Internet : les jean-foutres ont pris le pouvoir

En 1994, apparaissait le Web. L’un des premiers sites était Playboy.com. Depuis cette époque, toutes les entreprises ont ouvert une vitrine sur cette sous-partie d’Internet. Avec l’explosion du nombre d’ordinateurs interconnectés, sont apparus… les piratages. Car ce réseau a été bâti pour faire un nombre incroyable de choses, mais pas du commerce sécurisé. Tout est troué, mal installé, mal pensé. Les contraintes liées à la sécurité empêchent de faire du commerce en rond. Elles le compliquent. Du coup, tout le monde fait l’impasse sur la sécurité. En partie, ou en totalité.

D’autant que généralement, le seul perdant, c’est le client. Les hacks ultra médiatiques sont oubliés aussi vite qu’ils apparaissent. Et dans ce domaine, personne n’est épargné. Les plus gros, les plus riches, comme les plus anonymes. Tous se font avoir un jour ou l’autre.

Pas de souci, tout cela est si vite oublié…

Ceux qui ne l’oublieront pas sont généralement des anonymes, qui n’ont pas les moyens de faire payer ceux qui sont à l’origine de leurs ennuis. Des clients lambda dont les données personnelles se retrouvent sur le Net. Noms, adresse, numéro de sécurité sociale, numéro de carte bancaire, logins et mots de passe pour tel ou tel service en ligne. Factures qui s’allongent, comptes en banques qui se vident. Bienvenue sur Internet, le réseau où ceux qui transigent avec la sécurité de vos données ne seront jamais poursuivis.

Bien entendu, ces entreprises, ces ministères, blâmeront les « pirates » qui ont accédé à ces données. Ils sont maléfiques, viennent au choix de l’Est ou de Chine, mettent en péril le gentil capitalisme.

Pourtant, on semble oublier un peu vite que le défaut de protection des infrastructures est le fait desdites entreprises, desdits ministères.

Leurs économies de bouts de chandelles ont des conséquences.

Tu vas voir ta gueule à la récré si tu protèges pas les données

Le législateur Français, à une époque lointaine, lorsqu’il réagissait avec sa tête plutôt qu’en fonction de peurs infondées et sur la base d’un savant storytelling, avait compris que, s’il fallait punir le « pirate », il fallait aussi punir celui qui ne prenait pas les mesures nécessaires  pour protéger les données qui lui étaient confiées.

Ainsi, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ) en son article 34 dispose que :

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Et l’article 226-17 du Code Pénal dispose que :

« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »

Maintenant, observons la jurisprudence en France dans ce domaine. Si les condamnations pour « piratage » sont légion (mais pas aussi dures que ce que la loi permet), celles qui concernent la non protection des données personnelles sont… inexistantes.

La dernière remonte à l’époque du Minitel. De mémoire, une femme avait mis en vente sont appartement sur un serveur immobilier et ses données avaient malencontreusement « basculé » sur un serveur « rose ».

Les fuites de données personnelles sans même avoir besoin d’avoir recours à un quelconque « piratage » sont légion depuis l’arrivée d’Internet. Et pas une seule condamnation.

Le législateur  (français et européen) réfléchit actuellement à un projet obligeant les entreprises à rendre public un éventuel piratage de leurs infrastructures. Voilà qui fera une belle jambe aux personnes dont les données auront fuité…

Depuis 1998, Kitetoa.com, vite rejoint par nombre de sites, dont l’excellent blog de Korben, ou le site Zataz.com, listent inlassablement les milliers de serveurs qui, mal paramétrés, laissent fuiter les données.

Que l’on se comprenne bien, pour ce qui est de Kitetoa.com, il ne s’agit pas d’expliquer des piratages, des moyens illégaux pour accéder à ces données. L’utilisation d’un simple navigateur, sans aucune identification sur le serveur suffit.

Bilan des courses ? Rien.

Avec un peu d’imagination, on comprend ce que de vrais pirates pourraient faire.

Et de tout ça, de toutes ces informations rendues publiques…, qu’en est-il ressorti ?

Rien.

La CNIL ne s’est jamais appropriée un seul de ces dossiers. Elle n’en a jamais transmis un seul au procureur.

Et les procureurs, justement… Aucun ne s’est jamais saisi de ces affaires, pourtant publiques. Imaginez un site listant des infractions, des actes pénalement répréhensibles. Donnant tous les détails. Il a des chances pour que des procureurs se réveillent et fassent en sorte que des vérifications soient menées. Dans le domaine de la non protection des données personnelles, rien.

Reflets.info vient de démontrer en quelques lignes que l’ensemble de la loi Hadopi est boguée et qu’il importe de tout revoir. Le problème n’est pas récent, il avait été souligné par des parlementaires pendant les débats, par exemple sous forme de questions au ministre de la culture, des questions dont certaines sont encore sans réponse. La Haute Autorité consciente du problème, s’est montrée très réceptive aux problématiques de protection des données personnelles qui refont aujourd’hui surface. Pour autant, très probablement, les avocats ont désormais en main de quoi faire annuler toute procédure se fondant sur ce texte (Maître Eolas ?).

Ce dernier événement dans la trop longue liste des sites troués charrie un sacré cortège de questions. Pourquoi ce texte a-t-il pu être voté par les députés et les sénateurs ? Pourquoi le sénateur, Alex Türk a-t-il voté un texte critiqué par la CNIL qu’il préside par ailleurs ? Pourquoi personne n’a écouté ceux qui savent et qui fournissaient leurs analyses gratuitement ? Pourquoi tant de questions sont-elles restées sans réponses ?

Le règne des costumes cravates

Depuis que le Net est là,  depuis plusieurs postes d’observation, je contemple l’action des commerciaux en costumes cravates de mauvaise facture vendre à prix d’or des projets troués d’avance. Je les regarde vanter les mérites de leurs entreprises, qui n’en ont aucun. Les marchands de vent qui viennent crier sur tous les toits que leurs logiciels protègent contre les « hackers », contre les failles passées, présentes et futures. Je les contemple enfumer leurs clients, mais aussi les représentants du peuple.

Parmi les hommes en costumes cravates de mauvaise facture, il y en a même qui s’arrogent le droit de jouer aux cow-boys du Net. C’était le cas de HBGary aux Etats-Unis et l’affaire a très mal fini. Rien ne dit qu’il n’y a pas en France une ou des entreprises qui pensent engranger des millions en suivant cette voie périlleuse. L’avenir le dira sans doute. Patience©.

Quoi qu’il en soit, le réseau Internet n’a pas été conçu pour faire du commerce électronique, bien au contraire. Il est tout sauf sécurisé. Allons plus loin, il est tout sauf sécurisable. C’est juste impossible. Alors vendre du stockage de données personnelles, du paiement d’impôts, de la e-administration publique, du commerce électronique, c’est simplement laisser, en toute conscience, un crime se dérouler.

J’ai coutume de dire dans des conférences qu’il ne faut pas craindre les piratages qui font la Une des journaux. Aussi incroyables soient-ils, aussi dérangeants puissent-ils paraître. Ce qu’il faut craindre, ce sont les piratages dont on n’entend jamais parler. Ils sont bien plus inquiétants. Et ils existent.

Pour ce qui est de la loi Hadopi, dire que les particuliers doivent sécuriser leur accès Internet, c’est très con. Et c’est faire preuve d’une fabuleuse mauvaise foi. Désolé de faire une comparaison avec le monde réel, mais visiblement un sénateur comme M. Türk ne doit pas comprendre autre chose.

Imaginons que l’on oblige les particuliers à prendre des mesures pour éviter que leurs voitures ne soient volées et ne servent à commettre un délit, comme une attaque à la voiture-bélier. Sans quoi ils seraient poursuivis. Ca vous paraît con ? C’est à peut près aussi con que de dire que les particuliers doivent sécuriser leurs accès.

Dire que si l’adresse IP d’un particulier est repérée en train de télécharger un film cela doit aboutir à une coupure de l’accès au Net, c’est simplement méconnaître la réalité. Avec les millions de bots qui tournent pour exploiter des Windows troués, avec les milliers de logins et mots de passe qui trainent sur le Net pour se connecter à des accès Wifi de particuliers, c’est une honte de passer une telle loi.

Tout cela a été dit lors des débats précédant le vote de la loi par ceux qui savent comment fonctionne le réseau. Personne ne les a écoutés. Depuis des années et des années, nous sommes nombreux à dire que si l’on n’attaque pas les entreprises au portefeuille, les données personnelles continueront de fuiter. En vain.

Laisser le secteur s’auto-réguler, prendre des dispositions comme PCI-DSS, c’est le laisser faire n’importe quoi (voir Sony et Hartland par exemple). C’est à peu près aussi stupide que d’attendre des financiers qu’ils arrêtent, sans aucune pression extérieure, de créer des crises monumentales.

Les seuls qui pourraient faire quelque chose, les procureurs, la CNIL, le législateur, les politiques, sont silencieux et inactifs. Il y a bien quelques écrans de fumée déclenchés de temps à autre. Sept minutes d’amende pour Google par exemple. Mais pour TMG, combien ? Pour ceux qui ont monté l’usine à gaz qu’est la loi Hadopi, combien de minutes d’amende ?

 

 

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).


10 thoughts on “Internet : les jean-foutres ont pris le pouvoir”

  1. Il est triste de voir que ce constat est très juste.
    Btw Bozoote la clown a encore frappée: http://www.lefigaro.fr/flash-actu/2011/05/16/97001-20110516FILWWW00467-une-deputee-s-attaque-aux-anonymous.php
    lol©: http://www.assemblee-nationale.fr/13/propositions/pion3412.asp

    Un jour je ferai bien moi aussi un retour d’expérience sur mes aventures virtuelles, mais je crois pas que ça plairait à beaucoup de monde ;)

    Et comme c’est mon premier commentaire sur Reflets:
    Bravo pour cette formule et bonne continuation à vous.

