Cette nouvelle, trouvée chez tonton Korben, va déplaire à quelques personnes, les autres s’en moquent puisqu’ils n’ont rien à cacher.

Les développeurs de chez Replicant viennent de mettre la main sur une backdoor matérielle dans les téléphones Samsung. (lien en anglais)

Pour information, Replicant est un groupe de bidouilleurs / développeurs qui a pour but de faire une distribution d’Android totalement libre.

Dans le détail, cette backdoor est détectée dans la puce Baseband des terminaux de la gamme Galaxy, la puce baseband en question gère la partie modem des téléphones. Dans les terminaux mobiles, il y a un ensemble de composants dont deux puces, l’une permet de gérer le téléphone et les fonctions de ce dernier et l’autre permet de gérer la partie data, connexions, modem & Co. du téléphone, c’est la puce baseband dont-il et question ici.

Généralement, cette puce est totalement vérouillée, propriétaire et il est officiellement impossible de savoir ce qu’elle fait exactement à un instant T. Korben explique que cette puce permet déjà de géolocaliser le téléphone et d’activer l’appareil photo à l’insu de l’utilisateur et ce malgré les autorisations du système installé sur le téléphone.

Pour être plus clair, si vous avez interdit à l’ensemble de vos applications d’accéder à votre GPS où à votre appareil photo, la puce s’en moque et peut le faire en contournant les autorisations du système.

Et c’est donc dans cette puce baseband que Replicant vient de dénicher une backdoor.

Cette découverte devrait nous alerter quant à un problème sans réelles solutions actuellement : les backdoors matérielles et le respect de l’intimité des gens.

S’il est facile de désinstaller ou de verrouiller les autorisations d’une application, il est quasi impossible de faire de même avec le matériel.

Quelle est la portée d’une sécurisation féroce de son système s’il n’est pas possible de faire confiance au matériel installé ? Cela revient à construire une maison très solide… sur des fondations bancales.

La seule solution viable consiste à avoir une puce totalement libre, qui assure aux communautés et aux utilisateurs qu’elle ne fera rien d’étrange sans que cela puisse se savoir.

Malheureusement, ce n’est pas pour aujourd’hui, à moins d’un miracle. Nous commençons à peine à prendre conscience des failles logicielles qui exposent nos vies privées et intimités, alors une faille matérielle…personne ou presque ne se sentira exposé et concerné.

La nouvelle commencée s’arrête ici, sur les rapports remontés par ce réseau AYBABTU, cf. les récents billets « Fiction ? »

La question que je vous pose maintenant, c’est « est-ce une fiction ou alors un billet avec quelques années d’avance ? »

Certaines parties de cette nouvelle sont, je l’espère, de l’ordre de l’impossible en France : ne pas aimer la personne qui dirige le pays n’est ni un délit, ni une atteinte à la sécurité nationale. Cependant, les moyens mis en place pour surveiller notre héros éphémère eux, sont réels ou le deviendront certainement.

Faisons le point sur les outils qui existent déjà et que j’ai décidé d’utiliser dans mon histoire :

Les caméras de surveillance : elles existent. Censées nous protéger, elles sont de plus en plus présentes à chaque coin de rue. Il n’est pas impossible, aux vues des évolutions technologiques, qu’une autorité unique puisse avoir accès à l’ensemble des caméras de surveillance actuelles ainsi qu’aux prochaines. Prochaines caméras qu’on peut imaginer beaucoup plus poussées, connectées à un système de reconnaissance faciale en temps réel, à des bases de données françaises et européennes, capables d’analyser, pourquoi pas, votre façon de marcher qui rappelons-le vous est propre et peut vous identifier dans une foule d’individus.

Les objets connectés : ils existent et nous sommes à l’aube de cette ère de « l’Internet des objets », puisque c’est le nom commercialo-bullshit choisi. Je pense qu’il n’est pas insensé d’imaginer des caméras, des micros, des métadonnées et tout un tas de choses remonté par ces objets connectés.

Le suivi d’un individu : il existe déjà. Vos appels, sms, conversations, vos courriers électroniques et, de façon générale, toute donnée utilisable en fonction de la loi et du motif invoqué pour le suivi.

Les métadonnées : elles existent et il faudrait arrêter de dire que ce n’est pas de la donnée. Les métadonnées sont déjà bien trop bavardes :

Il est interdit de récupérer le contenu de votre navigateur… mais il est possible de savoir que vous avez fait telle recherche, êtes allés sur tel site, pendant tant de temps, puis sur tel autre site en relation avec le premier site. Prenons quelques exemples…

• Le renseignement ne sait pas que vous avez un problème d’intimité. Il sait en revanche que vous avez effectué une recherche sur une IST, que vous êtes ensuite allé sur un site qui en parle, puis que vous avez pris un rendez-vous chez votre médecin.
• Il ne sait pas que vous êtes enceinte. Il sait, en revanche, que vous avez lu des forums, que vous cherchez des informations dessus et que vous cherchez un comparatif des gynécologues de votre ville….Donc il le sait… D’ailleurs, il le sait même avant votre conjoint ou conjointe.
• Il ne sait pas que vous comptez divorcer, mais, parce que vous avez effectué des recherches sur les procédures administratives d’un divorce, que vous voyez un conseiller avec votre partenaire et que, bien que n’ayant pas le droit de lire vos mails, il sait qu’une adresse mail vous contacte énormément depuis quelques mois, il le sait.
• Vous souhaitez avorter, vous cherchez donc des informations sur un site. Google Analytics récupère cette requête et ainsi, quelqu’un est en capacité de savoir, via une base, que vous avez fait des recherches sur l’avortement, pris rendez-vous avec un médecin pour conseil, ou avec un hôpital, que vous avez envoyé un mail à une amie pour lui en parler. Le tout sans jamais rentrer dans votre vie privée puisque les métadonnées ne font pas partie de votre vie privée.

Il sait même que vous allez vous mettre avec quelqu’un ou que vous allez divorcer avant vous, en fait. Par l’analyse de vos comportements numériques et par vos attitudes sur Internet ou sur des sites web.

Et tout, ou presque, fonctionne ainsi dès lors que vous passez par Internet, que vous passez par un service de collecte de données, par Google ou un truc similaire avec un autre nom.

De plus en plus de services sont interconnectés, imbriqués les uns avec les autres : votre compte Google qui vous permet de tweeter un contenu sur Youtube et Facebook qui récupère chaque page que vous visitez, chaque service stockant la moindre information sur vous est une source utilisable.

La géolocalisation s’installe dans les pratiques essentielles des grandes oreilles des états et ça ne dérange pas plus que ça. On vous donne le moyen de tracer vos propres téléphones, d’activer le micro à distance, de récupérer des sms, de le situer sur une carte avec une précision de l’ordre du mètre. C’est toujours la même chose, pour instaurer la quelque chose sans que personne ou presque ne bronche, il faut toujours faire croire à l’utilisateur qu’il est gagnant (vidéo surveillance, Google, géolocalisation …)

Si vous êtes capables de faire ça, dites-vous que d’autres peuvent faire beaucoup plus avec vos données.

Et les objets connectés, derrière leur utilisation sans doute très sympathique, sont également redoutables : ils sont chez vous, physiquement présents et révèlent vos attitudes et comportements lorsque vous n’êtes pas devant un écran. Le rachat de Nest par Google est un bon exemple de tout ceci : Google s’invite chez vous, hors de vos écrans, pour récupérer des données la façon dont vous vivez. Il n’est pas, à nouveau, absurde de déclarer que ces objets vont remonter des données qui pourront être exploitées par « On ne sait pas qui ». D’ailleurs, le fait que Google rachète Nest pour 3.2 milliards de dollars n’est pas anodin, c’est un des montants les plus élevés d’un rachat par Google, pour un « simple » fabriquant de thermostats

Le vrai risque que je cherche à souligner dans cette nouvelle c’est « l’interconnexion de tout » sans savoir qui peut accéder à nos informations, sans savoir ce qui en est fait et sans réel moyen de contrôler tout ceci. C’est pratique et appréciable d’avoir des interconnexions de plein d’outils, de plein de bases partout, mais cela devrait nous forcer à se poser un bon nombre de questions.

C’est pratique un réfrigérateur connecté, on peut avoir des recettes et passer des commandes directement depuis l’appareil, il peut vous dire ce qu’il lui reste dans le ventre… mais qu’est-ce qui prouve qu’il n’envoie pas de données on ne sait pas trop où ? Est qu’est-ce qui vous prouve qu’il est sécurisé ?

L’évolution de la surveillance généralisée est, selon moi, liée à l’évolution technologique. Même si la technologie est neutre, chaque avancée est un pas de plus dans l’observation de nos comportements, habitudes, façons de vivre, lire, écrire, naviguer… et cela devrait nous alerter bien plus que l’ersatz de réaction actuelle.

Peut-être avons-nous oubliés beaucoup de choses qui ne devaient pas être oubliées ?

Peut-être, oui. Le fichage des personnes en fonction de leur age, sexe, ethnies, religions, façon de consommer, la stigmatisation de tout ce qui « sort du lot », le fait de ne « rien avoir à cacher » sont pour moi autant de signes inquiétants qui ne font croire que nous avons perdu notre mémoire.

Bref, la prochaine fois que vous cherchez quelque chose sur Internet, pensez-y.

Je viens de tomber sur un billet du site ladepeche.fr [MAJ : modification du lien pour mettre le lien du cache Google, le site ayant supprimé la news, une modification prochaine mettra le contenu à disposition depuis ce site].

L’article, si on peut nommer cela ainsi, est une représentation de ce qu’on nomme la culture du viol. En résumé, une femme a porté plainte pour viol suite à des attouchements et l’article s’efforce de démontrer que c’est sa faute.

Très clairement, j’accuse ce site de faire un truc complètement merdique, nauséabond et de participer à cette culture du viol. Et histoire de bien faire la part des choses, j’ai repris l’article avec les faits énoncés, qu’on comprenne bien.

---

C’est une affaire qu’a eu à juger mercredi le tribunal correctionnel d’Agen que présidait Ludovic Pilling. Un couple de jeunes gens décide de se séparer. Comme beaucoup de couples, ils avaient déjà couchés ensemble.

Un soir, la jeune femme vient voir le garçon à son domicile, ils passent la soirée ensemble, boivent et fument un peu. La jeune femme fatiguée annonce qu’elle va dormir et se dirige vers le lit.

Quelques instants plus tard, le garçon le rejoint et se dit : « elle est dans mon lit donc c’est qu’elle veut qu’on fasse l’amour, sinon elle serait allée ailleurs, donc même si elle veut pas, en réalité, elle veut. »

Il s’approche donc de la jeune femme et tente de glisser sa main entre ses cuisses. Elle hurle, se défend et lui porte un coup de genou entre les cuisses, mettant le jeune garçon hors d’état de nuire.

La jeune femme quitte la chambre, se dirige vers la porte, constate qu’elle est fermée à clef et hurle, c’est une séquestration. La garçon lui ouvre, la fille s’en va et, le lendemain, porte plainte pour viol.

Une enquête sera ouverte et le parquet, investigations achevées, décidera qu’il n’est pas utile de renvoyer l’affaire devant le tribunal. Il décidera le classement de l’affaire et procède à ce que l’on appelle «un rappel à la loi».

La jeune femme fait valoir ses droits et fait appel de la décision. Le parquet va donc revenir sur l’affaire, qui n ‘est pas encore jugée. L’avocate de la jeune femme demande 7000€ (ndlr : le motif n’est pas indiqué).

---

Je vous invite à lire les deux versions, pour bien saisir le problème (le mien n’est pas exempt de fautes, signalez-les dans ce cas).

La tournure de l’article, les propos employés (« Ni l’un ni l’autre n’étaient donc des perdreaux de l’année. », « elle va carrément dans sa chambre », « Il glisse sa main vers le jardin secret », « C’est-à-dire qu’il admoneste le garçon » c’est une minimisation des faits, « n vrai réquisitoire de cour d’assises en accablant le garçon » c’est une minimisation des faits) et le ton général de l’article ont de nauséabonds qu’ils minimisent les faits et tentent de faire du garçon une victime.

Sauf que la victime, c’est celle qui était partie dormir, qui n’a rien demandé à personne et qui se retrouve avec un mec en train de lui coller une main entre les cuisses, pas l’inverse. Même si c’est son ex, même si alcool et pétards, même si « insérez ce que vous voulez ici. »

Bref, votre billet reçoit la validation suivante :

Il est préférable d’avoir lu l’épisode II pour comprendre ce billet.

Rapport de réseau - AYBABTU - 29-12-2018

Classification "très secret"

Archivage dans 7 heures

Archives AYBABTU classifiées « archive incommunicable » - L 2008-696

Rapport activité

Sujet : Paul Colog

Age : 19 ans

Raisons : suspicions d'appartenance à un
groupe terroriste orienté contre la présidence.

--------------------------------------------------

Rapport journée du  29 décembre 2018

Conclusions : Comportement suspect détecté.

Raisons : Détection trajet inhabituel par réseau caméras de surveillance. 14 minutes de retard au réveil et utilisation luminaires. Information réseau Linky.

Réseau Nest – compagnie Woogle : Prise d’un café au lieu d’un thé.

Comportement inhabituel : Passage dans la chambre, confirmé par le réseau Linky.

Sujet tente d’éviter les lieux d’écoutes, n’a pas son téléphone avec lui. Capteur thermique défectueux dans détecteur de fumé obligatoire, confirmation présence du suspect dans salon : KO

Activation mesures d’urgences : contrôle micros, poubelles, systèmes Woogle Nest, activation de l’ensemble des capteurs de présence. Présence sujet confirmée dans salon, comportement suspect, sujet ne regarde pas la télévision.

08h02 Demande pistage – procédure standard, sujet ne se comporte pas comme d’habitude, signes suspects détectés, sujet sort du domicile à heure classique + 12.

Demande automatique accordée.

08h15 Caméras de surveillance indiquent « Sujet n’a pas pris trajet habituel – détection de 14 caméras, évaluation : danger potentiel détecté.

08h16 Arrivée lieu de travail – heure  classique + 16 minutes – démarrage interception Macrosoft – Air’droid – Woogle

Aucune anomalie détecté. Individu se maitrise.

17h02 Perte signal de l’individu,

Retour des sondes :

Scan biométrique : KO

Scan panneaux publicitaires :  KO

Scan caméras, distributeurs banque, réseaux tiers : KO

Scan caméras lampadaires : KO

Scan fréquences mobiles, géolocalisation : KO

17h08 alerte de réseau caméra : « individu détecté en bordure réseau »

Sujet pénètre en zone non couverte.

Fin de rapport journée.

-- Rapport data AYBABTU --

Activités détectées

07h14 – allumage lumière salle de bains

07h21 – démarrage machine – sélection café noir – activité anormale.

07h30 – aucun signal micro, signalisation AYBABTU sur capteur thermique défectueux

08h01 – fermeture porte

20h02 – ouverture porte

20h02 – allumage luminaires salons

20h08 – démarrage ordinateur

20h11 – démarrage navigation

20h12 – vérification e-mails sur partenaire Woogle, connexion chiffrée, récupérations metadonnées

ouverture mail.

• Expéditeur « Franck »
• Sujet : « l’autre conne »

ouverture mail.

• Expéditeur  « vente-exclusives-destockage@utbabya.com »
• Sujet : « Profitez d’une offre exceptionnelle sur les détecteurs de fumée dernière génération ! »

ouverture mail

• Expéditeur « D. Chaumriet – votre médecin traitant »
• Sujet : Votre bilan médical

20h25 – démarrage de connexion chiffrée, attention données partielles :

Ouverture site

• rapport Woogle.fr recherche – recherche indisponible — contournement engagé –

ouverture du site + contournement chiffrement

• rapport woogle analytics / woogle : recherche trouvée
  • Recherche effectuée « Soigner HSV type 1″

ouverture site

• combattreherpes.info

  • temps passé en minutes : 10

ouverture site

• combattreherpes.info/herpes-genitale

  • temps passé en minutes : 20

ouverture site

• votremedecin.com

  • temps passé en minutes : 1

ouverture site

• votremedecin.com/recherche?=lieu+Paris+11ieme+specialise+HSV

  • temps passé en minutes : 9

21h05 Réception S.M.S

« Monsieur Colog, nous vous confirmons votre rendez-vous avec le docteur Chaumriet le 2018-01-30 17:00 pour soigner : HSV. Votre service médical. »

21h10 Ouverture du réfrigérateur – alerte réseau sur manque de produits

Situation anormale détectée

21h15 Appel pour commande de pizza

21h55 individu s’endort dans le canapé

-- Fin de rapport --

Paris, 28 décembre 2018

[...]
Au même instant, dans le salon de Paul …

« Mais, pourquoi il me fait un écran noir ce téléphone encore ? »

Il faut avouer que depuis l’avènement des smartphones, coller quelqu’un sous écoute c’est simple et presque invisible. Les constructeurs de ces petits objets ainsi que les systèmes d’exploitation qui tournent dessus embarquent déjà des solutions d’écoute et de géolocalisation, c’est à peine visible, le temps d’un écran noir ou d’un sms fantôme et le tour est joué.

Il y a quelques années, ça passait assez mal ces trucs-là, la surveillance, l’écoute… Alors pour faire taire les critiques, des logiciels à destination des utilisateurs avaient vu le jour, ils permettaient de retrouver son téléphone perdu ou volé, de l’écouter, de le bloquer à distance, de récupérer les messages et même de le reformater à distance.

Il avait suffi de donner ces outils de surveillance à des citoyens lambdas, de remplacer « surveillance » par « protection » et le tour était joué.

Depuis, une autre révolution était arrivée : celle des objets connectés. Paul en était fan. Dans son appartement, on comptait deux ordinateurs, un téléphone, une console, des cadres photos connectés qui faisaient défiler des photos facebouc, une webcam, le système de reconnaissance de la console, une ligne internet et bien d’autres choses, de petits objets de rien du tout ça et là, des poubelles connectées pour faire des concours de tri avec ses amis, un frigo connecté pour faire des commandes de courses depuis le frigo, un cendrier pour afficher sur Internet la fierté de Paul : troisième jour sans tabac. Enfin, nous pouvons parler de ses vêtements connectés, de la machine à café et d’à peu près tout dans son appartement.

L’avènement de ces objets connectés était une aubaine pour les membres d’AYBABTU, le réseau de surveillance du gouvernement. Afin de protéger l’opinion publique, le peuple et la nation contre toute menace intérieure ou extérieure, le gouvernement avait opté pour une surveillance généralisée de tout objet connecté à Internet. Dans un climat de menaces terroristes, cette nouvelle fut assez bien accueillie.

Depuis cet instant, le temps d’un clic et le tour est joué.

Sans parler des mails, des sites que Paul consulte, de ses transactions bancaires, des caméras de surveillance qui ont maintenant ordre de transmettre chaque image de Paul, où qu’il se trouve et d’alerter le réseau en cas d’absence …

« Ah, bah c’est pas trop tôt ! », déclara Paul à son téléphone qui venait enfin de lui redonner la main.

De l’autre côté de Paris

«  – Agent 12 au rapport, monsieur.
- Tout est bon ?
- Procédure classique, comme vous l’avez demandé. Tout est bon, du téléphone aux poubelles écologiques en passant par le compteur Linky. On va savoir à quelle heure il se lève, quand il prend sa douche, quand il déjeune et même quand il sera aux toilettes, et…
- C’est merveilleux la technologie, n’est-ce pas ?
- Tout à fait monsieur. Son linky va nous envoyer toutes les informations du réseau électrique, c’est un petit bijou de technologie française.
- J’n’aurais pas mieux dit !
- Monsieur ? Rajouta l’agent 12 d’un ton un peu hésitant, quand même, c’est vraiment nécessaire toute cette surveillance ?
- Oseriez-vous remettre en doute l’existence même d’AYBABTU ? La nation, c’est AYBABTU, AYBABTU c’est la nation, elle nous protège, il nous protège. Des autres. De nous même, de votre voisin et peut-être de vous !
- Je sais, monsieur, mais il se trompe parfois, souvenez-vous de …
- Agent 12, qu’est-ce qu’une ou deux erreurs face à des millions d’éventuelles réussites ? La réponse est simple : des dommages collatéraux. C’est tellement efficace que les citoyens ne s’en soucient même plus, ils vivent avec, grandissent avec et savent ce qu’ils ont le droit de dire ou non, de qu’ils ont le droit de faire ou non et ce qu’ils sont en droit de penser. C’est l’avenir.
- Oui, monsieur. Le dossier Paul Colog sera sur votre bureau demain, à la clôture en fin de journée. »

De l’autre côté de la capitale, Paul, l’oreille collée à son téléphone, désespère d’avoir Frank au téléphone.

« – Ouais ?
- Ah bah enfin, putain t’es long à décrocher !
- Pardon, on a des brouilleurs à la maison, fallait que je bouge.
- Bon bref, qu’est-ce que tu voulais me dire tout à l’heure ?
- De faire attention…
- A quoi ? Aux vilains renseignements généraux qui sont en train de m’écouter parce que j’ai osé dire que la présidente c’est qu’une vilaine méchante et que t’as répondu que tu voulais la buter ? Bon sang Frank on est en démocratie la France c’est pas l’Angleterre !
- Plaisante pas avec ça, vraiment, j’ai vu des mecs avoir des ennuis et d’autres qui ont fait d’la GAV pour moins que ça.
- T’es vraiment parano mec, ça te réussit pas d’être coupé du réseau.
- Bon, laisse tomber, t’es con ce soir, on en reparlera plus tard.
- Ouais, si les hommes en noir m’ont pas flashouillé la tête avec leur truc pour effacer la mémoire.
- T’es con.
- Non mais ça va, j’plaisante c’est bon t’énerve pas.
- Non mais laisse, bonne nuit. »

P’tain, autant il est adorable, autant il est parano parfois. Pensa Paul, convaincu d’avoir un ami un peu fou.

« Ah là là, ce Frank, c’est qu’il va finir par me rendre parano un jour. »

Avant d’éteindre son écran, le capitaine du groupe d’intervention d’AYBABTU affichait un grand sourire. Ravi de la conversation écoutée, il n’avait plus qu’une seule chose en tête : le rapport de demain soir.

« Je sens qu’il va me plaire, ce Paul. »