Mise à jour de la base de données, veuillez patienter...

Article d’actualité, ou presque. Depuis un certain moments, Reflets.info s’amuse à fourrer son nez là où peu de journalistes l’osent. Et ils ont été d’une aide inestimable aux soulèvements arabes, aux côtés de Telecomix notamment. Et, sans être un expert en géopolitique, il est facile de deviner que certains ne voient pas d’un très bon œil le fait qu’on joue avec leurs jouets. Peu importe de qui on parle, car, selon le contexte, ça peut prendre un certain nombre de visages. Le fait est qu’on a beau se défendre d’être pacifiste, ça peut facilement nuire à des gens qui chercheront alors à préserver leurs profits/leur petit jeu amusant dans lequel les pions saignent.

Samedi dernier, nous apprenions que l’équipe de Reflets et Telecomix avait reçu des menaces de mort, et il y a de bonnes raisons de leur accorder un peu d’importance. Et malheureusement, ce n’est pas si surprenant dès lors qu’on se prête un minimum à la paranoïa. D’une certaine façon, c’est la preuve qu’on a touché quelque chose qui pique un peu. Mais je n’écris pas ce billet pour verser une larme sur ce fait.

Il est apparu que la résilience au sein d’un cluster de hacktivistes était bien moins forte que dans les réseaux numériques de ces mêmes personnes, qui pourtant servent souvent de modèles. Dans une grappe de serveurs, pour un fonctionnement optimal, chaque machine doit connaître l’état des autres pour s’adapter en conséquence. Bien sûr, l’analogie avec la vie réelle et les liens sociaux est, comme toute analogie, limitée. Cependant, il peut être nécessaire de connaître l’état d’un nœud. Ou, en d’autres termes, si une personne est en (relative) sécurité, si elle est en danger, si elle prend des vacances… Cela peut d’une part éviter les alertes exagérées dans le dernier cas, ou permettre d’en lancer assez vite si besoin. Ou bien de pouvoir alerter pour éviter de transmettre un risque aux autres (par exemple, avertir efficacement si l’on est écouté ou suivi, afin de ne pas recevoir d’informations potentiellement intéressantes)…

Bref, tout d’abord, il est important, et pas seulement dans ce contexte, de connaître et maîtriser ses propres habitudes. Les gens de ce milieu communiquent énormément, que ce soit par mail, microblogging etc, ce sont des outils d’immédiateté que nous maîtrisons. Une absence inattendue de plusieurs jours sur les réseaux sociaux (dans lesquels je classe plutôt IRC que Facebook) sert déjà à provoquer l’alerte. Ça constitue un moyen à moindre coût, pour peu qu’on soit suffisamment conscient de son « empreinte » : tout le monde a des petites habitudes souvent inconscientes, comme se réveiller à heure fixe le matin, prendre un café et répondre aux mails de la nuit, ou poster plus souvent sur son logiciel de microblogging pendant sa pause de midi, etc… On peut également y ajouter les indices sur l’humeur ou la situation dans la façon de s’exprimer, mais ça compliquerait le concept de moyen d’alerte simple. À l’opposé, on peut s’imaginer mettre en place certains codes volontairement pour communiquer les informations de contexte, mais ça marche seulement dans les films d’espionnage : c’est loin d’être efficace, et il n’y a rien de pire que de considérer comme sécurisé quelque chose qui ne l’est absolument pas. En cas d’absence volontaire et prévue, et si la situation le permet (imaginons de simples vacances), il vaut donc mieux prévenir les autres membres pour éviter du bruit pour rien.

Au-delà des moyens simples, il y a la possibilité de contact d’urgence. Basiquement, une adresse mail planquée ailleurs que chez soi (comme Gmail, dans ce cas on ne crachera pas dessus, ça dépend de la source du risque, mais c’est certainement plus sûr pour ce qui nous intéresse qu’une boîte hébergée sur son serveur personnel trônant dans son salon, vulnérable à une attaque pied-de-biche in the middle), associée à une clé GPG, connue seulement de quelques contacts de confiance, et jamais utilisée sauf réelle urgence. Le fait de cacher cette boîte, tout comme le fait de la posséder, est primordial, tout comme le nombre de contacts qui la connaîtront. Le but est de pouvoir être contacté de manière sûre si quelque chose va mal, sans que l’information puisse tomber dans des oreilles indiscrètes. Dans le genre « parano brutale », ce concept peut s’appliquer en dehors du réseau, en laissant des messages dans des lieux fixés à l’avance. Mais cette dernière méthode peut s’avérer, selon le contexte, bien moins fiable.

Il est possible d’améliorer ce moyen de contact. En effet, un mail chiffré alerte rapidement quelqu’un qui écouterait sur le réseau, si celui-ci est exceptionnel. Mais passera beaucoup plus inaperçu dans un contexte où la majorité des échanges sont chiffrés de bout en bout. Pour cela, et peu importe qu’on ait réellement quelque chose à cacher ou pas, il me semble important de générer un « bruit » habituel, dans lequel un mail sensible passera beaucoup plus inaperçu. En clair, chiffrez tout au cas où vous auriez besoin d’échanger quelque chose d’important. Évidemment, ce conseil s’applique facilement en France, mais bien moins dans un pays comme la Tunisie lors de sa révolution : des blogueurs échangeant des données chiffrées par principe ont eu de gros problèmes (je pense qu’à côté, les très critiquées gardes à vue françaises rappellent le parc Disneyland)

Comment améliorer ce système ? On peut développer un outil de ping social, analysant des statistiques de publication de membres donnés, et générant une alerte plausible automatiquement, ou encore des petits dæmons donnant, de façon sûre, l’état si le cluster le demande. En tout cas, il faut réellement poser sur papier des procédures d’urgence à adopter pour informer au plus vite ses contacts, et c’est ce que je souhaite lancer ici. Les moyens et ressources existent pour gérer efficacement ces situations de crise, mais il faut que tout le monde les connaisse. Je vous invite donc à reprendre ces bases pour concevoir un document indiquant les moyens de faire face à ça.