a:78:{s:15:"20201004_210820";a:7:{s:5:"title";s:89:"Bracelets anti-violences conjugales : la CNIL s’inquiète des risques de détournements";s:4:"link";s:132:"https://www.lemonde.fr/blog/bugbrother/2020/10/04/bracelets-anti-violences-conjugales-la-cnil-craint-que-des-victimes-ne-se-vengent/";s:4:"guid";s:46:"https://www.lemonde.fr/blog/bugbrother/?p=7520";s:7:"pubDate";s:31:"Sun, 04 Oct 2020 19:08:20 +0000";s:11:"description";s:788:"MaJ : alerté quant au fait que le titre initial pourrait pu être mal interprété, je l’ai donc modifié. Les anglophones parlent de « function creep » (détournement d’usage, en français) pour qualifier ces processus qui sont détournés de leurs finalités premières, entraînant des dommages collatéraux qui n’avaient pas suffisamment été anticipés. 📜Le décret relatif à la …
";s:7:"content";s:7554:"MaJ : alerté quant au fait que le titre initial pourrait pu être mal interprété, je l’ai donc modifié.
Les anglophones parlent de « function creep » (détournement d’usage, en français) pour qualifier ces processus qui sont détournés de leurs finalités premières, entraînant des dommages collatéraux qui n’avaient pas suffisamment été anticipés.
Le décret relatif à la mise en œuvre du bracelet anti-rapprochement est paru au Journal officiel. Il vise à :
Protéger les victimes de violences conjugales
Prévenir la récidive
Sortir du cycle des violences@MarleneSchiappa @1ElisaMoreno @RomeIsabelle @E_DupondM pic.twitter.com/4zYQJCDoVF— Ministère de la Justice (@justice_gouv) September 24, 2020
Résultant de la loi du 28 décembre 2019 visant à agir contre les violences au sein de la famille, le BAR a vocation à alerter les autorités lorsque l’auteur de violences conjugales se rapproche d’une « zone d’alerte » allant de 1 à 10 kilomètres autour de la victime qu’il lui est interdit de rencontrer, et à qui sera également attribué un dispositif de téléprotection reposant lui aussi sur la géolocalisation.
Si le BAR reste injoignable et qu’il progresse jusqu’à la zone d’alerte ou s’il est arraché, la société Allianz contactera immédiatement le 17 pour faire un compte rendu de la situation aux forces de l’ordre, précise la gendarmerie.
Par ailleurs, dans le cas où le porteur arracherait son bracelet et ne serait plus localisable, le boîtier passe en « mode dégradé » et se transforme en Téléphone grave danger (TGD). D’une simple pression sur un bouton, la victime pourra être mise en relation avec l’opérateur, qui dépêchera aussitôt une patrouille à l’endroit où elle se trouve.
La gendarmerie rappelle également qu’« il ne peut être mis en œuvre sans le consentement de la victime et de l’auteur. Néanmoins, ce dernier a tout intérêt à l’accepter, des mesures plus restrictives pouvant être adoptées le cas échéant ».
Dans sa délibération portant avis sur ce dispositif, la CNIL relève en premier lieu qu’il ressort des éléments transmis par le ministère dans le cadre de l’analyse d’impact relative à la protection des données (AIPD) que, au titre des autres personnes mentionnées dans la décision ordonnant le dispositif électronique anti-rapprochement, pourront être collectées des « données sur le cercle proche des personnes protégées », à savoir des données d’identité et des données relatives aux coordonnées de contact.
Elle prend acte, cela dit, que ces données permettront de contacter la personne protégée si elle ne répond pas aux appels du centre de téléassistance et pourraient aussi être nécessaires en cas d’intervention des forces de l’ordre.
Elle estime également que l’« un des risques les plus graves du dispositif est qu’il puisse être détourné par la personne porteuse de bracelet pour déduire le positionnement de la victime et attenter, ou faire attenter, à sa sûreté », mais « prend note que ce risque a été dûment identifié par le ministère et de nombreuses mesures mises en œuvre ou prévues pour contenir ce risque, notamment en ce qui concerne la détection d’alertes ou pré-alertes répétées ».
Pour autant, elle « attire l’attention du ministère sur le fait que les victimes puissent, dans certains cas, détourner le système et créer des risques pour les personnes porteuses du bracelet ».
Le dispositif « étant basé uniquement sur la distance entre la personne portant le bracelet et la personne protégée, sans possibilité d’indiquer une zone délimitée comme autorisée, il existe un risque que des personnes protégées se vengent de la personne porteuse de bracelet en les empêchant, par exemple, de rentrer chez elle ou d’aller travailler, en se rendant physiquement à proximité de ces zones », prévient la CNIL.
« Bien que ce risque semble en grande partie traité indirectement par les mesures prévues, la commission recommande de le rendre explicite lors de la prochaine mise à jour de l’AIPD ».
A contrario, et afin d’éviter que des auteurs de violence ne trompent eux mêmes le système, la CNIL relève par ailleurs que « pourront être enregistrées, tant dans le cadre pénal que civil du dispositif, des données biométriques, à savoir des données relatives au gabarit de la voix pour l’authentification biométrique vocale s’agissant de la personne porteuse du bracelet anti-rapprochement et, le cas échéant, de la personne protégée ».
Elle prend acte, cela dit, que « la collecte de telles données a pour objectif de vérifier que la personne qui répond au terminal lors d’un appel de la téléassistance ou bien de la télésurveillance est bien la personne concernée ».
La CNIL relève enfin que « la collecte de cette catégorie de données sera soumise au recueil du consentement de la personne protégée et que celle-ci est informée de ce choix facultatif au moment de la remise du matériel ».
L’objectif de ce BAR est bien évidemment louable. Reste que c’est (au moins) la troisième fois que la CNIL alerte ainsi le gouvernement quant aux risques de « function creep », après l’avoir fait (en vain) quant aux fichiers des empreintes digitales (FAED) et biométriques (TES).
";s:7:"dateiso";s:15:"20201004_210820";}s:15:"20191218_084744";a:7:{s:5:"title";s:85:"Pourquoi je préfère la BD sur Snowden à son autobiographie (& vive Tails aussi <3)";s:4:"link";s:128:"https://www.lemonde.fr/blog/bugbrother/2019/12/18/pourquoi-je-prefere-la-bd-sur-snowden-a-son-autobiographie-vive-tails-aussi-3/";s:4:"guid";s:46:"https://www.lemonde.fr/blog/bugbrother/?p=7427";s:7:"pubDate";s:31:"Wed, 18 Dec 2019 07:47:44 +0000";s:11:"description";s:754:"Je rebondis sur la publication de la très instructive critique que le Néerlandais Peter Koop a consacré à l’autobiographie d’Edward Snowden, où il pointe opportunément du doigt les omissions, erreurs et biais de confirmation du « lanceur d’alerte », pour tenter de réparer une injustice (et fêter les 10 ans de Tails, le système d’exploitation … ";s:7:"content";s:26222:"Je rebondis sur la publication de la très instructive critique que le Néerlandais Peter Koop a consacré à l’autobiographie d’Edward Snowden, où il pointe opportunément du doigt les omissions, erreurs et biais de confirmation du « lanceur d’alerte », pour tenter de réparer une injustice (et fêter les 10 ans de Tails, le système d’exploitation préféré des journalistes d’investigation travaillant au contact de lanceurs d’alerte, au demeurant).
La couverture médiatique de la BD VERAX (« celui qui dit la vérité » en latin, l’un des pseudonymes utilisé par Edward Snowden), signée du journaliste Pratap Chatterjee et du dessinateur Khalil et symboliquement publiée le 11 septembre 2019, est en effet inversement proportionnelle à celle de la bio dudit Snowden, parue 6 jours plus tard : à ce jour, cette BD ne dénombre que 79 occurences seulement dans Google News (toutes langues confondues, dont deux en français, mais un seul vrai article), contre ~44 000 occurences pour Edward Snowden (dont plus de 5500 en français) depuis lors. Et pourtant…
Sous-titrée « La véritable histoire des lanceurs d’alerte, de la guerre des drones et de la surveillance de masse », cette BD a ceci de particulier qu’elle décrit en effet bien mieux la « surveillance de masse » que ne le fait Snowden (voir aussi De la surveillance de masse à la paranoïa généralisée, la série d’articles que j’y ai moi-même consacrée).
Contrairement à ce que Snowden et Glenn Greenwald (le journaliste à qui il avait confié les documents de la NSA et du GCHQ) notamment ont pu laisser entendre ces six dernières années, la « collecte en vrac » (bulk collection en VO, l’expression utilisée par les services de renseignement technique) ne vise pas tant « les » utilisateurs des GAFAM en particulier, et encore moins « les » internautes en général (cf aussi l’affiche sensationnaliste française du film d’Oliver Stone, sous-titrée « Nous sommes tous sur écoute »).
Comme l’avait en effet expliqué, façon #CaptainObvious, le général Keith B. Alexander, ex-patron de la NSA, en défense de cette « bulk collection » : « pour trouver l’aiguille (cachée dans la botte de foin, ndlr), vous avez besoin de la botte de foin » (“You need the haystack to find the needle”, en VO). Ce pourquoi la majeure partie des données collectées ne sont retenues, le temps de faire le tri, que quelques jours voire semaines avant d’être jetées.
En l’espèce, les aiguilles que traquent les services de renseignement techniques tels que la NSA sont des « selectors » : adresses email, n° de téléphones portables, adresses IP, voire noms, surnoms, noms de code –et ceux qui sont en contact avec eux… Comme l’avait fort bien résumé le journaliste Louis-Marie Horeau du Canard Enchaîné, en 1981, c’est « la recette bien connue de la chasse aux lions dans le désert : on passe tout le sable au tamis et, à la fin, il reste les lions »…
De plus, et comme le montre bien la BD, cette « collecte en vrac » vise par ailleurs d’abord et avant tout les zones et pays où les États-Unis font la guerre. Dans son fact-check, Peter Koop rappelle ainsi que le rapport de l’inspection générale (i.e. de contrôle) des services de renseignement US qui avait entraîné Snowden à estimer que les activités de la NSA pouvaient être qualifiées de « criminelles » précisait pourtant que la NSA ne surveillait que les communications des membres d’Al-Qaïda, des personnes en contact avec eux, des Talibans en Afghanistan, et des services de renseignement irakiens.
De plus, et bien que la rédaction initiale du mémorendum signé par Georges Bush le 4 octobre 2001 pouvait être interprétée comme autorisant la NSA à surveiller le contenu des communications de citoyens américains sur le territoire des États-Unis, le général Hayden, qui dirigeait la NSA, expliquait dans ce rapport qu’il ne le ferait pas, pour trois raisons : la NSA est un service de renseignement « extérieur » (tout comme la DGSE), son infrastructure ne le permettait pas, et que si le besoin s’en faisait sentir, il lui suffisait de demander l’autorisation idoine –et permise par la loi– pour le faire.
Reste que cette « collecte en vrac » des méta-données et ces « frappes ciblées » au moyen de drones, toutes deux pourtant censées faire moins de victimes collatérales que ne le feraient des bombardiers, font bel et bien des morts, comme le démontre fort opportunément la BD, même et y compris au sein de la population civile, qui n’avait pourtant « rien à se reprocher ».
En tout état de cause, les principales victimes collatérales de cette « surveillance de masse », ne sont pas les utilisateurs des GAFAM (nonobstant le fait que le programme PRISM ne relève pas d’une quelconque surveillance « de masse », mais bel et bien ciblée –j’y reviendrai), mais les civils au Yémen, en Afghanistan, en Irak ou en Syrie.
La BD raconte d’ailleurs très bien pourquoi, et comment, il était très difficile, jusqu’aux révélations de WikiLeaks puis celles de Snowden, d’intéresser les médias (à commencer, donc, par leurs rédacteurs en chef) et a fortiori le grand public à ces questions.
Elles cumulent en effet deux tares. Le renseignement, d’une part, est un sujet particulièrement mal compris, tout autant fantasmé que caricaturé. Loin des clichés hollywoodiens façon 007, c’est un domaine d’abord et avant tout bureaucratique, administratif, technique, compartimenté, où la moindre opération doit être validée par la hiérarchie, qui veut tout contrôler… bref, c’est chiant, exactement comme le sont une bonne partie des autres boulots « lambdas ». Sauf que c’est classifié, que leurs employés n’ont pas le droit d’en parler, et que ça fait donc fantasmer.
Je n’ai rien contre les journalistes qui doivent pisser de la copie faute d’avoir le temps d’enquêter, mais si vous lisez un article à ce sujet faisant référence, soit à James Bond, soit aux « barbouzes », sachez que vous n’avez donc à faire qu’à un pisse-copie enfilant perles et les clichés faute d’avoir travaillé la question.
À cela se rajoute les « biais de confirmation » inhérents à tout sujet hautement fantasmatique. Ce qui avait par exemple entraîné Le Monde, notamment, a expliquer à ses lecteurs que le fait qu’un document Snowden soit estampillé « France » constituait la preuve que la NSA avait fait de la « surveillance de masse » des Français en espionnant, au moins un mois durant, le contenu de 70 millions de leurs communications téléphoniques.
Sauf qu’il s’agissait en fait de 70 millions de « métadonnées » (qui parle à qui, quand, d’où, mais nullement du « contenu » de leurs communications, qui n’intéressent généralement pas les services de renseignement, a fortiori en matière de « surveillance de masse ») collectées, en Afghanistan, par les services de renseignement français, et d’autant plus volontiers partagées avec leur partenaire américain que c’était la NSA qui leur avait confié les systèmes d’interception… nuance d’importance qui avait échappé à la sagacité du Monde (et des médias du monde entier qui avaient relayé sa « Une » erronée et biaisée), mais qui avait alors entraîné une crise diplomatique entre les deux pays (voir La NSA n’avait (donc) pas espionné la France).
Le renseignement technique, d’autre part, est un sujet requérant un minimum de connaissances en informatique (logiciel, matériel, réseau), voire en électronique, il est particulièrement complexe à appréhender, mais également et lui aussi prompt à susciter caricatures, clichés et fantasmes.
Ce pourquoi, et plutôt que d’expliquer que la quasi-totalité des « hackers » sont payés pour colmater les failles de sécurité et non pour les exploiter, les médias ont pris la (très) mauvaise habitude de représenter les hackers comme de (jeunes) hommes portant des hoodies, parfois des gants (pour ne pas laisser leurs empreintes sur les claviers), vivant lumière éteinte mais avec une tapisserie (ou un fond d’écran) façon Matrix.
A contrario, WikiLeaks d’une part, Edward Snowden d’autre part, ont (enfin) permis de rendre (très) grand publiques ces questions, et notablement contribué à élever le niveau de sécurité proposé par les GAFAM à leurs utilisateurs puis, par extension, et via l’adoption du RGPD, de faire de ces questions de protection de la vie privée et de sécurité informatique des notions à envisager « by design & by default ».
En contrepartie, des hordes de journalistes n00b et peu au fait des subtilités de ces questions se sont donc retrouvés à devoir écrire à ce sujet, et donc à tomber dans leurs biais de confirmation, sans pour autant, par ailleurs, être à même de comprendre ni mesurer ce dont il est réellement question, faute d’y avoir travaillé, et de parvenir à s’extraire des clichés auxquels ils avaient jusque-là été confrontés.
Le fait qu’un autre document Snowden, estampillé de logos de la NSA, d’un PRISM et de ceux des GAFAMs, dresse la timeline des dates de leur supposée collaboration avait ainsi été interprété, là aussi à tort, comme la preuve que la NSA disposait d’un « accès direct » à leurs serveurs.
Et ce, quand bien même la slide précisait que le coût annuel de PRISM était de « ~ $20M per year »… comme s’il était techniquement (mais donc aussi financièrement : c’est que ça coûte un pognon de dingue, en matos, bande passante, back-ups & Cie, de traiter les données de milliards d’internautes) possible de faire de la « surveillance de masse » pour seulement 20M$/an…
La BD souligne à ce titre (p. 115) que Greenwald, qui était encore à Hong Kong, avait été alerté par le Guardian du fait que le Washington Post venait de lui griller la politesse, et de sortir le scoop sur PRISM avant lui, le quotidien britannique le pressant de boucler son propre papier. Une course de vitesse empêchant les deux rédactions de prendre le temps de contextualiser le document…
Pour le coup, et alors que les GAFAM crièrent à l’erreur journalistique, jurant que jamais ils n’auraient laissé, en toute connaissance de cause, la NSA disposer d’un « accès direct » à leurs serveurs, le WaPo caviarda discrètement son article. Mais le mal était fait, et tout le monde ou presque y a cru, les quelques rares journalistes à avoir démonter le biais de confirmation ayant à l’époque été très peu relayés (cf No evidence of NSA’s ‘direct access’ to tech companies, The real story in the NSA scandal is the collapse of journalism & Edward Snowden Reconsidered).
La BD se contente de fait d’opposer l’accusation du Guardian (« PRISM donne un accès direct aux serveurs d’entreprises comme Google, Apple ou Facebook ») aux dénégations des GAFAM (« ces groupes nient avoir eu connaissance de ce programme »), sans expliquer qu’il s’agissait du nom de code utilisé par la NSA pour désigner le fait qu’elle passait par une unité technique du FBI (la DITU) pour aller demander aux GAFAM d’accéder aux données de tels ou tels de leurs utilisateurs (voir What is known about NSA’s PRISM program).
En 2013, le rapport de transparence de Google estimait le nombre d’utilisateurs (non Américains) visés par PRISM pendant les 6 derniers mois à moins de 14 500 (contre moins de 97 000 fin 2018), celui de Facebook à moins de 12 600 (contre moins de 51 000 pour les 6 premiers mois de 2019), celui de Microsoft à moins de 19 000 (contre un peu plus de 14 000 pour les 6 premiers mois 2019. Dans son fact-check, Peter Koop note qu’en 2018, PRISM n’aurait ainsi été utilisé qu’à l’encontre d’environ 160 000 cibles étrangères (contre 90 000 en 2013).
Si l’on peut déplorer quelques autres erreurs ou approximations, techniques ou de traduction (« brute-force attack », une méthode utilisée en cryptanalyse pour retrouver une clef ou « casser » un mot de passe, est ainsi traduit p. 149 par « attaque frontale » et non par « attaque par force brute », et je n’ai pas réussi à comprendre à quoi faisait référence les « outils d’IPP » censés permettre de localiser les dissidents et les visiteurs de sites politiques sensibles, p. 152), et si la BD a tendance à trop prendre au pied de la lettre les propos tenus par Snowden et Greenwald, elle a en tout cas le mérite de décrire de façon point trop caricaturale ces questions si techniques.
Outre le fait de décrire le travail de journaliste d’investigation (ce que j’avais aussi tenté de faire dans « Grandes oreilles et bras cassés », ma BD sur la société française Amesys, qui avait conçu un système de surveillance de masse de l’Internet pour la Libye de Kadhafi), son principal mérite est de montrer à quoi sert la « surveillance de masse », et pourquoi ça ne marche pas si bien que ça.
Non content de consacrer une bonne partie de ses pages aux victimes des frappes soi-disant de drones « chirurgicales » en Afghanistan notamment, elle va aussi à la rencontre d’autres lanceurs d’alerte, bien moins connus que Snowden mais qui, parce qu’ils ont du sang sur les mains et des morts sur la conscience pour avoir été employés à exploiter ces drones, souffrent aujourd’hui de PTSD et dénoncent cette incurie.
Parce que forcément, quand on collecte et exploite trop d’infos erronées ou biaisées, ça ne peut aussi et surtout que générer trop d’erreurs, comme l’illustre très bien cette planche (p. 224) :
Je suis conscient qu’il est un peu tard pour faire vos courses de Noël, mais FYI, l’éditeur français de la BD, les Arènes, propose une carte interactive listant les librairies distribuant ses ouvrages, si ça peut aider…
Je ne saurais conclure ce billet sans mentionner le fait que j’ai eu l’occasion de croiser Pratap Chatterjee, le journaliste d’investigation qui a signé la BD : je faisais en effet partie des quelques journalistes conviés (page 20 de la BD, voir les bonnes feuilles) au siège de WikiLeaks à Londres pour travailler sur les SpyFiles, du nom de code donné aux révélations que nous allions faire sur les marchands d’armes de surveillance numérique.
Mais ce n’est qu’à la lecture de sa BD que j’ai réalisé que la documentariste qui nous avait alors filmé n’était autre que Laura Poitras, connue depuis (et notamment) pour le documentaire qu’elle a consacré à « Citizen Four » (un autre nom de code utilisé par Snowden). Depuis des années, un détail de cette réunion me faisait doucement rigoler –et tiquer.
Julian Assange nous avait en effet demandé de ranger nos téléphones et ordinateurs portables dans un frigo (utilisé comme une cage de Faraday de sorte d’éviter que, s’ils étaient compromis, nos conversations puissent être écoutées).
J’étais le seul à avoir eu l’autorisation de garder le mien : j’étais en effet le seul à utiliser un système d’exploitation GNU/Linux, en l’espèce : Tails (pour The Amnesic Incognito Live System), le « couteau suisse » ou pack « tout en un » de ceux qui veulent protéger leur vie privée sur Internet et/ou s’y connecter de façon a priori anonyme (et qui vient donc de fêter ses 10 ans, au demeurant).
Comme j’ai déjà eu l’occasion de l’expliquer, et comme le reprend le site de Tails depuis des années, « les reporters de guerre doivent acheter des casques, des gilets pare-balles et louer des véhicules blindés ; les journalistes qui utilisent Internet pour leurs recherches sont beaucoup plus chanceux : pour être autant en sécurité que les reporters de guerre, ils doivent seulement télécharger Tails, le copier sur une clef USB, et apprendre les bases de la sécurité de l’information et des communications, et c’est gratuit ! »
C’est, en réalité, un tantinet plus compliqué, ne serait-ce que parce qu’il faut aussi être bien au fait des questions de sécurité informatique, et que cela réclame donc de se renseigner au préalable –puis d’être constamment en veille à ce sujet, de sorte de ne pas tomber dans le panneau consistant à installer une porte blindée tout en laissant la fenêtre ouverte–, et donc de s’entraîner, pendant des mois, voire des années, mais Tails est de fait l’un des meilleurs outils à disposition des journalistes d’investigation, lanceurs d’alerte, dissidents, défenseurs des droits humains et autres internautes –potentiellement– particulièrement exposés.
Pour en revenir à cette réunion, ce qui m’avait fait tiquer, c’est que tout le monde (sauf moi, donc, courtesy Tails) avait donc du abandonner ordinateurs et téléphones portables. Mais Laura Poitras avait… installé un micro HF sur la chemise de Julian. Il suffisait donc au GCHQ (ou autre) de se cacher dans un sous-marin à proximité des bureaux de WikiLeaks pour pouvoir écouter l’intégralité de notre réunion. #OhWait…
« La sécurité est un process, pas un produit », comme nous l’a expliqué Bruce Schneier, autre personnalité faisant autorité en la matière. En l’espèce, electrospaces.net est le seul à tenter, depuis des années, de fact-checker les « révélations Snowden », et personne ne l’a, à ma connaissance, sérieusement contredit.
Je ne saurais donc & par ailleurs que trop vous conseiller de lire le fact-check de Peter Koop de l’autobiographie d’Edward Snowden : c’est long, la 3e partie est encore en attente de publication, mais les 2 premiers volets sont clairement d’intérêt public. Et moins « putaclic » que ceux qui vous expliquent que NSA + GAFAMs = « Big Brother », et que pour s’en protéger, il suffirait de « cliquer là ».
";s:7:"dateiso";s:15:"20191218_084744";}s:15:"20190602_165103";a:7:{s:5:"title";s:47:"La NSA n’avait (donc) pas espionné la France";s:4:"link";s:92:"https://www.lemonde.fr/blog/bugbrother/2019/06/02/la-nsa-navait-donc-pas-espionne-la-france/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7384";s:7:"pubDate";s:31:"Sun, 02 Jun 2019 14:51:03 +0000";s:11:"description";s:696:"En 2013, The Intercept, le média créé pour enquêter sur les révélations Snowden, avait confié à plusieurs journalistes et médias européens une série de documents censés démontrer que la NSA faisait de la « surveillance de masse » des citoyens de plusieurs pays européens. En France, Le Monde avait ainsi titré, en « Une« , des « Révélations sur l’espionnage de la …Continuer la lecture de « La NSA n’avait (donc) pas espionné la France »
";s:7:"content";s:24084:"En 2013, The Intercept, le média créé pour enquêter sur les révélations Snowden, avait confié à plusieurs journalistes et médias européens une série de documents censés démontrer que la NSA faisait de la « surveillance de masse » des citoyens de plusieurs pays européens. En France, Le Monde avait ainsi titré, en « Une« , des « Révélations sur l’espionnage de la France par la NSA américaine« .
The Intercept vient de reconnaître s’être trompé, et de confirmer ce que j’avais depuis fact-checké (cf « La NSA n’espionne pas tant la France que ça« ). Dans ma contre-enquête, effectuée dans la foulée de celles de Peter Koop sur electrospaces.net, j’avançais qu’il s’agissait en réalité de données collectées par la DGSE, à l’étranger, et partagées avec la NSA. Il s’agissait en fait de données collectées, non pas par la seule DGSE, mais par les services de renseignement techniques militaires français, déployés en Afghanistan.
Ironie de l’histoire, The Intercept présente désormais ces mêmes documents comme la preuve que la NSA contribue à… sauver des vies d’Européens, à commencer par les militaires déployés « sur zone » de guerre.
L’article du Monde, intitulé « Comment la NSA espionne la France« , expliquait notamment que « les communications téléphoniques des citoyens français sont, en effet, interceptées de façon massive (et) que sur une période de trente jours, du 10 décembre 2012 au 8 janvier 2013, 70,3 millions d’enregistrements de données téléphoniques des Français ont été effectués par la NSA« .
Ces « révélations sur l’espionnage de la France par la NSA américaine« , reprises dans le monde entier, avaient également incité le journal à y consacrer son éditorial, « Combattre Big Brother« , où l’on apprenait qu' »une équipe d’une dizaine de journalistes » avait procédé à « un examen minutieux et une analyse approfondie » des documents transmis par The Intercept, « pour tenter de leur donner tout leur sens et leur valeur« .
L’affaire souleva une vague d’indignation à droite comme à gauche, enflamma la presse américaine, entraîna quelques tensions diplomatiques, et poussa François Hollande et Laurent Fabius à dénoncer « des pratiques inacceptables », frôlant la crise diplomatique :
La journée du lundi 21 octobre restera dans les annales des relations franco-américaines comme une journée à oublier. Elle avait commencé par la très inhabituelle convocation de l’ambassadeur des Etats-Unis à Paris au Quai d’Orsay, après les révélations du Monde sur l’espionnage massif des communications réalisés à l’encontre de la France par l’Agence nationale de sécurité (NSA) américaine. Elle s’est achevée, peu avant minuit, par un coup de téléphone agacé de François Hollande au président Barack Obama. « Le chef de l’Etat a fait part de sa profonde réprobation à l’égard de ces pratiques, inacceptables entre alliés et amis, car portant atteinte à la vie privée des citoyens français », a indiqué l’Elysée dans un communiqué.
Le sujet a naturellement été au coeur de l’entretien entre le secrétaire d’Etat américain, John Kerry, avec son homologue Laurent Fabius, mardi 22 octobre au matin. Signe de l’embarras de Washington, Le Monde n’a pas été autorisé à poser une question à John Kerry sur cette affaire lors de sa conférence de presse, lundi soir, à l’ambassade américaine de Paris.
Le général Keith Alexander, alors chef de la NSA, et plusieurs sources anonymes interrogées par le Wall Street Journal, avaient alors contesté les « révélations » du Monde et de ses partenaires, au motif que les documents n’auraient pas été « compris« , à mesure qu’ils ne montraient pas des données interceptées par la NSA au sein des pays européens mentionnés, « mais des informations captées par les services de renseignement européens eux-mêmes, à l’extérieur de leurs frontières« , et visant avant tout des cibles non françaises.
Dans la foulée, un autre article du Monde relevait certaines contradictions ou incohérences dans les explications de l’administration américaine :
« le document montre clairement que 70 271 990 données téléphoniques concernant la France ont été incorporées dans les bases de données de l’agence entre le 10 décembre 2012 et le 8 janvier 2013
les données sont-elles fournies par la France, ou sont-elles issues d’une surveillance de la France ? L’intitulé du document – « France, 30 derniers jours » – ne permet pas de trancher. »
La capture d’écran servant de base aux « révélations » du Monde émanait de Boundless Informant, système informatique qui agrège et organise les données contenues dans les innombrables bases de données de la NSA et permet aux analystes de l’agence d’en avoir un aperçu en quelques clics.
Une FAQ publiée par le Guardian expliquait que ces cartes BOUNDLESSINFORMANT permettent « à ses utilisateurs de sélectionner un pays [ainsi que] les détails de la collecte contre ce pays« , l’expression « contre ce (ou un) pays » revenant plusieurs fois (le surlignage avait été effectué par Le Monde) :
Or, The Intercept explique aujourd’hui que les journalistes, à l’époque, ne s’étaient focalisés que sur le second cas d’usage, « How many records (and what type) are collected against a particular country? » (Combien d’enregistrements (et quel type) sont collectés contre un pays particulier?), et d’avoir totalement fait l’impasse sur le premier, « How many records are collected for an organizational unit » (Combien d’enregistrements sont collectés pour une unité d’organisation), celui-là même que Le Monde n’avait pas surligné…
La nouvelle enquête de The Intercept révèle en effet que la NSA avait mis à disposition de certains de ses alliés un système tactique de surveillance des méta-données téléphoniques en quasi temps réel, le Real Time Regional Gateway (RT-RG), destiné à permettre aux analystes déployés « sur zone » (de guerre) non seulement d’effectuer plus facilement -et rapidement- leurs recherches, mais également de partager leurs renseignements avec la NSA aux USA, mais aussi et surtout avec leurs pairs et partenaires « sur zone« .
En Afghanistan, les services de renseignement techniques de 23 pays étaient « partenaires » de la NSA. Les membres de l’alliance anglo-saxonne 5 Eyes partageaient les « signaux« , leurs partenaires européens (dont la France) des 9 Eyes avaient accès aux « données« , les 14 Eyes aux « informations » et le reste des membres de l’OTAN au renseignement.
En 2009, la NSA, qui travaillait d’ores et déjà « côte à côte avec des personnels anglais et français« , annonçait l’installation, à Bagram, d’un nouveau centre « surdimensionné » susceptible d’accueillir 250 spécialistes du renseignement techniques (dont 120 linguistes) de différentes nationalités : « qui aurait pu imaginer, il y a un an, qu’un linguiste français, utilisant de sources de collecte américaines, fournirait un soutien tactique aux opérations menées par les forces polonaises pour le compte de la coalition ? »
Qualifié de « soutien le plus significatif en matière de renseignement électromagnétique (SIGINT) de la dernière décennie » par le général David Petraeus, RT-RG aurait, pour la seule année 2011, joué un « rôle-clef » dans 90% des opérations SIGINT en Afghanistan, menant 2770 opérations à entraîner 1 117 incarcérations et la mort de 6 534 « ennemis tués au combat », mais donc aussi, et potentiellement, de civils innocents.
The Intercept évoque ainsi le cas de 10 Afghans tués, à tort, parce qu’un analyste américain avait attribué à l’un d’entre eux, par erreur, la carte SIM d’un Taliban…
Déployé pour la première fois en 2007 à Baghdad, RT-RG avait notamment permis l’arrestation d’un homme responsable de la mort de nombreux soldats américains qui, particulièrement prudent en matière d’OPSEC (sécurité opérationnelle), n’utilisait jamais son téléphone portable quand il rentrait chez lui. La surveillance, en temps réel, du téléphone portable de sa femme, permit aux soldats de la NSA présents sur place d’identifier qu’il passait chaque week-end chez sa soeur, et son arrestation.
Dans un autre mémo, un analyste de la NSA explique que RT-RG lui permet de produire, en quelques minutes, ce qui lui prenait plusieurs semaines auparavant.
Dans les années qui suivirent, la NSA procéda à des transferts de technologies pour équiper plusieurs de ses alliés de « dirtboxes« , des IMSI-catchers simulant les antennes-relais de sorte de pouvoir surveiller les téléphones portables alentours. Ce qui lui permettait, en retour, de pouvoir surveiller des zones placées sous le contrôle de ses Alliés. Les méta-données interceptées étaient renvoyées au système RT-RG. Win-win. La France ne figure pas sur la carte qui suit parce qu’elle ne déploya ses « dirtboxes » que par la suite.
Ce n’est en effet que fin 2008 que la NSA envoya une équipe à Haguenau afin de présenter RT-RG au 54e régiment des transmissions, la composante « Guerre électronique de théâtre » du commandement du renseignement français.
Dans le compte-rendu qu’il en avait fait, l’un des agents de la NSA s’était étonné du fait que les Français acceptaient la présence de téléphones non-sécurisés dans leur centre d’entraînement (à condition qu’ils soient éteints), mais également qu’ils « servent des moules au déjeuner, et du vin avec le repas (dans des contenants semblables à nos distributeurs de soda)« .
En juillet 2008, RT-RG était capable de procéder à des surveillances de mots-clefs, à la reconnaissance vocale de locuteurs préalablement identifiés, et doté d’un sous-système VoiceRT créé pour indexer, tagguer et effectuer des recherches dans le contenu des communications interceptées.
Les SMS, traduits automatiquement, sont également géolocalisés sur Google Earth. Le système serait même capable d’analyser les habitudes de vie des « cibles » de sorte de prédire l’endroit où il ira dormir, mais également d’identifier non seulement les personnes avec qui elles communiquent, mais également celles voyageant avec lui.
De quoi permettre de « find, fix, and finish » l’adversaire, à savoir le trouver et le localiser, de sorte de pouvoir le capturer ou le tuer (voir aussi U.S. Intelligence Support to Find, Fix, Finish Operations sur Zone d’Intérêt).
The Intercept révèle également que RT-RG a depuis été également déployé au Texas, afin de surveiller la frontière mexicaine, et plus particulièrement d’interpeller des trafiquants de drogue.
A l’époque, j’avais bien évidemment envoyé mon fact-check à la rédaction en chef du Monde, qui n’avait pas voulu en tenir compte ni mettre ses articles erronés à jour, me proposant de le publier sur ce blog, ce que j’avais donc fait en mars 2014.
Cinq ans plus tard, The Intercept confirme donc ma contre-enquête. Reste à savoir si les articles seront enfin rectifiés et mis à jour.
[MaJ, 21h55] Étrangement, alors que Le Monde, évoquant des « informations recueillies auprès d’un haut responsable de la communauté du renseignement en France », avait alors reconnu qu’il s’agissait bel et bien de données collectées par la DGSE à l’étranger, et « concernant aussi bien des citoyens français recevant des communications de ces zones géographiques que d’étrangers utilisant ces canaux » (sic), Le Monde n’a toujours pas, pour autant, mis à jour ses articles afférents, qui avaient bien plus buzzé, dans le monde entier, que ce rétro-pédalage dont personne ou presque n’a entendu parler… a fortiori parce que les articles erronés n’ont précisément pas été mis à jour, et rectifiés.
Le Monde, qui m’avait proposé de consacrer ce blog à ces questions en 2008 (lorsqu’elles commençaient à intéresser le grand public), mais qui ne m’avait pas proposé de travailler avec ses journalistes suite aux révélations Snowden (quand le sujet est vraiment devenu « mainstream« ), a par ailleurs mis en ligne quatre autres « unes » que j’avais, de même, fact-checkées et contredites :
Voir l’intégralité de mes fact-checks : De la surveillance de masse à la paranoïa généralisée, ainsi que les articles que j’avais publié, dans Libé et en partenariat avec WikiLeaks, sur l’espionnage des présidents français par la NSA, notamment (full disclosure : « blogueur invité » au Monde, je ne peux en effet pas lui faire de proposition de pige ni de scoop, ce pourquoi ils avaient donc été publiés par Libé).
Voir aussi, sur electrospaces, référence en la matière : From 9-Eyes to 14-Eyes: the Afghanistan SIGINT Coalition (AFSC)
Et pour me contacter de façon sécurisée, c’est par là.
";s:7:"dateiso";s:15:"20190602_165103";}s:15:"20190505_193303";a:7:{s:5:"title";s:72:"EU spent millions in « mechanized dogs » to look for hidden migrants";s:4:"link";s:115:"https://www.lemonde.fr/blog/bugbrother/2019/05/05/eu-spent-millions-in-mechanized-dogs-to-look-for-hidden-migrants/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7370";s:7:"pubDate";s:31:"Sun, 05 May 2019 17:33:03 +0000";s:11:"description";s:694:"« Dogs have proven to be the most effective methods to detect humans hidden in vehicles« , reports an European Commission document, but they are also quickly tired, and costs a lot. That’s why the EC gave €16M to dozens of public and private bodies in order to develop « mechanized dogs » and « artificial sniffers » to identify all …Continuer la lecture de « EU spent millions in « mechanized dogs » to look for hidden migrants »
";s:7:"content";s:28087:"« Dogs have proven to be the most effective methods to detect humans hidden in vehicles« , reports an European Commission document, but they are also quickly tired, and costs a lot. That’s why the EC gave €16M to dozens of public and private bodies in order to develop « mechanized dogs » and « artificial sniffers » to identify all those hidden migrants who try to cross the Schengen borders.
An investigationwritten in june 2015 for The Migrants Files Project, but which had never been published since.
Between 1984 and 2013, the European Commission has spent € 118 billions (.pdf) in research and development programs. With almost € 56 billions of grants, the Seventh Framework Programme for Research and Technological Development (FP7), the EU’s main instrument for funding research in Europe, which ran from 2007-2013, had been the biggest ever funded, with more than 16.000 funding recipients. The objectives were to « promote research to tackle the biggest societal challenges facing Europe and the world« , but also « to create around 174 000 jobs in the short-term and nearly 450 000 jobs and nearly €80 billion in GDP growth over 15 years« .
On those € 56 billions, €1.3 have been dedicated to Security programs, with the goal of « improving the competitiveness of the European security industry and delivering mission-oriented results to reduce security gaps« . FP7 granted 322 security projects, including 23 labelled « Intelligent surveillance and border security« , one of the seven main missions areas in that matter.
Between 2012 and 2013, FP7 launched 9 grants for border checks. One of them was entitled « Innovative, costefficient and reliable technology to detect humans hidden in vehicles/closed compartments« . Its description explained that « profiling and detection dogs have proven to be the most effective methods to detect humans hidden in vehicles« , but also that « such methods are labour-intensive (and) therefore vehicles and containers are not systematically checked for hidden persons » :
« Technology currently used for detecting humans hidden in vehicles at border crossing points or in in-land mobile checkpoints is either too expensive and potentially problematic from a health and safety perspective (X-ray, gamma-ray), unreliable, or difficult to deploy in all border control scenarios (ex. millimetre wave technology, heartbeat detectors, carbon dioxide probes, laser distance measurement, telescopic inspection mirrors/cameras, electromagnetic field detection etc.).
The aim of this research project is to identify and develop a technology that can detect persons hidden in vehicles/closed compartments with the following characteristics:
– fully automated;
– contactless;
– reliable, with acceptable error/false positive rates (best minimum in comparison to dogs/manual searches);
– robust and resistant to different environments and weather conditions;
– suitable for all types of vehicles and containers;
– fast;
– high throughput;
– cost efficient (acquisition and running costs, staffing requirements);
– compliant with European health and safety regulations;
– can be integrated with other technologies to detect dangerous / illicit materials (ideally in a one-for-all gate through which all vehicles/containers are automatically screened).Such technology is to be deployed in stationary and mobile (portable, easily deployable) environments (at land and sea borders, for in-land checks).
An appropriate strategy, for the validation of the fitness for purpose of the results of the project, should be foreseen in the proposal taking fully into account the responsibilities of thenational border control authorities and the Frontex agency. »
Another presentation (.pdf) of this call for proposal detailed its « Expected impact: Today it is difficult to determine how many illegal migrants use successfully this modus operandi to cross the Schengen borders and arrive to their final destination. The identification of the entry-point into the EU of an illegal immigrant is an essential requirement for the juridical treatment of the case« .
Among the 90 146 FP7 programs, 315 mentions the word « border« , as 37 of the Security projects. Five of them try to respond to the « Innovative, costefficient and reliable technology to detect humans hidden in vehicles/closed compartments » call for proposals : DOGGIES, HANDHOLD, SNIFFER, SNIFFLES & SNOOPY, all of which were granted a sum of almost € 16 millions from the European Commission.
Using a cover version of Radioactivity, the famous Kraftwerk’s song, a videoclip of the SNIFFER project made for a Frontex’s workshop, exeplain that « dogs are known for their incredible ability to detect odours, to extract them from a « complex » environment and to recognise them, but… :
. dogs can only be trained to a limited set of applications
. get tired after a relatively short operation time
. they are poorly accepted by the public
. they are expensive. »
That said, SNIFFER received €3,5M in order to develop an « bio-mimicry enabled artificial sniffer« , as « dogs can only be trained for a small sample of odours, get easily tired and are often perceived as intrusive by the public« , and to « provide a representative set of usage cases, all related to border control security in the large sense – such as the detection of illegal substances carried by people and in suitcases (open or on a luggage belt) and cars or the detection of hidden people in containers« .
Lead by the French Alternative Energies and Atomic Energy Commission (CEA), a public body established in October 1945 by General de Gaulle, the project gathered 15 academic, governmental and private partners, including the Chambers of Commerce and Industry of Paris and its region, ST(SI)², the technological arm of the french Minister of the Interior, the Israel National Police (INP), and ARTTIC, « the European leader in consultancy and management services for Research and Technological Development » whose portfolio contains 155 projects and which received €396 788 from EU fundings in order to « support the consortium in the daily management and administrative tasks (and to) simplify as much as possible the work of the researchers and to develop a collaborative team spirit inside the consortium« .
SNIFFER presents itself as « a natural follow-up project of the GOSPEL (General Olfaction and Sensing at a European Level) network of excellence, that ended in 2008« , and whose aim was to « exploit and consolidate expertise in artificial olfaction technologies across 25 project partners across Europe as well as more than 100 ancillary interested parties, both industrial and academic, that include some of the SNIFFER partners« . In fact, GOSPEL is still active, and organized workshops every 2 years since then.
Of all the 5 projects which received european funds in order to respond to the « Innovative, costefficient and reliable technology to detect humans hidden in vehicles/closed compartments« , SNIFFER is the only one to mention GOSPEL, but also the 4 other projects with which « SNIFFER is currently interacting« , although its website doen’t explain how.
In June, 2014, a french researcher wrote that the CEA had elaborated a system based on biosensors capable of detecting a wide range of hazardous compounds (explosives, gas fight, cocaine, cannabis, etc.), without mentioning humans. SNIFFER was tested at Athens International Airport in March 2015, and holded its final public event on May 5-6, 2015 in Paris (France), but had not yet published its final results.
DOGGIES, whose logo shows a dog with a CCTV camera in place of his head, stands for « Detection of Olfactory traces by orthoGonal Gas identification technologIES« . The project, which costed 4,9M€ and received 3,5M€ from the European Commission, is composed of 13 partners from 5 EU countries, including the Institut National de Police Scientifique (the forensics institute of the french police), the Center for Security Studies (KEMEA, the Hellenic Ministry’s of Public Order and Citizen Protection think tank on security policies), and several universities and research labs, all coordinated by a private R&D organisation jointly established by Alcatel-Lucent and Thales.
The project aims at demonstrating an operational movable stand alone sensor for an efficient detection of hidden persons, drugs & explosives, plus the potential adaptation of this solution for the detection of a much wider range of illegal substances. It relies on the combination of two technologies based on completely different physical principles, therefore qualified as « orthogonal » : mid-infrared (MIR) spectroscopy, which is based on photoacoustic detection and appears to be the most powerful and promising tool to detect a wide range of volatile organic compounds (VOCs), and ion mobility spectrometry, which targets the use of a non-radioactive ionisation source.
According to a poster presented at the 17th INTERPOL International Forensic Science Managers Symposium in 2013, DOGGIES combined « 6 main innovations« . An article published for the 2014 IEEE Joint Intelligence and Security Informatics Conference, specify that « for the case of human presence, volatile fatty acids (VFA) present in human sweat identified as ideal targets for remote detection of hidden persons » and that « in total 58 volatile organic compounds (VOCs) were identified in this study as candidates for the detection of Humans (31), Illegal Drugs (19), and Explosives (13)« .
In addition, « IMS studies for detection of human presence has shown very promising results, recording levels of human specific gas traces after 15 minutes of a human present in an area of 50m3. This is very important considering that in most cases the people illegaly immigrating are confined in much smaller spaces and for very much longer periods (most of the times are more than one person too) which leads to increased concentration and abundance of the related VOCs hence, the instrument will definetely perform better« .
DOGGIES’ Periodic Report Summary emphasizes that « after 18 months, the main building blocks required for the development of an operational movable stand alone sensor detecting efficiently hidden persons, drugs & explosives, are nearly in place« , and that « it is expected that this final instrument will be able to complement the dogs currently used by the canine units of the police force, in operations in urban or remote areas such as border and custom points« . DOGGIE is supposed to end in november 2015.
In order to « detect a range of substances, including but not limited to people, drugs, explosives (including weapons) and CBRNe« , SNIFFLES partners, which received €3.4M from the EC, intended to develop an « artificial sniffer based on linear ion trap (LIT) mass spectrometry (MS), a non-intrusive high-resolution technique able to detect single atoms and complex molecules through their charged species (ions) or fragmentation pattern which have been increasingly deployed in security sniffing applications in the USA« .
An article entitled « Detecting illegal substances gets easier » emphasizes that SNIFFLES « is being designed to detect people carrying harmful substances, but also weapons and drugs (…) based on the device’s sophisticated ability to identify single atoms and complex molecules. It can take a ‘fingerprint’ of a substance and compare it with an online database to immediately identify it. Once commercialised, the device could be used in a myriad of ways, such as at border checks to prevent transport of illegal substances, including biological and chemical warfare agents« .
Its Periodic Report Summary emphasizes that « the main objective of the Sniffles project is to develop a state-of-the-art miniature and portable electronic gas sensor capable of detecting hidden persons and illegal substance« , and that « the instrument will automatically produce an alert when a dangerous substance is detected, which will reduce any possibility of human error in monitoring » as, contrary to X-ray scanners for instance, it will not have to be constantly human-monitored. That said, SNIFFLES goal is to « offer a more secure, less invasive, less legally and ethically questionable method of detecting illicit substances than some other competing technologies« .
A publication written by english academics and researchers involved in the project explain that « this work is an attempt to assist border security crackdown on illegal human immigration, by providing essential results on human chemical signatures. (…) During experiments, participants were asked to follow various protocols while volatile organic compounds (VOCs) emitted from their breath, sweat, skin, and other biological excretes were continuously being monitored« , which let them obtain significant information for NH3 (ammonia), CO2, water, and volatile organic compounds levels, « illustrating a human chemical profile and indicating human presence in a confined space« . Although the project is supposed to have ended in april 2015, its website, like the others, fail to address what they exactly developped, wether it works, and what has the project became.
SNOOPY is the only project especially designed as a « Sniffer for concealed people discovery« , through an « handheld artificial sniffer system for customs/police inspection purposes e.g. the control of freight containers » which will « be able to seek first hidden persons and second also controlled goods, illicit drugs and safety and security hazards« . It’s also the last one, launched in january 2014, and will which end in december 2016, and the smallest one, with only 6 partners, and €1.8M FP7 fundings.
In order to achieve its goal, SNOOPY focuses on « target gases (which) cover human perspirations like carbonic acids, aldehydes, thiolic compounds and nitrogen compounds and the human breathing product CO2 » for which « different kinds of sensors will be used so that each target can be detected as selective as possible. For providing an estimation of the probability of the presence of humans inside the inspected area pattern recognition will be used. The sniffer instrument will be benchmarked towards dogs and towards ion mobility spectrometry« .
Its website is also the only one to focus on FRONTEX and migration issues, as its first words explain that « illegal traffic of people is a major issue in security. The need to face this crime as well as the planning of countermeasures and the identification of missing capabilities has been the subject of several security programs proposed both at a world-wide and an European level. Nowadays, dogs represent the most effective “tool” to face these traffics, but they present intrinsic drawbacks that limit their continuous and systematic use: they can’t work in a 24/7 way (24 hours per day and 7 days per week)« .
As « most of human odors are produced by the skin (and) results from the combined action of both the skin glands and the bacterial populations localized at skin surfaces (…) the identification and the detection of this particular molecules is the fundamental point of the development of SNOOPY instrument« . For that purpose, the SNOOPY sniffer will be « portable, suited to work in a 24/7 way, able to recognize the sniffed atmospheres on its own, equipped with a small pipe to collect odors in proximity of small apertures (and) user friendly » in order for the user not to « be required to have scientific or technical competences to interpret the instrument display« .
HANDHOLD, which stands for « HANDHeld OLfactory Detector« , gathers nine academic and private partners, includind the Irish Customs Authority plus an « attached user group of representatives from law enforcement from around Europe« . They received €3.5M, and will work until september 2015.
Unlike the 4 other projects, and according to its report summary, HANDHOLD is a response to a 2011 FP7 challenge for an Artificial sniffer (.pdf) defined in a Call under the FP7 Security in 2011 which was referring to « the integration in a one stop shop of different technologies for the detection of illegal substances and hidden persons (…) The ‘mechanized dog’ should be able to detect in parallel a variety of possible illicit elements, with reliability, high speed of detection and identification, allowing fast threat assessment. The research should focus on exploring the overall process (how to collect odours and store them, what is the best protocol to compare, how to evaluate the performance…).« .
HANDHOLD’s Result In Brief paper summarizes the project as « a mobile network of low-power chemical, biological, radioactive, nuclear and explosive sensor systems » which « central layer involves the development of a reconfigurable modular sensor platform mimicking the operational characteristics of the sniffer dog » in such a way that « the system can also carry out offline data analysis to support decision-makers in remotely coordinating field operations« . That said, « the HANDHOLD platform goes beyond the capability of most sniffer dogs because they are trained usually to target just one substance. Moreover, the HANDHOLD platform can embrace new sensor technologies when they become available in the future« .
The frontpage of its website states that « HANDHOLD delivers for the first time electronics and photonics to the operating level of the molecule, bacteria and viruses with the intent to detect and win for civil security« . The final lecture of the HandHold Summerschool, which will take place in Toulouse (France) in July 2015, will discuss the « Security & Ethical Challenges for CBRNE Sensor Development« . I’ve spent hours investigating those « mechanized dogs » developed to hunt migrants, and it was the first time I saw someone address the ethical issue.
";s:7:"dateiso";s:15:"20190505_193303";}s:15:"20190424_112801";a:7:{s:5:"title";s:42:"Le LBD est bien une « arme de guerre »";s:4:"link";s:97:"https://www.lemonde.fr/blog/bugbrother/2019/04/24/le-lbd-multi-coups-est-bien-une-arme-de-guerre/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7339";s:7:"pubDate";s:31:"Wed, 24 Apr 2019 09:28:01 +0000";s:11:"description";s:651:"Le Canard enchaîné avait révélé, fin décembre dernier, que le ministère de l’Intérieur avait passé commande, à la veille de Noël, de 1280 nouveaux « lanceurs mono-coup » (type LBD, dont 1275 pour la gendarmerie), plus 270 « lanceurs multi-coups » (LMC) 4 coups, et 180 « 6 coups » (soit 450 LBD semi-automatiques) pour les policiers …Continuer la lecture de « Le LBD est bien une « arme de guerre » »
";s:7:"content";s:25567:"Le Canard enchaîné avait révélé, fin décembre dernier, que le ministère de l’Intérieur avait passé commande, à la veille de Noël, de 1280 nouveaux « lanceurs mono-coup » (type LBD, dont 1275 pour la gendarmerie), plus 270 « lanceurs multi-coups » (LMC) 4 coups, et 180 « 6 coups » (soit 450 LBD semi-automatiques) pour les policiers (voir Violences policières : la fuite en avant de Castaner).
Le Canard enchaîné vient cette fois de révéler que le ministère de l’Intérieur s’est depuis « rendu compte avec stupeur que ses désormais célèbres lanceurs de balles de défense (LBD) étaient classées par la réglementation internationale en… armes de guerre ». Explications.
[MaJ] : le LBD et ses munitions sont des armes de catégorie A2 (« matériels de guerre« ), le fabriquant suisse du LBD ne peut l’exporter qu’en tant que « matériel militaire« , et son partenaire français qu' »en accord » avec le ministère des armées. J’ai donc modifié le titre original, qui était « Le LBD multi-coups est bien une « arme de guerre » »
[MaJ 2] Le fabriquant du LBD vante le fait que des tirs effectués à 25 mètres de la cible, depuis un LBD fixé sur un rail, ne ratent leur cible que de 7 centimètres. On n’ose imaginer ce qu’il en est en condition réelle, avec un tireur mobile évoluant un milieu hostile, lorsque la cible bouge…
Plusieurs industriels déploraient en effet que les exigences techniques de l’appel d’offres « génèrent quelques difficultés techniques« , à mesure que les cartouches exigées par le ministère ne sont pas référencées par la Commission internationale permanente (CIP) pour l’épreuve des armes à feu portatives.
Créée en 1914, ratifiée dans une convention internationale en 1969 et transposée dans le droit français en 1971, ladite CIP a pour objet de déterminer les épreuves officielles auxquelles devront, « pour offrir toute garantie de sécurité« , être soumises les armes de chasse, de tir et de défense (« à l’exception des armes destinées à la guerre terrestre, navale ou aérienne« ), de sorte de « vérifier la résistance de l’arme« , et d’éviter qu’elle ne pète à la tronche de ses utilisateurs.
Après avoir initialement répondu aux industriels que « de manière à offrir toute garantie de sécurité aux opérateurs, les armes doivent être éprouvées par un banc d’épreuve adhérant à la CIP, et suivant la procédure définie par cette dernière« , Beauvau vient de faire un virage à 180°.
L’un des industriels avait en effet souligné qu' »il semblerait que les matériels de guerre classés en catégorie A2 4° peuvent déroger à l’épreuve de la CIP« , évoquant en l’espèce les « lance-grenades, de tous calibres, lance-projectiles et systèmes de projection spécifiquement destinés à l’usage militaire ou au maintien de l’ordre » mentionnés à l’article R311-2 du code de la sécurité intérieure, qui porte sur le « classement des matériels de guerre, armes et munitions« .
Un autre industriel venait par ailleurs et opportunément de lui demander s’il pouvait néanmoins concourir, à mesure que les nouveaux LBD ont « passé avec succès le test de tir des cartouches d’épreuve du BNE (le Banc national d’épreuves de Saint Etienne, le certificateur français agréé par la CIP -NDLR), en dépit du dimensionnement militaire de la chambre qui les empêches (sic) de recevoir le poinçon CIP« .
En réponse, Beauvau a tout bonnement supprimé des exigences de son appel d’offres ces « mentions relatives aux exigences CIP« , reconnaissant donc que ses nouvelles pétoires relèveraient plutôt du régime applicable aux « armes de guerre« .
Un comble, à mesure que les militaires de la direction générale de la gendarmerie nationale (DGGN) avaient refusé de doter les gendarmes de tels « lanceurs multi-coups de balles de défense« , que plus de 90% des tirs de LBD l’ont été par des policiers, et que 81 des 83 enquêtes administratives pour blessures graves visent précisément des policiers.
Pas de quoi rassurer, alors que les 13 460 tirs de lanceurs de balles de défense (LBD) reconnus par le ministère de l’intérieur depuis le début du mouvement des gilets jaunes ont entraîné le journaliste David Dufresne à collecter 260 signalements de « violences policières« , et recenser rien moins que 23 éborgnés par des tirs de LBD, en 23 jours de manifestations de « gilets jaunes »…
Un historien avait de son côté récemment rappelé que le LBD est en fait le successeur du « baton round« , un lanceur de balles en caoutchouc ou en plastique introduit en juillet 1970 au sein de l’armée britannique avant d’être systématiquement utilisé lors du conflit en Irlande du Nord, et qui avait été pensé comme un moyen de frapper les manifestants, de les matraquer à distance.
Entre 1970 et 2005, l’armée recensa 125 000 tirs, entraînant 17 morts, dont 8 enfants (.pdf). Suite à la mort d’un enfant de 11 ans, le Parlement européen appela les pays membres à abolir l’utilisation de telles balles en plastique. C’était en 1982.
En 2013, le gouvernement britannique déclassifia un document de 1977 qui, en réponse à la plainte d’un enfant de 10 ans qui avait été rendu aveugle par une balle en caoutchouc, reconnaissait de sérieux problèmes, à mesure qu’elle « n’avait pas été correctement testée avant d’être utilisée, qu’elle pouvait être létale et causer de sérieuses blessures, et qu’elle avait d’ores et déjà causer de sérieuses blessures« .
La CIP n’a homologué que 2 munitions de calibre 40 : le 40 x 46 BDLR X français utilisé par les LBD, homologué en 2012, et le 40 x 46 américain homologué en 2007. Comme l’avait d’ailleurs lui-même expliqué Jean-Verney Carron, l’inventeur du Flash-Ball, au sujet du LBD40 qui l’a depuis remplacé, « La balle est d’un calibre de 40 mm… c’est beaucoup plus dangereux que le Flash-ball. C’est un calibre de guerre ».
[MaJ] Les lanceurs de grenades 40 & 56mm et leurs munitions sont, tout comme les grenades GLI F4, OF F1 et de désencerclement, des armes de force intermédiaire (AFI) de catégories A2, relevant des « matériels de guerre » (la catégorie A1 porte, elle, sur les « armes à feu »).
Le lanceur de balle de défense 40 mm fabriqué par l’armurier suisse Brügger & Thomet, le Brügger & Thomet GL06, ou LL06 dans sa version « moins dangereuse » (sic), destiné à des applications militaires et policières et appelé LBD 40 en France, est à ce titre exporté de Suisse sous l’appellation « matériel de guerre« .
De même, et en réponse à des questions adressées par le Conseil de sécurité de l’ONU, TR Equipment, le partenaire français de B&T, qui se présente comme le « responsable de la vente de plus de 6 000 lanceurs pour la police et la gendarmerie française dans le but de la gestion démocratique des foules en accord avec le ministère de l’intérieur et de la défense classant le lanceur comme une produit à létalité réduite (Less lethal) » (sic, alors que d’ordinaire on la qualifie d’arme « non létale« ), avait répondu qu’il ne pouvait exporter de LBD qu' »en accord avec le ministère de la défense » français.
Témoin des blessures qu’elles causent, le neurochirurgien Laurent Thines parle de « véritables blessures de guerre (et) de gueules cassées nous rappellent les heures sombres de la Grande Guerre« , et réclame « l’abrogation de l’ensemble des armes sublétales. Car au-delà du LBD40, les grenades – GLI-F4 et grenades de désencerclement – sont des armes de guerre. Elles contiennent des charges explosives importantes ».
Voir aussi mon enquête sur la contribution française à la « gestion démocratique des foules » au Barheïn, ainsi que Valls tragique à Milipol : 100 morts (pour l’instant), l’extrait (caviardé) du Cash Investigation que j’avais consacré aux marchands du Business de la peur.
De fait, la grenade 40 x 46 est bien une grenade « militaire« , développée pour les besoins de l’armée US du temps de la guerre du Vietnam, et utilisée notamment par le Penn Arms PGL65-40 « Fourkiller Tactical Model » 40 mm Multiple Grenade Launcher, le lanceur US multi-coups de LBD d’ores et déjà utilisé depuis quelques années par certains policiers français.
Au nombre des autres lanceurs multi-coups de ce type on trouve aussi par le RG-6 utilisé par les militaires russes lors de la guerre en Tchétchénie, le sud-africain Milkor MGL (Multiple Grenade Launcher), utilisé par des armées du monde entier, le Hawk MM1 qui faisait partie de l’arsenal d’Arnold Schwarzenegger dans Terminator 2: Judgment Day, ou encore le Sage Control Rotary Launchers, utilisé par Schwarzie dans Terminator 3: Rise of the Machines.
Alors que le Défenseur des droits, Jacques Toubon, avait réclamé dès janvier la suspension de l’usage des LBD en raison de leur « dangerosité », que le Conseil de l’Europe avait appelé, le 26 février, à « suspendre l’usage du LBD dans le cadre des opérations de maintien de l’ordre » afin de « mieux respecter les droits de l’homme », et que l’Organisation des Nations unies (ONU) avait mise en cause la France pour son « usage violent et excessif de la force » face au mouvement des « gilets jaunes », le Conseil d’État a rejeté la suspension de l’utilisation du LBD40, qu’avait pourtant appelé de ses voeux le préfet de police de paris l’an passé. Le Monde, de son côté,a pu consulter l’argumentaire de 21 pages envoyé par le gouvernement à l’ONU :
« Les policiers ont recours au LBD lorsqu’il est nécessaire de dissuader ou de stopper une personne violente ou dangereuse. » Les spécificités de l’arme sont décrites par le menu et sa dangerosité est en partie reconnue : « En fonction des munitions utilisées, le LBD 40 mm est susceptible de causer des lésions importantes si le tir atteint des personnes situées à moins de 3 ou 10 mètres. »
Le chef du service central des armes du ministère de l’Intérieur vient de son côté d’homologuer une nouvelle « munition à projectile non métallique de calibre 44/83 SP« , similaire à celle qu’avait homologué la société Verney-Carron pour son flash-ball.
« Composée d’un étui en aluminium et d’un projectile unique en élastomère mou« , la PEFCO 44 est un « projectile à impact » destiné au nouveau lanceur CRUSH de calibre 44 x 83 mm, « système d’arme de force intermédiaire permettant de repousser des éléments agressifs à une distance comprise entre 0 et 25 mètres » breveté par la société SECURENGy, créée par un ancien démineur et gendarme, ex-consultant chez TASER.
Étrangement, SECURENGy a protégé à l’INPI les marques verbales CRUSH et PEFCO dans la catégorie consacrée aux armes à feu, mais également dans celle dévolue aux (sous-)vêtements, et, encore plus étonnant, celle des… jeux et jouets, tapis d’éveil, consoles de jeu, appareils de culture physique et de gymnastique, attirail de pêche, patins à glace et à roulettes, figurines et robots.
Une autre société française, Redcore, commercialise elle aussi une autre « Munition à Létalité Réduite » de calibre 44/83 SP, la MAT44, destinée à être utilisée par son Lanceur de Balles de Défense de dernière génération à canon long rayé, le LBD Kann44 CLR, à destination des polices municipales et dont la fiche technique précise qu’elle « peut être dangereuse et même mortelle en cas de tir à bout portant« .
Ladite fiche technique fournit par ailleurs les résultats d’un test comparatif où l’on découvre que « les tirs du Flashball SuperPro sont éparpillés et imprécis même à courte distance (5, 7 et 10 mètres) : 5 projectiles sur 10 n’ont pas atteint la cible« , que 2 ont touché les côtes, 2 autres le cœur et un cinquième a même touché l’oreille, alors qu’ils étaient censés viser le nombril… confirmant un constat effectué en 2009 par la Commission nationale de déontologie de la sécurité qui, constatant « les risques qu’un projectile atteigne une personne se trouvant à proximité de la personne ciblée ou bien touche la personne ciblée à un endroit vulnérable de son organisme sont donc importants, notamment lorsque le Flash-Ball est utilisé lors d’un rassemblement compact de manifestants », avait lui aussi déconseillé son emploi dans le cadre d’un rassemblement sur la voie publique.
[MaJ 2] Dans la vidéo officielle de promotion de son LBD, Brügger & Thomet se félicite du fait que des tirs effectués à 25 mètres de la cible, depuis un LBD fixé sur un rail, en utilisant sa cartouche SIR, qu’il qualifie (.pdf) de « munition cinétique la plus précise, la plus fiable, et économique du marché », ne ratent leur cible que de 7 centimètres :
On n’ose imaginer ce qu’il en est en condition réelle, avec un tireur mobile évoluant un milieu hostile, lorsque la cible bouge, et utilisant une autre munition que celle de B&T… qui a d’ailleurs protesté de son innocence en expliquant, rapporte L’Express, que « les munitions utilisées en France n’ont pas été conçues, fabriquées ni livrées par B&T AG […] En cas d’utilisation de munitions des autres fabricants, il y a le risque que la précision baisse et le risque de blessures augmente considérablement« .
Un explication confirmée, en off, par un CRS interrogé par L’Express : « Le LBD40 est une bonne arme intermédiaire, non-létale. Mais la munition qui sort du canon, ce n’est pas la bonne« , assure-t-il. Le problème, selon lui : la composition de la « balle de défense » projetée. « Il y a deux parties l’une sur l’autre. La première est arrondie, en caoutchouc assez dur. La seconde, la base, est en plastique très dur, légèrement plus large que la partie en caoutchouc. Je crois que c’est cette partie dure qui occasionne les blessures graves (…) l’ogive employée n’est pas la bonne. Il faudrait qu’elle soit plus souple, elle ferait ainsi moins de dégâts« .
A quoi une autre source policière assure que les balles du fabricant suisse n’ont pas été retenues à l’issue des tests des projectiles des différents armuriers car… elles ont été considérées comme plus dangereuses.
En attendant, et accessoirement, le service d’achat du ministère de l’Intérieur vient de son côté de passer commande de plus de 4M€ d' »aérosols lacrymogènes (gaz CS) et de diffuseurs de décontaminant à destination de la Police Nationale et de la Gendarmerie Nationale« .
Pour me contacter de façon sécurisée (voire anonyme), c’est par là.
";s:7:"dateiso";s:15:"20190424_112801";}s:15:"20190217_215815";a:7:{s:5:"title";s:55:"David Doucet et la « présomption de culpabilité »";s:4:"link";s:96:"https://www.lemonde.fr/blog/bugbrother/2019/02/17/david-doucet-et-la-presomption-de-culpabilite/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7311";s:7:"pubDate";s:31:"Sun, 17 Feb 2019 20:58:15 +0000";s:11:"description";s:634:"[Voir aussi les MaJ, en bas de l’article.] Cela fait des années que je répète qu’en cette ère de Big Data et de traçabilité, de montée en puissance de la société de surveillance, Le vrai danger, ce n’est pas Orwell, mais Kafka, à savoir le fait de se retrouver accusé de quelque chose que l’on ne …Continuer la lecture de « David Doucet et la « présomption de culpabilité » »
";s:7:"content";s:27372:"[Voir aussi les MaJ, en bas de l’article.]
Cela fait des années que je répète qu’en cette ère de Big Data et de traçabilité, de montée en puissance de la société de surveillance, Le vrai danger, ce n’est pas Orwell, mais Kafka, à savoir le fait de se retrouver accusé de quelque chose que l’on ne comprend pas, et d’être placé en situation de devoir démontrer son innocence -alors que dans un état de droit, c’est à l’accusation d’apporter les preuves d’une culpabilité.
Je n’avais pour autant jamais encore été en situation d’estimer être à même de pouvoir démontrer l’innocence de quelqu’un ayant reconnu sa culpabilité. « Context is king » : lui, et sa victime, avaient oublié le contexte de ce qui s’était passé. Elle avait vraiment morflé. Mais ce n’était ce me semble pas particulièrement l’objectif visé par celui qui, depuis, a pourtant avoué.
Je n’avais jamais entendu parler de la « Ligue du LOL » avant que CheckNews n’en révèle l’existence. Je connais certes plusieurs de ses membres, mais n’avais jamais non plus entendu dire, comme on l’a découvert depuis, que certains d’entre eux avaient pu faire montre de « (cyber)harcèlement », et ne savais donc rien non plus de ce qu’avaient subi leurs victimes.
La semaine passée, une journaliste de L’Express m’a contacté au sujet d’une interview vidéo, Entretien avec un troll, où l’on me voyait notamment qualifier ledit troll de « gentil« , et lui proposer de faire un recueil de poésie de ses fakes et canulars sur Twitter. La journaliste voulait savoir s’il s’agissait bien du journaliste David Doucet.
Suite aux révélations de CheckNews, la journaliste Florence Porcel avait en effet dénoncé le fait qu’un journaliste -dont elle n’avait pas mentionné le nom- lui avait fait un « canular téléphonique » en se faisant passer pour un recruteur potentiel, alors qu’elle était intermittente et précaire, et de l’avoir mis en ligne sur le web, canular qualifié de « point d’orgue » d’une longue série de harcèlements qui l’avait traumatisée.
Dans la foulée, le fichier audio était effacé, l’auteur du canular envoyait un mail d’excuses à la journaliste, qui lui demandait en retour de rendre publiques ses excuses et de prendre « personnellement, collectivement et publiquement acte de vos erreurs passées« .
De fait, David Doucet publiait dans la foulée un communiqué où il reconnaissait avoir fait partie, pendant deux ans, de la Ligue du LOL, l’avoir quittée il y a 6 ans, n’avoir jamais deviné l’ampleur et les traumas subis, avoir « lu avec effroi les témoignages qui sont sortis« , n’avoir « jamais réalisé de photomontages, pratiqué de raids ou participé aux soirées décrites« , mais pas seulement :
« Cette libération de la parole m’a surtout fait prendre conscience que je comptais parmi les bourreaux. Durant cette période, j’ai en effet réalisé deux canulars téléphoniques dont celui raconté courageusement par Florence Porcel, où je me faisais passer pour un recruteur de la télé. Je mesure aujourd’hui la dégueulasserie de ces actes et je n’ai pas d’excuses pour cela »
Je ne sais combien de personnes avaient, à l’époque, relayé ledit canular, ni si d’aucuns auraient pu depuis effacer leurs tweets, mais je découvrais dans la foulée, effaré, que les archives de Twitter ne retrouvaient qu’un seul tweet l’ayant relayé, que j’en étais l’auteur, et qu’il m’avait visiblement amusé :
Enorme. @PascalMeric, le gentil #troll du @Vinvinteur (http://t.co/PKLOg9lzhZ) piège @FlorencePorcel https://t.co/JHe1Dm7UGn /-)
— jean marc manach (@manhack) 11 mai 2013
Je découvrais également que l’interview du « gentil troll » avait été faite à l’occasion d’un n° spécial trolls du Vinvinteur, émission diffusée sur France5, dont je fus le rédacteur en chef de janvier à mai 2013 et dont Florence Porcel était à l’époque l’une des incarnations à l’écran, mais aussi la « community manageuse ».
Je découvrais enfin que j’avais tweeté la mise en ligne de ladite émission le même jour à 20h, soit 1h48 seulement avant que je ne tweete le canular téléphonique…
Le fait de revoir cette émission donne une toute autre perspective à cette affaire : nous avions en effet demandé à Florence et Vinvin -son présentateur- de… jouer aux trolls, et le « gentil troll » n’avait donc rien trouvé de mieux que de… troller la « community manageuse » de l’émission de décryptage des trolls qui venait précisément de l’interviewer, en la piégeant façon Gérald Dahan.
#EpicWin comme on disait à l’époque, « Enorme » comme je l’avais donc écrit sur Twitter…
Le Vinvinteur était en effet une émission de vulgarisation des (contre-)cultures Internet, qui comportait une partie divertissement (ce pourquoi Florence & Vinvin étaient déguisés), et un volet information/décryptage (dont j’étais responsable).
A l’époque, je prenais un malin plaisir à battre en brèche les clichés véhiculés sur le www, et avais proposé, de façon contre-intuitive, de mettre en avant la « fonction sociale » du troll, en interviewant le sociologue Antonio Casilli, auteur de nombreux articles et publications à ce sujet ainsi que celui qui, à l’époque, se faisait appeler @PascalMeric, parodie de « journaliste pour la groupe Mondadori » (sic) et auteur d’un manifeste intitulé Pour une #netiquette appliquée à Twitter.
Pour vous remettre dans le contexte, et vous permettre de comprendre pourquoi je l’avais qualifié de « gentil troll« , un article de Rue 89, Ma vie de « fake » sur Twitter, avait révélé en 2011 qu’il avait créé une cinquantaine de faux comptes, faisant notamment passer Vanessa Demouy pour une assidue lectrice de Joyce et admiratrice de Böcklin :
“Le but ce n’est ni de tromper ni d’humilier, le but c’est de faire du LOL. Twitter est devenu très individualiste, trop égocentré. Ça manque de rêve, de poésie et d’humour. Tout le monde se prend au sérieux, ce n’est pas ça le Web. Alors que quelqu’un s’amuse à quelques détournements de temps en temps…”
Son compte Twitter avait fait partie de la shortlist des 10 blogs ayant obtenu le plus de votes de la part des internautes dans la catégorie Microblogging des Golden Blog Awards.
Qualifié de « meilleur fake de Twitter » par Chloé Woitier (journaliste médias au Figaro), il avait également été recommandé par Nicolas Demorand en mode « mais pourquoi est-il si méchant!!?!!!?!? ».
Découvrant donc que, non seulement j’étais potentiellement le seul à avoir tweeté le canular qui avait « traumatisé » Florence, mais également que ce canular visait potentiellement moins Florence en tant que personne que l’émission où elle travaillait, je l’ai bien évidemment appelée pour m’excuser, et en parler avec elle, a fortiori parce qu’elle ne m’avait jamais parlé, ni à l’époque ni depuis, du mal que ce canular lui avait fait.
Et c’est moi qui lui ait rappelé le contexte, qu’elle avait oublié. Elle ne se souvenait plus du fait que David Doucet, cité depuis comme membre de la Ligue du LOL et dont elle avait donc dénoncé le canular, avait mis en ligne ledit canular à l’occasion, précisément, de la diffusion de l’émission spécial trolls…
Elle m’a par ailleurs confirmé qu’il ne l’avait pas, par ailleurs, harcelé d’une quelconque autre manière, mais qu’elle avait estimé, au vu de la découverte de l’appartenance de David à la Ligue du LOL, que son canular s’inscrivait dans la campagne de harcèlement dont elle avait fait l’objet, depuis quelques années, par des personnes plus ou moins liées à ce groupe Facebook.
Contacté dans la foulée, David m’expliqua qu’il avait lui aussi oublié le contexte de la mise en ligne de ce canular, et vivre un enfer depuis qu’il avait, afin de s’excuser auprès de Florence, reconnut qu’il « comptait parmi les bourreaux« , et qu’il mesurait « la dégueulasserie de ces actes« .
Dans l’article que L’Express a consacré à l’interview que David-le troll m’avait alors accordé, j’explique que :
« Je me suis excusé auprès de Florence, car s’il n’y avait pas eu l’émission, elle ne se serait pas fait piéger. Comme je n’étais pas tout le temps là, je ne savais pas qu’elle avait pleuré pendant trois jours… Et par ailleurs, à l’époque, j’avais en effet trouvé ça vraiment drôle : on s’était fait troller par le troll qu’on avait invité… Aujourd’hui, David Doucet est accusé d’avoir ‘harcelé’ Florence, alors que c’était donc un canular, qu’elle a perçu comme faisant partie du harcèlement dont elle avait fait l’objet depuis 2010 », déplore le journaliste.
Pour le coup, je me suis également excusé auprès de David, à mesure qu’il m’a aussi expliqué que la tournure empathique de l’interview avait pu l’inciter à ainsi essayer de troller l’émission qui venait de l’interviewer…
Je ne sais pas ce pourquoi il avait jeté son dévolu sur Florence Porcel plutôt que de chercher à me piéger moi, Vinvin ou Henri Poulain (réalisateur et producteur de l’émission -MaJ : en commentaire, Vinvin précise qu’il avait lui aussi été piégé par David Doucet, de la même manière…). Florence était, certes, une (jeune) femme, que d’aucuns pourraient penser potentiellement plus facile à piéger (il venait cela dit, deux jours plus tôt, de piéger le député Christian Vanneste de la même manière), mais aussi la « community manageuse » du Vinvinteur, et donc son incarnation sur les réseaux sociaux.
Quand je lui ai demandé ce pourquoi il s’était lui-même décrit comme un « bourreau« , et qualifié son canular de « dégueulasserie« , alors qu’il s’agissait semble-t-il tout autant voire bien plus d’un « canular » lié à l’émission qu’une forme de « harcèlement » à l’encontre de Florence, David évoque, outre le fait qu’il avait oublié le contexte de ce spécial trolls du Vinvinteur, le choc de voir son nom ainsi jeter en pâture dans la liste des membres de la Ligue du LOL, le fait d’avoir découvert (elle ne lui en avait jamais parlé non plus auparavant) que ce canular avait fait aussi mal à Florence, et avoir ainsi voulu faire amende honorable…
Je ne sais s’il pourrait s’agir d’une forme de syndrome de Stockholm, mais il s’agit ce me semble en tout cas d’un faux aveu, fait sous l’emprise de la pression médiatique autour de cette affaire, et du poids de la culpabilité vu les témoignages des personnes harcelées.
Je suis par ailleurs consterné de voir que, depuis que la liste des membres de la Ligue du LOL a fuité, tous font l’objet de ce qui relève bel et bien de « (cyber)harcèlement« , quand bien même aucune accusation circonstanciée n’ait été relevée à leurs sujets, comme le déplorait récemment Mediapart :
Il y a aussi l’épineux problème de ceux qui ont été membres de la Ligue du LOL mais qui ne sont, pour l’heure, pas accusés de harcèlement à proprement parler. C’est par exemple le cas du journaliste de Télérama Olivier Tesquet : « La liste de “membres présumés” partagée anonymement sur le site Pastebin a contribué à aplanir les responsabilités, laissant croire qu’un groupe Facebook était une société secrète à l’intérieur de laquelle chacun est comptable des actions de tous les autres, explique-t-il à Mediapart. Je suis soulagé que le travail d’enquête vienne clarifier les choses, mais j’aurais préféré qu’il intervienne en amont. »
Convoqué par son employeur, Olivier Tesquet a ainsi « déclaré ne s’être livré personnellement à aucun des actes de harcèlement pratiqués, contraires aux valeurs du journal, et dont il mesure l’extrême gravité. Il s’est profondément excusé. Cet entretien les a convaincues de sa participation passive à ce groupe ».
Slate, de son côté, a publié une mise au point précisant que « dans aucun des écrits et/ou témoignages publiés à ce jour, Christophe Carron (le rédac’ chef de Slate -NDLR) n’a été accusé d’avoir harcelé ou insulté quiconque », et que « les explications détaillées que Christophe Carron nous a fournies, nous ont convaincus de son absence d’implication personnelle dans des actes répréhensibles ou contraires à nos valeurs ».
David Doucet, rédacteur en chef des Inrocks, passe quant à lui en procédure de licenciement dans les jours qui viennent, pour avoir reconnu, sous la pression, ce qu’il a qualifié de « dégueulasserie » alors que le contexte montre bien que ce canular s’inscrivait aussi et surtout dans le fait que le Vinvinteur venait de le présenter comme un « gentil troll« .
Je ne sais pas s’il aurait pu être impliqué dans d’autres formes de harcèlement, sinon qu’à ce stade, ce canular téléphonique est la principale chose qui lui est reprochée, et je pense avoir démontré que, si Florence Porcel l’avait mal vécu au vu de la série de harcèlements dont elle avait préalablement fait l’objet, il ne s’agit pas pour autant, stricto sensu, d’une forme de « (cyber)harcèlement », mais bel et bien d’un « canular« .
J’ai été effaré de lire les nombreux témoignages des victimes de harcèlement de membres ou proches de cette Ligue du LOL.
Je le suis tout autant de voir que, depuis que la liste de leurs membres a fuité, ils sont tous harcelés à leur tour sur les réseaux sociaux et jetés en pâture dans les médias, et que plusieurs ont été mis à pied, qu’ils aient -ou non- été accusés de faits précis et circonstanciés. Si certains font l’objet d’accusations circonstanciées, tous font en tout cas l’objet d’une forme de « présomption de culpabilité ».
Je suis conscient que ce billet pourra aussi me valoir d’être trollé, mais j’estime que David Doucet (que je ne connaissais pas avant l’interview, et avec qui je n’avais pas été en contact depuis) ne saurait être cloué au pilori, ni social ni professionnel, en raison de ce « canular » décontextualisé.
Contactée, Florence me répond que, pour elle, « le simple fait de faire ce type de canular est une démarche malveillante, a fortiori de le mettre en ligne« , tout en précisant qu’elle « espère qu’ils sont bien entourés« , et qu’elle ne « cautionne bien évidemment pas le harcèlement dont ils font l’objet« .
Dénoncer le « (cyber)harcèlement » est quelque chose de juste, et d’important. Que cela débouche sur une forme de « chasse aux sorcières » virant parfois au lynchage sur les réseaux sociaux est effarant, et effrayant.
Nonobstant le fait que ce n’est pas non plus l’objectif de celles et ceux qui, courageusement, ont témoigné des harcèlements dont ils ont été victimes.
abjects leurs actes ont-ils pu être. Ne nous transformons pas en meute, svp.
— capucine piot (@capucinepiot2) 9 février 2019
Il faut mettre un terme à cette forme de « cyber » loi du talion : la lecture des commentaires en réaction aux tweets de ceux qui ont tenté de s’excuser n’a rien à envier aux harcèlements dont ils sont accusés, et ce qu’ils vivent depuis une semaine est même potentiellement tout aussi -voire bien plus- violent que ce qu’ont connu celles et ceux qu’ils sont accusés d’avoir harcelé.
Les journalistes doivent aussi arrêter de n’enquêter qu' »à charge« , et de ne crier qu’avec les loups. On ne saurait accuser « par association » l’ensemble des membres de la Ligue du LOL, au seul motif qu’ils avaient fait partie du groupe, a fortiori alors que les enquêtes effectuées depuis une semaine semblent montrer que plusieurs de ses membres n’ont pas été directement accusés de harcèlement.
Il faut assurément travailler sur ce qui a valu à d’aucun(e)s d’être ainsi victimes de harcèlement. Mais ce n’est pas en harcelant collectivement de (présumés) harceleurs que l’on parviendra efficacement à lutter contre le (cyber)harcèlement.
Désolé si ce billet, écrit « à l’arrache« , peut en indisposer certain(e)s, vu le climat ambiant, mais il me semblait important de partager mes doutes et interrogations en la matière.
Je me garde le droit de le mettre à jour si d’aventure il permet de débattre de ces questions graves de façon constructives. & merci d’apaiser le débat : ce n’est pas en jetant de l’huile sur le feu que l’on parviendra à éteindre l’incendie.
MaJ, 25/02/2020 : voir aussi La fabrique d’un « bourreau » idéal, l’enquête en 4 parties que j’ai depuis consacrée à cette affaire. tl;dr : la quasi-totalité des faits qui lui ont été reprochés ne tiennent pas la route. Où l’on découvre aussi que l’ex-directrice des Inrocks a, par contre, profité de la Ligue du LOL pour redorer le blason du magazine, entâché par la couv’ consacrée à Bertrand Cantat (qu’elle avait activement soutenu, alors que David Doucet s’y était opposé), en licenciant Doucet pour le remplacer par une journaliste féministe.
MaJ, 11/03/2020 : Florence Porcel a retrouvé la trace d’un email révélant que le canular avait été enregistré en janvier 2013, alors que l’interview du « gentil troll », et la mise en ligne du canular, dataient du mois de mai : son témoignage. Ce qui ne change pas fondamentalement mon analyse de la question : le Vinvinteur, lancée en septembre 2012 et qu’elle co-présentait, était l’une des rares (seules ?) émissions TV consacrées à Internet, et j’en étais devenu le rédac’ chef en ce même mois de janvier 2013, afin de la « booster » d’un point de vue journalistique. Vu le contexte, il n’est guère étonnant qu’il ait pu enregistré le canular en janvier, pour ne finalement le diffuser qu’en mai.
MaJ, 2/10/2020 : l’essai consacré par David Doucet à « la haine en ligne » et à la « cancel culture » fait la « Une » de L’Express, qui l’a interviewé à ce sujet, ainsi que Quotidien.
De la Ligue du Lol aux Inrocks : une panique morale ?
Ligue du LOL : la fabrique des 30 salauds
Ligue du LOL : ce que les médias n’ont pas cherché
Les articles d’Alexandre Hervaud sur Medium
Les nombreux threads, notamment de @coeur_derockeur, que j’ai likés
Je suis une femme et j’ai été membre de la ligue du lol.
Lynchage sur les réseaux, retour sur l’affaire de la Ligue du LOL
Ligue du LOL : notre contre-enquête
La Ligue du LOL, un gigantesque bobard
Élisabeth Lévy: «Un féminisme est en guerre contre le moulin à vent d’un patriarcat moribond»
Ligue du LOL, #BalanceTonPorc… quand Twitter et Facebook deviennent des tribunaux populaires
";s:7:"dateiso";s:15:"20190217_215815";}s:15:"20181228_123048";a:7:{s:5:"title";s:53:"Violences policières : la fuite en avant de Castaner";s:4:"link";s:101:"https://www.lemonde.fr/blog/bugbrother/2018/12/28/violences-policieres-la-fuite-en-avant-de-castaner/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7278";s:7:"pubDate";s:31:"Fri, 28 Dec 2018 11:30:48 +0000";s:11:"description";s:695:"Alors que, souligne le sociologue Fabien Jobard, face aux « Gilets Jaunes« , l’action répressive et le bilan, en termes de blessés, sont d’une ampleur considérable et sans précédent depuis Mai 68, le ministère de l’Intérieur a (opportunément ?) publié en ce week-end de veille (a priori chargé) de Noël un appel d’offres portant sur l’achat de 1730 …Continuer la lecture de « Violences policières : la fuite en avant de Castaner »
";s:7:"content";s:27063:"Alors que, souligne le sociologue Fabien Jobard, face aux « Gilets Jaunes« , l’action répressive et le bilan, en termes de blessés, sont d’une ampleur considérable et sans précédent depuis Mai 68, le ministère de l’Intérieur a (opportunément ?) publié en ce week-end de veille (a priori chargé) de Noël un appel d’offres portant sur l’achat de 1730 « lanceurs multi-coups (et) mono-coup » de maintien de l’ordre.
Étrangement, aucun des médias qui ont repris l’info n’ont mis de lien vers ledit appel d’offres, non plus qu’ils n’en ont montré de photos, pas plus qu’ils ne semblent avoir lu les spécificités techniques attendues (sans parler de ceux qui ont aussi omis de citer ledit Canard Enchaîné qui, le premier, a révélé l’information).
Article mis à jour le 30/12/18 avec deux photos de Penn Arm prises par Kitetoa le 8/12, les problèmes posés par le recours possible à deux types de munitions (balles de caoutchouc à courte portée, lacrymogènes à longue portée), plus des extraits du rapport du Défenseur des droits sur la dangerosité (et l’interdiction par le Préfet de Police) du LBD lors des opérations de maintien de l’ordre (merci à Pierre Januel), plus une vidéo montrant un tir de Penn Arms à hauteur de tête.
Intitulé « LBD_40« (pour lanceur de balle de défense -le nom du successeur des « flash-balls« , marque déposée- suivi du diamètre -en millimètres- de ses munitions), l’appel d’offres vise à « équiper les personnels de la sécurité intérieure notamment lors des missions de maintien de l’ordre, pour contrôler les mouvements de foule et disperser des individus agressifs« , au moyen de 1280 nouveaux « lanceurs mono-coup » (type LBD, dont 1275 pour la gendarmerie), plus 270 « lanceurs multi-coups » (LMC) « 4 coups« , et 180 « 6 coups » (soit 450 LBD semi-automatiques) pour les policiers.
Tandis que la fenêtre de « tir optimum » du LBD est de 30 mètres, les « multi-coups« , précise le cahier des charges techniques, devront quant à eux « permettre de stabiliser les munitions utilisées sur les distances comprises entre 30 et 100 m« .
Ces « armes » à « réarmement manuel ou semi-automatique« , dotées pour l’une d’entre elles d’un mécanisme de fusil à pompe, devront pouvoir « utiliser l’ensemble des munitions de calibre 40 mm munies de leurs moyens de propulsion à retard en dotation au sein du ministère de l’intérieur » (du nom donné aux grenades de maintien de l’ordre fumigènes et/ou lacrymogènes ), et permettre de « lancer les grenades sous un angle de 45°, avec une portée en adéquation avec le moyen de propulsion utilisé (50 ou 100 mètres)« .
