Collage : Un système pour lutter contre la censure sur Internet

Partager

Pour les personnes vivant dans certains pays comme la Chine ou la Corée du nord, l'accès à l'information et la liberté d'expression sont des droits élémentaires qui sont refusés ou bridés par les institutions gouvernementales.

Cette censure peut être permanente ou temporaire ou ne concerner que des informations relatives à des sujets considérés comme étant subversifs ou contraires à une "bonne morale" préalablement décrétée par les représentants gouvernementaux.

RSF : vigie de la censure sur Internet
Cette page du site de Reporter Sans Frontières (RSF) liste quelques-unes des atteintes à la liberté d'expression sur Internet. Parmi l'un des derniers points relevés, on retrouve celui concernant des soupçons de censure d'un site Internet suite aux incendies qui font rage en Russie.

Assurer simultanément publication et consultation

Dans un tel contexte, comment est-il possible d'assurer une liberté de parole sur Internet ? La censure peut se mettre à deux niveaux : Empêcher sa publication ou bien bloquer sa consultation. Dans le cas du site Internet russe, c'est la publication de l'information qui est ciblée. Le "grand firewall chinois" agit quant à lui de l'autre coté : Il cherche à bloquer l'accès à du contenu présent sur Internet.

Techniques existantes

Les systèmes et techniques permettant de contourner ces mesures de censure ne sont pas nouveaux : Le fameux réseau Tor permet de publier et de consulter de façon anonyme des informations et sites Internet. Le contournement de systèmes de filtrage via des mega-proxy est lui aussi possible. L'ensemble des principes est présenté dans un document publié par RSF : "Guide pratique du blogger et du cyberdissident".

... pouvant éveiller des soupçons
Le principal "problème" de ces différentes techniques réside dans le fait que les utiliser est suspect (utiliser "Tor" n'est pas "naturel" : Le fait de surfer via Tor pouvant être compris, à tort ou à raison, comme un signe que vous cherchez à cacher quelque chose) et que certaines de ces techniques sont observées par certains gouvernements.

Système hybride de "nouvelle génération" ?
Le système Collage s'appuie sur deux techniques : Les systèmes de partage de contenu comme système de communication et des techniques de masquage des informations afin que ces communications ne puissent être vues de façon fortuite.

D'un coté des réseaux de partage de contenu
En utilisant les systèmes de partage de contenu générés par les utilisateurs (Twitter, Flickr, ...) pour échanger les messages, ceux-ci sont donc "fondus dans la masse" des millions de message et fichiers échangés sur ces réseaux. Quoi de plus anodin que de visualiser des photos mises en ligne sur un système comme Flickr ou Picasa ?

Et de l'autre des techniques d'espion

Bien que très anodines, ces photos contiennent des messages cachés évidents à extraire pour certains mais invisibles pour d'autres : C'est le principe de la stéganographie. Avec cette technique il s'agit de modifier de façon indétectable à l'oeil ladite photo de sorte à y intégrer un message (communiqué, déclaration, information sensible, ...). Certains diront que cela ressemble à des techniques d'espionnage : cela a été effectivement le cas en juin 2010 dans une affaire entre les USA et la Russie.

Trouver le contenu intéressant

Avec un système comme Collage, le contenu est "intégré" (via stéganographie) dans une photo et celle-ci est ensuite publiée sur un site comme Flickr. Pour trouver ce contenu dans les millions de photos disponibles, il suffit de connaitre les "clefs de recherche" : Par exemple "les photos publiées par l'utilisateur ThomasG" ou "celles marquées par un tag Abeille". Une fois les photos récupérées, c'est à la stéganographie de jouer pour découvrir le message caché...

Principes système Collage

Les principes de fonctionnement de Collage sont décrits de façon complète sur les documents mis à disposition sur le site web officiel.

De multiples utilisations
Selon la page officielle de Collage, le code source de celui-ci serait être mis à disposition dans les semaines à venir. Un tel système, si il est suffisamment simple à utiliser par le commun de mortels, devrait à priori fort utile pour lutter contre les différentes formes de censure sur Internet.

Mais toute technologie a ses travers, et spécialement dans le domaine de la sécurité : Un tel système pourrait aussi être utilisé pour masquer des communications entre cybercriminels ou groupes de terroristes. Ce n'est ni la première et surement pas la dernière fois que la communauté Internet est face à une telle situation. Si les bénéfices d'un système sont largement supérieurs à ses défauts alors celui-ci a sa place.

Pour le contrôle de réseaux de machines zombies

D'un autre coté, ce système pourrait aussi être détourné pour monter un système de commande et de contrôle de machines zombies (botnet) : Cela a d'ailleurs déjà été testé mais sans la fonction "sténographie". Dans ce dernier cas d'usage, ce qui est principalement intéressant pour les cybercriminels c'est que les sites de partage de contenus générés par les utilisateurs ne sont que très rarement bloqués par les systèmes d'entreprise.

Pour les entreprises : Vigilance mais surtout sensibilisation
Les capacités de systèmes comme Collage sont à intégrer dans le cadre d'une politique de sécurité d'une entreprise : Un employé peu scrupuleux pourrait fort bien utiliser Collage (ou un système similaire) afin de sortir des informations en dehors du réseau de l'entreprise. A choisir, c'est la notion de stéganographie qu'il conviendrait de retenir en premier dans Collage car celle-ci est assez méconnue.

Pour une entreprise, le risque induit par Collage reste à mon avis assez modeste au regard de celui posé par les périphériques mobiles que sont les clefs USB ou smartphones. Sur le plan purement techniques les systèmes de DLP (Data Loss Prevention) peuvent apporter un début de réponse : A assortir impérativement avec le coté humain de la sécurité (sensibilisation, éducation, ...) car l'humain est toujours (ou presque) le maillon faible.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)