  2. Très bon article qui met bien en évidence l’absurdité des lois prises par le législateur dans ce domaine.
    On ne voit pas assez ce genre d’analyse chez les journalistes de la presse quotidienne généraliste …

    Merci à vous pour vos « investigations » et vos analyses toujours très pertinentes! ;)

  3. « la voiture bélier » elle est volée, elle défonce une vitrine, des produits sont volé…

    pour la voiture Mr Machin mettra une alarme, une meilleur serrure a sont garage d’ailleurs son assurance lui « impose » presque sinon moins bien remboursé ou assurance plus cher…

    le magasin, pareil pose de bollards (bite anti bélier), vitrines renforcés, alarme, ou/et assurance plus cher…

    un jouet tue un enfant on renforce la législation sur la résistance des jouets (après accident toujours)…

    mais internet ça ne se tient pas, ce n’est pas une voiture, un jouet,… ce n’est pas physique !

    quand on fournis internet à Mme Michu, on lui vend un service, un service international, ou les données qui transitent, ce qu’elle consulte (vie privée), ce quelle fournie (données personnelles) s’échangent, se monnayent, se volent…

    quel est le risque pour les sociétés (FAI, hébergeurs, sites web,…) en cas de vol de ces données ? que ca profite a un concurrent ? oh mer#e ! que ca lèse un utilisateur/client ? aucune condamnation !

    ça va peut être changer avec certaines grosses affaires (sony), ou pas. vu que, comme vous le dites, la cnil, les procureurs… ca ne semble intéresser personne !

    même si on en parle dans les journaux, la sécurité informatique ne tue pas encore des bébés étouffés avec l’œil mal cousu d’un ours en peluche

    Merci pour ce site et ces articles

  4. Le problème d’un internet mal fichu, voire dangereux est évident mais il faut le mettre en comparaison avec le service qu’il rend en échange de ce risque.
    Comparaison : a t’on créé la voiture pour emmener les habitants d’ile de france jusqu’à leur bureau ?
    Lorsque que l’on a créé la voiture, on s’est bien rendu compte qu’avec cet outil les gens se tuaient ou se mutilaient à tour de bras mais on n’a pas interdit son expansion pour autant. On aurait pu interdire les moteurs qui roulent à + de 50 kmh, ou de mettre ses enfants à l’intérieur, on ne l’a pas fait non plus.
    Globalement le bénéfice de son usage est bien supérieur aux pertes.
    Idem pour l’électricité…
    Bien entendu le gouvernement doit agir, mais il doit surtout aider les gens à comprendre internet et à s’en servir en prenant conscience des risques. On ne peut pas revenir en arrière.
    Il n’y a pas d’autres solution que l’éducation des gens

  5. Profitons en au passage pour dire que la conception d’Internet qui est un tas d’emplâtres avec une gestion à la petite semaine qui vaut celle de Windows. C’est la méthode à l’ « américaine » – dite « pragmatique » – qui consiste à traiter chaque problème unitairement sans jamais chercher à avoir une vision d’ensemble. Autrement dit, je suis au milieu du tunnel, je n’ai pas de lampe de poche et j’avance à tâtons.

    Sur les aspects de sécurité, la CNIL a toujours été d’une passivité extrême, certes. Mais il ne faut pas oublier la presse qui dans son ensemble a toujours adopté une posture de fascination face à la nouveauté en se posant rarement de questions. Il suffit de voir comment les annonces d’Apple sont relayées – gratuitement- dans les journaux.
    Ainsi le flicage de Google, de nombreux logiciels, de facebook , des portables et même des cartes de crédit a pu prospérer sans quasiment de contre pouvoir. Et ce genre de fichage est beaucoup plus dangereux pour nos libertés individuelles que ce que peut faire la police.

    Il est loin le temps où on découvrait avec stupeur que France Telecom avait mis une puce dans les premiers minitel qui contenait un … simple identificateur de l’appareil. A l’époque la presse s’en était fortement émue.

    Enfin, outre la presse, il y a une responsabilité des utilisateurs. Ce n’est pas bien compliqué à comprendre que si on fournit des données personnelles , même sur des sites soi-disant sécurisés , elles se retrouveront publiques inexorablement en vertu du principe intangible selon lequel ce qui est possible techniquement est inéluctable.

    On peut l’ignorer, mais alors il ne faut pas pleurnicher quand on découvre que Facebook – qui est une entreprise privée qui doit bien vivre de quelque chose – constitue des profils personnels?.

  6. Un constat saisissant me vient à l’esprit. En France, les lois et institutions censées impressionner les « pirates » (soit tout le monde de mon petit cousin à ma grand mère) n’ont eu pour résultat que de développer une communauté hyper active et solidaire qui se lève contre ces injustices. En Belgique, rien de tout cela: ni loi anti-machin, ni communauté de libertaliens. Fascinant dirait Sheldon.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *