22 juin 2007
par JDCh


Le crackberry blackboulé ?

Vous êtes, sans doute, nombreux à être des "accros" du Blackberry, ce petit ordinateur de poche qui permet en temps quasi-réel de consulter ses emails et d'y répondre... Je fais personnellement partie de ces intoxiqués du Crackberry (tel qu'il est surnommé aux Etats-Unis du fait de son caractère "addictive") et je ne peux que reconnaître l'extraordinaire gain de productivité que la possession d'un petit engin comme celui-là induit pour un "col blanc" (sans cravate) comme moi... 5 minutes à attendre un invité au restaurant, 20 minutes dans une salle d'embarquement d'aéroport ne sont plus perdues à ne rien faire... Un message important attendu dorénavant avec un "stress" minoré sera reçu au plus tôt, en pleine réunion sans déranger personne, dans un parking entre deux rendez-vous sans devoir rappeler son assistante, dans un avion -après 2 heures de "black out"- pendant la toujours trop longue phase de débarquement, d'un simple coup d'oeil durant un week end à la campagne....

Bref, même en faisant un effort d'imagination et de volonté, je me vois mal "faire du business" sans avoir cette "bestiole" dans ma poche en quasi-permanence !

Le Blackberry est conçu et développé par la société Research In Motion (RIM), dont le siège social est au Canada dans l'Ontario et qui a été créée en 1984. Le premier Blackberry est sorti en 1999, le premier faisant également téléphone en 2001, les premiers déploiements en Europe eurent lieu fin 2002... La réussite de cette "vieille" société conceptrice de "pagers", qui est entré en bourse sur le Nasdaq en 1997 et qui vaut aujourd'hui 32 milliards de dollars, est assez stupéfiante: une gamme de terminaux propriétaires (alors que Palm Pilot -voire iPaq- faisait figure de standard en matière de PDA), un système d'exploitation et des applications propriétaires (alors que Palm OS, Symbian, Linux, Windows CE étaient disponibles) et une commercialisation auprès des grandes entreprises uniquement via les opérateurs mobiles (réputés assez faibles dans leur capacité à servir ce marché nécessitant du service et de l'intégration)...

Tous les ingrédients d'un échec prévisible qui ont cependant permis à RIM via un succès fulgurant auprès des utilisateurs d'être aujourd'hui le leader incontesté de ce que l'on appelle le "push email" (par opposition au "pull email" qui nécessite de se connecter pour aller vérifier si on a reçu un message). Microsoft, Nokia ou Palm auraient du, au moins pour l'un d'entre eux, sortir vainqueur de cette bataille du PDA/Smartphone: c'est RIM qui s'est hissée sur la plus haute marche du podium... Une belle histoire de réussite exceptionnelle d'une petite société talentueuse et ambitieuse qui, bien sûr, a fait de nombreux jaloux et donc l'objet de nombreuses poursuites pour violation de brevets.

Au delà d'une interface homme-machine fort réussie (avec notamment la fameuse "molette" remplaçant la souris et permettant un déplacement rapide dans les écrans graphiques), la société RIM a su intégrer les différents réseaux de transport de données mobiles: d'abord Mobitex puis CDMA20001X et bien sûr GSM/GPRS/Edge qui offre une couverture quasi-mondiale.

Enfin, RIM a promu, vis à vis des entreprises, une solution sécurisée par un chiffrement puissant entre le serveur d'entreprise et le terminal (nommé AES 256 bits faisant que la clé de chiffrement/ déchiffrement présente sur le terminal est choisie parmi 2 puissance 256 valeurs possibles) et qui présente l'avantage énorme de ne gérer qu'une seule boîte aux lettres: si j'envoie un message depuis mon Blackberry, il apparaît dans mon dossier "messages envoyés" sur mon PC et, de même, si je détruis un message sur mon PC ou mon Blackberry, il est également détruit sur mon Blackberry ou mon PC...

S'appuyant ainsi sur l'ubiquité (couverture et capacité de "roaming") apportée par les différents réseaux des opérateurs mobiles et la confidentialité apportée par son algorithme de chiffrement, RIM a maintenant 7 millions d'utilisateurs sur la planète dont près d'un demi-million dans le secteur public puisque l'OTAN et les gouvernements Américain, Canadien, Britannique, Australien, Néo-Zélandais et Autrichien ont certifié son utilisation et que les gouvernements Allemands et Néerlandais sont en train de le faire...