Le site collaboratif d’infos alternatives Rebellyon avait été le premier, en juin 2016, à documenter l’utilisation, par des CRS, du lance-grenades Penn-Arms PGL65-40 (ou 40mm launchers) de l’entreprise américaine Combined Systems, « qui fonctionne comme un fusil à pompes« , dont les spécificités techniques correspondent trait pour trait à celles de l’appel d’offres et dont cette photo fit la couverture d’un rapport consacré à l’utilisation d’armes « moins létales » à Ferguson, aux USA, ainsi qu’à la militarisation des opérations de maintien de l’ordre policier.
Dans une note d’analyse (.pdf) adressée en juillet 2017 au Défenseur des droits au sujet des pratiques et conséquences du maintien de l’ordre en France, l’Action des chrétiens pour l’abolition de la torture (ACAT) avait elle aussi commencé à s’intéresser à cette nouvelle armée. D’après Rebellyon, « une centaine de ces lance-grenades seraient en fonction en France et en dotation dans la police depuis 2010« . ACAT estimait, elle, qu’il serait utilisé par les CRS depuis 2013, bien qu’il n’aurait été aperçu qu’au printemps 2016 au cours de manifestations à Lyon, Paris et Nantes.
L’ACAT déplorait alors « la très grande opacité des autorités françaises » à son sujet, et le fait que « la mise en service de nouvelles armes ou munitions ne fait l’objet d’aucune communication auprès de la population, qui la plupart du temps les découvre directement dans le contexte des manifestations« , ce qui peut être d’autant plus déstabilisant qu’elle ressemble plus à la mitraillette Thompson camembert des films de gangsters des années 20 qu’à une arme non-létale.
L’ACAT s’inquiètait par ailleurs du fait que « cette arme peut accueillir non seulement des grenades lacrymogènes, mais également des balles de défense en caoutchouc, telles que celles utilisées pour les LBD 40, dont le diamètre est identique« , mais également que « les circonstances et conditions dans lesquelles elles sont susceptibles d’être utilisées ne sont pas davantage rendues publiques« .
MAJ L’ACAT s’interrogeait également sur les risques posés par ce possible recours à deux types de munitions différentes, à mesure qu' »il semble peu probable, dans une situation de maintien de l’ordre ou en cas d’agression justifiant un tir de riposte, que les agents des forces de sécurité aient le temps de changer de munition pour l’ajuster à la distance de tir. Ce projet fait courir un risque important d’erreur de munition, et par conséquent de blessures graves« .
Contactée par Libération, la Direction générale de la police nationale assure que ces lanceurs «multicoups» seraient «destinés à tirer exclusivement des grenades lacrymogènes, fumigènes ou assourdissantes».
Or, et comme David Dufresne, journaliste d’investigation auteur d’une enquête sur (le non-respect de) la doctrine française du « maintien de l’ordre« , n’a de cesse de le documenter depuis le début du mouvement des « gilets jaunes« , près de 200 personnes auraient d’ores et déjà été victimes, et pour bon nombre blessées, certaines mutilées à vie, du fait de manquements graves (parfois possibles, souvent avérés) à la doctrine légale du maintien de l’ordre dit « à la française ».
L’an passé, l’ACAT avait ainsi recensé (.pdf) 2 morts et 44 blessés (dont 24 éborgnés) du fait de tirs de flash-balls et de LBD ces dernières années (cf aussi cette chronologie sur Wikipedia), plus 3 blessés graves (dont 2 amputés au main) du fait des grenades lacrymogène instantanée GLI F4 (constituées -notamment- de 25 grammes de TNT).
Depuis le début du mouvement des « gilets jaunes« , le collectif Désarmons-les a de son côté dénombré (au moins) 4 autres personnes ayant eux aussi eu leurs mains arrachées par des GLI F4, 41 à avoir été blessées par des tirs de LBD… dont 10 éborgnées, en moins d’un mois 1/2.
Rien n’indique que le « timing » de cet appel d’offres corresponde au mouvement des « gilets jaunes« . Le Canard Enchaîné avait ainsi révélé, fin août 2017, que le ministère de l’Intérieur avait lancé un appel d’offres d’une « valeur totale estimée » de 22M€ pour l’achat de plus d’1,2 million de grenades de maintien de l’ordre fumigènes, lacrymogènes et assourdissantes, dont 584 000 « moyens de propulsion à retard« , là aussi pour « permettre, notamment aux personnels de la sécurité intérieure lors des missions de maintien de l’ordre et d’opérations de police judiciaire, de contrôler les mouvements de foule et de disperser des individus agressifs« .
« Il y a eu Notre-Dame-des-Landes, Sivens, Calais, les manifs contre la loi travail… On n’a pas arrêté de grenader« , avait alors expliqué un représentant des forces de l’ordre au Canard Enchaîné. A quoi le ministère de l’Intérieur avait répondu que « Ça n’a rien à voir. Il s’agit simplement d’un renouvellement d’appel d’offres arrivé à son terme. »
En l’espèce, on retrouve effectivement trace (.pdf), dans le projet de loi de finances 2015, de l’achat de « 125 lanceurs multi-coups, dont 96 pour les compagnies républicaines de sécurité dans le cadre du programme SPI4G CRS ».
MAJ : Kitetoa avait de fait photographié un (ou plusieurs) CRS arborant ce Penn Arms le 8 décembre dernier à Paris :
Alors ? Qui c’est qui a la plus grosse ? pic.twitter.com/asolMixIcX
— Kitetoa (@_Kitetoa_) 29 décembre 2018
A en croire ce tract (.pdf) de l’UNSA Police, évoquant une formation de FTSI (pour formateur aux techniques de sécurité en intervention) effectuée en avril 2018, et qui montre les deux LMC en dotation chez les CRS, « dans un premier temps, un volume de 10 fonctionnaires habilités est fixé par compagnie ».
Les 450 nouveaux LMC que vient de commander le ministère de l’Intérieur ne relèvent donc pas stricto censu d’un seul « renouvellement », mais bel et bien d’une extension du domaine du « maintien de l’ordre », avec son lot de « dommages collatéraux » en devenir, parce que le ministère de l’Intérieur persiste à vouloir militariser les policiers.
Dans son rapport, l’ACAT soulignait à ce sujet que « les forces de l’ordre françaises comptent parmi les plus armées d’Europe (et que) depuis le début des années 2000, le nombre et le type d’armes dites « non-létales » se sont massivement développées en France », alors même qu' »un autre modèle se développe chez nos voisins européens. Basé sur le dialogue et la désescalade, le modèle dit « KFCD » (Knowlegde, Facilitation, Communication, Differenciation) vise notamment à minimiser les violences collatérales, inutiles ou dangereuses, ainsi qu’à construire et à entretenir un dialogue permanent avec la foule afin de permettre une désescalade des tensions ».
Un rapport (.pdf) de la Cour des comptes avait à ce titre révélé, en septembre dernier, que la direction générale de la gendarmerie nationale (DGGN) avait de son côté refusé de doter les gendarmes de tels « lanceurs multi-coups de balles de défense« .
MAJ, signalée par @PJanuel : dans son rapport de décembre 2017 sur « Le maintien de l’ordre au regard des règles de déontologie« , le Défenseur des droits estimait de son côté que « le lanceur de balles de défense « LBD 40×46 », dont les caractéristiques techniques et les conditions d’utilisation sont inadaptées à une utilisation dans le cadre d’opérations de maintien de l’ordre, devrait être retiré de la dotation des forces de sécurité dans le cadre des opérations de maintien de l’ordre » :
« Au regard des difficultés liées à l’usage du LBD 40×46, et en particulier des blessures occasionnées, la pertinence de son utilisation dans l’exercice du maintien de l’ordre soulève des interrogations.
Le Défenseur des droits relevait également que « l’utilisation du LBD 40×46 et sa dangerosité potentielle sont à l’origine de débats au sein même des forces de l’ordre et au regard des difficultés liées à son utilisation, des mesures sont souvent prises en pratique pour mieux en contrôler l’usage » :
« Ainsi, s’agissant des gendarmes mobiles, la décision d’utiliser le lanceur de balles de défense est confiée au responsable hiérarchique sur le terrain, et un seul agent par groupe est chargé de son utilisation.
Le Préfet de police a, quant à lui, indiqué à la mission avoir pris la décision d’interdire l’usage du LBD 40×46 dans les opérations de maintien de l’ordre au regard de sa dangerosité et de son caractère inadapté dans ce contexte. Cette évolution est positive et s’inscrit dans le sens d’une meilleure adéquation entre les moyens mis à la disposition des forces de sécurité et les objectifs du maintien de l’ordre. »
« Au regard des réclamations liées à l’usage du LBD 40×46 dans le cadre du maintien de l’ordre, de sa dangerosité et des risques disproportionnés qu’il fait courir dans le contexte des manifestations« , le Défenseur des droits avait alors recommandé d’ »interdire l’usage des lanceurs de balle de défense dans le cadre d’opérations de maintien de l’ordre, quelle que soit l’unité susceptible d’intervenir« .
Il serait dès lors opportun que Christophe Castaner (et/ou son ministère) explique :
Une vidéo montre très bien l'usage qui est fait du nouveau fusil "multi-coups" dit "riot gun Penn Arms", offert aux CRS.
6 tirs en rafale, à hauteur de tête, sur une foule de Gilets Jaunes en fuite.
Rue du Calvaire, Nantes, 12 janvier. pic.twitter.com/6PoUdPFAAf
— Nantes Révoltée (@Nantes_Revoltee) 13 janvier 2019
NB : si vous avez des infos à ce sujet, vous pouvez me contacter de façon sécurisée (voire anonyme) en suivant ce mode d’emploi.
";s:7:"dateiso";s:15:"20181228_123048";}s:15:"20180120_162903";a:7:{s:5:"title";s:31:"« Défavorablement connus »";s:4:"link";s:73:"https://www.lemonde.fr/blog/bugbrother/2018/01/20/defavorablement-connus/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7243";s:7:"pubDate";s:31:"Sat, 20 Jan 2018 15:29:03 +0000";s:11:"description";s:677:"La revue Pouvoirs m’a proposé de contribuer à son dossier consacré à ce qu’elle qualifie de Datacratie. Pour remettre en perspective les questions liées au Big Data et autres méga-données, à la « police (et la justice) prédictive » et à l’explosion du nombre de fichiers, je leur avais proposé de revenir sur l’histoire de l’impossible contrôle du fichage policier, en …Continuer la lecture de « « Défavorablement connus » »
";s:7:"content";s:4076:"La revue Pouvoirs m’a proposé de contribuer à son dossier consacré à ce qu’elle qualifie de Datacratie. Pour remettre en perspective les questions liées au Big Data et autres méga-données, à la « police (et la justice) prédictive » et à l’explosion du nombre de fichiers, je leur avais proposé de revenir sur l’histoire de l’impossible contrôle du fichage policier, en France :
Initialement créée, en 1978, pour protéger les citoyens de possibles dérives en matière de fichage administratif et policier, la Commission nationale de l’informatique et des libertés tente, depuis le milieu des années 1990, d’encadrer les enquêtes administratives dites de moralité reposant sur la consultation du fichier des personnes « mises en cause » dans des enquêtes de police judiciaire.
En vain. Au point que le ministère de l’Intérieur ne sait même pas combien de personnes (neuf, douze, seize millions ?) sont ainsi fichées comme « défavorablement connues » des services de police et de gendarmerie. Et encore moins combien le sont à tort.
Au sommaire :
« Défavorablement connus »
Un « désordre assisté par ordinateur »
« Safari ou la chasse aux Français »
L’« avis conforme » de la cnil
Un million de personnes « blanchies » par la justice… mais « fichées » par la police
Un taux d’erreur de… 83%
Le « bug informatique »
Je n’avais pas réalisé, en écrivant ce (long) article l’été dernier, que sa publication coïnciderait avec les 40 ans de la CNIL et de la loi informatique et libertés, précisément créée, initialement, pour protéger les citoyens de potentielles dérives en matière de fichage informatisé policier et administratif, suite au scandale du fichier SAFARI (voir, sur ce blog, Safari et la (nouvelle) chasse aux Français et Pour la CNIL, 18% des Français sont « suspects », ainsi que, sur le site de l’INA, la compilation de reportages télévisés qui y est consacrée).
Pouvoirs réunit aussi d’autres articles signés Benoît Thieulin, Fabien Granjon, Dominique Cardon, Henri Isaac, Alexandre Eyriès, Jayson Harsin, Alexis Bréset, Banjamin Ferran, Benjamin Bayart, Agnès Le Cornulier, Jean Deydier et Jeremy Corbyn.
Antoine Bellier, journaliste à RCF, m’avait invité à en causer, avec Benoît Thieulin et Dominique Cardon, dans le cadre d’une émission de près d’un heure, Datacratie, quand les données prennent le pouvoir, que l’association APRIL a retranscrit, pour ceux qui préféreraient nous (re)lire plutôt que de nous (ré)écouter.
Pour le coup, on n’y a pas du tout causé de l’histoire du fichage informatisé policier, pas plus que de mon article, que vous pouvez néanmoins et aussi lire et acheter à la pièce pour 3€ sur Cairn.info, la plateforme de publication électronique d’articles et de revues de sciences humaines et sociales.
";s:7:"dateiso";s:15:"20180120_162903";}s:15:"20170512_192632";a:7:{s:5:"title";s:44:"Et la CIA inventa les… « gremlinware »";s:4:"link";s:85:"https://www.lemonde.fr/blog/bugbrother/2017/05/12/et-la-cia-inventa-les-gremlinwares/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7181";s:7:"pubDate";s:31:"Fri, 12 May 2017 17:26:32 +0000";s:11:"description";s:712:"On connaissait les « software« , « adware« , « malware« , « spyware« , « ransomware »… WikiLeaks vient de révéler que la CIA avait de son côté inventé des… « gremlinware » (sic). Avec un sens de l’humour qui force le respect, les hackers de la CIA l’ont inséré dans un module intitulé… AfterMidnight. Dans le film Gremlins, il est en effet précisé qu' »il ne …
Continuer la lecture de « Et la CIA inventa les… « gremlinware » »
";s:7:"content";s:7621:"On connaissait les « software« , « adware« , « malware« , « spyware« , « ransomware »… WikiLeaks vient de révéler que la CIA avait de son côté inventé des… « gremlinware » (sic).
Avec un sens de l’humour qui force le respect, les hackers de la CIA l’ont inséré dans un module intitulé… AfterMidnight.
Dans le film Gremlins, il est en effet précisé qu' »il ne faut pas l’exposer à la lumière, lui éviter tout contact avec l’eau, et surtout, surtout ne jamais le nourrir après minuit… Sinon… »
WikiLeaks explique qu’AfterMidnight permet de charger et d’éxécuter des « payloads » (la partie du code exécutable d’un virus qui est spécifiquement destinée à nuire, par opposition au code utilisé par le virus pour se répliquer notamment, dixit Wikipedia), que la CIA a donc intitulé « Gremlinware« , eu égard à leurs objectifs : ces Gremlins, en effet, ne sont pas tant des logiciels espion que des logiciels de sabotage, conçus pour pourrir la vie de l’utilisateur de l’ordinateur infecté, en multipliant les dysfonctionnements des logiciels qu’il utilise.
Une fois installé sur l’ordinateur (Windows) infecté, AfterMidnight se camoufle en DLL persistente, se connecte de façon sécurisée à un poste d’écoute (« Listening Post« , en VO) surnommé la « Pieuvre » (sic), et attend l’ordre de télécharger tel ou tel gremlins, conçus pour subvertir les fonctionnalités du logiciel ciblé, auditer un système ou, notamment, exfiltrer des données.
Les documents rendus publics par WikiLeaks ne détaillent pas l’ensemble du catalogue de « Gremlinwares » à disposition de la CIA, mais n’en précisent pas moins qu’ils peuvent retarder, bloquer et même « tuer » (delay, lock, kill) un process logiciel, de façon ciblée, randomisée ou répétée (toutes les X ouvertures, toutes les X minutes)… de quoi pourrir les activités informatiques de l’utilisateur ciblé.
Le manuel donne comme exemple une fonction NoBrowse permettant de « tuer » (et donc fermer) les navigateurs Firefox et Internet Explorer +- 30 secondes après qu’ils ont été lancés, ce délai pouvant bien évidemment être reconfiguré :
# Kill every new IE 30 seconds (+/- 5) after it starts
$ am plan NoBrowse config Process add -f kill -n iexplore.exe -p -d 30 -j 5
$ am commit NoBrowse Mr.A # Mr. A gets the no browser plan
Un autre fonctionnalité, DeathToPowerPoint, permet de retarder, bloquer ou « tuer » des PowerPoint, l’exemple choisi par la CIA étant particulièrement retors, dans la mesure où il le bloque, non pas au début de sa session comme avec le navigateur, mais 10 minutes après que l’utilisateur a commencé à s’en servir, démonstration s’il en est qu’il s’agit moins d’empêcher l’utilisateur de faire ceci ou cela que de lui pourrir la vie, en plus :
# Lock up 50% of PowerPoints 10 minutes (+/- 2 minutes) after they start
$ am plan DeathToPowerPoint config Process add -f lock -n powerpnt.exe -p \
-F 50 -d 10m -j 2m
$ am commit DeathToPowerPoint Mr.B # I never liked Mr. B’s powerpoints...
Dans l’article qu’elle consacre à ces Gremlins, la journaliste italienne Stefania Maurizi rappelle par ailleurs que WikiLeaks se borne à rendre public les documentations des logiciels espion (et de sabotage, donc) de la CIA, de sorte d’informer le grand public sur ses techniques, mais aussi d’aider les éditeurs de logiciels et d’antivirus à nous en protéger, sans pour autant rendre publics les logiciels et charges virales, afin d’éviter qu’ils puissent être réutilisés à des fins malveillantes. Suite aux révélations de WikiLeaks, Cisco vient ainsi de patcher des failles de sécurité affectant 318 de ses routeurs.
Gaping CIA security hole fixed in 318 models of Cisco routers thanks to #Vault7 https://t.co/rpfxurDlX6
Also: https://t.co/qCfNNoNnMJ
— WikiLeaks (@wikileaks) May 9, 2017
Voir aussi : Message de service à la nouvelle (dir’ com’ de) la NSA
Pour en finir avec la « surveillance de masse »
Le darknet est trop compliqué pour les terroristes
De la surveillance de masse à la paranoïa généralisée
Les terroristes sont des internautes comme les autres
";s:7:"dateiso";s:15:"20170512_192632";}s:15:"20170505_190020";a:7:{s:5:"title";s:59:"Message de service à la nouvelle (dir’ com’ de) la NSA";s:4:"link";s:101:"https://www.lemonde.fr/blog/bugbrother/2017/05/05/message-de-service-a-la-nouvelle-dir-com-de-la-nsa/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7142";s:7:"pubDate";s:31:"Fri, 05 May 2017 17:00:20 +0000";s:11:"description";s:670:"Le site web de Kelli Arena, la nouvelle directrice des « communications stratégiques » de la NSA, est « cybersquatté » depuis mars dernier par un spammeur indonésien, qui y fait depuis la promo de produits de décos. Avant / après : Son nom de domaine, qu’elle avait acheté en 2010, expirait en décembre 2016, et elle ne …
Continuer la lecture de « Message de service à la nouvelle (dir’ com’ de) la NSA »
";s:7:"content";s:11103:"Le site web de Kelli Arena, la nouvelle directrice des « communications stratégiques » de la NSA, est « cybersquatté » depuis mars dernier par un spammeur indonésien, qui y fait depuis la promo de produits de décos.
Avant / après :
|
Son nom de domaine, qu’elle avait acheté en 2010, expirait en décembre 2016, et elle ne l’aurait pas renouvelé, permettant son rachat par le cybersquatter.
Kelli Arena, ex-journaliste de CNN, dirigeait jusqu’à récemment un projet universitaire créé pour délivrer « une formation spécialisée pour favoriser l’exactitude de l’information« .
Kelli Arena n’en continue pas moins à faire la promotion de son ex-« page officielle« , désormais piratée, sur ses comptes Twitter, Facebook et LinkedIn, invitant qui plus est ses éventuels correspondants à lui écrire sur une adresse e-mail qu’elle ne contrôle plus, comme si elle ne s’en était, plus de deux mois après l’avoir perdu, toujours pas aperçue.
De façon encore plus étonnante, la NSA a annoncé sa nomination, le 21 avril dernier, sans même lui demander d’arrêter d’en faire la promotion.
Dans son édition du 26 avril, Intelligence OnLine (IOL), lettre d’information qui chronique depuis bientôt 40 ans les activités des professionnels du renseignement, révélait que la nouvelle patronne de la com’ de la NSA avait été « multi-piratée« .
En janvier dernier, elle avait en effet prévenu ses amis sur Facebook et Twitter que son compte Skype avait été piraté.
Et elle n’a toujours pas effacé les commentaires que des spammers avaient écrits sur Facebook en son nom en 2013, et donc en ayant probablement piraté son compte Facebook, afin de promouvoir de « lunettes solaires ray ban » et de « doudoune parajumpers femme » (en français dans le texte), en réponse à un billet opportunément intitulé « The Ennemy of me Ennemy is my Friend« .
Une chose est que l’ex-journaliste ne s’en soit pas aperçue, en deux mois… une autre est que la NSA, le service de renseignement américain en charge de la surveillance et de l’espionnage des télécommunications -mais aussi de la sécurité des télécommunications du gouvernement US- ne n’en soit, elle non plus, pas aperçue, avant même d’annoncer son recrutement en tant que « chargée des communications stratégiques« … a fortiori plus d’une semaine après que l’information ait pourtant été rendue publique.
Dans le communiqué annonçant son recrutement, Mike Rogers, le directeur de la NSA, explique que «les besoins de la NSA en matière de communications réfléchies et stratégiques, internes et externes, n’ont jamais été aussi importants». Certes. Et de préciser : «ses efforts assureront la compréhension par le public des contributions critiques de la NSA à la sécurité nationale»… #Oupas.
MaJ, 24/08/2017 : son profil Facebook a été effacé dans la foulée de la publication de ce billet; ses profils Twitter et Linkedin, eux, n’ont été nettoyés qu’au mois d’août, soit… 3 mois de latence ! Le site web cybersquatté, lui, a été désactivé.
Voir aussi :
Retour sur Une contre-histoire de l’Internet
Pour en finir avec la « surveillance de masse »
Le darknet est trop compliqué pour les terroristes
De la surveillance de masse à la paranoïa généralisée
Les terroristes sont des internautes comme les autres
Continuer la lecture de « Présidentielle: les sites des candidats sont hors la loi »
";s:7:"content";s:5142:"Les candidats à la présidentielle rivalisent de promesses pour « garantir la préservation des données personnelles des Européens » (Macron), obliger les acteurs du web à « informer l’utilisateur s’il fait l’objet d’un profilage et lui permettre de le refuser » (Mélenchon) ou encore créer une obligation de stockage des données personnelles des Français « sur des serveurs localisés en France » (Le Pen). Voire.
En matière de numérique, « cessons d’être à la traîne des géants américains, créons nos leaders européens ! » clame de même François Fillon, dont le site web, protégé par des serveurs US, renvoie aussi des données à Google et Twitter. A l’exception de Poutou et Arthaud, les 9 autres candidats utilisent l’outil de tracking d’audience de Google, mais aucun ne s’en vante, contrairement à ce que Google leur enjoint pourtant de faire.
Et si Macron, Dupont-Aignan et Asselineau ont opté pour un code de suivi respectueux de la vie privée des internautes, les autres candidats utilisent, eux, la version « par défaut« . Et aucun des 9 n’a activé l’option permettant d’anonymiser les données renvoyées à Google.
C’est ce qu’a découvert Ronan Chardonneau, maître de conférences associé à l’université d’Angers, par ailleurs créateur d’une start-up dédiée à l’analyse d’audience respectueuse de la vie privée des utilisateurs, qui se demandait « si des solutions d’analyse d’audience pouvaient être utilisées à des fins d’espionnage économique ou politique ».
Si le site de Marine Le Pen est le seul à mentionner le fait qu’il ait été déclaré à la CNIL, il omet de préciser qu’il renvoie aussi des données à Google et Facebook, mais également, et comme le veut pourtant la loi, de réclamer le consentement des internautes, et de leur permettre de s’y opposer.
De fait, aucun des 11 sites web ne respecte ces obligations légales… Ils pourraient leur en coûter jusqu’à 375 000€ d’amendes. Contactée par L’Express, la CNIL explique que si « des progrès [ont été] réalisés par les partis politiques, la prise en compte demeure insuffisante« , et qu’étant donnée les délais, si elle lançait aujourd’hui une procédure, celle-ci n’aboutirait que trop tard, après les élections. Circulez…
Voir aussi #Présidentielle2017 : Cohérence numérique, es-tu là ?
MaJ/pan sur le bec : D’aucuns soulignent avec ironie que la consultation de ce blog se fait elle aussi sans information ni consentement préalable, ni possibilité de s’opposer aux cookies associés. J’y avais consacré un billet, en haut à droite : Pourquoi (et comment) ce blog vous « surveille ». tl;dr : je n’ai pas la main sur les serveurs du Monde, qui m’accueille en tant que « blogueur invité », et je ne peux éradiquer les trackers de ce blog. Cet article avait initialement été écrit pour le Canard Enchaîné (qui n’a pas, lui, de cookie /-), il a été coupé au montage, je l’ai donc publié sur ce blog suite à la mise en ligne de l’étude en question. Faites ce que je dis, pas ce que je suis obligé de faire…
";s:7:"dateiso";s:15:"20170419_201821";}s:15:"20170409_194522";a:7:{s:5:"title";s:39:"La double peine des radars automatiques";s:4:"link";s:90:"https://www.lemonde.fr/blog/bugbrother/2017/04/09/la-double-peine-des-radars-automatiques/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7111";s:7:"pubDate";s:31:"Sun, 09 Apr 2017 17:45:22 +0000";s:11:"description";s:632:"Je n’ai de cesse de répéter, depuis des années, que Le vrai danger, ce n’est pas Orwell, c’est Kafka, à savoir un monde à la Minority Report où vous vous retrouvez fiché, accusé d’un crime ou d’un délit que vous ne comprenez pas, et où il vous revient en sus de devoir (tenter de) démontrer votre innocence… …Continuer la lecture de « La double peine des radars automatiques »
";s:7:"content";s:15194:"Je n’ai de cesse de répéter, depuis des années, que Le vrai danger, ce n’est pas Orwell, c’est Kafka, à savoir un monde à la Minority Report où vous vous retrouvez fiché, accusé d’un crime ou d’un délit que vous ne comprenez pas, et où il vous revient en sus de devoir (tenter de) démontrer votre innocence… la présomption de votre culpabilité ayant été dûment constatée par un traitement automatisé de données.
Je viens de découvrir qu’en matière de contrôle radar automatisé, c’est pire : non seulement il vous faut démontrer votre innocence, mais il vous faut alors et en plus accepter de devoir payer (au moins) deux fois plus cher que si vous reconnaissiez votre culpabilité… quand bien même vous vous estimeriez innocent.
Je n’avais jamais été flashé par un radar automatique, jusqu’à ce que je reçoive un « avis de contravention » du Centre automatisé de constatation des infractions routières m’expliquant que mon véhicule avait été contrôlé à 56 km/h « pour une vitesse retenue de 51 km/h« , sur une portion limitée à 50 km/h.
En essayant de comprendre ce qui s’était passé, j’ai découvert que de nombreux autres conducteurs se plaignaient d’avoir eux aussi été flashés à cet endroit-là et mis à l’amende, induits en erreur par un panneau limitant la vitesse à 70 km/h, placé trop près d’un autre panneau indiquant l’entrée dans un village, et donc une limitation à 50 km/h.
J’ai donc voulu contester le PV, écrit un long courrier expliquant ce pourquoi je cherchais non seulement à contester ce PV, mais également à alerter la sécurité routière sur ce panneau induisant tant de gens en erreur, espérant naïvement pouvoir aider à corriger ce problème de panneaux rapprochés, réduire le nombre de personnes flashées en excès de vitesse, mais donc aussi améliorer la sécurité des habitants du village en question.
Sauf que j’ai depuis découvert que le simple fait de chercher à me défendre risquerait de me coûter deux fois plus cher que de payer l’amende, et donc de reconnaître l’infraction qui m’est reprochée… mais que j’aurais donc aimé pouvoir contester.
En effet, et en l’espèce, soit je paie les 90€ d' »amende forfaitaire minorée » et je reconnais l’infraction, soit je la conteste et, si j’ai bien compris, il me faudrait « consigner » (et donc avancer, sans garantie de remboursement) les 135€ de l' »amende forfaitaire« , mais aussi et surtout risquer, au final, de devoir payer entre 148€50 et 750€ d' »amende pénale« , +31€ de frais de procédures… ce que n’explique pas, étrangement, l’agence nationale de traitement automatisé des infractions, ni service-public.fr.
L’article 10 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est pourtant clair :
« Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité. »
La contravention a certes été validée par l' »agent verbalisateur n°474176 » (quelqu’un sait à quoi correspond ce type de n° ? ils n’étaient que 150 en 2007…), mais sur la seule foi d’un contrôle automatisé. Une forme de présomption de culpabilité faisant fi de la présomption d’innocence, et des droits de la défense…
Comment qualifier un système qui offre le choix entre reconnaître une infraction et payer 90€ d’amende, ou la contester et risquer de devoir la payer 180€… voire bien plus ? Impression de devoir « jouer » à la roulette russe…
Vous trouverez donc ci-après le courrier que j’aurais voulu envoyer pour pouvoir me défendre, et éviter que de nombreux autres conducteurs soient ainsi sanctionnés après avoir été induits en erreur, tout en espérant pouvoir contribuer à une meilleure sécurité routière… mais que j’hésite donc (très) fortement à envoyer.
Madame, Monsieur,
Je suis respectueux du code de la route, n’ai pas le souvenir d’avoir jamais eu de contravention pour excès de vitesse, et c’est la première fois de ma vie que l’on me retire un point de permis suite à un contrôle automatisé.
Etant respectueux du code de la route, je ne comprends pas ce pourquoi le radar automatique a flashé mon véhicule à 56km/h, pour un vitesse retenue de 51km/h. J’ai donc cherché à comprendre, et découvert que de nombreux autres automobilistes, eux aussi flashés par ce même radar, s’en plaignent depuis des années.
Ils estiment en effet avoir été induits en erreur par un panneau de limitation de vitesse à 70 km/h se trouvant moins d’1 km après la 4 voies où ils circulaient à 110 km/h, et quelques dizaines de mètres seulement avant l’entrée dans le village de Saint-Maurice-lès-Charencey, où a été placé le radar automatique en question.
La physionomie de ce village est elle aussi à prendre en considération. En effet, le panneau indiquant que l’on entre dans le village est situé le long d’une route boisée, en pente, bordée de champs, loin des premières habitations placées de ce côté de la route, l’entrée de ce village étant par ailleurs caractérisée par le fait que s’y trouvent bien plus d’arbres, de talus et de verdure que de maisons… situation pouvant, elle aussi, prêter à confusion.
J’ai de plus et aussi découvert qu’un radar pédagogique indiquant la vitesse des véhicules avait été installé 70 mètres seulement avant le radar automatique, et comprends donc encore moins ce pourquoi j’aurais été flashé à 56km/h… sinon que 70 km/h, cela fait 20 mètres/seconde, et que ceux que le panneau limitant la vitesse à 70 km/h a pu induire en erreur, qui n’ont pas bien compris qu’ils entraient dans un village, et qui ne réalisent qu’il leur faut ralentir qu’à l’approche de ce radar pédagogique, n’ont donc que 2-3 secondes pour réduire la vitesse de leur véhicule de 20 km/h.
securite-routiere.gouv.fr précise par ailleurs que « tous les radars vitesse fixes sont maintenant signalés par des panneaux d’annonce radars« , mais aussi que « les radars pédagogiques précédemment installés en amont des radars fixes ont été redéployés vers des zones de danger non équipées de radars automatiques ».
J’ai refait le trajet sur Google Street View. Je ne sais si la situation a changé depuis (les photos datent de juillet 2013), mais je n’y ai trouvé aucun panneau de signalisation du radar fixe.
Je ne sais si le radar pédagogique a depuis été retiré, si un panneau de signalisation du radar fixe a depuis été installé, si un camion me précédant aurait pu m’empêcher de voir les panneaux limitant la vitesse à 70 km/h et/ou d’entrée du village, mais le nombre de personnes qui se plaignent de ce radar, couplé au fait qu’il serait le second au « palmarès » des radars de l’Orne, indique que ce radar automatique ne résout donc pas le problème de sécurité routière rencontré dans ce village, qui avait à l’époque fait l’objet d’un reportage expliquant que ces radars avaient été demandés par ses habitants, vu le nombre de véhicules empruntant la RN12.
Je profite donc de l’occasion pour vous demander s’il vous serait possible, à ce titre, de faire remonter cette missive à qui de droit, de sorte d’améliorer la sécurité routière dans ce village, mais également pour que d’autres automobilistes ne se retrouvent plus dans cette désagréable situation.
Le classement de ce radar automatique au « palmarès » des radars de l’Orne, alors même qu’il est pourtant précédé d’un « radar pédagogique« , révèle s’il en est que les conducteurs ne comprennent pas bien (ou alors trop tard) qu’ils entrent dans un village. De fait, de nombreux conducteurs flashés estiment avoir été « piégés » par le panneau limitant la vitesse à 70 km/h, et/ou le panneau d’entrée dans le village situé bien avant les premières maisons qu’ils croiseront.
Je ne conteste pas la vitesse à laquelle votre radar automatique a flashé mon véhicule, mais plaide des circonstances atténuantes. Au-delà de mon cas particulier, le fait que ce radar automatique flashe tellement de conducteurs me semble en effet démontrer que le problème relève moins du fait qu’ils ne respectent pas le code de la route que du fait que, plus de six ans après l’installation des radars, nous soyons encore aussi nombreux à être induits en erreur de la sorte.
Il suffirait en effet probablement d’un panneau supplémentaire limitant clairement la vitesse à 50 km/h, et/ou d’un panneau indiquant la présence d’un radar automatique, pour que les conducteurs induits en erreur ne soient plus pris de court comme je l’ai semble-t-il été, contribuant d’autant à la sécurité routière de ce village.
L’installation de ces deux radars avait pour vocation de faire ralentir les conducteurs. J’espère avoir pu, par ce courrier, vous expliquer ce pourquoi, six ans plus tard, tel n’est toujours pas le cas, au détriment tant des habitants que des conducteurs induits en erreur.
« L’objectif des radars est qu’ils ne génèrent plus d’amende, ce qui signifierait que le comportement des usagers aurait évolué« , écrivez-vous sur le site securite-routiere.gouv.fr.
Je me plais à penser que ce radar n’est probablement pas le seul à avoir été ainsi installé d’une façon telle qu’il ne répond pas pleinement à la mission qu’il était pourtant censé remplir.
Le fait de découvrir qu’il pourrait m’en coûter (au moins) deux plus cher d’attirer votre attention à ce sujet (en contestant l’infraction qui m’est reprochée) que de reconnaître l’infraction (qui me semble pourtant pouvoir être contestée) m’incite également à penser que de nombreux autres dysfonctionnements de ce type ne vous sont pas remontés, ce qui va à l’encontre même des objectifs de la sécurité routière.
En l’espèce, nombreux sont les conducteurs induits en erreur de la sorte et qui, plutôt que de vous alerter sur de tels dysfonctionnements en contestant l’infraction qui leur est reproché, préfèrent s’acquitter de l’amende, et donc laisser le dysfonctionnement perduré, tout en ayant le sentiment d’avoir été pénalisé à tort. Double peine qui ne correspond nullement à l' »objectif » de ces radars, non plus qu’aux missions de la sécurité routière.
Puisse ce courrier y contribuer.
";s:7:"dateiso";s:15:"20170409_194522";}s:15:"20170319_172202";a:7:{s:5:"title";s:46:"Retour sur Une contre-histoire de l’Internet";s:4:"link";s:94:"https://www.lemonde.fr/blog/bugbrother/2017/03/19/retour-sur-une-contre-histoire-de-linternet/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7090";s:7:"pubDate";s:31:"Sun, 19 Mar 2017 16:22:02 +0000";s:11:"description";s:709:"Alain Hertay, maître-assistant à la Haute Ecole de la Province de Liège, avait voulu m’interviewer l’été dernier, dans le cadre du projet FORMEAM, plateforme liégeoise de formation en matière d’éducation aux médias qui a pour objectif de faire poser aux étudiants bacheliers un regard critique sur le Web et les réseaux sociaux. Il voulait que je revienne sur la génèse d’Une …Continuer la lecture de « Retour sur Une contre-histoire de l’Internet »
";s:7:"content";s:147841:"Alain Hertay, maître-assistant à la Haute Ecole de la Province de Liège, avait voulu m’interviewer l’été dernier, dans le cadre du projet FORMEAM, plateforme liégeoise de formation en matière d’éducation aux médias qui a pour objectif de faire poser aux étudiants bacheliers un regard critique sur le Web et les réseaux sociaux.
Il voulait que je revienne sur la génèse d’Une contre-histoire de l’Internet, le documentaire qui m’avait permis d’interviewer (notamment) Julian Assange, Benjamin Bayart, Valentin Lacambre, Andy Müller-Maghun,Richard Stallman, Phil Zimmermann… entre autres défenseurs des libertés. C’était juste avant les révélations Snowden qui, sur ces questions, a notablement contribué à changer la donne.
L’interview n’étant pas encore publiquement accessible, et alors que ce fut l’une des plus longues qu’il m’ait été donné d’accorder (voir aussi la page Interviews & docus TV, en #replay), Alain m’a autorisé à la republier sur ce blog.
Une contre–histoire de l’Internet : entretien avec Jean-Marc Manach
Né en 1971, Jean-Marc Manach est un pionnier du journalisme d’investigation sur l’internet et du « datajournalisme ». Il a beaucoup écrit sur la sécurité informatique et la protection des sources, aux sujets desquels il est intervenu à Science Po, Reporters sans frontières, au CF(P)J, à l’ESJ et dans plusieurs écoles de journalisme… Il est notamment blogueur au Monde (Bug Brother), animateur du #14h42 pour Arrêts sur Images et NextInpact, ex-grand reporter au Vinvinteur sur France 5… Il a aussi travaillé à Owni, InternetActu, Transfert.net, Vendredi… Il a contribué à plusieurs sites et campagnes de défense des droits de l’homme et de la vie privée.
Nous l’avons rencontré pour évoquer son parcours, la genèse du film Une contre-histoire de l’Internet dont il est l’auteur, ainsi que ses projets à venir.
1. Une contre-histoire de l’Internet : entre contre-culture et histoire populaire
Tout d’abord, pouvez-vous nous raconter quelle est l’origine du film Une contre-histoire de l’Internet ? Comment celui-ci a-t-il été produit et réalisé ? En quoi ce film s’inscrit-il dans votre trajet journalistique ?
Tout est parti de David Dufresne. En 1995, au tout début du Web, il a commencé en créant un webzine qui s’appelait La Rafale. Il n’avait pas un profil journalistique. Il venait de la contre-culture comme moi. A la base, j’ai une formation de cinéaste et de critique cinéma. Donc, comme lui, je n’ai pas du tout un profil journalistique. David est ensuite devenu journaliste à Libération puis Mediapart où il a beaucoup travaillé sur Tarnac et il a fait pas mal de web-docs. Si je vous parle de cela, c’est parce que, à la fin des années 90, je faisais partie d’un groupe de webmasters comme on disait à l’époque, groupe qui défendait la liberté d’expression, et qui s’appelait le Mini-rézo. On avait créé un site pour défendre les questions de liberté sur Internet.
Or, à la fin des années 2000, Nicolas Sarkozy voulait civiliser Internet, ce que j’ai traduit par : « Cela veut dire que les internautes sont des barbares ». En réponse à cette campagne assez haineuse et à cette incompréhension crasse d’Internet, je me suis dit que cela serait intéressant de raconter comment, dès les années 90, des particuliers, des internautes, des webmasters, donc des gens qui n’étaient pas journalistes à la base, ont commencé à défendre la liberté d’expression et les libertés sur Internet. La Contre-histoire, initialement, c’était ça. C’était raconter cette histoire qui n’a jamais été racontée : comment, en France, dès les années 90, des gens ont essayé de se battre pour des valeurs qui sont devenues depuis des valeurs grand public avec les révélations de Snowden.
A l’époque, David Dufresne est parti vivre au Canada pour faire ses web-docs. On n’a pas pu travailler ensemble sur le film même s’il est interviewé dans le documentaire. Je me suis retrouvé à récupérer ce projet. Je travaillais alors à owni.fr, un site web où on expérimentait beaucoup les nouvelles formes de journalisme, notamment, le datajournalisme sur Internet. On était vus comme une sorte de laboratoire de recherches et de développements de la presse sur Internet. Il y avait plein de gens qui défilaient en permanence à la rédaction pour venir nous rencontrer et notamment les gens de Premières lignes : Paul Moreira et Luc Hermann. On a parlé de notre projet de documentaire pour raconter la défense des libertés sur Internet. Ils ont été intéressés. Ils étaient en contact avec ARTE qui a dit : « Oui, à condition que vous racontiez cela à un niveau mondial et pas seulement au niveau français ». Moi, je n’avais pas envie de voyager, je n’aime pas voyager, je préfère être devant mon écran d’ordinateur et je trouvais que raconter les défenses des libertés au niveau mondial, c’était quasiment impossible à faire en 90 minutes. Sauf qu’ARTE nous a bien coachés avec Premières lignes et, de fil en aiguille, cela a donné La contre-histoire de l’Internet.
D’où vient le choix du titre ?
Le titre du film est un hommage au livre Une Histoire populaire des Etats-Unis d’Howard Zinn. C’est un historien américain qui a fait l’inverse de ce que font la majeure partie des journalistes et des documentaristes : il n’a pas raconté l’histoire des Etats-Unis du point de vue de ceux qui ont gagné la guerre mais du point de vue des Indiens, des esclaves, des suffragettes, des syndicalistes qui ont été pour certains fusillés par la garde civile américaine ou matraqué par des nervis payés par les patrons américains… C’est pour cela qu’il appelle son livre Une Histoire populaire des Etats-Unis, parce que c’est vu du côté du peuple et non pas du côté du pouvoir. Ce livre m’avait influencé à l’époque pour La contre-histoire de l’Internet. C’était cette même idée. Je voulais raconter l’histoire de l’Internet du côté de ceux qui l’ont fait.
Ceux qui ont fait Internet, c’est en bonne partie des hackers. C’est pourquoi le film commençait notamment par raconter pourquoi, contrairement à ce qui est dit souvent dans les médias, Internet n’a pas été créé par l’armée américaine dans les années 60 pour résister à une bombe nucléaire soviétique. A l’époque, l’armée américaine finançait énormément de projets technologiques dont la majeure partie ont été oubliés dans les poubelles de l’histoire, sauf qu’Internet a fonctionné. Internet a été créé par des gens qui avaient un esprit de hackers, des bidouilleurs qui étaient proches de l’underground, qui connaissaient des gens qui prenaient du LSD, voire en prenaient eux-mêmes… On ne peut pas comprendre Internet si on ne comprend pas que cela vient aussi de la contre-culture. C’est le livre Aux sources de l’utopie numérique : De la contre-culture à la cyberculture de Fred Turner, livre fondamental pour comprendre cela. Avec cette nuance qu’un certain nombre des acteurs qui faisaient partie de la contre-culture dans les années 70-80 et qui ont ensuite développé la cyberculture, même si je n’aime pas le terme, sont aujourd’hui des libertariens avec un côté anarchiste de droite. C’est assez étonnant de la part de gens qui venaient de la contre-culture et étaient plutôt gauchistes. Internet est donc la rencontre improbable entre le complexe militaro-industriel et les hippies qui prenaient du LSD. Ce n’est donc pas du tout une histoire de câbles et de tuyaux.
Une Contre-histoire de l’Internet raconte donc cette histoire comme étant une histoire sociale plutôt que technologique ?
J’ai publié sur Owni un article, également repris sur Rue 89, où j’expliquais comment, en 92-93, avant l’arrivée du Web, quand j’étais étudiant en cinéma, je faisais comme job d’étudiant « animatrice Minitel rose ». Je me retrouvais la nuit devant quatre minitels à me faire passer pour une femme et à inventer des scénarios. Pourquoi je parle de cela, c’est parce que j’ai eu un rapport à la télématique qui m’a permis très tôt de comprendre que ces histoires d’interconnexions, de réseaux, le fait d’être devant un écran pour parler avec des gens, ce n’est pas une histoire de câbles, c’est avant tout une histoire d’êtres humains. Avant même d’avoir une connexion Internet, j’avais découvert à quel point le fait de pouvoir parler avec des gens par clavier et écran interposés permettait de libérer la parole, permettait d’entrer dans l’intimité des gens comme jamais je n’aurais pu le faire… Jamais je ne pourrai avoir de discussions aussi intimes, aussi enflammées que ce que j’ai pu avoir lorsque j’étais « animatrice Minitel rose ». Cela a été pour moi quelque chose de très important dans mon approche d’Internet. La technique, c’est un moyen. Internet, c’est quelque chose de profondément humain. Dans le web-doc qui est associé au documentaire, Une contre-histoire des internets au pluriel, j’y explique que « les Internets », c’est Internet moins les tuyaux : c’est à dire les êtres humains.
Quelle évolution peut-on voir entre le Minitel et Internet ?
Le minitel était centralisé, internet est décentralisé, et ça change tout. La France avait fait le choix de la centralisation avec le Minitel et les Etats-Unis de la décentralisation avec TCP/IP. D’un point de vue géopolitique, le fait de décentraliser fait que tout un chacun est habilité à s’exprimer. Le fait que tout soit centralisé avec le Minitel fait que tout un chacun n’était pas habilité à s’exprimer. Quand le Minitel a été lancé en 1981, il y a eu une expérimentation à Strasbourg avec un serveur appelé Gretel. Cela permettait aux gens de pouvoir se connecter à des serveurs pour pouvoir lire de l’information, un peu comme la télévision où on est spectateur. On ne peut pas interagir avec ce qui se passe à la télévision. Comme c’était une expérimentation, les concepteurs avaient ouvert un canal de discussions qui permettait de poser des questions à l’administrateur. Il fallait bien pouvoir répondre en temps réel aux problèmes des utilisateurs du Minitel. Sauf que, assez rapidement, l’administrateur de Gretel s’est aperçu qu’une nuit, un adolescent ou quelqu’un qui se faisait passer pour un adolescent, on n’a jamais réussi à l’identifier, avait réussi à pirater le canal qui permettait de poser des questions à l’administrateur pour faire de telle sorte que les utilisateurs du Minitel puissent communiquer entre eux de façon one to one, donc de façon horizontale et non plus verticale. Les créateurs du Minitel ont laissé les gens parler entre eux et ça a donné le Minitel rose qui a été la vache à lait de France Telecom. C’est l’endroit où énormément de gens qui allaient être des pionniers d’Internet ont commencé à se faire de l’argent, le plus connu étant Xavier Niel.
C’est plus qu’une anecdote, cela relève de l’histoire. C’est fondamental pour comprendre ce que permet la télématique, ce que permet Internet. c’est quelque chose de l’ordre de l’horizontalité et non pas de la verticalité comme l’était le Minitel. On raconte ça dans le film. Jean Guisnel a écrit un livre au début des années 90, Guerres dans le cyberespace : services secrets et Internet, sur comment les services de renseignements se faisaient déjà la guerre dans le cyberespace. Il avait des contacts au sein de la police, de l’armée, des services de renseignement qui avaient accepté de répondre à ses questions mais il n’arrivait pas à parler aux gens de France Telecom. A la fin de son bouquin, il arrive enfin à décrocher un rendez-vous avec un des patrons de France Telecom qui lui dit : « Mais pourquoi est-ce que tu veux faire un bouquin sur Internet ? On va l’interdire ! » Voilà ! En 1993, France Telecom était encore dans la logique de vouloir interdire Internet pour privilégier le Minitel. C’est le côté vertical, centralisé de la culture française.
Votre trajet personnel vous avait donc préparé à cette approche d’Internet ?
Je me souviens que, dans les années 80, il y avait plein de gens qui considéraient que les enfants qui découvraient la vie en regardant la télévision, en regardant Goldorak et Club Dorothée, ne pourraient être que décervelés. On était une génération sacrifiée parce qu’on avait grandi avec la télévision. On ne pourrait pas devenir des intellectuels. C’était tous les Bernard Pivot, les Télérama qui n’arrêtaient pas de parler de « génération sacrifiée » parce qu’on regardait la télévision. Moi, ça me révoltait, cette façon de considérer qu’on était une génération sacrifiée parce qu’on avait la télévision. Je sais que mon rapport aux écrans a commencé comme ça. Il y avait des vieux cons qui considéraient que les écrans posaient problème et il y avait des petits cons qui regardaient la télévision. Ces petits cons, ils peuvent devenir vendeurs chez MacDo comme ils peuvent devenir professeur d’université. Le fait de regarder la télévision n’est pas quelque chose de décervelant. Plus tard, quand j’ai commencé à m’intéresser au cinéma, c’était le cinéma expérimental, l’art vidéo, tout ce qui n’était pas commercial, tout ce qui sortait des sentiers battus… Donc, après, quand est arrivé Internet, ce qui m’a intéressé, c’était les hackers. J’ai compris très rapidement que les hackers n’étaient pas des pirates informatiques. Ce n’étaient pas des méchants. C’étaient eux qui avaient fabriqué Internet. Ils développaient, inventaient des nouveaux modules, de nouveaux logiciels, de nouvelles façons de penser… ça, ça m’a profondément marqué ! Donc, je viens de la contre-culture et d’un rapport contre-culturel aux écrans. Ceci explique aussi l’origine du film.
2. Julian Assange, Wikileaks et l’impact des révélations Snowden
Dans ce film, vous rencontrez un certain nombre d’acteurs essentiels de l’histoire d’Internet ? Ces rencontres ont-elles été faciles à obtenir ? Y a-t-il des intervenants que vous regrettez de ne pas avoir rencontrés ?
Il en manque bien évidemment. Le premier jour de tournage, on est allé interviewer Laurent Chemla qui n’apparaît pas au montage. C’est quelqu’un de très important dans ma compréhension d’Internet. Son livre, Confession d’un voleur, est très important pour comprendre Internet (livre disponible en ligne ici). C’est un très grand vulgarisateur, qui s’exprime très bien à l’écrit. Quand je l’ai interviewé, ça a duré une heure et demie. Une fois sorti de l’interview, Sylvain Bergère, le réalisateur du film, m’a dit : « Ecoute, Jean-Marc, tu n’as jamais fait de documentaires, mais plus jamais tu ne me fais un coup comme ça ! On a vingt-six personnes à interviewer et, généralement, un documentaire, c’est sept ou huit personnes par documentaire. Tu en as choisi vingt-six, ce n’est pas dans les standards de la télévision et si, en plus, tu me fais des interviews d’une heure et demie, moi, je ne m’en sortirai jamais au montage. » Cela a commencé comme ça, assez frontalement avec le réalisateur. Au final, on a interviewé une cinquantaine de personnes. Donc, on a doublé le nombre d’intervenants. Même si je n’ai pas fait beaucoup d’interviews d’une heure et demie, il s’est retrouvé avec 60-70 heures de rushes. C’était un boulot titanesque ! Sauf qu’il m’a remercié au final en me disant : « Il y a tellement de matière dans les interviews que tu as faites qu’on a de quoi faire un bon documentaire! »
Pour moi, c’était évident que si je voulais parler d’Internet, il fallait que j’aille voir ceux qui sont considérés comme de grandes figures de cette contre-culture. Je ne sais même pas finalement si c’est de la contre-culture ou si c’est de la culture. Pour moi, c’est la culture d’Internet : on a fait la contre-histoire, mais, en fait, c’est l’histoire d’Internet. Si j’ai appelé le film « contre-histoire », c’est parce qu’il y a un côté contre-culturel. Ce qui était étonnant pour moi, c’était de voir que, lorsque le film a été diffusé en mai 2013, les gens que j’ai filmés étaient perçus comme étant du côté de la contre-culture, du côté des protestataires. Il se trouve qu’il y a eu les révélations Snowden à partir de juin 2013. Les révélations Snowden ont changé le statut d’une partie des gens que j’ai interviewés. Avant Snowden, ils faisaient partie du problème, car ils râlaient contre l’état qui mettait trop de surveillance et pas assez de liberté. Or, depuis les révélations Snowden, les gens que j’ai interviewés sont maintenant perçus comme étant du côté de la solution. Ils sont ceux qui apportent des solutions aux problèmes de la surveillance et des atteintes aux libertés sur Internet. Si le documentaire avait été diffusé après les révélations de l’affaire Snowden, j’aurais dû refaire le montage probablement, voire ajouter des interviews. Cela aurait donné un film complètement autre. Avant Snowden, si on regarde l’e-G8 qu’avait organisé Nicolas Sarkozy, les acteurs essentiels de l’Internet, c’était ce qu’on appelait la net-économie, les start-ups, Facebook, la French Tech… : les acteurs de l’économie capitalistique d’Internet. Pour moi, ce n’est pas ça. Internet : ce n’est pas une question de technologie, ce n’est pas une question d’économie. Internet, c’est quelque chose qui relève beaucoup plus de la sociologie et c’est de la politique !
Vous avez notamment réussi à interviewer Julian Assange pour votre film ?
C’était la personne la plus compliquée à interviewer pour des raisons faciles à comprendre. Il était enfermé dans l’ambassade d’Equateur. Il ne pouvait pas sortir. Lui, il n’est pas parano. Il est surveillé en permanence ! Je ne sais plus combien de millions sont dépensés chaque année pour surveiller l’ambassade d’Equateur à Londres. C’est une High Value Target. Donc, ça a été très compliqué pour obtenir un rendez-vous avec lui. Quand j’ai obtenu ce rendez-vous, il m’a accordé initialement vingt minutes. Il est arrivé avec une demi-heure de retard et était très énervé. Il m’a dit : « Je vous donne un quart d’heure ! » J’ai commencé à lui poser des questions et, au bout d’une heure et demie, j’ai dû lui demander d’arrêter l’interview parce que j’allais rater mon train ! Il voulait que je reste pour continuer à lui poser des questions. J’étais assez honoré de voir que quelqu’un qui était énervé au départ m’accordait finalement une heure et demie d’interview. ça montrait que les questions que je posais l’intéressaient.
Ce que j’ai essayé de faire, c’est d’accoucher la parole de ces gens qui, pour une fois, étaient interviewés par quelqu’un qui comprenait leur combat. La majeure partie du temps, quand Assange et d’autres sont interviewés, ils sont interviewés par des gens qui ne connaissent pas ce dont ils parlent. C’est un travers majeur du journalisme que je vis au quotidien. énormément de journalistes parlent de choses qu’ils ne connaissent pas. C’est ce à quoi je suis confronté depuis deux ans avec la Loi renseignement ou avec Snowden. J’ai été interviewé un grand nombre de fois et la meilleure interview à laquelle j’ai été soumis, c’est lorsque j’ai été interviewé par un journal qui s’appelle Article 11 : le journaliste a réussi à me faire dire des choses auxquelles je n’avais jamais pensé, que je n’avais encore jamais réussi à formuler de cette façon–là.
3. De la surveillance de masse à la paranoïa généralisée
Vous articulez l’histoire d’internet autour de quelques axes dont celui de la liberté (d’expression, de création, de partage) et celui du contrôle et de la surveillance. Depuis la sortie de votre film, vous venez de l’évoquer avec les révélations Snowden, ce sujet a-t-il fait l’objet d’une évolution ?
J’ai fait deux conférences l’année dernière et l’année d’avant à Pas Sage en Seine, un festival de hackers à Paris. On peut en trouver la retranscription sur mon blog pour Le Monde. J’avais intitulé cette conférence De la surveillance de masse à la paranoïa généralisée. Je vais essayer de résumer. Avant les révélations Snowden, des gens comme moi ou ceux que j’ai interviewés, on passait pour des contestataires, pour des paranos, éventuellement pour des gauchistes… Depuis les révélations Snowden, tout le monde est devenu parano. Paradoxalement, je me retrouve de plus en plus à essayer d’expliquer aux gens que non, la NSA ne surveille pas l’intégralité de la population ! Il faut arrêter les délires ! Je suis consterné par le niveau de débat, notamment dans les médias et, bien évidemment, dans la classe politique. Ils en parlent comme si la NSA, la DGSE, les services de renseignements, surveillaient l’intégralité des internautes. On parle beaucoup de la « surveillance de masse ». C’est la nouvelle expression en vogue depuis les révélations Snowden. Moi, je ne suis pas d’accord avec cette expression. Il y a des systèmes de collecte d’informations de masse qui ont été mis en place par les services de renseignement. Cela ne veut pas dire que c’est de la surveillance de masse. L’expression « surveillance de masse » laisserait entendre que les services de renseignement surveilleraient toute la population, ce qui n’est absolument pas le cas. Matériellement parlant, c’est juste impossible ! Pour l’instant, je fais un module vidéo pour France 4 qui s’appelle What the Fact qui devrait sortir dans les semaines qui viennent. Il expliquera que le volume de données échangées chaque jour, que ce soit en France ou dans le monde, est tellement important qu’il est financièrement, humainement, matériellement, techniquement impossible de tout surveiller. De plus, ce n’est pas ce que réclament les services de renseignements. Ils ont autre chose à faire. Il y a suffisamment de menaces comme ça pour ne pas vouloir surveiller l’intégralité de la population.
Dans cet avant et cet après Snowden, paradoxalement, moi qui travaille depuis une quinzaine d’années sur les questions de surveillance et donc sur les services de renseignement, je me retrouve plus proche de gens qui travaillent ou ont travaillé dans les services de renseignement que du côté d’un certain nombre de défenseurs des libertés. C’est assez paradoxal puisque je suis plutôt pote avec les gens de la Quadrature du Net et qu’on perçoit, je pense, les prises de positions politiques que je peux avoir au regard du documentaire Une contre-histoire de l’Internet. Paradoxalement, les révélations Snowden ont provoqué quelque chose de très bien : les questions de liberté, de vie privée, de sécurité informatique ne sont plus marginalisées. Elles sont vraiment prises en compte. De plus en plus de trafic est chiffré grâce à Apple, à WhatsApp, à Facebook, à Google qui chiffrent maintenant leurs communications. De plus en plus d’internautes apprennent à chiffrer leurs communications. C’est le côté positif de Snowden. Le côté négatif, c’est que de plus en plus de gens sont complètement paranos. Au lieu de comprendre ce que font les services de renseignement, ils en ont peur. Je n’ai pas peur des services de renseignements. Je n’ai pas peur de la surveillance.
Quelles nuances faites-vous entre « surveillance » de masse et « collecte » de masse ?
Parce que Snowden et Greenwald ont un agenda politique, la notion de surveillance de masse s’est substituée à la notion de collecte de masse. On a un débat sémantique avec des gens de la Quadrature depuis maintenant deux ans. Ils considèrent qu’à partir du moment où il y a de la collecte de masse, cela relève de la surveillance de masse, même s’il n’y a pas d’êtres humains qui regardent les données collectées. Il y a de fait des systèmes de « collecte de masse », mais ça ne veut pas dire que les services de renseignement surveillent tout le monde. Si on regarde la Loi renseignement en France, les dispositifs de collecte de masse utilisés par la DGSE n’ont pas le « droit », pour le coup, de surveiller des Français : les identifiants rattachés au territoire national doivent en effet être écrasés, sauf s’ils figurent dans les « cibles » préalablement identifiées par les services de renseignement.. Si jamais il y a un identifiant rattaché au territoire national, que ce soit un numéro de téléphone, une adresse mail ou une adresse IP, ils n’ont légalement pas le droit de regarder les données ou les métadonnées. Toute surveillance d’un Français doit être ciblée, validée par Matignon, après avis de la CNCTR qui est la commission de contrôle des techniques de renseignement. Pour un certain nombre de thuriféraires de Snowden, ils considèrent qu’à partir du moment où les données sont collectées et traitées par des algorithmes, quand bien même il n’y a pas de traitement humain derrière, ça relève de la surveillance. Je ne suis pas d’accord avec ça. On parle beaucoup, depuis Snowden, de « surveillance de masse », mais les systèmes de « collecte de masse » des services de renseignement ne permettent, -ni ne visent à-, surveiller massivement « tout le monde »… à l’exception des pays où les Etats-Unis (voire la France ?) « font » la guerre, comme la Syrie ou l’Afghanistan, par exemple.
Cette surveillance ou collecte de données est-elle efficace ?
Je vais être concret. La NSA, combien d’attentats terroristes a-t-elle déjoués grâce à ce système de collecte de masse ? Concrètement, quand la question a été posée par le parlement américain à la NSA, celle-ci a commencé par répondre 80 attentats. Ensuite, quand les parlementaires ont posé la question : « Mais des attentats où ? », la NSA a reconnu des dizaines d’attentats qui auraient été déjoués dans d’autres pays que les Etats Unis. Concrètement, sur le territoire américain, sachant qu’il y a des collectes de masse des métadonnées des Américains (c’est une des révélations Snowden), il y a une seule personne qui a été condamnée à quinze ans de prison. C’était un réfugié somalien qui vivait aux Etats Unis depuis des années et qui, comme beaucoup de réfugiés, renvoyait de l’argent à son pays pour fabriquer des écoles, des dispensaires, pour aider l’économie locale. Il se trouve que son village, un jour, a été conquis par la milice Al-Shabbaab considérée comme une milice terroriste par les Etats-Unis. Grâce à la surveillance des métadonnées, la NSA a identifié qu’il y avait quelqu’un sur le territoire américain qui communiquait avec quelqu’un sur un territoire contrôlé par Al-Shabbaab. Ils l’ont accusé d’avoir envoyé 3.500 dollars. J’avais fait une enquête pour Arrêt sur images là-dessus il y a deux ans. Donc, pour avoir envoyé cet argent, il a été condamné à quinze ans de prison. Il n’a jamais été démontré que le réfugié somalien en question savait qu’il envoyait de l’argent à des gens qui étaient sous la domination d’une milice terroriste. Il n’a jamais été démontré donc qu’il finançait le terrorisme. Il n’en n’a pas moins été condamné. C’est la seule condamnation sur le territoire américain basée sur la surveillance des métadonnées. Est-ce que c’est efficace ? Clairement, non !
Et en France ?
Je ne sais pas ce que font les services de renseignement. Je ne suis pas dans le secret des Dieux. Ce que je sais, c’est qu’on parle de 3000 profils menaçants en France. Là, je ne parle que du djihadisme. Ils sont 3500 à la DGSI, le contre-espionnage. Pour surveiller quelqu’un H24, il faut entre 10 et 20 personnes. Or, la DGSI ne fait pas que de la lutte contre le terrorisme islamiste : elle a beaucoup de travail contre la criminalité organisée, contre l’espionnage industriel, etc. Donc, ils sont tellement débordés par toutes les tâches qui leur sont confiées que c’est complètement invraisemblable de laisser entendre que les services de renseignements français surveilleraient massivement les Français. Ils ont franchement autre chose à faire. Cela me semble évident. Les rapports de l’autorité de contrôle des services de renseignement révèlent qu’en moyenne par an, ce sont 6000 cibles qui sont écoutées. Cela peut être une cellule islamiste de plusieurs personnes, cela peut être une personne avec dix téléphones portables… C’est en moyenne 6000. Il y a un quota de 2800 interceptions simultanées qui est attribué par Matignon. Il n’a jamais été dépassé, signe que les services n’ont donc pas besoin de pouvoir surveiller plus de 2800 personnes en simultané, et qu’il n’y a donc pas tant de « menaces » que cela. On a eu l’année dernière avec la Loi renseignement énormément de gens qui disaient qu’avec les boites noires, la Loi renseignement allait surveiller tous les Français. Ce que je sais moi, c’est que le quota de 2800 interceptions simultanées n’a jamais été atteint. Donc il n’y a pas un besoin si impérieux que ça des services de renseignement de surveiller massivement les gens. C’est quelque chose que j’ai découvert depuis les révélations Snowden. Je ne vous l’aurais pas dit si vous m’aviez interviewé en mai 2013. Quand les révélations Snowden sont arrivées, plein de journalistes n’y connaissaient rien en techniques de renseignements, NSA et compagnie… Je travaillais depuis longtemps là-dessus. J’ai donc commencé à suivre les révélations Snowden de près et à m’intéresser à ce que faisaient les services de renseignement en France.
Les services de renseignement ne peuvent pas surveiller « tout le monde ». Une part de votre travail repose cependant sur la nécessité de protéger ses données. Pourquoi ?
Sauf dans quelques pays en guerre avec les USA, ainsi que dans des dictatures, la « surveillance de masse » (aka surveiller tout le monde) est quasi-impossible et ne servirait pas à grand chose. Les services ont autre chose à faire.
A contrario, comme lesdits services ne s’en arrogent pas moins le droit et la possibilité de pouvoir surveiller tous ceux qui communiquent avec ceux qui communiquent avec leurs « cibles » : n’importe qui peut être surveillé, même s’il n’a « rien à cacher ». La question, le problème, n’est pas de savoir si on a « rien à cacher ». On ne peut plus se réfugier derrière cet argument. Aujourd’hui, on est tous à +- 6 niveaux de séparation de n’importe quel autre être humain et, si on est sur Facebook, à +- 3.5 niveaux de séparation de n’importe quel autre utilisateur de Facebook. Or, la NSA et ses partenaires anglo-saxons ont conceptualisé la notion de « three hops« , à savoir le fait de pouvoir surveiller ceux qui communiquent avec ceux qui communiquent avec leurs « cibles ». Un ancien patron de la NSA avait ainsi expliqué que « les méta-données tuent », expliquant que la CIA avait tué un terroriste, via un drone, après que la NSA ait réussi à surveiller les mails d’une amie de sa femme, et donc de remonter jusqu’à lui. Ladite amie n’était pas terroriste et n’avait peut-être « rien à cacher »… mais c’est en la surveillant que la NSA est remontée jusqu’à la femme du terroriste (l’histoire ne dit pas si sa femme a aussi été tuée dans l’attaque du drone).
En France, le Parlement a adopté, en juillet dernier, la possibilité de recueillir en temps réel des données de connexion d’une personne « préalablement identifiée (comme) susceptible d’être en lien avec une menace »… Donc, ce n’est pas parce que la surveillance de masse ubiquitaire me semble plus constituer un fantasme paranoïaque. Comme dit précédemment, les services de renseignement des pays démocratiques ne peuvent pas (légalement, techniquement, financièrement… sans parler de la masse salariale que cela devrait représenter) surveiller « tout le monde ». De plus, ils doivent obtenir une autorisation pour espionner toute personne se trouvant sur leur territoire national même et y compris s’il s’agit d’un étranger, a fortiori s’il s’agit d’un ressortissant. A contrario, ils font ce qu’ils veulent/peuvent pour ce qui est de la surveillance des étrangers… à l’étranger. Ils peuvent, légalement, financièrement et techniquement, surveiller « n’importe qui », et sont de plus en plus amenés à surveiller des gens qui n’ont « rien à cacher », mais qui sont en contact avec des gens qui sont en contact avec leurs « cibles »… Ce pourquoi il faut aussi apprendre à protéger ses données et communications, nonobstant le fait que « n’importe qui » peut donc aussi être surveillé par des services de renseignement étranger : le simple fait de communiquer avec le secrétaire particulier d’un PDG du CAC40, des employés d’une start-up prometteuse, d’un cabinet ministériel, d’un syndicat, d’un parti politique ou d’une ONG, même et y compris si vous n’évoquez jamais leurs vies professionnelles, pourraient vous valoir d’être espionné.
Internet en général, et l’informatique en particulier, n’ont pas été conçus pour sécuriser nos données et télécommunications. Ce pour quoi il faut apprendre à se protéger, nonobstant le fait que vous risquez par ailleurs et bien plus d’être surveillé, voire espionné, par votre conjoint, vos collègues et supérieurs qui peuvent physiquement accéder à vos ordis et téléphones portables, des concurrents de votre employeur ou encore et surtout par des « pirates informatiques » en quête notamment de vos numéros de login ou votre mot de passe de carte bancaire… Les services de renseignement ne sont pas, loin de là, la principale « menace » à laquelle doit faire face les internautes. Ils en constitueraient même la portion congrue. La surveillance est aussi un bizness. Même si vous n’avez « rien à cacher », même si vous pensez ne communiquer qu’avec des gens qui ne pourraient être considérés comme des « cibles » par des espions oeuvrant pour un pays ou des barbouzes travaillant pour des entreprises privées ou publiques, la majeure partie des gens qui sont placés sous surveillance, voire espionnés, le sont par des « proches » ayant un accès « physique » à leurs ordinateurs et/ou smartphones.
En matière de sécurité informatique, et de protection de la vie privée, le problème, ce n’est pas tant la NSA et ses soi disant super-pouvoirs surestimés que le fait que, par défaut, nos données ne sont pas sécurisées. Ce pourquoi il faut apprendre à se protéger. La sécurité informatique est un métier, somme toute très complexe et donc compliqué. Edward Snowden, ou encore les récentes révélations des « Shadow Brokers« , ont démontré que même la NSA, la plus puissante des agences de renseignement technique, pouvait être espionnée.
En attendant, et par défaut, partez du principe que vous êtes « à poil », et que ce que vous faites sur l’internet y circule « en clair » même si plus de 80% des requêtes Google sont par ailleurs « chiffrées » et donc, a priori, indéchiffrables, y compris par la NSA. En terme de « parano » post-Snowden et de « modèle de menace » (aka « Qui pourrait vouloir vous espionner ? »), la NSA est l’ »idiot utile » de la sécurité informatique. Donc, partez du principe qu’il y a bien plus de « risques » que vous soyez surveillé, voire espionné, par des gens qui vous connaissent et qui disposent d’un accès physique à votre ordinateur ou smartphone que par la NSA et Cie…
J’avais développé un concept qui a été repris par Reporters Sans Frontières dans son guide de sécurité informatique. C’est la notion de quart d’heure d’anonymat. Si j’ai quelque chose que je veux faire sur Internet, mais que je ne veux pas laisser de traces ou que je ne veux pas que ce soit exploité par Google, par Facebook, par des régies publicitaires, par des services de renseignements…, c’est à moi de m’en donner les moyens et d’utiliser des systèmes de protection de la vie privée, de sécurité informatique. C’est la référence à la phrase de Warhol. En 68, il avait déclaré : « A l’avenir, tout le monde aura le droit à son quart d’heure de célébrité ». Avec la télé-réalité dans les années 90 et 2000, on y a eu droit. Ce n’était encore qu’une infime partie de la population. Maintenant, avec Internet, c’est tout un chacun qui peut avoir son quart d’heure de célébrité. La question aujourd’hui, à l’ère d’Internet, à l’ère de la transparence et à l’ère de la surveillance, c’est : « Comment avoir son quart d’heure d’anonymat ? »
4. Comment les médias parlent d’Internet ?
D’où vient cette incompréhension de beaucoup de médias devant Internet ?
Il y a une anecdote qui n’est pas dans le film et que je raconte dans une BD sortie l’an dernier intitulée Grandes oreilles et bras cassés. Dans la foulée des révélations Snowden, le Monde a titré en une que la DGSE surveillait les communications de tous les Français. J’ai essayé de savoir comment ce serait possible techniquement, financièrement et légalement de surveiller tous les Français. Il faudrait mettre des boites noires dans 50.000 DSLAM. Quand j’ai découvert que c’était impossible techniquement, humainement, financièrement et légalement, j’ai demandé aux ingénieurs informaticiens qui travaillaient au coeur des réseaux Internet pourquoi ils n’avaient pas réagi à l’article du Monde. Ils m’ont répondu : « On est tellement habitué à ce que les journalistes racontent n’importe quoi sur Internet qu’on ne réagit même plus ». C’est catastrophique. Internet est de plus en plus au coeur de nos vies. Le problème, c’est qu’un nombre de plus en plus important de gens qui travaillent au coeur d’Internet ne réagissent même plus quand les médias racontent des conneries. C’est un vrai problème de déficit démocratique et géopolitique de compréhension de ce qu’est Internet. Ce que j’ai essayé de faire avec Une contre-histoire de l’Internet, c’était ça : moi qui connais un petit peu la question, je suis allé voir des gens qui connaissent bien la question pour qu’on en parle. Je pense que la réussite du film, c’est d’aller au-delà des propos de comptoir pour essayer de parler vraiment de ce que c’est Internet (#oupas).
Votre film développe différentes formes de détournements politiques d’Internet dont l’hacktivisme rencontré durant le Printemps arabe. Celui-ci serait-il encore possible aujourd’hui ?
Oui, mais ça prend de nouvelles formes. Durant le Printemps arabe, je me souviens que l’Egypte, à un moment, avait coupé Internet pour éviter que les gens ne se rassemblent grâce à Facebook. Cela n’a pas empêché Facebook d’être massivement utilisé durant le Printemps arabe. Aujourd’hui, on a de plus en plus de pays qui censurent Internet. WhatsApp a été censuré au Brésil. Il y a de plus en plus de censures et, en face, on a de plus en plus de réponses. Aujourd’hui, on parle beaucoup de Telegram parce que Telegram aurait été utilisé par le terroriste qui a égorgé un prêtre il y a quelques jours. Il y a eu une enquête dans L’Express le 14 juillet dernier qui montrait que de plus en plus de responsables politiques utilisent eux aussi Telegram. Pour l’instant, je n’arrête pas d’être interviewé par la presse autour de Telegram. J’explique que les terroristes sont des internautes comme les autres. Depuis les révélations Snowden, de plus en plus d’internautes chiffrent leurs communications. Il y a 100 millions d’utilisateurs de Telegram et, dans les 100 millions d’utilisateurs, il y a des défenseurs des libertés, beaucoup de simples particuliers, beaucoup de politiques et puis il y a quelques terroristes. Donc, on associe Telegram aux terroristes sauf que les 100 millions d’utilisateurs ne sont pas 100 millions de terroristes. Je fais souvent cette analogie : la totalité des terroristes qui se réclament du djihadisme se réclament d’une interprétation de l’Islam, mais il serait absurde, contre-productif et insultant de dire pour autant que tous les musulmans sont des terroristes. Sur les hackers ou sur les gens qui, sans être des hackers, utilisent des logiciels de chiffrement, c’est la même chose : ce n’est pas parce qu’ils sont des terroristes ou des délinquants. Ce sont juste des gens qui veulent protéger leur vie privée. Tout simplement.
Pour revenir au Printemps arabe, c’était les réseaux sociaux : à savoir de la communication publique. Aujourd’hui, de plus en plus, ce sont les moyens de communication chiffrée qui sont utilisés. Il n’y a pas très longtemps, j’ai contribué à un documentaire avec un réalisateur israélien sur le Dark Web. Ce qui était très intéressant pour moi, c’est qu’il a notamment interviewé une journaliste en Egypte qui rigolait en découvrant que la majeure partie du temps, dans les médias occidentaux, quand on parle du Dark Web ou de Tor, on parle des gens qui les utilisent pour acheter de la drogue ou des pédophiles. Elle nous disait : « C’est hallucinant ! Chez nous, en Egypte, la majeure partie des gens qui utilisent le Dark Web et Tor, c’est parce que ce sont des gens de la communauté LGBT ou des démocrates… Parce qu’on sait qu’en Egypte, les communications sont surveillées. Donc, on passe par Tor et on va sur le Dark Web pour défendre nos libertés ».
Je me rappelle du premier reportage qui avait été consacré à Facebook sur France 2 dont le pitch était : « Facebook permet à des adolescentes de montrer leurs décolletés et d’acheter du cannabis ! » C’est ainsi que la télévision française a commencé à présenter Facebook ! A la fin des années 90, Françoise Giroud, une des grandes figures du journalisme en France, avait dit qu’Internet était un danger public parce que n’importe qui peut dire n’importe quoi. C’était hallucinant, sinon scandaleux ! Alors, la démocratie, c’est aussi un danger public puisque n’importe qui peut voter pour n’importe qui. Soit on accepte le jeu de la démocratie, soit on le refuse. J’ai très rapidement perçu Internet comme étant quelque chose d’émancipateur et cela a été confirmé dans les faits. Interdire Facebook, c’est le voir remplacé par Tor et si on interdit Tor, les gens passeront par d’autres canaux. La révolution est en marche et je pense qu’on ne pourra plus l’enrayer. Le Printemps arabe a démontré que Facebook ne servait pas qu’à montrer son cul, mais que cela allait bien au-delà : Facebook était réellement quelque chose qui changeait la donne d’un point de vue politique et d’un point de vue sociétal. Aujourd’hui, il y a de plus en plus de systèmes de surveillance, donc les gens vont de plus en plus vers le Dark Web et vers le chiffrement. ça n’en finira jamais et c’est toujours nous, les défenseurs des libertés, qui gagnerons à la fin.
En 1997, dans son ouvrage Cyberculture, le philosophe Pierre Lévy considérait qu’Internet incarnait certains idéaux révolutionnaires des Lumières.
Je vous parlais tout à l’heure de Laurent Chemla. Une des raisons pour laquelle il a été très important pour moi, c’est que dans son livre, Je suis un voleur, il explique qu’en 1789, la Déclaration universelle des droits de l’homme, a inscrit la liberté d’expression comme étant un des socles fondateurs de la démocratie. Jusqu’à Internet, les seules personnes qui pouvaient faire valoir cette liberté d’expression, c’était les gens qui avaient accès aux médias. Or les gens qui avaient accès aux médias, c’étaient des artistes, des intellectuels, des hommes politiques, des gens qui gagnent beaucoup d’argent… C’était une forme d’élite. Ce qu’Internet a changé, c’est que tout le monde a accès à la liberté d’expression. Tout le monde peut enfin s’exprimer et être entendu. Des exemples, on en a pléthore. Internet est la concrétisation d’une promesse qui date de 1789, mais qui, jusqu’à Internet, était restée virtuelle. Paradoxalement, Internet concrétise un droit de l’homme qui était virtuel avant Internet. J’emploie le mot « virtuel » à escient au sens où énormément de gens disent qu’Internet est un monde virtuel, ce qui pour moi est complètement faux. Ce n’est pas un monde virtuel ! Au contraire, c’est on ne peut plus réel : il n’y a jamais eu autant de gens qui se parlent ! Il n’y a jamais eu autant de gens qui lisent et s’informent et qui prennent la parole pour s’exprimer ! Alors après, oui, il y en a plein qui disent des conneries ou qui disent des choses avec lesquelles on n’est pas d’accord. Là, on en revient à Voltaire : « Je ne suis pas d’accord avec vous, mais je me battrai pour que vous ayez le droit de le dire ».
5. Diffuser, enseigner la contre-histoire de l’Internet
Comment avez-vous envisagé la réception de votre film ? Avez-vous eu l’occasion de participer à des projections suivies d’échanges avec le public ? Quelles étaient les réactions ? J’ai le sentiment que beaucoup de jeunes gens ou d’adultes ne perçoivent pas ces enjeux liés à Internet.
Je n’ai pas fait énormément de projections-débats, mais j’ai le même sentiment que vous : la majeure partie des gens ne comprennent pas les tenants géopolitiques d’Internet. Le film aide à les comprendre. Je me souviens d’un texte brillant, il y a quelques années, de Jean-Noël Lafargue, un universitaire français. Il avait écrit dans Libération sur le fait que la génération Y, qui a grandi avec des tablettes, des smartphones et des ordinateurs, est à tort perçue comme étant des hackers. La génération d’avant présume que, comme ces jeunes ont grandi avec un ordinateur dans la main, ce sont de brillants informaticiens capables de casser Internet. C’est complètement faux ! Ceux qui ont grandi avec un smartphone dans la main savent appuyer sur des boutons, mais ils ne savent pas ce que ça veut dire ! Ils ne savent pas comment ça fonctionne. Quand j’ai commencé à me connecter à Internet dans les années 90, il fallait écrire du code HTML pour faire des pages web. Aujourd’hui, on fait des blogs, on va sur les réseaux sociaux et on n’a pas besoin de connaître du HTML. Donc, les pionniers de l’Internet ont dû mettre la main dans le code. Je pense qu’on ne peut pas comprendre Internet si on ne comprend pas un minimum le code. Or il y a très peu de gens dans la génération Y qui savent ce qu’est le code source d’une page web ou qui ont commencé à apprendre à coder.
La meilleure réponse que je peux vous donner quant à la réception du film, c’est que j’ai été très agréablement surpris le soir de la diffusion en suivant les réactions des gens sur Twitter. Le meilleur compliment qu’on a pu me faire, c’était des hackers, des geeks, qui me remerciaient en me disant : « Enfin, je vais pouvoir expliquer à mes parents qui je suis ! » C’était un très beau compliment parce que j’arrivais à faire le lien dans le film entre des hackers, des geeks, des gens qui comprennent le code, qui comprennent les tenants géopolitiques d’Internet et un public qui ne le comprend pas. Il n’y avait pas vraiment eu de film auparavant qui permettait d’expliquer au grand public ce pourquoi on défend les libertés sur Internet. Je ne m’attendais pas à ça. Je n’y avais pas pensé !
N’y a-t-il pas un paradoxe dans le fait qu’Internet soit aujourd’hui le principal média utilisé et qu’il ne fait pas l’objet d’un enseignement spécifique alors que le cinéma ou la télévision ont pu être introduits dans le cursus des lycées ?
Cela commence à se faire. Je ne suis pas spécialiste de l’enseignement donc je ne sais pas vous dire jusqu’où va cette éducation au média. à l’époque où j’ai fait le film, il y avait eu la fameuse loi française Création et Internet qui a produit Hadopi. Cette loi visait à réprimer le téléchargement de fichiers. Un amendement avait été adopté au parlement qui prévoyait une sensibilisation aux dangers d’Internet. Il s’agissait d’expliquer aux adolescents de ne pas faire ci ou ça sur Internet pour ne pas tomber sur un pédophile ou de ne pas télécharger et voler le pain des artistes. A l’époque, l’essentiel de la sensibilisation à Internet, c’était un peu comme si on faisait un cours d’éducation sexuelle et qu’on ne parlait que de la syphilis et du sida. C’est-à-dire créer un climat anxiogène où Internet fait peur, ce qui est complètement contre-productif. Bien évidemment, quand quelqu’un vient devant un adolescent en lui disant de ne pas faire quelque chose, que va faire l’adolescent ? En règle générale, il va faire ce qu’il ne faut pas faire car ça peut être tentant.
Ce que je vois poindre depuis un ou deux ans, c’est de plus en plus d’enseignants qui, dans le cadre de leurs cours, font des sensibilisations concernant les rumeurs et les théories de la conspiration. Les théories de la conspiration quand je suis arrivé sur Internet à la fin des années 90, c’était les Illuminatis, les Chemtrails et tout ce qu’on a vu après le 11 Septembre… C’était de petites communautés, mais ça me faisait déjà un peu peur parce que je voyais que de plus en plus de gens étaient sensibilisés à ça. Aujourd’hui, c’est catastrophique ! Aujourd’hui, c’est dans les cours des collèges qu’on parle des illuminatis et c’est massif ! Je ne sais pas comment cela se passe en Belgique mais les théories de la conspiration ont vraiment conquis les adolescents et pas que les adolescents d’ailleurs. Donc, de plus en plus de professeurs aujourd’hui font des cours ou des séminaires de sensibilisation pour expliquer comment interpréter une rumeur, un complot et comment les combattre. J’ai l’impression qu’aujourd’hui l’enseignement à Internet passe par ça.
Maintenant, est-ce qu’il y a une volonté politique du côté de l’éducation nationale de faire des cours d’éducation au média telle que vous l’entendez : comprendre la géopolitique d’Internet ? Non ! A ma connaissance, il n’y a pas de volonté du gouvernement d’expliquer comment fonctionne Internet. J’en veux pour preuve quelque chose que je dénonce depuis une dizaine d’année et qui relève d’une schizophrénie gouvernementale. On a d’un côté l’ANSSI qui est l’agence en France en charge de la cyber-défense qui explique aux voyageurs d’affaires que, quand ils vont à l’étranger, ils doivent chiffrer leurs disques durs et leurs communications, utiliser des VPN et des logiciels de chiffrement, car ils risquent d’être victimes d’espionnage industriel. De l’autre côté, on a la CNIL qui est plus grand public. Lorsque vous allez sur leur site pour protéger votre vie privée, on va vous apprendre à gérer vos cookies et à paramétrer Facebook. Ils n’expliquent pas comment utiliser un VPN, comment utiliser PGP, comment utiliser Signal, comment utiliser un logiciel de chiffrement… Encore aujourd’hui, pour beaucoup, dès qu’on parle de chiffrement, cela veut dire que l’on va expliquer aux gens comment devenir des gangsters, des terroristes ou des pédophiles. Pour moi, cela relève d’une forme de schizophrénie. Soit on explique aux gens comment se protéger, soit on ne leur explique pas. Les pouvoirs publics sont encore très réticents par rapport au chiffrement. La quasi-totalité du temps, quand un homme politique parle de Telegram, de Signal, du Dark Web ou de Tor, c’est en référence aux terroristes, aux gens qui veulent acheter de la drogue ou aux pédophiles alors que la majeure partie de l’utilisation du chiffrement ne relève absolument pas du terrorisme, de la pédophilie ou du trafic de drogue. C’est un épiphénomène. On en revient à l’analogie que je faisais tout à l’heure. Il y a une diabolisation d’Internet que j’essaye de fustiger dans le documentaire et qui, néanmoins, continue et va continuer encore très longtemps.
Quels sont vos projets actuels ? Avez-vous d’autres projets de films ou de livres qui prolongeraient Une contre-histoire de l’Internet ?
On m’avait proposé de faire un livre d’Une contre-histoire de l’Internet mais un livre prend beaucoup de temps. C’est un exercice que je n’aime pas trop. J’ai décliné la proposition. J’ai d’autres projets. L’un a été diffusé à l’automne dernier sur France Télévision. On peut encore le voir sur Youtube. C’est un numéro de Cash Investigation, le magazine de France 2, consacré aux marchands de technologies de surveillance. Je parlais de vidéosurveillance, de biométrie… C’était donc un peu une contre-histoire des technologies de surveillance. Sous Nicolas Sarkozy, il y a quelques années, la loi a été modifiée pour faire de telle sorte qu’on ne parle plus de « vidéo-surveillance » en France mais de « vidéo-protection ». C’était comme si les caméras, sur leurs poteaux, pouvaient protéger des êtres humains victimes d’agressions. Nice était la ville la plus « vidéo-protégée » de France. Dans les jours qui ont précédé l’attentat, cela n’a pas empêché un terroriste de se balader plusieurs fois sur la Promenade des Anglais avec un camion alors que c’est interdit. Il y a des caméras. Elles ne l’ont pas identifié. Estrozi avait déclaré au moment des attentats de Charlie Hebdo que si Paris s’était inspiré du modèle niçois en matière de vidéo-protection, les frères Kouachi n’auraient pas franchi quatre carrefours. Il l’avait dit au conseil municipal à Nice. La preuve en est que les caméras à Nice n’ont pas empêché quelqu’un de franchir deux kilomètres sur la Promenade des Anglais et de faire 80 morts. L’émission pour Cash a été faite avant l’attentat mais j’y parlais de la vidéo-surveillance comme quelque chose qui crée un faux sentiment de protection. Un peu comme tous ces discours anxiogènes sur Internet, la majeure partie des discours qui sont tenus concernant la biométrie, la vidéo-surveillance et les technologies soi-disant censées nous sécuriser, créent un sentiment de sécurité mais n’améliorent pas sensiblement la sécurité. Ce n’est pas de la vidéo-protection ! Au mieux, c’est de la vidéo-élucidation parce que les images de vidéosurveillance peuvent éventuellement contribuer à « élucider » des crimes ou des délits, mais en aucun cas à « protéger » les gens qui en sont les victimes !
J’ai d’autres projets de l’ordre de la contre-histoire appliquées aux fichiers policiers. En France, une personne sur six est fichée comme « défavorablement connue des fichiers de police ». Quasiment personne ne le sait ! Une personne sur six, c’est juste hallucinant ! La réalité du fichage policier en France, c’est ça. J’ai aussi des projets concernant la preuve par l’ADN. Pour beaucoup de gens, la preuve par l’ADN, c’est la preuve ultime, la reine des preuves. C’est scientifique. En fait, la preuve par l’ADN, c’est exactement comme la biométrie : c’est un calcul de probabilité. Un calcul de probabilité, c’est des maths, ce n’est pas de la science. La majeure partie des gens ne le savent pas. Il y a des erreurs judiciaires qui ont été documentées : des gens ont été inculpés à tort parce qu’un expert a dit : « C’est son empreinte génétique qu’on a retrouvé sur la scène de crime ! » et il s’était trompé dans ses calculs de probabilité.
Quelque chose sur lequel je travaille depuis pas mal d’années maintenant, c’est sur ce qu’on appelle les morts aux frontières : tous ces exilés qui essayent de trouver refuge en Europe. On en arrive à 30.000 morts documentées depuis l’an 2000. « Documentées », cela veut dire qu’il y en a beaucoup plus en réalité. J’ai commencé à faire un travail là dessus parce que, depuis Schengen, l’essentiel de la politique européenne et de l’argent des instances européennes va dans la sécurisation des frontières. Or plus on sécurise les frontières, plus cela fait de morts. La solution ne peut pas être de ce côté là.
Dans Les Saintes du scandale (Folio, Gallimard, 2013), l’écrivain Erri De Luca évoque le musée d’Ellis Island qui documente les vagues de l’émigration américaine. Selon lui, à Lampedusa, les autorités ont détruit tout ce qui aurait pu faire partie d’un futur musée de l’émigration. Internet pourrait-il être un espace où se constitueraient ce musée et cette mémoire ?
Il y a un monument et un cimetière à Lampedusa. Une partie de la population fait un travail remarquable. Ils sont vent debout contre les instances européennes. J’ai contribué à faire sur Owni un mémorial des morts aux frontières à une époque où, lorsqu’on parlait des réfugiés morts, c’était du fait divers. à l’époque, il n’y avait que des ONG qui comptabilisaient les migrants. En 2014, on a fait un projet avec Nicolas Kaiser-Bril et d’autres journalistes européens qui s’appelle The Migrants Files. On a fusionné deux bases de données faites par un bloggeur italien et par une ONG aux Pays-Bas. On en est arrivé à ce chiffre, en 2013-2014, de 30.000 morts comptabilisés depuis l’an 2000. Une des choses que nous racontions dans notre enquête, c’est qu’aucune des instances nationales ou internationales, l’Europe, Frontex, les Nations Unies, l’Organisation internationale pour les migrations, ne comptabilisait les morts aux frontières. J’avais contacté un des officiers responsables de Frontex, l’agence en charge de la sécurisation des frontières extérieures de l’Union européenne, pour lui demander comment cela se faisait que, dans leurs rapports annuels, il y avait des tonnes de chiffres sur tous les migrants interceptés, placés en camps de rétention, refoulés dans leur pays et zéro chiffre sur les morts aux frontières. En off, cet officier m’a dit : « Mon boulot, c’est de lutter contre l’immigration illégale. Ces gens-là sont morts, donc ce ne sont plus des migrants. » Pour moi, c’était révélateur de la différence fondamentale de perception géopolitique du monde : j’ai en face de moi quelqu’un payé avec notre argent pour sécuriser les frontières qui, face à quelqu’un qui est mort, ne se pose pas de questions sur les raisons de sa mort. Il est dans une logique verticale. Moi, simple être humain, par ailleurs journaliste, quand je découvre qu’il y a 30.000 morts aux frontières, ça me révulse ! Je ne comprends pas que les instances européennes laissent faire ce massacre sans réagir. Pour cet officier, la question ne se posait même pas. C’est la banalité du mal. C’est Hannah Arendt. Dans le monde horizontal d’Internet tel que je le perçois, on doit réagir contre le monde vertical et cette banalité du mal…
Notre enquête a fait du bruit. Depuis, nos chiffres ont été récupérés par les Nations Unies et par l’Organisation internationale pour les migrations. Aujourd’hui, ces instances comptabilisent au jour le jour les morts dont on arrive à retrouver la trace. Ils ont repris notre travail. C’est probablement une des choses dont je suis le plus fier d’un point de vue journalistique et simplement en tant qu’être humain ! Notre enquête a contribué à changer la donne. Une des hypothèses que j’avais formulées, c’est qu’on ne pourra pas résoudre ce problème des morts aux frontières si on ne le documente pas. Avant l’enquête, ce n’était pas documenté. Depuis, ça l’est par les autorités. C’est un premier pas !
Cette approche qui place l’humain au centre de votre travail est donc constante ?
Pour moi, tous mes projets participent de ce travail de déconstruction qui fait référence au travail d’Howard Zinn évoqué précédemment : généralement, l’histoire est racontée par celui qui a gagné la guerre et ce qui m’intéresse c’est de raconter l’histoire du point de vue de l’être humain. Quand j’ai commencé à me connecter à Internet, Laurent Chemla m’avait dit : « La grosse différence entre Internet et la télévision, c’est que Bill Clinton (il était alors président des Etats-Unis) a une adresse email et toi aussi. » Sur Internet, on est tous égaux ! Ce n’est pas le cas dans les autres médias. Une bonne partie de mon travail journalistique part de ce postulat : ne pas être dans la logique top-down mais dans la logique bottom-up. C’est ce que j’ai essayé de montrer dans La contre-histoire de l’Internet.
Entretien réalisé par Alain Hertay, le 29 juillet 2016
";s:7:"dateiso";s:15:"20170319_172202";}s:15:"20161018_134408";a:7:{s:5:"title";s:37:"L’ARMÉE “ACCRO” À MICROSOFT ?";s:4:"link";s:75:"https://www.lemonde.fr/blog/bugbrother/2016/10/18/larmee-accro-a-microsoft/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=7014";s:7:"pubDate";s:31:"Tue, 18 Oct 2016 11:44:08 +0000";s:11:"description";s:632:"Cash Investigation diffusera ce soir une enquête sur le contrat, qualifié d’« open bar », passé entre Microsoft et le ministère de la défense, et basé sur des documents que j’avais rendu publics en 2013 sur le site du Vinvinteur, une émission de télévision quelque peu déjantée qui m’avait recruté, mais dont le site web a disparu. …Continuer la lecture de « L’ARMÉE “ACCRO” À MICROSOFT ? »
";s:7:"content";s:30285:"Cash Investigation diffusera ce soir une enquête sur le contrat, qualifié d’« open bar », passé entre Microsoft et le ministère de la défense, et basé sur des documents que j’avais rendu publics en 2013 sur le site du Vinvinteur, une émission de télévision quelque peu déjantée qui m’avait recruté, mais dont le site web a disparu. Je me permets donc de republier ladite enquête, consultable sur archive.org, qui archive le web, mais qui n’est pas indexé par Google (& Cie). Il eut été dommage de laisser cette enquête disparaître… Ceux qui voudraient en savoir plus peuvent aussi consulter le site de l’association April de promotion des logiciel libres, qui suit et documente ce contrat depuis des années.
« L’armée capitule face à Microsoft » : confirmant une information du site PCInpact -qui avait levé le lièvre dès 2008-, le Canard Enchaîné a révélé mercredi dernier que l’armée française était sur le point de reconduire un contrat, sans appel d’offres, avec Microsoft. Problèmes : il « coûte cher, augmente les risques d’espionnage et se négocie… dans un paradis fiscal » .
L’association April de défense des logiciels libres, qui dénonce depuis des années l’opacité de ce contrat, et aujourd’hui le fait que l’OTAN imposerait Microsoft et les backdoors de la NSA au ministère de la Défense, vient de recevoir une version censurée de certains des documents évoqués par le Canard Enchaîné. Le Vinvinteur, qui avait ces documents depuis des mois, et qui avait déjà évoqué cet étrange pacte de l’armée française avec Microsoft, a donc décidé de les rendre publics.
En 2007, Microsoft proposait au ministère de la Défense de centraliser les multiples contrats passés entre l’éditeur de logiciels américain et l’armée française. En 2008, un groupe de travail constitué d’une quinzaine d’experts militaires était chargé d’analyser la « valeur du projet » de Microsoft.
Leur rapport, intitulé « Analyse de la valeur du projet de contrat-cadre avec la société Microsoft » et que le Vinvinteur a décidé de rendre public, déplorait que la procédure, passée sans appel d’offres, écartait de facto tout autre concurrent, contrairement à l’esprit et à la lettre du code des marchés publics. Les experts pointaient également du doigt le risque d’ « accoutumance » , de « dépendance » et même d’ « addiction » aux produits Microsoft.
Ils constataient la situation de « monopole confirmé » de l’éditeur, mettant l’armée « à la merci de la politique tarifaire » de l’éditeur de logiciels, et constataient qu’en cas de non-renouvellement du contrat, le ministère de la Défense devrait s’acquitter d’un « droit de sortie équivalent à 1,5 années de contrat » .
Les experts militaires déploraient également le risque de « perte de souveraineté nationale » et de « contrôle par une puissance étrangère » des systèmes informatiques de nos armées. Evoquant le fait que la NSA, le très puissant service de renseignement américain chargé de l’espionnage des télécommunications, « introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels » , le rapport estimait que le système informatique de l’armée française serait dès lors « vulnérable car susceptible d’être victime d’une intrusion de la NSA dans sa totalité » …
Les auteurs du rapport concluaient enfin que « la seule certitude » de l’offre de Microsoft était qu’elle « entraînera un accroissement de 3 M€/an des dépenses de logiciel » , sans qu’aucun gain n’ait été identifié au profit du ministère en matière de retour sur investissement. Et tout en contribuant à un « affaiblissement de l’industrie française et européenne du logiciel » …
Pour les experts militaires, l’offre de Microsoft « est la solution qui comporte le plus de risques rédhibitoires » :
Non contents de constater que l’offre Microsoft (S2) comportait « dix risques rédhibitoires » , les experts militaires pointaient également du doigt « trois critères destructifs » , censés se caractériser par « un seuil au delà duquel le scénario est rejeté » .
En conséquence de quoi, le groupe de travail concluait son rapport en qualifiant l’offre faite par Microsoft de « scénario le plus risqué » , avec un « ROI (retour sur investissement -NDLR) incertain » , ce pourquoi il concluait en écrivant que « ce scénario est donc fortement déconseillé » .
L’armée française et le paradis fiscal irlandais
En dépit de cette « analyse de la valeur » particulièrement sévère de la proposition de contrat, l’armée française n’en signait pas moins un « acte d’engagement » portant sur un marché de « maintien en condition opérationnelle des systèmes informatique exploitant des produits de la société Microsoft avec option d’achat » avec… la filiale irlandaise de l’éditeur américain. Les mauvaises langues disent que cela aurait permis à l’éditeur de logiciels, qui dispose pourtant d’un siège à Paris, juste en face des studios de TF1, d’échapper à la fiscalité française.
Vers « un parc pérenne en solutions Microsoft »
Un courrier estampillé « diffusion restreinte » , signé du général Patrick Bazin, qui commande la Direction interarmées des réseaux d’infrastructure et des systèmes d’information (DIRISI), et daté de janvier 2013, explique ce pour quoi le ministère de la Défense a décidé de renouveler le contrat.
On y apprend ainsi que « le premier contrat cadre du ministère de la défense avec la société Microsoft a pris fin le 22 décembre 2012 » , et que le marché, arrivant à terme en mai 2013, le comité des achats du ministère de la défense mandaté la DIRISI, en février 2012, « pour négocier avec la société Microsoft un nouvel accord-cadre » .
On y découvre également que le choix de solutions Microsoft ne conduit pas « à une dépendance vis-à-vis de cet éditeur » , mais également que « les solutions dites libres n’offraient pas de gain financier notable » .
Dit autrement : le contrat avec Microsoft coûte quand même plus cher que si l’armée avait opté pour des logiciels libres, mais la différence n’est pas suffisamment notable pour que le ministère de la Défense fasse le choix de ne pas renouveler le contrat avec l’éditeur américain.
La DIRISI explique en effet que « les contraintes opérationnelles et d’interopérabilité avec nos alliés imposent des choix Microsoft » , dans la mesure où « l’OTAN a fait le choix des solutions Microsoft pour ses postes de travail » . Et c’est, de même, « dans un souci d’interopérabilité et d’économie » , que la DIRISI demande « d’utiliser les applications de l’OTAN » , ce pour quoi les nouveaux Systèmes d’Information Opérationnels et de Communication (SIOC) français « sont développés et sont en cours de déploiement sur des technologies Microsoft » .
L’argument est pour le moins étonnant, l’interopérabilité désignant précisément la capacité que possède un système informatique à fonctionner avec d’autres produits ou systèmes informatiques, existants ou futurs, et quels que soient les systèmes d’exploitation et logiciels utilisés.
On imagine sans peine les cris d’orfraie que pousseraient militaires, marchands d’arme, sans parler des politiques, des médias et de l’opinion publique, si d’aventure le responsable des achats de l’armée française décidaient de ne plus acheter que des armes made in USA, au motif que la France fait désormais partie de l’OTAN.
Dans le même temps, la DIRISI révèle également dans ce document que plusieurs ministères ou organismes ont « affiché leur volonté d’adhérer au contrat en préparation » , à savoir les ministères du travail et de la santé, ainsi que le Commissariat à l’énergie atomique, la Cour des Comptes et la Direction générale des finances publiques.
Après avoir vérifié auprès de la Direction des Affaires Juridiques (DAJ) « que les conditions d’exclusivité de la société Microsoft étaient toujours réunies, la DIRISI a conduit une négociation en gré à gré » avec Microsoft, ce qui lui permet de nouveau de ne pas procéder à un appel d’offres public.
L’article 35-II-8 du Code des Marchés Publics précise en effet que « les marchés et les accords-cadres qui ne peuvent être confiés qu’à un opérateur économique déterminé pour des raisons techniques, artistiques ou tenant à la protection de droits d’exclusivité » peuvent en effet être négociés « sans publicité préalable et sans mise en concurrence » .
Evoquant des « raisons de confidentialité industrielle et de finalisation des négociations« , le document ne fournit pas d’éléments chiffrés, mais précise néanmoins qu’ « après quatre tours de négociation, la DIRISI est sur le point d’obtenir une réduction des prix de 49% par rapport au tarif SELECT D (en tenant compte d’une remise additionnelle de 20% sur ce dernier, ce qui reste actuellement la meilleure offre constatée pour l’administration) » , ce qui permettra au ministère de disposer d’ « un parc pérenne en solutions Microsoft » .
La transparence de la « grande muette »
Signes supplémentaires de l’opacité de ce contrat, le cabinet du ministre de la Défense a expliqué au Canard Enchaîné n’avoir jamais entendu parler du rapport du groupe d’experts militaires qui avaient « fortement déconseillé » l’offre de Microsoft.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’autorité nationale en matière de sécurité et de défense des systèmes d’information, en charge des questions de cyberdéfense, n’a quant à elle pas été sollicitée pour émettre un avis concernant la pertinence de ce contrat.
La Direction interministérielle des systèmes d’information et de communication (DISIC), chargée de coordonner les actions des administrations en matière de systèmes d’information (notamment en matière d’interopérabilité, et de sécurité), mais également d’encourager les ministères à l’adoption des logiciels libres, nous a expliqué n’avoir elle non plus pas été sollicitée.
Enfin, la gendarmerie nationale, que nous avions sollicité pour expliquer, devant les caméras du Vinvinteur, ce pour quoi elle avait décidé de migrer son parc informatique sur des logiciels libres, entraînant une réduction du budget de 70%, tout en garantissant son indépendance vis-à-vis de tout éditeur, a préféré décliné notre invitation, évoquant un contexte « un peu trop sensible » …
Nous avons tenté de comprendre ce pour quoi un tel contrat, si vertement critiqué par les experts militaires, a pourtant été signé. Pourquoi il a été signé avec Microsoft Irlande, et pas avec sa filiale française. Pourquoi il va être renouvelé, alors que sous couvert d’anonymat, de nombreux militaires le qualifient de « scandale » . Pourquoi le ministère de la défense s’enferre à acheter des logiciels propriétaires, alors que Jean-Marc Ayrault a signé, en septembre dernier, une circulaire (.pdf) dressant les orientations en matière d’usage des logiciels libres dans l’administration. Pourquoi l’armée française, dont le budget, sur fond de crise et de politique d’austérité, est le seul à avoir été sanctuarisé, préfère enrichir une société américaine plutôt que de faire des économies budgétaires, tout en contribuant au développement d’une industrie française des logiciels libres.
Et le moins que l’on puisse dire, c’est que cette affaire soulève plus de questions qu’elle n’apporte de réponses…
Jean-Marc Manach (@manhack sur Twitter).
Voir aussi le Vinvinteur 25 consacré à cette question, les interviews de l’ancien député Bernard Carayon, de Jeanne Tadeusz, de l’APRIL, et tous les liens du Vinvinteur 25.
Les documents
Plusieurs documents avaient déjà été mis en ligne, en 2011, sur un site créé pour analyser la politique de Microsoft en matière d’interopérabilité (cf French Defense IT system under US company control & MS and Public Procurement – Files). A l’exception de PCInpact, qui avait rendu public le rapport (très critique) de la Commission des marchés publics, ils avaient jusque là été injustement ignorés :
Analyse de la valeur du projet de contrat-cadre avec la société Microsoft
Projet de contrat cadre avec la société Microsoft
";s:7:"dateiso";s:15:"20161018_134408";}s:15:"20160913_114346";a:7:{s:5:"title";s:51:"Pour en finir avec la « surveillance de masse »";s:4:"link";s:94:"https://www.lemonde.fr/blog/bugbrother/2016/09/13/pour-en-finir-avec-la-surveillance-de-masse/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=6943";s:7:"pubDate";s:31:"Tue, 13 Sep 2016 09:43:46 +0000";s:11:"description";s:696:"La loi renseignement, adoptée dans la foulée des révélations Snowden sur la « surveillance de masse« , a été présentée par ses opposants comme permettant « une interception de l’ensemble des données des citoyens français en temps réel sur Internet« . La DGSE espionne-t-elle tous les Français ? En a-t-elle le droit, les moyens techniques, et financiers ? #Oupas…? …
Continuer la lecture de « Pour en finir avec la « surveillance de masse » »
";s:7:"content";s:43946:"La loi renseignement, adoptée dans la foulée des révélations Snowden sur la « surveillance de masse« , a été présentée par ses opposants comme permettant « une interception de l’ensemble des données des citoyens français en temps réel sur Internet« . La DGSE espionne-t-elle tous les Français ? En a-t-elle le droit, les moyens techniques, et financiers ? #Oupas…? [tl;dr : non]
C’est le sujet du dernier n° de What The Fact, la websérie qu’IRL (la chaîne des « nouvelles écritures » de France Télévisions) m’a proposé de consacrer au fact-checking.
La vidéo, diffusée sur Rue89, dure 6’30, mais du fait de la complexité du sujet, je ne pouvais pas (vu le format, la durée) y partager toutes les informations (et liens) que j’avais compilé à ce sujet, ce que je vais donc tenter de faire dans ce billet.
Les (très nombreux) opposants à la loi renseignement dénonçaient une « surveillance généralisée d’Internet« , et plus particulièrement une « surveillance massive de l’ensemble de la population » française, au motif que « le projet de loi Renseignement contient deux articles qui permettent une interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet, dans le but de faire tourner dessus des outils de détection des comportements ‘suspects’« .
De fait, je fus l’un des tous premiers journaliste à avoir mentionné les deux articles en question, dans un article intitulé « Pourquoi le projet sur le renseignement peut créer une « surveillance de masse » (j’avais alors mis en gras les passages litigieux) :
Le nouvel article 851-3 du code de la sécurité intérieure autoriserait ainsi, « pour les besoins de la détection précoce d’actes de terrorisme, la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces« .
L’article 851-4 prévoit de son côté, toujours « pour les seuls besoins de la prévention du terrorisme« , de pouvoir « imposer » (sic) aux intermédiaires et opérateurs techniques la mise en œuvre « sur les informations et documents traités par leurs réseaux d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste« .
Dit autrement, il s’agit de pouvoir installer des « boîtes noires » -pour reprendre l’expression formulée au Figaro par des conseillers gouvernementaux- au coeur des réseaux de télécommunications, chargées d’identifier les « comportements suspects« … expression vague s’il en est.
Tout juste sait-on que l’article 851-4 précise que « si une telle menace est ainsi révélée, le Premier ministre peut décider de la levée de l’anonymat sur les données, informations et documents afférents« .
Dans la foulée des révélations Snowden, Le Monde avait déjà affirmé, en « Une », que « la Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l’étranger : la totalité de nos communications sont espionnées« , ce que j’avais alors fact-checké, pour en arriver à la conclusion qu’une telle « surveillance de masse« , sur le territoire national, serait techniquement improbable, financièrement impossible, et légalement interdite (nonobstant le fait que la DGSE est en charge de l’espionnage… à l’étranger).
Depuis, j’ai été amené à effectué cinq autres factchecks d’autres « Unes » du Monde tendant à valider différentes formes de « surveillance de masse » des Français, qui toutes se sont révélées être fausses, en tout cas biaisées, pour en arriver à la conclusion que les révélations Snowden sur la « surveillance de masse » avaient également eu pour contre-coup de créer un climat de « paranoïa généralisée« , qui n’avait pas forcément lieu d’être (cf De la surveillance de masse à la paranoïa généralisée).
Je n’en ai pas moins continuer à creuser, pour tenter de comprendre si la loi renseignement pouvait permettre, comme l’affirmaient ses opposants, l' »interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« , #oupas.
La France compterait quelques 55 millions d’internautes, près de 37 millions de lignes de téléphonie fixe, plus 70 millions de cartes SIM, dont 22 millions de cartes 4G, permettant de surfer sur Internet depuis son mobile, et dont le succès est tel que le volume de données consommées a presque doublé l’an passé (source ARCEP).
Pour mieux mesurer l’ampleur que représenterait une telle tâche, il faut savoir que le volume de données échangées sur Internet, en France, correspondait à l’équivalent du contenu de 4 milliards de DVD (par an), 308 millions (par mois), soit près de 422 346 DVD (par heure), que le trafic de données mobiles, de son côté, représentait l’équivalent de 13 millions de DVD (par mois), ou 148 millions de SMS (par seconde). A quoi il faudrait rajouter le trafic téléphonique… celui qui, accessoirement, intéresse le plus les « grandes oreilles« .
Parlons-en, des « grandes oreilles » : d’après l’académie du renseignement, la DGSE dénombrerait quelque 6000 employés, 3200 à la DGSI, et 127 au Groupement interministériel de contrôle (le GIC, chargé de procéder aux « interceptions administratives« , du nom donné aux écoutes téléphoniques effectuées à la demande des services de renseignement).
Admettons que tout ce beau monde, faisant fi de la vague d’attentats qui touchent la France (notamment) depuis janvier 2015, ainsi que de toutes les autres menaces qu’ils sont pourtant censés tenter de contrer, décide de ne plus surveiller les terroristes (et plus si affinités) à l’étranger, de ne plus écouter djihadistes, dealers et proxénètes en France, pour se focaliser sur l' »interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« .
Dans l’hypothèse improbable où ils travailleraient 24h/24 7j/7, ils devraient, chacun, surveiller 5 896 internautes, et se taper le contenu de 45 DVD, par heure, ou de 15 868 SMS, par seconde… S’ils ne travaillaient qu’aux 35h, ils devraient, chacun, surveiller 28 300 internautes, et vérifier l’équivalent de 216 DVD par heure, ou 76 166 SMS par seconde. Une paille, pour nos SuperDupont.
Certes, ce qui intéresse le plus les services de renseignement, ce sont les méta-données (qui communiquent avec qui, d’où, quand ?), et la surveillance pourrait être automatisée. Encore faudrait-il que les services puissent intercepter, stocker et analyser toutes ces données. Sauf qu’en France, le trafic Internet est particulièrement décentralisé. En l’espèce, et pour pouvoir surveiller tout le trafic Internet en France, il faudrait, « au bas mot« , déployer… 50 000 « boîtes noires« .
MaJ : réagissant à la mise en ligne de la vidéo, ledit ingénieur précise que « Ça dépend vraiment de ce que tu veux capter. Disons qu’en 12 points tu chopes 70%, le reste est diffus« . Ce qui reste à fact-checker, nonobstant le fait que surveiller massivement 70% du trafic Internet franco-français coûterait une blinde (le placement sous surveillance des télécommunications internationales via la vingtaine de câbles sous-marins aurait coûté quelque 500M€), serait a priori illégal, sauf à passer par les fameuses « boîtes noires, qui… n’existent toujours pas (voir plus bas), qui sont limitées à la seule lutte anti-terroriste (contrairement aux systèmes de « collecte de masse » sur les câbles sous-marins), et qui ne permettent de désanonymiser que des « menaces » avérées (contrairement -bis- aux systèmes de « collecte de masse » sur les câbles sous-marins).
Cherchant à estimer le coût d’untel système bouzin, un ingénieur travaillant au cœur des réseaux avait calculé que, pour pouvoir surveiller -et stocker- 1% du trafic Internet français, il faudrait investir, sur 10 ans, quelque 6 milliards d’euros en matériels de stockage, électricité, sondes d’interception, datacenter… et hors frais de personnel. Pas de soucis : le budget annuel de la DGSE est de 700 millions d’euros (dont 60% en frais de personnel), et puis c’est pas comme si c’était la crise.
TL;DR Ca fait 6G€ d'argent public (avec le MTBF stockage) pour voir ma bite. Il suffisait pourtant de demander 16/. pic.twitter.com/bcga8Kds1V
— Jérôme Nicolle (@chiwawa_42) April 8, 2015
Depuis les révélations Snowden, la « surveillance de masse » fait certes peur, mais elle est aussi et de plus en plus rendue impossible, le trafic Internet étant de plus en plus chiffré : Google vient ainsi de révéler que 90% des requêtes effectuées depuis la France étaient chiffrées, tout comme 86% des messages gmail à destination d’autres fournisseurs (et 100% des messages d’utilisateurs de Gmail à d’autres utilisateurs de Gmail), et donc a priori indéchiffrables par la NSA, la DGSE & Cie…
Nonobstant le fait que, et au-delà de ces défis logistiques et techniques, une note de bas de page du rapport 2015 de la délégation parlementaire au renseignement (DPR), publié en février 2016, précise que « les techniques de suivi en temps réel des personnes préalablement identifiées comme présentant une menace et de l’algorithme » (les fameuses « boites noires« ) sont « très compliquées à mettre en oeuvre et (qu’)actuellement, aucun de ces deux instruments n’est mis en oeuvre« … information confirmée par Le Monde, qui écrivait
L’an passé, des milliers d’articles ont été consacrées à ces fameuses « boîtes noires« , qui avaient cristallisé l’opposition au projet de loi renseignement. Le fait qu’elles « n’étaient pas encore opérationnelles » n’a eu les faveurs que de deux articles : un dans Le Monde, un autre dans NextInpact, après que la mission d’information sur les moyens de Daech a elle-même appris que « ces algorithmes destinés à filtrer les communications sont en cours d’élaboration par les services« .
La DGSE dispose bien, cela dit, de systèmes de « collecte de masse » déployés sur la vingtaine de câbles sous-marins qui relient les réseaux de télécommunication français à l’étranger, afin de pouvoir surveiller les communications internationales), via un système mis en place à partir de 2008 et qu’avait très bien décrit le journaliste Vincent Jauvert, dans L’Obs. Il est en effet plus simple de surveiller les communications lorsqu’elles sont ainsi centralisées que d’installer 50 000 « boîtes noires« , et puis c’est moins coûteux : 500M€, quand même…
La loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, qui légalise la « surveillance des communications qui sont émises ou reçues à l’étranger » prévue par la loi renseignement, n’en précise pas moins que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »
La question reste de savoir comment, et plus particulièrement de savoir si ces procédures de « minimisation » sont réellement efficaces. Un rapport vient ainsi de révéler que le BND, le pendant allemand de la DGSE, filtrait bien les n° de téléphone commençant par +49 et les adresses mails de type .de, mais qu’elle serait incapable de proprement « minimiser » les données des Allemands utilisant des serveurs situés à l’étranger, avec des adresses en .com ou .org, et communiquant en anglais… Reste que, et comme l’a montré la prétendue « affaire » de surveillance de Thierry Solère, la DGSE a bien identifié, et mis un terme, à ce qui constituait un « détournement frauduleux des moyens techniques » de la DGSE.
La loi renseignement légalisait par ailleurs l’installation de mouchards, ou logiciels espion, par les services de renseignement, à l’instar de ceux qui avaient été légalisés en 2011 avec la LOPSSI de Nicolas Sarkozy, mais à l’époque pour le seul bénéfice des officiers de police judiciaire. Or, une autre note de bas de page du rapport de la DPR précise que ce dispositif « n’a été que très rarement mis en oeuvre (…) en effet, le passage préalable devant une commission administrative pour autoriser les logiciels entraîne des délais tels que ce dispositif n’a été mis en oeuvre que six fois depuis 2011« . 6 fois, en 5 ans… ça ne nous dit pas combien de logiciels espions ont été exploités par les services de renseignement, mais ça relativise aussi quelque peu la « surveillance de masse« .
Enfin, le rapport 2014 de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée d’autoriser (#oupas) les écoutes téléphoniques « interceptions administratives » réclamées par les services de renseignement, explique que « dans son souci de conserver un caractère exceptionnel aux interceptions de sécurité, le législateur a opté pour une limitation sous forme d’un encours maximum, protecteur des libertés publiques, dans le but d’ «inciter les services concernés à supprimer le plus rapidement possible les interceptions devenues inutiles, avant de pouvoir procéder à de nouvelles écoutes »« , et qui prend la forme d’un quota, ou « contingent maximum« , de cibles écoutables, fixé par le Premier ministre.
De 1180 lignes écoutables en simultané en 1991, ce quota est passé à 1540 en 1997, 1670 en 2003, puis en 2008 à 1840 « cibles » (une « cible » pouvant correspondre à plusieurs cartes SIM utilisées par un seul et même individu), 2190 en 2014 et, suite aux attentats de janvier 2015, à 2700 cibles écoutables en simultané. La CNCIS n’en précisait pas moins que « le nombre d’abonnés à des services mobiles en France était de son côté passé de 280 000 en 1994 à 78,4 millions en juin 2014« , mais également qu' »il convient en outre de souligner l’absence de cas récent de l’emploi de la totalité du contingent général« . En clair : le quota n’a jamais été atteint, sinon dépassé.
En moyenne, ces dernières années, on dénombre ainsi un peu plus de 6000 « interceptions administratives« , par an, et encore : plusieurs d’entre-elles sont des renouvellements, les autorisations étant de 4 mois renouvelables. On est, là encore, bien loin d’une « surveillance de masse« .
En juin dernier, alors que l’on venait tout juste de tourner le module vidéo, Reflets & Mediapart révélaient que le GIC avait déployé, dès 2009, plusieurs milliers de « boîtes noires« . J’en avais entendu parler, mais je n’avais pas réussi à le recouper.
Leur nom de code, « Interceptions Obligations Légales » (IOL), laisse entendre qu’elles seraient encadrées, sinon par la loi, tout du moins par la désormais fameuse jurisprudence créative » de la CNCIS, expression qualifiant ce qu’elle a vérifié, et validé, quand bien même aucun texte de loi, discuté au Parlement, ne l’ait autorisé : je ne peux que le déplorer, et n’ait de cesse de tenter de le documenter, mais en matière de renseignement (ainsi que de fichiers policiers), les « techniques de renseignement » sont généralement mises en oeuvre avant que d’être légalisées.
En tout état de cause, ni la loi renseignement, ni l’infrastructure décentralisée de l’Internet en France, ne permettent (techniquement et financièrement) ni n’autorisent (légalement) une « interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« , a fortiori par la DGSE, chargée de l’espionnage à l’étranger.
Pour autant, et comme j’ai tenté de l’expliquer en commentaires d’un autre article de Reflets consacré à IOL, une chose est de se doter des moyens susceptibles de permettre au GIC de pouvoir « surveiller n’importe qui« , une autre est de vouloir « surveiller tout le monde« … La vidéosurveillance n’a pas pour vocation de faire de la « surveillance de masse« , et je ne vois pas ce pourquoi les techniques de renseignement en iraient autrement.
En juillet dernier, une énième loi anti-terroriste a autorisé le recueil en temps réel des données de connexion des personnes, non seulement « préalablement identifiée comme présentant une menace » comme ce fut le cas avec la loi renseignement, mais aussi des personnes « préalablement identifiée (comme) susceptible d’être en lien avec une menace« .
La question n’est plus de savoir si l’on a « rien à cacher » : il suffit en effet de communiquer avec quelqu’un qui communique avec une « cible » pour pouvoir être surveillé. De N+1, on passe à N+2 -la NSA allant, de son côté, jusqu’à N+3 (voir Pourquoi la NSA espionne aussi votre papa (#oupas)).
Depuis des années, je n’ai de cesse de déplorer la diabolisation d’Internet en général (cf Les internautes, ce « douloureux probleme », ou notre documentaire, Une contre-histoire de l’internet), et du chiffrement en particulier (cf Les terroristes sont des internautes comme les autres, ou Crypto: pourquoi l’ex-chef de la NSA défend Apple).
Je ne peux de même que déplorer la diabolisation des services de renseignement. Pour le coup, et depuis les révélations Snowden, je vois autant de propos biaisés et caricaturaux au sujet du chiffrement que de propos plutôt parano au sujet des services de renseignement.
La notion de « surveillance de masse » a pu laisser entendre que les services de renseignement surveillaient, massivement, des pans entiers de la population. C’est probablement vrai sur certains théâtres d’opération et zones de guerre, quand bien même il est raisonnablement difficile d’imaginer que quelques milliers de personnes puissent réellement surveiller des dizaines de millions d’internautes et d’utilisateurs de téléphone portable.
Ce qui intéresse vraiment les services de renseignement, ce n’est pas de surveiller massivement la population, mais de disposer de systèmes de « collecte de masse » leur permettant de pouvoir « surveiller n’importe qui« , ce « n’importe qui » étant par ailleurs et bien souvent des ordinateurs, plus que des êtres humains.
Bernard Barbier, l’ex-directeur technique de la DGSE, l’explique très bien dans la conférence qu’il avait accordé à Supélec en juin dernier, et où il expliquait notamment comment, en 2008, il avait reçu 500M€ et pu recruter 800 ingénieurs afin de déployer le système français de surveillance de l’Internet, profitant de « la capacité de stocker pas cher, et de calculer pas cher« , ce qu’il qualifie de « bon technologique absolument fondamental » :
« Ce qu’on appelle le ‘Big Data’ amène une capacité d’intrusion énorme sur les citoyens : on peut savoir quasiment tout ce que vous faites avec vos téléphones portables et ordinateurs; effectivement, on est un ‘Big Brother’. Maintenant, c’est aux hommes politiques, et aux citoyens, de décider ce que l’on veut faire.
Moi, en tant qu’ingénieur, j’ai expliqué aux politiques ce que l’on peut faire : jamais l’homme n’a eu une capacité d’intrusion telle, qui n’a jamais existé dans l’histoire de l’humanité, après c’est à vous de décider quelle est la balance entre votre vie privée et votre sécurité. »
Dans l’interview parue dans Libé qu’il avait accordée à Pierre-Olivier François pour son documentaire « Cyberguerre, l’arme fatale ? » (que vous pouvez toujours voir sur YouTube et auquel, full disclosure, j’avais contribué), Barbier expliquait que « les Chinois ont bon dos : beaucoup de pays se font passer pour des Chinois !« . Et c’est précisément au sujet des Chinois que vient l’un des passages les plus intéressants. A 49’30, interrogé sur la menace que représenterait la Chine en matière de cyber-attaques, il revient sur ce pourquoi la Chine, au-delà du Big Data, s’était elle aussi lancée dans la guerre et l’espionnage informatique :
« Tout est écrit. Un colonel de l’armée chinoise a écrit un mémoire en 1995 qui explique que la Chine n’arrivera pas à dépasser les Américains, en matière de course à l’armement, avant 50-60 ans, au vu de leur avance technologique, et du coût gigantesque que cela représente.
Or, l’informatique devient quelque chose de prégnant dans tous les systèmes militaires, et une des solutions pour revenir au niveau des Américains, c’est la guerre et l’espionnage informatique, parce que le coût est faible, parce qu’il faut des cerveaux, et qu’il y en a beaucoup plus en Chine qu’aux USA.
L’armée populaire de Chine a donc créé une cyber-army à partir des années 1997-1998. Ils se sont aperçus que les Américains étaient très mal protégés, ils ont recruté des milliers de hackers, et ils ont lancé des attaques extrêmement massives sur toutes les sociétés d’armement. Pour la petite histoire, ils ont par exemple complètement espionné Areva. »
Étrangement, on voit que la vidéo a été coupée à cet instant précis (52’20), sans que l’on sache s’il s’est agi d’un problème technique, ou d’une coupe motivée par les propos tenus par Bernard Barbier, et qui ne sauraient être rendus publics. L’attaque d’Areva avait été révélée le 29 septembre 2011 par L’expansion, qui évoquait alors une « origine asiatique » et, pire, qu’elle durait depuis deux ans.
Plus tard, un étudiant lui demanda si la DGSE avait repéré l’attaque visant Areva en surveillant Areva : « Non, ce n’est pas en surveillant Areva : si vous avez des « grandes oreilles », vous voyez passer tous les paquets IP, vous prenez les méta-données, que vous analysez pour pouvoir remonter à des attaques informatiques, à des signatures » :
« Beaucoup de malwares (logiciels malveillants -NDLR), pour faire fuir les informations en toute discrétion, vont établir un tuyau avec un serveur de command and control (CC) et les faire remonter de façon chiffrée. Or, le fait de chiffrer les informations apporte une signature, et quand vous avez ces signatures dans votre ‘Big Brother système’, dans vos pétaoctets de données, vous savez que ce malware a été injecté dans un ordinateur à tel endroit.
Quand vous prenez une fibre optique qui transporte des millions de communications, vous prenez toute la fibre optique, donc vous voyez tout passer; après il peut y avoir un débat, nous notre rôle c’était de traiter et d’analyser ces méta-données pour identifier ce qui pouvait représenter une menace pour la France.
Le problème de l’Internet, c’est que les flux IP, ils passent n’importe où, avec les routeurs, le protocole BGP, donc si vous voulez avoir une capacité importante, il faut quasiment tout prendre, et pour la cyberdéfense c’est extrêmement important parce que vous voyez tous les flux qui viennent vous attaquer. »
C’est la première fois qu’est ainsi décrit, succintement mais publiquement, le système de surveillance de l’Internet mis en place par la DGSE, qualifié de « Big Brother » par celui-là même qui l’a mis en place, en 2008, même si, comme il l’explique à 1’05’10, « Je pense que ‘Grandes oreilles’ c’est mieux que ‘Big Brother’ : je suis très très fier d’avoir créé ces ‘grandes oreilles’ françaises parce que c’est quelque chose de fondamental actuellement. »
Revenant sur l’attaque informatique de l’Elysée, Bernard Barbier raconte également qu’alertée par son responsable informatique (un ancien de la DGSE), la direction technique y avait placé des « sondes » sur la passerelle (« gateway« ) reliant le réseau élyséen à Internet, qu’elle y observa des « choses anormales, de faux paquets IP« , et qu’elle y reconnu la signature d’un logiciel espion (« malware« ) qu’elle avait déjà identifié lors d’une précédente attaque informatique visant la Commission européenne, en 2010.
A l’époque, ses équipes de rétro-ingénierie avaient conclu, au vu de la complexité de l’attaque, qu’elle ne pouvait provenir que des Américains ou des Russes. Entre-temps, explique Barbier, les capacités d’interception des flux Internet de la DGSE avait augmenté :
« Dans le système, ce qui est assez redoutable, c’est que quand vous interceptez massivement, vous ne conservez pas le contenu, c’est impossible, avec les conversations téléphoniques, y’a trop de mégabits, on ne conserve que les métadonnées, qui expliquent tout ce que vous faites sur Internet.
Avec ce stock de données, on peut faire plein de choses, et on a pu retracer la signature de ce malware, les pays où il avait été utilisé, et j’en ai conclu, compte tenu de sa complexité, que ça ne pouvait être que les Etats-Unis. »
Der Spiegel a depuis révélé, en 2013, que l’attaque émanait en fait du GCHQ, le partenaire et homologue britannique de la NSA, avec qui il partage cette suite de logiciels espions, qu’Edward Snowden nous a permis de découvrir qu’elle répondait au nom de code Quantum.
En tout état de cause, le système présenté par Barbier s’apparente plus au système XKeyscore de la NSA, à savoir un système de « collecte de masse » des méta-données permettant aux analystes du renseignement de rechercher des signatures, des traces, des identifiants, qu’à un système de « surveillance de masse » de la population, façon « Big Brother« .
Placés dans de mauvaises mains, détournés par des individus mal intentionnés, de tels systèmes pourraient bien évidemment être utilisés pour espionner des quidams lambda. Il est à ce titre plutôt étonnant de voir qu’il a fallu attendre ce mois d’août, trois ans après le début des révélations Snowden, pour que The Intercept publie la première histoire d’un quidam lambda espionné par la NSA, au motif qu’il participait à des réunions pro-démocratie aux îles Fidgi.
Les révélations Snowden montrent l’ampleur des moyens techniques déployés par la NSA et ses pairs pour pouvoir « collecter » un maximum de données, à la manière des « experts » de la police technique et scientifique, pas qu’elles « surveillent » massivement des pans entiers de la population façon « Big Brother« .
Ce que n’expliquent pas, ou mal, les révélations Snowden, c’est que si la NSA ou la DGSE peuvent être ainsi amenées à chercher, de leurs propres chefs, les « signatures » de tels ou tels ordinateurs ou malwares, impliqués dans des attaques cyber telles que celle qui avait visé le réseau informatique de l’Élysée, les êtres humains qui sont « ciblés » (et donc surveillés, voire espionnés) par les services de renseignement, le sont parce qu’ils ont été désignés comme tels par leur hiérarchie et, in fine, par le pouvoir exécutif.
Dit autrement : le problème, ce n’est pas tant la NSA, ou la DGSE, que ce que les pouvoirs publics leur demandent de faire. En l’espèce, le Parlement a donc autorisé, en juillet dernier, nos services de renseignement à surveiller les N+2, et donc ceux qui communiquent avec ceux qui communiquent avec les « cibles » validées par les autorités.
Pour autant, il ne s’agit pas d’une « surveillance massive de l’ensemble de la population » française, de façon indiscriminée. Mais d’une potentielle « surveillance de masse » des méta-données de tous ceux qui communiquent avec des personnes qui communiquent avec les quelque 20 000 personnes fichées S, voire plus si affinités, les « cibles » des services de renseignement ne se bornant pas aux seuls « fichés S« .
Reste que la probabilité que vous communiquiez avec quelqu’un qui communiquerait avec une « cible (ou) menace) » résidant à l’étranger est moindre que celle que vous communiquiez avec une « cible » résidant sur le territoire national, que vous risquez donc plus d’être surveillé par la DGSE que par la DGSI, et que vous risquez encore plus d’être surveillé par la NSA, le GCHQ & Cie (qui n’ont pas à respecter le droit français), et encore plus d’être espionné par vos conjoints, employeurs, collègues et parents qui, eux, disposent d’un accès physique à vos ordinateurs et téléphones, et pourraient donc y installer un logiciel espion.
Mai 2008, mon tout premier tweet : « Vous êtes en état d’interception. Toutes vos télécommunications pourront être retenues contre vous. »
"Vous êtes en état d'interception : toutes vos télécommunications pourront être retenues contre vous"
— jean marc manach (@manhack) May 9, 2008
2015, la dernière planche de ma BD, « Grandes oreilles et bras cassés » (voir les bonnes feuilles) :
Continuer la lecture de « Les terroristes sont des internautes comme les autres »
";s:7:"content";s:13819:"Les terroristes djihadistes qui ont frappé en France ont acheté des armes dé- puis re-militarisées, des couteaux, mais aussi des pizzas, de l’essence, des billets d’avion… Ils ont aussi loué des voitures, un camion, des chambres d’hôtel, reçu et envoyé SMS, appels téléphoniques, utilisé la messagerie instantanée Telegram, Twitter et Facebook, et donc souscrit des abonnements téléphoniques et Internet. Certains percevaient même des allocations sociales.
Il est possible que certains aient utilisé des logiciels de chiffrement afin de sécuriser leurs télécommunications, mais rien n’indique que cela ait pu jouer un rôle clef dans la préparation de leurs attentats, ni que cela ait pu empêcher les autorités de les anticiper, et entraver.
The Grugq, l’un des plus fins observateurs des moyens utilisés par les djihadistes pour sécuriser leurs télécommunications (#oupas, en fait), n’a de cesse de documenter le fait qu’ils ne s’y connaissent pas vraiment en matière de sécurité informatique, et qu’ils privilégient surtout le fait d’utiliser des téléphones portables à carte prépayée et non reliés à leur identité.
Pour autant, et depuis le massacre de Charlie Hebdo, politiques & médias n’ont de cesse de fustiger Internet en général, et les logiciels de chiffrement en particulier. Olivier Falorni, député divers gauche, vient ainsi de déclarer que « les géants du Net sont complices tacites, collaborateurs passifs de Daech« , et qu' »on a l’impression qu’un certain nombre d’applications sont devenus des califats numériques » (sic)…
Je n’ai jamais entendu dire que les loueurs de voiture et de chambres d’hôtel, les opérateurs téléphoniques et fournisseurs d’accès Internet, les vendeurs de pizzas, de couteaux et d’armes démilitarisées payaient des gens pour lutter contre le terrorisme, contrairement à Google, Facebook et Twitter qui, eux, paient certains de leurs salariés pour surveiller voire effacer des contenus incitant à la haine (qu’elle relève du terrorisme, du harcèlement ou du racisme).
En quoi les « géants du Net » seraient-ils plus des « califats numériques complices tacites, collaborateurs passifs de Daech » que les loueurs de voiture ou de chambres d’hôtel, opérateurs téléphoniques, fournisseurs d’accès Internet, vendeurs de pizzas, de couteaux et d’armes démilitarisées ?
Pourquoi ceux qui fustigent de la sorte Internet en général, et certaines app’ en particulier (a fortiori lorsqu’elles sont étrangères), ne s’offusquent-ils pas de même du fait que les terroristes ont pu louer, en toute impunité, voitures et chambres d’hôtel, acheter des téléphones et s’abonner auprès de fournisseurs de téléphonie (a fortiori alors qu’il s’agit là d’opérateurs français opérant sur le territoire national qui, et contrairement à Google, Facebook & Twitter, ne paient personne pour lutter contre le terrorisme) ?
Et n’est-il pas un tantinet ironique de voir que ces mêmes contempteurs des internets voudraient que des entreprises privées, de droit (généralement) américain, se substituent à la Justice française en censurant des contenus de manière préemptive, au risque de les voir censurer des comptes tout à fait légitime ?
Il y a quelques années, j’avais écrit que « les internautes sont les « bougnoules » de la république« , que « le problème des internautes, c’est ceux qui n’y sont pas ou, plus précisément, ceux qui s’en défient et n’en ont qu’une vision anxiogène, ceux pour qui les blogs et réseaux sociaux du « web 2.0 » sont la « banlieue du Net, une cité de la peur« où ne peuvent aller que ceux qui y ont grandi… et encore » :
« Encore plus précisément, le problème ce sont tous ces décideurs politiques et relais d’opinions médiatiques qui n’ont de cesse de faire du FUD, acronyme de Fear Uncertainty and Doubt (littéralement « peur, incertitude et doute), technique de « guerre de l’information » initiée par IBM et consistant à manipuler l’opinion en disséminant des informations négatives, biaisées et dont l’objet est de détourner l’attention de ce que la technologie en question offre de perspectives constructives. »
Adel Kermiche, l’un des deux tueurs du prêtre de Saint-Etienne-du-Rouvray, utilisait ainsi Twitter et Facebook, mais ce qui semble aujourd’hui intéresser les médias, c’est Telegram, parce qu’il s’agit d’une messagerie instantanée permettant -par ailleurs- de communiquer de façon sécurisée, parce que chiffrée.
Corinne Audouin, sur France Inter, explique ainsi qu' »il y communiquait avec 200 personnes, grâce à des messages chiffrés qui ne passent pas par un serveur« … quand bien même la FAQ de Telegram précise que les messages partagés en groupes (« jusqu’à 200 membres« ) y sont chiffrés sur le « cloud » (et donc les serveurs) de Telegram, contrairement aux « chat secret » qui, eux, sont effectivement chiffrés sur les téléphones portables de leurs utilisateurs…
Rien n’indique par ailleurs qu’Adel Kermiche ait communiqué via ce genre de « secret chat« , son utilisation de Telegram se bornant (à ce stade de l’enquête) au fait de partager ses états d’âme sur un « groupe » qui, censé être sécurisé et permettre des conversations auto-destructibles, n’a pas empêché L’Express d’en publier des copies d’écran…
Les terroristes sont des internautes comme les autres. Ils cherchent donc à protéger leur vie privée, à l’instar des 100 millions d’autres utilisateurs mensuels de Telegram, ou encore de ces responsables politiques qui, eux aussi, et comme le soulignait récemment L’Express, utilisent Telegram pour se protéger d’une éventuelle interception des communications.
Les logiciels de chiffrement sont devenus mainstream « grand public » depuis les révélations Snowden. Il y a un avant et un après Snowden, et il serait temps d’en prendre la mesure : seule une infime minorité des utilisateurs de messageries chiffrées se réclament de l’État islamique.
Est-il besoin de rappeler que l’ANSSI, en charge de la cyberdéfense en France, recommande de sécuriser et de chiffrer ses données ? Ou encore que plusieurs hauts responsables du renseignement, dont l’ex-chef de la NSA, prirent la défense d’Apple dans son combat contre le FBI, au motif qu’il est impératif de pouvoir chiffrer -et donc sécuriser- ses données ?
Quand le sage regarde la lune, le singe regarde le doigt. La paille, la poutre… Ce que j’ai tenté d’expliquer sur France Info, qui voulait m’interviewer à cet effet. L’article qu’ils en ont tiré ne reflétant pas les subtilités de ce que j’essayais d’expliquer, en voici la version in extenso (si le player ne se lance pas, vous pouvez allez l’écouter sur archive.org) :
Accessoirement, il faudrait aussi rappeler que, et contrairement à ce que l’on entend ici ou là, le darknet est trop compliqué pour les terroristes, et ils ne s’en servent guère, comme l’expliquait récemment Mireille Ballestrazzi, directeur central de la police judiciaire, auditionnée à l’Assemblée : « le dark web, qui apparaît peu adapté au prosélytisme de masse, est, de ce fait, relativement peu utilisé par l’organisation« .
Si les terroristes s’y connaissaient vraiment en sécurité informatique, ils n’utiliseraient pas Telegram, mais plutôt WhatsApp ou, mieux, Signal. En tout état de cause, et si vous désirez les utiliser de façon sécurisée, suivez les conseils de thegrugq pour correctement paramétrer Telegram, WhatsApp et Signal.
Voir aussi les bonnes feuilles de ma BD, « Grandes oreilles et bras cassées« , et sur ce blog :
#SolereGate : s’il vous plaît… dessine-moi un espion !
Le darknet est trop compliqué pour les terroristes
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Valls tragique à Milipol : 100 morts (pour l’instant)
De la surveillance de masse à la paranoïa généralisée
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)
Les terroristes sont des ratés comme les autres
Continuer la lecture de « #SolereGate : s’il vous plaît… dessine-moi un espion ! »
";s:7:"content";s:19143:"Une semaine après que Le Monde ait révélé que la DGSE a « surveillé » et même « espionné » Thierry Solère en mars 2012, lorsqu’il fut exclu de l’UMP pour avoir osé se présenter contre Claude Guéant, qui était à l’époque ministère de l’Intérieur, l’affaire commence à faire pschitt. Il suffit en effet de comparer les titres avec le contenu des articles du Monde pour voir que l’affaire a été pour le moins survendue. Elle n’en soulève pas moins plusieurs questions (voir aussi la MaJ suite au classement sans suite de l’enquête judiciaire).
Dans son enquête intitulée « Comment la DGSE a surveillé Thierry Solère« , Le Monde précisait en effet que « des moyens de la DGSE ont été utilisés, hors de tout contrôle, pour surveiller M. Solère, candidat dissident« , mais également que « la surveillance n’a été interrompue qu’après la découverte fortuite de son existence par la direction technique (DT) de la DGSE (qui) a les moyens de remonter la piste de toutes les requêtes« , tout en laissant entendre que ce n’était pas la DGSE en tant qu’administration qui avait espionné le futur député, mais un (ou plusieurs) bras cassés de sa direction du renseignement qui auraient intercepté « les communications de Français – ce qui leur est interdit« .
L’article précise à ce titre que « Pascal Fourré, le magistrat attaché à la DGSE, prend parti pour la direction technique, et milite aussi pour que ces interceptions sur les citoyens français ne puissent plus être faites « en premier rang », c’est-à-dire sans être soumises à la Commission nationale de contrôle des interceptions de sécurité (CNCIS)« , ce que confirme dans la foulée Erard Corbin de Mangoux, directeur de la DGSE qui, toujours d’après le quotidien, « tranche en faveur de la direction technique et de M. Fourré« , et bloque la possibilité technique de pouvoir surveiller des identifiants français.
Premier pschitt : l’article explique donc le contraire de ce qu’avance le titre. La DGSE, en tant qu’administration, n’a pas « surveillé Thierry Solère« , mais découvert qu’il l’avait été, en toute illégalité, par un ou plusieurs de ses analystes du renseignement, et mis fin à cette surveillance. Reste que c’est moins vendeur que de laisser entendre que « la DGSE a surveillé Thierry Solère« .
Le lendemain, dans un article intitulé « Comment la DGSE a pu espionner des Français« , Le Monde se faisait d’ailleurs encore plus clair, évoquant cette fois un « détournement frauduleux des moyens techniques de ce service de l’Etat« , et la découverte, par la direction technique de la DGSE, que « des officiers de la direction du renseignement peuvent procéder à des interceptions d’identifiants français, sans contrôle et sans justification« , en entrant sur leurs recherches « des 06 et des adresses françaises, une pratique qui a pu être détournée au profit de surveillance n’ayant aucun rapport avec leur mission« .
La DGSE est en effet, et comme son nom l’indique, en charge du renseignement extérieur. Et l’on peine en effet à comprendre pourquoi et comment Claude Guéant (qui nie toute implication dans cette affaire), aurait pu faire une telle requête auprès de la DGSE (qui n’a de compétence qu’à l’international, et relève du ministère de la défense), et non aux renseignements généraux de la préfecture de police de Paris, ou à la DGSI (alors dirigée par le fidèle Squarcini), seuls compétents sur le territoire national et dépendants, eux, du ministère de l’Intérieur… et donc de Claude Guéant.
L’article du Monde se conclue en notant qu' »au terme d’un vif débat interne à la DGSE, la direction technique installera, à la fin de l’été 2012, des filtres sur les consultations informatiques interdisant d’y introduire « en première requête », des identifiants français« . Or, ladite DT, dont les techniques de renseignement utilisées sur le territoire nationale doivent être validées par la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée de contrôler les demandes d’écoute émanant des services de renseignement, et contrôlées par le Groupement interministériel de contrôle (GIC), en charge des interceptions administratives (les écoutes téléphoniques réclamées par les services de renseignement), avait mis en place de tels filtres dès 2008, comme l’avait souligné le journaliste Vincent Jauvert dans l’Obs lorsqu’il avait révélé, en juillet 2015, que la DGSE avait à cette date déployé un système de surveillance des télécommunications internationales.
Evoquant un accord passé entre la DGSE et la CNCIS, un « officiel » alors interrogé par Jauvert expliquait que « si, par le hasard des routes internet, on tombe sur un échange entre des interlocuteurs ayant des identifiants (numéro de téléphone, adresse IP…) français, cette communication est automatiquement rejetée du système. Si l’un d’eux seulement est dans ce cas et s’il intéresse les services, la DGSI prend le relais de l’écoute après autorisation de Matignon et de la CNCIS« . L’Obs soulignait cela dit qu’il était « impossible de savoir si cette clause est respectée, ni même si la commission de contrôle est capable de vérifier qu’elle l’est« .
L’article du Monde montre que la DT n’en aurait pas moins détecté une utilisation frauduleuse du système, en 2012. Et la loi relative à la surveillance internationale, adoptée en novembre dernier, entérine cette pratique qui, jusqu’alors, n’était encadrée que par un décret secret, précisant à ce titre que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »
Le Monde évoquait également l’article 20 de la loi de 1991 sur les écoutes téléphoniques, qui excluait du champ de compétence de la CNCIS « la surveillance et le contrôle des transmissions empruntant la voie hertzienne« , laissant entendre que la DGSE pouvait surveiller « des numéros français ou des adresses Internet rattachées à la France« . Or, la jurisprudence de la CNCIS était très claire, et ce depuis la fin des années 1990 : en aucun cas l’article 20 de la loi de 1991 ne peut être invoqué pour recueillir les données personnelles non plus que des « communications individualisables« , comme l’avait rappelé Jean-Paul Faugère, directeur de cabinet de François Fillon, fin 2010 après que la DCRI s’en soit servi pour accéder aux fadettes de Gérard Davet, le journaliste du Monde qui enquêtait sur les affaires Woerth-Bettencourt.
Or, et c’est le deuxième effet pshitt, si ce que d’aucuns qualifient de « SolereGate » a entraîné des tombereaux d’articles dans la presse, aucun journaliste ne semble avoir fait l’effort de demander à Thierry Solère quel était, à l’époque, son opérateur téléphonique. Il suffisait pourtant de le lui demander, et pour le coup, il s’agit d’Orange, tout comme Gérard Davet.
Et il serait d’autant plus douteux et improbable que les responsables des obligations légales d’Orange, qui venaient d’avoir eu chaud aux fesses pour avoir accepté, dans le dos de la CNCIS et du GIC, de confier les fadettes de Davet à la DCRI, aient pu ainsi accepter de collaborer de la sorte avec la DGSE, alors même que Bernard Squarcini venait précisément d’être mis en examen, en octobre 2011, soit quelques mois avant l’affaire Solère, pour « atteinte au secret des correspondances », « collecte illicite de données » et « recel du secret professionnel » dans l’affaires des fadettes de Davet (il a depuis été condamné à 8000€ d’amende pour « collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite », passible d’une peine maximale de cinq ans de prison et 300 000 euros d’amende, et n’a pas fait appel).
La remise en contexte du timing est d’autant plus importante que, début décembre 2011, Le Monde avait également révélé que l’inspection générale des services (IGS) avait elle aussi exploité les fadettes de Gérard Davet et de… Jacques Follorou, le journaliste du Monde à l’origine de l’affaire Solère, rendant d’autant plus improbable un éventuel détournement de l’article 20 de la loi de 1991 en mars 2012.
Une source proche des services de renseignements a déclaré la semaine passée à l’AFP que les services extérieurs français « vont faire preuve de toute la transparence et l’ouverture nécessaire » dans l’enquête ouverte par le parquet de Paris après les révélations du Monde, et même que « la DGSE se réjouit de l’ouverture de cette enquête (et) espère que toute la lumière sera faite et l’exacte vérité rétablie« .
Mieux : la DGSE qui, après vérification dans ses fichiers, nie en bloc, « espère que les conclusions de cette enquête conduiront chacun à rendre compte de ses propos, au besoin devant la justice« , sans que l’on sache si c’est Le Monde qui, accusant la DGSE au premier chef, avant d’évoquer un « détournement frauduleux des moyens techniques de ce service de l’Etat« , serait visé, ou bien tous ceux qui, dans la foulée, ont bêtement copié/collé son titre erroné et sensationnaliste, sans rappeler que la DGSE n’a ni demandé ni obtenu de placer Thierry Solère sous surveillance mais bien, dixit Le Monde lui-même, mis précisément un terme à cette surveillance.
Reste donc, cela dit, à savoir comment cette surveillance, illégale, aurait été techniquement rendue possible sans que le GIC ni la CNCIS ne s’en rendent compte, jusqu’à ce que la DT de la DGSE n’y mette un terme.
Mais aussi pourquoi ni le GIC ni la CNCIS n’en auraient alors été tenues informées.
Pourquoi les filtres et mécanismes censés écraser les communications des identifiants français n’auraient pas fonctionné, et ce qui aurait changé suite à cette affaire, voire depuis l’adoption de la loi sur la surveillance internationale.
Et, comme vient de le souligner le Canard Enchaîné, pourquoi Matignon n’a pas voulu saisir l’Inspection des services de renseignement (ISR) dont la création, en 2014, s’inscrivait pourtant dans « un processus visant à garantir l’équilibre entre les objectifs de sécurité et le respect des libertés individuelles et de la vie privée« , soit précisément ce que révèle aussi en creux cette affaire Solère.
Le Canard révèle également que Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR, qui a succédé à la CNCIS) allait elle aussi mener des investigations à ce sujet, « pour s’assurer que les faits allégués par Le Monde ne peuvent pas se produire aujourd’hui« . On en saura donc plus lors de la publication de son premier rapport, à l’automne prochain.
MaJ : En réponse à un recours des éxégètes amateurs portant sur la « surveillance secrète par la DGSE (2008-2015), le ministère de la défense vient de prétendre (.pdf) qu' »aucun décret non publié relatif aux mesures de surveillance des communications internationales n’a été édicté, que ce soit antérieurement ou postérieurement à l’adoption de la loi n° 2015-1556 du 15 novembre 2015« … Je peine à croire que la DGSE ait pu déployer de tels systèmes de « collecte de masse » sans se border par un texte signé par les responsables politiques d’alors (aka Nicolas Sarkozy).
L’avocat de Thierry Solère, de son côté, vient d’annoncer qu’il allait porter plainte.
MaJ : l’enquête à été classée sans suite le 30 novembre 2016 pour « absence d’infraction », au motif que « les investigations approfondies (…) n’ont démontré l’existence d’aucune surveillance technique de Thierry Solère par la Direction générale de la sécurité extérieure » (DGSE).
La question reste donc de savoir pourquoi Le Monde s’était-il d’abord fait l’écho d’un placement sous surveillance de Thierry Solère par la DGSE, avant d’évoquer, le lendemain, un « détournement frauduleux » de ses moyens techniques, auquel la DGSE avait mis un terme…
Ladite « absence d’infraction » pose également la question de savoir s’il y a bien eu « détournement frauduleux », dans la mesure où l’on peine à croire que, s’il a eu lieu, il n’ait pas été sanctionné en interne, voire notifié à la CNCIS et/ou au Conseil d’État.
Parce qu’en l’espèce, cette « absence d’infraction » peut se traduire de deux façons : soit Le Monde a monté en épingle un incident ne pouvant être qualifiée d’infraction, soit la DGSE (voire la CNCIS, et le Conseil d’État) a fait le ménage en interne de sorte d’éviter que ledit incident ne puisse être qualifié d’infraction devant la justice… l’un n’excluant pas forcément l’autre.
Force est cela dit de constater que, et contrairement à ce qui se passe en Grande-Bretagne et aux Etats-Unis par exemple, les précédents rapports de la CNCIS ne comportaient aucune information concernant les mésusages des techniques de renseignement, qu’il s’agisse de détournements frauduleux ou d’erreurs par inadvertance ou inattention. La CNCTR gagnerait à être plus transparente à ce sujet, et permettrait de répondre à ces questions.
MaJ : voir aussi De la surveillance de masse à la paranoïa généralisée, qui reprend l’ensemble de mes 7 fact-checks ès-DGSE &/ou NSA.
Voir aussi les analyses de Jean Guisnel, « A qui profite cette fable ?« , et Jean-Dominique Merchet, pour qui, « Boulevard Mortier, on reste très interrogatif sur cet article, jugé à la fois « faux » et « insultant » » et, sur ce blog :
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Le darknet est trop compliqué pour les terroristes
DDAI, la discrète cagnotte des « fonds spéciaux »
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)
Continuer la lecture de « Le darknet est trop compliqué pour les terroristes »
";s:7:"content";s:6873:"« Ceux qui nous frappent utilisent le Darknet et des messages chiffrés pour accéder à des armes qu’ils acquièrent en vue de nous frapper », affirmait récemment Bernard Cazeneuve à l’Assemblée. Or, Cryptopolitik and the Darknet, une étude de Thomas Rid et Danny Moore, respectivement professeur et thésard en cybersécurité au département de la guerre du King’s College London, vient tempérer ce genre d’affirmations péremptoires.
Après avoir développé un robot pour analyser et indexer les « services cachés » en .onion uniquement accessibles grâce au navigateur et réseau sécurisé Tor, les deux chercheurs ont découverts que la majeure partie de ces sites web anonymes (2 482) étaient inaccessibles ou inactifs, 1021 n’avaient rien d’illicite, 423 relevaient du trafic de drogue, 327 du blanchiment d’argent, de fausse monnaie ou de n° de CB volés, 140 d' »idéologies extrêmistes« , 122 de pornographie illégale, 118 de portails indexant les sites accessibles en .onion, et 42 la vente d’armes.
« La chose la plus surprenante fut de découvrir une si faible présence des militants et extrêmistes« , a déclaré Thomas Rid au magazine Quartz. De fait, l’une des découvertes les plus notables de leur étude est précisément « notre confirmation de la quasi-absence de l’extrémisme islamique sur les services Tor cachés, avec moins d’une poignée de sites actifs ».
Pour les deux chercheurs, cette faible présence s’explique par le fait que les terroristes sont des internautes comme les autres et que « les djihadistes utilisent internet comme tout le monde », comme le soulignait récemment David Thomson.
« Les services cachés sont lents, et pas aussi stables qu’on pourrait l’espérer. Ils ne sont pas si faciles à utiliser, et il existe d’autres alternatives« , explique Rid à Quartz. « En terme de propagande et de communication, ils sont moins utiles que d’autres alternatives« .
De plus, et contrairement aux réseaux sociaux et aux sites web classiques, ils ne touchent pas grand monde, on ne peut pas les trouver par hasard ou via Google.
Reste que sur les 2723 sites actifs, 1547 relevaient de contenus illicites, soit 57%. Ce qui signifie aussi, et à rebours de ce que l’on entend d’ordinaire dès qu’il s’agit du darknet, que 43% des sites en .onion n’ont rien d’illicite…
Une autre étude, plus récente, portant sur 13 000 sites, révélait que seule la moitié relevait d’activités illégales, déconcertant là aussi son auteur : « Cela nous a vraiment surpris. On pensait que ce serait bien pire« , expliquait Eric Michaud, CEO de Darksum, une entreprise spécialisée dans la surveillance du darknet, qui a également découvert que les services cachés étaient régulièrement utilisés par des communautés cherchant des espaces ultraprivés pour se socialiser, évoquant notamment des forums de fandom furry, qui aiment se déguiser en animaux à fourrure :
« Ces gens veulent rencontrer des personnes partageant les mêmes intérêts, sans qu’ils puissent être reliés à leurs véritables identités, parce que cela pourrait se retourner contre eux. Par exemple, il existe des forums pour les trans’, qui y partagent les détails de leurs vies quotidiennes.«
Un documentaire sur le Darknet qui sera prochainement diffusé sur France 4 fait de même parler une journaliste arabe qui ironise sur la diabolisation qui est faite du Darknet, dans la mesure où c’est précisément là que vont se réfugier militants ou personnes LGBT notamment, de sorte de pouvoir converser sans risquer d’être arrêtés et inculpés, comme ils pourraient l’être s’ils discutaient « en clair« .
Le fait que, en octobre 2014, Facebook ait lancé son propre https://facebookcorewwwi.onion/, accessible uniquement via TOR, n’est donc qu’un des nombreux exemples illustrant le fait que, suite notamment aux révélations Snowden, de plus en plus de gens ont besoin de pouvoir rester anonymes pour se socialiser, discuter et échanger. Reste qu’on ne pourra plus réduire le Darknet à ses seules utilisations illégales ou illicites.
Maj, 10/11/2016 : Researchers Claim the Darknet Has More Legal Sites Than Illegal Ones.
";s:7:"dateiso";s:15:"20160401_173116";}s:15:"20160331_192832";a:7:{s:5:"title";s:52:"Crypto: pourquoi l’ex-chef de la NSA défend Apple";s:4:"link";s:98:"https://www.lemonde.fr/blog/bugbrother/2016/03/31/crypto-pourquoi-lex-chef-de-la-nsa-defend-apple/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=6827";s:7:"pubDate";s:31:"Thu, 31 Mar 2016 17:28:32 +0000";s:11:"description";s:612:"Le fait que le FBI ait pu débloquer l’iPhone du tueur de San Bernardino ne signe pas, loin de là, la fin de la saga opposant le FBI à Apple (et autres acteurs de la Silicon Valley en particulier, et du chiffrement en général). On vient ainsi d’apprendre que le FBI aurait fait 63 autres …Continuer la lecture de « Crypto: pourquoi l’ex-chef de la NSA défend Apple »
";s:7:"content";s:9600:"Le fait que le FBI ait pu débloquer l’iPhone du tueur de San Bernardino ne signe pas, loin de là, la fin de la saga opposant le FBI à Apple (et autres acteurs de la Silicon Valley en particulier, et du chiffrement en général). On vient ainsi d’apprendre que le FBI aurait fait 63 autres demandes plus ou moins similaires, un peu partout aux Etats-Unis (voir l’enquête (et la carte) de l’ACLU, une des principales ONG de défense des droits de l’homme aux USA)…
Dans une interview vidéo accordée à l’American Enterprise Institute, un think tank conservateur, Michael Hayden, qui dirigea la NSA de 1999 à 2005, puis la CIA entre 2006 et 2009, expliquait récemment ce pourquoi il comprenait et même soutenait Apple face à la demande du FBI, qui voulait pouvoir disposer d’un logiciel permettant de passer outre le mécanisme de chiffrement des iPhone.
Etrangement, ladite vidéo ne recense que 4270 « vues« , et tout aussi étrangement, les médias francophones ne semblent pas avoir relayé son point de vue, pourtant largement relayé par les médias anglo-saxons.
L’analyse de Michael Hayden est d’autant plus instructive que c’est lui qui développa une bonne partie des programmes de surveillance de la NSA mis en cause par Edward Snowden, celui qui expliqua que les USA « tuaient des gens à partir des méta-données » (vous pouvez activez les sous-titres en anglais si vous n’êtes pas parfaitement bilingue) :
« Je défends Apple. Du point de vue de la sécurité, au vu de la variété de menaces auxquelles l’Amérique doit faire face, je pense qu’il faut être prudent, parce que cela ouvrirait largement les possibilités de dégrader son système incassable de chiffrement point à point.
Jim Clapper, le directeur du renseignement américain, a déclaré que la première menace à laquelle nous faisons face, c’est la menace cyber. En tant que professionnel de la sécurité, je pense qu’on ferait mieux de ne pas introduire de trou de sécurité dans un système sécurisé de chiffrement. »
Interrogé sur le fait que les autorités ont pourtant le droit d’entrer dans les maisons des personnes considérées comme « suspectes« , Michael Hayden rétorque que « oui, mais là vous êtes en train de demander aux compagnies technologiques de fabriquer une clef permettant d’entrer dans les 320 millions de maisons… Cette clef n’ouvrirait pas que ma maison. Cette clef ouvrirait toutes les maisons. »
Udo Helmbrecht, le directeur de l’ENISA (l’Agence européenne chargée de la sécurité des réseaux et de l’information), qui s’oppose lui aussi à la création de « portes dérobées » qui permettraient aux services de sécurité d’accéder aux systèmes de communication chiffrés, ne dit pas mieux :
« Ce que nous entendons aujourd’hui est la réaction typique après un incident, les gens réagissent et utilisent parfois les événements pour leurs propres objectifs. Nous avons déjà des règles pour ce type d’affaires, mais elles ne sont pas assez utilisées.
Si vous créez une porte dérobée dans les systèmes de cryptage, comment pouvez-vous vous assurer que les criminels et terroristes ne l’utiliseront pas ? C’est comme de quitter sa maison en sachant que quelqu’un d’autre a la clé. »
Michael Hayden reconnaît que les services de renseignement et de sécurité auront certes un accès moindre au contenu des télécommunications et de nos « ordiphones« , mais « l’accès au contenu sera de plus en plus difficile, quoi que nous fassions dans cette affaire » :
« C’est le sens inévitable du progrès technologique, mais si l’on obligeait les compagnies US à satisfaire à la demande du FBI, les solutions de chiffrement se délocaliseraient à l’étranger.
Regardez : Apple collabore régulièrement avec les autorités, et leur a confié énormément de données, parce qu’Apple y avait accès parce que les suspects utilisaient des produits Apple. Elles étaient dans le système Apple.
Si on force Apple à collaborer, les entreprises étrangères récupéreront le marché, et nous aurons encore moins accès aux données. »
Revenant sur la Clipper chip, cette puce conçue par la NSA permettant à ses utilisateurs de sécuriser leurs données (mais aussi à la NSA de pouvoir y accéder), que l’administration Clinton avait tenté (en vain) d’imposer dans les 90, Michael Hayden explique également que cet échec ouvrit paradoxalement les « 15 plus belles années en matière de surveillance électronique« , dans la mesure où, confiants de pouvoir utiliser du matériel informatique exempt de backdoor, les internautes ont dès lors commencer à créer des « océans de données et de méta-données, et qu’avec les méta-données, on peut faire énormément de choses » :
« Donc pour répondre à votre question, nous aurons accès à moins de contenu. Mais cela ne veut pas dire que nous aurons accès à moins de renseignement. »
Voir aussi, à ce titre, « DON’T PANIC » Making Progress on the « Going Dark » Debate, un récent rapport qui montre que, si de plus en plus d’internautes chiffrent leurs données (même et y compris à l’insu de leur plein gré : 83% des messages de Gmail à destination d’autres fournisseurs, 73% des messages d’autres fournisseurs à destination de Gmail, et 77% des requêtes effectuées sur les serveurs de Google -81% en France- sont chiffrées), l’explosion de l’internet des objets, et des méta-données associées, permettra aux services de sécurité et de renseignement de continuer à pouvoir enquêter, surveiller voire espionner.
MaJ : Robert Hannigan, le directeur du GCHQ (l’équivalent britannique de la NSA) s’est lui aussi prononcé contre l’insertion de backdoor dans les logiciels de chiffrement. La CNIL aussi, le SGDSN également.
";s:7:"dateiso";s:15:"20160331_192832";}s:15:"20160325_143115";a:7:{s:5:"title";s:55:"DDAI, la discrète cagnotte des « fonds spéciaux »";s:4:"link";s:95:"https://www.lemonde.fr/blog/bugbrother/2016/03/25/ddai-la-discrete-cagnotte-des-fonds-speciaux/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=6806";s:7:"pubDate";s:31:"Fri, 25 Mar 2016 13:31:15 +0000";s:11:"description";s:692:"Le Canard Enchaîne de ce 23 mars 2016 révèle que depuis plus de 10 ans, les services de renseignement abondent leurs « fonds spéciaux » en puisant dans une discrète cagnotte destinée à couvrir des « dépenses accidentelles et imprévisibles« . L’info figure dans le rapport annuel de la Délégation Parlementaire au Renseignement, et plus précisément dans le tout …Continuer la lecture de « DDAI, la discrète cagnotte des « fonds spéciaux » »
";s:7:"content";s:16189:"Le Canard Enchaîne de ce 23 mars 2016 révèle que depuis plus de 10 ans, les services de renseignement abondent leurs « fonds spéciaux » en puisant dans une discrète cagnotte destinée à couvrir des « dépenses accidentelles et imprévisibles« .
L’info figure dans le rapport annuel de la Délégation Parlementaire au Renseignement, et plus précisément dans le tout « premier rapport public de la commission de vérification des fonds spéciaux » (CVFS), composée de 4 parlementaires, créée en 2002 et qui a été rattachée à la Délégation Parlementaire au Renseignement suite au vote de la loi de programmation militaire en 2013 :
« Depuis son premier exercice en 2002, la CVFS n’avait jamais publié de rapport public, la loi ne le prévoyant pas mais ne l’interdisant pas explicitement non plus. Le présent document constitue donc une première dont la survenance paraît nécessaire.
En effet, (…) nous estimons que le contrôle parlementaire s’exerce certes au profit du Parlement, mais avant tout à destination de nos concitoyens qui ont le droit et le besoin de connaître – pour reprendre une terminologie juridique fréquente en ce domaine – les actions conduites en leur nom ou, à tout le moins, les supports financiers de ces opérations ».
La CVFS n’en déplore pas moins que « la réforme de 2001 s’est traduite par un recul dans les capacités de contrôle des fonds spéciaux en même temps que par un élargissement de la liste des services soumis à ce contrôle ».
Elle attire également l’attention du Premier ministre « sur l’impérieuse nécessité de revaloriser au moins à hauteur de 50% le montant octroyé aux services de renseignement [recommandation n°10] » dans la mesure où « les budgets octroyés aux services de renseignement ont connu une progression appréciable et conforme à la reconnaissance de la fonction stratégique assumée ainsi qu’à la hausse de leur activité, la Commission constate que les fonds spéciaux n’ont pas bénéficié d’une revalorisation alors même qu’ils financent la partie la plus sensible de l’activité de ces administrations« .
La CVFS a en effet découvert que, pour faire face à cette situation, les services de renseignement (la DGSE en tête) ont, sinon détourné depuis des années, tout du moins procédé à un « recours routinisé » (sic) aux « DDAI« , une ligne budgétaire de « décrets de dépenses accidentelles et imprévisibles » initialement conçus pour des motifs écologiques et humanitaires :
« Conçus pour faire face à des dépenses urgentes et imprévisibles telles les catastrophes naturelles ou sanitaires, ces décrets sont pris en application du programme budgétaire 552 (Dépenses accidentelles et imprévisibles), l’une des deux composantes de la mission Provisions.
Ce programme se caractérise par une souplesse avantageuse : contrairement aux autres leviers d’aménagements budgétaires à disposition de l’exécutif (loi de finances rectificative, décrets d’avance, virements et transferts entre programmes, dégel de crédits mis en réserve) qui supposent de recueillir l’avis et/ou l’accord de différentes institutions, les DDAI ne sont pas soumis aux mêmes obligations. En effet, les fonds affectés au programme 552 relèvent d’un simple décret du Premier Ministre pris sur rapport du ministre chargé des Finances.
Ces documents ne font pas nécessairement l’objet d’une publication, notamment lorsqu’ils relèvent de la Défense nationale. Ils sont d’ailleurs fréquemment utilisés pour financer des opérations extérieures, s’éloignant quelque peu de l’épure du droit selon la Cour des comptes. Dans le même ordre d’idées, ils ont permis, depuis 2009, d’acquérir un immeuble, de financer la campagne de vaccination contre le virus H1N1, de consulter les habitants sur le projet du Grand Paris, de payer des crédits de personnel en fin d’année…
En sus de sa souplesse, le programme se caractérise par l’absence d’évaluation et de contrôle prévus par la LOLF au regard des objectifs poursuivis (parer à l’imprévisible). Seul le contrôle des fonds spéciaux, lorsque des DDAI concernent des services de renseignement, introduit une nuance à ce propos. »
Or, « la CVFS a constaté le recours systématique à des DDAI afin de financer, au-delà du déclenchement de la crise, des dépenses qui, avec le temps, deviennent prévisibles », ce que la CFVS qualifie de « cercle vicieux dans la mesure où la crise dure généralement plus longtemps que le décret (…). En conséquence, la Commission réaffirme son désir de voir la dotation en fonds spéciaux accrue de manière conséquente afin d’intégrer le montant cumulé des DDAI et d’offrir aux services concernés une gestion plus saine et sereine de leurs budgets sur le moyen terme. Pareille décision permettra de limiter le recours aux DDAI et de le restreindre à son objet principal : la gestion temporaire de l’imprévisible [recommandation n°18]. »
En 2007, un rapport de la commission des finances rappelait que si la dotation des DDAI, « comme son nom l’indiquait clairement, avait pour objet de prévoir les crédits nécessaires à des dépenses accidentelles, imprévisibles et surtout urgentes (…) liées à des catastrophes naturelles, en France ou à l’étranger, ou à des événements extérieurs qui nécessiteraient le rapatriement de ressortissants français (…) votre rapporteur spécial et la Cour des comptes se rejoignent pour juger qu’il est peu orthodoxe d’utiliser une dotation pour dépenses accidentelles et imprévisibles pour régler des dettes pourtant bien prévisibles ».
Évoquant une « mauvaise utilisation des crédits (qui) menace le principe de la sincérité budgétaire« , le rapporteur mettait alors en garde « contre les éventuels « détournements » dont cette dotation aurait pu faire l’objet« , pratique qui avait d’ailleurs déjà « été dénoncée par la Cour des comptes dans son rapport sur les résultats et la gestion budgétaire de 2006″, et qui « ne devrait plus se reproduire à l’avenir. »
En novembre 2008, Yves Fromion, président de la Commission de vérification des fonds spéciaux, n’en proposait pas moins, de son côté, d’avoir précisément recours aux DDAI pour abonder les fonds spéciaux : « la justification de l’emploi des fonds spéciaux s’est révélée satisfaisante (et) toutes les dépenses contrôlées paraissant correspondre strictement à un objet opérationnel bien défini. Quant au montant de la dotation des fonds spéciaux, qui s’établit dans le projet de loi de finances à 48,9 millions d’euros, elle me paraît répondre à l’essentiel des besoins, en particulier de la DGSE, sous réserve naturellement des compléments que pourrait nécessiter la gestion de crises, par nature imprévisibles. Les ressources destinées à ces abondements pourraient d’ailleurs, si nécessaire, être versées aux fonds spéciaux par répartition de la dotation pour dépenses accidentelles et imprévisibles »…
De fait, les DDAI ont dès lors abondé les fonds spéciaux :En 2008, la commission des finances relevait ainsi que trois DDAI avaient « permis d’abonder, à hauteur de 7,46 millions d’euros (en AE et CP), les fonds spéciaux employés au financement d’opérations menées par la direction générale de la sécurité extérieure (DGSE) ».En 2009, 19 millions d’euros ont été prélevés sur la provision pour dépenses accidentelles et imprévisibles : 11,5 millions d’euros pour indemniser certaines collectivités locales de dégâts provoqués par des intempéries ; 7,5 millions d’euros pour abonder les fonds spéciaux.En 2010, la dotation des fonds spéciaux s’élevait en LFI 2010 à 53,9 M€, mais plusieurs DDAI l’ont abondé de 11,2M€ supplémentaires.En 2011, la dotation de la sous-action « Fonds spéciaux et GIC » s’élevait en à 53,9 M€. Et si la Cour des Comptes relevait (.pdf) qu »‘aucun décret pour dépenses accidentelles ou imprévisibles n’a été publié en 2011″, elle n’en relevait pas moins que « seuls deux décrets non publiés allouant des crédits de paiement aux fonds spéciaux de 11,28 M€, montant constatable par la différence entre les crédits ouverts et les crédits restants, ont été pris »… tout en constatant que les DDAI représentaient désormais plus de 20% du montant des fonds spéciaux :
« Il est d’usage que des dépenses d’opérations extérieures de la DGSE soient financées sur la mission provision. La direction du budget n’est pas informée des motifs précis d’utilisation de ces fonds, les rapports de motivation des décrets étant couverts par le « secret défense ». Sans remettre en cause le caractère urgent et imprévisible des demandes formulées par la DGSE, la Cour constate que les crédits affectés aux fonds spéciaux en 2011 représentent 21 % du budget des fonds spéciaux votés en 2011 (53,9 M€) ».
En novembre 2012, la Commission des Finances relevait que « Les crédits ouverts en loi de finances initiale pour 2012 s’élevaient à 51,7 millions d’euros. Ils ont par la suite été modifiés sous l’effet d’un dégel de la réserve de précaution, de deux décrets pour dépenses accidentelles et imprévisibles et d’un décret de transfert en provenance du ministère de la Défense et portés à 65 millions« , tout en soulignant qu' »Il est habituel que des abondements en gestion interviennent. La DGSE en demeure la principale bénéficiaire« .
En 2013, la Commission des Finances entérinait le dispositif : « les crédits programmés initialement en 2013 s’élevaient à 49 725 077 euros. La prévision de consommation, sous l’effet de trois décrets pour dépenses accidentelles et imprévisibles (9 966 000 euros), a été portée à 59 691 077 euros et devrait atteindre 68 804 077 euros. Il est habituel que des abondements en gestion interviennent. La DGSE en demeure la principale bénéficiaire. »
En 2014, elle relevait que « des abondements de crédits ont majoré les dotations des fonds spéciaux de 23,5 millions par cinq décrets pour dépenses accidentelles et imprévisibles et un décret de transfert. La consommation des crédits de fonds spéciaux s’est élevée à 73,4 millions d’euros, en augmentation au regard de celles de 2013 (68,8 millions) et 2012 (68,3 millions), pour une dotation initiale de crédits de 49,9 millions ».
La commission des finances anticipait même la prévisibilité du recours aux décrets de dépenses accidentelles et imprévisibles : « Les crédits programmés initialement en 2015 s’élevaient à 49,9 millions d’euros, comme en 2014. La prévision de consommation, sous l’effet de deux décrets pour dépenses accidentelles et imprévisibles (14 millions) a été portée à 58,4 millions d’euros. »
Plus généralement, elle remettait également en question l’utilité même de la présente mission : « L’absence de doctrine d’emploi, la faiblesse des montants inscrits sur la mission et l’existence d’autres dispositifs permettant de faire face à des dépenses urgentes et imprévues (mise en réserve, auto-assurance) conduisent à s’interroger sur la nécessité de doter la mission ».
Pour autant, cette routinisation du détournement des DDAI rencontrait quelques résistances ces derniers temps. En 2013, la commission des finances avait ainsi rappelé que la Cour des comptes jugeait « globalement irrégulière l’utilisation des crédits en 2012 » et qu’elle préconisait de « limiter l’utilisation de la dotation pour dépenses accidentelles de la mission « Provisions » aux situations de calamités ou aux dépenses réellement imprévisibles ».
Dans sa Note d’analyse de l’exécution budgétaire 2014, la Cour des comptes relevait de son côté que « l’utilisation des crédits (DDAI, NDLR) n’est qu’accessoirement en rapport avec l’objet de la mission tel que défini à l’article 7 de la LOLF : la gestion des calamités et les rémunérations décidées tardivement« , tout en concédant « un usage modéré de cette souplesse : une trentaine de millions d’euros de CP et entre une dizaine et une centaine de M€ en AE consommées par an pour traiter un nombre limité de situations d’urgence : crises humanitaires, attribution des fonds spéciaux, signature des baux dont la signature n’est possible qu’en disposant rapidement d’autorisations d’engagement couvrant la totalité de leur durée, résolution de dysfonctionnements informatiques inopinés sur les rémunérations ».
La Cour des comptes n’en rappelait pas moins que « lors de la discussion du projet de loi de finances initiale pour 2008, le ministre du Budget, des Comptes publics et de la Fonction publique s’était engagé à «réserver l’utilisation de la provision pour dépenses accidentelles et imprévisibles aux seules dépenses présentant un caractère d’urgence et résultant de la survenance d’aléas climatiques et sanitaires». »
Dans son rapport 2015, la CVFS relève que « ces positions sont réaffirmées chaque année dans le rapport sur l’exécution du budget de l’Etat par mission et programme« … et demande donc à y mettre terme. Sauf que pour y parvenir, il faudrait donc « revaloriser au moins à hauteur de 50% le montant octroyé aux services de renseignement« …
";s:7:"dateiso";s:15:"20160325_143115";}s:15:"20160128_172828";a:7:{s:5:"title";s:53:"Un clandestin se cachait Place Beauvau depuis… 1972";s:4:"link";s:101:"https://www.lemonde.fr/blog/bugbrother/2016/01/28/un-clandestin-se-cachait-place-beauvau-depuis-1972/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=6774";s:7:"pubDate";s:31:"Thu, 28 Jan 2016 16:28:28 +0000";s:11:"description";s:729:"Ce 27 janvier, journée européenne des données personnelles fêtée par les CNIL de toute l’UE, le Canard Enchaîné révélait l’existence d’un nouveau fichier policier clandestin créé en… 1972. OSIRIS, pour « outil et système d’informations relatives aux infractions sur les stupéfiants« , fichier créé par un arrêté publié au JO le 19 janvier dernier pour établir des …Continuer la lecture de « Un clandestin se cachait Place Beauvau depuis… 1972 »
";s:7:"content";s:9151:"Ce 27 janvier, journée européenne des données personnelles fêtée par les CNIL de toute l’UE, le Canard Enchaîné révélait l’existence d’un nouveau fichier policier clandestin créé en… 1972.
OSIRIS, pour « outil et système d’informations relatives aux infractions sur les stupéfiants« , fichier créé par un arrêté publié au JO le 19 janvier dernier pour établir des statistiques sur, « par exemple, le nombre de trafiquants de cocaïne, le nombre de trafiquants selon leur âge et un type de produit déterminé, le nombre de trafiquants localisés dans un département déterminé, etc.« , permet également et « par exemple une représentation graphique des quantités saisies par département ou par région, du nombre de trafiquants ou d’usagers par produit, etc. » grâce au futur système de cartographies et d’information géographique (SIG) en cours de développement par le ministère de l’intérieur.
Or, à l’occasion de sa déclaration, la CNIL a découvert qu’OSIRIS « est mis en œuvre depuis 2006 par l’Office central pour la répression du trafic illicite des stupéfiants (OCRTIS)« , et que cela faisait donc au moins que 10 ans qu’il fonctionnait illégalement.
Voire : le site de l’Observatoire français des drogues et des toxicomanies, un groupement d’intérêt public créé pour « éclairer les pouvoirs publics, les professionnels du champ et le grand public sur le phénomène des drogues et des addictions« , avance de son côté qu’il existe depuis… 1972, qu’il est devenu « fichier nominatif depuis 1990« , qu’il s’appelait alors Fichier national des auteurs d infractions à la législation sur les stupéfiants (FNAILS) avant d’être renommé OSIRIS en 2007. Soit 26 ans d’illégalité. Un record.
Mis devant le fait accompli, le gendarme des fichiers se retrouve réduit dans son avis à rappeler le gouvernement à « l’impérieuse nécessité de la saisir préalablement à la mise en œuvre d’un traitement« , comme le prévoit expressément la loi, dans la mesure où elle « ne peut dès lors que déplorer la déclaration très tardive de ce traitement, déjà mis en œuvre depuis plusieurs années« .
Ce n’est en effet pas la première fois, loin de là, qu’un fichier policier est légalisé des années après avoir été créé. Le système JUdiciaire de Documentation et d’EXploitation (JUDEX), le casier judiciaire bis de la gendarmerie, avait ainsi été créé en 1985, mais légalisé qu’en 2006, après 21 ans de clandestinité. La CNIL avait également déjà « regretté » de découvrir que le « logiciel d’uniformisation des procédures d’identification » (LUPIN), qui lui avait été soumis en octobre 2014, avait été « mis en œuvre depuis plusieurs années, (et) déclaré si tardivement« .
Même son de cloche pour la plate-forme de signalement IGPN, déclarée en avril 2014 et dont la Commission avait « regretté qu’il ait été mis en œuvre avant même qu’elle se soit prononcée sur le projet d’arrêté« , ainsi que pour le « bureau d’ordre de l’action publique et des victimes » (BOAPV) de la direction des affaires criminelles et des grâces, créé en février 1994, mais déclaré qu’en février 2012, ou encore pour GASPARD, le fichier de reconnaissance biométrique faciale du ministère de l’Intérieur, dont elle avait appris l’existence au détour de la déclaration d’un autre fichier, alors qu’il n’avait « pas fait l’objet des formalités prévues par la loi » informatique et libertés.
Comme le Canard l’avait alors souligné, ladite loi, adoptée en 1978 pour -précisément- protéger les citoyens français du fichage policier, a en effet été modifiée en 2004 de sorte que le gouvernement, s’il doit toujours demander son avis de la CNIL dès lors qu’il veut créer un « fichier de sûreté« , n’ait plus à en tenir compte. Sa seule obligation : publier l’avis de la CNIL au JO… Depuis, le nombre de fichiers a explosé.
En 2006, le groupe de travail sur les fichiers de police et de gendarmerie présidé par Alain Bauer recensait 34 fichiers. En 2009, les députés Delphine Batho et Jacques-Alain Bénisti, mandatés par l’Assemblée suite au scandale du fichier Edvige, en avait de leur côté répertoriés 58, soit une augmentation de 70% en trois ans, et découvert qu’un quart d’entre-eux ne disposaient d’aucune base légale, faute d’avoir été déclarés à la CNIL.
Un comble, pour des fichiers de police judiciaire. En 2011, j’en avais comptabilisé 70, dont 44 créés depuis l’arrivée de Nicolas Sarkozy au ministère de l’Intérieur, en 2002 (cliquez sur l’image pour accéder au tableur).
Depuis, Nicolas Sarkozy a fusionné (ce fut même sa dernière action en tant que président de la République, le jour de l’élection de François Hollande) les deux principaux fichiers, le STIC et JUDEX, alors qu’ils sont réputés pour être truffés d’erreur, dans l’indifférence générale (voir Pour la CNIL, 18% des Français sont « suspects »), et aucun recensement mis à jour n’a été effectué.
Le moteur de recherche de Legifrance, le service public de la diffusion du droit, n’en répertorie pas moins de 33 décrets, 45 arrêtés et 67 délibérations faisant référence à l’article 41 de la loi informatique et libertés, qui encadre l’accès aux traitements qui intéressent « la sûreté de l’État, la défense ou la sécurité publique« .
La loi informatique et libertés avait pourtant expressément été adoptée suite à un autre projet clandestin de fichier policier, SAFARI (pour « Système automatisé pour les fichiers administratifs et répertoires des individus« ). Allez, circulez.
";s:7:"dateiso";s:15:"20160128_172828";}s:15:"20150925_155240";a:7:{s:5:"title";s:56:"Valls tragique à Milipol : 100 morts (pour l’instant)";s:4:"link";s:99:"https://www.lemonde.fr/blog/bugbrother/2015/09/25/valls-tragique-a-milipol-100-morts-pour-linstant/";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=5702";s:7:"pubDate";s:31:"Fri, 25 Sep 2015 13:52:40 +0000";s:11:"description";s:728:"Fin 2013, j’avais accepté de m’auto-censurer. Manuel Valls était ministre de l’Intérieur, et j’avais la preuve qu’il courtisait (et cherchait à commercer avec) des ministres de l’Intérieur de pays autoritaires (sinon totalitaires), dont un au moins, le ministre de l’Intérieur du Bahreïn, avait, sinon du sang sur les mains, tout du moins près d’une centaine …Continuer la lecture de « Valls tragique à Milipol : 100 morts (pour l’instant) »
";s:7:"content";s:25140:"Fin 2013, j’avais accepté de m’auto-censurer. Manuel Valls était ministre de l’Intérieur, et j’avais la preuve qu’il courtisait (et cherchait à commercer avec) des ministres de l’Intérieur de pays autoritaires (sinon totalitaires), dont un au moins, le ministre de l’Intérieur du Bahreïn, avait, sinon du sang sur les mains, tout du moins près d’une centaine de morts à son « actif« .
J’avais écrit un article à ce sujet, et finalement accepté de ne pas le publier pour ne pas alerter les autorités sur ce que nous voulions révéler. Je travaillais en effet avec Jean-Pierre Canet, Benoit Bringer et Arthur Bouvart pour un numéro de #CashInvestigation consacré aux marchands de (soi-disant) « solutions » de sécurité surfant sur le « business de la peur« .
Entre autres révélations, nous avons également découvert que des gendarmes français ont formé les policiers de Bahreïn pendant les émeutes de 2011, et réussi à franchir le sas de sécurité reposant sur le passeport biométrique avec de fausses empreintes digitales.
Notre enquête est désormais (et enfin) disponible, Manuel Valls a depuis été nommé Premier ministre, le prochain salon Milipol aura lieu du 17 au 20 novembre 2015, occasion de publier l’enquête que j’avais accepté de ne pas publier, ainsi que l’édifiant supplément vidéo de ce n° de Cash Investigation, qui n’a été diffusé que sur le web.
Vous y entrapercevrez notamment les responsables d’Advanced Middle East SYStem, le faux-nez qui a racheté le système de surveillance de masse Eagle d’Amesys, au sujet duquel j’ai longuement écrit sur ce blog & pour OWNI, et que Futuropolis m’a permis de raconter dans une BD sortie cet été, Grandes oreilles & bras cassés, et dont FranceTV vient de publier les bonnes feuilles.
article écrit en novembre 2013
Les organisateurs de Milipol, le principal « salon mondial de la sécurité intérieure des Etats« , co-organisé par le ministère de l’Intérieur, fin novembre, en banlieue parisienne, étaient fiers d’annoncer que Manuel Valls avait inauguré son édition 2013 en présence de « pas moins de 17 ministres de l’Intérieur en provenance d’Europe, d’Asie, du Proche-Orient ou d’Afrique« . Ils se sont par contre bien gardés de préciser leurs pedigrees.
La photographie affichée en « une » de « Milipol News » (le journal diffusé auprès des visiteurs du salon) ainsi que les images partagées par Milipol sur Facebook, Twitter, Flickr puis YouTube, montrent, à la droite de Manuel Valls, trois moustachus aux crânes plus ou moins dégarnis, dont un en costume gris.
Shameful of the French government to invite #Bahrain‘s Minister of Interior to shop for weapons at @Milipol_Paris pic.twitter.com/QcGnlB1zho
— Bahrain Watch (@BHWatch) 19 Novembre 2013
« Honte au gouvernement français d’avoir invité le ministre de l’intérieur du Bahreïn pour faire du shopping d’armements à Milipol »
La photographie partagée par Milipol sur Twitter a fait bondir l’ONG Bahrain Watch, et permis d’identifier le monsieur moustachu en gris comme étant Rashid bin Abdulla Al Khalifa, ministre de l’Intérieur du Bahreïn, un des 12 pays estampillés « ennemis de l’Internet » par Reporters Sans Frontières, classé 165e (sur 179) dans son classement mondial de la liberté de la presse, qui bloque l’accès à plus de 1000 sites web et qui, depuis juin 2012, a infligé 118 mois de prison cumulés à 13 internautes en raison de ce qu’ils avaient écrit, notamment sur les réseaux sociaux.
Dans ce tout petit royaume du Golfe persique, la répression ne vise pas que les internautes : les policiers anti-émeutes (formés par des CRS français) dispersent les manifestants à coups de plombs de chasse (type chevrotine), tirent des grenades lacrymogènes en visant la tête de manifestants et/ou « à l’intérieur » des maisons (quitte à tuer des gens), torturent & embastillent les défenseurs des droits de l’homme; entre autres :
Si le « printemps arabe » bahreïni a fait bien moins parler de lui que ceux qui ont (eu) lieu dans d’autres pays, c’est notamment parce que l’armée américaine y dispose d’une énorme base militaire et qu’elle préfère donc fermer les yeux sur les exactions qui y ont lieu. Mais aussi parce que 220 journalistes, représentants d’ONG, défenseurs des droits de l’homme ou personnalités politiques se sont vus refuser le droit d’entrer dans le pays, d’après le recensement de Bahrain Watch, qui documente aussi les fournisseurs de chevrotines et de grenades lacrymogènes utilisés par les policiers anti-émeutes.
L’ONG avait ainsi découvert que les policiers « anti-émeutes » utilisaient des gaz lacrymogènes fournis, en partie, par une entreprise française, Alsetex, qui se présentait comme le « Leader des produits pour la gestion démocratique des foules« .
Je découvrais de mon côté, dans le rapport sur les exportations d’armement de la France, que la France avait vendu pour plus de 26M€ d’armes au Bahreïn en 2011, dont 16M€ de « bombes, torpilles, grenades, pots fumigènes, mines, missiles, produits « pyrotechniques » militaires (et) cartouches« , et 421 000 € d' »agents chimiques ou biologiques « antiémeutes » » (cf A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?).
Suite à mon enquête, Alsetex effaçait le terme « démocratique » de son site web, et retirait les fiches signalétiques de ses grenades lacrymogènes.
Dans la foulée, une source gouvernementale expliquait au Point que « suite à l’affaire tunisienne, l’exportation de l’ensemble des produits pour le maintien de l’ordre vers Bahreïn a cessé le 17 février 2011 » (date du « Bloody Thursday« , qui avait réuni 150 000 manifestants -sur 600 000 habitants-, et qui s’étant soldé par 4 morts et 300 blessés, marqua le début du « printemps arabe » bahreïni, NDLR), tout en rappelant que la France avait été parmi les premiers pays à prendre cette mesure unilatérale.
Interrogé sur les autorisations d’exportation de matériel de guerre vers le Bahreïn, le gouvernement avait assuré qu’il s’agissait « uniquement de matériel d’alerte biologique et de détection chimique« .
Or, et comme le révélait la semaine passée Intelligence Online, seul média français à s’être fait l’écho de la visite de Rashid Abdullah al-Khalifa à Milipol, dans un article intitulé « Bahreïn : Paris continue d’épauler la police« , le rapport annuel 2013 sur les exportations d’armes indique que la France a de nouveau autorisé l’exportation d' »agents chimiques ou biologiques » (pour un montant de 251 347€ en 2012), et révèle aussi et surtout un très net accroissement des exportations d’armement vers le Barheïn, la France ayant enregistré 4.4M€ de prises de commandes en 2012 (contre 0.7 en 2011 et 0.3 en 2010), et 76.7M€ de matériels livrés en 2012 (contre 26.8 en 2011, et 9.8 en 2010).
Seuls les médias bahreïnis se sont faits l’écho de la rencontre des deux ministres de l’Intérieur. On les retrouve ainsi, en tête à tête, sur le site de la Bahrain News Agency, ainsi que dans l’édition .pdf du Gulf Daily News (quotidien pro-gouvernemental sous-titré « La voix du Bahreïn« ) avec d’autres personnalités non encore identifiées (commentaires bienvenus).
Étrangement, l’article de l’agence de presse bahreïnie est intitulé « Le Bahreïn s’engage pour la liberté d’expression« … comme si un ministre de l’Intérieur venait à Milipol, temple du maintien de l’ordre et des technologies de surveillance, pour y acheter des outils de défense de la « liberté d’expression« .
L’article rapporte que cette rencontre a permis à Rashid Abdullah al-Khalifa de rappeler que son pays défendait la « liberté d’expression et les droits humains qui sont protégés par la constitution« , le ministre bahreïni précisant cela dit qu' »il est regrettable que certains abusent de cette liberté pour se livrer à des activités en violation de la loi« , et que la police de son pays ne faisait pas face à des « manifestants« , mais à des « émeutiers, vandales et terroristes« .
La Voix du Bahreïn précise par ailleurs que Rashid Al Khalifa était à Milipol à l’invitation de Manuel Valls, qui aurait accepté l’invitation d’aller, en retour, visiter le Bahreïn, au nom de la coopération bilatérale entre leurs deux pays.
D’après Intelligence Online, et en dépit de la répression qui sévit au Bahreïn, « Paris continue cependant de détacher des coopérants auprès du ministère bahreïni de l’intérieur« .
En tout état de cause, c’est avec un sens du timing étonnant que Manuel Valls a décidé d’inviter Rashid bin Abdulla Al Khalifa à Milipol, et de poser à ses côtés, alors que deux ONG de défense des droits de l’homme, plus un rapport parlementaire, viennent de rappeler l’ampleur des violations des droits de l’homme dans cette petite monarchie pétrolière dirigée par la famille Al Khalifa depuis… 1783.
Evoquant « un soulèvement maté dans le sang et l’indifférence générale« , le rapport de la mission d’information sur les Révolutions arabes, réunissant des députés de la majorité et de l’opposition, rendu public le 14 novembre (5 jours avant l’inauguration de Milipol), déplore ainsi les « nombreuses perquisitions nocturnes et traitements inhumains et dégradants manifestement destinés à faire régner la terreur » depuis la violente répression du « Bloody Thursday » de 2011.
Le Bahrain Center for Human Rights venait quant à lui de lancer une campagne « pour que cesse l’impunité au Bahreïn, et mis en ligne les posters de 59 personnalités « Most Wanted« , dont Rashid bin Abdulla Al Khalifa.
L’ONG lui reproche notamment, en tant que ministre de l’Intérieur, de couvrir les violations des droits de l’homme imputables aux forces de l’ordre : passages à tabac de manifestants et citoyens, institutionnalisation de la torture dans les commissariats et les « centres de torture clandestins« , recours excessif aux gaz lacrymogènes -qui auraient entraîné plus de 40 de la centaine de morts recensée par l’opposition depuis le début de la contestation (dont plusieurs nouveaux nés et personnes âgées, asphyxiés)-, le recours tout aussi excessif à la chevrotine pour disperser les manifestants (14 morts, plus de très nombreux blessés, et éborgnés), plus une douzaine d' »exécutions extra-judiciaires d’enfants et adultes« .
Dans le cadre de son opération 10 jours pour signer, Amnesty International, de son côté, revient sur les 13 prisonniers d’opinion condamnés à des peines allant de 5 ans d’emprisonnement à la prison à perpétuité (et pour certains torturés), pour avoir osé défendre les droits de l’homme et la démocratie.
J’avais eu l’occasion de raconter l’histoire poignante de plusieurs d’entre eux (voir Arabes en colère, sur OWNI), des tortures infligées à Abdulhadi al-Khawaja, le fondateur du Barhain Center for Human Rights au courage de sa fille, AngryArabia, qui n’hésitait pas à manifester, seule (elle a depuis été incarcérée), en passant par la condamnation de Nabeel Rajab, son successeur.
Par ailleurs secrétaire général délégué à la Fédération internationale des ligues des droits de l’homme (FIDH), Rajab avait réussi à déjouer la surveillance des autorités pour aller accorder une interview à Julian Assange, à Londres. Il savait qu’il risquait la prison mais il n’en décida pas moins de retourner se battre dans son pays, et fut interpellé à son retour en avion. Il croupit depuis deux ans en prison pour un tweet « insultant« . Suite à la visite du premier ministre dans un village, Nabeel Rajab avait en effet avoir osé écrire, sur Twitter :
« chacun sait que vous n’êtes pas populaire et que, n’était le besoin d’argent, vous n’eussiez pas été le bienvenu chez eux. »
Détenu à l’isolement, enfermé avec des animaux morts, Nabeel Rajab, qui n’a droit qu’à 6 litres d’eau par semaine (alors que, souffrant de calcul biliaire, il aurait besoin de boire beaucoup d’eau), vient de voir sa condamnation confirmée en appel.
Evoquant un « bilan très positif, le communiqué de presse de clôture de Milipol se félicitait d’avoir accueilli « 25 834 visiteurs de 150 pays dont 45% venaient de l’étranger« , ainsi que « 161 délégations officielles » de 97 pays (« contre 53 en 2011« ) :
Outre le nombre, la composition de ces délégations était de très haut niveau
(16 Ministres de l’Intérieur, 18 Directeurs Généraux).
Interrogé sur les pays d’où provenaient ces délégations « de très haut niveau« , et notamment sur la nationalité des « 16 Ministres de l’Intérieur et 18 Directeurs Généraux« , Milipol s’est contenté de mentionner les noms de 4 ministres de l’intérieur : Jérôme Bougouma (Burkina Faso), Ranko Otojic (Croatie), Bajram Rexhepi (Kosovo) et Marwan Charbel (Liban), et 3 directeurs généraux : Abdulla Mohammed Al-Sowaidi (Qatar), Miroslav Veljovic (Serbie), Wieslaw Lesniakewicz (Pologne), omettant soigneusement de mentionner la présence de Rashid Abdullah al-Khalifa, ainsi que de 11 autres ministres de l’intérieur, et 15 directeurs généraux.
Voir aussi :
Calais : un « État policier en situation de guerre »
3300 migrants sont morts à Lampedusa depuis 2002
La guerre aux migrants a fait 18 000 morts (au moins)
A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?
« L’Internet est libre »… mais pas notre pays. Lettre ouverte au président de l’Azerbaïdjan
Il y aura un avant et un après Snowden. Avant, ceux qui dénonçaient la montée en puissance de la société de surveillance passaient pour de doux paranoïaques (alors que les paranos, c’était pas eux, mais la NSA, ce que Snowden a amplement démontré).
Depuis, tout le monde ou presque est persuadé d’être espionné par la NSA, ou encore que la DGSE espionnerait toutes les télécommunications, en France… ce dont je me permets de douter : la NSA ou la DGSE (& Cie) ont certes les moyens de tenter d’espionner n’importe qui, mais les documents Snowden ne permettent aucunement de conclure qu’ils espionneraient tout le monde, a fortiori tout le temps, façon « Big Brother« .
Mise à jour, juin 2015 : vous trouverez plus bas la vidéo de la suite de cette conférence, donnée à Pas Sage en Seine 2015, où j’ai tenté d’expliquer pourquoi je n’avais pas particulièrement peur des « boîtes noires » du Projet de loi relatif au renseignement, et pourquoi le problème me semble être ailleurs…
MaJ, septembre 2016 : voir aussi Pour en finir avec la « surveillance de masse », décryptage/fact-checking encore plus contextualisé.
C’est ce que j’avais tenter d’exposer, en juin 2014, lors d’une conférence à Pas Sage En Seine (PSES), De la surveillance de masse à la paranoïa généralisée (vidéo), que l’association de défense et de promotion des logiciels libres APRIL m’a récemment fait l’honneur de retranscrire (un travail de titan, <3) :
« Non, la NSA, le GCHQ ou la DGSE, Google, Facebook, Microsoft & Cie ne sont pas Big Brother, et ils n’espionnent pas tout le monde tout le temps.
Et notre boulot, aujourd’hui, est aussi de comprendre et d’expliquer ce qu’ils font exactement, plutôt que d’entretenir le #FUD ambiant. »
« Fear, Uncertainty and Doubt » (FUD) : Peur, Incertitude et Doute
Alors que la Library of Congress vient de publier une étude de droit comparé reprenant l’article du Monde qui affirmait (à tort) que la DGSE collecte systématiquement les méta-données de toutes les communications téléphoniques et électroniques, en France, il m’a semblé important, à l’heure des bilans de fin d’année, de reprendre sur ce blog cette conférence résumant ce que m’ont appris les factchecks que j’ai fait de plusieurs des « révélations » du Monde à ce sujet :
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi mais non, rien n’indique qu’elle collecte « systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France« ;
La NSA n’espionne pas tant la France que ça : non, la NSA n’a pas espionné 70M de communications téléphoniques de Français; il s’agissait de 70M de méta-données captées par la DGSE à l’étranger, et partagées avec la NSA;
DGSE/Orange : joue-là comme SuperDupont (#oupas) : pourquoi je doute qu’Orange soit le partenaire « non identifié » de la DGSE et du GCHQ mentionné dans un document Snowden;
Cher Edward Snowden, il ne faut pas croire tout « Le Monde » (réservé aux abonnés d’Arrêt sur images) : de fait, il ne s’agit pas d’Orange, mais de QOSMOS, leader mondial (et français) de l’analyse des protocoles et de l’extraction des méta-données.
MAJ, avril 2015 : le PNCD, soi-disant « « Big Brother » dissimulé au cœur du renseignement », qualifié de « dispositif de surveillance de masse des services français« , n’est pas un « secret sur lequel la République a réussi, depuis 2007, à maintenir un silence absolu » : j’en avais parlé en… 2005, et il date de 1999; et son objet n’est pas de faire de la « surveillance de masse » des internautes français : le gouvernement venait de légaliser l’utilisation de logiciels de chiffrement, et en profita donc pour légaliser le fait que la DGSE disposait de supercalculateurs utilisés pour décrypter les messages chiffrés qu’elle avait interceptés (à l’international, la DGSE n’étant pas, par ailleurs, autorisée à surveiller les Français, en France);
MaJ, avril 2016 : la DGSE n’a pas surveillé ni espionné Thierry Solère, mais découvert qu’il l’avait été, en toute illégalité, par un ou plusieurs de ses analystes du renseignement, et mis fin à cette surveillance. Reste que c’est moins vendeur que de laisser entendre que « la DGSE a surveillé Thierry Solère« …
MaJ, septembre 2016 : les « boîtes noires » avaient cristallisé le débat autour de la loi renseignement, mais la DGSE espionne-t-elle tous les Français ? tl;dr : non, ce que j’ai tenté d’expliquer en version longue : Pour en finir avec la « surveillance de masse »
Vous pouvez lancer la vidéo de la conférence et l’écouter comme une émission radio (vous pouvez aussi en retrouver les slides là), ou encore lire, plus bas, la version résumée que j’ai faite de la (longue) retranscription faite par APRIL.
Voir aussi la suite de cette conférence, donnée à Pas Sage en Seine 2015, où j’ai tenté d’expliqué pourquoi les termes du débat posés par le très décrié Projet de loi relatif au renseignement me semblent avoir bien mal été posés (et compris). La conférence commence à 2’20 (voir aussi les slides) :
Avant j’avais deux problèmes : c’était, faire comprendre aux gens ce que c’était que la société de surveillance, sans être traité de parano ; et ce n’était pas facile.
Avec les révélations Snowden, mon problème a un petit peu changé : c’est arriver à faire comprendre ce que c’est que la société de surveillance à des paranos. C’est-à-dire que le problème auquel je suis confronté c’est qu’avant, les gens comme moi, qui s’intéressaient à ces histoires-là, était facilement brocardées comme paranos. Le problème, aujourd’hui, c’est que tout le monde est devenu parano. C’est ce que je vais essayer de vous montrer et ce pourquoi ça me semble dangereux, ou problématique en tout cas, de passer de la société de la surveillance à la société de paranoïa.
Pour ceux qui ne me connaissent pas (cf ma fiche sur WikiPedia), ça fait une dizaine d’années que je travaille sur ces questions de technologies de surveillance, de protection des libertés, de vie privée, etc., aux sujets desquelles j’ai consacré des centaines d’articles (et d’interview), plus deux bouquins (La vie privée, un problème de vieux cons ?, et Au pays de Candy – enquête sur les marchands d’armes de surveillance numérique).
J’ai aussi bossé avec WikiLeaks sur les Spy Files, ces marchands d’armes de surveillance numérique qui se réunissent tous les trois mois un peu partout dans le monde dans un salon dont l’entrée est interdite aux journalistes, car réservée aux marchands d’armes et aux services de renseignement, aux flics et aux militaires, et plus particulièrement sur Amésys, cette PME française qui avait conçu un système de surveillance massive de l’Internet à la demande du beau-frère de Kadhafi (voir Barbouzeries au pays de Candy).
En 2007, j’étais journaliste au monde.fr, et il y a eu le scandale autour du fichier Edvige en France. C’était un fichier de renseignements qui autorisait les services de renseignement à ficher les mœurs sexuelles, les opinions philosophiques, politiques, des gens à partir de l’âge de treize ans. Il y a eu des manifestations dans la rue, des hommes politiques qui sont montés au créneau, qui ont protesté contre cette société de surveillance, en tout cas cette volonté de ficher les gens. Lemonde.fr m’a dit « Écoute tes trucs, là, la surveillance, les fichiers policiers, etc, jusqu’à présent ça n’intéressait que les droit-de-l’hommiste, là visiblement ça commence à intéresser les gens, donc fais-nous un blog là-dessus ».
Et donc j’ai créé »Bug Brother », où j’ai essayé de suivre un petit peu l’actualité de ces technos et où, en même temps, je sais que jusqu’à l’année dernière il y a des gens, même y compris à la rédaction du Monde qui disaient « Ouais mais Manach il est un peu parano quand même ». Ce à quoi, moi, ça fait des années je répondais « Mais ce n’est pas moi le parano. Le parano ce sont des gens comme les clients d’Amésys qui veulent surveiller l’intégralité de leur population ».
Amésys c’est cette boîte française qui a développé un système de surveillance de l’Internet à la demande d’Abdallah Senoussi, qui était le beau-frère de Kadhafi, accessoirement un terroriste, recherché par la justice française. Les paranos, c’est la NSA qui veut surveiller tout, ou en tout cas être capables de tout surveiller.
Moi je ne suis pas parano : je suis journaliste, j’essaye de comprendre comment ça fonctionne. Le problème c’est que maintenant, je suis à peu près persuadé que si on fait un sondage dans la rue « Est-ce que vous êtes espionné par la NSA ? », la majeure partie des gens vont dire oui. Ce qui est complètement faux : la NSA (entre autres services de renseignement) a autre chose à faire que d' »espionner » l’intégralité de la population… même si elle cherche, de fait et hélas, à surveiller toutes nos télécommunications.
Pour en revenir aux révélations Snowden, je pense que la façon dont a été révélée l’existence de PRISM, présenté comme un des systèmes les plus utilisés par la NSA a, paradoxalement, fait beaucoup de mal à la compréhension de comment fonctionne la NSA, et de comment fonctionnent les systèmes de surveillance, avec des slides qui montraient que, en fait, l’essentiel du trafic sur Internet passe par les États-Unis. Et donc c’est plus simple pour la NSA de surveiller ce qui passe par leur territoire. Et puis surtout, ça a eu énormément de succès, parce qu’on avait la date et les logos de Gmail, Facebook & Cie.
Sauf qu’un des gros problèmes des révélations Snowden, c’est qu’il s’agit d’un gigantesque puzzle dont Glenn Greenwald ne nous en dévoilait que quelques pièces, par à-coups, et qu’il est très difficile d’arriver à comprendre ce que révèle un puzzle quand on en voit que quelques pièces.
En l’espèce, et pour ce qui est de PRISM, on a donc découvert depuis qu’il ne s’agissait pas d’un système donnant à la NSA un accès direct aux serveurs de Google, Facebook & Cie, lui permettant de faire ce qu’elle voulait des données de leurs abonnés, mais de l’acronyme utilisé par la NSA pour désigner le fait de demander au FBI d’aller demander à Google, Microsoft ou Facebook d’accéder aux données de certains de leurs abonnés…
Donc quand on a eu Google, Facebook, Microsoft qui disaient « Mais nous on n’était pas au courant ! On n’était pas au courant qu’on travaillait comme ça avec la NSA ! », ben c’était vrai, ils n’étaient pas au courant parce qu’ils répondaient à des sollicitations du FBI, et qu’ils ne savaient pas que c’était in fine pour la NSA.
Google puis Microsoft ont demandé à la justice américaine d’avoir le droit de dire combien de personnes ont été concernées par l’utilisation de PRISM, et grosso modo, c’est entre 0 et 1000 demandes, concernant entre 2000 et 12 999 comptes chez Google, et moins de 16 999 comptes chez Microsoft, par semestre. Comparez 1 000 ces chiffres avec le nombre d’utilisateurs des services proposés par Google et Microsoft : ce n’est pas vraiment du « massif« , au sens où la NSA espionnerait absolument tout le monde. Non, c’est de la surveillance ciblée.
Ça fait quelques années que Google avait entamé ce qu’il appelle les »transparency reports », à savoir le fait de publier, régulièrement, le nombre de demandes d’accès à des données qu’ils ont reçues de la part de tels ou tels pays, et le nombre de demandes auxquelles Google a refusé de leur confier les données. Suite à ça, Twitter, Facebook, Microsoft ont eux aussi, suite aux révélations Snowden, commencé à publier leurs propres »transparency reports », et si on regarde la liste du nombre de total de requêtes qui ont été faites de 2009 à 2012, en France, on en est à moins de 40 000…
Sachant, bien évidemment, qu’il y en a certaines qui portent sur un seul et même individu, et sur le compte Facebook, Tweeter et Google de ce même individu. Donc ce n’est probablement pas 40 000 personnes, c’est probablement moins, en l’espace de trois, quatre ans. Ça c’est pour les demandes d’entraide judiciaire légales, qui passent par les circuits légaux.
Un autre truc qui m’a fait bizarre, quand Vodafone a sorti son « transparency report », assez impressionnant, où il révélait qu’il collaborait avec les autorités de 28 pays, dont certains bénéficiant d’un accès direct à leurs serveurs. J’avais vu sur Twitter des gens crier aux loup : « Regardez, la France est dans la liste des 28 pays, on est espionné par la NSA !!! ».
Or, quand on regarde dans le rapport, il y a eu trois demandes qui ont été faites concernant la France à Vodafone ! En comparaison ce sont des dizaines, voire des centaines de milliers, à Malte ou en Italie. C’est comme si les gens avaient une sorte de prescience « Ah, ouais on est espionné, on veut être espionné ». Une sorte de fantasme, comme ça, qui fait que la NSA ça existe. Ce serait quand même injuste quelle ne m’espionne pas moi !
Ensuite on a eu le #Fail en Une du Monde sur la DGSE, avec ses « Révélations sur le Big Brother français » qui expliquaient que la DGSE intercepte et espionne l’intégralité des communications, mails, SMS, fax, comptes Twitter en France. Le scoop citait un des articles de mon blog, Frenchelon: la DGSE est en « 1ère division ».
Bernard Barbier, qui était le directeur technique de la DGSE jusqu’à il y a quelques mois, y révélait, entre autres choses, que la DGSE surveillait les réseaux grands publics et enregistrait tous les mots de passe pour, notamment, pouvoir identifier le gentil étudiant en chimie le jour, qui, le soir, devient un terroriste djihadiste, mais qui utilise le même mot de passe…
L’article du Monde mentionnait le mien, mais les journalistes ne m’avaient pas contacté pour me demander ce que je pensais de leurs « révélations« . Et moi, le fait que la DGSE espionne absolument toutes les télécommunications en temps réel et en tous temps, en France, ça me semblait quand même un peu bizarre.
Donc j’ai creusé, j’ai interrogé un certain nombre d’acteurs qui sont au cœur des réseaux, et tous sont arrivés à la conclusion que si la DGSE est capable d’espionner ce qu’elle veut, par contre, elle n’est pas en mesure d’espionner absolument tout, en temps réel, ni de tout archiver ; non seulement elle n’a pas le droit de le faire, mais en plus ça se verrait.
Parce que vu l’architecture décentralisée des réseaux, en France, pour arriver à ce qu’on intercepte tout le trafic Internet il faudrait placer des boîtes noires sur tous les DSLAMs. Or, il y a beaucoup de DSLAMs, ça coûterait beaucoup d’argent et ça finirait forcément par se voir.
Ensuite on a eu le #fail concernant la NSA. Tout est parti d’un article du Spiegel cosigné par Laura Poitras, la journaliste qui travaille sur les révélations Snowden avec Greenwald, qui révélait que les services de renseignement allemands avaient partagé avec la NSA des dizaines de millions de méta-données qu’elle avait capté à l’étranger.
En guise de preuve, Laura Poitras publiait une capture d’écran de Boundless Informant, un des systèmes de visualisation de données utilisé par les analystes de la NSA, montrant combien de métadonnées Internet et téléphoniques avaient été collectées.
Problème. En octobre, Le Monde fait sa Une sur des « Révélations sur l’espionnage de la France par la NSA américaine », basées sur ce même type de capture d’écran, révélant que la NSA a espionné 70M de communications téléphoniques en France.
Peter Koop, un Hollandais dont le blog »electrospaces » est probablement un de ceux qui décrypte le plus et le mieux les documents Snowden, a remonté la piste et conclue qu’il ne s’agissait pas de conversations téléphoniques espionnées en France, mais bien de méta-données interceptées par les services français, à l’étranger, et partagées avec la NSA…
Finalement, une semaine après, Le Monde a reconnu, à mots couverts, qu’il ne s’agissait pas de communications téléphoniques espionnées par la NSA en France, mais bien des données espionnées à l’étranger par la DGSE et confiées à la NSA. mais le mal était fait, très peu de gens ayant entendu parler de cette mise à jour. Le problème c’est que ça laisse des traces sur la durée et que ça brouille l’écoute, si je puis me permettre.
Ensuite, il y au le #fail sur Orange et le GCHQ, qui est un peu l’équivalent de la NSA en Grande Bretagne, et qui serait d’après Snowden encore plus puissante que la NSA, non seulement parce qu’il y a plein de câbles de télécommunications sous-marins qui atterrissent en Grande Bretagne et que, apparemment, ils sont très forts dans l’interception massive de ces câbles-là, mais également parce que les lois, le cadre juridique réglementaire en Grande Bretagne fait qu’il est plus simple d’attenter à la vie privée, de faire des opérations d’espionnage que ça ne l’est aux États-Unis.
Donc Le Monde, toujours une Une, révélait « Comment Orange et les services secrets coopèrent ». Evoquant des « relations incestueuses » entre France Télécom et la DGSE, Le Monde avançait également que les services de renseignement français autorisaient également leurs homologues britanniques à accéder aux données des clients français d’Orange…
Les révélations du Monde se basaient sur un document Snowden mentionné dans un article du »Gardian » en octobre dernier, et qui révélait que la DGSE avait mis le GCHQ en contact avec une entreprise française de télécommunications, partenaire privilégié de la DGSE. Mais ce que je n’ai pas compris, c’est pourquoi l’article disait les services britanniques ont accès aux données des clients français d’Orange. Pourquoi ce serait les clients français ?
Je me mets à la place du GCHQ. Un des gros avantages d’Orange c’est qu’il contrôle 20 % des câbles de fibre optique dans le monde. 20 % c’est énorme ! Le GCHQ, un de ses gros boulots, c’est d’espionner les fibres optiques. Donc ce qui intéresse probablement le GCHQ, c’est probablement les câbles sous-marins. Ce qui intéresse également le GCHQ c’est probablement le fait qu’Orange a une centaine de filiales à l’étranger, dont un certain nombre dans des pays du Golfe, dans des pays africains où il y a la guerre, le Mali, le Niger.
Mais ça, le papier du Monde n’en parle pas. Il ne parle pas des 20 % de câbles de fibre optique, il ne parle pas des filiales à l’étranger. Il ne parle uniquement que des clients français d’Orange. Pourquoi ? Moi je suis journaliste, en termes de probabilités, ce qui intéresse le GCHQ c’est plus les câbles de fibre optique et puis le Mali que les communications téléphoniques à Romorantin.
Qu’est-ce qu’il en a à foutre des communications téléphoniques à Romorantin ou à Marseille, le GCHQ ? Pourquoi il ferait du massif en France ? Et pourquoi la DGSE autoriserait un service de renseignement étranger à faire du massif en France ? Nonobstant le fait qu’un bon nombre de ministères, dont celui de la Défense, qui est-ce qu’ils payent pour passer leurs appels téléphoniques ou pour utiliser Internet ? C’est Orange. Ce serait bizarre que la DGSE accepte qu’un service de renseignement étranger espionne des ministères français…
Je suis blogueur au Monde. Systématiquement, j’en ai référé à ma hiérarchie, qui n’a pas voulu rendre compte de mes factchecks sur le journal papier, me laissant les publier sur mon blog. En attendant, les lecteurs du Monde papier, eux, ne savent pas qu’ils ont été induits en erreur, pas plus que tous les médias qui ont repris, en France et à l’étranger, ces « révélations« …
En attendant, un autre truc que j’ai découvert en enquêtant sur ces histoires, c’est le programme National Insider Threat Task Force, créé pour identifier et neutraliser la « menace intérieure« , et donc aussi les lanceurs d’alerte. Il faut savoir qu’il n’y a jamais eu autant de whistleblowers poursuivis par la justice américaine, et même incarcérés, que sous Obama. L’Espionage Act de 1914, avait été utilisé trois fois jusqu’à Obama. Depuis qu’Obama est là je crois qu’on en est à la sixième ou septième fois.
Il y a une véritable chasse aux sorcières qui a été lancée, et ce programme-là incite les fonctionnaires américains à surveiller leurs collègues, et si il y en a un qui commence à devenir un peu alcoolique, qui commence à devenir dépressif, qui vient de divorcer, qui va voir de la famille à l’étranger, qui arrive tard, qui a des problème d’argent, il faut impérativement le dénoncer tout de suite aux fonctionnaires de sécurité du ministère, parce qu’il pourrait devenir un whistleblower ou un espion.
J’ai ainsi trouvé des manuels de détection des espions sur les sites du ministère de l’Agriculture et de l’Éducation nationale, en mode « 101 moyens de reconnaître les espions ». Vous imaginez en France, des autorités qui demanderaient aux profs d’espionner leurs collègues et de rapporter tout comportement déviant à la hiérarchie, parce qu’il pourrait devenir un espion ?…
Pourquoi je vous parle de ça ? Parce que oui, on est vraiment passé à quelque chose de l’ordre de la paranoïa. L’administration américaine est passée en mode paranoïaque, depuis le 11 septembre 2001, depuis WikiLeaks aussi, ce qui pourrait aussi expliquer pourquoi ils ont décidé de tout surveiller.
Un autre truc que j’ai découvert, qui a été beaucoup moins médiatisé que les soixante-dix millions de communications téléphoniques soi-disant interceptées par la NSA, c’est la théorie des »Three Hops », qui constitue un très bon argument pour clouer le bec à tous ceux qui nous répondent, depuis des années « Oui mais moi je n’ai rien à me reprocher, donc je n’ai rien à cacher ».
La NSA, quand elle s’intéresse à une cible, va ainsi s’intéresser également à tous les gens qui sont en contact avec elle, plus tous les gens qui sont en contact avec ceux qui sont en contact avec elle, etc, à trois niveaux. Ce qui fait que le frère du voisin de la femme du chauffeur d’Angela Merkel peut être espionné par la NSA, quand bien même il n’a strictement rien à se reprocher, rien à cacher et qu’il n’a aucun secret d’État.
Donc la question n’est pas de savoir si on a quelque chose à se reprocher ; la question c’est de savoir est-ce qu’on connaît quelqu’un qui connaît quelqu’un qui connaît quelqu’un ? Et comme on sait que sur Facebook, sur Twitter, on est tous à quatre niveaux de séparation des autres, entre quatre et cinq niveaux de séparation des autres, oui, virtuellement, les États-Unis se donnent le droit d’espionner un petit peu tout le monde. (voir Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis)
Par ailleurs, les États-Unis ont une technique pour arriver à savoir s’ils ont le droit ou pas de s’intéresser à tel internaute : la théorie des 51 % de probabilités. S’il y a 51 % de probabilités que vous soyez Américain, on ne s’intéresse pas à vous. Mais si 51 % de probabilités que vous soyez un étranger, ils s’octroient le droit d’analyser vos datas, parce que, quand un paquet d’informations transite sur IP, eh bien il n’y a pas sa nationalité dessus. Donc ils ont cette théorie des 51 %. Donc là ce que disait l’ACLU, c’est que si vous avez 40 contacts, virtuellement ça fait 2,5 millions de personnes qui peuvent être espionnées pour vous, pour vous surveiller vous.
Un autre truc qui me semble intéressant, quand même, avec cette histoire de paranoïa généralisée, c’est qu’en fait on n’a pas à être si paranoïaque que ça non plus. Greenwald, toutes les semaines, publie un nouveau document Snowden. Donc ça que veut dire que son ordinateur, l’endroit où les documents Snowden ont été stockés, n’ont pas été piratés par la CIA, la NSA, le GCHQ, le FSB, la DGSE, des méchants pirates, que sais-je…
Ça veut dire qu’il est tout à fait possible, même et y compris pour quelqu’un comme Greenwald qui ne comprenait rien à la sécurité informatique jusqu’à l’année dernière, d’arriver à sécuriser son ordinateur et d’arriver à sécuriser ses communications. C’est tout à fait possible ; il en est la preuve vivante.
Par ailleurs, la majeure partie des gens qui travaillent pour les services de renseignement sont des fonctionnaires à qui on demande de faire un boulot, et qui ne sont pas au courant de ce que font les autres. Les employés de la NSA ont probablement appris beaucoup plus sur la NSA grâce à Snowden qu’ils n’en savaient en étant à l’intérieur de la NSA. C’est le principe de cloisonnement dans les services de renseignement.
Il ne faut pas non plus forcément leur prêter de mauvaises intentions : la majeure partie des gens à la NSA, à la DGSE, leur cible c’est Al-Qaïda, c’est ce qui se passe en ce moment en Libye, c’est ce qui se passe en ce moment en Syrie, c’est ce qui se passe au Mali, c’est ce qui se passe au Niger, pas ce qui se passe à Romorantin, à Paris ou à Numa (là où j’avais fait ladite conférence -NDLR).
Il y a à près deux mille personnes à la direction technique à la DGSE, vu l’ampleur de la guerre au terrorisme, etc, il y en a combien d’après vous qui sont en train d’espionner les gens qui sont ici ? Est-ce que ça fait partie de leurs attributions ? Non. En plus la DGSE, sa mission c’est d’espionner à l’étranger : la DGSE est, comme son nom l’indique, un service de renseignement extérieur. C’est la DGSI, l’ancienne DCRI, en charge du contre-espionnage intérieur qui, effectivement, peut surveiller des gens en France.
Accessoirement, et c’est aussi un truc qui m’énerve, c’est l’expression « Big Brother » : j’en ai marre d’entendre « Big Brother être mis à toutes les sauces : un jour, c’est Google qui est « Big Brother« , le lendemain c’est Facebook, le surlendemain les péages et les radars automobiles, la NSA ou l’assurance maladie… Stop.
A force de mettre « Big Brother » à toutes les sauces, l’expression ne veut plus rien dire, et ne permet plus du tout de comprendre ce pourquoi Google, Facebook, les radars automatiques ou la NSA peuvent poser problème -nonobstant le fait que les problèmes qu’ils posent n’ont généralement rien à voir.
Pour en revenir au sujet qui nous préoccupe, la NSA n’est pas une police de la pensée. Obama n’est pas Hitler, ni Staline. Il faut arrêter avec ce truc-là. Hitler, Staline sont des gens qui tuaient les dissidents. Si vous êtes un dissident aux États-Unis, vous n’êtes pas tué. Certes Laura Poitras vit en exil à Berlin, Jacob Appelbaum vit en exil à Berlin, il y a un certain nombre de personnes qui ont des soucis avec des autorités américaines, mais ce n’est pas comparable avec Big Brother qui était un dictateur.
Ce vers quoi on va c’est beaucoup plus Minority Report. À savoir un monde où il y aura tellement de machines interconnectées et de plus en plus de machines qui vont décider à la place d’êtres humains et où, à des moments, il y a des machines qui vont vous dire non. Et en fait Minority Report ça a déjà commencé. J’avais fait un papier là-dessus, sur ceux que l’on surnomme les « doigts brûlés » de Calais.
À Calais, 25 % des réfugiés se brûlent les doigts pour effacer les empreintes digitales, parce que si les flics les chopent et qu’ils passent leurs empreintes digitales au fichier des empreintes digitales, EuroDac, européen, ils vont être renvoyés en Italie ou en Grèce, là où ils ont été fichés. Or comme leur objectif c’est d’aller en Grande Bretagne, ils n’ont pas envie de se retaper le périple depuis la Grèce ou depuis l’Italie. Donc le seul moyen pour ne pas être renvoyés là-bas, c’est d’effacer leurs empreintes digitales.
Donc Minority Report ça a commencé, c’est maintenant, il y a déjà des gens qui se mutilent pour échapper à des systèmes de fichage utilisant des ordinateurs, sauf que, comme ce sont des réfugiés, sans papiers, à Calais, grosso modo la lie de l’humanité, personne n’en parle.
J’avais participé à une émission il n’y a pas très longtemps avec Alain Bauer, qui était le monsieur insécurité, le monsieur vidéo surveillance sous Nicolas Sarkozy, et non seulement il a reconnu que la quasi totalité des systèmes de vidéo surveillance en France ont été installés n’importe comment. C’était intéressant que ce soit monsieur Alain Bauer qui me dise ça. Et quand j’ai dit « Mais de toutes façons le problème ce n’est pas Big Brother, c’est Minority Report », lui et le président de l’association des villes vidéosurveillées m’ont répondu que « c’est vrai, on va vers Minority Report »…
Pourquoi j’ai fait cette conférence-là sur la paranoïa ? Parce que je déplore le fait de voir de plus en plus de mes contemporains verser dans la paranoïa, alors qu’on n’a vraiment pas besoin de ça. Pour arriver à mesurer un problème il faut être conscient de ce problème et donc il faut être droit sur pattes, et savoir de quoi on parle, et ne pas raconter n’importe quoi. Le pire est à venir.
Là ce qu’on a vu avec Snowden c’est de la roupie de sansonnet par rapport à ce qui va se passer dans vingt ans. Parce que la NSA ne va pas s’arrêter là. La NSA a semble-t-il commencé à faire du massif sur les câbles sous-marins en 2007-2008, la NSA a commencé à s’attaquer à la crypto il y a quelques années seulement, ce sera quoi dans quinze ans, dans vingt ans ? Je n’en sais foutre rien. Ce que je sais c’est que ce sera très certainement pire que ce qu’on a aujourd’hui. Et donc si aujourd’hui on habitue les gens au fait qu’on vivrait dans « Big Brother« , on va leur dire quoi dans cinq ans, dans vingt ans ?
En plus, ça intériorise complètement la menace, parce que « Big Brother » on ne peut rien faire contre lui ! La NSA, ils sont plus forts que toi ! Ces super Dupont, ils sont magiques, ils ont tous les pouvoirs, de toutes façons, ouais, je ne peux rien faire contre la NSA ! Ce n’est pas vrai ! Greenwald, c’était un noob, et il sait faire maintenant. Donc tout le monde peut le faire. Il faut juste s’en donner les moyens, et apprendre à se protéger.
Je voudrais finir en évoquant un texte que je n’ai pas encore eu le temps de finir, mais où j’essaie d’expliquer ce pourquoi la défense des libertés et de la vie privée est au 21ème siècle ce que l’écologie fut au 20ème, au sens où la vie privée en soi, on s’en fout, c’est juste un moyen. C’est comme Internet, on s’en fout, c’est juste un moyen.
Il n’y a pas de liberté d’expression, il n’y a pas de liberté de circulation, il n’y a pas de liberté d’opinion s’il n’y a pas de vie privée. Parce que si on se sent surveillé on va s’autocensurer, et donc ça va à l’encontre de ce qu’on entend par une démocratie digne de ce nom. Et donc c’est pour ça qu’il faut défendre les libertés et la vie privée, c’est parce que c’est la clef qui permet d’actionner les autres mécanismes. Et je vous remercie.
PS : la conférence datant de juin dernier, je n’y avais pas évoqué l’article relatif à « l’accès administratif aux données de connexion » par les services de renseignement prévu par la loi de programmation militaire, dont le décret d’application vient d’être publié. J’y reviendrai, à tête reposée. En attendant, vous pouvez d’ores et déjà vous faire peur avec l’article du Point, avoir des doutes avec celui de Kitetoa, et vous en faire une idée plus posée avec l’analyse de NextInpact.
NB : et si vous vous intéressez vraiment à ce que font la NSA et le GCHQ, je ne saurais que trop vous encourager à visiter nsa-observer.net, qui recense la quasi-totalité de leurs programmes et systèmes espions, voire à y contribuer : la prochaine session de travail aura lieu ce mercredi 7 janvier à 19h, via IRC.
PPS : et sinon, je ne saurais que trop vous conseiller de lire cet excellent article d’Amaelle Guiton qui revient sur cette paranoïa ambiante qui fait dire à certains que les outils de cryptographie auraient été « cassés par la NSA et le GCHQ et qu’on ne pourrait rien faire pour s’en protéger :
« Laisser penser que la cryptographie « grand public » — celle que des centaines de millions d’internautes utilisent sans s’en rendre compte — est bonne à jeter revient à expliquer à un candidat à une promenade dans la savane qu’il ferait aussi bien d’y aller tout nu et à pied, sous prétexte que ni son pantalon ni sa méhari ne résisteront à un rhinocéros furieux ».
Voir aussi la retranscription intégrale de ladite conférence et, sur ce blog :
Une station espion de la NSA, en plein Paris
« Sur Internet, on est tous pirates, et ça c’est bien »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA
La semaine passée, L’Obs révélait, en « une« , que la Chine espionnait la France grâce à une station d’écoute installée sur le toit d’une annexe de l’ambassade de Chine à Chevilly Larue, en banlieue parisienne.
De fait, le « scoop » de Vincent Jauvert, intitulé « Comment la Chine espionne le monde depuis la banlieue parisienne« , explique que les antennes pointent vers des satellites permettant des communications entre l’Europe, l’Afrique et le Moyen-Orient, et qu’ils ne ciblent donc pas particulièrement les Français.
Hier, j’en faisais ma chronique pour L’Autre JT, la nouvelle émission hebdo de France4, expliquant que, si les Chinois n’espionnent probablement pas particulièrement les Français, la NSA a, de son côté, installé une station d’écoute sur le toit de l’ambassade des USA, place de la Concorde, à quelques mètres de l’Elysée.
Passée jusque là inaperçue, l’information avait été révélée par le blogueur (et twittos) Zone d’intérêt, puis confirmée par le journaliste Antoine Lefébure (auteur d’un excellent essai sur l’affaire Snowden), avec qui j’avais été, sur place, en compagnie de Duncan Campbell, le journaliste britannique qui avait, le premier, révélé l’existence du système anglo-saxon Echelon de surveillance des télécommunications.
Et on avait bien rigolé en découvrant que les fenêtres avec volets fermées que l’on peut voir sur la photo ont en fait été peintes : ce sont des fausses, à la façon des villages Potemkine, ces trompe-l’oeil créés afin de masquer la pauvreté des villages lors de la visite de l’impératrice Catherine II en Crimée en 1787…
Dans son article (passionnant : Les grandes oreilles américaines à Paris) Zone d’Intérêt explique que cette station a vraisemblablement été installée entre 2004 et 2005, et que ce type de centres d’écoute (Special Collection Service –SCS), opérées conjointement par la CIA et la NSA, est en mesure d’intercepter les signaux dans les gammes de fréquences correspondant à la téléphonie mobile, aux transmissions HF et aux communications satellite, d’assurer la géolocalisation des terminaux, et de recourir à des IMSI catchers pour simuler de fausses antennes-relais et intercepter des communications.
Il souligne également que cette station espion est opportunément située « à seulement 350m du palais de l’Elysée, 450m du Ministère de l’Intérieur, 600m du Ministère de la Justice, 700m du Ministère des Affaires Etrangères et de l’Assemblée Nationale, et 950m du Ministère de la Défense (et qu’)on trouve également dans un rayon d’un kilomètre plusieurs ambassades et des entreprises stratégiques…
A noter que la pratique n’a rien de très exceptionnel : on trouve ce type de stations d’écoute sur le toit de nombreuses autres ambassades dans le monde entier (Duncan Campbell en a répertorié plusieurs), et que les Etats-Unis ne sont pas les seuls à le faire, Vincent Jauvert évoquant ainsi les pratiques des services de renseignement israélien et russes en la matière.
Ca a eu l’air d’intéresser l’équipe du Zapping de Canal +, qui a repris l’information, en deux temps :
Voir aussi :
La NSA n’espionne pas tant la France que ça
« Sur Internet, on est tous pirates, et ça c’est bien »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA
Dans le prolongement de l’affaire Snowden, la revue Risques de la Fédération française des sociétés d’assurance m’a invité, le 24 juin dernier, à participer à une table ronde réunissant également Philippe Aigrain (@balaitous sur Twitter), co-fondateur de La Quadrature du Net, chercheur et essayiste, Antoine Lefébure (@segalen), auteur de L’affaire Snowden (Ed. La Découverte), Pierre-Olivier Sur, bâtonnier de Paris et Thierry van Santen, directeur général d’Allianz Global Corporate & Specialty SE France.
Le débat était animé par Jean-Hervé Lorenzi, directeur de la rédaction de Risques, qui m’a autorisé à republier cet entretien.
Risques : Tout d’abord, pouvons-nous préciser les enjeux de ce débat, à la fois sur un plan juridique (la protection de l’individu) et un plan technologique ; et enfin, comment peut-on se protéger ?
Pierre-Olivier Sur : Nous sommes aujourd’hui dans un schéma particulier. Face à un double effondrement, celui du Parlement et celui de l’exécutif. Nous avons un pouvoir judiciaire qui représente, avec tous les moyens technologiques existants, un risque, une menace de terreur. C’est-à-dire que, quand tout s’est effondré, il ne reste que le judiciaire. Et le judiciaire en ce moment terrorise, avec des véhicules qui sont les écoutes téléphoniques judiciaires mais aussi les interceptions pirates, et puis les perquisitions tous azimuts, sans contrôle. Nous espérons qu’une loi interviendra bientôt pour réguler tout cela.
Par exemple, d’une bagarre entre deux associés, qui aurait dû se régler au sein de la profession, on arrive à des perquisitions (huit perquisitions de cabinets d’avocats dans la même journée) et des saisies de documents relatives à d’autres affaires. C’est la manifestation de ce qu’on appelle des enquêtes « à filets dérivants ». On arrive ainsi à l’affaire de la campagne présidentielle et du prétendu financement libyen… C’est-à-dire qu’on entre dans le secret d’un cabinet d’avocat pour rechercher une chose précise, et qu’on se sert de cette perquisition pour trouver des éléments qui concernent une affaire d’État qui n’a aucun lien avec l’affaire en cours. Ce sont des procédés qui sont absolument impossibles à accepter dans une société comme la France.
Philippe Aigrain : Je commencerai d’abord par évacuer l’idée que ce serait principalement le numérique lui-même et ses usages qui créeraient des dangers massifs pour la vie privée. Le numérique est une mutation anthropologique considérable qui change ce qu’est penser et interagir avec les autres. Cela nous place face à des défis et on peut attendre des politiques publiques qu’elles n’aggravent pas la difficulté à faire face à ces défis en nous privant des moyens de construire la maîtrise nécessaire. Et là, on a deux autres types de risques : l’ « invocation sécuritaire » et la « société de défiance ». L’invocation sécuritaire, c’est comme l’écrit Mireille Delmas-Marty dans Libertés et sûreté dans un monde dangereux, un concept de sûreté qui serait une promesse infinie de sécurité, le risque zéro dans la sécurité. C’est une promesse non tenable mais qui nous jette dans une trajectoire dangereuse. Et la société de défiance, c’est celle qui fait de chacun de nous un suspect jusqu’à ce qu’il soit prouvé que nous n’avons rien à nous reprocher. Pourquoi ces deux phénomènes se sont-ils développés ?
Il y a une double racine. Une racine historique, qui est celle de l’effondrement de l’affrontement des blocs après 1989. Et une racine qui est la dérive oligarchique ou post-démocratique de nos sociétés. J’insisterai sur un point, c’est qu’il n’y a pas que Septembre 2001. La surveillance diffuse, la promotion des outils techniques de la surveillance diffuse, sont arrivées dans la seconde moitié des années 1990. Septembre 2001 a levé les inhibitions, mais n’a pas été à la source du développement de l’invocation sécuritaire et de la société de défiance.
Un autre phénomène, plus récent, a accentué les risques considérablement. Dans la seconde moitié des années 1990, il y eut la révélation du système Echelon. Les services des « 5 eyes » anglo-saxons espionnent le trafic sur Internet et dans les réseaux non Internet, parce que c’est là alors qu’on peut tout capturer, à la sortie de certains câbles transocéaniques, dans des communications par satellites, etc. Lorsqu’en 2008 (et peut-être avant aussi) on met en place des programmes comme Prism, la NSA et d’autres services tirent les conséquences du fait que l’information non contextualisée, celle qui est simplement des flux d’information, est extrêmement difficile à analyser. Ils ont besoin, pour espérer comprendre quelque chose, d’avoir accès à des métadonnées contextuelles. C’est-à-dire, par exemple, pas seulement votre e-mail mais toute votre liste de contacts ; pas seulement les tweets que vous émettez mais tous vos suiveurs. Et pourquoi, à ce moment-là, peuvent-ils le faire ? Parce qu’entre 2004 et 2008 se passe une gigantesque contre-révolution informatique, qui est celle de la recentralisation des services sur le Web. De très nombreux services, qui étaient « départementalisés », c’est-à-dire distribués en partie dans des petits ensembles, ou franchement distribués, c’est-à-dire distribués au niveau des individus eux-mêmes, vont devenir des services centralisés chez quelques gros intermédiateurs.
Mais ces deux phénomènes clés – l’invocation sécuritaire et la société de défiance, et la centralisation des intermédiaires – sont à mon avis une source des risques, mais montrent également qu’il existe une possibilité de tenter de les domestiquer. Je suis membre de la commission parlementaire sur le numérique qui vient d’être mise en place à l’Assemblée nationale. Le pouvoir du Parlement est fragilisé, mais c’est un geste pour se saisir de ces questions, et j’essaie d’y contribuer.
Jean-Marc Manach : Je suis d’accord avec l’analyse qui vient d’être faite. Au moment de l’affaire Snowden, Prism a été mal présenté et la quasi-totalité des gens l’ont considéré comme un système de surveillance massive de l’Internet mis en place par la NSA. En fait, Prism est un mécanisme mis en place pour que la NSA utilise le mécanisme Fisa (pour « Foreign Intelligence Surveillance Act« , qui décrit les procédures des surveillances physique et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangère) pour demander au FBI de demander à Google. Donc Google, Facebook, Microsoft, etc. ne connaissaient pas Prism, ne savaient pas qu’ils répondaient à une demande de la NSA, ils répondaient à une demande du FBI.
L’affaire Snowden a mis au jour la notion de construction parallèle. On a découvert que la NSA travaillait en tant que prestataire, notamment pour la DEA (Drug Enforcement Administration). Ils ont mis l’intégralité des Bahamas sur écoute pour lutter contre le trafic de drogue. Quand ils trouvent une information qui peut intéresser la DEA, ils la communiquent à la DEA qui, sachant que les trafiquants de drogue sont à tel endroit, tel jour, comme par hasard fait un contrôle routier cePour une protection des libertés individuelles et des données personnelles jour-là. En fait, il ne faut surtout pas qu’apparaisse dans la procédure judiciaire le fait que c’est la NSA qui a intercepté de façon plus ou moins illégale les données, et qui a donné les informations à la DEA, parce que sinon cela risque d’être cassé en justice.
Un autre signal faible dans les documents Snowden, c’est la notion de three hops. Jusqu’aux révélations Snowden, la majeure partie de l’opinion publique pensait : « je n’ai rien à me reprocher, donc je n’ai rien à craindre, je n’intéresse pas les services de renseignement ». Sauf que la notion de three hops, c’est trois sauts. Si on a une cible, on va s’intéresser à tous ceux qui sont en contact avec cette personne. Plus tous les gens qui sont en contact avec les gens qui sont en contact avec cette personne-là. Plus tous les gens qui sont en contact avec les gens qui sont en contact avec les gens qui sont en contact avec cette personne. Ce qui fait que la belle-sœur du garde du corps de François Hollande peut faire l’objet d’une interception de la NSA (voir Pourquoi la NSA espionne aussi votre papa (#oupas)).
Un ancien responsable de la NSA a dit : « Les métadonnées tuent ». Un exemple concret : des terroristes ou des djihadistes supposés ont été tués par ses drones au Yémen notamment. Ceux qui se savent traqués par la machine militaro-industrielle américaine n’utilisent pas leur téléphone portable. Mais ils ne peuvent pas empêcher leur femme d’envoyer un e-mail à leurs amies ou à leurs sœurs. Et grâce à l’e-mail envoyé par la femme de quelqu’un qui était sur la kill list d’Obama, ils ont réussi à localiser la maison où il était parce qu’ils ont intercepté un mail qu’elle a envoyé à sa sœur. Je ne sais pas si cette femme est morte dans le bombardement, mais voilà. La question n’est plus de savoir si on a quelque chose à se reprocher mais de savoir si on connaît quelqu’un qui connaît quelqu’un qui pourrait éventuellement intéresser un service de renseignement.
Le chercheur en sécurité informatique britannique Ross Anderson a développé une théorie très intéressante sur l’économie de la surveillance. En fait, la NSA a mis en place une super place de marché, où des services de renseignement de différents pays viennent échanger des métadonnées. Par exemple, la DGSE vient échanger des métadonnées interceptées au Mali, au Niger ou en Afghanistan ; en échange, la NSA lui refile des métadonnées interceptées dans d’autres pays où elle n’est pas aussi présente. Et tout le monde va faire du troc de métadonnées avec la NSA, même les Indiens, pourtant plus proches de Moscou que de Washington. On a vu notamment un cas où les Américains ont financé et contribué à développer les puissances d’interception des télécommunications des Australiens, et où les Australiens s’en sont servi pour espionner un cabinet d’avocats américain qui défendait l’Indonésie dans le cadre d’un conflit commercial entre l’Australie et l’Indonésie. Et la NSA a laissé faire. Alors que la NSA a deux missions : la première, c’est sécuriser les communications des Américains ; la deuxième, c’est intercepter les télécommunications des ennemis des États-Unis. On voit ainsi que ce qui prime c’est la surveillance.
Philippe Aigrain : D’un point de vue technique, ce sont des machines qui écoutent, ou des hommes et des femmes ?
Jean-Marc Manach : Il y a différents moyens. Prism, c’est une requête judiciaire, et ensuite on demande les noms, les carnets d’adresses, éventuellement le contenu des communications, qui sont remontés au FBI, puis à la NSA, qui va faire un traitement manuel. Dans le cas de Tempora, qui est le programme d’interception massive des communications sur les câbles sous-marins en Grande-Bretagne, ils essaient d’intercepter absolument tout. Ensuite, ils stockent pendant trois jours, ils font tourner les machines pendant trois jours avec des filtres pour arriver à sélectionner les informations qui pourraient les intéresser à partir des mots clés, des adresses e-mails ou des adresses IP qu’ils recherchent. Ensuite, ils transmettent les résultats de ces filtres à des opérateurs humains, qui utilisent différents logiciels pour effectuer leur travail d’analyse, et peuvent aussi utiliser Xkeyscore, une sorte de moteur de recherche qui collecte quasi systématiquement les activités des internautes grâce à plus de 700 serveurs localisés dans plusieurs dizaines de pays.
Il faut imaginer que ce que fait la NSA, c’est un peu ce que fait Google. Sauf que Google archive le Web, Tempora et Xkeyscore (entre autres) essaient d’archiver tout ce qui passe dans les câbles sous-marins, les satellites et Internet. Ensuite, les opérateurs du GCHQ (Government Communications Headquarters, l’équivalent – et partenaire historique – britannique de la NSA) ou de la NSA disent : envoyez-moi tous les mails qui ont été envoyés par telle ou telle personne ; donnez-moi toutes les communications téléphoniques par telle ou telle personne ; tous les gens qui, ce jour-là, à 16 heures, étaient dans cette zone-là ou ont visité tel ou tel site, ou chercher tel ou tel mot clé.
On voit aussi de plus en plus ce qu’on appelle des IMSI catchers (système permettant de localiser un téléphone mobile dans un périmètre restreint autour de celui-ci) – c’est une vraie-fausse borne de téléphonie mobile qui permet de capter tous les numéros de téléphone dans un endroit donné. Quand j’ai travaillé avec Wikileaks sur les Spy Files (une enquête sur les marchands d’armes de surveillance numérique), le responsable de l’ISS (Intelligence Support Systems for lawful interception, electronic surveillance and cyber intelligence gathering, le plus gros salon de marchands d’armes de surveillance numérique) expliquait qu’entre 2001 et aujourd’hui, ce marché était passé de 0 à 5 milliards de dollars par an.
Antoine Lefébure : Un an après l’affaire Snowden, le premier bilan qu’on peut tirer c’est, a contrario de ce qui se dit en France, une véritable sensibilité de l’opinion publique sur ce sujet dans les pays où le travail d’information a été fait. C’est-à-dire que, par exemple au Brésil ou en Allemagne, où différents médias ont fait des enquêtes de fond, où les documents Snowden ont été publiés, commentés, etc., on voit une vraie inquiétude de l’opinion publique sur le sujet. Finalement, en France, les deux seules personnes qui ont fait un travail d’information sont Jean-Marc Manach et Philippe Aigrain, et son association La Quadrature du Net.
Les médias français ont été bien peu nombreux à suivre le sujet – il n’y a pas plus de 10 % des documents Snowden dans le Guardian, le Washington Post, qui ont été traduits en français. Si vous ne lisez pas l’anglais, vous ne savez pas ce qu’il y a dans les documents Snowden, ce qui est invraisemblable. Et, à partir de là, est née une légende : l’opinion publique ne s’intéresse pas à la thématique des libertés individuelles. Ce qui est faux. C’est vrai qu’en lisant la presse quotidienne française et en regardant la télévision, vous n’avez aucune raison de vous préoccuper du sujet. Ce que vous dites aussi sur les perquisitions dans les cabinets d’avocats, etc., je ne le lis pas dans le journal ou très peu. Il n’y a pas de détail, alors que c’est pourtant quelque chose d’important. Une amie (journaliste) dit que le mauvais journalisme est une exception culturelle française.
La deuxième chose, encore plus inquiétante, face à cette atonie des médias, c’est l’extraordinaire autonomie de ce système militaro-industriel, qui avait été dénoncé à l’époque par Eisenhower, et qui s’est reconverti et développé dans le domaine de la surveillance, et qu’aucun chef de gouvernement, d’Obama à Merkel, ne peut contraindre. On se rend compte qu’il y a la sphère démocratique, qui est en très mauvais état en raison de la manière dont l’opinion publique est traitée et prise en compte ; il y a l’espace public, qui est loin de la réalité du monde tel qu’il fonctionne ; et puis il y a une chose qui, elle, marche très bien, c’est cette espèce d’internationale des services de renseignement, des élites industrielles et politiques, qui s’entendent extrêmement bien entre eux.
On a découvert très récemment, notamment dans un certain nombre de documents Snowden, que la NSA, en 1983, après un effort (10 milliards de dollars, 30 000 personnes) a dit : on n’arrive pas à faire cette surveillance universelle. Donc on va monter un système, un partenariat, ce qu’on appelle le Third Party Countries, avec trente-cinq pays, y compris l’Inde, donc des pays qui ne sont pas toujours alliés des États-Unis. Et on va leur donner des technologies en échange de quoi on va leur demander des capacités d’écoute régionales – par exemple l’Inde qui écoute la Chine – et des capacités de traduction. Parce qu’un des problèmes de la NSA, c’est la traduction, et en Inde il n’y a pas de problème de traducteur en chinois. Et ils ont monté une espèce de Facebook des services de renseignement. Contrairement à Facebook, il y a un chef qui distribue les informations et les technologies et dirige les échanges réciproques, centralisant pour lui-même l’ensemble des résultats.
Ainsi, les services de renseignement de la France, de l’Italie, de l’Inde, etc. à coût égal ont vu leurs performances multipliées par trois. Pour le plus grand bonheur des dirigeants politiques de ces pays qui, sans bien savoir comment, commencent à avoir des informations très consistantes grâce à l’utilisation des logiciels de la NSA. Cette situation explique que rien ne change sauf du côté des associations, des citoyens, des ingénieurs qui réfléchissent à des moyens techniques pour contrer la surveillance généralisée.
Thierry van Santen : Un mot de synthèse. Tout ce que l’on explique aujourd’hui, est une actualisation contemporaine d’actions qui existaient déjà chez Fouché au cours du Premier Empire, et qui se sont développées de tout temps au niveau des services secrets : échanges entre services, enquêtes de proximité où on faisait déjà les three hops (les enquêtes d’entourage). Aujourd’hui, les outils donnent une force de frappe qui est plus sophistiquée, plus complexe, et probablement moins maîtrisée et maîtrisable, aussi bien par les utilisateurs que par les « victimes ».
Le véritable problème est double : c’est d’une part la gouvernance, tant du politique que du judiciaire, qui ont la tentation, comme les services de renseignement, d’utiliser de nouvelles techniques pour pouvoir atteindre leurs objectifs ; et d’autre part, celle des systèmes et de la régulation des systèmes, parce qu’ils sont interconnectés mondialement. Ceci explique très largement l’absence de réaction des gouverne ments à la déclaration d’Obama. Tout simplement parce qu’on est dans un grand jeu interconnecté.
Par contre, j’ai d’autres inquiétudes qui vont au-delà : c’est la privatisation des systèmes combinée à une évolution technologique sans précédent. Je suis atterré par les projets de Google de pouvoir faire une mémoire virtuelle d’un individu qui permettrait d’accéder à l’immortalité, et a contrario du risque de pouvoir contrôler cette mémoire virtuelle. On arrive là à des limites qui m’intéressent presque plus que l’espionnite, qui a toujours existé sous des aspects beaucoup plus artisanaux (l’ouverture du courrier était pratiquée dans tous les régimes). Aujourd’hui, nous voyons des développements dans les mains de firmes privées, avec des projets impactant la vie quotidienne des individus qui sont totalement incontrôlables. On va bientôt avoir la voiture sans chauffeur. Imaginons simplement que demain il y ait 100 000 voitures qui roulent sans chauffeur. Cela peut être positif ; mais a contrario, cela veut dire aussi que je peux virtuellement infiltrer ces voitures et créer un gigantesque crash.
Risques : Vous travaillez pour une grande société de gestion et de protection du risque. Quelle est la nature de la réflexion que les assureurs peuvent avoir sur ce type de sujet ?
Thierry van Santen : Il y a deux axes complètement différents. Le premier axe, c’est comment nous proté- geons les données dans un cadre de compliance, notamment en matière de données médicales. On a créé des procédures, des pare-feu pour éviter le vol de ces données. L’autre aspect, c’est le cybercrime, puisque aujourd’hui le piratage est un véritable problème, avec la quantification matérielle et immatérielle d’un piratage. Mais là aussi il convient de faire une distinction. On l’a vu récemment à plusieurs occasions : un vol de données massif n’a pas toujours un impact dramatique. En revanche, en matière de cybercrime nous voyons aussi apparaître des sabotages ou des potentialités de sabotage. La complexité des systèmes ouvre la voie à toutes sortes de scénarios : sabotages d’appareils de production, d’organisation logistique, etc. On entre là dans des problématiques de cybersécurité compliquées. Donc, pour résumer, nos deux grandes priorités sont de protéger nos données et de travailler sur le cybercrime, tant en prévention qu’en offre de produit de couverture d’assurance pour nos grands clients.
Risques : Je vais faire une remarque et poser trois questions. Quand vous regardez la financiarisation, aujourd’hui il y a dix fois plus de produits dérivés que le PIB mondial. Il ne s’est rien passé depuis la « toute petite affaire » des subprimes. Personne ne prendra plus jamais le contrôle de la finance mondiale qui est une industrie en tant que telle. Sur ce plan-là, il y a une petite comparaison avec les sujets que vous évoquez. Ma première question : est-ce que la technologie peut être maîtrisée, puisque c’est elle qui est à l’origine ? Deuxième question : Il y a cinquante ans, IBM et Xerox tenaient le marché de l’informatique. Aujourd’hui, cinq acteurs semblent décider du sort du monde. La structure même de l’organisation économique mondiale n’est-elle pas indépassable, avec ce contrôle délirant du monde par quatre ou cinq entreprises ? Troisième question : l’idée qu’il y ait plusieurs couches de structures qui mettent en péril la démocratie. Quels sont les contre-pouvoirs ?
Pierre-Olivier Sur : J’ai parlé des perquisitions. Elles sont nourries par les écoutes téléphoniques et les interceptions de toutes natures. Tout cela forme un bloc qui fracture le secret professionnel des avocats et donc la vie privée de tous. Peut-on y mettre des limites ? Techniquement, ce n’est pas à moi de répondre. Institutionnellement, j’ai essayé de dénoncer ces abus à de multiples reprises mais il semble ne pas y avoir de prise de conscience des citoyens. Nous sommes dans une société soumise au diktat de la transparence. C’est terrible. Bien sûr, si un avocat participe au crime, il n’est pas au-dessus de la loi, il faut qu’il soit poursuivi et condamné pour ce que j’appelle un acte détachable. Mais quand on est avant l’acte détachable, il n’est pas question qu’on puisse accepter qu’un avocat soit écouté ou perquisitionné, car c’est le secret de nos clients qui est en danger. Le problème est philosophique et sociétal. La fin ne peut pas justifier les moyens.
Philippe Aigrain : Le concept de transparence a été la réponse anglo-saxonne à la dénonciation de la post-démocratie. Il y a une différence entre Transparency International et Anticor, une organisation qui est plus active chez nous. Une des raisons pour lesquelles le mot « transparence » est partout en ce moment, c’est que la transparence est un concept plus flou que le droit à l’information – qui est dans la Déclaration des droits de l’homme.
Maintenant, peut-on maîtriser les technologies ? Si on pose le problème comme ça, la réponse sera non. Parce que les technologies, on les fait. Le numérique, c’est un objet politique depuis le début. Internet est né d’une bagarre politique d’une petite minorité qui s’opposait aux opérateurs de télécommunications dans le contexte américain, parce qu’ils trouvaient que ces opérateurs voulaient contrôler ce que les gens faisaient avec les réseaux ; alors qu’eux avaient une vision où ce sont les gens – en l’occurrence les scientifiques à l’époque – qui devaient avoir la capacité de contrôler les usages. Le problème, c’est que les instruments de l’orientation du développement des technologies supposeraient, si on voulait que les politiques publiques et pas seulement des acteurs associatifs comme nous y jouent un rôle, une acceptation du politique de gérer deux choses auxquelles il refuse absolument de s’attaquer : les modèles commerciaux et les architectures des technologies. Toutes les évolutions fondamentales des technologies reposent sur des architectures, des protocoles. Or, à l’heure actuelle, que fait le politique ? Quand il crée la plateforme nationale des interceptions judiciaires, il crée une usine à gaz pensée pour protéger la légalité des procédures, mais il fait un partenariat public-privé avec Thalès et il centralise toutes les données correspondantes dans un silo souterrain.
Tant qu’on reste dans ces approches-là de l’orientation des technologies, les politiques publiques ne joueront pas leur rôle de maîtrise. Et qui jouera le rôle de maîtrise ? Ce sont les gens qui se réunissent au sein de Tor, Tails (“The Amnesic Incognito Live System”, est un système d’exploitation spécialement conçu pour préserver la vie privée et l’anonymat de ceux qui l’utilisent), qui font les outils de base avec lesquels on peut continuer à faire un travail ou simplement à s’exprimer en n’étant pas soi-même l’objet de la surveillance. A l’heure actuelle, il y a une grande inertie qui s’est accumulée dans les trajectoires technologiques sur deux points : la centralisation, mais aussi le fait que le modèle dominant est un modèle catastrophique économiquement et très difficile à modifier, c’est-à-dire celui de la monétisation de l’audience, qui a été historiquement le modèle de la télévision, et la télévision n’en est jamais sortie.
Dans la commission parlementaire sur le numérique, il y a le président de l’association française pour la monétisation de l’audience. À partir du moment où de grands acteurs capturent une petite somme macro-économique mais très concentrée, on crée des groupes d’influence puissants qui travaillent pour un intérêt très particulier. Donc je suis pessimiste sur le rôle des politiques publiques mais je reste raisonnablement optimiste sur les capacités de réaction sociétale. J’ai été impressionné par le fait que, parmi les communautés qui ont réagi aux révélations de Snowden avec le plus de compréhension réelle des enjeux, il y a les écrivains – partout sauf en France à quelques exceptions près.
Jean-Marc Manach : Pour préciser, Tor et Tails – deux logiciels qui permettent de sécuriser les communications – sont utilisés par Snowden et par Greenwald. Ils sont très intéressants, parce que Tor et Tails font que l’ordinateur de Greenwald n’a pas été piraté. Cela fait plus d’un an que ni la CIA, ni la NSA, n’ont pu détruire les fichiers de Snowden. Cela montre que si on veut protéger ses données, c’est possible. Et Greenwald, ce n’est pas un hacker, ce n’est pas un informaticien, il n’y connaissait rien, et puis il a appris, donc tout le monde peut apprendre. Et j’en viens à une hypothèse que j’ai formulée il y a quelques années, celle du « quart d’heure d’anonymat », au sens où Warhol avait prédit que tout le monde aurait son quart d’heure de célébrité. La téléréalité et Internet permettent à des anonymes de devenir célèbres (voir Tout le monde a droit à son 1/4h d’anonymat).
Aujourd’hui, le problème, que ce soit par rapport à Google, Facebook, la NSA, etc., c’est d’arriver à avoir son quart d’heure d’anonymat. Si j’ai besoin de confier quelque chose de confidentiel à quelqu’un, jamais je ne le fais par téléphone, jamais je ne le fais par e-mail en clair. Tout simplement parce que cela laisse des traces. Si j’ai besoin d’une communication confidentielle, je m’en donne les moyens techniques, mais c’est à moi de le décider. Là où je suis assez optimiste sur le moyen terme, c’est que, grâce aux révélations de Snowden, il n’y a jamais eu autant de gens qui développent des logiciels, des systèmes pour arriver à avoir ces quarts d’heure d’anonymat, pour arriver à sécuriser leurs données.
En France c’était catastrophique, jusqu’à il y a quelques années le simple mot « hacker » c’était un pirate informatique. Alors que non, ce sont les Snowden, ce sont les hackers qui font Tails, Tor, qui font qu’on peut se protéger et lutter contre la cybercriminalité. Bruce Schneier, un des professionnels de la sécurité les plus respectés et écoutés dans le monde, explique que l’objectif aujourd’hui, c’est de rendre la surveillance généralisée tellement chère que ça ne servira à rien. Et énormément de gens y contribuent. Je suis donc assez optimiste, à moyen terme.
Par contre, le problème c’est qu’il faut arrêter avec la notion de « Big Brother ». J’ai écrit un livre qui s’appelle La vie privée, un problème de vieux cons ?, où j’essayais d’expliquer que les petits cons d’aujourd’hui, les jeunes, bien sûr qu’ils veulent protéger leur vie privée, ils ne sont pas exhibitionnistes, mais ils mènent une vie publique. Ce qui n’empêche pas d’avoir une vie privée. Mais, par défaut, la vie est publique quand on est sur des espaces publics sur Internet. Donc ce n’est pas Big Brother, c’est plutôt Big Mother : la NSA vous surveille pour votre bien. Mais c’est surtout Minority Report.
Et là j’en viens aux voitures sans chauffeur, etc. Ce vers quoi on s’achemine, c’est une multiplication des Big Mother. Google nous surveille, c’est pour notre bien, la NSA aussi. Et, à terme, on va être de plus en plus confrontés à des systèmes informatiques distribués qui vont décider à notre place si on a le droit de faire quelque chose ou pas. On a aujourd’hui un quart des deman- deurs d’asile à Calais qui se brûlent les doigts pour effacer leurs empreintes digitales, pour ne pas être renvoyés en Grèce ou en Italie, là où on les a pris. Minority Report, c’est maintenant (voir Calais: des réfugiés aux doigts brûlés). Demain, ce sera les chômeurs, après-demain les étrangers, etc. On voit aujourd’hui des gens qui sont arrêtés, qui doivent démontrer leur innocence, c’est exactement comme au Procès de Kafka (voir Le vrai danger, ce n’est pas Orwell, c’est Kafka).
L’objectif, à terme, c’est de faire de telle sorte que ce soit l’être humain qui reste au contrôle, qu’on contrôle les machines. Sinon ce sont elles qui vont nous contrôler. D’où aussi la référence aux logiciels libres, qu’il faut promouvoir ; il faut promouvoir la transparence du code, qu’on puisse vérifier ce qu’il y a à l’intérieur. La transparence ne me fait pas peur parce qu’elle rend confiant. Le principe de Kerckhoffs, qui était un ingénieur français au XIXe siècle, dit que pour avoir confiance dans un système de sécurité, il faut qu’on puisse connaître les mécanismes, les plans de son dispositif de sécurité, afin de vérifier qu’il n’y a pas de porte dérobée, qu’il n’y a pas de piège à l’intérieur. Ce qui n’empêche pas d’avoir la clé, et la clé c’est votre vie privée.
Antoine Lefébure : La confiance et la véritable transparence viendront des citoyens, des associations. Elles ne viendront évidemment pas des gouvernements, encore moins des services secrets, pas plus que des grandes entreprises. Google et Facebook ont des ingénieurs qui s’occupent de la sécurisation contre les piratages, mais certainement pas contre le piratage d’État. Il faudrait arriver à déterminer le bon secret d’État du mauvais. À certains moments, le secret d’État se justifie, pas à d’autres. La clé, dans une démocratie, c’est de ne pas utiliser l’arme du secret pour dissimuler des pratiques injustifiables. Dans les grands contrats internationaux, il y a souvent des pots-de-vin que tous les États protègent par un secret absolu. C’est discutable mais justifié. Par contre, quand ce secret sert à cacher le financement des dirigeants au pouvoir, nous sommes dans la sphère du secret d’État ignoble. Au Danemark, ils ont un secret d’État, mais c’est extrêmement limité. Alors qu’en France, tout est secret, tout est transparent, tout se retrouve dans le journal, les conversations de Sarkozy comme les documents pris chez les avocats, etc.
Thierry van Santen : Je suis pour une fois assez pessimiste. Notre plus gros risque, c’est ce dont s’inspire le film Minority Report, à savoir l’intrusion dans la vie privée au travers de la connectivité permanente. Il faut savoir que demain, toutes les cartes d’identité seront basées sur l’iris. À chaque fois que vous entrerez dans un aéroport, ou tout autre lieu public, on saura vous localiser. Dès aujourd’hui, dès que vous payez avec votre carte de crédit, vous avez une alerte sur ce que vous avez dépensé et où. Il faudra s’habituer à vivre avec. Ma seconde inquiétude, c’est l’espionnage en général. Je pense qu’il a échappé petit à petit aux États. On est entré dans un circuit sur lequel on va avoir des guerres technologiques sans fin. Le troisième problème, c’est celui de gouvernance des États, la question de la transparence, de la fin et des moyens, etc. Je pense qu’en matière de gouvernance, les politiques ont encore leur mot à dire mais je crains qu’il y ait de moins en moins de volonté de leur part pour instaurer une véritable discipline, seule garante des libertés fondamentales.
Risques : Pour conclure, je vais ajouter deux petites doses d’optimisme. Comme j’ai essayé de le démontrer dans ce livre, qui s’appelle Un monde de violences, on entre dans une phase assez traditionnelle de stagnation de l’économie mondiale. Évidemment cela crée des difficultés, et les sociétés qui ont une incapacité par exemple à fournir de l’emploi aux uns et aux autres, ont besoin de se surveiller. Cela ne va pas s’arrêter aujourd’hui. Si ce que nous décrivons est exact, c’est-à-dire une sorte de disparition ou d’affaiblissement de la démocratie, une incapacité de réguler des dispositifs de contrôle excessif, cela donne le sentiment d’une société qui utilise la technologie d’une manière assez peu progressiste. La contrepartie, c’est que c’est une société en progression – elle n’est pas progressiste mais elle est en progression. Et l’argument de la modernité technologique, l’intérêt de ces quatre-cinq entreprises (Google, Apple, etc.) n’est pas d’aller contre cela. Ils sont les acteurs du dispositif. L’histoire du grand crash de voitures m’a interrogé. Moi je préfère conduire ma voiture. Quel est l’intérêt de ne pas conduire une voiture ? Je préfère qu’on dise : on fait des transports collectifs. C’est plus sympathique. Tout cela est mis sous la rubrique de la modernité, ce qui n’est pas du tout la société des Lumières.
Voir aussi :
La NSA n’espionne pas tant la France que ça
Pour la CNIL, 18% des Français sont « suspects »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
DGSE/Orange : joue-là comme SuperDupont (#oupas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA
Sous couvert de lutte contre les (cyber)djihadistes opérant en Libye et en Syrie, le projet de loi « renforçant les dispositions relatives à la lutte contre le terrorisme » veut (notamment, mais considérablement) étendre les pouvoirs d’investigation, de mise sur écoute et de sanction en matière de (cyber)police judiciaire (voir « Une entreprise de terrorisme médiatique (notamment)« ).
Giv Anquetil, que j’avais rencontré du temps où il travaillait avec Daniel Mermet pour feu « Là-bas si j’y suis » (Mermet a depuis décidé de rebondir sur la Toile), m’a convié à en causer dans « Comme un bruit qui court » (@commeunbruit sur Twitter), un magazine qui veut donner la parole aux « maquisards de la pensée contemporaine« , diffusé le samedi de 16 à 17h sur France Inter.
On a cherché un studio d’enregistrement libre, doté d’une connexion à Internet, Giv m’a installé devant un ordinateur et là, patatras, Giv et moi sommes devenus, en quelques secondes, et sans même nous en rendre compte, des « pirates informatiques« , pire : en vertu de ce projet de loi « renforçant les dispositions relatives à la lutte contre le terrorisme« , nous sommes devenus des « cyberterroristes« .
Non content de m’obliger à utiliser un ordinateur proposant par défaut le navigateur Internet Explorer (moi qui n’utilise que des logiciels libres), j’ai en effet découvert, en me rendant sur la page d’accueil de Twitter, que l’identifiant et le mot de passe du compte @AliveFI, la nouvelle émission « live » de Pascale Clark sur France Inter, était pré-enregistrés dans le navigateur.
Et j’ai cliqué sur le bouton « se connecter« , sans vraiment réaliser la portée de ce que nous étions en train de faire :
« Moi : Je peux écrire que j’ai piraté le compte de Pascale Clark ? Non, je vais pas faire ça, mais je pourrais…
Giv : Ben tu sais quoi ? On va ajouter ton compte dans les abonnements. Comme ça ils seront abonnés à toi… »
La preuve : dans l’émission, diffusée samedi dernier sur France Inter, Giv a révélé cet échange, et donc que nous avions « piraté » le compte Twitter de Pascale Clark:
Or, l’Article 323-1 du Code pénal punit de 2 ans de prison et de 30 000 euros d’amendes « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données« . J’ai de la chance : le projet de loi « renforçant les dispositions relatives à la lutte contre le terrorisme« , adopté à l’Assemblée, prévoit de multiplier l’amende par 3,333, et de la porter à 100 000€.
Le fait d’accéder, frauduleusement, au compte Twitter de l’émission de Pascale Clark est une chose; le fait d’avoir abonné @AliveFI à mon propre compte twitter (@manhack) en est une autre.
L’article 323-3 du Code pénal précise en effet que « le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende« . Là aussi, j’ai de la chance : le projet de loi « renforçant les dispositions relatives à la lutte contre le terrorisme » prévoit de multiplier l’amende par 6,666, et de la porter à 500 000€.
France Inter est un service public. Or, le code pénal prévoit que « lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende » en vertu de l’article 323-1, et « à sept ans d’emprisonnement et à 100 000 € d’amende » en vertu de l’article 323-3.
Giv et moi avons décidément beaucoup de chances : le projet de loi « renforçant les dispositions relatives à la lutte contre le terrorisme » veut rajouter un nouvel article dans le code pénal, afin de lutter contre le « cyberterrorisme » :
« Art. 323-4-1. – Lorsque les infractions prévues aux articles 323-1 à 323-3-1 ont été commises en bande organisée et à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à dix ans d’emprisonnement et à 1 000 000 € d’amende. »
A en croire le texte adopté la semaine passée à l’Assemblée -et qui doit encore être discuté au Sénat-, ce que Giv et moi avons fait, « en bande organisée« , relèverait du « (cyber)terrorisme« , serait passible de 10 ans de prison, et d’1M€ d’amende.
Nul doute que la Justice sera clémente… ou pas : les deux amendements visant à exclure « les simples actions de « sit-in » informatique de militants souhaitant bloquer temporairement l’accès à un site, sans destruction ni extraction des données« , comme on l’a vu avec certains actions d’#Anonymous, ont été repoussés par le gouvernement :
M. Sébastien Pietrasanta, rapporteur. Quand bien même une personne morale ou physique s’introduirait ou se maintiendrait dans un système de traitement automatisé de données à des fins pacifiques et de manière non-violente, dans le but d’exprimer une opinion, la fraude est nécessairement constituée (…).
Le législateur ne saurait exonérer a priori de sa responsabilité pénale telle ou telle personne, en fonction de la légitimité supposée de ses intentions, au risque de rompre l’égalité des citoyens devant l’application de la loi pénale : la loi est la même pour tous, qu’elle protège ou qu’elle punisse.
M. Pietrasanta reconnaît certes que le « jugement a la possibilité de tenir compte des circonstances de l’infraction et de la personnalité de son auteur, ainsi que de sa situation matérielle, familiale et sociale, conformément au principe d’individualisation des peines« , et je ne doute pas que Giv et moi ne serions pas condamnés à 10 ans de prison et 1M€ d’amende pour avoir cliqué sur le bouton (pré-enregistré) « se connecter » du Twitter de Pascale Clark, mais quid de ces #Anonymous qui participent à des cyber-sit-ins, quid de ces hackers citoyens qui accèdent à des documents sensibles censés être protégés, mais qui le sont d’autant moins qu’on y accède via Google (voir aussi CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET) ?
Je ne comprends pas le rapport entre cette drastique aggravation des peines en matière d’atteintes aux systèmes de traitement automatisé de données (STAD, le terme juridique officiel désignant les actions de « piratage informatique« ) et la lutte contre les (cyber)djihadistes opérant en Irak et en Syrie, qui motivent pourtant l’adoption, en urgence, de ce projet de loi.
L’étude d’impact associée à ce projet de loi rappelle qu' »en 2012, 182 infractions de cette nature avaient donné lieu à condamnation« , contre 111 en 2008. Si cette « hausse d’environ 60 % en valeur absolue » peut paraître « significative« , l’examen des condamnations montre que « les infractions le plus souvent associées aux STAD sont les faux et les escroqueries« , et qu’en 2008, « 41 % des condamnations donnaient lieu au prononcé d’une peine d’emprisonnement avec ou sursis« , contre 56 % en 2012, et que, « lorsqu’une peine d’emprisonnement ferme est prononcée, le quantum moyen se situe selon les années entre 18 et 24 mois« …
La loi prévoit d’ores et déjà -et depuis des années- que lorsque une atteinte STAD a été commise « à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat« , la peine est de 5 à 7 ans de prison, et de 75 à 100 000€ d’amende. Concrètement, ça changera quoi, de la porter à 10 ans de prison, et à 1M€ d’amende ?
Le gouvernement, et les parlementaires (de la majorité comme de l’opposition), pensent vraiment -sincèrement- que cela permettra de mieux lutter contre le (cyber)terrorisme ?
Cette façon (cyber)opportuniste d’instrumentaliser le terrorisme pour (une fois de plus) diaboliser Internet ne peut que contribuer, a contrario, à faire le jeu de tous ceux qui ne font plus confiance dans nos institutions : je suis consterné de voir que, sur Twitter notamment, nombreux sont ceux qui crient (limite paranos) à la « démocrature« , entre autres manifestations de défiance voire de dégoût face à ce projet de loi coup de com’.
Pascale Clark & France Inter ne porteront probablement pas plainte contre moi & Giv. Il n’empêche : à en croire le projet de loi « renforçant les dispositions relatives à la lutte contre le terrorisme« , adopté par l’Assemblée, et qui va donc prochainement être discuté au Sénat, nous avons commis un acte « cyberterroriste« , « en bande organisée« , pour avoir cliqué un bouton. Ce qui ne plaide pas, ce me semble, en faveur de ce projet de loi, en l’état.
Voir aussi :
La NSA n’espionne pas tant la France que ça
Pour la CNIL, 18% des Français sont « suspects »
« Sur Internet, on est tous pirates, et ça c’est bien »
Une entreprise de terrorisme médiatique (notamment)
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Quand j’étais chargé de sensibiliser les étudiants d’e-juristes.org, le Master 2 Professionnel spécialité « droit des nouvelles technologies et société de l’information » de l’Université Paris Ouest Nanterre La Défense (Paris X), qui « vise à former des spécialistes sur les questions juridiques posées par les nouvelles technologies de l’information et de la communication (TIC)« , je prenais un malin plaisir à commencer mes cours en leur demandant :
« Qui n’a jamais « piraté » un logiciel, film, série ou fichier .mp3 -sans le payer ? »
Et personne ne levait le doigt -à l’exception (notable) du gendarme commis d’office-, ce qui me permettait de leur lancer un « Bienvenue sur Internet ! Ou pourquoi, et comment, on a là un problème avec la loi, et la notion de « droit »…« .
Lauréate du 5ème Prix de thèse Informatique et Libertés -décerné par la CNIL- pour ses travaux sur les architectures pair-à-pair (P2P), membre de la Commission de « réflexion sur le droit et les libertés à l’âge du numérique » récemment créée à l’Assemblée nationale, Francesca Musiani (@franmusiani sur Twitter) m’avait interviewé il y a quelques mois.
Pirater, le nouvel opus de la revue Tracés de recherche en sciences humaines et sociales, a publié ladite interview… mais en accès payant.
Au vu du sujet, et de ce que j’avais pu expliquer à Francesca, je ne pouvais que mettre en ligne la version « brute de décoffrage » de ladite interview, enregistrée le 26 novembre 2013 (sachant par ailleurs qu’au vu des révélations Snowden, certaines de mes réponses auraient probablement été différentes depuis) :
A l’aune des révélations d’Edward Snowden sur les pratiques de surveillance mises en œuvre par les services de renseignement américains – pratiques illégales pour la loi américaine elle-même – les questions de cyber-conflit et de cyber-surveillance n’ont jamais été autant d’actualité. Les technologies de l’information et de la communication, Internet en tout premier lieu, sont de plus en plus utilisées à des fins économiques et militaires – du vol de données stratégiques aux détournements de systèmes industriels. La montée en puissance de l’espionnage, du traquage et de la surveillance numériques, de manière de plus en plus pervasive, est dévoilée non seulement par les récentes révélations Snowden ou par les activités de WikiLeaks, mais par la construction et l’organisation d’un marché des technologies et des équipements de surveillance qui est de plus en plus répandu et lucratif.
Dans ce contexte, le terme “piratage” acquiert des nouvelles facettes: si d’un côté, l’une des réponses des internautes et citoyens à ces pratiques de surveillance massive est celui de fabriquer, « bidouiller », voire détourner ou pirater des artefacts techniques pour sécuriser leurs connexions Internet et empêcher des tiers d’accéder à leurs données, il est aussi question de se rappeler à quel point le développement des techniques de surveillance et de déchiffrage a été un puissant vecteur de développement de l’informatique dans une perspective de “bien commun”.
Enfin, pour comprendre le phénomène du piratage à l’ère numérique, ses définitions, ses cadrages, ses réconfigurations, il est important de comprendre à quel point les pratiques qui ont été qualifiées comme “pirates” par tel ou tel autre acteur de la chaîne de valeur Internet sont de facto diffusées et répandues chez les utilisateurs – ce qui nous met, peut-être pour le plus grand bien de la société du partage et de la connaissance, dans la condition d’être “tous pirates”. Nous avons discuté de surveillance et de ses détournements, de bricolage informatique et de piratage avec le « journaliste hacker » Jean-Marc Manach, le 26 novembre 2013.
Jean-Marc Manach est un journaliste d’investigation spécialiste de questions de surveillance et de protection de la vie privée sur l’Internet : pour des raisons qu’il détaille au cours de notre conversation, il se définit désormais un « journo-hacker ». Jean-Marc est surtout connu pour son blog, Bug Brother, et pour ses contributions présentes et passées sur des sites web comme, par exemple, Internet Actu et OWNI.
Parmi ses enquêtes compte notamment celle sur Amesys, l’entreprise française qui, on l’apprend en 2011, a vendu au régime de Kadhafi les technologies de surveillance qui lui ont permis de surveiller ses opposants. Jean-Marc est membre fondateur des Big Brother Awards France, une cérémonie de remise de prix à « [des] gouvernements et [des] entreprises… qui font le plus pour menacer la vie privée » organisée par Privacy International (full disclosure : je n’en suis plus).
Il siège au comité de déontologie de Nos oignons, association qui promeut le développement du réseau de communications électroniques Tor afin de « garantir les libertés d’information, d’expression et de communication ». Il dispense divers enseignements dans des écoles de journalisme, sur des thématiques de sécurité informatique et protection des sources. Son projet le plus récent (depuis la rentrée 2013) est, toutes les deux semaines, le mardi à 14h42, l’animation d’une émission filmée de type Web TV sur le site web Arrêt sur images, où les invités interviennent via le logiciel Skype. Sa maison sur le Web est à l’adresse http://jean-marc.manach.net/.
Francesca Musiani : Partons de la plus stricte actualité. La firme Pogoplug annonçait hier la sortie de Safeplug, une « boîte à 49 dollars » censée sécuriser la connexion Internet des utilisateurs via un Tor plug-and-play. D’après votre expérience au sein de « Nos oignons », que pensez-vous de cette initiative ? La boîte Safeplug peut-elle marcher techniquement, et être largement adoptée par les utilisateurs ?
Jean-Marc Manach : Techniquement, il s’agit de quelque chose qui a été fait par les hackers depuis pas mal de temps. Là on arrive à la commercialisation d’un produit, à l’étape après le prototype. Je ne me rends pas bien compte du potentiel économique de la chose, si une boîte peut vraiment gagner de l’argent en faisant ça. Ce qui est sûr, c’est qu’en pleine affaire Snowden, cela n’arrive certainement pas à un moment anodin. Un des problèmes avec l’affaire Snowden est qu’il y a plein de gens qui disent deux choses : soit que « on le savait déjà », soit que « on ne peut rien faire ».
Or, le premier point est sans doute faux, il y a plein de choses que cette affaire a fait éclater au grand jour ; et pour le deuxième, bien sûr que non, on peut faire des choses et on pouvait même avant les révélations Snowden. Celles-ci ont incité les gens à fabriquer ou « bidouiller » des choses, soit au niveau micro, soit en organisant des ateliers, pour sécuriser leurs connexions Internet et empêcher des tiers – la NSA en tête – d’accéder à leurs données et pratiquer des écoutes massives.
Entre temps, on voit Twitter, Microsoft, qui passent en HTTPS… Ce petit gadget participe d’un mouvement mondial, un effort pour re-sécuriser Internet. Ce qui est intéressant avec ce boîtier, Safeplug, c’est qu’il va être entre l’ordinateur et le routeur, donc quel que soit le protocole utilisé, tout le trafic est censé passer par Tor – pas que le trafic Web.
Francesca Musiani : La sortie de Safeplug est la toute dernière occasion de réfléchir à une question qui me tient particulièrement à cœur, y ayant consacré plusieurs années de mes recherches : la mise en place d’alternatives décentralisées aux services Internet actuellement répandus, comme manière d’améliorer la protection de la vie privée et la sécurité de son identité en ligne. Que pensez-vous de cette approche « par la technique » à la sécurité et la vie privée, et de son efficacité par rapport à d’autres stratégies, telles que la loi écrite ou l’éducation des utilisateurs ?
Jean-Marc Manach : Une des influences géopolitiques majeures des Etats-Unis par rapport à Internet c’est d’arriver à propager dans le monde entier l’idée qu’on ne peut pas faire confiance à la loi. Les Etats-Unis sont un pays qui n’a pas confiance en ses institutions : donc, par exemple, c’est beaucoup plus facile d’obtenir de l’information, via le Freedom of Information Act. C’est un instrument très puissant, des documents de la NSA peuvent être déclassifiés grâce à ça. A fortiori, avec l’affaire Snowden, on a vu que NSA viole effectivement la loi américaine.
En France, cette défiance de l’Etat n’est pas inscrite dans le système. Mais avec Internet, de plus en plus de personnes apprennent à se méfier. La solution est bien évidemment technique. Si l’on aborde l’enjeu d’un point de vue législatif, ça prend toujours plus de temps. L’approche de la « privacy by design« , c’est à la fois technique, culturel et financier. Cela fait des années que des gens se battent pour ça, mais il y a plein d’entreprises qui ne font pas ça. Là encore, avec l’affaire Snowden, de nombreux Etats et entreprises vont augmenter leurs budgets de sécurité, donc il se peut que Snowden accélère l’adoption plus à large échelle de la « privacy by design« .
Il expliquait que la raison fondamentale à la base de ses révélations est qu’on est à un tournant dans notre conception des droits de l’homme. Il pense que s’il avait encore tardé, cela aurait été trop tard pour savoir si c’est la matrice qui contrôle les hommes ou vice-versa, s’il y a de l’accountability, de la responsabilité, de la transparence. Peut-être que, d’ailleurs, il est déjà trop tard. Mais en tout cas, on est à un tournant.
En matière d’éducation, on peut commencer par un exemple. Un enfant de deux ans va savoir comment utiliser un iPhone, tandis que quelqu’un de plus de cinquante ans va lire le mode d’emploi. Or, la raison du succès de l’iPhone, c’est qu’il n’y a pas de mode d’emploi pour s’en servir.
On est dans une situation où les enseignants en savent moins que les élèves, parce qu’ils ne sont pas nés avec les outils ; en plus, les premiers ont grandi dans une situation où l’enseignement, c’est quelqu’un qui parle et quelqu’un qui écoute, pas une logique de co-participation et de partage à laquelle l’internet nous a habitués.
Le Danemark est à ma connaissance le seul pays qui autorise les étudiants à avoir un accès Internet pendant leur bac. Ils se sont posés la question de pourquoi le seul jour de leur vie où ces élèves n’auront pas accès à l’Internet devrait être le jour de leur bac. Ils ont compris que le plus important n’est plus d’apprendre par cœur, mais de savoir comment trouver l’information la plus utile au bon moment. Je suis assez sceptique qu’on arrive à incorporer cette vision dans notre éducation et rendre son objectif principal celui d’améliorer le savoir commun.
Mais il y a quelques îles : par exemple, le travail de François Taddéi et son Centre de recherche interdisciplinaire. Mais en général je reste sceptique, surtout quand je vois quelle a été la stratégie du législateur, il y a quelques ans, pour sensibiliser les enfants aux questions relatives à la violation du droit d’auteur sur Internet : ils envoient des gens dans les écoles, pour dire aux élèves de ne pas faire ceci et cela – et une approche semblable pour les réseaux sociaux : ne partage pas n’importe quoi, c’est dangereux ! Ce qui, bien sûr, est la meilleure manière de s’assurer qu’ils le fassent. Parler à la fois des dangers et des opportunités du partage me semble plus constructif.
Un point final peut être fait sur la différence entre fournir un équipement informatique, et fournir l’infrastructure qui permette effectivement de l’utiliser. Cela ne sert à rien d’équiper des écoles entières avec des ordinateurs portables si on n’équipe pas les salles de cours avec des prises électriques et du haut débit. Il faut dépasser le rapport à l’informatique en mode gadget pour que l’éducation devienne un véritable instrument par rapport aux enjeux de surveillance, sécurité, vie privée.
Francesca Musiani : Revenons un peu en arrière. Vous êtes reconnu pour votre travail de journalisme d’investigation sur les thèmes de surveillance et privacy en ligne, mais vous m’avez dit lors de notre premier contact que vous êtes devenu journaliste « par hasard ». En effet, votre parcours de « journo-hacker », comme vous vous définissez, est loin de se résumer à ça. En 2001, vous publiez un ouvrage sur le cinéma expérimental français des années 70. En 2008 et 2010 sortent vos deux ouvrages « Big Brother Awards » et « La vie privée, un problème de vieux cons ? », sur des thèmes de surveillance et privacy respectivement. Qu’est ce qui vous a amené, progressivement j’imagine, à vous intéresser à ces deux thèmes ?
Jean-Marc Manach : En effet, je ne voulais pas être journaliste : je voulais faire du cinéma. J’arrive à la fac, je découvre le cinéma expérimental et les documentaires et je me passionne pour ça. Je commence à faire des films qui étaient vraiment hors cadre : les festivals de cinéma n’en voulaient pas parce que cela faisait trop documentaire, et les festivals de documentaires n’en voulaient pas parce qu’ils étaient trop cinéma expérimental. J’ai commencé à écrire un petit peu pour « défendre » mon cinéma.
La Cinémathèque française élaborait à ce moment un catalogue à l’occasion d’une grande rétrospective sur le cinéma expérimental, et j’ai suggéré d’y inclure un chapitre sur un épisode qui n’avait jamais été raconté : le fait qu’on avait décidé de ne pas aider financièrement le cinéma expérimental. Cet article a été censuré du catalogue, pour d’obscures raisons de manque de place. J’étais dégoûté par le fait que dans le monde du cinéma, 30 ans après les faits que je racontais, on arrivait encore à censurer des choses (rapport censuré que, pour le coup, j’avais mis en ligne sur le web).
Entre temps, je découvrais Internet – par hasard, j’écrivais à ce moment pour un journal qui avait un accès Internet à haut débit, ce qui était encore très rare : ceux qui avaient accès à Internet à l’époque étaient majoritairement limités par leurs modems à 56Kbit/s. Je commençais à bricoler mes sites Web, une page perso. C’est là que le basculement a eu lieu : en 1999-2000, j’ai un accès haut débit, je commence à m’intéresser à l’Internet, et voilà que sort le rapport de Duncan Campbell sur le système anglo-saxon ECHELON de surveillance et d’espionnage des télécommunications.
J’arrive donc sur Internet au moment où je découvre que la totalité d’Internet est sous surveillance. Je commence à m’intéresser à ça du point de vue du journaliste : pour protéger mes sources. Les journalistes n’avaient pas de mode d’emploi pour gérer cela ; par contre, en me tournant vers le monde des hackers, je me suis rendu compte qu’eux, ils en avaient, ils savaient comment protéger leur vie privée, utiliser les logiciels et systèmes de sécurité informatique. J’ai commencé à lire, puis à traduire et publier des documents et modes d’emploi. Voilà comment j’ai commencé à m’intéresser à ces questions.
Francesca Musiani : Le documentaire « Une contre-histoire de l’Internet » réalisé par Sylvain Bergère, dont vous êtes co-auteur, met l’accent sur développeurs et/ou activistes et montre comment ceux-ci ont rendu l’Internet ce qu’il est aujourd’hui. Quelle a été la genèse de ce projet ? Quel est l’avantage de cette approche à l’histoire, voir aux histoires, de l’Internet ?
Une très grande majorité des personnes qui retracent l’histoire d’Internet expliquent que le réseau a été conçu à la demande des militaires US pour résister à une attaque nucléaire. Or, Internet a aussi été conçu par des hippies qui prenaient du LSD ! Cette histoire n’avait jamais été racontée, et les documentaires sur l’Internet étaient souvent anxiogènes, assimilant les internautes à des pirates, les hackers à des criminels… Ce qui m’intéressait, c’était de montrer que c’est grâce aux hackers qu’on a Internet. C’est vrai, il a été initialement financé par l’armée américaine, mais c’est aussi le cas de Tor, auquel on attribue aujourd’hui tous les vices. Il y a tellement de choses qu’on doit aux hackers – au sens large : les militants pour le partage, l’ouverture du code source, le logiciel libre, l’intérêt pour la transparence et le souci aigu de la vie privée…
Francesca Musiani : Cela passe aussi par une reconfiguration, aux yeux du grand public, de la définition même de hacker…
Bien sûr. Et tout particulièrement en France d’ailleurs, où on a longtemps diabolisé la figure du hacker. C’est la DST (Direction de la surveillance du territoire) qui a constitué le premier groupe de hackers, au début des années 90, et quand on l’a su, plus personne n’a voulu se définir comme hacker. En 2001, je participais au premier symposium sur la sécurité informatique, et la moitié des gens étaient en uniforme : le congrès avait lieu dans l’enceinte même de l’Ecole militaire des transmissions… Il a fallu attendre 2007 pour avoir le premier festival de hackers en France, et des « coming out » de gens qui se définissaient comme hackers. L’année dernière, la France a accueilli près d’une dizaine de congrès de sécurité informatique réunissant des hackers internationaux de très haut niveau. Chose qui était impensable il y a quelques années. La diabolisation du hacker explique aussi beaucoup de choses sur ce dont on discutait avant, l’approche du système d’éducation à l’informatique. Et ça explique aussi pourquoi, au début des années 90, un dirigeant de France Télécom déclarait qu’ils allaient « interdire Internet ». Cela explique aussi pourquoi on nous a bassiné, à la TV, dans les années 90, avec le fait qu’Internet serait un nid de pédophiles et de nazis. C’est tellement aberrant ! Mais cela se passe beaucoup plus en France que dans d’autres pays, et je pense que c’est lié à la manière top-down dont notre Etat est organisé. Aux Etats-Unis, ils ont bien des défauts, mais si on a déjà essayé de monter des boîtes et qu’on s’est planté, on a plus de chance de lever des fonds pour en monter d’autres ; en France, si on s’est planté, c’est fini. C’est ça aussi, la culture hacker : intégrer l’échec au développement.
Francesca Musiani : A propos des « histoires dominantes » et du formatage des discours qui en découle, on a souvent l’impression, de par son traitement dans la presse, que l’histoire de la surveillance Internet tourne autour des Etats-Unis. Est-ce vraiment le cas, ou au moins, est-ce le cas jusqu’à ce point ? Est-ce que cette histoire cache des discours et des pratiques – étatiques, privées, un mélange des deux – dont on devrait avoir plus conscience ?
On ne peut pas comprendre le développement de l’informatique sans comprendre qu’elle vient aussi des efforts entrepris pour casser les codes secrets pendant la seconde guerre mondiale. Le programme Enigma, qui avait donné lieu au développement du premier prototype d’ordinateur par Alan Turing, en est un exemple. Le développement de l’industrie des télécommunications s’est accompagné par le développement de la surveillance des télécommunications. Enormément d’argent a été destiné à ce développement pendant la guerre froide, aussi. Internet, c’est la queue de comète de tous ces épisodes-là. Aujourd’hui, le marché des systèmes d’espionnage et de surveillance des télécommunications est estimé à cinq milliards de dollars par an. Ces systèmes espions étaient autrefois l’apanage des services de renseignement de grands pays comme les Etats-Unis, la France, la Chine ou la Russie. Plus maintenant. De nombreuses PME le proposent aussi.
Francesca Musiani : Vous pensez notamment à l’affaire Amesys ? Pour rappel, il s’agit de la société française qui – on l’a appris en 2011 grâce à une de vos enquêtes ainsi qu’un reportage successif du Wall Street Journal – a vendu au régime de Kadhafi les technologies de surveillance qui lui ont permis de surveiller ses opposants, et de monitorer l’ensemble des communications sur Internet ainsi que les réseaux de téléphonie mobile et satellite en Libye.
Oui, tout à fait. Aujourd’hui, n’importe quel dictateur, tout comme n’importe quel shérif de comté américain, peut acheter sur étagère des dispositifs d’interception des télécommunications. Des personnes, des bibliothèques, des institutions, des pays. Il y a un véritable complexe militaro-industriel qui s’est mis en place, y compris plein de contractants privés – Snowden en était un. C’est un business qui n’existait pas du tout à ce niveau-là avant 2001. Donc, pour en revenir à votre question, on parle démesurément des Etats-Unis et de la NSA, mais c’est parce-que paradoxalement, c’est un pays qui a une culture de méfiance envers les institutions, il y a des choses comme les lanceurs d’alertes et le droit à déclassifier des documents. On peut se permettre de dénoncer les pratiques du gouvernement, aux Etats-Unis. Ce n’est pas le cas en Russie, ni en Chine… ni en France ou en Grande Bretagne, qui pourtant violent la loi exactement de la même façon ou au moins en sont fortement soupçonnés. Donc, c’est paradoxal : les Etats-Unis, c’est une grande démocratie, avec de gens qui veulent défendre les droits individuels, et c’est pour ça qu’on arrive à avoir ces documents ; ailleurs on n’a pas cette chance, faute de documents, on ne sait pas vraiment quel est l’ampleur de la surveillance chez nous. Une des leçons Snowden est probablement qu’en ce sens-là, les Etats-Unis sont une meilleure démocratie que la France.
Francesca Musiani : Dans mes propres recherches, je m’intéresse de plus en plus à la « privatisation » de la gouvernance de l’Internet, le rôle accru que joue l’industrie, volontairement ou obligatoirement, dans la régulation du contenu et de la liberté d’expression. A part Amesys, est-ce un thème que vous rencontrez dans vos enquêtes, et comment ?
Dès le début des années 2000, on parlait déjà d’auto-régulation, à la fois par la société civile et les acteurs privés. Un exemple intéressant en France était le Forum des Droits de l’Internet (FDI), où justement on réunissait des représentants des ministères avec la société civile et des industriels. Et cela a permis d’éviter de faire certaines erreurs, et qu’un certain nombre de projets de loi ne soient pas débattus que par des députés qui, souvent, ne comprennent pas le fonctionnement ni la portée des technologies qu’ils veulent “réguler”. Depuis, on a fermé le FDI, et créé la Hadopi…
Francesca Musiani : Le modèle multi-parties-prenantes est également celui du Forum sur la Gouvernance de l’Internet. L’idée est justement qu’on ne fait « que » dialoguer, mais que ce dialogue…
Empêche de faire des bêtises ! OK, le FDI a servi à bien plus qu’à ne pas faire des bêtises, mais comme disait l’un de nos invités pour le documentaire, « ceux qui parlent ne se balancent pas des bombes ». Si on parle, on va éviter la vision complètement caricaturale de l’autre – ce qui ne s’est pas passé, par exemple, lors des déclarations de notre ancien Président qui voulait « civiliser Internet ». Comment peut-on penser que ce point de vue colonisateur est applicable à l’Internet ? La mesure de cette impossibilité est bien mise en lumière par les effets pratiques de la loi Hadopi. Une condamnation, à 150 euros d’amende, et ce n’était même pas la faute de l’individu condamné, mais de son ex-femme qui avait utilisé la connexion à son insu. Il suffisait que l’abonnement soit à son nom.
Francesca Musiani : C’est d’ailleurs l’un des points que les ingénieurs auditionnés lors du parcours parlementaire Hadopi avaient mis en lumière : ce n’est pas possible, pour les utilisateurs, que d’avoir la certitude technique et matérielle qu’ils ont bien sécurisé leur connexion Internet…
Oui, c’est ce que j’avais dit aussi : votre projet de loi ne tiendra pas parce qu’on ne peut pas demander à quelqu’un d’avoir les compétences techniques pour vraiment sécuriser sa connexion. Des entreprises spécialisées et avec les grands moyens n’y arrivent pas. La réponse qu’ils m’ont donné a été : puisqu’on est une économie capitaliste, on va créer un marché, et les entreprises vont trouver une solution. Or, quatre ans après, dans cette économie de marché, il n’y a pas encore une solution de sécurisation qui a été labellisée par la Hadopi. Il semblerait que ce soit plus complexe qu’une vision ultra-libérale et capitaliste de l’Internet.
Francesca Musiani : Après WikiLeaks, notamment, le métier du journaliste d’enquête et du « whistleblower », le lanceur d’alerte, semble être entré dans une nouvelle ère. Est-ce le cas ? Je pense notamment à une problématique croisée entre journalisme et recherche, celle du rapport aux sources. Comment abordez-vous cette question dans votre travail ?
Depuis 1999-2000, j’ai commencé à faire des « modes d’emploi » pour sécuriser mes sources. Je n’ai pas eu tant que ça besoin de le déployer. Par contre, un certain nombre d’informations et de scoop que j’ai pu avoir, c’est parce que je savais comment protéger mes sources, elles avaient confiance en moi et elles savaient comment me contacter en toute confidentialité et sécurité. Ce que WikiLeaks a changé consiste surtout en deux aspects : primo, ça a relancé le journalisme d’investigation, en premier lieu sur papier. Avant, les patrons de presse nous expliquaient qu’à cause d’Internet, où tout est gratuit, il y a moins d’argent pour les journaux. Julian Assange et WikiLeaks arrivent, proposent d’avoir accès à des documents, et le Guardian, le New York Times, etc. arrivent à mobiliser des dizaines de journalistes pendant des mois pour travailler avec WikiLeaks et compléter l’investigation. A cause d’Internet, le journalisme d’enquête ne marchait plus ; maintenant, grâce à Internet, c’est reparti. Secundo, on a vu la montée en puissance du data journalism. C’est d’ailleurs ce qui m’est arrivé, je suis devenu journaliste parce que j’ai commencé à traiter des données, même si l’étiquette n’existait pas encore. Là encore, c’est la relance du journalisme d’enquête, des lanceurs d’alerte, et j’espère qu’il y aura de plus en plus de ces derniers, parce que nos démocraties en ont grand besoin.
A un moment, dans notre documentaire, Assange reprend l’expression d’un lanceur d’alertes de la NSA qui expliquait qu’on est à un « turning point », à un moment charnière, et qu’il n’y a plus qu’à tourner la clé. Et si on tourne la clé, on passe dans une société totalitaire, parce que toutes les technologies, tout le système, est en place. Si Snowden n’avait pas fait ce qu’il a fait, on peut raisonnablement penser que dans deux, cinq, dix ans, ils auraient été dans la position de surveiller absolument tout. Ce qui relevait d’une légende hollywoodienne, aux temps de « Ennemi d’Etat », devient de plus en plus concret : aujourd’hui, on a tous un petit dispositif de traçage dans nos poches – le smartphone. Traquable par les services de renseignement, traquable par les policiers, traquable par les entreprises parce qu’on leur a donné la permission de le faire. C’est le rêve de la Stasi ! Voilà toute l’importance de ce qu’ont fait Assange et Snowden. Le premier peut être enfermé dans une ambassade à Londres, mais il a provoqué un débat mondial et a eu des effets géopolitiques importants, notamment dans le printemps arabe ; à deux, ils ont révolutionné les pratiques journalistiques ; les journalistes reprennent le quatrième pouvoir, qui est celui de demander des comptes. L’éthique d’Assange et de Snowden est en fait la philosophie des hackers, celle qui a été conceptualisée au début des années 80 aux Etats-Unis : hacker, c’est militer pour la vie privée des citoyens, et pour la transparence des institutions, pour pouvoir les contrôler plutôt qu’être contrôlés et manipulés par elles : les institutions sont à notre service, pas le contraire. Ce programme est au cœur de ce qu’est WikiLeaks, et de ce qu’il veut aider les journalistes à faire.
Francesca Musiani : Est-ce quelque chose a changé dans l’éthique du journaliste, face à cette pléthore de données et de sources ?
Je ne sais pas si cela change quelque chose à l’éthique des journalistes. Moi, j’ai eu des problèmes éthiques quand je me suis trouvé à manipuler, avec WikiLeaks, les mails syriens. Là, j’étais vraiment un peu comme la NSA : c’était quand même des millions de mails de citoyens syriens. Mais je n’ai pas trouvé grand-chose, à part les blagues que Bachar el Assad envoyait à son assistante…
Sinon, récemment, j’ai changé mon statut sur Twitter et je me présente comme « journaliste hacker » : il y a quelques années, je n’aurais pas pu faire ça. Maintenant, on peut se qualifier comme hacker et dire qu’on fait des choses bien. J’ai quand même souvent la question « mais alors, tu es hacker, cela veut dire que tu peux pirater les boîtes aux lettres ? » alors que je n’ai rien fait d’illégal sinon ce qu’ont fait des autres journalistes d’investigation, du recel – avoir des informations que je ne suis pas censé avoir. Mais c’est mon boulot. Je suis l’éthique des hackers, je ne sais même pas trop ce qu’on enseigne à l’école de journalisme d’ailleurs en termes d’éthique. Peut-être qu’avec les Big Data, avec toujours plus d’informations à disposition, le journalisme va être confronté à encore de nouveaux défis éthiques.
Ce qui est intéressant est que cette situation donne plus de pouvoir aux développeurs et aux hackers. Et donc il y a aussi un débat pour savoir si un hacker qui va travailler pour les services de renseignement « passe du côté sombre de la force ». Mais travailler pour la NSA, est-ce que c’est du bien ou du mal ? C’est compliqué. A priori, si l’on est américain, c’est légitime de créer un service de renseignement dont les informations vont servir à protéger les américains. Mais est-ce que pour cela c’est légitime d’espionner tout le monde ?
Les profils des hackers sont de plus en plus recherchés, à la fois par les gouvernements et les entreprises, surtout à la suite de l’affaire Snowden, et c’est sûr que cela confronte le hacker à sa propre éthique.
Francesca Musiani : Comme vous le savez, cet entretien se déroule dans le cadre d’un numéro sur le « piratage ». Comment l’appellation « pirate » entre-t-elle dans les questions qui vous préoccupent ? Quelles pratiques y sont associées, aussi bien du côté des pratiques réprimées que de celles appropriées, voire récupérées (par les gouvernements, les entreprises, à travers l’espionnage, la surveillance, etc.) ?
Pendant quelques années, j’ai fait un cours à la fac de Nanterre dans un département où l’on formait des juristes aux enjeux Internet. J’avais la mission de les sensibiliser sur les usages et sur leur perception d’Internet. La première question que je posais aux étudiants était la suivante : « Que ceux qui n’ont jamais piraté un logiciel, ‘rippé’ un DVD, téléchargé MP3, lèvent la main. » Il n’y avait qu’un seul qui levait la main – le gendarme qui était envoyé là en formation continue. Personne d’autre. Et moi : « Bienvenue sur Internet. Si on ne comprend pas ça, on ne peut pas comprendre ceux qu’on appelle les pirates informatiques : on est tous des pirates informatiques. » On est tous des pirates, ou on l’a tous été.
En 2005, le Parlement a voté la loi DADVSI, dans le but de lutter contre le piratage – cette loi punissait le fait de contourner les DRM, les méta-fichiers qui empêchent de copier des contenus numériques. J’ai pensé que c’était hallucinant : j’utilise Linux depuis des années, donc je ne peux pas lire les DRM pour lesquels on doit passer par Microsoft ou Apple, donc si je veux lire un DVD que j’ai légitimement acheté, le seul moyen que j’ai pour le faire, c’est de le pirater. Cette loi fait de moi un pirate, alors qu’à priori, je suis un utilisateur de logiciel libre, et que je fais donc partie de cette petite minorité de gens qui ne “piratent” jamais de logiciels…
Donc à ce jour, on ne peut pas comprendre Internet, la société du partage et l’accès à la connaissance, si on ne prend pas conscience de ça. La quasi-totalité des gens, sur Internet, s’est trouvée à un moment ou à l’autre à violer la loi, ce qui est quand même un phénomène inédit dans l’histoire de l’humanité. Et si on interdit quelque chose sur Internet, il réapparaît généralement ailleurs, autre part, autrement. Bien sûr, on peut à nouveau parler de l’Hadopi, qui a pensé que pour faire sécuriser leurs ordinateurs aux gens il fallait « créer un marché ».
Le terme de pirate, c’est fort. C’est du criminel, c’est du violent, c’est du sanguinaire… et de l’illégal. En même temps, dans quelle mesure Gutenberg a été harcelé par les autorités quand il a sorti l’imprimerie ? Est-ce qu’il a eu autant de soucis ? Je pense que celui qui en parle le mieux, c’est Eben Moglen. Pour lui, ceux qui luttent contre le piratage, luttent aussi pour l’ignorance, l’analphabétisme, la pauvreté, l’interdiction de solutions alternatives, de résolution de problèmes en mode bottom-up. C’est l’interdiction économique avant l’empowerment économique. Comme l’Internet permet de faire autant de choses, les Monsanto, les Vivendi et les Sarkozy de ce monde le lisent comme une perte du pouvoir qu’ils ont (encore) à ce moment. Mais je ne vois pas comment on pourrait faire marche arrière : on ne pourra pas empêcher aux gens de se renseigner et de partager, quitte à pirater des fichiers – ce qui, souvent, s’avère plus simple que de les acheter.
Après il y a aussi le côté sexy du pirate, et je pense que les hackers ont joué sur ça, sur le côté du jeu et de l’adolescent. Mais au fond, on peut vraiment résumer à ça : sur Internet, on est tous pirates, et ça c’est bien.
Francesca Musiani : A quoi doit-on s’attendre en termes des évolutions de la surveillance, selon vous, dans les prochaines années ? Est-ce que l’information – la capacité de s’en approprier, de l’agréger, de la contrôler, d’en « faire sens » – est désormais, comme le président américain Barack Obama a affirmé il y a quelques jours, l’arme du 21ème siècle ?
A moyen terme, je pense qu’on peut espérer une redéfinition du paysage légal, et de ce que les services de renseignement peuvent faire. Ça, ce n’est que les américains qui peuvent le décider, malgré les « pressions » que l’Europe et les autres peuvent faire. On peut aussi s’attendre à une redéfinition, dans l’IETF et les autres instances de gouvernance de l’Internet, des normes de sécurité et de protection de la vie privée pour qu’il y ait plus de privacy by design, voire de security by design. Pas seulement à cause de Snowden, mais simplement parce que de plus en plus de choses dépendent de notre connexion à l’Internet et du fait qu’elle soit sécurisée. Il y a le SCADA, tous ces systèmes industriels qui sont connectés via les réseaux, et cela pose d’énormes problèmes, parce que si on coupe l’électricité et donc la connexion, on pourra aussi couper l’approvisionnement d’eau ou d’autres infrastructures critiques. On assiste à une militarisation d’Internet, pas seulement la surveillance, mais aussi au travers de ce qu’on appelle la “lutte informatique offensive”, et donc le piratage de systèmes à des fins d’espionnage, voire de destruction. On parlait depuis des années des risques de la cyberguerre, je pense qu’on y est en plein à présent.
Assange est renfermé à Londres, Manning a pris trente-cinq ans, plusieurs hackers proches d’Anonymous ont écopé de plusieurs années de prison, sans oublier le suicide d’Aaron Swartz, qui avait devant lui une machine politico-légale qu’il ne pensait pas pouvoir contrer. En face on a un président américain Prix Nobel de la paix dont l’administration a lancé une véritable “chasse aux sorcières” contre les lanceurs d’alerte. Mais ma conviction reste quand même que les hackers ont déjà gagné. Au sens où, même si on est encore minoritaires, même si on est encore diabolisés, on a gagné parce le sens de l’Histoire ne peut plus être inversé, et l’éthique hacker est là comme jamais auparavant.
Pour en savoir plus
Aigrain, P. (2010). Declouding Freedom: Reclaiming Servers, Services and Data. In 2020 FLOSS Roadmap (2010 Version/3rd Edition).
Auray, N. (1997). Ironie et solidarité dans un milieu technicisé : Les défis contre les protections dans les collectifs de hackers. Raisons pratiques, 8: 177-201.
Brevini, B., Hintz, A. & McCurdy, P. (coord., 2013). Beyond WikiLeaks. Implications for the Future of Communication, Journalism and Society. Londres: Palgrave-Macmillan.
Campbell, D. (1988). Somebody’s Listening. New Statesman, 12 août 1988.
Cavoukian, A. (coord., 2010). Special Issue: Privacy by Design: The Next Generation in the Evolution of Privacy. Identity in the Information Society, 3 (2).
Garnier, J.-P., Manach, J.-M., Martenot, A.-L., Thorel, J. & Treguier, C. (2008). Big Brother Awards : Les surveillants surveillés. Paris: Zones.
Himanen, P. (2001). L’éthique hacker et l’esprit de l’ère de l’information. Paris: Exils.
Jesiek, B. (2003). Democratizing software: Open source, the hacker ethic, and beyond. First Monday, 8 (10).
Manach, J.-M. (2010). La vie privée, un problème de vieux cons? Limoges: FYP Editions.
Moglen, E. (2010). Freedom In The Cloud: Software Freedom, Privacy and Security for Web 2.0 and Cloud Computing. Discours aux Rencontres de l’Internet Society (ISOC), New York, 5 février 2010.
Musiani, F. (2013). Nains sans géants. Architecture décentralisée et services Internet. Paris: Presses des Mines.
Musiani, F. (2011). Privacy as Invisibility: Pervasive Surveillance and the Privatization of Peer-to-Peer Systems. tripleC, 9 (2): 126-140.
";s:7:"dateiso";s:15:"20140919_163357";}s:15:"20140915_150059";a:7:{s:5:"title";s:52:"Une entreprise de terrorisme médiatique (notamment)";s:4:"link";s:113:"http://bugbrother.blog.lemonde.fr/2014/09/15/une-entreprise-de-terrorisme-mediatique-notamment/#xtor=RSS-32280322";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=6534";s:7:"pubDate";s:31:"Mon, 15 Sep 2014 13:00:59 +0000";s:11:"description";s:466:"L’examen, au Parlement, du Projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme soulève un tollé du côté des défenseurs des libertés, notamment sur Internet. L’examen de ces principaux articles révèle en effet une instrumentalisation de … Continuer la lecture ";s:7:"content";s:19680:"L’examen, au Parlement, du Projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme soulève un tollé du côté des défenseurs des libertés, notamment sur Internet. L’examen de ces principaux articles révèle en effet une instrumentalisation de la menace terroriste (cyber)djihadiste visant non pas tant -ou pas seulement- à lutter contre les dérives auxquelles on assiste en ce moment en Syrie et en Libye et les effets de bord que cela pourrait avoir, en France, mais à élargir les pouvoirs d’écoute et d’investigation des services en charge de la lutte contre la délinquance et la criminalité organisée, « notamment« .
Au lendemain des attentats du 11 septembre 2001, la presse du monde entier relaya un article qui révélait que Ben Laden était passé maître dans l’art d’utiliser la cryptographie, et que les terroristes islamistes cachaient leurs messages secrets dans des photos… pornos. Une affirmation pour le moins étonnante concernant des personnes connues pour imposer le port du niqab ou de la burqa, et interdire aux femmes de laisser transparaître les formes de leurs corps.
A l’époque, dans une contre-enquête intitulée Terrorisme : les dessous de la filière porno, j’avais tenté d’expliquer qu’il s’agissait plus probablement d’une tentative de désinformation, et m’étonnait de voir le crédit porté à cette histoire véhiculée par un journaliste qui, interrogé sur la notion d’objectivité journalistique, n’hésitait pas à déclarer : « Je ne peux séparer ma foi de ma profession« , et de préciser :
« Je pense que c’est un don, les histoires tombent comme ça sur mes genoux quand je suis en phase avec Dieu. C’est probablement parce que Dieu sait que je suis trop bête pour sortir et les trouver par moi-même. C’est tout bonnement incroyable. »
Jack Kelley, le journaliste en question, n’en fut pas moins viré en 2004 lorsque son employeur, USA Today, découvrit qu’il bidonnait, depuis des années, ses reportages, y compris celui qui avait failli lui valoir un Pulitzer en 2001.
En attendant, cette histoire de terroristes islamistes adeptes de photos porno (plus c’est gros, plus ça passe) contribua à diaboliser la cryptographie en particulier, et l’Internet en général, contribuant à l’adoption de mesures sécuritaires prises dans la foulée des attentats de 2001. La Loi sécurité quotidienne (LSQ), adoptée dans la foulée et sous le coup de l’émotion, en octobre 2001, obligea en effet les fournisseurs d’accès à conserver les traces de ce que font leurs abonnés sur Internet… quand bien même il n’a jamais été démontré que les terroristes du 11 septembre 2001 s’en étaient servis pour préparer leurs attentats.
En matière de cryptographie, elle entraîna la création d’un Centre Technique d’Assistance (ou CTA) visant à permettre aux services de renseignement d’essayer de décrypter les mails chiffrés qu’ils auraient interceptés. La LSQ considéra par ailleurs l’utilisation de logiciels de chiffrement comme une circonstance aggravante, la loi prévoyant en effet de punir de trois ans d’emprisonnement et de 45 000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités« .
A l’époque, nous avions tenté d’expliquer aux parlementaires qu’un terroriste préférerait passer trois ans en prison pour refus de déchiffrer un mail que de risquer la prison à vie en le déchiffrant… rien n’y fait. Un sénateur socialiste, Michel Dreyfus Schmidt, tenta de rassurer l’opinion publique en déclarant qu' »il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003« .
Le Parlement espérait en effet en avoir fini avec le terrorisme en 2003, et prévu que ces mesures attentatoires à la « légalité républicaine » feraient l’objet d’un rapport d’étape, et qu’elles seraient réexaminées tous les 3 ans. De fait, la conservation des données de connexion a depuis été renouvelée tous les 3 ans, sans qu’aucun rapport d’étape ne vienne cela dit nous permettre de mesurer sa pertinence, ni son efficacité.
Plus c’est gros, plus ça passe, et repasse : un attentat terroriste, c’est très pratique pour permettre aux responsables politiques de bomber le torse, montrer qu’ils mesurent l’ampleur du problème, et faire passer, de façon très opportuniste, des mesures qu’il aurait été probablement très difficile de faire adopter autrement.
Le projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme, débattu à l’Assemblée ce 15 septembre, en est une nouvelle et parfaite illustration.
Prenons l’une des mesures phares du projet de loi, qui permettra de bloquer l’accès à des sites djihadistes. D’un point de vue technique, c’est très compliqué, voire irréaliste (voir L’impossible et controversé blocage des sites Internet djihadistes). D’un point de vue antiterroriste, ce pourrait être contre-productif, dans la mesure où la fréquentation de ces sites peut précisement permettre aux services de renseignement d’identifier des apprentis terroristes, avant qu’ils ne passent à l’acte, ou qu’ils ne reviennent en France.
En réponse à la publication de l’avis (très critique) du Conseil National du Numérique, le cabinet du ministre de l’Intérieur explique que « chaque demande de blocage sera émise après avis des services spécialisés, lorsqu’ils n’en seront pas eux même à l’origine« .
Nous voilà rassurés : c’est donc un coup de com’, voire un pis aller, une manière de détourner l’attention qui ne changera donc pas grand chose en matière de lutte contre le terrorisme mais qui agite beaucoup les médias (c’est probablement l’article qui fait le plus de bruit dans ce projet de loi), tout en permettant opportunément de détourner l’attention sur d’autres articles, autrement plus problématiques.
L’article 11 du projet de loi, relative à « la mise au clair de données chiffrées« , propose quant à lui de permettre aux officiers de police judiciaire de requérir eux-mêmes une personne qualifiée dans le décryptage de données informatiques, opération qui relève à ce jour de la seule compétence des magistrats. L’objectif affiché : gagner du temps, dixit : « Si l’OPJ disposait du pouvoir d’adresser lui-même la réquisition, cela permettrait un gain de temps dans le traitement des demandes« .
Or, l’étude d’impact du projet de loi révèle que « pour l’année 2013, les saisines du CTA s’élevaient à 31, contre 26 en 2012 » :
« 8 dans le cadre d’affaires de terrorisme, 4 pour des homicides, 5 pour du vol et recel de vol, 3 pour de la pédopornographie, 2 pour escroqueries, 3 pour du trafic de stupéfiants, 1 pour une affaire de viol et 5 pour des infractions diverses). Pour la période de janvier à juin 2014, les saisines du CTA s’élèvent à 13 affaires. »
Les magistrats sont peut-être débordés, mais il est permis de douter, vu le nombre de cas, de douter que cet article fera gagner énormément de temps aux policiers. A contrario, on peut raisonnablement estimer que cela permettra aux policiers de demander à décrypter des données sans contrôle judiciaire, et pas que dans des affaires de terrorisme. Une mesure clairement opportuniste, qui n’a pas grand chose à voir avec la menace terroriste.
Rappelant que « les attaques informatiques réalisées contre les systèmes de traitement automatisé de données mis en œuvre par l’Etat sont des armes que peuvent utiliser les terroristes » :
« Ce « cyberterrorisme » peut alors revêtir plusieurs formes : atteintes à la disponibilité des réseaux ou des services (attaques en « déni de service » ou « saturation d’un réseau »), à la confidentialité (cyberespionnage) ou à l’intégrité des données ou des matériels (modifications de programmes, suppressions de données…). »
L’article 12 espère ainsi « renforcer le caractère dissuasif des incriminations actuelles » et « appliquer le régime de la criminalité organisée à ces infractions aggravées lorsqu’elles sont commises en bande organisée et au préjudice de traitement mis en œuvre par l’Etat« .
L’étude d’impact avance ainsi que les statistiques du casier judiciaire révèlent que, « en 2008, 111 infractions de cette nature avaient donné lieu à condamnation« , contre « 182 infractions de cette nature » en 2012 :
« Cette augmentation significative traduit bien évidemment la multiplication de cette forme de délinquance.
On peut néanmoins relever à l’examen des condamnations que les infractions le plus souvent associées aux STAD sont les faux et les escroqueries ce qui consolide l’analyse faite par les praticiens. »
On parle bien là d' »infractions« , pas du tout de terrorisme… sauf à imaginer vouloir ainsi criminaliser #Anonymous et les faire passer pour des « cyberterroristes« . On est, une fois de plus, bien loin des cyberdjihadistes qui recrutent sur Facebook.
L’étude d’impact prend acte, par ailleurs, du fait que « les services d’enquête éprouvent à l’heure actuelle une grande difficulté à obtenir des éléments d’identification des délinquants sur internet » :
« L’identification d’une personne par son adresse IP devient en effet de plus en plus difficile, en raison notamment des techniques d’anonymisation utilisées par les internautes. L’utilisation de l’enquête sous pseudonyme est parfois la seule possibilité d’identifier un délinquant. »
L’article 13 du projet de loi entend ainsi « généraliser cette technique d’enquête à l’ensemble des infractions relevant de la criminalité organisée, y compris donc les infractions à caractère terroriste« . Une fois de plus, on agite la menace cyberdjihadiste pour, en fait, étendre les pouvoirs de police en matière d’identification des « délinquants« .
L’article 14 propose quant à lui d’étendre les captations des données informatique, limitées aujourd’hui à la collecte des images apparaissant à l’écran et aux frappes sur le clavier, à la captation du son et des images émis ou reçus par un ordinateur, et donc de pouvoir espionner les conversations sur Skype & Cie.
L’étude d’impact précise à ce titre que « les captations de données informatiques sont possibles pour l’ensemble des infractions relevant de la criminalité organisée, y compris donc les infractions à caractère terroriste« . Il s’agit donc là aussi d’une mesure opportuniste prise au nom de la lutte contre le terrorisme, mais qui vise in fine à élargir les possibilités de mise sur écoute et d’installations de logiciels espions dans le cadre d’affaires « relevant de la criminalité organisée, y compris donc les infractions à caractère terroriste« .
Evoquant l’article 15, qui vise à allonger la durée de conservation des enregistrements des interceptions de sécurité (du nom donné aux écoutes téléphoniques et Internet effectuées pour le compte des services de renseignement), l’étude d’impact explique que « le volume des communications à exploiter a augmenté sous l’effet conjugué de plusieurs facteurs« , à commencer par l’augmentation des quotas d’interception (du nom donné au nombre de cibles que les services de renseignement sont autorisées -par le Premier ministre- à mettre sur écoute en simultané), passés de 1180 en 1991 à 1840 en 2009, puis à 2150 cette année (soit +82% depuis que la loi encadrant les écoutes a été adoptée, en 1991).
De plus, souligne l’étude d’impact, la doctrine a changé : depuis 2010, « ce contingent s’applique à des « cibles », c’est-à-dire des personnes visées par une interception, et non plus à des lignes téléphoniques » comme c’était le cas auparavant :
« La plupart des « cibles » disposent aujourd’hui de deux à trois moyens différents de communication qui doivent être interceptés. Il en résulte une augmentation sensible de la quantité de communications à exploiter.
En outre, internet, qui représente aujourd’hui 14 % des demandes d’interceptions, génère un volume de communications considérable (échanges de messages, réseaux sociaux, etc), nécessitant un temps d’exploitation accru par rapport à de simples conversations téléphoniques. »
Ce pour quoi l’article 15 propose donc d’étendre à 30 -et non plus 10- le nombre de jours avant que les enregistrements des écoutes soient automatiquement détruits.
A toutes fins utiles, le rapport rappelle qu' »en 2012, 6 145 interceptions de sécurité ont été sollicitées (4 022 interceptions initiales et 2 123 renouvellements) » et que, « au total, 6095 interceptions de sécurité ont été autorisées« . On est loin d’une surveillance généralisée.
Il n’en reste pas moins que cette demande d' »accroissement des informations à traiter s’effectue dans un contexte global marqué par une activité accrue des services, notamment en matière de prévention du terrorisme avec le suivi d’un nombre, en plein essor et hors de toute proportion avec des références antérieures, d’individus impliqués dans des filières terroristes notamment« .
Le mot « notamment » revient 34 fois dans l’étude d’impact, « y compris » 13 fois. Or, les porteurs de ce « projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme » ne parlent, eux, que du seul « terrorisme« , n’hésitant pas à évoquer, avec beaucoup de trémolos, les décapitations d’otage (notamment).
Il eut été intéressant d’avoir un vrai débat, avec des policiers, des responsables des services de renseignement, mais aussi et surtout au Parlement, évoquant la réalité de ce dont il est question : un accroissement des pouvoirs d’écoute et d’investigation (notamment) à destination des policiers et membres des services de renseignement en charge de la lutte anti-terroriste (notamment).
Las : vous n’entendrez probablement parler que des seuls (cyber)djihadistes, et de ces atrocités qui ont lieu en ce moment en Irak et en Syrie. Fort pratiques, j’en conviens, pour faire passer la pilule plus simplement. Cynique, aussi. Notamment. Une véritable entreprise de terrorisme médiatique consistant à faire peur aux gens en espérant détourner l’attention de ce dont il est réellement question.
Je ne sais pas en quelle mesure ce projet de loi facilitera la tâche aux policiers, civils et militaires engagés dans la lutte contre le terrorisme. Je sais par contre qu’il servira aussi et surtout à élargir les pouvoirs des enquêteurs n’ayant strictement rien à voir ni à faire avec le terrorisme.
Pour en savoir plus, vous pouvez également aller consulter le site presumes-terroristes.fr, créé par la Quadrature du Net, voire téléphoner à votre député grâce à leur PiPhone pour lui en parler, et réclamer que le débat porte sur ce dont il est réellement question : un accroissement des pouvoirs d’écoute et d’investigation en matière de lutte contre la criminalité organisée, notamment.
Voir aussi:
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Scanners : terrorisme, sexe et démagogie
La NSA n’espionne pas tant la France que ça
Les terroristes sont des ratés comme les autres
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA
« pappy » a des pudeurs de jeunes filles. Fin mai, il s’étonnait, sur Twitter, de découvrir que Google avait répertorié 1150 fichiers .pdf à « ne pas diffuser » sur les sites en .gouv.fr, et invitait l’ANSSI (l’agence en charge de la cyberdéfense) et TadaWeb (une plateforme de veille qui permet d’automatiser, très facilement, l’extraction et le filtrage de documents disponibles en ligne, voir ljourne mode d’emploi) à creuser le filon :
filetype:pdf inurl:gouv.fr "ne pas diffuser" Google: http://t.co/BzdGrtC46e (1150 results) poke #ANSSI cc @TaDaweb
— pappy (@fredraynal) 26 Mai 2014
Ne cherchant pas particulièrement à voir son identité mentionnée dans Le Canard Enchaîné -qui a publié, début août, un article à ce sujet-, « pappy » y est pudiquement décrit comme « un internaute facétieux« . Co-fondateur du SSTIC et de MISC, le symposium et le magazine de référence, en France, en la matière (je vous conseille ses éditos truffés de calembours et de bons mots), Frédéric Raynal — son vrai nom –, est aussi et surtout un vieux briscard de la sécurité informatique, ex-responsable R&D en sécurité informatique chez EADS puis Sogeti, passé par l’École de Guerre Economique, avant de créer QuarksLab, une entreprise de sécurité informatique défensive « et » offensive, choisie pour auditer la sécurité de Chatsecure, la messagerie instantanée sécurisée d’IOS.
Sur le millier de documents qu’il a pointé du doigt, aucun ne révèle de secret d’État. Il n’empêche : plusieurs dizaines d’entre eux n’auraient jamais du se retrouver, ainsi, « à poil sur le web« , et quelques-uns ont d’ailleurs été prestement retirés du www suite à l’intervention de votre serviteur. Petit tour d’horizon.
En 2007, l’Agence française de sécurité sanitaire des aliments consacrait un rapport à la « Place des lipides dans l’alimentation » recommandant de « réduire de 30% au moins la consommation de certains aliments contributeurs d’acides gras trans (viennoiseries, pâtisseries, produits de panification industriels, barres chocolatées, biscuits) de faible intérêt nutritionnel« . Signe du caractère sensible de ce dossier, chacune des 51 pages de ce rapport était estampillée, en rouge, « Document de travail, ne pas diffuser« , et tamponnée d’un énorme « Document à usage interne« .
Il n’en est pas moins librement téléchargeable sur le site web du ministère de la santé, tout comme un questionnaire sur les personnes en situation de handicap âgées de 40 ans et plus, une grille d’évaluation interne des établissements d’hébergement pour personnes âgées dépendantes (EHPAD), ou encore un rapport du groupe de travail du Conseil supérieur d’hygiène publique de France sur le « Risque de contamination horizontale au sein de collectivité d’enfants en cas de présence d’un porteur du virus de l’hépatite B (VHB) et opportunité de vacciner la population contact« , eux aussi estampillés « Document de travail, ne pas diffuser« .
Le ministère de la Santé n’est pas le seul à baver de la sorte. Il suffit en effet de chercher « ne pas diffuser » site:gouv.fr filetype:pdf dans Google pour faire remonter des centaines de fichiers .pdf, disponibles sur les sites web de l’administration française.
On trouve ainsi, sur le site web du ministère de l’économie, une « Version provisoire, ne pas citer, ne pas diffuser » d’une étude sur « les véritables moteurs de la croissance » en Chine, un rapport de la DATAR sur les systèmes urbains de proximité truffé de « cartes de travail non définitives à ne pas diffuser« , une « Enquête sur les pratiques de jeux d’argent et de hasard en ligne » siglée, en rouge et en exergue de chacune de ses 23 pages : « CONFIDENTIEL Ne pas diffuser« , ou encore des communiqués de presse de Pierre Moscovici sur la cession par l’Etat de titres Safran, EADS et Airbus estampillés, en lettres majuscules, en italique et en gras : « NE PAS DIFFUSER NI DISTRIBUER NI PUBLIER AUX ETATS-UNIS, AU JAPON, EN AUSTRALIE OU AU CANADA » (sic – MaJ : en commentaire, un « spécialiste de la finance » précise que cette expression « se retrouve dans la quasi-totalité des documents de bourse publiés en France car non enregistrés ou non conformes aux lois de ces pays »).
Pas bégueule, le site de l’Observatoire des Territoires de la Savoie propose un document encore plus curieux, puisqu’on y trouve une carte du périmètre de protection des captages d’alimentation en eau potable de la forêt de la Caisse des écoles présentée, en vert, comme un « document destiné à la consultation du public« , mais qui n’en précise pas moins, en rouge, qu’il s’agit là de « Données sensibles, ne pas diffuser« …
Google a également répertorié un « Document à usage interne » sur la « Surveillance des maladies à caractère professionnel » en Auvergne, un « Etat des lieux de la pauvreté en Poitou-Charentes » mentionnant, en haut de ses 114 pages, « Document de travail » et, en bas, « Ne pas diffuser« , un « Document confidentiel » de la CFTC sur la Responsabilité sociale des entreprises (RSE) (qualifiée d' »enjeu primordial parce qu’à l’instar des théories de Karl Polanyi et de Mark Granovetter, nous considérons que l’entreprise est encastrée dans la société« ), une « NOTE SUCCINTE A USAGE INTERNE » sur l’option pelote basque du Brevet d’Etat d’éducateur sportif, ainsi qu’une vingtaine de rapports de commissaires aux comptes estampillés « DOSSIER CONFIDENTIEL« , « NE PAS DIFFUSER » ou « [A usage interne] » sur le site web du Journal Officiel… (MaJ : en commentaire, un responsable de la DILA -en charge de la publication du JO, notamment-, précise qu’il « ne fait qu’assurer son obligation de publier les comptes des associations dans l’état où ils sont transmis et sans retirer aucune mention »).
Plus exotiques, mais néanmoins estampillés « CONFIDENTIEL« , citons aussi une liste des canalisations en Franche-Comté, l’organigramme des services du Conseil Général du Cantal, le cahier des charges du label rouge des « Betteraves rouges cuites sous vide« , un avis de traitement obligatoire de la mouche du brou en Rhône-Alpes, ainsi que la présentation de projets de serres en verre photovoltaïque dont les pages n’en sont pas moins surmontées d’un « CONFIDENTIEL — MERCI DE BIEN VOULOIR NE PAS DIFFUSER SUR INTERNET« … mais dont on se demande bien pourquoi ils sont présentés comme « CONFIDENTIEL« .
Contacté, le créateur du « Plateau Ratatouille » n’a pas réagi, contrairement à l’Agence nationale de traitement automatisé des infractions (ANTAI) -dont le patron avait démissionné en octobre 2013 après que Mediapart ait révélé qu’il se faisait rembourser ses PV-, et qui a fait retirer du site web de la préfecture du Vaucluse, après en avoir été informé (mais sans lui adresser de PV), la « Présentation aux collectivités territoriales » du procès-verbal électronique (PVE), tamponnée « Document strictement confidentiel, réalisé à l’usage exclusif de l’ANTAI« .
En France, la mention « Diffusion Restreinte » (DR) n’est pas à proprement parler un « niveau de classification » (type « Secret Défense« ), mais une « mention de protection » dont l’objectif principal est de « sensibiliser l’utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention« .
L’arrêté du 30 novembre 2011 « portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale » précise ainsi qu’une information classifiée DR « ne doit pas être rendue publique et ne doit être communiquée qu’aux personnes ayant besoin de la connaître dans l’exercice de leurs attributions« , mais également que l’auteur d’une éventuelle divulgation « s’expose à des sanctions disciplinaires ou professionnelles« .
Google n’en a pas moins répertorié -et archivé- une trentaine de documents estampillés « Diffusion restreinte« , dont la liste des correspondants « canicule » de la préfecture de Haute-Savoie -y compris les n° de téléphones mobiles de la directrice de la Direction Départementale de la Protection des Populations, et de son adjoint-, la description technique d’un logiciel de sécurité informatique développé pour l’Agence nationale des titres sécurisés (ANTS), deux anciens « formulaires d’acceptation d’un rôle de confiance » destinés aux employés du ministère de la Justice chargés de la délivrance des cartes et certificats d’authentification et de signature électronique, ou encore le Plan départemental de prévention de la délinquance du Val de Marne de 2007 -« PDPD » (sic) qui dresse la liste des quartiers à « forte délinquance endogène« .
La palme revient cela dit au Conseil général des Yvelines, qui avait partagé sur son site web une bonne dizaine d’annexes « à diffusion restreinte » de délibérations comportant les noms, prénoms et domiciliations d’Yvelinois à qui il avait attribué des bourses (avec leur montant), mais également de personnes endettées à qui il avait consenti une remise grâcieuse de dettes… ou pas.
Où l’on découvre qu’une bonne partie des personnes « endettées » à qui le Conseil général des Yvelines a réclamé un « trop-perçu » sont en fait les héritiers de personnes âgées décédées, qui n’en ont pas moins continué à percevoir quelques centaines d’euros d’allocations le temps que l’administration s’aperçoivent qu’elles étaient mortes, et enterrées…
Contacté, le cabinet de Pierre Bédier -qui a récupéré la présidence du Conseil général des Yvelines en avril dernier, à l’issue de sa condamnation à six ans d’inéligibilité, dans une affaire de corruption- reconnaît avoir fait «
Une telle divulgation de données personnelles, « commise par imprudence ou négligence« , est passible de trois ans d’emprisonnement et de 100 000 € d’amende.
La liste des autres documents « DR » répertoriés par Google :
Voir aussi :
Plus de fichiers = plus de fuites
« Les écoutes made in France », ma 1ère BD
La NSA n’espionne pas tant la France que ça
Internet & données personnelles: tous fichés ?
Pour la CNIL, 18% des Français sont « suspects »
En introduction de son livre -passionnant- consacré à « L’affaire Snowden : comment les Etats-Unis espionnent le monde« , Antoine Lefébure -un des rares experts français en la matière- explique que ce qui l’a poussé à l’écrire, c’est « l’insupportable métaphore de la « botte de foin » » utilisée par le général Keith Alexander, ex-patron de la NSA. Une métaphore brillamment résumée au Washington Post par un ancien responsable du renseignement américain :
« Plutôt que de chercher l’aiguille dans la botte de foin, son approche était de ramasser toute la botte de foin, de tout ramasser, classer, stocker… pour ensuite pouvoir espérer y retrouver ce que vous cherchez. »
Dans un extrait inédit de son interview à la NBC, Edward Snowden rappelle à ce titre que les services américains avaient des informations qui leur auraient permis d’empêcher les attentats du 11 septembre 2001, mais qu’ils n’ont pas su les exploiter, faute de pouvoir comprendre « cette botte de foin que nous avions collectée« .
Début janvier, dans une lettre ouverte à Obama, quatre autres lanceurs d’alerte également issus de la NSA dénonçaient eux aussi le fait que la NSA, le FBI et la CIA disposaient d’informations précises qui, si elles n’avaient été noyées sous la masse, auraient pu -et du- empêcher les attentats, qualifiés de « cadeau fait à la NSA » par… le n°3 de la NSA.
Plutôt que de chercher l’aiguille dans la botte de foin, la NSA a donc décidé de collecter toutes les bottes de foin, ce que démontre l’un des documents révélés dans le nouveau livre de Glenn Greenwald, Nulle part où se cacher.
Trop d’infos tue l’info : pour autant, et à tout vouloir espionner, la NSA n’a pas été en mesure d’empêcher les attentats de 2001, pas plus que ceux qui, depuis, ont visé les USA, comme l’a expliqué Edward Snowden à la NBC, qui n’avait initialement diffusé qu’une seule des quatre heures d’interview qu’il lui avait accordé, fin mai.
La chaîne TV vient de rendre publics d’autres extraits, dont un où il évoque la faillite du renseignement américain au regard des attentats du 11 septembre 2001 en particulier, et de la « surveillance massive » telle que pratiquée par la NSA et son homologue britannique (le GCHQ) en général.
Snowden y revient sur le fait que la commission en charge des attentats du 11 septembre 2001 (9/11 -ndlr) avait découvert, post-mortem, en consultant tous les documents classifiés des différents services de renseignement, qu’ils disposaient pourtant de « toutes les informations susceptibles de détecter ce complot » :
« Nous avions des informations sur des appels téléphoniques depuis ou vers les États-Unis. La CIA connaissait ces gars. Le problème, ce n’était pas la collecte de l’information, le fait de ne pas pouvoir les mettre en relation (« have enough dots », en VO), non plus que le fait de ne pas avoir la botte de paille, mais le fait que nous ne comprenions pas cette botte de paille que nous avions collectée.
Sommes-nous en train de gaspiller de l’argent pour une « solution magique » qui, non contente de brader notre sécurité, brade aussi nos droits et notre mode de vie (« way of life », en VO) ? »
Le problème, avec la « surveillance de masse » telle qu’elle est pratiquée par la NSA, c’est qu’elle revient aussi et surtout à empiler toujours plus de bottes de paille dans le ou les entrepôts de bottes de paille que la NSA ne sait pas vraiment analyser, et exploiter.
Cherchant à illustrer ce pour quoi ces programmes « ne nous protègent pas« , Snowden évoque ainsi le fait que les informations partagées par les services de renseignement russes au sujet des (futurs) auteurs de l’attentat terroriste du marathon de Boston n’ont pas permis aux services US d’empêcher ledit attentat.
Pour en revenir à 9/11, on avait ainsi découvert que la NSA ne partageait pas les informations qu’elle avaient interceptées et analysées avec la CIA, et vice versa; Mark Rossini, un agent de liaison du FBI en poste dans la cellule de la CIA dédiée à la traque de Ben Laden, n’avait ainsi pas eu le droit de transmettre à ses collègues le fait que deux des terroristes qui allaient organiser l’attentat suicide venaient d’atterrir aux USA (voir L’espion qui aurait pu empêcher le 9/11); le FBI, par ailleurs, avait reçu des informations évoquant la préparation d’attentats, au moyen d’avions lancés sur plusieurs villes aux USA, mais avait aussi demandé à ses traducteurs de ralentir leurs traductions dans l’espoir de… voir son budget augmenter.
En janvier 2014, 4 lanceurs d’alerte issus de la NSA rendaient publique une lettre ouverte à Barack Obama, dénonçant la logique de la surveillance massive pratiquée par leur ex-employeur, au motif qu’elle ne permettrait pas d’empêcher un nouvel attentat type « 9/11« , mais également pour lui expliquer que « la NSA disposait de suffisamment d’informations pour empêcher 9/11, mais préféra s’asseoir dessus plutôt que de les partager avec le FBI » :
« Nous le savons : nous y étions. Nous avons été les témoins de nombreux comportements bureaucratiques indignes qui rendent la NSA au moins aussi coupables que les autres agences US de la faillite du renseignement américain d’avant-9/11. »
William Binney, Thomas Drake, Edward Loomis et Kirk Wiebe connaissent bien la NSA : au total, ils y ont travaillé pendant 144 années, au plus haut niveau, avant d’en démissionner suite aux orientations, dysfonctionnements et pratiques illégales perpétrées par la NSA suite aux attentats du 11 septembre 2001.
Rappelant que Keith Alexander, le directeur de la NSA, s’était d’abord vanté d’avoir contrecarré 54 attentats, avant de reconnaître, finalement, que la NSA n’avait en fait déjoué qu’un seul… virement, les lanceurs d’alertes notaient également qu’elle n’avait pas non plus anticipé les attentats de Boston, Times Square, pas plus que celui du terroriste au slip (voir Les terroristes sont des ratés comme les autres et Scanners : terrorisme, sexe et démagogie).
THINTHREAD (fil mince, en VF), le système d’écoute et d’alerte conçu par Loomis, Binney et Wiebe, bien plus respectueux de la loi et de la vie privée, bien moins cher aussi, et bien plus contrôlé par les autorités, avait été écarté, par les pontes de la NSA, qui préférèrent privilégier la surveillance massive à la surveillance ciblée… trois semaines avant les attentats de 2001.
A les en croire, une des raisons pour lesquelles leur programme fut délaissé, au profit d’un autre projet, TRAILBLAZER, bien plus intrusif et onéreux (un véritable gouffre financier qui ne marcha jamais et qui fut finalement abandonné) tenait au fait qu’il ne coûtait pas assez cher, et qu’il ne rapportait pas assez d’argent aux sous-traitants privés de la NSA. En clair : le complexe militaro-industriel aurait corrompu les autorités US et responsables de la NSA, et cette « corruption » se serait aggravée après les attentats.
Dans une interview passionnante, intitulée Tout savoir sur tous accordée à Daniel Mermet dans Là-bas si j’y suis, Thomas Drake raconte comment, au sortir de la guerre froide, la NSA s’était retrouvée sans ennemi facilement identifiable à écouter, et révèle que son supérieur direct, n°3 de la NSA, lui avait dit que « le 11 septembre est un cadeau fait à la NSA : maintenant, nous avons un ennemi« .
Il revient également sur la mentalité du complexe militaro-industriel, pour qui les gros problèmes ne peuvent être résolus sans gros contrats (« big problems, big bucks, big contracts !« ).
Thomas Drake explique aussi avoir découvert que la NSA disposait de nombreuses informations concernant les futurs auteurs de 9/11 -dont le contenu de sept appels téléphoniques passés par Khalid al-Mihdhar, l’un des terroristes du 9/11, à l’un des centres d’Al Qaeda au Yémen-, mais qu’elle ne les avait pas partagées avec les autres services de renseignement, et même que ces révélations, qu’il avait faite à la commission d’enquête sur 9/11, a été effacée de leur rapport…
Dans le second épisode de Tout savoir sur tous, Bill Binney explique lui aussi que si son programme THINTHREAD avait été activé avant le 11 septembre 2001, il aurait pu prévenir les attentats, et qu’ils décidèrent finalement de quitter la NSA, le 31 octobre 2001, en raison de « la violation de la Constitution, la corruption, les malversations, les fraudes entre prestataires de service et la NSA« .
Les vétérans y expliquent également que la NSA ne surveillait pas Internet avant les attentats, parce que « tout y circule en clair » et qu’on ne devait pas y trouver, a priori, d’informations si sensibles que ça, mais que le 11 septembre 2001 lui a permis de pouvoir surveiller « toute la botte de foin » : les marchands d’armes de surveillance lui fournissaient la technologie, et l’administration Bush lui en donnait le droit, quitte à violer la loi, au mépris de la Constitution.
Il est certes facile de refaire le match, et rien ne permettra jamais de savoir si, effectivement, une NSA moins paranoïaque, moins dépendante du complexe militaro-industriel, moins motivée par la collecte de toutes les bottes de foin que par l’analyse du renseignement, aurait pu prévenir les attentats.
Il n’en reste pas moins que les trois lanceurs d’alerte -et vétérans- de la NSA interviewés par Daniel Mermet applaudissent ce qu’a fait Edward Snowden, qu’ils le considèrent comme un véritable patriote, et que ce qui les réunit, aussi, c’est la dénonciation de la paranoïa institutionnalisée de la NSA. Non seulement parce qu’elle viole la Constitution américaine, mais également parce que ça ne marche pas, et que les seuls à qui elle profite sont les néo-cons, et le complexe militaro-industriel, ce qu’évoquait également Edward Snowden dans l’extrait diffusé sur NBC :
« Je prends la menace terroriste au sérieux, et je pense que nous le faisons tous. (Mais) je pense que c’est vraiment malhonnête de la part du gouvernement d’invoquer voire d’instrumentaliser nos souvenirs, et d’exploiter le traumatisme national dont nous avons tous souffert, afin de justifier des programmes qui n’ont jamais démontré qu’ils pouvaient assurer notre sécurité, alors qu’ils nous en coûtent en matière d’atteintes aux libertés, que nous ne devrions pas avoir besoin d’abandonner, et auxquelles notre Constitution dit que nous ne devrions pas renoncer. »
Ces lanceurs d’alerte ne sont pas « contre » la NSA, ni la surveillance des télécommunications, Binney, Loomis et Wiebe ayant même contribué à bâtir l’architecture de ses systèmes d’interception. La question n’est pas d’être « pour » ou « contre » le fait que des espions espionnent, mais de savoir « qui surveillera les surveillants« , et comment.
Ce pour quoi, comme le soulignait à juste titre Franck Burlinge -autre spécialiste du renseignement-, « il est urgent et important que nos dirigeants acquièrent une meilleure pratique du renseignement« , et pas que nos dirigeants : les services de renseignement suscitent moult fantasmes, et on ne peut pas débattre sérieusement sur des choses que l’on ne connaît pas, ou mal.
Or, reconnaissait récemment Glenn Greenwald, « il s’est dit tellement de choses dans les médias depuis un an à propos d’Edward Snowden et des documents, et beaucoup de ces choses étaient simplement fausses » (cf, à ce titre, mon fact-checking de certaines des « révélations » du Monde).
On ne compte plus, en effet, le nombre de médias, journalistes, blogueurs, Twittos et Facebookés qui amalgament à l’envi ce que peuvent faire -en théorie- la NSA, le GCHQ & Cie, et ce que l’on sait qu’elles font vraiment. Alors que d’aucuns qualifiaient rapidement de « paranoïaques » ceux qui -avant les révélations Snowden- s’inquiétaient de la montée en puissance de la société de surveillance, (trop) nombreux sont ceux qui, aujourd’hui, sont prompts à affirmer (sur la foi de documents Snowden, souvent mal-interprétés) que Big Brother serait devenu réalité, et que la NSA (& Cie) n’aurait rien à envier à la STASI.
#WAIT : Obama n’est pas Staline, et si son administration a bel et bien lancé une véritable traque visant les whistleblowers (voir Snowden et la nouvelle « chasse aux sorcières »), la paranoïa des USA n’en est pas (encore) arrivée au niveau de celle qui prévalait alors en RDA (mais ça pourrait, et c’est précisément tout l’intérêt des révélations d’Edward Snowden).
La lecture du livre d’Antoine Lefébure, « L’affaire Snowden : comment les Etats-Unis espionnent le monde« , est à ce titre doublement recommandée. D’une part parce qu’il n’extrapole, n’exagère ni ne sur-interprète les révélations basées sur les documents fournis par Edward Snowden, contrairement à ce qu’on lit parfois dans les médias.
D’autre part parce qu’il contextualise ces révélations : une partie non négligeable de son essai est ainsi consacrée à l’histoire de la NSA, du GCHQ, & de la DGSE -leur équivalent français.
On ne peut pas mesurer l’ampleur du problème, ni comprendre ce pour quoi Snowden et les autres lanceurs d’alerte de la NSA tirent la sonnette d’alarme si on ne connaît pas l’histoire technique et géopolitique du renseignement d’origine électromagnétique (ROEM), non plus que celles de ces journalistes qui avaient commencé, dès les années 70, à enquêter à ce sujet, à l’instar de Duncan Campbell, le journaliste d’investigation britannique à l’origine des révélations sur l’existence du système anglo-saxon Echelon.
Le parcours atypique d’Antoine Lefébure (@segalen sur Twitter) explique aussi la pertinence de son analyse des documents (et de la saga) Snowden. Journaliste, puis responsable des nouvelles technologies et directeur de la prospective chez Havas dans les années 80 (où il contribua à la création de Canal +), il devient consultant en stratégie Internet dans les années 90.
Devenu historien des médias, il écrit plusieurs ouvrages, dont une sur les Conversations secrètes des Français sous l’Occupation, basé sur les interceptions des courriers papiers et communications téléphoniques effectuées par les « grandes oreilles » du régime de Vichy.
Lefébure fut aussi l’un des premiers, en France, à faire le lien entre la contre-culture des années 70 et la montée en puissance de ces technologies.
Étudiant à Nanterre, il participa en effet à toutes les manifestations du mouvement du 22 mars, et bien évidemment aux événements de mai 1968, où il fréquenta Sartre, Virilio, Baudrillard, Godard…
« Spectateur assidu » des principaux rassemblements de l’époque (Woodstock, île de Wight, festival Actuel d’Amougies, en Belgique), il partit ensuite à Berkeley -autre haut lieu de la contestation dans les années 1970- pour y étudier la communication, avant de revenir à la Sorbonne pour y boucler une maîtrise d’Histoire contemporaine sur « Le rôle de la radio en France pendant la seconde guerre mondiale« , puis un doctorat sur « Le monopole d’Etat et l’histoire du télégraphe et du téléphone en France« .
Ayant donc très tôt associé les mouvements de libération et les systèmes de télécommunications, il y consacra une revue, Interférences, au mitan des années 1970, qui publiera des textes de Jean Baudrillard, Paul Virilio, William S. Burroughs, Philip K. Dick, Richard Pinhas, Maurice Ronai, Norman Spinrad, Philippe Aigrain…
Sous-titrée « pour une critique des appareils de communication« , Interférences révéla dans son n°1 les plans secrets du nouveau réseau téléphonique gouvernemental français Régis, traita dans son n°2 de l’informatisation de la police aux États-Unis, des sabotages informatiques, puis de l’espionnage (et de la surveillance, et de la pollution) électronique, de la cryptographie, de la protection du secret en France et aux États-Unis, de l' »irruption du techno-imaginaire« … ainsi que de la NSA, en 1976.
Lefébure fut aussi, logiquement, l’un des pionniers de ces radios que, à l’époque, on qualifiait de « pirates« , contribuant à la création de Radio Verte en 1977, la première des « radios libres » à émettre ouvertement -depuis l’appartement de Jean-Edern Hallier- sur la bande FM, défiant ainsi le monopole de l’État sur les ondes. Elle continuera à diffuser ses émissions, en toute illégalité, jusqu’en 1981, malgré les brouillages de la DST.
Lefébure se fit aussi remarquer en se faisant passer pour le garde du corps de Brice Lalonde qui, sur le plateau d’Antenne 2, exhiba un petit transistor afin de faire écouter, devant 5 millions de téléspectateurs, un bêtisier se moquant de RTL, soi-disant diffusé sur Radio Verte (mais en fait pré-enregistré sur un magnétophone et diffusé depuis un petit émetteur par le faux garde du corps), piratage (et coup) médiatique qui contribua à lancer le débat sur la libération des ondes.
Passé par Libération, il découvrit aussi l’intérêt d’écouter les communications de la police « pour être au courant de tout avant tout le monde » et, à la grande fureur des autorités, fit la promotion de ce genre de hobby, écrivant dans les colonnes du quotidien « La police nous écoute, écoutons la police« .
On ne saurait mieux résumer l’intérêt de sa démarche, et donc aussi de la lecture de son essai. Voir aussi sa tribune libre, sur leMonde.fr, Réglementons l’activité des services secrets, et la pétition qu’il vient de contribuer à lancer, avec 53 autres personnalités, appelant la France à accorder le statut de réfugié politique à Edward Snowden.
PS : si quelqu’un a une copie de l’article de Libération, ou des premiers n° d’Interférences, je serais grand preneur/-)
Voir aussi :
La NSA n’espionne pas tant la France que ça
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
DGSE/Orange : joue-là comme SuperDupont (#oupas)
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis
Le Sénat organise ce jeudi 22 mai 2014 un colloque intitulé « Numérique, renseignement et vie privée : de nouveaux défis pour le droit » (et qui sera retransmis en direct sur le site du Sénat). Le secret entourant le fonctionnement des services de renseignement est prompt à générer fantasmes & paranoïa. A défaut de pouvoir participer concrètement au débat, j’ai voulu poursuivre mon fact-checking (contre-enquête, en VF) de certaines des révélations du Monde en cherchant à contextualiser celles portant sur la coopération entre Orange, la DGSE et le GCHQ (l’équivalent britannique de la NSA) d’une part, la « mutualisation » des services de renseignement d’autre part et, enfin, le fait que les services de renseignement ne sont toujours pas, en France, clairement bordés par la loi, au point que les parlementaires chargés de les contrôler ont du s’auto-censurer (voir aussi les épisodes précédents : La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi, et La NSA n’espionne pas tant la France que ça).
MaJ : j’ai fini par identifier (.pdf) le mystérieux « partenaire » de la DGSE et du GCHQ. Et ce n’était pas Orange…
« France Télécom est un acteur important du système de surveillance en France« , avançait en effet Le Monde, en mars dernier, dans un article sur les « relations incestueuses » entre Orange et la DGSE qui, par son intermédiaire, disposerait, « à l’insu de tout contrôle, d’un accès libre et total à ses réseaux et aux flux de données qui y transitent« . Un second article affirme même que « Les services secrets britanniques ont accès aux données des clients français d’Orange« .
Une chose est d’avoir accès à « des » données, une autre est de toutes les espionner… nonobstant le fait que, et par ailleurs, les réseaux de France Télécom-Orange qui intéressent le plus les services de renseignement ne sont pas tant en France qu’à l’étranger.
Les révélations du Monde reposent sur un document interne du GCHQ (le service de renseignement britannique en charge de l’interception, du piratage et du déchiffrage des télécommunications, et principal partenaire de la NSA), dont le Guardian avait révélé l’existence en novembre 2013 (mais que ni le quotidien britannique ni Le Monde n’ont rendu public).
Dans un article intitulé « GCHQ and European spy agencies worked together on mass surveillance » (le GCHQ et les services de renseignement européens travaillent ensemble à la surveillance de masse, en VF), le quotidien britannique écrivait alors que les services allemands, français, espagnols et suédois avaient développé des méthodes de surveillance massive du trafic téléphonique et Internet, notamment via la surveillance des câbles sous-marins, et que le GCHQ en avait bénéficié.
L’article révélait également que la DGSE avait accepté de travailler avec le GCHQ sur une base de « coopération et de partage« , notamment pour ce qui est de la détection du trafic chiffré sur les câbles utilisant la fibre optique, mais aussi et surtout que la DGSE bénéficiait d’une relation privilégiée avec une entreprise de télécommunication française non identifiée, que les services britanniques avaient rencontré, par deux fois, en 2009. D’après Le Monde, ce partenaire privilégié serait France Télécom/Orange.
Dans un troisième article intitulé Les X-Télécoms, maîtres d’œuvre du renseignement, Le Monde évoque la figure tutélaire d’Henri Serres, qualifié de « père des moyens techniques dont disposent les services secrets français« .
Directeur technique au ministère de la défense de 1980 à 1986, ce polytechnicien, passé par l’Ecole nationale supérieure des télécommunications, avait été chargé, en 1981, d' »auditer les services techniques » de la DGSE. En 1983, écrit Le Monde, il y crée une direction technique (DT), et l’équipe « d’ordinateurs puissants, de supercalculateurs capables de casser les codes » afin de « rattraper le retard de la France dans le domaine de l’interception« .
« Dans son sillage, les X-Télécoms trustent cet univers depuis trente ans« , plusieurs d’entre eux ayant effectué des « allers-retours constants entre la DGSE et France Télécom » :
«Les X-Télécoms et la DGSE, c’est la même conception de l’Etat», résume, aujourd’hui, un membre de cabinet ministériel.
D’après Le Monde, « les attentats du 11 septembre 2001 ont accru la coopération entre les services de renseignement et entraîné France Télécom dans cette mutualisation des moyens sur la collecte des données et le déchiffrement« .
On pourrait aussi faire remonter les « liens incestueux » entre les deux institutions à 1940, lorsque plusieurs polytechniciens, sous Vichy, « camouflèrent » les agents de l’ancêtre des « grandes oreilles » de la DGSE en les faisant passer pour des employés des PTT.
Dans un article passionnant sur l’histoire de l’interception des télécommunications par les services de renseignement français, le journaliste Roger Faligot écrivait en effet, en 2001, que le Groupement de Communications Radioelectriques (GCR, ancêtre de la direction technique -et donc des « grandes oreilles« – de la DGSE), créé en 1940, juste après la débâcle, par l’administration Vichy, « travaillait officiellement pour les Postes & télécommunications (P&T)« , afin de donner une couverture à ses agents, et leur permettre de rester camouflés aux yeux des occupants nazis, ainsi que des collaborateurs français.
En 2010, le fils de l’un de ses responsables expliquait (.pdf) en effet que le GCR était « officiellement chargé d’écouter les émissions radio, militaires et civiles, nationales et internationales, pour les différents départements ministériels du Gouvernement de Pétain » mais aussi, et « officieusement« , de « sauvegarder le potentiel d’écoutes radio de l’Armée française en vue de la reprise des hostilités contre l’envahisseur« .
Paul Labat, qui dirigeait le GCR, orchestra cette « extraordinaire opération de camouflage » en faisant signer un accord secret avec le Directeur des télécommunications des PTT, pour que les officiers des Transmissions, bien que démobilisés, puissent continuer à y effectuer leur carrière, sans être estampillés comme militaires. En 1941, le GCR, « véritable opération de résistance institutionnelle« , était ainsi rattaché au Secrétariat d’État à la Communication, comme les PTT.
Plusieurs de ses officiers figurèrent « parmi les tous premiers membres de l’Armée secrète« , et très vite le GCR se mit au service de la Résistance et des Forces alliées, espionnant la Wehrmacht et la Gestapo au profit de la France libre, et du MI6 de l’Intelligence Service, à Londres.
Camouflés comme employés des PTT, les espions du GCR continuèrent leurs activités, malgré l’occupation de la « zone libre« , certains préférant quand même passer dans la clandestinité. Traqués par la Gestapo à partir de 1943, 27 d’entre eux furent arrêtés, et déportés; seulement 9 y survivront.
Le GCR fut réactivé en 1945 : pas moins de ses 4 000 agents -en France et dans le monde- assuraient alors « chaque jour l’écoute de 600 émissions de radiophonie en 36 langues, de 30 émissions de radiotélégraphie en 10 langues, et de 92 émissions de trafic privé« . Il sera rattaché en 1948 au Service de documentation extérieure et de contre-espionnage (SDECE), l’ancêtre de la DGSE.
Matthew M. Aid, spécialiste de la NSA, souligne dans un ouvrage consacré au renseignement technique pendant la guerre froide, que la France et le Royaume-Uni n’ont jamais cessé d’échanger des informations, même après le départ de la France de l’OTAN, en 1966. A contrario, les échanges entre le SDECE et la NSA cessèrent dans les années 60 parce que les USA soupçonnaient le SDECE d’avoir été infiltré par le KGB.
D’après Roger Faligot, Alexandre de Marenches, qui prit la tête du SDECE en 1970, profita cela dit de ses bons rapports avec les services de renseignement anglo-saxons pour recommencer à échanger du renseignement SIGINT (pour SIGnal INTelligence) avec la NSA et le GCHQ, et contribuer au pacte UK-USA « sans officiellement en faire partie« .
Les relations entre la DGSE et les PTT d’une part, le GCHQ et la NSA d’autre part, n’ont donc, en soi, rien de très nouveau, même si elles ont connu des soubresauts, et qu’elles ne sont plus aussi « incestueuses » que du temps de l’Occupation.
Interrogé par Le Monde, Stéphane Richard, le patron d’Orange, a indiqué que « des personnes habilitées secret-défense peuvent avoir à gérer, au sein de l’entreprise, la relation avec les services de l’Etat et notamment leur accès aux réseaux, mais elles n’ont pas à m’en référer. Tout ceci se fait sous la responsabilité des pouvoirs publics dans un cadre légal ».
Dans une interview aux Echos, il rétorque que « sur les écoutes, on n’a pas appris grand-chose » :
« Oui, nous avons des relations avec les services de l’Etat dans le strict cadre légal et sous le contrôle des juges. Je ne me sens pas visé, cela montre plutôt qu’Orange est une entreprise stratégique. »
Qualifiant les révélations du Monde d' »hypothèses farfelues« , Stéphane Richard précisait, mi-mai, que « non, il n’y a pas de collecte de données massive par l’État« , et qu’il fallait poser la question aux services secrets.
Sur Twitter, le service presse d’Orange précise, de façon laconique, avoir, « comme tous les opérateurs, des relations avec les services de l’État en charge de la sécurité du pays et des Français » :
« Ces relations se font dans le strict respect des lois et en toute légalité, sous la responsabilité de l’État et du contrôle des juges. »
Ce qui, in fine, proscrit donc toute surveillance massive de données en France… mais pas à l’étranger.
Or, les télécommunications relayées par Orange ont de quoi fortement intéresser la DGSE : implanté dans 21 pays d’Afrique et du Moyen-Orient (dont la Côte d’Ivoire, l’Irak, la Jordanie, le Mali, le Maroc, le Niger et la Tunisie, notamment), où le groupe revendique plus de 100 millions d’abonnés, ainsi que, via sa filiale Sofrecom, en Syrie, dans la Libye de Kadhafi, la Tunisie de Ben Ali, en Éthiopie (où Human Rights Watch vient de révéler l’existence d’un vaste réseau de surveillance des télécommunications), Orange se vante, via son autre filiale Business Services, d’avoir « le plus grand réseau voix/données sans couture au monde couvrant 220 pays et territoires« , avec 231 millions de clients.
De plus, France Télécom Marine, filiale à 100% d’Orange, dispose d’une flotte de 6 navires câbliers, et a installé, depuis 1975, près de 170 000 km de câbles sous-marins dans tous les océans -dont 140 000 en fibre optique-, soit 20% des 800 000 kilomètres de câbles sous-marins actuellement en service… de quoi attirer l’attention des services de renseignement.
Pour autant, ces câbles ne transitent pas que les seules communications des abonnés d’Orange. Or, les révélations du Monde ciblaient les seuls « clients français d’Orange« …
La question reste pour autant de savoir si la DGSE, comme l’affirme Le Monde, et au mépris de la loi, « puise massivement dans les données de l’opérateur historique français« , et si « les services secrets britanniques ont accès aux données des clients français d’Orange« . Au-delà de l’illégalité d’une telle opération, quelques points méritent d’être précisés.
Les volumes de données qui transitent sur les réseaux depuis la démocratisation de la téléphonie mobile et de l’Internet sont tels que ce qui intéresse de prime abord enquêteurs de police et services de renseignement, aujourd’hui, ce sont les méta-données : qui communique avec qui, à quelles fréquences, quand, pendant combien de temps, d’où, et donc de dresser le réseau -ou graphe- relationnel de leurs cibles.
Comme l’avait expliqué Bernard Barbier, alors directeur technique de la DGSE, dans une conférence à laquelle j’avais assisté (voir Frenchelon: la DGSE est en « 1ère division »), « le contenant devient plus intéressant que le contenu » :
« Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau. »
Patrick Calvar, directeur central du renseignement intérieur (DCRI, devenue depuis DGSI) depuis le 30 mai 2012, déclarait de son côté, lors d’un colloque l’an passé qu' »il faut le savoir, aujourd’hui, cela ne sert plus à rien à d’écouter une ligne téléphonique, sauf coup de chance, ce qui peut arriver » :
« Ça n’a qu’un seul intérêt, celui de la géolocalisation. Mais même cela est compliqué, puisqu’il faut des autorisations particulières. Donc la seule chose qui nous importe est de pouvoir pénétrer, sonoriser, attaquer l’informatique. C’est totalement exclus dans le droit français, sauf en matière judiciaire. »
De nombreux documents Snowden montrent à ce titre que les programmes d’interception et de surveillance massive de NSA et le GCHQ portent moins sur l’analyse du contenu des télécommunications (internet ou téléphoniques) que de leurs méta-données.
Si la DGSE faisait du massif avec le concours d’Orange, ce serait plus probablement sur les méta-données que sur le contenu des télécommunications.
Ce n’est pas la première fois que Le Monde surestime les faits d’armes et capacités des services de renseignement technique, confondant notamment contenu et contenant, télécommunications et méta-données. Dans un article intitulé « Comment la NSA espionne la France« , Jacques Follorou et Glenn Greenwald avaient ainsi révélé en octobre 2013 que « 70,3 millions de communications téléphoniques de Français ont été interceptées entre le 10 décembre 2012 et le 8 janvier 2013 ». On a depuis appris qu’il s’agissait en fait de méta-données interceptées par les services de renseignement français, à l’étranger, et partagées avec la NSA (voir mon factchecking, La NSA n’espionne pas tant la France que ça).
En juillet 2013, Le Monde avait également révélé, dans un article intitulé « Révélations sur le « Big Brother » français« , que la DGSE espionnait « le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal« , ainsi que « la totalité de nos communications » :
« La Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l’étranger : la totalité de nos communications sont espionnées. L’ensemble des mails, des SMS, des relevés d’appels téléphoniques, des accès à Facebook, Twitter, sont ensuite stockés pendant des années. »
Les professionnels travaillant aux cœurs des réseaux de télécommunications que j’avais interrogés avaient alors émis de très sérieux doutes quant à la faisabilité technique d’une telle surveillance généralisée de nos télécommunications, en France qui, du fait de son réseau décentralisé, nécessiterait l’installation de systèmes d’interception dans près de 16 000 répartiteurs téléphoniques (propriétés exclusives de France Télécom), plus quelques 40 000 DSLAM (qui récupèrent le trafic transitant sur les lignes téléphoniques afin de router les données vers les gros tuyaux des FAI), pour la surveillance du trafic Internet, et ce, sans compter les boucles locales radio et de fibres optiques (voir La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi)…
En août, Le Monde reconnaissait de fait que les services ne s’intéressaient « pas tant au contenu des messages qu’à leur contenant : qui parle à qui et d’où (les fameuses « métadonnées), et qu' »il est donc possible que la DGSE ne collecte pas « la totalité » des communications électromagnétiques mais elle en intercepte une très large part« .
Ce qui pose la question de la surveillance des câbles sous-marins transitant par la France et gérés, pour une bonne part, par Orange.
La DGSE étant un service de renseignement extérieur, la quasi-totalité de ses cibles sont hors de nos frontières, et la DGSE a probablement autre chose à faire que d’analyser, dans son nouveau datacenter, les appels téléphoniques de l’ensemble des abonnés d’Orange France, a fortiori de les rerouter vers le GCHQ.
Une surveillance massive des méta-données voire des télécommunications passées en Libye, au Niger ou au Mali (par exemple), et donc -notamment- sur les réseaux ou câbles des filiales d’Orange, serait bien plus plausible, et intéressante pour un service de renseignement.
De plus, une telle opération d’espionnage des télécommunications, en France, déployée par le service de renseignement extérieur, dont les missions sont a priori cantonnées « hors du territoire national« , pourrait déclencher une « guerre des services » avec la nouvelle Direction générale de la sécurité intérieure (DGSI, ex-DCRI, qui avait absorbé la DST et les RG du temps de Nicolas Sarkozy) qui, dans le cadre de ses missions, « contribue à la surveillance des communications électroniques et radioélectriques (…) sur l’ensemble du territoire de la République« .
Signe de la montée en puissance de la DGSI : elle vient de se doter d’un « directeur technique« , Jean-Luc Combrisson, un militaire, ingénieur de l’armement qui était jusque là responsable du pôle télécommunications et sécurité des systèmes d’information à la Délégation générale de l’armement (DGA), secondé du commissaire Stéphane Tijardovic, qui s’était illustré en accédant aux fadettes du journaliste du Monde et qui, pour accéder aux données interceptées par la DGSE, avait du y envoyer 10 de ses hommes, au risque de laisser les « cousins« , comme l’écrivaient les auteurs de L’espion du président « deviner, en fonction des enquêtes, les sujets d’intérêt du moment à Levallois.
Ils auront pour mission d’organiser le renseignement technique à la DGSI, et notamment les interceptions menées au Département de Recherche Technique (DRT) de Boullay-les-Troux, le centre d’interception des télécommunications, et pôle d’investigation numérique, de la DGSI, ainsi que du Centre technique d’assistance (CTA), créé suite aux attentats de 2001 afin de pouvoir décrypter les communications chiffrées, et dont elle vient de récupérer la tutelle.
Autre signe de la montée en puissance de la DGSI en matière de renseignement technique : sa division des systèmes d’information a lancé une quinzaine de procédures de recrutement depuis janvier 2014, comme l’a récemment révélé IOL, dont un responsable de la sécurité des systèmes d’information (.pdf), un ingénieur sécurité expert des analyses « forensics » (.pdf) ou encore un technicien orienté investigation numérique (.pdf)…
Auditionné, fin avril, par la commission des lois à l’Assemblée, Bernard Cazeneuve, le nouveau ministre de l’Intérieur, révélait par ailleurs que le plan anti-djihad du Gouvernement ne se réduira pas « à la création d’un numéro vert » :
« Les cyberpatrouilleurs ne peuvent aujourd’hui être assurés de l’efficacité de leur intervention lorsqu’ils s’introduisent sous pseudonyme dans les forums de discussion djihadistes. Notre plan comporte une mesure qui leur permettra d’enquêter en ligne sous pseudonyme.
De surcroît, afin de disposer du temps nécessaire pour conduire les enquêtes jusqu’à leur terme, nous proposerons au Parlement que les données recueillies par ce moyen ou grâce aux interceptions de sécurité puissent être conservées au-delà de dix jours et jusqu’à un mois, de manière à ce qu’elles puissent être exploitées de manière exhaustive, dans le respect rigoureux des libertés publiques et des textes en vigueur.
Enfin, la loi permettra l’interconnexion à distance entre nos services, de manière à disposer de la palette d’informations la plus large possible. »
Cette « interconnexion à distance fait furieusement penser à l’Infrastructure de mutualisation, la base de données de la DGSE, à laquelle ont accès les autres services de renseignement français, dont l’existence avait été révélée par Le Monde, et qu’avait évoqué la Délégation parlementaire au renseignement dans son rapport 2013 :
« La délégation rappelle aussi que la mutualisation des capacités techniques des services de renseignement répond à la fois aux nécessités d’optimisation de la ressource budgétaire et à des besoins opérationnels. Depuis 2008, des progrès ont été réalisés en matière de mutualisation des capacités, notamment en ce qui concerne le renseignement d’origine électromagnétique, opéré par la DGSE au profit de l’ensemble de la communauté du renseignement. »
Visitant la Direction du renseignement militaire en septembre 2013, Jean-Yves le Drian, ministre de la Défense, qualifiait par ailleurs ces « processus de mutualisation » de « maître mot du nouveau Livre blanc et de la LPM en ce qui concerne les services de renseignement et leurs moyens« . Fin novembre 2013, un rapport sénatorial révélait par ailleurs récemment qu' »environ 80 % du budget annuel d’investissement de la direction technique de la DGSE financent des projets intéressant également d’autres organismes« .
Un document budgétaire révélait par ailleurs que la direction du renseignement militaire (DRM) « poursuit les actions de mutualisation avec la direction générale de la sécurité extérieure (DGSE) et d’amélioration des capacités d’interception et de traitement dans les détachements avancés de transmissions » (DAT, les stations d’écoute installées dans les DOM-TOM et à l’étranger qu’elle a entrepris, depuis 2005 au moins, de mutualiser avec la DGSE, cf la carte des stations espions du renseignement français), et qu’elle « renforce en parallèle ses infrastructures de transport et d’hébergement de données, améliore leur interconnexion avec ses partenaires et réalise une salle de serveurs informatiques adaptés à ses besoins au cours des dix prochaines années« .
Dans un article intitulé « Les services de renseignements ont enterré la hache de guerre« , La Tribune écrivait, en mars 2013, que « l’articulation de ma direction générale avec la DCRI n’a jamais été aussi bonne, explique le patron de la DGSE. Nous avons désormais des relations très étroites, qui permettent des échanges quotidiens d’informations sur des cibles ou des individus signalés« , et que « le meilleur exemple de décloisonnement des services est raconté par le patron de la DPSD, le général Bosser » :
« Nous suivons un garçon qui appartient aujourd’hui à la défense, dont le contrat va s’arrêter dans six mois, et qui a tendance à aller passer des vacances dans des endroits peu recommandables (Afghanistan, Pakistan, ndlr). Quand il quitte le territoire national, c’est la DGSE qui le prend en charge ; quand on s’interroge sur la façon dont il finance ses voyages, on s’adresse à TRACFIN ; quand il revient en France, c’est la DCRI qui le reprend et qui le suivra quand il aura fini ses services chez nous ».
Un article intitulé Longue vie à l’espionnage du Net ! (accès payant), publié le 4 décembre dernier sur Intelligence Online (IOL), lettre d’information spécialisée sur le monde du renseignement, révélait qu' »en France, la régulation des interceptions effectuées sur le réseau Internet n’est pas pour demain » :
« La Délégation parlementaire au renseignement (DPR), présidée par le sénateur socialiste Jean-Pierre Sueur, est dans une impasse à propos des interceptions électroniques effectuées sur les câbles sous-marins transitant par la France, via Marseille et Penmarch notamment. »
IOL évoquait une réunion entre les parlementaires de la DPR, François Hollande et Alain Zabulon, le coordonnateur du renseignement (CDR), réunion qualifiée d' »entrevue de pure forme puisque les parlementaires ne sont pas autorisés à poser des questions sur les aspects opérationnels des échanges de métadonnées interceptées, pratiquées dans le cadre du protocole Lustre entre la direction technique de la DGSE, la NSA et le GCHQ« .
D’après IOL, la Commission nationale de contrôle des interceptions de sécurité (CNCIS) aurait « haussé le ton« , et réclamé « un cadre juridique mieux défini« , de sorte de pouvoir contrôler la collecte et le stockage des données par la DGSE, et leur transmission à des services de renseignement étrangers, et ce « d’autant plus que ce service est dans l’incapacité de trier préalablement les communications interceptées pour déterminer si elles impliquent ou non des citoyens français » :
« Réaction des autorités politiques : impossible de satisfaire cette demande dans l’immédiat, au vu de l’ampleur du travail qu’impliquerait une telle régulation. »
A l’époque, l’attention médiatique était accaparée par le projet de loi de programmation militaire (LPM), qui visait notamment à légaliser des pratiques illégales (ou « a-légales« , pour reprendre l’expression d’un des patrons d’une des agences de renseignement) en matière d’interceptions des télécommunications, et donc à légaliser l' »accès administratif » (par les services de renseignement, à distinguer des services de police judiciaire) aux données de connexion (les « traces » et « méta-données » de nos activités stockées par les opérateurs de télécommunications et de services en ligne).
Le projet de loi a depuis été adopté par le Parlement, et nombreux sont ceux qui, à l’aune des « révélations » Snowden, sont persuadés que la DGSE joue à la NSA.
Comme je l’avais alors écrit, la complexité du dossier, et les subtilités juridiques & syntaxiques du texte, ne permettent pas encore de savoir s’il est plus, ou moins, protecteur de nos libertés, et vies privées (cf Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander).
L’analyse d’IOL révèle cela dit que la LPM ne cherchait donc à encadrer que la partie émergée de l’iceberg, mais aussi que la « régulation » des « interceptions électroniques effectuées sur les câbles sous-marins transitant par la France » ne serait donc toujours pas clairement (et légalement) encadrée…
Le rapport (.pdf) relatif à l’activité de la délégation parlementaire au renseignement (DPR) pour l’année 2013 est à ce titre très instructif.
Evoquant « un cadre juridique en pleine évolution« , la DPR y reconnaît en effet que « notre pays ne dispose pas à ce jour d’un véritable régime juridique complet définissant avec précision les missions et les activités des services de renseignement ainsi que les moyens d’actions dont ils disposent et prévoyant les modalités de leur encadrement et de leur contrôle« .
Elle se félicite ensuite de l’adoption de la LPM, qui permet de « réintégrer dans le droit commun de la loi du 10 juillet 1991 relative au secret des correspondances (à présent codifiée dans le code de la sécurité intérieure) les opérations de collecte de données relatives aux contenants des télécommunications« , et qui « prévoit également un contrôle renforcé en matière de géolocalisation, similaire à celui prévu pour les interceptions de correspondances » :
« Ce nouveau cadre juridique constitue ainsi un progrès indéniable. »
Il reste encore cela dit quelques progrès à faire : suivent en effet deux pages anonymisées (voir la capture d’écran, ci-contre) qui, au vu de la conclusion du chapitre en question, montrent bien que le contrôle parlementaire, et juridique, des services de renseignement français, est encore loin de donner satisfaction, les parlementaires de la DPR ayant été contraints de s’auto-censurer :
« L’aboutissement de ces réflexions doit ainsi mener à poursuivre l’amélioration du dispositif juridique d’encadrement et de contrôle des services afin que, solide et bien accepté par nos concitoyens, il contribue à accroître la
confiance de ceux-ci dans l’action des services de renseignement, à diffuser cette « culture du renseignement » qui fait en partie défaut à notre pays et, in fine, à renforcer la sécurité de tous dans le respect des libertés publiques. »
Enfin, si la DGSE travaille avec le GCHQ sur une base de « coopération et de partage« , cela signifie-t-il qu’elle peut elle aussi accéder « aux données des clients anglais de British Telecom« , ou encore à celles « des clients américains d’AT&T » dans le cadre de son partenariat avec la NSA ?
On imagine mal le GCHQ ou la NSA autoriser une telle surveillance généralisée de leurs propres concitoyens par le service de renseignement extérieur des froggies… Ce pour quoi je peine aussi à imaginer que la DGSE laisse le GCHQ piocher massivement dans les données des « clients français » d’Orange. Mais je peux me tromper.
Mise à Jour, 22/05/14 : en octobre 2013, Orange remportait plusieurs accords-cadres portant sur la fourniture de services de téléphonie fixe au ministère de l’Intérieur; en novembre, Orange remportait le marché de la téléphonie fixe et de l’accès à Internet du ministère des affaires étrangères; en janvier 2014, remportait aussi un marché de 15 millions d’euros, dans le cadre de l’accord cadre « astel G5 » de fourniture de services de télécommunications mobiles, de téléphones mobiles et de leurs accessoires, à la Direction Interarmées des Réseaux d’Infrastructure et des Systèmes d’Information (DIRISI) du ministère de la Défense.
On peine, de même, à imaginer que le ministère de la Défense (et al.) utilise Orange pour communiquer… tout en facilitant l’espionnage desdites communications par des services de renseignement étranger.
NB : vous pouvez aussi tester vos connaissances avec le Quiz: rions un peu avec la DGSE que j’ai publié sur Slate, avec tout plein de .gifs animés (parce que oui, on peut aussi s’amuser et rire un peu avec la DGSE), ou encore y découvrir la carte des stations d’interception des services de renseignement français que je viens d’y publier.
Illustrations du SuperDupont de Marcel Gotlib : Krinen & ComicVine; dites, vous saviez que le logo de son T-shirt s’inspirait de celui de la section antiterroriste des ex-Renseignements Généraux (à moins que ça ne soit l’inverse) ?
Et, sinon, le Musée d’art et d’histoire du judaïsme, à Paris, consacre précisément une exposition à Marcel Gotlib, et donc aussi à SuperDupont, ce « super héros » combattant l' »Anti-France »…
Voir aussi :
Frenchelon: la DGSE est en « 1ère division »
La DGSE recrute, niveau brevet, CAP ou BEP
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
Pour la CNIL, 18% des Français sont « suspects »
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis
La NSA n’a pas intercepté 70,3 millions de communications téléphoniques de Français fin 2012, contrairement à ce que Le Monde avait initialement révélé, en octobre dernier. Le journal avait ensuite reconnu qu’il s’agissait de méta-données collectées par les services de renseignement français à l’étranger, et partagées avec la NSA, mais cette rectification avait bien moins circulé que les premières révélations, et nombreux sont ceux (dont moi, jusqu’à il y a peu) à croire que la NSA avait ainsi massivement espionné les coups de fil des Français.
J’ai ainsi du rectifier le reportage diffusé dans l’émission Toutes les France, qui sera diffusé sur France ô ce samedi mais que l’on peut déjà voir en ligne, et où j’intervenais avec Alain Bauer, Eric Delbecque et Nicolas Arpagian au sujet de la surveillance massive des télécommmunications par les services de renseignement anglo-saxons (notamment). Je profite donc de l’occasion pour faire le point sur ce que l’on sait (ou pas) de l’espionnage des télécommunications de la France et des Français par la NSA.
Dans un article intitulé « Comment la NSA espionne la France« , Jacques Follorou et Glenn Greenwald avançaient, le 22 octobre 2013, que « des millions de données ont été collectées sur la France par l’agence de sécurité américaine » :
« 70,3 millions de communications téléphoniques de Français ont été interceptées entre le 10 décembre 2012 et le 8 janvier 2013. »
Ces « révélations sur l’espionnage de la France par la NSA américaine« , reprises dans le monde entier, avaient fait la « Une » du quotidien Le Monde, qui y avait consacré son éditorial, « Combattre Big Brother« , où l’on apprenait qu' »une équipe d’une dizaine de journalistes » avait procédé à « un examen minutieux et une analyse approfondie » des documents transmis par Snowden/Greenwald, « pour tenter de leur donner tout leur sens et leur valeur« .
L’affaire souleva une vague d’indignation à droite comme à gauche, enflamma la presse américaine, entraîna quelques tensions diplomatiques, et poussa François Hollande et Laurent Fabius à dénoncer « des pratiques inacceptables » :
La journée du lundi 21 octobre restera dans les annales des relations franco-américaines comme une journée à oublier. Elle avait commencé par la très inhabituelle convocation de l’ambassadeur des Etats-Unis à Paris au Quai d’Orsay, après les révélations du Monde sur l’espionnage massif des communications réalisés à l’encontre de la France par l’Agence nationale de sécurité (NSA) américaine. Elle s’est achevée, peu avant minuit, par un coup de téléphone agacé de François Hollande au président Barack Obama. « Le chef de l’Etat a fait part de sa profonde réprobation à l’égard de ces pratiques, inacceptables entre alliés et amis, car portant atteinte à la vie privée des citoyens français », a indiqué l’Elysée dans un communiqué.
Le sujet a naturellement été au coeur de l’entretien entre le secrétaire d’Etat américain, John Kerry, avec son homologue Laurent Fabius, mardi 22 octobre au matin. Signe de l’embarras de Washington, Le Monde n’a pas été autorisé à poser une question à John Kerry sur cette affaire lors de sa conférence de presse, lundi soir, à l’ambassade américaine de Paris.
Or, l’analyse de documents similaires, confiés par Edward Snowden à Glenn Greenwald et portant sur d’autres pays, montre que ce n’était pas les « communications téléphoniques« , mais les « méta-données » qui avaient été interceptées, et qu’elles n’avaient pas été interceptées par la NSA, en France, mais par les services de renseignement français, à l’étranger, avant d’être partagées avec la NSA.
Les révélations du Monde reposaient sur une capture d’écran émanant du système « BOUNDLESS INFORMANT » (informateur sans bornes, en VF), utilisé par la NSA pour visualiser les volumes de méta-données auxquels elle peut accéder, et dont l’existence avait été révélée, en juin 2013, par Glenn Greenwald et Ewen MacAskill dans le Guardian (cliquez sur les images pour les afficher en pleine largeur).
Cette capture d’écran avait alors révélé que, sur une période de 30 jours, en mars 2013, la NSA avait collecté 124,8 milliards de données téléphoniques (DNR, pour « Dial Number Recognition« ) et 97,1 milliards de données Internet (DNI, pour « Digital Network Intelligence« ) dans le monde entier, dont plus de 14 milliards en Iran, 13,5 au Pakistan, 12,7 en Jordanie, 6,3 en Inde, et 3 milliards aux USA.
En août, la documentariste américaine Laura Poitras (qui avait mis Edward Snowden et Glenn Greenwald en relation) révélait dans le quotidien allemand Der Spiegel que les services de renseignement allemand transmettaient des quantités massives de méta-données à la NSA, et publiait une capture d’écran de « BOUNDLESS INFORMANT » révélant que, pour le seul mois de décembre 2012, plus de 500 millions de méta-données avaient ainsi été partagées.
Interrogé par Der Spiegel, le Bundesnachrichtendienst (BND), le service de renseignement extérieur du gouvernement fédéral allemand, déclara qu’il s’agissait de données collectées par leur soin en Afghanistan et à Bad Aibling, en Bavière, où se trouve une station d’interception des télécommunications créée par la NSA, mais rétrocédée à l’Allemagne en 2004. Le BND expliqua également au journal allemand que ces méta-données, liées à la surveillance de cibles étrangères, étaient nettoyées avant d’être partagées avec la NSA :
« Avant d’être transmises, les métadonnées relatives à d’autres pays sont purgées, dans un processus passant par plusieurs étapes, de toutes les données personnelles qu’elles pourraient contenir au sujet de citoyens allemands. »
Dans la galerie photo associée à l’article, Der Spiegel publiait également, à titre de comparaison, des captures d’écran des informations relatives aux Pays-Bas, à l’Espagne, l’Italie et la France, issues de « BOUNDLESS INFORMANT« , où l’on découvrait notamment que l’Allemagne était le seul pays à répertorier des DNI (données liées à Internet), la NSA ne recensant que des données DNR (téléphoniques) dans les autres pays.
Le 22 octobre, Le Monde révélait donc qu’il travaillait depuis le mois d’août avec Glenn Greenwald, et publiait une version plus complète de la capture d’écran publiée par Der Spiegel, révélant que la NSA avait eu accès, entre le 10 décembre 2012 et le 8 janvier 2013, à 70,2 millions de données téléphoniques (DNR), via deux techniques, « DRTBOX » et « WHITEBOX » totalisant respectivement 62,5M et 7,7M d’enregistrements (« records« , en VO).
Étrangement, l’article du Monde, intitulé « Comment la NSA espionne la France« , ne parlait pas, comme Der Spiegel, de « méta-données » collectées à l’étranger, mais de « communications téléphoniques des citoyens français« , de « techniques utilisées pour capter illégalement les secrets ou la simple vie privée des Français« , « d’enregistrements de données téléphoniques des Français effectués par la NSA » ou encore de « collecte si massive de données sur un territoire étranger, souverain et allié« .
Evoquant les noms de code des programmes « DRTBOX » et « WHITEBOX » mentionnés dans le document, l’article reconnaissait que « leurs caractéristiques ne sont pas connues« , tout en précisant cependant :
« Mais on sait que grâce au premier code, 62,5 millions de données téléphoniques sont collectés en France du 10 décembre 2012 au 8 janvier 2013. »
Or, et comme l’avait alors relevé Peter Koop, un Néerlandais expert des systèmes d’interception des télécommunications, qui passe des heures à « fact-checker » les révélations Snowden sur son blog electrospaces.net, « BOUNDLESS INFORMANT » ne recense que les seules « méta-données » collectées par (ou partagées avec) la NSA et non, comme l’affirmait Le Monde, les « communications téléphoniques« , et encore moins les « secrets » relatifs à la « vie privée des Français » -ou de n’importe quelle autre nationalité.
Le 26 octobre, le Süddeutsche Zeitung révélait l’existence d’un accord de coopération sur la surveillance entre la France et les Etats-Unis connu sous le nom de « Lustre », mais dont on n’a pas appris grand chose depuis.
Auditionné par la Chambre des représentants le 29 octobre, le général Keith Alexander, le chef de la NSA, jura que les informations du Monde, ainsi que celles d’El Mundo, en Espagne, et de L’Espresso, en Italie, sur l’interception de communications de citoyens européens par la NSA, étaient « complètement fausses », que les documents émanant de BOUNDLESS INFORMANT avaient été « mal compris et mal interprétés » par les journalistes qui y avaient eu accès et qui n’auraient « pas compris ce qu’ils avaient devant les yeux », et enfin que les données en question avaient été « fournies à la NSA » par des partenaires européens :
« Pour être parfaitement clairs, nous n’avons pas recueilli ces informations sur les citoyens européens. »
Des sources anonymes précisèrent par ailleurs au Wall Street Journal que ces documents ne montraient pas des données interceptées par la NSA au sein de ces pays, mais des informations captées par les services de renseignement européens eux-mêmes, à l’extérieur de leurs frontières, et partagées avec la NSA.
C’était la première fois que la collaboration des services occidentaux avec la NSA était évoquée, même sous couvert d’anonymat, par des membres de l’administration américaine, qui n’avaient d’ailleurs pas nié les révélations du Spiegel sur le partage avec la NSA de méta-données interceptées par les services de renseignement allemand.
Le 30, évoquant des « informations recueillies auprès d’un haut responsable de la communauté du renseignement en France« , Jacques Follorou reconnaissait qu’il s’agissait en fait de données collectées par la DGSE à l’étranger, « concernant aussi bien des citoyens français recevant des communications de ces zones géographiques que d’étrangers utilisant ces canaux« , et confiées à la NSA par la DGSE, qui aurait établi « à partir de la fin 2011 et début 2012, un protocole d’échange de données avec les Etats-Unis« . L’article évoquait également le fait que « les câbles sous-marins par lesquels transitent la plupart des données provenant d’Afrique et d’Afghanistan atterrissent à Marseille et à Penmarc’h, en Bretagne » :
« Ces zones stratégiques sont à la portée de la DGSE française, qui intercepte et stocke l’essentiel de ce flux entre l’étranger et la France.
« C’est un troc qui s’est institué entre la direction de la NSA et celle de la DGSE, explique la même source. On donne des blocs entiers sur ces zones et ils nous donnent, en contrepartie, des parties du monde où nous sommes absents, mais la négociation ne s’est pas effectuée en une fois, le périmètre du partage s’élargit au fil des discussions qui se prolongent encore aujourd’hui. »
Un haut responsable du renseignement français, joint, mercredi matin, a admis, sous couvert d’anonymat, l’existence de « ces échanges de données ». Il a néanmoins démenti « catégoriquement » que la DGSE puisse transférer « 70,3 millions de données à la NSA ».
En novembre, le tabloïd norvégien Dagbladet révélait, lui aussi, que la NSA avait espionné 33 millions de télécommunications téléphoniques de Norvégiens, ce à quoi les services de renseignement norvégiens rétorquèrent, là encore, qu’il s’agissait en fait de méta-données qu’ils avaient collectées sur des théâtres d’opération à l’étranger, et confiées à la NSA.
Dans la foulée, le Danemark et l’Autriche reconnaissaient eux aussi partager avec la NSA des données collectées par leurs propres services de renseignement.
Dans un tribune publiée par Dagbladet, Glenn Greenwald contesta les dénis de la NSA et des services de renseignement espagnol et norvégien, qui expliquaient que ces données avaient été captées à l’étranger, et plus particulièrement en Afghanistan.
Greenwald relevait d’une part que la NSA n’avait pas nié l’article qu’il avait écrit pour le quotidien brésilien O Globo, où il révélait que la NSA avait collecté 2,3 milliards d’appels téléphoniques et emails, et qu’on ne pouvait pas soupçonner le Brésil d’avoir partagé avec la NSA des données qu’elle aurait elle-même interceptée.
Étrangement, Greenwald ne parlait pas de « données » ou d' »enregistrements » (« records« , en VO, le mot utilisé dans les documents BOUNDLESS INFORMANT), mais d' »appels téléphoniques et emails« .
Greenwald mentionnait d’autre part une capture d’écran de BOUNDLESS INFORMANT évoquant une moyenne de 1,2 à 1,5 millions de données collectées par jour en Afghanistan, contre 2,5 à 3,5 millions en Espagne, et 1,2 millions pour la Norvège, ce qui, d’après lui, suffit à invalider les arguments des chefs des services de renseignement.
Cherchant à vérifier ces affirmations, Peter Koop découvrit que les captures d’écran de BOUNDLESS INFORMANT pouvaient nous induire en erreur dans la mesure où elle ne portent pas tant sur tel ou tel pays que sur tel ou tel SIGAD (pour SIGINT Activity Designators, accronyme accolé aux 504 centres ou programmes d’interception des télécommunications), et qu’il peut y avoir plusieurs SIGADs pour un seul et même pays.
Une capture d’écran de la page d’accueil de BOUNDLESS INFORMANT publiée par Glenn Greenwald dans le quotidien indien The Hindu montre en effet que, sur la même période, le système aurait collecté, en Afghanistan, 2,3 milliards de données Internet, et près de 22 milliards de données téléphoniques, quand bien même la capture d’écran portant expressément sur l’Aghanistan ne mentionnait, elle, que 35 millions de données téléphoniques.
La liste des SIGADs qu’il a compilé évoque ainsi plusieurs programmes visant la France : US-985D, qui avait été rendu public par Le Monde, mais également les programmes US-3136LO & US-3136UC, qui concerneraient des programmes d’espionnage d’ambassades françaises, ou encore US-3136OF & US-3136VC qui, eux, porteraient sur des programmes d’espionnage de missions diplomatiques françaises aux Nations Unies, mais qui n’étaient pas mentionnés dans la capture d’écran portant sur la France.
En tout état de cause, la capture d’écran publiée par Le Monde ne relevant que sur les données du SIGAD US-985D, elle ne mentionnait donc pas les données interceptées dans les ambassades et missions diplomatiques, pas plus que celles interceptées via les câbles sous-marins, logiciels espions, piratages d’applications pour smartphones type Angry Birds, sans parler des programmes PRISM, FAIRVIEW, MUSCULAR ou TEMPORA, et caetera.
N-ième signe que la capture d’écran publiée par Le Monde ne concerne pas l’ensemble des données interceptées par la NSA concernant des sujets français : elle ne porte que sur des méta-données téléphoniques; or, on sait que la NSA a aussi espionné des communications et meta-données Internet…
Quelques jours plus tard, Peter Koop révélait que DRTBOX, accronyme que l’on trouvait sur les captures d’écran de BOUNDLESS INFORMANT au sujet de la France, de l’Espagne, de l’Italie, de la Norvège et de l’Afghanistan n’était pas un terme propre à la NSA, mais le nom de code d’un système de surveillance des communications sans fil développé par une entreprise américaine, Digital Receiver Technology, Inc (DRT), rachetée par Boeing en 2008.
Utilisés par les forces de l’ordre et le renseignement américain, les systèmes DRT interceptent les appels téléphoniques, à la manière des IMSI Catcher, en se substituant aux bornes des opérateurs téléphoniques, et peuvent empêcher les appels « suspects » d’accéder aux réseaux grands publics.
Se basant sur plusieurs offres d’emploi émanant de la communauté militaire, des forces spéciales ou du renseignement américain, Peter Koop souligne qu’ils sont également très utilisés sur des théâtres d’opération militaire, afin d’intercepter les communications téléphoniques mobiles, notamment en Irak et en Afghanistan, mais qu’ils pourraient également être utilisés sur les stations espion installées sur les toits des ambassades américaines, et qu’ils auraient donc pu contribuer à l’espionnage du téléphone portable d’Angela Merkel.
Or, 62,5 des 70,2 millions (soit près de 89%) de données interceptées par les services de renseignement français, et confiées à la NSA, l’ont été grâce à des techniques labellisées DRTBOX, et regroupées sous l’intitulé PCS (pour Personal Communications Service, i.e. les télécommunications et échanges de données sans fil).
Les 11% restant le sont au titre d’un programme WHITEBOX dont on sait juste qu’il porte sur les réseaux PSTN (pour « public switched telephone network« , ou Réseau téléphonique commuté –RTC– en français), et qui concernent tout à trac les réseaux de téléphonie fixe et mobile, commutateurs téléphoniques, faisceaux hertziens, ainsi que les câbles sous-marins, fibres optiques et satellites de télécommunication…
En décembre, Peter Koop découvrait, via une nouvelle capture d’écran publiée par El Mundo, que BOUNDLESS INFORMANT pouvait fournir bien plus d’informations que les captures d’écran publiées jusqu’alors ne le laissaient entendre, et que ces dernières, relayées par la presse européenne, offraient donc une vision biaisée ou en tout cas amputé de la réalité, et de ses fonctionnalités.
Non seulement parce que ces captures d’écran portent moins sur des pays que sur des SIGADs, mais également parce qu’elles ne portent que sur les systèmes d’interception des télécommunications (SIGINT), et non sur les programmes d’espionnage et de piratage mis en place par l' »Office of Tailored Access Operation » (ou TAO, le « bureau des opérations d’accès adaptées » dont on a depuis découvert qu’il aurait -notamment- piraté le réseau informatique et le système de gestion de l’un des principaux câbles sous-marin transitant par Marseille).
Dans la foulée, la chaîne de télévision suédoise SVT publiait de nouveaux documents Snowden révélant notamment que la France, l’Allemagne, l’Italie, la Belgique, les Pays-Bas, le Danemark, la Norvège et la Suède faisaient partie d’un groupe intitulé « 14-EYES« , considérés comme des partenaires de la NSA (l’Australie, le Canada, la Nouvelle Zélande, le Royaume-Uni et les USA faisant, eux, partie du cercle des « Five Eyes » de premier niveau), et bénéficierant donc d’accords bilatéraux régissant les échanges d’informations.
D’après Peter Koop, citant un article de l’historien Cees Wiebes, ces 14 pays, réprésentés par des « SIGINT Seniors Europe » (ou « SSEUR« ), officiers de haut rang dans la hiérarchie du renseignement technique, échangeraient depuis une trentaine d’années données et informations au sein d’un « Signals Intelligence Data System (SIGDASYS)« , un système informatique créé initialement pour sauvegarder leurs renseignements d’origine électromagnétique (SIGINT), et utilisé depuis pour les partager avec leurs partenaires « SSEUR« .
Début février, aux termes d’une longue bataille politique, médiatique et juridique, le gouvernement des Pays-Bas reconnaissait finalement que, contrairement à ce que la presse néerlandaise avait initialement avancé, la capture d’écran de BOUNDLESS INFORMANT évoquant les « Netherlands » ne permettait pas de conclure qu’1,8 millions d’appels téléphoniques effectués par des Hollandais avaient été espionnés par la NSA, mais qu’il s’agissait bel et bien de « méta-données » collectées par les services de renseignement néerlandais au sujet d’appels, SMS et fax émanant ou à destination de pays étrangers, via sa station d’interception des télécommunications de Burum qui, le hasard faisant bien les choses, jouxte une station Inmarsat de télécommunications…
Début mars, de nouveaux documents révélaient que les télécommunications espionnées par les services néerlandais au large de la Somalie pour combattre (notamment) la piraterie (les Pays-Bas y dirigeaient la flotte de l’OTAN), étaient utilisées par les USA pour identifier des terroristes et tenter de les tuer avec leurs drones, tout en partageant, en retour, les données qu’ils avaient collectées en Somalie avec les services néerlandais.
Ironie de l’histoire, le ministre de l’Intérieur néerlandais avait initialement nié que les données avait été collectées par ses propres services, non pas pour les protéger, mais parce qu’il croyait ce que la majeure partie des médias avait relayé, à savoir la version biaisée laissant supposer qu’il s’agissait de télécommunications interceptées aux Pays-Bas par la NSA.
En tout état de cause, on ne sait pas combien de méta-données, et a fortiori de télécommunications, ont à ce jour été interceptées par la NSA, en France ou visant des Français, ni d’où proviennent celles que leur a confié la DGSE (je reviendrai, dans un second billet, sur les dernières révélations du Monde au sujet des « relations incestueuses » qu’elle entretiendrait avec Orange).
MaJ :A la décharge du Monde, on notera que ses journalistes ne disposaient pas, à l’époque, de toutes les captures d’écran qui sont depuis sorties dans la presse internationale, et qu’ils ne pouvaient donc pas, à l’époque, effectuer ce travail de « fact-checking« .
MAJ, 04/06/2014 : rajout du passage sur les réactions médiatiques et politiques suscitées par ces « révélations« .
NB : vous pouvez aussi tester vos connaissances avec le Quiz: rions un peu avec la DGSE que j’ai publié sur Slate, avec tout plein de .gifs animés (parce que oui, on peut aussi s’amuser et rire un peu avec la DGSE).
& merci à Zone d’Intérêt (qui, à la manière de Peter Koop, analyse et fact-checke les révélations Snowden, et notamment celles concernant la France, de façon dépassionnée), pour sa relecture et ses remarques.
Voir aussi :
Frenchelon: la DGSE est en « 1ère division »
La DGSE recrute, niveau brevet, CAP ou BEP
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
Pour la CNIL, 18% des Français sont « suspects »
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis
Plus de 5000 sites web ont décidé de se mettre en berne, ce mardi 11 février 2014, afin de dénoncer la « surveillance de masse » mise en place par la NSA, les « grandes oreilles » américaines (& britanniques, canadiennes, australiennes, néo-zélandaises, associées à de nombreux autres pays -dont la France), et d’appeler à l’adoption des 13 principes internationaux sur l’application des droits de l’Homme à la surveillance des communications rédigés par plus de 360 ONG et juristes du monde entier.
Nombreux sont ceux qui ne comprennent toujours pas ce pour quoi ils peuvent bel et bien être « espionnés » (voir aussi ma Lettre ouverte à ceux qui n’ont rien à cacher). L’ACLU (la principale ONG US de défense des droits humains) l’a très bien résumé dans ce .gif : la NSA surveille voire espionne en effet tous ceux qui connaissent des gens qui connaissent des gens qui pourraient être des « terroristes » -ou diplomates, commerciaux dans une boîte du CAC40, une start-up, chercheurs, journalistes, etc.
Le simple fait de communiquer avec l’un des amis des copains de foot d’un apprenti djihadiste, d’être dans le carnet de contacts de l’une des cousines germaines du fils, de la fille, du père ou de la mère d’un haut fonctionnaire en poste dans un pays sensible, de recevoir un coup de fil du grand-père de l’un des collègues d’un chercheur travaillant sur des technologies de pointe… peut vous valoir d’être surveillé par la NSA -voir aussi Pourquoi la NSA espionne aussi votre papa (#oupas) :
J’ai accordé des dizaines (jusqu’à 10 par jour !) d’interviews ces derniers mois au sujet des révélations d’Edward Snowden sur la NSA. J’en ai retenu quatre, qui pourraient aider ceux qui ont du mal à comprendre, suivre ou analyser la somme de révélations auxquelles nous avons donc eu droit ces derniers mois, à appréhender les tenants et aboutissants de ces révélations, et donc notamment aider vos parents, amis, voire vos enfants, à comprendre ce dont il est question.
En juillet dernier, Gilles Halais, journaliste à France Info Junior, m’avait ainsi proposé de répondre aux questions de 3 enfants de 10 à 13 ans à ce sujet :
En octobre, Daniel Schneidermann m’avait proposé d’expliquer, pour « ceux qui n’ont rien compris« , ce qu’Edward Snowden nous avait révélé du fonctionnement de la NSA, dans le cadre du #14h42, l’émission que je fais pour Arrêts sur Images et PCInpact depuis la rentrée (vous pouvez aussi la télécharger aux formats audio MP3 ou vidéo MP4) :
A l’occasion de la diffusion sur Public Sénat de la version courte d' »Une contre-histoire de l’Internet« , le documentaire que j’ai réalisé avec Julien Goetz et Sylvain Bergère (cf Internet a été créé par des hippies qui prenaient du LSD), Claire Barsacq m’a proposé de débattre du sujet avec Jérémie Zimmermann, co-fondateur de La Quadrature du Net, François-Bernard Huyghe, directeur de recherche à l’IRIS, spécialiste de la cyberstratégie et Jean-Marie Bockel, Sénateur (UDI-UC) du Haut-Rhin, auteur du rapport sur la Cyberdéfense :
Début février, Giv Anquetil, reporter à Là-bas si j’y suis« , m’avait également interviewé, avec Jérémie Zimmermann et Eben Moglen, dans une série de deux émissions intitulées « Le bon Dieu te regarde même quand tu es aux cabinets ! » (parties 1 & 2), où je revenais notamment sur ce que font les « grandes oreilles » françaises, et ce que j’ai découvert dans les appels d’offre de la DGSE (voir mon Quiz: rions un peu avec la DGSE , sur Slate.fr) :
Signalons enfin Pourquoi Obama lit il mes mails?, très intéressante conférence donnée en janvier dernier par Philippe Langlois, du hackerspace /tmp/lab :
Il y aura clairement un avant et après Snowden : il a changé notre vision du monde, et pourrait bien changer le monde… Jamais on avait autant parlé des problèmes posés par la surveillance généralisée de la population, du contrôle des services de renseignement, du chiffrement point à point de nos données et télécommunications. Voir, à ce titre, Comment protéger ses sources ?, mon guide pratique, WeUsePGP pour en savoir plus sur ce logiciel de chiffrement des courriels, la section « Comment reprendre le contrôle » du site controle-tes-donnees.net, qui explique pourquoi mais aussi et surtout comment garder nos échanges confidentiels, ne plus laisser de trace sur Internet, ou encore la campagne lancée par l’association April afin de donner la priorité au Logiciel Libre, condition sine qua non, nécessaire mais pas suffisante, si l’on veut (re)prendre le contrôle de nos données et vies numériques.
Voir aussi :
« Une journée dans la peau d’Edward Snowden »
Pourquoi la NSA espionne aussi votre papa (#oupas)
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
La NSA a accès à toutes les communications des Américains (et surtout celles des journalistes)
Ne dites pas à ma mère que je suis un hacker, elle me croit blogueur au Monde.fr, & reporter au Vinvinteur
Imaginez le scandale si l’Insee, Pôle emploi ou le Premier ministre avaient gonflé, par erreur, de près de 20% les statistiques du chômage… C’est ce qui est arrivé au ministère de l’intérieur, et à la CNIL, qui ont « gonflé » le nombre de personnes « mises en cause » et dès lors fichées par les gendarmes et policiers.
Les premiers chiffres communiqués concernant le TAJ, « Traitement des Antécédents Judiciaires« , créé pour fusionner les deux fichiers de police (STIC) et de gendarmerie (JUDEX) recensant les suspects « mis en cause » (MEC) ainsi que les victimes, et censé régler les nombreux problèmes posés par les fichiers policiers, étaient en effet erronés.
Mais ni la CNIL ni le ministère de l’intérieur ne s’étaient aperçus, ni offusqués, d’avoir ainsi gonflé de près de 3 millions le nombre de personnes considérées comme « défavorablement connues des services de police« …
Quatre ans après avoir dénoncé le fait que plus d’1 million de personnes, blanchies par la justice, n’en étaient pas moins toujours fichées comme « mises en cause« , et donc « suspectes« , par la police (cf En 2008, la CNIL a constaté 83% d’erreurs dans les fichiers policiers), la Commission nationale de l’informatique et des libertés (CNIL) déplorait en juin dernier que, non seulement « la situation ne s’est guère améliorée« , mais également que « de sérieux dysfonctionnement persisteront« …
Un terrible constat d’échec pour la CNIL, impuissante à nous protéger du fichage policier, ce pour quoi elle avait pourtant été créée. Cette banalité du fichage policier est telle que la CNIL a été jusqu’à avancer, dans son rapport annuel 2012, rendu public en avril 2013, que 12 057 515 personnes (soit 18% de la population française, près d’un Français sur 5 !) étaient fichées comme « mises en cause » et donc, pour reprendre l’expression médiatique consacrée, « défavorablement connues des services de police« .
Un chiffre pour le moins étonnant : le fichier STIC de la police nationale comporte en effet, dixit le rapport de la CNIL, 6,8 M de fiches de personnes « mises en cause« , et JUDEX (son équivalent, à la gendarmerie) 2,6 M, soit un total de 9,4 M ; sachant qu’un certain nombre des personnes fichées le sont probablement dans les deux fichiers, le nombre de « suspects » devrait donc probablement être inférieur à 9 M.
Interrogée par mes soins pour comprendre pourquoi la CNIL avançait que le fichier TAJ répertoriait plus de 12 millions de personnes fichées, alors que le STIC et JUDEX n’en recensaient « que » 9 millions, et d’où provenaient ces 3 millions de « suspects » surnuméraires, la CNIL – qui n’avait pas remarqué cette explosion (+ 33%) de « mis en cause » – s’est retournée vers le ministère de l’intérieur, qui a répondu qu’il s’agissait d’un… bug informatique dû à la fusion du STIC et de JUDEX au sein d’un nouveau fichier, le « Traitement des Antécédents Judiciaires » (TAJ).
Le nombre de « suspects » ne serait en fait « que » de l’ordre de 10 millions, soit plus de 15% de la population française, et donc près d’une personne sur 7…
Le fichier STIC comportant par ailleurs plus de 38 millions de « victimes« , le nombre de personnes fichées avoisinerait les 50 millions de personnes, soit 75% de la population française… certains étant fichés (à tort) comme « mis en cause » (et donc « suspects« ) alors même qu’ils ont été victimes de ce pour quoi ils ont été fichés comme « suspects« …
C’est pourquoi même les gens qui n’ont « rien à cacher » risquent eux aussi d’avoir des problèmes avec le fichage policier (cf ma « Lettre ouverte à ceux qui n’ont rien à cacher« ), sachant par ailleurs que l’emploi de plus d’un million de fonctionnaires et salariés du secteur privé dépend d’une « enquête administrative de moralité » consistant essentiellement à vérifier qu’ils ne sont pas fichés (cf. la liste des métiers concernés : Futurs fonctionnaires, ou potentiels terroristes ?).
En guise d’explication, la CNIL avance que cette grossière erreur dans le nombre de personnes fichées comme « défavorablement connues des services de police » relèverait donc de la fusion du STIC & de JUDEX :
« Le versement des données de la gendarmerie nationale de JUDEX vers TAJ a occasionné une démultiplication de fiches. Ainsi, lorsqu’une personne avait 3 infractions sur sa fiche, elle s’est retrouvée avec 3 fiches dans TAJ. Cette situation n’est pas préjudiciable aux personnes dès lors que les données ne sont pas inexactes, mais le dénombrement des fiches par personne mise en cause est dès lors faussé.
Le ministère a indiqué s’employer à résoudre ce problème en fusionnant les fiches relatives à un même individu. Il y avait donc une coquille dans notre rapport. Il ne s’agissait pas de personnes mises en cause mais de fiches relatives à des personnes mises en cause. Le ministère a indiqué qu’il sera procédé à la fusion des fiches concernées. »
Le fait que ni la CNIL ni le ministère de l’intérieur ne se soient ni aperçus ni offusqués d’avoir gonflé de près de 3 millions le nombre de personnes considérées comme « défavorablement connues des services de police« , et de découvrir que les premiers chiffres communiqués par le TAJ, censé régler les nombreux problèmes posés par les fichiers policiers, sont erronés, est la conséquence logique de la fuite en avant répressive impulsée par Nicolas Sarkozy qui, en 10 ans, a fait créer 44 fichiers policiers, soit plus de la moitié des 70 fichiers policiers créés depuis la Libération, et fait adopter pas moins de 42 lois sécuritaires.
Le décret portant création du TAJ a en effet été publié au JO le 6 mai 2012, jour où François Hollande fut élu président de la République. A l’époque, j’avais qualifié ce cadeau d’adieu de Nicolas Sarkozy & Claude Guéant d' »usine à gaz » qui posait bien plus de problèmes qu’il n’apportait de solutions (cf Le cadeau empoisonné des fichiers policiers & Ma décennie Sarkozy).
Fichiers « à charge » ne prenant pas ou si peu en compte les classements sans suite, ou encore les jugements innocentant ceux qui avaient ainsi été fichés comme « suspects« , les STIC, JUDEX & TAJ sont d’autant plus scandaleux qu’ils entraînent plusieurs centaines voire milliers de refus d’embauches et de licenciements, chaque année.
En 1974, Le Monde avait en effet fait sa « Une » avec un article intitulé « Safari ou la chasse aux Français » révélant que le ministère de l’intérieur voulait créer un Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (voir « Safari et la (nouvelle) chasse aux Français). On a depuis appris que l’information émanait de lanceurs d’alertes :
« Les journalistes, donc le public, sont informés par ce que l’on appelle des indiscrétions, des fuites. A l’époque de Wikileaks, je n’ai pas besoin d’en dire davantage ! D’où venait celle qui a permis la publication de Safari ou la chasse aux Français ? Des habituels ronchonneurs que sont les défenseurs des droits de l’homme et des libertés ? Nullement. Cette fuite, je peux le dire maintenant, venait des informaticiens eux-mêmes qui se méfiaient du trop séduisant joujou qu’on leur tendait. »
Le scandale fut tel que quatre ans après, en 1978, le Parlement adoptait une loi « relative à l’informatique, aux fichiers et aux libertés« , créée pour protéger les citoyens français du fichage informatique en général, et du fichage policier en particulier, et pionnière, dans le monde, en matière de défense des libertés numériques.
En 1995, le ministère de l’intérieur demanda à la CNIL d’autoriser son Système de traitement des infractions constatées (STIC), fichier créé pour garder la trace de tous ceux qui, « mis en cause » (6,8 M en 2013) ou « victimes » (38 M, en 2011), avaient eu affaire avec la police nationale : 45 millions de personnes y sont donc aujourd’hui fichées, soit 68% de la population française, dont 15% en tant que “mis en cause” – et donc “suspects“.
La CNIL, autorité indépendante « chargée de veiller à ce que l’informatique ne porte atteinte ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques« , refusa à l’époque de légaliser ce fichier violant la « présomption d’innocence« .
D’une part parce que les citoyens ne pouvaient pas exercer leur droit d’accès, et de rectification – pourtant prévus par la loi Informatique & libertés, de sorte que le fichier ne soit pas entaché d’erreurs –, mais également parce que le ministère de l’intérieur voulait également se servir du STIC en matière de « police administrative« , et donc pouvoir empêcher ceux qui avaient été « suspectés » par la police ou la gendarmerie de pouvoir postuler à certains emplois, à la nationalité française, ou à la légion d’honneur – quand bien même ils n’aient jamais été condamnés pour ce qui leur avait valu d’être fichés (cf EDVIGE servira à recruter… et licencier).
En juillet 2001, le ministère de l’intérieur accepta enfin de se conformer aux exigences de la CNIL, et donc de respecter la loi Informatique & libertés, ce qui permit au gouvernement de « légaliser » le STIC. Il n’en avait pas moins fonctionné, illégalement, pendant 6 ans. Un comble, pour un fichier policier…
Suite aux attentats du 11 septembre 2001, les parlementaires, pris dans la surenchère sécuritaire, décidèrent par ailleurs de changer la loi afin d’obliger les préfets à consulter les fichiers policiers, dans le cadre d' »enquêtes administratives » dites « de moralité« , diligentées sur toute personne désirant acquérir la nationalité française (ou la légion d’honneur), ou préalablement à l’embauche de plus d’un million de personnes (agents de sécurité privés ou entraîneurs de chevaux de course ou de lévriers, policiers, contrôleurs RATP ou arbitres de pelote basque… cf Futurs fonctionnaires, ou potentiels terroristes ?).
Le gouvernement ayant peu apprécié le bras de fer engagé par la CNIL pour qu’il respecte la loi Informatique & libertés profita par ailleurs de la refonte de la loi en 2004 pour lui couper les ailes en ne lui confiant plus qu’un seul rôle consultatif (voir Une loi dont l’Etat se fiche pas mal) : le gouvernement est certes toujours tenu de lui demander son avis, mais plus d’en tenir compte… d’où l’explosion des fichiers policiers, le fait qu’elle n’ait pas pu empêcher ces fichiers d’être truffés d’erreurs, jusqu’à en commettre elle-même en validant le « bug informatique » qui a conduit à gonfler de 2 millions le nombre de personnes fichées comme « mis en cause« , et donc « suspects« .
Des centaines de gens saisissent ainsi la CNIL chaque année parce qu’ils ont perdu l’emploi qu’ils exerçaient, ou parce qu’on leur interdit de travailler, au motif qu’ils seraient donc « défavorablement connues des services de police« … alors même que nombre d’entre eux ont pourtant été blanchis par la justice, sauf que leur fichier n’a pas été mis à jour.
Le député Daniel Goldberg déplorait ainsi en 2013 les problèmes rencontrés par « un étudiant qui a entrepris de brillantes études de mathématiques et qui voit ses démarches entravées pour une tentative de vol d’un montant de 30 euros commis en 2009, pour lequel la seule poursuite a consisté en un rappel à la loi » :
« Le TGI de Rennes, à qui il s’est adressé, lui indique que cette mention du STIC ne pourra être effacée de son dossier avant vingt ans – vingt ans pour 30 euros et un simple rappel à la loi… »
En réponse à une question parlementaire, le ministre de l’intérieur évoquait, en janvier dernier, « une actualisation progressive des données individuelles » due à « l’ampleur de la tâche » :
« C’est pourquoi le ministère envisage de procéder tout d’abord à la mise à jour des données relatives aux jeunes mineurs. Seules les fiches enregistrées pour des faits de nature criminelle ou délictuelle grave seront conservées concernant les jeunes mineurs non réitérants.
En outre, lorsqu’une autorité administrative envisagera de prendre une décision défavorable dans le cadre d’une enquête administrative, fondée sur des données, elle devra être invitée à prendre systématiquement l’attache du parquet pour vérifier la mise à jour de la situation de l’intéressé. »
Signe du mépris des autorités envers la CNIL, le système JUdiciaire de Documentation et d’EXploitation (JUDEX), déployé dans les gendarmeries en 1985-1986 pour remplacer le système PROSAM (qui datait de 1967), ne fut déclaré à la CNIL qu’en… novembre 2006, après que les parlementaires se soient aperçus qu’ils ne pouvaient pas légalement fusionner le STIC & JUDEX puisque ce dernier était dans l’illégalité depuis… vingt ans.
Créés – en toute illégalité – pour ficher les personnes « mises en cause » – sans tenir compte des suites judiciaires données à ce pour quoi elles avaient été fichés –, et donc pensés uniquement « à charge« , le STIC & JUDEX ne pouvaient qu’être « injustes« , « erronés« , faisant de toute personne « mise en cause » un individu « défavorablement connu des services de police« , et donc un « suspect » en puissance, au mépris de la présomption d’innocence.
De fait, la CNIL constata 25% d’erreurs dans les fichiers STIC qu’elle contrôla en 2001, et même 83% d’erreurs en 2009, lors de son premier rapport sur le fichier STIC : plus d’un million de personnes, fichées comme « mises en causes » par la police, mais « blanchies » par la justice, y étaient par ailleurs toujours fichées comme « suspectes« , alors que leurs fiches auraient pourtant du être effacées : une (bonne) partie de la faute incombe aux procureurs et représentants du ministère de la justice, qui ne mettent pas les fichiers à jour, laissant les « mis en cause » fichés comme « suspects » quand bien même ils ont pourtant été blanchis.
Le nouveau rapport de la CNIL sur le « contrôle des fichiers d’antécédents« , consternant, révèle que rien ou presque n’a changé depuis son précédent rapport de 2009. Seul point positif : le taux d’erreurs dans les 646 fichiers STIC vérifiés par la CNIL en 2012 n’est plus « que » de 38%. A contrario, 38% des 227 fiches JUDEX ont été supprimées, 30% mises à jour, et 32% rectifiées, soit un taux d’erreur de 100% (et 58% des fiches, mises à jour ou rectifiées, n’en ont pas moins été maintenues dans le fichier).
La conférence de presse organisée pour présenter ce second rapport de la CNIL sur les fichiers policiers était « désolante » : les commissaires, responsables et employés de la CNIL semblaient en effet sincèrement « désolés » de n’avoir pas pu contribué à faire respecter la loi qu’ils sont censés incarner…
Ainsi, si la loi oblige la CNIL à répondre, sous six mois, aux gens qui demandent à ce qu’elle vérifie que ce qui est inscrit dans leurs fichiers policiers n’est pas erroné, ni donc « hors la loi« , dans les faits, la CNIL reconnaît, penaude, qu’elle met entre douze et dix-huit mois, en moyenne, à répondre à ceux qui y sont fichés. Alors même que la majorité de ceux qui saisissent la CNIL y sont fichés à tort…
Une « présomption de culpabilité » qui ne peut que les enfoncer dans le chômage, la précarité, voire l’illégalité : nombreuses sont en effet les sociétés (et employés) de sécurité privée qui cherchent dès lors à contourner la loi, faute de pouvoir la respecter.
La CNIL n’est pas en mesure de protéger les citoyens des problèmes posés par le fichage policier, ce pour quoi elle avait pourtant été créée.
Ce pour quoi j’avais proposé de « hacker » la CNIL, de sorte qu’elle ne soit plus seulement une chambre d’enregistrement de ceux qui veulent nous ficher, mais une véritable « autorité indépendante » face aux pouvoirs constitués, à même de protéger nos droits et libertés.
Ce 30 janvier 2014, un avis et un décret parus au Journal Officiel ont révélé les noms des 8 nouveaux membres de la CNIL, et le fait que 4 d’entre eux (au moins) pourraient potentiellement contribuer à changer la donne.
La CNIL est incarnée par un collège pluraliste de 17 « commissaires » (sic) composé de 4 parlementaires (2 députés, 2 sénateurs), 6 hauts fonctionnaires représentants les « hautes juridictions » et 5 « personnalités qualifiées« . Or, 4 des 5 nouvelles « personnalités qualifiées pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles » désignées pour siéger à la CNIL se sont d’ores et déjà illustrées par leurs prises de position en faveur de la défense des libertés, et de la protection de la vie privée :
Ont également été désignés Marie-France Mazars et Alexandre Linden, deux conseillers à la Cour de cassation mis à la retraite en 2010 et 2011, Jean-Luc Vivet, conseiller maître à la Cour des comptes et ancien auditeur de l’Institut des hautes études de défense nationale, et Joëlle Farchy, professeure de sciences de l’information et de la communication spécialiste de l’économie des industries culturelles.
On notera enfin que la CNIL compte également toujours au nombre de ses commissaires le député Sébastien Huyghe, en charge du secteur de l’identité, mais qui s’était pourtant illustré par son silence, en n’intervenant à aucun moment, malgré cinq navettes parlementaires, lors du débat sur le fichier des « gens honnêtes« , tout en votant POUR un tel fichage généralisé de la population (qui fut néanmoins censuré par le Conseil Constitutionnel pour son atteinte disproportionnée au droit à la vie privée), mais également CONTRE la proposition de loi visant à encadrer les fichiers policiers… qui visait pourtant à obliger ces derniers à respecter la loi informatique et libertés (voir Les « commissaires politiques » indignes de la CNIL).
Louis Joinet (co-fondateur du Syndicat de la magistrature et premier directeur juridique de la CNIL) et Philippe Lemoine ont révélé en août dernier avoir aidé le journaliste Philippe Boucher à écrire « Safari ou la chasse aux Français« , l’article qui a débouché sur la création de la loi informatique et libertés, dans une tribune libre déplorant que, dans l’affaire Snowden, la France « reste sans réaction, muette face au scandale que constitue le système Prism d’espionnage des transactions Internet par les agences américaines (et) sans voix face à la manière dont est traité ce lanceur d’alertes qu’est Edward Snowden » :
« L’un de nous était journaliste, le second magistrat, et le troisième chercheur en informatique et en sciences sociales. Pour nous, l’interconnexion généralisée des fichiers, liée à une extension massive de l’informatique dans toutes les dimensions de la vie quotidienne, pourrait déboucher sur un totalitarisme tel qu’il effacerait peu à peu le goût même de la liberté. Notre cri d’alarme fut à l’origine d’un débat d’où résulta la loi du 6 janvier 1978. »
En septembre, ils lançaient une pétition pour une régulation mondiale informatique et libertés appelant à la protection d’Edward Snowden et au « développement de solutions de chiffrement décentralisées basées sur du logiciel libre que chacun puisse partager et qui permettent à tous les citoyens du monde de communiquer par des moyens sûrs« .
A l’occasion de la journée européenne de la protection des données 2014, la CNIL, de son côté, vient de publier une série de conseils pour faire appliquer ses droits sur Facebook… initiative certes louable, mais qui fait tout de même un peu « petit bras » au vu des révélations d’Edward Snowden sur les pratiques du GCHQ et de la NSA.
Ces révélations ont entre autres eu pour conséquence de mettre les questions liées au droit informatique et libertés à la « une » des médias et de l’agenda politique, national et international. Autrefois qualifiés de « droit-de-l’hommistes« , les défenseurs des libertés à l’ère du tout numérique et de l’Internet sont aujourd’hui considérés comme des lanceurs d’alerte et des personnalités politiques dont l’avis doit être pris en compte.
Mediapart vient de révéler que le secrétaire général de la CNIL avait envoyé un courriel, le 27 janvier dernier – trois jours avant la désignation des nouveaux « commissaires« – proposant aux « anciens membres » de candidater à la présidence de la CNIL. L’élection est prévue pour ce mardi 4 février. Je souhaite bien du courage aux nouveaux « commissaires« , ils auront fort à faire. Et je me plais à penser que, à défaut de faire scandale dans les médias –comme c’eut été le cas si c’était le nombre de chômeurs qui avait ainsi été « gonflé« –, ce scandale fera peut-être un peu débat auprès de ceux qui s’intéressent au droit informatique et libertés.
Je ne sais si l’arrivée de telles « personnalités qualifiées » pourra, de l’intérieur même de l’institution, faire évoluer la défense de nos libertés, ni si elle parviendra à faire changer la loi pour lui redonner un réel (contre-)pouvoir face aux institutions qu’elle est censée contrôler, mais la CNIL ne peut plus rester cette chambre d’enregistrement dont l’avis –pour ce qui est des fichiers régaliens portant sur l’ensemble de la population, à l’instar des fichiers policiers notamment – n’est plus que consultatif et qui se contente de constater, désolée, dépitée, que les ministères de l’intérieur et de la justice ne respectent pas la loi informatique et libertés qu’elle est censé incarner, que le gouvernement ne lui demande pas son avis ou – quand il le fait – qu’il n’en tienne pas compte.
Voir aussi :
Objectif : « hacker » la CNIL
Les commissaires politiques de la CNIL
« Les écoutes made in France », ma 1ère BD
« Une journée dans la peau d’Edward Snowden »
Les portiques écotaxe, un « système orwellien » (qui photographie tout le monde, mais ne sert à rien)
Pour son n° d’hiver, le trimestriel papier Regards m’a proposé de revenir, en mode « grand reportage« , sur les révélations d’Edward Snowden. Plutôt que de revenir sur la (longue) liste des révélations qu’il a pu faire, j’ai voulu mettre l’accent sur le contexte dans lequel elles interviennent, à savoir « La nouvelle « chasse aux sorcières » » lancée aux USA à l’encontre des « lanceurs d’alerte« , et qui explique aussi cette surveillance généralisée « made in NSA », paranoïa institutionnalisée par l’administration Obama.
Faute de place, j’avais du couper une partie de l’introduction de mon article, portant notamment sur la paranoïa visant les homosexuels, et profite de sa mise en ligne, sur le site de Regards, pour la republier in extenso.
La NSA avait initialement été créée, en plein guerre froide, pour espionner les télécommunications du bloc communiste. Une fois le mur de Berlin tombé, la NSA a décidé d’espionner… le monde entier. Ironie de l’histoire, Edward Snowden, le lanceur d’alerte à l’origine des révélations sur l’ampleur des écoutes de la NSA, a trouvé refuge à Moscou, et Laura Poitras, la journaliste a qui il a confié des milliers de documents classifiés, vit en exil à Berlin, tout comme Jacob Appelbaum, un hacker proche de WikiLeaks, lui aussi harcelé par les autorités américaines. Le nombre de lanceurs d’alerte poursuivis, voire condamnés, est tel que l’on pourrait parler d’une nouvelle « chasse aux sorcières » semblable à celle que connue les Etats-Unis lorsqu’il fut pris, dans les années 50, de paranoïa anti-communiste.
Le 9 février 1950, le sénateur républicain Joseph McCarthy brandit une bout de papier en expliquant qu’il contenait une liste de 205 noms de personnes membres du parti communiste travaillant pour le département d’Etat américain. McCarthy évoqua par la suite une liste de 57 communistes, puis de 81 noms… sans jamais apporter de preuves véritables que le PC avait infiltré le département d’Etat. Mais sa « liste » connut un large écho médiatique, et la « chasse aux sorcières » lancée dans la foulée conduisit plusieurs centaines de personnes en prison, et brisa la carrière de milliers d’autres. Soupçonnés de sympathies communistes, plus de 10 000 fonctionnaires furent renvoyés ou durent démissionner, et plus de 300 cinéastes, scénaristes, acteurs, musiciens, mais également des journalistes, scientifiques, universitaires, chercheurs, furent ainsi « black listés », et empêchés d’exercer leur métier. Cette paranoïa institutionnalisée entraîna également de très nombreux citoyens « progressistes » à s’auto-censurer, de peur d’être eux aussi victimes de cette chasse aux sorcières.
Le Maccarthysme fit d’autres victimes, moins connues : le sénateur conservateur traquait en effet également les homosexuels, et réussit de la sorte à museler plusieurs de ses opposants, en menaçant de les dénoncer publiquement. McCarthy n’était pas le seul à « traquer » les homosexuels : en cette même année 1950, le département d’Etat américain révéla ainsi qu’il avait « accepté » la démission de 91 de ses employés, homosexuels. Au « péril rouge » s’ajoutait cette « peur violette » (« lavender scare », en VO), terme utilisé dans la communauté homosexuelle pour décrire la peur d’être identifié comme tel, et donc de devoir démissionner, d’être renvoyé, considéré comme un malade mental ou un pestiféré, et de voir sa carrière (et/ou sa vie) brisée.
En ce début des années 50, outre-atlantique, les Britanniques découvraient quant à eux que des agents doubles, recrutés à la fin des années 30 par le KGB, avaient réussi à infiltrer l’appareil diplomatique et même les services de renseignement britanniques. Or, quatre des « Cinq de Cambridge », du nom donné à ces espions, étaient homosexuels. Kim Philby, le plus célèbre d’entre eux, avait réussi à intégrer le Secret Intelligence Service (MI6) britannique, où il avait créé la « section anti-soviétique » pour éviter d’être démasqué. A ce titre, il était en effet chargé de traquer les agents doubles…
Les services de renseignement américains savaient que un ou plusieurs agents doubles espionnaient la Grande-Bretagne pour le compte du KGB. Ils avaient intercepté de très nombreux câbles diplomatiques soviétiques chiffrés entre 1942 et 1945, et tentaient depuis lors de les déchiffrer, avec l’aide du Signals Intelligence Service (l’ancêtre de la NSA) et de « casseurs de code » britanniques -très réputés en la matière. En 1951, Philby, qui était tenu informé de l’avancée de cette opération de déchiffrement des communications (nom de code Venona) apprit que deux des « Cinq de Cambridge » venaient d’être identifiés, ce qui lui permit de les avertir, et même d’organiser leur défection pour Moscou. Et la paranoïa rouge-violette franchit l’Atlantique : quatre des « Cinq de Cambridge », du nom donné à ces espions communistes, étaient aussi homosexuels…
Alan Turing, lui, travaillait pour l’ancêtre du GCHQ, l’agence en charge de l’interception et du décryptage des communications britannique. Chercheur en mathématiques, « petit génie » de ce qui allait devenir l’informatique, il conçu une « bombe électromagnétique », ancêtre des premiers ordinateurs, pour casser les codes secrets utilisés par les nazis. Alan Turing n’était pas communiste, mais il était homosexuel, ce qui était illégal en Grande-Bretagne. En 1952, la Justice lui donne le choix : aller en prison, ou opter pour une castration chimique. Pendant un an, les oestrogènes le rendirent impuissant, et lui firent pousser des seins. En 1954, il avait pu arrêter le traitement, et semblait s’en sortir bien. Mais le 8 juin, on le retrouvait mort, à 42 ans. Fasciné par Blanche neige et les 7 nains, il aurait décidé de sombrer dans un sommeil éternel en croquant une pomme empoisonnée.
60 ans plus tard, le rideau de fer est tombé avec le mur de Berlin, le « péril rouge » n’existe plus, la « peur violette » non plus, mais la coopération entre les « grandes oreilles » américaines et britanniques, formalisée dans un traité secret signé en 1946, n’a jamais été aussi florissante.
Lire la suite sur Regards : « La nouvelle « chasse aux sorcières » »
Pour en savoir plus sur le programme « Insider Threat » de chasse aux sorcières lancé en 2011–2011 par l’administration Obama suite aux révélations de WikiLeaks et que j’évoque dans mon article, voir aussi :
This really is Big Brother: the leak nobody’s noticed
Unhappy With U.S. Foreign Policy? Pentagon Says You Might Be A ‘High Threat’
Army Establishes Insider Threat Program
Le très complet dossier Insider Threats de McClatchyDC.com, qui a levé le lièvre.
Treason 101 – The Insider Espionage Threat, le guide du… ministère de l’agriculture
Obama Builds Off Legacy of Reagan by Charging Leakers Like Snowden Under Espionage Act
CyberAwareness Challenge, le jeu en ligne du Pentagone
« Insider threats remain the top counterintelligence challenge to our community » (Office of The National Counterintelligence Executive) :
Voir aussi, sur ce blog :
« Une journée dans la peau d’Edward Snowden »
Pourquoi la NSA espionne aussi votre papa (#oupas)
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
La NSA a accès à toutes les communications des Américains (et surtout celles des journalistes)
La publicité ciblée, et géolocalisée, réserve parfois quelques surprises. C'est ce qui est arrivé à Cédric Motte (@chouing sur Twitter) qui, habitant du côté de Marseille, fut quelque peu surpris de voir que Facebook lui proposait, en prévision de Noël, d'acheter un... "Pack AK47" :
« Etant probablement localisé avec mon IP du coté de Marseille, voici une belle pub en rapport avec l'actualité locale. »
Et pour être tout à fait explicite, le vendeur, Aset Protection, publie sur sa page photo un tract détaillant le contenu de cette offre comprenant notamment une Kalachnikov polonaise, 2 chargeurs 30 coups, entre autres accessoires, disponibles pour la modique somme de 1366€ (mais jusqu'au 31.12.13 seulement) :
Un astérisque, en tout petit, précise cela dit que ce type de vente est "soumis à autorisation préfectorale selon les dispositions légales". En cliquant sur le lien, on arrive sur le site web du vendeur, qui précise que "l'autorisation administrative établie par la Prefecture de votre lieu de résidence est obligatoire".
Sur Facebook, le vendeur explique que "cette autorisation est délivrée sous les conditions suivantes (pour la législation française, harmonisée depuis peu avec la législation européenne) :
« Etre titulaire d'une licence de tir (Fédération française de tir) / Avoir au sein de son club de tir effectué les tirs contrôlés (et reportés sur le carnet de tir réglementaire de la dite fédération) / Avoir obtenu l'accord favorable : du président de votre club de tir, de la fédération / A la dépose de votre dossier (formulaire CERFA) de demande la Préfecture diligente une enquête de moralité et s'assure que vous ne soyez pas repertorié au fichier des interdits d'acquisition et de détention d'arme. »
Le vendeur explique aussi qu'il faut compter "entre 12 et 16 mois" après une inscription dans un club de tir avant d'être autorisé à acheter des armes de catégorie B (type Kalach'), qu'on n'a pas le droit d'en acquérir plus de 12, que les autorisations délivrées sont valables 5 ans ("puis doivent être renouvelées"), et qu'il est interdit de détenir plus de 1000 munitions.
Interrogé sur la pertinence de faire la promotion d'une telle arme sur les réseaux sociaux, Aset Protection se retranche derrière la loi :
« Le Code du commerce et de la consommation ne prévoit aucun amendement quand à la promotion de notre activité ou des articles spécifiques à celle ci. Il ne s'agit ni de tabac ni d'alcool. Il n'y donc pas de restriction, ci ce n'est celle de l'autorisation d'acquisition. »
Le vendeur d'armes a depuis fait la promo d'un fusil à répétition (avec "Cynthia, 29 ans, (qui) cherche cowboy bien équipé"), et offre 15% de réduction jusqu'au 10 janvier prochain (avec une donzelle de Noël), sans que l'on comprenne bien le lien entre ces jeunes filles partiellement dénudées, et les armes qu'il vend :
En commentaire, et pour répondre aux internautes offusqués, un défenseur du port d'armes en profite pour partager une carte, "non exhaustive", des stands de tir en France :
Sur son site web, Aset protection propose aussi des rations de survie permettant de tenir 30 jours, 3 mois voire un an, ainsi que des sacs d'évacuation d'urgence permettant de "répondre aux besoins fondamentaux les 72h00 premières heures" en cas d'inondation, tsunami ou tremblement de terre comprenant, notamment, une arme non létale afin de pouvoir "disperser un groupe d'hostiles", le vendeur précisant cela dit qu'il ne faudrait pas non plus hésiter à tuer les importuns en tant que de besoin :
« Si vous estimez, après l’avoir contenu, qu’un individu hostile continu à présenter un risque trop important, il ne vous faudra pas hésiter à le neutraliser définitivement. »
Aset Protection, qui se présente comme "spécialiste en solution de sécurité pour environnement extrême", et fait souvent référence au survivalisme, propose aussi un module de formation, "destiné à un public de dirigeants ou profils à haute valeur ajouté".
Dans un document estampillé "confidentiel", mais qu'il propose en libre téléchargement sur son site, Aset Protection explique que son programme "Sentinelle" se donne comme objectif "d’apporter un savoir faire pratique quand aux aspects de la défense et de la gestion tactique d’une situation de conflit ouvert, plus particulièrement en zone urbaine" :
« L’ambition affichée est donc d’apporter, d’une part, un ensemble d’outils analytiques sous un éclairage approfondi, et, d’autre part, une formation à différentes projections opérationnelles dans le cadre d’un conflit civil ou d’une période insurrectionnelle. »
Animé, entre autres, par Michel Drac (proches de milieux identitaires et survivalistes) et Pierre Hillard (un docteur en science politique proche de Robert Ménard et lui aussi régulièrement cité dans Egalité et Réconciliation), le stage propose une initiation au camouflage, et à l'arme de poing, une "approche empirique et stratégique du combat en zone urbaine et des interactions avec la population civile", de s'initier au "déplacement au pas cadencé", de passer une nuit dans un abri enterré (avec "capture et gestion en position de prisonnier"), ou encore une formation à l'exfiltration ("1 treillis & 1 couteau offerts à chaque participant") :
Le prochain séminaire se déroulera du 23 au 26 janvier prochain. Son intitulé : "Mission Résistance", avec une "étude de cas : la guerre civile yougoslave 1990-1995", et une initiation à la "progression tactique et logistique au combat..." :
Le programme ne précise pas si on pourra aussi y tester des Kalachnikov, ou pas.
MaJ, quelques minutes après la publication de ce billet, l'info est tombée : Mikhaïl Kalachnikov est mort.
Voir aussi :
« Les écoutes made in France », ma 1ère BD
Made in China ? Non : made in prison
Calais : un « État policier en situation de guerre »
A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?
Les portiques écotaxe, un « système orwellien »
(qui photographie tout le monde, mais ne sert à rien)
Vous savez comment font Edward Snowden, le "lanceur d'alertes" de la NSA, et Glenn Greenwald, le journaliste à qui il a confié des dizaines de milliers de documents classifiés, pour protéger, non seulement leur "vie privée", mais aussi tout (ou partie) de leurs (télé)communications, surfs sur le web, échanges Internet, alors qu'ils sont devenus les ennemis n°1 de la NSA ?
Sachant que l'objectif de la NSA ne serait rien moins que de pouvoir espionner la totalité des télécommunications de tout le monde et dans le monde entier -cf Pourquoi la NSA espionne aussi votre papa (#oupas)-, on imagine que l'exercice doit être un tantinet compliqué.
Et quid des vrais "cybercriminels" qui doivent, eux, se protéger de tous ceux qui, travaillant pour des antivirus, entreprises de sécurité informatique, services de (cyber)police ou de renseignement, cherchent à les identifier, & surveiller ?
@FredRaynal, co-rédacteur en chef de MISC (aka @MISCRedac), la revue (papier) française de référence en matière de sécurité informatique, m'avait proposé d'écrire le texte d'intro de son hors série intitulé "Apprenez à protéger votre vie privée".
Les révélations de Snowden & Greenwald vont bien au-delà de ce que l'on pouvait imaginer, et je ne saurais donc que vous conseiller d'acheter (9€) ce hors série de MISC, ne serait-ce que pour les articles de Thomas Chopitea (@tomchop_, sur Twitter) qui, entre autres choses, explique donc notamment ce que pourrait être "Une journée dans la peau d'Edward Snowden", ainsi que de l'article de Guillaume Arcas (aka @y0m sur Twitter) & Sébastien Larinier (@Sebdraven) sur les façons & moyens qu'ont les "pirates informatiques" (malveillants, escrocs voire criminels) de protéger leur "vie privée", et donc leur identité.
Leurs explications ne visent pas à permettre à un pirate amateur de devenir un hacker de choc, et montrent par ailleurs à quel point un niveau élevé de sécurité informatique repose, non seulement sur une hygiène et un cloisonnement très stricts, mais donc aussi et surtout sur des processus, modes de vie, réflexes, et non sur l'utilisation de tels ou tels logiciels, illustrant bien le célèbre adage de Bruce Schneier pour qui :
« La sécurité est un processus, pas un produit. »
En guise d'amuse-bouche, voici donc le "témoignage" qui sert d'introduction à ce très bon hors série, que je ne saurais trop que vous inciter à acquérir (voire à offrir /-)
En 1968, Andy Warhol avait prédit que "dans le futur, chacun aura droit à 15 minutes de célébrité mondiale". L'explosion des technologies et systèmes de télécommunication -et donc de leurs corollaires, visant à surveiller et espionner les premières- fait qu'aujourd'hui, nous somme tous "en état d'interception : toutes vos télécommunications pourront être retenues contre vous." Dès lors, le problème, aujourd'hui, serait plutôt de savoir en quelle mesure il sera encore possible, à l'avenir, d'avoir son "quart d'heure d'anonymat", comme j'ai déjà moult fois eu l'occasion de l'écrire (voir aussi mon mode d'emploi pour protéger ses sources, sa version courte sur le site de RSF, ou encore l'excellente défense et illustration politique qu'en donne Guy Birenbaum).
Cette question, je me la pose depuis la fin des années 90. J'ai en effet eu la chance de découvrir Internet juste avant que le journaliste écossais Duncan Campbell ne révèle l'existence du programme anglo-saxon Echelon de surveillance des télécommunications.
Au moment même où je découvrais qu'Internet allait probablement -tout comme l'imprimerie l'avait déjà fait- changer le cours des choses et la face du monde, je découvrais également que -et contrairement à ce qui se passe avec les livres de papier- ce qu'on lit, partage, fait et écrit sur Internet est surveillé, voire espionné. Ce cauchemar, proprement orwellien, est devenu réalité.
L'imprimerie de Gutenberg n'aurait probablement pas contribué au Siècle des Lumières -et donc à l'apparition de démocraties- si les livres, leurs auteurs, imprimeurs, éditeurs et distributeurs, avaient été en mesure de surveiller leurs lecteurs.
A contrario, les ordinateurs gardent la trace de ce qu'on y fait, la majeure partie des sites web surveille ce qu'on y lit (et comment, et pendant combien de temps, et sur quels liens vous cliquez, etc.), "loggue" et modère vos commentaires... les fournisseurs d'accès à Internet (FAI) étant par ailleurs légalement obligés de conserver nos "données de connexion" à disposition des autorités.
Or, les journalistes, tout comme les médecins, avocats, prêtres, juges, détectives privés ou banquiers, fonctionnaires, militaires & policiers, sont tenus au "secret professionnel", impératif catégorique dont la violation peut briser la vie de ceux à qui ils ont affaire et, accessoirement, leurs propres carrières.
Journaliste, j'ai donc cherché à apprendre à protéger mes sources. Et le seul site qui, à la fin des années 90, expliquait aux béotiens (non informaticiens) comme moi comment sécuriser ses communications sur l'Internet, security.tao.ca, avait été créé par des anarchistes canadiens, sur la base de modes d'emploi écrits par des hackers non identifiés, et par des "éco-terroristes" américains (pour reprendre la terminologie du FBI).
Ce manuel, je l'ai traduit en français, histoire de me faire la main, et d'aider les autres internautes qui, comme moi, voulaient apprendre à sécuriser leurs communications et accès Internet.
Quelques mois plus tard, l'unité du FBI en charge du "terrorisme domestique" pointait du doigt security.tao.ca dans une de ses alertes, au motif qu'il pouvait aider des "hacktivistes" à échapper à la surveillance du FBI, et que son principal objectif était d'apprendre à "se protéger dans un monde sous constante surveillance" (sic).
Je voulais apprendre à "protéger mes sources", et je me retrouvais dans la focale du FBI... L'ambiance était donnée.
A l'époque, en l'an 2000, la CNIL expliquait "comment vous êtes pisté sur Internet"... mais pas comment s'en protéger. Il existait pourtant déjà des dizaines de moyens, méthodes, trucs et astuces, logiciels et modus operandi, pour ne pas laisser de traces, les effacer, ou communiquer de façon sécurisée. La CNIL, elle, se contentait d'expliquer aux gens comment ils étaient pistés. Sans leur expliquer comment se protéger.
Il a fallu attendre 2008 pour que le gouvernement français se décide enfin à lancer un portail intitulé securite-informatique.gouv.fr, émanation de l'Agence nationale de la sécurité des systèmes d’information (ANSSI), le bras armé -en terme de "cyberdéfense"- de la France, censée aider les Français à sécuriser leurs données & télécommunications... mais dont le logiciel ANSMO d’éducation et de recommandations en la matière, censé nous aider à "apprécier le niveau de sécurité d’un micro-ordinateur", n'a toujours pas, 5 ans après, été rendu public.
En 2009, je déplorais cette schizophrénie des autorités françaises, promptes à dénoncer & déplorer l'espionnage des télécommunications dont les citoyens, administrations et entreprises françaises feraient l'objet, mais dont les seuls conseils "grands publics", en matière de sécurité informatique, visaient les... enfants de 7 à 12 ans.
Et il a fallu attendre 2010 pour que les autorités françaises publient enfin deux guides pratiques expliquant comment protéger son son téléphone mobile, son assistant personnel ou son ordinateur portable. Et encore : ces conseils ne visaient pas le "grand public", mais uniquement les professionnels susceptibles de faire l'objet, notamment en se rendant à l'étranger, de tentative d'espionnage industriel.
Gag (ou lapsus révélateur) : alors que les révélations d'Edward Snowden défraient la chronique depuis juin 2013, et démontrent l'ampleur, sinon la démesure, de l'espionnage des télécommunications made in NSA, securite-informatique.gouv.fr n'a pas été mis à jour depuis... juin 2012.
La rubrique Vos traces sur internet du site de la CNIL, se borne encore à expliquer que les internautes laissent des traces... mais sans jamais expliquer comment les effacer, et encore moins comment communiquer de façon sécurisée.
Duncan Campbell à la fin des années 1990, Edward Snowden depuis l'été dernier, ont pourtant démontré que la National Security Agency (NSA) américaine cherche à espionner l'intégralité des télécommunications, et notamment celles qui transitent par les câbles sous-marins, tout en obligeant Google, Facebook, Microsoft & Cie à leur permettre d'accéder aux télécommunications & données personnelles de dizaines de milliers de leurs utilisateurs, ou encore en piratant les systèmes de communication sécurisée du ministère français des affaires étrangères, ou encore l'ordinateur de la présidente du Brésil, entre autres.
Au-delà de la NSA (et de ses équivalents chinois, russes, britanniques, etc.), on sait aussi que de nombreuses entreprises commercialisent des logiciels & systèmes espion, pratiquent l'espionnage industriel, et que de nombreux employeurs et particuliers espionnent leurs employés, collègues, conjoints, enfants (ou parents).
Le fait que ni l'ANSSI ni la CNIL ne proposent à ceux qui pourraient éventuellement être surveillés voire espionnés d'apprendre à sécuriser leurs communications est incompréhensible. Sauf à imaginer que nos autorités ne veulent surtout pas que nous apprenions à garantir le secret de la correspondance, la confidentialité de nos données, la sécurité de nos télécommunications, et donc notre droit à la vie privée.
En tout état de cause, plus de 10 ans après avoir commencé à m'intéresser à ces questions, j'en suis arrivé à la conclusion que s'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, à échanger des fichiers sans se faire repérer et donc d'avoir "droit à son quart d'heure d’anonymat".
Voir aussi :
Comment protéger ses sources ?
« Les écoutes made in France », ma 1ère BD
Comment sécuriser son téléphone mouchard portable?
Pourquoi la NSA espionne aussi votre papa (#oupas)
Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander
La Revue Dessinée (Twitter, Facebook) a été créée par une bande de potes, dessinateurs & auteurs de bandes dessinées, qui ont décidé de proposer à des journalistes de faire des reportages & enquêtes en mode BD. Ils m'ont contacté, j'ai adoré l'idée, et leur ai donc proposé de dessiner :
« Les aventures des Pieds Nickelés chez Kadhafi »
Quelque peu interloqués, je leur ai donc raconté l'histoire d'Amesys, cette PME française qui avait conçu un système de "surveillance massive" de l'Internet à la demande du beau-frère de Kadhafi, condamné (le beauf', pas Kadhafi) à la prison à perpétuité par la justice française pour son implication dans le pire attentat terroriste qu'ait jamais connu la France, et qui a depuis pris le contrôle de BULL. Une histoire incroyable, mais vraie.
Un peu plus d'un an plus tard, ça donne une enquête de 50 pages, publiée dans le n°2 de la Revue Dessinée (228 pages), en compagnie d'une enquête de David Servenay sur Jacques Monsieur, le marchand d'armes belge qui a inspiré le scénariste du film Lord of War, de la suite de l'enquête de Sylvain Lapoix sur le lobbying pro-gaz de Schistes, d'un reportage d'Emmanuel Lepage qui a pu rentrer dans la zone d'exclusion de Fukushima, et plein d'autres chroniques dessinées... disponibles en librairie & relais H depuis le 9 décembre (15€, ou 3,59€ sur iPad via l'appstore), sachant que vous pouvez aussi opter pour l'abonnement (60€ -c'est un trimestriel, et un super cadeau de Noël /-)
La Revue Dessinée m'a aussi proposé de venir la dédicacer ce vendredi 13 décembre à 18H, à la Librairie de Paris, 7 place de Clichy dans le 17è, en compagnie de Marion Montaigne (aka Professeur Moustache sur Facebook), de l'excellent Tu mourras moins bête, mais aussi et surtout de Nicoby, le dessinateur qui a traduit mon enquête en mode BD, co-auteur, notamment, de la BD 20 ans ferme, témoignage poignant sur l'"indignité" du système carcéral, scénarisé par un détenu, ex-braqueur, qui le qualifie de "glauque, terrible, cruel voire hors-la-loi", dans la mesure où il chercherait plus à "briser" les prisonniers qu’à essayer de les "réinsérer", & co-publié par l'association Ban Public, "qui a pour but de favoriser la communication sur les problématiques de l’incarcération et de la détention, et d’aider à la réinsertion des personnes détenues".
En guise d'introduction, la Revue Dessinée m'avait demandé de raconter les origines du projet, et de résumer ces "aventures des Pieds Nickelés chez Kadhafi", auxquelles j'avais déjà consacré des dizaines d'articles sur ce blog et chez OWNI, plus un livre numérique, Au pays de Candy; alors voilà :
Un jour, quelqu’un m’a dit que, du temps de Nicolas Sarkozy, une entreprise française avait vendu (et installé) un système de surveillance massive de l’Internet à la Libye de Kadhafi. Problème : je n’avais aucun moyen de le recouper.
Le printemps arabe, et les bombardements de l’armée française en Libye, allaient me permettre de le vérifier et de découvrir que ce deal avait été orchestré par le sulfureux intermédiaire Ziad Takieddine, cornaqué par l’homme-lige de Nicolas Sarkozy, Claude Guéant.
Mieux : les employés d’Amesys, l’entreprise française chargée de conclure ce marché, n’avaient pas pris la peine de déployer les mesures de sécurité que prennent d’ordinaire les entreprises commerçant avec des dictateurs. Façon Pieds Nickelés, ils ont même été jusqu’à mettre sur le web des preuves de leurs méfaits.
J’ai ainsi trouvé, dans le mode d’emploi du système espion, la preuve que la Libye, avec l’aide d’Amesys, avait également espionné des gens au Royaume-Uni et aux Etats-Unis... Y figurait en effet une liste de "cibles" comprenant de nombreux noms de dissidents libyens, vivant en exil aux Etats-Unis ou en Grande-Bretagne (dont le nouvel ambassadeur de la Libye -post-Kadhafi- à Londres), ainsi que les noms d’un avocat britannique, et de fonctionnaires américains...
Quand la Revue Dessinée m’a contacté pour prendre un café, histoire de voir dans quelle mesure cette histoire pourrait être transposée en BD, j’ai d’abord tenté de leur résumer l’affaire et, très vite, ils se sont marrés. & plus je leur racontais comment j’avais découvert les détails de ce "deal", plus ils se marraient.
De fait, on a rarement affaire à un marchand d’armes donnant des noms de codes de... bonbons (!) à des contrats censés être "secret défense".
De même, on imagine mal des employés d’un marchand d’armes partager sur Vimeo & Flickr des photos et vidéos qui révèlent qu’ils ont bel et bien commercé avec tel ou tel pays, ou encore partager sur un forum de discussion, ouvert au public, le fait que Kadhafi était bel et bien leur "client", tout en précisant qu’ils se foutent que le "grand public" apprennent qu’ils ont bossé pour un dictateur, vu que leurs clients, ce n’est pas le "grand public"...
Nicolas Sarkozy est connu, admiré et respecté en Libye pour avoir contribué à en finir avec Kadhafi. Il mériterait pourtant aussi d’être reconnu comme celui qui avait aussi précédemment permis (du temps où Kadhafi laissait entendre qu’il voulait acheter des Rafale) à mettre les Libyens sous (cyber-)surveillance (française).
D’autant que le "client" d’Amesys, celui qui lui avait réclamé ce "produit" censé -officiellement- "chasser le pédophile, le terroriste, le narcotrafiquant" (voir Amesys accuse l’ambassadeur de Libye de pédophilie), celui qui donnait des ordres aux employés d’Amesys envoyés à Tripoli pour former les espions libyens, était recherché par Interpol, pour "terrorisme (et) crime contre l’humanité".
Abdallah Senoussi, le chef des services de renseignement de Kadhafi, avait en effet été condamné à la prison à perpétuité pour son implication dans l’attentat du DC-10 de l’UTA (170 morts, dont 54 Français) par la Justice… française.
Les auteurs
Un reportage mis en BD par Jean-Marc Manach (@manhack, sur Twitter), journaliste d’investigation qui avait contribué à révéler les arcanes de ce scandale dans ses articles pour OWNI.fr, ainsi que dans "Au pays de Candy", l’ebook qu’il avait consacré à cette affaire, et Nicoby, dessinateur de nombreuses bandes dessinées, dont 20 ans ferme, poignant reportage "embeddé" dans l’administration pénitentiaire qui, rédigé par un détenu, montre l’envers -glauque, terrible, cruel voire "hors-la-loi"- de la prison, qui chercherait plus à "briser" les prisonniers qu’à essayer de les "réinsérer".
Voir aussi :
Barbouzeries au Pays de « Candy »
Longuet, Sarkozy, et l’alibi de la Libye
Amesys/Bull: un parfum d’affaire d’État
Le PDG de Bull se plante un couteau dans le dos
Amesys: les documents qui impliquent Ziad Takieddine et Philippe Vannier, le PDG de Bull
Les portiques écotaxe relève d'un "système orwellien" qui... ne sert à rien, leur objectif n'étant pas de calculer ni de facturer la redevance, mais de repérer les éventuels fraudeurs, révèle aujourd'hui le Canard Enchaîné, qui titre :
« Officiel : l'écotaxe n'a pas besoin des portiques ! »
Pis : ils n'en prennent pas moins en photographie l'intégralité des véhicules (et pas que des poids lourds), au nom d'une logique qui relève plus d'une usine à gaz shadockienne que d'un système conçu pour être efficace à moindre coût.
C'est un petit détail, passé inaperçu mais que révèle la consultation de la délibération de la CNIL portant sur la création du fichier associé à l'écotaxe, parue au JO le 9 juillet dernier, à l'occasion de la parution de l'arrêté autorisant la création d'un traitement automatisé dénommé « taxe poids lourds » (TPL).
Les commissaires s'y étonnaient en effet de découvrir que "tous les véhicules sont photographiés par le dispositif de contrôle automatique, qu'ils soient ou non assujettis à la taxe (notamment les véhicules légers) et qu'ils circulent sur le réseau taxable ou non taxable (pour les portiques installés aux frontières)".
Un "rapport de passage" est ainsi systématiquement généré pour tous les véhicules, assujettis ou non, contenant "une image de contexte et une image de la calandre, dont est extraite l'image de la plaque d'immatriculation" et ce, afin de permettre aux autorités compétentes de vérifier l’assujettissement à la TPL.
Un "dispositif de reconnaissance de forme" permet ensuite de "déterminer les caractéristiques du véhicule, et notamment de distinguer les véhicules légers des poids lourds".
Interrogé sur ce que la CNIL avait alors qualifié de "collecte d'une grande quantité d'information non justifiée par rapport à la finalité poursuivie", le ministère avait alors indiqué qu'"il n'était plus, à ce stade, possible de modifier le dispositif technique et qu'il n'était pas techniquement envisageable de déclencher le dispositif de reconnaissance de forme avant la prise de photographies."
« En effet, il a précisé que la prise de vue de contexte doit se faire avec la distance la plus longue, donc en premier dans l'ordre chronologique, alors que la reconnaissance de forme se fait au niveau du portique (détection latérale). »
Rappelant que "le dispositif ne doit avoir ni pour objet, ni pour effet de prendre des photographies permettant d'identifier le conducteur ou les passagers des véhicules empruntant le réseau taxable", la CNIL écrivait dès lors ne pouvoir "que regretter que la contrainte d'une solution technique permettant d'éviter la collecte d'une grande quantité de données non pertinentes n'ait pas été introduite par le ministère au stade de la conception du système".
Dès lors, et ne pouvant "considérer que les données collectées sont adéquates, pertinentes et non excessives", la CNIL réclamait une "suppression immédiate" des photographies des véhicules légers, tout en validant cette usine à gaz, n'ayant pas réalisé qu'un autre système, bien plus simple et bien moins coûteux, aurait été possible.
MaJ, pointée par Hervé Chambonnière : le Télégramme soulignait en effet début novembre que "les portiques, faut-il le rappeler, ne servent pas à calculer l'écotaxe. Ce sont des « mouchards » chargés de repérer les camions qui ne seraient pas équipés du boîtier réglementaire qui, par satellite, fixe le montant d'écotaxe dû par l'entreprise. Autrement dit, même sans ces portiques, l'écotaxe peut être prélevée si le véhicule est équipé du boîtier. C'est ce qu'a récemment indiqué Michel Cornil, vice-président d'Ecomouv', dans une interview au Télégramme" :
« Les portiques, a-t-il rappelé, ne servent pas à collecter l'écotaxe, mais seulement à contrôler que les poids lourds sont équipés. Abattre les portiques n'empêchera pas la collecte de la taxe. Si le contrôle n'est plus fait par les portiques, il pourra être fait par la gendarmerie. Les hommes et les véhicules peuvent être équipés. Cela ne pose pas de problème ».
Mediapart révélait lui aussi récemment que "les membres du consortium Ecomouv' auraient insisté sur le fait que ces portiques étaient totalement inutiles pour la perception de l’écotaxe" :
« De fait, tous les repérages sont réalisés par GPS et satellite, les portiques ne servant qu’à repérer les camions qui ne seraient pas équipés de boîtier et chercheraient à frauder l’écotaxe. Malgré toutes les mises en garde, le ministère de l’écologie alors dirigé par Jean-Louis Borloo a imposé les portiques.
Motif : il était bon de donner de l’emploi aux entreprises locales de BTP. »
De même que les poids lourds doivent utiliser des chronotachygraphes, ils doivent aussi aujourd'hui disposer d'un boîtier équipé d'un traceur GPS et d'un émetteur radio permettant de collecter l’écotaxe. On aurait pu confier à la gendarmerie le soin de faire des contrôles comme elle le fait pour les chronotachygraphes.
Borloo a préféré soutenir le BTP en passant un appel d'offres estimant le montant total du dispositif à 1,9 milliards d'euro (hors TVA), marché attribué à Ecomouv pour un montant de... 1 918 028 400 EUR.
Un portique écotaxe coûte, selon la largeur de la route, entre 500 000 et 1M d'euros : 173 ont d'ores et déjà été déployés, à quoi il convient de rajouter 130 bornes mobiles, qui ressemblent à des radars fixe, mais qui coûtent la bagatelle de 250 000 euros. Au bas mot, l'Etat a donc dépensé quelques 150 millions d'euros pour un système qui ne sert qu'à détecter les éventuels fraudeurs.
En comptant les 4 portiques et 11 bornes détruits ou dégradés, la facture grimperait donc d'ores et déjà de 4,7 à 6,7 millions d'euros. Sachant que le démontage préventif du portique de Pont-de-Buis, dans le Finistère, a coûté 130 000 euros, le coût pourrait dépasser, d'après les calculs d'Europe 1, les 20 millions € si, d'aventure, il fallait un jour retirer tous les portiques...
Ce cadeau empoisonné du gouvernement Fillon a non seulement contribué à gaspiller de l'argent public, permis aux "bonnets rouges" de se déchaîner contre le gouvernement Ayrault, qui a décidé de reporter l'application de la taxe en question, entraînant la mise au chômage partiel de 210 salariés d'Ecomouv (voir ce poignant article sur Les oubliés de l'écotaxe), mais... néanmoins mis en place des centaines de caméras conçues pour prendre en photographie l'intégralité des véhicules circulant sous ces "mouchards d'assaut", pour reprendre l'expression du Canard.
Voir aussi :
La taca taca tac tac tiqu’ du portique…
Le plan anti-intrusion de la DGSE était sur le web
Le nom d’un espion figurait dans un rapport du Sénat
Pourquoi la NSA espionne aussi votre papa (#oupas)
Un logiciel de maquillage pour détecter les terroristes
Plusieurs journalistes m'ont contacté pour que je les éclaire sur le projet de Loi de Programmation Militaire (LPM) que s'apprête à adopter Le Sénat, ce mardi 10 décembre, et qui vise notamment à légaliser l'"accès administratif" (par les services de renseignement, à distinguer des services de police judiciaire) aux données de connexion (les "traces" de nos activités stockées par les opérateurs de télécommunications et de services en ligne), définies comme suit dans son désormais fameux article 13 :
« informations et documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications. »
Fin novembre, l’Association des services internet communautaires (ASIC, qui fédère notamment AOL, Dailymotion, Deezer, Ebay, Facebook, Google, Microsoft, Skype, Skyrock, Yahoo!) déclenchait les hostilités en appelant à un "moratoire et une évaluation complète des dispositifs de surveillance mis en oeuvre par l’Etat".
Dans un second communiqué, l'ASIC évoque une "course à l’échalote dans le domaine de la surveillance de l’internet", et dénonce un "régime d'exception" allant bien au-delà des cas de terrorisme, et passant par un accès en "temps réel" aux données au travers d’une "sollicitation du réseau", sans que l'on sache exactement s'il s'agira d'un accès direct, via des "portes dérobées", aux réseaux des opérateurs, ou s'ils devront leur demander l'autorisation avant d'entrer.
Dans la foulée, le très sécuritaire Jean-Marc Leclerc, journaliste au Figaro avec un article intitulé Téléphone, Internet: l'État pourra bientôt tout espionner, et pose la question :
« La France vire-t-elle à la société orwellienne ? »
Le journaliste Marc Rees, de PCInpact, qui a tenté de décrire comment va s'organiser la surveillance d'Internet en France, et qui évoque un "Patriot Act à la française", a compilé le déluge de cris d'orfraie que ce projet a depuis suscité :
Rajoutez-y un communiqué du Medef, qui parle d'une "grave atteinte à la confiance que l'ensemble des acteurs doivent avoir dans l'Internet" et qui demande au gouvernement : "ne tuons pas la confiance dans l'Internet !", plus une interview intitulée « Nous sommes à deux doigts de la dictature numérique », accordée aux Echos par Gilles Babinet, nommé « Digital champion » auprès de Neelie Kroes pour porter la voix numérique de la France à Bruxelles qui, il y a quelques mois, qualifiait la CNIL d'"ennemie de la Nation", mais qui semble donc avoir viré sa cutie :
« Cette loi, c’est le plus grand coup porté au fonctionnement de la démocratie depuis les lois d’exceptions pendant la guerre d’Algérie. »
Proposer au Parlement d'adopter un tel projet de loi un 10 décembre, Journée mondiale des droits de l'homme, choisie pour honorer l'adoption par l'Assemblée générale des Nations unies et de la proclamation le 10 décembre 1948 de la Déclaration universelle des droits de l'homme, n'était pas forcément une très judicieuse idée.
Les révélations d'Edward Snowden n'ont pas non plus aidé, d'autant que l'on a découvert, le 30 novembre, que la DGSE a transmis des données à la NSA américaine, et que les "70,3 millions de données téléphoniques collectées en France, par la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, ont été communiquées par les services français eux-mêmes, conformément à un accord de coopération en matière de renseignement entre les Etats-Unis et la France" connu sous le nom de LUSTRE.
En révélant, le 26 novembre, que la police avait utilisé un programme illégal de géolocalisation et de surveillance téléphonique, baptisé "Pergame" pendant plus de deux mois, entre fin 2012 et début 2013, Mediapart notait de son côté qu'une note interne rédigée par le secrétariat général de la place Vendôme allait jusqu’à dénoncer "la transgression des dispositions réglementaires constitutive de graves infractions pénales".
Rajoutons-y les deux arrêts de la Cour de Cassation, rendus publics le 22 octobre dernier, et qui interdisent aux policiers et gendarmes de pouvoir géolocaliser les suspects :
« La géolocalisation et le suivi dynamique en temps réel d'une ligne téléphonique à l'insu de son utilisateur constituent une ingérence dans la vie privée et familiale qui n'est compatible avec les exigences de l'article 8 de la Convention européenne des droits de l'homme qu'à la condition d'être prévue par une loi suffisamment claire et précise. »
Au regard de cette succession de violations de la loi par ceux-là même qui sont censés la faire respecter, on comprend mieux les cris d'orfraie, et les demandes de débat public préalable à l'adoption de telles mesures attentatoires à la vie privée.
D'autant que c'est bien pour légaliser des pratiques illégales (voire "a-légales", pour reprendre l 'expression d'un des patrons d'une des agences de renseignement) que l'article 13 de la LPM a notamment été élaboré.
La LPM, et notamment son article 13, vise en effet à répondre à une "insécurité juridique" pointée du doigt par le député (PS) Jean-Jacques Urvoas, vice-président de la délégation parlementaire au renseignement, dans un rapport consacré à l'"évaluation du cadre juridique applicable aux services de renseignement" mis en ligne le 14 mai 2013, juste avant le début de la saga des révélations d'Edward Snowden, sans qui ce débat n'aurait très probablement pas pris l'ampleur qu'il a aujourd'hui.
Dans un chapitre intitulé "La nécessité de créer un cadre juridique protecteur", le rapport expliquait que la "mosaïque de textes régissant l’organisation et l’activité des services de renseignement se révèle extrêmement complexe, peu lisible voire irrationnelle", et déplorait "des moyens légaux notoirement insuffisants" :
« Aussi, ceux-ci sont-ils contraints d’agir sans base légale et en dehors de tout contrôle autre que hiérarchique et interne. Cette carence, outre le fait qu’elle les place dans une situation juridique délicate, expose notre pays, mais aussi ses services et leurs agents, au risque d’une condamnation par les juridictions nationales comme par la Cour européenne des droits de l’Homme »
Le rapport précisait par ailleurs que le nombre d’interceptions de sécurité (les "écoutes téléphoniques") est limité, par un arrêté du Premier ministre à 1840 individus en simultané, alors que le nombre de lignes de téléphone mobile est passé de 280 000 en 1994 à 63,1 millions en 2010, mais que seules 99 des 6 396 sollicitations enregistrées en 2011 avaient fait l'objet d'un refus de la part de la Commission nationale de contrôle des interceptions de sécurité (CNCIS)
Déplorant "l'inutile complexité des deux systèmes de réquisitions des données techniques de connexion", le rapport déplorait que "seule la prévention du terrorisme justifie que les services y recourent", et que "seule la sous-direction antiterroriste de la Direction centrale du renseignement intérieur dispose de cette faculté", excluant de facto les autres unités de la DCRI, les trois autres services de renseignement du ministère de la Défense (DGSE, DRM & DPSD), et les deux "services" du ministère de l’Économie (l’agence de Traitement du renseignement et action contre les circuits financiers clandestins -Tracfin-, et la Direction nationale du renseignement et des enquêtes douanières -DNRED).
Or, et si "seules 229 demandes ont été rejetées sur 161 662 requêtes examinées
entre 2008 et 2011", le "contrôle pointilleux" de la CNCIS ne serait pas sans poser problème :
« des demandes ont été définitivement rejetées en ce que les vérifications effectuées montraient que les mesures sollicitées relevaient d’investigations judiciaires, ou que les objectifs recherchés ne portaient pas sur des faits susceptibles de recevoir la qualification de terrorisme, mais plutôt d’atteintes à la sécurité nationale ou d’actes relevant de la criminalité et de la délinquance organisée. »
"En revanche", soulignait le rapport, "le Groupement interministériel de contrôle (GIC) a traité, entre le 1er août 2011 et le 31 juillet 2012, près de 197 000 demandes sur le fondement de l’article L. 244-2 du code de la sécurité intérieure qui régit le second système de réquisitions des données techniques. Cet article permet à l’ensemble des services de renseignement de solliciter ces données auprès des opérateurs téléphoniques et des fournisseurs d’accès à Internet", non seulement en matière de lutte anti-terroriste, mais également, grâce à des dispositions figurant depuis 2012 au sein du code de la sécurité intérieure, en application de l’article L. 241-2, qui autorise :
«les interceptions de correspondances émises par la voie des communications électroniques ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous en application de l’article L. 212-1 »
Or, et "au regard de ces chiffres comparés et des tendances qui viennent d’être relevées, l’existence de deux procédures apparaît à la mission comme problématique". Le rapport prenait ainsi "bonne note de l’engagement du ministre de l’Intérieur, lors de la discussion en séance publique, le 27 novembre 2012, du projet de loi relatif à la sécurité et à la lutte contre le terrorisme, d’œuvrer à la « réunification » des deux systèmes de recueil de données".
Dans une (longue) note (passionnante) intitulée "Eléments d’évaluation du risque législatif lié à l’article 13" de la LPM, Pascal Cohet, de l'IFREI (Institut de Formation et Recherche sur l’Environnement Informationnel), rappelle de son côté que l'origine de cette évolution législative n'est pas, comme on l'a lu ici ou là, à chercher du côté de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme, adoptée suite aux attentats de Madrid (11 mars 2004) et Londres (7 juillet 2005), mais bel et bien une construction intellectuelle digne du Patriot Act, et donc de pouvoirs spéciaux accordés suite aux attentats du 11 septembre, alors que la NSA surveillait déjà les télécommunications, et qu'aucune preuve n'a jamais démontré que les attentats auraient pu être déjoués si les télécommunications des terroristes avaient pu être encore plus écoutées (voir aussi Comment le FBI, le PS et Estrosi ont mis le Net sous surveillance) :
« Les logs de connexion sont une conséquence des attentats du 11 septembre 2001, et ont été justifiés initialement comme une mesure urgente exceptionnelle et temporaire ‘impérieusement nécessaire’ à la lutte contre les activités terroristes lors de l’adoption de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (LSQ). L’article 22 du texte limitait la durée du dispositif dans le temps, celui-ci devant expirer au 31 décembre 2003. »
Sénateur socialiste, Michel Dreyfus-Schmidt, avait alors expliqué :
« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».
La loi précisait en effet que les dispositions renforçant la lutte contre le terrorisme étaient adoptées "pour une durée allant jusqu'au 31 décembre 2003" :
« Le Parlement sera saisi par le Gouvernement, avant cette date, d'un rapport d'évaluation sur l'application de l'ensemble de ces mesures. »
En mars 2003, la mesure fut prolongée jusqu'au 31 décembre 2005, date à laquelle un nouveau rapport d'évaluation devait être soumis au Parlement.
En juin 2004, la loi pour la confiance dans l'économie numérique obligea les "personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne" à stocker les identifiants et mot de passe de ceux qu'ils hébergent, ainsi que l'historique de ceux qu'ils publient (quand, quoi), disposition confirmée, en janvier 2006, par la loi relative au terrorisme.
A l'époque, rappelle Georges Moréas, le Premier secrétaire du PS, un certain François Hollande, avait parlé de « reculs graves ». Le PS, le PCF et les Verts avaient d'ailleurs voté contre.
En 2006, la conservation des données de connexion était prorogée jusqu'au 31 décembre 2008 puis, en 2008, jusqu'au 31 décembre 2012 puis, en 2012, jusqu'au 31 décembre 2015.
Or, aucun rapport d'évaluation n'a jamais été transmis au Parlement concernant la pertinence, et l'efficacité, de la conservation des données.
Autre fait troublant : il fallut attendre 2006 pour que soient publiés le décret relatif à la conservation des données des communications électroniques, et mars 2011 pour le décret relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, ce qui, souligne malicieusement Pascal Cohet, "mine la crédibilité du discours initial ayant servi à justifier le dispositif".
Or, pour le contrôleur européen à la protection des données personnelles (CEPD), cette surveillance généralisée et préventive de nos données de connexions constitue "sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche", ce pour quoi il réclame, en vain, une étude d'impact.
Cherchant à expliquer les tenants et aboutissants de la saga législative présidant à la conservation des données de connexion, Pascal Cohet a dressé un "diagramme de structuration législative" qui permet de mieux apprécier ce pour quoi il est pour le moins difficile de s'en faire une idée claire :
#Bref, c'est compliqué.
J'essaie de suivre ce dossier depuis le dépôt du projet de loi, en août dernier, et je n'arrive toujours pas bien à comprendre si cet article 13 va permettre, comme l'affirme Jean-Jacques Urvoas, de "mieux encadrer les services", de " faire bénéficier à nos concitoyens de la meilleure garantie de leurs libertés fondamentales au moment de créer des capacités intrusives", et d'"accroître les garanties et contrôles en matière d’accès aux fadettes et d’opérations de géolocalisation", comme l'explique le sénateur (PS) Jean-Pierre Sueur, président de la Délégation parlementaire au renseignement.
Ce que je sais, c'est qu'aucun "rapport d'évaluation sur l'application de l'ensemble de ces mesures" n'a jamais été porté à la connaissance du Parlement, et qu'aucune étude d'impact n'a été porté à la connaissance du contrôleur européen à la protection des données personnelles (CEPD), et donc que l'on n'a toujours pas mesuré si, oui ou non, la conservation des données de connexion méritait ainsi de continuer à outrepasser la "légalité républicaine".
Ce que je sais aussi, c'est que Jean-Jacques Urvoas expliquait, en juillet dernier, que "face à la « pêche au chalut » que semble réaliser la NSA, la DGSE pratique une « pêche au harpon » dans le cadre de ses attributions", et que "les citoyens français ne sont donc pas soumis à un espionnage massif et permanent en dehors de tout contrôle". Mr Urvoas ne s'est par contre pas prononcé sur la légalité de LUSTRE et donc sur le fait que "70,3 millions de données téléphoniques collectées en France, par la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, ont été communiquées par les services français eux-mêmes, conformément à un accord de coopération en matière de renseignement entre les Etats-Unis et la France".
Ce que je sais, aussi, c'est qu'alors que nombreux sont ceux qui, dans le monde entier, tentent de prendre la mesure des révélations de Snowden, et parlent d'encadrer voire d'enrayer la surveillance massive et généralisée des télécommunications par les services de renseignement anglo-saxons (à l'instar de la pétition pour la défense des libertés individuelles face à la surveillance organisée par les entreprises et les gouvernements que viennent de lancer, ce 10 décembre, 562 écrivains et prix Nobel, ou encore d'AOL, Apple, Facebook, Google, LinkedIn, Microsoft, Yahoo! et Twitter qui viennent d'écrire, hier, à Barack Obama pour l'inviter à une "réfome des pratiques de surveillance"), la France s'illustre en cherchant à "légaliser" les pratiques "a-légales" de nos services de renseignement.
Accessoirement, la LPM va aussi instaurer un fichier de données personnelles des passagers aériens (ou PNR, au motif que les services américains ont réussi à nous en imposer un), permettre, comme le soulignait Thiébaut @Devergranne, aux agents de l'ANSSI (l'agence en charge de la cyberdéfense) de pouvoir "répondre à une attaque informatique" en piratant les systèmes d'information qui en sont à l'origine, mais aussi d'identifier tout détenteur de systèmes "vulnérables, menacés ou attaqués".
Cerise sur le gâteau, la LPM va aussi permettre aux services de renseignement d'accéder plus facilement (et en toute légalité) à de nombreux fichiers policiers :
Ce pour quoi l'adoption de ce projet de loi mériterait effectivement un vrai débat. D'autant qu'il n'y a aucune urgence (la conservation des logs est de toute façon actée jusqu’au 31 décembre 2015), et que ce n'était vraiment pas le meilleur moment pour "légaliser" les pratiques "a-légales" de nos services de renseignement.
MaJ, 21h40 : l'amendement de suppression de l'article 13 a été rejeté par les Sénateurs. Dans la foulée, la Chambre haute a adopté l'article de la loi sans l'avoir modifié.
Pierre Januel, qui "travaille pour les député-e-s #EEL", m'indique par ailleurs sur Twitter qu'une "étude d'impact" (.pdf) a été mise en ligne en octobre 2012, en marge du projet de loi relatif à la sécurité et à la lutte contre le terrorisme (en procédure accélérée).
On y apprend notamment que la CNCIS soulignait, dès 2007, que « l’écoute et la teneur des conversations des individus suspectés de terrorisme, lesquels sont par définition méfiants et prudents lorsqu’ils communiquent entre eux, sont moins intéressantes d’un point de vue opérationnel que le recueil des données techniques de ces communications » et que, du 2 mai 2007 (date de mise en œuvre du dispositif opérationnel) au 26 mars 2012, 199 570 demandes ont été présentées par les services spécialisés, 175 390 d’entre elles ont été validées par la personnalité qualifiée et envoyées aux opérateurs et 173 591 réponses ont été fournies aux services demandeurs, avec un taux de refus variant de 7 à 15%.
« La procédure est principalement utilisée par la direction centrale du renseignement intérieur (DCRI) qui est à l’origine de 96 % des demandes adressées aux opérateurs. Elle permet par exemple :
- de vérifier des soupçons portant sur des personnes ou réseaux potentiellement dangereux ;
- de vérifier, souvent en urgence, la véracité ou la crédibilité de renseignements obtenus de sources confidentielles ;
- de répondre à des Etats étrangers ou des organisations internationales auxquels la France est associée dans la prévention et la répression de certaines formes de terrorisme, notamment international.
Ce dispositif doit également son efficacité au délai de réponse très court, y compris en cas d’urgence signalée. En effet, la réactivité des opérateurs, qui peuvent apporter une réponse dans un délai de quelques minutes à une semaine en fonction de leur complexité et de leur urgence, a une incidence directe sur l’efficacité du travail des services chargés de la prévention du terrorisme. »
Dans son rapport 2010, la CNCIS relèvait ainsi que « ces mesures sont moins intrusives dans la vie privée et moins attentatoires sur le plan des libertés publiques que l’interception des communications qui permet d’appréhender le contenu des échanges et des conversations ».
L'étude d'impact précise enfin qu'au regard de ces éléments, le Conseil constitutionnel conclut que « le législateur a assorti la procédure de réquisition de données techniques qu’il a instituée de précautions propres à assurer la conciliation qui lui incombe entre, d’une part, le respect de la vie privée des personnes et la libertés d’entreprendre des opérateurs et, d’autre part, la prévention des actes terroristes, à laquelle concourt ladite procédure ».
Cela n'explique toujours pas ce pourquoi, et comment, ni sur quelle base légale, "70,3 millions de données téléphoniques collectées en France, par la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, ont été communiquées par les services français eux-mêmes, conformément à un accord de coopération en matière de renseignement entre les Etats-Unis et la France", ces chiffres excédant de beaucoup ceux présentés par ladite "étude d'impact" :
Ces "demandes" correspondent a priori à des individus (qui peuvent utiliser plusieurs n° de téléphone), les "données" correspondant probablement (on l'espère, en tout cas) aux "méta-données" (qui téléphone à qui, quand, d'où, pendant combien de temps), dit autrement : un coup de fil équivaut donc à (au moins) 5 méta-données (voire plus : nom+prénom+rue+code postal+ville+pays+opérateur de l'abonné, voire plus si affinités)
Sachant que, toujours selon l'"étude d'impact", la DCRI "est à l’origine de 96 % des demandes adressées aux opérateurs", on se demande bien comment la DGSE aurait réussi, légalement, à intercepter "70,3 millions de données téléphoniques collectées en France" d'une part, et à les partager avec la NSA, d'autre part.
En 2010, le directeur technique de la DGSE avait expliqué qu'il stockait "tous les mots de passe" (voir Frenchelon: la DGSE est en « 1ère division »); or, l'article 13 porte sur les "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques" : un fichier stocké dans le cloud, un brouillon, un mot de passe, ne relèvent pas de la "correspondance privée", mais ce sont bien des "documents"; l'article 13 va donc bien au-delà des seules "méta-données"...
Ce pour quoi cette #LPM mérite donc d'être discutée, débattue, creusée et expliquée (voire invalidée).
NB : voir aussi les explications de Jean-Jacques Urvoas, et le communiqué du Sénat qui, suite à l'adoption de la LPM, cherchent à répondre à la polémique.
Voir aussi :
Comment sortir de l’« ère du soupçon » ?
Pourquoi la NSA espionne aussi votre papa (#oupas)
Comment sécuriser son téléphone mouchard portable?
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
Mohammed Merah n’a PAS été identifié grâce à une loi antiterroriste, mais grâce à un logiciel libre
Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d’aller chercher sur l’internet…
Début septembre, le Canard Enchaîné révélait qu'on trouvait, dans les annexes d'un appel d'offres mis en ligne, les plans détaillés de systèmes de sécurité de la DGSE (voir Le plan anti-intrusion de la DGSE était sur le web). Jusqu'à hier soir, il était également possible de connaître le nom du "chef d'antenne de la DGSE" en Côte d'Ivoire.
L'information, révélée ce mercredi 6 novembre par Intelligence Online (IOL), une lettre d'information consacrée au monde du renseignement, figurait en annexe d'un rapport parlementaire intitulé L'Afrique est notre avenir, mis en ligne le 29 octobre dernier. On y apprenait que les sénateurs avaient auditionné, en Côte d'Ivoire, le "chef d'antenne DGSE", nommément désigné.
IOL précise à juste titre qu'"un média qui aurait publié la même information aurait immédiatement été sanctionné au titre de la loi de protection du secret de la défense nationale, que le parquet antiterroriste tente de faire respecter de manière particulièrement sourcilleuse depuis le printemps".
L'article 413-13 du Code pénal, créé par la LOPPSI 2 en 2011, prévoit en effet que "la révélation de toute information qui pourrait conduire, directement ou indirectement, à la découverte (...) de l'identité réelle d'un agent des services spécialisés de renseignement (...) est punie de cinq ans d'emprisonnement et de 75 000 € d'amende".
Jeanny Lorgeoux et Jean-Marie Bockel, les deux auteurs du rapport, sont loin d'être des "bleus" en matière de sécurité. Tous deux membres de la commission des affaires étrangères, de la défense et des forces armées, le premier est également membre du Conseil d'administration de l'Institut des hautes études de défense nationale (IHEDN), le second a successivement été secrétaire d'État à la Défense et aux Anciens combattants puis secrétaire d'État auprès de la ministre de la Justice et des Libertés Michèle Alliot-Marie du temps de Nicolas Sarkozy.
M. Bockel est également l'auteur d'un rapport intitulé "La cyberdéfense : un enjeu mondial, une priorité nationale", qui recommandait notamment de "faire de la protection des systèmes d'information une priorité nationale, portée au plus haut niveau de l'Etat", d'"accroître les efforts de sensibilisation des personnels des administrations, à tous les échelons", ou encore d'"améliorer la sensibilisation du public par un plan de communication inspiré du plan de prévention de la sécurité routière"...
Les deux sénateurs ne risquaient pas 5 ans de prison, mais seulement 3 : l'article 413-13 précise en effet que "la révélation, commise par imprudence ou par négligence, par une personne dépositaire soit par état ou profession, soit en raison d'une fonction ou d'une mission temporaire ou permanente, de l'information mentionnée au premier alinéa est punie de trois ans d'emprisonnement et de 45 000 € d'amende".
Contacté hier en fin d'après-midi, la direction de la communication m'a d'abord expliqué que, bien que le nom du chef d'antenne de la DGSE figurait dans le rapport depuis 8 jours, personne ne l'avait encore alerté à ce sujet. Signe du branle-bas de combat, elle m'a rappelé en urgence, à 21h30, après avoir contacté la commission des affaires étrangères, de la défense et des forces armées du Sénat, qui a alerté la DGSE, et reconnaît une "erreur, grossière, énorme", un "problème de relecture" :
« On a retiré le nom de la liste, on vous remercie infiniment, si vous n'aviez pas été vigilant... On compte sur votre sens civique pour ne pas le diffuser... Nous vous sommes très reconnaissants. Au nom de toutes les autorités je vous remercie, c'est très sympa, d'autres n'auraient pas eu ce genre de scrupule. »
Ce n'est pas la première fois que des officiels "balancent" ainsi des noms qui n'auraient jamais du être portés à la connaissance du grand public. En 2009, j'avais ainsi trouvé, en annexe d'un rapport du "Groupe de contrôle des fichiers de police et de gendarmerie", un extrait de fichier STIC mentionnant les noms, prénoms, adresse, date et lieu de naissance d'un suspect impliqué dans une affaire d'"infraction à la législation sur les stupéfiants", en date du 4 mai 1997, ainsi que le nom et le n° de téléphone de la brigadière chef qui avait traité son fichier (voir «Y aurait-il un fichier que nous aurions oublié ?»).
A l'époque, le ministère de l'Intérieur avait mis plus de 15 jours à anonymiser le fichier (voir Il n’y a plus de donnée personnelle dans le fichier policier indiqué). Le titre du rapport qui avait balancé un fichier policier, non anonymisé ? "Mieux contrôler les fichiers de police pour protéger les libertés" (sic).
Voir aussi :
Le plan anti-intrusion de la DGSE était sur le web
Pourquoi la NSA espionne aussi votre papa (#oupas)
Comment sécuriser son téléphone mouchard portable?
Internet a été créé par des hippies qui prenaient du LSD
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
La version française du Guide du Datajournalisme, sortie fin août, a censuré préféré ne publier qu'une partie de ma contribution : pour expliquer l'intérêt du journalisme de données, j'y dressais en effet un parallèle un petit peu osé entre la gastronomie, l'artisanat et les personnes "bien montées"...
J'aurais pu écrire que le "journalisme de données" est au journalisme (d'investigation) ce que Google est au Bottin mondain, qu'on peut faire bien plus avec un ordinateur qu'avec du papier et des crayons, une caméra ou un enregistreur de sons, que les journalistes qui ne vérifient pas ce qu'ils "rapportent" (ou qui s'expriment sur des sujets qu'ils ne connaissent pas) font bien plus de tort à la profession que Google News ou la soi-disant "gratuité" de l'Internet...
J'ai préféré chercher à expliquer ce pour quoi, et comment, le "journalisme de données" (et donc d'investigation) permet, certes d'attirer le chaland en rendant l'information plus "sexy", et donc de trouver des lecteurs que l'on aurait probablement pas touché sans, mais aussi et surtout d'identifier des informations, des angles, qu'on n'aurait pas identifié sans. Travailler les données, c'est aussi et surtout un question de perspective, et de point de vue.
Nicolas kayser-Bril (@nicolaskb), fondateur de Journalism++, "réseau de journalistes de données qui développent des récits à partir de données" et coordinateur de la version française du Guide du datajournalisme, m'avait proposé de revenir sur l'enquête que j'avais faite sur les Morts aux frontières de l'Europe. La version courte est dans le guide, en voici donc la version longue, uncut.
Les journalistes aiment bien aller sur le terrain, en reportage, et/ou recueillir des témoignages. Mais leur métier n’est pas de faire des voyages, ou de tendre le micro : il est d’abord et avant tout de vérifier ce qu’on leur montre, et recouper ce qu’on leur dit. Il est aussi et surtout d’aller chercher ce qu’on leur cache, ou qui n’avait jamais été mis à jour. Il est enfin de parvenir à trouver l’angle, et la forme, qui permettra à cette enquête de toucher le plus large public possible ou, à tout le moins, de faire débat. La majeure partie des journalistes sont des négociants, sorte d’intermédiaires ne connaissant pas forcément bien la qualité des produits qu’ils traitent. Les plus brillants sont comme des écrivains, ou des photographes, qui parviennent à saisir l’air du temps et raconter de belles histoires sans trop se tromper.
Je suis un petit artisan, qui ne part jamais en voyage : mon terrain, c’est l’Internet, et ses innombrables ressources et bases de données. Je suis un chercheur d’or, et mes pépites, ce sont les données. Je dois creuser pour les trouver, puis les filtrer, les nettoyer, les qualifier, mettre certaines de côté, abandonner certains filons pour en privilégier d’autres, trouver des outils toujours plus sophistiqués pour parvenir à les traiter... Et quand je trouve une pépite, il faut que je la fasse briller, que je lui donne une forme, c’est mon côté orfèvre, petit artisan...
Ce que l’on a qualifié de “journalisme de données” (expression vouée à disparaître : ce n’est jamais que du journalisme, “augmenté” avec ce qu’il est possible de faire avec & sur le web) est un travail de chercheur d’or (investigation, constitution et vérification de plus ou moins larges sets de données), et d’orfèvre. Certains (dont je suis) le pratiquent en tant qu'artisan, d'autres le font à la manière de techniciens, en alignant les chiffres ou les graphiques, sans raconter d'histoire, sans réel point de vue, se contentant de pratiquer une forme de journalisme “à gros seins”, ou “augmenté” façon “TTBM” (pour "Très Très Bien Membré", le pendant gay des “gros seins”).
Je m’explique : ce n’est pas parce qu’on a des gros seins ou qu’on est (très très) bien membré que l’on va prendre plus de plaisir à faire l’amour. Par contre, il est possible qu’on attire plus les regards, et l’attention, et donc d’avoir plus de prétendants, voire de succès. Mais on peut avoir de “gros seins” et être aussi flasque qu’un camembert, ou prétendre être “TTBM” à la manière de ces "vendeurs d’épluche-patates magiques sur les marchés”...
Le “journalisme de données” peut, certes, privilégier les "gros seins" & les TTBM, mais l’essentiel, ce n’est pas ce qui se voit (95DD), non plus que la promesse de ce qui peut se passer (20x5cm), mais la qualité de l’expérience vécue, le fait d’avoir su capter l’attention de son partenaire (le lecteur), de l’avoir étonné, de l’avoir rendu intelligent, de lui avoir rendu service, de lui avoir appris des choses, le fait qu’il s’en souviendra comme d’une histoire qu’il voudra raconter à ses proches... Ce n’est donc pas tant une question de gros chiffres qu’une question de point de vue, d’angle journalistique, de pertinence de l’enquête et des données mises à jour, en forme et exposées.
Quand j’ai découvert, en 2010, la liste des dizaines de milliers de migrants & réfugiés morts aux frontières de l’Europe, compilée par United -un réseau de 560 ONG européennes- à partir de dépêches de presse et d’organisations internationales ou de défense des droits de l’homme, j’ai vite vu que le .pdf était en fait un extrait d’un tableur, et me suis empressé de leur demander le fichier source. Celui-ci contenait bien plus de paramètres que je n’aurais pu en traiter. J’ai donc du faire des choix, trouver un angle.
J’aurais pu me contenter d’aligner les chiffres, d’écrire qu’on dénombrait plus de 14 000 morts aux frontières de l’Europe (plus de 18 000 aujourd’hui -sans compter ceux qui n’ont pas été recensés), dont 3300 aux abords de Lampedusa, 11 000 en Méditerranée, 194 en France et 59 en Libye, que 9 964 étaient morts noyés, 864 de faim ou de soif, et 215 de froid. J’ai préféré permettre aux gens de pouvoir aussi visualiser, sur une carte, le nombre de migrants morts, par pays, par causes de décès, de pouvoir “lire leurs histoires” telles que (brièvement) compilées dans la base de données, mais également de montrer l’évolution chronologique de cette mortalité, et enfin, et surtout, de permettre potentiellement à plus de gens de lire l’article que j’ai tiré de ces données, et donc de prendre la mesure de cette tragédie.
Le Mémorial des morts aux frontières de l’Europe qui en a résulté est probablement le plus dur des articles que j’ai jamais eu l’heur d’écrire. Pas tant parce qu’il m’a fallu attendre plus d’un an avant que je n’obtienne le temps de cerveau disponible d’un développeur -James Lafa- et d’une graphiste -Marion Boucharlat- pour me permettre de le finaliser, ni des galères que cela a pu constituer, ni du temps que cela nous a pris (une dizaine de jours), mais à cause de toutes ces histoires que je me suis donc retrouvé à lire, et qui font partie des plus terribles qu’il m’ait été donné de raconter.
Je suis bien conscient qu’intituler “Chercheur d’or TTBM CH orfèvre à gros seins” un article sur la façon que j’ai eu de raconter l’histoire de tous ces migrants morts parce qu’ils voulaient trouver refuge en Europe peut paraître choquant, ou déplacé. Il n'empêche : je suis persuadé que, sans cette carte, cet article aurait été bien moins lu, et partagé. Sans cette carte, je n'aurais probablement jamais découvert qu'il y a des champs de mines aux frontières de l'Europe, et que plus de 70 migrants y sont morts, que des dizaines d'autres sont morts des suites de leurs grèves de la faim, ou de leurs immolations, que plus de 200 se sont suicidés pour ne pas être renvoyés dans leurs pays d'origine...
Il en va du journalisme -et donc du “journalisme de données”- comme il en va de la gastronomie : on peut se contenter de faire du réchauffé, du fast food industrialisé, et de faire passer cela pour de la restauration, tout comme de nombreux médias se contentent de bâtonner de la dépêche, de relayer les communiqués de presse sans les recouper, de donner la parole à des experts sans vérifier la véracité de ce qu’ils avancent, d’accumuler les camemberts, les Google Maps et les posters, à tort et à travers...
On peut aussi décider de trouver un angle, une accroche, afin de ne pas faire un article de plus dans la masse de tous ceux qui sortent chaque jour, mais une histoire qu’il semblera importante de relayer, voire que l’on prendra plaisir à partager. Un journaliste est aussi quelqu’un qui se doit de capter l’attention, pour faire passer un message, raconter une histoire, témoigner de la réalité. Je ne sais si ce titre permettra de mieux comprendre ce que peut être (#oupas) le journalisme à l’ère des données. Je sais par contre qu'avec cette carte des morts aux frontières de l’Europe, je cherchais aussi à montrer que l'on pouvait témoigner d'une "guerre" sans forcément aller sur le "terrain". Une chose est de donner la parole aux gens, une autre est de "faire parler" les données.
Voir aussi :
3300 migrants sont morts à Lampedusa depuis 2002
La guerre aux migrants a fait 18 000 morts (au moins)
Le plan anti-intrusion de la DGSE était sur le web
Pourquoi la NSA espionne aussi votre papa (#oupas)
A Guantanamo, les détenus ont des Nintendo DS
Un quarteron d'eurodéputés décideront ce lundi 21 octobre 2013 de l'avenir du projet de règlement européen sur la protection des données personnelles, et donc de ce pour quoi, et comment, nous serons fichés, traqués & surveillés sur Internet dans les 5, 10 ou 20 prochaines années (voir Du droit à violer la vie privée des internautes au foyer).
Problème : la Quadrature du Net vient de révéler que "le rapporteur semble vouloir demander un mandat pour négocier le règlement à huis-clos avec les États Membres, coupant court à toute chance de débat public", au profit d'"amendements de compromis".
Ce revirement est d'autant plus étonnant, et inquiétant, que la proposition de règlement sur la protection des données personnelles actuellement négociée à Bruxelles fait l'objet de la plus importante opération de lobbying qu’ait jamais vue l’Union Européenne, de la part des entreprises américaines, mais également des représentants officiels des Etats-Unis.
L'un d'entre-eux a même déclaré que si l'Europe refusait d'abaisser le niveau de protection de nos données, le projet pourrait déboucher sur une "guerre commerciale" avec les USA... Depuis, les révélations d'Edward Snowden ont révélé l'ampleur de l'espionnage des télécommunications "made in USA". On aurait pu s'attendre à un sursaut de la part de nos institutions européennes. Il semblerait que non.
Le site controle-tes-donnees.net, qui vient tout juste d'être lancé, résume très bien ce pour quoi ce futur règlement européen est "menacé par le lobby des géants de l'Internet", qui voudraient pouvoir continuer à collecter, analyser, recouper, vendre et revendre nos données... sans notre consentement.
La Quadrature appelle les citoyens à contacter les membres de la commission "libertés civiles" (LIBE), et particulièrement son rapporteur Jan Philipp Albrecht, afin de les inviter à "refuser un accord en première lecture avec le Conseil afin de garantir un véritable débat public tout au long de la procédure concernant ce règlement".
Vous trouverez sur cette page, la recension des principaux points litigieux, ainsi qu'un formulaire permettant de sélectionner les ou les eurodéputés à contacter, la Quadrature ayant développer un outil permettant de les appeler gratuitement depuis son ordinateur... Problème : il semblerait que l'on ne puisse les contacter que ce jeudi 17 octobre.
Vous pouvez également signer la pétition de nakedcitizens.eu, lancée par les principales ONG européennes de défense des libertés et de la vie privée sur Internet. European Digital Rights (EDRI), qui fédère la majeure partie d'entre elles, propose également d'interpeller les eurodéputés sur Twitter (cf cette liste des eurodéputés membres du comité LIBE), de leur envoyer un email (leurs coordonnées), et recense (en anglais) les principaux points de friction. Comme elle le rappelle dans ce communiqué :
"Ces derniers mois ont montré à quel point il était important de limiter la collecte de données au strict minimum nécessaire, d'assurer la vie privée "by design", et de garantir le droit de pouvoir effacer ses propres données."
Voir aussi Vie privée : quand les cowboys font la loi... #oupas, que j'avais écrit pour Le Vinvinteur :
et, sur ce blog :
3300 migrants sont morts à Lampedusa depuis 2002
Pourquoi la NSA espionne aussi votre papa (#oupas)
Du droit à violer la vie privée des internautes au foyer
Comment sécuriser son téléphone mouchard portable?
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
On ne saura jamais exactement combien de migrants sont morts en cherchant à gagner les frontières de l'Europe. Nombreuses sont en effet les embarcations qui coulent sans laisser de trace, sans parler de tous ces réfugiés qui meurent pendant la traversée, et dont les corps sont jetés par-dessus bord, afin de ne pas importuner les survivants, et d'optimiser leur probabilité d'arriver à bon port.
L'ONG United against racism et un journaliste italien, Gabriele del Grande, ont entrepris depuis des années de documenter, à partir d'articles de presse, de rapports d'autorités ou d'ONG, le nombre de réfugiés morts ou disparus en cherchant à gagner l'Europe.
L'ONG estime ainsi le nombre de "morts aux frontières de l'Europe" à 17 306, depuis 1993; le journaliste à 19 142 depuis 1998, dont 2352 en 2011, et 6 835 dans le seul le détroit de Sicile, où se trouve Lampedusa.
La comparaison de leurs deux bases de données -toutes deux intitulées "Fortress Europe" et qui, dans certains cas se recoupent, dans d'autres se complètent- révèle que depuis 2002, plus de 3000 migrants sont morts ou ont disparu aux abords de l'île de Lampedusa.
Avec les 300 morts présumés du naufrage d'un navire transportant quelques 500 réfugiés, le 3 octobre dernier, Lampedusa concentrerait ainsi, à elle seule, plus de 17% des 18 à 20 000 réfugiés morts aux frontières de l'Europe recensés depuis le milieu des années 90.
En 2011, j'avais contribué à créer une carte interactive, pour OWNI, répertoriant plus de 14 000 hommes, femmes & enfants "morts aux frontières" de l'Europe.
J'avais alors découvert que si la grande majeure partie -près de 10 000- étaient morts en mer Méditerranée -dont 857 en tentant de rejoindre Lampedusa-, 864 étaient morts de soif ou de faim (dans le désert ou des bateaux), que près de 300 étaient morts étouffés dans un camion, 254 assassinés, plus de 250 écrasés en traversant une route ou en tombant d’un camion, 215 morts de froid, et que 138 des 335 suicidés avaient opté pour la pendaison, que 4 étaient morts en grève de la faim, et 33 par immolation.
Printemps arabe aidant, on dénombrerait 4 000 morts de plus en seulement deux ans -cf La guerre aux migrants a fait 18 000 morts (au moins). En analysant les données compilées par Gabriele del Grande, et rien que pour ces quatre dernières années, les (data)journalistes italiens de dataninja.it ont établi une carte pour Wired.it répertoriant quelques 250 événements (qu'ils ont partagé sous forme de tableur) montrant clairement que la majeure partie des morts et disparus l'ont été dans le détroit de Sicile, aux abords de l'île de Lampedusa (voir aussi la carte qu'en a tiré Alexandre Léchenet pour LeMonde.fr 4 000 migrants morts en Méditerranée depuis 2009) :
En explorant la base de données d'United", j'ai de mon côté identifié 68 événements survenus aux abords de Lampedusa depuis 1996, totalisant 1509 morts et disparus (voir le tableur). Voici quelques-unes de leurs histoires (les liens renvoient vers des articles en italiens recensés par del Grande).
Le 7 mars 2002, 5 femmes et 7 hommes mourraient noyés après que leur navire ait chaviré; on dénombrait également 47 disparus; ils venaient du Nigéria, du Soudan et de Turquie.
Le 15 mai 2003, des pêcheurs trouvaient 4 cadavres dans leur filet. Le 16 juin, un autre navire chavirait : 63 morts. Le 17 juin, 400 réfugiés débarquent à Lampedusa, à bord de 6 bâteaux; un septième, transportant 70 migrants, a coulé; les autorités ne récupèrent que 3 survivants. Le 18 août, un Libérien de 25 ans décédait d'une crise cardiaque à son arrivée au refuge de Lampedusa.
Mi octobre, une quinzaine de Somaliens, dont un bébé de 3 ans, étaient retrouvés morts de faim, de froid ou d'hypothermie dans un bateau en provenance de Libye. Le 20, 14 survivants, squelettiques et incapables de parler, sont récupérés dans un navire à la dérive, où l'on découvre également 13 cadavres; le bateau mesurait 12 mètres de long, il était parti avec plus de 100 passagers, dont 7 enfants, et dérivait depuis 20 jours; les survivants avaient dû jeter à la mer les corps des autres passagers morts.
Le 24 mars 2005, un navire de pêche remarque une embarcation d'un peu plus de 10 mètres avec une centaine de passagers à bord, en danger de naufrage; il prévient les autorités par radio mais, pour éviter d'être poursuivi pour aide à l'immigration illégale, continue de pêcher; quand la marine arrive sur zone, le bâteau avait coulé.
En août 2006, deux enfants, ainsi qu'un bébé sierra-leonais de 18 mois (Karol), ne survivaient pas au voyage et étaient jetés par-dessus bord par leurs parents. Le 19, 50 réfugiés -dont 10 enfants- disparaissaient suite à la collision de leur navire avec un plus gros bateau : on ne retrouvait que 12 cadavres. Le 20, un dériveur coulait au large de Lampedusa : 28 hommes, 5 femmes et un enfant disparaissait, l'un d'entre eux dévoré par un requin. Le 12 septembre, un bateau balloté par les vagues envoyait des SOS : 250 disparus.
Le 29 juillet 2007, un pêcheur repèrait un navire à la dérive transportant 14 réfugiés, dont deux dans le coma; depuis 20 jours, ils dérivaient sans nourriture et sans eau; "ils ressemblaient à des fantômes", expliqua à La Repubblica le commandant qui les secouru : "ils étaient dans un état pitoyable, réduit à l'état de squelettes aux lèvres desséchées par le soleil et le sel"; un des survivants expliqua que "13 d'entre-nous sont morts, nous avons été obligés de les jeter à la mer".
Le 1 août, 33 hommes, 4 femmes et 4 enfants mourraient noyés après le naufrage de leur bateau; les secours parvenaient cela dit à sauver un seul survivant. Le 14, des militaires repéraient 14 cadavres flottant sur l'eau : ils portaient des gilets de sauvetage; on ne saura jamais combien furent ceux qui coulèrent, sans gilet. Le 21, des militaires découvraient les cadavres de 4 hommes et 2 femmes, morts de faim et jetés par-dessus bord au large de Lampedusa.
Le 28, un navire de réfugiés récupérait un homme en vie, dérivant en mer, avec un gilet de sauvetage; c'était le seul survivant du naufrage de son bateau, qui transportait 45 personnes. Le 29, un navire à la dérive depuis 4 jours était secouru : 2 femmes enceintes, mortes durant la traversée, avaient été rejetées en mer.
Janvier 2008 : le capitaine d'un chalutier était arrêté à Lampedusa, accusé d'assassinat après avoir croisé un navire à la dérive, chargé de 60 réfugiés somaliens; l'un d'entre eux avait nagé jusqu'à son bateau pour lui demander de leur venir en aide; l'équipage l'avait frappé, et rejeté en mer, le laissant se noyer. Le 19 mars, un bateau surchargé chavirait : 40 morts; ils venaient d'Egypte, du Sénégal, du Nigéria, de Somalie et de Tunisie.
Le 21 janvier 2009, 8 Libyens mourraient de froid dans le bateau qui les amenaient à Lampedusa. Le 22, Vivede, une Nigérianne de 19 ans, décédait à cause des brûlures dues à son exposition au soleil et à la mer. Le 20 août, 5 Erythréens étaient secourus au large de Lampedusa; ils dérivaient depuis 20 jours, et expliquèrent avoir du jeter par-dessus bord les cadavres de 75 personnes mortes pendant la traversée.
Le 6 avril 2011, un navire chargé de 325 migrants en provenance du Bengladesh, du Tchad, de la Côte d'Ivoire, du Nigéria, de Somalie et du Soudan, chavirait au large de Lampedusa; on dénombrait 220 disparus, dont plusieurs mineurs, et au moins deux bébés de 1 et 3 ans. Le 28, deux navires embarquant 600 réfugiés, étroitement surveillés par les soldats libyens, partaient pour Lampedusa; un seul d'entre eux arriva à bon port, l'autre disparaissant dans la tempête : on dénombrait 320 morts, au moins. Les autorités tunisiennes retrouvaient ce mois-là sur leurs plages les corps de 58 candidats à l'exil.
Le 11 mai, un réfugié parvenu à Lampedusa expliquait que 5 personnes avaient été jetées à la mer en tant que sacrifice humain, afin de conjurer le mauvais temps.
Le 2 juin, un bateau surchargé coulait à 300 km de Tripoli : 270 réfugiés, venus d'Afrique de l'Ouest, du Pakistan et du Bengladesh, mourraient noyés. Le 1er août, un bateau chargé de 300 réfugiés envoyait des SOS au large de Lampedusa : 275 personnes étaient sauvées, mais 25 retrouvées mortes, suffoquées. Le 4 août, un bateau en provenance de Libye était secouru à 104 milles de Lampedusa; on retrouvait 100 cadavres, jetés à la mer.
Le 4 avril 2012, les secours découvrait un bateau à la dérive; les survivants expliquèrent avoir du jeter à la mer 10 passagers, morts de faim. Le 10 juillet, un autre bateau à la dérive depuis 15 jours était secouru; il n'y avait qu'un seul survivant : les 54 autres passagers étaient morts.
Pour vous faire une idée de ce que peut être une traversée, regardez ce reportage, qui valut à Grégoire Deniau un prix Albert Londres en 2005 :
Ces dizaines de milliers de "morts aux frontières de l'Europe" ne sont pas des "catastrophes humanitaires", mais la conséquence logique de la fermeture et de la militarisation des frontières extérieures de l'Europe. Voir à ce titre Lampedusa : l'Europe assassine, tribune libre signée par plusieurs responsables d'ONG d'aide aux migrants et de défense des droits de l'homme pour qui "l'Union européenne doit sortir de sa logique sécuritaire et renouer avec les valeurs qu'elle prétend défendre", parce que "le drame de Lampedusa n'est pas une fatalité", mais bien la conséquence d'une "guerre menée par l'Europe contre les migrants".
Par ailleurs, ces dizaines de milliers de morts ne sont qu'une partie du problème, comme j'avais tenté de le résumer, l'an passé, dans « De Big Brother à Minority Report » le n° du Vinvinteur (l'émission de télévision où j'officiais) avait consacré à cette guerre qui ne dit pas son nom :
Car si la création de l'espace Schengen a permis d'"ouvrir" les frontières afin de permettre aux Européens d'y voyager sans papiers, l'Europe a aussi créé, en contrepartie, une agence chargée de sécuriser les frontières extérieures de l’Union. Qualifiée d'« organisation militaire quasi-clandestine » par Jean Ziegler, Frontex est aussi un service de renseignement, ainsi qu'un relais policier, militaire, et diplomatique, avec les autres pays de l'Union... et pas seulement : Frontex a en effet passé des accords techniques de coopération afin d'externaliser le fait de bloquer, et donc aussi d'incarcérer, des migrants dans des pays pourtant peu regardants en matière de droits de l'homme..
FrontExit, lancé par une vingtaine d'ONG de défense des droits de l'homme, réclame aujourd'hui "plus de transparence sur le fonctionnement de FRONTEX et le respect des droits des migrant.e.s aux frontières" :
"Pour lutter contre une prétendue « invasion » de migrants, l’Union européenne (UE) investit des millions d’euros dans un dispositif quasi militaire pour surveiller ses frontières extérieures: Frontex."
Le budget annuel de Frontex a été multiplié par 20 en 5 ans, passant de 6 millions d’euros en 2006 à 118 millions d’euros en 2011. Un record, en ces temps de crise, sachant qu’il est aussi 9 fois plus important que celui du bureau européen chargé, non pas de refouler les réfugiés, mais d’harmoniser leurs demandes de droit d’asile…
Une des missions de Frontex est de rendre nos frontières “intelligentes”, au moyen d’une batterie de nouvelles technologies, développées, pour la plupart, par des marchands d’armes : caméras de vidéosurveillance thermiques, détecteurs de chaleurs et de mouvement, systèmes de drones, etc., le tout pour un budget estimé à 2 milliards d’euros.
2 milliards d’euros, c’est grosso modo ce que réclamaient les associations caritatives pour assurer l’aide alimentaire aux plus démunis, soit 19 millions de personnes en Europe, dont 4 millions en France.
Austérité oblige, l’Union européenne a finalement décidé d’amputer l’aide alimentaire de 1 milliard d’euros… au grand dam des ONG humanitaires, qui ont un peu de mal à accepter que "les chefs d'État demandent (donc) aux pauvres de sauter un repas sur deux"...
L’Europe a décidé, de façon particulièrement cynique, de privilégier le fichage des étrangers, en limitant le nombre de consulats offrant la possibilité d'obtenir un visa biométrique (cf Tchernobyl: les enfants bloqués à la frontière française), tout en conditionnant l'obtention d'untel visa biométrique au fait pouvoir se le payer (cf La France refoule 12% des artistes africains).
Résultat : en 20 ans, cette “guerre aux migrants” aurait fait entre 18 & 72 000 victimes... C’est le constat, effrayant, dressé par United Against Racism, une ONG qui, depuis 1993, documente dans une base de données les morts aux frontières de l’Europe. Début 2011, elle en avait répertorié 14 000. Printemps arabe aidant, le nombre de victimes serait passé à 18 000, soit 4 000 morts de plus en 2 ans… dans l'indifférence quasi-générale, ce pour quoi j'avais donc proposé au Vinvinteur d'en parler (voir l'émission, en entier) :
Ghert est l'un des responsables d'United Against Racism, l'ONG qui dénombre les "morts aux frontières" de l'Europe. Il a préféré être interviewé de dos, plusieurs membres de son ONG ayant déjà été menacé voire tabassé par des militants d'extrême-droite. Non content de m'expliquer qu'il n'a pu documenter qu'1/4 des "morts aux frontières" -et qu'il estime donc que le chiffre réel serait trois fois plus important, aux alentours de 80 000-, Ghert m'a notamment raconté l'histoire de cette mère qui a choisi d'éborgner ses enfants -afin de leur permettre de rester en Europe.
Dressant un parallèle entre ce que l'Europe traverse aujourd'hui et ce qu'elle avait vécu dans les années 1930, Ghert estime ainsi que la façon qu'ont les pays du Nord de (mal)traiter la Grèce et l'Italie (notamment), et que la banalisation de la xénophobie, l'institutionnalisation des discriminations, et les résurgences racistes, pourraient déboucher sur une véritable "guerre" -nonobstant les risques de voir un jour cette "guerre aux migrants" se retourner contre "nous", si d'aventure ceux qui en meurent aujourd'hui se décidaient à prendre les armes pour se "défendre". L'interview dure 40', elle est en anglais, mais le constat est terrifiant :
Pour Claire Rodier, que j'avais déjà interviewée en 2011 à l'occasion de la mise en ligne du mémorial des “morts aux frontières de l’Europe“, « la liberté de circulation s’impose comme une évidence au regard des ravages causés par la lutte contre les migrations "illégales" ».
Juriste au Gisti et responsable de Migreurop, l'une des ONG qui a lancé FrontExit, Claire Rodier a publié un essai, « Xénophobie Business », analyse cinglante et alarmante du « marché » de l'externalisation sinon de la privatisation, du contrôle de l’immigration. Elle y dénonce les « profiteurs de guerre » de ce marché "très lucratif" où les agents de sécurité ne reçoivent souvent qu’une formation de cinq jours sur les techniques de contrôle et de contention, failitant d'autant les cas de recours excessif à la force, voire de tabassage en règle. Son interview dure plus d'une heure, mais je ne saurais que trop vous conseiller de la lancer, en tâche de fond, et de l'écouter, vraiment :
Si d'aventure ces questions vous ont ébranlé, vous pouvez également consulter le kit de sensibilisation de Frontexit, les cartes issues de l'Atlas des migrants en Europe , la Transborder map, "carte de la résistance contre le régime des frontières européennes", réécouter l'émission Liberté sur paroles consacrée à Frontexit (où l'on apprend que des garde-frontières ont tiré sur des bateaux de réfugiés pour les couler, et qu'il est question de doter les patrouilles de Frontex d'armes létales), acheter « Xénophobie Business », le livre de Claire Rodier (voir les 30 premières pages).
Voir aussi : Mourir aux portes de l’Europe, de Philippe Rekacewicz, le tout premier (ce me semble) à avoir chercher à cartographier les "morts aux frontières de l'Europe" et, sur ce blog :
Calais: des réfugiés aux doigts brûlés
La France refoule 12% des artistes africains
La guerre aux migrants a fait 18 000 morts (au moins)
Tchernobyl: les enfants bloqués à la frontière française
Fichier ADN : 80% des 2,2M de gens fichés sont « innocents »
Ne dites pas à ma mère que je suis un hacker, elle me croit blogueur au Monde.fr, & reporter au Vinvinteur
Qui aurait cru, en 1984, que Steve Jobs serait devenu un Big Brother, et que ses clients seraient devenus des zombies ?
Cette spéciale dédicace aux fans de la marque Apple figure en toute lettre dans un mémo confié par Edward Snowden au Spiegel, qui explique comment la NSA accède aux données contenues dans les smartphones, qu'ils soient de type iPhone, Androïd ou BlackBerry.
En 1984, Apple avait en effet diffusé un spot publicitaire montrant des bataillons de zombies tétanisés par Big Brother, et affirmant que son nouveau MacIntosh allait libérer le peuple et que, grâce à lui, "1984 ne serait pas 1984".
Vous utilisez un iPhone, un téléphone Android, ou Windows Phone ? Vous êtes donc "en état d'interception : toutes vos télécommunications pourront être retenues contre vous"... pour paraphraser la célèbre expression policière.
Comme l'ont moult fois expliqué des gens comme Julian Assange, Jacob Appelbaum ou Rick Falkvinge (le fondateur du Parti pirate), nos téléphones portables sont aussi devenus (voire d'abord et avant tout, si vous êtes une cible de la NSA, de votre conjoint jaloux, ou de votre patron espion) des mouchards électroniques que nous portons en permanence sur nous, et qui permettent à des "grandes oreilles" de pouvoir nous traquer.
Au-délà des écoutes téléphoniques classiques, qui ont tendance à proliférer (voir Une juge a fait écouter un journaliste du "Monde"), ce qui intéresse ces "grandes oreilles", ce sont les méta-données : qui communique avec qui, quand, d'où... Imaginez, par exemple, que l'on apprenne que François Hollande a passé un coup de fil à quelqu'un en Syrie. Sans même connaître le contenu de leur conversation, cette simple information pourrait avoir des répercussions énormes.
La semaine passée, je publiais ainsi sur Rue89 la carte des pays visités par 19 marchands d'armes de surveillance numérique, dont les téléphones portables avaient opportunément été pistés par l'unité de contre-espionnage de WikiLeaks. On ne sait pas ce qu'ils faisaient dans ces pays -peu regardants pour ce qui est des droits de l'homme-, mais le simple fait de savoir quand ils y sont allés, combien de fois, pendant combien de jours, indique qu'ils y étaient en voyage d'affaires, pas en vacances.
Car s'il est possible (mais pas donné) de sécuriser ce que l'on fait avec un ordinateur (cf Comment protéger ses sources ?, le manuel que j'ai rédigé à cet effet), il est bien plus difficile de le faire avec un smartphone, ce que rappelait en juin dernier l'Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un mémo intitulé Recommandations de sécurité relatives aux ordiphones :
"En tout état de cause, il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage."
Une note, datée du 19 août et que L'Express vient de rendre publique, révèle ainsi que le premier ministre a demandé à tous les ministères d'abandonner smartphones et tablettes du commerce pour la "transmission d'informations sensibles de voix et données".
Matignon qualifie de "sensibles les "informations manipulées ou échangées au sein de l'administration, notamment par les autorités et cabinets ministériels". Elles doivent, "dans la mesure du possible, être hébergées sur le territoire national" et "être chiffrés lorsqu'elles sont échangées sur des réseaux non sécurisés, notamment l'Internet, mais également lorsqu'elles sont stockées sur des ordinateurs portables ou des clefs USB, "susceptibles d'être facilement dérobés ou perdus".
Dans un article intitulé Smartphones mouchards : comment protéger votre vie privée, publié sur Rue89 fin août, Philippe Vion-Dury dressait une bonne check-liste des réglages et logiciels conseillés pour chiffrer ou protéger ses données.
Les recommandations de l'ANSSI "ont simplement pour objectif de protéger au mieux possible les données contenues dans le terminal contre les attaques triviales". A défaut de rendre votre smartphone totalement imperméable, elles pourraient vous éviter de tendre la joue pour vous faire p0wned (piraté, en leet speak), et vous permettre d'adopter une bonne hygiène en matière de sécurité informatique.
L'ANSSI estime ainsi que "le déverrouillage par symbole (points à relier) ne dispose pas d’une richesse combinatoire suffisante pour être conforme au niveau minimal recommandé".
Ce type de solution est donc à proscrire ainsi que toute solution biométrique lorsque l’efficacité n’est pas établie. La note précisant les recommandations de sécurité relatives aux mots de passe publiée par l’ANSSI donne des éléments qui peuvent être utiles à la définition d’un mot de passe correct.
Sur les 21 recommandations de l'ANSSI, détaillée dans son mémo, j'en ai retenu 16 (les 5 autres visent surtout les "ordiphones" gérés par les entreprises ou administrations). A partager sans modération :
Configurer une durée d’expiration du mot de passe de 3 mois maximum.
Configurer le verrouillage automatique de terminal au bout de 5 minutes maximum.
Si le terminal contient des informations sensibles, il est recommandé d’exiger un mot de passe fort en remplacement des méthodes de déverrouillage par défaut. Dans tout autre cas, l’utilisation d’un code PIN sera suffisant dès lors que la recommandation R5 est strictement respectée.
Limiter le nombre de tentatives de déverrouillage, puis configurer un temps de blocage de plus en plus long ainsi qu’un effacement automatique après une dizaine de tentatives ayant échoué.
Ne pas laisser le terminal sans surveillance. Un accès très temporaire à un terminal mobile peut suffire à sa compromission sans que l’utilisateur en ait conscience même lorsqu’il est verrouillé.
Ne pas brancher le terminal à un poste de travail non maîtrisé ou à un quelconque périphérique qui ne soit pas de confiance, lesquels établiront une connexion directe non contrôlée.
L’accès au service de géolocalisation doit être interdit aux applications dont les fonctions liées à la position géographique ne sont pas utilisées. Si cette option n’est pas disponible sur le terminal considéré, il convient d’éteindre le service de géolocalisation lorsqu’il n’est pas utilisé.
Les applications déployées doivent être mises à jour régulièrement et rapidement dès lors que des correctifs de sécurité sont proposés.
Les interfaces sans-fil (Bluetooth et WiFi) ou sans contact (NFC par exemple) doivent être désactivées lorsqu’elles ne sont pas utilisées.
Désactiver systématiquement l’association automatique aux points d’accès WiFi configurés dans le terminal afin de garder le contrôle sur l’activation de la connexion sans-fil.
Éviter tant que possible de se connecter à des réseaux sans fil inconnus et qui ne sont pas de confiance (cf les recommandations de sécurité relatives aux réseaux WiFi de l'ANSSI).
Le stockage amovible ainsi que le stockage interne du terminal doivent être chiffrés par l’utilisation d’une solution de chiffrement robuste.
Tout échange d’informations sensibles doit se faire par un canal chiffré de manière à assurer confidentialité et intégrité des données de point à point.
Le système d’exploitation doit être régulièrement et automatiquement mis à jour de manière à intégrer les derniers correctifs de sécurité publiés. Tout terminal qui ne peut plus prendre en charge les évolutions du système d’exploitation doit être remplacé.
Si les terminaux sont jugés suffisamment sensibles pour le nécessiter, il est conseillé de procéder régulièrement (a minima tous les ans) à la ré-initialisation complète du terminal, c’est à dire à un nouveau déploiement du système d’exploitation et un changement des clés de chiffrement, de manière à mettre fin à une éventuelle atteinte en sécurité du système à bas niveau (Note : Ceci n’est toutefois pas la solution à l’ensemble des attaques dont certaines pourraient perdurer malgré une ré-initialisation complète).
Sauf à utiliser des solutions de cloisonnement dont il a été vérifié qu’elles répondent aux besoins de sécurité de l’entreprise, utiliser des ordiphones professionels dédiés à cet usage.
Mise à jour, 12/09/2013 : sur Twitter, @petaramesh précise à juste titre que ces conseils "sont absolument inefficaces pour se protéger d'écoutes NSA intégrées à l'OS" :
« Il n'existe AUCUNE mesure crédible pour empêcher un smartphone IOS/Android de "téléphoner maison" les données qu'il contient. Le seul et unique moyen de protéger ses données sensibles est de ne les stocker en aucun cas dans un tel système, et de ne jamais avoir sur soi un tel téléphone, équipé de sa batterie, pour toute activité confidentielle. Il serait particulièrement DANGEREUX de taper sur un tél iPhone Android un mot de passe protégeant des données confidentielles. Il semble que c'est désinformer les gens de leur laisser croire qu'ils peuvent sécuriser un tel téléphone... »
Comme indiqué plus haut, l'ANSSI estime "illusoire d’espérer atteindre un haut niveau de sécurité" avec un "ordiphone", ses conseils visant plus à se prémunir des dommages qu'engendreraient un vol ou l'installation d'un logiciel malveillant.
Voir aussi ce guide de Configuration basique des paramètres de sécurité d'un appareil Android, et les fiches logicielles qui y sont associées, comment utiliser votre smartphone en sécurité (autant que possible...) et, en anglais, Security tips for journalists using mobiles, et The Mobile Security Survival Toolkit for Activists and Journalist. Je serais par ailleurs preneur de tout autre lien/manuel de sécurité pour les mobiles.
Et, sur ce blog :
Le plan anti-intrusion de la DGSE était sur le web
Pourquoi la NSA espionne aussi votre papa (#oupas)
La guerre aux migrants a fait 18 000 morts (au moins)
Internet a été créé par des hippies qui prenaient du LSD
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
En août 2012, des plans de masse de l'Elysée, du ministère de l'intérieur, de la préfecture de police de Paris et de 9000 bâtiments publics et privés étaient dérobés dans une voiture, gare de Lyon. Les documents étaient stockés sur une clef USB et des disques durs non chiffrés placés dans la sacoche d'un entrepreneur impliqué dans le déploiement du plan de vidéosurveillance de Paris. L'affaire avait alors fait grand bruit, et entraîné l'ouverture d'une instruction judiciaire.
Le Canard Enchaîné révèle aujourd'hui qu'au même moment, et depuis des mois, tout un chacun pouvait télécharger, sur le site web de la Plate-forme des Achats de l'Etat, plusieurs plans détaillés de l'un des bâtiments de la caserne des Tourelles, boulevard Mortier, siège de la DGSE, et notamment de son système "anti-intrusion".
Sur certains d'entre eux, on pouvait même trouver la localisation exacte des digicodes, contacts magnétiques, détecteurs "bi volumetrique" de mouvement et détecteurs à infra-rouge.
On y trouvait également un "plan de cheminement des réseaux" de télécommunications et du système anti-intrusion, de chauffage, de climatisation et d'eau, le câblage VDI (pour voix, données, images) du réseau de communication (téléphone, TV et Internet) utilisées par les "grandes oreilles" de la "grande muette".
Dans le cadre d'un appel d'offres portant sur l'assemblage et montage de structures préfabriquées destinées à abriter, dans le bâtiment M11 de la caserne Mortier, des bureaux, des photocopieuses et une déchiqueteuse, la DGSE avait en effet mis en ligne le cahier des charges détaillé des travaux à effectuer, et les plans associés, allant jusqu'à y préciser que, "dans le cadre de l’harmonisation des matériels installés et d’un souci de maintenance plus facile, les marques des produits seront demandées".
On apprenait ainsi que "le raccordement des contacts de chaque porte d'accès se fera par l’intermédiaire d’une boîte auto protégée (...) de marque BECUVE et de type IM1640 PAG ou équivalente", que le contact magnétique d’ouverture des portes standard "sera de marque BECUVE et de type IM9700 ou équivalente", que les détecteurs infra rouge linéaire seront "de marque ARITEC modèle EV475AM ou équivalente" ou, s'ils sont à "bi-technologie linéaire, à miroirs et hyperfréquences, avec fonction d’anti masquage, de la marque ARITECH modèle DD478AMC-F"...
Un autre marché public, émanant lui aussi de la DGSE et portant sur l'"Acquisition de matériels anti – intrusion et quincaillerie associée", dresse quant à lui la liste de près de 250 composants utilisés pour "maintenir en état opérationnel les installations dédiées à la surveillance sur les sites de l’administration".
Dans cet inventaire à la Prévert, on trouve tout aussi bien des caméras dômes "anti vandale" (modèles Panasonic WV-CW500S/G, WV-CW504SE & WV-CW504SE) qu'une Centrale d'alarme GD-520 d'Honeywell, et même un ordinateur portable de 17" sous Windows 7 "doté d'un lecteur/graveur CD/DVD", un disque dur et une clef USB "ccompatible windows" (sic)... dont on se demande bien s'ils relèvent des "matériels anti-intrusion", ou bien de sa "quincaillerie associée" (nonobstant le caractère quelque peu incongru d'opter pour un portable Windows afin de gérer un dispositif "anti-intrusion" de la DGSE).
Alertée par Zone d'intérêt, un blogueur spécialisé dans le renseignement, qui avait déjà écrit sur les contrats passés par les services de renseignement, et qui s'étonnait de découvrir que toutes ces informations étaient téléchargeables par tout un chacun, la DCRI n'a pas particulièrement moufté, et les informations sont restées en ligne. En 2013, ledit blogueur parvenait enfin à alerter un responsable de la DGSE... sans réponse.
Depuis, sur son compte Twitter, @zonedinteret s'amuse à publier des photos satellites non floutées des sites de la DGSE qui ont été floutés sur Google Map ou Bing :
Le premier marché ayant été attribué, en juillet 2011 (à SFC, une entreprise spécialisée dans la "construction modulaire de bâtiments publics, d'écoles, de bureaux, de bibliothèques, d'hôpitaux, de dortoirs et de salles de spectacle à Pontault-Combault"), les plans détaillés de la caserne Mortier ne sont plus disponibles.
L'inventaire à la Prévert, n'ayant pas encore été attribué, est quant à lui toujours consultable. La DGSE, qu'on a connu plus parano, n'aurait-elle donc "rien à cacher" en la matière ?
Le principe de Kerckhoffs, bien connu des experts en chiffrement, postule de fait que la sécurité d'un système ne doit reposer que sur le secret de la clef, partant du principe que l'adversaire connaît (ou peut connaître) le système, et que tous les autres paramètres doivent donc être supposés publiquement connus.
A contrario, la sécurité par l'obscurité, qui repose sur la non-divulgation des informations, ne permet pas d'évaluer la sécurité d'un système. Ce pour quoi l'on conseille généralement d'utiliser des logiciels libres, dont le code source est ouvert, aux logiciels propriétaires et privateurs, qui empêchent de vérifier la présence de bugs, voire de portes dérobées.
La DGSE ne verra donc probablement aucun inconvénient à ce que je remette en ligne une capture d'écran de son "plan de cheminement des réseaux" :
Mise à jour, 23/08 : comme indiqué par 1RT, en commentaire, le plan correspond à la caserne Mortier, pas à la caserne des Tourelles (située de l'autre côté du boulevard Mortier), "qui a vu défiler des générations de bidasses avant d’être récupérée par la DGSE à l’étroit dans ses murs".
";s:7:"dateiso";s:15:"20130821_141112";}s:15:"20130711_143247";a:7:{s:5:"title";s:76:"La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi";s:4:"link";s:128:"http://bugbrother.blog.lemonde.fr/2013/07/11/la-dgse-a-le-droit-despionner-ton-wi-fi-ton-gsm-et-ton-gps-aussi/#xtor=RSS-32280322";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=5068";s:7:"pubDate";s:31:"Thu, 11 Jul 2013 12:32:47 +0000";s:11:"description";s:476:"La Direction générale de la sécurité extérieure (DGSE, les services spéciaux français) ne serait pas, en l'état, en mesure de collecter "systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France". Une chose est de stocker "tous … Continuer la lecture ";s:7:"content";s:32738:"La Direction générale de la sécurité extérieure (DGSE, les services spéciaux français) ne serait pas, en l'état, en mesure de collecter "systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France".
Une chose est de stocker "tous les mots de passe" qu'elle a pu intercepter sur les "réseaux grand public", comme je l'avais écrit en 2010 (voir Frenchelon: la DGSE est en « 1ère division »), une autre est de pouvoir espionner "la totalité de nos communications", en France, comme l'écrivait Le Monde, la semaine passée, avec ses "Révélations sur le Big Brother français".
A contrario, et comme l'écrivait Le Monde mi-juin, la DGSE est bien "au cœur d'un programme de surveillance d'Internet" lui permettant de surveiller "le flux du trafic Internet entre la France et l'étranger en dehors de tout cadre légal"...
S'il est certes techniquement possible d'espionner tout type de réseau de communication, le maillage décentralisé du réseau Internet, en France, fait qu'il est par contre improbable que la DGSE ait pu concrètement, financièrement et structurellement, placer l'intégralité de nos télécommunications sous surveillance afin de collecter et stocker nos méta-données (qui communique avec qui, quand, pendant combien de temps, d'où).
