Attentats US: la fin des libertés sur Internet ?

 

Le Plan Bush sur la Cybercriminalité aura du mal à démarrer

Un IPSec plus livresque que réel, un Secure BGP trop coûteux pour être adopté, un DNS sécurisé assez complexe pour décourager les premières bonnes intentions, telles sont les trois plaie d’Internet estiment les agents fédéraux US.

Notre confrère Network World fait le point sur chacun de ces protocoles, explique dans les grandes lignes pourquoi le « plan Bush » sur la cybersécurité aura du mal à démarrer.

C’est à la fois un problème d’argent –car certaines mises à niveau exigent un remplacement pur et simple des équipements de commutation-, de conviction (pourquoi s’équiper alors que tel ou tel confrère opérateur n’a pas encore mis son infrastructure à niveau ?), de coût d’exploitation et d’administration lié à une surcharge pondérale des échange, ainsi qu’une question de complexité : le déploiement d’IPSec, par exemple, concerne aussi bien l’usager en bout de chaîne que l’administrateur.

Entre ces deux profils, il existe parfois un abîme d’incompréhension, un océan de différences culturelles.

Le problème se résume donc ainsi : Après des années d’insouciante exploitation et d’explosion démographique, Internet doit se « calmer » à grand coup de normes en ampoules et protocoles en gélules.

Il est amusant de noter que l’on fête peu ou prou la mort clinique d’une autre école, qui, pour sa part, avait fait passer la norme et la sécurité protocolaire avant même toute idée d’exploitation généralisée.

Cela s’appelait comment, ce « machin » là… X 400 ou 500... OSItruc… un bidule qui utilisait du binaire abstrus au lieu de chaînes Ascii compréhensibles… Ca va me revenir… attendez !

Source: Réseaux & telecoms (11/10/2002)

 

Internet en «liberté surveillée»

L'association Reporters sans frontières publie un rapport alarmant sur le contrôle de la Toile par les Etats depuis le 11 septembre, sous prétexte de lutte antiterroriste.

Jusqu'alors, on parlait surtout de cybercriminalité à propos des pédophiles, des photos ou des films mettant en scène des mineurs et qui pouvaient s'échanger sur l'Internet, et du nécessaire contrôle, selon les services de police, à exercer sur ces échanges illégaux. Depuis un an, les choses ont changé. Radicalement. Le 11 septembre a conduit, selon l'association Reporters sans frontières (RSF), qui publie un rapport alarmant, à placer Internet «en liberté surveillée».

Tous opportunistes. En somme: ce que les Etats n'arrivaient pas à faire hier à propos des pédophiles, ils l'ont fait, puissance mille, à propos des «terroristes». Qu'il s'agisse des pays «traditionnellement épinglés pour leur non-respect des droits de l'homme», comme la Chine, l'Arabie Saoudite et la Tunisie, ou qu'il s'agisse des pays occidentaux, tous, selon RSF, ont «saisi avec opportunisme le contexte de la campagne antiterroriste internationale pour renforcer leurs dispositifs policiers et législatifs d'encadrement de la Toile».

Exemple: la Chine a fait fermer 14.000 cafés Internet et fait condamner un cyberdissident à onze ans de prison, les Etats-Unis ont mis en place chez de nombreux fournisseurs d'accès un logiciel d'écoute électronique baptisé «Carnivore», pour enregistrer toutes les données échangées par les utilisateurs. Dans leur meilleur rôle, celui de cow-boy du monde, les Etats-Unis se sont également, souligne RSF, «arrogés le droit de poursuivre les pirates de l'Internet, qu'ils soient ou non Américains, qu'ils agissent ou non depuis les Etats-Unis».

Législation. Dans cet «état des lieux accablant» qui se pare de légalité, puisque tous ces pays ont, bien sûr, encadré ces résolutions de textes législatifs, l'Europe n'est pas en reste. Habituellement rétive à tout contrôle d'Internet, l'Union a «diamétralement changé de cap» depuis le 11 septembre 2001. Et le Parlement de voter, fin mai 2002, un texte imposant aux pays membres de légiférer rapidement. Dans quel sens? Répressif. Il s'agit «d'obliger les fournisseurs d'accès à Internet et les opérateurs de téléphonie à conserver toutes les données de communications (...) Et à en garantir le libre accès aux services de police, justice, et à certaines administrations.»

Gravement liberticides, selon Reporters sans frontières, ces lois et ces mesures prises de manière très musclée, dans le monde entier, devraient faire réfléchir les citoyens. Que diraient-ils, en effet, «si on leur annonçait qu'une loi premettant de contrôler en toute impunité le courrier qu'ils confient aux services postaux a été votée, et qu'en vertu de ce texte, les services de police peuvent à tout moment suivre leurs échanges épistolaires»? Une cyber-révolte?

Source: Libération (10/09/2002)

 

La Toile en liberté très surveillée

Il aura suffi de moins de deux mois pour effacer plusieurs années de négociations, tractations, campagnes. En France, mais aussi aux Etats-Unis, en Allemagne ou encore en Angleterre, les Parlements viennent de voter, dans la foulée des attentats du 11 septembre, des lois durcissant le contrôle sur l'Internet, sans se soucier des voix qui criaient casse-cou depuis des années.

Décrypter

En France, des amendements insérés au paquet «Loi sur sécurité quotidienne» ont été entérinés par l'Assemblée nationale mercredi (Libération d'hier). Ainsi, les fournisseurs d'accès sont désormais tenus de conserver la trace des connexions de leurs clients «jusqu'à un an», une mesure censée faciliter le travail de la police. Et les juges peuvent faire appel aux «moyens de l'Etat» (c'est-à-dire aux ordinateurs surpuissants estampillés «secret défense») pour décrypter les e-mails codés.

Aux Etats-Unis, une année de polémique autour du système d'écoute des courriers électroniques Carnivore a été effacée, vendredi dernier, par le biais de quelques lignes dans le «USA Act» signé par George Bush: le FBI pourra en effet désormais brancher cette machine-mouchard sur le réseau d'un fournisseur d'accès pour aspirer toutes les communications électroniques d'un internaute et toutes les traces de sa navigation sur le Web. Et ce sans autorisation d'un juge.

En Allemagne, même tendance: depuis plusieurs mois, les pouvoirs publics et les associations de défense des libertés individuelles s'empaillaient sur une mesure consistant à installer des «boîtes noires» directement chez les fournisseurs d'accès à l'Internet, afin de faciliter la mise sur écoute. Fin du débat: les boîtes seront posées.

Négociation

Dans tous les pays, ces mesures ont été glissées dans des ensembles plus vastes censés répondre à un besoin urgent de sécurité. Et elles ont été présentées comme ponctuelles et liées au contexte particulier postattentats. Sauf que, dans le cas de l'Internet, il n'en est rien: toutes ces mesures étaient déjà en négociation ou en gestation depuis plusieurs mois. «Dans tous les pays, à chaque fois que les Etats ont tenté de passer ces mesures, il y a eu des mobilisations», explique Meryem Marzouki, présidente de l'association Iris (Imaginons un réseau Internet solidaire). Ainsi en France, où les dispositions relatives au Net ont été tirées du projet de loi sur la société de l'information (LSI), dont le passage au Parlement est prévu en 2002. La mouture temporaire du texte - celle qui a été votée cette semaine - avait déjà fait l'objet de polémiques, et les associations comptaient obtenir des modifications importantes avant son vote. Mais apparemment, l'heure n'est plus aux débats.

Source: Libération (02/01/2002)

 

Depuis le 11 septembre, la surveillance des communications s'accentue. Inquiétant?

«Aujourd'hui, nous avons fait un grand pas en avant vers la défaite du terrorisme tout en protégeant les droits constitutionnels de tous les Américains.» En annonçant la semaine dernière les nouvelles mesures qui étendent la surveillance des réseaux de communication (le Patriot Act), George Bush a fait preuve d'un optimisme que ne partagent pas les responsables de la protection des données et des droits civils, aux Etats-Unis comme ailleurs.

Avec le Patriot Act, adopté par une très large majorité des élus américains (357 contre 66 au Parlement, 98 contre 1 au Sénat), les autorités fédérales jouissent d'une plus grande latitude dans la surveillance des communications électroniques (téléphonie mobile et Internet) ainsi que dans l'exploitation des informations ainsi récoltées. Dans ce dispositif figure l'utilisation par les enquêteurs des moyens techniques développés pour le programme Carnivore. Ce système de surveillance du courrier et autres communications électroniques mis en place par les Américains avait donné lieu à une enquête de la Commission européenne. Les enquêteurs américains pourront donc enregistrer l'activité des personnes jugées suspectes sur Internet. Les fournisseurs d'accès seront, eux, priés de rendre leur matériel compatible avec les systèmes de surveillance. AOL, EarthLink, et @Home, les grands fournisseurs d'accès américains, avaient d'ailleurs déjà révélé avoir été approchés par le FBI suite au 11 septembre afin qu'ils recherchent dans leurs réseaux des communications qui auraient pu aider à la mise en place des attaques. La surveillance généralisée du Réseau est en quelque sorte ouverte.

