je me souviens de l’un d’entre eux qui ne savait pas à quoi ressemblaient des logs Apache. Quant à celle qui m’avait entendu dans le cadre de l’affaire Tati

freekite2jpg

A cette époque, je traînais mes cyber baskets avec des gens très sympas (ADM, Rhino9, Fyodor, RFP, etc.) qui naviguaient sur le cyber océan sans que rien ne vienne s’interposer. D’autres aux Etats-Unis teintaient parfois leurs chapeaux blancs de gris, sans conséquences (w00w00, L0pht, cDc). En France, Laurent Chemla, contributeur vénéré de Reflets volait de l’électricité.

C’était vraiment une autre époque.

Aujourd’hui, quelques années plus tard, les policiers spécialisés sont devenus bien meilleurs que moi et ont parfois un niveau en informatique (ça se dit ça ?) qui égale celui de hackers chevronnés. Mieux, ils ont à leur disposition une litanie de textes tous plus répressifs et intrusifs dans votre vie privée les uns que les autres. C’est sans doute très utile pour lutter contre la pédophilie ou le terrorisme, mais c’est aussi les fondations d’un Etat policier extrêmement intrusif qui se fixe des règles très particulières. Vous n’avez pas le droit de pirater un ordinateur qui ne vous appartient pas. Les policiers ont le droit de pirater votre ordinateur. Logique, non ?

Tout a commencé en 1978 avec la loi relative à l’informatique, aux fichiers et aux libertés.

Et puis cela a dégénéré:

  • La Loi Godfrain du 5 février 1988 relative à la fraude informatique a introduit les articles 323-1 et suivants dans le Code pénal, concernant notamment la suppression ou modification de données (art 323-1 al 1), ou encore la tentative d’infraction sur un STAD (323-7).
  • La loi du 15 novembre 2001 relative à la sécurité quotidienne
  • La loi du 18 mars 2003 pour la sécurité intérieure
  • La loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité
  • La loi pour la confiance dans l’économie numérique du 21 juin 2004, qui a modifié les articles 323-1 et suivant du Code pénal. Cette loi a, en outre, modifié l’article 94 du Code de procédure pénale relatif à l’inclusion des données informatiques dans la liste des pièces susceptibles d’être saisies lors des perquisitions réalisées en flagrant délit ou au cours d’une instruction. (Ces perquisitions sont aussi régies par les art. 56 et 97 du Code de procédure pénale).
  • La loi du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.
  • La loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et comportant diverses dispositions relatives à la sécurité et aux contrôles frontaliers.
  • La loi du 5 mars 2007 relative à la prévention de la délinquance
  • Décret du 24 mars 2006 sur la conservation des données de trafic
  • Convention sur la cybercriminalité du 23 novembre 2001

chat-voleur

Les lecteurs assidus de Reflets le savent bien, il ne s’agit là que de la partie émergée de l’iceberg.

En dehors des lois, il y a les écoutes sauvages. Et sur le Net, elles sont passées de l’artisanat à base de pinces crocodile, à une industrialisation totale. Amesys et Qosmos sont là pour le démontrer, tout comme Edward Snowden.

Essayez d’imaginer… La NSA collecte quelque 11,5 petabytes par an.

Il faut bien l’admettre… Aujourd’hui, nous ne sommes plus dans notre Far West, nous sommes dans le leur et ils y font exactement ce qui leur plaît, en suivant leurs lois pour certains.

En ne les suivant pas pour d’autres, et ce, avec la bénédiction et le soutien des gouvernements successifs, de droite comme de gauche. Et je ne parle même pas de la NSA…

Quelque chose a changé dans mon Internet. Je sens comme une perturbation…

 

 

Note :  cet article est issu d’une prez pour Pas Sage en Seine 2014, mais n’ayant droit qu’à un seul talk, je publie cela ici.

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).


