Mise à jour de la base de données, veuillez patienter...

Le SEO, c’est beau. Mais quand c’est mal fait, c’est le fail assuré. Reflets a souvent disserté sur ce sujet. L’histoire du CERT du Crédit Agricole nous donne une occasion de revenir sur la thématique avec un exemple franchement drôle. Résumé de la situation : un compte twitter semblant appartenir à l’un des membres du CERT du Crédit Agricole énonce de manière assez abrupte une série de dysfonctionnements au sein de ce CERT. Reflets se fait l’écho de cette histoire. Elle implique le Crédit Agricole, mais aussi, toujours selon le lanceur d’alerte, Lexsi.

Nous nous attendions à des mails comminatoires de la part du Crédit Agricole ou de Lexsi. Celui que nous avons reçu est d’un tout autre ordre. C’est, semble-t-il le prestataire en SEO de Lexsi qui a dégainé en premier.

En lisant le titre du mail « Ajout d’un lien », nous nous attendions à voir une demande d’ajout de lien dans notre article, pointant vers un démenti quelconque.

Pas du tout. L’expert SEO qui gère l’optimisation de Lexsi commence par nous remercier d’avoir cité Lexsi, puis nous demande d’ajouter un lien vers le site de son client dans notre papier. Histoire d’améliorer la position de Lexsi dans les recherches via Google, sans doute. Sauf que, bien entendu, notre article risque de ressortir dans les pages de réponses de Google.

Analyse succincte : l’expert en SEO n’a même pas lu l’article dans lequel il nous demande d’ajouter un lien.

C’est un beau métier.

Pas trop éreintant…

Cette nuit a été assez mouvementée. Si vous l’avez raté, c’est sur Twitter que ça se passe. Dans la journée d’hier, le compte @cyrilbruder balance du lourd sur les pratiques « étranges », et c’est un euphémisme si elles s’avèrent exactes, du CERT (Computer Emergency Response Team) du Crédit Agricole… tout y passe allant de la simple négligence à des infractions plus lourdes.

• Une politique sur les données personnelles aberrante et des infractions sur le traitement et la transmission à des tiers de ces dernières ;
• Des mots de passe stockés en clair qui exposent les données bancaires des clients ;
• Des falsifications, visant à dissimuler les preuves numériques de piratages ;
• Non conformité PCIDSS ;
• Conflits d’intérêts ;
• Fichiers illégaux (appartenance religieuse) ;
• …

Les accusations sont graves, mais elles semblent crédibles. Cyril Bruder déclare avoir travaillé quatre ans au CERT du crédit Agricole (une cellule de 4 personnes qui semble agir en totale autarcie).

Son profil Linkedin semble confirmer ce qu’il déclare, ce n’est pas un profil créé récemment pour la circonstance et il apporte des éléments matériels liés à ses propos, déclarant tenter de joindre l’ANSSI depuis des semaines sans que cette dernière ne daigne lui répondre.

Listings de comptes blacklistés à l’appui, le lanceur d’alerte explique en substance comment le CERT blackliste des comptes de personnes qui se sont fait pirater, infligeant à ces victimes une double peine pour mieux masquer leurs propres mauvaises pratiques. Ainsi une personne qui s’est fait pirater ne peut par exemple plus recevoir de virement. Elle n’en est pas même informée…

Les listings de comptes bloqués ont été partiellement vérifiés cette nuit. Les déclarations et les éléments de preuve apportés par Cyril Bruder se confirment, les comptes en question provoquent une erreur quand on tente de les ajouter :

Selon le lanceur d’alerte, La société Lexsi, prestataire de du Crédit Agricole aurait également contribué à la fourniture de moyens visant à commettre des infractions pénales.

Le lanceur d’alerte confesse avoir transmis de manière illégale plus de 700 comptes IBAN sur une mailing liste non officielles interne mise en place par LEXSI

Et maintenant… en pleine consultation sur le « grand projet » de loi sur le « Numérique », que diriez vous de renforcer les sanctions contre les dissimulations de piratages qui impactent les données personnelles de particuliers ? Ne nous faisons pas d’illusions, le cas du Crédit Agricole n’est sûrement pas un cas isolé, le système bancaire tire souvent ses pratiques en matière de sécurité d’une logique d’opacité propre à son secteur, une logique qui a maintes fois montré ses limites. Ajoutez à ça des systèmes vieillissants et des personnels à l’image des systèmes, et vous avez là un cocktail détonnant, illustration de tout ce qu’il ne faut pas faire.

La prochaine étape logique serait que le CERT du crédit agricole reçoive une petite visite conjointe de la CNIL et de l’ANSSI. Si l’ensemble de ces accusations venaient à se confirmer… et bien… il ne se passerait pas grand chose. La CNIL ordonnerait une mise en conformité sous un délai de N jours, l’ANSSI communiquerait au CERT du Crédit Agricole un ensemble de recommandations techniques que le CERT ne saura pas mettre en oeuvre, et voilà, circulez y’a rien à voir.

Si aucun client effectivement lésé ne porte plainte, aucune sanction ne sera prise, sauf peut-être si un procureur s’intéresse par exemple aux falsifications de preuves numériques volontaires présumées lors de compromissions de sites web. Mais là encore, que faire contre une « victime » qui dissimule elle-même des preuves d’un piratage dont elle est victime ?

Un grand merci à @_michigale_ pour ses vérifications.

Si le doute persistait, nous savons désormais quel type de société souhaite le gouvernement français. Une société de la suspicion, du fichage. Le rêve de l’ultra-conservateur Nicolas Sarkozy se met peu à peu en place, par le truchement d’un gouvernement étiqueté à gauche. Paradoxe ?

La loi sur le renseignement instaure la collecte massive de données pour un traitement par des algorithmes. Une violation patente de l’un des piliers de notre démocratie : le secret des correspondances. Les plus rétifs à ce changement de paradigme y voient la manifestation de la transformation du pays en Etat totalitaire. Sur le papier, ce n’est pas complètement faux.

Par ici les données biométriques !

Au niveau européen, la France se démarque également. L’Union européenne voudrait instaurer un système de contrôle aux frontières qui fait appel au traitement des données biométriques. Pour l’instant, le projet ne concernerait que les non-résidents de l’Union européenne. Mais c’était sans compter sur la France. En pointe de la lutte contre les méchants terroristes qui ne manqueront pas d’envahir Paris et plus spécifiquement Radio-France, la délégation française a souhaité que ces contrôles biométriques (ainsi que, bien entendu, le stockage et le traitement de ces données) s’appliquent également aux ressortissants de l’Union européenne.

Un petit détail qui serait passé inaperçu sans la veille de Statewatch. Le document français appelant à l’inclusion des résidents de l’UE dans le projet « smart borders » (on dit frontières intelligentes, pas frontières intrusives) n’est pas public. Statewatch a probablement fait une demande pour l’obtenir (ce que nous avons également fait ce jour).

L’aspect sémantique de ce document est intéressant. On y retrouve toute la phraséologie des tenants de la surveillance. Les frontières sont, on l’a vu « intelligentes » et pas intrusives. Ces contrôles biométriques qui incluent les empreintes digitales et l’iris, permettront de « fluidifier » et rendre ainsi plus rapides les passages aux frontières. Cela permettrait également, toujours selon la délégation française, de renforcer le principe même de la libre circulation des personnes. On croirait entendre le directeur commercial d’Amesys qui expliquait qu’en vendant un système de surveillance massive à un terroriste, on lutte contre le terrorisme…

Le 15 octobre marquera la clôture des soumissions de films pour le « Flying robots international film festival« . Toutes sortes de catégories sont ouvertes, y compris la catégorie « LOL ». C’est dire si cela vaut le coup de participer. Le festival est organisé par Eddie Codel. Ce pionnier de la publication indépendante sur le Net organisait déjà Webzine dans les années 2000.

Le quatrième pouvoir n’est plus ce qu’il était. Sans parler, bien entendu, des journalistes qui se déplacent sur des terrains à risque, informer devient de plus en plus compliqué. Dans un recueil d’expériences vécues, 16 journalistes en donnent des exemples précis. « Informer n’est pas un délit, ensemble contre les nouvelles censures » (Calman-Lévy – 17 euros) est finalement une longue énumération des types de bâtons mis dans les roues du journaliste d’investigation. Les actionnaires, les annonceurs, les politiques, l’Etat, les officines, les communicants, la justice, tout y passe. Au travers d’exemples vécus, les journalistes racontent leur quotidien, la censure plus ou moins efficace et plus ou moins directe qui tente de les museler, les formes qu’elle prend.

C’est un constat très alarmant. Si l’on peut aisément se faire une idée du poids des annonceurs ou des actionnaires, de plus en plus lourd, l’opacité et l’omerta mises en place par les serviteurs de l’Etat face à l’investigation journalistique laisse sans voix. Mathilde Mathieu, de Mediapart livre un récit effrayant de ses difficultés à obtenir des informations sur le train de vie des parlementaires. Elle expose également les sanctions qui s’abattent sur ceux qui ont le malheur d’être simplement soupçonnés d’avoir renseigné un journaliste au sein de l’Assemblée Nationale ou du Sénat.

Les auteurs auraient également pu s’interroger sur le public. Souvent apathique, lassé des révélations en cascade ?

Mathilde Mathieu tire ce constat sur le Parlement : « Il s’est tué littéralement. Car l’antiparlementarisme se nourrit plus du secret, terreau des pires fantasmes, que de l’exposition des dérives individuelles en place publique ».

C’est juste. Mais pour ceux qui lisent Mediapart, ou d’autres enquêtes sur d’autres supports, la réponse des lecteurs devrait-elle vraiment être l’antiparlementarisme ou le développement de théories complotistes, ou plutôt une démarche de demande de comptes ?