Ces mesures exceptionnelles votées la semaine dernière seront valables dans une période de temps précise (jusqu'en 2006). Internet n'est cependant pas inclus dans cette fenêtre temporelle. Les promoteurs de ces mesures aux Etats-Unis ont mis en avant le fait que les terroristes qui ont perpétré les attentats du 11 septembre avaient utilisé des méthodes de cryptage des communications et que l'administration avait par conséquent besoin de nouveaux moyens pour les traquer. Un argument mis à mal par les défenseurs des droits civils qui jugent peu probable qu'une surveillance plus accrue ait pu éviter les attentats. Le danger, selon eux, est que cet élargissement du pouvoir des différentes administrations aboutisse à la récolte d'informations périphériques à l'enquête sur les attentats. «Dans les heures qui ont suivi les attentats, on a été capable de remonter tout le réseau des terroristes, rappelle Jean-Philippe Walter, suppléant du préposé à la protection des données de la Confédération. C'est la preuve que les informations étaient bien en possession des responsables américains mais qu'il y a eu des manquements dans l'utilisation de ce matériel.»

Le risque introduit par ce type de mesures est celui d'un déséquilibre, précise Jean-Philippe Walter: que la lutte nécessaire contre le terrorisme nuise à la défense des droits fondamentaux de la personne et menace à terme la démocratie. D'où la nécessité d'introduire des garde-fous, selon l'homme de droit. «La mise en réseau des informations est de plus en plus pratiquée, avance Jean-Phlippe Walter. Il faut des mesures pour protéger les citoyens. Donner par exemple aux gens la possibilité de communiquer anonymement.» Il est en outre possible que la surveillance va plus embêter le commun des internautes que les terroristes. Outre les méthodes de cryptage actuelles (quasiment inviolables selon les spécialistes), ces derniers ont utilisé des méthodes plus traditionnelles comme la stéganographie (cacher des messages dans des documents anodins) qui sont très difficilement interceptables même par un resserrement des mailles du filet.

Ces mesures législatives sont plébiscitées tant par les politiques que les citoyens. Et si elles étaient réellement utiles? «Notre position est qu'avant d'introduire de nouvelles mesures il soit démontré que l'arsenal législatif existant est insuffisant, insiste le suppléant. En Suisse, nous jugeons qu'il est suffisant.» Autre point critique, dit Jean-Philippe Walter: le délai pendant lequel ces mesures exceptionnelles seront valables est trop long. «Après une période de deux ou trois ans, il est bon d'ouvrir un cycle d'évaluation pour déterminer l'efficacité des décisions», explique-t-il.

Dans la suite des Américains, la France vient d'adopter des mesures plus contraignantes. En Allemagne a lieu un débat similaire. Ce mouvement général atteindra-t-il la Suisse? «Le risque existe, répond Jean-Philippe Walter. Des discussions ont lieu au sein de l'administration et dans la commission sécurité du Parlement. Des motions en discussion qui vont dans le sens de l'exemple américain.»

Source: Le Temps (01/11/2001)

 

Sauver Internet du Cyberterrorisme

Par Carlo REVELLI Fondateur et PDG de Cybion ; auteur de "Intelligence stratégique sur Internet" (Dunod).

A la suite des attentats du 11 septembre 2001, la première réaction instinctive de l'opinion publique fut de fortement critiquer l'inefficacité des services secrets, notamment américains, incapables de n'avoir rien vu venir malgré les dispositifs colossaux mis en oeuvre pour l'écoute et le filtrage des conversations téléphoniques, des fax et des e-mails (il suffit de penser aux sommes considérables qui ont été investies par la NSA pour financer le célèbre programme Echelon). Pourtant, il semblerait que de nombreux indices étaient présents sur Internet. Et c'est d'ailleurs pour cette raison que certains agents du FBI continuent à explorer les moindres recoins du web, à la recherche des traces laissées par les auteurs des attentats américains.

Cependant, la méthode d'investigation qui est appliquée est extrêmement difficile à exécuter, souvent improductive et probablement inadaptée aux dangers liés au type de "guerre numérique" qui se profile.

En effet, une telle méthode a pour but de fouiller dans les disques durs des ordinateurs qui auraient pu être utilisés par les islamistes dans des hypothétiques cybercafés ou, plus fréquemment, d'analyser les millions de courriers électroniques qui transitent par tel ou tel fournisseur d'accès à Internet. Des logiciels comme "Carnivore" sont souvent déployés pour assurer la surveillance et le filtrage des transmissions sur Internet.

Cette démarche est efficace uniquement dans des cas bien précis, notamment lorsqu'on dispose d'indices suffisamment fiables permettant de savoir que tel ordinateur de tel cybercafé a été utilisé ou que tel fournisseur d'accès a été effectivement appelé. Mais même quand ces éléments sont disponibles, les messages interceptés sont souvent cryptés (PGP est un des logiciels les plus utilisés) et donc presque impossibles à déchiffrer. Pire, les messages sont parfois cachés et incrustés derrière des images anodines (principe de la stéganographie).

La lutte contre le cyberterrorisme ne consiste pas uniquement à identifier les coupables et à comprendre comment ils ont communiqué entre eux. Les systèmes d'écoute, d'espionnage et de contre-espionnage ont toujours existé et continueront à exister sur et en dehors d'Internet. La question n'est donc pas là. La méthode d'action choisie par les islamistes est directement inspirée par le fonctionnement même d'Internet et, pour cette raison, elle est d'autant plus redoutable.

Comme chacun sait, Internet a été créé par les militaires américains, au coeur de la guerre froide, afin de mettre en place un système de transmission sécurisé capable de résister même à une éventuelle attaque nucléaire. Ainsi, si pour une raison quelconque un maillon du réseau tombe en panne ou est détruit, les messages pourront toujours être transmis en empruntant un chemin différent via les milliers de réseaux informatiques existants. Internet est en effet un réseau constitué par des milliers, voire des millions de sous-réseaux interconnectés. C'est pour cette raison qu'il est également appelé le "réseau des réseaux". Aucun ennemi ni aucune attaque ne pourront le détruire.

Le réseau des islamistes s'est organisé autour de ce principe. Même si on arrivait à identifier et arrêter Ben Laden, le problème ne serait pas résolu pour autant. Il existe des centaines de mouvements de ce type avec des milliers de personnes immédiatement prêtes à donner leur vie pour lutter contre des injustices qui leur semblent flagrantes. C'est le principe de tout réseau déstructuré sans réelle unité centrale : éliminer un ou plusieurs maillons n'entrave en rien le fonctionnement du réseau qui continue à fonctionner normalement.

La "stratégie réseau" qui a été choisie est très efficace car elle exploite les forces des médias et d'Internet. L'esprit d'émulation "en cascade" est la seule chose que recherchent réellement les islamistes. La diffusion en mondovision des propos de Ben Laden et du porte-parole d'Al-Qaeda incitant le peuple musulman à commettre des attentats contre les intérêts américains avait été minutieusement planifiée. Mais le pire est que le relais risque d'être pris par Internet, deuxième étape de la tactique en réseau de Ben Laden.

On trouve sur la "toile" de plus en plus de sites mettant en ouvre des stratégies de haine et de destruction. Ils ne sont pas tous le fait d'islamistes. Des "occidentaux", soi-disant civilisés, sont parfois aussi dangereux. A titre d'exemple, sous la bannière des "hackers contre le terrorisme", un groupe de pirates se serait attaqué à plusieurs sites web du Moyen-Orient dont la banque Al-Shamal Islamic Bank du Soudan, peut-être liée aux réseaux de financement de Ben Laden. Le même groupuscule vient de lancer un centre d'entraînement virtuel ("the electronic equivalent to terrorist training camps").

Pour cette raison, le combat qui doit être mené sur Internet n'est probablement pas un combat de "cyberflics" à l'affût de messages cachés au sein de millions de données stockées par les fournisseurs d'accès. A force de vouloir chercher des signaux faibles, on ne se rend plus compte que le vrai danger réside dans ces nombreux sites web ou forums de discussion qui incitent (d'un côté comme de l'autre) à la haine et à la riposte aveugle. Même un enfant de 10 ans peut trouver, en utilisant un simple moteur de recherche comme Google, des informations sur la fabrication d'une bombe artisanale ou sur la manière de développer une arme chimique...!

