#14h42 : on décrypte le projet de loi sur le renseignement

#14h42 : on décrypte le projet de loi sur le renseignement

#PNCDStyle

Avatar de l'auteur
David Legrand

Publié dans

Droit

22/04/2015 2 minutes
41

#14h42 : on décrypte le projet de loi sur le renseignement

Alors qu'une bonne partie de la France est actuellement en vacances, nous avons décidé de profiter de cette période de calme pour faire le point dans 14h42 sur un projet de loi qui a animé les débats parlementaires ces derniers temps : celui sur le renseignement, ses fameuses boîtes noires et la mystérieuse PNCD.

Exceptionnellement, nous avons attendu trois semaines avant de diffuser ce nouvel épisode de 14h42. En effet, si nous voulions traiter du projet de loi sur le renseignement, nous voulions laisser le temps au débat parlementaire d'avancer avant de faire le point, avec un plateau complet. C'est d'ailleurs aussi l'occasion de revenir sur le cas de la fameuse PNCD évoquée par Le Monde, puis par le Président de la République sur le plateau du Supplément de Canal+ ce dimanche. Ce dernier y a d'ailleurs également annoncé une saisine du Conseil Constitutionnel (voir notre analyse). Pour rappel, vous retrouverez aussi dans nos colonnes, et en libre accès, le compte rendu des trois derniers jours de débats parlementaires (1, 2 et 3) et notre analyse du vrai/faux du gouvernement.

Pour ce nouveau numéro de la seconde saison de 14h42, notre émission conjointe avec Arrêt sur images, animée par Jean-Marc Manach, nous avons donc décidé d'inviter Eduardo Rihan-Cypel, député socialiste, porte-parole du PS et membre de la commission de la défense nationale et des forces armées, Alexandre Archambault, ancien responsable des affaires réglementaires chez Iliad/Free, et Andrea Fradin, journaliste à Rue89

L'émission intégrale est réservée à nos abonnés pouvant accéder à tous nos contenus pendant une semaine. Elle sera ensuite accessible à tous via notre compte YouTube sur lequel vous pouvez nous rejoindre :

 

Bonne émission !

41

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (41)


Mais…. pourquoi employer, comme dans le titre de l’article, le pronom indéfini “on”, alors qu’il s’agit de vous?  Franchement, c’est laid…








loser a écrit :



Mais…. pourquoi employer, comme dans le titre de l’article, le pronom indéfini “on”, alors qu’il s’agit de vous?  Franchement, c’est laid…





C’est une figure de style.

On y va.









loser a écrit :



Mais…. pourquoi employer, comme dans le titre de l’article, le pronom indéfini “on”, alors qu’il s’agit de vous?  Franchement, c’est laid…





peut être on pour “l’équipe ce nxi”



sinon “l’islamste” arrêté dimanche (par chance et le fait que ce soit un tromblon, parce que le terroriste qui se fait trouer par la nana donc il voulait voler la caisse, c’est du vaudeville ) tombe quand même pile poil.



Hum… ça coupe brutalement à 36:19, même pas eu droit à 42 min <img data-src=" />


apparemment l’émission intégrale ne se lance pas….


Problème réparé, la vidéo est de nouveau disponible, et en intégralité&nbsp;<img data-src=" />


L’utilisation de on ne me choque pas, pourtant on m’a tjrs appris étant gamin que “on est un démon”.

&nbsp;

Néanmoins, “décryptage du projet de loi sur le renseignement” aurait été un titre préférable car plus simple.


Vous avez laissé le [Teaser] dans la vidéo complète :)


Fixed, décidément <img data-src=" />&nbsp;



Donc sinon, il y a eu un souci avec le fichier original, j’ai opté pour une solution de secours et je fais un nouvel upload plus propre après ré-encodage de l’émission. Encore désolé pour le désagrément <img data-src=" />


Au moins ça prouve qu’il existe des INpactiens qui regardent avant de commenter <img data-src=" />


franchement osef du “on”. qu’est ce que vous râlez pour rien


Celui-là, c’est inutile de l’écouter, il a appelé lui-même pour qu’on vienne le chercher.<img data-src=" />

Cela prouve bien qu’il est inutile de faire uen nouvelle loi.


