De Godzilla à Richard III
Dans le billet de la semaine dernière, nous avons exposé la théorie du dataisme, qui est la forme d'organisation du pouvoir sur laquelle, pour le meilleur ou pour le pire, nos sociétés post-industrielles se réorganisent. Pour preuve, cette semaine nous voulons revenir sur une histoire très discutée qui montre le dataisme déjà en action. C'est l'histoire du déverrouillage de l'iPhone du terroriste de San Bernardino. Une histoire qui, entre autres, montre l'incompétence de ces agences étatiques de surveillance et de renseignement qui ont joué un rôle important et inquiétant tout au long de la période de la guerre froide.
Il était une fois, ces agences, tels d'effrayants Godzillas, troublaient des esprits hallucinés comme celui de William Burroughs ou visionnaires et hypersensibles comme celui de George Orwell. Même les gens ordinaires, cependant, les vivaient comme un cauchemar. Ces agences pourraient renverser des gouvernements, assassiner des chefs d'État hostiles et enfin contrôler la vie des gens et les soumettre à certaines règles s'ils s'en écartaient. La menace était peut-être plus perçue que réelle, mais en tout cas elle affectait les comportements. Bien sûr, l'incroyable intervention à outrance du FBI sur les mails d'Hillary Clinton à quelques jours des élections semble faire ressurgir le protagonisme des agences de surveillance et de renseignement mais, au-delà de l'affaire elle-même, la réalité est désormais bien différente. Aujourd'hui, ces mêmes agences sont une sorte de Richard III dans l'épilogue de la tragédie de Shakespeare. Leur pouvoir immense et opaque est déplacé vers ces entreprises qui, avec des logiciels, contrôlent les mégadonnées et les appareils connectés que nous utilisons plusieurs heures par jour.
À qui voulons-nous donner le big data ?
Les dossiers des personnes sont désormais encapsulés dans nos iPhones ou, plus subtilement, sur les serveurs de Google ou de Facebook. Cela semble pire qu'avant, à première vue, car ces entreprises sont soustraites à tout contrôle démocratique ou institutionnel possible, contrôle qui pourrait d'une manière ou d'une autre être exercé sur les agences de renseignement. Mais ce n'est pas le cas. En fin de compte, Google & co. ils font un usage "innocent" des données par rapport à l'utilisation potentielle que ces agences pourraient en faire, si elles sont mal dirigées. Le commerce et la publicité sont bien moins dangereux que les guerres, la politique ou un salut public mal défini, au nom duquel tout est permis.
Avec le big data et les médias sociaux, nous sommes entrés dans l'ère du dataisme généralisé et partagé, une ère dans laquelle les agences de renseignement et d'investigation doivent se réinventer, se redimensionner et se consacrer à leur mission originelle perdue qui est d'être au service de la communauté en l'ensemble.
Ce n'est pas que le Dataisme soit l'Eldorado. Loin de là, comme nous le montre un narrateur inspiré comme Dave Eggers dans son The Circle (Le cercle, Mondadori), mais c'est mieux que l'ancien régime de l'agence. Beaucoup de gens se sentent plus en sécurité avec Apple de Tim Cook, avec Google de Montessori Larry Page et Sergey Brin, avec Facebook du super geek Mark Zuckerberg, avec Microsoft hiératique de Satya Nadella ou avec Amazon du libertaire Jeff Bezos. S'il faut vraiment choisir, comme dans le référendum, mieux vaut choisir le moindre mal ; plutôt que la NSA, le Mossad, le KGB ou le SISMI (ou comme on les appelle aujourd'hui).
Que des agences comme la CIA soient plutôt rouillées et regardent le monde dans le rétroviseur peut être compris simplement en lisant le rapport substantiel du comité du Congrès sur les attentats du 11 septembre ou, plus récemment, en écoutant à la télévision l'histoire de l'enquête du FBI sur l'attentat de San Bernardino. The Economist s'est concentré sur un détail de cette enquête qui montre à quel point les citoyens américains doivent s'inquiéter de l'état de leur agence d'enquête fédérale. Pour les lecteurs italiens, nous avons traduit cet article intitulé Sécurité des données : c'est ainsi qu'il faut procéder. À Cambridge, Don montre au FBI comment économiser de l'argent sur le piratage téléphonique. Bonne lecture.
Le FBI chasse les papillons
En février, l'agence fédérale d'enquête (FBI) et les forces de police ont poursuivi Apple, le géant de la technologie, en justice. Le litige concernait un iPhone ayant appartenu à Syed Farook, un terroriste qui, avec sa femme, avait abattu 14 personnes à San Bernardino, en Californie, en décembre 2015. Farook a ensuite été tué lors d'un échange de tirs avec la police.
Le FBI avait demandé à Apple de mettre en place un système d'exploitation pour déverrouiller l'iPhone de Farook et accéder aux données stockées sur le téléphone. Apple avait répondu que ce n'était pas réalisable car cela mettrait en péril la sécurité de chaque iPhone en circulation. Le FBI, de son côté, a insisté sur le fait qu'il n'y avait pas d'autre moyen d'accéder aux données sensibles sur le téléphone du terroriste, des données potentiellement stratégiques pour identifier d'éventuels complices.
Les experts en sécurité avaient déjà émis quelques doutes sur le raisonnement de l'agence. Une étude publiée par Sergei Skorobogatov, informaticien à l'université de Cambridge, a confirmé que le scepticisme de ces experts était bien fondé. L'iPhone de Farook aurait pu être déverrouillé en quelques jours en utilisant des appareils électroniques disponibles dans le commerce pour moins de 100 $.
Le système de sécurité des données de l'iPhone
Le problème auquel était confronté le FBI était d'accéder à un iPhone crypté comme n'importe quel autre iPhone sur la planète. De plus, le téléphone était verrouillé avec un code PIN. Le cryptage des données signifie que les informations personnelles d'un utilisateur sont stockées avec une masse de charabia qui les rend inintelligibles. Pour lire les informations, l'iPhone doit être déverrouillé en saisissant le code PIN correct. Ce n'est pas un gros obstacle. Par défaut, le code PIN est composé de quatre chiffres qui ne peuvent donner lieu qu'à 10 XNUMX combinaisons possibles. En principe, il est facile d'essayer toutes les combinaisons possibles jusqu'à ce que vous tombiez sur la bonne par hasard.
Mais l'iPhone contient une fonctionnalité conçue par Apple pour rendre difficile ce forçage brutal. Après avoir saisi six codes PIN incorrects, l'utilisateur doit attendre une minute pour en saisir un nouveau, délai qui augmente au fur et à mesure que de nouveaux codes PIN incorrects sont saisis. Après dix tentatives de déverrouillage infructueuses, le système d'exploitation ordonne à l'iPhone de détruire toutes les données qu'il contient.
Au moment du procès du FBI, plusieurs experts indépendants avaient suggéré que le FBI tente de récupérer des données avec quelque chose appelé "NAND mirroring" (NAND fait référence au type de mémoire utilisé dans les smartphones). Mais James Comey, le chef du FBI, avait été catégorique sur le fait que ce système ne fonctionnerait pas. Et il avait tort
Si 100 $ suffisent au lieu de 1,3 million de dollars, qu'est-ce que cela signifie ?
C'est exactement ce que Skorobogatov lui a prouvé en montrant et en filmant une opération réalisée sur un iPhone avec duplication NAND. La mise en miroir NAND crée une copie non protégée de la mémoire de l'iPhone sur une autre mémoire. Avec cette réponse dépourvue de tout cryptage, Skorobogatov a commencé à tenter de deviner le code PIN avec des combinaisons possibles. À ce stade, le système d'exploitation de l'iPhone a accepté toutes les tentatives, évitant les blocages temporaires et la destruction des données. Cela lui a permis de forcer brutalement le code PIN avec six tentatives consécutives à la fois. Chaque code PIN doit être saisi manuellement, ce qui rend l'opération assez laborieuse. De plus, il est nécessaire de redémarrer l'iPhone à chaque série de tentatives : le redémarrage prend quelques secondes. Une vérification exhaustive des 10 40 variantes du code PIN à quatre chiffres nécessite environ XNUMX heures de travail, bien que le temps moyen pour obtenir la bonne combinaison soit d'environ la moitié.
Alors on se demande pourquoi le FBI pensait qu'aller au tribunal était le seul moyen de récupérer les données du téléphone de Farook ? Le soupçon est qu'il a choisi cette voie pour établir un précédent juridique solide afin de forcer les entreprises technologiques à lui donner le nécessaire dans de telles situations. Dans cette optique, cette affaire a été choisie qui a été profondément ressentie par l'opinion publique pour mettre Apple sous un mauvais jour, en cas de refus.
Quel que soit le raisonnement, l'agence s'est retirée du procès juste avant le début du procès. Finalement, le FBI a trouvé un moyen d'obtenir ce qu'il cherchait, c'est-à-dire l'accès aux données sur l'iPhone du terroriste. Mais il ne l'a pas fait comme l'a montré Skorobogatov. Mais d'une manière qui vous laisse vraiment stupéfait. En fait, certaines sources suggèrent que l'agence a payé une société de cybersécurité israélienne peu connue une somme de 1,3 million de dollars pour déverrouiller l'iPhone. D'après le témoignage du Dr Skorobogatov, il a payé une prime de 1.299.900 XNUMX XNUMX $.
Il est difficile d'être d'accord avec tout ce qui sort de la bouche de Donald Trump, mais il est difficile d'être en désaccord avec lui quand il dit que nous sommes entre les mains d'« idiots ». Parmi ceux-ci, nous devrions inclure lui-même qui a soutenu le FBI dans ce différend avec des tons menaçants envers Apple et d'autres entreprises technologiques.