Or, voilà qu'une directive, datant de 18 mois environ, du SGDN (Secrétariat Général de la Défense Nationale) vient d'être renotifiée pour proscrire l'utilisation du Crackberry au sein des cabinets ministériels et au sein de services de Matignon et de l'Elysée... La raison de cette oukase repose sur le fait que le trafic généré ou reçu par les terminaux passe par deux centres serveurs situés en Grande Bretagne et en Amérique du Nord (au Canada confondu avec les Etats-Unis par certaines sources journalistiques) où il est routé soit vers le réseau mobile destinataire soit vers le serveur d'entreprise destinataire.

Interrogé par un journaliste de BFM, le Directeur Commercial de RIM en France, n'a pas réussi à faire comprendre qu'il y avait une grande différence entre le fait de pouvoir intercepter un message et le fait de déchiffrer ce message. Le journaliste resta apparemment convaincu que le soupçon d'espionnage par la NSA (Agence Nationale de Sécurité Américaine) était fondé puisque lesdits messages chiffrés transitent par un ordinateur situé en Amérique du Nord !

Autant il est évident que si RIM et la NSA avait décidé de collaborer, que RIM avait installé une "back door" pour la NSA sur ces serveurs et donné connaissance à la NSA de l'ensemble de ses algorithmes, l'espionnage du trafic email transitant par l'infrastructure de RIM serait possible. Autant il est évident qu'une société, qui a pour principaux clients les grands de la finance et les états majors des grands groupes mondiaux, prendrait un risque mortel à faire cela: le moindre faisceau d'indices impliquant une telle réalité signerait l'arrêt de mort de la société puisqu'aucun de ces grands clients ne souhaiterait prendre le risque d'être sous surveillance permanente ou potentielle de la NSA !

Mettre en péril une entreprise pesant plus de 3 milliards de dollars de chiffre d'affaires pour je ne sais quel prétexte d'intelligence économique: je ne vois pas quelle direction d'entreprise pourrait être complice d'une telle potentielle destruction de valeur... Bien sûr, on peut imaginer que RIM ait été pénétrée par des taupes de la NSA chargées de re-router le trafic vers leur agence: je ne suis alors pas sûr du tout que le risque serait moindre si la société RIM était Française ou Européenne au lieu d'être Canadienne.

Mais voilà, la France, par l'intermédiaire du SGDN, envoie des messages intéressants au monde:
  • Les Canadiens sont, par défaut, totalement inféodés à leurs voisins Américains (qui pourtant sont assez méprisants à leur égard);

  • Les Britanniques, Australiens et Néo-Zélandais aussi puisqu'ils parlent tous anglais !

  • Les Autrichiens aussi puisqu'un des leurs est devenu gouverneur de Californie !

La France ne dispose, d'ailleurs, d'aucune technologie permettant de remplacer celle de RIM dans des conditions de confort d'utilisation et de sécurité comparables et préfère obliger les personnels proches du pouvoir à passer des coups de fil dans des lieux publics (où beaucoup peuvent les entendre) ou à ne pas être averti (ou ne pas pouvoir alerter) en temps et en heure d'un événement ou d'une décision...

Bercy, EADS et les grandes banques Suisses qui ont "homologué" le Blackberry l'ont fait parce qu'ils souhaitaient prendre avantage des gains de productivité induits et n'avaient pas d'autres alternatives crédibles: le SGDN soupçonne-t-il Bercy, EADS et les banquiers Suisses de se foutre totalement de la confidentialité ou d'être aussi à la solde des Américains ?

On en est, de toute façon, pas à une contre-vérité près. J'en veux pour preuve cette déclaration de Alain Juillet, haut responsable de l'intelligence économique au SGDN: "Les risques d'interceptions sont pourtant réels, c'est la guerre économique. Avant toute grande négociation entre des banques d'affaires américaines et des entreprises, chacun sort son Blackberry et en extrait la pile pour montrer que tout se déroule dans un climat serein".

Ces extractions de piles ont, en effet, lieu. Elles ne sont en aucun cas le fait d'une éventuelle faille de sécurité du réseau de RIM. Elles sont simplement là pour éviter, lors de négociations importantes, qu'un des participants informe l'extérieur de ce qui se passe dans la salle des négociations (ou soit informé de ce qui se passe éventuellement dans une autre salle).

Dans le vocable "intelligence économique", il y a pourtant "intelligence" !
Monsieur Juillet, lui, il est en "guerre" et, comble de malchance pour lui, le siège de RIM se trouve dans l'Ontario dans une cité nommée... Waterloo !



12 Comments:

At 6:01 PM, juin 23, 2007, Anonymous Anonyme a dit...

Effectivement les utilisateurs de Crackberry sont totalement addict.
Et pourtant il y a d'autres solutions : mon Nokia 9500 me permet de faire du pull pendant les 5 mn de restaurant ou les 20 mn de salle d'embarquement (quel besoin de push dans ces cas là ?) De plus je reçois copie (en push) des fax arrivant sur mon fax et je peux aller sur internet consulter les resultats de Tiger en temps reel !
Habitude et culture !

 
At 11:25 PM, juin 23, 2007, Anonymous D.VDA a dit...

Je ne suis pas expert mais je m'inquièterai de toute la partie sans fil (radio) avant les serveurs et de chiffrement.

Et là Blackberry mais aussi tout le reste (téléphonie, Wi-fi).

Sans parler du simple vol de ces mini pépites de données par des légions de pickpockets de la NSA. ;)

Bon c'est vrai que le coup des Ricains je comprends, c'est leur Internet tout à eux et nous on a raté 25 marches avec le Minitel et l'immobilisme d'FT/EDF. Galileo pédale dans la semoule, forcément ça irrite.

Après, l'AES 256 est peut-être déjà cassé ou la puissance de calcul pour une attaque par force brute disponible, possible...

 
At 12:06 PM, juin 24, 2007, Anonymous Anonyme a dit...

Vive l'intelligence économique à la française !

Encore une fois, la france a raison contre tous.

Peux etre qu'il s'agit réellement d'un complot mais bon a t'on la possibilité de s'en passer ?

Le plus simple, serait de remplacer internet et de retourner à notre bon vieux minitel. Pas d'espionnage dans ces cas la.

D'ici quelques années en continuant à utiliser des outils du passé et en refusant d'avancer avec son temps, nous n'aurons plus aucune raison d'etre espionner.

 
At 9:26 AM, juin 25, 2007, Blogger Marc a dit...

Juillet ou pas, Echelon existe et il est bien irresponsable de croire que les services secrets américains vont respecter le business d'une entreprise canadienne ou de toute autre nationalité, fût-elle valorisée $3mds. La NSA collabore déjà avec les plus grandes entreprises IT des USA.

Que les informations circulant sur Internet soient collectées ne fait aucun doute. La seule question est de savoir si la NSA les met à disposition des entreprises Etats-Uniennes.

 
At 1:05 PM, juin 26, 2007, Anonymous Christian a dit...

Ce qui m'a toujours fasciné c'est la paranoïa que provoque Echelon.

J'espère bien que les services secrets français ont eux-mêmes un système d'écoutes du même acabit.

Certes la couverture du globe doit poser problème par rapport à cette alliance anglo-saxonne, mais je pense bien que nos accords de coopération militaire prévoient l'implantation de centre d'écoutes français : Guyane (FR), Djibouti, Polynésie, j'ai juste des doutes sur une implantation en Asie...

Enfin, en témoignent les nombreux articles au sujet de la coopération anti-terroriste US-France, j'ai l'impression que dans pas mal de cas, qui sortent de la confrontation US-France, on s'entraide pas mal entre nous.

 
At 4:12 PM, juin 26, 2007, Blogger Marc a dit...

@christian: est-ce être paranoïaque que de mentionner l'existence d'Echelon, lequel n'est d'ailleurs que le plus connu/promu des systèmes d'écoute et de détection? Pas plus que de parler du chien de son voisin.

Il y a 1800 places de parking au QG de la NSA. Je doute que la DGSE puisse en aligner ne serait-ce qu'un dizième.

