Cet article est la libre traduction et adaptation de « Everything is broken » de Quinn Norton.
J’ai décidé d’en faire une traduction minutieuse car je pense tout d’abord que c’est un texte de grande qualité et simplicité méritant d’être connu.
Egalement, j’utilise ce texte dans l’écriture du premier épisode de ma série vidéo « Une histoire de magie et de technologie » avec l’accord de son auteur.
Il y a de cela bien longtemps, un de mes amis a accidentellement pris le contrôle de milliers d’ordinateurs. Il a trouvé une vulnérabilité dans un logiciel et a joué avec. Pendant qu’il jouait avec il a compris comment obtenir l’accès d’administration complet à partir du réseau. Il en a fait un script automatique, puis l’a exécuté pour voir ce qui allait se passer avant d’aller au lit pour environ quatre heures. Le lendemain matin avant de partir à son travail, il a jeté un œil et découvert qu’il était à présent le seigneur et maitre d’environ 50 000 ordinateurs. Après avoir presque vomi de peur, il a arrêté le script et supprimé tous les fichiers qui lui étaient associés. Il m’a dit avoir ensuite détruit son disque dur par le feu. Je ne peux pas vous dire de qui il s’agit car il ne souhaite pas aller en prison, ce qui aurait pu arriver s’il en avait parlé à quelqu’un pouvant agir sur la vulnérabilité qu’il avait découvert. Cette vulnérabilité a-t-elle été réparée ? Peut-être, mais pas mon ami. Cette histoire n’a absolument rien d’extraordinaire. Passez un peu de temps dans les réseaux de Hacking et de sécurité, vous entendrez beaucoup d’histoire comme celle-ci ou pire.
Il est difficile d’expliquer aux gens combien la technologie est bancale, et que l’infrastructure de nos vies et de notre société ne tient que par l’équivalent informatique d’un fil de fer.
Les ordinateurs, et l’informatique, sont foutus.
Construisez mal, et ils viendront.
Pour beaucoup d’entre nous, surtout ceux aillant suivi l’affaire de la surveillance par la NSA, ces révélations n’ont pas vraiment été une surprise. Nous ne savions pas les détails, mais les gens qui veillent aux logiciels savaient que l’informatique était malade et pourrissante. Nous savons depuis des années que ceux qui veulent l’exploiter volent en cercle au-dessus de nous comme des charognards. La NSA n’était pas, et n’est toujours pas, le grand prédateur d’internet, c’est seulement le plus gros charognard dans les parages. Ils n’y arrivent pas aussi bien par ce qu’ils sont des puissants sorciers mathématiciens venu tout droit de l’enfer.
La NSA réussi uniquement par ce que les programmes sont merdique.
8 mois avant les révélations d’Edward Snowden, Quinn Norton tweetait :
Alerte révélation sécurité :
Tous les logiciels ont des 0days (vulnérabilité non dévoilée), tout le monde est surveillé, toutes les données transférées, absolument tout est vulnérable. Tout est déjà putain d’infiltré.
C’était lorsque j’ai pris conscience, exaspéré, que chercher des logiciels fiable était un combat perdu d’avance. Ecrit par des gens qui n’avaient ni le temps ni l’argent, la plupart des logiciels sont emballés et vendus dès l’instant où ils fonctionnent assez bien pour laisser quelqu’un rentrer chez lui et voir sa famille. Le produit final est la plupart du temps médiocre sur l’aspect sécurité.
Les logiciels sont si mauvais car ils sont trop complexes, et par ce qu’ils essaient de communiquer avec d’autres programmes sur le même terminal, où à travers une connexion à d’autre terminaux. Même votre ordinateur est plus qu’un seul ordinateur, comme une boite parmi d’autres boites, et chacun de ces ordinateurs est remplis de ces petits programmes qui tentent de coordonner leurs actions en communiquant entre eux. L’informatique est devenu incroyablement complexe, tandis que les humains, eux, sont restés les mêmes.
Votre ordinateur moyen et son Windows de merde est si complexe que personne sur cette planète ne sait réellement ce qu’il fait, ou comment.
