mercredi 28 juin 2017

La Russie a-t-elle piraté les élections présidentielles américaines de 2016?



Cette question a été largement débattue au sein des cénacles d'experts et dans les travées des assemblées aux États-Unis au regard du résultat de la présidentielle 2016 qui a vu le républicain Donald Trump réputé plus favorable aux intérêts russes que son adversaire démocrate Hillary Clinton l'emporter.

Pour autant, les échanges n'ont pas abouti à une réponse ferme et susceptible d'emporter l'adhésion de tous. C'est pourquoi l'apport du professeur Alex Halderman [1], spécialiste des sicences informatiques de l'University of Michigan est à lire avec attention, d'autant qu'il fut mandaté par le sénat américain, et plus exactement le Comité du Renseignement (Committee of Intelligence [2] ) pour y apporter son éclairage avisé. Celui-ci étant d'autant plus nécessaire que le 6 janvier 2017 fut déclassifié un document intitulé Assessing Russian Activities and Intentions in Recent US Elections [3], provenant des principales centrales du renseignement américain, sans que ce dernier n'apporte de réelles preuves tangibles, soit à dessein de protection des sources et des techniques soit en raison du manque d'éléments recueillis à même de trancher définitivement sur l'attribution. D'où l'intérêt réel du présent document pour dresser un état des lieux.

Et l'auteur sollicité de nous surprendre en abordant la problématique... par la vulnérabilité du vote électronique. Une approche que l'on pourrait estimée surprenante mais dont le fil conducteur est bel et bien la sécurisation du système de vote. Les prétendues intentions d'un État tiers (la Russie en l'occurrence) est l'occasion pour Halderman de développer son propos après avoir rappelé les deux modes de vote électronique en vigueur aux États-Unis (vote par reconnaissance optique et vote dématérialisé par ordinateur, le Direct-Recording Electronic). Et de rappeler ses conclusions datant d'il y a déjà dix ans :
What we found was disturbing: we could reprogram the machine to invisibly cause any candidate to win. We also created malicious software—vote-stealing code—that could spread from machine-to-machine like a computer virus, and silently change the election outcome.
Pour enfin enfoncer le clou :
Cybersecurity experts have studied a wide range of U.S. voting machines - including both DREs and optical scanners - and in every single case, they’ve found severe vulnerabilities that would allow attackers to sabotage machines and to alter votes.

Le professeur explique ensuite que la décentralisation des systèmes n'est pas forcément une protection suffisante. Qu'un État pivot - swing State - subissant une cyberattaque d'ampleur suffit pour orienter une élection d'importance à une échelle plus large.

L'expert explique que les pirates russes peuvent ébaucher plusieurs types d'attaques : soit directement en manipulant les systèmes d'information et de communication soit indirectement en perturbant le flux d'informations sortants.

Toutefois, sa conclusion est limpide comme mesurée : 
I don’t know how far the Russians got in their effort to penetrate our election infrastructure, nor whether they interfered with equipment on election day. (As far as the public knows, no voting equipment has been forensically examined to check whether it was successfully attacked.) But there is no doubt that Russia has the technical ability to commit widescale attacks against our voting system, as do other hostile nations.
Il acte que 1) la Russie est une cyberpuissance capable de perturber la gestion des votes électroniques 2) qu'aucune enquête forensique n'a été initiée afin de déterminer avec certitude le niveau d'intégrité du système de votation.

Pour parer à toute éventualité désagréable, Halderman propose trois mesures :
1) Mise à niveau technique des plus anciennes machines à voter
2) Instauration d'audits de sécurité couplé à des vérifications humaines aléatoires de votes pour corroborer le bon fonctionnement du décompte des votes
3) Promouvoir un ensemble de bonnes pratiques et tester à grande échelle le STAR-Vote [4]

Pour terminer, un chiffrage est fourni : 130 à 400 millions de dollars pour le remplacement des anciennes machines à voter (le détail n'est pas fourni, l'on peut néanmoins subodorer que le différentiel de chiffrage repose sur le nombre de machines à changer et le degré de sécurisation envisagé) complété par des audits estimés à 20 millions de dollars par an.

L'on soulignera qu'en tant que spécialiste avisé, le professeur Halderman se garde bien de se prononcer sur l'attribution des tentatives de pénétrations dans les réseaux de votes électroniques.

Pour autant, il a été dévoilé par le Washington Post [5] qu'en août 2016 fut autorisé par le président Barack Obama le lancement d'une opération secrète mobilisant toutes les structures du renseignement du pays. Le but étant de placer des bombes logiques à des noeuds critiques du réseau informatique russe [6]. Si le détail technique nous échappe, l'on peut déjà en conclure que les États-Unis prennent en très haute considération les capacités cyber de la Russie. Reste la difficile démarche de l'attribution, laquelle procède in fine plus d'un choix politique que d'un constat technique.

[1] https://jhalderm.com
[2] https://www.intelligence.senate.gov
[3] https://www.dni.gov/files/documents/ICA_2017_01.pdf
[4] https://www.usenix.org/conference/evtwote13/workshop-program/presentation/bell 
[5] https://www.washingtonpost.com/graphics/2017/world/national-security/obama-putin-election-hacking/?tid=sm_tw&utm_term=.ff5575241c54 
[6] « Obama also approved a previously undisclosed covert measure that authorized planting cyber weapons in Russia’s infrastructure, the digital equivalent of bombs that could be detonated if the United States found itself in an escalating exchange with Moscow. »

mercredi 21 juin 2017

Lutte antiterroriste franco-britannique sur Internet



J'ai été contacté récemment par la radio russe Sputnik pour apporter mon éclairage sur les récentes déclarations lors du sommet franco-britannique tenu le 13 juin 2017 à Paris portant sur l'émergence d'un plan d'action antiterroriste. Si les dispositions seront dévoilées conjointement par Mme Rudd et M. Colomb, ministres de l'intérieur de leur pays respectif, il est dès lors possible d'en dresser les trois axes principaux en ce qui concerne les mesures liées à Internet grâce au discours de Mme May et M. Macron.

J'évoque le fait qu'il s'agit pour l'heure plus d'une déclamation politique que d'une réalité technique qui demande justement à être plus explicite tant sur les moyens humain et technique octroyés que sur le cadre d'action de cette lutte.

J'ai distingué trois éléments suite au discours prononcé :
Les opérateurs et fournisseurs de services ligne ont des efforts dans l'optique de cette lutte mais jugés pas encore satisfaisants et doivent renforcer leurs mesures ; l'accès aux contenus chiffrés doit être possible tout en préservant le secret des correspondances privées ; l'accès aux preuves numériques sur des territoires tiers doit être amélioré.

De là j'en tire trois éléments d'analyse :
1) Ne risque-t-on pas d'assister à une censure d'ordre privée sur injonction publique? On reconnait que les acteurs d'Internet ont fait des efforts substantiels mais les exécutifs français et britanniques estiment ce n'est toujours pas assez. Ce qui est logique puisqu'une menace sur le corps social est par définition un risque potentiel aux contours parfois difficilement discernables d'où la tentation de procéder à une surveillance généralisée. Reste à savoir si l'on ne s'oriente pas vers un cadre de plus en plus restrictif des services proposés en matière de communication avec des atteintes claires à la liberté d'expression. Pour cette interrogation sur le rôle de ces limitations à la liberté d'expression, je renvoie au classement de Reporters Sans Frontière de l'année 2017 où les deux pays concernés se placent à la 39ème et 40ème place.
Du reste, est-il bien du rôle de ces structures privées de devenir des auxiliaires de police? Et quelle contrepartie financière, voire technique, l'État est-il prêt à consentir sachant que la collecte, la gestion, le traitement et la conservation des données à cette fin de lutte contre le terrorisme n'est pas l'objectif principal des sociétés mises à contribution?
Et j'ajouterai sur un plan psycho-sociologique que plus un individu - ou un groupe d'individus - se sait surveillé, plus il contrôle ses propos et code ses communications, d'où une difficulté accrue pour des services de renseignement de détecter des profils jugés sensibles.

2) Le difficile équilibre entre données cryptées - procédé nécessaire pour la protection de données stratégiques, tant pour les administrations que pour les entreprises mais aussi pour les particuliers pour les rendre moins vulnérables face aux tentatives de piratage - et le besoin pour les services de renseignement d'avoir connaissance de dérives en matière de radicalisation et l'éventuelle planification d'actes terroristes sur le territoire.
Comment protéger le principe de la correspondance privée et l'emploi de moyens destinés à lire intelligiblement cette même correspondance? C'est là où les experts et institutions ne sont absolument pas d'accord, la pierre d'achoppement portant notamment sur la mise à disposition d'outils permettant le chiffrage (tel est le terme exact en français).

3) Il s'agit d'une demande sous forme de main tendue politique vers l'exécutif américain mais difficile de croire que l'agence de renseignement NSA fournira généreusement et invariablement des informations à la demande. S'il y a déjà des passerelles entre les services de renseignement, ceux-ci n'ont rien d'automatique. 
Concernant les structures privées, les données récoltées et archivées sur les serveurs américains sont sous protection de la loi américaine et de l'État en question (celui de la Californie majoritairement), donc il demeure une obligation de passer par une commission rogatoire internationale.
Il apparaît compliqué à l'heure actuelle de penser que les États-Unis, institutions publiques et privées, soient enclines à partager de manière systématique leur trésor de guerre que sont les données numériques collectées de par le monde. Cela continuera de s'effectuer au cas par cas et selon le bon vouloir des acteurs.

Sur ces questions de législation en matière de lutte contre la criminalité et plus spécifiquement celui du terrorisme sur les réseaux numériques, l'on assiste en France à une succession de lois depuis les années 2000.
La dernière en date : la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement.
Question : cet empilement législatif participe-t-il à l'efficacité de l'objet dont il ressort?
En outre, si l'on prend l'exemple français, l'état d'urgence est passé d'un état temporaire à un état permanent où la tentation est désormais affichée de l'inscrire dans la normalité normative avec l'avant-projet de loi de juin 2017 renforçant la lutte contre le terrorisme et la sécurité intérieure.

Ne serait-il pas plus opportun d'appliquer déjà les textes antérieurs, et de fournir les moyens ad hoc pour leur offrir une pleine efficacité? 
Quant à l'international, un rappel d'ordre pratique : il existe une Convention élaborée à Budapest en 2001 liée à la lutte contre la cybercriminalité où de très nombreux États se sont engagés à s'appuyer mutuellement dans ce cadre. Le détail du texte et la liste des signataires sont disponibles sur le site officiel : 
http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185

Appliquons déjà les lois et conventions existantes. Oui à la coopération humaine et technique, non à la gesticulation politique et à l'inflation législative.

Pour conclure, il convient d'embrasser une approche civilisationnelle qui renvoie aux travaux du sociologue et philosophe italien Giorgio Agamben. Ce dernier signalant une évolution majeure de nombreux pays vers ce qu'il nomme des Security States, où l'on dérive de État de droit vers l'État de sécurité. 
Pour les régimes occidentaux, c'est une réelle transformation en cours qui va à rebours des droits et garanties qui ont été formulées après 1945. Ce qui obère sérieusement le magistère moral de ces régimes à l'international.