Makery

Leçon d’invisibilité sur les réseaux par Julian Oliver

Julian Oliver au Mapping LAB, une journée de workshops dans le cadre du Mapping Festival de Genève. © Laurent Catala

Au Mapping Festival de Genève le 10 mai, on a suivi le bootcamp contre-surveillance de l’artiste codeur hacktiviste Julian Oliver. L’occasion d’explorer et de prendre conscience de notre perméabilité aux réseaux.

Genève, envoyé spécial (texte et photos)

Joli succès pour la journée d’ateliers Mapping LAB dans le cadre de la 14ème édition du Mapping Festival de Genève (du 9 au 12 mai 2018), qui affichait complet ce 10 mai. Dans le cadre flambant neuf du campus de la Haute école d’art et de design (Head) de Genève, le public, varié et motivé, réunit geeks, praticiens en herbe et néophytes, venus se familiariser ou améliorer ses connaissances sur tout un tas de sujets : treize workshops étaient dédiés au machine learning, à la réalité augmentée, à la datavisualisation, au prototypage d’interface, à la fabrication de synthétiseurs, ou encore à la « contre-surveillance ». On a choisi d’assister au bootcamp de haute volée « réseau de contre-surveillance » (Network Counter-Surveillance Boot-Camp) mené par l’artiste et ingénieur hacktiviste Julian Oliver.

Le plateau des ateliers du Mapping LAB à la Head Genève.

Le Néo-Zélandais résident à Berlin est réputé pour son humour très second degré. La veille, il en donnait un aperçu lors d’une conférence sur les rapports entre utopie et dystopie, évoquant son peu d’espoir quant à un futur déjà marqué du sceau du changement climatique : « On se délecte d’une fin du monde annoncée comme d’un spectacle au lieu de prendre les décisions qui s’imposent », assénait-il tout en accordant aux artistes le crédit de porter un (mince) espoir pour établir une nouvelle « subjectivité planétaire ».

Pour son bootcamp, Oliver a proposé une exploration des réseaux sans fil (wifi mais aussi téléphonique) pour modéliser les menaces et les tactiques de surveillance qui nous espionnent au quotidien, et savoir s’en protéger. Mais surtout donner un aperçu effrayant de la volatilité des datas qui nous entourent et de la perméabilité des informations personnelles qui y transitent.

Machines fantômes

« L’air des grandes villes est rempli à ras bord de datas », ironise-t-il en introduction. De quoi le rendre définitivement irrespirable ? Un bon bol d’air est nécessaire en préalable à l’atelier pour se confronter à l’abstraction de cette plongée en apnée informatique au cœur du réseau.

Petite introduction sur ces outils à datas, comme ce détecteur de fumée qui est aussi une caméra hi-tech.

Première étape, explique Oliver : protéger le système interne de votre ordinateur avant de se connecter au réseau wifi en mode hacker. On se munit d’Oracle VM, plus connu sous son nom de Virtual Box, un logiciel libre qui permet de virtualiser des systèmes d’exploitation (OS) en créant de fausses machines sur sa machine et de rendre du même coup son ordinateur inaccessible.

Deuxième étape : réinitialiser l’adresse de son ordinateur (à ne pas confondre avec l’adresse IP, celle du routeur qui connecte au réseau). Une procédure encore légale, mais que certains pays, comme les Etats-Unis, souhaiteraient bannir. Il s’agit là d’un moyen efficace de rompre la traçabilité de votre connexion. Pour Oliver, pas plus les Etats que les omnipotents fournisseurs d’accès et autres grandes entreprises de l’Internet ne veulent préserver votre anonymat sur le Web !

Bien comprendre les enjeux de la contre-surveillance, avant de s’y mettre!

Troisième étape : chaque participant active sa Virtual Box, puis la carte du réseau via une clé USB à laquelle est reliée une antenne de détection wifi haute qualité. En ouvrant la boîte de dialogue de la box, on peut naviguer au milieu des datas en passant par toute une série de lignes de code. A partir de là… Oliver avance tout seul, et on le suit avec un mélange de fascination sci-fi et d’inquiétude paranoïaque. Une adresse IP lui permet de se glisser au milieu des listings d’information et autres points de connexion qui transitent à partir de tous les postes (ordinateurs, mobiles) situés à proximité – l’échelle de connexion est d’une centaine de mètres environ, explique-t-il, mais dépend de paramètres environnementaux (murs, saturation du réseau, etc.).

Julian Oliver, seul maître à bord du code.

Oliver s’enfonce au cœur des données ambiantes. Avec une facilité déconcertante, qui interroge sur le modus operandi général – si ces commandes existent pour pénétrer au cœur de nos données, tout est donc planifié à la source par les fabricants et autres fournisseurs d’accès pour que le piège se referme sur l’usager. Toutes les datas scannées sont enregistrables et surtout facilement déchiffrables via des logiciels comme Wireshark, un analyseur libre et gratuit de paquets (le nom donné aux fichiers transitant sur le réseau et contenant informations de traçabilité, de protocoles et bien entendu nos précieuses datas). Là encore, la démonstration est concluante, et après un certain temps (le réseau est capricieux), les informations apparaissent avec leur dénomination précise, fichiers PNG, textes ou autres URL.

Antenne relais DiY

Scanner le réseau GSM à partir d’une antenne relais DiY.

A peine le temps de reprendre son souffle qu’Oliver passe à l’étape suivante, celle concernant un autre type de réseau sans fil, celui de nos téléphones portables à travers le réseau GSM. En utilisant une antenne relais de téléphonie mobile conçue par ses soins (et donc tout à fait illégale), Oliver scanne le réseau sur une fréquence de 900 MHz. Rapidement, il parvient à connecter son propre serveur téléphonique DiY via un programme dénommé YateBTS qui apparaît sur la liste des réseaux disponibles. En quelques secondes, nous pouvons passer appels et SMS entre nous, et ce entièrement gratuitement. « On se demande vraiment pourquoi on paie si cher alors qu’en fait le réseau est juste là, accessible à tous », rigole Oliver.

Passer des appels gratuitement avec une antenne DiY…

Ainsi, nous serions donc à la fois surveillés et… volés. Alors, comment se protéger quand on n’a pas les talents de hacker de Mr Oliver ? « Ce qu’il faut savoir, c’est que quand vous vous rendez sur un site web, ce n’est pas vous qui vous connectez, c’est le site qui vient se connecter à vous, via votre requête, précise-t-il. Tous ces accès sont sous le contrôle direct des fournisseurs d’accès qui n’ignorent rien de vos connexions et de la masse précieuse et monnayable d’informations qu’elles contiennent ». Objectif : se protéger pour empêcher à la fois l’administrateur, mais aussi le site visité via des protocoles de sécurité de type SSL, de tout connaître de vous.

Comme ces protocoles sont souvent incomplets, cryptant les données mais laissant l’adresse URL visitée transparente, Oliver conseille d’opter pour des navigateurs utilisant le principe de tunnel (qui fait rebondir la connexion via une multitude d’intermédiaires volontaires, situés dans différents pays, et vous attribue une adresse IP totalement fictive puisque localisée dans un autre pays), comme Tor, ou de passer par un réseau privé virtuel (VPN). Et même comme ça, l’accès à un site par le navigateur Tor peut être assez facilement détectable (et donc bloqué) tandis que les VPN ne sont pas tous totalement sécurisés. En fonction du réseau auquel vous vous connectez, de votre fournisseur d’accès et des éventuels proxys installés, télécharger des logiciels de navigation anonyme ou des VPN peut être carrément impossible. Vous pouvez avoir droit au fameux message « des pirates essaient de voler vos informations » comme c’est le cas à la Head, un comble dans le contexte du bootcamp ! Dernier conseil de Julian Oliver : sans en passer par le téléchargement, des moteurs de recherche comme duckduckgo offrent quand même un peu de confidentialité.

En savoir plus sur Julian Oliver et sur le Mapping Festival 2018