Maintenant, imaginez des milliards de ces petites boites ensemble impossibles à différencier essayant de communiquer et coordonner des tâches en temps réel, partageant des miettes d’information et exécutant des commandes ca et la, du plus petit programme aux énormes comme les navigateurs web – c’est ça internet. Tout cela doit se dérouler simultanément et en harmonie, sinon vous allez grogner que ça ne fonctionne pas assez bien ou assez vite.
Nous soulignons souvent le fait que nos téléphones que nous utilisons chaque jours pour se détendre sur nos petits jeux et que nous n’arrêtons pas de faire tomber dans les toilettes des bars ont plus de puissance de calcul informatique que les ordinateurs des décennies passées qui nous ont emmenés sur la Lune.
La NASA employait de grandes équipes de génies pour comprendre et s’occuper de leurs logiciels. Votre téléphone vous a, vous.
Ajoutez à cela un système de mise à jour automatique auquel nous disons « non ! » par ce qu’on est en plein milieu d’une partie de Candy Crush Saga à chaque fois qu’il demande.
A cause de tout ça, la sécurité informatique est pourrie. En plus d’être farci de bugs ô combien gonflant et de messages d’erreur incompréhensibles, les programmes ont souvent un type spécial de vulnérabilité appelés 0days par la communauté. Personne ne peut se protéger des 0days. Tout est dans le nom, 0days (0 jours en anglais) – 0 c’est précisément le nombre de jours que vous avez eu pour parer cette attaque. Il y a les 0days « Mouais, pas terrible », les vraiment mauvais et les catastrophique qui sont prêt à donner les clés de la maison au premier qui demande. Je vous garantis que vous lisez ce texte actuellement sur un terminal ayant les 3 types de 0days. « Mais ! » je vous entends d’ici dire « Si personne ne les connait comment sais-tu que je les ai ? ». Par ce que même les bons logiciels doivent fonctionner avec des logiciels médiocres. Le nombre de gens dont le travail est de concevoir des logiciels sûrs pourraient entrer dans un bar, et je les ai regardés boire. Ce n’est pas rassurant. La question n’est pas « Vais-je me faire pirater ? », mais « Quand ? ».
Ceci est arrivé il y a quelques années.
Pour se débarrasser d’une plainte à propos d’un programme, un développeur du projet Debian a simplement commenté une ligne de code sans réaliser que cela laissait leur système de cryptage ouvert à des attaques faciles.
Voyez les choses sous cet angle – chaque fois que vous installez une mise à jour de sécurité (quasi quotidiennement sur mon Linux), ce qui est mis à jour était bogué, sous-entendu vulnérable, depuis qui sait combien de temps. Parfois des jours, parfois des années. Personne ne parle de cet aspect des mises à jour. Les gens disent « Tu devrais l’installer, c’est un patch de sécurité critique ! » et omettent de dire « … par ce que les développeurs ont merdés à un tel point que les documents d’identité de tes enfants sont probablement vendu en ce moment même à la mafia estonienne par une tête à claque de hacker sans envergure ».
Personne n’entre. Personne ne sort.
Les très mauvais bugs (et qui sait combien il y en a quand vous cliquez sur « Redémarrer plus tard » ?) peuvent être utilisés par les hackers, les gouvernements ou autre horreurs d’internet scannant le réseau en quête de programme en version non patchée et donc exploitable. N’importe quel ordinateur répondant au scan « Hey ! Moi ! Je suis vulnérable ! » peut devenir un nouveau zombie du BotNet, parmi des milliers, ou des centaines de milliers d’autres. (Un BotNet est un réseau d’ordinateurs piratés, que l’on nomme alors zombies, contrôlés par un hacker). Souvent les ordinateurs exploités et zombifiés se font pirater plusieurs fois et font donc partie de plusieurs BotNets. Certains BotNet mettent même à jour les zombies afin d’éviter de partager leur victimes avec d’autres pirates. Comment savoir si cela vous arrive ? Impossible ! Bonne chance si vous essayez de savoir si votre vie personnelle est en train d’être échangée en ce moment même !
La prochaine fois que vous pensez que votre grand-mère n’est pas cool, prenez le temps de la remercier pour sa contribution aidant quelques criminels Russes à extorquer de l’argent aux casinos en ligne à grand coup d’attaque DDoS.
Récemment, un hacker anonyme a écrit un script infiltrant les systèmes Linux embarqués (téléphones, tablettes, et autres petits appareils connectés). Ces terminaux piratés ont scanné le reste d’internet, et amassé des données nous en apprenant plus sur la forme d’internet que jamais auparavant. Les petits systèmes piratés ont renvoyé leurs données (un bon gros 10 Téraoctet) et ont gentiment désactivé le programme, rendant le terminal tel qu’avant d’entrer. Ceci n’est qu’un exemple parmi d’autre de quelqu’un ayant piraté l’internet bien profond. Si ce script avait été conçu pour endommager les systèmes, nous aurions tous étés baisés.
C’est uniquement possible par ce que tous les systèmes informatiques sont aussi mauvais : ceux dans les hôpitaux, les gouvernements et les banques, ceux dans votre téléphone, ceux dans votre maison et bracelet connecté et tour de contrôle d’aéroport. Les ordinateurs utilisés dans l’industrie sont encore pire. Je ne sais pas bien pourquoi, mais les gens les plus alcooliques et nihilistes sont les experts en sécurité informatique. Un autre de mes amis a accidentellement mis hors service une usine à cause d’un simple ping malformé au tout début d’un test de sécurité. Pour ceux qui ne connaissent pas, un ping est seulement une des plus petite requêtes qu’un ordinateur peut envoyer à un autre sur le réseau. Il leur a pris une journée entière pour tout refaire fonctionner.
Les experts informatiques aiment prétendre qu’ils utilisent une gamme complètement différente de programmes, de haute qualité, qu’ils comprennent, constitué intégralement de perfection mathématique brillante et dont les interfaces semblent avoir été chiées par un babouin en rut. C’est un mensonge. La seule forme de sécurité que cela amène c’est l’obscurité – tellement peu de gens utilisent ce programme qu’il n’est pas intéressant pour les pirates de construire des stratégies d’attaques. A moins que, comme la NSA, vous vouliez infiltrer les administrateurs de réseaux.
Un petit programme de discussion crypté, que pourrait-il arriver ?
Prenons l’exemple d’un programme qui afflige les experts en sécurité informatique lorsqu’ils voient d’autres gens ne pas l’utiliser : OTR. OTR (Off The Record messaging) insère une couche de cryptage dans un message texte brut. C’est comme si vous utilisiez un logiciel de messagerie comme MSN ou Skype ou ce que vous voulez et que vous parliez en message encodés, sauf que l’ordinateur s’occupe de crypter et décrypter les messages pour vous. OTR est intelligemment construit et solide, son code source est examiné attentivement and nous sommes quasiment sûr qu’il n’a pas de méchants 0days.
Seulement, OTR n’est pas un programme que vous utilisez seul.
Il y a un standard pour le programme OTR et une bibliothèque mais il ne fait rien tout seul. Il utilise un autre programme conçu par des humains basique pour être utilisé par d’autres humains basiques. Vous sentez que ça ne va pas bien finir…
L’autre chose importante qu’utilise OTR est un autre programme utilisant une bibliothèque nommée libpurple. Si vous voulez voir des experts en sécurité informatique snobs qui ont l’air aussi affligés que les babouins qui ont chié leur interface, sortez libpurple ! Libpurple a été écrit dans le langage de programmation nommé « C ».
« C » est bon pour deux choses : Etre beau et créer des 0days catastrophiques exploitant la gestion de mémoire.
Heartbleed, le bug qui a affecté le monde entier, donnant mot de passe, clés de cryptage et bien d’autres choses au premier qui demande ? Encore une fois écrit en C.
