La publication, la semaine passée, d'un article de Philippe Madelin relatant différentes recommandations relatives aux écoutes pouvant être effectuées à
votre insu depuis votre téléphone mobile a déclenché un certaine polémique.
Suite aux réactions des internautes, David Servenay a enquêté sur les affirmations du précedent article, pour donner plus de détails sur celles-ci. Cependant, certaines ne semblent pas encore éclaircies, et, face aux réactions toujours sceptiques des internautes, il m'a semblé intéressant d'apporter un éclairage plus technique sur ces problèmes.
La démarche de cet article s'inscrit dans une approche complémentaire. Le travail effectué par les deux précédents auteurs est très sûrement sérieux et je ne souhaite pas remettre en question leur fiabilité. Il s'agit plutôt de proposer une analyse critique au regard de certaines données scientifiques et techniques, tout en essayant de donner au lecteur les moyens de se faire une idée par lui-même.
En 1938, Alan Turing invente la notion de programme informatique
Il est amusant de constater que, pour illustrer mon propos, je doive commencer par mentionner une personne fondamentale dans le processus de création de l'informatique moderne, Alan Turing. En effet, Alan Turing, dans sa thèse de doctorat à l'université de Princeton, soutenue en 1938, s'intéresse à l'automatisation des calculs.
Cependant, alors qu'avant lui les concepteurs de machines à calculer imaginaient une machine différente par tâche à accomplir, celui-ci a une idée géniale : définir une machine dite universelle, capable de lire les instructions à effectuer, puis de procéder au calcul à proprement parler. La notion de programme informatique était née !
En effet, dans l'informatique moderne, on conçoit de manière séparée le matériel et la tâche qu'il va accomplir. La tâche à accomplir forme le programme informatique, le « code », tandis que la machine, elle, est prévue pour interpréter ce code. Et c'est sur ce point qu'une différence importante surgit entre les téléphones portables et les ordinateurs personnels.
En effet, alors que dans le cas de l'ordinateur personnel, le programme est stocké sur son disque dur et peut très facilement être changé -par exemple pour utiliser un système d'exploitation libre en lieu et place du produit imposé partout-, le programme exécuté par un téléphone mobile est, lui, stocké en « dur », dans le silicone. C'est pour cela qu'on l'appelle aussi « firmware » ou « microcode », à la différence de « software » ou « logiciel ».
Jusqu'à récemment, impossible de changer le programme des protables
Ainsi, jusqu'aux récentes générations de téléphones mobiles, il n'était pas possible du tout de changer ce programme ou d'en installer de nouveau. En revanche, les générations plus récentes le permettent, cependant cela nécessite d'avoir le téléphone en main, ainsi qu'un très bon niveau de connaissance technique.
D'où la première constatation problématique : avant de pouvoir écouter votre portable, il faudrait pouvoir vous le subtiliser un certain moment, et aussi être un expert dans le domaine.
Certains pourraient répondre, en effet, qu'il reste possible que le concepteur du programme de votre téléphone lui-même ait prévu cette possibilité. En effet, cependant, il s'agit ici de pures spéculations, pour lesquelles il n'existe jusqu'à présent aucune preuve. Surtout, pour être exploitable, par exemple par des services secrets, il faudrait que cette disposition ait été communiquée par les constructeurs aux différents services, ce qui donne à tout cela une impression plus proche de la théorie du complot que de la réalité.
En effet, la conception des téléphones mobiles étant, dans notre système de production capitaliste, laissée aux entreprises privées dans un environnement en concurrence, il est bien difficile de concevoir un accord « secret » entre elles pour dissimuler la possibilité d'écoutes. Cela serait, en revanche, bien plus crédible dans le cas d'un système d'opération pour ordinateur personnel, puisque ce domaine fait l'objet d'un vaste monopole d'une seule compagnie, incluant bien entendu la plupart des ordinateurs des différents ministères.
Parfois, les normes préparées ont des failles
La conception industrielle des téléphones, ainsi que des méthodes de communications qu'ils utilisent s'appuie en revanche sur une concertation industrielle. Ces acteurs forment des consortiums, chargés d'élaborer des normes publiques indiquant de quelles manières les téléphones des différentes compagnies devront se comporter. La transparence du processus elle-aussi ne plaide pas en faveur d'un dispositif caché pour activer votre téléphone à distance.
Lorsque des consignes sont données à des personnes souhaitant avoir une conversation discrète de poser et débrancher leur téléphone, cela ne signifie pas nécessairement qu'il soit possible d'activer le téléphone à votre insu, allumé ou éteint, batterie débranchée ou pas, mais bien plus sûrement d'une mesure de bon sens. D'ailleurs les écoutes furtives par téléphone mobiles concernent probablement bien plus sûrement des fuites volontaires d'informations, dont probablement aussi une partie sert de source aux journalistes pour nous informer !
