Mise à jour de la base de données, veuillez patienter...

La semaine dernière sur Twitter et ce weekend ici même, nous alertions sur le fait que l’application mobile Firechat d’OpenGarden pourrait être dangereuse à utiliser dans certains contextes. En l’état, nous maintenons cet avertissement, mais il me semble important de préciser pas mal de points pour que cet avertissement soit bien compris. Il s’agit pour nous d’expliquer que contrairement à ce qu’une grande partie de la presse française a relayé, Firechat n’est actuellement pas une application pensée pour contourner la censure, pour la bonne et simple raison qu’elle n’a pas été développée avec cette problématique en ligne de mire. La protection de l’identité des utilisateurs n’a pas été dans la logique de son développement, Firechat n’est pas comme le souligne d’ailleurs OpenGarden, une application de comsec (communications sécurisées), elle doit plutôt être envisagée comme un réseau social local communiquant les contenus à Internet de manière publique.

Soulignons également que Firechat a pris en compte certaines remarques que nous lui avons objecté et la migration de l’infrastructure en cours vers le cloud d’Amazon a semble t-il été l’occasion de pas mal de corrections/ sécurisation.

Quelques gros mots un peu techniques

Il faut maintenant comprendre un peu de quoi nous parlons, et pour cela, parler un peu de technique. On va se rendre compte assez rapidement que le concept de « privacy by design », ce n’est pas la première fois qu’on vous le dit ici, sur un smartphone, c’est essentiellement un beau principe. Le chiffrement du transport des données que l’on reproche à OpenGarden de ne pas avoir intégré à Firechat n’est qu’une toute petite partie de de la « sécurisation » de cette application… Explications :

• Le chiffrement des communications comporte quelques écueils car il ne vous aura pas échappé que Firechat est une application fonctionnant en mesh sur deux protocoles principaux distincts : le WiFi et le Bluetooth… et comme vous vous en doutez, le WPA2 en bluetooth, ça ne fonctionne pas vraiment. Le chiffrement doit prendre en compte un autre problème inhérent à la nature d’un réseau chaotique : la connexion n’est pas permanente, elle saute régulièrement, la session et le chiffrement aussi. Un projet de recherche sous l’égide de la Commission Européenne, Haggle, propose une avancée significative en matière de chiffrement en environnement chaotique.
• Sur un réseau maillé, le routage est lui aussi chaotique, divers protocoles de routages mesh existent, mais peu se sont penchés sur l’authentification de paire à paire. J’entends par authentification de s’assurer de manière transparente que le point A communique avec le point B et non un tiers X. C’est là que ça se complique et c’est certainement pour répondre à ce problème qu’OpenGarden propose par défaut l’ouverture d’un compte pour utiliser son application… ce qui concorderait assez avec ses projets actuels d’ajouter des messages privés à Firechat. Mais tout de suite… on perd un peu de la magie du mesh.

Passons maintenant aux problématiques de sécurité en environnement hostile, mais qui dépassent de loin le cadre de l’application dont nous parlons :

• Le chiffrement local des contenus sur votre appareil : le plus gros trou de sécurité, c’est votre téléphone et son système d’exploitation. Une société comme Micro Systemation se fera une joie de vendre ses petits jouets de forensic, et là, votre vous avez beau avoir un super iPhone, il reste une passoire face à ce jouet.

• Le chipset GSM capable d’émettre téléphone éteint est aussi un gros problème en zone de conflits… une véritable balise de signalisation pour bombardement.

Vous voulez manifester « secure » ? Ne prenez pas votre téléphone, les pigeons voyageurs sont plus « sécurisés » car eux ne se baladent pas avec votre carnet de contacts ou l’historique de vos communications.

Elargissons un peu…

Nous sommes en 2014, nous ne découvrons plus Internet et les problèmes inhérents à l’appréhension d’un espace public. Plus que jamais, les développeurs ont de lourdes responsabilités lorsqu’ils offrent au public une application. La sécurité des applications que nous utilisons sur Internet et leur faculté à faire face aux menaces auxquelles elles sont inéluctablement exposées s’est considérablement complexifiée. L’utilisation de code tiers (librairies, frameworks…) ont ajouté une couche supplémentaire de complexité aux architectures classiques. S’il peut paraître à priori une bonne idée de se focaliser sur l’application elle-même, on se rend compte que dans l’Internet réel, les menaces ne sont pas toujours celles auxquelles un développeur pensera naturellement.

La question de la confidentialité et de la protection des données personnelles des utilisateurs répond à une logique encore plus complexe car elle dépasse de loin le périmètre de l’application elle même, au centre de laquelle se trouve une variable très complexe, que j’ai coutume de nommer la variable PFH (pour Pu@%!* de Facteur Humain).

Quand on développe une application, on s’attend à ce que ses utilisateurs l’utilisent de la manière dont on souhaiterait qu’ils l’utilisent. On fait de belles documentations, on explique comment ça fonctionne, ce qu’il faut faire et ne pas faire. Mais un utilisateur, c’est un animal complexe. Chose hallucinante pour un développeur, l’utilisateur ne lit jamais les belles documentations qu’il a passé un temps fou à écrire. L’utilisateur fait tout, souvent n’importe quoi, et rarement ce qu’on lui dit de faire. Souvent, cette caractéristique de l’utilisateur, inhérente à la nature humaine, ne prête pas à conséquences. Il y a même pour le développeur un aspect jubilatoire à voir ce qu’un utilisateur va pouvoir faire avec son application et qu’il n’aurait jamais prévu.

Dans d’autres cas, malheureusement eux aussi assez fréquents, l’utilisateur a des usages un peu plus malheureux que ce pour lesquels un développeur les avait prédestinés dans sa documentation. Et en principe, dans ces cas là, les utilisateurs s’exposent à un risque, tout simplement parce qu’il n’a pas été évalué comme tel au développement de l’application.

Dans le contexte actuel de certains pays, une application, surtout mobile, a maintenant une responsabilité très lourde, celle de protéger les utilisateurs de leurs usages « contre nature ». La variable PFH devrait être intégrée dans le cadre de tous les développements d’applications. Le cas que nous avons traité en parlant de Firechat suite à un gros battage médiatique, n’est qu’un cas parmi tant d’autres. Peut-être est il aujourd’hui temps pour chaque développeur de se poser de nouvelles questions lors de la conception d’une application pour aider les utilisateurs à se protéger d’eux mêmes.

Il y a trois ans environ, Reflets révélait qu’Amesys, une société française, avait mis sur écoute la Libye pour le compte du colonel Kadhafi. Nous passions alors pour de dangereux complotistes lorsque nous évoquions l’aspect particulièrement abject de ce deal : des opposants au régime politique local risquaient de se faire arrêter et torturer grâce à des outils bien français. Aujourd’hui, des torturés sur la base de ces écoutes ont témoigné devant un juge qui enquête sur des faits de complicité de torture. Puis, Edward Snowden est arrivé. Il a mis en lumière, powerpoints à l’appui, l’étendue de la surveillance mondiale. Il est aujourd’hui impossible de se voiler la face : les gouvernements sont engagés dans une course à l’échalote. C’est à celui qui surveillera le plus, de la manière la plus intrusive. Mieux, les services s’échangent des métadonnées par camions. Un peu comme les Etats-Unis après 2001, opéraient des livraisons de détenus dans des pays où les autorités sont moins gênées aux entournures avec la torture, pour obtenir des « résultats ». Lancer une application de messagerie comme Firechat n’a rien de condamnable. Le faire dans une ère post-Snowden, sans afficher des mises en garde sévères et multiples pour les pays fâchés avec les Droits de l’Homme, c’est au mieux irresponsable, au pire, pas loin d’être criminel. Se réjouir de l’utilisation de son application -que l’on sait sans chiffrement et laissant fuir des données personnelles – dans des pays à risques pour les opposants et s’en vanter sur son site est particulièrement troublant.

Créer une sorte de réseau social, fonctionnant en dehors des points d’écoute classiques, pourquoi pas. Monétiser d’une manière ou d’une autre cet outil, pourquoi pas… Mais afficher en clair tous les messages échangés entre les utilisateurs, y compris dans des pays dont tout le monde sait la volonté des autorités d’identifier les meneurs, d’éventuellement les arrêter, c’est faire preuve d’une singulière légèreté. Expliquer ensuite, une fois l’affaire éventée et les éventuelles mauvaises retombées en termes d’image en approche, que c’est tout à fait normal, que cet outil de communication est « comme Twitter » et que les messages sont publics, sans plus de réflexion, c’est aussi faire preuve d’une légèreté inquiétante.

Dans une ère post-snowden, mettre en valeur les retombées presse sur l’usage qui est fait d’une application (extrêmement intrusive en matière de privacy) dans des pays comme l’Irak ou Hong-Kong, c’est conforter les utilisateurs de ces pays sur l’intérêt de son produit.

Or, il est évident, y compris pour ses créateurs qu’au delà de l’intérêt éventuel et tout à fait discutable d’un tel outil, il y a d’énormes risques pour les opposants. Le fait d’inscrire sur son site ou de tweeter un message sur le fait que les conversations passent en clair n’est pas suffisant. Ce type d’alertes devrait figurer en rouge sur les pages où l’appli est téléchargeable.

En 2006, je co-écrivais (peut-être un peu trop tôt?) un dossier dans Le Monde 2 titré :

Internet : Staline aurait adoré

Nous sommes en 2014 et Edward Snowden, Amesys, Qosmos, Gamma, et tant d’autres, sont passés par là. Comment une entreprise, fut-elle une « startup Kikoulol 2.0″ peut-elle être aussi négligente alors que des opposants dans des pays fâchés avec les Droits de l’Homme utilisent son produit ? Comment la presse peut-elle encore tomber dans le panneau de « la belle histoire » ? Autant de questions auxquelles je n’ai pas de réponses.

 

Quel organe de presse n’a pas vanté cette semaine cette application fantastique Firechat, qui plus est, française, oui monsieur ? Le Monde, Le Monde Informatique, on en passe. Tout le monde au garde-à-vous pour saluer cette app qui permet aux opposants à Hong Kong de « contourner la censure« . Une vraie réussite française. Personne ne s’est demandé pourquoi l’appli fonctionne toujours à Hong-Kong alors qu’il suffit d’une pile de 9 volts, d’un CDROM et d’un fil de cuivre pour brouiller les communications ? Les autorités locales ont probablement tout intérêt à ce que les communications via Firechat continuent.

Que les journalistes se trompent, cela peut se comprendre. Qu’ils ne s’interrogent pas sur le discours marketing en or que leur servent une entreprise et les autres médias, c’est un peu plus inquiétant. Qu’ils n’interrogent pas les spécialistes du sujet, c’est dommage. Notre métier, le journalisme, consiste justement à toujours remettre en question la communication, la « belle histoire« . Pour ce faire, n’ayant pas la science infuse, nous sommes obligés d’aller questionner les experts. Puis, nous écrivons un article lisible et compréhensible par tous nos lecteurs. L’humilité, la prise de recul devraient guider nos pas. Ce n’est visiblement pas toujours le cas. L’histoire Firechat le démontre à nouveau.

L’article de Bluetouff a mis en lumière la fuite de données sur le site même d’Opengarden. Depuis Paris, n’importe qui peut « écouter » les conversations de (par exemple) l’incongrue Manif pour tous. Demain, la police pourra identifier les auteurs de deals d’extas sur un festival techno. Merci Opengarden.

De rien, c’est un plaisir :

Mais ce n’est pas tout. Depuis Paris, toujours, n’importe qui peut « écouter » les discussions et récupérer des informations techniques importantes concernant les opposants à Hong-Kong. Et pourquoi pas en Syrie, en Irak ?

Voici donc la méthode.

1°) s’armer d’un navigateur,

2°) utiliser un proxy à Hong-Kong ou un VPN sortant dans l’île.

3°) se connecter sur le site d’Opengarden.

4°) pleurer.

Nous attendions bien sûr les commentaires d’experts de la privacy et des zinternets après l’article de Bluetouff et de celui-ci. Sur le mode « ce n’est pas très grave, il n’y a pas de données identifiables simplement« , etc.

Mais c’est du patron d’OpenGarden que les commentaires les plus étonnants sont arrivés. Comme à notre habitude, nous procédons par étapes. En nous basant sur la doctrine Usenet de Guillermito : « dans quelques lignes, vous allez être ridicule« .

Notez que ceci est notre deuxième article sur le sujet. Il y en aura d’autres. Probablement autant que de réponses tentant d’excuser le comportement inqualifiable d’Opengarden.

Popcorn someone ?

The more we read « news » that chronicle the extraordinary feats of the mobile application FireChat, the more we wonder if all this is a simple buzz operation (and maybe more) orchestrated by who knows who. It’s too big, it recycles in a  shaker too many shady things to make it a natural buzz.

Certainly, one is accustomed to seeing many media re-write an AFP news, remixing it with so-called technical explanations make Bozzo the clown look for a sinister character. Except that this buzz is too good to be natural.

Fearless, media from around the world do not have enough words to praise an application which enables people communicate « without  a  network » (lol) « without Internet » … but who still demands to create an account when installing the app… How the hell do I do that, without the Internet? … Uh, Mr. Firechat why would you need me to create an account to let my phone communicate with my neighbor’s phone using a peer to peer technology?

In the best case, Firechat is a shell company whose success is an accident. At worst, people, not OpenGarden, has an obvious interest in other people using this application.

I just created the firechat « Crowdfunding ». Join me at http://t.co/mrPGvEzvDk

- Diana (dfyconsulting) October 2, 2014

We will now leave for your consideration the potential impact this URL -highlighted by @9B22EB34 and which shows on the OpenGarden website, posts  (in real time with the user’s identity) – on the Firechat’s users privacy, especially in conflict areas where this app seems to have so much been popularized.

No need to connect to Firechat to monitor users, or even identify them.

A careful reading of this paper is essential to a proper understanding of the risks protesters, activists, who recklessly use this application are bearing.

Plus nous lisons les « informations » qui relatent les extraordinaires prouesses de l’application mobile FireChat, plus il y a de quoi se demander s’il ne s’agit pas d’une opération de communication (et peut être bien plus) savamment orchestrée par on ne sait trop qui. C’est trop énorme, ça recycle au shaker trop de choses louches pour que ce soit un buzz naturel.

Certes, on s’est habitué à voir de nombreux médias reprendre une dépêche AFP en la remixant avec des pseudos explications techniques qui feraient passer Bozzo le clown pour un sinistre personnage. Sauf que ce buzz est trop beau pour être naturel.

Aucun recul, les medias du monde entier n’ont pas assez de mots pour chanter les louanges d’une application qui permet de communiquer « sans réseau » (lol) « sans Internet » … mais qui demande quand même de créer un compte à l’installation… heu comment je fais sans Internet ?… Heu, mais au fait monsieur Firechat pourquoi tu as besoin que je crée un compte pour faire communiquer mon téléphone avec celui de mon voisin en paire à paire ?

Dans le meilleur des cas Firechat est une coquille vide dont le succès est un accident. Au pire des cas, des gens, pas d’OpenGarden, ont un intérêt manifeste à ce qu’on utilise cette application.

I just created the firechat "Crowdfunding". Join me at http://t.co/mrPGvEzvDk

— Diana (@dfyconsulting) October 2, 2014

<script async src="//platform.twitter.com/widgets.js" charset="utf-8">

Nous allons maintenant laisser à votre appréciation l’effet que pourrait avoir cette URL, mise en évidence par @9B22EB34 et qui laisse public sur le site d’OpenGarden les messages de proximité (en temps réel, avec l’identité des utilisateurs), sur la confidentialité des utilisateurs de Firechat, tout particulièrement dans des zones de conflit où cette application semble s’être tant popularisée.

Pas besoin de se connecter à Firechat pour surveiller les utilisateurs, ni même les identifier.

Une lecture attentive de ce paper est indispensable à la bonne compréhension des risques que des manifestants, des activistes, courent à utiliser cette application de manière inconsidérée.