PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Vie privée : retour à l'envoyeur

vendredi 17 janvier 2014 à 11:32

Source : http://zythom.blogspot.com/feeds/8357111889164081811/comments/default


Le petit blogueur et l'ANSSI

mercredi 8 janvier 2014 à 15:04
En discutant avec les personnes du stand de l'ANSSI aux JRES2013, je me suis rendu compte que mon billet intitulé "L'ANSSI et le test Google" avait fait grincer quelques dents... Cela m'a désolé car ce n'était vraiment pas le but. En relisant le billet, je me suis dit que je n'avais pas été très clair et que l'autodérision dont j'avais essayé de faire preuve n'était pas bien passé et que n'était resté que le dénigrement d'un processus de recrutement.

Voici donc quelques points que j'aimerais clarifier:

L'ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information, est une structure gouvernementale étatique chargée d'assurer la sécurité et la défense des systèmes d'information de l'état et des sociétés stratégiques françaises. Vous trouverez tous les détails de son fonctionnement et de son histoire sur son site, ou sur la page Wikipédia qui lui est consacrée.

N'étant ni spécialiste de la sécurité, ni DSI dans un établissement sensible ou stratégique, je n'ai entendu parlé de l'ANSSI que lorsque j'ai été invité au SSTIC 2012 (où je me suis fait déchirer mon blog, merci de me le rappeler..) pour parler de l'activité d'expert judiciaire.

J'ai alors découvert l'existence de l'ANSSI, son mode de fonctionnement et pu discuter avec des personnes passionnantes, toutes très compétentes dans leur spécialité. Pour dire les choses autrement, l'ANSSI regroupe un nombre impressionnant des spécialistes de la sécurité informatique, et est la seule structure française à recruter de manière importante dans ce domaine.

C'est pourquoi, j'ai voulu voir si un profil comme le mien pouvait les intéresser, sachant que MOI j'étais très intéressé par leur profil. Hélas, mes compétences ne correspondaient pas au poste pour lequel j'ai postulé. J'ai donc logiquement pris une veste. Fin de l'histoire.

Le billet "L'ANSSI et le test Google" raconte tout cela, mais avec comme sujet principal une moquerie de ma part sur les tests mesurant les compétences. Il faut dire que je travaille depuis 25 ans dans des établissements d'enseignement supérieur et que les méthodes et pratiques d'enseignement et d'éducation (ce que l'on appelle "la pédagogie") sont au cœur de mes préoccupations. Et comme tout enseignant, j'ai des idées bien arrêtées sur ce sujet. Je ne vais pas réécrire le billet...

Mais alors que je ne faisais qu'écrire une moquerie dans un billet de petit blog, j'oubliais un point très important: les employés de l'ANSSI sont tenus à la plus grande discrétion. Ils ne disposent pas d'une liberté qui m'est chère: la liberté d'expression. Ou plutôt, ils en disposent, mais avec un fort encouragement à la discrétion. C'est comme cela. Je rappelle que l'ANSSI est rattachée au secrétaire général de la défense et de la sécurité nationale, et que si chacun à l'ANSSI pouvait raconter sa vie dans un blog, tout cela ne ferait pas très sérieux (mais serait certainement très intéressant)...

[Certains de mes confrères experts judiciaires me rappellent parfois que mon blog "ne fait pas très sérieux", voire "est la honte de l'expertise judiciaire", ou encore "mais qui est le CON qui tient ce blog?". Seulement voilà, c'est mon petit coin d'internet, ma manière de profiter de cet espace de liberté. Je n'oblige personne à me lire et je rappelle qu'on est toujours le CON de quelqu'un. Je souffre du fait que les ordres des avocats ont encouragé ceux-ci à ouvrir des blogs, mais que les compagnies d'experts n'ont rien fait sur le sujet. C'est tellement XXème siècle...]

Ce n'est jamais intelligent de lancer une pique (une pichenette ?) contre des personnes qui ne peuvent pas répondre. Je travaille suffisamment avec les gendarmes pour comprendre cela.

Je voudrais donc m'adresser aux personnes de l'ANSSI qui ont trouvé mon billet désagréable et faire remonter un commentaire que j'avais écrit sous le billet: "oui, je suis déçu car j'aurais bien voulu travailler avec les roxors de l'ANSSI". 

Ma consolation : je suis sur la photo présentant le directeur général de l'ANSSI sur la page Wikipédia d'icelle ;-)

Et pour les autres, souvenez vous : tout s'arrange autour d'une binouze, surtout au SSTIC.

Source : http://zythom.blogspot.com/feeds/8854738721168912487/comments/default


Update to 2014

mardi 7 janvier 2014 à 13:16


Chère lectrice, cher lecteur,


J'espère que la mise à jour vers la v.2014 s'est bien passée et que vous ne regretterez pas la v.2013. Je vous souhaite de profiter de vos proches, de réaliser vos rêves et de contribuer à un monde meilleur !

Bonne release 2014.

Zythom


Source : http://zythom.blogspot.com/feeds/2554960966941197044/comments/default


Conséquences des agissements de la NSA sur les expertises judiciaires

jeudi 2 janvier 2014 à 14:11
Depuis plusieurs mois, les informations révélées par Edward Snowden secouent l'univers de la sécurité informatique. Car, s'il s'agit du plus grand scandale de surveillance électronique occidental éclatant au grand jour, il s'agit aussi du plus grand fiasco de la sécurité informatique de tous les temps.

Avec tous les spécialistes pointus en sécurité informatique, tous les audits effectués sur les différents matériels, toutes les alertes récurrentes sur les espions chinois et russes, personne (parmi les gens pouvant parler librement) n'a rien remarqué, personne n'a su où regarder, personne ne s'est rendu compte de la collecte massive d'informations avant qu'Edward Snowden ne livre les documents de la NSA.

Bien sur, certains journalistes, comme ceux travaillant chez Reflets, avaient commencé à lancer des alertes en recoupant des informations et des données techniques, mais la prise de conscience collective a été plus que tardive.

Quand je lis chez Korben, dans ce billet, que les Etats-Unis disposent depuis 1997 d'un service d'informaticiens offensifs (TAO) qui se sont infiltrés dans 258 systèmes informatiques de 89 pays, ma première pensée est pour toutes les expertises judiciaires que j'ai menée depuis, avec une seule question à l'esprit: ai-je pu affirmer dans l'un de mes rapports d'expertise judiciaire quelque chose qui pourrait avoir été le fait d'une action d'une telle équipe ? Ai-je pu charger un innocent d'un élément qu'il aurait pu ne pas commettre ? Ai-je moi-même été piégé dans mes investigations, quand tant de personnes se sont faites roulées ?

J'ai alors relu tous les rapports que j'ai rédigé depuis 1999, avec en tête l'action de la NSA, l'existence de cette équipe de hackers d'état et la guerre électronique en cours, avec l'ampleur qu'on lui connaît maintenant. J'ai vérifié mes conclusions et j'ai pu constater avec soulagement que j'avais toujours pris les précautions élémentaires dans l'analyse des preuves sur lesquelles j'ai eu à travailler. En partie à cause grâce à l’existence de longue date des malwares et virus toujours plus sophistiqués qui obligent l'expert judiciaire à toujours émettre des réserves quand on lui demande, par exemple, si tel ou tel compte informatique a servi au téléchargement d'images pédopornographiques, puisqu'un tel téléchargement peut être effectué, par exemple, par un malware à l'insu de l'utilisateur de l'ordinateur.

Oui, mais ai-je été assez pédagogique dans mes avertissements ? Ai-je moi-même réellement cru que je pouvais me trouver face à un ordinateur sciemment piraté ? N'ai-je pas haussé les épaules en me disant qu'il était peu probable que l'ordinateur de M. Toutlemonde que j'avais sous scellé devant moi ai été la cible d'un groupe de hackers chinois, russes ou même américains ou français ?

J'espère avoir été clair dans mes rapports sur l'existence de ces risques.

Pourtant, je ressens un malaise. A chaque fois que j'ai été confronté à un ordinateur infecté de malware et/ou de virus, je l'ai signalé noir sur blanc dans mon rapport, en indiquant la nature des malwares trouvés. Mais qu'en est-il des backdoors logicielles inconnues à l'époque et que l'on découvre aujourd'hui ? Qu'en est-il des logiciels implantés puis effacés correctement, avec nettoyage parfait des traces ? Je ne peux être certain de rien. Je me sens comme le professeur Tardieu.

Oh, certes, j'ai toujours été scientifique dans mes approches du problème qui m'était présenté. J'ai été factuel, méticuleux et consciencieux. Je n'ai pas écrit "M. Truc a stocké des images pédopornographiques sur son ordinateur", mais "Je constate la présence d'images pédopornographiques sur l'ordinateur appartenant à M. Truc". J'ai toujours indiqué que les téléchargements effectués avec le compte informatique de M. Truc pouvaient être le fait d'une autre personne utilisant son compte, voire d'un logiciel agissant à l'insu de M. Truc.

Maintenant que tous les mois des routeurs montrent leurs faiblesses et qu'il est clair que tous les pays espionnent tous les citoyens de la planète, que les forces de l'ordre mènent des actions hors du contrôle de la justice de leur pays, il est facile de critiquer la naïveté des informaticiens et plus globalement la naïveté des citoyens (et de leurs élus).

Mon problème est d'expliquer aux magistrats, aux avocats et aux policiers qu'un ordinateur est devenu une passoire, que le réseau est devenu une passoire, que les sites web sont devenus des passoires... Il va falloir vivre dans ce monde, mais avant que tous ne comprennent que les preuves numériques sont de moins en moins fiables, des innocents risquent d'être poursuivis et condamnés.

C'est aux experts judiciaires en informatique d'en faire prendre conscience rapidement aux acteurs de la justice.

Quant à la vie privée, je ferai parler la NSA à travers la bouche du Colonel Nathan R. Jessup (Jack Nicholson dans "Des hommes d'honneur"), en modifiant à peine quelques paroles de la scène d'anthologie du film:
Nous vivons dans un monde qui a des murs, et ces murs doivent être gardés par des hommes en arme. Qui va s'en charger ? Vous ?
Je suis investi de responsabilités qui sont pour vous totalement insondables. Vous pleurez Santiago votre vie privée et vous maudissez les Marines la NSA.
C'est un luxe que vous vous offrez. Vous avez le luxe d'ignorer ce que moi je sais trop bien. La mort de Santiago de la vie privée, bien que tragique, a probablement sauvé des vies. Et mon existence, bien que grotesque et incompréhensible pour vous, sauve des vies.
Vous ne voulez pas la vérité parce qu'au tréfonds de votre vie frileuse de tout petit bourgeois vous ME voulez sur ce mur, vous avez besoin de moi sur ce mur.
Notre devise c'est "Honneur Code Loyauté". Pour nous ces mots sont la poutre maîtresse d'une vie passée à défendre des bastions. Chez vous ces mots finissent en gag.
Je n'ai ni le temps ni le désir de m'expliquer devant un homme qui peut se lever et dormir sous la couverture d'une liberté que moi je protège et qui critiquera après coup ma façon de la protéger.
J'aurai préféré que vous me disiez merci et que vous passiez votre chemin ou alors je vous suggère de prendre une arme et de vous mettre en sentinelle postée.

Colonel Nathan R. Jessup (Jack Nicholson)
La vie privée est morte depuis longtemps, et je crains que le Colonel Nathan R. Jessup n'ait finalement gagné, contrairement à ce qu'il se passe dans le film. Le seul moyen de lutter contre lui est le chiffrement à tout va, de gré à gré.

Mais j'attends toujours de tomber sur un disque dur chiffré par M. Toutlemonde, disque placé dans un ordinateur équipé d'un système d'exploitation sécurisé, ordinateur branché sur un réseau chiffré, sur et décentralisé, réseau où se trouveront des serveurs respectueux de la vie privée, et reliant des utilisateurs attentifs au respect de leurs données personnelles.

Ce jour là, je vous promets d'ouvrir une bouteille et de trinquer à la protection de la vie privée, et cela même si cette protection complexifie (un peu) la lutte contre les activités criminelles de quelques uns.

Je sens que je ne suis pas prêt de me saouler sur ce coup là...

Source : http://zythom.blogspot.com/feeds/2022973834445068246/comments/default


Stats 2013

jeudi 2 janvier 2014 à 05:00
Parmi les vices du blogueur, il y a la consultation des stats... Je n'y échappe pas et, régulièrement, je regarde, avec une certaine fascination je vous l'accorde, les informations que me retourne mon compte Google Analytics.

Même si je sais que plusieurs d'entre vous surfent derrière des proxies, ou utilisent le réseau Tor et ses routeurs en couche, ou encore différents VPN avec plusieurs adresses IP, globalement Google Analytics me donne une idée approximative du nombre de personnes qui viennent sur ce blog.

Pour l'année 2013, le blog a reçu 149 485 visites, contre 188 572 en 2012 et 135 351 en 2011. Le nombre de billets variant d'une année sur l'autre, le nombre de visites divisée par le nombre de billets me semble être l'indicateur le plus pertinent:
2013:  149 485 visites pour 58 billets, soit 2 577 visites par billet
2012:  188 572 visites pour 79 billets, soit 2 387 visites par billet
2011:  135 351 visites pour 50 billets, soit 2 707 visites par billet
2010:  126 040 visites pour 65 billets, soit 1 939 visites par billet
2009:  103 767 visites pour 113 billets, soit 918 visites par billet.

Début 2012, dans le billet "Stats 2011", j'avais choisi le nombre de visiteurs uniques divisé par le nombre de billets, ce qui m’apparaît maintenant moins pertinent.

En 2013, vos adresses IP indiquent une provenance de 140 pays, ce qui ne lasse pas de m'étonner et me permet de voyager virtuellement dans le monde entier ou presque.

Vous avez été 46% à me lire sous Firefox, 28% sous Chrome, 9% sous Safari et 8% sous IE... A noter que 2 visites ont été faites avec un navigateur tagué "Nintendo 3DS browser" :-)

Côté systèmes d'exploitation, vous êtes 63% sous Windows, 14% sous GNU/Linux, 10% sous Mac, 7% sous iOS et 6% sous Android. Là aussi, dans les curiosités, je note le passage d'une visite taguée sous BeOS et d'une autre sous Xbox...

Pour les définitions d'écran, c'est le grand bazar avec 401 définitions différentes, merci les mobiles. 4 635 visiteurs utilisent un écran 768 x 1024 et 4 291 un écran 320 x 480. Les opticiens ont un bel avenir devant eux. Je note 89 visites avec  l’inénarrable 0 x 0 et une visite avec un 40 823 x 1024... Toutes les stats ne sont pas bonnes à prendre.

Les webmasters le savent, on peut souvent connaître la source du clic qui vous amène ici, c'est-à-dire la page qui précède celle où vous lisez ce billet. En 2013:
- 55 015 sont venus directement (via un favori ou une saisie directe de l'URL)
- 33 392 via une recherche Google (le plus souvent en tapant "zythom")
- 17 844 via Twitter
- 2 959 via Netvibes
- 2 802 via Feedly
- 854 via Facebook

Le réseau social de la blogosphère fonctionne toujours, avec
- 10 768 visites via maitre-eolas.fr
- 2 395 via boulesdefourrure.fr
- 2 348 via sebsauvage.net
- 848 via Ma petite parcelle d'Internet (Sid, si tu me lis...)
- 801 via Korben.info
- 599 via La plume d'Aliocha
- 264 via maitremo.fr

Que mille pétales de roses parfument leurs claviers...

Grâce aux moteurs de recherche, je sais que vous écrivez mon pseudo majoritairement "zythom", mais aussi zithom, zethom, zython, zyhtom ou zhytom :-)

Vous êtes 47 inscrits à la liste de diffusion par email des billets du blog, la plupart s'étant inscrit en 2013.

En 2013, le pic de visite a eu lieu le mercredi 3 juillet avec 2 606 visites, suivi du jeudi 12 septembre avec 2 594 visites. A chaque fois il s'agit d'un tweet de Maître Eolas ! Que mille serveuses irlandaises nues lui apportent une pinte de Guinness (vidéo)...

Les billets les plus lus sur l'année 2013 ont été Cracker les mots de passe (8418 visites), Je suis trop faible (5955) et In memoriam (5835). Le billet le plus lu du blog, depuis sa création en 2006 est Le plein de pr0n du 18 avril 2012 avec 16 404 visites à ce jour, suivi de GPS avec 13 752...

Quelles sont les leçons que je tire de ces statistiques: aucune. Je continue à écrire pour moi, parce ce que cela me fait du bien, surtout quand j'ai besoin de m'exprimer et que je ne veux pas faire souffrir mon entourage.

Je terminerai ce billet avec la même citation qu'en 2012:
"Les statistiques, c'est comme le bikini. Ce qu'elles révèlent est suggestif. Ce qu'elles dissimulent est essentiel." (Aaron Levenstein)

Allons toujours à l'essentiel !

Source : http://zythom.blogspot.com/feeds/2756371053351479818/comments/default