[Expert] Big brother nous surveillait déjà, par Olivier Ezratty

Il n’y avait pas de quoi être bien sur­pris des révé­la­tions concer­nant le pro­gramme de sur­veillance PRISM de la NSA. Nous allons ici rela­ti­vi­ser cette décou­verte avec ce qui se pra­tique dans bien d’autres pays dont la France. Et aussi voir où cela pour­rait nous mener.

Vieilles inter­cep­tions

La NSA inter­cepte les com­mu­ni­ca­tions élec­tro­ma­gné­tiques depuis des décen­nies. Elle a même été créée spé­cia­le­ment pour ration­na­li­ser cette mis­sion en 1952, en pleine guerre froide. Elle le fai­sait sur les com­mu­ni­ca­tions télé­pho­niques, notam­ment satel­li­taires, via le pro­gramme Eche­lon. Elle avait mis en place au milieu des années 2000 un pro­gramme d’interception des com­mu­ni­ca­tions Inter­net très bien docu­menté dans l’excellent “The sha­dow fac­tory”. Ce livre est le troi­sième écrit par le jour­na­liste James Bam­ford sur la NSA, après “The puzzle palace” (1982) et “Body of secrets” (2001). Paru en 2008, il explique com­ment, en marge de la loi amé­ri­caine, la NSA a ins­tallé après 9/11 des “salles noires” dans les nœuds de réseaux optiques des grands opé­ra­teurs télé­coms amé­ri­cains (les Regio­nal Bell Ope­ra­ting Com­pa­nies ou RBOC) tels que AT&T ou Verizon.

Ces salles répliquent les signaux tran­si­tant dans les fibres optiques. Ces signaux sont ensuite fil­trés loca­le­ment par des ser­veurs dédiés. Ne sont conser­vées que les trames IP pro­ve­nant d’endroits ou sujets à sur­veiller, tels que ceux qui sont issus des pays dits à risques pour la sécu­rité des USA. Iran, Yémen, Syrie, etc. Le résul­tat du fil­trage est alors envoyé dans l’un des centres d’analyse de ces don­nées de la NSA, dont le siège situé à Fort Meade près de Washing­ton DC (ci-dessous). Ce sys­tème per­met de savoir qui cause avec qui, qui consulte quoi, et éven­tuel­le­ment, de quoi il s’agit.

En paral­lèle, la NSA ter­mine la construc­tion d’un énorme data cen­ter à Bluff­dale dans l’Utah. Il est censé sto­cker toutes les don­nées d’interception.

PRISM com­plète ce dis­po­si­tif qui avait déjà quelques années d’existence avec, semble-t-il, des ser­veurs ins­tal­lés chez les opé­ra­teurs de ser­vices Inter­net : Google, Yahoo, Micro­soft et plein d’autres. Ces ser­veurs per­met­traient de fouiller non plus sim­ple­ment dans les flux de don­nées cir­cu­lant sur Inter­net via les RBOC, mais aussi dans les stocks de don­nées, situés dans les ser­veurs des pure players Internet.

Les der­niers slides de la pré­sen­ta­tion dévoi­lée par Edward Snow­den expliquent cela très bien. Ils montrent d’ailleurs que c’est l’ensemble de la com­mu­nauté du ren­sei­gne­ment US est impli­quée dans PRISM et pas seule­ment la NSA. Le FBI est en effet l’organisation qui gère le lien avec les ser­vices Inter­net tan­dis que la NSA conti­nue de fil­trer les com­mu­ni­ca­tions Inter­net au niveau des RBOC.

En résumé : sauf à être très for­te­ment cryp­tées, nos com­mu­ni­ca­tions Inter­net qui ont de grandes chances de tran­si­ter par les USA sont poten­tiel­le­ment inter­cep­tées par la NSA et le FBI. De là à ce que vous faites les inté­resse, cela dépend évidem­ment de vos acti­vi­tés ! Vos don­nées seront exa­mi­nées si vous faites par­tie de la cen­taine et quelques de mil­liers de cibles de la NSA.

Les infra­struc­tures de la NSA sont évidem­ment inté­res­santes au niveau de leur archi­tec­ture tech­nique. L’agence a tou­jours été à la pointe dans deux domaines clés : le décryp­tage des don­nées chif­frées, à l’aide de super­cal­cu­la­teurs avec une forte consom­ma­tion de Cray en leur temps, main­te­nant pro­ba­ble­ment rem­pla­cés par des archi­tec­tures plus dis­tri­buées et de l’autre, l’usage de tech­no­lo­gies de télé­com­mu­ni­ca­tion ultra-rapides. En effet, les don­nées inter­cep­tées repré­sentent des volumes très impor­tants à faire cir­cu­ler. La NSA est donc le pre­mier client au monde d’infrastructures de télé­com­mu­ni­ca­tions à base de fibres optiques à ultra-haut débit comme celles que nous avions explo­rées dans mon pre­mier article sur Alcatel-Lucent.

Aussi iro­nique que cela puisse paraitre, dans “The sha­dow fac­tory”, James Bam­ford indique que la vision big bro­the­rienne du film “Ennemi d’Etat” (Ennemy of the State) sorti en 1998 n’avait rien à voir avec la réa­lité. A l’époque, la NSA savait bien inter­cep­ter les com­mu­ni­ca­tions télé­pho­niques mais était com­plè­te­ment à la rue pour ce qui concer­nait celles qui tran­si­taient sur Inter­net, et notam­ment la VOIP. Il faut dire qu’à l’époque, l’Internet grand public n’avait que quatre petites années d’existence ! On peut dater l’arrivée du web grand public à l’émergence de Nets­cape Navi­ga­tor fin 1994 !

“Ennemi d’Etat” pré­sen­tait une vision pros­pec­tive ne col­lant pas du tout à la réa­lité au moment de sa réa­li­sa­tion. 15 ans après, cette vision est deve­nue réa­lité. C’est le lot com­mun des films de science fic­tion d’Hollywood qui pré­sentent des scé­na­rios tech­no­lo­giques futu­ris­tiques qui ins­pirent ensuite les cher­cheurs, entre­pre­neurs et les états !

Mais même aujourd’hui, avec tous les moyens dont ils dis­posent, les ser­vices de ren­sei­gne­ment amé­ri­cain et autres ont bien du mal à pré­ve­nir des opé­ra­tions ter­ro­ristes ou autres, sur­tout lorsqu’elles sont déclen­chées par des indi­vi­dus iso­lés et com­mu­ni­quant peu.

Der­nière révé­la­tion en date de l’affaire PRISM : la NSA espion­ne­rait les ambas­sades euro­péennes ou diverses mis­sions à l’ONU, y com­pris de pays “amis”. Là-dessus, rien de nou­veau sous le soleil : l’espionnage est vieux comme le monde et celui des ambas­sades étran­gères a démarré bien avant l’avènement du numé­rique ! Seuls les moyens ont évolué. Il est moins utile d’installer des micros dans les murs comme du temps de la guerre froide ! Quoique… ! En fait, avec des lasers, on peut écou­ter à dis­tance une com­mu­ni­ca­tion dans une pièce en visant une fenêtre. Mais les ambas­sades bien équi­pées dis­posent en géné­ral de salles iso­lées, sans fenêtres, et construites dans des cages de Fara­day étanches aux ondes élec­tro­ma­gné­tiques. Et si vous visi­tez une ambas­sade des USA, on vous videra de la tête aux pieds de tout objet numé­rique, clés USB com­prises ! C’est l’un des rares endroits que je connaisse où de telles pré­cau­tions d’usages soient de rigueur.

A un moment, cer­tains com­men­ta­teurs se sont éton­nés que la NSA n’espionne pas Twit­ter. Et pour cause… la majeure par­tie des don­nées qui y cir­culent sont publiques. Ne res­tent plus qu’à récu­pé­rer les Direct Mes­sage qui ne le sont pas. Cela ne devrait pas être trop dif­fi­cile de le faire sans même pas­ser par les ser­veurs de Twitter !

Et en France ?

Ca n’a pas loupé, la révé­la­tion du pro­gramme PRISM a gêné les USA et obligé les autres gou­ver­ne­ments à récla­mer des expli­ca­tions. Expli­ca­tions que leurs ser­vices spé­ciaux ont déjà lar­ge­ment en main quand ils ne col­la­borent pas déjà ensembles et exploitent des don­nées cap­tées par leurs sys­tèmes res­pec­tifs, notam­ment dans la traque de ter­ro­ristes potentiels.

Mais pour le théâtre de la poli­tique, les chefs d’Etats doivent jouer les vierges effa­rou­chées ! Ce sont sur­tout les orga­ni­sa­tions de défense des citoyens ou de la vie pri­vée qui se sont le plus rebif­fées. La Qua­dra­ture du Net défend ainsi le sort d’Edward Snow­den, l’employé amé­ri­cain de Booz & Allen à l’origine des fuites sur PRISM. Sa dif­fi­culté récente à trou­ver un pays d’asile témoigne de l’embarras des pays occi­den­taux face à l’allié américain !

On a même vu des articles presse expli­quant aux Inter­nautes com­ment éviter de voir leurs com­mu­ni­ca­tions Inter­net espion­nées par la NSA. Jusqu’à recom­man­der d’arrêter d’utiliser Google ou Face­book.

Là-dessus, les jour­na­listes ont un peu enquêté du côté fran­çais en se disant à juste titre que les pra­tiques de la NSA ne devaient pas rele­ver de l’exception. Et on s’est rap­pelé de l’existence de pro­grammes simi­laires en Europe et notam­ment en France. Cf “Fren­che­leon, la DGSE est en pre­mière divi­sion”, “Révé­la­tions sur le big bro­ther fran­çais” ou “La DGSE écoute le monde (et les fran­çais) depuis 30 ans”.

Les dif­fé­rences entre les pra­tiques de la DGSE et de la NSA ? Elles se situent au niveau des moyens, bien plus impor­tants aux USA (x10 à x20) et dans l’arsenal juri­dique qui encadre – ou pas – ces sys­tèmes d’écoute. Aux USA, il s’agit de la loi FISA (Foreign Intel­li­gence Sur­veillance Act) qui per­met de sur­veiller les étran­gers, et théo­ri­que­ment pas les citoyens des USA (cf l’excellent fiche Wiki­pe­dia sur PRISM). En France, les lois concer­nées sont mul­tiples et dis­pa­rates, et on trouve diverses dis­po­si­tions dans la LCEN et la LOPPSI 2.

Les simi­li­tudes : des moyens tech­niques voi­sins et une mutua­li­sa­tion des sys­tèmes d‘écoute par l’ensemble des orga­ni­sa­tions du ren­sei­gne­ment fran­çais (DCRI, DGSE, DRM, Douanes, etc). Ces grandes oreilles sont opé­rées par la Direc­tion Tech­nique de la DGSE qui repré­sen­te­rait plus de la la moi­tié de ses effec­tifs, soit envi­ron 2000 per­sonnes. La France n’a pas l’avantage des USA d’avoir ses grosses artères Inter­net connec­tées au reste du monde. Mais tout de même, les nôtres sont reliées aux pays avoi­si­nants et à ceux de la médi­ter­ra­née et qui plus est nous sommes pré­sents dans diverses régions du monde via nos DOM/TOM. Mais l’histoire ne dit pas encore si la DGSE inter­cepte en temps réel les com­mu­ni­ca­tions des opé­ra­teurs télé­coms comme la NSA le fait dans les centres des Baby Bells “RBOC”.

Quid des rela­tions entre les ser­vices fran­çais et les acteurs du numé­rique ? Là-aussi, elles existent et ce, depuis des années. Les grands acteurs sont tenus à diverses obli­ga­tions que nous allons ici rappeler.

• Les opé­ra­teurs télé­coms fran­çais mettent en place des écoutes ciblées par dizaines de mil­liers chaque année. Elles sont lan­cées sur com­mis­sions roga­toires de la jus­tice. Il y a plu­sieurs per­sonnes en charge de les lan­cer chez cha­cun des grands opé­ra­teurs. Cela concerne les menaces ter­ro­ristes (via demandes de la DCRI) mais aussi la grande délin­quance et toutes sortes d’enquêtes judi­ciaires en cours. Ces inter­cep­tions concernent l’ensemble des com­mu­ni­ca­tions tran­si­tant via les opé­ra­teurs : télé­pho­nie fixe et mobile, VOIP, tran­sits Inter­net, sites visi­tés. Elles donnent lieu à un ver­se­ment d’une com­pen­sa­tion du Minis­tère de la Justice.
• Diverses lois régissent la manière dont les uti­li­sa­teurs cryptent leurs don­nées numé­riques. La LCEN (Loi sur la Confiance dans l’Economie Numé­rique) de 2004 per­met ce cryp­tage mais impose de four­nir aux auto­ri­tés, notam­ment judi­ciaires, toutes les clés de cryp­tage uti­li­sées. Leur taille n’est plus limi­tée. La LOPPSI 2 votée en 2011 (loi d’orientation et de pro­gram­ma­tion pour la per­for­mance de la sécu­rité inté­rieure) auto­rise la police sous contrôle judi­ciaire d’utiliser tout moyen pour s’introduire dans les ordi­na­teurs de per­sonnes sus­pec­tées de crimes graves, de tra­fic d’armes et de stu­pé­fiants, de blan­chis­se­ment d’argent ou d’aide à l’immigration illé­gale. Evi­dem­ment… sans le consen­te­ment des pro­prié­taires des ordi­na­teurs en question !
• Les dis­po­si­tions sur la sécu­rité infor­ma­tique rela­tives au cryp­tage des don­nées et des liai­sons sont gérées par l’ANSSI, l’Agence Natio­nale de la Sécu­rité des Sys­tèmes d’Information. Cette agence, ancien­ne­ment DCSSI, dépend du Secré­ta­riat Géné­ral de la Défense et de la Sécu­rité Natio­nale (SGDSN, ancien­ne­ment SGDN). Elle sou­met la mise sur le mar­ché fran­çais et l’exportation de logi­ciels de cryp­tage à une demande préalable.

• D’un point de vue pra­tique, ces contrôles imposent aux éditeurs de logi­ciels de four­nir à l’ANSSI les moyens tech­niques de déco­der les fichiers encryp­tés par ces logi­ciels. Cela concerne notam­ment les usuels for­mats Office lorsque l’on y adjoint un mot de passe (une pro­tec­tion très très légère). Cette capa­cité per­met ainsi à la Police Judi­ciaire, entre autres organes dépen­dant de l’Etat, de décryp­ter cer­taines des don­nées récu­pé­rées sur des disques durs sai­sis auprès de per­sonnes sus­pectes de délits.
• L’ANSSI dis­pose même des codes sources des sys­tèmes d’exploitation pro­prié­taires tels que ceux de Win­dows pour les exa­mi­ner à volonté et ce depuis près de 10 ans. L’histoire ne dit pas si l’ANSSI dis­pose de ceux de l’intégralité de MacOS. D’un point de vue pra­tique, cela met Win­dows presque sur un pieds d’égalité par rap­port à Linux dont le code est open source (mais pas celui de toutes les appli­ca­tions que l’on exploite des­sus). Presque car le nombre de per­sonnes qui sont à même d’examiner le code source de Win­dows est pro­ba­ble­ment bien infé­rieur à ceux qui décor­tiquent celui de Linux.
• L’ANSSI est mise au cou­rant par les grands éditeurs, dont Micro­soft, des vul­né­ra­bi­li­tés concer­nant leurs logi­ciels, et avant le mar­ché. Cela leur donne à la fois de l’avance pour se pro­té­ger, mais aussi pour exploi­ter ces failles. Les agences de ren­sei­gne­ment n’ont pas besoin de mythiques portes déro­bées dédiées ! Il leur suf­fit d’exploiter les nom­breuses failles iden­ti­fiées, le plus en amont pos­sible. Les ordi­na­teurs de la “base ins­tal­lée”, y com­pris de délin­quants, ne sont pas tou­jours suf­fi­sam­ment pro­té­gés et les der­nières mises à jour n’y sont pas tou­jours ins­tal­lées régu­liè­re­ment. C’est aussi le cas de nom­breux ordi­na­teurs d’entreprises pou­vant être la cible d’activités de ren­sei­gne­ment écono­mique, notam­ment dans les PME industrielles.

Face à cet arse­nal, les délin­quants de tout poil peuvent évidem­ment éviter de voir leurs com­mu­ni­ca­tions déchif­frées. Ils peuvent soit cacher leurs mes­sages dans des conte­nus ano­dins, comme avec les tech­niques de sté­ga­no­gra­phie qui servent à plan­quer des mes­sages dans des images. Soit, il peuvent cryp­ter for­te­ment leurs don­nées avec des clés qui ne sont pas four­nies à l’Etat fran­çais. Ils peuvent aussi uti­li­ser un tun­nel VPN for­te­ment crypté pour les com­mu­ni­ca­tions de machine à machine. C’est là qu’interviennent les spé­cia­listes du déchif­fre­ment de la DGSE, très gour­mande en mathé­ma­ti­ciens de haut vol.

Comme l’a écrit Eric Schmidt dans son der­nier livre “The New Digi­tal Age: Resha­ping the Future of People, Nations and Busi­ness”, se cacher sur Inter­net devien­dra sus­pect. C’est d’ailleurs l’un des fac­teurs qui a per­mis de retrou­ver Ben Laden à Abbot­ta­bad en 2011. Sa grande mai­son n’était pas connec­tée à Inter­net et n’émettait aucune onde élec­tro­ma­gné­tique ! Ce vide était louche. A contra­rio, l’usage de VPNs et de don­nées for­te­ment cryp­tées, pas faciles à cas­ser pour les grandes clés, sont tout aussi louches. Dans ce cas, les ser­vices de ren­sei­gne­ment s’intéresseront aux infor­ma­tions sur les ter­mi­nai­sons de ces com­mu­ni­ca­tions : qui émet quoi et reçoit des infor­ma­tions à quel endroit. Ce sont déjà des infor­ma­tions de grande valeur ! En quelques sortes, le graphe social des criminels !

Faut-il s’inquiéter ?

Deux argu­ments s’opposent : d’un côté celui selon lequel le ren­sei­gne­ment est utile pour pré­ser­ver l’état de la société et de l’autre celui selon lequel toute forme d’espionnage des citoyens est liberticide.

D’un point de vue pra­tique, votre vie pri­vée n’intéresse pas du tout la NSA ou la DGSE sauf si vous menez des acti­vi­tés poten­tiel­le­ment dan­ge­reuses pour la sécu­rité des pays concer­nés. Dans le reste des cas, c’est-à-dire, 99,999% des situa­tions, la NSA et la DGSE se tapent de vos faits et gestes comme de l’an 40 ! C’est un argu­men­taire qui ne jus­ti­fie rien, mais qui per­met de rela­ti­vi­ser les menaces. Pour l’instant.

Sans être délin­quants, vous êtes par contre concer­nés et poten­tiel­le­ment vul­né­rables si vous déte­nez des secrets indus­triels ou poli­tiques. Les dis­po­si­tifs de ren­sei­gne­ment sont uti­li­sés pas seule­ment pour pré­ve­nir des menaces ter­ro­ristes mais aussi pour faire du ren­sei­gne­ment poli­tique et écono­mique actif. C’est à ce titre que l’ANSSI four­nit des recom­man­da­tions aux orga­nismes publics et aux entre­prises indus­trielles fran­çaises pour leur per­mettre de se protéger.

Il y a aussi le “big bro­ther” dont on ne parle jamais : les hyper­mar­chés qui savent ce que vous ache­tez et les banques qui en savent autant, sans comp­ter les orga­nismes de santé qui en savent aussi beau­coup sur vous. Les don­nées qu’ils col­lectent sur nous sont rare­ment bien uti­li­sées et les lois fran­çaises ainsi que la CNIL nous pro­tègent de rap­pro­che­ments entre les bases correspondantes.

Ce n’est pas faute d’envie, mais plu­tôt de moyens, d’outils adap­tés et de savoir faire. On a beau nous abreu­ver de concepts “big data” depuis au moins deux ans et de “mar­ke­ting 1 to 1” depuis encore plus long­temps, la mise en pra­tique dans les grandes entre­prises est bien rare. Le virus de la recom­man­da­tion de pro­duits n’a pas encore atteint ces acteurs. On se contente d’en béné­fi­cier dans les sys­tèmes de vidéo à la demande ou avec les publi­ci­tés plus ou moins bien ciblées sur Inter­net (via AdWords, ou le re-ciblage sauce Critéo).

Autre menace : les ser­vices en ligne pour qui la vie pri­vée est une valeur rela­tive mal­gré toutes les décla­ra­tions de bonnes inten­tions. Les risques sont réels avec Face­book qui change ses règles d’utilisation comme de che­mise et où l’on ne sait jamais clai­re­ment ce qui est public ou pas dedans tant son inter­face uti­li­sa­teur est deve­nue com­pli­quée. C’est pareil dans Google+, dans Fli­ckr, et tout un tas de ser­vices en ligne. Là encore, la pru­dence est de mise concer­nant les traces de votre vie que vous lais­ser dans ces ser­vices ou que d’autres y laissent concer­nant votre vie.

Der­nière menace et non des moindres : l’Etat qui sait tout et voit tout de nos gestes et nous répri­mande à la moindre incar­tade. L’Etat omni­pré­sent qui fait res­pec­ter la loi à 100%. Le res­pect à 100% des lois pré­pa­rées par nos gou­ver­ne­ment libre­ment choi­sis et votées léga­le­ment par nos repré­sen­tants tout aussi choi­sis au suf­frage uni­ver­sel peut pour­tant être liber­ti­cide. Dura lex sed lex, mais trop de lois tue la loi et le peuple ! Dif­fi­cile de conci­lier sécu­rité et liberté. La loi du même nom de début 1981 votée à la fin du sep­ten­nat de Valéry Gis­card d’Estaing conte­nait plus de mesures sur la sécu­rité que sur les libertés !

Pre­nons comme exemple les radars rou­tiers qui enqui­quinent pas mal de conduc­teurs. Leur concept pour­rait s’étendre à tout un tas d’activités. Et pour­quoi s’embêter avec des radars ? Il suf­fi­rait dans un monde ultra-répressif d’installer des boites noires dans les voi­tures, comme dans les camions. Elles mesu­re­raient les coor­don­nées GPS de nos dépla­ce­ments et la vitesse cor­res­pon­dante. En temps réel ou en dif­féré, on pour­rait rece­voir une amende men­sua­li­sée inté­grant nos inévi­tables dépas­se­ments de vitesse et autre vio­la­tions de prio­ri­tés, stops et feux rouges. Le sys­tème rédui­rait nos points de per­mis d’autant. Ce genre de sur­veillance per­ma­nente deman­de­rait une puni­tion moins ponc­tuelle pour les dépas­se­ments. Elle serait “moyen­née” et reflè­te­rait notre style de conduite dans la durée et pas seule­ment dans le pas­sage “piège” de la route qui passe subrep­ti­ce­ment de 70 km/h à 50 km/h sans for­cé­ment prévenir.

Ce concept est d’ailleurs déjà opé­ra­tion­nel en France avec plus de 50 radars tron­çons qui mesurent votre vitesse moyenne sur un tron­çon de route. Ce n’est pas de la science fic­tion ! Est-ce accep­table ? Pas évident ! Est-ce plus juste que les amendes ponc­tuelles ? A médi­ter… ! Mais la ques­tion ne se posera plus dans 10 ou 20 ans quand nous uti­li­se­rons des voi­tures à conduite auto­ma­tique ! Elles seront pro­ba­ble­ment pro­gram­mées pour res­pec­ter scru­pu­leu­se­ment le code de la route.

Le risque est cepen­dant là : la mesure per­ma­nente de nos faits et gestes, en ligne ou hors ligne. Tout ce qui se mesure et se trans­met numé­ri­que­ment est poten­tiel­le­ment liber­ti­cide. Et les objets connec­tés cou­plés au big data et au cloud per­met­tront de sur­mul­ti­plier ces scé­na­rios. Cela pour­rait abou­tir à la péna­li­sa­tion de tous les erre­ments, petits ou grands, ponc­tuels ou moyen­nés. Les objets connec­tés, le quan­ti­fied self, la com­mu­ni­ca­tion ”machine to machine”, la vidéo­sur­veillance à tout va et tout le tou­tim peuvent géné­rer ce genre de dérives. Au niveau des Etats comme dans les entre­prises, aussi poten­tiel­le­ment friandes de métri­qui­sa­tion des acti­vi­tés de leurs salariés.

Toutes ces dérives poten­tielles ou avé­rées sont plus inquié­tantes que PRISM et la NSA ! Il est donc bon de res­ter vigilant.

PS : je vais ralen­tir le rythme de publi­ca­tion pen­dant ces deux mois d’été… et plus que d’habitude. Besoin d’un peu de repos !

Olivier Ezratty est consultant en Nouvelles Technologies et auteur du blog Opinions Libres. 

Crédit photo: Shutterstock, des millions de photos, illustrations, vecteurs et vidéos