lid's stuff

L'Express ou l'art de la désinformation

Alors, d'habitude, je ne fais pas de billet d'opinion. Mais ce matin, en regardant mes feeds RSS, je suis tombé sur ça: un article de l'Express sur l'utilisation supposée du Réseau par Daech. Et franchement, lire autant d'erreurs techniques et de raccourcis anxiogènes dans un article m'a hérissé les poils (et gâché mon café matinal).

La forme de l'article:

Tout d'abord la classique photo du "vilain hacker" devant un terminal rempli de "gibberish", un grand classique. Sauf que la photo en question provient d'un hackathon on ne peut plus inoffensif. Passons, ça fait toujours flipper Papy Michel ces écrans plein de texte bizarre. Ça fait un peu "magique", "sorcellerie", etc. Ça fait peur, car Papy Michel, comme tout le monde, a peur de ce qu'il ne comprend pas.

Maintenant, toujours sur la forme, le petit encart introductif: on y mélange donc les djihadistes, le bitcoin, le crowdfunding (sans dec'…), le "cryptage" (sic), Facebook et le "dark web" qui est apparemment dark car il "échappe" à l'indexation de Google. J'y reviendrais sur l'analyse du fond de l'article. On voit bien ici que le champ lexical de l'introduction est (volontairement ou pas) anxiogène.

Passons aux intertitres: ils sont au nombre de deux.

  • "Le côté obscur de la Toile": déjà, qu'est ce que "la Toile". le "Web" en anglais. Donc Internet, serait uniquement le "Web" (et d'ailleurs la réponse d'un collègue du journaliste ayant pondu ce papier montre bien une chose: pour lui, Internet, c'est le Web. Il parle en effet de "neutralité du Web". Je sais, je suis tâtillon, mais quand on parle de quelque chose de précis et clairement défini, la moindre des choses est d'employer les bons termes. En l'occurrence, ici, on parle de neutralité du net (diminutif d'Internet) et pas du "Web" qui n'est qu'un protocole parmi tant d'autres, est ce qu'on parle de neutralité du mail?). Passons. Maintenant, le "côté obscur", tout de suite on pense à Dark Vador, donc ça fait peur.
  • "Muscler notre cyberdéfense (sic)": passons déjà sur cette manie de coller "cyber-" partout qu'ont les journalistes. Cyber, ça fait penser à Cyborg, donc, ça fait peur.

Quand au champ lexical du contenu de l'article, là aussi tout est axé sur le côté anxiogène des nouvelles technologies. N'oublions pas: ce que nous ne connaissons pas, par défaut, nous fait peur.

Déjà et sans même regarder le contenu de l'article lui même, sa forme est conçue pour placer le lecteur non-technophile dans une situation d'angoisse: nous ne sommes clairement pas ici en présence d'un article objectif mais bien d'un article d'opinion, dont le but n'est pas tant d'informer que de transmettre une opinion, un courant de pensée entre l'auteure et ses lecteurs.

Maintenant, passons au contenu.

Le contenu de l'article

Il est tellement rempli de raccourcis et d'erreurs que je vais subdiviser cette partie:

  • Une partie "erreurs factuelles", rassemblant les informations erronées
  • Une partie "erreurs techniques", rassemblant les erreurs et approximations purement techniques

Les erreurs factuelles.

Tout d'abord:

Leurs prédécesseurs, du GIA ou d'Al-Qaeda, n'ont jamais eu le même impact faute d'avoir su recruter tant et si vite.

En effet, à l'époque du GIA (1990) ou d'Al-Qaeda (96-2005), Internet n'en était qu'à ses balbutiements ou n'était pas encore largement utilisé sur la planète hors pays développés. N'oublions pas qu'Internet est un outil, tout comme un marteau, et qu'il a donc plusieurs utilisations possibles.

Ainsi, l'organisation terroriste a classé, mieux qu'une association de consommateurs, les applications de communication les plus sécurisées.

Aucune source pour étayer ces dires.

Parmi les "très sûres" figurent, en revanche, ChatSecure et surtout Telegram, utilisé pour organiser les attentats de Paris et les revendiquer.

Ici, jusqu'à preuve du contraire, c'est totalement faux. Les premiers éléments publics de l'enquête montrent que les terroristes du 13 Novembre discutaient en clair via SMS. Là aussi, pas de source, on délivre simplement le message caché: "le chiffrement c'est mal", ce qui est encore complètement faux, j'y reviens plus bas.

Ensuite, tout se passe sur le dark Web, le côté obscur de la Toile, ces sites Internet qui échappent à l'indexation de Google. On y trouve les images les plus "gore", celles qui fascinent les jeunes fanatiques.

En fait, hors considération technique, Google n'indexe "que" 5% du contenu disponible sur le Web. Doit-on en conclure que les 95% restants ne sont que des sites gores de djihadistes décérébrés? Le raccourci est clairement effectué ici. De plus, quid des autres moteurs de recherche? Bing, DuckDuckGo, QWant, Yahoo, ils n'existent pas? Google, c'est Internet?

Car Daech, si on le laisse faire, ne se contentera pas d'utiliser Internet comme réseau de communication interne et externe. Il recrute aujourd'hui des hackers.

Là encore, aucune source, et encore une fois une utilisation abusive du terme "hacker", c'est à dire bidouilleur. Il est évident cependant que comme toute organisation criminelle (ou pas) il est essentiel pour Daech de disposer de personnel un minimum compétent. Maintenant si on regarde leurs "exploits" sur le Net, mis à part défacer des sites Wordpress non tenus à jour… bin rien. Cependant et laissons à César ce qui est à César, en effet on peut légitimement s'inquiéter de leurs capacités opérationnelles à ce niveau. Mais les réponses implicitement proposées par l'article, au miroir de ce qu'il dénonce, sont complètement inappropriées, j'y reviens dans la section technique.

les erreurs techniques

Commençons par la plus belle bourde de l'article:

Les djihadistes utilisent aussi le bitcoin, la monnaie virtuelle, pour régler une partie de leurs dépenses.

Ce qui serait complètement con de leur part vu que toutes les transactions en bitcoin depuis sa création sont publiques. C'est même cette transparence qui fait sa force. Il serait donc extrêmement simple de retracer tous les mouvements de fonds de Daech. Là encore, on associe une nouvelle technologie (la monnaie virtuelle) sans même en comprendre les principes de bases avec quelque chose d'anxiogène. Que va-t-il se passer dans la tête de Papy Michel? Il va associer les monnaies virtuelles au terrorisme. Par contre, l'article ne mentionne pas les canaux classiques utilisés par Daech ni la complicité obligatoire d'établissements bancaires dans ces mouvements de fonds et leur blanchiment. Non, c'est la faute au bitcoin et par extension, à Internet - pardon, au "Web".

Parmi les "très sûres" figurent, en revanche, ChatSecure et surtout Telegram, utilisé pour organiser les attentats de Paris et les revendiquer.

Alors en fait, pourquoi peut-on légitimement douter de Telegram et du niveau de sécurité de son applicatif?

  • Telegram est une application propriétaire. En gros, une boîte noire dont on ne sait pas ce qu'elle fait, car on ne peut pas en analyser le code source. On ne peut donc pas réellement juger de son degré de sûreté, tout simplement car on ne sait pas quels algorithmes de chiffrement sont utilisés, s'ils sont faillibles ou pas, si le contenu posté via Telegram est stocké (ou pas) sur leur infrastructure et sous quelle forme (en clair? chiffré?)
  • Et comme le souligne - et c'est tout à son honneur - l'article, le PDG de Telegram a une personnalité pour le moins assez trouble. On se doute bien que Telegram étant une entreprise, son but est avant tout d'être rentable.

Ensuite, tout se passe sur le dark Web, le côté obscur de la Toile, ces sites Internet qui échappent à l'indexation de Google. On y trouve les images les plus "gore", celles qui fascinent les jeunes fanatiques. Tandis que Ben Laden envoyait des cassettes VHS à la chaîne Al-Jazeera, eux postent leurs vidéos de décapitation sur le Web non contrôlé.

Parceque Google "contrôle" le Web (et par extension Internet)? Mais sérieusement, WHAT THE FUCK. Déjà l'auteure confond "Deep Web" - les 95% du World Wide Web non indexés par les principaux moteurs de recherche, dans lequel on trouvera des photos de chatons, des sites perso, des sites ne voulant pas être indexés (robots.txt bordel de merde), et en effet des trucs plus glauques - et "Dark Net", qu'on devrait appeler les réseaux anonymisés. Mais de là à dire que le Deep Web et pas "Dark Web" (sûrement, encore une fois, le même amalgame entre Web et Internet) est composé uniquement de vidéos de décapitation, et attribuer à Google le rôle de "contrôleur" du Web (et pas du 'Net), franchement… C'est tout simplement ne pas connaître le sujet dont on est en train de parler! Et de la part d'un journaliste dont le métier est d'informer ses lecteurs, de telles erreurs sont tout simplement inacceptables et participent à maintenir le lecteur dans une ignorance anxiogène.

Quant à Ben Laden, il envoyait des VHS à Al-Jazeera tout simplement car:

  • Le 'net était nettement moins développé il y a presque quinze ans.
  • Le débit dans les cavernes du fin fond de l'Afghanistan devait être sacrément merdique.

La comparaison n'a tout simplement pas lieu d'être et sert juste à "charger" encore plus le Réseau des Réseaux - pardon, le "Web".

Bernard Cazeneuve a annoncé que l'Etat allait "investir dans des moyens numériques face à des terroristes qui utilisent le cryptage".

Sauf que non, les terroristes n'ont pas utilisé le chiffrement (car oui, il est important d'utiliser les bons termes techniques lorsqu'on veut faire un bon article) pour les attaques à Paris, mais de bêtes SMS en clair, d'après les premiers éléments de l'enquête.

Et vouloir "casser" les algorithmes de chiffrement, vouloir disposer de portes dérobées dans ces mêmes algorithmes produirait exactement l'effet inverse que celui escompté: il affaiblirait la sécurité en ligne des honnêtes gens et des entreprises, c'est tout. Là encore c'est méconnaître les impératifs techniques et sécuritaires de toute infrastructure connectée au réseau. N'importe quel expert en sécurité informatique (c'est à dire pas les clowns qu'on voit dans C dans l'air par exemple) est capable de l'expliquer. Pourrait-on enfin écouter les personnes qui travaillent tous les jours dans ce milieu plutôt que de donner la parole à des charlots ou des guignols qui confondent un bête manuel en C++ avec un manuel du petit terroriste? Comment un type qui a fait une telle bourde en direct à la télévision, devant des millions de téléspectateurs, peut-il seulement avoir le culot de se poser en "expert" de quoique ce soit?

même si ce n'est pas à la portée du premier venu, il est possible de s'attaquer, via le Web, aux hôpitaux, à la gestion de l'air, de l'eau ou de l'électricité, voire aux centrales nucléaires, en "hackant" leurs sites, c'est-à-dire en pénétrant à l'intérieur des systèmes informatiques internes pour les dérégler.

Non. On peut pirater le site Web d'EDF, en gros sa plaquette commerciale, mais par exemple, les panneaux de contrôle de nos centrales nucléaires sont analogiques et non reliés à Internet. Franchement, si un des réseaux interne de la gestion d'un système SCADA est connecté sur le 'Net, il faut tout de suite virer l'administrateur système de ce réseau!
Regardons l'exemple de StuxNet et de la fameuse centrale nucléaire iranienne: l'attaque ne s'est pas produite via Internet, tout simplement parceque le système n'était pas connecté à Internet (et heureusement!!!), mais par l'introduction dans le système du logiciel en question via un périphérique externe (clef USB ou autre), ce qui implique:

  • Un James Bond qui infiltre la centrale et installe le logiciel
  • Une compromission d'un des employés de ladite centrale nucléaire (nettement plus probable) soit par corruption, soit en profitant de son ignorance technique. Le facteur humain, en bref, l'interface chaise-clavier.

Cependant, j'aime bien la citation du Ministre des Finances britannique:

Le ministre des Finances britannique, George Osborne, a avoué qu'il craignait les cyberattaques mortelles

Mais oui mon bon monsieur, maintenant, s'il-te-plaît, tu peux dire à ton Premier Ministre (David Cameron) d'arrêter de raconter n'importe quoi sur le chiffrement? Parceque c'est uniquement par le chiffrement (intégral: communications, contenu des données, TOUT) qu'il semble honnir que vos putains de systèmes SCADA connectés à Internet quand même seront sécurisés, bande d'abrutis!. Et arrêtez de vouloir connecter des putains de centrales nucléaires à Internet!

Toutes les infrastructures critiques et les services vitaux ont leurs failles.

Et ce n'est certainement pas en:

  • Affaiblissant d'une manière ou d'une autre les méthodes de chiffrement.
  • Propageant de fausses informations, participant ainsi à maintenir le lecteur dans l'ignorance et dans la peur.

Qu'on règlera ces problématiques.

Conclusion

Franchement, que pouvons-nous (et devons-nous) faire, nous, les techniciens, les hobbyistes, les ingénieurs, les chercheurs, les développeurs, les administrateurs systèmes et réseaux, les passionnés, les journalistes techniques qui ne sont jamais invités par les médias ni écoutés par les politiques pour faire comprendre que taper sur Internet et lui coller la responsabilité des attentats récents revient à taper sur un marteau car quelqu'un a buté son voisin avec?

Que faut-il que nous fassions pour qu'enfin, on nous écoute, nous, qui travaillons tous les jours dans le réseau, nous, qui connaissons la technologie si mal décrite dans cet article?

Qu'est ce qu'il faut faire pour qu'enfin, lorsque les journalistes parlent d'un sujet hautement complexe et technique, ces mêmes journalistes se renseignent, utilisent les bons termes, ne tombent pas dans des raccourcis complètement cons, restent objectifs et arrêtent, enfin, de jouer sur la peur en enrobant leur ignorance d'un cyber-gloubiboulga de termes pseudo-techniques du niveau d'un épisode de NCIS?

Parceque sérieusement, lire cet article m'a réellement pourri la journée.


Tagged under: politique, journalisme, objectivité