Discussion :

[Cedric Chevalier]

Richard Stallman vole au secours des whistleblower
et invite les internautes à réduire l’espionnage de la NSA en abandonnant les logiciels propriétaires

« Si les whistleblower [N.D.R. : lanceurs d'alerte] comme Edward Snowden n'osent pas révéler les crimes et mensonges, nous perdons le dernier bastion de contrôle sur nos gouvernements et institutions. C'est pourquoi les méthodes de surveillance qui permettent de savoir qui a parlé avec un journaliste sont très abusives. » dit Richard Matthew Stallman.

Le problème qui met en relation protection et vie privée est très complexe. Il est assez similaire au paradoxe de la poule et de l’œuf. Pourquoi ? Pour mettre à jour les grands réseaux de drogue, terroristes, de proxénétisme ou même les menaces étrangères, on a besoin de savoir qui fait quoi. Qui a parlé à qui ? Bref, autant de questions qui touchent à la vie privée des personnes. De telles interrogations justifient l'existence des agences de sécurité comme la NSA et les moyens qu'elles mettent en œuvre pour traquer les criminels.

D'un autre côté, les révélations d'Edward Snowden démontrent qu'on ne peut pleinement avoir confiance en les agences de sécurité comme la NSA. On peut citer, entre autres, l'affaire du hacking de Petrobras qui est d'ailleurs à l'origine de petites tensions entre le Brésil et les États-Unis. Stallman cite aussi des cas où les employés de l'agence de sécurité américaine ont utilisé le matériel de l'état à leurs propres fins. Certains s'en sont servis pour espionner leurs petites amies.

Autant d'exemples qui démontrent que les abus sont inévitables avec ce type de système. Que faire dans ce cas ? La réponse serait de limiter les capacités de surveillance de l'État en réduisant au maximum ses différents accès aux données des utilisateurs.

Pratiquement, c'est une tâche très ardue, même si Stallman propose quelques solutions pratiques pour certains cas de figure. Le père du libre préconise la décentralisation du stockage des données collectées sur les utilisateurs et la réduction de leur temps de conservation dans les serveurs des entreprises. Durée qui peut être prolongée sur ordre direct de la cour dans le cas d'investigations criminelles.

Stallman invite également les internautes à abandonner les solutions propriétaires qui ne sont pas sûres. « Nous ne pouvons pas faire confiance aux logiciels propriétaires. La NSA les utilise et crée même des failles de sécurité dans ces logiciels pour envahir nos ordinateurs et routeurs. Le logiciel libre nous permet de contrôler nos propres ordinateurs, bien qu’il ne permettra pas de protéger notre vie privée lorsque nous sommes sur internet », écrit Stallman.

Mais, même ainsi, ce ne sont pas des solutions satisfaisantes puisque l'État est un organisme très puissant. Par conséquent, la protection des whistleblower est un élément vital pour toute société, conclut Stallman.

Source : article de Richard Stallman

Et vous ?

Êtes-vous d'accord avec l'expert ? Sinon, quelle est votre opinion sur la question ?

[Paul TOTH]

Pour mettre à jour les grands réseaux de drogue, terroristes, de proxénétisme ou même les menaces étrangères, on a besoin de savoir qui fait quoi. Qui a parlé à qui ? Bref, autant de questions qui touchent à la vie privée des personnes.

je ne suis tout simplement pas d'accord avec cette affirmation !

les trafics de drogue, les terroristes et proxénètes ne sont pas identifiés en faisant une écoute systématique de tout le monde ! Le travail d'investigation consiste à remonter les filières pour identifier les individus, et là une fois qu'ils sont identifiés il est normal de mettre en place tous les moyens techniques pour s'assurer de leur implication et de remonter vers les gros bonnets.

[xurei]

je ne suis tout simplement pas d'accord avec cette affirmation !

les trafics de drogue, les terroristes et proxénètes ne sont pas identifiés en faisant une écoute systématique de tout le monde ! Le travail d'investigation consiste à remonter les filières pour identifier les individus, et là une fois qu'ils sont identifiés il est normal de mettre en place tous les moyens techniques pour s'assurer de leur implication et de remonter vers les gros bonnets.

C'est exactement cela dont il est question : la mise en place des moyens techniques. On ne peut pas attendre d'avoir identifié un criminel potentiel pour se demander "Bon, comment on va faire pour savoir avec qui il parle ?" Ca doit être prévu avant, pour éviter de perdre du temps à implémenter des choses qui auraient pu être faites en amont...

Et c'est là que la confiance pose problème. L'outil est là, et c'est tant mieux. C'est son utilisation qui doit être contrôlée.

Personnellement, je suis totalement d'accord avec Mr. Stallman, même si la solution qu'il propose est sans doute utopique, en tout cas pour l'instant.

[vampirella]

On ne peut pas attendre d'avoir identifié un criminel potentiel pour se demander "Bon, comment on va faire pour savoir avec qui il parle ?"

Bien sûr qu'il faut attendre : c'est ce qu'on appelle la présomption d'innocence. Tant que l'acte n'a pas été perpétré (1) ou que des préparations n'ont pas été à 100% préparés dans le but de passer à l'acte (2), on ne peut pas reprocher à une personne un acte qu'il n'aurait peut-être jamais commis.

Le cas 1 est vérifié à peu près partout dans les systèmes judiciaires honorables. Le cas 2 est un peu plus sujet à débat : le FBI a réussi à faire juger un américain coupable d'intention terroriste en l'ayant d'abord identifié par son blog (il avait "uniquement" des propos racistes très poussés), puis incité par les services à passer à l'acte en allant jusqu'à proposer de lui livrer une bombe artisanale.
Ce même homme aurait-il commis l'acte dans tous les cas ? Se serait-il même seulement posé la question s'il n'avait jamais été abordé par le FBI ? Dans certains pays l'activité du FBI serait sanctionné comme outrepassant ses droits, dans d'autres non.



Pour en revenir au logiciel libre : certes, le code d'un logiciel libre se vérifie. Encore faut-il y mettre les moyens derrière ! Quelques millions de lignes de codes ne se scannent pas en un claquement de doigt.

[Uranne-jimmy]

Mettre en oeuvre des systèmes d'espionnage à grande échelle est un couteau à double tranchant, surtout si on en abuse. Parce que regardez la tendance, on apprends que la NSA abuse de ses pouvoirs pour espionner tout et n'importe quoi, alors on se protège plus (le on est "la généralité des gens informés et compétents") et on bloque l'apport de donnée au NSA, et il en va de même pour tout voleur, trafiquant, terroriste. Et donc l'espionnage devient un fléau pour les citoyens mais plus pour les cibles de ce système.

Et après on trouve d'autres moyens, etc. C'est une course à l'armement qui diminue tour par tour le droit à la vie privée des gens honnêtes.

[miaous]

Pour en revenir au logiciel libre : certes, le code d'un logiciel libre se vérifie. Encore faut-il y mettre les moyens derrière ! Quelques millions de lignes de codes ne se scannent pas en un claquement de doigt.

[mode parano:on]
Etape 1 :il faut auditer le source
Etape 2: puis auditer le compilateur ( pour pas qu'il ajoute de backdoor dans le code généré ) .
*soit son source ( et donc retour l' étape 1 )
*soit son binaire ( et l'OS pour verifier que l'on audite bien le binaire et pas autre chose)


[mode parano:off]

[xurei]

Bien sûr qu'il faut attendre : c'est ce qu'on appelle la présomption d'innocence. Tant que l'acte n'a pas été perpétré (1) ou que des préparations n'ont pas été à 100% préparés dans le but de passer à l'acte (2), on ne peut pas reprocher à une personne un acte qu'il n'aurait peut-être jamais commis.

Le cas 1 est vérifié à peu près partout dans les systèmes judiciaires honorables. Le cas 2 est un peu plus sujet à débat : le FBI a réussi à faire juger un américain coupable d'intention terroriste en l'ayant d'abord identifié par son blog (il avait "uniquement" des propos racistes très poussés), puis incité par les services à passer à l'acte en allant jusqu'à proposer de lui livrer une bombe artisanale.
Ce même homme aurait-il commis l'acte dans tous les cas ? Se serait-il même seulement posé la question s'il n'avait jamais été abordé par le FBI ? Dans certains pays l'activité du FBI serait sanctionné comme outrepassant ses droits, dans d'autres non.

J'ai dû mal m'exprimer. Ce que je voulais dire, c'est que les logiciels permettant d'avoir accès à des informations personnelles doivent être développé AVANT qu'on se rende compte qu'on va en avoir besoin pour un cas particulier. Je ne parle bien sûr pas d'un outil déjà ciblé, plutôt de l'outil générique qui permet, dans l'absolu, d'obtenir les données de n'importe qui, pour peu qu'on ai le mandat qui va avec (ou toute autre autorisation équivalente).
Et dans cette optique, le problème, c'est le contrôle qu'il faut avoir sur les gens qui ont accès à ces logiciels.

Selon moi, un outil n'est jamais diabolique, c'est son utilisation qui peut l'être.

[GTSLASH]

La NSA les utilise et crée même des failles de sécurité dans ces logiciels pour envahir nos ordinateurs et routeurs. Le logiciel libre nous permet de contrôler nos propres ordinateurs

Des preuves que La NSA a infiltré des logiciels proprietaire ? Des nom de Logiciel ou de societé qui integre dans leur produits des code de la NSA ? Des preuve que la NSA n'arriverait pas a injecter du code dans des logiciel libre ?

Je pense pas.

Il veut nous faire peur c'est tous. C'est une technique bien connue

[Chauve souris]

Mais on peut parfaitement utiliser des "solutions" propriétaires (Windows, Gmail) et les sécuriser avec de l'open source (GnuPgp, Truecrypt). La sécurisation informatique est, avant-tout, un état d'esprit. Si des inconscients mettent leurs développements high tech en clair sur le cloud, la NSA ne pourra que s'en réjouir. Pour moi le cloud, c'est juste pour partager mes photos de vacances.

[DelphiManiac]

Des preuves que La NSA a infiltré des logiciels proprietaire ? Des nom de Logiciel ou de societé qui integre dans leur produits des code de la NSA ? Des preuve que la NSA n'arriverait pas a injecter du code dans des logiciel libre ?

Je pense pas.

Il veut nous faire peur c'est tous. C'est une technique bien connue

C'est une technique tellement connue que la plupart des états la pratique au quotidien. Pourquoi une personnalité du monde du libre ne pourrait alerter tout un chacun sur les risques encourues ?

Un exemple parmi tant d'autre : http://www.actudupouvoir.fr/gouverne...en-democratie/

Cherche un peu tu en trouveras à foison : https://www.google.fr/search?q=gouverner+par+la+peur

[GTSLASH]

Pourquoi une personnalité du monde du libre ne pourrait alerter tout un chacun sur les risques encourues ?

Car elle n'est pas impartial. Et le fait que le logiciel soit libre ne renforce pas la securité pour l'utilisateur. Que du contraire. Si le code source est publique il est plus facile pour la NSA de trouver des failles pour faire ce qu'ils veulent.

Si ils veulent des informations ils les auront, peut importe le logiciel.

[DelphiManiac]

Car elle n'est pas impartial. Et le fait que le logiciel soit libre ne renforce pas la securité pour l'utilisateur. Que du contraire. Si le code source est publique il est plus facile pour la NSA de trouver des failles pour faire ce qu'ils veulent.

Si ils veulent des informations ils les auront, peut importe le logiciel.

__________________
Tu évoques que l'on utilise la peur pour nous manipuler, je répond à cette question, tu extrait une phrase de ma réponse, pour avancer un argument complètement différent du contexte de la réponse. Tu es a coté de la plaque. N'essaye de pas de donner une pseudo réponse quand la pseudo réponse sort du contexte.

__________________
Pour en revenir à tes arguments, essaye juste de répondre sans mauvaise fois à ces 2 questions :

- Dans le cas où quiconque essaye de "véroler" une application, sera-t-il pour lui plus simple de le faire sur du code source qui sera, potentiellement, vu et contrôlé par quelqu'un qui n'est pas dans la magouille, ou sera-t-il plus simple de le faire dans du code fermé avec l'aval de l'éditeur ?

- Dans le cas où quiconque exploite une faille ou implémente une backdoor dans un code, est-il plus simple de la découvrir sur du code source ou sur du code compilé ?

[coolspot]

Car elle n'est pas impartial. Et le fait que le logiciel soit libre ne renforce pas la securité pour l'utilisateur. Que du contraire. Si le code source est publique il est plus facile pour la NSA de trouver des failles pour faire ce qu'ils veulent.

Si ils veulent des informations ils les auront, peut importe le logiciel.

Un logiciel libre n'est pas à l'épreuve des faille ou des spyware mais à de grande chance de ne pas en avoir.
Alors qu'un logiciel comme Windows ou OS X c'est sur et certain qu'il contient un ou plusieurs spyware en plus d'être aussi voir encore plus vulnérable au faille vu que code fermé (quant tu voit que microsoft ne fourni que des correctif qu'une fois par mois )

Moi qui pensais qu'avec l'affaire PRISM on allait arrêter de nous prendre pour des parano quand on évoque les dangers de Windows, du cloud, de Gmail, Amazon et consort mais non ca a juste fait grand bruit et la les mauvaises habitudes reprenne avec des mecs qui pensent encore que des société comme Microsoft, Apple et Google respecte la vie privée de leur utilisateur parce qu'ils ont une certaine "éthique".


P.S : Et pis c'est normal que les logiciel privateur contiennent des spyware vu que c'est très simple à introduire et très dur voir impossible à démasquer. Tout le contraire des logiciel libre.

[Alcore]

Envoyé par GTSLASH
Car elle n'est pas impartial. Et le fait que le logiciel soit libre ne renforce pas la securité pour l'utilisateur. Que du contraire. Si le code source est publique il est plus facile pour la NSA de trouver des failles pour faire ce qu'ils veulent.

Si ils veulent des informations ils les auront, peut importe le logiciel.

Excuse moi, mais tu viens de balancer une énormité sans précédent! Dire qu'un logiciel libre est moins sécurisé car son code est publique, c'est pratiquer ce que l'on appelle dans le milieu de la sécurité: "la sécurité par l'obscurité" http://en.wikipedia.org/wiki/Security_through_obscurity. Ceci consiste à croire que mieux vaut cacher le code afin que le pirate ne découvre pasd les failles potentielles. L'histoire a prouvé à maintes reprises le contraire... Ex: piratage du mécanisme RSA, failles 0-day de Microsoft qui raportent énormément d'argent à certaines sociétés peu scrupuleuses, etc...

Avec un logiciel non open source, tu ne te garantit pas une meilleure sécurisation du code, mais comme la fin justifie les moyens, celui-ci sera évidement hacké et puisque personne d'autres ne pourra vérifier le code, les personnes exploitant la faille pourront le faire longtemps avant que celà soit découvert.

Deuxième inconvénient des logiciels propriétaires, outre les failles de sécurité, il nous est impossible de voir le code qui aurait été ajouté sous pression d'un gouvernement afin de s'octroyer des entrées privées sur la machine de l'utilisateur...

Bref, en Europe, nous sommes les idiots du 21ème siècle car nos administrations, nos services secrets et nous-mêmes traitons nos données sur des OS/logiciels propriétaires étrangers (USA ou autres) et sur du Hardware étranger (Chine principalement). Hors, l'exploitation de faille hardware (volontaires ou non) existe depuis un moment: http://www.developpez.com/actu/61626...ards-en-cours/

[Traroth2]

Et c'est là que la confiance pose problème. L'outil est là, et c'est tant mieux. C'est son utilisation qui doit être contrôlée.

La démocratie ne peut pas reposer sur la confiance. C'est un principe qui a failli de trop nombreuses fois auparavant. Mettre sa vie et sa liberté entre les mains de quelques personnes en espérant qu'elles ne vont pas abuser de ce pouvoir, ça ne peut pas fonctionner, sur le long terme.

[Traroth2]

Des preuves que La NSA a infiltré des logiciels proprietaire ? Des nom de Logiciel ou de societé qui integre dans leur produits des code de la NSA ? Des preuve que la NSA n'arriverait pas a injecter du code dans des logiciel libre ?

Je pense pas.

Il veut nous faire peur c'est tous. C'est une technique bien connue

Des preuves que la NSA a réussi à infiltrer du code propriétaire ? C'est tout le sujet initial des révélations d'Edward Snowden. Le code de Google, Microsoft, Apple et Yahoo a été infiltré (enfin si on peut dire : ils livrent des informations tout à fait sciemment à la NSA).

Des preuves que le la NSA n'arriverait pas à injecter du code dans des logiciels libres ? La tentative qui a eu lieu sur Linux en 2003 et qui a conduit l'équipe Linux à cesser d'utiliser BitKeeper, ce qui a conduit à la création de Git. Le code de 2 lignes très discrètes injecté dans la base de code du noyau Linux en hackant le serveur et en usurpant l'identité d'un des contributeurs a été décelé en moins d'une journée.

Est-ce que le moindre projet avec 2 contributeurs et 2 commits par mois est à l'abri ? Sans doute pas, mais les projets majeurs type noyau Linux, serveur Apache, BIND, LibreOffice, etc, me semblent bien protégés contre les velléités d'espionnage de la NSA.

[Traroth2]

Car elle n'est pas impartial. Et le fait que le logiciel soit libre ne renforce pas la securité pour l'utilisateur. Que du contraire. Si le code source est publique il est plus facile pour la NSA de trouver des failles pour faire ce qu'ils veulent.

Si ils veulent des informations ils les auront, peut importe le logiciel.

Concernant les entreprises étasuniennes, la NSA n'a pas besoin de pirater le code ou quoi que ce soit de ce genre. Ils demandent à accéder au code et les entreprises obtempèrent.

Avec les logiciels libres et open-source, il n'y a pas d'autorité qui peut décider ce qu'on met dans le code ou pas contre l'avis de la communauté, et de plus, la communauté (ou quiconque désire vérifier) a la possibilité de vérifier l'intégrité et la sécurité du code.

Et PERSONNE n'est impartial. Est-ce que ça veut dire que personne n'a le droit de s'exprimer ? Ça ressemble à de la censure...

[niarkyzator]

GTSLASH il faut te réveiller.

La sécurité par l'obscurité ça ne marche pas, on ne va pas relancer le débat, tu as quelques trains de retard.

Les applications open-source (avec une vrai communauté derrière) sont généralement plus sûre que les application fermées équivalente, c'est pas une question d'aimer la philosophie de l'open source ou d'être fan de microsoft, c'est du bon sens.


Pour ce qui est de retrouver des terroristes etc en surveillant tout le monde, faut comprendre comment ça marche. Ce qui intéresse surtout la NSA ou la DGSE, c'est d'avoir un historique de toutes les communications, et pas forcément le contenu, mais au moins qui appelle qui, ou et combien de temps.

Le jour ou la DGSE s'intéresse à quelqu'un, on remonte sa vie sur 15 ans, on regarde qui il connait, qui il appelle souvent etc. Comme on devient rarement criminel du jour au lendemain, on a vite plein d'info intéressante et on peut apprendre plein de choses.

[Traroth2]

Pour ce qui est de retrouver des terroristes etc en surveillant tout le monde, faut comprendre comment ça marche. Ce qui intéresse surtout la NSA ou la DGSE, c'est d'avoir un historique de toutes les communications, et pas forcément le contenu, mais au moins qui appelle qui, ou et combien de temps.

Le jour ou la DGSE s'intéresse à quelqu'un, on remonte sa vie sur 15 ans, on regarde qui il connait, qui il appelle souvent etc. Comme on devient rarement criminel du jour au lendemain, on a vite plein d'info intéressante et on peut apprendre plein de choses.

Terroriste, criminel... Ou opposant politique. Ou responsable syndical. Ou déplaisant pour quelqu'un de puissant. Sans compter que les antécédents ne permettent pas seulement de faire avancer des enquêtes, mais aussi de trouver des vulnérabilités : Tiens, il a trompé sa femme lui. Tiens, elle a des dettes, elle...
Après, pour croire aux bonnes intentions des puissants, il faut avoir la foi, quoi...

Quand l'affaire Snowden a éclaté, le gouvernement étasunien a déclaré que cet espionnage systématique avait permis d'empêcher des dizaines d'attentats. Récemment, il y a eu une rectification, et il est possible que ça ait permis d'en éviter... un.

[niarkyzator]

Traroth2 :

On est d'accord sur les dérives et le manque de crédibilité de la NSA.

Mais de ce que j'ai compris du fonctionnement de la DGSE, se mettre a stocker les informations d'une personne une fois que celle ci les intéresse n'est pas suffisant.

S'ils veulent atteindre leur objectif, les services sercret ont d'une manière générale besoin de stocker le plus possible d'info possible et considérer tout le monde comme intéressant pour les raisons que j'évoquais au-dessus.

Paul TOTH disait au début "on repère les méchant puis on met sur écoute", mais c'est faux. C'est plus efficace d'écouter tout le monde et de re-sortir un historique une fois qu'on veut connaitre quelqu'un.

Mais je ne nie pas que ça soit dangereux dans la mesure ou ça donne énormément de pouvoir a ceux qui contrôles ces informations.