20 thoughts on “Bienvenue dans leur Far West”

  1. Juste une petite remarque sur un passage spécifique de l’article :

    « Vous n’avez pas le droit de pirater un ordinateur qui ne vous appartient pas. Les policiers ont le droit de pirater votre ordinateur. Logique, non ? »

    Oui, parfaitement.
    Tu n’as pas le droit d’enfermer quelqu’un pendant des heures, la police oui.
    Tu n’as pas le droit d’éxiger de quelqu’un qu’il te présente ses papiers, un policier oui.
    Tu n’as pas le droit de fouiller le domicile de quelqu’un, les policiers oui.

    1. oui sauf que dans les cas que vous donnez en exemples, la police est censée avoir une bonne raison de le faire. Dans le cas du Net, c’est devenu une routine et il n’est plus possible de parler d’abus.

    2. Disons qu’à chaque fois que la police fait ça elle agit sur ordre d’un juge, enfin en général (pas pour les papiers on est d’accord).
      Avec les lois votées par les récentes majorités, numériquement parlant, y’a toute une ribambelle de gus qui ne sont pas policiers qui ont le droit d’aller farfouiller tes données, un peu comme ça leur chante, du moment qu’ils invoquent le sésame « lutte contre les méchants terroristes » ou « protégeons nos enfants ».

      on est marrants en France, on « s’insurge » contre les agissements des US et on vote une loi (la LPM) dont la NSA rêve depuis des lustres (lol, petite blague que les habitués sauront détecter ^^).

  2. Parfait cet article! Juste ce qu’il faut pour moi, pas trop vague et pas trop technique non plus…

    Mouhahaha le minitel :grin: Que je n’ai même pas eu la chance de connaître d’ailleurs.

  3. Je partage le même sentiment. Mais sans surprise! je savais à l’époque que ça se terminerait comme ça, nous ne sommes pas dans une société libérale (au sens voltairien, keynésien ou rousseauiste, comme vous le sentez), comme la majorité des communicants cherchent à nous le faire croire. Nous sommes dans une société ultra-capitaliste : si t’as de l’argent, t’as le pouvoir. Partout. Point barre.

  4. « C’est sans doute très utile pour lutter contre la pédophilie ou le terrorisme… »
    Je veux bien connaître les chiffres d’une telle utilité (je n’ose parler d’efficacité)

  5. /me a un sourire ému et nostalgique…

    À cette époque, un pauvre dictionnaire avait un raison de la moitié des password. Les firewalls étaient l’exception. Les hubs étaient encore légion et ça diffusait dans tous les sens. Telnet (beurk) était utilisé pour autre chose que pour tester une connexion tcp…

    Il n’y avais pas (du moins à ma connaissance) de formations universitaires spécialisées en sécurité, et pas de grosses boîtes non plus. La cuirasse et l’épée se peaufinaient à la main, avec un côté artisanal. Le réseau était sans doute déjà un enjeu de pouvoir mais beaucoup moins un enjeu d’argent: peu de vente au particuliers (RTC), pas de pub, peux de services offert. Du coup, du hack/crack amateur (j’ai pas dit mauvais, hein!).

    Mais le pognon bien gras est arrivé! Maintenant, le 0day est un marché. Le botnet une industrie à spam ou à ddos (parait que ça mine aussi…). Le vol de donnée est devenu industriel et massif. La sécurité (au sens espionnage) a été un enjeu entre pays, puis contre les propres populations de ces pays. Bon, il y a toujours de la bonne sécurité ni barbouzarde ni vendeuse de cyber armes, mais beaucoup sont quand même des professionnels (universitaires souvent). Je me dis quand même que les chapeaux noirs on beaucoup noirci, et que les blancs ne sont pas toujours biens propres non plus suivant pour qui ils bossent…

    J’aime beaucoup le parallèle de Kitetoa entre d’un côté l’incroyable montée en puissance des institutions (états/grandes entreprises) en matière d’espionnage de masse et d’intrusion, et de l’autre la mise à genoux judiciaire de tous les amateurs avec une présomption de culpabilité (LCEN) et un énorme arsenal répressif. Quel cynisme!

