IMSI-Catcher, quoi de mieux qu'un exemple ?

Par SwissTengu @SwissTengu @SwissTengu — 05.04.2016
Nos élus veulent de la surveillance. Ils veulent, pour notre sécurité, autoriser l'usage de chaluts pour collecter des données. Entre les Govware et les IMSI-Catcher, notre sphère privée s'amenuise comme peau de chagrin. Certains poussent même pour clore le débat démocratique et passer en mode "Alerte Généraaaaaale"1 et appliquer des lois soumises au vote populaire par référendum via des lois d'urgence2

Mais il convient de s'assurer que nos élus, si friands de ces technologies, comprennent réellement de quoi on parle.
Après tout, rien ne nous dit et encore moins nous prouve qu'ils savent de quoi ils parlent, en-dehors des rapports glissés sous une porte et lu en diagonale cinq minutes avant les débats. C'est le problème de la politique de milice : des non-spécialistes tentent de parler de sujets spéciaux, demandant une compréhension assez vaste.

Du coup, EthACK a une proposition : 
De manière à bien expliquer et montrer comment un IMSI-Catcher fonctionne, nous voudrions faire une démonstration live d'un appareil approchant. Évidemment, nous n'avons (et n'aurons) pas les moyens d'acheter un vrai IMSI-Catcher (sans parler de l'utilité par la suite), mais il y a moyen, pour une somme "modeste", de faire un appareil de démonstration assez proche de la réalité3.

De manière à pouvoir faire cela, nous sommes donc à la recherche des éléments suivants :
  • Juriste(s) pouvant nous aider à mettre sur pied un événement de telle sorte à ce qu'on ne finisse pas à l'ombre, et que le matériel ne se fasse pas confisqué
  • Fonds pour acheter le matériel requis4
  • Aide pour l'organisation (stand, flyers, etc)
  • Des soutiens politiques et associatifs
  • Des volontaires pour l'écoute de leurs appareils dans le cas où l'écoute "débridée" serait trop compliquée à faire passer

Nous avons déjà créé deux campagnes de levées de fond5, ainsi qu'une adresse bitcoin dédiée6.

Au niveau juridique, il y a beaucoup de questions ouvertes : qui avertir, comment présenter la chose, comment publier les résultats (en live donc, aucune donnée ne sera enregistrée), etc. La démonstration elle-même est "simple" et intéressante, mais nous ne bénéficions pas de la couverture juridique telle que fournie par un document émis par un juge dans le cadre d'une enquête pénale.

Niveau finance, tout surplus sera investit dans la mise en place de l'événement, ainsi que pour la partie "juridique" au besoin.

EthACK conservera les appareils (dans la mesure du possible) de manière à pouvoir procéder à des démonstrations ultérieures, ainsi qu'à des possibles développements.

Dans l'idéal, la démonstration principale devrait se faire dans un lieu public, fréquenté et connu, voire symbolique — mais cela dépendra des retours au niveau juridique (on nous parle déjà d'AVC — faut-il s'attendre à une pénurie dans la branche ?), ainsi que des soutiens (politiques et associatifs) que nous pourrons trouver. Dans tous les cas, on fera quelque chose avec du monde, et du bruit. Même dans un coin perdu.

Dans l'esprit "démonstration", les connexions (préalablement anonymisées) seront affichées en grand, avec quelques démonstrations sur des appareils ciblés (en notre possession) par rapport aux contenus qu'un tel appareil peut récupérer.
Au vu des logiciels impliqués, on pourra aussi se passer des données des passants et spectateurs pour ne se concentrer que sur les appareils des organisateurs et volontaires. Mais ce sera potentiellement moins frappant.

Cela devrait donner un coup de pouce pour le référendum contre la LSCPT7.

Commentaires (3)

par SwissTengu — 06.04.2016, 09:15 — PermaLink
Il semblerait que fournir le "service" pour LTE et 3G ne soit pas super-compliqué, mais qu'une pi3 ne suffira pas. Du coup, on risque de devoir partir sur un truc "un peu" plus gros, genre une des brix de gigabyte, ou un appareil du genre.

Stay tuned !

T.
par lalu — 06.04.2016, 21:43 — PermaLink
btc Donated ... J'ai des petits pi 2 si nécessaire
par SwissTengu — 07.04.2016, 13:16 — PermaLink
Merci lalu ! De ce que j'ai lu, les pi2 ne sont pas assez rapide pour assurer un traitement correct des data — j'en ai aussi quelques unes à la maison, du coup je ferai de toutes façons un test avec avant. Mais y a un risque non-négligeable que ça parte sur un truc plus gros que la pi3, si on veut taper dans le LTE… M'enfin c'est pas pour de suite ;).

En tous cas merci pour les btc :)
Ajouter un commentaire