Nous nous sommes rendu le 25 janvier à la conférence publique organisée par le NetObservatory à Fribourg (Ecole d’Ingénieurs et d’Architectes). NetObservatory est un projet de recherche de l'HES-SO de Fribourg (Haute Ecole Spécialisée de Suisse occidentale) / EIA-FR (Ecole d'ingénieurs et d'Architectes).

Notre principale motivation pour venir était la présentation de Me iAvocat, alias Sébastien Fanti. Et comme vous allez le voir par la suite, nous n'avons pas été déçus. Mais NetObservatory nous intéressait également.

Après une introduction rapide, 1ère présentation de Philippe Oechslin (de la société Objective Sécurité). Philippe nous a donné un aperçu du rapport NetObservatory de décembre: ce rapport donne des informations sur "la surface d'attaque de l'Internet en Suisse". En d'autres termes, à partir de données publiques (whois, dns) une liste de sites suisses a été constituée. Ces sites ont ensuite été scannés pour en extraire des statistiques nationales et régionales. Ce rapport répond, par exemple, à ce genre de question:

• Qui sont les plus gros hébergeurs de suisse ?
• Quel est la part de sites web sous Apache ?
• Quel est l'algorithme de hachage utilisé par les certificats SSL ?
• Quel est la part de serveurs web mis à jour / vulnérables ?
• Quels sont les CMS les plus utilisés et sont-ils à jour ou vulnérables ?

Et plein d'autres sujets. Je vous conseille la lecture du rapport (PDF) ou la présentation de Philippe sur le site de NetObservatory pour plus d'informations.

Voilà pour le fond. Côté forme, Philippe est un habitué et est bien rodé. Malgré tout, il semble un peu stressé mais cela s'estompe après quelques minutes. Le style est clair, concis, précis. Bref, impeccable. A noter une petite digression à la fin de la présentation sur une faille majeure de WordPress 3: c'est une faille cross-site scripting (XSS) dans WordPress lui-même: il suffit d'écrire HREF en majuscule et voilà, plus de filtre anti-XSS ! Elle a été corrigée le 29 décembre (version 3.0.4) et je dois dire qu'en cette période de fêtes, j'étais totalement passé à côté !

La seule chose qui m'a un peu surpris dans cette présentation, c'est l'évocation à plusieurs reprises de "produits", "rapport public" (ce qui sous-entend un autre type de rapport). NetObservatory est un projet de recherche, non ? Public ?

La présentation suivante est de Pascal Gloor (de la société Dreamlab). "Pascal Gloor". Ce n'est que maintenant en écrivant ces lignes que je réalise que c'est le vice-président du Parti Pirate Suisse. La présentation est intitulée "NetObservatory, effective prevention against cybercrime". Waouh ! Quel titre ! Pascal revient sur la notion "d'organisation neutre" et abondamment sur les "produits commerciaux" à venir de NetObservatory. Franchement, tout ceci est très confus. Visiblement, cette partie est encore au stade de la réflexion. C'est encore moins clair quand un futur volet "Security Emergency Taskforce" qui se veut une référence en Suisse est abordé. L'idée semble par certains côtés séduisante, mais le flou, l'absence de contexte me met mal à l'aise. J'ai l'impression d'avoir été trompé: je suis venu pour un projet de recherche d'une école d'ingénieur, et on veut me vendre des produits... sans bien savoir quoi au juste. Ce n'est pas qu'il y ait une volonté délibérée des organisateurs de tromper le public, mais un manque de clarté et d'informations. Prenez par exemple la page de garde du site www.netobservatory.ch, pas une mention d'un partenariat public-privé. Il y a bien une page "Partners" mais c'est en lisant, au fond de la page Events, la présentation du 15 juin 2010 que l'on comprend mieux ce qu'est NetObservatory: un partenariat Public (64%) - Privé (36%) avec une durée de vie prévue pour 28 mois. Et si j'en crois la conférence de presse du 1er décembre 2010, après cette échéance sera créé le "NetObservatory Institute", sous l'égide de Pascal Gloor. Affaire à suivre.

Après quelques minutes d'attente, Me Sébastien Fanti arrive. A peine une petite introduction et s'est parti. Pour rappel, Me Fanti s'est entre autre attaqué à la société Logistep. Sébastien est vraiment impressionnant. On dit souvent que les hommes, contrairement aux femmes, ne sont pas capables de faire deux choses en même temps. Et bien ce n'est pas son cas: il arrive, encore un peu essoufflé, commence sa présentation, branche son Mac en même temps et fait même une recherche sur Internet pour étayer son propos. C'est un vaisseau spatial valaisan monté sur la fusée Ariane. Du coup, il faut suivre. En fait, c'est impossible. Je n'ai pas un cerveau équipé pour. Le sujet est passionnant et nous avons appris en 1 heure 30 quantité de choses:

• Il y a une loi sur le piratage en Suisse, mais elle est appliquée de manière très restrictive par les juges (Sébastien s'est longtemps attardé sur un cas en Valais). Je cite la loi, article 143 bis du Code pénal: "Celui qui, sans dessein d’enrichissement, se sera introduit sans droit, au moyen dʼun dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, sera, sur plainte, puni dʼune peine privative de liberté de trois ans au plus ou dʼune peine pécuniaire". A première vue, on se dit que cela ne rigole pas. Mais en fait ce qui est important dans ce passage, c'est le "spécialement protégé". Et visiblement, les juges sont pointilleux là-dessus: si le système n'est pas spécialement protégé, pas de piratage.
• Cela ne s'applique pas aux "proches" ou aux "familiers" (article 143). Vous piratez votre copine ou copain, votre femme ? Et bien, ce n'est n'est pas du piratage ! Pratique en cas de divorce...
• Si j'ai bien suivi, c'est différent pour le courrier électronique. Mais par contre, je n'ai plus le souvenir des articles de loi qui s'applique dans ce cas.
• Il n'y a pas (ou peu) de jurisprudence concernant le piratage en Suisse. Ce que regrette Me Fanti qui est même prêt à travailler gratuitement dans certains cas si une bonne affaire se présente et lui permet de plaider devant le Tribunal Fédéral.

Cette présentation fut passionnante, agrémentée de nombreuses anecdotes, mais... partait dans tous les sens, à toute vitesse. On a vu passer quantité d'informations intéressantes, mais trop vite. Je n'ai pas vu passer le temps, mais ensuite, difficile de me souvenir du contenu de la présentation. C'est un peu dommage. J'espère que la présentation sera mise en ligne pour avoir une vue plus cohérente (voir ici une autre présentation de Me Fanti). Et le rapport avec NetObservatory ? Et bien aucune idée (mais cela n'a pas vraiment d'importance).

En conclusion, l'impression générale est un peu mitigée: beaucoup d'informations, mais aussi passablement de zones sombres. La présentation de Me Fanti: un show. Si vous avez l'occasion de le voir, vous ne serez pas déçus.

Postscriptum: J'ai installé sur mon iPhone iAvocat, l'application (gratuite) de Me Fanti. Quand on démarre, systématiquement, on a sa photo en gros plan. Ce n'est pas que son visage soit désagréable, mais bon, ... Et ce qui est gênant, c'est que les news ne sont plus mises à jour depuis le 20 octobre 2010. Un bug ? Dommage.