Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Dans le prolongement de l’affaire Snowden, la revue Risques de la Fédération française des sociétés d’assurance m’a invité, le 24 juin dernier, à participer à une table ronde réunissant également Philippe Aigrain (@balaitous sur Twitter), co-fondateur de La Quadrature du Net, chercheur et essayiste, Antoine Lefébure (@segalen), auteur de L’affaire Snowden (Ed. La Découverte), Pierre-Olivier Sur, bâtonnier de Paris et Thierry van Santen, directeur général d’Allianz Global Corporate & Specialty SE France.
Le débat était animé par Jean-Hervé Lorenzi, directeur de la rédaction de Risques, qui m’a autorisé à republier cet entretien.
POUR UNE PROTECTION DES LIBERTÉS INDIVIDUELLES ET DES DONNÉES PERSONNELLES
Risques : Tout d’abord, pouvons-nous préciser les enjeux de ce débat, à la fois sur un plan juridique (la protection de l’individu) et un plan technologique ; et enfin, comment peut-on se protéger ?
Pierre-Olivier Sur : Nous sommes aujourd’hui dans un schéma particulier. Face à un double effondrement, celui du Parlement et celui de l’exécutif. Nous avons un pouvoir judiciaire qui représente, avec tous les moyens technologiques existants, un risque, une menace de terreur. C’est-à-dire que, quand tout s’est effondré, il ne reste que le judiciaire. Et le judiciaire en ce moment terrorise, avec des véhicules qui sont les écoutes téléphoniques judiciaires mais aussi les interceptions pirates, et puis les perquisitions tous azimuts, sans contrôle. Nous espérons qu’une loi interviendra bientôt pour réguler tout cela.
Par exemple, d’une bagarre entre deux associés, qui aurait dû se régler au sein de la profession, on arrive à des perquisitions (huit perquisitions de cabinets d’avocats dans la même journée) et des saisies de documents relatives à d’autres affaires. C’est la manifestation de ce qu’on appelle des enquêtes « à filets dérivants ». On arrive ainsi à l’affaire de la campagne présidentielle et du prétendu financement libyen… C’est-à-dire qu’on entre dans le secret d’un cabinet d’avocat pour rechercher une chose précise, et qu’on se sert de cette perquisition pour trouver des éléments qui concernent une affaire d’État qui n’a aucun lien avec l’affaire en cours. Ce sont des procédés qui sont absolument impossibles à accepter dans une société comme la France.
Philippe Aigrain : Je commencerai d’abord par évacuer l’idée que ce serait principalement le numérique lui-même et ses usages qui créeraient des dangers massifs pour la vie privée. Le numérique est une mutation anthropologique considérable qui change ce qu’est penser et interagir avec les autres. Cela nous place face à des défis et on peut attendre des politiques publiques qu’elles n’aggravent pas la difficulté à faire face à ces défis en nous privant des moyens de construire la maîtrise nécessaire. Et là, on a deux autres types de risques : l’ « invocation sécuritaire » et la « société de défiance ». L’invocation sécuritaire, c’est comme l’écrit Mireille Delmas-Marty dans Libertés et sûreté dans un monde dangereux, un concept de sûreté qui serait une promesse infinie de sécurité, le risque zéro dans la sécurité. C’est une promesse non tenable mais qui nous jette dans une trajectoire dangereuse. Et la société de défiance, c’est celle qui fait de chacun de nous un suspect jusqu’à ce qu’il soit prouvé que nous n’avons rien à nous reprocher. Pourquoi ces deux phénomènes se sont-ils développés ?
Il y a une double racine. Une racine historique, qui est celle de l’effondrement de l’affrontement des blocs après 1989. Et une racine qui est la dérive oligarchique ou post-démocratique de nos sociétés. J’insisterai sur un point, c’est qu’il n’y a pas que Septembre 2001. La surveillance diffuse, la promotion des outils techniques de la surveillance diffuse, sont arrivées dans la seconde moitié des années 1990. Septembre 2001 a levé les inhibitions, mais n’a pas été à la source du développement de l’invocation sécuritaire et de la société de défiance.
Un autre phénomène, plus récent, a accentué les risques considérablement. Dans la seconde moitié des années 1990, il y eut la révélation du système Echelon. Les services des « 5 eyes » anglo-saxons espionnent le trafic sur Internet et dans les réseaux non Internet, parce que c’est là alors qu’on peut tout capturer, à la sortie de certains câbles transocéaniques, dans des communications par satellites, etc. Lorsqu’en 2008 (et peut-être avant aussi) on met en place des programmes comme Prism, la NSA et d’autres services tirent les conséquences du fait que l’information non contextualisée, celle qui est simplement des flux d’information, est extrêmement difficile à analyser. Ils ont besoin, pour espérer comprendre quelque chose, d’avoir accès à des métadonnées contextuelles. C’est-à-dire, par exemple, pas seulement votre e-mail mais toute votre liste de contacts ; pas seulement les tweets que vous émettez mais tous vos suiveurs. Et pourquoi, à ce moment-là, peuvent-ils le faire ? Parce qu’entre 2004 et 2008 se passe une gigantesque contre-révolution informatique, qui est celle de la recentralisation des services sur le Web. De très nombreux services, qui étaient « départementalisés », c’est-à-dire distribués en partie dans des petits ensembles, ou franchement distribués, c’est-à-dire distribués au niveau des individus eux-mêmes, vont devenir des services centralisés chez quelques gros intermédiateurs.
Mais ces deux phénomènes clés – l’invocation sécuritaire et la société de défiance, et la centralisation des intermédiaires – sont à mon avis une source des risques, mais montrent également qu’il existe une possibilité de tenter de les domestiquer. Je suis membre de la commission parlementaire sur le numérique qui vient d’être mise en place à l’Assemblée nationale. Le pouvoir du Parlement est fragilisé, mais c’est un geste pour se saisir de ces questions, et j’essaie d’y contribuer.
Jean-Marc Manach : Je suis d’accord avec l’analyse qui vient d’être faite. Au moment de l’affaire Snowden, Prism a été mal présenté et la quasi-totalité des gens l’ont considéré comme un système de surveillance massive de l’Internet mis en place par la NSA. En fait, Prism est un mécanisme mis en place pour que la NSA utilise le mécanisme Fisa (pour « Foreign Intelligence Surveillance Act« , qui décrit les procédures des surveillances physique et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangère) pour demander au FBI de demander à Google. Donc Google, Facebook, Microsoft, etc. ne connaissaient pas Prism, ne savaient pas qu’ils répondaient à une demande de la NSA, ils répondaient à une demande du FBI.
L’affaire Snowden a mis au jour la notion de construction parallèle. On a découvert que la NSA travaillait en tant que prestataire, notamment pour la DEA (Drug Enforcement Administration). Ils ont mis l’intégralité des Bahamas sur écoute pour lutter contre le trafic de drogue. Quand ils trouvent une information qui peut intéresser la DEA, ils la communiquent à la DEA qui, sachant que les trafiquants de drogue sont à tel endroit, tel jour, comme par hasard fait un contrôle routier cePour une protection des libertés individuelles et des données personnelles jour-là. En fait, il ne faut surtout pas qu’apparaisse dans la procédure judiciaire le fait que c’est la NSA qui a intercepté de façon plus ou moins illégale les données, et qui a donné les informations à la DEA, parce que sinon cela risque d’être cassé en justice.
Un autre signal faible dans les documents Snowden, c’est la notion de three hops. Jusqu’aux révélations Snowden, la majeure partie de l’opinion publique pensait : « je n’ai rien à me reprocher, donc je n’ai rien à craindre, je n’intéresse pas les services de renseignement ». Sauf que la notion de three hops, c’est trois sauts. Si on a une cible, on va s’intéresser à tous ceux qui sont en contact avec cette personne. Plus tous les gens qui sont en contact avec les gens qui sont en contact avec cette personne-là. Plus tous les gens qui sont en contact avec les gens qui sont en contact avec les gens qui sont en contact avec cette personne. Ce qui fait que la belle-sœur du garde du corps de François Hollande peut faire l’objet d’une interception de la NSA (voir Pourquoi la NSA espionne aussi votre papa (#oupas)).