En revanche, il arrive parfois que les normes préparées possèdent des failles, ou que le programme lui-même comporte une erreur, un « bug ». Dans le cas d'un téléphone portable, cela peux prendre des proportions dramatiques pour les industriels.
En effet, alors qu'il est relativement facile de corriger un bug dans un programme pour ordinateur personnel, il est bien plus difficile de mettre à jour un téléphone mobile. Voire même impossible lorsque le matériel n'a pas été prévu pour cela. Il est alors nécessaire, dans le pire des cas, de changer tout le matériel défectueux, et cela peux coûter très cher. Ainsi, récemment une faille a été découverte dans la norme régissant le protocole de communication bluetooth, permettant de faire planter votre téléphone à distance.
Savoir si un programme ou une norme se comporte comme on s'y attend, et qu'il ou elle ne peux pas être utilisé d'une manière non souhaitée n'est pas une question facile. On peut par exemple penser à un logiciel de régulateur de vitesse commandé par un industriel de l'automobile, ou à un consortium chargé de définir une norme wifi sécurisée.
Dans les deux cas, une fois la production enclenchée, toute faille a des conséquences dramatiques. C'est pour cela que la recherche est très active sur ces sujets. C'est aussi une façon de comprendre, sans entrer du tout dans les détails, le genre de problématique que peut se poser la recherche fondamentale en informatique de nos jours.
10
(Pour réagir, connectez-vous)
De Tinhinane
Médiatrice scientifique | 12H45 | 21/12/2008 |
Restez « branché » sur Rue89 si vous le pouvez et n'hésitez pas à nous éclairer, dans le domaine de vos compétences, soit par des contributions telle que celle-ci soit en intervenant dans les commentaires des lecteurs de manière « simple », accessible, car bien souvent nos questions et nos réactions expriment un souhait d'une meilleure compréhension.
De Tophee
en haut a gauche | 15H41 | 21/12/2008 |
Je ne suis peut-être pas thésard en informatique théorique, mais mes presque 30 d'expérience en informatique pratique me permettent d'apporter quelque correction.
Premièrement, une futile, A mon sens celui qui le premier a invente la notion de programme informatique est Charles Babbage, des 1812.
Secondement, les téléphone sont des ordinateur portable, depuis bien longtemps deja, et il est facile de développer de nouveau programmes pour eux, je l'ai fait moi même pour tuer le temps…
Dernièrement, si je voulais écouter votre téléphone, au lieux d'essayer de modifier votre combine, j'achèterais un modèle identique, que je modifierais en prenant mon temps, ensuite je remplacerais votre téléphone avec celui que je viens de modifier.
Pas de manipulation complexe ici….
à Tophee
De Romain Beauxis
(auteur)
Thésard en informatique théorique | 01H46 | 22/12/2008 |
Bonjour,
Merci de vos éclaircissements. Je ne connais pas bien les travaux de Charles Babbage. Il semblerait que son travail ait été très avancé pour son temps.
En revanche, je lis sur la page wikipedia le concernant :
« La machine analytique de Babbage n'est toutefois pas le véritable ancêtre de l'ordinateur actuel, en ce sens qu'elle n'intègre pas la notion fondamentale de programme enregistré. »
Bien sur, tout ceci porte à polémique, et je pense qu'en règle générale il faut se garder de vouloir trouver un créateur unique, car la science évolue par petites touches successives, chacun profitant des avancées précédentes.
Pour ce qui est de la programmation pour téléphone portable, je n'ai pas souhaité entrer trop dans les détails, en particulier la différence entre logiciel noyau et logiciel utilisateur.
Mon propos portait plus généralement sur une modification du noyau ou apparenté (comme la dissimulation de processus), puisque je pense que c'est le seul endroit où un programme furtif puisse être discrètement ajouté.
Or, pour modifier le noyau, ou en tout cas une fonction système dans un téléphone portable, je crois que la difficulté technique est assez grande (nécessité de « flasher » le logiciel, en particulier).
De DIOPZO
16H16 | 21/12/2008 |
« Tuer le temps », vous êtes très fort Tophee.Si seulement vous pouviez trouver une combine pour seulement le ralentir, ça ferait plaisir à tout le monde. Merci d'avance.
De vinsang
électronicologue | 09H42 | 22/12/2008 |
cet article, avec le précédent, sont clair, précis, et n'ont rien avoir avec le pamphlet technophobe plein d » aberrations de Mr Madelein, merci pour ces précisions.
Par contre je pense qu'il serait nécessaire de remettre en cause la crédibilité de Philippe le bout-en-train, et que la rédaction s'excuse d'avoir publié ce joli poisson d'avril en avance.
De toy31
Créateur de maux. | 11H34 | 22/12/2008 |
Bonjour,
ayant lu l'article sur les écoutes, et qui portait à certains commentaires,puis celui-ci, je me dis que finalement…
On était bien sans portables, et on ne s'en sortait pas plus mal.
Quoi qu'il en soit, tout moyen de communication sera de toute manière soumis à cette règle implacable qui vient ajouter du vide au néant :
la confiance n'est jamais acquise, cf Internet, cf les tordus de la zone51 (mwarf) et tous ces paranos des médias.
@+
De Jovan
Nouille Orquee | 11H36 | 22/12/2008 |
Grrrr….
Ce n'est pas moi qui vais me faire le chantre de la langue francaise contrre les anglicismes a tout va, mais des fois il faut eviter les contre sens….
Silicium pas Silicone ! ! ! ! !
Cachez moi vite ces bits que je ne saurais voir…
De TXO
metamedia player | 05H15 | 23/12/2008 |
J'aimerais apporter la précision suivante : un système d'exploitation (ce qui motorise et donne vie à l'agrégat mécatronique que constitue un PC, un Mac, un téléphone portable, un routeur ou une machine outil à commande numérique) n'est pas un programme mais un ensemble de programmes.
Dans un OS (abréviation d'Operating System, pour faire court : système d'exploitation, en anglais) moderne, le noyau importe car sa qualité détermine les performances du système complet bien sûr, mais compte aussi celle des programmes utilitaires qui accompagnent l'OS choisi car ils en étendent les capacités, en particulier celles destinées à éviter au programmeur (véritable mécanicien de l'OS et partant du système final) de recommencer sans fin des tâches fastidieuses.
Recompiler, éditer les liens vers des bibliothèques qui gèrent des comportements électromécaniques, les entrées-sorties comme on dit, de sous-ensembles physiques comme le haut parleur, le micro, le bus de données ou la centrale énergétique d'un cellulaire, comptent parmi ces tâches fastidieuses parce qu'elles se révèlent répétitives. La rapidité de leur exécution détermine la viabilité économique du projet en raison de la variabilité des caractéristiques des éléments acquis auprès de fournisseurs hyper-spécialisés. L'hétérogénéité de cette fourniture peut résulter soit de la concurrence qui règne entre eux : que le meilleur marché l'emporte - voire de la simple rupture de stock du fournisseur habituel… il faut réagir très très vite ; cette obligation conduit à doper la réactivité du programmeur confronté à ces aléas qui entraînent complications et recompilations…
Les concepteurs d'OS ont donc, très tôt, pris soin d'identifier et d'isoler ces tâches en les confi(n)ant à des programmes spécifiques : compiler, linker , etc. Les utilitaires. La généralisation des RAD, de type Eclipse, peuvent masquer leur persistance aux étudiants. Certains de ces utilitaires utilisent des langages comme le langage C, dans le cas des unix-like, ou divers PIC dans le cas des micro-contrôleurs dont l'utilisateur final n'entend parler, de manière soit anecdotique soit cuistre, que si son interlocuteur veut expliquer ou imposer son point de vue : soi-disant « user friendly » en utilisant une argumentation d'autorité.
Au cœur de cette boîte à outils, l'un d'entre-eux permet, en autre chose, de « flasher » la mémoire, présentée comme inaccessible par la seule magie d'acronymes poétiques mais, au fond, assez imprécis quand à leur typicité fonctionnelle tels que : rom, prom, eprom, etc. pour ré-écrire son contenu en remplaçant le micro-code qu'elle contient, y compris sur des barrettes soudées à la carte-mère (ou ce qui en tient lieu : mini-atx,etc) et qui jouent le rôle de disque durs « motionless » et ainsi procéder à la mise à jour de tout ou partie du système d'exploitation.
C'est le cas par exemple d'un routeur ordinaire qui se trouve au cœur d'une box internet, présentée à l'usager comme une boîte noire. La box comporte bien un OS qui est - sauf secret commercial entretenu pour raison exclusivement marketing par tel ou tel FAI - celui du routeur sous-jacent. La succès de Cisco outre son logo sympa, tient pour l'essentiel à la performance de son OS, le célèbre CiscoIOS capable d'aiguiller correctement tous les paquets de données qui lui sont confiés. British Telecom fournissait à sa clientèle professionnelle, il y a peu (2 ans), un Cisco de classe 800.xx plus ou moins habilement ré-étiquetté pour gérer un flux sDSL. La mise à niveau logicielle d'un réseau étendu (wan) s'effectue désormais en dehors de toute participation du client. Ils seraient les premiers à râler si leur opérateur ou, pire, ses sous-traitants les appelaient en pleine journée - à l'heure de San Diego ! - pour leur demander de réinitialiser le boîtier gris,… non pas celui-là… l'autre gris, en ayant soin, SVP ! de bien voir appuyer trois fois ici, puis deux fois là !
Cette boîte à outils consubstantielle à l'OS contient de grandes merveilles comme la possibilité d'ouvrir une « porte dérobée » (telnet,ssh,…) à l'insu de l'utilisateur. Nul complot ici mais l'expression du besoin commun à tout artiste de disposer d'une entrée de service adéquate qui permette « au majordome de changer l'eau des fleurs sans déranger l'Ambassadeur'. Que diriez-vous d'un théâtre dans lequel les comédiens bousculeraient les spectateurs confortablement installés au motif qu'ils doivent apporter avec eux les feuilles de décor du prochain acte ? Shakespeare demanda à l'architecte du Globe d'affecter aux coulisses une superficie égale à l'espace consacré aux spectateurs ; c'est le même principe qui conduit les concepteurs d'OS à développer les notions de thread, de bac à sable et de tous les concepts permettant d'effectuer tous les travaux nécessaires à l'évolution du système sans interrompre le service principal rendu par l'OS consistant à animer son substrat , ni à (trop) altérer ses performances. Tant que cet objectif est respecté les hot liners peuvent dormir tranquilles, sinon gare !
Sur le modèle de la mac adress des équipements ethernet (filaires ou non), les sous-ensembles mécatroniques comportent des méthodes d'identification qui permettent une traçabilité oh combien nécessaire dans le cas de la mise en communication d'un abonné téléphonique avec un autre. Tout flottement en ce domaine s'avérerait, à l'évidence, rédhibitoire pour le service.
La convergence entre les contraintes de la productions et les solutions qui leur ont été apportées pour conserver aux équipes leur productivité et à leurs produits la capacité de répondre aux besoins de la clientèle ouvre, sans contredit, la porte à un certain nombre d'usages non souhaités par l'utilisateur final. L'intrusion en fait partie. Cela n'est pas nouveau. À la fin des années soixante dix, l'exploitant de mini-ordinateurs IBM de la classe 38 disposait - en option - d'un mécanisme d'auto-contrôle, il s'agissait d'une récursion très élaborée, qui sans “piper mot” auto-diagnostiquait la panne à venir [à venir] et passait commande de la pièce à l'usine IBM concernée puis la faisait livrer à l'adresse du responsable système sans que ce dernier ne se doute un instant du danger avec lequel il flirtait, empreint de cette impavidité propre à l'inconscient que Mister Bean nous a rendu aimable. Le système de prédiction de pannes (S.M.A.R.T.) qui équipe actuellement les disques durs de qualité supérieure en découle.
Si la possibilité technique de dérive existe cela entraîne-t-il que nous devions renoncer à la contrôler ? Voici plutôt le terrain sur lequel je trouverais souhaitable de placer le débat qui s'épargnerait la pensée magique professant qu'une telle potentialité - parce qu'elle dérange, est impossible ou, à contrario, qu'elle devrait, parce qu'elle est avérée, sous le coup d'un incroyable aveu d'impuissance, borner inéluctablement l'usage de ces technologies.
Reprenons le débat, si vous le voulez, sur la “nature” et la “profondeur'” de l'enregistrement des identifiants des sous-systèmes qui équipent les téléphones portables, ainsi orienté, le débat restaurerait l'autorité de la science politique qui ne doit jamais renoncer à éclairer la technologie, destinée, au fond, à en servir les buts et, pourquoi pas, à améliorer la clairvoyance de ses serviteurs.
De sam09
19H43 | 25/12/2008 |
Question :
Si les producteurs de téléphones portables ne peuvent pas s'entendre pour cause de concurrence, qu'est-ce qui empêche les services de l'Etat de s'entendre indépendamment avec chaque producteur ? Et même imposer l'intégration d'un système d'écoute ?
Tout de même, lors de l'apparition de ces téléphones, la première chose à laquelle ils ont dû penser, c'est la possibilité des écoutes. Ils sont payés pour ça, non ?
à sam09
De Chris75
(ingé) | 20H41 | 25/12/2008 |
Ce qui est nouveau depuis 2005 ce sont les « écoutes de SMS ». En effet, suite aux émeutes où les RDV étaient donnés via ces courts messages, il a été demandé de mettre les SMS sur écoute.
Bien évidemment, il était déjà possible de lire les SMS mais … à postériori, souvent trop tard. Dorénavant si quelqu'un est mis sur écoute, lors de l'envoi d'un SMS, celui-ci est transmis à son destinataire mais également dupliqué vers un officier de police judiciaire.
Après, à charge à eux de le déchiffrer …
De toute façon, tout s'écoute (phone, sms, email, etc) tout est question de filtrage et de puissance de calcul.