J’ai juste regardé le titre. Ça compte ? <img data-src=" />


&nbsp; Question : “et comment vous allez détecter les terroristes?” (sous-entendu si vous ne faites pas de DPI et analyse de masse)

Réponse: “ha, ha… on va pas vous le dire, c’est secret”

Q: “ et comment on sait que c’est que c’est pas du dpi?” (et que vous respectez la vie privée)

R: “ha ha…”



Franchement, si c’était pour entendre ce genre de conneries, vous auriez du l’envoyer chier.



&nbsp;

&nbsp;


Peut-être parce que l’émission s’intitule 14h42 en référence à “42” qui est la réponse à “La grande question sur la vie, l’univers et le reste” : quel pronom est universel, sinon le pronom indéterminé “on” ?



Personnellement, je ne vois pas d’autre explication.


Au moins ici, il ne nous a pas ressorti le :



&nbsp;La dernière loi encadrant le renseignement date de 91. A cette lointaine époque, ni électricité, ni tout à l’égoût*.



qui m’enflame les neurones. Ou alors c’est un rhume de cerveau. Entre les pollens et le fait qu’il soit dans tant de bouches… (Yuck)



[* Enfin si mais

hyp.0: Les hautes sphères parlementaires connaissaient pas, donc c’est tout comme

hyp.1: La majorité connaissait pas, donc c’est tout comme

hyp.2: Faisons croire à l’urgence et la nouveauté, et que pour le peu d’usage qu’il y avait à l’époque, il n’y avait nul suivi par les services

etc…&nbsp;]


Juste que les algorithmes c’était un truc nouveau, c’est pas faux mais c’était quand même il y a 12 siècles…


Les corbeaux élaborent des algorithmes, alors…


Les algorithmes sont encore plus ancien. Les romains avec leur parchemins codés (et certainement les chinois, les grecs et les égyptiens avant eux).



La question du cryptage des messages s’est posée dès qu’il a fallu protéger une communication importante.



N’étant pas historien en cryptage, je n’ai pas d’exemple avec source à l’appui.


Le mot algorithme est lié au nom d’un un grand mathématicien perse : Al-Khawârizmi qui a vécu au 9ème siècle. Indépendamment du fait qu’un algorithme soit quelque chose de naturel, c’est ce monsieur qui a formalisé sa définition. En complément, les travaux de Turing et de Knuth ont permis d’aboutir à quelque chose de mieux délimité.

Bref, c’est pour les politicards c’est un élément de langage qu’ils découvrent. Pratique pour faire passer la pilule, et comme c’est un terme généralement inconnu du grand public, ça semble marcher :(


j’avoue avoir trouvé cette émission totalement creuse. Rien n’y a été dit. J’ai vraiment l’impression d’avoir perdus 42 mins comparé à d’autre très intéressante. C’était langue de bois et compagnie. Dommage.


C’était Cypel.


360p c’est un peu moche comme qualité quand même <img data-src=" />


J’ai une boîte gmail, je m’y connecte depuis plusieurs IP et il m’arrive d’utiliser des brouillons pour transférer des fichiers… il faut que je m’inquiète ?


Vous débattez du « on », et personne pour relever le « décryptage » ? L’INpactien vieillit <img data-src=" />



(c’est volontaire pour nous chatouiller les n’oeils ? <img data-src=" />)


Une plateforme de décryptage, capacité de décryptement… J’en rigole encore.

J’ai rarement entendu autant de bêtises et d’erreurs en aussi peu de temps.



L’AES n’est toujours pas cassé !

Diffie-Hellman n’est toujours pas cassé !



Sans parler d’une MITM et donc parler de déchiffrement et non décryptage, le chiffrement résiste toujours face aux calculateurs.


Merci pour la précision <img data-src=" />



Le passage que j’ai bien aimé c’est quand le député parle des “7 couches” du modèle OSI. Faut s’accrocher pour comprendre.



En dehors de ce passage où un expert aurait pu mieux se faire comprendre, j’ai trouvé que le député détaillait bien son propos. J’ai noté quelques omissions volontaires, notamment sur “la surveillance boîte noire ne se fera que pour le terrorisme”.&nbsp; Propos repris par le journaliste. C’est oublié qu’il y a 7 finalités et pas uniquement le terrorisme.



Future méthode d’échange d’information :

Ouvrir un compte pour une solution de partage de document et s’échanger les infos via les documents.

Le terrorisme à l’heure du travail collaboratif.








christophe_gossa a écrit :



Sans parler d’une MITM et donc parler de déchiffrement et non décryptage, le chiffrement résiste toujours face aux calculateurs.





Ça dépend aussi de l’entropie de la clé de chiffrement. Il y a pas mal de méthodes en étude et qui existent pour réduire l’entropie d’une clé lors de sa génération (en dehors des bugs et autres erreurs d’implémentation dont je ne serais pas surpris que les services de renseignement ont connaissance avant tout le monde).



Donc oui dans un monde théorique parfait D-H et AES ne sont pas encore cassés. Dans un monde réel, c’est plus compliqué.









warfie a écrit :



Le passage que j’ai bien aimé c’est quand le député parle des “7 couches” du modèle OSI. Faut s’accrocher pour comprendre.





J’ai tiqué sur sa justification du DPI.



En gros on accuse l’état de faire du DPI en disant que pour retrouver les infos dont ils parlent il faut remonter au niveau 7 du modèle ISO et que par définition c’est du DPI.

Sa défense c’est de dire que selon certains le DPI commence au niveau 2 ou 3.



Mais là il ne fait que confirmer que l’état fait du DPI, voir même sur SDPI (Super deep packet inspection).



Bref, justification foireuse pour moi.



Moi pareil, je crée souvent des mails en brouillon pour stocker des adresses de recettes de cuisine que je fais ensuite sur un autre lieu, donc avec une autre adresse IP.

Pour peut qu’on y parle de cocotte minute et de poudre (poivre, sucre, …), je suis fait.



Mais le pire, c’est que je me demande comment ils savent que l’on fait des mails en brouillon quand le webmail est en https.



C’est peut-être l’intérêt d’imposer aux fournisseurs de service d’être dans leurs infra, après les équipements qui gèrent le https.



Mais, bon, c’est sur que là, c’est le DPI qui entre en jeu, sinon on ne peut distinguer un brouillon mail d’autre chose.








fred42 a écrit :



Mais le pire, c’est que je me demande comment ils savent que l’on fait des mails en brouillon quand le webmail est en https.





Le https ne fait que chiffrer les données. Mais la taille des données ne change pas, la fréquence des échanges non plus.



C’est pas compliqué de générer 10k+ brouillons différents, regarder à quoi ressemble un échange de brouillon (dans gmail c’est assez caractéristique par exemple, même si tu copies-colles tout le texte d’un coup) et en déduire un modèle capable d’attribuer une probabilité que ça soit effectivement un brouillon en train d’être tapé.

Avec un peu de chance tu peux même déterminer la taille du brouillon envoyé et donc la tête qu’auront les données que recevra celui qui lira le brouillon.

Tu combines ça avec ce que tu captes sur les lignes des gens sous surveillance (ce qui au final limite pas mal) et tu peux avoir un modèle plus ou moins clair de qui échange avec qui.



Après il y a aussi la solution d’avoir un truc chez le fournisseur directement. C’est plus simple et plus efficace, mais faut pas croire que les services ont besoin de ça pour savoir qu’il se passe un truc (par contre pour savoir ce qu’il se passe où, quand, comment c’est une autre paire de manche).



D’ailleurs à une époque j’avais développé un proxy capable de générer un traffic aléatoire et qui donnait l’impression que c’était juste un gars en train de visiter des pages et du streaming, alors qu’en fait je faisais du p2p ou de la VOIP ou de l’IRC ou autre chose… Faudra que je pense à le terminer/nettoyer et mettre en ligne ça peut intéresser des gens <img data-src=" />. Par contre il faut aussi un proxy de l’autre côté pour éjecter ce qui n’est pas utile, un peu comme un VPN en fait. Je pense qu’associé à un truc comme TOR ça peut biaiser pas mal de truc sur l’analyse des flux (surtout si les relais fakent les données différemment entre eux)









Khalev a écrit :



J’ai tiqué sur sa justification du DPI.



En gros on accuse l’état de faire du DPI en disant que pour retrouver les infos dont ils parlent il faut remonter au niveau 7 du modèle ISO et que par définition c’est du DPI.

Sa défense c’est de dire que selon certains le DPI commence au niveau 2 ou 3.



Mais là il ne fait que confirmer que l’état fait du DPI, voir même sur SDPI (Super deep packet inspection).



Bref, justification foireuse pour moi.





Il justifie le DPI en disant que les opérateurs le font déjà (ou des fournisseurs de services comme Google) pour faire de la publicité ciblée par exemple. Du coup, pourquoi ne pas le faire pour du renseignement (ben oui, ça existe déjà).



Dans son discours, il explique que les recherches de madame michut n’intéresseront jamais (je vous jure) les services. D’une part parce que les personnes à surveiller sont déjà identifiées, d’autre part parce que ça demanderait trop de boulot. Justification plausible mais non pérenne.



Déjà parce que les terroristes fichés ne sont qu’une partie des personnes à surveiller (on en revient aux 7 finalités). Il faut rajouter les fauteurs de troubles public (des militants terroristes ?), l’espionnage industriel (terroriste économique ?), … Du coup, il ne parle que de terrorisme pour justifier la surveillance en omettant le reste (pour ne pas débattre dessus ?).



Le fait d’aborder le trop plein de travail est plausible à l’heure actuelle mais demain ? Il s’agit d’une limitation technique et la technologie évolue, du coup la possibilité de voir de plus en plus de monde surveillé n’est pas impossible. Donc aucune pérennité concernant le fait de ne se restreindre qu’à un petits nombres de personnes.



&nbsp;



J’ai tout écouté et je n’ai pas compris grand chose. Je m’attendais à une présentation complète et accessible du projet de loi, alors que la discussion a uniquement tourné autour de ce pôle ultra-technique de décryptage… Est-ce le seul point d’intérêt de la loi ?








darkbeast a écrit :



“l’islamste” arrêté dimanche tombe quand même pile poil.





Une affaire et une arrestation qui sert fort à propos l’agenda autour de cette loi, en effet.



une affaire qui montre surtout qu’on devrait plutôt investir&nbsp;dans l’industrie automobile…



pour charlie, les&nbsp;gars s’enfuient en voiture, se prennent un poteau, et&nbsp;un des pieds nickelés laisse tomber sa carte d’identité dans la voiture.

ici, le gars s’assoit dans la voiture et blam se colle un pruneau.



Cypel&nbsp;devrait demander&nbsp;à avoir des consultant chez Peugeot et Renault, plutôt que de faire de la langue de bois sur les couches du DPI..



&nbsp;

&nbsp;


Ce qui est pas mal quand même, c’est que le député, avec ses justifications/exemples foireus(es), aura foutu à l’eau toutes les démentis précédents concernant le DPI et la non-surveillance de tout le monde…



J’aime bien aussi le passage, sensé nous rassurer, où il dit que les décrets d’applications qui préciserons tout les points alarmants, seront classé secret-défense…








warfie a écrit :



Il justifie le DPI en disant que les opérateurs le font déjà (ou des fournisseurs de services comme Google) pour faire de la publicité ciblée par exemple. Du coup, pourquoi ne pas le faire pour du renseignement (ben oui, ça existe déjà).





Tiens j’ai pas entendu ça dans son discours (j’ai du le rater, je n’étais pas super attentif quand je l’ai écouté).



T’es sûr qu’il a parlé des fournisseurs de service? Parce que c’est un peu gros comme erreur ça. Les fournisseurs de services créent ce qu’il mettent dans la couche 7 (idem de notre côté avec les différents clients et serveur que l’on peut avoir sur nos PCs). Pas besoin de DPI à ce niveau là où alors faut aimer dépenser de l’énergie pour rien.



De mémoire, il parlait d’un système de DPI&nbsp; utile pour les fournisseurs de service pour connaître les mots-clés tapé par un humain lors de leur recherche. Histoire de proposer des services personnalisés.



Au final, en me lisant, je pense que j’ai du faire un mélange de ce que j’ai entendu.



Qu’un moteur de recherche se souvienne de ce qu’on a tapé me paraît indépendant d’un quelconque système DPI…. Du coup… Poker face !


J’ai un serveur qui passe son temps à générer des nombres premiers de Sophie Germain sur 4096 bits… Coupler à du DH, je vois mal comment on peut casser ça (toujours sans parler de MITM).



&nbsp;Après si l’implémentation est faite avec les pieds…