Un ancien responsable de la NSA a dit : « Les métadonnées tuent ». Un exemple concret : des terroristes ou des djihadistes supposés ont été tués par ses drones au Yémen notamment. Ceux qui se savent traqués par la machine militaro-industrielle américaine n’utilisent pas leur téléphone portable. Mais ils ne peuvent pas empêcher leur femme d’envoyer un e-mail à leurs amies ou à leurs sœurs. Et grâce à l’e-mail envoyé par la femme de quelqu’un qui était sur la kill list d’Obama, ils ont réussi à localiser la maison où il était parce qu’ils ont intercepté un mail qu’elle a envoyé à sa sœur. Je ne sais pas si cette femme est morte dans le bombardement, mais voilà. La question n’est plus de savoir si on a quelque chose à se reprocher mais de savoir si on connaît quelqu’un qui connaît quelqu’un qui pourrait éventuellement intéresser un service de renseignement.
Le chercheur en sécurité informatique britannique Ross Anderson a développé une théorie très intéressante sur l’économie de la surveillance. En fait, la NSA a mis en place une super place de marché, où des services de renseignement de différents pays viennent échanger des métadonnées. Par exemple, la DGSE vient échanger des métadonnées interceptées au Mali, au Niger ou en Afghanistan ; en échange, la NSA lui refile des métadonnées interceptées dans d’autres pays où elle n’est pas aussi présente. Et tout le monde va faire du troc de métadonnées avec la NSA, même les Indiens, pourtant plus proches de Moscou que de Washington. On a vu notamment un cas où les Américains ont financé et contribué à développer les puissances d’interception des télécommunications des Australiens, et où les Australiens s’en sont servi pour espionner un cabinet d’avocats américain qui défendait l’Indonésie dans le cadre d’un conflit commercial entre l’Australie et l’Indonésie. Et la NSA a laissé faire. Alors que la NSA a deux missions : la première, c’est sécuriser les communications des Américains ; la deuxième, c’est intercepter les télécommunications des ennemis des États-Unis. On voit ainsi que ce qui prime c’est la surveillance.
Philippe Aigrain : D’un point de vue technique, ce sont des machines qui écoutent, ou des hommes et des femmes ?
Jean-Marc Manach : Il y a différents moyens. Prism, c’est une requête judiciaire, et ensuite on demande les noms, les carnets d’adresses, éventuellement le contenu des communications, qui sont remontés au FBI, puis à la NSA, qui va faire un traitement manuel. Dans le cas de Tempora, qui est le programme d’interception massive des communications sur les câbles sous-marins en Grande-Bretagne, ils essaient d’intercepter absolument tout. Ensuite, ils stockent pendant trois jours, ils font tourner les machines pendant trois jours avec des filtres pour arriver à sélectionner les informations qui pourraient les intéresser à partir des mots clés, des adresses e-mails ou des adresses IP qu’ils recherchent. Ensuite, ils transmettent les résultats de ces filtres à des opérateurs humains, qui utilisent différents logiciels pour effectuer leur travail d’analyse, et peuvent aussi utiliser Xkeyscore, une sorte de moteur de recherche qui collecte quasi systématiquement les activités des internautes grâce à plus de 700 serveurs localisés dans plusieurs dizaines de pays.
Il faut imaginer que ce que fait la NSA, c’est un peu ce que fait Google. Sauf que Google archive le Web, Tempora et Xkeyscore (entre autres) essaient d’archiver tout ce qui passe dans les câbles sous-marins, les satellites et Internet. Ensuite, les opérateurs du GCHQ (Government Communications Headquarters, l’équivalent – et partenaire historique – britannique de la NSA) ou de la NSA disent : envoyez-moi tous les mails qui ont été envoyés par telle ou telle personne ; donnez-moi toutes les communications téléphoniques par telle ou telle personne ; tous les gens qui, ce jour-là, à 16 heures, étaient dans cette zone-là ou ont visité tel ou tel site, ou chercher tel ou tel mot clé.
On voit aussi de plus en plus ce qu’on appelle des IMSI catchers (système permettant de localiser un téléphone mobile dans un périmètre restreint autour de celui-ci) – c’est une vraie-fausse borne de téléphonie mobile qui permet de capter tous les numéros de téléphone dans un endroit donné. Quand j’ai travaillé avec Wikileaks sur les Spy Files (une enquête sur les marchands d’armes de surveillance numérique), le responsable de l’ISS (Intelligence Support Systems for lawful interception, electronic surveillance and cyber intelligence gathering, le plus gros salon de marchands d’armes de surveillance numérique) expliquait qu’entre 2001 et aujourd’hui, ce marché était passé de 0 à 5 milliards de dollars par an.
Antoine Lefébure : Un an après l’affaire Snowden, le premier bilan qu’on peut tirer c’est, a contrario de ce qui se dit en France, une véritable sensibilité de l’opinion publique sur ce sujet dans les pays où le travail d’information a été fait. C’est-à-dire que, par exemple au Brésil ou en Allemagne, où différents médias ont fait des enquêtes de fond, où les documents Snowden ont été publiés, commentés, etc., on voit une vraie inquiétude de l’opinion publique sur le sujet. Finalement, en France, les deux seules personnes qui ont fait un travail d’information sont Jean-Marc Manach et Philippe Aigrain, et son association La Quadrature du Net.
Les médias français ont été bien peu nombreux à suivre le sujet – il n’y a pas plus de 10 % des documents Snowden dans le Guardian, le Washington Post, qui ont été traduits en français. Si vous ne lisez pas l’anglais, vous ne savez pas ce qu’il y a dans les documents Snowden, ce qui est invraisemblable. Et, à partir de là, est née une légende : l’opinion publique ne s’intéresse pas à la thématique des libertés individuelles. Ce qui est faux. C’est vrai qu’en lisant la presse quotidienne française et en regardant la télévision, vous n’avez aucune raison de vous préoccuper du sujet. Ce que vous dites aussi sur les perquisitions dans les cabinets d’avocats, etc., je ne le lis pas dans le journal ou très peu. Il n’y a pas de détail, alors que c’est pourtant quelque chose d’important. Une amie (journaliste) dit que le mauvais journalisme est une exception culturelle française.
La deuxième chose, encore plus inquiétante, face à cette atonie des médias, c’est l’extraordinaire autonomie de ce système militaro-industriel, qui avait été dénoncé à l’époque par Eisenhower, et qui s’est reconverti et développé dans le domaine de la surveillance, et qu’aucun chef de gouvernement, d’Obama à Merkel, ne peut contraindre. On se rend compte qu’il y a la sphère démocratique, qui est en très mauvais état en raison de la manière dont l’opinion publique est traitée et prise en compte ; il y a l’espace public, qui est loin de la réalité du monde tel qu’il fonctionne ; et puis il y a une chose qui, elle, marche très bien, c’est cette espèce d’internationale des services de renseignement, des élites industrielles et politiques, qui s’entendent extrêmement bien entre eux.
On a découvert très récemment, notamment dans un certain nombre de documents Snowden, que la NSA, en 1983, après un effort (10 milliards de dollars, 30 000 personnes) a dit : on n’arrive pas à faire cette surveillance universelle. Donc on va monter un système, un partenariat, ce qu’on appelle le Third Party Countries, avec trente-cinq pays, y compris l’Inde, donc des pays qui ne sont pas toujours alliés des États-Unis. Et on va leur donner des technologies en échange de quoi on va leur demander des capacités d’écoute régionales – par exemple l’Inde qui écoute la Chine – et des capacités de traduction. Parce qu’un des problèmes de la NSA, c’est la traduction, et en Inde il n’y a pas de problème de traducteur en chinois. Et ils ont monté une espèce de Facebook des services de renseignement. Contrairement à Facebook, il y a un chef qui distribue les informations et les technologies et dirige les échanges réciproques, centralisant pour lui-même l’ensemble des résultats.
Ainsi, les services de renseignement de la France, de l’Italie, de l’Inde, etc. à coût égal ont vu leurs performances multipliées par trois. Pour le plus grand bonheur des dirigeants politiques de ces pays qui, sans bien savoir comment, commencent à avoir des informations très consistantes grâce à l’utilisation des logiciels de la NSA. Cette situation explique que rien ne change sauf du côté des associations, des citoyens, des ingénieurs qui réfléchissent à des moyens techniques pour contrer la surveillance généralisée.
