PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Les logiciels de sauvegarde

samedi 16 avril 2016 à 13:46
Je suis toujours en pleine recherche du Graal de la sauvegarde : l'outil universel qui permet de sauvegarder ses données, sur une fenêtre d'environ un mois, de les chiffrer, et de les restaurer facilement.

J'ai équipé la maison d'un magnifique NAS de 12 To que je souhaite dédier aux sauvegardes des différents ordinateurs, du NAS de partage de données, ainsi que des différentes tablettes et téléphones.

Voici où j'en suis de mes réflexions : ce n'est pas si simple...

Le NAS de sauvegarde est géré (très efficacement et très simplement) par OpenMediaVault. Je présente d'ailleurs la solution de principe dans ce billet.


Les ordinateurs.

Les ordinateurs de la maison sont tous de nature différente :
- deux fixes sous Windows
- un fixe sous Windows dans un réseau privée sécurisé (boîtier RPVA)
- deux portables sous Windows
- un fixe sous GNU/Linux

J'utilise le logiciel BackupPC, installé sur le serveur de sauvegarde, qui permet de sauvegarder des environnements hétérogènes. Le principal défaut, je trouve, est sa complexité de configuration, en particulier des inclusions/exclusions. J'ai fini par y arriver, mais j'ai trouvé cela fastidieux...

Je voulais utiliser le système sur tous les postes, quand je me suis rendu compte que l'ordinateur situé derrière le boîtier RPVA (Navista) n'était pas "pingable" et que le serveur de sauvegarde ne pourrait pas le joindre (alors que l'inverse est vrai). J'ai donc choisi de mettre en place un serveur VPN (OpenVPN) dédié à ce poste (sans routage) pour que le serveur puisse le voir. Ça fonctionne plutôt bien.

Puis, un internaute m'a orienté vers le logiciel Veeam Endpoint Backup Free, que je ne connaissais pas alors que j'utilise la version professionnelle au boulot. Du coup, je l'ai installé sur tous les postes sous Windows, avec l'avantage de ne pas avoir à créer un compte "backup" local. Ce logiciel crée des images ISO de boot en cas de panne et sauvegarde l'intégralité du disque dur via le mécanisme Microsoft VSS (ie les fichiers ouverts). C'est simple, gratuit, pratique et facile à utiliser. Seul défaut : la partie serveur est payante. Du coup, j'ai créé un partage Windows sur le serveur de sauvegarde, où sont stockées toutes les sauvegardes Veeam. Pour éviter la contamination par cryptovirus, j'ai préféré créer un partage différent pour chaque PC sauvegardé (avec un user différent, invisible des autres). Exit donc la déduplication...

Enfin, pour le PC sous GNU/Linux (Mint), j'utilise BackupPC qui fonctionne, mais je teste aussi Back In Time qui a l'air très efficace (et très simple à paramétrer).


Le NAS familial.

Il s'agit d'un Synology DS713+ encore pour l'instant sous DSM 5.2 (la v6 vient juste de sortir). Il s'agit d'un système d'exploitation utilisant un noyau Linux, et donc qui possède les outils rsync(d). J'utilise donc BackupPC pour le sauvegarder et cela fonctionne très bien.


Les tablettes et téléphones.

C'est pour l'instant en stand-by... J'utilise les comptes Google créés pour chaque appareil Android, et iTunes/iCloud pour les appareils Apple. Certains vieux téléphones doivent être sauvegardés à la main sur le PC de son propriétaire, le PC étant ensuite sauvegardé par le système décrit précédemment...


La todo list.

L'externalisation des sauvegardes. Vu la masse de données, il faut sélectionner les données intéressantes et les isoler sur un disque dur USB branché sur le serveur de sauvegarde. A moins que je n'utilise mon vieux NAS Synology DS209j, très lent, mais qui pourrait embarquer deux disques 4To en RAID0, soit 8To.

Le chiffrement n'est pas encore traité. Je vise surtout le disque dur qui sera externalisé. La commande gpg devrait faire l'affaire...

Il y a encore beaucoup de logiciels excellents à tester. J'ai plusieurs envies, comme par exemple Duplicity.

Je vais regarder également du côté des outils pro abordables. J'attends en particulier avec impatience la sortie de l'agent Veeam pour Linux.

Enfin, il faudra bien arrêter une politique de sauvegarde, avec une liste restreinte de logiciels et de procédures de restauration. C'est très bien de jouer avec les outils, mais il va falloir décider.

Si vous avez des conseils, des idées, des retours d'expérience, n'hésitez pas à m'en faire part, en commentaires ou par email ;-)

Source : http://zythom.blogspot.com/feeds/2071058664035729515/comments/default


L'expert judiciaire et la liberté d'expression

vendredi 1 avril 2016 à 12:00
Mon billet intitulé "Mais putain y va bouger son gros cul ce con" m'a valu une avalanche d'emails outrés d'un certain nombre de confrères, et l'affaire a pris une tournure assez inattendue pour moi : j'ai été contacté par le président de la compagnie des experts de justice de ma Cour d'Appel, puis par le Procureur Général près la Cour d'Appel qui m'ont demandé de mesurer mes propos.

Je leur ai expliqué que j'étais le premier concerné par le titre, comme indiqué dans le billet. Je n'ai pas dû être très convainquant puisque, quelques jours plus tard, je recevais un courrier à l'entête du ministère de la Justice me demandant d'exercer mon devoir de réserve et de retirer le billet en question.

Heureusement, sur les conseils avisés de mon avocat, j'ai laissé le billet en ligne et expliqué que, n'étant pas fonctionnaire, je ne suis pas astreint à un devoir de réserve et que je garde toute ma liberté d'expression dans notre beau pays démocratique. Le billet est toujours en ligne et représente toujours le fond de ma pensée et de ma déception politique.

Néanmoins, la pression sur un simple petit blogueur comme moi est assez forte, et je mesure la fragilité de ma position et la difficulté d'assumer une libre parole somme toute assez théorique : je dois penser aussi mon travail. Il est en effet assez simple de perdre son emploi sans espoir d'en retrouver, surtout à mon âge. Je dois aussi penser à mes proches.

J'ai passé l'âge des grandes batailles.

Je vous tiendrai au courant du suivi.


[EDIT de 14h15]

En cette journée de 1er avril, je ne pensais pas semer la panique auprès de mes amis. Il est vrai que je suis plutôt connu pour mon sérieux, un peu coincé, de geek un peu nerd.

Je voudrais donc les rassurer (et surtout qu'ils arrêtent d'essayer de me contacter : je travaille) : personne ne m'a écrit, ni mes confrères, ni le président de la compagnie d'expert de justice de ma Cour d'Appel, ni le Procureur Général, ni le ministère de la Justice...

Ce blog est un petit espace de liberté, mon identité réelle est connue de presque tout le monde (et tout le monde s'en fout), et je ne rougis d'aucun des billets que j'y écris sous mon nom de plume.

Si un jour de devait subir les foudres de la justice, comme lors de l'affaire Zythom, j'attendrais que les cendres soient retombées avant de venir en parler ici.

Enfin, je voudrais rappeler que j'ai parfaitement conscience de l'insignifiance de ce blog, et que rien de ce que je peux écrire ici ne peut changer quoi que ce soit en ce bas monde : je n'ai pas ce talent, cette prétention, et ce n'est pas mon objectif.

Ce matin, j'ai piégé mes enfants en leur faisant croire que leur lycée était fermé pour cause de grève...

Sans rancune (mais merci pour les petits mots ;-)

On the Internet, nobody knows you are a dog, but they sure know if you are a son-of-a-bitch.

PS: ET JE N'AI PAS passé l'âge des grandes batailles ! Je compte bien encore bouger mon gros cul de con...

Source : http://zythom.blogspot.com/feeds/5534165224577811062/comments/default


Se protéger des cryptovirus avec un contrôle parental

jeudi 31 mars 2016 à 17:56
Depuis quelques semaines, c'est l’hécatombe autour de moi : je ne compte plus les collègues DSI qui subissent des attaques par chiffrement des disques durs (cryptovirus)... Pour l'instant, mon école n'a pas encore été touchée, mais cela ne saurait tarder car aucune défense n'est inviolable.

Pour autant, nous ne restons pas les bras croisés. La meilleure défense, c'est, comme toujours, l'éducation. Il faut (in)former ses utilisateurs, et rappeler qu'il ne faut pas ouvrir une pièce jointe sans s'être posé quelques questions : est-il normal que cette personne m'adresse une pièce jointe, l'email semble-t-il cohérent, est-il rédigé dans un français correct, etc. ? Bref, il faut introduire chez l'utilisateur un peu de saine paranoïa.

Les responsables informatiques ne se contentent pas de former leurs utilisateurs, ils essayent de mettre quelques remparts (de fortune), par exemple en s'assurant que les antivirus sont à jour et en segmentant les données par droits d'accès.

Vous pouvez aussi piocher des solutions intéressantes chez Korben, dans ce billet ou dans celui-ci.

Il existe pourtant un moyen simple permettant d'échapper (pour combien de temps ?) à certaines des attaques : il suffit de mettre en place un logiciel de filtrage de sites.

Voici la méthode que nous avons mise en place :
- un serveur GNU/Linux Debian configuré en passerelle
- le logiciel Squid configuré en proxy transparent
- le logiciel SquidGuard
- la mise à jour quotidienne des sites à partir de la liste noire établie et maintenue par l'Université de Toulouse : http://dsi.ut-capitole.fr/blacklists/
- et tous les ordinateurs du réseau configurés avec ce serveur comme passerelle vers internet.

Parmi les listes noires gérées par l'Université de Toulouse, nous avons choisi de mettre en place "malware" et "phishing" qui bloquent pour l'instant la plupart des utilisateurs ayant cliqué sur les pièces jointes contaminées.

Dans notre établissement, ce serveur est une machine virtuelle hébergée sur notre cluster de virtualisation, mais il était auparavant installé sur un "vieux" PC avec deux cartes réseaux. Il existe également des installations basées sur un Raspberry Pi (voir par exemple cette installation en contrôle parental qui peut facilement être légèrement modifiée pour faire du filtrage des sites de malwares et de phishing). Cet article peut également vous aider. Une fois configuré, le Raspberry Pi peut être branché sur la box du FAI (n'oubliez pas de paramétrer le DHCP de la box pour que la passerelle de tous vos ordinateurs soit le Raspberry PI).

Vous pouvez également installer, si vous le préférez, la distribution Pfsense avec Squid et SquidGuard. Cette solution existe aussi en hardware dédié.

Et n'oubliez pas le dernier rempart, le Mur de glace du Territoire du Nord :
la sauvegarde de vos données.

Mais vous n'y échapperez pas, car nul n'est à l'abri !
Vous allez tous mourir...

Source : http://zythom.blogspot.com/feeds/1016544474843391871/comments/default


Tout sauvegarder (suite)

jeudi 31 mars 2016 à 12:29
Le 31 mars est la journée mondiale de la sauvegarde. Faut-il vraiment une journée mondiale pour vous sensibiliser sur ce sujet, je ne pense pas... Pour autant, il est parfois utile de se pencher sur ce problème, et j'en profite pour vous faire un petit retour d'expérience, si ça peut aider quelqu'un. 

Les histoires pour faire peur.

Si je fais appel un peu à ma mémoire, j'ai quelques histoires horribles à raconter :
- un ami qui a perdu définitivement 3 semaines de photos de ses dernières vacances (disque dur externe HS, pas de copie)
- une entreprise qui a fermé parce que son serveur est tombé en panne pendant la sauvegarde (disque dur HS, sauvegarde en cours rendue inutilisable, je raconte cette histoire ici)
- des copains DSI qui m'ont remonté des pertes de données à cause de cryptovirus (données récupérées à partir des sauvegardes, travail de la journée perdu)
- un avocat m'appelant à l'aide après la perte de toutes les données de son cabinet (destruction par vandalisme)
- une collègue dont la maison a entièrement brûlé
- je ne compte plus les messages sur Facebook ou sur Twitter d'un étudiant ayant perdu plusieurs années de travail lors du vol de son ordinateur portable... 

Le problème.

Je souhaite mettre à l'abri les données informatiques de la maison, et qui se trouvent sur les ordinateurs de mes enfants (2 fixes et un portable), sur ceux du cabinet d'avocat de mon épouse, sur ceux de mon cabinet d'expertise informatique, sur les tablettes, sur les téléphones mobiles et sur le système de stockage collectif de la maison (un NAS Synology) qui regroupe toutes les photos et films familiaux. Il faut penser aux pertes de données par incendie (toute la maison brûle), par destruction (in)volontaire, par cambriolage et par attaque virale (j'ai très peur des cryptovirus). 

Ma solution.

Un système local dédié au stockage des sauvegardes, plus un système de synchronisation vers l'extérieur. Les données confidentielles seront chiffrées avant sauvegarde.

Voyons tout cela de plus près. 

Le stockage local.

J'ai testé plusieurs solutions (FreeNAS, OpenMediaVault, NAS4Free, OpenFiler, Amahi, NexentaStor, ZFSguru...) pour finalement retenir celle présentée dans ce précédent billet, à savoir OpenMediaVault. Je voulais éviter une solution Windows, trop sensible aux attaques virales, je cherchais une solution open source bien maintenue par sa communauté, et j'ai un faible pour les solutions sous Debian, distribution que je connais bien et que j'apprécie. J'ai eu un peu peur de me lancer dans des solutions un peu exotiques (même si le système de fichiers ZFS me semble très intéressant).

J'ai donc acheté un MicroServer Gen 8 HP sur Amazon pour 219 euros TTC que j'ai reçu quelques jours plus tard, et que j'ai immédiatement rempli avec deux barrettes mémoires de 8Go, quatre disques de 4 To (disques que j'utilise traditionnellement pour les expertises) et un petit disque SSD de 64 Go. J'ai ensuite procédé à l'installation en suivant la procédure de l'Atelier du Geek décrite dans ce billet.

Me voici donc à la tête d'un NAS DIY magnifique d'une capacité de 10 To répartie sur 4 disques en RAID5, que je vais destiner UNIQUEMENT aux sauvegardes des données familiales (et aussi aux données temporaires volumineuses générées lors de mes expertises judiciaires). 

Le logiciel de sauvegarde.

Là aussi, j'ai fait beaucoup d'essais : Areca Backup, BackupPC, Bonkey, DeltaCopy, FreeFileSync, etc. J'ai lu beaucoup d'articles, suivis les conseils donnés par vos commentaires sous ce billet. J'ai beaucoup rêvé d'un clone GNU/Linux du splendide logiciel Apple Time Machine, mais malheureusement, je n'ai pas trouvé.

J'ai choisi BackupPC pour ses performances, malgré une configuration que je trouve complexe. Il gère très bien la déduplication pour optimiser la place prise par les sauvegardes, il comprime les données, automatise très simplement les sauvegardes et gère très bien les ordinateurs connecté de façon aléatoire (les portables par exemple).

L'installation de BackupPC en parallèle à OpenMediaVault, et sa configuration, feront l'objet d'un billet technique séparé (Travail en cours, mais en gros, j'ai suivi ce billet). 

Le circuit des données.

Tous les ordinateurs de la maison ont accès à un NAS Synology de 4 To (deux disques en RAID1) qui stocke les photos et vidéos familiales, mais qui servait également au stockage des sauvegardes. Aujourd'hui, les sauvegardes de chaque poste sont faites directement vers le nouveau système de sauvegarde, ainsi que la sauvegarde du NAS Synology lui-même.

J'ai fait une exception pour les ordinateurs du cabinet d'avocat dont les données sont chiffrées avant d'être exportées. Je n'ai pas encore modifié ce système qui fonctionne bien. Je n'ai pas encore eu le temps de creuser ce point avec BackupPC. 

L'externalisation en cas d'incendie.

Mes enfants utilisent (ou pas) le Google Drive mis à disposition par le Google/apps familial. Pour ma part, étant sous GNU/Linux, je n'étais pas satisfait des clones permettant d'accéder à mon Google Drive professionnel (pourtant à capacité illimitée ! ). J'ai donc installé sur le NAS familial le logiciel OwnCloud, pour me permettre de synchroniser certaines données avec plusieurs ordinateurs, dont celui que j'utilise au boulot.

Ce système fonctionne très bien, mais ne contient pas toutes les données qui sont sauvegardées par BackupPC. C'est un point sur lequel je dois encore travailler. Je pense tout simplement installer OwnCloud sur le système de sauvegarde OpenMediaVault/BackupPC.

J'ai un disque perso de 4 To qui continue de tourner entre le boulot et la maison, pour l'ensemble des données essentielles (rotation tous les 6 mois). 

Bilan provisoire.

Le cube HP MicroServer Gen8 est très silencieux et son prix vraiment attractif. Son processeur est un peu poussif, et semble être son point faible puisqu'il passe à 100% si deux sauvegardes sont en cours, mais il fait très bien l'affaire.

OpenMediaVault est d'une simplicité remarquable et d'une qualité professionnelle aboutie.

BackupPC est complexe mais efficace. Je pense être encore très loin d'avoir fait le tour de toutes ses possibilités. Par contre, dès qu'un clone fiable de Time Machine sortira...

Quand tout le système sera en place et stabilisé, cela fera un total de 6 disques durs de 4 To destinées aux sauvegardes :
- 4 dans le NAS de sauvegarde
- 1 dans le PC du boulot pour OwnCloud
- 1 hors ligne stocké au boulot.

Cela représente un coût non négligeable, mais qui me paraît dérisoire face à la perte DEFINITIVE des données concernées.

Quelque soit la manière dont vous gérez vos données numériques, le plus important est de veiller à ce que les données les plus chères à vos yeux soient stockées à plusieurs endroits et résistent à un effacement accidentel, à un vol, à une destruction ou à un chiffrement frauduleux.

Pensez-y.



Source : http://zythom.blogspot.com/feeds/1504453114572203209/comments/default


Le chiffrement des smartphones

mardi 29 mars 2016 à 13:50
Cliquez pour agrandir l'image
J'ai été contacté par l'étudiant journaliste Olivier Levrault qui souhaitait une interview pour son article de la Tribune du Palais de mars 2016 de l’École de Journalisme de Toulouse. Je publie ici, avec son aimable autorisation, la version complète de l'interview.

Olivier Levrault : Tout d'abord, pouvez-vous expliquer rapidement votre rôle dans une enquête en tant qu'informaticien expert judiciaire ?

Zythom : Chaque enquête est effectuée sous la direction d'un magistrat (du moins en temps normal, c'est-à-dire hors état d'urgence). S'il l'estime nécessaire, ce magistrat peut demander un avis technique à une personne qu'il va choisir sur une liste d'experts pré-sélectionnés. Les personnes inscrites sur cette liste portent le titre d'expert judiciaire. Le magistrat va alors lui donner des missions et poser des questions précises auxquelles l'expert judiciaire répondra dans un rapport dans lequel il donne son avis « en son honneur et en sa conscience » (c'est le serment de l'expert judiciaire). En dehors de ces missions pour la Justice, je reste un citoyen comme les autres, avec un métier, une conscience politique et une liberté d'expression. Ce qui me permet de répondre à vos questions.

Olivier Levrault : Entrons dans le vif du sujet.L'Assemblée nationale a voté, début mars, un amendement visant à condamner les constructeurs de smartphones qui refuseraient de coopérer avec la justice dans les enquêtes terroristes. Trouvez-vous cet amendement fondé ?

Zythom : Je suppose que vous parlez de l'amendement n°90 (rect) porté par M. Goujon etc. et que l'on peut trouver ici : http://www.assemblee-nationale.fr/14/amendements/3515/AN/90.aspDe quoi parle-t-on ? Cet amendement modifie trois articles du code de procédure pénale de la manière suivante (j'ai mis les modifications en gras) :
  • Article 60-1 du code de procédure pénale :
Le procureur de la République ou l'officier de police judiciaire peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3, la remise des informations ne peut intervenir qu'avec leur accord.

A l'exception des personnes mentionnées aux articles 56-1 à 56-3, le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende de 3 750 euros. Cette peine est portée à deux ans d'emprisonnement et 15 000 € d’amende lorsque la réquisition est effectuée dans le cadre d’une enquête portant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal.

A peine de nullité, ne peuvent être versés au dossier les éléments obtenus par une réquisition prise en violation de l'article 2 de la loi du 29 juillet 1881 sur la liberté de la presse.

  • Article 60-2 du code de procédure pénale
Sur demande de l'officier de police judiciaire, intervenant par voie télématique ou informatique, les organismes publics ou les personnes morales de droit privé, à l'exception de ceux visés au deuxième alinéa du 3° du II de l'article 8 et au 2° de l'article 67 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, mettent à sa disposition les informations utiles à la manifestation de la vérité, à l'exception de celles protégées par un secret prévu par la loi, contenues dans le ou les systèmes informatiques ou traitements de données nominatives qu'ils administrent.

L'officier de police judiciaire, intervenant sur réquisition du procureur de la République préalablement autorisé par ordonnance du juge des libertés et de la détention, peut requérir des opérateurs de télécommunications, et notamment de ceux mentionnés au 1 du I de l'article 6 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, de prendre, sans délai, toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs.

Les organismes ou personnes visés au présent article mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.

Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni d'une amende de 3 750 euros. Cette peine est portée à deux ans d'emprisonnement et 15 000 € d’amende lorsque les réquisitions sont effectuées dans le cadre d’une enquête portant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal. 

Le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes définis au chapitre Ier du titre II du livre IV du code pénal des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et 350 000 € d’amende.


Un décret en Conseil d’État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les catégories d'organismes visés au premier alinéa ainsi que les modalités d'interrogation, de transmission et de traitement des informations requises.

  • Article 230-1 du code de procédure pénale
Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu'il apparaît que des données saisies ou obtenues au cours de l'enquête ou de l'instruction ont fait l'objet d'opérations de transformation empêchant d'accéder aux informations en clair qu'elles contiennent ou de les comprendre, ou que ces données sont protégées par un mécanisme d'authentification, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut désigner toute personne physique ou morale qualifiée, en vue d'effectuer les opérations techniques permettant d'obtenir l'accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l'agrément du procureur de la République, de l'officier de police judiciaire ou de la juridiction saisie de l'affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l'article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au deuxième alinéa de l'article 60 et à l'article 160.

Si la peine encourue est égale ou supérieure à deux ans d'emprisonnement et que les nécessités de l'enquête ou de l'instruction l'exigent, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut prescrire le recours aux moyens de l’État soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

Le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et 350 000 € d’amende.

Pour répondre à votre question (« Trouvez-vous cet amendement fondé ? »), je trouve que ce durcissement de notre législation correspond plutôt à un effet d'annonce permettant de montrer que certains députés suivent avec intérêt le débat américain qui oppose Apple et le FBI, mais à mon avis, ils se trompent de cible et surtout ils montrent encore une fois une incompréhension des concepts techniques mis en jeu. En effet, Apple souhaite mettre en place un système de chiffrement où elle-même n'aurait aucun moyen de pouvoir déchiffrer les données, afin de protéger ses utilisateurs de la curiosité étatique. Apple ne pourra pas techniquement fournir à l'autorité judiciaire les données en clair, et ne pourra pas être condamnée pour cela (sauf à rendre le chiffrement illégal).

Olivier Levrault : Le phénomène de chiffrement des données lors d'enquêtes criminelles et/ou terroristes est-il important ?

Zythom : Depuis les révélations d'Edward Snowden, beaucoup de gens commencent à chiffrer leurs données (à commencer par les journalistes), ce qui gêne les grandes oreilles de l’État. Le phénomène va évidemment augmenter, et rendre moins aisée la surveillance généralisée.

Olivier Levrault : À quel point le chiffrement d'un smartphone freine-t-il l'enquête ?

Zythom : Cela va dépendre du rôle du smartphone dans l'enquête. Si la seule preuve dont vous disposez se trouve chiffrée dans le smartphone (ou dans l'ordinateur), votre enquête est définitivement bloquée. Heureusement, l'activité criminelle se limite rarement au simple usage d'un smartphone, fut-il chiffré. Une enquête s'appuie sur beaucoup d'éléments plus classiques comme des filatures, des fadettes, des éléments financiers, etc. Je n'ai jamais rencontré de dossiers reposant sur un seul élément technologique même si je ne nie pas qu'il soit possible que cela arrive. Faut-il pour autant interdire le chiffrement à tous ? Faut-il demander à tous les citoyens de vivre dans des maisons de verre pour pouvoir faciliter la surveillance des faits et gestes de tout le monde, pour détecter les comportements suspects ?

Olivier Levrault : Le FBI vient d'annoncer qu'ils n'avaient plus besoin d'Apple pour déchiffrer les données du smartphone appartenant à l'auteur de la tuerie. Comment est-ce possible ? Aucun téléphone n'est donc inviolable ?

Zythom : Je ne peux pas prétendre connaître le procédé proposé au FBI par une tierce entreprise, alors même qu'Apple ne le connaît pas. Ce qui semble probable, c'est qu'une entreprise spécialisée dans la recherche de failles de sécurité a (peut-être) trouvé une faille à exploiter pour passer outre le système de blocage d'Apple (qui efface définitivement les données après 10 tentatives infructueuses) ce qui pourrait permettre une attaque par force brute qui est assez facile et rapide sur un code de quelques chiffres. N'oubliez pas qu'au stade des informations disponibles, certains font même l'hypothèse que le FBI fait simplement marche arrière pour éviter une décision de justice qui lui serait défavorable.

Olivier Levrault : Le fait de donner au gouvernement la clé pour accéder au contenu d'un téléphone lors d'une enquête terroriste fragilise-t-il la sécurité de l'ensemble des smartphones ?

Zythom : Oui. Imaginez un fabricant de serrures (coffres forts, portes de maisons, etc.) qui serait obligé de créer une clé permettant d'ouvrir toutes les serrures qu'il fabrique. Vous comprenez bien que cette fameuse clé devrait être protégé de la manière la plus extrême. Car il suffirait qu'une seule personne fasse discrètement une copie de cette clé pour que la sécurité des serrures soit définitivement compromise. Et si vous ne pouvez pas assurer vous-même la protection de cette clé, par exemple parce que l’État vous impose de lui en confier une copie, cela revient à confier toute la sécurité de vos clients à l’État. C'est ce qui a amené Ladar Levison à fermer son service Lavabit plutôt que de donner l'accès aux messages d'Edward Snowden comme la loi américaine le lui obligeait. Le suicide commercial plutôt que la trahison de ses clients...

Olivier Levrault : Est-ce que cela créé les fameuses portes dérobées ? Si oui, quel est le risque ?

Zythom : Lorsque vous proposez à vos clients un système protégeant votre vie privée, mais que vous mettez en place d'un accès réservé, c'est ce que l'on appelle une porte dérobée. On parle également de cheval de Troie. Le risque est l'utilisation de cette porte dérobée de manière abusive, soit par l’État, soit par un criminel. Vous pensez être seul dans l'intimité de votre chambre, alors qu'en fait un œilleton permet de vous observer, de vous photographier, de vous filmer, etc. Allez-vous accepter cela parce qu'on vous affirme que vous serez plus en sécurité ?

Olivier Levrault : Quelle conséquence pour la population dans son ensemble ? La protection des données personnelles ne risque-t-elle pas d'en prendre un coup ?

Zythom : Les défenseurs de la vie privée tirent la sonnette d'alarme depuis longtemps (CNIL, Quadrature du Net, etc.). L’État calme le jeu en prétendant exclure certaines professions de son radar : les avocats, les politiques et les journalistes. Pour le reste, circulez, nous nous occupons de votre sécurité, pour votre bien. Le discours est de dire que de toutes manières, une grande partie de la population a déjà offert une partie de ses données personnelles aux GAFAM (Google, Apple, Facebook, Amazon et Microsoft) en échange de services gratuits et de publicités ciblées. Nous parlons ici de l'abandon à la demande de l’État par le grand public de l'ensemblede ses données personnelles, ce qui est très différent. Personnellement, j'accepte de donner certaines de mes données privées à Google. J'accepte aussi de dévoiler beaucoup d'éléments de ma vie sur mon blog personnel. C'est ma liberté. Pour autant, je chiffre certains messages, j'utilise parfois un VPN, je protège certaines parties de ma vie privée. Parce que j'ai une réticence à tout montrer. Je refuse de faire installer une caméra dans ma chambre à coucher.

Olivier Levrault : Alors que les constructeurs se posent en défenseur des utilisateurs (pour redorer leur image depuis l'affaire Snowden), les données personnelles continuent d'être commercialisées. Les constructeurs de smartphones ne jouent-ils pas à un double jeu ?

Zythom : Il est relativement fascinant de constater qu'aujourd'hui le combat de la protection de nos données personnelles soit mené par une multinationale, contre la curiosité des États. Surtout que je suis assez âgé pour avoir connu la création de la CNIL (j'avais 15 ans en 1978) après les débats autour du projet SAFARI. Les constructeurs jouent double jeu, mais au moins, le consommateur peut décider d'arrêter d'acheter tel ou tel produit. Il a un certain pouvoir. Apple peut se ringardiser en quelques années et disparaître. Qu'en est-il du poids de la voix du citoyen dans le processus démocratique d'aujourd'hui ? Dans quel état sont les contre-pouvoirs traditionnels, tels que la justice et les médias ?

Olivier Levrault : Au final, dans ce débat 2.0 liberté vs sécurité, pensez-vous que le citoyen est perdant ? Cet épisode ne risque-t-il pas de limiter encore davantage la vie privée des citoyens ?

Zythom : Je vois se mettre en place deux catégories de citoyens : ceux qui sauront protéger une partie de leur vie privée et les autres. Et dans chacune de ces deux catégories, vous trouverez toutes les couches de la population : des riches, des pauvres, des criminels, des terroristes, des activistes, des journalistes, des avocats, des informaticiens, des politiques, etc. A chaque fois que nos libertés seront réduites, avec toujours les mêmes faux prétextes (lutte contre le terrorisme, contre la pédophilie, contre le grand banditisme, etc.), vous pouvez être sûr que le citoyen sera perdant. Mais tant qu'il ne s'en rend pas compte… Le grand changement d'aujourd'hui est le monde hyperconnecté dans lequel baigne une partie des citoyens : l'information circule très vite. J'ai l'espoir que si le bon côté de la Force l'emporte, une intelligence collective positive émergera de cette hyperconnection (attention, je ne parle pas d'IA). Le partage des connaissances peut aboutir à une meilleure information de chaque citoyen, et par là même à un meilleur contrôle sur nos représentants. Si le côté obscur l'emporte (il suffit de lire les commentaires haineux postés sous certains articles de journaux en ligne), alors notre comportement moutonnier sera exacerbé pour la plus grande joie des bergers et des loups. L'avenir est entre nos mains, et comme je suis optimiste, je suis persuadé que l'âge d'or est devant nous.
Merci à vous pour cet échange.

Source : http://zythom.blogspot.com/feeds/8468877975664779725/comments/default