Emmanuel Macron veut une cyber-armée… C’est à dire ?

La période électorale est toujours un moment fructueux. Le nombre d’imbécilités débitées à la minute augmente à mesure que la date de l’élection approche. Nous entrons donc dans une période troublée durant laquelle le Littératron (c’est le moment de relire Robert Escarpit) va produire toutes sortes de choses hallucinantes visant à rallier Pierre, Paul, ET Jacques. Aujourd’hui, c’est Emmanuel Macron qui s’y est collé. Figurez-vous qu’il veut une cyber-armée, la « cyberdéfense et la cybersécurité » devant être les « priorités de notre sécurité nationale« . Sans faire appel au compte @traduisonsles, on peut tenter d’analyser ce tweet mémorable du candidat.

Premier point, la cyberdéfense et la cybersécurité deviendront les priorités de notre sécurité nationale. Cela signifie, sauf à parler une autre langue, qu’Emmanuel Macron investira plus de temps et d’argent dans ce domaine que dans le développement d’armes classiques ou de corps d’armée classiques. Il a donc plus peur des hackers russes du FBI nord-coréen que d’une invasion physique de notre territoire ou que, pour pousser plus loin, des actions terroristes de Daesh. Au siècle dernier, l’auteur de ces lignes énonçait peu ou prou la phrase suivante : « la cyber-guerre, ça fait des cyber-morts« . En gros, mieux vaut perdre un serveur qu’une vie. Rien n’a changé. A l’époque, c’était l’armée américaine qui voulait tout faire pour se protéger de la cyber-menace. Aujourd’hui, c’est Emmanuel Macron…

A chacun ses priorités…

Deuxième point, s’il veut une cyber-armée, il serait peut-être utile de définir ce que c’est. Et s’il en veut une, c’est que nous n’en avons pas ?

La cyber-guerre est un roman…

A quoi ressemble une cyber-guerre ? A rien. A quoi servirait une cyber-guerre sans invasion qui la suivrait ?

Ah… Mais, diront ceux qui font commerce de la peur, il se pourrait que cette cyber-guerre ait un but purement économique. Oui, c’est vrai. Et au siècle passé, également, l’auteur de ces lignes publiait un roman qui est encore probablement aujourd’hui, le seul manuel de cyber-terrorisme et de cyber-guerre qui pourrait marcher. Pour autant, il s’agissait d’un roman. Même s’il reposait sur une série de choses réelles et parfois non publiques, il est très improbable que l’organisation décrite dans ce roman puisse voir le jour. Il y a de nombreuses raisons qui expliquent cela. Monter une équipe ayant les moyens de déclencher une cyber-guerre efficace à l’échelle d’un pays, demande des moyens considérables, et surtout, la capacité à recruter des profils très différents. Ces personnes ont la particularité de très mal travailler en équipe lorsqu’elles sont « embauchées ». Il serait donc quasiment impossible de les faire travailler efficacement sur ce projet. Ne parlons pas de leur capacité à garder le secret.

Revenons à la cyber-armée… Elle serait composée de qui, combien de bataillons ? Qui feraient quoi ? Emmanuel Macron, il faudrait nous préciser ces détails.

Car son tweet laisse entendre que nous ne disposons pas de cyber-armée. Ce qui fera sans doute tiquer les gens de la DGSE, de l’ANSSI, de la DGSI, etc., etc.

Cela fera sans doute également sourire les entreprises comme l’ex-VUPEN (c’est un exemple parmi d’autres) qui fournissent des vecteurs d’attaque à des services gouvernementaux pour faire un peu ce que l’on reproche à la NSA ou la CIA ces temps-ci : attaquer des systèmes d’information, les pirater. Ce que réprime le code pénal. Mais c’est un détail.

File les codes !

La sortie sur la cyber-armée a été accompagnée d’une longue série d’inepties sur le numérique et le terrorisme.

Emmanuel Macron, pour résumer, voudrait que les entreprises qui utilisent de la cryptographie fournissent, sur demande, les clefs (lui dit les codes) permettant de déchiffrer les contenus. Qu’un terroriste utilise Telegram, Signal ou WhatsApp, peu importe, notre Emmanuel Macron national fera cracher les clefs (comment dans le cas de chiffrement de end-to-end ? Mystère).

Ce que ne dit pas Emmanuel Macron, c’est que dans sa société panoptique rêvée, il y a les citoyens lambda qui sont surveillés par les « boites noires », mises en place par le gouvernement auquel il participait il y a quelques mois, et les autres. Les autres, ce sont tous les politiques (et ils sont nombreux, de Fillon à Montebourg en passant par Macron) qui utilisent des machins comme Telegram ou WhatsApp pour échapper aux écoutes existantes dont ils connaissent visiblement l’étendue. Ce qu’il ne dit pas non plus, c’est qu’il est fort improbable que des juges s’intéressent aux contenus de leurs discussions chiffrées. Qui doivent pourtant être fascinantes.

Emmanuel Macron veut du panoptique pour les autres. Mais il n’est pas le seul. Les politiques, de gauche comme de droite, veulent étendre encore les pouvoirs des services en matière de surveillance. Et vous allez le voir, on est assez proche de franchir un cap que nous évoquions déjà lors du vote de la loi sur le renseignement.

Une orgie de métadonnées…

Nous avons sollicité en vain la députée Patricia Adam (PS), co-auteur d’un passionnant rapport relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2016, pour une interview.

Cette délégation, au nom des parlementaires, et donc des représentants supposés du peuple, se prononce pour quelques trucs anodins…

On trouve ainsi page 78 du rapport cette proposition visant à procéder à des interceptions en temps réel chez les opérateurs sous forme de (batchs) listes. Explication : les « boites noires », les Algorismes© de Bernard Cazeneuve, vont remonter tellement de suspects avec les signaux faibles repérés, qu’il sera impossible de traiter toutes les demandes d’interceptions en temps réels que cela impliquera. Il faudra donc passer d’autorisations individuelles d’interceptions à des « listes fournies par les services de renseignement« .

Les lecteurs réguliers de Reflets l’auront compris, ça va carburer dur du côté d’IOL.

Emmanuel Macron ou Patricia Adam ne le savent peut-être pas, mais l’infrastructure permettant de faire ce genre de choses existe déjà.

Paye ta classe B…

Nous nous étions émus lors de la publication de nos articles sur IOL de la présence d’une fonctionnalité. Dans un projet informatique de cette ampleur, il est rare que les donneurs d’ordre demandent une fonctionnalité pour ne pas l’utiliser. Dans IOL, donc, il y a la possibilité de mettre en place 32 000 règles (d’interception) simultanées chez un opérateur. Il y a surtout la possibilité de créer une règle qui visera une classe d’adresses de type B, soit 65 534 machines à la fois (donc, en mode « délire total » putatif, quelque 2 097 088 000 machines) . On n’est pas encore dans le systématique, mais on est clairement dans le massif. On est en tout cas très très loin de la pêche au harpon décrite par les services de renseignement et les gouvernements successifs, on a quitté les interceptions ciblées depuis longtemps.

Pour parfaire le tableau (démocratique) de la chose, le lecteur aura compris que ces interceptions (IOL) sont des interceptions administratives, c’est à dire des interceptions frappées du sceau secret-défense. Elles ne sont donc soumises à aucun contrôle. Ah… Si, celui de la CNCTR.

Nous allons donc faire un petit a parte pour les tenants du contrôle démocratique de la CNCTR, car le rapport de Mme la députée donne quelques chiffres qu’il faut entourer d’un contexte… Selon le rapport parlementaire, la CNCTR a été saisie en 2015-2016 de 66 000 demandes d’autorisations pour des interceptions.

la CNCTR a rendu 1332 avis défavorables. Parmi les 66 000 demandes, 48 000 sont constituées par des demandes d’accès aux connexions en temps différé. En fait, il s’agit là essentiellement de demandes préparatoires visant à obtenir les coordonnées précises de telle ou telle personne suspectée ; les demandes visant à la récupération des données de connexion stricto sensu sont au nombre de 15 200. Enfin, sur les 18 000 demandes restantes, les interceptions de sécurité représentent environ 8 500 demandes (principalement fondées sur la finalité de la prévention du terrorisme), la géolocalisation environ 2 100 demandes et les autres techniques de renseignement environ 7 400 demandes.

