Piraté ! Décryptualité du 28 octobre 2019

Titre :
Décryptualité du 28 octobre 2019 - Piraté !
Intervenant·e·s :
Nolwenn - Nicolas - Manu - Luc
Lieu :
April - Studio d’enregistrement
Date :
28 octobre 2019
Durée :
15 min
Écouter ou télécharger le podcast

Revue de presse pour la semaine 43 de l’année 2019

Licence de la transcription :
Verbatim
Illustration :
Le comptoir du hardware, piratage - Licence Creative Commons BY-ND.

Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Se faire pirater, est-ce vraiment si grave ?

Transcription

Luc : Décryptualité.
Voix off de Nico : Le podcast qui décrypte l’actualité des libertés numériques.
Luc : Semaine 43. Salut Manu.
Manu : Salut Nico.
Nico : Salut Nolwenn.
Nolwenn : Salut Luc.
Luc : Sommaire ?
Manu : On a un joli sommaire avec des sujets un peu variés.
Nico : Siècle Digital, « Royaume-Uni : les données biométriques d’un million de personnes ont été exposées », un article de Valentin Cimino.
Manu : Ça ne touche pas tout à fait au logiciel libre, il faut bien le dire, je pense que je ne vais plus mettre ce genre d’articles, ça arrive trop souvent.
Luc : C’est dommage, c’est rigolo quand même !
Manu : Oui, ça reste rigolo, surtout qu’on a parlé de reconnaissance faciale, de données qui étaient utilisées par l’État français ou qui allaient être utilisées par l’État français et on faisait remarquer à chaque fois « attention, si ces données sont volées » et généralement les institutions nous disent : « Ne craignez rien, elles ne seront jamais volées ! »
Luc : Elles sont sécurisées !
Manu : Carrément ! Eh bien là, non, elles n’étaient pas bien sécurisées, donc il y a un million de données biométriques en Angleterre qui étaient exposées sur Internet. On ne sait pas qui en a fait quoi, en tout cas elles étaient accessibles à différents hackers et c’est gênant parce qu’on ne peut pas changer facilement ses données biométriques.
Nico : Numerama, « Un ordinateur par classe, logiciels obsolètes : l’école est-elle à la traîne en matière de numérique ? », un article de Perrine Signoret.
Manu : L’école et les moyens de l’école, on se doute bien que c’est déjà un sujet compliqué, mais, en plus, quand on commence à parler d’informatique, de logiciels et de matériel, eh bien là c’est encore plus mal barré techniquement. Il y a eu des plans qui ont été lancés par les différents gouvernements et généralement ça se révèle infructueux.
Luc : Microsoft ira bien aller faire un petit cadeau à la France ? Non ?
Manu : Oui, puisque c’était ce qui s’était passé pour leur permettre de rentrer dans le ministère de l’Éducation et ils ont des accords avec différentes branches des administrations. C’est très embêtant, mais on ne peut pas y faire grand-choses, sinon constater que ça ne marche pas.
Luc : Rappelons que l’Éducation c’est toujours un champ de bataille énorme parce que tous les éditeurs ont envie de refourguer leur camelote aux enfants pour qu’ils prennent des habitudes au plus tôt.
Nico : Sciencepost, « Voici Collapse OS, le système d’exploitation de la fin du monde ! », un article de Yohan Demeure.
Manu : C’est un super sujet qui est vraiment génial. La collapsologie qui veut dire ?
Nolwenn : C’est l’étude de l’effondrement de la société. Comment on pourrait, justement, réussir à survivre si demain tout s’arrête.
Manu : Il y a plein de manières de voir ces effondrements possibles et il y a aussi plein de manières d’essayer de les contrecarrer. D’un point de vue informatique c’est compliqué parce que si la civilisation s’écroule qu’est-ce qui reste ? Eh bien il y a des gens qui creusent ce sujet-là dans l’optique d’essayer de conserver un peu d’informatique, notamment en essayant de réutiliser des vieux microprocesseurs qui sont en très grand nombre un peu partout dans le monde, qui pourraient être utilisés pour être la base d’un système d’exploitation conçu pour eux.
Luc : Vivement la fin du monde qu’on essaye tout ça !
Nico : ZDNet France, « Justice : GNOME envoie un missile aux patent trolls », un article de Campbell Kwan.
Manu : Les patent trolls ce sont des gens qui essayent de mettre des brevets sur les idées de logiciels.
Luc : Ils le font !
Manu : Surtout aux États-Unis parce qu’en Europe ça reste interdit, mais ils le font aussi. GNOME est une fondation de logiciel libre. Ils ont été embêtés par un troll des brevets et ils ont répliqué en allant en justice pour essayer de lui créer des problèmes à leur tour. On suppose que ça devrait fonctionner parce le gars en face n’a vraiment aucune base pour se défendre.
Nico : Du coup la fondation GNOME a besoin d’argent parce que, malheureusement, ça coûte cher et il y a beaucoup de procès pour essayer de se sortir de là, donc ils ont fait une levée de fonds. Si vous voulez contribuer à aller atomiser un patent troll, eh bien n’hésitez pas, c’est le moment.

Les Echos, « Le Sénat veut faire de l’Arcep le gendarme des smartphones », un article de Raphaël Balenieri.
Manu : Là aussi ce sont des choses un peu compliquées. On connaît l’HADOPI [Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet]. On sait qu’il y a pas mal d’institutions, d’administrations qui sont là pour essayer de contrôler des fréquences, pour essayer de contrôler les médias. Là il est question de centraliser un petit peu tout ça dans une nouvelle institution, l’Arcep [Autorité de régulation des communications électroniques et des Postes], qui récupérerait différents pouvoirs à droite et à gauche et il serait question que, dans leurs pouvoirs, ils aient des choses qui leur permettent de contrôler les téléphones portables.
Luc : Les contrôler sur quels points ?
Nico : J’ai été auditionné par l’Arcep justement sur leur nouveau mandat et l’exemple c’était sur les banques et les téléphones mobiles. Aujourd’hui on est obligé d’utiliser un téléphone Android sous telle version verrouillée par les constructeurs et l’Arcep a dit : « Ce n’est pas normal. La liberté c’est aussi de mettre ce qu’on veut », donc ils veulent aussi légiférer éventuellement là-dessus.

Le Monde Informatique, « Pierre Baudracco devient co-président du CNLL », un article de Véronique Arène.
Manu : CNLL c’est une association d’éditeurs de logiciels libres.
Luc : Oui, ça fait très longtemps qu’on n’en avait pas parlé.
Manu : Oui. Là ils reviennent un petit peu sur le devant de la scène. Pierre Baudracco est quelqu’un qui a travaillé sur BlueMind, une solution de messagerie qui avait fait jaser ; il y avait eu des problématiques judiciaires. C’est intéressant de voir qu’il est sorti de tous ces problèmes par le haut. J’espère qu’on va entendre encore parler de lui dans les mois qui viennent.
Luc : Et du CNLL qui est, en gros, un syndicat d’entreprises du logiciel libre.
Nico : francetv info, « L’article à lire pour comprendre Alicem, l’application d’identité numérique par reconnaissance faciale qui fait polémique », un article de Alice Galopin.
Manu : La reconnaissance faciale, ça me plaisait bien comme sujet, on va arrêter d’en parler autant, ça n’empêche que c’est intéressant. Allez jeter un œil sur cet article-là parce qu’il y a plein de choses qui tournent sur cette nouvelle application qu’on va probablement tous devoir installer à un moment ou un autre sur nos téléphones. C’est embêtant, il y a notamment des problèmes de biométrie, de vie privée en général et puis d’accès aux institutions, aux administrations de l’État. C’est un petit gênant !
Luc : Notre sujet du jour c’est quoi ?
Nolwenn : C’est le mot de passe ça ? C’est « admin » d’admin ! Je prends le contrôle de l’émission !
Luc : Quoi ! Comment tu as trouvé ? Ce n’est pas possible ! Malheureusement le podcast est maintenant piraté par Nolwenn. On va parler piratage, c’est un sujet qui revient assez fréquemment et on peut peut-être déjà dire ce qu’est le piratage, en vrai, enfin en informatique.
Manu : Il y a la piraterie
Luc : Oui, la piraterie.
Manu : Effectivement, qui n’existe plus dans cette forme-là dans nos contextes. La piraterie c’est un autre problème.
Luc : La piraterie existe ailleurs sur terre mais pas juste à côté de chez nous.
Manu : Pas sur Internet. Le piratage c’est une manière de dire « les gens qui agressent nos systèmes avec leur informatique. »
Nico : Ça recouvre plein de choses. Ça va être les gens qui vont effectivement essayer d’aller voler les données dans un but vraiment crapuleux, se faire de l’argent derrière. Ça va être aussi toutes les nouvelles méthodes, les rançongiciels – « on a chiffré vos données et vous allez tout perdre si vous ne payez pas » –, le phishing. Ça couvre vraiment beaucoup de choses.
Luc : J’ai un souvenir lointain de Sony – à l’époque on gravait encore des CD audio, souvenez-vous, c’était il y a longtemps – qui avait mis ce qu’on appelle un rootkit dans un CD audio et avait mis des mouchards sur les ordinateurs de tous les gens qui mettaient le CD original, donc légalement acheté, dans le lecteur de leur ordinateur Windows et qui, ensuite, envoyait des informations. À l’époque j’avais lu partout que c’était, selon des définitions officielles, du piratage. Il n’y a pas que les délinquants qui sont pirates !
Nico : Ah non ! Sony était un délinquant dans ce cas-là. Il s’était fait taper dessus.
Luc : Oui, c’est vrai il n’y a pas que les malfrats ; ça ne marche pas non plus. OK ! Donc pirater en informatique c’est s’introduire sur un système quelconque où on n’est pas invité, où on n’est pas censé être ?
Nico : C’est ça, voilà.
Manu : Et dans ce sens-là, on peut tout être pirates.
Nico : On l’a tous été plus ou moins un jour !
Luc : Ah bon !
Nico : Essayer de casser le mot de passe d’un PC.
Luc : Moi je n’ai jamais fait ça !
Nico : Essayer de s’introduire sur la boîte mail du voisin !
Manu : Accéder à un site web sans y avoir été invité et y rester.
Luc : Il y a plein de sites web où tu n’es pas invité ! Quand je vais sur le site de n’importe quel journal, je suis sur leur site web et ils ne m’ont pas invité. C’est un site public.
Manu : C’est un site public justement.
Luc : C’est dans la partie qui va être privée. On a en tête une histoire de quelqu’un d’assez connu dans le milieu.
Nico : Bluetouff [1], qui avait trouvé un document de l’ANSES, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail, qui avait fait un article sur les nanotechnologies et qui avait mis en ligne un document qui était supposé être confidentiel. Il avait été récupéré par Google et des journalistes étaient tombés dessus sans forcément se rendre compte de ce qu’ils avaient dans les mains. Et l’ANSES les avait poursuivis en justice, « les grands méchants pirates, vous nous avez piqué des données ». Ça avait été un gros bordel : comment quelqu’un qui va sur Google peut se retrouver à faire du piratage involontairement ? Ça avait été le grand débat devant les juges. C’est vrai que c’est parfois un énorme bordel de savoir quelle est la limite entre ce qu’est du piratage et ce qui n’en est pas, ce qui est de la malveillance.
Luc : Là il était dans un espace où les portes étaient ouvertes.
Nico : Oui, c’est ça.
Manu : C’était l’image d’un juge qui avait été donnée : si vous laissez les portes de votre maison ouverte et que quelqu’un rentre dedans, il n’a pas le droit de rentrer dedans même s’il peut le faire.
Luc : C’est ce qu’on lui avait reproché : de savoir qu’il était dans un espace qui aurait dû être fermé et pourtant de continuer à tout explorer.
Nolwenn : Oui, si au début il ne le savait pas forcément, il y a quand même eu un moment où il s’est rendu compte que ça n’allait pas.
Luc : Oui. Il y a quelques semaines, quand je n’étais pas là, vous avez parlé des moteurs de recherche, or les moteurs de recherche c’est bien ce qu’ils font : ils vont partout où ils peuvent, ils suivent les liens et ils indexent tout ça. Et c’était le cas puisque Bluetouff avait trouvé ce lien sur Google, pourquoi lui est condamné alors que finalement il y a un machin industriel automatisé qui est là pour aller dans toute l’arborescence ? On aurait dû condamner Google aussi !
Nolwenn : Oui, mais lui c’est pratique !
Manu : Et lui il le fait de manière automatique. On suppose qu’il n’a pas des intentions derrière. Avec le pirate on va vouloir faire un exemple et montrer aux autres humains qu’il ne faut pas faire la même chose. L’exemple est important !
Luc : Ce qui veut dire que dès lors que c’est automatique ce n’est pas grave. C’est l’intention qui compte, c’est ça ?
Manu : Voilà ! Tu viens de lever le loup. Effectivement, dans le piratage on peut supposer que l’intention est importante. Les accidents ou les résultats de techniques non désirés ne seraient pas forcément considérés comme du piratage.
Luc : Quand Facebook perd des millions et des centaines de millions de données personnelles, enfin les distribue abondamment à n’importe qui…
Nico : Ça c’est de la débilité, ce n’est pas du piratage.
Manu : De l’incompétence.
Nico : De l’incompétence.
Luc : L’intention ne compte pas ?
Nico : L’intention c’était de protéger les données à la base. C’est juste qu’ils ont mal fait ce qu’il fallait.
Luc : Ils les ont filées à tout le monde.
Nico : Ils les ont filées à tout le monde. C’était plus des bourdes ou des erreurs, ce n’était pas volontaire ; en tout cas, à priori, ce n’était pas volontaire.
Luc : Je pense qu’ils n’en ont rien à foutre.
Nico : La justice tranchera mais, effectivement, ils n’en avaient rien à foutre. Le piratage c’est une vraie volonté d’aller nuire à la personne, d’aller l’escroquer, d’aller généralement lui soutirer de l’argent.
Manu : Et de profiter d’elle.
Nico : Et de profiter.
Luc : Bluetouff ne voulait que explorer le truc pour voir. Après il a publié un truc où il disait, si ma mémoire est bonne, « regardez comme ce n’est pas bien sécurisé ».
Nico : Il avait un peu merdé en garde à vue, des choses comme ça. C’est compliqué quand même comme sujet.
Manu : À priori on peut supposer que le juge va chercher quel est le profit qui en a été retiré et, potentiellement, Bluetouff en avait retiré une certaine notoriété et il s’était fait reconnaître parce qu’il avait publié sur le sujet.
Luc : C’est un petit peu ambigu puisqu’on peut considérer que ce n’est pas vraiment nuire, mais bref ! N’importe qui peut se faire pirater. Toi, Nolwenn, tu as une expérience récente avec le piratage.
Nolwenn : Oui. C’était un piratage sans vraiment être un piratage. Tout d’un coup l’adresse mail d’une utilisatrice s’est mise à envoyer plein de mails d’une adresse e-mail inconnue, mais c’était elle qui en était à l’origine. Du coup on s’est retrouvé avec le serveur mail qui a été blacklisté partout.
Manu : Il a été mis sur liste ?
Nolwenn : Sur une liste noire.
Luc : Plus personne ne pouvait parler avec lui.
Nolwenn : On ne pouvait plus communiquer avec l’extérieur. Du coup on a bloqué le compte, on a fait ce qu’il fallait. On a fini par avoir le fin mot de l’histoire. En fait, c’est une personne qui avait mis du code sur GiHub et il se trouve que dans ce code sur GitHub il y avait des mots de passe. En dix minutes, elle s’est fait « pirater », entre guillemets, tout simplement parce que les mots de passe étaient accessibles en ligne.
Luc : Du coup les pirates aussi font des moteurs de recherche comme Google et c’est automatique, donc leur intention n’est pas mauvaise puis que c’est automatique !
Manu : Effectivement ! Maintenant tu pourrais indiquer qu’ils l’ont fait de manière automatique mais l’intention derrière était bien de profiter, d’aller envoyer du spam. Ils auraient pu aussi installer des troyens, d’ailleurs c’est peut-être le cas, ils auraient pu installer des mineurs pour générer des bitcoins en profitant de la machine et ils auraient volé quoi dans ce cas-là ? De l’électricité.
Luc : C’est effectivement ce qu’on risque quand on se fait pirater. Souvent, eh bien les gens s’en foutent un petit peu. On dit « oui, sur une grosse structure comme un hôpital par exemple ». En tout cas tout le monde peut se faire pirater, mais il y a plein de gens qui s’en foutent un petit peu. Qu’est-ce qu’on risque quand on se fait pirater en tant qu’individu ? On peut avoir le rançon…
Nico : Rançongiciel.
Luc : Rançon… Je n’y arrive pas !
Nico : Ransomware.
Nolwenn : On peut se faire rançonner.
Luc : Rançonner. Si on paye pas qu’est-ce qui se passe ?
Nico : Rien en fait. C’est tout le problème. Si on ne paye pas, rien. Il y a deux types de rançons, il y a les ransomwares où, effectivement, les données vont être chiffrées sur le disque dur, donc on a tout perdu si on ne paye pas et, si on paye, on peut potentiellement récupérer ses données. Généralement on les récupère parce que les pirates ont tout intérêt à ce que ça fonctionne, donc à savoir que si on paye on les récupère, plutôt que de savoir que si on paye on ne récupère rien. Mais tout le monde dit de ne surtout pas payer parce que ça incite ces gens-là à continuer.
Luc : Pour plein de gens sur leur ordinateur il n’y a rien de critique, leurs photos de vacances sont sur Facebook et ils se disent « ce n’est pas grave, j’achète un autre ordinateur », alors qu’ils pourraient réinstaller le système.
Nico : C’est ça. C’est vrai que pour les rares personnes qui ont des données vraiment critiques – on a eu des cas de thèses ou autres ou même d’entreprises qui ont eu, par exemple, toute leur comptabilité paralysée –, quand on n’a pas de backup, de sauvegarde, on va peut-être vouloir payer quelques milliers d’euros pour récupérer tout ça plutôt que de tout perdre.
Luc : Qu’est-ce qu’on risque d’autre quand on se fait pirater ?
Nico : Aujourd’hui, bizarrement, on ne risque plus grand-chose. Il y a quelques années, les machines étaient vraiment détournées pour y mettre du spam, ou on essayait de récupérer des données, vos codes de carte bancaire ; maintenant c’est plus des rançons, on va vous prendre votre disque dur.
Luc : Manifestement ça envoie quand même du spam. Dans l’exemple de Nolwenn, il y a ça.
Nico : Ça envoie du spam. Il y a toujours les vieux robots tournent pour envoyer du spam.
Luc : C’est ce qu’on appelle les botnets ?
Nico : Les botnets. Mais le gros, aujourd’hui, c’est surtout du phishing et du ransomware : vous faire acheter des produits qui ne servent à rien, vous dire que soi-disant vous avez été surpris sur webcam donc vous faire chanter : si vous ne payez pas on divulgue à tous vos contacts des vidéos compromettantes
Luc : Quoi ! Tu veux dire que j’ai payé pour rien !
[Rires]
Nico : C’est vrai qu’au-delà de ça, aujourd’hui les données sont beaucoup moins utilisées et exfiltrées qu’il y a quelque temps. Le risque est quand même minime.
Luc : La partie botnet ça veut dire qu’il y a quelqu’un, un pirate, qui va faire des trucs plus ou moins légaux comme envoyer du spam, miner des bitcoins où il a besoin de puissance de calcul, qui va s’installer sur un maximum de machines et, en fait, qui a une stratégie du parasite, c’est-à-dire qu’il va l’utiliser notamment quand l’utilisateur ne l’utilise pas, donc en gros la machine va pédaler, donc consommer plus d’électricité. J’ai déjà rencontré des gens qui disent « je m’en fous ». En gros leur machine est parasitée, mais tant qu’elle marche ça ne leur pose pas de problème.
Manu : Tu as utilisé le bon concept : parasitage. Ça veut dire qu’on peut supporter un parasite. C’est le cas de plein d’organismes dans la nature, ils supportent des parasites et ils arrivent à vivre, à survivre avec, parfois même de manière tout à fait acceptable. En fait, c’est juste la quantité de parasitage qui peu être gênante.
Luc : Oui, surtout que les GAFAM c’est aussi du parasitage d’une certaine façon, quand on met de la pub de partout !
Nico : Après c’est aussi des effets de bord. J’en ai fait les frais, même si je n’ai pas été piraté directement. Votre machine va aussi être infectée, va servir justement à relayer du spam ou à attaquer des services en face et, du coup, vous pouvez voir les flics débarquer chez vous et saisir votre matériel parce que dans la tête de celui qui se sera fait attaquer, c’est vous l’attaquant, ce n’est pas celui qui vous a utilisé comme relais. Du coup c’est vous qui avez des emmerdes à avoir véhiculé de la pédopornographie, à avoir consulté du terrorisme ou autre et là les conséquences peuvent être un peu plus chiantes.
Luc : Tu es en train de dire que, finalement, on ne peut pas jeter aux orties la question de la sécurité informatique et se dire qu’on s’en fout de se faire pirater.
Nico : Non ! Ça c’est sûr.
Nolwenn : Donc la conclusion ?
Luc : La conclusion c’est que la sécurité informatique c’est quand même important. Se faire pirater ce n’est pas bien, ne serait-ce que parce que ça peut servir à des gens vraiment pas recommandables et que, derrière, il peut y avoir des vrais drames humains.
Nico : Et faire gaffe à vos données ! Le jour où vous avez tout perdu vous serez dans la merde !
Nolwenn : Pensez aux sauvegardes !
Luc : Oui, c’est encore la meilleure précaution !
Manu : À la semaine prochaine !
Nico : Salut.
Nolwenn : Salut.

Références

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.