Conséquences des agissements de la NSA sur les expertises judiciaires
Planète Juridique - admin, 2/01/2014
Depuis plusieurs mois, les informations révélées par Edward Snowden secouent l'univers de la sécurité informatique. Car, s'il s'agit du plus grand scandale de surveillance électronique occidental éclatant au grand jour, il s'agit aussi du plus grand fiasco de la sécurité informatique de tous les temps.
Avec tous les spécialistes pointus en sécurité informatique, tous les audits effectués sur les différents matériels, toutes les alertes récurrentes sur les espions chinois et russes, personne (parmi les gens pouvant parler librement) n'a rien remarqué, personne n'a su où regarder, personne ne s'est rendu compte de la collecte massive d'informations avant qu'Edward Snowden ne livre les documents de la NSA.
Bien sur, certains journalistes, comme ceux travaillant chez Reflets, avaient commencé à lancer des alertes en recoupant des informations et des données techniques, mais la prise de conscience collective a été plus que tardive.
Quand je lis chez Korben, dans ce billet, que les Etats-Unis disposent depuis 1997 d'un service d'informaticiens offensifs (TAO) qui se sont infiltrés dans 258 systèmes informatiques de 89 pays, ma première pensée est pour toutes les expertises judiciaires que j'ai menée depuis, avec une seule question à l'esprit: ai-je pu affirmer dans l'un de mes rapports d'expertise judiciaire quelque chose qui pourrait avoir été le fait d'une action d'une telle équipe ? Ai-je pu charger un innocent d'un élément qu'il aurait pu ne pas commettre ? Ai-je moi-même été piégé dans mes investigations, quand tant de personnes se sont faites roulées ?
J'ai alors relu tous les rapports que j'ai rédigé depuis 1999, avec en tête l'action de la NSA, l'existence de cette équipe de hackers d'état et la guerre électronique en cours, avec l'ampleur qu'on lui connaît maintenant. J'ai vérifié mes conclusions et j'ai pu constater avec soulagement que j'avais toujours pris les précautions élémentaires dans l'analyse des preuves sur lesquelles j'ai eu à travailler. En partie à cause grâce à l’existence de longue date des malwares et virus toujours plus sophistiqués qui obligent l'expert judiciaire à toujours émettre des réserves quand on lui demande, par exemple, si tel ou tel compte informatique a servi au téléchargement d'images pédopornographiques, puisqu'un tel téléchargement peut être effectué, par exemple, par un malware à l'insu de l'utilisateur de l'ordinateur.
Oui, mais ai-je été assez pédagogique dans mes avertissements ? Ai-je moi-même réellement cru que je pouvais me trouver face à un ordinateur sciemment piraté ? N'ai-je pas haussé les épaules en me disant qu'il était peu probable que l'ordinateur de M. Toutlemonde que j'avais sous scellé devant moi ai été la cible d'un groupe de hackers chinois, russes ou même américains ou français ?
J'espère avoir été clair dans mes rapports sur l'existence de ces risques.
Pourtant, je ressens un malaise. A chaque fois que j'ai été confronté à un ordinateur infecté de malware et/ou de virus, je l'ai signalé noir sur blanc dans mon rapport, en indiquant la nature des malwares trouvés. Mais qu'en est-il des backdoors logicielles inconnues à l'époque et que l'on découvre aujourd'hui ? Qu'en est-il des logiciels implantés puis effacés correctement, avec nettoyage parfait des traces ? Je ne peux être certain de rien. Je me sens comme le professeur Tardieu.
Oh, certes, j'ai toujours été scientifique dans mes approches du problème qui m'était présenté. J'ai été factuel, méticuleux et consciencieux. Je n'ai pas écrit "M. Truc a stocké des images pédopornographiques sur son ordinateur", mais "Je constate la présence d'images pédopornographiques sur l'ordinateur appartenant à M. Truc". J'ai toujours indiqué que les téléchargements effectués avec le compte informatique de M. Truc pouvaient être le fait d'une autre personne utilisant son compte, voire d'un logiciel agissant à l'insu de M. Truc.
Maintenant que tous les mois des routeurs montrent leurs faiblesses et qu'il est clair que tous les pays espionnent tous les citoyens de la planète, que les forces de l'ordre mènent des actions hors du contrôle de la justice de leur pays, il est facile de critiquer la naïveté des informaticiens et plus globalement la naïveté des citoyens (et de leurs élus).
Mon problème est d'expliquer aux magistrats, aux avocats et aux policiers qu'un ordinateur est devenu une passoire, que le réseau est devenu une passoire, que les sites web sont devenus des passoires... Il va falloir vivre dans ce monde, mais avant que tous ne comprennent que les preuves numériques sont de moins en moins fiables, des innocents risquent d'être poursuivis et condamnés.
C'est aux experts judiciaires en informatique d'en faire prendre conscience rapidement aux acteurs de la justice.
Quant à la vie privée, je ferai parler la NSA à travers la bouche du Colonel Nathan R. Jessup (Jack Nicholson dans "Des hommes d'honneur"), en modifiant à peine quelques paroles de la scène d'anthologie du film:
Nous vivons dans un monde qui a des murs, et ces murs doivent être gardés par des hommes en arme. Qui va s'en charger ? Vous ?
Je suis investi de responsabilités qui sont pour vous totalement insondables. Vous pleurezSantiagovotre vie privée et vous maudissezles Marinesla NSA.
C'est un luxe que vous vous offrez. Vous avez le luxe d'ignorer ce que moi je sais trop bien. La mortde Santiagode la vie privée, bien que tragique, a probablement sauvé des vies. Et mon existence, bien que grotesque et incompréhensible pour vous, sauve des vies.
Vous ne voulez pas la vérité parce qu'au tréfonds de votre vie frileuse de tout petit bourgeois vous ME voulez sur ce mur, vous avez besoin de moi sur ce mur.
Notre devise c'est "Honneur Code Loyauté". Pour nous ces mots sont la poutre maîtresse d'une vie passée à défendre des bastions. Chez vous ces mots finissent en gag.
Je n'ai ni le temps ni le désir de m'expliquer devant un homme qui peut se lever et dormir sous la couverture d'une liberté que moi je protège et qui critiquera après coup ma façon de la protéger.
J'aurai préféré que vous me disiez merci et que vous passiez votre chemin ou alors je vous suggère de prendre une arme et de vous mettre en sentinelle postée.
Colonel Nathan R. Jessup (Jack Nicholson)
La vie privée est morte depuis longtemps, et je crains que le Colonel Nathan R. Jessup n'ait finalement gagné, contrairement à ce qu'il se passe dans le film. Le seul moyen de lutter contre lui est le chiffrement à tout va, de gré à gré.
Ce jour là, je vous promets d'ouvrir une bouteille et de trinquer à la protection de la vie privée, et cela même si cette protection complexifie (un peu) la lutte contre les activités criminelles de quelques uns.
Je sens que je ne suis pas prêt de me saouler sur ce coup là...
Depuis plusieurs mois, les informations révélées par Edward Snowden secouent l'univers de la sécurité informatique. Car, s'il s'agit du plus grand scandale de surveillance électronique occidental éclatant au grand jour, il s'agit aussi du plus grand fiasco de la sécurité informatique de tous les temps.
Avec tous les spécialistes pointus en sécurité informatique, tous les audits effectués sur les différents matériels, toutes les alertes récurrentes sur les espions chinois et russes, personne (parmi les gens pouvant parler librement) n'a rien remarqué, personne n'a su où regarder, personne ne s'est rendu compte de la collecte massive d'informations avant qu'Edward Snowden ne livre les documents de la NSA.
Bien sur, certains journalistes, comme ceux travaillant chez Reflets, avaient commencé à lancer des alertes en recoupant des informations et des données techniques, mais la prise de conscience collective a été plus que tardive.
Quand je lis chez Korben, dans ce billet, que les Etats-Unis disposent depuis 1997 d'un service d'informaticiens offensifs (TAO) qui se sont infiltrés dans 258 systèmes informatiques de 89 pays, ma première pensée est pour toutes les expertises judiciaires que j'ai menée depuis, avec une seule question à l'esprit: ai-je pu affirmer dans l'un de mes rapports d'expertise judiciaire quelque chose qui pourrait avoir été le fait d'une action d'une telle équipe ? Ai-je pu charger un innocent d'un élément qu'il aurait pu ne pas commettre ? Ai-je moi-même été piégé dans mes investigations, quand tant de personnes se sont faites roulées ?
J'ai alors relu tous les rapports que j'ai rédigé depuis 1999, avec en tête l'action de la NSA, l'existence de cette équipe de hackers d'état et la guerre électronique en cours, avec l'ampleur qu'on lui connaît maintenant. J'ai vérifié mes conclusions et j'ai pu constater avec soulagement que j'avais toujours pris les précautions élémentaires dans l'analyse des preuves sur lesquelles j'ai eu à travailler. En partie à cause grâce à l’existence de longue date des malwares et virus toujours plus sophistiqués qui obligent l'expert judiciaire à toujours émettre des réserves quand on lui demande, par exemple, si tel ou tel compte informatique a servi au téléchargement d'images pédopornographiques, puisqu'un tel téléchargement peut être effectué, par exemple, par un malware à l'insu de l'utilisateur de l'ordinateur.
Oui, mais ai-je été assez pédagogique dans mes avertissements ? Ai-je moi-même réellement cru que je pouvais me trouver face à un ordinateur sciemment piraté ? N'ai-je pas haussé les épaules en me disant qu'il était peu probable que l'ordinateur de M. Toutlemonde que j'avais sous scellé devant moi ai été la cible d'un groupe de hackers chinois, russes ou même américains ou français ?
J'espère avoir été clair dans mes rapports sur l'existence de ces risques.
Pourtant, je ressens un malaise. A chaque fois que j'ai été confronté à un ordinateur infecté de malware et/ou de virus, je l'ai signalé noir sur blanc dans mon rapport, en indiquant la nature des malwares trouvés. Mais qu'en est-il des backdoors logicielles inconnues à l'époque et que l'on découvre aujourd'hui ? Qu'en est-il des logiciels implantés puis effacés correctement, avec nettoyage parfait des traces ? Je ne peux être certain de rien. Je me sens comme le professeur Tardieu.
Oh, certes, j'ai toujours été scientifique dans mes approches du problème qui m'était présenté. J'ai été factuel, méticuleux et consciencieux. Je n'ai pas écrit "M. Truc a stocké des images pédopornographiques sur son ordinateur", mais "Je constate la présence d'images pédopornographiques sur l'ordinateur appartenant à M. Truc". J'ai toujours indiqué que les téléchargements effectués avec le compte informatique de M. Truc pouvaient être le fait d'une autre personne utilisant son compte, voire d'un logiciel agissant à l'insu de M. Truc.
Maintenant que tous les mois des routeurs montrent leurs faiblesses et qu'il est clair que tous les pays espionnent tous les citoyens de la planète, que les forces de l'ordre mènent des actions hors du contrôle de la justice de leur pays, il est facile de critiquer la naïveté des informaticiens et plus globalement la naïveté des citoyens (et de leurs élus).
Mon problème est d'expliquer aux magistrats, aux avocats et aux policiers qu'un ordinateur est devenu une passoire, que le réseau est devenu une passoire, que les sites web sont devenus des passoires... Il va falloir vivre dans ce monde, mais avant que tous ne comprennent que les preuves numériques sont de moins en moins fiables, des innocents risquent d'être poursuivis et condamnés.
C'est aux experts judiciaires en informatique d'en faire prendre conscience rapidement aux acteurs de la justice.
Quant à la vie privée, je ferai parler la NSA à travers la bouche du Colonel Nathan R. Jessup (Jack Nicholson dans "Des hommes d'honneur"), en modifiant à peine quelques paroles de la scène d'anthologie du film:
Nous vivons dans un monde qui a des murs, et ces murs doivent être gardés par des hommes en arme. Qui va s'en charger ? Vous ?
Je suis investi de responsabilités qui sont pour vous totalement insondables. Vous pleurezSantiagovotre vie privée et vous maudissezles Marinesla NSA.
C'est un luxe que vous vous offrez. Vous avez le luxe d'ignorer ce que moi je sais trop bien. La mortde Santiagode la vie privée, bien que tragique, a probablement sauvé des vies. Et mon existence, bien que grotesque et incompréhensible pour vous, sauve des vies.
Vous ne voulez pas la vérité parce qu'au tréfonds de votre vie frileuse de tout petit bourgeois vous ME voulez sur ce mur, vous avez besoin de moi sur ce mur.
Notre devise c'est "Honneur Code Loyauté". Pour nous ces mots sont la poutre maîtresse d'une vie passée à défendre des bastions. Chez vous ces mots finissent en gag.
Je n'ai ni le temps ni le désir de m'expliquer devant un homme qui peut se lever et dormir sous la couverture d'une liberté que moi je protège et qui critiquera après coup ma façon de la protéger.
J'aurai préféré que vous me disiez merci et que vous passiez votre chemin ou alors je vous suggère de prendre une arme et de vous mettre en sentinelle postée.
Colonel Nathan R. Jessup (Jack Nicholson)
La vie privée est morte depuis longtemps, et je crains que le Colonel Nathan R. Jessup n'ait finalement gagné, contrairement à ce qu'il se passe dans le film. Le seul moyen de lutter contre lui est le chiffrement à tout va, de gré à gré.
Ce jour là, je vous promets d'ouvrir une bouteille et de trinquer à la protection de la vie privée, et cela même si cette protection complexifie (un peu) la lutte contre les activités criminelles de quelques uns.
Je sens que je ne suis pas prêt de me saouler sur ce coup là...