Comme disait Cesar Chavez (le militant des droits des chicanos dans les années 1970): « Les coups de main de certains de nos amis nous font parfois plus de mal que les coups de poings de nos ennemis »

[MIT Technology Review  13/09/2010 – Trad. Gregor Seither]
Un outil informatique censé aider les dissidents à à contourner la censure gouvernementale sur Internet contient des failles tellement sévères qu’il met en danger ceux qui l’utilisent.

L’outil, appelé Haystack, a reçu des prix et a été salué par la communauté Internet parce qu’il permet à des militants et des citoyens ordinaires de contourner les blocages mis en place par les gouvernements pour empêcher l’accès à certains contenus sur Internet. Mais l’expert en sécurité informatique Jacob Appelbaum – qui a réussi à démonter les sécurités du logiciel – affirme au contraire que l’utilisation de Haystack laisse derrière vous une piste de traces qui permettent d’identifier la personne qui l’utilise et même de savoir le type de contenus qu’il a consulté sur le Net. Ce débat montre encore une fois à quel point il est important pour ce type de logiciels d’être évalués de manière impartiale par des experts extérieurs.

Haystack a été crée par le Censorship Research Center basé à San-Francisco en Californie, fondé l’année dernière par deux militants anti-censure Austin Heap et Daniel Colascione. Le but du logiciel est de « de fournir un accès Internet non filtré et non détectable aux personnes vivant en Iran ». Compte tenu de l’actualité, ce projet a reçu beaucoup d’attention– Austin Heap a été déclaré « Innovateur de l’année » par le journal britannique The Guardian et a également reçu le Prix « Beacon » de la fondation de défense des libertés « First Amendment Coalition » aux Etats-unis.

L’outil prétend permettre un accès aux pages Internets censurées tout en masquant cette activité des autorités. Les créateurs de Haystack affirment qu’ils exploitent pour cela certaines failles dans le logiciel pare-feu national mis en place par le gouvernement iranien, en cryptant les communications entre les utilisateurs et les serveurs de Haystack et en masquant les données échangées via l’outil afin de faire croire que les utilisateurs  se connectent à des sites innocents. Mais ces derniers mois certains experts se sont inquiétés du fait qu’il n’y ait pas eu de révision indépendante de cet outil et de sa capacité à tenir ses promesses.

Outre Appelbaum, des experts comme Evgeny Morozov, chargé de conférence au programme d’études des technologies de la libération à l’université de Stanford University, ainsi que le militant pour les droits civiques Danny O’Brien ont tenté d’obtenir de la part des créateurs plus de details sur la maniere dont le logiciel fonctionne. Ils sont inquiets que des vulnérabilités dans le code sous-jacent de l’outil pourraient permettre à des informaticiens travaillant pour les autorités de décoder les messages protégés. Après avoir testé le logiciel, ils ont exprimé leur colère et leur consternation.

Appelbaum explique qu’après avoir entendu une description du fonctionnement de l’outil, il s’est inquiété du fait qu’il ait pu ne pas avoir été conçu correctement. Mais il a vraiment commencé à s’inquiéter quand il l’a testé lui-même. Avec ses collègues il a cassé les protections de sécurité en moins de six heures. Selon Appelbaum, il serait facile aux autorités iraniennes et autres de faire de même.

« C’est un système qui est tellement fragile que je peux à peine vous expliquer comment il fonctionne sans être extrèmement inquiet pour les personnes qui l’ont utilisé et qui n’avaient aucune idée à quel point elles se mettaient en danger » a déclaré Appelbaum. « C’est incroyable, incroyablement effroyable. »

Haystack : http://www.censorshipresearch.org/projects/haystack/

http://www.technologyreview.com/computing/26285/?nlid=3505&a=f