Du FUD Quantique à la ZAD

FUD pour "Fear, uncertainty and doubt", technique rhétorique pour générer de l'angoisse non nécessaire, inspirer de la peur et de l'impuissance...

C'est ce qu'on a pu vivre hier sur la ZAD, à l'occasion d'une discussion intitulée "OpSec, autodéfense numérique, discussion et échange de pratiques" lors de la semaine ZADenVIE.

J'ai réagi à chaud hier soir, il fallait que ça sorte sur le moment, mais au réveil ce matin j'avais toujours ça en tête. En fait j'ai été vraiment frustré du déroulement de la discussion.

Contexte

Le camarade qui avait initié ce temps collectif en fait la présentation, et dit bien que ça n'est pas une présentation/conférence, mais bien un moment d' échange, et qu'il faut éviter que les sachant·es prennent trop de place. Et c'est la qu'intervient M. Robot (on va l'appeler comme ça, c'est plus simple), en disant d'un ton bien assuré :

Je vais essayer de pas trop parler, mais oui j'ai quelques compétences

Ça commençait bien... suivi directement de :

Vous savez que Tor c'est nul, c'est l'armée américaine ? Et puis comme l'a dit stman, tant qu'on a pas de FPGA libre on est foutu. Je vais vous expliquer ce qu'est un processeur. En fait, c'est un ensemble de transistors miniatures, ...

S'en est suivi quelques minutes d'une complexité incroyable et d'un étalage de connaissances parfois floues, sous les yeux hébétés de l'assistance. Un personne est cependant rapidement intervenue, pour préciser à M. Robot qu'il ne fallait pas forcement être si technique, que le but n'était pas de faire peur à tout le monde, ni forcement de faire un cours magistral, mais d'échanger sur des pratiques simples et concrètes d'auto-défense numérique.

Il y a eu des bons échanges néanmoins, sur Tor et Tails, sur Signal, sur l'utilisation (ou non!) des smartphones, sur les VPN, etc.

Mais régulièrement, M. Robot reprenait la parole, pour semer un peu de désespoir et d'incompréhension. Morceaux choisis :

Les serveurs de Tails sont peut-être troués et compromis, donc ce que tu télécharges est vérolé

Et que pensez-vous de la cryptographie quantique ?

De toute façon, on a sûrement tous des key-logger invisibles, on est foutu.

Même en retirant la batterie d'un téléphone, il reste une 2ème batterie invisible qui peut allumer le micro et tout envoyer plus tard sur les serveurs des fives eyes (Quoi, vous savez pas ce que c'est les five eyes ?)

Rien de tel donc, pour installer un climat bien défaitiste, et faire en sorte que les personnes qui venaient apprendre se sentent dépassées et impuissantes. Tout ça avec une posture de sachant bien dominante, qui n'a vraiment pas aidée à mettre à l'aise le reste de l'assemblée pour poser ses questions et discuter.

Je ne dis pas que tout est faux dans ce que racontait M. Robot, et qu'il ne faut pas s'interesser aux attaques et aux menaces de pointes, mais c'était vraiment mal amené, et pas le bon endroit pour le faire.

Ma réaction

Il faut que je retourne voir les copines des Café Vie Privée de Nantes, qui font un boulot super, qui ont déjà bien réfléchi à comment éviter ce genre de situation :monopolisation de la parole, sur-technicité et parano contagieuse (conspi?).

J'aimerai vraiment savoir mieux m'y prendre dans ces cas-là, pour que ces discussions soient plus bénéfiques pour les personnes venues en savoir plus, et qui espéraient sûrement repartir avec de bons conseils concrets plutôt qu' avec la peur de ne jamais s'en sortir.

Bref, j'étais très content de participer à cette rencontre, mais amer et frustré de son déroulement. J'espère sincèrement qu'on a toutes appris quelque chose et retiré des infos pratiques, malgré tout.

Suite, et réactions publiques

Suite à mon message sur mastodon pour annoncer cet article, des discussions interessantes :

  • À propos de la communication quantique chez S. Bortzmeyer.

  • Discussion avec meli & lunar sur l'importance d'avoir dans ce genre de discussion une personne qui se place en tant que modératrice, pour gérer les temps de parole et pourquoi pas accompagner le M. Robot à l'écart, ou proposer un temps à part pour ses sujets...
    L'idée est que si l'organisation est clairement identifée, ça évite d'avoir une autorité qui sort de nulle-part pour calmer ces penibles.

  • Piks3l :

    J'ai déjà souvent eu le cas en chiffrofête. Et avec le temps, ma patience est de plus en plus limitée. Ma technique, c'est de ramener à des menaces concrètes (conjoint, parents, prof, patron, police) et de laisser la NSA et le GCHQ de côté parce qu'en général ça ne concerne qu'une toute petite minorité. Le but de cette approche est d'ancrer les menaces dans des choses tangibles et non dans une paranoïa floue."

  • aeris :

    Certes, il est possible que l’intégralité de notre matériel soit backdooré. Et ? Plus la backdoor est bas niveau, moins il est facile de collecter de données utiles, parce qu’on perd 99.999% du contexte de ce qui est réellement en train de se passer à cet endroit.

    Sur une carte réseau, tu n’es même pas foutu de savoir si tu es dans un SYN/SYN-ACK/ACK ou dans le payload. Si tu vois passer du TLS ou du HTTP. Ou quel site tu es en train de visiter.

    Idem sur le CPU, wé ok, y’a peut-être une backdoor. Mais l’attaquant ne saurait même pas faire la différence entre un accès à la RAM et un à la carte réseau… Sauf à avoir des OS complet intégrés dans le matos, et ça se verrait…

    Et donc ces attaques sont plus que très fortement peu exploitables en pratique même si elle existaient réellement. […]

    Si ce genre de risque est réellement dans ton modèle de menace, c’est l’usage même de l’informatique qu’il te faut remettre en question, y compris avec tout ce que tu veux de FPGA libre & cie.

    Ton attaquant est tellement puissant et veut tellement tes données que rien ne l’arrêtera et on dépasse largement le cadre de l’infosec pour celui de l’opsec.

  • fanny :

    Que faire? Comme la gestion du troll sur internet, faire parler les autres gens présents, animer la discussion le plus possible. Car oui je considère directement ce type de personne comme des trolls.