 
At 4:35 PM, juin 27, 2007, Blogger Robert Marchenoir a dit...

Il serait tout de même intéressant que des spécialistes enquêtent et nous expliquent les possibilités réelles a) d'interception, b) de décryptage.

On sait bien que les Etats-Unis (et d'autres pays) possèdent des moyens étendus d'interception des communications Internet. De nombreux attentats ont été déjoués grâce à ce moyen. Or les terroristes islamistes connaissent bien l'informatique, et dans certaines affaires portées à la connaissance du public, on a appris que des mails cryptés ont été utilisés.

Donc, tenter de ridiculiser les services français en disant a) les communications sont cryptées, b) ce n'est pas l'intérêt de monsieur Blackberry de collaborer avec les autorités américaines est franchement insuffisant.

1. Les services américains n'ont pas forcément besoin de demander l'autorisation à monsieur Blackberry pour intercepter ses communications.

2. Plusieurs grosses sociétés Internet américaines ont bel et bien accepté de collaborer et de fournir des données confidentielles à leur gouvernement (requêtes de moteurs de recherches notamment), et sans discuter, encore.

3. Le marché américain étant évidemment stratégique pour Blackberry, je ne doute pas que les autorités américaines aient des moyens de rétorsion à leur disposition pour appuyer une éventuelle sollicitation secrète de leur part.

4. Si la possibilité technique d'intercepter ces communications (gouvernementales, d'entreprise) était à portée de main, vous imaginez bien que les Etats-Unis tenteraient de l'exploiter au maximum. Les bénéfices potentiels sont incalculables.

5. L'argument qui consiste à dire: l'entreprise est par nature morale parce que vous pensez bien que ce n'est pas son intérêt de, etc, est quand même à réserver aux tout petits enfants.

Certes, on peut s'en servir à bon escient pour contrer l'anti-américanisme obsessionnel de la société française. Mais de là à tomber dans la naïveté, il y a un pas.

6. S'est-on demandé pourquoi le service français compétent à interdit l'utilisation des Blackberry? Lui a-t-on demandé s'il disposait d'informations sur les failles du système, sur d'éventuelles tentatives repérées par le passé, des fuites qui auraient déjà eu lieu? Je n'ai rien lu à cet effet. Il me semble que c'est par là qu'il faudrait commencer.

7. Les gouvernements, les entreprises, etc, échangent quotidiennement des millions de mails, dont la plupart non cryptés. On sait, ou on devrait savoir, que tous ces mails sont susceptibles d'être lus par les services secrets américains, et certains autres probablement. Cela ne signifie pas qu'ils le soient, ou qu'ils le soient tous.

Les espions n'ont pas le temps de tout lire, et nous ignorons la puissance des techniques de sélection qui permettent de repérer un mail "intéressant" parmi des milliards d'autres.

Mais la méfiance est justifiée, et l'angélisme n'est certainement pas de mise. Il y a une espèce de snobisme anti-plouc des habitués de l'entreprise moderne, du genre: ahaha, regardez-moi ces gros cons qui ont peur du Balckberry, y'a qu'à demander aux ministres de revenir au Minitel, qui peut certes mettre les rieurs de son côté, mais qui peut aussi faire faire de grosses erreurs.

 
At 4:54 PM, juin 27, 2007, Blogger JDCh a dit...

@robert marchenoir

sur le fond vous avez sans doute, au moins partiellement, raison.

sur la forme, le SGDN mélange tous les anglophones de façon extremement maladroite non seulement vis à vis des américains mais aussi des canadiens ou des britanniques et parle à la presse, via monsieur Juillet, en utilisant un argument qui ne vaut pas un clou... C'est ce que j'ai voulu remarquer dans mon "post".

N'aurait-il pas mieux fallu, reconnaitre la qualité de la solution de RIM et négocier avec eux qu'ils déploient un centre serveur "sécurisé" en France: on aurait eu une meilleure solution et des emplois !

 
At 8:06 PM, juin 27, 2007, Anonymous olive a dit...

En dehors de toutes considérations sur l'éthique d'une société il y a des remarques techniques incontournables.

Dans le cas du Blackberry on peut souligner que :

1/ la partie matérielle est propriétaire. Les caractéristiques sont maîtrisées par RIM.

2/ l'OS d'exploitation est propriétaire. Il est développé par RIM.

3/ la solution d'encryptage qui est développé par RIM

4/ les tuyaux ne sont pas la propriété de RIM (par ou passent les emails, gprs, les différents opérateurs, etc...)

5/ les serveurs qui traitent les données et font du push mail sont maitrisés par RIM

En faisant cette simple liste on voit qu'il y a beaucoup de points ou il peut se passer des choses :

1/ dans le matériel codé en dur

2/ dans l'OS existence de bug ou code malicieux

3/ dans la solution d'encryptage qui est développé par RIM et qui ne peut être vérifiée

3/ dans le traitement des données sur les serveur de RIM

Pour ce qui est de l'OS : les bugs sont inhérents à la programmation.

Pour ce qui est du code malicieux c'est tout a fait possible et même en dehors de la volonté de RIM. Il suffit qu'un développeur est intégré un code à l'insu de toute le monde (déjà arrivé).

Il n'y a aucune possibilité de vérification du système.

Pour ce qui est de l'encryptage il est généré par RIM lui même et donc tout est possible.

Pour ce qui est des serveurs, RIM peut trés bien être attaqué, avoir des failles, ne pas révéler l'existence de bug, ce qui en général est inévitable.

Si par exemple je prend mon Eten, fabriqué par un taiwanais, avec un OS Windows mobile de Microsoft, une solution d'encrypatage d'un éditeur autre que Microsft, un opérateur comme Orange pour les tuyaux, un serveur de push mail installé et hébergé par mes soins ou par un prestataire, les risques sont beaucoup moins grands car il y a trop d'intervenants et le pistage devient plus difficile.

Dans le cas de RIM, tout est hautement centralisé et donc hautement attaquable sachant que c'est en plus une cible de choix.

Sans revenir sur le succès tout a fait justifié de cette société, je ferais remarquer qu'Orange à ces débuts proposait du push mail par défaut mais a enlevé cette option suite à des plaintes de ces clients qui se plaignaient de recevoir trop d'alerte mail.

Techniquement faire du push mail ne pose aucun problème en soi et en France les compétences existent comme ailleurs. C'est plutôt au niveau du business model que cela se joue. Cela ne rapportait rien à Orange quand il le faisait car ce n'était pas réclamé par les clients qui n'auraient pas payer pour.

L'avantage de RIM est que, comme ils maitrisent toute la chaine, il y a une plus grande simplicité dans le paramétrage et l'utilisation de la solution. Mais c'est aussi cela son talon d'Achille.

 
At 10:27 PM, juin 27, 2007, Blogger Caroline Delafoy a dit...

Croire que les services de renseignements vont se faire tout petit pour éviter la faillite d'une entreprise privée est bien naïf.
Les réseaux voix et IP sont bel et bien surveillés, les opérateurs ont même l'OBLIGATION de fournir les moyens d'interception des messages sur simple demande des autorités compétentes. Plusieurs compagnies - certaines françaises - sont d'ailleurs très bien positionnées pour équiper les opérateurs d'une solution "d'écoute".
Cela dit, avec un cryptage des messages en 256 bits, la relecture reste assez improbable. (à vérifier mais je crois qu'il y a quelques années les entreprises US n'avaient pas le droit d'exporter de la technologie de cryptage trop puissante en dehors du pays)

 
At 10:29 PM, juillet 05, 2007, Blogger philippe psy a dit...

Je ne ferai aucune confiance à une société telle que Blackberry parce que les ricains se passeront de son autorisation.

Pour le reste, les américains sont patriotes, et je ne les imagine pas refuser de collaborer à un projet du type Echelon, qui vise à assurer la supprématie américaine.

 
At 10:09 AM, août 02, 2007, Anonymous Anonyme a dit...

je suis complétement addict de mon blackberry... et bien droguée, j'ai vraiment dû mal à m'en défaire... mais c'est comme ça. Je suis la cliente idéale de RIM.

 

Enregistrer un commentaire

 

Links to this post:


Créer un lien

<< Retour homepage