Libpurple a été écrit par des gens qui voulaient que leur logiciel de messagerie open source puisse parler à n’importe quel autre système de messagerie dans le monde, et n’en avait rien à foutre de la sécurité ou du cryptage. Les experts en sécurité qui ont analysés libpurple ont dit qu’il y avait tellement de façon d’exploiter le programme qu’il était inutile de le patcher. Il valait mieux le jeter et le réécrire intégralement depuis zéro. Les vulnérabilités de ce programme ne laissent pas seulement quelqu’un lire les messages normalement cryptés, mais permettent de prendre le contrôle total de votre ordinateur, voir tout ce que vous écrivez ou regarder et potentiellement allumer votre webcam sans vous demander votre avis.
Cet outil magique, OTR, repose sur libpurple sur la plupart des systèmes l’utilisant. Soyons clairs, par ce que même certains geeks ne comprennent pas : peu importe à quel point votre algorithme de cryptage est sophistiqué si un attaquant peu simplement lire les messages sur votre écran avec vous, et je vous garantis qu’ils peuvent. Ils peuvent déjà savoir comment ou non, mais ils peuvent. Il y a des milliers de libpurples sur votre ordinateur : de petits morceaux de programmes conçu avec un budget restreint et des dates de livraison surréalistes par des gens qui ne savaient pas comment garder votre système sûr ou ne s’en sont pas préoccupés.
N’importe lequel de ces petits bugs fera l’affaire pour prendre le contrôle complet de votre ordinateur. Alors on met à jour encore et encore, et peut être que cela expulse quelques pirates au passage, ou peut-être pas. Personne ne sait !
Lorsque nous vous disons d’appliquer les mises à jour, nous ne vous disons pas de réparer le navire. Nous vous disons d’inspirer profondément avant d’avoir la tête sous l’eau.
Mais prenons un peu de recul sur ce constat d’horreur et de désolation, laissez-moi vous dire que les choses sont mieux qu’elles ne fussent. Nous avons des outils que nous n’avions pas dans les années 90, comme le sandboxing (« bac à sable » en anglais), qui permet de garder les programmes écris à la va vite dans un endroit où ils ne peuvent pas causer de dégâts. (Le sandboxing est un concept qui consiste à garder un programme dans une partie artificiellement isolée de l’ordinateur, le séparant des autres programmes et nettoyant tout ce qu’il essaye de faire avant que quoi que ce soit ne le voit).
Certaines catégories de bugs et vulnérabilités ont étés tout simplement éradiqués. La sécurité est prise plus au sérieux que jamais, et il y a tout un réseau d’expert fournissant des solutions anti programmes malveillants 24h sur 24. Mais ils ne font pas vraiment le poids. L’écosystème de ces problèmes est bien plus grand qu’il y a ne serait-ce que 10 ans et il ne semble pas que nous progressions.
Les gens aussi sont foutus.
« Je vous fait confiance… » a été la chose la moins agréable à entendre d’une de mes sources parmi les Anonymous. Inévitablement il s’en est suivi une quantité d’information qu’ils n’auraient pas dû me dire. C’est la chose la plus naturelle et humaine de partager quelque chose de personnel avec quelqu’un à qui l’on essaye de faire confiance. Mais je n’arrête pas, exaspéré, de rappeler aux Anonymous qu’ils sont connectés à un ordinateur, relayant chaque message par un tas de serveurs, switches, routeurs, câbles, réseau WiFi, pour finalement arriver sur mon ordinateur, avant même d’être connecté à un autre être humain. Et tout ce chemin complexe emprunté par l’information est acheminé en moins de temps qu’il en faut pour prendre une profonde inspiration. Ça parait évident mais je le répète : les humains ne sont pas construit pour penser comme ça.
Tout le monde échoue à utiliser les programmes correctement. Absolument tout le monde merde. OTR ne crypte qu’après le premier message échangé, un fait que même les professionnels en sécurité informatique et hackers recherchés oublient constamment. Organiser parfaitement les clés d’encryptage et de décryptage requises pour garder vos données confidentielles à travers de multiples intermédiaires, sites et comptes est théoriquement possible, de la même manière, pratiquer une appendicectomie sur vous-même est théoriquement possible. Quelqu’un a réussi une fois en Antarctique, alors pourquoi pas vous ?
J’ai changé mon mot de passe par « incorrect »
Comme ça, si j’oublie, il y aura le message :
« Votre mot de passe est incorrect »
Chacun des expert en virus que je connais a oublié ce qu’était un petit fichier, a cliqué pour l’ouvrir et a soudain réalisé qu’ils venaient d’exécuter un virus qu’ils étaient censés examiner. Ça m’est arrivé à moi aussi, avec un fichier PDF que je savais infecté par quelque chose de louche. Mes collègues se sont bien moqués de moi, avant de m’avouer que cela leur était aussi arrivé. Si certains des meilleurs analystes en virus et autres programmes malveillants peuvent tomber dans ce genre de pièges, comment vos parents peuvent savoir que la carte de vœux qu’ils ont reçu par email vient bien de vous ?
Les pièces jointes aux emails exécutables (ce qui inclus les documents Word, Excel, PDF…) que vous recevez chaque jours pourraient venir de n’importe qui – les gens peuvent écrire ce qu’ils veulent dans la case « expéditeur » d’un email, et chacun de ces fichiers pourraient prendre le contrôle de votre ordinateur aussi facilement qu’une vulnérabilité 0days. C’est probablement comme ça que votre grand-mère a fini par collaborer avec les criminels Russes et pourquoi vos concurrents anticipent toujours vos plans. Mais si vous refusez d’ouvrir toutes les pièces jointes vous ne pourrez pas travailler dans ce monde si moderne. C’est votre choix : risquer constamment de cliquer sur un programme dangereux ou vivre sous un pont autoroutier, laissant des notes sur la pelouse de votre ancienne maison pour dire à vos enfants que vous les aimez et qu’ils vous manquent.
Les experts en sécurité et confidentialité sermonnent tout le monde à propos des metadata (les données supplémentaire de fichier, par exemple, sur de nombreux téléphone, lorsqu’une photo est prise, les coordonnées GPS sont ajoutées en metadata, permettant de localiser la photo géographiquement) et du networked sharing (partage en réseau), mais être en permanence attentif à tout cela est aussi naturel que de se faire une transfusion sanguine tous les matins, et quasiment aussi facile. Les risques au niveau sociétal d’abandonner confidentialité et vie privée sont terribles. Au niveau individuel ils sont déjà immédiatement handicapants. Tout ça est un combat d’usure entre ce que nous voulons pour nous même et nos familles et ce dont nous avons besoin pour conserver notre communauté d’êtres humains – une impasse monétisée par des sociétés privées et surveillé par les gouvernements.
Je vis dans tout ça, et je ne fais pas mieux. Une fois j’étais en train de suivre une procédure pour authentifier mon identité auprès d’une source confidentielle. Je devais prendre une série de photos montrant mon emplacement géographique ainsi que la date. J’ai envoyé les photos et ai été autorisé à procéder à mon interview. Il se trouve que mon identité n’a jamais pu être vérifiée par ce que je n’ai pas attendu que l’envoi soit terminé avant d’éteindre nerveusement mon ordinateur. « Pourquoi avoir accepté de me parler quand même ? » J’ai demandé à ma source. « Par ce que toi seul peut être aussi stupide », ma source m’a répondu.
Touché.
Mais si je ne peux pas faire ça, en tant qu’adulte qui prête attention à ce genre de problème en permanence, quelles chances ont ceux qui ont de vrais travails et de vraies vies ?
En fait, c’est la culture qui est foutue.
Il y a quelques années, je suis allé voir quelques personnalités respectées dans le domaine de la confidentialité et sécurité des logiciels et leur ai posé une question.
Premièrement, je devais expliquer quelque chose :
La plupart des utilisateurs d’ordinateurs n’ont pas les privilèges d’installation sur l’ordinateur qu’ils utilisent.
C’est un fait, la majorité des utilisateurs dans le monde ne possèdent pas l’ordinateur qu’ils utilisent. Que ce soit dans un café, à l’école ou à l’université, au travail, pour une grande partie des utilisateurs, installer un logiciel complet est impossible. Tous les 7 à 15 jours, je suis contacté par des gens cherchant désespérément à améliorer leur sécurité, et j’essayerais bien de les y aider. Je pourrais leur dire « Téléchargez le… » puis j’arrêterais. Mon interlocuteur me dirait qu’il ne peut pas installer de programme sur sa machine. Dans la majorité des cas c’est à cause d’un département informatique quelque part qui limite leurs droits comme si cela faisait partie de la gestion du réseau. Ces gens-là avaient besoin d’outils qui fonctionnent avec ce à quoi ils avaient accès, dans la large majorité des cas, un explorateur web.
Donc la question que j’ai posée aux hackers, spécialistes en cryptographie, expert en sécurité, programmeurs et autres était la suivante : Quelle est la meilleure option pour des utilisateurs qui ne peuvent pas installer ou exécuter de logiciels sur leur machine ? La réponse fut unanime : aucune. Ils n’ont aucune option. Ils feraient mieux de communiquer en clair m’a-t-on dit, « comme ça, au moins, ils n’ont pas un faux sentiment de sécurité ». Comme ils ne peuvent pas utiliser de nouveaux logiciels, ils devraient simplement éviter de faire quoi que ce soit qui pourrait déplaire à ceux qui les surveillent. Mais j’ai expliqué qu’il s’agissait d’activistes, d’organisateurs, de journalistes à travers le monde en relation avec des gouvernements, des sociétés privé et des criminels qui peuvent faire du mal très concrètement, ces gens sont en danger réel. Alors ils devraient s’acheter leur propre ordinateur, m’a-t-on répondu.
Ca y est j’avais ma réponse : être assez riche pour s’acheter son propre ordinateur, ou crever, littéralement. J’ai alors dit que ce n’était pas suffisant, et s’en est suivi quelques combats de message sur Twitter avant de continuer le fil de nos vies.
Peu après, j’ai réalisé où se situait le point de déconnexion entre sécurité et communication. Je suis retourné voir les experts et j’ai expliqué : en cavale, dans des situations vraiment dangereuses – même lorsque des gens sont pourchassés par des hommes armés – quand les systèmes de cryptage et de sécurité échoue, personne n’arrête de communiquer. Ils espèrent juste ne pas être pris.
C’est la même impulsion qui fait fonctionner les loteries depuis des milliers d’années, qui fait que l’on relève des défis même quand les probabilités sont contre nous. « Peut-être que je peux gagner, autant essayer ! »
Pour s’auto censurer lorsque l’on est face à l’hostilité, les activistes ne connaissant pas la technologie sont aussi bon que les Anonymous, ou que les gens à qui l’on répète de faire attention aux metadata ou au networked share. C’est simple : ils la ferment.
Cette conversation était destinée à éveiller certains acteurs du monde de la sécurité informatique qui n’ont pas réalisés que certains activistes ou journaliste font quotidiennement des choses risquées. Certains m’ont soutenu dans ces combats de message sur Twitter (bons uniquement à gaspiller du temps), réalisant que quelque chose, même si c’est imparfait, peut être mieux que rien. Mais certains dans la sécurité informatique attendent un monde parfait dans lequel déployer leurs programmes développés parfaitement.
Puis il y a ceux des services de renseignements, qui se donnent pour nom les « IC » (Intelligence Community). On pourrait presque les aimer s’ils arrêtaient d’espionner tout le monde tout le temps, tandis qu’ils nous aimeraient bien si nous arrêtions de pleurnicher.
Après avoir passé quelque temps avec eux, je suis presque sûr que je comprends pourquoi ils ne s’intéressent pas à nos plaintes. Les IC sont les humains les plus surveillés de toute l’histoire. Ils savent que tout ce qu’ils font est passé au peigne fin – par leurs pairs, leurs patrons, leurs avocats, d’autres organisations, le président et parfois le congrès. Ils vivent observés et ne s’en plaignent pas.
Dans tous les appels à la surveillance générale, les fondements même de la nature humaine sont négligés. Vous n’allez pas apprendre aux IC que la surveillance est mauvaise en les surveillant encore plus.
Il y aura toujours des échappatoires et aussi longtemps que des échappatoires existent ou peuvent être construits ou interprétées, la surveillance sera aussi répandue qu’elle peut l’être. Les humains sont des créatures essentiellement égocentriques. Les IC, étant humains, ne sauront jamais pourquoi vivre sans vie privée est mauvais tant qu’ils le feront.
Puis viens un autre problème. La catastrophe culturelle est ce qu’ils font pour rendre leur travail de surveillance plus facile. Les révélations les plus troublantes sont les marchés de vulnérabilité 0days, les kits d’exploitation prêt à l’emploi, et l’affaiblissement des standards. La question est qui fait ou fera partie de ce « nous » qui sera protégé par toute cette surveillance, cette exploitation, ces écoutes, ces décryptions et ce profilage. Quand ils ont attaqué Natanz avec Stuxnet et laissé toutes les autres centrales nucléaires vulnérables, ils nous ont calmement fait comprendre que ce « nous » n’incluait que les IC eux-mêmes. C’est cela le plus grand danger.
Quand les IC sont les seuls vrais citoyens du pays, et que le reste d’entre nous n’est considérés que comme des citoyens subordonnés, ou pire, pas même reconnus comme partie du peuple, alors notre peuple devient de plus en plus faible à chaque seconde.
Comme nos désirs entrent en conflit avec ceux des IC, de moins en moins de considération et de droits nous sont reconnus dans leurs yeux. Quand la NSA se constitue une collection d’exploits et interfère avec les protections cryptographiques de notre infrastructure, cela signifie qu’utiliser ces exploits contre des gens qui ne sont pas de la NSA ne compte pas tant que ça. Assurer notre sécurité vient après assurer la leur.
En théorie, la raison pour laquelle nous sommes reconnaissant envers nos soldats, que nous avons coutume de les honorer et les remercier, c’est par ce qu’ils sont censés se sacrifier pour le bien du peuple. Dans le cas de la NSA, c’est l’inverse. Notre bien-être est sacrifié pour rendre leur travail de surveillance plus facile. Lorsque ce genre de pratique fait partie de la culture du pouvoir en place, il est quasiment prêt à tous les abus.
Mais le plus grand de tous les problèmes culturels réside toujours dans le seul groupe dont je n’ai pas encore parlé – les gens normaux qui vivent leur vie sous toute cette folie.
Le problème entre les gens normaux et la technologie est le même qu’entre les gens normaux et la politique ou la société de manière générale. Les gens normaux croient qu’ils sont impuissants et seuls, mais la seule chose qui les maintient impuissant et seul est cette même croyance. Nous tous travaillant ensemble sommes immensément et terriblement puissants.
Il y a surement une limite à ce qu’un mouvement organisé de gens qui partagent un rêve commun peuvent accomplir, mais nous n’avons pas encore trouvé cette limite.
Facebook et Google semblent très puissants, mais ils vivent seulement à une semaine de la ruine en permanence. Ils savent que le coût de quitter les réseaux sociaux individuellement est élevé, mais en masse, ce cout devient peu à peu rien. Windows peut être remplacé par quelque chose de mieux conçu. Le gouvernement américain sombrerait dans une révolte générale en quelques jours. Mais il ne faudrait pas une révolte pour changer tout, car les sociétés privées et les gouvernements préfèreront plier aux demandes que de sombrer. Toutes ces entités font tout ce qu’elles peuvent impunément – mais nous avons oubliés que nous sommes ceux qui les laissent faire.
L’informatique ne sert pas les besoins à la fois de confidentialité et de coordination, non pas par ce que c’est mathématiquement impossible. Il y a énormément de solutions qui pourraient travailler de concert ou crypter efficacement nos données, énormément de solution pour regagner notre vie privée et faire que nos ordinateurs fonctionnent mieux dès leur conception. Ça n’arrive pas par ce que nous ne l’avons jamais demandé, pas par ce que personne n’est assez intelligent pour le concrétiser.
Donc oui, les geeks, les agences de renseignements et les militaires ont foutu le monde en l’air.
Mais à y regarder de plus près, il semble que ce soit à nous tous, de travailler ensemble pour le réparer.