La sécurité informatique grand public est un échec

• OCaml 4.06 et 4.07
• Un lien entre le hongrois et le turc ?

En 2012, j’ai été invité par des comparses du Tetalab pour faire une présentation à la toute première cryptoparty de Toulouse. Puis ces mêmes comparses m’ont poussé à en reprendre l’organisation pour monter la seconde, et d’autres encore… Je croyais qu’on pouvait combattre l’insécurité endémique de nos ordinateurs en formant les utilisateurs autour de nous.

Nous avons des partenaires indirects formidables comme les Café Vie Privée, l'EFF, Mozilla (et son formidable Bulletin de Santé d’Internet), Brave, Exodus Privacy, Let’s Encrypt, les LUG comme Toulibre, les bibliothèques publiques ou la presse comme NextInpact, les articles d’Amaelle Guiton dans Libération ou Le Canard Enchainé qui vient de sortir un cahier spécial de fort belle facture. Nous avons vu des progrès inespérés comme le passage grandissant au https:// ou encore la progression de Silence ou des outils de mots de passe hors-ligne et sécurisés. Sans oublier le nombre croissants de livres de vulgarisation écrits par des vrais spécialistes de la question (mais qui ne se vendent trop peu)…

Et pourtant, la sécurité informatique grand public est un échec, et malgré les cryptoparty et autres évènements sur la vie privée organisés un peu partout, les avancées sont nulles. Franchement nulles.

• D'abord parlons de nous-même :
• Parce que les outils ne sont pas prêts :
• Parce qu'on n'est pas aidés
• Mais encore…
• Merci de nous rappeler combien notre combat manquait d'embûches

D'abord parlons de nous-même :

Parce qu’on n’a pas toujours le temps. On n’a que trop rarement pu caler les rendez-vous pour répéter, nos slides n’ont pas été centralisés suffisamment tôt, ou tout simplement, nous n’étions pas assez nombreux pour animer. Le faire tout seul, je l’ai fait trop souvent et me gène profondément. Je sais débiter nos mantras, mais d’autres doivent se l’approprier. Il y a un regard très différent du public quand on est plusieurs et qu’on tourne : l’ambiance est plus vivante, ils osent alors vous aborder. L’inclusivité passe aussi par les dialogues individuels car les cas personnels demandent du conseil.

Parce que trop d’entre nous se prennent trop au sérieux. Devant le public, il faut rappeler qu’on dit parfois des bêtises, qu’on est peut-être un peu trop paranos,… Si vous ne jouez que sur la peur, vous ne valez pas mieux que les vendeurs d’antivirus ou les partis extrémistes : vous usez de bas-instincts et donc vous n’aidez pas les gens à réfléchir. Vous êtes exactement comme ceux qui poussent des mesures liberticides à chaque attentat.

Parce que je vois encore trop de slides illisibles à 10 mètres. Pourquoi vouloir caser 15 lignes de texte ? Une seule idée par slide, c’est si compliqué ? Nous n’avons pas qu’un public de spécialistes, ne les noyez pas. C’est justement pour apprendre à parler à un public de non-spécialistes que j’ai toujours cherché de nouveaux orateurs.

Parce que nombre d’intervenants potentiels veulent faire des conférences de 2 heures non-stop sur des concepts techniques comme la protection mémoire du kernel linux, les principes mathématiques des algos PGP ou le routage BGP, et qu’ils trouvent infantilisant de parler de force de mot de passe ou de vérifier les droits d’une application. Stop ! Redescendez de votre piédestal ! On ne monte pas une Def Con ! On respire, et on regarde les gens dans la rue : ils ont besoin que nos propos restent simples et humbles.

Parce qu’on a pas recentralisé toutes nos productions. Notamment les slides, la documentation, etc… ou mutualisé avec des associations amies.

Parce que les outils ne sont pas prêts :

L’usage du PGP dans les e-mails ? Outre que via un webmail c’est risible, les outils actuels ne sont absolument pas pratiques. Dans la plupart des cas d’usages où j’ai pu convertir des gens, ils l’ont abandonné après un mois car trop compliqués. On a un immense souci de travail sur l’UX, sur l’interface, sur la traduction, sur la documentation, sur les tutoriels.

Les outils de double-authentification ? Très bien, sauf qu’il est impossible d’exporter les clés privés des apps android en dehors du smartphone sans manœuvres trèèèès compliquées (rooter le smartphone, copier dans une arborescence non publique, redérooter le smartphone). Eh oui, la conception est trop costaud. Si le smartphone est réinstallé, cassé, perdu, volé ou changé, les accès sont perdus.

Les réseaux sociaux fédérés ? Très bien là aussi, mais vous n’attirez aucune marque, aucun gros club sportif, aucune administration et très rarement les médias. Les gens se servent de Facebook et de Twitter pour lire des infos, pour remonter des problèmes, les community managers deviennent maintenant plus réactifs que les hotlines téléphoniques. Et, outre le comportement détestable de certains admins, les outils de transfert de comptes entre instances ne résolvent pas plein de manques assez déplorables.

Les outils d’auto-hébergement tels que les CHATONS ? Très bien là encore… sauf que j’ai vu des gens mettre leurs documents sur un petit raspberry pi, sans onduleur et surtout sans backups. L’administration de trop nombreux serveurs reste une catastrophe, l’installation d’instances personnelles est souvent traité par dessus la jambe, alors promettre à Monsieur Michu il sera plus libre de perdre tous ses courriels et documents sur un serveur d’un particulier plutôt que chez Google… on frise l’irresponsabilité. Ces gens là iront au mieux vers les instances de leurs FAI ou du constructeur d’ordinateur, au pire vers le bancassureur (coucou les filiales de la Caisse des dépôts et Consignation) ou l’État.

Les distributions Linux ? J’ai des exemples d’un manque flagrant de tests. Impossible d’y passer quelqu’un qui a déjà du mal avec son Windows si c’est pour risquer à la mise à jour des plantages de drivers vidéo à répétition. Si on suggère une telle migration, il faut en accepter les responsabilités. Or, il y a trop peu d’évènements grand-publics de soutien à Linux. J’ai cherché à Paris pour mes parents, à part le premier samedi du mois à la Villette, c’était misère de LUG.

La communauté logicielle en général ? Les logiciels de sécurisation et les logiciels libres qui s’y rapportent manquent cruellement de moyens et de participants (développeurs, graphistes, UX, rédacteurs de documentations, relecteurs, traducteurs, testeurs,…). Songez à la triste histoire d’OpenSSH sur lequel repose une part importante de notre sécurité mais l’entité qui la développe, OpenBSD, n’a qu’un budget famélique au point d’avoir risqué la fermeture 6 mois après les révélations Snowden.

Tant qu’on n’a pas un effort global de ce côté là, on restera avec des outils de nerds avec des fonctions de fou, mais totalement incapables d’apporter de la sécurité à tout le monde. Autant proposer des cours d’autodéfense via le tir avec une automitrailleuse.

Parce qu'on n'est pas aidés

Par AdBlock Plus et consorts qui rançonnent les éditeurs pour passer les pubs et donc opèrent un antipub sélectif basé sur le pizzo.

Par des journaux qui tordent l’application du RGPD et le consentement avec plus de 5000 cases à décocher.

Par Apple qui interdit tout autre moteur de rendu web sur ses produits autres que son webkit bugué. On a bien compris qu’ils ont plutôt intérêt à favoriser leur app store proprio et exclusif.

Par les journaux et personnalités politiques qui ne parlent de Tor que comme un outil de criminalité. Si Reporters Sans Frontières, et les autres ONG qui s’en servent pouvaient défendre plus souvent cet outil qui leur est indispensable, peut-être il y aurait plus de gens qui installeraient des relais et des points de sortie pour que Tor soit un peu plus rapide.

Par les banques qui considèrent un mot de passe numérique à 4 à 8 chiffres comme "sûr" sans aucune double vérification, ni même un travail d’impact. Ou encore par PayPal qui n’accepte pas les mots de passe avec le caractère espace dedans et/ou de plus de 20 caractères (si si ! essayez !).

Par les banques, encore, qui on poussé le paiement sans contact alors qu’il n’y a rien de moins sécurisé comme moyen de paiement à tous points de vue (confidentialité, solidité, piratage).

Par les banques, encore et toujours, qui parlent de "signature numérique" la recopie du code envoyé par SMS, dont le début est parfaitement visible sur un smartphone verrouillé, ou qui considèrent leurs sites comme "sûrs" alors qu’ils sont hyper-mal notés en solidité https://, mais qui n’acceptent toujours pas les pièces jointes par PGP.

Par les "spécialistes" en sécurité qui poussent la biométrie, alors qu’elle n’est qu’un moyen d’identification, nullement d’authentification et de consentement, et qui possède des risques énormes en terme de sécurité et de fuites de données personnelles.

Par les constructeurs de véhicules et l’Union Européenne qui impose désormais une connectivité non-stop sur tous les véhicules neufs, sans réelle possibilité de déconnexion pour les acheteurs.

Par les opérateurs mobiles et les équipementiers qui ont poussé la non-neutralité du net par défaut dans le futur réseau 5G, au lieu de distribuer différemment les usages.

Par l’État qui veut censurer "le porno" sur internet en obligeant à déclarer son identité à un tiers public pour l’accès à du contenu "pour personnes majeures". Vous seriez capable de définir le porno avec des critères absolus, vous ? Car dans d’autres démocraties occidentales, les articles sur le cancer du sein, l’avortement ou les tableaux avec scènes naturistes y sont classés comme tels. Eh oh ! Mounir ! Elles serviront à quoi ces listes d’érotomanes ainsi constituées ?

Par Yubikey qui se sert de l’e-mail renseigné pour les alertes sécurité afin d’envoyer des "articles promotionnels", c’est à dire du spam.

Par Facebook qui se sert du numéro de téléphone renseigné pour la double-authentification pour faire "des pushes publicitaires", c’est à dire encore du spam. Merci pour ce moment de sabotage.

Mais encore…

Parce que la CNIL a étrangement communiqué sur le RGPD : " on sera très cool durant les premiers mois". Erreur de communication, erreur de stratégie, trop de personnes l’ont pris à la légère. Et d’un autre côté, la CNIL n’a pas eu les moyens de répondre au flot de questions qui leur sont arrivées (rajouter des pépètes dans la Hahahadopi était plus urgent).

Parce que des institutionnels (ou supposés) vous appellent et ont déjà calé une date, un lieu, des conditions pour une conférence et vous convoquent pour la faire. Ben non, nous sommes bénévoles, et pas à votre disposition pour votre cycle mensuel de conférences. Et oui, nous avons des conditions : si l’accès n’y sera pas ouvert à tout public, non, ce n’est pas une cryptoparty pour nous, et vous ne pouvez nous en imposer le nom.

Parce qu’au nom de la lutte antiterroriste ou sous couvert de smart city, des (ir)responsables politiques poussent la vidéo-surveillance couplée à des algorithmes de reconnaissance ; toujours dans cette névrose d’un freak-control, voulant absolument reconnaître les gens dans la rue ou les transports en communs, savoir qui ils sont, où ils vont et à quelle heure. Une banalisation des moyens de pistage, avec une vision idyllique de se que fait la Chine, capable "d’arrêter des criminels dans la rue", en oubliant que lesdits "criminels" sont bien souvent des opposants politiques ou des gens qui ne revenaient pas à des personnes puissantes. Ce qui laisse songeur quand à la conception de la démocratie chez nos décideurs politiques. Oui, même si nous sommes innocents, nous avons forcément quelque chose à cacher. Nous sommes devenus des citoyens suspects de n’importe quoi, ce n’est pas nous les paranos mais ceux qui poussent cette politique de surveillance totale.

Parce que des bien-pensants m’ont tancé de faire des cryptoparty pour le grand public , alors que nous suivons le mouvement tel que l’a voulu Asher Wolf en le lançant : aller dans les restaus, les cafés, les bibliothèques et ouvrir l’audience à toutes et à tous sans favoriser un public précis. Car dans les problèmes de sécurité, tout le monde est concerné, on ne progressera qu’ensemble.

Parce que certains font de l’entrisme politique, militant pour une cause qui n’a rien à voir avec le sujet, veulent absolument faire un sujet qu’ils jugent "indispensable" dans la cryptoparty et deviennent verbalement insultants et violents quand on leur fait remarquer que ce n’est absolument pas le sujet. Les théories du complot, les causes syndicales ou la publicité pour des logiciels n’y ont rien à y faire. Mélanger tous les combats est devenu à la mode pour empêcher toute résolution sereine. Pourquoi vouloir tout envenimer si ce n’est pour ne volontairement rien résoudre et laisser tout le monde dans la fange ?

Parce qu’on est mal défendus quand la Quadrature Du Net dit officiellement que l’adoption de l’article 13 de la "directive copyright n’est pas une défaite". Je résume leur raisonnement : "si c’est censuré chez les GAFAM, les gens iront vers les CHATONS". Non, jamais le grand public se tournera vers les CHATONS pour ça, jamais. C’est la seule asso du genre à considérer comme une victoire une défaite majeure pour la liberté d’expression. Outre une perte de crédibilité effrayante avec cette concession inacceptable, ils ont envoyé balader les positions de l'EFF, de Wikimedia/Wikipedia et de l’euro-député Julia Reda du Parti Pirate. L’Article 13 va surtout justifier l’autodafé de toutes les œuvres originales publiées sur Youtube depuis 2005, pour lesquels la plateforme a un rôle oublié mais primordial pour les petits créateurs qui se font voler leurs contenus par des gros producteurs institutionnels : l’antériorité, en tant que tiers indépendant des partis. Oui, vous avez craché à la gueule à des milliers de créateurs en leur disant "z’aviez qu’à ne pas être sur Youtube !", alors que les solutions alternatives utilisables n’ont émergé qu’en début d’année, donc vous êtes complices de ce lobby industriel du divertissement que vous vouliez changer y’a 10 ans. Il y a pourtant des personnes formidables au sein de LQDN mais… Pourquoi faire le jeu de la Hadopi ? Pourquoi juger aussi génial l’arrivée d’une censure automatique de robot-copyright sans intervention humaine avec de potentiels faux-positifs contre des œuvres originales ou dans le domaine public ? Pourquoi abandonner la défense de nos libertés pour un résultat aussi… médiocre ?

Avait-on vraiment besoin de se tirer dans les pattes ?

Merci de nous rappeler combien notre combat manquait d'embûches

Depuis 5 ans, certains ont redirigé les attaques qui me sont personnellement destinées contre le collectif, étant le plus visible du groupe. Pour des accusations de pouvoir, d’intérêt pécunier, de court-circuiter des institutions et de captation d’attention des personnes qu’ils snobent eux-même. Pourtant, j’ai jamais voulu faire des cryptoparty un business, une rente ou une exclusivité : j’ai bien d’autres activités, et je produit bien d’autres choses en tant que bénévole sans jamais avoir voulu en tirer un quelconque bénéfice, sinon de m’instruire. Et d’ailleurs, j’ai toujours relayé les communications autours d’événements qui allaient dans le même sens. Espérons que ces voix persifleuses se calment, ou déploient leur trop plein d’énergie sur d’autres causes qui en ont bien plus besoin.

Il y a de la place pour tout le monde : des lieux, du public, des moyens, des orateurs, ce n’est vraiment pas ça qui manque. Plus il y en a, mieux ça sera pour nous tous. Et on n’a pas le temps de se chamailler stupidement.

NON, je n’abandonne pas les cryptoparty. Faute de temps, j’ai délégué à un autre, mais je participe toujours si je n’ai pas à prendre en charge la logistique.

Par contre, j’insiste sur le fait d’y mettre plus d’histoire, d’aller au-delà de nos ordinateurs. En week-end à Berlin, Jérémie Zimmermann m’a conseillé d’aller faire un tour à la Topographie de la Terreur. L’exposition extérieure nous montre comment le parti Nazi a pris complètement le pouvoir en Allemagne en une seule année ; et pas que de l’État, mais aussi des clubs sportifs, des universités et des syndicats. Nous n’avons eu le temps de faire le musée de la Stasi, mais je suis convaincu qu’un fichage des individus n’est pas envisageable de sitôt en Allemagne. Cela explique en partie que les transports en communs y sont réellement anonymes.

On a un sérieux besoin de se remettre en question, d’améliorer la qualité sur l’ensemble de la chaine de sécurisation informatique. Si un effort global n’est pas fait sur tout l’échelle, c’est Echelon qui gagnera.

• OCaml 4.06 et 4.07
• Un lien entre le hongrois et le turc ?