In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
Dans les années 80 dans l’Allemagne de l’Est communiste, si vous possédiez une machine à écrire, il vous fallait l’enregistrer auprès du gouvernement. Il vous fallait enregistrer un échantillon de texte tapé sur la machine à écrire. Et cela se faisait pour que le gouvernement puisse retracer d’où venaient les textes. S’il trouvait des papiers avec des mauvaises pensées, il pouvait retrouver qui l’avait créé. Et nous, en Occident, nous ne pouvions comprendre comment on pouvait faire ça, combien cela limiterait notre liberté de parole. Nous ne ferions jamais une chose pareille dans nos propres pays.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Mais aujourd’hui, en 2011, si vous allez acheter une imprimante laser couleur de n’importe quel grand fabricant d’imprimantes et imprimez une page, cette page aura des petits points jaunes imprimés sur chaque page avec un motif qui rend la page unique, liée à vous et à votre imprimante. Cela se passe chez nous, aujourd’hui. Et personne ne parait en faire une histoire. Et c'est un exemple de la façon dont nos gouvernements utilisent la technologie contre nous, les citoyens. Et c'est l'une des trois principales sources des problèmes en ligne aujourd’hui.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Si nous jetons un coup d’œil à ce qui se passe en ligne, nous pouvons regrouper les attaques selon les types d'attaquants. Il existe trois groupes principaux. Il y a les cybercriminels. Comme celui-ci, M. Dimitry Golubov, de Kiev, en Ukraine. Et la motivation des cybercriminels est très facile à comprendre. Ils font de l’argent. Ils utilisent les attaques en ligne pour faire de l’argent, plein d’argent. Il y a en fait plusieurs cas de millionnaires en ligne, des multimillionnaires, qui ont fait de l’argent avec leurs attaques. Voici Vladimir Tsastisn, de Tartu, en Estonie. Voici Alfred Gonzalez. Voici Stephen Watt. Voici Bjorn Sundin. Voici Matthew Anderson, Tariq Al-Daour et ainsi de suite.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Ces gars là on fait fortune en ligne, mais par des moyens illégaux, en utilisant par exemple des chevaux de Troie bancaires, pour voler de l’argent sur nos comptes bancaires, pendant nos opérations en ligne, ou avec des enregistreurs de frappe, pour récupérer des informations sur nos cartes bancaires, pendant que nous achetons en ligne à partir d’un ordinateur infecté. Les Services Secrets des États-Unis, il y a deux mois, ont gelé le compte bancaire suisse de M. Sam Jain, que vous voyez là, et ce compte bancaire se montait à 14,9 millions de dollars au moment où il a été gelé. M. Jain lui-même est en fuite ; personne ne sait où il est. Et je vous assure que dès aujourd’hui, il est plus probable pour n’importe qui d’être victime d’un crime en ligne que d’un crime dans le monde réel. Et il est évident que ça ne va qu’empirer. Dans le futur, la majorité des crimes se passera en ligne.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
Le deuxième groupe principal d'attaquants que nous observons aujourd’hui n'est pas motivé par l’argent. Ils sont motivés par autre chose : motivés par la protestation, motivés par une opinion, motivés par le rire. Des groupes comme Anonymous sont montés en puissance ces 12 dernier mois, et sont devenus un des acteurs principaux dans le domaine des attaques en ligne.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Voici donc les trois attaquants principaux : les criminels qui le font pour l’argent, les ‘hacktivistes’ comme Anonymous, qui le font pour protester, et enfin le dernier groupe qui sont les états-nation, les gouvernements qui font des attaques. Et nous observons des cas comme ce qui s’est passé chez DigiNotar. C’est un exemple parfait de ce qui se passe quand ce sont les gouvernements qui attaquent leurs propres citoyens. Diginotar est un organisme de certification des Pays Bas -- ou plutôt, c’était. Il a fait faillite l’automne dernier parce qu’il a été piraté. Quelqu’un est entré, et a tout piraté. Et la semaine dernière, lors d'une rencontre avec les représentants du gouvernement néerlandais, j’ai demandé à un des dirigeants du groupe s’il croyait possible que des gens meurent à cause du piratage de DigiNotar. Et il m’a répondu que oui.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Alors, comment des gens meurent-ils suite à un piratage comme celui-ci ? Eh bien, DigiNotar est un organisme de certification. Ils vendent des certificats. Que faites-vous avec des certificats ? Eh bien, il vous faut un certificat si vous avez un site https, avec des services SSL chiffrés, des services comme Gmail. Nous tous, ou presque, utilisons Gmail ou des services concurrents, mais ces services sont très populaires dans les états totalitaires comme l’Iran, où les dissidents utilisent des services étranger comme Gmail parce qu’ils savent qu’ils sont plus fiables que les services locaux, et qu'ils sont chiffrés sur les connections SSL, de sorte que les gouvernements locaux ne peuvent pas mettre leur nez dans leurs discussions. Sauf qu'ils pourraient le faire, s’ils pirataient un organisme de certification et émettaient de faux certificats. Et c’est exactement ce qui s’est passé avec DigiNotar.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
Et qu’en est-il du printemps arabe et de ce qui se passe, par exemple, en Égypte? Eh bien, en Égypte, les émeutiers ont pillé le siège de la police secrète égyptienne en avril 2011, et en pillant l’immeuble, ils ont trouvé plein de papiers. Parmi ces papiers, il y avait ce classeur étiqueté « FINFISHER ». Et dans ce classeur, il y avait les notes d’une société basée en Allemagne qui avait vendu au gouvernement égyptien une série d’instruments pour intercepter -- à très grande échelle -- toutes les communications des citoyens du pays. Ils avaient vendu cet instrument pour 280 000 euros, au gouvernement égyptien. Le siège de la société est ici.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Donc, les gouvernements occidentaux fournissent aux gouvernements totalitaires des instruments pour faire ça contre leurs propres citoyens. Mais les gouvernements occidentaux le font chez eux aussi. Par exemple, en Allemagne, pas plus tard qu’il y a deux semaines, on a découvert le dénommé Scuinst Trojan ; c’est un cheval de Troie utilisé par les services du gouvernement allemand, pour enquêter sur ses propres citoyens. Si vous êtes suspecté dans une enquête criminelle, c’est assez évident, votre téléphone sera sur écoute. Mais aujourd’hui, ça va bien au delà. Ils mettront sur écoute votre connexion Internet. Ils utiliseront même des instruments comme Scuinst Trojan pour infecter votre ordinateur avec un cheval de Troie, qui leur permet de surveiller toutes vos communications, d’écouter toutes vos discussions en ligne, de récupérer vos mots de passe.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
En réfléchissant un peu sur tout cela, la réponse évidente des gens devrait être « D’accord, ça semble mauvais, mais ça ne me regarde pas vraiment, parce que je suis un honnête citoyen. Pourquoi devrais-je m’inquiéter ? Je n’ai rien à cacher. » C’est un argument qui n’a aucun sens. La vie privée va de soi. La vie privée n’est pas négociable. C’est n’est pas un problème de vie privée opposée à la sécurité. C’est un problème de liberté opposée au contrôle. Et bien que nous puissions avoir confiance en nos gouvernements, maintenant, aujourd’hui en 2011, chaque droit auquel nous renonçons, nous y renonçons pour de bon. Et avons-nous une confiance, une confiance aveugle en nos futurs gouvernements, un gouvernement que nous pourrions avoir dans 50 ans ? Ce sont les questions que nous devrions nous poser dans les 50 prochaines années.