Wednesday, September 18, 2013

SMS Perseus - Quelques "réflections"

SMS Perseus - Quelques "réflections" 

"Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
Benjamin Franklin


Tout d'abord non, je n'ai pas fait de faute au mot "réflexion" c'est intentionnel : le son indique bien mon intention de livrer quelques réflexions face aux diverses réactions ayant suivi la publication de l'application SMS Perseus sur le Google Play mais l'orthographe correspond à ma volonté de renvoyer dans leurs but certains pénibles et répondre de manière constructive à des remarques ou interrogations intéressantes concernant les aspects juridiques notamment.

Merci tout d'abord à tous ceux qui nous ont aidé et qui se sont proposés comme évaluateurs de SMS Perseus. Leur aide est capitale et précieuse.

Tout d'abord aux trolleurs professionnels -- qui parlent et glosent sans savoir mais ne lisent pas les codes ou ne comprennent rien aux mathématiques - ils ont des "idées sur tout mais surtout des idées" pour reprendre les mots d'un célèbre humoriste. Depuis le temps j'ai appris à vivre avec et à ne plus me soucier de ce "bruit sur internet". Ensuite aux gens qui écrivent sous pseudo ou anonymement, idem. Contrairement à ce qu'affirme Assange, l'anonymat n'est pas une liberté. Il plonge celui qui l'utilise dans la bassesse permanente, nie le courage et l'esprit de résistance et la liberté elle-même et fait de nous un esclave de notre propre peur. C'est un manque de respect et un manque de courage. Je n'ai jamais utilisé de ma vie aucun pseudo et si j'ai besoin de dire quelque chose je le dis ouvertement ou je me tais.

Venons en maintenant au fond. Il est triple.
  • Au plan scientifique et technique, nous avons essayé avec SMS Perseus de proposer une solution RÉELLEMENT sécurisée. Nous avons publié les codes, les concepts... bref nous avons fait notre travail de chercheurs. Maintenant libre à chacun d'analyser notre travail, les concepts mathématiques et de publier ses propres travaux. Si SMS Perseus n'est pas solide opérationnellement (c'est-à-dire pouvoir réellement traiter des milliers de SMS tous les jours et non traiter UN SMS avec "une puissance de calcul infinie et l’éternité devant soi"), tout chercheur est libre de le prouver et c'est le jeu ouvert de la recherche. Lui et nous aurons contribué utilement au débat concernant une nouvelle approche en matière de protection des données
  • Au plan juridique. Tout d'abord au nom de quelle loi ? Désolé mais je ne reconnais pas la loi des USA et j'affirme qu'elle n'a pas à s'appliquer en France. Pour la loi française, il est probable que la technologie Perseus soit couverte par un vide juridique : la crypto est elle définie par une clef ou par la probabilité 0.5 de chaque bit de cryptogramme ? C'est un débat ouvert. Maintenant, c'est un faux débat de dire que SMS Perseus peut profiter aux acteurs néfastes à la société (pédophiles, terroristes...). Tout d'abord il y a bien d'autres solutions (souvent vendues en kiosque ou disponibles sur Internet). Ce n'est pas à la technologie et au contrôle que l'on exerce sur elle de controler les hommes. Seuls d'autres hommes doivent assurer les missions régaliennes. J'utilise SMS Perseus parce que j'entends que ma vie privée soit respectée. PRISM et autres programmes nauséabonds me font vomir. Et si demain un juge ou un policier veut excercer son mandat régalien, il me demandera de lui communiquer le contenu de mes SMS. N'ayant rien à cacher, en citoyen responsable je le ferai. Un terroriste refusera et le juge dispose alors de tout un arsenal juridique.
  • Au plan sociétal et au rôle des USA dans le monde (ou du moins celui que nous acceptons de lui accorder). Les prochains jours vont être intéressants. Je dirais -- avec un certain plaisir -- que la NSA est face à un dilemme : soit elle fait retirer l'application (mais on la mettra ailleurs, sur F-Droid par exemple) mais c'est un aveu d'échec à traiter ce type de trafic soit elle le laisse en espérant que peu de gens l'utiliserons et en organisant une campagne de dénigrement via toutes les marionnettes qu'elle contrôle dans le monde (trolleurs, certains universitaires, journalistes...). Maintenant, encore une fois, nous avons voulu une application qui soit réellement sécurisée et je l'utilise moi-même parce que je veux pouvoir échanger sans que la NSA ou les Apple, Google, Microsoft... ne me lisent. PRISM et autres programmes existent depuis près de 60 ans (voir ma conférence à HIP 2013) et les dernières révélations (Bullrun en particulier) montrent que j'avais vu juste. La technologie ne doit pas être un moyen de contrôle des populations : c'est un vision lâche typiquement anglo-saxonne qui considère que les populations doivent être composées de veaux consommateurs dociles. Elle a donné naissance à des concepts intolérables comme la guerre 0 mort (tuer sans être tué) et donné une puissance inouïe à une poignée de gens anonymes dans le monde qui veulent nous contrôler pour que nous continuions à nous gaver de produits qu'il vendent (iphones, séries débiles....). La vision européenne et française doit continuer à défendre l'idée d'une population développant un esprit citoyen, un esprit de liberté et de culture.. bref entretenir la flamme de la résistance. Ne nous trompons pas : nous sommes dans la même situation que pendant l'occupation. Cette dernière n'est plus militaire, elle est idéologique, culturelle, commerciale. Et il y a ceux qui collaborent (en faisant acheter par exemple massivement du Microsoft) et ceux qui résistent. Contrôler l'homme nécessite d'accepter de se mettre soi-même en danger. C'est justement ce qui fait la qualité du renseignement intérieur et extérieur français : c'est avant tout une approche humaine. Et Non ! La loi US ne doit pas s'appliquer en France. Et si Google et autre serveurs Microsoft, Facebook ou autres sont territoires US alors il va falloir que nos politiques en tirent courageusement les conclusions... notamment pour nos entreprises. Comme l'a fait le Général de Gaulle, par exemple en imposant une industrie strictement nationale pour nos besoins en sécurité de l'information.... obligation au passage que les USA aimeraient bien voir disparaitre au nom de l’interopérabilité OTAN entre autres choses.

Donc SMS Perseus est une possible réponse technique à un souci avant tout personnel et que je souhaite partager avec tout ceux qui ont le même souci (libre aux autres de ne pas l'utiliser et de préférer des technologies US) mais surtout un message aux USA : je les emm... et si SMS Perseus peut contribuer ne serait-ce qu'à leur compliquer singulièrement leur capacité opérationnelle en saturant leur capacité de calcul alors tant mieux. On aura déjà gagné.

Vive l'esprit de résistance, vive le Général de Gaulle!


PS : vous aurez remarqué que j'utilise quelques produits Google. Ils sont efficaces mais je ne leur confie pas n'importe quoi. Et j'exploite à mon avantage précisément ce que Google entend utiliser pour le sien !

EF

Friday, September 13, 2013

Quand la loi américaine s'exerce en France...

Bonjour

Suite à la conférence donnée lors de la conférence HIP 2013 sur le contrôle de la technologie par les Etats (en particulier sur la cryptologie et par les USA), j'avais expliqué les différentes formes de contrôles, nombreux exemples à l'appui. Inmanquablement, les trolleurs professionnels n'ont pas manqué de remettre en cause ces faits et réflexions, dénonçant la thèse conspirationniste... argument finalement bien pratique pour ces gens qui n'en ont pas d'autres.

Or aujourd'hui je viens d'avoir une preuve de plus de ce controle que je souhaite vous faire partager. Nous venons de déposer sur le Google Play notre application SMS Perseus, solution novatrice de protection des SMS, en mode point à point (donc sans passer par un serveur tiers). La surprise a été totale face à la fenêtre suivante


La partie intéressante grossie
En gros, cela dit qu'en France (pays de diffusion sélectionné par la coche orange) concernant les produits de cryptologie, c'est la loi des USA qui s'applique. Quand vous êtes un chercheur ou un programmeur de produits de sécurité, en France ou dans un pays non US, vous devez respecter la loi US. Merveilleux ! C'est preuve très claire (une de plus) que Google est territoire US, sur lequel s'applique la loi US (Patriot Act et autres avatars nauséabonds). Mais pour certains le contrôle de la cryptologie est encore un mythe.

Bon cela tombe bien, PERSEUS n'est pas du chiffrement au sens strict du terme. Mais il en offre le même niveau de protection. A suivre donc...

E.F.