Journal d'investigation en ligne et d'information‑hacking
par Jef

L'écumeur des cybermers et le parquet flottant

Dans le cadre d'une enquête sur de fausses alertes à la bombe reçues par des lycées parisiens, les amis du petit déjeuner ont rendu lundi 8 février, une amicale visite à un lycéen. Ils l'ont placé en garde à vue et ont, semble t-il, saisi ses armes de destruction massive son matériel informatique. France Info nous apprenait le lendemain que « c'était l'adresse IP de son ordinateur » (sic) qui avait permis aux cyberlimiers de l'OCLCTIC de remonter la piste du « jeune hacker (sic et resic) ».

There is this thing called Internet
There is this thing called Internet
Dans le cadre d'une enquête sur de fausses alertes à la bombe reçues par des lycées parisiens, les amis du petit déjeuner ont rendu lundi 8 février, une amicale visite à un lycéen. Ils l'ont placé en garde à vue et ont, semble t-il, saisi ses armes de destruction massive son matériel informatique. France Info nous apprenait le lendemain que « c'était l'adresse IP de son ordinateur » (sic) qui avait permis aux cyberlimiers de l'OCLCTIC de remonter la piste du « jeune hacker (sic et resic) ». Ce dernier, « connu de la justice dijonnaise pour des faits de piratage informatique » - « selon une source policière » parce que sinon ça fait pas sérieux - « aurait offert son savoir-faire à des complices pour appeler les lycées parisiens de manière anonyme, grâce à des logiciels cryptés utilisant des serveurs distants à l'étranger (sic, resic et reresic) ». Bref, tout ça sentait bon le grand n'importe quoi, et il aura fallu attendre deux analyses un peu plus calmes du [Monde](http://www.lemonde.fr/pixels/article/2016/02/10/alerte-a-la-bombe-dans-les-lycees-un-jeune-homme-presente-a-un-juge48626624408996.html) puis de Numerama pour y voir un peu plus clair.

Le parquet, pied au plancher, avait requis la détention provisoire et la mise en examen du tipiakeur pour « complicité de menaces de destruction dangereuses pour les personnes », « complicité de menaces de mort », « complicité de fausse alerte ». Quel forfait avait donc commis notre jeune flibustier, de qui s'était-il fait le complice et quelle était la nature de cette complicité ? Il était l'opérateur de serveurs de messagerie instantanée XMPP ouverts. Par malchance, c'est sur ces derniers que « l'Evacuation Squad », le groupe de débiles apparemment à l'origine des fausses alertes à la bombe, avait jeté son dévolu pour ses communications. Les passerelles XMPP permettent une interconnexion à toute une ribambelle de services tiers, dont Twitter. En l'occurrence, ce sont des tweets d'Evacuation Squad, en relation avec les alertes, qui auraient transité par le serveur XMPP de notre infortuné gaillard. Voilà donc comment l'adresse IP du serveur du jeune homme est apparue sur les radars de la cybermaréchaussée, voici tout le lien qui le rattache à cette affaire. L'accusation ne tient pas deux minutes, puisque cela reviendrait à rendre toute personne fournissant un service en ligne potentiellement complice de tout et de n'importe quoi. Cela n'a pas échappé au juge qui a choisi de ne pas suivre les réquisitions du parquet. Fin de l'histoire, tout rentre dans l'ordre, ils vécurent heureux et eurent plein de serveurs XMPP.

Ce serait aller un peu vite en besogne, et oublier un chef d'accusation supplémentaire (nous avons affaire à un dangereux pirate, ne l'oublions pas), pour lequel le juge a décidé de suivre le parquet : le « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie ». D'après Le Monde, l'ordinateur personnel de notre fripouille était chiffré, et il aurait refusé de révéler aux enquêteurs la clé idoine pendant sa garde à vue. Notre méchant brigand n'est donc complice de rien, mais l'article 434-15-2 du code pénal semble suffisant pour le poursuivre quand même. Cet article, équivalent légal du coup de clé à molette sur le coin du pif, punit le refus de remettre les clés secrètes « _d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit _ ». Passons sur la bizarrerie logique qui autorise le gardé à vue à se taire, mais qui l'oblige à remettre ses clés de chiffrement. Notre têtu malandrin risque, pour salaire de son opiniâtreté, jusqu'à cinq ans de prison et une prune de 75 000 €. Une broutille.

Security - XKCD - Creative Commons Attribution-Non Commercial 2.5 License

S'il s'agit bien, comme l'indique Le Monde, de l'ordinateur personnel du jeune pirate, le rapport avec la choucroute est pour le moins distendu. Chose que n'a pas manqué de relever Numerama, qui nous rappelle au passage que « nul ne [peut] être contraint de fournir des éléments de sa propre inculpation ». La seconde possibilité serait qu'il s'agisse des clés utilisées pour chiffrer les connexions d'Evacuation Squad aux serveurs XMPP de notre boucanier numérique. Mais, d'une part, pour que ces clés aient un quelconque intérêt il aurait fallu que les communications aient été interceptées au préalable. D'autre part, ces serveurs semblent configurés pour l'échange de clés Diffie-Hellman qui permettent aux connexions TLS d'acquérir la propriété de forward secrecy. Lorsque des serveurs sont paramétrés de cette façon - ce qui est une bonne pratique - chaque nouvelle connexion utilise une clé de chiffrement éphémère, qui est détruite lorsque la connexion prend fin. Le jeune forban ayant l'air un peu tatillon sur les questions de vie privée, il paraît donc douteux qu'il ait bidouillé son serveur pour enregistrer ces clés. Ne les ayant pas en main, on voit bien mal comment il pourrait les remettre. La dernière possibilité, serait que ce soit la clé privée des serveurs XMPP qui ait été visée. Mais lorsque le protocole d'échange de clés Diffie-Hellman est utilisé, cette clé secrète ne sert en pratique qu'à authentifier le serveur, pas du tout au chiffrement. Elle autoriserait seulement les enquêteurs à intercepter les échanges futurs - via des attaques MiTM - pas les communications passées. Dans tous les cas de figure, la supposée entrave à la justice s'accommode fort mal de la réalité technique.

Au delà des considérations techniques ou juridiques (et des emmerdements bien réels causés par ces fausses alertes), cette histoire soulève évidemment des questions d'éthique. Tout d'abord, exercer des pressions sur les petits acteurs qui fournissent des services en dehors des grandes « plateformes », c'est faire le jeu de la centralisation de ces dernières, qui ne sont pas forcément en odeur de sainteté au niveau des données personnelles ou de la surveillance. Il ne faudra pas non plus venir pleurnicher sur la « souveraineté » perdue. Mais surtout, les technologies respectueuses de la vie privée ne peuvent — par définition — avoir la protection sélective. Les plus efficaces d'entre elles sont conçues pour que les opérateurs et autres administrateurs n'aient jamais accès aux clés. Est-il acceptable que le fournisseur d'un service protecteur de la vie privée soit inquiété pour le simple fait de proposer un tel service ? Notre choix en tant que société est plutôt binaire. Nous pouvons encourager le développement de ces technologies. Dans ce cas, nous arrêtons la schizophrénie et nous intégrons qu'elles puissent être marginalement utilisées par des personnes peu scrupuleuses, aux enquêteurs de s'adapter. Ou alors, nous faisons le deuil de notre vie privée, nous nous privons d'un bien collectif et social essentiel, et nous acceptons de vivre dans une société de transparence asymétrique dans laquelle le secret et la sécurité sont l'apanage des puissants ou des criminels.

En attendant d'avoir fait ce choix, on lui souhaite bon vent, à notre écumeur des cybermers.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée