OSINT : nos vies privées entre ombre et lumière
Titre : OSINT : nos vies privées entre ombre et lumière
Intervenants : Nicolas Hernandez - Cyrille Chaudoit - Thibaut le Masne - Mick Levy
Lieu : Podcast Trench Tech - Esprits Critiques pour Tech Éthique
Date : 26 janvier 2024
Durée : 1 h 03 min 52
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Diverses voix : Allô, allô vous m'entendez !
Oui. Thibaut, tu es là ?
Oui, je suis désolé je suis complètement sous l'eau. J'ai un boulot de déglingo, en ce moment !
J’ai un peu l’impression que le son n’est pas comme d’habitude.
C'est un peu dommage, parce que tu ne partages pas le petit verre qu'on en train de se prendre tranquille avant d'aller au studio avec Cyrille.
Nous, on n'est pas que sous l'eau on n'est pas qu’à l’eau non plus !
Mettez-m’en un de côté.
Je propose de regarder sous l'eau.
On plonge.
On plonge dans le Web !
Même dans les sous-couches du Web.
On va aller sous, non pas sous l'eau, mais sous le Web qu'on connaît.
On va explorer toutes les couches du web avec Nicolas Hernandez.
Allez, c'est parti !
Vous êtes bien accrochés, parce que ça secoue !
Diverses voix off : Enfin Monsieur, qui êtes-vous ?
??? votre ce cher Constantin a été le lait de ma mère à Odessa.
Je croyais qu'il était né à Téhéran
Et alors, on chante aussi bien à Téhéran qu’à Odessa !
Oui, mais le vent du large un peu moins fort, c’est à 200 bornes de la mer !
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
Cyrille Chaudoit : Bienvenue à toutes et à tous. Vous êtes bien dans Trench Tech, le podcast qui titille votre esprit critique pour une tech plus éthique. Cyrille Chaudoit au micro avec Thibaut le Masne.
Thibaut le Masne : Hello, hello !
Cyrille Chaudoit : Et Mike Levy.
Mike Levy : Salut.
Cyrille Chaudoit : Ne vous demandez plus si vous serez un jour cyber-attaqué mais plutôt quand et comment.
Mike Levy : Tu commences fort !
Cyrille Chaudoit : Mais c'est systémique, Mike. Nous sommes tous menacés car, jusqu'à preuve du contraire, si vous nous écoutez c'est que vous êtes connectés et, si vous êtes connectés, vous partagez de la donnée. Et, même si vous ne nous avez pas partagé votre numéro de CB, pas encore, toutes vos activités sur le Web, même les plus simples et d'apparence inoffensives peuvent un jour servir à un cybercriminel .
Thibault le Masne : On me le dit souvent, ça, de protéger mes données, de toutes façons, je n'ai rien à cacher !
Cyrille Chaudoit : Je sais ! Il y a du boulot Thibaut. C'est pour cela qu'on a voulu cet épisode, pour enfin comprendre pourquoi le risque ne vient pas seulement des fuites de vos données qui circulent sur le dark web, même si on va aussi en parler, parce que, comme nous, avant de préparer cet épisode, vous n'imaginiez peut-être pas comment, en recoupant simplement des infos parfois anodines, on peut en savoir beaucoup plus que vous ne le pensez sur vous-même et ce n'est pas joli joli les gars !
Alors, avec notre invité Nicolas Hernandez, nous allons nous demander comment l’OSINT, pour Open Source Intelligence, cette discipline qui consiste justement à enquêter sur ce qui traîne à propos de nous sur le Web, peut aider les particuliers et les entreprises à se protéger.
Nicolas Hernandez n'est pas une barbouze, à la différence du maladroit Francis Blanche dans le film de Georges Lautner que nous avons entendu en prologue, non ! Nicolas est PDG d’Aleph, leader européen de l'OSINT et, puisqu'il est capable de scruter toutes les couches du Web, celui que vous utilisez tous les jours, mais aussi les entrailles du dark web et même des sites black hat, vous savez, les hackers, eh bien je pense qu'on va jouer à se faire peur, mais que nous allons aussi prendre conscience de deux/trois trucs qui vont changer notre vie après l'épisode.
Alors restez avec nous jusqu'à la fin, car voici le programme : d'abord nous demanderons à Nicolas de nous expliquer l'OSINT, comme il le ferait avec notre grand-mère. Puis, nous aurons en ligne de mire le risque cyber que nos données, disponibles aux quatre vents, nous font courir, avant de parler de nos amis des entreprises, ces passoires stratégiques. Et, pour mettre notre réflexion en ébullition, deux chroniques dont vous êtes fan : un « Moment d'égarement » de Laurent Guérin qui nous parlera de feu les PDA et la « PhiloTech » d'Emmanuel Goffi qui nous parlera des intelligences artificielles et des cathos. Et n'oubliez pas, dans moins d'une heure à présent, nous débrieferons, juste entre vous et nous, cher public, des idées clés partagées dans cet épisode. Alors restez jusqu'au bout. Vous êtes prêts ! Alors accueillons ensemble, sans plus tarder Nicolas.
Bonjour Nicolas.
Nicolas Hernandez : Bonjour à tous.
Thibaut le Masne : Bonjour.
Mike Levy : Salut Nicolas.
Nicolas Hernandez : Merci pour votre invitation.
Cyrille Chaudoit : Bonjour Nicolas.
Nicolas, on se tutoie ?
Nicolas Hernandez : Oui.
Cyrille Chaudoit : Super ! Le programme, tel que je viens de le poser, te plaît-il. Est-ce que tu as quelque chose à préciser sur ta bio ou rebondir sur le programme ?
Nicolas Hernandez : Non, il est parfait. Ce qui est important c'est l'échange qu'on va avoir, ce n'est pas moi.
Cyrille Chaudoit : Alors lançons notre grand entretien, vous êtes bien Trench Tech et ça commence maintenant.
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
Comment expliquer l’OSINT à ma grand-mère ?
Mike Levy : Les amis, je vais être honnête avec vous, je dois vous confesser un truc, je ne savais pas du tout, mais alors pas du tout, ce qu’est l’OSINT [souci de prononciation, NdT] pour Open Source Intelligence, avant de préparer cet épisode. Vous me connaissez pourtant, j'aime bien jouer le monsieur je-sais-tout dans la bande, mais là, je dois avouer, vous confesser, que le sujet m'avait un peu échappé. Du coup, aujourd'hui, je suis avant tout là pour comprendre ce qui se cache derrière cette démarche d'open source intelligence. Nicolas, est-ce que tu peux nous expliquer, avec des mots simples, peut-être pour ma grand-mère, pour ma mère, je ne sais pas, à toi de voir, pour mon père éventuellement aussi, ce qu’est l’OSINT ?
Nicolas Hernandez : Je vais essayer. En fait, ça regroupe plein de méthodologies, d'outils. Pour faire simple, c'est simplement une démarche qui va permettre d'aller rechercher des données pour ??? [5 min 10] pour comprendre des choses. Ça va dépendre de ce que je recherche et sur quoi je tombe. C'est aussi simple que ça.
Une petite précision : quand on parle d'intelligence, c'est au sens américain du terme, c'est-à-dire l'information, à ne pas confondre avec l’IA.
Cyrille Chaudoit : C'est au sens de renseignement, c’est le renseignement ?
Nicolas Hernandez : C’est plus l'information, je préfère le terme information que renseignement. Renseignement, c'est lié au militaire dans nos cultures, alors que information fait moins peur et on peu plus le ??? [42 min 06]
Cyrille Chaudoit : C'est l'intelligence au sens de la CIA, Central Intelligence Agency, c'est ça ?
Nicolas Hernandez : C'est ça.
Cyrille Chaudoit : D'accord. Si on te suit bien, aller sur Google pour chercher l'information c'est déjà de l'OSINT ?
Nicolas Hernandez : Oui. C'est le premier outil. En fait, on fait tous de l’OSINT. Moi, je mets un z [prononciation ozint, NdT]
Cyrille Chaudoit : Tu mets un « z ».
Mike Levy : On peut dire « ozint »
Nicolas Hernandez : On peut. Moi je dis « ozint », certains disent « ossint », certains disent « ROSO »
Cyrille Chaudoit : Là, ce n'est plus pareil
Nicolas Hernandez : Renseignement, je ne sais même plus, il y a tellement d’acronymes dans ce milieu-là ! Renseignement de sources ouvertes ou renseignement d'origine sources ouvertes. C'est le terme qu'on trouve dans la réglementation française
Mike Levy : Du coup, à quoi ça sert de faire de l'OSINT, finalement ?
Nicolas Hernandez : Comme tout le monde, comme on le fait tous, ça sert à s'informer, ça sert, tout bêtement, à s'informer.
Mike Levy : Mais là, avec l’OSINT, on n’est pas juste dans la démarche de s'informer pour savoir s’il va faire beau demain, savoir quelle décision doit prendre une entreprise quant au lancement d'un produit ou d’un autre. Je comprends qu'on est dans de l'information et du renseignement un peu profonds, quand même, si ce n'est assez systémiques sur un sujet, sur un thème, sur une personne, c'est ça ?
Nicolas Hernandez : C'est exactement ça. Ça dépend de la question qu'on va poser. C’est-à-dire qu'on peut faire de l'OSINT, dans un cas, pour se protéger. On peut faire de l'OSINT pour attaquer : si on pense à un hacker, la première de ses démarches c’est de trouver des renseignements sur ce qu'il souhaite attaquer.
Selon la question, selon les intentions, l'OSINT va avoir un sens qui est différent. En fait, l'OSINT il n'a pas de couleur. Ce sont juste des méthodos et des outils.
Cyrille Chaudoit : D'accord. In fine, on comprend qu’il y a moyen de faire de l'OSINT, je dirais, à moindre coût et très facilement, ne serait-ce qu'en utilisant un moteur de recherche. Mais la démarche, disons, des personnes qui sont tentées de faire de l'OSINT, dépasse de très loin l'usage que l'on a, nous, quidam, mortel des mortels, quand on va chercher une information pour tous les jours.
D'où vient finalement l'OSINT ? Est-ce que ça vient du monde précisément de l'intelligence et du monde du renseignement, dont tu nous a dit, déjà ; que ce n'était pas forcément le terme que tu préfères, ou de l'intelligence économique ? Quelle différence avec la veille telle qu'elle peut être pratiquée par les entreprises ou par les institutions, que l'on connaît peut-être davantage dans le monde des entreprises ? Est-ce que tu peux nous éclairer là-dessus ?
Nicolas Hernandez : Effectivement, ça reste de l'OSINT dans tous les cas, sauf que les sources d'information qu'on va utiliser ne sont pas nécessairement les mêmes, c’est la grosse différence.
Si je fais de l'OSINT au sujet d’une société pour savoir si elle est fiable juridiquement et financièrement, je vais aller sur des sites comme pappers.fr, societe.com, Infogreffe, pour avoir de l'information et là j'aurai effectivement sa situation financière.
Si je suis un hacker, je vais rechercher des éléments de faiblesse technique, donc je vais aller rechercher des outils open source pour identifier ses sites web, ses noms de domaine, s’il y a des mots de passe qui traînent dans le dark web.
Si je suis un service de renseignement, je vais faire de l'analyse, je vais essayer d'identifier des gens au sein d'une structure et voir après, si ces gens laissent des traces sur les réseaux sociaux, pour essayer de comprendre comment ils fonctionnent pour remonter et aller trouver le maximum de traces pour les sortir d'une certaine forme d'anonymat.
Cyrille Chaudoit : Tu nous dis, en creux, que l'intelligence réside dans le fait de croiser un certain nombre de sources, qui sont diverses et variées, pour essayer d'en tirer une forme d'analyse qui va nous apprendre quelque chose, qui n'est pas visible de prime abord si on cherche une information, mais qui se cache derrière ce fameux croisement d'informations, qui nous fait comprendre quelque chose qui va nous permettre, peut-être, quoi ? De mieux comprendre l'entreprise, de l'attaquer ? Est-ce que tu peux nous donner un cas d'usage pour qu’on se projette, peut-être, un peu mieux ?
Nicolas Hernandez : Dans le cas des grandes entreprises, on a ce qu'on appelle les kone sign, c'est-à-dire que les achats vont valider qu'un fournisseur est solide en termes financiers. Dans cette démarche-là, il va y avoir une démarche de renseignements, ou d’OSINT, pour vérifier les comptes, le passé juridique du dirigeant, tout un nombre d'éléments qui vont permettre de dire que cette boîte tient la route, elle va tenir dans la durée, et qu’on passe un contrat avec un fournisseur qui va être fiable. Là, on voit bien qu'on est dans un secteur particulier, avec des outils particuliers, et Google ne sera pas le premier outil. On va retomber sur papper, sur des documents pénaux, juridiques et autres.
Il y a une grosse différence avec ce qui se faisait à l'époque en manuel. C'est-à-dire qu'avant pour trouver les statuts d'une société, j'étais obligé d'aller à la préfecture, aujourd’hui, j'ai des sites web. Maintenant ça devient beaucoup plus facile et les usages se sont élargis.
Mike Levy : Finalement, on pourrait dire que l’OSINT ce sont un peu toutes les techniques du renseignement, de la CIA, de la DGSE, etc., mais que chacun peut un petit peu employer, que ce soient des « osinteurs », on pourrait dire, particuliers, ou des entreprises ou toute personne qui a besoin d'avoir des renseignements au sens profond, au sens CIA du terme ?
Nicolas Hernandez : Ça va même plus loin. Je pense à nos enfants ou même à nous. Un célibataire qui croise quelqu'un sur Instagram va rechercher des photos, ilva rechercher ce qu'il aime faire, il va emmagasiner des informations pour connaître au mieux la personne.
Mike Levy : Pour adapter les techniques de drague !
Cyrille Chaudoit : C'est du stalking !
Nicolas Hernandez : Adapter des techniques de drague ! C’est connaître les personnes. On peut le retourner d'une autre manière : j'ai envie de m'engager avec quelqu'un et j'essaie de connaître
Mike Levy : Ne le dites pas à ma femme ! J’ai fait de l’OSINT quand je l'ai rencontrée, mais sans savoir que j'étais un « osinteur » de ouf !
Nicolas Hernandez : On a tous eu un petit fichier excel !
Mike Levy : Perso, je ne l'ai pas fait sous excel !
Cyrille Chaudoit : Attention au RGPD après !
Mike Levy : Thibaut
Thibaut le Masne : Si c'est anonyme. Justement comment les « osinteurs » sont-ils organisés ? Il y a des associations, il y a des entreprises ? Ou ce sont uniquement des francs-tireurs qui se mettent à stocker un peu tout le monde pour essayer de sortir avec ?
Nicolas Hernandez : Il y a un peu de tout, c'est pour cela que c'est en train de se structurer. Il y a une association historique qui s'appelle osint.fr. Il y en a une plus récente et bien active qui s'appelle ozint, avec un « z », qui affirme la liaison, et puis il y a des écoles. Aujourd’hui, il y a l'École de guerre économique, il y a l'École militaire, on voit aussi cette notion de guerre qui apparaît dans la partie économique et puis il y a des universités, maintenant, qui ont aussi un rôle d'éducation autour de ces pratiques. C'est donc en train de se structurer. On a mis un nom sur quelque chose qui était assez discret avant, des méthodes, et là, maintenant, ça apparaît au grand jour, mais on se rend compte qu'on fait tous de l’OSINT en fait.
Thibaut le Masne : Ça apparaît depuis combien de temps puisque tu dis que c'est assez récent ? Si Mike n'en a pas entendu parler, c'est que ça doit être tout neuf !
Mike Levy : En fait, je me rends compte que je connaissais la pratique, mais, personnellement, je n'avais pas du tout le terme. Mais la question reste entière.
Nicolas Hernandez : C'est le terme qui est relativement nouveau. En fait, les pratiques existent depuis la nuit des temps. Quand je cherche à attaquer un ennemi, parce qu’il m'a piqué de la bouffe ou ma femme, je vais me renseigner pour savoir quand il va à la chasse pour récupérer ma femme.
Mike Levy : Du coup, quand ce terme-là a-t-il émergé ? Est-ce qu'il est né avec l'open source et Linux ? Est-ce qu’il y a une sorte d’affiliation idéologique on pourrait dire ?
Nicolas Hernandez : Non, il est relativement récent. On parlait de veille économique au début des années 90, il y avait déjà ce type de pratique et, à l'époque, on ne parlait pas de ROSO.
Thibaut le Masne : Oui, c'est ça. Tout à l'heure, quand j'évoquais le domaine de la veille pour de l'intelligence économique, toi-même tu viens de rappeler les notions de guerre économique, les circuits aussi et les filières d'enseignement, on peut penser à l'École de guerre économique, etc.
Je sens, quand même, que tu ne nous dis pas tout, Nicolas, parce que, depuis tout à l'heure, on a un peu l'impression que, finalement, on est tous le monsieur Jourdain de l'OSINT parce qu'on en fait tous, sauf que moi, quand je vais sur ton site web, tu parles clairement d'une technologie militaire parce que tu dis « la puissance d'une technologie militaire au service des entreprises » – tu mets l’OSINT au service des entreprises et on en parlera tout à l'heure, dans la troisième, séquence avec Thibaut –, mais vous parlez aussi de votre capacité à aller sur toutes les couches du Web. Est-ce que tu peux nous aider, en deux mots, à nous représenter ces différentes couches, cet écosystème du Web, parce qu'il n’y a pas que le Web qu'on l'utilise tous, comme de bons monsieur et madame Jourdain en allant sur Google, il y a aussi ce qu'on appelle le dark web, de deep web. Vous parlez même de EASM, un acronyme qui veut dire External Attack Surface Management. Est-ce que tu peux nous aider à y voir un peu plus clair parce que là ça semble être un mille-feuille de couches dans lesquelles il y a des informations qui circulent, celles que l'on met plus ou moins volontairement à disposition sur le client web et puis toutes celles qui leakent à droite à gauche sur le dark web. Dis-nous la vérité Nicolas ! L’OSINT, ce n’est pas que d'aller sur Google, sur Wikipédia ou sur Insta.
Nicolas Hernandez : La grosse différence, une différence fondamentale, c'est que le taux de pénétration du numérique est beaucoup plus fort qu’il y a 10/20 ans, donc ça change complètement la donne. On a à peu près les mêmes outils, par contre on a beaucoup plus de données, beaucoup plus de sources. Il y avait déjà une numérisation en marche, le Covid a remis un coup d'accélérateur, tout le monde s'est remis à échanger, à mettre des VPN, tout le monde travaillait de chez soi et le monde professionnel et le monde personnel ne sont plus imperméables. Donc ces données se croisent naturellement, ce qui crée des enjeux en termes informationnels qui sont monstres et ces différentes données, tu l'as bien dit, se retrouvent effectivement essaimées sur les différentes couches en fonction de ce qu'on a souhaité laisser comme informations. C'est-à-dire on va retrouver sur les couches hautes du Web, le deep web, ce que j'ai souhaité, on va prendre des réseaux sociaux comme standard.
Cyrille Chaudoit : Ça, c’est en connaissance de cause et plus ou moins avec notre consentement, on est d'accord.
Nicolas Hernandez : Exactement, avec un consentement non éclairé, on pourrait le dire de cette manière.
On va retrouver des données qui sont légales. Typiquement, l’adresse personnelle de quelqu'un qui dépose un brevet va se retrouver sur la base européenne des brevets. On pourrait dire que ce n'est pas conforme avec le RGPD, ce sont des données. Oui, c'est compliqué, c'est loin d'être simple.
Et puis, plus on va s'enfoncer dans les couches du Web, plus on va retrouver des données qu'on ne souhaite pas voir. En fait les couches basses du web, ce qu'on appelle le dark web, ça a une particularité : c'est une zone où on va pouvoir déposer et consulter des informations de manière anonyme, sans contrôle et ça change complètement les pratiques. Sociologiquement on ne fait pas les mêmes choses quand on n'a pas le regard du gendarme qui menace, ça change complètement la nature humaine et on la voit différemment. Donc on retrouve des horreurs, mais on retrouve effectivement des données volées qui nous concernent personnellement, qu’on n’a pas souhaitées être disponibles de manière ouverte.
Mike Levy : Justement, pour permettre d'exploiter aussi ces données cachées, en quelque sorte, dans le dark web, est-ce que l’OSINT peut être une manière de lutter contre certains fléaux ? J’en cite un pas parmi d'autres : en France on recense 750 000 pédocriminels actifs sur Internet, la France serait le quatrième hébergeur de contenus pédocriminels. Est-ce que l’OSINT pourrait être aussi mis à la disposition de la lutte contre ce fléau qu'est la pédocriminalité en l’occurrence ?
Nicolas Hernandez : Oui, et c'est bien pour cela qu’on a créé cette structure, qu’Aleph-networks existe, c'est-à-dire qu’on allait à la main, en mode garage, dans le dark web, et quand on a découvert tout ça, on s’est dit « il faut un outil pour que l'État voit ce qui se passe », parce qu’il y a un phénomène qui est bête et méchant : tant qu’on ne voit pas, on ne peut pas agir.
Mike Levy : Donc, révéler les problèmes qui sont dans ces couches basses du dark web, les comprendre, parce que tu as une vision globale de toutes ces données, c'est ça ?, et ensuite on en fait quoi ?
Nicolas Hernandez : Ensuite, on appelle l'État et on lui dit : « Regardez, maintenant vous ne pouvez plus dire qu'il ne se passe rien ».
Mike Levy : Parce qu’à la DGSI, ils n’ont pas de moyens comme ceux-là ? Ils ne luttent pas, à la DGSI, contre ce sujet de la pédocriminalité avec le même type de moyens ?
Nicolas Hernandez : Si. Chacun lutte avec un, le regard que le politique lui apporte, c’est-à-dire qu’il y a des stratégies, il y a des moyens, il y a des directives. Si les politiques ne donnent pas les moyens, à la DGSI, d'avoir des outils et des ressources, si ce n'est pas une priorité, on va travailler sur d'autres sujets. On ne voit bien avec ce qui s'est passé suite aux événements de Charlie Hebdo : le lendemain des attentats, nous avons été appelés par les services de renseignement, le lendemain !, pas la veille, après le fait. Il y a, en fait, un phénomène politique qui va diriger les efforts de la DGSI, de la DGSE, des services de renseignement.
Mike Levy : Pour bien comprendre, ils vous appellent parce qu'ils ont besoin de monde en plus, un peu comme on ferait appel à une réserve civile, parce qu'il faut plus de personnes pour aller à la guerre ? Ou est-ce qu'ils vous appellent parce que vous avez une techno qu'ils n'ont pas, donc ils se disent « on est passés à côté d'un sujet » ?, sans nous révéler de grands secrets d'État.
Nicolas Hernandez : Nous avons été appelés parce qu'ils n'avaient pas de techno. En fait, il y a une espèce de mythe : quand on ne voit pas un truc on a des mythes. On nous a toujours dit « oui, mais ils le font, oui, mais ils ont les outils, oui mais » ! En fait, on ne sait pas. En fait, on présume qu'ils l'ont. La preuve c'est qu'on est venu chercher notre techno, c'est bien qu'ils ne l'avaient pas avant et c'est bien un événement qui a fait qu’ils prennent le sujet en main. C'est toujours pareil : je ne peux lutter que contre ce que je vois, donc, comme je n'ai pas de moteurs de recherche dans le dark web, je ne peux pas faire de recherches donc je ne vois rien. Et il y a un truc tout bête : imaginez le Web sans Google !
Mike Levy : Oh Non ! Ne remets pas Yahoo, s’il te plaît !
Thibaut le Masne : Il y a Lycos !
Nicolas Hernandez : Ça change complètement notre regard sur le Web, ça le structure même.
Mike Levy : Bien sûr et on voit que la structuration du Web est encore en train d'évoluer avec ChatGPT qui va nous amener une autre manière d'accéder à l'information, d'ailleurs avec d’autres risques.
Nicolas Hernandez : Une autre manière, d’autres moyens avec d'autres biais, et l'outil formate complètement notre regard et l'usage qu’on va en avoir. Je ne creuse pas de la même manière avec une pelle ou avec une petite cuillère. L'outil va façonner ma manière de travailler et ma représentation du monde. Si je creuse une piscine avec une cuillère !
Mike Levy : C'est une idée qui revient de plein de manières différentes, mais assez régulièrement dans Trench Tech : les outils technologiques ne sont pas neutres. L'outil est lui-même porteur d'une manière, d'une forme d'usage, donc amène aussi des problèmes parfois éthiques qui vont avec .
Pour l'heure, c'est le moment d'égarement de Laurent Guérin.
Un moment d’égarement - Laurent Guérin 21’ 10
Voix off : On n’est pas bien, paisibles, à la fraîche !
Voix off : Un moment d'égarement.
Mike Levy : Je les avais quasiment oubliés et pourtant j'avais moi-même failli y succomber à l'époque. Laurent, aujourd'hui, tu nous parles des PDA.
Laurent Guérin : Eh oui ! Lorsque j'étais adolescent, un de mes grands kifs au collège était l'achat, à chaque rentrée, de mon nouvel agenda. Méticuleusement, la première chose que j'y consignais, c'était les dates des anniversaires de mes camarades de classe. Les agendas fantaisie firent progressivement place à des Quo Vadis, qui signifie « où vas-tu » en latin, un chouette nom, donc, pour un agenda. Puis vinrent les Exacompta et leur couverture molletonnée qui signifie « soit exact dans ta compta », même si tu t'endors au bureau. Eh oui, j'étais devenu jeune cadre, avec un salaire, ce qui me permit de faire une upgrade dans le choix annuel de mon agenda. Je fis alors l'acquisition de mon PDA, pour Patrick Poivre d’Arvor.
Mike Levy : Non, pas PPDA, seulement PDA. Tu t’égares encore, là, Laurent. Alors, c'était quoi ?
Laurent Guérin : Deux PDA. Deux modèles dominaient le marché français des PDA, pas de PPDA : le PalmPilot, sans aucun rapport avec la plongée sous-marine ou les compagnies aériennes, et l'iPAQ de Compaq, je te jure ! À une lettre près Compaq inventait l'iPad, se contentant néanmoins, donc, de l'iPAQ, qui, s’il proposait déjà un écran presque tactile, n'en restait pas moins inutile. Car, force est de constater que d'avoir inventé la presque tablette avant la tablette fut un échec, un peu comme ce bon vieux Franz Reichelt qui inventa le presque parachute en 1912, mais fut interrompu dans ses recherches pour cause de décès. Il s'était, en effet, jeté de la tour Eiffel appareillé de son innovation défectueuse et fatale.
Psion, sans « f », mais avec un « p » et un « s », fabricant du premier PDA sans PPDA, puis Apple avec Newton et sa pomme, Palme sans palmes avec son PalmPilot et Compaq sans son iPad venait d'inventer l'agenda très cher, également appelé le PDA pour personal digital assistant, traduit en français par « assistant personnel » ou PalmPilot.
Mike Levy : Ah ! Ça se précise. Mais alors, c'est devenu quoi cette grande innovation ?
Laurent Guérin : Toujours rien à voir avec la plongée. Et pourtant, la blague dure une quinzaine d'années, de 1992 à 2007. Il faut dire que la route est semée d'embûches. À la base, l'idée de l'objet c'est une espèce de calculatrice évoluée capable de gérer un agenda, un carnet d'adresses et un bloc-note. Les PDA sont dotés d'un stylet, car l'écran monochrome n'est pas tactile, le stylet te permet d'écrire selon un nouvel alphabet qu'il te faut apprendre si tu veux que ton Palm reconnaisse tes lettres : par exemple, pour faire un « a », tu dois tracer un « v » à l'envers, pour le « e », une potence de pendu, pour le « t », une potence dans l’autre sens, pour le « 0 » un cercle, pour le « o » un cercle, pour le « q » un « o », donc un cercle mais avec une barre horizontale au bout, mais en haut, pas en bas et pour le « ä », une espèce de serpentin avec deux boucles dignes de gribouille et pour faire un tiret, eh bien a fait un tiret.
Tiré une balle dans le pied, c'est ce qui s'est passé, car plus les années passent plus se développe l'angoisse. Les PDA valent une petite fortune, les usages sont très limités, la synchronisation avec un PC est cauchemardesque, mais, le pire, c'est que les PDA ne permettent pas de téléphoner ! Lol ! Ah bon ? Non.
Dans un dernier baroud d'honneur, certains acteurs de l'industrie essayent de nous faire croire que les PDA sont des PC miniatures, sauf qu'on a pas des œufs miniatures ni des doigts miniatures!
D'autres essaient de concurrencer Nokia et Blackberry en nous proposant des smartphones qui téléphonent en plus de faire agenda, sauf que c'est trop tard, nouvel échec ! Car voici 2007 et le premier iPhone. En quelques mois, Apple en écoule un million et demi, puis dix millions l'année suivante, puis 200 millions par an. Alea jacta est, c'est du latin.
Voix off : Trench Tech. Esprits Critiques pour Tech Éthique.
En ligne de mire : le risque cyber ? 24’ 37
Cyrille Chaudoit : Chers amis qui nous écoutez, tout ce que vous direz pourra être retenu contre vous.
Mike Levy : Oh No !
Cyrille Chaudoit : Nous sommes ravis d'avoir une entreprise française qui rayonne en Europe sur un tel sujet de pointe, cocorico !, mais pour que chacun comprenne bien la portée de ces risques et des mécaniques qui sont à l’œuvre, il me semble important de se projeter soi-même. Commençons par nous intéresser à la sphère personnelle avant d'aborder les enjeux pour les entreprises dans la prochaine séquence. Spoiler alert, accrochez vos ceintures, ça remue méchamment.
Nicolas, peux-tu nous décrire dans le détail un cas d'usage précis de quelqu'un qui nous écoute peut-être en ce moment et qui, sans le savoir, est une cible potentielle à cause des données qui circulent sur son compte ?
Nicolas Hernandez : Aie ! Il y a tellement de cas, je vais en prendre un.
Mike Levy : Je sens qu’l a fait des recherches sur Thibaut avant de venir !
Nicolas Hernandez : Je n’ai pas le droit. On respecte la réglementation et on va en parler. On ne peut pas faire n'importe quoi. Justement, je ne peux prendre comme cas que moi-même, ou des cas qu'on a croisés pour certains de nos clients, que je vais anonymiser, bien sûr. Les faits sont très simples, je vais prendre un cas qui est public, le cas de Voyageurs du Monde.
Cyrille Chaudoit : Voyageurs du Monde était une agence de voyages, qui l’est toujours ? Comme tout le monde ferme en ce moment.
Nicolas Hernandez : Qui l’est toujours. Ils sont encore là.
Une agence de voyages plutôt luxueuse et il se trouve que cette société s'est pris un ransomware russophone, pour ne pas dire russe, je suis très précis. Et, entre autres, l'ensemble des cartes d'identité scannées de ses clients sont parties.
Cyrille Chaudoit : Les cartes d'identité récentes ou même anciennes, parce que je suis déjà passé par eux il y a quelques années ?
Nicolas Hernandez : Les deux, ce qui fait un double problème.
Mike Levy : Ce qui veut dire qu'ils ont pas respecté le RGPD, par ailleurs, et les délais de conservation des documents personnels, mais c'est une autre histoire ! Donc, il y a plein de cartes d'identité qui fuitent à cause de ce ransomware.
Nicolas Hernandez : Exactement. Tu fais bien de rappeler le RGPD, là, dans ce cas d’usage, il commence à prendre du sens.
Cyrille Chaudoit : Où sont-elles parties, du coup, concrètement, ces cartes d'identité ?
Nicolas Hernandez : Elles sont sur le dark web, en téléchargement libre, il y en a dix mille.
Cyrille Chaudoit : Dark web. Est-ce qu'on peut revenir deux secondes sur le dark web ? Est-ce que n'importe qui peut aller sur le dark web ? Est-ce que je peux y aller ? Est-ce que ma grand-mère peut y aller ? Est-ce que c'est très simple ? Est-ce qu'il faut passer par des outils de malade ?, parce qu'on a l'impression que le dark web, c'est le repaire des pirates, des méchants, qu’on n'y a pas tous accès, qu'il faut montrer patte blanche à l'entrée.
Nicolas Hernandez : Non. Il y a aussi des photos de poneys dans le dark web, il y a de tout dans le dark web, mais vraiment de tout, d'accord.
Mike Levy : Comment y accède-t-on, du coup ?
Nicolas Hernandez : La manière la plus simple, c'est de télécharger un outil qui s'appelle Tor Browser, qui est tout à fait légal, il n'y a pas de soucis. La difficulté c'est qu’il faut trouver des points d'entrée.
Cyrille Chaudoit : J'imagine que tu n'as pas le Google du dark web qui dit : « Si tu cherches à acheter de la drogue ou des cartes d'identité, clique ici ».
Nicolas Hernandez : Il y en a, mais il va falloir les chercher, et je ne vous donnerai pas les liens, parce que, en plus, les noms des sites ce sont des chaînes aléatoires de caractères, vous aurez du mal à les retenir et moi j'aurai du mal à les prononcer
Cyrille Chaudoit : Et ce n’est pas forcément une bonne idée de les communiquer.
Mike Levy : On n'est pas là pour en faire la promotion non plus.
Nicolas Hernandez : Sauf pour des photos de poneys. Il y a même des passionnés de petits trains, il y a des choses super intéressantes, il y a de l'activisme dans certains pays, donc, sociologiquement, c'est intéressant d'y aller quand on s'intéresse à des pays. Il y a de l'ultra-activisme aussi, il y a des néonazis. Il y a tout.
Cyrille Chaudoit : Il y a vraiment tout ce qui se fait de mieux.
Du coup, ces cartes d'identité se retrouvent sur le dark web et concrètement, qu'est-ce qui se passe ? Il y a une espèce de marché au noir des cartes d'identité et ça va au plus offrant ? Qu'est-ce qu'ils en font après ? Qui sont les gens qui sont derrière tout ça et qu'est-ce qu'on en fait ?
Nicolas Hernandez : C'est très simple, toutes ces données qui fuitent, cartes d'identité et autres, sont mises à disposition de manière libre par les sites des ransomwares et elles sont systématiquement utilisées.
On fait ce travail depuis 2014 et on constate, systématiquement, que quand des données personnelles sortent, elles sont utilisées de différentes manières : pour de l'usurpation d'identité dans le cadre de scans de cartes d'identité, ça touche la mère Michu et c'est un vrai problème de société.
Thibaut le Masne : Ça fait partie de mes grands dadas, on ne va pas le répéter, sur cette partie-là.
Mike Levy : J'attendais ton intervention, je bouillais dans l’attente de ton intervention, Thibaut.
Thibaut le Masne : Forcément, quand on parle d'usurpation d'identité je suis là. J'ai l'impression que ce phénomène-là ne touche n’est même pas 0,01 % de la population. Tu dis qu'il y a dix mille cartes d'identité qui ont fuité, donc, potentiellement tu as dix mille usurpations d'identité, sachant qu’une identité ne fait pas qu'une personne, elle en fait plusieurs. Comment se fait-il que ce phénomène-là est absolument inconnu de tous, du moins pas autant mis en avant auprès de tout le monde ?
Nicolas Hernandez : Il y a un premier effet et il y a un phénomène, c'est que cette massification est très récente, elle date de janvier en fait de cette année-là où il y a un mouvement exponentiel des données qui sortent, donc c'est très récent. Ma propre mère a été victime d'usurpation d'identité, suite à des données qui ont fuité et c'est hyper-compliqué.
Thibaut le Masne : Au-delà de l’usurpation, c'est le temps de retrouver son identité, si on la retrouve un jour, parce que j'ai pas suivi de gens qui l’ont retrouvée, parce qu'il y a toujours des fuites, ça continue !
Mike Levy : Quels conseils as-tu donnés à ta mère, à la fois pour s'en prémunir pour les prochaines et, à la fois, pour la sortir du problème dans lequel elle a pu se retrouver, on imagine ?
Nicolas Hernandez : Il a fallu qu'elle aille physiquement aux impôts pour résoudre le problème et faire changer tous ses identifiants.
Mike Levy : Le problème n’était qu’aux impôts, parce que, en général, ce n’est pas qu’avec les impôts.
Cyrille Chaudoit : Les cybercriminels voulaient aller payer ses impôts à sa place ? C'est ça ?
Nicolas Hernandez : Non, mais ils ont fait des tentatives et ça a foutu le bordel, ça génère du stress elle a 73 ans et le moindre petit truc… Je ne dis pas que c'était grave en soi, le fait n’était pas grave, c'est l'inquiétude et la pression que ça donne. Vous avez tous reçu un mail comme quoi vous étiez un pédophile, ne me dites pas que vous ne l’avez pas par reçu celui-Là !
Cyrille Chaudoit : Ça ne me dit rien. Peut-être dans les spams.
Mike Levy : J'avoue que ma boîte à spams fonctionne bien.
Cyrille Chaudoit : C'est sûr qu'on reçoit tous du scam, on reçoit tout un tas de cochonneries et, clairement, en tout cas ce que l'on entend là, c'est qu’aller sur le dark web c'est quasiment à la portée de tout le monde, en tout cas c'est plus facile que l'on ne peut le penser, qu'il y a de plus en plus de vols d'identité, que ce soit des cartes d'identité ou, j'imagine, peut-être d'autres choses, des numéros de carte bancaire et tout un tas de joyeusetés, et tu nous dis que quasiment 100 % des éléments qui ont été volés et qui sont mis en vente sous forme de Marketplace ou je ne sais quoi sont achetés. Donc, la menace est réelle parce qu’on peut légitimement penser que ceux qui ont acheté vont les utiliser.
Ça c'est le dark web, mais on entend très souvent aussi que le simple fait de mettre des photos de vacances sur Instagram, Facebook ou ce que tu veux, nous expose aussi à une plus forte probabilité de cambriolage. Et là on revient dans le clear web, on revient sur ce que tu disais tout à l'heure en première partie, le fait de publier de l'information avec notre consentement et avec conscience, et ça nous pend aussi au nez. Est-ce que tu peux nous confirmer, ou infirmer ça, nous donner d'autres exemples et nous expliquer comment se prémunir, justement, de risques très basiques finalement ?
Nicolas Hernandez : Ça, c'est plus complexe à démontrer. Autant, avec la data qui fuite, c'est assez simple parce qu'on a des traces, on a des preuves, on a des data brokers qui rachètent des données médicales quand un hôpital se fait leaker, il y a tout un circuit de blanchiment de la data. Ces datas se retrouvent chez des data brokers, on en a un Pologne qui, en plus, affiche ses clients et ses clients sont des entreprises de sécurité, ce sont des mutuelles qui achètent de la data.
Mike Levy : Y compris les mutuelles françaises.
Nicolas Hernandez : Oui.
Mike Levy : Vraiment ? Non !
Nicolas Hernandez : J’ai les noms.
Cyrille Chaudoit : Vas-y, balance-les. Comme elles vont augment de 8 %, on a peut-être un levier de négociation ? Non ?
Nicolas Hernandez : Il se trouve que le data broker est en Pologne et affiche ses clients. Sur le site du data broker polonais, il y a les noms des boîtes de leurs principaux clients. Il se trouve que ce data broker est cité dans le dark web. Il y a donc tout un circuit de blanchiment.
Mike Levy : Je suis sous le choc de ce que tu dis. Attends, je veux qu'on refasse le fil deux secondes de ce que tu dis. Tu es en train de nous dire qu’il y a des pirates, souvent russophones, qui attaquent des hôpitaux. Il y a des données médicales, des données de soins, des données de santé qui fuitent des hôpitaux, qui se retrouvent sur le dark web, récupérées par des data brokers polonais qui revendent ces données médicales, de soins, de santé, très sensibles, à des mutuelles françaises !
Nicolas Hernandez : Oui ! D’un côté on a l’État qui limite, aujourd'hui, les informations médicales qu’on donne et, d'un autre côté, ils vont les chercher, ils vont les acheter parce qu'ils structurent ces données pour en faire des gros fichiers et ça remonte. Autant aux États-Unis, cela est régulé, autant, en Europe, il n’y a rien.
Cyrille Chaudoit : Est-ce que c’est un effet pervers du RGPD, selon toi ?
Nicolas Hernandez : C'est un effet pervers de l'absence de contrôle de l’application du RGPD. D'ailleurs EDF a été condamnée, il y a un an et demi, je crois, sur le sujet, justement parce qu'ils n'avaient pas assez audité les données d'un data broker. Ils ont pris une pénalité. La CNIL a tapé EDF sur ce sujet.
Mike Levy : Donc ça commence. Ça veut dire que ça commence un peu à bouger. Une mutuelle qui rachète des données à un data broker polonais, déjà, c’est un petit peu !
Nicolas Hernandez : Pour des données marketing, Criteo s'est fait taper il n’y a pas longtemps, donc ça commence. Mais on a un vrai souci de fond sur la data.
Pour répondre à ces photos sur les réseaux sociaux, les photos de vacances. Si on se met dans la peau d'un voleur, il rentre nécessairement dans une démarche OSINT dans son processus, nécessairement il va chercher des renseignements sur les réseaux sociaux, c’est aussi bête que ça. Ou alors, c'est vraiment un imbécile qui va les yeux fermés. Évidemment, savoir quand les gens partent en vacances, c'est une opportunité pour un hacker pour connaître quand est-ce qu'il faut qu'ils viennent. En fait, c'est du bon sens, il n’y a rien de magique. Avant de faire une action, on reprend les vieux principes historiques de renseignement, qui sont déjà applicables : quand on veut attaquer quelque chose, on se renseigne avant de taper.
Cyrille Chaudoit : Ça veut dire, au fond, qu’il y a les « ossinteurs » bien intentionnés et puis il y a les mal intentionnés, c'est-à-dire que l'OSINT ce n'est pas qu’aller chercher de l'information et de l'intelligence pour de la stratégie, je dirais, qui est carrée, quand bien même son intérêt économique, c'est aussi une pratique utilisée par des malveillants.
Nicolas Hernandez : Oui. C'est pour cela qu’avoir la même information qu’eux permet d'anticiper ce qui va se passer, donc de se prémunir.
Cyrille Chaudoit : C’est ton positionnement.
Thibaut le Masne : Justement, dernière question : comment fait-on pour s'en prémunir ? J'ai bien peur de la réponse, mais globalement, ce n'est qu'une question de temps avant qu'on se fasse usurper l'identité, si je synthétise un tout petit peu, comment est-ce que je peux faire pour être un tout petit peu plus vigilant, pour que j'arrive un tout petit peu plus tard ?
Nicolas Hernandez : C'est comme dans le monde physique : si je me fais voler mes clés de voiture ou mes clés de maison, je vais changer mes serrures. Par contre, si je ne suis pas au courant qu'on a volé mes clés, je vais me faire avoir ! La principale difficulté du monde numérique c'est qu'on vole par copie, donc on ne s’en rend pas compte. Les premiers responsables, ce sont les entreprises à qui vous confiez vos données, cette notion de confiance est très importante : elles ont l'obligation légale, en cas de fuite de données, de vous prévenir. C'est une obligation légale, donc c'est à nous citoyens, dans ce cas-là, d'attaquer les sociétés qui ne respectent pas cette règle-là parce que ça nous met en danger.
Mike Levy : Blague à part, il n'y a pas une espèce de plugin qui, à chaque fois qu’un truc se passe sur toi dans le dark web peut te remonter l’info ? Parce que, tu as raison, le premier sujet c'est de te rendre compte que tu as été volé.
Nicolas Hernandez : Il est inefficace et illégal !
Mike Levy : Mais il y en a ?
Nicolas Hernandez : Il y en a un, mais il est illégal et on a déposé un recours à la CNIL sur le sujet.
Mike Levy : Il y en a un pour les mots de passe, I have been pawned, je crois que ça s’appelle comme ça pour les mots de passe.
Nicolas Hernandez : C'est illégal en France, parce que c'est du recel de données.
Mike Levy : C’est toute la complexité.
Nicolas Hernandez : C’est hyper-complexe, parce que, si on laisse faire ça c'est de la copie de données volées massive. I have been pawned est utilisé par des hackers. Dans certains pays, pour 50 balles, avec I have been pawned, je fais n'importe quelle requête sur n'importe qui. Mais il y a un petit problème de fond, en fait, quand on creuse.
Mike Levy : Du coup, il faut arrêter de l'utiliser. On est mal !
Surtout que le recel c'est du pénal.
Nicolas Hernandez : Justement, c'est ce que nous allons voir dans la toute prochaine partie, mais juste avant, la chronique d'Emmanuel Goffi.
Philo Tech d’Emmanuel Goffi 37’36
Voix off : De la philo, de la tech, c’est Philo Tech .