Maintenant quelques opérations pour donner un contexte… La CNCTR a donc fourni, si l’on fait une moyenne, quelque 181 autorisations par jour (elle a 24 heures pour répondre – 72h dans les cas complexes). Pour ce faire, elle dispose de 15 agents et des excellents outils mis à disposition par le GIEC (le même qui supervise IOL). En d’autres termes, et toujours en moyenne, 1 fonctionnaire autorise chaque jour douze interceptions. Un contrôle très pointilleux. Surtout s’il s’agit d’une classe B…

Il lui faut quoi de plus à Emmanuel Macron ?

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

13 thoughts on “Emmanuel Macron veut une cyber-armée… C’est à dire ?”

  1. Juste, pour être tout à fait honnête, Macron a bel et bien parlé de « clés de chiffrement » tout au long de son intervention. Ce qui bien sûr ne le dédouane pas du monceau d’inepties qu’il a pu débiter par ailleurs.

    Ma préférée ? Dans son plan de « Lutte contre le Terrorisme » basé sur cinq axes d’action majeurs, le premier est… « Renforcer la lutte contre le terrorisme », Ça ne s’invente pas. J’avoue avoir toujours du mal à comprendre comment il parvient à être pris au sérieux.

  2. Macron au summum de la novlangue :
    « les Etats, dès lors qu’ils sont démocratiques, devraient pouvoir avoir communication des contenus échangés par les terroristes sur les réseaux sociaux et sur des messageries instantanées ».

    Ce qui en français donne :
    « les Etats, dès lors qu’ils sont dictatoriaux, devraient pouvoir avoir communication des contenus échangés par les citoyens sur les réseaux sociaux et sur des messageries instantanées ».

    Ce type était désespérant d’avance, mais là il rejoint le camp des inquiétants …

    1. Ce qui est dérangeant au plus haut point c’est de legaliser apres coup des pratiques illégales sous couvert de lutte antiterroriste.
      Ils veulent des boites noires pour espionner tout le monde, ma foi de toute façon il le font autant etre le mieux proteger possible de ses abus potentiels. Ils log tout, tres bien qu’il log egalement le nom des personnes surveillée et pour quelle raison dans un delai raisonable (disons un an) pour qu’une institution puisse consulter ce log et proteger les personnes qui ont clairement subit des abus.
      Pour ma part je pense que l’etat a acces aux flux https en clair des banques du pays, mais je les voit tres bien imposer à fb la cle privé de tout ce qui transite par facebook france, google france, ebay france.
      Je trouve scandaleux qu’on ne puisse pas prouver qu’on a ete surveillé par suspition d’espionage indus, d’intimidation politique, suspition de terrorisme…à partir du moment ou on fait la demarche d’aller à la police demandé de l’aide de ce coté là.
      Pour parler de mon cas perso, en 2013 j’avais parler sur fb d’un projet de stockage de masse d’hydrogene pour repondre à la demande des ENR, acheter de quoi faire un prototype de turbine à gaz (rendement faible à 15-20% mais cogeneration possible pour se chauffer gratuitement l’hiver). Bref promouvoir l’energie electrique decentralisée parce que je crois fermement que c’est l’avenir.
      Le probleme c’est que j’ai travaillé 6 mois sur un site DCNS et il avait toute les excuses du monde pour m’espionner et des personnes mal intentionnées ont commencer à changer mes mot de pass root de mon serveur vps (envoi par mail, noté dans un fichier txt truecrypt cher moi). Bon au debut tu te dis bizzare, tu reinstalles. Apres survient des trucks chelou genre tu te connectes sur ebay.fr je rentre mes id (aussi noté dans un txt), paf retour page d’acceuil sans redirection, pas d’erreur (bizzare apres clear des cookies et meme nav privé).
      Dans le meme temps je recois de pole emploi une offre d’emploi exactement sur le theme de ma petite turbine proto (bobinnage moteur) alors que mon CV est vide de ce cote.