Thierry van Santen : Un mot de synthèse. Tout ce que l’on explique aujourd’hui, est une actualisation contemporaine d’actions qui existaient déjà chez Fouché au cours du Premier Empire, et qui se sont développées de tout temps au niveau des services secrets : échanges entre services, enquêtes de proximité où on faisait déjà les three hops (les enquêtes d’entourage). Aujourd’hui, les outils donnent une force de frappe qui est plus sophistiquée, plus complexe, et probablement moins maîtrisée et maîtrisable, aussi bien par les utilisateurs que par les « victimes ».
Le véritable problème est double : c’est d’une part la gouvernance, tant du politique que du judiciaire, qui ont la tentation, comme les services de renseignement, d’utiliser de nouvelles techniques pour pouvoir atteindre leurs objectifs ; et d’autre part, celle des systèmes et de la régulation des systèmes, parce qu’ils sont interconnectés mondialement. Ceci explique très largement l’absence de réaction des gouverne ments à la déclaration d’Obama. Tout simplement parce qu’on est dans un grand jeu interconnecté.
Par contre, j’ai d’autres inquiétudes qui vont au-delà : c’est la privatisation des systèmes combinée à une évolution technologique sans précédent. Je suis atterré par les projets de Google de pouvoir faire une mémoire virtuelle d’un individu qui permettrait d’accéder à l’immortalité, et a contrario du risque de pouvoir contrôler cette mémoire virtuelle. On arrive là à des limites qui m’intéressent presque plus que l’espionnite, qui a toujours existé sous des aspects beaucoup plus artisanaux (l’ouverture du courrier était pratiquée dans tous les régimes). Aujourd’hui, nous voyons des développements dans les mains de firmes privées, avec des projets impactant la vie quotidienne des individus qui sont totalement incontrôlables. On va bientôt avoir la voiture sans chauffeur. Imaginons simplement que demain il y ait 100 000 voitures qui roulent sans chauffeur. Cela peut être positif ; mais a contrario, cela veut dire aussi que je peux virtuellement infiltrer ces voitures et créer un gigantesque crash.
Risques : Vous travaillez pour une grande société de gestion et de protection du risque. Quelle est la nature de la réflexion que les assureurs peuvent avoir sur ce type de sujet ?
Thierry van Santen : Il y a deux axes complètement différents. Le premier axe, c’est comment nous proté- geons les données dans un cadre de compliance, notamment en matière de données médicales. On a créé des procédures, des pare-feu pour éviter le vol de ces données. L’autre aspect, c’est le cybercrime, puisque aujourd’hui le piratage est un véritable problème, avec la quantification matérielle et immatérielle d’un piratage. Mais là aussi il convient de faire une distinction. On l’a vu récemment à plusieurs occasions : un vol de données massif n’a pas toujours un impact dramatique. En revanche, en matière de cybercrime nous voyons aussi apparaître des sabotages ou des potentialités de sabotage. La complexité des systèmes ouvre la voie à toutes sortes de scénarios : sabotages d’appareils de production, d’organisation logistique, etc. On entre là dans des problématiques de cybersécurité compliquées. Donc, pour résumer, nos deux grandes priorités sont de protéger nos données et de travailler sur le cybercrime, tant en prévention qu’en offre de produit de couverture d’assurance pour nos grands clients.
Risques : Je vais faire une remarque et poser trois questions. Quand vous regardez la financiarisation, aujourd’hui il y a dix fois plus de produits dérivés que le PIB mondial. Il ne s’est rien passé depuis la « toute petite affaire » des subprimes. Personne ne prendra plus jamais le contrôle de la finance mondiale qui est une industrie en tant que telle. Sur ce plan-là, il y a une petite comparaison avec les sujets que vous évoquez. Ma première question : est-ce que la technologie peut être maîtrisée, puisque c’est elle qui est à l’origine ? Deuxième question : Il y a cinquante ans, IBM et Xerox tenaient le marché de l’informatique. Aujourd’hui, cinq acteurs semblent décider du sort du monde. La structure même de l’organisation économique mondiale n’est-elle pas indépassable, avec ce contrôle délirant du monde par quatre ou cinq entreprises ? Troisième question : l’idée qu’il y ait plusieurs couches de structures qui mettent en péril la démocratie. Quels sont les contre-pouvoirs ?
Pierre-Olivier Sur : J’ai parlé des perquisitions. Elles sont nourries par les écoutes téléphoniques et les interceptions de toutes natures. Tout cela forme un bloc qui fracture le secret professionnel des avocats et donc la vie privée de tous. Peut-on y mettre des limites ? Techniquement, ce n’est pas à moi de répondre. Institutionnellement, j’ai essayé de dénoncer ces abus à de multiples reprises mais il semble ne pas y avoir de prise de conscience des citoyens. Nous sommes dans une société soumise au diktat de la transparence. C’est terrible. Bien sûr, si un avocat participe au crime, il n’est pas au-dessus de la loi, il faut qu’il soit poursuivi et condamné pour ce que j’appelle un acte détachable. Mais quand on est avant l’acte détachable, il n’est pas question qu’on puisse accepter qu’un avocat soit écouté ou perquisitionné, car c’est le secret de nos clients qui est en danger. Le problème est philosophique et sociétal. La fin ne peut pas justifier les moyens.
Philippe Aigrain : Le concept de transparence a été la réponse anglo-saxonne à la dénonciation de la post-démocratie. Il y a une différence entre Transparency International et Anticor, une organisation qui est plus active chez nous. Une des raisons pour lesquelles le mot « transparence » est partout en ce moment, c’est que la transparence est un concept plus flou que le droit à l’information – qui est dans la Déclaration des droits de l’homme.
Maintenant, peut-on maîtriser les technologies ? Si on pose le problème comme ça, la réponse sera non. Parce que les technologies, on les fait. Le numérique, c’est un objet politique depuis le début. Internet est né d’une bagarre politique d’une petite minorité qui s’opposait aux opérateurs de télécommunications dans le contexte américain, parce qu’ils trouvaient que ces opérateurs voulaient contrôler ce que les gens faisaient avec les réseaux ; alors qu’eux avaient une vision où ce sont les gens – en l’occurrence les scientifiques à l’époque – qui devaient avoir la capacité de contrôler les usages. Le problème, c’est que les instruments de l’orientation du développement des technologies supposeraient, si on voulait que les politiques publiques et pas seulement des acteurs associatifs comme nous y jouent un rôle, une acceptation du politique de gérer deux choses auxquelles il refuse absolument de s’attaquer : les modèles commerciaux et les architectures des technologies. Toutes les évolutions fondamentales des technologies reposent sur des architectures, des protocoles. Or, à l’heure actuelle, que fait le politique ? Quand il crée la plateforme nationale des interceptions judiciaires, il crée une usine à gaz pensée pour protéger la légalité des procédures, mais il fait un partenariat public-privé avec Thalès et il centralise toutes les données correspondantes dans un silo souterrain.
Tant qu’on reste dans ces approches-là de l’orientation des technologies, les politiques publiques ne joueront pas leur rôle de maîtrise. Et qui jouera le rôle de maîtrise ? Ce sont les gens qui se réunissent au sein de Tor, Tails (“The Amnesic Incognito Live System”, est un système d’exploitation spécialement conçu pour préserver la vie privée et l’anonymat de ceux qui l’utilisent), qui font les outils de base avec lesquels on peut continuer à faire un travail ou simplement à s’exprimer en n’étant pas soi-même l’objet de la surveillance. A l’heure actuelle, il y a une grande inertie qui s’est accumulée dans les trajectoires technologiques sur deux points : la centralisation, mais aussi le fait que le modèle dominant est un modèle catastrophique économiquement et très difficile à modifier, c’est-à-dire celui de la monétisation de l’audience, qui a été historiquement le modèle de la télévision, et la télévision n’en est jamais sortie.
Dans la commission parlementaire sur le numérique, il y a le président de l’association française pour la monétisation de l’audience. À partir du moment où de grands acteurs capturent une petite somme macro-économique mais très concentrée, on crée des groupes d’influence puissants qui travaillent pour un intérêt très particulier. Donc je suis pessimiste sur le rôle des politiques publiques mais je reste raisonnablement optimiste sur les capacités de réaction sociétale. J’ai été impressionné par le fait que, parmi les communautés qui ont réagi aux révélations de Snowden avec le plus de compréhension réelle des enjeux, il y a les écrivains – partout sauf en France à quelques exceptions près.
Jean-Marc Manach : Pour préciser, Tor et Tails – deux logiciels qui permettent de sécuriser les communications – sont utilisés par Snowden et par Greenwald. Ils sont très intéressants, parce que Tor et Tails font que l’ordinateur de Greenwald n’a pas été piraté. Cela fait plus d’un an que ni la CIA, ni la NSA, n’ont pu détruire les fichiers de Snowden. Cela montre que si on veut protéger ses données, c’est possible. Et Greenwald, ce n’est pas un hacker, ce n’est pas un informaticien, il n’y connaissait rien, et puis il a appris, donc tout le monde peut apprendre. Et j’en viens à une hypothèse que j’ai formulée il y a quelques années, celle du « quart d’heure d’anonymat », au sens où Warhol avait prédit que tout le monde aurait son quart d’heure de célébrité. La téléréalité et Internet permettent à des anonymes de devenir célèbres (voir Tout le monde a droit à son 1/4h d’anonymat).
Aujourd’hui, le problème, que ce soit par rapport à Google, Facebook, la NSA, etc., c’est d’arriver à avoir son quart d’heure d’anonymat. Si j’ai besoin de confier quelque chose de confidentiel à quelqu’un, jamais je ne le fais par téléphone, jamais je ne le fais par e-mail en clair. Tout simplement parce que cela laisse des traces. Si j’ai besoin d’une communication confidentielle, je m’en donne les moyens techniques, mais c’est à moi de le décider. Là où je suis assez optimiste sur le moyen terme, c’est que, grâce aux révélations de Snowden, il n’y a jamais eu autant de gens qui développent des logiciels, des systèmes pour arriver à avoir ces quarts d’heure d’anonymat, pour arriver à sécuriser leurs données.
En France c’était catastrophique, jusqu’à il y a quelques années le simple mot « hacker » c’était un pirate informatique. Alors que non, ce sont les Snowden, ce sont les hackers qui font Tails, Tor, qui font qu’on peut se protéger et lutter contre la cybercriminalité. Bruce Schneier, un des professionnels de la sécurité les plus respectés et écoutés dans le monde, explique que l’objectif aujourd’hui, c’est de rendre la surveillance généralisée tellement chère que ça ne servira à rien. Et énormément de gens y contribuent. Je suis donc assez optimiste, à moyen terme.
Par contre, le problème c’est qu’il faut arrêter avec la notion de « Big Brother ». J’ai écrit un livre qui s’appelle La vie privée, un problème de vieux cons ?, où j’essayais d’expliquer que les petits cons d’aujourd’hui, les jeunes, bien sûr qu’ils veulent protéger leur vie privée, ils ne sont pas exhibitionnistes, mais ils mènent une vie publique. Ce qui n’empêche pas d’avoir une vie privée. Mais, par défaut, la vie est publique quand on est sur des espaces publics sur Internet. Donc ce n’est pas Big Brother, c’est plutôt Big Mother : la NSA vous surveille pour votre bien. Mais c’est surtout Minority Report.
Et là j’en viens aux voitures sans chauffeur, etc. Ce vers quoi on s’achemine, c’est une multiplication des Big Mother. Google nous surveille, c’est pour notre bien, la NSA aussi. Et, à terme, on va être de plus en plus confrontés à des systèmes informatiques distribués qui vont décider à notre place si on a le droit de faire quelque chose ou pas. On a aujourd’hui un quart des deman- deurs d’asile à Calais qui se brûlent les doigts pour effacer leurs empreintes digitales, pour ne pas être renvoyés en Grèce ou en Italie, là où on les a pris. Minority Report, c’est maintenant (voir Calais: des réfugiés aux doigts brûlés). Demain, ce sera les chômeurs, après-demain les étrangers, etc. On voit aujourd’hui des gens qui sont arrêtés, qui doivent démontrer leur innocence, c’est exactement comme au Procès de Kafka (voir Le vrai danger, ce n’est pas Orwell, c’est Kafka).
L’objectif, à terme, c’est de faire de telle sorte que ce soit l’être humain qui reste au contrôle, qu’on contrôle les machines. Sinon ce sont elles qui vont nous contrôler. D’où aussi la référence aux logiciels libres, qu’il faut promouvoir ; il faut promouvoir la transparence du code, qu’on puisse vérifier ce qu’il y a à l’intérieur. La transparence ne me fait pas peur parce qu’elle rend confiant. Le principe de Kerckhoffs, qui était un ingénieur français au XIXe siècle, dit que pour avoir confiance dans un système de sécurité, il faut qu’on puisse connaître les mécanismes, les plans de son dispositif de sécurité, afin de vérifier qu’il n’y a pas de porte dérobée, qu’il n’y a pas de piège à l’intérieur. Ce qui n’empêche pas d’avoir la clé, et la clé c’est votre vie privée.
Antoine Lefébure : La confiance et la véritable transparence viendront des citoyens, des associations. Elles ne viendront évidemment pas des gouvernements, encore moins des services secrets, pas plus que des grandes entreprises. Google et Facebook ont des ingénieurs qui s’occupent de la sécurisation contre les piratages, mais certainement pas contre le piratage d’État. Il faudrait arriver à déterminer le bon secret d’État du mauvais. À certains moments, le secret d’État se justifie, pas à d’autres. La clé, dans une démocratie, c’est de ne pas utiliser l’arme du secret pour dissimuler des pratiques injustifiables. Dans les grands contrats internationaux, il y a souvent des pots-de-vin que tous les États protègent par un secret absolu. C’est discutable mais justifié. Par contre, quand ce secret sert à cacher le financement des dirigeants au pouvoir, nous sommes dans la sphère du secret d’État ignoble. Au Danemark, ils ont un secret d’État, mais c’est extrêmement limité. Alors qu’en France, tout est secret, tout est transparent, tout se retrouve dans le journal, les conversations de Sarkozy comme les documents pris chez les avocats, etc.
Thierry van Santen : Je suis pour une fois assez pessimiste. Notre plus gros risque, c’est ce dont s’inspire le film Minority Report, à savoir l’intrusion dans la vie privée au travers de la connectivité permanente. Il faut savoir que demain, toutes les cartes d’identité seront basées sur l’iris. À chaque fois que vous entrerez dans un aéroport, ou tout autre lieu public, on saura vous localiser. Dès aujourd’hui, dès que vous payez avec votre carte de crédit, vous avez une alerte sur ce que vous avez dépensé et où. Il faudra s’habituer à vivre avec. Ma seconde inquiétude, c’est l’espionnage en général. Je pense qu’il a échappé petit à petit aux États. On est entré dans un circuit sur lequel on va avoir des guerres technologiques sans fin. Le troisième problème, c’est celui de gouvernance des États, la question de la transparence, de la fin et des moyens, etc. Je pense qu’en matière de gouvernance, les politiques ont encore leur mot à dire mais je crains qu’il y ait de moins en moins de volonté de leur part pour instaurer une véritable discipline, seule garante des libertés fondamentales.
Risques : Pour conclure, je vais ajouter deux petites doses d’optimisme. Comme j’ai essayé de le démontrer dans ce livre, qui s’appelle Un monde de violences, on entre dans une phase assez traditionnelle de stagnation de l’économie mondiale. Évidemment cela crée des difficultés, et les sociétés qui ont une incapacité par exemple à fournir de l’emploi aux uns et aux autres, ont besoin de se surveiller. Cela ne va pas s’arrêter aujourd’hui. Si ce que nous décrivons est exact, c’est-à-dire une sorte de disparition ou d’affaiblissement de la démocratie, une incapacité de réguler des dispositifs de contrôle excessif, cela donne le sentiment d’une société qui utilise la technologie d’une manière assez peu progressiste. La contrepartie, c’est que c’est une société en progression – elle n’est pas progressiste mais elle est en progression. Et l’argument de la modernité technologique, l’intérêt de ces quatre-cinq entreprises (Google, Apple, etc.) n’est pas d’aller contre cela. Ils sont les acteurs du dispositif. L’histoire du grand crash de voitures m’a interrogé. Moi je préfère conduire ma voiture. Quel est l’intérêt de ne pas conduire une voiture ? Je préfère qu’on dise : on fait des transports collectifs. C’est plus sympathique. Tout cela est mis sous la rubrique de la modernité, ce qui n’est pas du tout la société des Lumières.
Voir aussi :
La NSA n’espionne pas tant la France que ça
Pour la CNIL, 18% des Français sont « suspects »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
DGSE/Orange : joue-là comme SuperDupont (#oupas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA