News

IMSI-Catcher, quoi de mieux qu'un exemple ?

Par SwissTengu @SwissTengu @SwissTengu — 05.04.2016
Nos élus veulent de la surveillance. Ils veulent, pour notre sécurité, autoriser l'usage de chaluts pour collecter des données. Entre les Govware et les IMSI-Catcher, notre sphère privée s'amenuise comme peau de chagrin. Certains poussent même pour clore le débat démocratique et passer en mode "Alerte Généraaaaaale"1 et appliquer des lois soumises au vote populaire par référendum via des lois d'urgence2

Mais il convient de s'assurer que nos élus, si friands de ces technologies, comprennent réellement de quoi on parle.
Après tout, rien ne nous dit et encore moins nous prouve qu'ils savent de quoi ils parlent, en-dehors des rapports glissés sous une porte et lu en diagonale cinq minutes avant les débats. C'est le problème de la politique de milice : des non-spécialistes tentent de parler de sujets spéciaux, demandant une compréhension assez vaste.

Du coup, EthACK a une proposition : 
De manière à bien expliquer et montrer comment un IMSI-Catcher fonctionne, nous voudrions faire une démonstration live d'un appareil approchant. Évidemment, nous n'avons (et n'aurons) pas les moyens d'acheter un vrai IMSI-Catcher (sans parler de l'utilité par la suite), mais il y a moyen, pour une somme "modeste", de faire un appareil de démonstration assez proche de la réalité3.

De manière à pouvoir faire cela, nous sommes donc à la recherche des éléments suivants :
  • Juriste(s) pouvant nous aider à mettre sur pied un événement de telle sorte à ce qu'on ne finisse pas à l'ombre, et que le matériel ne se fasse pas confisqué
  • Fonds pour acheter le matériel requis4
  • Aide pour l'organisation (stand, flyers, etc)
  • Des soutiens politiques et associatifs
  • Des volontaires pour l'écoute de leurs appareils dans le cas où l'écoute "débridée" serait trop compliquée à faire passer

Nous avons déjà créé deux campagnes de levées de fond5, ainsi qu'une adresse bitcoin dédiée6.

Au niveau juridique, il y a beaucoup de questions ouvertes : qui avertir, comment présenter la chose, comment publier les résultats (en live donc, aucune donnée ne sera enregistrée), etc. La démonstration elle-même est "simple" et intéressante, mais nous ne bénéficions pas de la couverture juridique telle que fournie par un document émis par un juge dans le cadre d'une enquête pénale.

Niveau finance, tout surplus sera investit dans la mise en place de l'événement, ainsi que pour la partie "juridique" au besoin.

EthACK conservera les appareils (dans la mesure du possible) de manière à pouvoir procéder à des démonstrations ultérieures, ainsi qu'à des possibles développements.

Dans l'idéal, la démonstration principale devrait se faire dans un lieu public, fréquenté et connu, voire symbolique — mais cela dépendra des retours au niveau juridique (on nous parle déjà d'AVC — faut-il s'attendre à une pénurie dans la branche ?), ainsi que des soutiens (politiques et associatifs) que nous pourrons trouver. Dans tous les cas, on fera quelque chose avec du monde, et du bruit. Même dans un coin perdu.

Dans l'esprit "démonstration", les connexions (préalablement anonymisées) seront affichées en grand, avec quelques démonstrations sur des appareils ciblés (en notre possession) par rapport aux contenus qu'un tel appareil peut récupérer.
Au vu des logiciels impliqués, on pourra aussi se passer des données des passants et spectateurs pour ne se concentrer que sur les appareils des organisateurs et volontaires. Mais ce sera potentiellement moins frappant.

Cela devrait donner un coup de pouce pour le référendum contre la LSCPT7.

Plus »»

Surveillance externalisée

Par SwissTengu @SwissTengu @SwissTengu — 16.03.2016
En Suisse, on est en train de suivre l'exemple de nos voisins français : on révise des lois sur la surveillance de nos concitoyens pouvant potentiellement être des vilains terroristes (ou pédonazis tueurs de chatons, c'est parfaitement permutable).

On a déjà réussi à échapper à l'extension de la durée de rétention des données, qui reste à 6 mois au lieu de 12 (et même 6 mois semblent longs, si on écoute certains enquêteurs, principaux intéressés par ce sujet).
Par contre, on ne va pas échapper à la peste ni au choléra, le tout saupoudré d'un touche d'Ebola pour bien faire. Oui, tout ça, rien que pour nous.

J'm'explique:
    À l'heure actuelle, le Conseil des État, dans sa grande sagesse, a accepté l'utilisation des IMSI-Catchers
    À l'heure actuelle, le Conseil des État, dans sa non moins grande sagesse, a accepté l'utilisation des GovWare
    À l'heure actuelle, le Conseil des État, toujours faisant preuve de sagesse, a accepté que les métadonnées récoltées dans le cadre d'enquêtes ne soient pas obligatoirement stockées en Suisse. Pour des raisons de coût. Bah oui. Ça coûte cher, des disques dans un datacenter en Suisse.

Vous avez bien lu1.

Mais soyons rassurés : il y a "de nombreux garde-fous", après tout : seul un tribunal pourra activer les mesures de surveillance, et ce seulement en cas de "crime grave". Ah et le transfert des données à l'autorité de poursuite pénale compétente devra être sécurisé.
Sauf que je n'ai pas vu la définition de "crime grave". Et parler de sécurité au niveau du gouvernement reviendrait à discuter de physique nucléaire avec des moutons privés d'iode depuis trop longtemps. Et, pour moi, "nombreux", c'est un peu plus grand, comme nombre…

Quant à l'utilisation des IMSI-Catchers, il sera très intéressant de voir quel recours un simple citoyen aura, dans le cas où ses communications se sont retrouvées interceptées parce qu'il avait le malheur d'être dans le mauvais quartier au mauvais moment. La protection des citoyens passe aussi par la protection et le respect de sa vie privée, et une telle technologie ne la garantit absolument pas.
Si nos élus refusent de nous respecter en tant qu'individu, en tant qu'entité possédant un cercle privé, je ne vois aucune raison de les respecter eux en tant qu'individu et entité. Ça va dans les deux sens.

Pour ce qui est du fameux GovWare : je me réjouis comme un fou qu'il se retrouve bêtement dans la nature. On peut se rappeler de ce que le CCC avait sorti sur le logiciel Allemand2. Il ne faut pas oublier non plus ce que représente un tel logiciel, d'un point de vue technique : une porte ouverte, passant sous le radar des antivirus (bon OK, leur utilité est limitée de toutes façons ;)), pouvant sortir d'un réseau sécurisé, etc.

Un aubaine pour la police, mais aussi pour d'autres usages moins légaux.
Mais bon, après tout, le citoyen n'a pas besoin de se sentir "numériquement en sécurité", n'a pas besoin de penser que son ordinateur, son smartphone et sa tablette sont à lui seul, et que personne ne peut accéder aux photos de vacances contenues dans ces différents appareils, ou aux numéros de carte bancaire, mot de passe et autres accès. La notion de "citoyen numérique" n'existe pas, au final.

On peut faire confiance à notre gouvernement pour tout mettre en œuvre pour assurer la sécurité de moyens à sa disposition, comme le SRC a tout mis en œuvre pour éviter la fuite de données3. Confiance, vous dis-je !

Non, tout va bien, on est entre de bonnes mains, et la sécurité de l'état prime sur notre sphère privée, c'est bien connu et, surtout, bien établi. Après tout, puisque nous n'avons jamais rien à cacher, pourquoi s'en faire ? Pourquoi vouloir protéger notre compte en banque, le contenu de nos ordinateurs, les codes d'accès à des machines distantes, des contrats, des documents classifiés, etc ? Nous sommes en démocratie, l'État ne pourra jamais basculer en mode totalitaire ou, du moins, en mode "état d'urgence". Aucun de nos voisins ne l'a jamais fait, alors pourquoi la Suisse ?

Citoyens, Citoyennes, il est temps d'expliquer à nos élus ce qu'on attend d'eux, temps de leur expliquer ce qu'est un IMSI-Catcher, ce qu'est un GovWare, de telle sorte qu'ils arrivent à comprendre les implications réelles pour nous, le bon peuple suisse. Plus que temps même, parce qu'une fois tout cela en place, il faudra ramer pour revenir en arrière et faire les choses proprement.

Pour rappel, si vous demandez à un membre du comité de surveillance comment un de ces trucs marche, vous aurez droit à des yeux de poisson frits.
Ils ne savent pas, ne comprennent pas et, pire, ne cherchent manifestement pas à comprendre, outre les 2-3 documents glissés sous leur porte juste avant les discussions, débats ou votes. Notre démocratie dite "de milice" est bien, admirée dans le monde entier, mais elle a aussi ses limites : on pourrait se croire à l'armée, où on flanque le coiffeur à la cuisine, l'artificier comme chauffeur DURO, ou encore le montagnard dans un sous-marin.

Plus »»

Non, il ne faut pas plus de surveillance.

Par SwissTengu @SwissTengu @SwissTengu — 20.11.2015
"Laissez les services de renseignement faire leur travail", "Donnez plus de moyens pour la surveillance", "La Gauche se fiche de la sécurité avec leur référendum" etc, etc.

On en étale partout, en long, en large, en travers. On le crie, le hurle ou le beugle. Les partisans de la surveillance à tout va et à tous prix s'en donnent à cœur joie depuis quelques jours, depuis le vendredi 13 novembre, enfin, le samedi 14…

Seulement, on oublie l'essentiel : les services de renseignement de tous poils ont déjà trop de données. Ou alors ne savent pas exploiter correctement celles qu'ils ont déjà, légalement (ou peu s'en faut), collecté sur les réseaux et autres.

Comment expliquer sinon que, lors des derniers attentats (et pas que ceux du 13, mais encore les précédents, et encore ceux d'avant, et ainsi de suite), comment expliquer donc que tout ou partie, voire majorité des personnes impliquées soient toujours "connues des services" ?

Les renseignements sont là, existent, mais ne sont pas exploités. Par manque de moyens certes, mais pas des moyens de collecte, non, des moyens d'analyse. Des moyens humains aussi, pour, en cas de gros doute bien raisonnable, mettre une personne physiquement sous surveillance, ou se taper l'administratif ayant pour but d'obtenir une mise sur écoute ciblée.

Les renseignements sont là, mais dorment. Par manque de moyens techniques pour assurer une exploitation, ainsi que la création des recoupements nécessaires.

Mais cela, nos beugleurs, ils l'oublient. Pour eux, c'est une question de quantité, pas de qualité. Une différence de plus en plus oubliée car, dans notre société de consommation, on consomme. Toujours plus. Toujours plus gros. Mais sans prêter attention à la qualité.

Pour preuve j'en veux les quelques centaines de perquisitions administratives en France de ces derniers jours, donnant lieux à des arrestations, découvertes d'armes, etc. Autant de choses qui auraient sans doute pu avoir lieu, si on avait donné les moyens humains aux différents secteurs concernés : plus d'analystes, plus d'hommes sur le terrain, plus de juges.

Mais pas plus de données : elles sont déjà là, présentes, et collectées.

On veut changer la LSCPT, on veut créer une LRens. Soit. Oui, il faut un cadre légal. Il faut que tout soit transparent, que les citoyens comprennent comment ça marche. C'est important. Mais ces lois, au lieu de donner plus de moyens de collecte, devraient surtout se concentrer sur les synergies et relations possibles au sein des données existantes.

Quoi qu'en disent certains, une augmentation des moyens de surveillance créera obligatoirement une diminution de notre sphère privée. Soit technique, soit morale. Si on se sait surveillé, on n'agit, on ne pense plus pareil. On se plie plus volontiers pour rentrer dans le petit cadre dans lequel on voudrait nous voir.
La surveillance, même passive, influe sur les comportements.

La surveillance n'apportera pas plus de sécurité. Elle n'apportera tout au plus qu'un sentiment, faux, de sécurité, à celles et ceux qui y croient. C'est un peu comme les caméra de vidéosurveillance, renommée parfois "vidéoprotection" : elles sont là, passives, leur œil froid braqué dans une direction ou l'autre, captant tout. Mais ce n'est ni elle, ni la personne derrière l'écran de contrôle (quand il y en a) qui viendra vous protéger contre le pickpocket, ou l'autre sagouin qui vous arrachera votre sac à main. Tout au plus cela pourra servir de preuve, ou au moins de témoin. Et encore. Même pas sûr.

La surveillance telle qu'imaginée par nos élus, dirigeants et gouvernements, n'apportera pas plus de sécurité, non. Mais plus de contrôle sur le bon peuple protégé. Le "bon suisse" étant, de réputation, passablement porté à la délation, on peut de suite imaginer ce qu'un renforcement de la surveillance pourra amener. Parce qu'un tel renforcement passera, obligatoirement, par une diminution de nos droits à la vie privée. Et certains comportements intrusifs jusque là punis ne le seront plus. Ou moins.

Vouloir, dans le but d'augmenter la sécurité, augmenter la surveillance, tout en argumentant que c'est pour "protéger nos libertés", est un mensonges. Surtout quand on parle de notre "liberté d'agir, de penser". Agissez-vous pareil dans la même situation s'il y a une caméra que s'il n'y en n'a pas ? Bien sûr que non. Même infimes, des modifications de comportement sont là. On fera plus attention à son apparence, on regardera à un endroit neutre plutôt qu'un autre, on marchera droit, plus lentement, ou plus vite, bref. Notre comportement change.
Est-ce cela la liberté qu'on veut nous vendre avec la LRens et la modification de la LSCPT ? Une liberté d'être surveillé, une liberté de voir nos comportements changer de manière inconsciente ?

Pour ma part, une telle liberté, je n'en veux pas.
Pour ma part, j'ai nettement moins peur de me ramasser un groupe de terroriste sur mon lieu de détente que de voir un gouvernement partir en vrille avec des moyens de surveillances quasiment illimités.
Pour ma part, je prends la liberté de dire NON à la LRens et à la modification de la LSCPT.
Pour ma part, je prends la liberté de choisir ma vie, mon comportement, mon mode de pensée.

Pour toutes ces raisons, nous devons, coûte que coûte, refuser les modifications de la LSCPT, et débouter la LRens. Pour conserver nos libertés. Pour conserver notre mode de vie. Pour rester nous-même, des citoyens libres dans une démocratie libre.

Plus »»

Fin de la sphère privée en Suisse ?

Par SwissTengu @SwissTengu @SwissTengu — 19.11.2015
Le nouveau préposé fédéral à la protection des données et à la transparence a été nomminé par le Conseil Fédéral1, au terme d'une sélection dont l'obscurité et l'absence complète de transparence laisse songeur.

Le choix du Conseil Fédéral est plus que surprenant : prendre le directeur suppléant de Fedpol2 comme PFPDT a de quoi poser pas mal d'interrogations.

En effet, Fedpol n'a aucun intérêt à ce que la sphère privée soit correctement protégée. La LRens3 ainsi que la révision de la LSCPT4 sont autant de sujets délicats, où Fedpol et les renseignements sont clairement en opposition avec la protection des données.

On peut aussi s'interroger sur le foutage de gueule flagrant suivant l'éviction de Jean-Philippe Walter, actuel préposé suppléant : sa candidature a été rejetée sèchement sous prétexte qu'il "est trop vieux" (61 ans). Or, le nomminé a 55 ans… Pas pour dire, mais c'est vraiment n'importe quoi. Le poste de préposé est attribué pour 4 ans, la différence d'âge à ce niveau ne compte absolument pas.
Ou alors il faudrait aussi shooter les politiciens qui ont plus de 60 ans, histoire d'être cohérent :Þ.

Ce d'autant que Adrian Lobsiger va avoir le cul entre deux chaises : il devra conseiller/surveiller les lois et les pratiques au niveau de la protection des données de part son rôle de PFPDT, et d'autre part il s'assure de la légalité du traitement des données contenues dans les systèmes d'information de Fedpol.
Le second dépendant des lois poussées par le premier, on peut très vite voir les problèmes que cela va poser à très court terme. Croire que tout va bien se passer et qu'on n'aura pas de conflit d'intérêt est faire montre d'une certaine candeur qui, bien que rafraîchissante, n'en reste pas moins dangereuse pour notre sphère privée.

Déjà que les récents événements en France pousse pour plus de surveillances et des mesures drastiques contre le chiffrement des données5, mettre une tête de pont de Fedpol à la tête de la protection des données en Suisse, c'est signer l'arrêt de mort de notre sphère privée, et annoncer en grande pompe l'avènement d'une société de surveillance de masse. Pour notre sécurité, cela va de soi.

Le Conseil Fédéral joue un jeu dangereux avec cette nommination. Un jeu dont le résultat sera plus que probablement l'annulation des années de boulot de Hanspeter Thür et de son collègue, Jean-Philippe Walter. Nous perdons aussi un Romand ou un Tessinois, et nous retronvons donc de nouveau avec une barrière linguistique (on ne peut pas penser que Jean-Philippe Walter va continuer à jouer le suppléant avec le nouveau Préposé).

Bref. Il faut faire comprendre à l'Assemblée Fédérale que ce choix est mauvais, pire, dangereux. Il faut amener le Conseil Fédéral à reconsidérer la candidature de Jean-Philippe Walter, qui a certains avantages, comme par exemple la connaissance des dossiers en cours6, des relations tant politiques que privées, etc.

Plus »»

Soutien à Netzpolitik

Par SwissTengu @SwissTengu @SwissTengu — 05.08.2015
Parce que la liberté de la presse est une des bases de nos démocraties déclinantes, EthACK s'associe au mouvement de soutien international au site allemand Netzpolitik1 dont deux journalistes et leurs sources font l'objet d'une enquête pour «haute trahison» suite à la publication de documents sur des projets de l'Office de la protection de la Constitution (services de renseignement intérieur) pour surveiller Internet.

Une lettre ouverte2, signée par des journalistes du monde entier, demande l'abandon des poursuites :

«Les charges contre Netzpolitik.org et leur source inconnue pour trahison sont une attaque contre la liberté de la presse. La poursuite pour trahison des journalistes qui effectuent un travail essentiel pour la démocratie est une violation du cinquième article de la constitution allemande. Nous demandons l'arrêt des poursuites contre les journalistes de Netzpolitik.org et leurs sources.»

L'annonce de l'ouverture de la procédure a suscité de nombreuses réactions tant en Allemagne qu'à l'international. Vendredi, le ministère de la justice allemand a annoncé la mise à la retraite du procureur ayant décidé de l’ouverture de l’enquête.
Mais la plainte n'a pas encore été retirée, et les poursuites ne sont, pour le moment, pas encore abandonnées.

Plus »»

Catégories en relation