      Je vais donc voir la police, inquiet pour demander à etre entendu sur un sujet conscernant l’enr et etre proteger par une sorte de CNIL. (javais bien ete les voir apres m’etre fait piraté 1000€ sur cdiscount alors…). Je vois encore ces enflures du comico me regarder les chaussures pour essayer de debusquer des trous de boulettes de shit (lol). Bref je reste tres calme et me barre depité.
      Le lendemain j’entreprends de virer tout mes disque durs que j’irai planquer sur la plage (quiberon) en pleine nuit dans une cocote minute (ben oui en france on peut prendre chez avec des mp3 et des divx, et puis a ce moment là je ne savais pas si c’etait mon idée qui les interessaient).
      C’etait en novembre 2013, il caillait bien sur la plage et apart 2 3 surfeurs et kitesurfeurs en temps normal il n’y a personne. Pourtant j’apercois une camionnette s’approcher de ma voiture. Je decide d’en avoir le coeur nette j’entamme la discution avec le Mr pour savoir ce qu’il faisait de beau là paumé au beau mileu de nulle part. Aucune reponse de sa part comme s’il ne voulait pas repondre.
      Un peu plus loin sur le parking plage, je vois aussi des gars habillés type bureau, bizzare je me demande comment ils avait pu me suivre jusqu’ici (j’avais un tel qui me servait de montre mais sans sim = à cette epoque je croyait fermement qu’il falait une sim pour etre geolocalisable à 3 paté de maisons pres).

      Bref completement flippé je saute dans un train vers la suisse (toujours avec mon tel en poche lol), Le tvg roule à 2 à l’heure à cause de passage d’animaux. J’arrive trop tard à paris pour ma correspondance. Je dors dans la gare en me planquant dans un coin, le lendemain donc direction alberville (je prenais mes billets une fois le train lancé payé en liquide). Lorsque je commence à m’installer un type (pas le style racaille du tout, plutot ingé) pose son regard un eternité sur moi – bref je resort direct et part deposer mon telephone sans sim deriere la cuvette d’un chiot publique de la gare. Fait etrange 2 trains blockés pour cause de neige (direction grenoble – j’avais des amis sur Gap dans mon fb) mais pas sur alberville ou pourtant il neigait bien je saute dedans discretement le train n’a meme pas ralenti :)
      En arrivant à alberville c’est plus des gros bras qui essaye de m’intimider, je me pose dans bar pour m’enfiler une biere et un croque monsieur, un type est rester sous la neige pendant bien 20min à me fixer à 100m puis s’en va. C’est la que je vois un car « geneve », je saute dedans.
      En arrivant à geneve je demande à la premiere personne d’appeler les autorités parque les comico suisses etait fermé à 17H, je lui explique tres brievement la suitation elle appelle le numero de secours et decide de me faire dormir dansla buanderie au sous sol de son immeuble.
      A peine un 1/4h plus tard je vois des lumieres de girophares avec des gens qui courent dans tout les sens au travers de ma petite grille d’aeration : de toute facon je suis crevé/extenuer je decide de dormir si ils doivent me chopper ils me chopperont! Je me reveille vers 23H et bizarre les giros etait toujours là (pas une ambulance, ni la police ne traine 5H au meme endroit), je poursuis donc ma route pour aller vers laussane ou j’ai de la famille. Je prend le dernier tram pour sortir de geneve puis continu à pied. Il commence à neiger fortement je cherche un abri desperement, je fini par voler un velo en laissant un mot en laissant mon nom prenom et ma promesse de le rendre. Je continu jusqu’a une marina sur le lac et m’abrite sous la bache protegeant un bateau de loisirs il neigeait ca caillait fortement!
      Et la en pleine nuit (je dirais vers 5-6H du matin) j’entends un helico qui rode je me dis qu’ils me traque à la camera thermique sur la route :)
      Bref le lendemain matin je sort du boat et demande au premiers venu d’appeler la police suisse. Paf menotes, il m’interoge, regarde si j’ai pas de la drogue dans le fion et finisse par me faire parler à un policier qui connait bien les enr : Il confirme la coherence à minima de mes propos ils me liberent pour rendre le velo et me confie à la famille.