D'autres informations, plus récentes, sont en revanche beaucoup plus difficiles à trouver même par les moteurs de recherche les plus puissants. Il faut dans cette optique utiliser les outils issus de l'intelligence artificielle avec les méthodes propres à l'intelligence économique. Cela peut donner des résultats surprenants. Et c'est à ce niveau que les forces de l'ordre devront faire le plus d'efforts.

Néanmoins, aucun logiciel (aussi intelligent soit-il) et aucun expert de la recherche d'informations ne peuvent proclamer pouvoir réussir à surveiller tous les sites web ou tous les forums de discussion qui apparaissent sur Internet. Pour l'avoir expérimenté dans le secteur privé depuis 1995, nous savons qu'une veille totalement exhaustive est impossible à ce jour sur Internet pour un certain nombre de raisons techniques.

La seule arme pour combattre une "stratégie en réseau" consiste à adopter une "offensive en réseau" et apprendre à exploiter l'intelligence collective du réseau. De la même manière que les fanatiques (fussent-ils islamistes ou occidentaux) utilisent les sites web et les forums de discussion pour déployer des stratégies de mort, chacun d'entre nous peut être un "capteur" capable d'identifier à un moment ou à un autre un site web qui pousse à la haine ou à l'attentat. Encore faudrait-il qu'il y ait un organisme habilité à recueillir et analyser de telles plaintes...

Il convient pourtant de se méfier des nombreuses "milices numériques" qui commencent à fleurir sur le web et qui proclament vouloir recueillir un maximum d'informations sur les activités d'Oussama Ben Laden pour ensuite les retransmettre aux autorités compétentes, dont le FBI. Trop souvent hélas, l'intention réelle de certains de ces "hackers" est d'exploiter l'événement uniquement à des fins publicitaires. La frontière entre ce qui peut être accepté et ce qui doit être interdit est très tenue. La position probablement la plus sage consiste à s'en tenir à la Déclaration universelle des droits de l'homme de 1948.

La liberté d'expression doit être complète et totale mais dans le respect de la morale, de l'ordre public et du bien être démocratique. A titre d'exemple, les autorités britanniques viennent de faire fermer plusieurs sites qui réclamaient des fonds pour financer la guerre sainte ou qui proposaient des formations à l'usage des armes à feu... Les récents attentats américains vont probablement nous inciter à adopter une sorte d'intelligence ou plutôt d'éthique collective pour une véritable autorégulation citoyenne d'Internet.

Source: Le Figaro (25/10/2001)

 

Faites le Net, pas la guerre !

Tandis que les sites hostiles à Ben Laden poussent comme des champignons, plusieurs initiatives voient le jour en faveur de la paix.

Dans notre précédente chronique, nous avons constaté qu’Internet était devenu l’exutoire de toutes les frustrations et de la colère de ceux qui considèrent Oussama Ben Laden comme le responsable de leurs souffrances. S’il est vrai que les lieux réservés à l’expression de cette ire sont très nombreux, les sites qui tentent de mobiliser l’opinion contre les opérations militaires anglo-américaines en Afghanistan se multiplient également sur la Toile. Des Etats-Unis au Japon, en passant par le Royaume-Uni, des réseaux se créent pour amener l’opinion publique à plus de raison. A Tokyo, des centaines de personnes ont manifesté dans les rues de la ville à l’initiative de Chance !, un groupe qui a adopté le ruban jaune comme symbole de la lutte contre la guerre, à l’instar du ruban rouge contre le sida.

Comme la plupart des mouvements en ligne, celui-ci s’appuie sur la création d’une liste de diffusion (mailing list) pour informer ses abonnés à propos des différentes opérations à mener, qu’il s’agisse de manifestations de rue ou d’envois d’e-mails - garantis sans maladie du charbon - aux autorités pour qu’elles fassent pression sur les Etats-Unis. Internet facilite la mise en place de tels réseaux sans que cela implique des coûts importants. Le courrier électronique se révèle un instrument de mobilisation extrêmement efficace, comme l’avaient déjà prouvé les organisateurs des manifestations antimondialisation à Göteborg et à Gênes. Il est probable, d’ailleurs, que les mouvements antiguerre finissent par prendre une place de plus en plus grande dans les semaines à venir, à mesure que les frappes américaines se montreront aussi meurtrières qu’inefficaces pour débusquer Ben Laden.

Faire taire les voix dissonantes ?

D’autres sites, comme l’explicite Antiwar.com (Antiguerre.com), focalisent leur activité sur l’information, tentant d’apporter un son de cloche différent de celui véhiculé par les principaux médias outre-Atlantique et dans le reste du monde pro-occidental. Créé en 1995, ce site n’est pas une invention opportuniste, mais reflète un engagement profond en faveur de la paix, avec une critique des actions américaines qui ont eu lieu au cours des dernières années.

Il est essentiel qu’Internet demeure un lieu où les partisans de l’intervention américaine et les défenseurs de la paix puissent s’exprimer. Or on peut craindre que les projets de loi concernant Internet envisagés dans de nombreux pays aboutissent, sous couvert de lutte antiterroriste, à faire taire les voix dissonantes. Il suffit de rappeler que les gouvernements britannique et américain ont été suffisamment “persuasifs” pour amener la BBC ou encore les grands réseaux américains à ne plus diffuser les images de la chaîne arabe Al Jazira, jugée trop proche de Ben Laden.

Source: Courrier International (16/10/2001)

 

"Big Brother" à l'assaut du terrorisme

Les attentats du 11 septembre auraient pu être déjoués grâce à l'informatique, un accès plus facile à certaines données et une réforme des lois sur la confidentialité, assure un fabricant de logiciels.

La société Applied Systems Intelligence (ASI), basée en Géorgie, estime que son programme KARNAC, encore à l'état de prototype, pourrait, si un accès plus facile à des millions de données lui était fourni, collecter, traiter et synthétiser assez d'informations pour permettre aux forces de l'ordre d'empêcher des actes terroristes de ce genre.

"Quels sont les ingrédients nécessaires à la fabrication d'une bombe ? Qui sont les gens qui pourraient être impliqués dans des attaques de ce genre ? Que doivent-ils faire pour les organiser ? KARNAC permet d'établir les portraits de groupes ou d'individus et à la fin pourrait conclure: quelque chose va se passer", affirme Tony Bagdonis, directeur de recherche chez ASI.

Ce programme d'intelligence artificielle qui "fonctionne comme le cerveau géant d'un super-policier" a été mis sur pieds il y a deux ans grâce à une bourse de recherche de l'Armée de l'Air américaine.

Il part du principe que des indices, insignifiants s'ils sont isolés mais cruciaux s'ils sont rassemblés, sont disponibles dans de nombreuses banques de données. Et que d'autres pourraient l'être sous peu.

"Prenez l'exemple de l'attentat d'Oklahoma City", ajoute M. Bagdonis. "De nombreuses informations étaient à portée de main, dans les ordinateurs de plusieurs administrations, mais elles n'étaient pas connectées. C'est le problème: de nombreuses agences gouvernementales n'aiment pas partager l'information. Mais notre gouvernement va sans doute regarder cela de plus près maintenant".

Selon la presse allemande Mohamed Atta, présenté comme le chef des commandos du 11 septembre, était fiché par la CIA et Zacharias Moussaoui, emprisonné pour son appartenance présumée au réseau ben Laden, était connu des services de contre-espionnage français.

Les projets ou tentatives de connecter entre eux les innombrables fichiers et bases de données existant dans les sociétés occidentales ne sont pas nouveaux, mais ils ont été limités pour l'instant par les lois protégeant la vie privée.

Il serait certes intéressant pour le FBI de pouvoir, en permanence et en temps réel, savoir qui loue des voitures ou des chambres d'hôtel, achète des produits chimiques, prend des leçons de pilotage ou renouvelle un passeport, mais cela constituerait une mise en cause drastique de libertés fondamentales, estiment des experts.

Andrew MacPherson, directeur des "Services stratégiques" de l'Institut de la sécurité des technologies de la prestigieuse université de Dartmouth, est l'un d'eux.

"Beaucoup de gens espèrent maintenant que les dirigeants du Congrès vont adopter toute une série de lois permettant aux forces de l'ordre d'avoir accès à une foule de données", estime-t-il.

"Dans un Etat policier où toute l'information est contrôlée par le gouvernement, il serait techniquement possible de surveiller de nombreuses données et d'obtenir des résultats. Mais je ne pense pas que nous en viendrons jamais là en Amérique. C'est ce qui fait la grandeur de ce pays: la possibilité pour les individus d'avoir liberté et protection contre le pouvoir de l'Etat".

En outre, ajoute-t-il, il serait relativement possible pour des terroristes aguerris de contourner ce genre de surveillance, par exemple en faisant acheter certains produits par des hommes de paille ou en s'approvisionnant au marché noir.

De plus, estiment d'autres experts, une telle inter-connectivité se heurterait à d'épineux problèmes de compatibilité entre bases de données.

Cela n'empêche pas ASI d'assurer que, si des fonds lui sont alloués et certaines barrières levées, elle est en mesure de présenter une version expérimentale de KARNAC dans les douze mois.

Source: AFP (06/10/2001)

 

La législation antiterroriste américaine pourrait limiter la liberté sur Internet

L'Anti-terrorism Act prévoit d'autoriser la surveillance, par le gouvernement, des courriers électroniques et des communications téléphoniques cellulaires des particuliers. Depuis les attentats du 11septembre, les citoyens semblent prêts à sacrifier un peu de leur vie privée pour plus de sécurité

Internet va-t-il changer de nature ? La liberté totale sur le réseau, la possibilité d'échapper à tout contrôle et toute loi, de rendre les courriers électroniques indéchiffrables, pourrait disparaître. L'administration américaine est décidée à empêcher dorénavant les terroristes de communiquer instantanément dans le monde entier dans l'anonymat et sous la protection d'une cryptographie virtuellement incassable. Le gouvernement et les parlementaires mettent la dernière main à une nouvelle législation baptisée Anti-terrorism Act.

Ce texte débattu dans les prochains jours devrait donner à la justice, à la police et aux services de renseignement des moyens technologiques accrus pour traquer les criminels, permettre le recoupement des bases de données et le contrôle des communications jugées suspectes. Le FBI demande à pouvoir surveiller les connexions à Internet, les carnets d'adresses, l'origine des courriers électroniques et le contenu des messages. Il veut aussi obtenir la possibilité d'écouter plus facilement les communications par téléphone cellulaire. La National Security Agency (NSA), l'agence gouvernementale de sécurité américaine, écoute déjà avec un système planétaire baptisé Echelon – sévèrement critiqué, notamment par le Parlement européen –, les conversations à l'étranger. La nouvelle législation donnerait l'autorisation à la NSA de surveiller les communications des citoyens américains.

Utiliser les nouveaux outils

L'utilisation du cryptage des messages diffusés sur Internet par les terroristes est depuis longtemps un danger dénoncé aux Etats-Unis par les services de renseignement. Tout au long des années 1990, le débat a porté sur la mise en place dans les logiciels de chiffrement des messages, d'une "entrée de service" uniquement utilisable par le gouvernement pour des raisons de sécurité nationale avec la clé informatique appropriée. Mais la diffusion massive et gratuite sur le Web d'outils de cryptage toujours plus puissants et sans "entrée de service" a contraint Washington à renoncer officiellement en décembre 1999 au contrôle du contenu des messages électroniques.

Depuis les attaques terroristes, les Américains sont prêts à sacrifier un peu de leur liberté et de leur vie privée pour plus de sécurité. Dans les jours qui ont suivi le 11 septembre, il a été affirmé à plusieurs reprises qu'Internet et le cryptage ont pu servir à préparer et coordonner les détournements d'avions. Quelques mois plus tôt, des journaux avaient affirmé que les réseaux d'Oussama Ben Laden utilisaient la stéganographie (des messages cachés et codés dans des photographies présentes sur certains sites) pour communiquer. Ron Dick, directeur adjoint du FBI, a confirmé l'utilisation d'Internet par les pirates de l'air. Les enquêteurs ont identifié des centaines de courriers électroniques en anglais et en arabe envoyés à l'intérieur des Etats-Unis et à l'étranger à partir d'ordinateurs personnels ou de bibliothèques publiques.

Pour le ministre de la justice des Etats-Unis, John Ashcroft, la sécurité du pays nécessite aujourd'hui l'utilisation de nouveaux outils. "Les moyens à la disposition des autorités, créés il y a des décennies, étaient conçus pour des téléphones à cadran, pas pour le courrier électronique, Internet et les systèmes de communications mobiles", a-t-il déclaré devant une commission de la Chambre des représentants.

Les groupes de défense des droits civiques s'opposent à ce que les services de sécurité puissent pénétrer dans les ordinateurs personnels et en déchiffrer le contenu sans le moindre contrôle. Ils exigent que les enquêteurs demandent au cas par cas l'autorisation d'un juge. Tout en se disant respectueux des droits de la personne, M. Ashcroft rappelle la nécessité de donner de nouvelles armes aux autorités. "Chaque jour qui passe avec le maintien de règles désuètes est un jour où les terroristes gardent l'avantage", a-t-il déclaré au Congrès. "Nous sommes en train d'envoyer des troupes sur un champ de bataille moderne avec des armes d'un autre âge", a conclu M. Ashcroft.

L'inventeur du logiciel de cryptage Pretty Good Privacy, Philip Zimmerman, n'est pas de cet avis. "Si nous installons un système de surveillance général et permanent d'Internet, cela signifie que les terroristes ont gagné et vont nous priver de notre liberté." Des propos similaires à ceux de l'Electronic Frontier Foundation (EFF), un organisme qui, depuis des années, défend Internet. "L'Anti-terrorism Act va totalement modifier l'équilibre du système judiciaire et des libertés individuelles aux Etats-Unis", affirme-t-on à l'EFF.

Mais la machine est en marche. Dimanche 30 septembre, Richard Clarke a été nommé à Washington à la tête du nouveau bureau de protection des infrastructures de communication du pays (Office of Cyberspace Security). M. Clarke était responsable de la lutte contre le terrorisme à la Maison Blanche depuis une dizaine d'années. Il a alerté à plusieurs reprises sur la menace d'un "Pearl Harbor informatique" et d'une attaque massive qui paralyserait le pays. Pour y faire face, M. Clarke veut créer un réseau de lignes "étanches" entre les services de sécurité et le gouvernement. Un "super Internet" inaccessible au commun des mortels qui permettrait d'échanger en temps réel les informations sur les hackers (pirates) et les virus sans en informer le grand public. M. Clarke compte demander et obtenir une exemption à la loi sur la liberté de l'information.

Source: Le Monde (01/10/2001)

 

Big Brother a un bon ami en Angleterre

Les attentats aux États-Unis montrent qu'une plus grande surveillance d'Internet est nécessaire pour démanteler des réseaux terroristes, a estimé vendredi le ministre britannique des Affaires étrangères Jack Straw.

Jack Straw a expliqué, sur BBC radio 4, qu'il «se rendait compte rétrospectivement combien ces gens (qui s'opposaient à un tel contrôle) étaient naïfs».

Ministre de l'Intérieur lors de la précédente législature, Jack Straw a expliqué que les services de sécurité britanniques auraient été bien plus efficaces dans la lutte contre le terrorisme s'ils avaient disposé d'un droit de regard sur Internet.

Selon lui, le gouvernement britannique aurait dû obtenir «le pouvoir de décrypter des courriels et d'autres communications codées par des moyens commerciaux» mais qu'il en a été empêché par ceux qui criaient au «gouvernement Big brother».

«La liberté civile la plus fondamentale est le droit de vivre», a commenté M. Straw avant d'ajouter que «préserver et soutenir (ce droit) doit venir avant les autres».

Source: AFP (29/09/2001)

 

La confidentialité sur Internet menacée par la lutte contre le terrorisme

Dans une lettre adressée aux membres de la commission paritaire composé de membres du Sénat et de la Chambre des représentants, Reporters sans frontières (RSF) a demandé que soit écarté d'un texte de loi un certain nombre de mesures qui, selon l'organisation, remettent en cause la liberté et la confidentialité des informations diffusées sur Internet. "L'émotion légitime provoquée par les attentats du 11 septembre ne doit pas vous conduire à revenir sur les libertés individuelles consacrées par le 1er amendement de la Constitution", a souligné Robert Ménard, secrétaire général de RSF. L'organisation a ainsi demandé la suppression d'un amendement qui permettrait aux représentants du ministère public de faire installer chez des fournisseurs d'accès à Internet des systèmes de surveillance des messageries électroniques de leurs clients. RSF craint également qu'au nom de la défense de la sécurité de l'Etat, les autorités ne rendent illégale l'utilisation de logiciels de cryptage qui permettent aux particuliers de chiffrer leurs messages électroniques.

