La 62e émission des Fils de la liberté est maintenant disponible en baladodiffusion. Cette semaine: Lisette Lapointe se retire de la vie politique, le danger que représente Éric Duhaime, le ti-counisme de la CAQ et du Parti Conservateur du Québec et les tambours de guerre sur la Syrie et l’Iran (encore).

L’émission a été enregistrée lundi le 5 mars 2012.

Clip audio : Le lecteur Adobe Flash (version 9 ou plus) est nécessaire pour la lecture de ce clip audio. Téléchargez la dernière version ici. Vous devez aussi avoir JavaScript activé dans votre navigateur.

Téléchargement, 56,5MB

Sources et documentation:

• Option nationale:
  • Lisette Lapointe se retire de la vie politique mais continue d’appuyer Option nationale;
  • Est-ce que le fondateur de QuébecLeaks, Luc Lefebvre, va se présenter sous la bannière d’Option nationale aux prochaines élections;
  • Jean-Martin Aussant clarifie sa position sur l’article controversé du Devoir concernant un possible retour au PQ sous l’égide d’un référendum. Mathieu Bock-Côté a immédiatement sauté la-dessus.
• Ti-counisme de la CAQ: Denis Leftakis ignore combien il y a de fleurs de lys sur le drapeau du Québec.
• Éric Duhaime en faveur du MacCarthysme… drôle de concept de liberté.
• Parti Conservateur du Québec – ayoye:
• Prison: convertissez-vous à l’islam ou au judaïsme pour être bien nourri.
• International:
  • L’Islande songe à prendre le dollar canadien comme monnaie.
  • Élections en Russie: Vladimir Poutine (ré-)élu comme empereur ultime sur un fond de controverse.
  • Le Canada ferme son ambassade en Syrie.
  • Libye: pierres tombales de soldats occidentaux profanées dans un cimetière situés près de Benghazi;
  • Seize agences du renseignement américain affirment que la République islamique ne veut plus se doter de l’arme nucléaire depuis 2003;
  • Une enième tentative, cette fois-ci par les Nations unies, de contrôler l’Internet.
• bbb

QuébecLeaks et nous vous l’avions dit, nous avions prévu le coup, c’était évident que ça allait arriver… et ça arriva – des courriels contenant des l’information sensible sur de la malversation, de l’intrigue et de la corruption à la ville de Montréal et adressés à la CEIC (Commission d’enquête sur l’industrie de la construction) ont été interceptés par un hacker white hat:

Quatre des sept courriels concernent la Ville de Montréal. Les informations délicates qui s’y trouvent recoupent partiellement celles transmises au Devoir au cours des derniers mois et touchent principalement un service municipal. On y parle notamment de circulation de «valises de cash» en précisant un lieu, d’une carte de débit offerte à un fonctionnaire, d’une entreprise de construction qui aurait soudoyé une employée afin de connaître le «prix plancher» établi par la Ville pour certaines transactions. Des personnes sont identifiées.

Dès vendredi dernier, Le Devoir a été alerté de façon anonyme sur les problèmes de sécurité informatique de la commission Charbonneau, qui se poursuivraient. Depuis le lancement du site Web de la commission, mardi de la semaine dernière, plusieurs experts ont soulevé des problèmes de sécurité au moment de transmettre des informations à la juge France Charbonneau et à son équipe d’enquêteurs.

Pour l’instant, le « coupable » a été assez sympathique pour le mettre en plein dans la gueule du gouvernement pour lui prouver que le site de la CEIC n’est PAS sécuritaire. Peut-être que le prochain va garder l’information pour lui, le revendre au plus offrant ou va faire chanter certaines cibles… La CEIC n’est pas sérieuse – le site actuel de la CEIC est dangereux pour les sources, non-sécurisé et non-sécuritaire. Pour l’instant, je le répète: il n’y a que QuébecLeaks qui a l’infrastructure nécessaire pour assurer un déploiement et une réception sécuritaire pour ce genre de document.

Mise à jour (11:45): Au tour de Radio-Canada de parler de cette histoire. Cette commission est risible, du début jusqu’à la fin. Non seulement le serveur est entre les mains du gouvernement (compréhensible d’un point de vue logistique mais pour ce qui est de l’impartialité, on repassera) mais les conduits utilisés pour transporter les informations ne sont pas sécurisés. Une fois l’information acheminée au serveur de la CEIC, comment sera-t-elle protégée? Cette question reste sans réponse. Pendant ce temps, on revient à l’age de pierre pour ce qui est de la transmission des données:

Les Québécois qui veulent faire parvenir des informations à la commission Charbonneau sur l’industrie de la construction doivent se rabattre sur « le téléphone, la bonne vieille enveloppe avec un timbre ou un courrier recommandé », admet le directeur des communications de la commission, Richard Bourdon.

Embarrassant.

Aujourd’hui, la juge France Charbonneau dévoilait le site web de la commission qui porte son nom et qui enquêtera sur les allégations de corruption au sein de l’industrie de la construction au Québec. Ce faisant, la juge fait appel au public pour lui envoyer sources et informations qui pourraient être utiles à la commission:

Puisque cette Commission d’enquête a été créée, en grande partie suite à vos demandes, nous croyons utile et essentiel de vous permettre, à vous aussi, membres du public, de contribuer à nos travaux. Vous pouvez le faire en nous écrivant à notre adresse courriel « info@ceic.gouv.qc.ca » ou encore en composant le 1-855-333-CEIC (2342).

Déjà, plusieurs questions relatives à la sécurité du site ainsi que de l’intégrité des informations qui seront reçues et stockés sur ceic.gouv.qc.ca ont été relevées, notamment par Luc Lefebvre de QuébecLeaks:

En entrevue à Radio-Canada.ca, le cofondateur de QuébecLeaks Luc Lefebvre constate d’abord que le site de la commission n’a pas de certificat numérique (SSL) qui crypte l’information qui y transite. « Le gouvernement du Québec peut avoir des certificats SSL gouvernementaux qui peuvent assurer le cryptage de l’information soumise dans les formulaires. Ils ne l’ont pas fait », déplore-t-il.

M. Lefebvre souligne également que le site utilise Google Analytics, qui compile les statistiques des visites du site. « Cela signifie qu’un visiteur est tracké dès le début de sa visite sur le site et qu’il est donc possible de tout savoir sur tout le monde qui vient sur le site, ainsi que ceux qui soumettent  de l’information », explique-t-il.

Ces informations risqueraient donc d’être exposées dans l’éventualité d’un piratage du site.  Il ne s’agit pas de failles à proprement parler, précise Luc Lefebvre, mais de problèmes de sécurité qui sent l’amateurisme. « Un site sérieux aurait : un certificat SSL gouvernemental, zéro outil de tracking, et n’utiliserait pas un formulaire de soumission en ligne », estime le fondateur de QuébecLeaks.

À ces très bonnes observations de Luc Lefebvre, je rajouterai ceci: quels moyens sont utilisés pour sécuriser les informations requises sur le serveur de la Commission Charbonneau? Un certificat SSL en bonne et due forme va sécuriser le conduit de transfert entre un possible lanceur d’alerte (whistleblower) et la commission mais ne va pas protéger les-dites informations une fois que celles-ci seront stockés physiquement sur les ordinateurs. Si le serveur est compromis par des pirates pour des desseins malicieux, comment la Commission peut-elle assurer que les whistleblowers ne seront pas retracés et, potentiellement, poursuivis? De plus, peut-on réellement faire confiance au site de la commission, puisque celui-ci est hébergé sur des serveurs appartenant au gouvernement du Québec, le même gouvernement étant au cœur des allégations de corruption?

Demanderiez-vous à un loup de protéger un poulailler? La CEIC utilisera-t-elle une forme de cryptage à clé publique pour le transport de documents? Pourrons-nous nous connecter à un réseau chiffré pour les communications, comme TOR ou à un serveur SILC?

Du côté de la Commission, on reste très, très vague sur la viande dans ce sandwich technique:

De son côté, Richard Bourdon, directeur des communications de la commission, dit avoir reçu l’assurance que le site était tout à fait sécuritaire. Au moment d’écrire ces lignes, nous attendions davantage de détails de sa part sur la sécurité du site.

La protection des sources dans ce genre de cas est absolument critique pour les lanceurs d’alertes. Rappelez-vous du cas de Bradley Manning dans la foulée des Afghan War Diaries… Pour le moment, il serait plus infiniment plus sécuritaire pour les potentiels lanceurs d’alertes d’utiliser plutôt l’infrastructure de QuébecLeaks directement pour la gestion de documents potentiellement sensibles.

La 53e émission des Fils de la liberté est maintenant disponible en baladodiffusion. Cette semaine: nous recevons Luc Lefebvre, fondateur de QuébecLeaks, pour parler de son site de fuites, son implication à Occupons Montréal et son nouveau projet République média.

L’émission a été enregistrée mercredi le 7 décembre 2011.

Clip audio : Le lecteur Adobe Flash (version 9 ou plus) est nécessaire pour la lecture de ce clip audio. Téléchargez la dernière version ici. Vous devez aussi avoir JavaScript activé dans votre navigateur.

Téléchargement, 74,8MB