l y a maintenant une paire de semaines que Einar Oftedal, le fondateur du chapitre norvégien du Honeynet Project, nous faisait part d'un article pour le moins violent à leur égard publié dans la presse écrite. Maintenant qu'ils se sont fendus d'une réponse, je vais pouvoir à mon tour vous dire ce que pense de ce... travail de fond...
Il faut dire que le journaliste ne prend pas de gants. Si on peut le taxer de parti pris, il a au moins le mérite de la franchise. En effet, ça attaque sec :
An employee in the Norwegian National Security Authority runs private surveillance of suspicious computer users by using several thousands of fake computers. - Unethical and unacceptable, says computer experts.
Si vous lisez ces lignes régulièrement, vous avez dû vous apercevoir que le sujet des honeypots ne fait pas l'unanimité quand à son utilité dans la vraie vie. C'est un fait. Mais ça ne m'empêche pas penser qu'il reste quand même une tonne de trucs sympas à faire avec. Et surtout que d'ici à les qualifier de non éthiques et d'inacceptables, il y a un long chemin. Ce qui m'a d'abord amusé en lisant cet article, c'est le parti pris de l'auteur, avec une orientation "les autorités vous espionnent, braves citoyens" sur l'ensemble du texte. Ce dernier passe en effet son temps à faire un parallèle entre le fait que Einar Oftedal est employé par une agence gouvernementale, le NSM et son engagement à titre privé dans le NHP. Mais ce qui j'ai vraiment trouvé agaçant, ce sont les experts sortis du chapeau pour appuyer la conclusion de l'article. Les famexu "computer experts"...
D'un côté, nous avons M. Jon Bing, professeur de droit respecté spécialisé en informatique. Sauf que là, et avec tout le respect qui lui est dû, il aurait peut-être mieux fait de s'abstenir parce que les citations qu'on lui prêtent montrent sa totale ignorance du sujet, qui est d'ailleurs relativement surprenante considérant son domaine d'activité. En particulier quand il tombe dans les analogies à la con, genre :
This is the same as if the cops would do private stakeouts in their spare time. No police department would have accepted that
Ou alors, justre après :
This is far more serious than to set up a surveillance camera. It is more like building a new street and setting up surveillance cameras in the whole area, without the visitors knowing that the information is stored and analyzed
Parce que ce pourquoi est fait un honeypot, ce n'est pas de la surveillance comme on l'entend quand on parle de vidéo-surveillance. Cette dernière, en effet, est destinée à l'observation de zones publiques dans lesquelles tout un chacun peut voir des actes tout ce qu'il y a de plus légitimes capturés, sauvegardés et analysés. Un honeypot relève d'un concept fondamentalement différent que les analogies avec le monde physique peinent à expliquer. Comment en effet décrire l'équivalent d'une ressource en ligne, accessible, mais en même temps totalement inutile, sans aucune autre raison valable d'exister que celle d'observer des pirates et donc quasiment invisible à l'internaute lambda ? Lance Spitzner s'y essaie avec l'exemple d'une voiture fermée sur un parking. Pourquoi pas, même si la manière dont il amène l'exemple me gêne un peu.
N'empêche que toute la différence essentielle entre la vidéo-surveillance et celle appliquée à un honeypot tient à la légimité de son utilisation. Car personne n'a de raison légitime de se retrouver sous les feux de la seconde. Alors que pour la première, il en va justement du complet contraire, à savoir observer les gens dans les endroits où ils ont les meilleures raisons du monde de se trouver. Et ça, M. Bing a l'air d'être passé complètement à côté puisqu'il affirme de but en blanc :
There is no doubt that the majority of data users who are monitored in honeypots, have not necessarily done anything criminal.
Ben si justement, il y a un gros doute. Voir une quasi-certitude. S'il n'est bien sûr pas impossible qu'un utilisateur légitime aille frapper à la porte d'un honeypot, il est clair que la surveillance qui s'y applique ne lui tombera dessus qu'à partir du moment où il le compromettra. Ce qui lui fait perdre de facto son statut d'utilisateur légitime. Forcément. Pas besoin de s'appeler Einstein pour comprendre ça. En outre, le honeypot est une ressource privée, au même titre qu'un serveur web par exemple. Tout le monde génère des logs sur ses serveurs et ça ne gêne personne. Pourtant, ce sont des traces d'activités tout à fait légitimes. Ce qui me semble nettement plus se rapprocher de la vidéo-surveillance. Donc d'un côté, on peut observer l'internaute lambda, mais pas quelqu'un qui se farcit vos honeypots. Hummm...
Je pense que M. Bing fait surtout une erreur monumentale dans sa compréhension du concept de honeypot. Il a en effet l'air de penser que ces honeypots sont des outils déployés sur des serveurs de production et utilisés pour confondre des intrus. Il nous parle en effet d'autorisation, de mandat, de régulation et de contrôle du public, choses qui seraient forcément nécessaires dans un tel cas de figure. Le problème, c'est que les honeypots ne sont pas déployés comme ça et qu'ils ne servent pas à celà[1]. Dommage M. Bing. Renseignez-vous la prochaine fois, merci.
Le second expert à donner son avis éclairé, c'est M. Georg Apenes, défenseur réputé des questions de vie privée en Norvège. Là encore, tout respectable qu'il soit, il aurait mieux fait de réfléchir, voire se renseigner, avant de s'engager sur la pente glissante du commentaire malheureux. Son problème à lui, c'est qu'il semble incapable de détacher l'emploi d'Einar Oftedal et ses activités personnelles, puisque ces critiques ne portent que là-dessus. Comme si finalement tout ceci deviendrait acceptable s'il ne travaillait pas pour les autorités de son pays, comme c'est le cas de la plupart des autres membres du NHP. C'est en particulier visible quand il dit :
As an example the police should disclose and prevent offenses - not invite to them.
Ce qui ne l'empêche pas de ne pas comprendre non plus comment fonctionne un honeypot, tout persuadé qu'il est que leur priopriétaires font tout ce qu'ils peuvent pour attirer le méchant dans leurs filets :
Neither ethical or by law is it acceptable that someone mislead someone else into committing violations
Si cette citation dégouline de bon sens, elle ne s'applique malheureusement pas à un honeypot. On n'attire pas les gens vers le honeypot. Ils y viennent tout seuls, comme des grands. Certes, on fait en sorte qu'ils aient plus envie d'entrer là qu'ailleurs en rendant le piège attrayant au sens où essayera de faire en sorte qu'ils ne passent pas leur chemin. Mais là encore, les analogies sont très peu capables d'expliquer qu'on puisse rendre quelque chose d'attractif pour le pirate de passage, tout en la gardant invisible au regard des autres. Parce qu'encore une fois, ces machines ne servant aucune fonction légitime et n'étant pas annoncées comme telles, l'internaute lambda ne les voit même pas.
Comme je le disais au début, cet article est de toute manière clairement orienté : il s'agit de dénoncer une surveillance illégitime de l'internaute. L'auteur s'emploie d'ailleurs très méthodiquement à pousser cette idée au fur et à mesure de son sujet. Il est dommage qu'il le traite aussi maladroitement. D'une part parce qu'il discrédite le travail de gens qui ne le méritent pas. Et on sait bien combien la presse écrite fait mal, et combien il est difficile d'y répondre efficacement. D'autre part parce qu'il y a pleins de choses intéressantes à raconter sur la gestion des données reccueillies par un honeypot, qu'il s'agisse de leur stockage, de leur utilisation ou encore de leur partage.
Car à se perdre dans des confusions de débutant, il passe en fait complètement à côté de son sujet.
Notes
[1] Ce qui ne veut pas dire que les autorités ne peuvent pas obtenir les traces qu'ils génèrent.
Jeu de briques
Snake
Pacman
Bubble