      En suite je part en Nouvelle Cal, je bosse 2 mois labas dans une petite boite qui fait de la geoloc gsm et iridium, je me connect à ma banque en ligne CreditMutuel, 2jours apres voila qu’un gus bien sappé vient nous poser des questions sur ce qu’on propose en moyen de comunication satelitte pour un drone de 250kg, ce a quoi je repond que c’est du domaine de l’armée et que la communication n’est pas un probleme pour eux. Bizarre

      Je pars en polynesie Fr je me met à mon compte et commence à faire quelques commande de materiel avec ma carte CB francaise lorsque Aliexpress (un truck qui pese 25Milliard d’euros) me dit que ma carte mastercard ne fonctionne plus. La banque elle de son coté me certifie que c’est Alliexpress qui annule la transaction avant la validation de la banque. Bizzare.
      Je paye donc par Western union plusieurs fois, puis une fois un plus gros montant et la le montant part vers alipay mais eux ne recoivent pas la confirmation informatique comme quoi ils ont recu 1500€ de ma part. 4 mois pour se faire rembourser…

      Donc voilà moi la surveillance de masse ca me gave au plus haut point, j’ai un BTS informatique ou j’ai eu 18/20 en informatique (je precise pour dire que l’informatique n’a rien de magique à mon niveau), ca fait pas de moi un hackeur non plus!
      Evidement les tres rares personnes à qui j’ai raconté ca pensent que la folie me gagne :)
      Pour moi c’est exactement le but de la manœuvre, il suffit de suivre intensément (pour qu’il sen rende compte) quelqu’un qui dérange pour le nuire comme il faut.
      Pour moi ils ont defendu les interets de la France car je proposais de faire du stockage par 5000metre de fond au niveau du plateau oceanique juste en face de l’espagne, pour se faire une idée on peut stocker 1000kwh par m3 sous forme d’hydrogene avec des reservoirs souples…c’est pratique pour remplir en energie un sousmarrin qui n’est pas nucleaire, de plus c’est pratique d’avoir du stockage energetique de masse quand on a pas de centrale nucleaire ou qu’en en veut plus. Il suffit de voir l’offre commercialle pour le stockage energetique il y a juste neant, rien à gagner alors pourquoi chercher? Pourtant c’est admis publiquement que le probleme vers la transistion se situe precicement là :)
      Bref un type comme moi dans la balance ca vaut strickement moins qu’un pet de mouche et s’il avait pu me mettre en HP ca aurait ete parfait!

      Voilà je pense que je peux signe LeFou, j’espere que ce temoignage fera reflechir certains sur l’etendu du systeme de surveillance actuel et puis moi ca m’a fait du bien de raconter ca 3-4ans que je garde tout pour moi!

        1. Je me cache pas, pas de vpn, FB en mode exclusivement public.
          Il faut juste bien comprendre que la loi est rude mais souvent non appliquée sauf à ceux qui genent (politique, activiste). De plus se faire pirater sa connection par dpi ou man in middle, ca devient tres rapidement ingerable et comme tout humain fini par parler de ses problemes à ses proches : notament lorsque ca commence à toucher la sphere bancaire avec ses clients ou les mails (genre tu recois un mail de adeco et quand tu reply sur le MX de adeco en france tu te voit retourner boite mail non valide…va expliquer ca à ton interlocuteur addeco :p, que le parano que tu es cherche tu travail et que tu es fiable).
          Pareil quand tu te fait debiter en double des transactions paypal sous un token different alors que tu n’a pas passer qu’une commende unique…le decouvert chez ta banque et bien reel lui…le service paypal lui halucine, met du temps à te rembourser.
          Bref c’est clair que ce que j’avance est improuvable et le plus simple est de ce faire oublier, de faire gentiment mr tout le monde et de surtout fermer sa gueule : moi ca me va! Mais entre temps je me documente lourdement sur toute les techniques de surveillance à disposition (ce pourquoi je suis arrivé ici).
          Enfin je n’ai jamais eu la moindre impression d’etre suivi avant cet episode paranoiaque :p j’avais un vps avec un vpn pour dl du films trankil pour autant je ne l’utilisait pas pour faire des recherches google pour de la doc technique conscernant ce petit projet ENR. Qu’est ce qui a fait basculer mon instinct dans la paranoia? sans doute un peu de realité et surtout l’absence de recours possible en cas de soucis réels. Ils ont paniqué en voyant que j’etais pas un type à energie libre et en consultant mes recherches googles et maintenant ils ont laché l’affaire car ils ont bien du se rendre à l’evidence que ce genre de projet à besoin du soutien de l’etat, pas à la portée d’un seul homme et surtout pas moi en l’occurence.
          Et puis c’est tres bien ca m’a fait degager de France et jamais je ne regrette un seul instant vu ce qui se trame en europe pour la decenie à venir. Je les remercie meme pour cette impultion, car c’est quand on est dans la mouise que l’on peut compter sur ces veritables amis, ya eu un gros tri en revanche.

          Mais pour mon histoire soit réelle il faut avoir acces :

          – recherches google (casser le https)
          – contenu FB avec trigger sur certains mot clé ou algo plus poussés pour chopper plus que du false flag.
          – reseaux securité SNCF (capteurs d’animaux, capteurs de neige, camera, ect) pour ralentir ou devier, trouver la trajectoire d’un fugitif.
          – web bancaire (geolocalisation par le ID du client)

          Parano or not? Pour moi c’est au minimum l’existant – l’avenir nous le dira j’ai hate de savoir que je suis pas parano :)
          L’histoire du pot de miel et de la cuillere, ou de la chatte quand on aime et que rien ne nous en empeche on recommence :p

          1. Bon, je vais perdre mon temps, car ce connard de Chapomerde va me censurer, sans aucune explication et sans raison valable. Juste parce que ma gueule lui revient pas mais bon…

            Concernant les réseau SNCF/RATP et cie, c’est Thales qui fournit le matériel de com’, c’est du tetra, le même type d’infrastructures que les réseaux de police, pompiers, services d’urgences… donc, les flics peuvent avoir accès au réseau de la SNCF pour ralentir ou stopper quelqu’un avant qu’il passe la frontière par exemple, sans que personne parmis le personnel ne soit au courant de causes exactes du ralentissement.

            Mais bon ,tout ça c’est bien dans un Jason Bourne, mais IRL, c »est plus compliqué.

            Fin bref, je vais pas me casser le cul, de toutes façons, ce message va finir à la poubelle. Juste Antoine : Je vais pas te lacher ! Je suis bien vénère là tu vois, et vas bientôt y’avoir de casse, je te préviens juste, que tu viennes pas me dire après que tu savais pas. Ce sont pas des menaces, comprends bien, c’est juste que je suis obligé d’agir de manière non conventionnelle quand toutes les voies de recours conventionnelles ne fonctionnent plus.

            Toi et ton copain Jipoune, vous allez morfler, clair.

            Maintenant, je vais être obligé de passer à la phase 2 du plan, c’est à dire te diffamer publiquement pour t’obliger à sortir la tête du trou, et crois pas que je vais mener cette campagne de gaité de coeur.

            C’est tout, zob !

        2. Ce qui est légal aujourd’hui ne le sera pas forcément demain. Si jamais une dictature advient, il serait quand même dommage qu’elle ait déjà en main tous les outils pour surveiller ses concitoyens.

          Par ailleurs, vu comment nos « démocraties » aiment manipuler les citoyens, cela fait une raison supplémentaire pour ne pas leur donner les clefs de nos esprits.

  3. Qui suit reflets, connait le sujet de la cuber-sécurité et apparemment beaucoup mieux que le candidat Macron. Ces propos publics illustre une nouvelle fois l’impréparation du candidat, prêt à raconter tout et son contraire pour être élu. Rien de solide, de vrai, plus il parle, plus il s’enfonce, et dire que c’est celui qui est en pole-position.
    Inquiétant pour notre démocratie ….

  4. Macron, ni son équipe ne connait visiblement rien au numérique. Ce qui prouve, une fois de pus, que, ce n’est pas parce qu’on est né avec un smartphone dans les mains qu’on a compris quoi que ce soit aux outils qu’on utilise.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *