mercredi 8 décembre 2010

Papa, il y a la DCRI qui regarde dans mon ordinateur :-(

Le journal "Le canard enchaîné" de la semaine dernière nous gratifie d'une révélation: La DCRI inspecte nos machines à distances.
L'article est bref et n'apporte que peu d'informations techniques. Selon le canard, des personnels de la DCRI demanderaient aux FAI l'adresse (IP, vraisemblablement) d'un abonné et irait faire des cyber-écoutes secrètes dans les flux de l'abonné.

Léger flou dans l'article (qu'on retrouve sur pas mal de sites de presse on-line), le mélange entre la consultation du contenu de la machine de l'abonné et la consultation de ses flux réseaux. Avec le peu d'info de l'article, je pense qu'il s'agit d'écoutes sur les flux de l'abonné et non de cyber-perquisitions du disque dur. Je crois assez peu à ces cyber-intrusions. Beaucoup trop compliqué à mettre en oeuvre, et surtout le risque de se faire détecter est sans doute trop grand en rapport des informations qui peuvent être connues.

Par contre, l'écoute des flux...
La majorité des flux sont encore en clair (HTTP, SMTP, POP, IMAP etc..). Google essaye de forcer le HTTPS, il y a des extensions firefox pour cela, mais le fait est que les gens communiquent à mon avis encore trop en clair. Anecdote, on m'a fourni une analyse tcpdump à faire, le constat est sans appel, si ce n'est google, tout est en clair. Pour cette raison également, Firesheep fait peur :-)
Le chiffré est mieux, mais n'est sans doute pas suffisant. Il y a deux ans déjà, au SSTIC, une conférence indiquait déjà que la seule connaissance des flux chiffrés permettait de retracer les réseaux sociaux de la personne visée.

Pour faire bref, si vous avez connaissance des flux d'une personne, il est en effet inutile de tenter une cyber-intrusion. Et si les FAIs fournissent un accès à ce trafic, alors headshot, comme disent les gamers.

A partir du moment ou l'infrastructure n'est pas de confiance, comment communiquer sereinement sur le réseau?

Une réponse légale? Semble difficile. Un juriste m'a confirmé qu'une écoute réseau n'a rien à voir avec la loi sur les écoutes téléphoniques. Il m'a conseillé de vérifier ce qu'en dit la LOPPSI. Cet aspect serait à creuser: un prochain post de blog?
Néanmoins, il faudrait pouvoir prouver que l'écoute à bien lieu. Et là, techniquement, j'ai du mal à imaginer comment prouver qu'un flux est mis sur écoute. Il est possible de planter des fausses URL ou des faux noms de domaines et d'attendre voir si des connexions sont faites. Est-ce toutefois une preuve recevable?

En défense active, il existe tor. Mais tor lancé de chez soi est exposé au même problème que précedemment, i.e. quelqu'un consultant les émissions/réceptions pourrait reconstruire certains volumes de connexions, à corréler avec la réception chez d'autre personne. Il faut que tor envoie des flux arbitraires d'informations afin que ses propres connexions soient noyées en volume à l'intérieur. Pour se faire, on peut se transformer en exit node ou faire tourner des services qui discutent fréquemment sur le réseau; à ce titre, je laisse des clients IRC ouverts car ils génèrent du trafic sur le réseau.
L'autre solution est d'utiliser tor depuis un cybercafé qui permet ce genre de choses, ou de trouver des spots wifi ouverts en grand.

Il y a peut-être un truc à inventer, à l'image de la plausible deniability sur le chiffrement de disque, qui serait la plausible deniability en réseau; i.e. qu'un attaquant soit incapable de prouver qu'une communication réseau ait eu lieu.

2 commentaires: