L’écumeur des cybermers et le parquet flottant

There is this thing called InternetDans le cadre d’une enquête sur de fausses alertes à la bombe reçues par des lycées parisiens, les amis du petit déjeuner ont rendu lundi 8 février, une amicale visite à un lycéen. Ils l’ont placé en garde à vue et ont, semble t-il, saisi ses armes de destruction massive son matériel informatique. France Info nous apprenait le lendemain que « c’était l’adresse IP de son ordinateur » (sic) qui avait permis aux cyberlimiers de l’OCLCTIC de remonter la piste du « jeune hacker (sic et resic) ». Ce dernier, « connu de la justice dijonnaise pour des faits de piratage informatique » – « selon une source policière » parce que sinon ça fait pas sérieux – « aurait offert son savoir-faire à des complices pour appeler les lycées parisiens de manière anonyme, grâce à des logiciels cryptés utilisant des serveurs distants à l’étranger (sic, resic et reresic) ». Bref, tout ça sentait bon le grand n’importe quoi, et il aura fallu attendre deux analyses un peu plus calmes du Monde puis de Numerama pour y voir un peu plus clair.

Le parquet, pied au plancher, avait requis la détention provisoire et la mise en examen du tipiakeur pour « complicité de menaces de destruction dangereuses pour les personnes », « complicité de menaces de mort », « complicité de fausse alerte ». Quel forfait avait donc commis notre jeune flibustier, de qui s’était-il fait le complice et quelle était la nature de cette complicité ? Il était l’opérateur de serveurs de messagerie instantanée XMPP ouverts. Par malchance, c’est sur ces derniers que « l’Evacuation Squad », le groupe de débiles apparemment à l’origine des fausses alertes à la bombe, avait jeté son dévolu pour ses communications. Les passerelles XMPP permettent une interconnexion à toute une ribambelle de services tiers, dont Twitter. En l’occurrence, ce sont des tweets d’Evacuation Squad, en relation avec les alertes, qui auraient transité par le serveur XMPP de notre infortuné gaillard. Voilà donc comment l’adresse IP du serveur du jeune homme est apparue sur les radars de la cybermaréchaussée, voici tout le lien qui le rattache à cette affaire. L’accusation ne tient pas deux minutes, puisque cela reviendrait à rendre toute personne fournissant un service en ligne potentiellement complice de tout et de n’importe quoi. Cela n’a pas échappé au juge qui a choisi de ne pas suivre les réquisitions du parquet. Fin de l’histoire, tout rentre dans l’ordre, ils vécurent heureux et eurent plein de serveurs XMPP.

Ce serait aller un peu vite en besogne, et oublier un chef d’accusation supplémentaire (nous avons affaire à un dangereux pirate, ne l’oublions pas), pour lequel le juge a décidé de suivre le parquet : le « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie ». D’après Le Monde, l’ordinateur personnel de notre fripouille était chiffré, et il aurait refusé de révéler aux enquêteurs la clé idoine pendant sa garde à vue. Notre méchant brigand n’est donc complice de rien, mais l’article 434-15-2 du code pénal semble suffisant pour le poursuivre quand même. Cet article, équivalent légal du coup de clé à molette sur le coin du pif, punit le refus de remettre les clés secrètes « d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Passons sur la bizarrerie logique qui autorise le gardé à vue à se taire, mais qui l’oblige à remettre ses clés de chiffrement. Notre têtu malandrin risque, pour salaire de son opiniâtreté, jusqu’à cinq ans de prison et une prune de 75 000 €. Une broutille.

Security - XKCD - Creative Commons Attribution-Non Commercial 2.5 License
Security – XKCD – Creative Commons Attribution-Non Commercial 2.5 License

S’il s’agit bien, comme l’indique Le Monde, de l’ordinateur personnel du jeune pirate, le rapport avec la choucroute est pour le moins distendu. Chose que n’a pas manqué de relever Numerama, qui nous rappelle au passage que « nul ne [peut] être contraint de fournir des éléments de sa propre inculpation ». La seconde possibilité serait qu’il s’agisse des clés utilisées pour chiffrer les connexions d’Evacuation Squad aux serveurs XMPP de notre boucanier numérique. Mais, d’une part, pour que ces clés aient un quelconque intérêt il aurait fallu que les communications aient été interceptées au préalable. D’autre part, ces serveurs semblent configurés pour l’échange de clés Diffie-Hellman qui permettent aux connexions TLS d’acquérir la propriété de forward secrecy. Lorsque des serveurs sont paramétrés de cette façon – ce qui est une bonne pratique – chaque nouvelle connexion utilise une clé de chiffrement éphémère, qui est détruite lorsque la connexion prend fin. Le jeune forban ayant l’air un peu tatillon sur les questions de vie privée, il paraît donc douteux qu’il ait bidouillé son serveur pour enregistrer ces clés. Ne les ayant pas en main, on voit bien mal comment il pourrait les remettre. La dernière possibilité, serait que ce soit la clé privée des serveurs XMPP qui ait été visée. Mais lorsque le protocole d’échange de clés Diffie-Hellman est utilisé, cette clé secrète ne sert en pratique qu’à authentifier le serveur, pas du tout au chiffrement. Elle autoriserait seulement les enquêteurs à intercepter les échanges futurs – via des attaques MiTM – pas les communications passées. Dans tous les cas de figure, la supposée entrave à la justice s’accommode fort mal de la réalité technique.

Au delà des considérations techniques ou juridiques (et des emmerdements bien réels causés par ces fausses alertes), cette histoire soulève évidemment des questions d’éthique. Tout d’abord, exercer des pressions sur les petits acteurs qui fournissent des services en dehors des grandes « plateformes », c’est faire le jeu de la centralisation de ces dernières, qui ne sont pas forcément en odeur de sainteté au niveau des données personnelles ou de la surveillance. Il ne faudra pas non plus venir pleurnicher sur la « souveraineté » perdue. Mais surtout, les technologies respectueuses de la vie privée ne peuvent — par définition — avoir la protection sélective. Les plus efficaces d’entre elles sont conçues pour que les opérateurs et autres administrateurs n’aient jamais accès aux clés. Est-il acceptable que le fournisseur d’un service protecteur de la vie privée soit inquiété pour le simple fait de proposer un tel service ? Notre choix en tant que société est plutôt binaire. Nous pouvons encourager le développement de ces technologies. Dans ce cas, nous arrêtons la schizophrénie et nous intégrons qu’elles puissent être marginalement utilisées par des personnes peu scrupuleuses, aux enquêteurs de s’adapter. Ou alors, nous faisons le deuil de notre vie privée, nous nous privons d’un bien collectif et social essentiel, et nous acceptons de vivre dans une société de transparence asymétrique dans laquelle le secret et la sécurité sont l’apanage des puissants ou des criminels.

En attendant d’avoir fait ce choix, on lui souhaite bon vent, à notre écumeur des cybermers.

Twitter Facebook Google Plus email


10 thoughts on “L’écumeur des cybermers et le parquet flottant”

  1. Salut,

    Très heureux que le mec ait gardé le silence. C’est le début du droit de l’accusé.

    Il est aussi intéressant de savoir que Prosody (le logiciel serveur XMPP) ne stocke pas les IP dans ses logs par défaut. C’est un problème pour le coupler avec fail2ban (astuce : https://modules.prosody.im/mod_log_auth.html) mais un atout pour le respect de la vie privée.

    Du coup, avant toute saisie, un simple requête à distance sur le serveur aurait montré que le chiffrement TLS utilisait PFS (donc pas de déchiffrement possible d’écoutes préalables) et que le serveur étant Prosody, il n’y aurait probablement pas d’IP à récupérer dans le fichier log sur le serveur… On peut donc se poser la question si la saisie du serveur était justifiée.

    D’autre part, le matos de Cazeneuve chez les FAI devrait permettre à la police de récupérer les IP connectées à son serveur XMPP. Sinon, le paravent du moyen de sécurité contre les terroristes s’effrite encore (pour ceux qui y croyaient).

    De plus, si le mec est innocent ET que la police avait été sympa, peut-être qu’il aurait pu collaborer pour récolter ces IPs.

    Dans le cas où il s’agit de récupérer les clés de chiffrement pour déchiffrer du contenu de communication, je m’interroge. Il y a t il une procédure judiciaire et technique pour mettre un abonné ADSL sous écoute ? (et quid du traitement des centaines de Go de données qui seront récoltées…)

    1. D’après nos infos, le serveur n’a pas été saisi, seulement son ordinateur personnel.

      Le serveur est hébergé à l’étranger, et Evacuation Squad opère apparemment depuis l’étranger. Donc pour récupérer les IP depuis les FAI, les enquêteurs sont coincés. Et comme son serveur XMPP ne les log pas… Il est également probable qu’ES utilise des tunnels pour masquer les IP utilisées.

      Sur la collaboration avec les enquêteurs, je suis plus que partagé. On en revient à la sempiternelle question du degré de responsabilité de l’intermédiaire technique, et aux questions d’éthique.

      Oui, il existe des procédure juridiques et techniques pour les interceptions judiciaires via les FAI, mais elles seraient ici inopérantes (trafic étranger – étranger).

  2. alors rien à voir avec l’article mais Numerama nous parle de NationBuilder, le CMS qu’utilisent tous les partis politiques pour spammer la gueule de leurs electeurs en toute efficacité, comme si c’était le renouveau de la democratie? (outil utilisé par Mélenchon donc, mais aussi Juppé, et puis tous en fait). Est-ce que chez reflets on en pense quelque chose?
    http://www.numerama.com/politique/144986-quest-ce-que-nationbuilder-le-cms-qui-veut-sauver-la-democratie.html
    sur ASI un article plus critique:
    https://www.arretsurimages.net/articles/2016-02-13/Apres-Sanders-et-Juppe-Melenchon-dans-la-chasse-aux-donnees-des-electeurs-id8477

  3. … Et puis le canular en question (un peu épicé il est vrai) m’a plutôt fait sourire, eut égard aux entités visées.

    Ah, ces bougnoules d’Internet, faut bien qu’on les mette au pas !

    1. – Alertes à la bombe dans plusieurs lycées juste après des menaces explicites de Daesh contre l’éducation.
      – Un (présumé)innocent qui va en prendre plein la gueule juste pour avoir fournir un service efficace.
      – Interventions lourdes payées par les citoyens
      – Au milieu des trolls toujours en train de rire de tout et de rien, il y en a qui le vivent très mal et risquent de tomber dans la psychose.

      Pas de quoi se marrer.

        1. C’est sûr l’expression «présumé innocent», en 2016, a pris une tonalité particulière.
          Dans les faits, on a souvent plutôt l’impression d’une «présomption de culpabilité» ! (sauf quand c’est un politicard, ou un oligarque)

  4. « Tout d’abord, exercer des pressions sur les petits acteurs qui fournissent des services en dehors des grandes « plateformes », c’est faire le jeu de la centralisation de ces dernières… »

    Au vu du nombre de poursuites particulièrement musclées contre de petits fournisseurs de services internet depuis que celui-ci est devenu grand public en France, j’ai le sentiment que c’est justement le but poursuivi par nos gouvernants.
    En même temps c’est logique, Des services Web centralisés réduisent considérablement le coût au Go du voyeurisme d’état!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *