[Kitetoa, les pizzaïolos du Ouèb

De l'art de faire dire à Google tout et son contraire : Danielle Kaminsky et la guerre de l'information

(*) At this point, our best tools are brain and google



Danielle Kaminsky, « Chercheur en Cybercriminalité ».

Un truc comme ça, ça vous pose une femme sur une carte de visite. Une lecture attentive des écrits de Danielle Kaminsky s'impose pour tenter de comprendre ce qui lui permet de s'auto-affubler d'un tel titre.

La méthodologie : que des "cas réels" pas si réels que ça

Les articles publiés par Danielle Kaminsky se présentent le plus souvent comme une études de cas réels.

C'est à partir de ces "cas réels" qu'elle tire ses observations et présente ses conclusions. La démarche semble évidente, tant elle est indispensable à la fiabilité d'une analyse. Danielle Kaminsky répète donc à loisir qu'elle utilise cette méthodologie.

Las... les "cas réels" qu'elle présente sont souvent impossibles à retrouver ailleurs que dans ses articles ou, s'il apparaissent quelque part, ne se présentent pas toujours sous l'angle choisi par Danielle Kaminsky. Trois cas de figure reviennent au fil des ses publications :

Cas N° 1 : Danielle Kaminsky présente l'affaire qu'elle décrit comme faisant l'objet d'une procédure judiciaire : il lui est donc impossible de révéler l'identité des protagonistes (art.2) :

"L'affaire est actuelle, et l'action est en justice. Pour des raisons compréhensibles, les noms des protagonistes et ceux des entreprises concernées ne sont pas dévoilés.".

Notons qu'une affaire en cours ne rend pas impossible la communication d'un minimum d'information: il est toujours possible d'indiquer sa nature (civil ou pénal) ainsi que son stade (instruction, attente de jugement, appel). Danielle Kaminsky ne le fait pas, ce qui pour une journaliste (c'est un autre titre qu'elle met en avant), n'est pas très habituel (les questions de bases que le journaliste se pose et auxquelles il répond sont notamment qui a fait quoi ou quand comment pourquoi).

Cas N°2: les "cas réels" présentés ont fait l'objet d'une publication ailleurs. C'est le cas notamment de la multinationale pharmaceutique attaquée par mail-bombing par un ancien salarié. Danielle Kaminsky l'utilise deux fois, une première pour illustrer sa vision de la "guerre informationnelle" en suggérant que la méthode aurait pu être utilisée pour détruire un concurrent (ce qui n'était pas le cas) et une deuxième pour illustrer les nouveaux dangers pour "la sécurité économique" des entreprises. (art. 6 et 8).

A chaque fois elle oublie de mentionner que la personne qui a perpétré ces attaques avait été licenciée pour avoir dénoncé les surfacturations pratiquées (selon elle) par la multinationale auprès des hôpitaux et que cette personne avait également été contrainte par la justice à une obligation des soins psychiatriques. Ces omissions démontrent pourtant que l'affaire mentionnée ne colle pas à la vision de la féroce guerre informationnelle entre des entreprises. Mais ressemble plutôt à une vengeance personnelle d'un salarié contre son ancien employeur.

Un autre exemple de "l'attaque informationnelle" que Danielle Kaminsky utilise par deux fois (art. 4 et 8) est celui de l'article "anti-OGM" publié par la revue Nature qui a été ensuite, selon Danielle Kaminsky, désavoué par le journal, à la suite d'attaques sur Internet:

"Un article publié dans la revue Nature a une forte valeur de crédibilité. Pourtant, en mars 2002, Nature indique que l'article n'aurait jamais dû être publié."

Ici aussi Danielle Kaminsky oublie de préciser qu'à l'occasion de ce "désaveu" la revue en question publie à nouveau le point de vue des auteurs mis en cause. Il s'agit donc d'un désaveu fort relatif. La dramatisation par omission pratiquée par Danielle Kaminsky a pour effet de rendre "l'attaque informationnelle par Internet" plus menaçante qu'elle ne l'est réellement. Principe essentiel du F.U.D, concept véhiculé outre Atlantique depuis des lustres par une certaine communauté d'"experts" en sécurité informatique et très justement décrit par Attrition.

Cas N° 3: Les "faits réels" présentés par Danielle Kaminsky ne sont tout simplement référencés nulle part. Ce sont surtout les "attaques informationnelles" perpétrées sur les groupes de discussion usenet qui sont présentés de la sorte, malgré une très grande facilité technique d'un tel referencement (url des archives Google). Exemple (art. 6) :

"Faux internautes lambda, agents de la concurrence, qui s'en prennent a des sociétés dans des forums de discussion et distillent des rumeurs. Faux consommateurs, faux clients qui sèment le doute sur la fiabilité ou qualité de produits ou services de telle entreprise pour favoriser à la place ceux d'un concurrent. L'attaque informationnelle consiste a entamer la réputation de personnes clé ou de produits pour affaiblir, parfois même ruiner une entreprise. Nul besoin de troupes nombreuses pour ce type d'action : un seul individu suffit à miner la confiance."

Cette assertion n'est basée sur aucun exemple concret. L'idée est pourtant distillée dans tous les articles qui parlent de groupes de discussion (et ils sont nombreux, comme on verra par la suite). Peut-être Danielle Kaminsky voit-elle, là où il n'y a qu'une opinion personnelle d'un consommateur, une guerre de l'information? (et l'on revient au concept de règne du faux).

La question mérite d'être posée. Car il semble bien que lors du procès contre Guillermito, elle ait fourni aux policiers des impressions en nombre des archives Google. Or, si elle a bien fourni ces très volumineuses impressions, il semble qu'elle en ait surtout tiré quelques extraits à destination de la justice (on retrouvera la méthode des extraits sur le site de Tegam après le procès et dans la prose abondante d'Olivier Aichelbaum) qui, pris hors contexte, n'ont plus du tout la même signification. La conclusion logique est que Danielle Kaminsky lit ce qu'elle a envie de lire, ce qui conforte sa vision des choses, là où il y a manifestement autre chose. L'exemple est particulièrement frappant lorsqu'il s'agit d'un post faisant très clairement appel à la dérision la plus totale. Elle n'y voit qu'une prise prise de position très sérieuse et en extrait un tout petit bout pour accabler son auteur. Cet exemple a été repris par Olivier Aichelbaum avec la même argumentation que celle de Danielle Kaminsky.

Par ailleurs, les références bibliographiques de Danielle Kaminsky laissent parfois à désirer. Dans l'art. 6 une référence mène vers une présentation PDF effectuée à l'occasion d'une journée d'études, une autre sur un recueil de brèves non documentées, ou encore, curieusement, vers un article totalement anonyme que l'éditeur de ce dernier qualifie lui-même de « fiction ». Passons.

De quoi parle DK ?

Quels sont les thèmes soulevés par Danielle Kaminsky ? En gros, il s'agit de la manipulation de l'information, notamment sur Internet, et plutôt à travers les groupes de discussion. Parmi les 8 articles analysés ici, 3 (art. 2, 3 et 7) sont consacrés exclusivement à ce sujet et quasiment tous les autres en parlent pour illustrer le propos.

Un autre thème, omniprésent et intimement lié aux groupes de discussion est l'usurpation/falsification d'identité auquel Internet se prêterait particulièrement bien, selon l'auteur. Un article tout entier est consacré à l'art d'en apprendre plus sur les internautes qui utilisent un pseudonyme. Notons cependant une certaine contradiction : s'il est si facile d'être anonyme sur Internet, comment fait Danielle Kaminsky pour démasquer si aisément ces anonymes ?

Peut-être connaît-elle des « spécialistes » de ce genre d'actions, comme un certain ronycs2000@yahoo.fr. Mais ce sont de mauvais spécialistes puisqu'ils laissent par exemple comme adresse IP, celle de la société Tegam pour aller dénigrer des gens sur Usenet ou agresser des gens par mail...

Un autre thème transversal est la "sécurité économique de l'entreprise" (formule issue de l'art.8) qui semble constituer un des centre d'intérêt principaux de Danielle Kaminsky. Internet et les moyens de communication modernes (SMS, télécopies, etc) y sont analysés exclusivement sous l'angle de leur utilisation malveillante par la concurrence, concurrence déguisée en "internautes lambda" ou autres citoyens honnêtes. L'art de la désinformation est vieux comme le monde. Mais toute opinion divergente, n'est pas obligatoirement une tentative de désinformation comme semble le penser Danielle Kaminsky. Malgré une apparente compétence à propos de ces nouveaux médias, elle semble en ignorer le fonctionnement. Exemple (art. 2) :

"La lecture de chaque message manifeste une constante : l'auteur vante systématiquement le produit concurrent. Jusque là, rien de spécial. L'homme peut tout simplement exprimer sa préférence avec la constance et la ferveur d'un "fan" de ce produit.

L'examen des messages archivés va toutefois apporter un sérieux bémol au sens de cette ferveur : en les épluchant un par un, on constate que l'auteur poste des messages à longueur de journée - pas seulement le soir, les week-ends et les jours fériés, mais aussi en pleine semaine -, sans discontinuer, tous les jours, du matin au soir."

Danielle Kaminsky semble ignorer que les groupes de discussion sont remplis de gens qui y postent à la longueur de la journée et que le cas qu'elle décrit est plutôt la norme que l'exception. Ne parlons même pas des gens qui passent leurs journées à "chatter" via MSN Messenger ou autre clone d'IRC. Or c'est sur cette base là qu'elle lance une recherche qui, selon elle, aboutira à la découverte d'un lien avec la concurrence :

"Là, les éléments rapportés sont encore plus révélateurs : le nom de l'auteur couplé expressément à celui de la société apparaît à plusieurs reprises. Bien plus, à l'intérieur de certains messages, l'auteur informe publiquement qu'il travaille pour le support technique de cette société concurrente."

La démarche ici n'est pas très claire : pourquoi Danielle Kaminsky considère-t-elle que l'auteur en question cache pour qui il travaille si la personne concernée le déclare elle-même ? Cette contradiction peut être rapprochée de celle mentionnée plus haut, où Danielle Kaminsky considère Internet comme un haut lieu de l'anonymat tout en démontrant qu'il est assez facile des trouver des information sur les personnes intervenant sous pseudonyme...

"Désormais, l'affaire est claire : il s'agit d'une manoeuvre en concurrence déloyale, destinée à saper la réputation du produit attaqué pour promouvoir le produit concurrent, vendu par la société à laquelle collabore l'auteur des attaques"

Cet exemple pose un problème plus général de l'utilisation d'Internet dans ses enquêtes. Danielle Kaminsky se sert des archives de Google (son outil préféré) comme si tout ce qui s'y trouve avait une valeur universelle et intemporelle. Or sur Google et autres moteurs de recherche on peut trouver tout et n'importe quoi ou plutôt tout et son contraire. Danielle Kaminsky semble ignorer que le traitement de l'information comporte généralement plusieurs étapes : la collecte et la sélection de l'information, certes, mais aussi sa vérification et sa validation. Cette dernière étape semble curieusement absente dans l'étude de ses « cas réels ».

Cette apparente contradiction entre une volonté affichée d'enquêter sur "la sécurité économique des entreprises" et l'utilisation pour le moins contestable des sources peut s'expliquer pourtant par le fait que Danielle Kaminsky n'est pas uniquement une journaliste (comme elle l'affirme quelquefois) ou une « chercheur en cybercriminalité » mais travaille elle-même pour une société commerciale (Tegam) qui par ailleurs, appartient à la famille de sa soeur. Ce double lien avec le monde de l'entreprise explique sans doute en partie la faible teneur méthodologique de ses enquêtes et sa préoccupation constante pour cette "sécurité économique de l'entreprise" qui est, finalement, quand bien même elle s'en défende, un peu la sienne. N'avait-elle pas indiqué au webmaster de Kitetoa.com lors d'un déjeuner en tête à tête qu'elle ferait tout pour défendre son neuveu? David Nataf ne dit-t-il pas dans son livre "La guerre informatique" que Danielle Kaminsky "prend les armes" contre un gendarme qui a dénigré "systématiquement" Tegam?

Cette préoccupation de protéger l'entreprise se manifeste aussi dans la contribution de Danielle Kaminsky au colloque SSTIC (notez les propriétés du document Powerpoint: The author is Danielle,The template was C:\Program Files\Microsoft Office\Modèles\Modèles de présentation\Barre verticale.pot, The last author was TEGAM), et constitue même le principal axe de son intervention. Malheureusement, parmi les deux exemples choisis pour illustrer sa thèse d'insécurité informationnelle de l'entreprise, le premier exemple est l'attaque sur Internet d'une entreprise commerciale contre l'auteur d'un article scientifique. Le contenu de cet article s'oppose aux intérêts commerciaux de l'entreprise et l'attaque qu'elle mène se fait justement sous fausse identité. Il est difficile de comprendre comment Danielle Kaminsky peut présenter cet exemple pour illustrer sa thèse.

Une autre possibilité serait que Danielle Kaminsky cherche a faire correspondre les faits a sa théorie, plutôt que d'établir une théorie qui correspond a ses observations. Autrement dit il y a une confusion entre hypothèse et résultat, ce que l'on pourrait qualifier de démarche anti-scientifique par excellence.

De quoi DK ne parle pas ?

Le fait que DK ne mentionne pas sa communauté d'intérêts avec une entreprise commerciale (en occurrence la société Tegam international) prive d'ailleurs le lecteur d'informations tout à fait capitales pour l'interprétation de la situation décrite dans l'article 2. La personne présentée comme "prétendu expert indépendant" a fait objet (exactement dans les mêmes termes), de publicités diffamatoires et nominatives sur le site Web de Tegam et dans la presse (notamment dans des journaux appartenant à un membre de la famille Kaminsky).

La procédure judicaire "en cours" qui se déroulait, selon Danielle Kaminsky, au moment de publication de l'article a effectivement a eu lieu mais plusieurs mois après la publication de l'article. Etant donné que l'identité de cette personne est parfaitement connue, il serait donc très facile au lecteur d'aller vérifier lui-même dans les archives de Google qu'elle a de très nombreuses fois nié travailler « pour la concurrence », pire, a plusieurs fois indiqué qu'elle travaillait ailleurs. Mais Danielle Kaminsky nous dira probablement que son exemple ne correspond pas à celui auquel tout le monde pense à la lecture de son article (article 2).

D'une manière plus large, l'explication la plus fréquente qu'avance Danielle Kaminsky pour présenter les motivations des "attaques informationnelles" contre les entreprises est l'action de la concurrence. A aucun moment il n'est question pour Danielle Kaminsky de l'évaluation réelle du produit lui-même et de sa valeur pour le consommateur final. On a le sentiment, en lisant ses analyses de groupes de discussion, que le "vrai" internaute n'a pas le droit d'émettre une critique envers une entreprise commerciale et, dès qu'il s'y avance, il devient forcement un concurrent masqué qui essaie de déstabiliser la "cible" de ses attaques.

La mise en scène de ces "attaques informationnelles" a aussi de quoi laisser perplexe. Par exemple dans "Infoguerre" (art. 6), article qui compte 4 pages, plus de deux pages sont consacrées à la description des diverses opérations de désinformation menées dans le cadre de conflits armées.

En parallèle les ressemblances avec Internet sont mises en valeur. S'ensuit la description de "l'attaque" contre la multinationale pharmaceutique (menée, rappelons-le, par une personne dont tout laisse croire qu'elle n'avait plus toute sa tête) et des "faux internautes lambda" sortis d'on ne sait où, sinon de l'article 2... construit lui-même sur les vérités pour le moins partiales.

En tout cas tout est fait dans l'article pour faire croire qu'Internet est une arme de destruction massive (ADM), ou presque, pour les entreprises (ou, en changeant radicalement de point de vue, la clef de voûte du processus commercial).

Cette « menace nouvelle » pour l'entreprise que constituent les anonymes d'Internet est, presque involontairement, niée par Danielle Kaminsky elle-même. Ne démontre-t-elle pas que les interventions « anonymes » sont presque toujours identifiables à travers les caractéristiques techniques des messages ? L'anonymat sur Internet est, somme toute, comparable à l'anonymat d'un soldat dans l'armée : ressenti parfois sous couvert de l'uniforme mais quasi-inexistant dans la réalité.

Autre grande inconnue dans les articles de Danielle Kaminsky: le coût présumé des opérations de désinformation telles qu'elles sont décrites. Or un calcul du coût de telles opérations pour l'attaquant devrait prendre en compte non seulement le coût financier mais aussi que celui lié au risque juridique entraîné pour l'entreprise attaquante. Au contraire, Danielle Kaminsky semble croire que les opérations de déstabilisation qu'elle décrit se font très facilement et sans frais :

"Or, la guerre de l'information peut être conduite par tout petits effectifs, de manière diffuse" (art. 2) "Nul besoin des troupes nombreuses pour ce type d'action : un seul individu suffit à miner la confiance" (art.2)

"Les entreprises peuvent avoir de gros moyens et des outils, mais ceux-ci peuvent aussi bien empeser leur capacité de réagir. Tandis que les adversaires ont peut-être moins de moyens, mais davantage de mobilité et de rapidité." (art. 1)

Etrangement, ces affirmations sont en contradiction avec la réalité des attaques qu'elle décrit elle-même. La seule et unique "attaque informationnelle" par le biais d'Internet que Danielle Kaminsky documente suffisamment pour qu'on puisse être persuadé de sa réalité (rappelons qu'il s'agit d'une attaque perpétré par une société commerciale contre l'article scientifique de Nature) semble à première vue être montée par deux internautes "lambda" mais l'est en fait par une société de relations publiques. Il serait étonnant que cette dernière ne facture pas ses services au prix du marché.

Enfin, l'évaluation des dommages pour l'entreprise attaquée est souvent "énorme"... mais jamais clairement évaluée avec précision. En décrivant par exemple l'affaire de multinationale pharmaceutique Danielle Kaminsky cite le chiffre impressionnant de 700 000 mails que la personne a réussi a envoyer mais curieusement oublie de mentionner le chiffre de dommages et intérêts que la multinationale a réclamé et obtenu : 30 000 euros environ, dont la moitié destiné à couvrir les frais techniques. D'ailleurs ces dommages et intérêts correspondaient aussi à l'affaire des télécopies envoyées par le prévenu, et ne concernaient en rien "l'attaque informationnelle" par Internet.

Est-ce que une somme de cet ordre constitue effectivement une somme "énorme" pour une multinationale ? On peut se poser la question.

Internet, les internautes et la "sécurité économique de l'entreprise"

A travers ses articles Danielle Kaminsky distille l'idée qu'Internet autorise tous sortes d'abus à l'encontre des intérêts commerciaux des entreprises et favorise les opérations illégales entre concurrents. A l'aide des exemples présentés d'une manière incomplète ou non documentés elle construit une vision du monde où toute critique est assimilée à une entorse à la concurrence. Bref, Internet est présenté comme un endroit où la liberté d'expression des individus n'existe pas, faute d'internautes non liés aux intérêts commerciaux. En tout état de cause, on retrouve curieusement une théorie développée au travers de publicités douteuses par Tegam.

L'aspect technique des échanges sur Internet semble lui échapper. En comparant l'informatique avec les moyens « traditionnels » de désinformation (art.6) elle affirme :

« Or, les moyens informatiques sont particulièrement propices à produire de l'illusion », comme si les échanges entre les machines ne laissaient pas de traces, ou moins que les échanges par d'autres voies de communication. Où plus dures à analyser puisque l'on est dans « l'illusion ». La science d'analyser les traces techniques est donc accessible à quelques heureux élus seulement. Aux chercheurs en cybercriminalité? Encore faudrait-il qu'ils puissent comprendre par exemple qu'une pièce-jointe n'est pas dissociable d'un mail (ou de l'identité de l'auteur de ce mail)...

Et cette vision particulière, qui correspond à ses intérêts propres bien qu'inavoués, semble faire tâche d'huile dans le monde de sécurité français comme le démontre par exmple l'article de Sylvie Rozenfeld dans "Expertises" au titre significatif : "Dénigrement d'un antivirus français [Viguard de Tegam] : les limites de la liberté de critique technique".

De même les "démonstrations" de Danielle Kaminsky ont trouvé leur place, malgré les évidentes incohérences logiques, au sein du colloque SSTIC 2004 ou du "Salon juridique de l'internet et du numérique".

Etant donné la qualité de "journaliste" qu'elle revendique et la place médiatique qu'elle occupe on peut s'étonner qu'une personne représentant, somme toute, une entreprise commerciale et pas grand chose d'autre, puisse publier sa vision très partiale de la vérité sans qu'aucune voix ne s'élève contre ces procédés dans le petit monde de la sécurité informatique.






(*) Cette citation issue d'un article titré "Honeypot forensics" signé par Frédéric Raynal, Yann Berthier, Philippe Biondi et Danielle Kaminsky.

A articles publiés dans la revue Netsources :

1. "La manipulation de l'information : les réponses", (mai 2001), compte-rendu d'un colloque sur désinformation
http://www.bases-publications.com/revues/bases/e-docs/00/00/01/A3/document_article.phtml
2. "Remonter à la source d'une rumeur" (nov.-déc. 2001), étude d'un cas réel" d'attaque d'un produit
http://www.bases-publications.com/revues/netsources/e-docs/00/00/01/36/document_article.phtml
3. "Forums de discussion : comment débusquer l'auteur d'un message" (nov.-déc. 2002), sur l'analyse des en-têtes des messages des groupes de discussion
http://www.bases-publications.com/revues/netsources/e-docs/00/00/00/B5/document_article.phtml
4. "Fiabilité de l'information: révélation, influences, mensonges... retour à la cas départ" (sept.-oct. 2003), l'analyse d'une rumeur sur les messages terroristes dans les images porno et l'analyse d'une attaque contre un scientifique ayant publié un article sur les OGM
http://www.bases-publications.com/revues/netsources/e-docs/00/00/00/22/document_article.phtml
5. France : le Top 100 de l'intelligence économique, janv. 2004
http://www.bases-publications.com/revues/bases/e-docs/00/00/00/29/document_article.phtml

B. Article publié dans la revue MISC :
6. "Guerre de l'information", MISC N° 12 (mars-avril 2004), présentation des cas de desinformation à des fins militaires, d'un cas d'attaque d'une multinationale par e-mails massifs, ainsi que les attaques sur les groupes de discussion

C. Article publié dans Virus informatique d'août 2002 :
7. "Monstres et clowns du net : Bienvenue à Egoland !" analyse sociologique des groupes de discussion

D. Contribution au colloque SSTIC (juin 2004) :
8. "Méthodologie d'analyse d'attaques informationelles à base de cas réels", analyse de la même attaque contre une multinationale qu'au point 6 - analyse de l'attaque contre le scientifique: article 4



Kitetoa

Retour au sommaire de l'affaire Tegam contre Guillermito

k-version: 5.0