Archives mensuelles : mai 2012

Le vote électronique n’est pas prêt, il est même vulnérable !

Régulièrement je demande à ce que l’outil numérique prenne une place plus importante dans le paysage politique. Et pourtant je milite contre le vote électronique, que ce soit dans les bureaux de vote ou à la maison comme vient de le proposer notre cher ministère des affaires étrangères. Il y a une raison à cette apparente schizophrénie : le réseau actuel n’est pas conçu pour cela et n’autoriserai que des dérives.

Hier j’ai lu que le vote par Internet allait devenir une réalité pour 2012, aux législatives et pour les Français de l’étranger. Et j’ai aussi lu quelque chose de très inquiétant : cette procédure ne sera encadrée que par une seule et unique personne.

Vous commencez à me connaitre, quand un nouveau site aussi important est lancé, je fais un petit tour dessus, surtout s’il est en .gouv.fr. Et là en particulier je tombe sur une vérification de la configuration. Il faut que je rétablisse les configurations diverses et variées de mon navigateur qui interdit le javascript, bloque un certain nombre d’informations et tente quelques petites manipulations sur les entêtes HTTP tout seul mais même après cela le site ne détecte pas mon applet Java (qui lui pour le coup est activé et fonctionnel, même si je ne m’en sers jamais).

On me propose un lien pour contacter une assistance… C’est vexant, mais certes. Et là un formulaire… Miam !

Mon navigateur, par habitude me propose bien vite la valeur « >d pour le premier champ, je tente, en re-désactivant javascript qui me gêne en vérifiant  tous les champs et en me disant de les remplir tous… Et là :

Non seulement le formulaire a été soumis alors que je n’ai rempli que le prénom (numéro de ticket support à la clef) – ce qui veut dire que l’ensemble des contrôles de sécurité de ce formulaire au moins sont effectués en javascript, côté client et donc désactivables – mais en plus de cela j’ai le droit à une information bonus en tête de ma page qui me semble fortement être une jolie injection dans les entêtes du mail… Dans un premier temps j’ai cru qu’il s’agissait du destinataire, mais après un second test ce sont mes informations qui sont apparues, celles de l’envoi précédent (2054-da Silva Paul–)… Mais alors là franchement, je ne vois même pas comment ça peut se retrouver là ! Une chose est sure : le « – – » à la fin ne me rassure pas, ce sont les commentaires en SQL, très utilisés pour les injections…

J’ai renvoyé le formulaire deux fois, javascript activé cette fois-ci et ai obtenu des résultats aléatoires… Alors j’ai essayé autre chose, toujours depuis ce formulaire de test et voilà l’écran sur lequel je suis tombé qui parle de lui même :

Non ça ne vous parle pas ? Bah c’est une injection SQL sur système Microsoft en espagnol avec affichage des erreurs (le tout hébergé dans un datacenter à Barcelone, on repassera pour le « achetez-français » ^^)… Pour les moins techniques d’entre vous cela signifie qu’au moins les tickets de support, si ce n’est l’ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n’importe quelle personne ayant des compétences dans le domaine… La faille a été signalée, esperons qu’elle soit corrigée avant les législatives…

Alors que faire ? Et bien peut-être sortir des chemins battus, s’entourer de gens compétents lorsque l’on travaille sur des projets comme ceux-ci et envisager l’in-envisageable : pourquoi pas envisager le vote en P2P ?

On reparle de la négligence caractérisée maintenant ?

La position du nouveau président a été relativement floue quant à la question de la Hadopi lors de sa campagne. Aujourd’hui encore la seule référence relativement claire dont je dispose est un tweet de Fleur Pellerin qui dit vouloir abroger Hadopi pour la remplacer. Fair enough, mais attention à ce que vous garderez du dispositif et vers qui / quoi il s’orientera.

Je n’ai eu de cesse, comme beaucoup, de dénoncer le fameux délit de négligence caractérisée que notre loi fétiche a tous a mis en place en essayant d’expliquer en quoi il était déraisonnable de demander à tout un chacun d’assumer la responsabilité d’un acte technique lourd à infaisable : la sécurisation de sa connexion à internet. Pour rappel la connexion en question va du poste de l’utilisateur aux contenus qu’il visite et chaque maillon de cette chaine peut présenter une faille de sécurité plus ou moins lourde.

Intéressons nous à ce dernier maillon un instant…

Depuis quelques années maintenant je suis consultant à mon compte spécialisé en sécurité des applications Web. A ce titre j’ai audité des sites et applications pour des clients très divers allant d’institutions étatiques aux entreprises du CAC40 en passant par la petite PME qui vient de subir une attaque (tous sont protégés par les clauses de confidentialité signées, je ne donnerai donc pas de nom). Le point commun que j’ai trouvé à tous ces clients : il y avait toujours une faille (et souvent plus). Mais à la limite c’est normal, ce n’est pas leur boulot…

Alors ces deux derniers jours je me suis donné pour challenge de jouer avec des sites d’entreprises dont c’est justement le boulot : les éditeurs d’antivirus. Je n’ai pas joué non plus 200 ans et je n’avais pas accès aux sources des sites webs. Je me suis donc placé dans le rôle d’un attaquant pressé et ai essayé, armé d’un simple navigateur (firefox si vous voulez tout savoir) de dénicher des failles permettant par la suite de compromettre la sécurité de la connexion internet d’un utilisateur (au sens large prévu dans la loi) visitant les sites en question. Les deux seules réelles différences avec un attaquant mal intentionné ici sont que j’ai signalé les failles trouvées aux éditeurs correspondants et que je n’ai pas cherché à être anonyme.

Le résultat m’a surpris moi-même : sur les sites des principaux antivirus sur le marché seul celui de NOD32 (Eset) m’a résisté plus de 1h30, délai que je m’étais fixé (le temps c’est de l’argent ^^) et le lendemain de mes tests (annoncés sur twitter) j’ai eu la surprise de trouver un email m’indiquant une faille dans ma boite aux lettres (damn je l’ai laissée passer celle là !).

Au tableau de chasse sont donc tombés en deux jours, sur mon temps libre, des sites appartenant à :

– AVG (Injection SQL + XSS session stored dom based sur un site satellite)
– Kaspersky (XSS persistante sur un site satellite)
– Symantec (XSS dom based sur le site de paiement)
– Bitdefender (XSS persistante sur un site satellite couplé à du CSRF)
– McAffee (XSS persistante sur un site satellite)

A partir de ces failles j’aurai pu, en étant beaucoup moins bien intentionné que je ne le suis, compromettre les réseaux locaux des visiteurs des sites en question, les traquer, leur faire exécuter des actions contre leur gré vers des sites dont la consultation répétée est interdite, … Et la liste des possibles est longue… Le tout était présent sur des sites d’entreprises compétentes, fournissant de bons outils de sécurisation – imaginez ce qui traine sur les ordinateurs de la moitié des Français…

Alors monsieur le président, dans votre réflexion sur le remplacement de la Hadopi je vous prie de considérer ce qui suit : le seul intérêt de la négligence caractérisée est de permettre à l’état et à des entreprises privées d’avoir une excuse pour installer un logiciel espion sur les ordinateurs des français qui permettrait lors d’un jugement d’attester de la bonne volonté de la personne à avoir sécurisé son accès. Cette idée créée un précédent grave dans la mise sous surveillance de nos concitoyens et n’a pas de réalité technique tangible.

Il est impossible pour quiconque de sécuriser l’ensemble de sa connexion à Intenet car personne n’en maitrise tous les maillons. De plus demander à chaque français de se transformer en expert de la sécurité ne changerait rien puisque les experts eux-même ne peuvent penser à tout (et j’en sais quelque chose). Personne n’est infaillible et à moins de surveiller l’ensemble de la population à la Amesys il est impossible de prouver que la personne est de bonne foi par ce moyen là. Cherchez autre chose.

Ce billet est le premier d’une série qui sera adressée dans sa totalité aux nouveaux gouvernants de notre pays demandant la remise à plat de la quasi-totalité du règne Sarkozy sur l’Internet dans le but que la descente aux enfers cesse…

Je n’ai pas voté…

Hier soir j’ai, comme beaucoup, célébré le départ de Nicolas Sarkozy. Je n’ai caché ni ma joie de voir partir Nicolas ni mon scepticisme de le voir remplacé par François. Très franchement je ne suis pas vraiment rassuré, mais au moins je suis heureux. Sauf que je n’ai pas participé à tout cela, et je tiens à vous expliquer, maintenant que l’enjeu est passé, mon choix.

Je ne voulais pas publier cet article avant que le vote soit passé par peur d’influencer quelques indécis qui auraient autrement voté et auraient pu regretter ce choix de dernière minute par la suite. Mais j’ai pris la décision il y a de cela quelques semaines / mois de ne pas voter lors de cette élection. Cette décision n’était pas motivée par la flemme ou pas le traditionnel tous pourri (ça c’est ce qui m’avait motivé à voter blanc ou nul aux précédentes échéances) mais par un réel ras-le-bol du système actuel et du peu qu’il a à proposer aux simples citoyens comme vous et moi (ce blog est toujours bloqué à l’assemblée nationale et dans d’autres instances).

J’ai refusé de participer à un évènement qui met le vote et la représentativité au centre de la vie politique à l’heure à laquelle les citoyens ont à disposition des moyens techniques qui leur permettent, théoriquement, d’influer de façon continue sur la vie politique. Cette possibilité nous est refusée par les mêmes instances que nous sommes censés approuver et légitimer par le vote. En somme en votant, avec tous les aléas que cela représente et sur lesquels je vais revenir, on accepte de fait que l’on va être trompés et déçus sans rien pouvoir y faire, mais en plus on donne à ces personnes tout notre pouvoir et notre validation.

Jusque là je votais blanc ou nul, par manque d’affinité avec les candidats et surtout leurs programmes (auxquels je savais par ailleurs qu’ils n’allaient pas se tenir). Cette fois-ci j’ai décidé de changer et d’assumer complètement les positions que je défends par rapport à la démocratie et son évolution souhaitable. Ce que j’ai constaté hier c’est la victoire d’un homme. Ni celle d’un parti, ni celle d’idées et à quiconque voudrait de me contredire je me permet de le / la renvoyer aux débats divers et variés qui ont ponctué cette campagne triste à mourir.

Ce n’est pas ce que je souhaite pour le pays des droits de l’Homme, ce n’est pas la division qui, pour moi, est la solution à une gouvernance éthique et pro-active pour que le niveau de vie et des libertés puissent progresser. C’est très loin d’un idéal que je persiste à vouloir poursuivre et qui nous permettrait à tous de décider, à la majorité, ce que l’on souhaite non pas pour nos dirigeants (je n’entre pas dans un clivage gauche-droite ici, je parle bien de la politique et pas des patrons) mais réellement pour nous, les citoyens.

Ce dont notre pays, notre monde, a besoin aujourd’hui c’est de personnes qui seraient prêts à tout remettre à plat, qui auraient les couilles de tout casser pour recommencer en tenant compte de la façon dont notre monde a évolué – en bien sur des aspects en pire sur d’autres – et de l’annoncer clairement, en dehors de tout intérêt personnel et dans un simple et unique but : l’intérêt souverain de la démocratie. Ces gens là seraient les artisans d’un prochain régime, les derniers dirigeants avant qu’enfin une utopie se réalise : celle de la démocratie, la vraie.

Enfin je vais me fendre d’un petit mot sur les sondages et les influences (la raison qui m’a fait choisir de ne publier cet article que maintenant) : en suivant tout ce tintamarre (je ne trouve pas d’autre mot) deux mois durant j’ai, plus que par le passé encore, eu l’amère impression que l’on nous volait cette maigre décision qui est censée être la nôtre. Les sondages, les couvertures médiatiques partielles et partiales et surtout l’endormissement des foules par la vente de temps de cerveau disponible et l’assèchement de la quantité déjà très faible de l’initiative politique pour les citoyens ne permettent ni de faire un choix éclairé, ni de juger par la suite de la pertinence de son choix.

Le vote est un droit, et surement pas un devoir, auquel j’ai décidé de renoncer. Et tous les gens qui seraient tentés de me conspuer en avançant que certains sont morts pour ce droit devraient revoir leurs classiques : ils y liraient que les martyrs dont on parle, récents ou moins, sont tombés pour la démocratie – une valeur pour laquelle je me suis battu moi aussi depuis des années et pour laquelle je continuerai à me battre jusqu’à ce que mort s’en suive. Je ne considère juste plus la représentativité par le vote comme le moyen optimal d’y parvenir dans la France, dans le monde, que nous connaissons aujourd’hui.

Je continuerai à discuter avec des élus ou des ministres chaque fois que j’en aurai l’occasion parce qu’ils sont à l’heure actuelle la seule forme législative que nous connaissons. Mais ce n’est pas là ce que je souhaite cautionner par un vote pour le pays que l’on m’a vendu quand j’étais gamin comme celui des droits de l’Homme.