« Le plus grand danger pour la sécurité nationale » – Edward Snowden dévoile l’industrie de l’insécurité
Le plus grand danger pour la sécurité nationale est devenu les entreprises qui prétendent la protéger…
1. La première chose que je fais lorsque je reçois un nouveau téléphone est de le démonter. Je ne le fais pas pour satisfaire une envie de bricolage, ni par principe politique, mais simplement parce que son fonctionnement est dangereux. Réparer le matériel, c’est-à-dire retirer chirurgicalement les deux ou trois minuscules microphones cachés à l’intérieur, n’est que la première étape d’un processus ardu, et pourtant, même après plusieurs jours de ces améliorations de sécurité bricolées, mon smartphone restera l’objet le plus dangereux que je possède.
Avant le Projet Pegasus, un effort de reportage mondial de la part de grands journaux pour exposer les conséquences fatales du Groupe NSO – le nouveau visage du secteur privé d’une industrie de l’insécurité hors de contrôle – la plupart des fabricants de smartphones ainsi qu’une grande partie de la presse mondiale ont collectivement levé les yeux au ciel lorsque j’identifiais publiquement un iPhone tout juste sorti de sa boîte comme une menace potentiellement mortelle.
Malgré des années de reportages impliquant le piratage à but lucratif de téléphones par le groupe NSO dans la mort et la détention de journalistes et de défenseurs des droits de l’homme ; malgré des années de reportages indiquant que les systèmes d’exploitation des smartphones étaient criblés de failles de sécurité catastrophiques (une circonstance aggravée par le fait que leur code a été écrit dans des langages de programmation vieillissants qui sont depuis longtemps considérés comme peu sûrs) ; et malgré des années de rapports indiquant que, même lorsque tout fonctionne comme prévu, l’écosystème mobile est un enfer dystopique où l’utilisateur final est surveillé et carrément manipulé, il est encore difficile pour beaucoup de gens d’accepter que quelque chose qui semble bon puisse ne pas l’être en réalité. Au cours des huit dernières années, j’ai souvent eu l’impression d’être quelqu’un qui essaie de convaincre son seul ami qui refuse de grandir d’arrêter de fumer et de réduire sa consommation d’alcool – pendant ce temps, les publicités des magazines disent encore « Neuf médecins sur dix fument des iPhones ! » et « La navigation mobile non sécurisée est rafraîchissante ! »
Dans mon infini optimisme, cependant, je ne peux m’empêcher de considérer l’arrivée du projet Pegasus comme un tournant – une histoire bien documentée, exhaustivement sourcée et franchement folle à propos d’une infection « ailée » de type « cheval de Troie » nommée « Pegasus », qui transforme essentiellement le téléphone dans votre poche en un dispositif de pistage tout-puissant qui peut être activé ou désactivé à distance, à votre insu, le propriétaire de la poche.
Voici comment le Washington Post le décrit :
En bref, le téléphone que vous tenez dans votre main existe dans un état d’insécurité perpétuelle, ouvert à toute infection par quiconque est prêt à mettre de l’argent dans la main de cette nouvelle industrie de l’insécurité. L’ensemble des activités de cette industrie consiste à créer de nouveaux types d’infections qui contournent les tout derniers vaccins numériques, c’est-à-dire les mises à jour de sécurité, puis à les vendre à des pays qui se trouvent à l’intersection rougeoyante d’un diagramme de Venn entre « recherche désespérément les outils d’oppression » et « manque cruellement de sophistication pour les produire au niveau national ».
Une industrie comme celle-ci, dont le seul but est de produire de la vulnérabilité, devrait être démantelée.
2. Même si nous nous réveillions demain et que le groupe NSO et tous ses semblables du secteur privé avaient été anéantis par l’éruption d’un volcan à l’esprit particulièrement public, cela ne changerait rien au fait que nous sommes au milieu de la plus grande crise de sécurité informatique de l’histoire de l’informatique. Les personnes qui créent le logiciel derrière chaque appareil de quelque importance – les personnes qui contribuent à faire d’Apple, Google, Microsoft, un amalgame de fabricants de puces avares qui veulent vendre des choses et non les réparer, et les développeurs Linux bien intentionnés qui veulent réparer des choses et non les vendre – sont tous heureux d’écrire du code dans des langages de programmation que nous savons peu sûrs, parce que, eh bien, c’est ce qu’ils ont toujours fait, et la modernisation exige un effort important, sans parler des dépenses importantes. La grande majorité des vulnérabilités qui sont ensuite découvertes et exploitées par l’industrie de l’insécurité sont introduites, pour des raisons techniques liées à la façon dont un ordinateur garde la trace de ce qu’il est censé faire, au moment précis où le code est écrit, ce qui fait du choix d’un langage plus sûr une protection cruciale… et pourtant c’est une protection que peu entreprennent.
Google a déclaré que 70 % de graves bugs de son navigateur Chrome sont liés à la sécurité de la mémoire. Il est possible de les réduire en utilisant des langages de programmation plus sûrs.
Si vous voulez que les choses changent, vous devez encourager le changement. Par exemple, si vous voulez que Microsoft ait une crise cardiaque, parlez de l’idée de définir une responsabilité légale pour le mauvais code dans un produit commercial. Si vous voulez donner des cauchemars à Facebook, évoquez l’idée de le rendre légalement responsable de toutes les fuites de nos données personnelles dont un jury peut être persuadé qu’elles ont été recueillies inutilement. Imaginez la vitesse à laquelle Mark Zuckerberg se mettrait à frapper la touche de suppression.
Là où il n’y a pas de responsabilité, il n’y a pas d’obligation de rendre des comptes… et cela nous amène à l’État.
3. Le piratage informatique parrainé par l’État est devenu une compétition si régulière qu’il devrait avoir sa propre catégorie olympique à Tokyo. Chaque pays dénonce les efforts des autres comme un crime, tout en refusant d’admettre la culpabilité de ses propres infractions. Comment, dès lors, prétendre être surpris lorsque la Jamaïque se présente avec sa propre équipe de bobsleigh ? Ou lorsqu’une entreprise privée se faisant appeler « Jamaïque » se présente et revendique le même droit aux « cool runnings » qu’un État-nation ?
Si le piratage n’est pas illégal quand nous le faisons, alors il ne le sera pas quand ils le feront – et « ils » sont de plus en plus le secteur privé. C’est un principe de base du capitalisme : ce sont les affaires. Si tout le monde le fait, pourquoi pas moi ?
C’est le raisonnement superficiellement logique qui a engendré pratiquement tous les problèmes de prolifération dans l’histoire du contrôle des armements, et la même destruction mutuellement assurée qu’implique un conflit nucléaire est pratiquement garantie dans un conflit numérique, en raison de l’interconnectivité et de l’homogénéité du réseau.
Rappelez-vous notre sujet précédent sur le Pegasus du groupe NSO, qui cible particulièrement mais pas exclusivement les iPhones. Bien que les iPhones soient plus privés par défaut et, parfois, mieux conçus du point de vue de la sécurité que le système d’exploitation Android de Google, ils constituent également une monoculture : si vous trouvez un moyen d’infecter l’un d’entre eux, vous pouvez (probablement) les infecter tous, un problème exacerbé par le refus d’Apple de permettre aux clients d’apporter des modifications significatives au fonctionnement des appareils sous iOS. Lorsque vous combinez cette monoculture et cette boîte noire avec la popularité quasi universelle d’Apple parmi l’élite mondiale, les raisons de la fixation sur l’iPhone du groupe NSO deviennent évidentes.
Les gouvernements doivent comprendre que permettre – et encore moins subventionner – l’existence du groupe NSO et de ses pairs malveillants ne sert pas leurs intérêts, quelle que soit la position du client, ou de l’État-client, sur l’axe autoritaire : le dernier président des États-Unis a passé tout le temps de son mandat, lorsqu’il ne jouait pas au golf, à tweeter depuis un iPhone, et je parierais que la moitié des plus hauts responsables et de leurs associés dans tous les autres pays lisaient ces tweets sur leurs iPhones (peut-être sur le parcours de golf).
Que nous le voulions ou non, nos adversaires et nos alliés partagent un environnement commun et, chaque jour qui passe, nous devenons de plus en plus dépendants d’appareils qui exécutent un code commun.
L’idée selon laquelle les grandes puissances de notre époque – l’Amérique, la Chine, la Russie, voire Israël – sont intéressées par l’atteinte d’une parité stratégique en matière de collecte de renseignements, par exemple en Azerbaïdjan, est, bien entendu, profondément erronée. Ces gouvernements n’ont tout simplement pas compris la menace, car l’écart de capacité n’a pas encore disparu.
4. En technologie comme en santé publique, pour protéger qui que ce soit, il faut protéger tout le monde. Le premier pas dans cette direction – du moins le premier pas numérique – doit être d’interdire le commerce des logiciels intrusifs. Nous n’autorisons pas le marché des infections biologiques en tant que service, et il doit en être de même pour les infections numériques. L’élimination de l’appât du gain réduit les risques de prolifération tout en protégeant le progrès, ce qui laisse de la place à la recherche publique et au travail gouvernemental par nature.
Si le fait de retirer les logiciels d’intrusion du marché commercial ne les retire pas non plus aux États, cela permet de garantir que les trafiquants de drogue imprudents et les producteurs hollywoodiens criminels sexuels qui peuvent sortir quelques millions de leurs coussins de canapé ne seront pas en mesure d’infecter tous les iPhone de la planète, mettant ainsi en danger les brillantes dalles de statut de la classe latte.
Un tel moratoire, cependant, n’est qu’un simple triage : il ne fait que nous faire gagner du temps. Après une interdiction, l’étape suivante est la responsabilité. Il est essentiel de comprendre que ni l’ampleur des activités du groupe NSO, ni les conséquences qu’il a infligées à la société mondiale, n’auraient été possibles sans l’accès au capital mondial de sociétés amorales comme Novalpina Capital (Europe) et Francisco Partners (États-Unis). Le slogan est simple : si les entreprises ne sont pas cédées, leurs propriétaires doivent être arrêtés. Le produit exclusif de cette industrie est le préjudice intentionnel et prévisible, et ces entreprises en sont des complices consentants. En outre, lorsqu’on découvre qu’une entreprise se livre à de telles activités sous la direction d’un État, la responsabilité devrait dépasser les codes civils et pénaux plus pédestres pour susciter une réponse internationale coordonnée.
5. Imaginez que vous êtes le comité de rédaction du Washington Post (vous devrez d’abord vous débarrasser de votre colonne vertébrale). Imaginez que votre chroniqueur soit assassiné et que vous répondiez par un appel chuchoté aux architectes de ce meurtre en leur disant que la prochaine fois, ils devraient simplement remplir un peu plus de paperasse. Franchement, la réponse du Post au scandale de NSO est d’une faiblesse si embarrassante qu’elle constitue un scandale en soi : combien de leurs rédacteurs doivent mourir pour qu’ils soient persuadés que le processus ne remplace pas la prohibition ?
L’Arabie saoudite, à l’aide de « Pegasus », a piraté les téléphones de l’ex-femme de Jamal Khashoggi, et de sa fiancée, et a utilisé les informations glanées pour préparer son meurtre monstrueux et sa dissimulation ultérieure.
Mais Khashoggi n’est que la plus importante des victimes de Pegasus, en raison du caractère sanglant et macabre de son meurtre. Le « produit » (lire : « service criminel ») du groupe NSO a été utilisé pour espionner d’innombrables autres journalistes, juges, et même des enseignants. Sur des candidats de l’opposition, et sur les conjoints et enfants des cibles, leurs médecins, leurs avocats, et même leurs prêtres. C’est ce que les personnes qui pensent qu’une interdiction est « trop extrême » oublient toujours : cette industrie vend la possibilité d’abattre les journalistes que vous n’aimez pas au lavage de voiture.
Si nous ne faisons rien pour arrêter la vente de cette technologie, il n’y aura pas seulement 50.000 cibles : Il y aura 50 millions de cibles, et cela se produira beaucoup plus rapidement que nous ne le pensons.
Tel sera l’avenir : un monde de personnes trop occupées à jouer avec leur téléphone pour remarquer que quelqu’un d’autre les contrôle.
yogaesoteric
24 septembre 2021