Intéressant. Une émission que j'aime bien regarder de temps en temps s'intéresse à la sécurité informatique. Ce pourrait donc être une bonne tribune pour faire passer deux ou trois idées bien senties. Et pourquoi pas faire mousser la boîte à égo, terrain que l'email en question ne manque pas d'explorer par la suite :

Le piratage informatique est un thème délicat...je ne vous 
cache pas mon manque de connaissances en la matière. Je 
souhaite juste ne pas rencontrer "n'importe qui"...[Biiiiip]
vous a présenté comme étant l'un des plus légitimes à aborder 
cette problèmatique.

Je tiens donc à remercier sincèrement le sieur [Biiiiip] des louanges à mon égard qu'il distribue autour de lui et l'encourage à ne point s'arrêter[1] en si bon chemin. Et le courrier de se conclure par les lignes suivantes :

Ce reportage doit être dans la boite demain soir...cette 
demande est donc urgente....je m'en excuse...Auriez-vous 
d'ici demain 14h une petite heure à nous accorder? Sinon 
peut-être connaissez-vous quelqu'un ?

Bon... Trente minutes au téléphone plus tard, je décline poliment l'invitation, laissant la place à un autre. Mais alors pourquoi donc refuser me demanderez-vous, si je pensais pouvoir délivrer quelque message pertinent ? Parce que j'ai encore en tête ce reportage de France 2 sur la sécurité Wi-Fi sur lequel je n'ai même pas envie de revenir. Ou plus récemment, celui d'Envoyé Spécial sur les cybercriminels... Non pas que ce dernier soit mauvais, mais parce que les séquences prises au 25C3 montrent bien comment la réalité peut être sévèrement déformée par le prisme journalistique.

Et c'est bien là mon soucis majeur par rapport à cette demande. Oui j'aurais des messages à faire passer sur le piètre niveau de sécurité du parc informatique mondial. Comme par exemple la responsabilité de certains éditeurs, de pas mal de clients qui achètent n'importe quoi, du manque de réglementation en la matière, du manque d'information de référence disponible en la matière ou encore du traitement législatif de la question. Ça, c'est clair, j'en aurais des choses à dire. Mais en l'occurence, on ne m'invite pas à poser mon séant sur une chaise design autour d'une grande table en verre pour participer au débat. Non. On veut m'interviewer et me filmer en train de produire une démo représentative dans la cadre d'un des trois reportages qui illustrent l'émission. Reportage dont le sujet n'est pas d'expliquer, mais de constater. Dommage.

Donc grosso modo, ce qui en sortira, c'est un édulcoré de 5min monté par un profane total en la matière dont le but à peine voilé est de montrer "jusqu'où on peut aller". Et là, franchement, ça me gêne. D'abord parce que je n'ai pas envie de finir à la TV affublé du qualificatif de "hacker travaillant pour un géant européen de l'aéronautique"[2] en train de faire tourner un aircrack-ng en -0 sur une vieille capture pour se la jouer Matrix ou jouer du Metasploit sur des machines virtuelles. Ensuite parce que je suis dubitatif quant à l'interprétation qui pourrait être livrée de mon discours. Mon côté bisounours me dit qu'on ne peut pas jeter le bébé avec l'eau du bain, mais d'aucuns aiment à me rappeler que dans ce genre de cas, la règle serait plus de ne retenir que ce qu'on veut bien entendre et qui soit suffisamment vendeur pour soutenir l'idée de départ.

Et puis, je sens bien que ce reportage ne va pas traiter du cas relativement banal de Mme Michu, mais se voit plus parler d'intrusion dans des systèmes critiques, genre SCADA ou contrôle de défense par exemple. Et là, ça sent tellement la planche savonnée à plein nez. Typiquement parce qu'on pose le pied sur le terrain miné des sujets pour lesquels le fantasme s'alimente du techniquement possible, terrain fertile à tous les commentaires, toutes les réactions, toutes les inepties. C'est un terrain qui s'accomode particulièrement bien du montage de propos hors contexte. Et personnellement, je n'ai pas envie de prendre le risque de me retrouver dans une situation très inconfortable parce qu'on aurait déformé mes propos. Pas envie au point de préférer laisser la place à quelqu'un d'autre, au risque qu'il nous y annonce le prochain bigouane ou nous abreuve de réflexions enflammées sur le cyber-terrorrisme...

Enfin, je me dis qu'il est quand même dommage qu'à une semaine du SSTIC un journaliste se retrouve le jeudi à midi chargé de pondre un reportage sur un tel sujet pour le lendemain 14h. Un reportage qui en plus de souffrir d'un temps d'antenne extrêmement réduit et d'une méconnaissance du sujet, va devoir également composer avec le facteur urgence. Je ne sais pas vous, mais je trouve que ça commence à faire beaucoup de poids du mauvais côté de la balance.

Dernière petite inquiétude, je me demande bien qui on va pouvoir écouter débattre de la question. La simple idée qu'un reportage puisse servir de faire-valoir au discours d'un tocard de première me déclenche déjà des poussées d'uticaire. Or l'expérience montre que les gens habituellement invités pour discuter de ces sujets me laissent au mieux indifférents, voire me navrent au plus haut point...


Cependant, je me suis entretenu presque 1/2 heure au téléphone avec une personne fort intéressée qui semble attachée à produire quelque chose de représentatif. Elle m'a en outre confirmé essayer de contacter d'autres personnes pour lesquelles j'ai de l'estime et qui pourront probablement très certainement lui fournir de la matière sur laquelle travailler efficacement. Je me prends donc à espérer sincèrement un reportage décent qui ne sombre pas dans le Die Hard...

Je regarderai l'émission ce soir, à priori ce soir à 17h50, en direct sur France 5, en espérant que le résultat final ne soit pas trop catastrophique...


Update (13:14) : confirmé, c'est pour ce soir, avec un bon sujet polémique à souhait :

Vendredi 29 mai 2009
LOPPSI Peut-on fouiller dans votre ordinateur ?
Face aux dérives sur la Toile, le ministère de l'Intérieur
a dévoilé son projet de loi sur la sécurité intérieure, qui
prévoit l'installation de mouchards sur les ordinateurs
soupçonnés de servir à la cyberdélinquance et le blocage des
sites à contenu pédopornographique.

À vos magnétos...

Update (15:13) : la liste des invités est en ligne :

Je vous laisse en tirer vos conclusions...

Update (19:10) : bon ben j'ai eu le nez creux...

Le reportage en question, qui met Sysdream en scène, allait typiquement dans le sens que je craignais, sens largement alimenté par l'intervenant. Genre tout le monde est à la merci des méchants. Classique. Où ça devient plus drôle, c'est quand on apprend que pour se protéger sur le net, faut aller se faire former aux méthodes d'intrusion... Chez Sysdream évidemment... Mais bien sûr mon bon Môssieur...

Globalement, j'ai trouvé quand même hallucinant que personne n'ait mentionné la protection de nos réseaux. Il a été admis comme axiome de base que nos ordinateurs étaient des passoires et que les autorités devaient en profiter aussi, et voilà. Comment on se protège ? Quelle question ? Et pourquoi faire d'abord ? De même, la question de savoir comment on allait concilier d'un côté la construction d'une capacité d'intrusion efficace et quelque part basée sur une collection de 0days, parce qu'il n'y a pas de raison que les méchants n'aient pas de machines décemment protégées et à jour, et d'un autre la protection de nos infrastructures nationales et de notre tissu économique, puisque tout le monde utilise les mêmes systèmes, a gentillement été écartée...

Notes

[1] Si si, vraiment, pas de mauvais esprit là-dedans.

[2] Résultat dont je n'aurais pas fini d'entendre parler au boulot...