Conférence "comment les hackers explorent le monde"

dimanche 23 novembre 2014 :: perrick :: Hacks :: aucun commentaire :: aucun trackback

J'ai eu l'occasion de faire un petit discours lors du forum public De l'indignation à l'action : une volonté humaniste à Lille. Le voici sans mes digressions ;-)

Que se passe-t-il quand je tape « document confidentiel – ne pas diffuser » puis le nom d'une société ou d'un ministère ? Dans quel interstice d'internet suis-je entré ? S'agit-il d'une faille exploitée par un internaute malveillant ou bien d'un oubli fâcheux par un stagiaire tête en l'air. La justice française a tranché en condamnant en appel Bluetouff, un blogueur, simplement pour avoir su utiliser Google. Heureusement les journalistes qui ont eu l'outrecuidance d'utiliser le zoom de leur appareil photo pour lire des documents plus ou moins « secret défense » agités devant eux n'ont pas eu un tel traitement. Je fais bien sûr référence aux feuillets à propos du placement sur écoute de M. Nicolas Sarkozy brandis par notre Garde des Sceaux Mme Christine Taubira. Avant de ricaner sur son incompétence, ayez une pensée pour M. Hugh Powell, Deputy National Security Adviser, qui a apporté un mémo à son Premier Ministre au 10 Downing Street au début de la crise en Ukraine. Le mémo, lu par d'autres journalistes de la même manière, annonçait que son gouvernement ne soutiendrait pas les sanctions économiques contre la Russie et qu'il ne fermerait pas non plus l'accès à la City de Londres aux intérêts de ses oligarques.

Et pourtant d'un côté comme de l'autre, nous sommes face à un « hack » au sens noble du terme : une prouesse technique intéressante, plutôt du côté du bricolage que des sciences dures. Ce détournement technologique passe forcément par une connaissance intime des « machines » : pour trouver une faille, il faut bien sûr en connaître les moindres recoins. L'ordinateur est une de ces « machines » mais il a plusieurs caractéristiques qui le rendent tout à fait intéressant pour la pratique du hack. Tout d'abord l'ordinateur est une machine peu onéreuse : un Rapsberry-Pi coûte moins 35 euros : en lui ajoutant une carte flash, vous pourrez en faire un média center capable de lancer des vidéos en streaming ou une rétro-console de jeu (NES, Super Nintendo, Megadrive). Ensuite l'ordinateur ne se lasse jamais et se casse rarement, au pire il affichera le même bug encore et toujours : certes c'est un comportement très bête, mais qui n'a pas rêvé de ce professeur capable de répéter, de recommencer, de réitérer et de reproduire encore et toujours sans se lasser ? Enfin l'ordinateur est capable de « tout » faire puisqu'il est programmable : il s'agit tout à la fois d'un outil de travail, d'un lieu de divertissement, d'une calculatrice pour gérer, d'un plateau pour jouer, d'un support pour lire, etc. Mais surtout l'ordinateur est désormais un vecteur capable d'aller partout, tout le temps et avec tout le monde : la webcam de l'Office de Tourisme de la Plagne montre l'état des pistes en temps réel, le site Archive.org contient toutes les versions des sites des JO depuis Atlanta 1996, Facebook connecte 1 milliard d'amis entre eux. Ces différentes caractéristiques offrent à l'ordinateur affublé d'un serveur – ce logiciel capable de recevoir et d'émettre des informations – un potentiel qui dépasse largement la puissance de la machine-outil.

Les hackers sont les créatures de ce potentiel et chemin faisant ils ont mis sur pied leur propre éthique. Point n°1 : l'accès à tout ce qui peut nous apprendre comment le monde marche vraiment doit être illimité et total. Point n°2 : l'information doit être libre et gratuite. Point n°3: l'autorité est suspecte, la décentralisation encouragée. Point n°4 : la reconnaissance des pairs se gagne par des résultats tangibles, pas par la position, ni par l'âge, encore moins par la nationalité ou les diplômes. Point n°5 : l'art et la beauté existent aussi sur un ordinateur. Point n°6 : les ordinateurs sont faits pour changer la vie. Cette éthique se vit à travers des communautés, à la fois sociales et techniques. Vous avez peut-être déjà entendu parler des libristes, cette communauté de développeurs informatiques qui écrit et partage des logiciels parfois à très grande échelle comme Linux, Firefox ou OpenOffice. Mais connaissez-vous le Homebrew Computer Club ou le Chaos Computer Club ? Le premier est un groupe qui s'est réuni dans la Silicon Valley, à Menlo Park puis à Stanford, entre 1976 et 1986 : s'y est croisée la fine fleur des pionniers de l'informatique qui allait devenir « grand public », à commencer par Steve Wozniak et Steve Jobs. Le deuxième est une association plutôt germanophone. Son premier fait d'arme se passe dans les années 1980 : il s'agit d'une intrusion dans les systèmes informatiques d'une banque allemande grâce à l'équivalent du Minitel germanique. Les hackers en ont profité pour effectuer un transfert de 134 000 DM vers le compte bancaire de l'association. L'argent fut restitué le lendemain, cette fois-ci devant la presse. Plus récemment, ils ont été les premiers à montrer comment court-circuiter la reconnaissance digitale des iPhones d'Apple : une simple photographie de l'empreinte et quelques produits chimiques disponibles en grande surface ont fait l'affaire. C'était moins d'une semaine après le lancement.

Cette face plutôt obscure a été reprise puis déformée par les médias : le « hacker » a été assimilé par la presse à un informaticien malveillant, capable de ravager un serveur, une entreprise, voir même un pays entier grâce à ses compétences techniques. Dernier exemple en date : Ulcan. Rue89 le décrira comme « un hacker sioniste qui fait tomber les sites pro-Palestiniens » : il utilise des failles connues du logiciel SPIP pour en remplacer le contenu de sites internet. La suite de l'article déclenchera des représailles de moins en moins numériques : harcèlement téléphonique, usurpation d'identité, réveil nocturne intempestif jusqu'à l'infarctus du père du journaliste. Ulcan venait de lui annoncer la mort imaginaire de son fils, puis de lui envoyer des policiers à 4h du matin pour une intervention musclée à la recherche du cadavre de sa femme et de son enfant. Pourtant ces malveillants ont d'autres noms. On parlera de « crackers », avec ses propre sous-catégories. On y retrouve par exemple le « black hat », le découvreur de failles de sécurité qui ne recule pas devant la malveillance. Il y a aussi le « script kiddie », celui qui utilise les découvertes des uns et le manque de compétences des autres pour une gloire personnelle et éphémère. Le « hacker » quant à lui reste du côté de la découverte et ne tombe pas dans l'utilisation néfaste.

Bien sûr la frontière entre « découverte d'une faille » et « exploitation nuisible » est ténu. Les révélations de M. Richard Snowden sont précisément sur cette limite : la NSA a sciemment noyauté certaines commissions de labellisation cryptographique pour rendre les protocoles d'échange peu sécurisés. Cela lui a donné un avantage monumentale dans sa pêche clandestine aux informations stratégiques. Le problème, c'est qu'une fois la faille ouverte, n'importe qui peut l'utiliser. L'effet médiatique d'une telle révélation a été immense : il s'agissait des Etats-Unis après tout, l'Etat le plus puissant de la planète. Et l'Histoire n'a pas encore tranché sur son cas, véritable héros chez les hackers, il est aussi ennemi public outre-atlantique.

Avec l'avènement de l'Internet des Objets que tout le monde nous promet, c'est un véritable boulevard de failles croustillantes qui s'ouvre devant nous : une quantité extraordinaire de simili-ordinateurs – des frigos communicants et des compteurs à gaz intelligents, des voitures sans chauffeurs ou des pèses-personne connectés – vont se retrouver accessibles sur le réseau. Autant de machines qui vont muter et avec lesquelles il faudra apprendre à vivre différemment : vous avez appris à éteindre et rallumer de temps en temps votre bon vieux PC, vous avez peut-être même appris qu'il y avait un mot pour ça, « rebooter » ? Il faudra peut-être apprendre à faire la même chose avec l'éclairage ou la serrure de votre maison.

Moins préoccupants, les « Ikea Hackers » qui publient sur un site web leurs astuces, modifications ou ré-arrangements de meubles de la célèbre marque suédoise : ainsi comment utiliser quatre porte-documents KNUFF et trois pieds CAPITA pour faire une table de nuit ou comment détourner une étagère KALLAX pour donner un espace de vie à une famille de sept gerbilles (ce sont des petits rongeurs de la famille des Muridés). Cette rencontre sur les réseaux de bidouilleurs peut avoir des effets plus inattendus. L'association Regards Citoyen a épluché et numérisé en moins de 24h l'ensemble des déclarations d'intérêt des députés français. Chaque extrait de formulaire était considéré valide lorsqu'il était saisi à l'identique par trois internautes différents. L'ensemble des 11095 éléments a été numérisé par 7924 citoyens en 86239 contributions et tous ces éléments sont désormais disponibles sur le site internet « NosDonnées.fr ».

Cet apport des lettrés du numérique dans le débat publique va aller croissant. Quelle légitimité la justice française peut-elle avoir dans les procédure de dédommagement des vétérans des essais nucléaires quand – c'est une citation du Canard Enchaîné du 29 octobre 2014 – les « calculs faits à partir du logiciel utilisé pour établir le lien de causalité entre la présence sur les sites des essais et les maladies développées par la suite sont tellement savants que même les spécialistes de la médecine nucléaire (consultés pour l’indemnisation) n'y comprennent rien » ? Une sénatrice ira jusqu'à dire que « avec ce logiciel, à l'arrivée, le risque est toujours négligeable ». Le texte de ce logiciel – son code source – qui fait loi n'est évidemment pas encore publié dans le Journal Officiel. Quand ce code source y figurera, les hackers auront gagné une manche. D'ici là ils vont continuer à explorer le monde et à essayer de le comprendre, de l'intérieur et avec leur éthique.

Vos commentaires et/ou trackbacks

Aucun commentaire, ni de trackback pour le moment.

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.