    /me déprime, un effet surprenant du Champagne…

  6. « Tu n’as pas le droit d’éxiger de quelqu’un qu’il te présente ses papiers, un policier oui. »

    Sauf qu’une multitude donne l’équivalent à qui vous savez sans broncher & que c’est pas étonnant que la maréchaussée & consorts se débrouillent pour y avoir accès.

  7. BOah , il faut relativiser un peu les choses , ça à changé c’est sûr , mais bon. L’article d’aleph one sur les bof est sorti en aout 1996 , ce qui veut dire qu’à l’époque déja, c’était bien utilisé dans la scène depuis longtemps… L’article de référence sur ce point à été publié par un chercheur en 1976 je crois , et le premier exploit grand public lancé sur internet en 1988 par morris machin (qui avait à peine 23 ans) … ALors bon les login en brute force , et hacker le x25 sur minitel, c’était déja dépassé quand vous le faisiez …
    Après chacun avait son niveau, à chacun sa scène, c’est sûr que tout ne s’affichait pas à l’air sur irc, même si l’époque d’échange d’infos et de fréqus bbox sur les chats était toute une histoire à elle seule (à ce propos j’insiste, il n’y a jamais eu besoin de pince crocos pour écouter une ligne).
    La police à toujours été là pour infiltrer la place, et je ne parle pas de cowboys qui scannent internet, et ça ne risque pas de changer.

    L’avantage étant qu’aujourd’hui la technologie est à portée de main, et il n’y a plus besoin de faire de l’illégal pour y toucher, alors qu’à l’époque , difficile de toucher un shell linux avec autre chose qu’un simple terminal (et encore il fallait avoir un modem), ceux qui pouvaient installer un linux sur pc n’étaient pas légions et devaient tt façons attendre les distribs grand publics (pas avant 1994-1995 je crois), et je ne parle pas du coût rédhibitoire des télécommunications à l’époque.
    La curiosité était mêlée à l’interdit , ce n’est plus indispensable aujourd’hui , j’en veux pour exemple la pelle de projets sur internet , comme asterisk , projectmf , kalilinux , openss7 , openbts, openvms ,openbsd ;) etc..,etc..
    Grosso modo , j’estime qu’aujourd’hui vouloir mélanger acquisition de compétences techniques (de vraies) , et piratage/trucs illégaux, relève du mensonge (voir médiatique) , et c’est une histoire que l’on traîne du passé des années 90’s , cela n’a plus de sens aujourd’hui et cela ne doit pas en avoir.

    1. Sauf que dans les 90’s il n’y avait pas FB, Google était une blague et les sociétés cotées en bourse ne voulaient rien savoir d’Internet. J’ai commencé à faire des sites Web corpo en 2001 et les premières intéressées étaient des asso culturelles et des PME très orientées communication. Aujourd’hui Internet est entre les mains d’Orange, Google, Facebook… ils y font la loi et ils ne vont pas le lâcher comme ça. Aujourd’hui les entreprises ne veulent plus un site Web et un extranet, elles veulent une page FB et un compte Youtube.

    2. | La curiosité était mêlée à l’interdit , ce n’est plus indispensable aujourd’hui

      La curiosité est plus que jamais liée à l’interdit en France: Code pénal, article 323-3-1:

      « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

      De fait, si ton boulot ne le justifie pas, tu es potentiellement coupable de possession des outils qui vont te servir à apprendre (Désassembleur, sniffeur, bruteforcer, outils de P2P, détecteur de vulnérabilité…).

      La jurisprudence est encore assez neuve sur le sujet, mais des affaires comme celle de Bluetouf ne me portent pas forcément à faire confiance à la capacité de discrimination des juges.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *