Accueil Fondapol » Politique 2.0 » L’Iran ou la guerre des proxies : vers une culture publique de la sécurité informatique ?

L’Iran ou la guerre des proxies : vers une culture publique de la sécurité informatique ?

par , le

Prenant à rebours les polémiques stériles qui ont agité les médias français et étrangers sur la « révolution Twitter » en Iran au mois de juin 2009 – car, de fait, les manifestations ont bien eu lieu dans les rues de Téhéran –, nous avons décidé de nous pencher, presque d’un point de vue ethnographique, sur ce qui s’est passé sur Internet à l’occasion de ces événements. Et à y regarder de près, cette activité particulièrement intense, inédite sans doute par son ampleur technologique, révèle que des phénomènes particulièrement intéressants, qui concernent au premier chef la question des libertés numériques, se sont produits. Et c’est sur ce terrain des libertés numériques que l’impuissance des témoins que nous sommes tous sur Internet a pu être transformée en actions de solidarité à l’échelle globale et en temps réel. Ces réflexions, qui se veulent tout à la fois analytiques, prospectives, critiques et pédagogiques (en nous excusant par avance pour les passages parfois techniques, mais qui paraissent indispensables à la compréhension des mécanismes), sont aujourd’hui encore prises dans une actualité qui reste brûlante.Dès les premières heures qui ont suivi l’annonce officielle de la victoire de Mahmoud Ahmadinejad à l’élection présidentielle, les services d’interception iraniens ont commencé leur travail de censure d’Internet, comme l’indiquent les quatre schémas reproduits ici, en se concentrant d’abord sur les ports mail, vidéo et Web.

Schémas extraits de A Deeper Look at The Iranian Firewall par Craig Labovitz

Pour bien comprendre la nature de ce mouvement, il convient d’expliquer en quelques mots ce que sont un firewall et un proxy. Le firewall (pare-feu en français) est un dispositif de sécurité placé à la jonction de deux réseaux distincts : l’ordinateur personnel ou le réseau informatique interne à un établissement, et le réseau extérieur, Internet en l’occurrence. Organe de sécurité destiné à protéger le réseau interne, et parfois un pays comme c’est le cas en Iran, sa tâche principale est d’interdire les activités malveillantes en provenance de l’extérieur. Dans le cas de l’Iran, les firewalls sont aussi destinés à bloquer à certains moments l’accès à des services étrangers. L’autre fonction du firewall est d’assurer la surveillance des « ports » qui sont utilisés. Sur un micro-ordinateur, chaque application logicielle se voit attribuer un port (c’est en quelque sorte l’« adresse » d’une application). Lors d’une connexion « classique » à Internet, la majorité des ports sont fermés sur le firewall, seuls ceux qui correspondent aux applications directement concernées sont ouverts.

Schéma extrait du blog Haute-Disponibilité

Le proxy est un serveur mandataire qui a pour fonction de relayer des requêtes entre un poste client et un serveur. Les serveurs mandataires sont utilisés pour assurer diverses fonctions, et en l’occurrence préserver l’anonymat des personnes qui se connectent à Internet.
En clair, et au-delà de ces considérations techniques, dés lors que les autorités iraniennes bloquaient l’accès à des services et des ports, il s’agissait donc de contourner les firewalls mis en place par le gouvernement ou à tout le moins de les duper en leur faisant croire qu’on appelle un serveur quelconque. Ce serveur mandataire se chargeait alors d’appeler lui-même le service demandé (sites de réseaux sociaux, de partage de vidéos, serveur de mails ou tracker peer-to-peer, etc.) et de rapatrier les informations sur le client, toujours en dupant la surveillance des services d’interception et de leurs firewalls.
Très vite, c’est-à-dire dès les premières heures des événements en Iran, des adresses de proxys publics ont commencé à circuler sur Twitter pour que les internautes iraniens puissent contourner la censure. Mieux, des tutoriaux (ou didacticiels) ont été largement diffusés pour expliquer à ceux qui soutiennent le mouvement à l’étranger comment transformer leur propre ordinateur personnel en proxy. Il convient de souligner ici le caractère inédit de ce mouvement de solidarité et de soutien passant par l’appropriation d’une culture et d’une pratique technologique très avancée de sécurité. Jamais peut-être, ni à l’occasion des Jeux olympiques de Pékin ni lors des événements de Birmanie, un tel mouvement de solidarité technique ne s’était déployé, malgré les appels lancés alors par les organisations de défense des droits de l’homme ou de la liberté de la presse.
On peut voir sur cette capture d’écran utilisant Google Earth l’intense activité des proxys durant ces événements.

Image extraite de The Proxy Fight for Iranian Democracy par James Cowie

Ce mouvement, qui est louable en lui-même (visant à apporter un soutien matériel à la liberté d’expression), relève pourtant, dans ses premiers moments, d’une inconséquence grave dont les effets auraient pu être dramatiques : rendre public des adresses de proxys, c’est indiquer aussi aux services de renseignement par quels chemins passent les opposants au régime et du même coup les contenus ainsi que leur localisation exacte. C’est la raison pour laquelle, très vite, des messages ont circulé, émanant pour l’essentiel d’experts en sécurité ou de hackers, pour que cesse cette diffusion publique d’adresses de proxys sur Twitter ou sur les sites Web.

Capture d’écran d’un des nombreux messages postés sur Twitter

Ainsi, certains techniciens ont préféré appeler les spécialistes à envoyer leurs adresses de proxys par mail à des personnes ressources, à charge pour celles-ci de les relayer par la même voie aux opposants en Iran. Ces mêmes experts ont vite été appelés à renforcer la sécurité de leur réseau en créant des réseaux virtuels privés (VPN), sorte de tunnels cryptés entre l’ordinateur client et le proxy, à repérer et à contourner les ports bloqués par les autorités iraniennes, comme l’indique la capture d’écran suivante :

Capture d’écran d’un des nombreux messages postés sur Twitter Restait néanmoins une question fondamentale : quelle confiance puis-je accorder à telle ou telle personne que je ne connais qu'en tant que simple follower sur Twitter ? Qu’est-ce qui me garantit qu’il ne s’agit pas d’un agent des services de renseignement iraniens ou d’un autre pays qui chercherait, par exemple, à déstabiliser l’Iran ? Quand bien même aurais-je confiance en cette personne, quelle confiance pourrais-je avoir dans des communications par e-mail ?
C’est à ce moment que sont apparus des spécialistes de ce type d’activité : organisation de défense des libertés numériques, hackers, universitaires spécialistes en sécurité, etc., incitant avant toute chose, par la mise en circulation de divers manuels de cyber-activisme, à ne rien faire si l’on n’est pas absolument certain de la sécurité du dispositif que l’on a créé, ceci afin ne pas mettre les opposants iraniens en danger. Seconde recommandation : ne pas attaquer les sites officiels en se connectant en masse sur leur site (attaques DOS), comme l’ont suggéré certains activistes sur Twitter ou sur d’autres sites par des attaques dites DDOS, comme l’illustre la capture d’écran suivante :

Capture d’écran d’un des nombreux messages postés sur Twitter

Ce type d’attaque de flood (considérée comme illégale) aurait pour effet – à condition qu’elle réussisse – de ralentir, voire de bloquer l’ensemble du trafic sur un serveur dans un pays dont les ressources en bande passante restent relativement restreintes. (Pour plus de détails sur les questions de flood et découvrir quelques exemples de son usage, voir le travail de trois étudiants de l’université Lille-III)
La troisième recommandation proposait d’avoir recours à des dispositifs de sécurisation anonymes et décentralisés, fondés sur le principe du peer-to-peer. Pour ces acteurs, il existe un principe élémentaire qui affirme que la sécurité est une fiction : l’objectif essentiel est de faire perdre du temps et de l’énergie à l’adversaire en l’obligeant à chercher l’information pertinente dans une masse de données non pertinentes.
Quelques noms de dispositifs, tous créés ou soutenus par des organisations de défense des libertés numériques, ont circulé. On a par exemple entendu parler de Psiphon (http://psiphon.ca/) ou de Freegate. Mais, indéniablement, le réseau décentralisé anonyme TOR, créé par un groupe d’experts en sécurité et soutenu par l’Electronic Frontier Foundation (EFF) est celui qui a rencontré le plus de succès. Utilisé, de manière assez ironique, à la fois par des organisations activistes comme Indymedia et par des services du gouvernement américain comme l’US Navy au Moyen-Orient, « TOR est un réseau de tunnels virtuels qui permet de (…) fournir les bases grâce auxquelles de multiples applications vont permettre à des organisations et à des individus d’échanger des informations sur les réseaux publics sans compromettre leur intimité ».
Les quatre graphiques, disponibles sur le blog officiel du TORproject montrent deux choses assez importantes : une augmentation très nette de l’installation de nouveaux clients et du trafic de ce réseau depuis le début des événements en Iran, mais aussi le fait que l’usage de ce type de dispositif n’est pas en soi une nouveauté, ni un effet de la mobilisation internationale –, chaque jour des centaines d’Iraniens installaient et avaient recours à ce type de dispositif et ce, bien avant les événements du 13 juin 2009.

Schémas extraits du blog TOR Project

Si les hackers ont parfois mauvaise presse, peut-être serait-il utile de préciser leur « utilité sociale ». La culture hacker, qui a émergé avec dès l’apparition de ces réseaux électroniques, est fondée sur deux idées essentielles qui structurent fortement cette communauté :

  1. La première idée s’énonce dans ce slogan mille fois répété : « L’information veut être libre ». Cette intentionnalité même de l’information qui peut surprendre au premier abord, est un principe normatif qui s’illustre dans le cas de l’Iran avec une actualité brûlante : les hackers sont ceux qui perçoivent avec le plus d’acuité, et ce depuis les origines mêmes de ces réseaux. Ils sont ceux qui ont portés –et qui continuent aujourd’hui à le faire – cet impératif de liberté d’expression.
  2. La seconde idée renvoie à la pratique la plus commune des hackers, le defacing (ou défacement), qui désigne la modification non sollicitée de la page d’accueil d’un site Web, suite au piratage de ce site. Au-delà de l’aspect ludique ou de la démonstration de virtuosité de ce type de pratique, elle vise avant tout à attirer l’attention du public et des administrateurs des sites ainsi « défacés » sur les failles de sécurité de leur dispositif, les incitant ainsi à les corriger le plus rapidement possible pour ne pas faire prendre de risques à leurs clients (listes de numéros de cartes de paiement, données classifiées, etc.)

Vu sous cet angle, et au-delà du folklore ou des actes de cybercriminalité, l’utilité sociale des hackers est de ce point de vue indéniable : ce sont eux qui ont porté cette double injonction de sécurité et de liberté d’expression qui est aujourd’hui à la base de toutes les réflexions sur la question des libertés numériques. En ce sens, ils sont porteurs d’une « culture publique » de la sécurité qui contribue à politiser la question de la sécurité.
Parmi les groupes connus qui se sont investis dans ces actions, on peut citer Anonymous, qui s’est illustré notamment par ses attaques contre l’Église de scientologie et plus récemment contre Youtube avec le « Porn Day ». On peut mentionner aussi l’intervention d’un des piliers du mouvement hacker, Eric Steven Raymond, fondateur du mouvement Open Source, qui a créé le site NedaNet et qui fournit des ressources permettant de contourner la censure iranienne. Cette « apparition » – pour qui connaît les travaux d’Eric S. Raymond – peut sembler étonnante : c’est en effet à ce gourou de l’Internet que l’on doit le clivage extrêmement radical entre « bons hackers » (ceux qui développent des logiciels libres ou open source) et les « mauvais hackers » (qui contournent les systèmes de sécurité). Ce revirement pointe justement la limite de la théorie de Raymond (énoncée notamment dans le célèbre texte « Comment devenir un hacker » et qui ne participe en aucun cas du rôle de vigie de la liberté d’expression que jouent souvent les hackers.
Dans une conférence de hackers où nous présentions cette hypothèse, un des participants, corroborant cette proposition du franchissement d’une nouvelle étape dans l’émergence d’une culture publique de la sécurité, renchérissait avec cette observation tout à fait pertinente : alors qu’ils se situaient plutôt dans une posture d’expertise, voire de mépris, les spécialistes n’ont eu de cesse, durant ce événements, de mettre des ressources abordables et très didactiques à la disposition des non-experts (captures d’écran pour configurer des applications, des tutoriaux, manuels, etc.).
Il n’est donc pas étonnant de les retrouver dans les événements iraniens, alors que les activistes plus traditionnels de gauche (Indymedia, par exemple) restent étrangement silencieux ; gênés sans doute par la cause elle-même et par la difficulté pour tout un chacun de choisir politiquement un camp contre l’autre.
Depuis le début des années 2000, des activistes, des artistes, des organisations de défense des droits de l’homme ont développé des solutions technologiques pour apporter leur soutien aux opposants à des régimes oppressifs qui censurent l’information (Chine, Iran, Syrie, Tunisie, Turquie, etc.). On peut citer ici le groupe hacker Cult of the Dead Cow, véritable précurseur et inventeur du terme « hacktivism », et qui a rédigé dés 1999 le Hacktivismo Manifesto, qui établit que :

« Le respect entier des Droits de l’Homme et des libertés fondamentales inclut la liberté d’accéder de manière juste et raisonnable aux informations, que ce soit par ondes courtes, courrier postal, téléphone, Internet ou quelque autre médias.

Nous reconnaissons le droit aux gouvernements d’interdire la publication de certaines catégories bien précises de secrets d’État, de la pédopornographie et autres enjeux relatifs à la vie privée et aux données personnelles, entre autres restrictions communément admises , mais nous nous opposons à l’utilisation des pouvoirs étatiques pour contrôler l’accès aux travaux critiques, intellectuels, artistiques ou religieux.

La censure gouvernementale de l’Internet va à l’encontre de la coexistence pacifique et civilisée, affecte l’exercice de la démocratie et menace le développement socioéconomique des nations.

La censure étatique de l’Internet est un acte grave de violence systématique et organisée à l’encontre des citoyens, elle génère intentionnellement désordre et xénophobie, et constitue une forme répréhensible de violation de la confiance accordée par les citoyens aux gouvernements.

Nous étudierons toutes choses et moyens susceptibles de contourner ce genre de censure gouvernementale de l’Internet, et fournirons des technologies permettant de passer outre ces violations des droits à l’information. »

Si cette déclaration était restée relativement confinée au monde de l’hacktivisme et n’avait donné lieu qu’à quelques initiatives extrêmement ponctuelles, émanant d’artistes ou de militants, et dont la cible a été, la plupart du temps, la Chine ou des grandes entreprises comme Google – qui a cédé aux injonctions du régime en matière de censure – ; si, de la même manière, les appels des organisations sont jusqu’à présent restés relativement circonscrits à des milieux très spécialisés ou très militants, on peut dire sans trop risquer de se tromper ou d’apparaître particulièrement « techno-euphorique » que la contestation populaire du résultat de ces élections iraniennes constitue un moment décisif dans cette appropriation par un public large des questions de sécurité, de surveillance et de censure des réseaux électroniques.
Il est par exemple significatif qu’en France, malgré le mouvement de très grande ampleur qui s’est déroulé pour s’opposer à la loi Création et Internet, à l’hiver 2008-2009, portant sur la création d’une Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI), malgré les nombreux messages d’intention postés sur les listes de diffusion, forums ou même sur Twitter, affirmant que les internautes allaient trouver des solutions techniques d’anonymisation, aucun mouvement de transfert de compétences et de solidarité technique de ce type ne s’est encore organisé.
Au moment où les pouvoirs publics, certains partis politiques ou organisations commencent à prendre en considération ces questions de libertés numériques, de censure de l’Internet ou de surveillance, ce mouvement, qui dépasse l’événement lui-même, doit être analysé de très près : la conjonction de cet événement avec des réseaux de diffusion de mieux en mieux organisés (Twitter en est aujourd’hui l’exemple le plus emblématique), la rencontre entre des militants des libertés numériques (organisations, hackers, experts en sécurité, etc.) et un public assez large, peu familiarisé avec ces problématique et ces pratiques, a sans doute considérablement modifié la donne. Il n’est pas question de dire que tous les internautes seront désormais préoccupés de leur sécurité et de leur vie privée sur Internet, mais cette thématique, qui s’est illustrée avec une actualité brûlante à l’occasion des événements en Iran, est devenue une question qui se posera maintenant de plus en plus dans l’espace public, profitant des effets de pervasivité du Net. Mieux, à l’occasion de ces événements, des milliers d’internautes se sont formés à des pratiques extrêmement avancées de sécurité et de protection des libertés numériques pour soi et pour les autres.
Il ne faudrait cependant pas réifier des outils techniques détournés en armes de « guerre civile » et par exemple élaborer une « nouvelle religion » autour de Twitter, cible facile du penchant médiacritique et néoluddite français. C’est pourquoi il importe de rappeler que d’autres mouvements collectifs de protestation ont été instrumentés par la téléphonie mobile, le SMS, les sites de réseaux sociaux, de partage de vidéos et de photos : aux Philippines (2003-2005), en Ukraine (2005), en Égypte (mouvement du 6 avril), lors de la Convention républicaine de New York (2004), en France (2005), en Espagne (2004), en Grèce (2008), en Birmanie ou dernièrement en Moldavie (2009). On peut signaler encore le rôle d’Internet dans le conflit entre Gaza et Israël (2008), avec notamment la création de political games typique de la digital Intifada, cette guerre symbolique des représentations qui double les conflits militaires et politiques. Les événements en Iran en juin 2009 ont précipité tous les éléments observés dans ces mobilisations avec un arsenal efficacement interconnectable du mobile au Web, du SMS à la vidéo, de Twitter à Wikipedia. Ils expriment cependant, et ceci d’une manière tout à fait inédite, une montée en curiosité technique de la citoyenneté digitale globale, notamment autour de cette « guerre des proxies», capable de s’opposer, de manière agile, aux pouvoirs des censeurs de tous bords. On peut ainsi avancer l’hypothèse, à l’heure actuelle, d’une mise en forme d’une « culture publique de la sécurité informatique », c’est-à-dire l’appropriation citoyenne de questions réservées aux cyber-experts, appropriation médiée et nourrie au plan des ressources techniques par des acteurs plus politiques sur ces questions, lesdits « hackers ». Tout comme, depuis ces dix dernières années, le droit d’auteur sur Internet est devenu un « problème public » (John Dewey) débattu hors de la seule arène judiciaire et des cabinets d’avocats spécialisés en propriété intellectuelle, donnant lieu à deux lois discutées (DADVSI, Internet et Création) et à des actions et manifestations diverses (dont un cortège « Hadopi » lors de la manifestation du 1er mai 2009, aux côtés des organisations syndicales historiques), la sécurité informatique comme fondement technique des libertés d’expression et de communication semble pouvoir devenir une cause que tout à chacun peut s’approprier. A la faveur des événements tragiques en Iran, les diverses manifestations de solidarité technique ont contribué à mettre en forme cette « culture publique de la sécurité informatique ». D’autres types d’action ont prolongé cette « mise en culture » de la sécurité informatique, comme un prix décerné à un accès anonyme, crypté et non blocable à Internet par mobile. Suite aux événements iraniens, durant lesquels les services de sécurité ont surveillé les communications téléphoniques des activistes pro-Moussaoui, Nova Spivack, personnage influent du Web 2.0, a décidé de lancer un concours pour que des développeurs trouvent des applications qui permettent de rendre les mobiles plus sûrs dans les pays soumis à la censure et à la surveillance. Ce contest (concours) constitue aussi une réaction aux pratiques des grandes entreprises du Web 2 et des équipementiers, soupçonnés d’une très grande complaisance à l’égard de ces pays. Ainsi, Nokia et Siemens ont été accusés d’avoir vendu aux autorités iraniennes des systèmes de tracking sur leur mobile (voir le projet).
Qui se plaindra de la montée d’une telle « culture publique de la sécurité informatique » ? Certainement pas ceux qui tiennent aux libertés numériques (voir la présentation par le président du Nouveau Centre, Hervé Morin, de la Déclaration des droits fondamentaux numériques, le 29 juin 2009, à la Fondation pour l’innovation politique) sur lesquelles chacun d’entre nous peut veiller désormais plus activement.

En complément de cet article, on trouvera de nombreuses informations et illustrations particulièrement intéressantes sur le site Spectre Footnotes.


Les auteurs

Olivier BLONDEAU, consultant en communication politique, et Laurence ALLARD, maître de conférences en sciences de l’information et de la communication à l’université Lille-III, coauteurs de Devenir média. L’activisme sur Internet entre défection et expérimentation (Éd. Amsterdam, 2007) et chargés de la rubrique de veille « Politique 2.0 » de la Fondation pour l’innovation politique

3 réponses à L’Iran ou la guerre des proxies : vers une culture publique de la sécurité informatique ?

  1. Ping : Tunisie, Egypte, Libye 2011 : Révolutions.Un.Point.C’est Tout! (part 4) : Comment entendre le cri du peuple libyen sur le net ? « MOBACTU / by @loallard

  2. Ping : MOBACTU / by @loallard

  3. Ping : Tunisie, Egypte : Révolutions.Un.C’est tout! (part 2) « MOBACTU / by @loallard

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>