En 2012, j'ai été invité par des comparses du Tetalab pour faire une présentation à la toute première cryptoparty de Toulouse. Puis ces mêmes comparses m'ont poussé à en reprendre l'organisation pour monter la seconde, et d'autres encore…
Je croyais qu'on pouvait combattre l'insécurité endémique de nos ordinateurs en formant les utilisateurs autour de nous.
Nous avons des partenaires indirects formidables comme les Café Vie Privée, l'EFF, Mozilla (et son formidable Bulletin de Santé d'Internet), Brave, Exodus Privacy, Let's Encrypt, les LUG comme Toulibre, les bibliothèques publiques ou la presse comme NextInpact, les articles d'Amaelle Guiton dans Libération ou Le Canard Enchainé qui vient de sortir un cahier spécial de fort belle facture. Nous avons vu des progrès inespérés comme le passage grandissant au https:// ou encore la progression de Silence ou des outils de mots de passe hors-ligne et sécurisés. Sans oublier le nombre croissants de livres de vulgarisation écrits par des vrais spécialistes de la question (mais qui ne se vendent trop peu)…
Et pourtant, la sécurité informatique grand public est un échec, et malgré les cryptoparty et autres évènements sur la vie privée organisés un peu partout, les avancées sont nulles. Franchement nulles.
D'abord parlons de nous-même :
Parce qu'on n'a pas toujours le temps. On n'a que trop rarement pu caler les rendez-vous pour répéter, nos slides n'ont pas été centralisés suffisamment tôt, ou tout simplement, nous n'étions pas assez nombreux pour animer. Le faire tout seul, je l'ai fait trop souvent et me gène profondément. Je sais débiter nos mantras, mais d'autres doivent se l'approprier. Il y a un regard très différent du public quand on est plusieurs et qu'on tourne : l'ambiance est plus vivante, ils osent alors vous aborder. L'inclusivité passe aussi par les dialogues individuels car les cas personnels demandent du conseil.
Parce que trop d'entre nous se prennent trop au sérieux. Devant le public, il faut rappeler qu'on dit parfois des bêtises, qu'on est peut-être un peu trop paranos,… Si vous ne jouez que sur la peur, vous ne valez pas mieux que les vendeurs d'antivirus ou les partis extrémistes : vous usez de bas-instincts et donc vous n'aidez pas les gens à réfléchir. Vous êtes exactement comme ceux qui poussent des mesures liberticides à chaque attentat.
Parce que je vois encore trop de slides illisibles à 10 mètres. Pourquoi vouloir caser 15 lignes de texte ? Une seule idée par slide, c'est si compliqué ? Nous n'avons pas qu'un public de spécialistes, ne les noyez pas. C'est justement pour apprendre à parler à un public de non-spécialistes que j'ai toujours cherché de nouveaux orateurs.
Parce que nombre d'intervenants potentiels veulent faire des conférences de 2 heures non-stop sur des concepts techniques comme la protection mémoire du kernel linux, les principes mathématiques des algos PGP ou le routage BGP, et qu'ils trouvent infantilisant de parler de force de mot de passe ou de vérifier les droits d'une application.
Stop ! Redescendez de votre piédestal ! On ne monte pas une Def Con ! On respire, et on regarde les gens dans la rue : ils ont besoin que nos propos restent simples et humbles.
Parce qu'on a pas recentralisé toutes nos productions. Notamment les slides, la documentation, etc… ou mutualisé avec des associations amies.
Parce que les outils ne sont pas prêts :
L'usage du PGP dans les e-mails ? Outre que via un webmail c'est risible, les outils actuels ne sont absolument pas pratiques. Dans la plupart des cas d'usages où j'ai pu convertir des gens, ils l'ont abandonné après un mois car trop compliqués. On a un immense souci de travail sur l'UX, sur l'interface, sur la traduction, sur la documentation, sur les tutoriels.
Les outils de double-authentification ? Très bien, sauf qu'il est impossible d'exporter en dehors du smartphone android l'ensemble de vos clés privés sans manœuvres trèèèès compliquées (rooter le smartphone, copier dans une arborescence non publique, redérooter le smartphone). Eh oui, la conception est trop costaud. Si le smartphone est réinstallé, cassé, perdu, volé ou changé, les accès sont perdus.
Les réseaux sociaux fédérés ? Très bien là aussi, mais vous n'attirez aucune marque, aucun gros club sportif, aucune administration et très rarement les médias. Les gens se servent de Facebook et de Twitter pour lire des infos, pour remonter des problèmes, les community managers deviennent maintenant plus réactifs que les hotlines téléphoniques.
Et, outre le comportement détestable de certains admins, les outils de transfert de comptes entre instances ne résolvent pas plein de manques assez déplorables.
Les outils d'auto-hébergement tels que les CHATONS ? Très bien là encore… sauf que j'ai vu des gens mettre leurs documents sur un petit raspberry pi, sans onduleur et surtout sans backups. L'administration de trop nombreux serveurs reste une catastrophe, l'installation d'instances personnelles est souvent traité par dessus la jambe, alors promettre à Monsieur Michu il sera plus libre de perdre tous ses courriels et documents sur un serveur d'un particulier plutôt que chez Google… on frise l'irresponsabilité. Ces gens là iront au mieux vers les instances de leurs FAI ou du constructeur d'ordinateur, au pire vers le bancassureur (coucou les filiales de la Caisse des dépôts et Consignation) ou l'État.
Les distributions Linux ? J'ai des exemples d'un manque flagrant de tests. Impossible d'y passer quelqu'un qui a déjà du mal avec son Windows si c'est pour risquer à la mise à jour des plantages de drivers vidéo à répétition. Si on suggère une telle migration, il faut en accepter les responsabilités. Or, il y a trop peu d'évènements grand-publics de soutien à Linux. J'ai cherché à Paris pour mes parents, à part le premier samedi du mois à la Villette, c'était misère de LUG.
La communauté logicielle en général ? Les logiciels de sécurisation et les logiciels libres qui s'y rapportent manquent cruellement de moyens et de participants (développeurs, graphistes, UX, rédacteurs de documentations, relecteurs, traducteurs, testeurs,…). Songez à la triste histoire d'OpenSSH sur lequel repose une part importante de notre sécurité mais l'entité qui la développe, OpenBSD, n'a qu'un budget famélique au point d'avoir risqué la fermeture 6 mois après les révélations Snowden.
Tant qu'on n'a pas un effort global de ce côté là, on restera avec des outils de nerds avec des fonctions de fou, mais totalement incapables d'apporter de la sécurité à tout le monde. Autant proposer des cours d'autodéfense via le tir avec une automitrailleuse.
Parce qu'on n'est pas aidés
Par AdBlock Plus et consorts qui rançonnent les éditeurs pour passer les pubs et donc opèrent un antipub sélectif basé sur le pizzo.
Par des journaux qui tordent l'application du RGPD et le consentement avec plus de 5000 cases à décocher.
Par Apple qui interdit tout autre moteur de rendu web sur ses produits autres que son webkit bugué. On a bien compris qu'ils ont plutôt intérêt à favoriser leur app store proprio et exclusif.
Par les journaux et personnalités politiques qui ne parlent de Tor que comme un outil de criminalité. Si Reporters Sans Frontières, et les autres ONG qui s'en servent pouvaient défendre plus souvent cet outil qui leur est indispensable, peut-être il y aurait plus de gens qui installeraient des relais et des points de sortie pour que Tor soit un peu plus rapide.
Par les banques qui considèrent un mot de passe numérique à 4 à 8 chiffres comme sûr
sans aucune double vérification, ni même un travail d'impact. Ou encore par PayPal qui n'accepte pas les mots de passe avec le caractère espace dedans et/ou de plus de 20 caractères (si si ! essayez !).
Par les banques, encore, qui on poussé le paiement sans contact alors qu'il n'y a rien de moins sécurisé comme moyen de paiement à tous points de vue (confidentialité, solidité, piratage).
Par les banques, encore et toujours, qui parlent de signature numérique
la recopie du code envoyé par SMS, dont le début est parfaitement visible sur un smartphone verrouillé, ou qui considèrent leurs sites comme sûrs
alors qu'ils sont hyper-mal notés en solidité https://, mais qui n'acceptent toujours pas les pièces jointes par PGP.
Par les spécialistes
en sécurité qui poussent la biométrie, alors qu'elle n'est qu'un moyen d'identification, nullement d'authentification et de consentement, et qui possède des risques énormes en terme de sécurité et de fuites de données personnelles.
Par les constructeurs de véhicules et l'Union Européenne qui impose désormais une connectivité non-stop sur tous les véhicules neufs, sans réelle possibilité de déconnexion pour les acheteurs.
Par les opérateurs mobiles et les équipementiers qui ont poussé la non-neutralité du net par défaut dans le futur réseau 5G, au lieu de distribuer différemment les usages.
Par l'État qui veut censurer le porno
sur internet en obligeant à déclarer son identité à un tiers public pour l'accès à du contenu pour personnes majeures
. Vous seriez capable de définir le porno avec des critères absolus, vous ? Car dans d'autres démocraties occidentales, les articles sur le cancer du sein, l'avortement ou les tableaux avec scènes naturistes y sont classés comme tels. Eh oh ! Mounir ! Elles serviront à quoi ces listes d'érotomanes ainsi constituées ?
Par Yubikey qui se sert de l'e-mail renseigné pour les alertes sécurité afin d'envoyer des articles promotionnels
, c'est à dire du spam.
Par Facebook qui se sert du numéro de téléphone renseigné pour la double-authentification pour faire des pushes publicitaires
, c'est à dire encore du spam.
Merci pour ce moment de sabotage.
Mais encore…
Parce que la CNIL a étrangement communiqué sur le RGPD : on sera très cool durant les premiers mois
. Erreur de communication, erreur de stratégie, trop de personnes l'ont pris à la légère. Et d'un autre côté, la CNIL n'a pas eu les moyens de répondre au flot de questions qui leur sont arrivées (rajouter des pépètes dans la Hahahadopi était plus urgent).
Parce que des institutionnels (ou supposés) vous appellent et ont déjà calé une date, un lieu, des conditions pour une conférence et vous convoquent pour la faire. Ben non, nous sommes bénévoles, et pas à votre disposition pour votre cycle mensuel de conférences. Et oui, nous avons des conditions : si l'accès n'y sera pas ouvert à tout public, non, ce n'est pas une cryptoparty pour nous, et vous ne pouvez nous en imposer le nom.
Parce qu'au nom de la lutte antiterroriste ou sous couvert de smart city, des (ir)responsables politiques poussent la vidéo-surveillance couplée à des algorithmes de reconnaissance ; toujours dans cette ruineuse névrose d'un freak-control, voulant absolument reconnaître les gens dans la rue ou les transports en communs, savoir qui ils sont, où ils vont et à quelle heure. Une banalisation des moyens de pistage, avec une vision idyllique de se que fait la Chine, capable d'arrêter des criminels dans la rue
, en oubliant que lesdits criminels
sont bien souvent des opposants politiques ou des gens qui ne revenaient pas à des personnes puissantes. Ce qui laisse songeur quand à la conception de la démocratie chez nos décideurs politiques.
Oui, même si nous sommes innocents, nous avons forcément quelque chose à cacher. Nous sommes devenus des citoyens suspects de n'importe quoi, ce n'est pas nous les paranos mais ceux qui poussent cette politique de surveillance totale.
Parce que des bien-pensants m'ont tancé de faire des cryptoparty pour le grand public, alors que nous suivons le mouvement tel que l'a voulu Asher Wolf en le lançant : aller dans les restaus, les cafés, les bibliothèques et ouvrir l'audience à toutes et à tous sans favoriser un public précis. Car dans les problèmes de sécurité, tout le monde est concerné, on ne progressera qu'ensemble.
Parce que certains font de l'entrisme politique, militant pour une cause qui n'a rien à voir avec le sujet, veulent absolument faire un sujet qu'ils jugent indispensable
dans la cryptoparty et deviennent verbalement insultants et violents quand on leur fait remarquer que ce n'est absolument pas le sujet. Les théories du complot, les causes syndicales ou la publicité pour des logiciels n'y ont rien à y faire. Mélanger tous les combats est devenu à la mode pour empêcher toute résolution sereine. Pourquoi vouloir tout envenimer si ce n'est pour ne volontairement rien résoudre et laisser tout le monde dans la fange ?
Parce qu'on est mal défendus quand la Quadrature Du Net dit officiellement que l'adoption de l'article 13 de la directive copyright n'est pas une défaite
. Je résume leur raisonnement : si c'est censuré chez les GAFAM, les gens iront vers les CHATONS
. Non, jamais le grand public se tournera vers les CHATONS pour ça, jamais.
C'est la seule asso du genre à considérer comme une victoire une défaite majeure pour la liberté d'expression. Outre une perte de crédibilité effrayante avec cette concession inacceptable, ils ont envoyé balader les positions de l'EFF, de Wikimedia/Wikipedia et de l'euro-député Julia Reda du Parti Pirate. L'Article 13 va surtout justifier l’autodafé de toutes les œuvres originales publiées sur Youtube depuis 2005, pour lesquels la plateforme a un rôle oublié mais primordial pour les petits créateurs qui se font voler leurs contenus par des gros producteurs institutionnels : l'antériorité, en tant que tiers indépendant des partis. Oui, vous avez craché à la gueule à des milliers de créateurs en leur disant z'aviez qu'à ne pas être sur Youtube !
, alors que les solutions alternatives utilisables n'ont émergé qu'en début d'année, donc vous êtes complices de ce lobby industriel du divertissement que vous vouliez changer y'a 10 ans.
Il y a pourtant des personnes formidables au sein de LQDN mais… Pourquoi faire le jeu de la Hadopi ? Pourquoi juger aussi génial l'arrivée d'une censure automatique de robot-copyright sans intervention humaine avec de potentiels faux-positifs contre des œuvres originales ou dans le domaine public ? Pourquoi abandonner la défense de nos libertés pour un résultat aussi… médiocre ?
Avait-on vraiment besoin de se tirer dans les pattes ?
Merci de nous rappeler combien notre combat manquait d'embûches
Depuis 5 ans, certains ont redirigé les attaques qui me sont personnellement destinées contre le collectif, étant le plus visible du groupe. Pour des accusations de pouvoir, d'intérêt pécunier, de court-circuiter des institutions et de captation d'attention des personnes qu'ils snobent eux-même.
Pourtant, j'ai jamais voulu faire des cryptoparty un business, une rente ou une exclusivité : j'ai bien d'autres activités, et je produit bien d'autres choses en tant que bénévole sans jamais avoir voulu en tirer un quelconque bénéfice, sinon de m'instruire. Et d'ailleurs, j'ai toujours relayé les communications autours d'événements qui allaient dans le même sens. Espérons que ces voix persifleuses se calment, ou déploient leur trop plein d'énergie sur d'autres causes qui en ont bien plus besoin.
Il y a de la place pour tout le monde : des lieux, du public, des moyens, des orateurs, ce n'est vraiment pas ça qui manque. Plus il y en a, mieux ça sera pour nous tous. Et on n'a pas le temps de se chamailler stupidement.
NON, je n'abandonne pas les cryptoparty. Faute de temps, j'ai délégué à un autre, mais je participe toujours si je n'ai pas à prendre en charge la logistique.
Par contre, j'insiste sur le fait d'y mettre plus d'histoire, d'aller au-delà de nos ordinateurs. En week-end à Berlin, Jérémie Zimmermann m'a conseillé d'aller faire un tour à la Topographie de la Terreur. L'exposition extérieure nous montre comment le parti Nazi a pris complètement le pouvoir en Allemagne en une seule année ; et pas que de l'État, mais aussi des clubs sportifs, des universités et des syndicats. Nous n'avons eu le temps de faire le musée de la Stasi, mais je suis convaincu qu'un fichage des individus n'est pas envisageable de sitôt en Allemagne. Cela explique en partie que les transports en communs y sont réellement anonymes.
On a un sérieux besoin de se remettre en question, d'améliorer la qualité sur l'ensemble de la chaine de sécurisation informatique. Si un effort global n'est pas fait sur tout l'échelle, c'est Echelon qui gagnera.
14 réactions
1 De Zenographie - 08/10/2018, 14:01
... ce que News0ft résume par cette pensée lapidaire "La sécurité est un échec".
Et d'une manière plus générale, tant que la "protection" sera une idée de gauche et la "sécurité" un principe de droite, cette situation perdurera et se noiera dans ses propres sécrétions. Lire à ce sujet le remarquable article de Dan Geer sur la complexité croissante des systèmes de protection et les effets pervers de cette complexité.
2 De Buzut - 08/10/2018, 16:45
Merci pour cet article !
Je veux bien les références pour les véhicules neufs connectés et la 5g si tu les as.
3 De Machinator - 08/10/2018, 16:53
Depuis 25 ans que je travaille dans le secteur informatique, je n'ai jamais vu autant de buzzwords et d'usurpateurs que dans le domaine de la sécurité informatique...mais rassurez-vous, vous êtes rattrapés par les buzzwords de l'IA, du machine learning et toutes ces conneries marketing.
Oui la sécurité est un échec et j'en ai marre de répéter depuis 20 ans, les mêmes choses, alors la mère Michu n'a qu'à lire et se prendre en charge au lieu de glander devant C8.
4 De tkpx - 08/10/2018, 21:57
Merci pour ton article.
Sache que tu n'es pas seul à faire ce constat.
Je ne lâche pas les armes pour autant, je pense justement que c'est surtout maintenant qu'il faut continuer, bien qu'on ai l'impression de faire du sur place.
Courage !
5 De ludo - 09/10/2018, 10:24
Belle analyse c'est super d'avoir essayé si longtemps. T'as oublié un point. Les gens ne comprennent aucun des enjeux car l'informatique n'est enseigné a l'école que comme un outil, on n'explique pas comment ça fonctionne - on donne juste un équivalent du permis sans expliquer comment faire l'entretien d'une voiture. Faudrait un carnet d'entretien pour le matériel/logiciel informatique
6 De Kazer67 - 09/10/2018, 14:12
J'ai pas eu le temps encore de tout lire, mais je t'arrête sur les OTPs Android.
AndOTP permet non seulement de gérer les OTPs standards comme l'appli Google Auth, mais permet aussi d'exporter et importer facilement. C'est déjà un progrès.
Seul les OTPs non standards (Steam, Blizzard etc.) sont compliqués.
7 De RO10 - 09/10/2018, 15:25
J'ai un peu le même désespoir qui monte parfois. Ça m'inquiète que tu dises la même chose. Pourtant cela a été pire par le passé je crois. Oui, je sais, il y a mieux pour te réconforter ; mais je crois que c'est vrai. On a gagné le droit d'apprendre la cryptographie et de l'enseigner, on a gagné un bon petit paquet de moyens de calculs honnêtes accessibles à tous (pas des supercalculateurs, mais un peu quand même), on a de bon bouquins même s'ils ne sont pas assez lus, et le public a compris je crois qu'il y avait un truc louche dans tous ça. Et moi je ne me sens plus aussi seul qu'avant malgré tout.
Après, qu'est-ce que tu en attendais au fait. C'est quoi la sécurité informatique pour tous? Dis-nous. Rêvons un peu. Ça fait du bien.
8 De eliott - 10/10/2018, 00:15
Rien de nouveau hélas : le marketing s'approprie le buzzword pour faire vendre. Je lis de plus en plus d'articles qui étiquettent la blockchain comme un "gage de sécurité". Infobésité : tout va trop vite, le grand-public n'a même plus le temps de lire que Facebook a été hacké qu'on leur annonce que le réseau social Google+ va être enterré avec tous ses bugs, après la virevolte de la mise à jour de Chrome. Et tout ça, pendant que Mme Michu précédemment cité reçoit des spams de rançon Bitcoins avec ses mots de passe en clair récupérés depuis les piratages de LinkedIn, Twitter, Badoo, Hotmail... (and counting) Tous ces GAFAMs n'ont que la course à la volumétrie en tête et rien d'autre, le privacy et security by design sont des concepts qui apparaissent seulement aujourd'hui chez les éditeurs logiciels... le réveil est dur, la gueule de bois est carabinée. Don't do evil. Don't be evil. Do the right thing c'est encore plus flou et plus creux.
9 De Damien - 10/10/2018, 08:40
C'est dense comme article mais super intéressant :)
Un point a retenu mon attention:
Par les constructeurs de véhicules et l'Union Européenne qui impose désormais une connectivité non-stop sur tous les véhicules neufs, sans réelle possibilité de déconnexion pour les acheteurs.
une source ?
10 De cdg - 10/10/2018, 09:44
Deprimant surtout quand on pense que l auteur a raison.
J ajouterai que le combat est surtout perdu parce que le grand public s en moque.
Deja 98 % des gens ne comprennent rien a l informatique et pire ils se moquent d etre espionne (essayez parmi vos proche. la plupart vous dirons qu ils s en moquent, qu ils n ont rien a cacher)
Quant a la liste de l article, n oublions pas que la securite c est pour les gestionnaires un cout supplementaire et que ca ne rapporte rien. donc autant le faire a minima. ET je suis persuade que nos dirigeants revent de pouvoir faire comme en chine : censurer tout ce qui ne leur plait pas et pouvoir controler le flux d information. Ils devraient quand meme se mefire car ca risque de se retourner contre eux meme s ils sont puissants (Xi a mit Bo Xilai en prison)
Pour conclure sur une note plus positive, c est vrai que si vous comptez sur les LUG pour installer linux vous etes mal. Par contre j ai installe plusieurs PC avec linux pour famille/ami. Simplement je fais le support moi meme. ce qui veut dire repondre au telephone quand ils ont un probleme (souvent mineur) et prendre la main sur le PC si necessaire (Merci NX et ssh). C est pas tres chronophage au final
11 De K - 12/10/2018, 22:20
Ce n est pas un échec, loin de la. J appel cela la sélection naturelle.
12 De Jeanarobase - 13/10/2018, 16:22
Bonjour à toutes et à tous,
Je partage pas mal d'analyses ci-dessus, et dis d'abord d'où je viens ; de PC en 1990, je suis passé à Mac en 1992, et en 2015, à GNU/Linux, via Ubuntu, Fedora, Mint, et manitenant Debian. J'ai découvert les communautés du Libre, et ça contine de m'enthousiasmer. Cependant, en explorant les documentations et les forums, je constate avec horreur (je suis ergonome de l'activité humaine) que les structures d'information, de communication des connaissances sur l'usage des outils GNU/Linux au sens large, ne repose sur aucune approche en ergonomie cognitive. L'exemple le plus flagrant est que, le plus souvent, peut-être par manque de traduction, les rédacteurs ou rédactrices font comme s'il était de bon ton d'écrire en anglais, et d'ajouter dans leurs textes, des acronymes pour les seuls initiés...
Je pense qu'on pourrait ouvrir un chantier pour comprendre les caractéristiques des populations qui s'intéressent à GNU/Linux, puis trouver comment chacune pense ses actes devant un ordinateur, puis élaborer des moyens de partage des connaissances qui soient adaptés aux destinataires et non aux émetteurs...
Je fais court, je n'ai pas le souci de briller, ni besoin de reconnaissance, mais seulement la volonté de rendre service en échange de tout ce que j'ai déjà reçu, et c'est colossal, de la communauté du Libre.
13 De NumOpen - 15/10/2018, 15:37
Pour les Install-Party, j'ai rédigé des documentations pour installer et paramétrer Linux Mint MATE. J'ai essayé de les faire compréhensibles par le grand public, mais ce n'est pas évident. Après, il manque la grosse partie notice d'utilisation.
14 De Etienne - 10/02/2019, 08:53
Il y a aussi un certain fatalisme chez une partie de la population, qui n'est pas débutante en informatique mais pas calée en sécurité, qui se dit "de toute façon, on ne peut rien faire pour se protéger, il y a toujours quelqu'un de plus doué que nous" et "si le gouvernement veut nous espionner, nous n'avons pas les connaissances pour nous protéger". C'est un peu le pendant du "rien à cacher" finalement. Le mot "sécurité informatique" renvoie une image d'attaque de hackers ou de virus, alors qu'il faudrait parler plus globalement de "surveillance", de l'impact que nos traces numériques vont avoir sur notre vie et celle de nos proches, déjà aujourd'hui mais encore plus demain.