Selon les informations recueillies par RSF, le Sénat américain a voté, le 13 septembre 2001, un texte qui permettrait au Federal Bureau of Investigation (FBI) d'installer chez des fournisseurs d'accès à Internet des systèmes permettant de surveiller la circulation des messages électroniques pendant une durée de 48 heures, sans qu'un juge ait à délivrer de mandat. Ce texte, intitulé "Combating Terrorism Act", a été adopté par le Sénat au terme d'un débat d'une demi-heure.

Lors de sa discussion au Sénat, le sénateur démocrate Patrick Leahy s'est opposé au Combating Terrorism Act au nom de la défense des libertés individuelles. "Nous allons [voter ce texte] sans auditions, sans débat", s'est indigné le sénateur après avoir souligné la gravité des changements induits par ce texte. Le 17 septembre, l'Attorney General (ministre de la Justice), John Ashcroft, a demandé que l'ensemble des mesures renforçant les pouvoirs des agents du ministère public pour lutter contre le terrorisme soient adoptées dans les meilleurs délais.

Le Combating Terrorism Act est en fait un amendement à la loi H.R. 2500 sur le budget des ministères de la Justice, des Affaires étrangères et du Commerce (Departments of Commerce, Justice and State), approuvé par la Chambre des représentants en juillet 2001. Une commission paritaire réunissant des sénateurs et des élus de la Chambre des représentants a été créée pour sélectionner les amendements à la version finale du projet de loi qui sera soumis au vote des deux chambres. Cette commission devrait soumettre le texte définitif à l'approbation des deux chambres du Congrès d'ici à la fin de la semaine ou en début de semaine prochaine.

RSF rappelle que, le 11 septembre 2001, quelques heures seulement après les attentats, des agents du FBI se sont présentés dans les locaux des fournisseurs d'accès à Internet AOL, Earthlink et Hotmail pour installer sur leur serveur le logiciel Carnivore. Ce dernier permet d'intercepter les communications électroniques de leurs clients. L'objectif de cette visite était de trouver d'éventuels indices laissés sur le réseau par les auteurs des attentats.

Par ailleurs, de nombreuses organisations américaines de défense de libertés individuelles craignent que la lutte contre le terrorisme ne conduise les autorités à interdire les technologies de cryptage des messages. La cryptologie permet aux internautes de garantir la confidentialité des informations qu'ils envoient, en chiffrant leurs courriers électroniques.

Source: RSF (19/09/2001)

 

Le Net en liberté surveillée: les Etats cherchent à durcir leur contrôle sur le réseau

Hasard du calendrier, la France va se retrouver la semaine prochaine au centre d'une polémique naissante sur le degré de surveillance électronique acceptable pour lutter contre le terrorisme. Le raout annuel des commissaires à la protection des données personnelles du monde entier se déroule à Paris et, dès lundi, une séance sur le «cybercrime et la cybersurveillance» posera l'éternelle question sur «l'équilibre entre ce que commande la sécurité et ce qu'exige le respect de notre liberté personnelle». Un débat qui a pris une tournure passionnelle aux Etats-Unis depuis l'attentat du 11 septembre et qui touche désormais l'Europe.

«Si nous acceptons des mesures antiterroristes qui limitent encore plus nos droits, ce sera une victoire pour le terrorisme», écrivait dès mardi dernier le militant libertarien Eric Raymond, anticipant des mesures gouvernementales pour faciliter l'interception des e-mails et le contrôle des internautes. L'Electronic Privacy Information Center (Epic), l'une des associations de défense des libertés en ligne les plus en pointe, a placé la semaine dernière sur la page d'accueil de son site une citation du premier juge noir à siéger à la Cour suprême, Thurgood Marshall: «Les menaces sur la liberté surviennent toujours dans des périodes d'urgence, où les droits constitutionnels semblent exagérés à supporter.»

Votes

Autant de déclarations qui sonnent encore un brin parano. Pour l'instant, les Etats-Unis ont seulement lâché la bride à «Carnivore», une machine de surveillance et d'épluchage des e-mails qui a suscité ces derniers mois une longue controverse. Le Sénat américain a voté jeudi dernier un texte permettant au FBI d'utiliser son appareil - un ordinateur qui se branche sur le réseau d'un fournisseur d'accès au réseau afin d'aspirer en masse les données - sans nécessité d'obtenir l'accord préalable d'un juge. Et, lundi, le ministre de la Justice, John Ashcroft, a promis que le gouvernement serait «attentif» à la vie privée des Américains en préparant un nouveau train de lois spécifiques pour aider les enquêteurs à travailler.

Mais si les réactions sont aussi vives, c'est que le respect de la vie privée en ligne est encore fragile. La plupart des textes de loi français, européens et américains sur le sujet sont à peine votés ou en passe de l'être. Et tous sont le résultat d'un équilibre précaire entre exigence des services de police et respect des libertés. «Ce qui s'est passé va créer un choc qui va changer le rapport de force», estime Marco Cappato, député européen italien et rapporteur d'un projet de directive sur les données personnelles. Bien plus qu'une réduction temporaire des libertés, les défenseurs de la vie privée craignent ainsi l'inscription de telles limitations dans la loi.

Manne

Car, jusque-là, les associations et certains élus parvenaient à contenir les velléités des services de police et de justice, attirés par la masse d'information transitant via les réseaux, une manne bien plus intéressante pour les enquêteurs que de simples écoutes téléphoniques. Un projet de directive européenne est en ce moment même l'objet d'un tel conflit: le groupe de travail des ministres de l'Intérieur et de la Justice réclame la conservation de toutes les données de connexion des internautes pendant au moins un an. Le Parlement européen, jusque-là, s'y opposait de façon assez massive. «Il y a un risque que les députés changent d'avis», dit Cappato.

Autre sujet remis à l'ordre du jour: la cryptographie, ces logiciels capables de chiffrer tout message électronique de façon à le rendre illisible aux regards indiscrets. A l'origine réservée aux militaires et aux diplomates, son utilisation a été ouverte au grand public ces dix dernières années, sous la poussée conjointe des défenseurs des militants désireux d'évincer Big Brother et des entreprises voulant commercer tranquillement via les réseaux. Une libéralisation obtenue vent debout contre les représentants des services secrets ou de la police, comme le général Desvignes, ex-patron des services de cryptographie du Premier ministre français, qui la dépeint comme une «abdication» qui «sonne sans doute le glas du contrôle démocratique de notre société».

«Trappe»

Les déclarations du patron du FBI, Louis Freeh, évoquant en mars dernier l'utilisation de tels outils par les terroristes islamistes, ont frappé les esprits et la crypto est de nouveau présentée comme dangereuse pour la sécurité nationale. Le sénateur républicain Judd Greg a ainsi réclamé la semaine dernière que tous les logiciels de crypto soient désormais munis d'une «backdoor» (une trappe) accessible aux forces de l'ordre. Sans suite, pour l'instant. En France, la situation est aussi incertaine: la cryptographie n'est pas encore libéralisée et ne devrait l'être définitivement qu'en 2002, à l'occasion de la loi sur la société de l'information. «Avant cet attentat, l'Europe était une institution qui aurait pu garantir un niveau minimal de droit à la vie privée, dit Marco Cappato. Nous réclamions des garanties sur la coopération judiciaire et policière entre les Etats de l'Union. Notre position va s'affaiblir.».

Source: Libération (19/09/2001)

 

Lutte antiterroriste et cryptographie : l'Europe au pied du mur

Depuis les événements du 11 septembre, la défense des libertés individuelles n'est plus une priorité. Après les États-Unis, qui envisagent de limiter le recours aux logiciels de cryptographie, les pays de l'Union européenne devront sans doute s'aligner.

« Il est évident que le débat sur la privacy ne sera plus le même. Après ce qui s'est passé, le choc est tel que les rapports entre la protection des données du citoyen et l'État vont être remis en cause. »

Ainsi s'exprime le député européen Marco Cappato, un Italien du Parti radical (gauche). Membre de la Commission des libertés et des droits du citoyen au Parlement européen (PE), il pense que les événements survenus à New York et Washington mardi dernier vont sérieusement changer la donne en matière de confidentialité du citoyen dans les réseaux informatiques. Les récents appels formulés au Congrès américain pour encadrer plus sévèrement les logiciels de cryptographie sont un signe de cette évolution (voir notre actualité du 17/08/2001), souligne le député.

« Il me paraît certain que ce type de revendications sera formulé avec insistance en Europe », poursuit Marco Cappato dans un entretien avec ZDNet France. « L'opinion publique a changé de perspective, et si nous ne sommes pas en mesure [les députés, Ndlr] de proposer d'autres solutions, il y aura forcément des conséquences. Les intérêts qui militaient pour un renforcement du contrôle de l'État sur la vie privée ont toujours existé. Aujourd'hui [ce lobbying] va rencontrer moins de résistances. »

Les libertés individuelles passent au second plan

Cappato est l'auteur d'un récent rapport donnant l'avis du Parlement sur un projet de directive intitulé "protection des données et vie privée dans les communications électroniques". C'est à la lumière de ce travail que, le 6 septembre, le Parlement a voté à une large majorité une "recommandation" destinée au Conseil des 15. Celle-ci parlait alors « d'encourager la recherche européenne dans les techniques de protection et de prévention, telles que le cryptage, afin que les usagers soient plus à même de se protéger ». Elle stipulait également que « nul ne peut être contraint de se mettre en cause en révélant des codes ou des programmes de cryptage ».

« Disons que s'il y avait un espoir que l'Union européenne puisse un jour imposer un minimum de règles communes aux États nationaux, ce processus risque aujourd'hui de s'interrompre », avance, pessimiste, le député italien.

Le Conseil européen, à l'initiative de la présidence belge, réunira le 20 septembre les États membres pour élaborer un plan commun de « lutte antiterroriste ». La Commission doit apporter sa contribution dès aujourd'hui.

Des Américains prêts à quelques sacrifices

Mais si certaines options peuvent dépendre du climat politique, sur le plan technique la réalité reste la même. Thilo Weichert, le délégué régional adjoint pour la protection des données en Schleswig-Hosltein (l'un des 16 Länder allemands), a expliqué dans un communiqué daté du 18 septembre qu'interdire le chiffrement libre était un non-sens. Pour lui, il est difficile « d'affirmer - que l'on soit homme politique ou fonctionnaire des services de sécurité - que la protection des données empêche les enquêteurs de faire leur travail ». « De telles affirmations gratuites discréditent les services de sécurité en entraînant une certaine défiance vis-à-vis de leur travail. On joue avec le feu avec de tels arguments populistes. »

Des arguments qui portent, du moins aux États-Unis. Un récent sondage réalisé pour Newsweek (publié le 15 septembre) indique que 54 % des Américains seraient prêts à accepter des restrictions sur le cryptage de leurs messages pour aider à combattre le terrorisme*. Esther Dyson, l'ex-présidente de l'Icann, a regretté que l'on ait pas retourné la question : « Les entreprises et les individus doivent-ils avoir le droit d'utiliser la cryptographie pour que leurs communications et leurs ordinateurs ne soient pas infiltrés par des terroristes ? ».

Source: ZDNet (19/09/2001)

 

Attentats aux USA : haro sur la crypto

La liberté sur Internet va-t-elle faire les frais des attentats aux Etats-Unis ? Des associations s'inquiètent d'une certaine dérive sécuritaire dans l'univers électronique.

En ligne de mire : la cryptographie, c'est-à-dire le fait de coder des messages pour éviter que n'importe qui puisse les lire. Un sénateur américain a demandé que les outils de cryptographie utilisés sur Internet soient désormais accessibles aux agents de la NSA (National Security Agency). Il veut que ces programmes soient munis de "backdoor", c'est-à-dire littéralement une porte de derrière, qui permette de les décoder en cas de besoin afin de savoir ce qu'il y a dedans.

Aux Etats-Unis, pour beaucoup d'internautes, la cryptographie est une sorte de liberté électronique fondamentale. Un droit à la confidentialité. Peu utilisée en France à part dans certains milieux, la cryptographie est assez répandue outre-Atlantique y compris chez les particuliers.

Les pouvoirs publics veulent renforcer leur contrôle du réseau. La semaine dernière, le Congrès américain a voté un amendement pour faciliter la surveillance électronique des individus sans mandat judiciaire, téléphone et ordinateur. Au lendemain de l'attentat, le FBI a effectué des descentes chez des fournisseurs d'accès. Et puis, on reparle de Carnivore, ce programme qui permet d'espionner les échanges sur Internet. Des associations telles que Electronic Frontier Foundation s'inquiètent d'un durcissement exagéré des contrôles.

Aujourd'hui, la réalité sur Internet, c'est que si vous envoyez un courrier électronique crypté, il faudra environ une semaine aux services secrets américains pour en venir à bout. Alors, on comprend que ça les énerve…

Mais, ironie du sort, en fait il semble que les terroristes n'aient pas vraiment utilisé des techniques complexes de cryptage pour communiquer mais plutôt un procédé ancien, appelé la stéganographie, qui consiste à dissimuler des données au sein de fichiers n'ayant rien à voir comme des images ou des chansons.

Bref, comme l'écrit le magazine en ligne C-Net, "Les attaques terroristes marquent un tournant dans le débat concernant Internet et la vie privée".

Source: France-Info (19/09/2001)

 

Anonymizer.com propose ses services au FBI

Le célèbre site permettant de préserver son anonymat sur la Toile, propose ses services afin de poster des informations vers le site du FBI, dans le cadre de l´enquête sur les attentats.

Un lien placé sur la page d´accueil d´anonymizer.com, qui permet de surfer anonymement en masquant l´adresse IP de l´internaute, renvoie directement sur un site développé par le FBI et consacré à la récolte d´indices sur les attaques terroristes survenues aux États-Unis. Selon le président d´anonymizer.com, Lance Cottrell, le FBI s´est félicité de l´initiative, qui permet d´adresser anonymement des informations, aux enquêteurs. Selon les autorités.

Source: Transfert (18/09/2001

 

Attentats, crypto et parano

Quelques jours après avoir été perpétrés, les attentats contre les tours du World Trade Center sont sur le point de provoquer une remise en cause importante de la protection des libertés individuelles, en particulier de la liberté de communiquer dans la plupart des pays occidentaux.

Selon le magazine Wired, un projet de loi est sur le point d'être proposé, qui contraindrait les éditeurs de logiciels de cryptographie à inclure dans leurs programmes une porte dérobée permettant aux services de police de décrypter les messages suspects. Cette proposition, motivée par l'information selon laquelle les réseaux terroristes utiliseraient de tels logiciels pour communiquer entre eux, a déjà suscité de nombreuses réactions négatives aux Etats-Unis, où la liberté d'utiliser des moyens de cryptographie est presque considérée comme un droit constitutionnel.

Au delà de cette opposition de principe, la proposition du sénateur Gregg, est propre à remettre en cause la sécurité des transactions en ligne, dans la mesure où une porte dérobée dans un système de cryptage est un évident point de faiblesse qui peut être utilisé par des individus malintentionnés. Sans compter qu'une telle mesure est évidemment parfaitement inefficace : la plupart des logiciels de cryptage sont distribués dans le monde entier et nombre d'entre eux librement téléchargeables sur Internet, fait notamment remarquer Phil Zimmerman, l'inventeur de PGP, dans une interview qu'il a accordé à Futur-e-s

Plus largement, la question de la cryptographie risque fort de faire l'objet d'un débat passionné dans les semaines à venir en France, où le projet de loi sur la société de l'information (LSI) sera prochainement débatu. Ce projet de loi comporte un important volet sur la cryptographie, curieusement rebaptisée "cryptologie", qui en réglemente sévèrement l'usage sous plusieurs aspects. Outre les critiques virulentes déjà évoquées dans nos colonnes, de l'association IRIS contre le texte dans son ensemble, la LSI vient de se trouver de nouveaux opposants qui s'expriment dans le site LSIjolie. Oeuvre de quatre journalistes indépendants parmi lesquels le webmaster de l'excellent site d'information sur tous les aspects de sécurité sur Internet, Bugbrother LSIjolie se propose d'expliquer en quoi l'usage libre de la cryptographie est une liberté essentielle, et pourquoi la LSI en criminalise indûment l'usage. Dans ce prolongement, LSIjolie propose une pétition que l'on peut signer en ligne. On peut ne pas être toujours d'accord avec les opinions des auteurs de ce site, mais il faut leur reconnaître le mérite de vouloir faire naître un débat sur un aspect important de la vie numérique, là où règne jusqu'à présent un silence sidéral.

Et il est à craindre que dans ce contexte, l'émotion suscitée par les attentats de mardi permette aux plus répressifs de nos gouvernants, de prendre des mesures contestables, sans susciter la moindre inquiétude. Ce ne serait pas en effet le moindre des paradoxes de cette vague de terrorisme que de provoquer une paranoïa aiguë pour tout ce qui touche à l'informatique, alors qu'a priori, elle a très peu de rapport avec ce type d'activité. Déjà, mardi, on s'inquiétait d'une deuxième vague d'attentats, réalisés cette fois-ci sur Internet, qui n'est jamais venue. Le lendemain, on nous apprenait avec fracas que les terroristes utilisaient l'e-mail pour commuiquer entre eux, comme si c'était une arme terrifiante ; on ne voit pas très bien à quel titre. Le surlendemain, que le FBI installait des Carnivore chez plusieurs fournisseurs d'accès, recherchant finement des e-mails commençant par Allah et écrits en arabe...

Aujourd'hui, on apprend que certains des terroristes auraient utilisé Flight Simulator pour s'entraîner, information qui obligerait Microsoft à repousser la sortie de la prochaine version de son célèbre jeu. On se demande jusqu'où on ira dans l'hystérie collective symbolisée par un éditorial du Daily Telegraph qui finirait par tourner au canular si le sujet n'était si triste et funèbre.

Source: Homo-Numericus (17/09/2001)

 

Les attentats accentuent la crainte d'une surveillance électronique du Net

Selon certaines informations diffusées sur le web, Oussama ben Laden, montré du doigt par les enquêteurs, aurait utilisé la «stéganographie», vieille technique de communication des agents secrets, pour dissimuler des messages dans des photos ou des pages web anodines.

Rédacteur en chef de la lettre confidentielle «Intelligence Online», Guillaume d'Asquier partage les craintes des pirates sur une surveillance accrue du web d'autant plus inutile que, selon lui, «les organisations les plus aguerries à la clandestinité ne l'utilisent pas».

Les prestataires techniques sont le plus souvent domiciliés dans des pays riches où ils collaborent avec les services de sécurité, explique-t-il.

«AOL coopère pleinement aux investigations des agences de sécurités américaines fédérales et locales», a du reste déclaré le fournisseur d'accès américain peu après les attentats.

Toujours selon Guillaume d'Asquier, les services secrets connaîtraient les portes dérobées (backdoors) qui permettraient de déchiffrer les courriels cryptés, et de logiciels pour repérer les messages dissimulés. «Les organisations clandestines le savent».

Responsable des produits communication (courriel, ch@t, forums...) de Yahoo France, Jean-François Vauban reconnaît faire désormais «beaucoup plus attention» aux messages échangés publiquement sur le web, les courriels relevant de la correspondance privée et échappant à toute surveillance hors du cadre judiciaire.

«Si l'on remarque des groupes de discussion qui parlent des attentats, on suit de près ce qui se dit pour éventuellement intervenir», précise-t-il.

Le Directeur de l'École de guerre économique, Christian Harbulot abonde dans le même sens.

«Les Américains vont profiter hélas du choc émotionnel des attentats pour renforcer leur influence géoéconomique comme après la guerre du Golfe et l'Europe aura bien du mal à faire la part entre la solidarité et cette reconquête», augure-t-il.

Le chef-adjoint de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), le commissaire Daniel Bertinet, aimerait que le traumatisme des attentats permette «d'améliorer la coopération entre la police et les industriels d'Internet».

«Pour l'instant, les opérateurs n'ont aucune obligation de conserver la trace des connexions et des courriels», déplore-t-il.

Il doute cependant que les services de police français puissent installer des mouchards chez les fournisseurs d'accès comme le FBI l'aurait fait aux États-Unis avec son système baptisé «Carnivore».

«À supposer que cela fonctionne, ce n'est pas dans la culture et la mentalité française», relève-t-il.

Source: AFP (17/09/2001)

 

L'anonymat sur Internet : prochaine victime des attentats ?

A la suite des attentats, le gouvernement américain succombe à la tentation d'augmenter la surveillance électronique et d'interdire le cryptage des données. Des intentions qui alarment les défenseurs des libertés individuelles. « Rappelez-vous ce qu'était la vie avant aujourd'hui : la liberté de voyager, le droit à la vie privée. [...] Toutes ces libertés sont réduites maintenant. Nous allons essayer de les regagner. [...] Mais la victoire ne sera pas facile et nous allons devoir abandonner certaines libertés pour préserver le meilleur de ce que nous avions avant. » Ce discours du président G. W. Bush à la suite des attentats a suscité une certaine inquiétude dans les rangs des associations militant pour le respect des libertés individuelles.

La crainte s'est faite plus vive après que le sénateur Judd Gregg, du New Hampshire, a suggéré d'interdire la circulation des contenus cryptés, à moins qu'ils ne contiennent un accès réservé (backdoor) au gouvernement.

L' Electronic Frontier Fundation et l' Electronic Privacy Information Center, deux organismes qui militent pour le respect de la vie privée, s'alarment déjà et appellent, sur la page d'accueil de leur site, le gouvernement américain à trouver un juste équilibre entre un renforcement de la sécurité et le respect des droits constitutionnels des Américains.

Interviewé, Erwin Chemerinsky, professeur de droit constitutionnel de l'université de droit de Californie du Sud s'inquiète d'un durcissement des contrôles : « Je pense qu'il va y avoir un effort de fait pour donner au gouvernement des moyens supplémentaires pour accroître ses moyens de surveillance. »

Et le débat autour de Carnivore de refaire surface. Ce programme utilisé par le FBI permet de filtrer les courriers électroniques et les forums de discussion transitant par les serveurs des fournisseurs d'accès. Interrogés à ce sujet, les FAI américains sont, pour la plupart, restés muets. Seuls Microsoft et Earth Link ont répondu en précisant qu'ils n'avaient pas installé le système Carnivore mais qu'ils collaboreraient avec la justice dans l'enquête sur les attentats.

Le site de discussion traitant de thèmes comme la liberté d'expression et le respect de la vie privé Cluebot a organisé, ce week-end, plusieurs rassemblements pour débattre du sujet et appeler les internautes à se mobiliser pour faire pression sur le gouvernement américain avant qu'il ne soit trop tard.

Comble de l'ironie, il semble que les pirates aient utilisé pour communiquer la stéganographie, une technique de codage des données ancestrale et non technologique qui consiste à dissimuler des données au sein d'autres données. Par exemple, intercaler un mot toutes les 10 lignes dans un texte pour cacher un message.

Le déploiement de technologies dont font preuve les services de renseignements américains serait-il donc inadapté à la lutte antiterroriste.

Source: 01 Net (17/09/2001)

 

La vie privée des Américains menacée par les attentats de mardi

Moins d'une semaine après la tragédie, certains américains commencent à s'inquiéter des contrecoups de ces événements sur leur droit à la vie privée. Big Brother sortira-t-il gagnant?

En proie à un état de panique compréhensible, plusieurs américains acceptent présentement sans broncher des propositions gouvernementales qui auraient soulevé un tollé si elles avaient été présentées à la veille de l'attentat. Plusieurs ont par exemple cautionné les demandes d'accès à certaines données faites par le FBI auprès de fournisseurs d'accès Internet tels AOL ou Earthlink.

Des membres du Congrès américain, dont le sénateur Judd Gregg ont également fait des appels à l'élimination des logiciels de cryptage ne comportant pas de porte dérobée (backdoor) ou à une plus grande facilité pour l'obtention de permissions d'écoute électronique, toujours sans susciter de grands débats.

Pour leur part, les grands défenseurs de la vie privée sur le réseau n'ont pas mis de temps à faire connaître leur position. Le jour même de l'attentat, Eric Raymond, un nom plus que connu dans le domaine du logiciel libre, faisait circuler un courriel à ce sujet. Il y écrivait que l'acceptation de mesures anti-terrorisme qui briment les droits constitutionnels des Américains ne ferait que donner raison aux terroristes. Peu de temps après, le cofondateur de l'Electronic Frontier Foundation (EFF) établissait un parallèle un peu sombre entre les attentats de mardi dernier et les batailles pour les droits civils, en faisant remarquer que cette dernière avait fait bien plus de victimes au cours des 225 dernières années que la première...

Mise sur la sellette au cours des derniers mois, discrètement toutefois comme c'est l'habitude, à l'occasion d'une enquête de la Commission européenne sur ses agissements, la National Security Agency (NSA) devrait sortir gagnante de la suite d'événements. Celle dont c'est justement le rôle d'être à l'affût de communications pouvant laisser croire à une menace sur le pays a beau avoir failli à la tâche, du moins en apparence, bien peu lui en ont tenu rigueur jusqu'ici.

Au contraire, le sénateur républicain Richard C. Shelby, membre du comité du Congrès sur le Renseignement, a profité de l'occasion pour en exiger la modernisation. «Il faut moderniser la NSA, a-t-il déclaré au Los Angeles Times. Autrefois, elle était à la fine pointe de la technologie. Plusieurs pensent maintenant qu'elle a pris du retard.»

Voilà qui doit illuminer les matinées des dirigeants de la NSA, toujours en quête de plus gros budgets. Déjà, l'agence s'apprêtait à exiger plus de fonds pour conclure un projet de modernisation des équipements cryptographiques du gouvernement .

Source: Zdnet (17/09/2001)

 

Effet collatéral de l'antiterrorisme : brider la cryptographie

Pour remonter la filière des auteurs des attentats, des voix s'élèvent au Sénat américain pour brider les logiciels de chiffrement afin de faciliter les interceptions. Un projet de loi "antiterroriste" veut aussi intensifier la surveillance internet.

Les récentes attaques terroristes qui ont frappé les États-Unis ont poussé le Congrès à réagir immédiatement. Prenant la parole devant le sénat jeudi 13 septembre, le sénateur républicain Judd Gregg a suggéré d'imposer des restrictions sur les logiciels de cryptographie, parce que ces outils peuvent bloquer l'accès des autorités à des informations cruciales, notamment dans la lutte contre la criminalité.

Déchiffrement et surveillance, même combat

Gregg a réclamé de sévères restrictions sur les logiciels de chiffrement des données. Pour lui, c'est une question « citoyenneté », et ceux qui développent des solutions de chiffrement sont dans « l'obligation » de mettre au point des méthodes de déchiffrement dans leurs logiciels. Et pour garantir le respect de la vie privée d'innocents citoyens, l'interception de communications chiffrées, a assuré le sénateur, ne doit avoir lieu que sous le contrôle des tribunaux.

« Sur cette question, nous avons besoin d'une coopération au niveau international, et devons disposer de toute la latitude nécessaire pour obtenir les informations qui permettront de ne pas revivre ce qui s'est passé à New York et Washington », a déclaré le sénateur, selon une retranscription obtenue par le correspondant de Wired à Washington. Pour le FBI, les attaques terroristes aux États-Unis auraient pu être coordonnées grâce à des techniques de chiffrement très élaborées. Reste que peu d'éléments sont venus étayer cette thèse.

« Ne donnons pas aux terroristes une seconde victoire. »

Les défenseurs des libertés craignent qu'une telle loi entraîne une dangereuse dépendance à l'espionnage électronique. Philip Zimmermann, dont le logiciel PGP (qu'il a créé et diffusé en 1991, la marque ne lui appartenant plus depuis 1997), est le premier à regretter cet empressement. « Je suis, comme tout le monde ici, bouleversé par cette horrible tragédie », a-t-il déclaré à nos confrères du mensuel Futures, qui a publié ses propos le 16 septembre. « Mais c'est justement parce que nous sommes sous le coup d'une émotion et d'une pression incroyables que nous devons réfléchir calmement, et ne pas prendre de décisions précipitées qui pourraient affecter nos libertés pour le restant de nos vies. »

Pour Zimmermann, obliger tout logiciel de chiffrement à disposer d'une "porte dérobée" (backdoor) « reviendrait à fouiller chaque personne sur cette planète pour trouver LE type qui cache un cutter dans sa poche. Et je ne crois pas que les groupes terroristes seraient assez stupides pour utiliser des logiciels modifiés de cette façon. (...) Encore une fois, si nous, nous adoptons sans réfléchir des mesures répressives, notre société sera changée d'une façon telle que les terroristes auront vraiment gagné. Ne leur donnons pas une seconde victoire. »

Autre dossier chaud pour les libertés individuelles, l'adoption en première lecture jeudi 13 septembre par le Sénat du "Combating Terrorism Act of 2001". Cette loi devrait accroître les pouvoirs de la police en matière de surveillance des comptes internet : données de connexion et de trafic temps passé en ligne, noms des correspondants, des forums et des sites web visités), le contenu n'étant pas concerné... pour l'instant. Ainsi, tout procureur pourra, une fois le texte promulgué, faire surveiller le trafic d'un abonné grâce au déjà célèbre dispositif DCS100 (Carnivore pour les intimes), et pour des périodes de 48 heures, sans nécessiter l'accord d'un juge. Cela rejoint les dispositions sur les numéros de téléphone composés par un suspect (ne nécessitant pas de mandat d'écoute). Mais le FBI n'a jusqu'ici pas réussi à convaincre le Congrès, puisque les données de connexion sont réputées bien plus sensibles que des numéros de téléphone.

Les techniques d'espionnage en question

Les attaques terroristes du 11 septembre représentent l'un des plus retentissants échecs de toute l'Histoire en matière de renseignement. Le sénateur Gregg a reconnu que la vie privée des citoyens américains sera remise en cause, alors que les gouvernements du monde entier reformulent leur politique en matière de surveillance des personnes. « Nos méthodes de renseignement par surveillance électronique ont un potentiel immense. Elles doivent être améliorées, surtout dans le domaine du décryptage de données », poursuit-il. « En tant que nation, nous devons reconnaître que c'est une guerre que nous allons devoir mener, à l'aide de nombreux soldats, qui participeront à des opérations de contre-espionnage concernant des individus. Même si ce sont des activités dont notre société s'est toujours méfiée. »

Le gouvernement britannique a failli adopter un procédé similaire à la fin des années 1990, mais qui a échoué, s'étant heurté à une vague de protestations. On en retrouve néanmoins l'idée, dans une version allégée, avec le Regulation of Investigatory Powers Act (RIPA). Cette loi, qui doit en principe être appliquée par le gouvernement cet hiver, accordera aux autorités policières le droit d'exiger les clés de déchiffrement de données auprès de ceux qui ont procédé à leur chiffrement. En France, le projet de loi sur la société de l'information, qui doit être discuté cet automne au PArlement, contient des dispositions analogues. Il est notamment prévu que toute personne ayant accès aux moyens de déchiffrement de messages saisies lors d'une enquête (le correspondant d'un suspect, par exemple), il devra collaborer au risque d'être passible de 3 ans de prison et de 45 000 euros d'amende (peines portées à 5 ans et 75 000 si le décodage du message peut empêcher la réalisation d'un crime ou d'un délit).

Le parlement européen, dans une recommendation au Conseil datant du 6 septembre, a pourtant insisté sur le principe contraire : « nul ne peut être contraint de se mettre en cause en révélant des codes ou des programmes de cryptage ». Les députés ont aussi clarifié un point sensible évoqué dans le projet de loi américain : « il ne doit pas être établi de principe général de conservation des données ». De beaux principes, formulés avant les attentats, qui pourraient être remis en cause devant la nécessite de lutter contre le terrorisme.

Source: ZDNet (17/09/2001)

 

Surveillance accrue?

Si le renseignement humain (humint dans le jargon) n'a pas su éviter la catastrophe, verra-t-on une recrudescence des activités de surveillance électronique? C'est ce que craignent bon nombre d'observateurs.

Selon Declan McCullagh du service de nouvelles Wired, dans les heures qui ont suivi les attaques, des agents de la police fédérale (FBI) se sont présentés chez des fournisseurs d'accès et ont demandé leur collaboration pour installer des unités de surveillance du système Carnivore (voir la chronique du 18 juillet). Cette installation ne serait que temporaire, le temps pour le FBI de se brancher directement sur les grandes dorsales du réseau. Wired rapporte également que le service de courriel Web Hotmail (propriété de Microsoft) collabore avec le FBI.

Pour sa part, CNET indique que les fournisseurs d'accès AOL et Earthlink ont reçu la visite d'enquêteurs à la recherche de renseignements précis et que, dans leurs cas, il n'a pas été question d'installer des unités de Carnivore. Dans le cas de Earthlink, les enquêteurs étaient munis d'un mandat émis en vertu du Foreign Intelligence Surveillance Act (FISA - Loi sur la surveillance de renseignement étranger).

Mardi, John Perry Barlow de la Electronic Freedom Foundation (EFF) a écrit aux abonnés diverses lettres d'information de l'organisme pour leur demander d'éviter de tomber dans le piège de la surveillance accrue. À la American Civil Liberties Union (ACLU), on s'est réjoui de l'attitude prudente des dirigeants politiques qui se sont engagés à préserver les valeurs de liberté et d'ouverture. Sur certains forums d'échange, on estime que toute réaction précipitée qui diminuerait le degré de liberté et de protection de la vie privée dont jouissent les citoyens des États-Unis constituerait une victoire pour leurs ennemis.

Source: Chroniques de Cyberie (14/09/2001)