Contrairement à des pays comme la Libye, où l'Internet était centralisé -ce qui a permis à l'entreprise française Amesys d'y installer un système de surveillance généralisée des télécommunications (voir Barbouzeries au Pays de « Candy »)-, l’historique du développement des télécommunications en France a débouché sur une infrastructure décentralisée.
Si la DGSE voulait placer tout l'Internet sous surveillance, elle ne pourrait pas se contenter de demander à Orange, Bouygues Télécom, SFR ou Free de dupliquer le trafic Internet. D'une part parce qu'il existe de nombreux autres FAIs, particulièrement étrangers (les opérateurs européens, américains, voir indiens sont présents en France), d'autre part parce que ça ne suffirait pas : l'Internet n'est pas une série de tuyaux contrôlés par quelques gros "telcos", c'est un peu plus compliqué.
Comme l'avait très bien rappelé Benjamin Bayart dans sa conférence "Internet libre ou minitel 2.0", "sur Internet on a mis l'intelligence en périphérie du réseau" :
« Dans Minitel on a mis l'intelligence au centre, c'est le contenu, c'est les bases de données avec des terminaux débiles autour. Internet c'est le contraire, on a mis des routeurs idiots au centre et on a mis en périphérie des ordinateurs qui réfléchissent. »
Illustrations : quand un abonné Orange regarde DailyMotion (filiale d’Orange), le trafic peut ne pas sortir du réseau de France Télécom, ou même sortir du réseau d’Orange et y re-rentrer de nouveau au gré des règles de routage. Plus généralement, en matière d'interconnexion entre opérateurs (Peering), certains prestataires français préfèrent passer par des points d'échange situés à l'étranger, afin de payer moins cher... ce qui fait qu'un fichier envoyé par abonné Free à un internaute Orange passera peut-être par Londres ou Francfort, ou encore la Belgique s'ils utilisent Google, sans que jamais ni Free, ni Orange, ni personne à Londres, Francfort ou Bruxelles ne sache exactement ce qu'ils ont échangé.
Le problème se complique avec les services types web 2.0 : quand un internaute se connecte à l'un des services proposés par Google, son FAI ne sait pas lequel, ni ce qu'il cherche à y faire (consulter son gmail, faire une recherche, travailler sur un document stocké dans le "cloud" de Google, etc.), car le trafic est chiffré (ssl), et que la réponse à la requête de l'abonné sera routée par les serveurs de Google, et non par le FAI.
Rajoutez-y le fait que nombreux sont les internautes qui passent par Google pour consulter tel ou tel site, plutôt que de rentrer son URL dans son navigateur, et vous commencez à prendre la mesure de la complexité du routage de l'Internet, et du fait qu'on ne peut pas installer de "Big Brother" au coeur des FAI.
L'an passé, le sénateur Jean-Marie Bockel voulait interdire la vente de routeurs de coeur de réseau chinois en Europe, au motif qu'ils pourraient permettre à la Chine de nous espionner. Comme le rappelait alors L'Express, ces routeurs, utilisés par les opérateurs de télécommunications pour gérer les flux de communications, peuvent en effet "intercepter, analyser, exfiltrer, modifier, voire détruire toutes les informations" qu'ils voient transiter.
Une hypothèse récemment battue en brèche par Stéphane Bortzmeyer, dans un article intitulé Un routeur de cœur de réseau peut-il espionner le trafic ?. Techniquement, c'est possible, et il existe effectivement des routeurs espions. Mais ils ne peuvent pas pour autant analyser tout le trafic en temps réel; et s'ils faisaient remonter le trafic aux autorités, ça se verrait, les opérateurs s'en apercevraient, des ingénieurs auraient protesté ou démissionné, et l'information aurait fuité bien avant les "révélations" du Monde.
Pour Kave Salamatian, professeur d’informatique et de réseaux, et spécialiste de la géographie de l’Internet, cette histoire de "PRISM" français relève d'une "tentative de désinformation, de manœuvre de roulement de muscles, ce qui est habituel dans le monde du renseignement : plus c'est gros, plus ça passe" :
« L'architecture du réseau téléphonique et internet en France est très différente de celle des États-Unis. C'est une décision prise dans les années 40-50 : les USA sont allés vers une architecture avec des centraux téléphoniques très gros, qui concentrent le trafic, et des lignes très longues vers l’utilisateur.
En Europe, on a fait un maillage dense de centraux téléphoniques de plus petites tailles, avec des lignes beaucoup plus courtes vers l’utilisateur : on est toujours à moins de 4-5 kilomètres d’un DSLAM, l'architecture est beaucoup plus dense. »
Et c'est précisément sur ces DSLAM, qui récupèrent le trafic transitant sur les lignes téléphoniques afin de router les données vers les gros tuyaux des FAI, au plus près des abonnés, que s'effectuent les écoutes Internet, comme me l'a expliqué, sous couvert d'anonymat, le responsable d'un gros FAI :
« Le réseau français est fait de sorte que pour l’intercepter il faut aller au plus près de l’abonné, source ou destinataire, sachant que les deux canaux de communications sont disjoints : chaque acteur ne maîtrise que ce qui sort du réseau. La voie retour, quand c’est Google qui envoie l’info, c’est Google qui décide par quels chemins le flux doit revenir à l'abonné, et au final c'est le DSLAM qui réassemble les flux depuis et vers l'abonné.
Quand on reçoit un ordre d’un tiers de confiance (Justice ou Invalides -qui gère les interceptions de sécurité pour le compte de Matignon), on duplique le flux, qui est renvoyé via des liaisons dédiées et chiffrées; et on s’est débrouillé pour que la fonctionnalité de duplication soit limitée à quelques abonnés par équipement, et que seules deux personnes puissent la débloquer. »
Non content d'avoir été conçu pour ne permettre que quelques placements sur écoute en simultané, par DSLAM, le dispositif ne peut pas être activé par le FAI seul, pas plus qu'à la seule initiative du ministère, mais seulement lorsque les deux s'accordent pour activer la mise sur écoute :
« Si le logiciel est hacké ou évolue vers des fonctionnalités non documentées, le hardware, chez nous, va le bloquer. Et tout est tracé. Et si la DGSE vient nous voir, on leur répond qu’on ne discute qu’avec la PNIJ (la Plateforme nationale d'interception judiciaire de la Justice) ou le GIC (le Groupement interministériel de contrôle, dépendant du Premier Ministre). »
Si la DGSE avait voulu placer des bornes d'écoute clandestine afin de pouvoir surveiller l'intégralité du trafic, elle aurait donc du installer des portes dérobées dans tous les DSLAM, et plusieurs autres points d'interconnexion, sans que cela se voit.
Or, en France, on dénombre près de 16 000 répartiteurs téléphoniques, et quelques 40 000 DSLAM.
Save Kalamatian estime que, pour faire un point de collecte sur un lien à 10GB/s, avec de la reconnaissance par mot-clef, il faudrait investir de 100 à 150 000 € par porte dérobée. Or, à raison de 20 000 portes dérobées, il faudrait investir de 200 à 300 millions € (en hypothèse basse), voire 750 M€ si on voulait espionner tous les DSLAMs (sans la gestion, ni la maintenance, ni la bande passante pour faire remonter le trafic espionné au siège de la DGSE, boulevard Mortier).
"Pour faire de la surveillance massive, il faudrait aller au niveau de la Box" qui permet aux abonnés de se connecter, explique Stéphane Bortzmeyer, et y installer un logiciel espion.
Mettons d'emblée de côté l'aspect particulièrement improbable d'une telle opération, dans la mesure où les employés des FAI ou des fabricants de ces Box auraient forcément détecté la manip', sans parler des bidouilleurs qui auraient remarqué le trafic sortant de leur Box, et qu'il y aurait donc forcément eu des fuites dans les médias si la DGSE avait voulu tenter ce coup-là.
On dénombre près de 13 millions d'abonnés, en France. A raison de 40€ par logiciel espion (ramené à l'ensemble du parc), estime le responsable du FAI, l'investissement représenterait donc plus de 500M€, à quoi il faudrait rajouter les frais de bande passante.
Or, le budget annuel de la DGSE est de l'ordre de 600M€.
A quoi il faudrait aussi rajouter la surveillance des méta-données issues de la téléphonie fixe et mobile. Là, pour le coup, le système est plus centralisé, puisque les méta-données des statistiques d'appel (ou call data record, CDR) sont générées par les opérateurs, qui les conservent pour la facturation, et la détection d'incident.
Suite à la panne d'Orange, en juillet 2012, une inspection de sécurité avait été lancée, pour vérifier l'infrastructure des opérateurs de téléphonie mobile. Les ingénieurs de l'ANSSI -en charge de la cyberdéfense- tout comme ceux des opérateurs n'auraient alors pas manqué d'identifier d'éventuelles installations espion de la DGSE, ce qui aurait donc dû être dénoncé à la Justice, et n'aurait pas manqué de sortir dans la presse.
Entre 5 et 10% du trafic Internet français transite par l'association France-IX, le plus important des points d'échange internet français, qui permettent aux différents FAI d'échanger du trafic grâce à des accords de "peering". Raphaël Maunier, son président, est formel :
« On ne m'a jamais demandé d'intercepter du trafic. Sur France-IX, il n'y a pas d'écoute, c'est hors de question, je démissionnerais direct, et j'en parlerais, c'est anticonstitutionnel.
Si on voulait forcer Free, Orange Numéricable, Bouygues ou SFR à intercepter, ça coûterait de l'argent, ça se verrait, et la plupart des opérateurs que je connais refuseraient : intercepter sur le coeur de réseau, ça ne marcherait pas. »
"Intercepter les données sur le Net sans que ça se sache ? C'est délicat, et je ne vois pas comment techniquement ce serait possible", renchérit Pierre-Yves Maunier, son frère, architecte Réseau chez Iguane Solutions, qui héberge physiquement le "cloud" de nombreux services web : "si on voulait tapper les DSLAMs, les opérateurs le sauraient; écouter tout en temps réel, de tous les opérateurs, c'est faisable, mais demanderait des moyens colossaux, tant pour les opérateurs que pour le gouvernement."
« Je suis intimement convaincu que c'est difficilement faisable; mais je ne sais pas tout. »
Les professionnels des réseaux que j'ai contacté sont unanimes : techniquement, tout est possible. Mais si la DGSE avait vraiment voulu mettre le Net et la téléphonie sous surveillance constante et généralisée, le réseau est tellement décentralisé, et implique tellement d'opérateurs divers et variés qu'ils s'en seraient forcément aperçus et ce, bien avant les révélations d'Edward Snowden.
Il est impossible, en l'état, d'espionner tout le trafic de tous les abonnés sans que les ingénieurs et techniciens en charge du bon fonctionnement de ces réseaux ne s'en aperçoivent, ou n'en soient tenus informés.
Pourquoi aucun d'entre-eux n'a réagi, ne serait-ce que sur la mailing-liste du FRench Network Operators Group (FRnOG), qui "rassemble des personnes intéressées par les domaines de la sécurité, la recherche et le fonctionnement d'Internet en France" (et qui discutait récemment de cette possibilité d'espionner un routeur de coeur de réseau) ? Parce qu'ils sont habitués... à entendre "beaucoup de conneries de la part des journalistes" :
« On est tellement habitué à ce que les journalistes disent n'importe quoi qu'on ne réagit même plus. »
Pour autant, cela ne veut pas dire que la DGSE n'espionne pas tout ou partie des télécommunications qui transitent par satellite. Comme le rappelle Vincent Jauvert, un des journalistes qui, en avril 2001, fut l'un des premiers à évoquer le système "Frenchelon" d'espionnage des télécommunications de la DGSE (voir Le DGSE écoute le monde (et les Français) depuis plus de trente ans), la loi de 1991 relative au secret des correspondances émises par la voie des communications électroniques, censée encadrer les interceptions de communications électroniques et désormais intégrée au Code de la sécurité intérieure, excluait le spectre hertzien de toute forme de contrôle :
« Cette dérogation a été exigée par les plus hautes autorités de l’Etat, confie un ancien conseiller du ministre de la Défense de l’époque, Pierre Joxe. Pourquoi ? Souvenez-vous, à cette époque, la DGSE lançait un vaste plan de modernisation de ses « grandes oreilles ». Il était hors de question de le compromettre.
Un ancien de l’Elysée dit: « Nous voulions laisser les coudées franches au service secret, ne pas l’enfermer dans son quota d’écoutes autorisées. »
Accessoirement, les ondes hertziennes servent aussi en matière de radio-identification (RFiD), de GPS, de GSM et de Wi-Fi... technologies qui, en 1991, n'étaient pas utilisées par le grand public, contrairement à aujourd'hui.
Reste aussi la question des câbles de fibres optiques sous-marins, qui ne relèvent pas du spectre hertzien, et qui ne sauraient donc être légalement espionnables par la DGSE. Et il serait vraiment très intéressant de savoir ce que la DGSE espionne, et ce qu'elle fait pour ne pas espionner les Français.
Dans son article, Vincent Jauvert écrivait que "nos communications avec l’étranger ou les Dom-Tom peuvent être interceptées, recopiées et diffusées par la DGSE, sans qu’aucune commission de contrôle ait son mot à dire. Aucune ! Une situation unique en Occident." :
« Tous les pays démocratiques qui se sont dotés de services d’écoute «satellitaire» ont mis en place des garde-fous, des lois et des instances de contrôle afin de protéger leurs citoyens contre la curiosité de ces «grandes oreilles». Tous, l’Allemagne et les Etats-Unis en tête. Pas la France. »
Son article date de 2001. Depuis, rien n'a changé. Et la DGSE a continué à faire monter en puissance son système d'interception des télécommunications.
Le "Bug Facebook" avait révélé, l'an passé, à quel point la perte de contrôle de leur vie privée pouvait effrayer les internautes, mais également à quel point ils pouvaient être "crédules" (il s'agissait d'une rumeur, cf Facebook et le « paradoxe de la vie privée »).
Le fait qu'Eric Filiol, un ancien militaire, chercheur en cryptologie et virologie -qui aurait travaillé à la DGSE- ait été le seul à qualifier de "fantaisiste" le Big Brother de la DGSE tel que décrit par Le Monde est tout aussi instructif, et plutôt effrayant.
La banalisation des technologies de surveillance, la montée en puissance de cette société de surveillance, la primauté faite au renseignement et aux technologies sécuritaires -au détriment de nos libertés- sont telles qu'un barbouze s'est fait passer pour une gorge profonde afin de faire croire aux lecteurs du Monde que la DGSE était aussi puissante que la NSA...
Le budget de la NSA est classifié, mais on estime qu'elle reçoit de 10 à 15 milliards de dollars, par an, soit 25 fois plus que la DGSE. La NSA emploierait 40 000 personnes, dont 32 000 pour le SIGINT (pour SIGnals INTelligence, l'accronyme anglais désignant le renseignement d'origine électromagnétique), alors que la DGSE n'en emploie que 4750, dont 1100 dans sa direction technique (chargée de "rechercher et d’exploiter les renseignements d’origine technique").
Et personne n'a moufté, à l'exception de Matignon, et de Jean-Jacques Urvoas, président de la Commission des lois de l'Assemblée nationale et spécialiste du renseignement, qui ont rappelé que la DGSE n'espionnaient pas "tous" les Français, parce qu'elle était encadrée par la loi de 1991 (sachant, par ailleurs, que la DGSE a aussi le "droit" de violer les lois, à l'étranger).
Il suffisait pourtant de contacter les professionnels des réseaux, ceux qui nous permettent de communiquer sur Internet, pour comprendre qu'a priori, le système décrit par Le Monde ne peut pas exister, en l'état, en France.
A contrario, rien n'interdit la DGSE d'écouter les Français depuis l'étranger. Mi-juin, Le Monde écrivait que la DGSE "examine, chaque jour, le flux du trafic Internet entre la France et l'étranger en dehors de tout cadre légal" :
« La justification de ces interceptions est avant tout liée à la lutte antiterroriste sur le sol français. De facto, au regard de l'absence d'encadrement légal strict de ces pratiques, l'espionnage des échanges Internet peut porter sur tous les sujets.
Interrogée par Le Monde, la DGSE s'est refusée à tout commentaire sur ces éléments couverts par le secret-défense. De plus, les autorités françaises arguent que les centres d'hébergement des sites sont, pour la plupart, basés à l'étranger, ce qui exonère la DGSE de répondre à la loi française. »
Le magazine spécialisé Intelligence Online révélait récemment que le nouveau datacenter de la DGSE, construit dans un ancien bunker allemand de 100 mètres de long sur 10 de large, situé près de sa station d'interception des télécommunications satellitaires des Alluets, dans les Yvelines, (voir Frenchelon: la carte des stations espion du renseignement français), stockait "toutes les communications électroniques passivement interceptées par les stations du service à l'étranger, notamment à Djibouti, proche de plusieurs dorsales télécoms" (ou Internet Backbone), laissant entendre que la DGSE pourrait aussi écouter les câbles sous-marins dans lesquels transitent, par fibres optiques, une partie importante du trafic Internet international.
En février dernier, Fleur Pellerin qualifiait le savoir-faire d'Alcatel Submarine Networks (ASN), qui couvre la production, l'installation et la maintenance des câbles sous-marins, d'"unique", tout en déclarant qu'ASN ne faisait pas que transporter des paquets de données, mais également de la "cybersurveillance" :
« C'est une activité stratégique pour connecter l'Outre-Mer et tout le continent africain en haut débit. Il y a aussi un enjeu lié à la cybersurveillance et la sécurité du territoire. »
Le site Reflets.info évoque depuis des mois une thèse abracadabrantesque, relayée par l'ONG Survie, selon laquelle le renseignement français aurait externalisé une partie de son système de surveillance des télécommunications dans des pays où elle aurait contribué à installer des systèmes Eagle de surveillance massive de l'Internet, comme elle l'avait fait en Libye (voir Barbouzeries au Pays de « Candy »).
S'il n'existe donc pas, a priori, de "Big Brother" en France, il a bien des petits frères, installés à l'étranger de sorte d'"exonérer la DGSE de répondre à la loi française", tout en lui permettant d'espionner le trafic Internet.
En 2010, Bernard Barbier, directeur technique de la DGSE, avait ainsi expliqué que les réseaux grand public était la "cible" principale, et qu'elle stockait "tous les mots de passe" (voir Frenchelon: la DGSE est en « 1ère division »).
L'ancien directeur de la DGSE, le préfet Érard Corbin de Mangoux, en parlait lui aussi ouvertement, en février 2013, au Parlement :
« À la suite des préconisations du Livre blanc de 2008, nous avons pu développer un important dispositif d’interception des flux Internet. »
Marc Trévidic, juge d'instruction au pôle antiterroriste du TGI de Paris, expliquait au Sénat l'an passé que « les gens qu’on arrête, dans la plupart de nos dossiers, c’est grâce à Internet », des propos réitérés en février dernier à l'Assemblée :
« La totalité des affaires d’associations de malfaiteurs terroristes comporte des preuves acquises sur internet. Au surplus, parmi ces affaires, 80 % d’entre elles sont même exclusivement déferrées devant la Justice grâce à ce type de preuves. De fait, la surveillance d’internet représente pour les services de renseignement un enjeu majeur. »
Le problème, c'est que la DGSE est moins contrôlée que la NSA, et qu'on a plus d'informations sur la NSA que sur l'"infrastructure de mutualisation" (qui centralise les données espionnées) de la DGSE...
NB : et si vous pensez que vous n'avez rien à vous reprocher, donc rien à cacher, et que donc vous ne risquez pas d'être espionné, lisez donc ce pourquoi la NSA espionne aussi votre papa (#oupas) et, pour vous protéger, Comment (ne pas) être (cyber)espionné, ainsi que les nombreux articles de Reflets.info, particulièrement en pointe sur ces questions.
PS : @H_Miser me fait remarquer que je pourrais induire les lecteurs en erreur : un GPS n'émet rien, il ne fait que recevoir des ondes émises par des satellites, et qui sont donc ... "publiques", on ne peut pas vous géolocaliser à distance avec votre GPS de voiture ou de smartphone.
Voir aussi :
Lettre ouverte à ceux qui n'ont rien à cacher
Frenchelon: la DGSE est en « 1ère division »
Du droit à violer la vie privée des internautes au foyer
Frenchelon: la carte des stations espion du renseignement français
Amesys: les documents qui impliquent Ziad Takieddine et Philippe Vannier, le PDG de Bull
Les révélations d'Edward Snowden, le "lanceur d'alerte" américain, sur l'ampleur des opérations d'espionnage et de surveillance des télécommunications de la National Security Agency (NSA), ont incité de nombreux journalistes à me demander si cela pouvait aussi concerner des Français.
En l'espèce, votre papa, votre maman, vos grands-parents, vos enfants, collègues, amis, tous ceux avec qui vous êtes en contact peuvent effectivement être espionnés, ou l'ont peut-être même déjà été. L'explication figure noir sur blanc dans un rapport top secret de l'inspecteur général de la NSA révélé par le Guardian.
Contrairement aux écoutes téléphoniques classiques, ce qui intéresse la NSA, ce n'est pas tant le contenu des télécommunications que leur contenant, ce que l'on appelle des méta-données : qui communique avec qui, quand, d'où, au sujet de quoi, en utilisant quels logiciels, passerelles, fournisseurs d'accès, adresses IP, etc (voir à ce sujet l'excellent et très pédago guide du Guardian, ou encore comment les méta-données d'une photographie a permis de géolocaliser puis d'arrêter John McAfee).
L'objectif est en effet de constituer un "graphe social" des personnes et organisations ciblées ("targeted") par la NSA, la CIA et le FBI, en demandant à ses analystes d'effectuer ce qu'elle qualifie de "contact chaining" :
« En général, ils analysent les réseaux situés à deux degrés de séparation de la cible. »
Autrement dit, la NSA espionne aussi ceux qui communiquent avec ceux qui communiquent avec ceux qui sont espionnés (exemple). La seule limite imposée aux analystes de la NSA est d'"estimer sûr à 51% que l’individu qu’il suit est étranger"... Sont donc espionnables une bonne partie des Américains, et la totalité des non-Américains (cf Qui la NSA peut-elle traquer ? A peu près tout le monde !).
Ce qui, en ces temps de Big Data, de fouille sociale de données et (donc) de police prédictive, n'est pas sans inquiéter (voir, à ce sujet, la traduction française du texte de Bruce Schneier : "Ce que nous ne savons pas sur l’espionnage des citoyens est plus effrayant que ce que nous savons").
En 1929, le Hongrois Frigyes Karinthy émettait l'hypothèse qu'il n'existerait que six degrés de séparation entre tous les êtres humains.
En 1967, le psychologue américain Stanley Milgram avait démontré dans son étude du petit monde la validité de cette théorie en demandant à 296 volontaires d'envoyer une carte postale à un agent de change de Boston qu'ils ne connaissaient pas.
En 2011, une étude portant sur les utilisateurs de Facebook révélait que ses utilisateurs ne sont séparés, en moyenne, que de 4,74 degrés -soit moins de 4 personnes. Sur Twitter, il ne serait que de 4,67 degrés.
Votre papa, votre maman, vos grands-parents, vos enfants, collègues, amis n'ont peut-être "rien à se reprocher". Mais ils connaissent très probablement quelqu'un qui connaît quelqu'un qui a été en contact avec Mohamed Merah -ou l'un des 126 terroristes arrêtés en France depuis 2012-, ou encore avec l'un des nombreux employés de l'Union européenne (puisque La NSA espionnait aussi l'Union européenne).
D'ordinaire, on tend à considérer que l'homme qui a vu l'homme qui a vu l’ours n'est guère crédible, et que son histoire ne peut que relever du ragot, des ouïe-dires, voire de la rumeur. Pour les services de renseignement, c'est différent. Comme l'expliquait récemment Daniel Martin, l'ancien responsable informatique de la DST, leur objectif est de "tout savoir sur tout, tout le temps", au nom de la "règle des 7T".
Le métier des services de renseignement est d'être prudent, voire suspicieux. Le problème, c'est que depuis le 11 septembre 2001, les espions américains sont devenus paranoïaques, au point de vouloir surveiller tout le monde ou presque, comme si nous étions tous des suspects potentiels. En 2001, des chercheurs d'AT&T avaient ainsi théorisé la notion de "culpabilité par association" pour décrire leurs façons d'identifier les n° de téléphone de ceux qui étaient en contact avec les n° de téléphone en contact avec les véritables suspects...
A l'époque, j'avais participé à la "Journée de brouillage d'Echelon en codant un petit générateur d'emails subversifs afin de moquer cette façon qu'a la NSA de considérer comme "suspecte" toute personne évoquant des mots-clefs ciblés par les grandes oreilles américaines :
Le problème, comme l'expliquait Julian Sanchez, du Cato Institute, au Guardian, c'est que les méta-données de vos télécommunications, qui ne sont pas considérées comme relevant de votre vie privée par les autorités américaines, révèlent énormément de choses sur vous :
« Les appels téléphoniques que vous faites peuvent révèler beaucoup de choses, mais à mesure que nos vies sont de plus en plus médiatisées par l'Internet, nos traces IP dressent comme une carte en temps réel de votre cerveau : ce que vous lisez, ce qui vous intéresse, les publicités ciblées auxquelles vous répondez, les discussions auxquelles vous participez...
Surveiller les traces que vous laissez sur l'Internet -d'autant plus en les exploitant au moyen d'outils d'analyse très sophistiqués- est une façon de rentrer dans votre tête qui est à bien des égards comparable au fait de lire votre journal intime. »
"Il est temps de parler des métadonnées", écrivaient récemment plusieurs chercheurs qui ont récemment démontré que, même anonymisées, "il suffisait de 4 informations de localisation dans le temps et l’espace (c’est-à-dire connaître 4 antennes d’où un utilisateur s’est connecté pour téléphoner ainsi que la date est l’heure, données qui sont par essence compilées dans les métadonnées de nos appels téléphoniques) pour identifier précisément 95 % des utilisateurs et que 2 informations suffisent à les identifier à 50%".
Les révélations d'Edward Snowden ne sont pas si nouvelles que cela. En 2009, j'écrivais ainsi que la NSA a accès à toutes les communications des Américains (et surtout celles des journalistes), sachant que l'on savait déjà, depuis la fin des années 90, que la NSA surveillait les télécommunications des non-américains avec son système Echelon.
L'exploitation des méta-données ? Les services de renseignement français le font aussi, mais avec moins de moyens, à une plus petite échelle, même si la France dispose de nombreuses stations d'interception des télécommunications (cf Frenchelon: la carte des stations espion du renseignement français).
En 2010, le directeur technique de la DGSE expliquait ainsi qu'en matière d'espionnage des télécommunications, la DGSE est en « 1ère division » et que, à l'instar de la NSA, "le contenant devient plus intéressant que le contenu" :
« Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s'intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau. »
Pour autant, cela ne veut pas dire que les services de renseignement français espionnent autant de télécommunications que ne le font les services anglo-saxons : Edward Snowden a ainsi révélé que le GCHQ, l'équivalent britannique de la NSA, était capable de traiter 600 millions d'évènements téléphoniques... par jour, ce qui a même eu le don d'énerver certains pontes du renseignement britanniques, qui estiment que cela va trop loin.
En attendant, ni votre papa, ni votre maman ni personne d'autre d'ailleurs ne pourra plus dire que puisqu'elle n'a rien à se reprocher, elle n'a rien à cacher (voir aussi ma lettre ouverte à ceux qui n'ont rien à cacher).
Ce scandale arrive au pire moment qui soit pour les relations américano-européennes. Les autorités américaines déploient en effet depuis quelques mois la plus vaste campagne de lobbying qu'aient jamais vues les institutions européennes. L'Union a en effet décidé d'adopter un règlement sur la protection des données personnelles qui vise précisément à protéger nos données, ce qui déplaît au plus haut point aux Américains, pour qui ces données sont une mine d'or commerciale (voir Du droit à violer la vie privée des internautes au foyer).
La veille des premières révélations d'Edward Snowden, l'UE décidait de repousser les négociations portant sur ce projet de règlement. Elles ne pourront plus se tenir comme avant. Il y aura probablement un avant et un après Snowden, tout comme il y eut un avant et un après Watergate, avec la création de commissions d'enquêtes visant à mieux contrôler les services de renseignement US.
En tout état de cause, si vous ne voulez pas que vos données sensibles puissent être espionnées par qui que ce soit (sachant qu'au moins 7 pays européens auraient des accords avec la NSA), je vous renvoie au mode d'emploi que j'avais écrit il y a quelques mois : Comment (ne pas) être (cyber)espionné ?
MaJ : rajout de quelques liens pour permettre aux lecteurs de poursuivre leurs lectures.
Voir aussi Essayez de retrouver un terroriste caché dans des gigaoctets de métadonnées, qui explique qu'une personne, avec 79 contacts, peut entraîner la mise sous surveillance de près de 50 000 autres personnes, suivant cette logique de l'homme qui a vu l'homme qui a vu l'ours... et, sur ce blog :
L’espion qui aurait pu empêcher le 9/11
Comment (ne pas) être (cyber)espionné ?
Internet a été créé par des hippies qui prenaient du LSD
Du droit à violer la vie privée des internautes au foyer
Frenchelon: la carte des stations espion du renseignement français
la NSA a accès à toutes les communications des Américains (et surtout celles des journalistes)
Les sites web que vous visitez, les recherches que vous faites sur Google, une bonne partie de ce que vous partagez sur Facebook en particulier, et l’Internet en général, sont des données personnelles qui relèvent de votre vie privée.
Pour autant, le Conseil de l’Union Européenne estime que cela relève de ce que vous faites dans votre « foyer », et qu’il n’y a donc pas matière à inclure vos activités en ligne et sur les réseaux sociaux dans le champ d’application de la « directive européenne sur la protection des données personnelles »… et donc d’exiger de Google, Facebook & Cie, tout comme aux entreprises de marketing direct, de respecter votre droit à la vie privée.
L’exploitation de nos données personnelles, considérées comme le “pétrole du numérique”, est l’un des principaux business modèle de l’économie numérique, eldorado financier que se disputent les géants du web, du tracking comportemental et de la publicité personnalisée. De plus en plus nombreux sont ainsi ceux qui voient Facebook, Google et les autres marchands de données personnelles comme autant de Big Brother en puissance.
En 1995, l’Europe s’était dotée d’un texte improprement qualifié de « directive européenne sur la protection des données personnelles » : elle porte en effet sur la « protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données » : l’objectif n’est pas tant de protéger votre vie privée que de créer un cadre légal permettant à des entreprises et administrations de profiter de cette « libre circulation » des données personnelles, et notamment de pouvoir créer un « marché européen des données personnelles ».
Pour se mettre à jour et s’adapter aux bouleversements liés à l’explosion du web, restaurer la confiance dans l’économie numérique, et éviter tout risque de dérives, l’Union européenne a donc décidé de légiférer, afin de rendre aux internautes le contrôle de leurs données, leur permettre d’exercer un “droit à l’oubli”, et obliger les ficheurs à demander leur accord aux fichés avant qu’ils ne les rajoutent dans leurs fichiers (cf Vie privée : quand les cowboys font la loi... #oupas, que j'avais écrit pour Le Vinvinteur :).
Cette initiative a fait bondir les Etats-Unis, qui n’ont pas de loi informatique et libertés : là-bas, la notion de données personnelles relève d’une logique purement commerciale. Pour défendre leurs Facebook, Google, Amazon & autres Ebay, les Etats-Unis ont donc décidé de sortir la grosse artillerie, en lançant la plus importante opération de lobbying qu’ait jamais vue l’Union Européenne.
L’offensive est telle que 18 ONG américaines ont demandé à leur pays d’arrêter de vouloir ainsi empêcher l’Europe de protéger nos vies privées. Un officiel américain a prévenu : si nous n’acceptons pas d’abaisser le niveau de protection de nos données, le projet pourrait déboucher sur une “guerre commerciale” avec les Etats-Unis…
Nos eurodéputés ont le choix entre deux options : laisser les marchands de données personnelles continuer à exploiter nos données "à l'insu de notre plein gré", ou les contraindre à requérir notre "consentement préalable" à toute forme d'exploitation commerciale de nos vies privées...
La Quadrature du Net a très bien résumé les tenants et aboutissants de ce combat autour de la notion de "consentement explicite" :
Exiger un consentement explicite ne porterait atteinte qu'aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.
Dans un article intitulé « Viol des données et apocalypse à venir de la vie privée », Simon Davies, le fondateur de Privacy International et des Big Brother Awards, deux des ONG pionnières de la défense de la vie privée sur l'Internet, dresse quant à lui un parallèle entre celles & ceux qui combattent aujourd'hui les "violations" des données personnelles et celles et ceux qui se sont battus, dans les années 70, pour la défense des victimes de "viols" et qui, à l'époque, s'étaient battus pour la reconnaissance d'"une expression qui a constitué le fondement de la pensée culturelle pour des décennies à venir : « Non, ça veut dire non »" :
Ce simple slogan a mis fin au gloubi-boulga justifiant complaisamment les agressions sexuelles masculines. Le consentement devait être explicite – et un refus net était disqualifiant.
Dit autrement : une relation préalable – ou même en cours – ne donne aucun droit à violer. Une permission ne peut être implicite, une justification ne peut pas être intellectuelle. Les droits sont absolus – et il en va de même pour la violation de ces droits. Non, ça veut dire non.
Pour le coup, les marchands de données personnelles, soutenus par l'administration états-unienne, militent pour que le consentement soit "implicite", et que les marchands de données personnelles ne requièrent pas notre "consentement explicite" avant que d'exploiter nos données.
Le Conseil « Justice et affaires intérieures » (JAI) de l’Union européenne réunit quant à lui les ministres de la justice et les ministres de l’intérieur, et exerce « sa fonction de co-législateur de l'UE en adoptant des directives et des règlements dans l'ensemble du champ de la justice et des affaires intérieures ».
Le 31 mai 2013, il a proposé un texte de compromis (.pdf) à la proposition de révision de directive, qui devra être négociée avec le parlement européen.
Rappelant qu’en 1995, la directive européenne avait exclu les traitements de données personnelles relatifs aux activités menées par des personnes « non rémunérées dans le cadre de ses activités exclusivement personnelles effectuées au foyer », le Conseil de l’UE propose aujourd’hui d’exclure ce que l’on fait sur le Net, ou les réseaux sociaux, du champ d’application de la directive.
Une proposition qualifiée de « très orientée business, et pragmatique », par les avocats du cabinet Hunton & Williams, qui ont levé le lièvre, et analysé la proposition de compromis.
Simon Davies souligne de son côté que ces propositions « correspondent presque exactement à celles suggérées par les lobbyistes de l'industrie au cours des derniers mois », et qu'elles « entament dangereusement les perspectives que le nouveau règlement puisse renforcer la vie privée européenne » :
En résumé, les propositions du Conseil permettront à l'industrie d’être son propre régulateur, sauf dans des circonstances limitées. Les régulateurs nationaux auront des pouvoirs amoindris, et les droits des personnes concernées seront réduits.
Entre autres choses, le Conseil propose ainsi de ne plus exiger de « consentement explicite » avant de pouvoir exploiter des données personnelles, mais de le remplacer par un simple notification de cette exploitation.
De façon encore plus explicite, le Conseil propose également de considérer comme légitime et donc légal tout traitement de données personnelles relevant du marketing direct...
Le fait que l’Irlande, qui préside actuellement le Conseil de l’Union Européenne, accueille également les sièges sociaux de Google et Facebook, n’y est peut-être pas étranger.
Pour alerter les eurodéputés sur cette notion de "consentement explicite" en matière d'"exploitation" des données personnelles, la Quadrature a développé un petit outil, le PiPhone, qui permet d’appeler gratuitement les eurodéputés afin de leur demander de protéger nos droits et libertés, et d'adopter de solides protections pour notre vie privée (explications, et argumentaire)... Pour appeler, cliquez, là, sur le bouton vert :
Voir aussi, et à ce titre, les interviews intégrales que m'avaient accordés Joe McNamee, de l'EDRI -qui fédère les ONG européennes de défense des droits de l'homme et de la vie privées-, & Isabelle Falque Pierrotin, la présidente de la CNIL….
Les anglophones pourront également en apprendre plus sur PrivacyCampaign lancée par les principales organisations européennes de défense des libertés à l’ère numérique.
Voir aussi la page Vie privée - Données personnelles de la Quadrature et, sur ce blog, Comment ne pas être (cyber)espionné, mon guide pratique de protection de la vie privée, et :
Facebook & Google, vecteurs de chienlit
« Facebook a dit à mon père que j’étais gay »
Les RG l’ont rêvé, Facebook l’a fait… #oupas
Pour en finir avec la « vie privée » sur Facebook
Internet a été créé par des hippies qui prenaient du LSD
Facebook sait si vous êtes gay,
Google que vous êtes enceinte. Et ta soeur ?
Internet a été créé par des hippies qui prenaient du LSD, sur fond de flower power, de révolution sexuelle, de mouvements de libération (des Noirs, des femmes, des homosexuels aussi). Depuis, il a beaucoup grandi, mais son histoire fut mouvementée, et n'avait jamais vraiment été racontée.
Qui sait, par exemple, qu'en 1995 France Télécom voulait interdire l'Internet ? Manque de bol : la marque Internet avait été déposé par un jeune hacker, habitué à faire mumuse avec les services de renseignement, du temps où il n'y avait pas encore de vigiles dans les supermarchés, pour lancer 3615 Internet.
Dans la foulée, à la télé, la majeure partie des reportages et émissions évoquant le Net ne pouvait s'empêcher d'évoquer le fait qu'il serait truffé de pédophiles et de nazis, au point qu'on inventa le terme de "pédo-nazis" pour qualifier ce marketing de la peur visant in fine à diaboliser cette nouvelle utopie faisant la part belle à la liberté d'expression.
A l'époque, on entendait aussi souvent dire que l'Internet était un problème, parce que les lois ne s'y appliquaient pas, ce qui est tout bonnement faux : il n'y a PAS de "vide juridique" sur l'Internet, mais le répéter permet, a contrario, de faciliter la censure, et l'auto-censure, et de faire adopter des lois anti-Internet.
Autre signe de cette diabolisation : du jour au lendemain, sans raison, on n'a plus parlé de "fraude informatique", mais de "cybercriminalité", pour désigner les mêmes délits. La paranoïa était telle qu'en 1999, une dizaine d'internautes, venus manifester devant le 1er sommet mondial des régulateurs de l'Internet, organisé à Paris par le CSA, firent paniquer le service d'ordre, qui boucla les journalistes à l'intérieur de l'Unesco pour les empêcher d'écouter les arguments des manifestants.
Des histoires comme ça, j'en avais plein, au point d'en avoir fait un webdocumentaire, Une contre-histoire des internets, avec Julien Goetz, développé par l'équipe de J++ et habillé par Loguy. Nous avons interviewé près de 50 personnalités, plusieurs figures historiques de l'Internet, de Louis Pouzin à Julian Assange en passant par John Perry Barlow, Jeff Jarvis, Laurent Chemla ou Valentin Lacambre.
Une contre-histoire de l'Internet, le documentaire réalisé par Sylvain Bergère à partir de toutes ces interviews, qualifié de "conscience politique du net" par l'AFP, sera a été diffusé mardi 14 mai à 22h40 sur Arte, mais vous pouvez déjà le voir en avant-première ce week-end sur telerama.fr, qui nous a gratifié de 2 "T" (ce qui veut dire qu'ils ont "beaucoup" aimé /-) le revoir en #replay :
Erwan Cario, d'Ecrans.fr, m'avait invité à en parler dans son podcast malheureusement disponible qu'en Flash(TM), occasion de rappeler que l'Internet ne serait rien sans les hackers, qui s'en sont emparés, l'ont détourné, amélioré, façonné, pour nous permettre de nous y exprimer, de partager (parce qu'Internet est une machine à copier, et parce que quand on se parle, on ne se tire pas dessus). Face aux attaques incessantes dont ils faisaient l'objet, des hackers ont commencé à s'organiser pour créer des des médias libres pour une pensée libre et éviter d'en faire un Minitel 2.0, pour défendre nos libertés voire, dans certains pays, contribuer à faire la révolution ou, plus prosaïquement, pour créer des hackerspaces afin de permettre aux bidouilleurs et autres makers de hacker des objets physiques, pour s'amuser :
Si vous avez aimé, faites tourner l'info, les vidéos, l'horaire de diffusion du documentaire, venez raconter vos propres contre-histoires de l'Internet sur notre webdoc', ça fera du bien aux internets. Et rendez-vous mercredi sur http://lesinternets.arte.tv/ pour la seconde partie du webdocumentaire, en mode accrochage et restitution.
Voir aussi :
Internet, le meilleur du pire
L’enfer, c’est les « internautres »
Il n’y aurait pas d’Internet sans les hackers
L’internet et les « pédo-nazis » : le best of
Les internautes, ce « douloureux probleme »
¿ ɹǝʞɔɐɥ ʇou ɹo ‘ɹǝʞɔɐɥ (confession d’un bidouilleur)
La guerre aux migrants a fait 18 000 morts (au moins)
Ne dites pas à ma mère que je suis un hacker, elle me croit blogueur au Monde.fr, & reporter au Vinvinteur
Une vidéo, filmée les 9 & 10 avril dernier, et mise en ligne par l'US Army début mai, montre que les "combattants illégaux" détenus à Guantanamo peuvent lire Agatha Christie, Tom Wolf et "Calvin & Hobbes", regarder le DVD de "L'âge de glace", et même jouer à "Super Mario Bros" (sur Nintendo DS).
Le contraste est d'autant plus saisissant que la presse internationale, dans le même temps, s'alarme du fait qu'à Guantanamo, 60 % des détenus (sont) en grève de la faim, et que "parmi les 100 grévistes de la faim officiellement dénombrés, 20 étaient alimentés par des tubes reliés directement à l'estomac par la cloison nasale".
Ce "gavage" -et cette grève de la faim- sont d'autant plus étonnants que le camp VI de Guantanamo, où a été filmée cette vidéo, est réservé aux prisonniers déclarés "libérables" et donc "transférables" dans leur pays d'origine ou un pays d'accueil- et que ses 130 détenus "ne posent pas de problèmes de discipline, ne représentent pas un risque particulier en matière de terrorisme et n'ont pas de "valeur" en termes de renseignements".
Pour autant, et à l'instar de Nabil Hadjarab (qualifié de "gentil garçon" par ses matons), qui a vécu toute son enfance en France -mais que la France refuse d'accueillir, alors qu'il est "libérable" depuis 2007-, 86 des 166 personnes encore détenues à Guantanamo, jamais jugées, ni même inculpées formellement, ont été déclarées "libérables" il y a 3 ans : incarcérées depuis plus de 11 ans, sans mise en examen, sans procès, sans jugement, elles attendent que les Etats-Unis se décident à fermer Guantanamo, mais aussi et surtout que des pays acceptent de les accueillir.
Si la France, à l'instar des autres pays alliés des États-Unis, refusent d'accueillir les "libérables" de Guantanamo, force est de constater que la prison américaine (sise à Cuba) sait par contre accueillir les militaires chargés de la faire fonctionner, ce dont témoignent les nombreuses photos & vidéos mises en ligne par les communicants de l'US Army, que j'avais compilées dans "La croisière s’amuse à Guantanamo", cf notamment cette photo prise au petit matin du Noël 2011 :
A contrario, la vidéo filmée par l'US Army en avril dernier ne montre rien, presque rien. On y voit une prison vide, ou presque : la seule image -furtive- révélant la présence de prisonniers montre un gardien de prison, les mains gantées, passer un repas tout préparé dans l’entrebâillement de la porte d'une cellule. Là, et par trois fois, un flash crépite lorsque l'on distingue, furtivement, la main d'un prisonnier acceptant de prendre un gobelet, une banane, puis une barquette. Comme si le photographe de l'US Army avait voulu démentir le fait que 100 des 166 détenus de Guantanamo étaient en grève de la faim.
On y discerne certes des (uniformes de) militaires triant des packs de yahourts "Dannon", ou jetant les restes des barquettes proposées aux prisonniers, mais exception faite de ce passage montrant furtivement une main, et quelques doigts, la vidéo (muette) des communicants de Guantanamo montre une prison vide de prisonniers...
A l'entrée de la bibliothèque des détenus, une affiche montre un ver de terre sortant d'un livre... sur les rayonnages, des livres en arabe (il serait à ce titre intéressant que des arabisants puissent nous préciser les livres en arabe que Guantanamo propose donc à ses détenus de lire), mais également, et en anglais, des livres d'Agatha Christie et Tom Wolf, de science fiction (David Weber et "The Fionavar Tapestry"), et même "Calvin & Hobbes".
A l'entrée de la médiathèque, une affiche précise qu'on peut y trouver des magazines en arabe, en anglais et en français (à commencer par Géo -en russe- et National Geographic), des DVD (dont plusieurs compilations et matches de football, "Bab Al Wazeer", une comédie romantique égyptienne, mais aussi "Rango", parodie animée de western avec un caméléon anthropomorphe, & "L'âge de glace"), et même des jeux vidéos pour Nintendo DS ("Super Mario Bros").
Le passage consacré à l'"unité de santé comportementale" commence par s'attarder sur sa devise, inscrite au fronton de sa porte d'entrée : "notre honneur : défendre la liberté", avant de s'attarder sur une grande cage grillagée, barbelée, installée dans la cour elle-même cernée de grilles et de barbelés, puis d'un couloir sombre où l'on distingue une quinzaine de portes de prison, puis de l'une de ses petites cellules, avec une chaise roulante dotée de courroies afin de pouvoir entrâver les pieds et les mains des détenus.
Dans une tribune publiée mi-avril par le New York Times, intitulée Guantanamo est en train de me tuer, un détenu en grève de la faim, qui n'a jamais été jugé, ni même inculpé formellement, raconte les souffrances qu'il endure lorsque les gardiens de la prison le "nourrissent" de force :
« Je n'oublierai jamais la première fois qu'ils ont fait passer un tube par mon nez pour me nourrir. Je ne peux pas décrire à quel point c'est douloureux d'être nourri de cette façon.
Deux fois par jour, ils m'attachent à une chaise dans ma cellule. Mes bras, mes jambes et ma tête sont sanglés. Je ne sais jamais quand ils vont venir. Parfois, ils ne viennent qu'à 23 h quand je dors déjà. »
Le colonel Morris Davis (@ColMorrisDavis), qui fut le procureur général de Guantanamo de 2005 à 2007, poste dont il démissionna parce qu'il était contre le recours à la torture, vient de son côté de lancer une pétition appelant le président Obama à fermer le centre pénitentiaire de Guantanamo, parce que cela coûte très cher, ne sert à rien, tout en étant contre-productif, pour ce qui est de la lutte contre le terrorisme :
« J’ai moi-même inculpé le chauffeur d’Osama Ben Laden, Salim Hamdan, l’Australien David Hicks et l’adolescent Canadian Omar Khadr. Tous trois ont été incriminés... puis ont quitté Guantánamo.
Plus de 160 hommes qui n’ont jamais été inquiétés d’aucun délit, encore moins de crime de guerre, demeurent à Guantánamo sans espoir de répit.
Il y a quelque chose de fondamentalement injuste dans ce système qui assure un billet retour aux criminels de guerre et garde les autres enfermés pour une durée illimitée. »
La pétition, soutenue par closeguantanamo.org (facebook / @closegitmo sur Twitter), un site lancé par le journaliste d'investigation Andy Worthington (FaceBook / Twitter), auteur de "The Guantánamo Files: The Stories of the 774 Detainees in America’s Illegal Prison", a reçu plus de 190 000 signatures en 8 jours. L'objectif initial était de 200 000 signatures.
En 2012, avec "La croisière s’amuse à Guantanamo", je m'étais borné à souligner le décalage existant entre la vision héroïque qu'en donnait l'armée US et l'interprétation -forcément contre-productive- que cette vision du camp de Guantanamo pouvait entraîner.
Les défenseurs des droits de l'homme ne pouvaient (et ne peuvent) qu'être atterrés, les diplomates entravés (faute de pouvoir négocier), les professionnels de la lutte contre le terrorisme diabolisés, et décrédibilisés (quelle légitimité peut-on accorder à des gens capables d'interner, et de torturer, pendant des années, des gens à qui rien n'a jamais pu être reproché ?), et les États-Unis se tirent une salve de balles de la pied en ne fermant pas Guantanamo.
On ne saura probablement jamais combien de terroristes sont passés à l'acte à cause de Guantanamo, ni combien d'Américains, ni de soldats de l'OTAN, sont morts ou ont été blessés à cause de cette "guerre au terrorisme" qui n'a pas respecté le droit de la guerre, et encore moins les droits de l'homme.
La vidéo que viennent de mettre en ligne les communicants de Guantanamo -qui adopte un profil particulièrement bas sur ces questions- et la pétition initiée par l'ancien procureur général de Guantanamo, montrent que le vent tourne, et que la fermeture de Guantanamo n'a probablement jamais été autant d'actualité, voire que l'on pourrait y contribuer.
Je ne "crois" pas aux pétitions. Mais le centre de détention de Guantanamo est une exception, non seulement parce qu'il ne respecte pas le droit international, mais aussi et surtout parce que la majeure partie de ses détenus ont été reconnus innocents de ce dont ils étaient accusés.
Guantanamo est une erreur politique, et historique. Merci de signer et de faire tourner la pétition.
Voir aussi :
Pourquoi le FBI aide-t-il les terroristes?
Ma « gorge profonde » était (peut-être) une taupe
Fichier ADN : 80% des 2,2M de gens fichés sont « innocents »
La guerre aux migrants a fait 18 000 morts (au moins)
10 ans après, à quoi ont servi les lois antiterroristes ?
En l'an 2000, je décidais de traduire en français security.tao.ca, le tout premier manuel relativement grand public de sécurité informatique et de protection de la vie privée. Quelques mois plus tard, il était pointé du doigt dans une "alerte" lancée par l'unité du FBI en charge du "terrorisme domestique", dans la mesure où son principal objectif était d'apprendre à "se protéger dans un monde sous constante surveillance" (sic), et qu'il pourrait dès lors aider des "hacktivistes" à échapper à la surveillance du FBI.
Depuis, le monde a bien changé : le monde est effectivement et de plus en plus surveillé, mais nous sommes également de plus en plus nombreux à avoir compris l'importance du droit à la vie privée, et au secret de la correspondance. Cette année, c'est même l'un des principaux thèmes portés par l'UNESCO, à l'occasion de la Journée mondiale de la liberté de la presse 2013, intitulée « Parler sans crainte », qu'elle célèbre ce 3 mai...
L'UNESCO a en effet décidé de mettre l'accent (.pdf) sur « la nécessité d'assurer un Internet libre et ouvert comme condition préalable à la sécurité en ligne ».
A ce titre, l'agence de l'ONU chargée de « créer les conditions d’un dialogue entre les civilisations, les cultures et les peuples », entend donc « accentuer la sensibilisation aux bonnes pratiques » en matière de sécurité en ligne, et donc de protection des sources, « face aux pressions croissantes exercées pour contraindre à révéler l'identité des utilisateurs, effectuer des opérations de surveillance, et bloquer, filtrer ou supprimer du contenu en cas de protestation ». L'UNESCO résume assez bien la situation :
« Les journalistes ont désormais besoin d'être spécialement équipés pour pouvoir assurer une meilleure protection de leurs documents d'information électroniques, notamment l'identité de leurs sources.
Des journalistes ont vu leurs téléphones mobiles et leurs ordinateurs confisqués, et leurs comptes de messagerie soumis à une surveillance illégale et au piratage. Les sites Internet de certains médias ont été désactivés par des attaques ou volontairement infectés par des virus de type « cheval de Troie ».
De plus en plus, les journalistes doivent savoir comment protéger leurs données importantes et sensibles. »
Cette initiative tombe à point nommé : je viens d'apprendre que PrivacyBox, la boîte aux lettres électronique qui permettait à ses utilisateurs d'être contacté de manière anonyme et sécurisée -et dont j'avais fait traduire l'interface en français- va fermer, parce que celui qui l'a développé accuse son nouvel administrateur d'être... un informateur des "services" de renseignement allemand.
En juin 2010, j'écrivais un article intitulé Gorge profonde: le mode d’emploi rappelant que si « le Net a beau être surveillé à l’envi, il est tout à fait possible de contourner la cybersurveillance » :
« Balancer un document confidentiel à Wikileaks, c'est bien. Permettre aux rédactions, journalistes, blogueurs, ONG, de créer leur propre Wikileaks, c'est mieux. »
PrivacyBox avait en effet été « conçu pour offrir, essentiellement aux journalistes, bloggers et autres auteurs de publications diverses, la possibilité de proposer à leurs interlocuteurs des formulaires de contact anonymes, qui demeurent par ailleurs impossibles à tracer. »
Dans sa charte de confidentialité, PrivacyBox précisait avoir été « fait pour garantir une utilisation anonyme (et) maintenir l’échange de données libre », et qu'il ne conservait « aucune information à propos des destinateurs et destinataires des messages ».
La German Privacy Foundation (GPF), qui avait lancé PrivacyBox en 2008, vient d'annoncer que le site n'était « conceptuellement et techniquement plus à jour » et qu'il allait donc bientôt fermer, faute de ressources pour développer un nouveau service.
Réagissant à cette annonce, le développeur de PrivacyBox a de son côté expliqué qu'il était tout à fait possible de mettre le code (OpenSource) à jour, mais qu'il avait décidé d'abandonner le projet parce que le co-administrateur de PrivacyBox que la GPF lui avait imposé ne lui inspirait aucune confiance.
Via archive.org, on retrouve un article (voir la traduction, en anglais) où il précise avoir décidé de quitter la GPF parce qu'il soupçonnait ce co-administrateur de travailler, sous le nom de code "Sysiphos", en tant qu'informateur voire employé, pour les services de renseignement allemand...
Il aurait alors proposé à la GPF de nommer un autre administrateur, et de faire signer à l'ensemble de son conseil d'administration une déclaration sous serment où les engageant à ne pas coopérer avec les services secrets. Les deux propositions auraient été rejetées, il aurait donc décidé de démissionner.
Il a depuis effacé ces accusations, mais l'info a commencé à circuler. Le co-fondateur de la GPF dénonce une campagne de déstabilisation basée sur des rumeurs, tout en... demandant sur son blog si quelqu'un ne connaîtrait pas une alternative à PrivacyBox.
J'ai écrit plusieurs manuels de sécurité informatique et de protection de la vie privée, et il existe des dizaines de façons de communiquer, en toute confidentialité, sur l'Internet (voir Comment (ne pas) être (cyber)espionné ?), mais PrivacyBox avait l'insigne avantage de permettre aux utilisateurs de GPG (Gnu Privacy Guard, le plus utilisé des logiciels de chiffrement des emails -mode d’emploi), de permettre à ceux qui n'utilisent pas GPG de leur envoyer des messages chiffrés, et donc confidentiels.
Désormais, pour me contacter en toute confidentialité, il vous faudra passer directement par GPG, le système de messagerie instantanée sécurisé Jabber+OTR (pour Off-the-Record Messaging), ou... m'envoyer un courrier papier, entre autres.
L'an passé, l'INA m'avait demandé de rédiger à son intention un petit manuel de protection des sources. L'INA ayant oublié de m'informer de la mise en ligne de ce guide pratique, pas plus que du changement d'adresse où l'on peut lire ce manuel, j'ai décidé, pour célébrer à ma façon cette manifestation de l'UNESCO, de le republier sur ce blog : Comment protéger ses sources ? (voir aussi son texte d'introduction : Comment (ne pas) être (cyber)espionné ?), afin d'aider tous ceux qui cherchent à savoir comment protéger leurs communications, leurs sources et leur vie privée (voir aussi le Kit de survie numérique que Reporters sans frontières a commencé à décliner).
A noter que des #Anonymous viennent de lancer AnonBox, avec pour objectif de lancer un nouveau PrivacyBox, à partir de son code (OpenSource) (Perl + CGI). Vu l'histoire de PrivacyBox, et ce pour quoi le service a décidé de fermer, reste donc à savoir si le code source peut être validé et amélioré, puis à trouver des serveurs, et administrateurs, de confiance pour les héberger.
MaJ : Le New Yorker vient de lancer sa Strongbox, dont le code, développé par Aaron Swartz, est disponible sur GitHub : . A suivre...
Voir aussi :
Journalistes : protégez vos sources !
Comment contourner la cybersurveillance ?
Internet : quand l’Etat ne nous protège pas
Des milliers d’e-mails piratables sur les sites .gouv.fr
Le trésor de guerre de Wikileaks ? Une gorge profonde chinoise
La durée de vie d’un ordinateur non protégé est de… 4 minutes
La semaine dernière, Frontex, l'"agence européenne pour la gestion de la coopération opérationnelle aux frontières extérieures", annonçait fièrement dans son rapport annuel que "les franchissements irréguliers des frontières extérieures de l'UE ont été divisés par deux en 2012 grâce aux renforcements des contrôles aux frontières", au déploiement de 1 800 gardes-frontière en Turquie, et à la construction d'une clôture en fil barbelé à la frontière gréco-turque longue de 10,3 km chacune et d'une hauteur de 2,5 à 3 mètres :
Quelque 72 430 franchissements illégaux ont été dénombrés en 2012, ce qui représente une baisse de 49 % par rapport aux 141 060 détectés l'année précédente.
Etrangement, Frontex n'évoque pas, par contre, le nombre de migrants morts aux frontières de l'Europe. En 2011, j'avais contribué à créer une carte interactive répertoriant plus de 14 000 hommes, femmes & enfants "morts aux frontières" de l'Europe, depuis 1993.
Printemps arabe "aidant", l'ONG en charge de cette macabre comptabilité a depuis recensé 4 000 victimes supplémentaires, en seulement 2 ans... Une vingtaine d'ONG ont lancé, il y a de cela un mois, une campagne internationale pour dénoncer cette "guerre" que l'Europe a décidé de lancer contre "un ennemi qu'elle s'invente".
A l'exception d'un article sur Slate.fr, des articles et de l'émission « De Big Brother à Minority Report » que le Vinvinteur (l'émission de télévision où j'officie aussi désormais) a consacré à cette guerre qui ne dit pas son nom, aucun média n'en a parlé. Aucun. 18 000 morts en 20 ans, dont 4 000 ces deux dernières années. Aux portes de l'Europe. Dans l'indifférence quasi-générale...
Pour échapper aux scanners rétiniens, et rester incognito, le héros de Minority Report se faisait greffer de nouveaux yeux. L’histoire se passait en 2054.
Le tiers des réfugiés qui migrent aujourd’hui à Calais, dans l'espoir de se rendre au Royaume-Uni, préfèrent de même effacer leurs empreintes digitales en les brûlant au moyen de barres de fer chauffées à blanc, de rasoirs ou de papier de verre (voir Calais: des réfugiés aux doigts brûlés).
Explications : la création de l'espace Schengen a permis d'"ouvrir" les frontières des pays membres de l'Union européenne, afin de permettre aux Européens d'y voyager sans avoir à décliner leurs identités, ni donc être obligés de montrer leurs papiers. Une révolution.
En contrepartie, l'Europe a aussi créé une agence, Frontex, en 2004, afin de sécuriser les frontières extérieures de l’Union européenne. Qualifiée d'« organisation militaire quasi-clandestine » par Jean Ziegler, Frontex disposait en février 2010 de 26 hélicoptères, 22 avions légers et 113 navires, ainsi que de 476 "appareils techniques"...
Frontex est aussi un service de renseignement, ainsi qu'un relais policier, militaire, et diplomatique, avec les autres pays de l'Union... et pas seulement : Frontex a en effet passé des accords techniques de coopération avec des pays comme le Bélarus (157e -sur 179- au classement de la liberté de la presse de RSF), la Russie (148e), l'Ukraine (126e), la Turquie (154e), et en prépare d'autres avec la Libye (131e), le Maroc (136e), l'Egypte (158e), la Tunisie (138e) ou l'Azerbaïdjan (156e, cf « L’Internet est libre »… mais pas notre pays).
Le respect des droits de l'homme ne se résume certes pas au seul respect de la liberté de la presse. A contrario, on a du mal à imaginer qu'un pays qui ne respecte pas la liberté de la presse respecterait les droits des migrants... et donc à comprendre ce pour quoi, et comment, Frontex ait ainsi pu externaliser le fait de bloquer, et faire incarcérer, des migrants dans des pays peu regardants en matière de droits de l'homme.
FrontExit, lancé par une vingtaine d'ONG de défense des droits de l'homme, réclame aujourd'hui "plus de transparence sur le fonctionnement de FRONTEX et le respect des droits des migrant.e.s aux frontières" :
"Pour lutter contre une prétendue « invasion » de migrants, l’Union européenne (UE) investit des millions d’euros dans un dispositif quasi militaire pour surveiller ses frontières extérieures: Frontex."
Le budget annuel de Frontex a été multiplié par 20 en 5 ans, passant de 6 millions d’euros en 2006 à 118 millions d’euros en 2011. Un record, en ces temps de crise, sachant qu’il est aussi 9 fois plus important que celui du bureau européen chargé, non pas de refouler les réfugiés, mais d’harmoniser leurs demandes de droit d’asile…
Une des missions de Frontex est de rendre nos frontières “intelligentes”, au moyen d’une batterie de nouvelles technologies, développées, pour la plupart, par des marchands d’armes : caméras de vidéosurveillance thermiques, détecteurs de chaleurs et de mouvement, systèmes de drones, etc., le tout pour un budget estimé à 2 milliards d’euros.
2 milliards d’euros, c’est grosso modo ce que réclamaient les associations caritatives pour assurer l’aide alimentaire aux plus démunis, soit 19 millions de personnes en Europe, dont 4 millions en France.
Austérité oblige, l’Union européenne a finalement décidé d’amputer l’aide alimentaire de 1 milliard d’euros… au grand dam des ONG humanitaires, qui ont un peu de mal à accepter que "les chefs d'État demandent (donc) aux pauvres de sauter un repas sur deux"...
Le cauchemar décrit dans "Minority Report" est devenu réalité : pour échapper aux systèmes de surveillance, des hommes n'hésitent pas à se mutiler, voire à mourir...
Pour l'instant, & à ce jour, il s'agit essentiellement de "réfugiés”, “sans papiers”. Mais les migrants et étrangers ne sont pas les seuls à être fichés : la "délivrance" d'un visa, ou d'un passeport, est aujourd'hui conditionnée au fait de donner ses empreintes digitales, plus une photo d'identité, bien "cadrée", afin de faciliter la tâche des systèmes de reconnaissance biométrique...
Vous ne le savez peut-être pas, mais s'il est interdit de rigoler sur vos papiers, c'est pour permettre à des logiciels de reconnaissance faciale de pouvoir vous identifier... (voir Il ne faut pas rigoler avec vos photos d’identité). Pour l’instant, seuls les sans papiers en arrivent à se mutiler pour effacer leurs empreintes digitales. Pour l’instant.
L’Europe a décidé, de façon particulièrement cynique, de privilégier le fichage des étrangers, en limitant le nombre de consulats offrant la possibilité d'obtenir un visa biométrique (cf Tchernobyl: les enfants bloqués à la frontière française), tout en conditionnant l'obtention d'untel visa biométrique au fait pouvoir se le payer (cf La France refoule 12% des artistes africains).
Résultat : en 20 ans, cette “guerre aux migrants” aurait fait entre 18 & 72 000 victimes... C’est le constat, effrayant, dressé par United Against Racism, une ONG qui, depuis 1993, documente dans une base de données les morts aux frontières de l’Europe. Début 2011, elle en avait répertorié 14 000. Printemps arabe aidant, le nombre de victimes serait passé à 18 000, soit 4 000 morts de plus en 2 ans… dans l'indifférence quasi-générale, ce pour quoi j'ai proposé au Vinvinteur d'en parler :
Ghert est l'un des responsables d'United Against Racism, l'ONG qui dénombre les "morts aux frontières" de l'Europe. Il a préféré être interviewé de dos, plusieurs membres de son ONG ayant déjà été menacé voire tabassé par des militants d'extrême-droite. Non content de m'expliquer qu'il n'a pu documenter qu'1/4 des "morts aux frontières" -et qu'il estime donc que le chiffre réel serait trois fois plus important, aux alentours de 80 000-, Ghert m'a notamment raconté l'histoire de cette mère qui a choisi d'éborgner ses enfants -afin de leur permettre de rester en Europe.
Dressant un parallèle entre ce que l'Europe traverse aujourd'hui et ce qu'elle avait vécu dans les années 1930, Ghert estime ainsi que la façon qu'ont les pays du Nord de (mal)traiter la Grèce et l'Italie (notamment), et que la banalisation de la xénophobie, l'institutionnalisation des discriminations, et les résurgences racistes, pourraient déboucher sur une véritable "guerre" -nonobstant les risques de voir un jour cette "guerre aux migrants" se retourner contre "nous", si d'aventure ceux qui en meurent aujourd'hui se décidaient à prendre les armes pour se "défendre". L'interview dure 40', elle est en anglais, mais le constat est terrifiant :
Pour Claire Rodier, que j'avais déjà interviewée en 2011 à l'occasion de la mise en ligne du mémorial des “morts aux frontières de l’Europe“, « la liberté de circulation s’impose comme une évidence au regard des ravages causés par la lutte contre les migrations "illégales" ».
Juriste au Gisti et responsable de Migreurop, l'une des ONG qui a lancé FrontExit, Claire Rodier a publié un essai, « Xénophobie Business », analyse cinglante et alarmante du « marché » de l'externalisation sinon de la privatisation, du contrôle de l’immigration. Elle y dénonce les « profiteurs de guerre » de ce marché "très lucratif" où les agents de sécurité ne reçoivent souvent qu’une formation de cinq jours sur les techniques de contrôle et de contention, failitant d'autant les cas de recours excessif à la force, voire de tabassage en règle. Son interview dure plus d'une heure, mais je ne saurais que trop vous conseiller de la lancer, en tâche de fond, et de l'écouter, vraiment :
Si d'aventure ces questions vous ont ébranlé, vous pouvez également consulter le kit de sensibilisation de Frontexit, les cartes issues de l'Atlas des migrants en Europe , la Transborder map, "carte de la résistance contre le régime des frontières européennes", réécouter l'émission Liberté sur paroles consacrée à Frontexit (où l'on apprend que des garde-frontières ont tiré sur des bateaux de réfugiés pour les couler, et qu'il est question de doter les patrouilles de Frontex d'armes létales), acheter « Xénophobie Business », le livre de Claire Rodier (voir les 30 premières pages).
Voir aussi :
Calais: des réfugiés aux doigts brûlés
La France refoule 12% des artistes africains
Tchernobyl: les enfants bloqués à la frontière française
Fichier ADN : 80% des 2,2M de gens fichés sont « innocents »
Ne dites pas à ma mère que je suis un hacker, elle me croit blogueur au Monde.fr, & reporter au Vinvinteur
« Du jour au lendemain, on n'a plus parlé de "fraude informatique", mais de "cybercriminalité". »
Pour maître Olivier Itéanu (wikipedia / blog / twitter), avocat et pionnier du droit sur l'Internet, que j'interviewais à l'occasion de la Contre-histoire des internets, le webdoc' participatif que je viens de lancer sur Arte, ce "marketing de la peur", notamment alimenté par des marchands de produits de sécurité, a permis de diaboliser les notions de délits et de fraudes informatiques :
Cela fait des années que je tente de réhabiliter le terme "hacker", injustement diabolisé, en France notamment; voir, entre autres, Hackers et sans complexe sur InternetActu, "Les « bidouilleurs » de la société de l’information" dans le Monde Diplomatique, les nombreux articles que j'ai écrit à ce sujet sur ce blog, ou encore cette interview accordée à Télérama en 2010 :
Après des années de diabolisation, il semble que le vent ait tourné : rien qu'en ces mois de mai & juin 2013, la France va accueillir pas moins de 8 rassemblements internationaux de hackers (voir la liste, en fin de billet), co-organisés par Reflets.info, un site de "journalisme hacking, le /tmp/lab (le premier hackerspace français) ou encore MISC, le magazine 100% Sécurité informatique, et parrainés par des entreprises aussi diverses et variées que Zataz.com, l'un des plus anciens sites d'information consacré aux failles de sécurité, LeMonde.fr, mais également... Microsoft, EADS, Thalès, le CEA ou encore l'Agence nationale de sécurité des systèmes d'information (en charge de la cyberdéfense, en France).
Aux USA et au Royaume-Uni, les services de renseignement n’hésitent pas à lancer des challenges visant explicitement à recruter les meilleurs hackers, à même de résoudre les défis qui leur sont lancés. En France, sujet est encore encore trop tabou pour que les autorités affichent officiellement leurs besoins de recrutement (voir ). Mais nos services de renseignement extérieurs (DGSE), de contre-espionnage et de cyberdéfense (ANSSI) recrutent à tour de bras ingénieurs en sécurité informatique et crypto-mathématiciens, sans oublier les nombreux "techniciens de la guerre électronique" et autres spécialistes du renseignement d’origine électromagnétique dont l'armée française semble avoir grand besoin.
Le n°23 du Vinvinteur -dont je suis le "grand reporter", depuis janvier dernier- ne s'est pas intéressé aux hackers barbouzes ou travaillant pour l'armée ou les services de renseignement, pas plus qu'à ceux qui sont traqués par les autorités, mais plus simplement à ceux qui, sans prétention, cherchent à bidouiller, des bouts de code et des objets, mais également à ceux qui ont décidé d'entrer dans l'arène politique pour défendre nos libertés :
Ne voyant aucun intérêt à garder les rushes des interviews que ceux que je vais rencontrer daignent m'accorder, l'équipe du Vinvinteur a décidé de les partager, dans leur intégralité. De quoi passer 45' avec Bluetouff (voir aussi ses articles sur Reflets.info, & son twitter), qui nous a expliqué pourquoi, et comment, "à force d'être agressés dans leur environnement, les hackers sont entrés en politique" :
Amaelle Guiton (@micro_ouvert sur Twitter) est journaliste au Mouv’ et auteure du livre « Hackers : au coeur de la révolution numérique », qui vient de sortir (voir aussi l'agenda, et ce que la presse en dit), et que vous pouvez acheter au format papier, ou... télécharger gratuitement au format ebook (& sans DRM !-)
Comme le rappelait Kitetoa récemment, "définir le mot hacker est impossible. La diversité des profils est telle que toute tentative est vouée à l’échec" (voir De quoi « hacker » est-il le nom ?), et l'on ne connaîtra probablement jamais le détail des exploits et histoires de ces hackers qui ont fait le choix -ou qui ont été contraints- de rester dans l'ombre.
En attendant, celles et ceux qui voudraient en savoir plus peuvent consulter la fiche Hacker (université) sur Wikipedia (et notamment les articles en liens externes), les articles compulsés par f.0x2501.org, ou encore se référer aux 3 autres livres publiés à ce sujet ces derniers mois :
Hackers, bâtisseurs depuis 1959, ebook de Sabine Blanc & Ophelia Noor, rétrospective accessible qui revient sur plus d’un demi-siècle d’histoire du hacking en soulignant son éthique et la richesse de son apport technique (les 18 premières pages de l’ebook sont téléchargeables ici [PDF]);
L’Éthique des hackers, de Steven Levy (voir son interview, par Amaelle Guiton), traduction en français du tout premier ouvrage consacré aux hackers, "Hackers: Heroes of the Computer Revolution", bible de 500 pages qui allaient consacrer l'"éthique des hackers" (d'où le titre);
MENACE SUR NOS LIBERTÉS Comment Internet nous espionne. Comment résister, traduction en français de l'adaptation, en livre de l'entretien passionnant entre 4 "cypherpunks", Julian Assange, Jacob Appelbaum, Andy Müller-Maghun et Jérémie Zimmermann (cf cette playlist avec les 2 premiers extraits en VOSTFR, puis la version intégrale en VO) :
Vous voulez en savoir encore plus ? Rendez-vous dans l'un de ces 7 congrès de hackers, sachant que si vous n'êtes pas vraiment un hacker, si vous n'avez pas de compétences informatiques particulières et/ou si c'est plus l'aspect "bidouille", politique ou "hacktiviste" qui vous intéresse, PSES (co-organisé par BlueTouff, à Paris) & THSF (à Toulouse) sont probablement les meilleures portes d'entrée en la matière...:
Hackito Ergo Sum ("None of us is smarter than all of us – Global community for free security research"), 2-4 mai, La Villette, Paris (@hesconference)
Toulouse Hacker Space Factory (THSF, rencontres entre hackers, makers, artistes et visiteurs curieux d'apprendre, tester ou tout simplement s'amuser avec la technologie), 24-26/05, Toulouse (@tetalab)
SSTIC ("Symposium sur la sécurité des technologies de l'information et des communications"), 5-7/06, Rennes (@SSTIC, sur Facebook)
Pas Sage en Seine CoHacking Space ("des gens pas sages du tout rendent visibles, intelligibles et pédagogiques les activités numériques undergrounds ou tout simplement libres"), 13-16/06, La Cantine, Paris (@passageenseine)
Hacknowledge-contest 2013-FR ("une compétition deHacking éthique à travers l'Europe et l'Afrique"), 21-22/06, Lille (@HacknowledgeC, HacknowledgeContest sur Facebook)
Hack In Paris ("discover the concrete reality of hacking, and its consequences for companies"), 17-21/06, Conference Center of Disneyland Paris (@hackinparis, Hack In Paris sur Facebook)
Nuit du Hack ("une des plus anciennes conférence de hacking underground francophone"), 22-23/06, DisneyLand Paris (@hackerzvoice, NuitDuHack sur Facebook)
Mise à jour : ce recensement ne comprend que les évènements ayant lieu en mai-juin, mais il y en a d'autres, dont le "2nd International Symposium on Research in Grey-Hat Hacking" -aka GreHack-, qui se tiendra à Grenoble le 15 novembre 2013...
Voir aussi :
Comment (ne pas) être (cyber)espionné ?
Facebook & Google, vecteurs de chienlit
Eric Filliol : « L’Etat doit s’appuyer sur les hackers »"
En France, les hackers n'ont plus peur de faire leur coming out
Tout ce que vous avez toujours voulu pirater sans jamais savoir comment procéder
Près de 200 personnes sont, à ce jour, détenues en raison des opinions qu'elles ont exprimées sur l'Internet. Plusieurs d'entre-elles ont été identifiées grâce à des armes de surveillance numériques conçues, et vendues, par des marchands d'armes occidentaux.
A l’occasion de la Journée mondiale contre la cyber-censure, Reporters sans frontières publie un Rapport spécial sur la surveillance, disponible sur surveillance.rsf.org.
Il y dresse une liste de cinq Etats ennemis d'Internet (la Syrie, la Chine, l’Iran, le Bahreïn et le Vietnam), mais également de cinq entreprises (Gamma, Trovicor, Hacking Team, Amesys et Blue Coat), "mercenaires de l'ère digitale" dont les armes de surveillance numérique "ont été ou sont utilisées par les autorités de pays répressifs pour commettre des violations des droits de l’homme et de la liberté de l’information" quand bien mêmes ces entreprises soient allemande, britannique, française, italienne et américaine.
A cette occasion, je mets en ligne un long extrait d'Au pays de Candy, le livre que j'ai consacré au scandale Amesys, du nom de cette entreprise française qui avait conçu, par l'intermédiaire de Ziad Takieddine, en relation avec Claude Guéant, Brice Hortefeux et Nicolas Sarkozy, un système de surveillance généralisé de l'Internet pour Abdallah Senoussi, chef des services de renseignement (et beau-frère) de Kadhafi, qui avait pourtant été condamné à la prison à perpétuité pour son implication dans l'attentat du DC-10 de l'UTA (170 morts, dont 54 Français) par la Justice française, le plus grave attentat terroriste que la France ait jamais connu.
Le chapitre qui suit (que vous pouvez aussi lire à cette adresse, sur un écran plus large) est consacré aux préparatifs de ce contrat, et comporte une vingtaine de documents, dont plusieurs courriers de Claude Guéant, Brice Hortefeux et Ziad Takieddine (dont un tableur dressant la liste ses voyages de 2001 à 2008), ainsi que des propositions de contrat d'Amesys signées Philippe Vannier, alors PDG d'Amesys et qui, depuis, a pris le contrôle de la société Bull.
On y découvre ainsi notamment qu'Amesys avait, dans un premier temps, choisi d'appeler son système de "surveillance massive" de l'Internet "Network Stream Analyser" (analyseur de flux réseau), ou "NSA"... acronyme de la célèbre National Security Agency américaine, le plus puissant des services de renseignements chargés de la surveillance des télécommunications, avant de décider de l'intituler "Eagle".
On peut être marchand d'armes et avoir de l'humour : le nom de code du projet libyen ? Candy... comme bonbon, en anglais. À la manière d’un mauvais polar, les autres contrats négociés par Amesys portaient tous un nom de code inspiré de célèbres marques de friandises : “Finger” pour le Qatar (sa capitale s’appelle… Doha), “Pop Corn” pour le Maroc, “Miko” au Kazakhstan, “Kinder” en Arabie Saoudite, “Oasis” à Dubai, “Crocodile” au Gabon. Amesys baptisait ses systèmes de surveillance massif de l’Internet de marques de bonbons, chocolats, crèmes glacées ou sodas...
Il y a tout juste un an, en mars 2012, une semaine avant la publication de mon livre et la diffusion de Traqués !, le documentaire de Paul Moreira qui donnait la parole à plusieurs Libyens torturés après avoir été identifiés grâce au système de surveillance d'Amesys, Bull avait annoncé la revente de sa filiale impliquée dans ce scandale.
La veille de la diffusion de Traqués !, le ministère des affaires étrangères avait expliqué que ces systèmes de surveillance numérique, "développés sur la base de produits du marché grand public" (sic) ne faisaient l'objet d'aucun contrôle à l'exportation. Le lendemain de la sortie de mon livre, Dominique Moyale, procureure de la République d'Aix-en-Provence, annonçait le classement sans suite de la plainte contre X visant Amesys, pour les mêmes raisons que celles avancées par le Quai d'Orsay (voir Barbouzeries au Pays de « Candy »).
Je ne sais comment le quai d'Orsay avait eu vent des motifs de ce classement sans suite avant qu'il ne soit rendu public, je sais par contre que je n'ai jamais eu de réponse lorsque j'ai demandé si la vente à Kadhafi, par Amesys, d'un 4X4 sécurisé antibrouillage, et d'un logiciel de chiffrement des communications, avaient bien été autorisée par les autorités, comme le veut la loi. En tout état de cause, les questions que je posais en septembre 2011, et qui portaient notamment sur la responsabilité du gouvernement, restent d'atcualité (voir Amesys/Bull: un parfum d’affaire d’État).
La semaine passée, le quai d'Orsay a ainsi reprit quasiment mot pour mot les explications qu'avait données Alain Juppé, ministre des affaires étrangères de Nicolas Sarkozy, pour justifier le fait qu'une entreprise française a tout à fait le droit de vendre des armes de surveillance numériques à une dictature (voir Pour Fabius, on peut librement exporter le DPI dans des pays autoritaires) et ce, alors même que Jean-Marc Ayrault venait pourtant d'annoncer que "le gouvernement veut contrôler les exportations d'armes de surveillance".
Accessoirement, Bull a bel et bien revendu sa filiale, mais à une entreprise, Nexa Technologies, créée par celui qui, au sein d'Amesys, avait créé le système Eagle de surveillance généralisé de l'Internet, avec des fonds provenant de l'actuel vice-président International et Défense pour les solutions de sécurité chez... Bull (voir Le PDG de Bull se plante un couteau dans le dos).
En janvier dernier, la cour d’appel de Paris ordonnait la poursuite de l’enquête pour complicité de torture en Libye visant la société Amesys, suite à une plainte déposée par la Fédération internationale des droits de l’homme (FIDH) et de la Ligue des droits de l’Homme (LDH). Parallèlement, cinq victimes libyennes, blogueurs opposants au régime de Kadhafi, « arrêtées et torturées par le régime en place et leur arrestation était directement liée à leur surveillance par le système livré par Amesys », selon Me Baudouin, avocat de la FIDH, se constituées parties civiles.
Mon livre est sorti il y a tout juste un an, RSF et la Justice reprennent aujourd'hui le flambeau, le gouvernement vient d'annoncer qu'il allait essayer de voir en quelle mesure notre pays pourrait contribuer au contrôle de l'exportation des armes de surveillance numérique... une affaire à suivre, que la Revue dessinée m'a demandé de raconter en BD, et dont elle vient de mettre en ligne les deux premières planches. Cadeau :
Ceux qui voudraient en savoir plus sur ces "mercenaires numériques", et leurs armes de surveillance, pourront également lire les articles que j'avais consacrés à leur sujet sur Owni, qui décrivaient notamment le fonctionnement des logiciels espions de Gamma/Finfisher (voir Des chevaux de Troie dans nos démocraties et Un gros requin de l'intrusion), comment ils avaient été utilisés pour espionner des défenseurs des droits de l'homme au Barheïn, et comment le cheval de Troie d'Hacking Team avait été utilisé pour espionner des blogueurs marocains (voir L'espion était dans le .doc), sans oublier les nombreux articles que j'avais consacrés à Amesys sur ce blog, et sur Owni, ainsi que ceux de Reflets.info, l'un des seuls médias à s'être réellement penché sur ce dossier.
Voir aussi :
Comment (ne pas) être (cyber)espionné ?
Amesys/Bull: un parfum d’affaire d’État
Vietnam : 32 blogueurs victimes de procès staliniens
Fichier ADN : 80% des 2,2M de gens fichés sont « innocents »
A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?
Le FNAEG, fichier policier des empreintes génétiques, initialement conçu pour ne ficher que les seuls criminels sexuels, est passé, en 10 ans, de 3 224 personnes fichées à... plus de 2 millions.
En 2002, 65% des personnes fichées y étaient enregistrées en tant que "personnes condamnées" (leur empreinte génétique sera conservée pendant 40 ans). En 2012, la proportion de "personnes condamnées" n'est plus que de 18% : 80% des gens qui y sont nommément fichés n'ont en effet été que "mis en cause", et sont donc toujours considérés comme "présumés innocents" aux yeux de la Justice... ce qui n'empêchera pas leur empreinte d'être conservée pendant 25 ans.
Le FNAEG fichait, fin 2012, près de 2,2 millions de profils génétiques -soit 3,34 % de la population française. Or, dans la mesure où les proches (parents, frères ou sœurs) des personnes fichées dans le FNAEG peuvent elles aussi être identifiés, le magazine Slate vient de titrer que "L'ADN d'un Français sur six est fiché"...
Ce n'est pas tout : en 2002, le FNAEG fichait les empreintes génétiques de 1366 personnes "mises en cause", et donc présumées innocentes. En 2012, il sont plus de 1,6 millions -soit 2,5% de la population française- à être génétiquement fichés, sans pour autant avoir été condamnés. S'y trouvent même des gens que la Justice a blanchi, mais que le FNAEG continue de ficher (cliquez sur les années pour remonter le fil de l'évolution du fichage) :
En 2003, j'avais déjà pointé du doigt Les limites des bases de données génétiques de la police, et répertorié plusieurs cas de personnes, accusées et incarcérées, à tort, parce que leur ADN les désignait comme suspects. En 2005, j'avais ainsi recensé au moins 11 erreurs judiciaires imputables à l’ADN aux USA (voir ADN: quand les “experts” se trompent).
J'ai pris l'habitude, depuis, de renseigner la fiche Wikipedia du FNAEG, afin d'y répertorier l'évolution du nombre de personnes fichées, et suivre son évolution. Et ces statistiques soulèvent plus de problèmes et posent plus de questions qu'elles n'apportent de réponse. Entre autres découvertes :
Accessoirement, des associations britanniques ont montré qu’il n’est pas possible d’avoir des statistiques valables sur l’utilité de ces fichiers : on ne peut pas identifier les cas qui ont été résolus grâce à eux... Ainsi, et pour en revenir aux chiffres du ministère, on trouve :
La question est donc de savoir si ce fichier, constitué à 80% de personnes simplement "mises en cause", et donc "présumées innocentes" (la proportion "tombe" à 75% si l'on compte les "traces non identifiées"), est "proportionné", au vu de la loi Informatique et libertés, et de la présomption d'innocence qui devrait prévaloir dans notre démocratie.
Il serait ainsi intéressant d'avoir plus d'éléments sur les rapprochements "traces/mis en cause" : non seulement pour savoir combien d'entre-eux ont débouché sur des condamnations (un préalable), mais également pour savoir combien n'ont -précisément- pas permis de condamner ces "mis en cause" : une chose est d'être identifié (à tort, ou à raison) par son ADN, une caméra de vidéosurveillance (ou autre), une autre est de savoir ce que la Justice a pu en conclure...
En l'espèce, les statistiques relatives à la vidéosurveillance se bornent elles aussi à indiquer le nombre de personnes "identifiées" par les caméras, sans jamais préciser combien d'entre-elles ont ensuite été condamnées suite à cette identification.
En tout état de cause, la question ne peut pas se borner à savoir combien de personnes condamnées/mises en causes ou "non identifiées" ont été fichées, mais bien de savoir combien ont réellement été condamnées, et donc à quoi sert ce fichier, ou en tout cas d'en mesurer l'efficacité.
Enfin, il serait vraiment intéressant de savoir également combien de "personnes innocentées" ont effectivement été -et restent- fichées... mais également "combien ça coûte"...
Catherine Bourgain, chargée de recherche en génétique à l'Inserm, présidente de la Fondation Sciences Citoyennes et spécialiste de ces questions, au sujet desquelles elle vient de consacrer un essai, ADN superstar ou superflic ?, a témoigné dans plusieurs procès pour refus de prélèvement ADN.
Elle pose une autre question : à quoi servira, à terme, ce type de fichier, dans la mesure où l'on peut faire dire aux données ADN autre chose que ce pour quoi elles étaient prévues ? Pour elle, il n’y a pas d’ADN “neutre” : la génétique peut permettre de "discriminer" les individus en fonction de caractéristiques génétiques (couleur de la peau, maladie…), mais également de livrer des informations sur les maladies, les prédispositions pathologiques ou l’origine géographique ou l'appartenance ethnique des individus fichés...
Comme le rappelait Matthieu Bonduelle, alors secrétaire général du Syndicat de la magistrature, "personne ne prône le fichage généralisé, mais, de fait, on est en train de l'effectuer" (voir Objectif: ficher l’ADN de toute la population). Olivier Joulin, du Syndicat de la magistrature, me l'avait très bien expliqué, en 2007 :
Selon une méthode éprouvée, dans un premier temps on justifie une atteinte générale aux libertés publiques en insistant sur le caractère exceptionnel [infractions sexuelles graves] et sur l’importance des modes de contrôles, en particulier concernant l’habilitation des personnels et les protocoles à mettre en œuvre.
Ils nous avaient été vantés pour rassurer les personnes qui criaient aux risques d’atteintes aux libertés. Puis on élargit le champ d’application du Fnaeg (le fichier d'empreintes génétiques français, ndlr), qui concerne aujourd’hui presque toutes les infractions, et on réduit les possibilités de contrôle. L’exception devient la norme.
Pour la magistrate Evelyne Sire-Marin, interrogée par Slate, le «familial search» -qui permet d'identifier la parentèle des personnes fichées- est «un détournement total de procédure. La Cour européenne des droits de l'Homme a condamné la Grande-Bretagne pour ses fichiers trop larges. Je serai curieuse de savoir ce qu'elle dirait dans ce cas.»
En 2010, la Ligue des droits de l'homme et le collectif Refus ADN avaient publié un Guide de la dés-inscription au FNAEG expliquant pourquoi, et comment, réclamer l'effacement des données inscrites dans le FNAEG, présentée comme un "acte de résistance" face à cette forme de "contrôle des populations".
Il rappelait ainsi que, si tous les délits peuvent désormais justifier un prélèvement d’ADN, "sont exclus du fichage les délits d’abus de confiance, abus d’autorité publique, banqueroute ou favoritisme, c'est-à-dire les abus de biens sociaux, la corruption, ou le trafic d’influence", ainsi que les délits routiers, et ceux liés aux droits des étrangers... On n'est pas tous fichés à égalité.
Voir aussi :
Il ne faut pas « croire » les « experts »
Comment (ne pas) être (cyber)espionné ?
Objectif: ficher l’ADN de toute la population
Le PDG de Bull se plante un couteau dans le dos
Calais : un « État policier en situation de guerre »
Nguyen Van Hay, 60 ans, avait choisi un pseudo plutôt bon enfant : Dieu Cay, "la pipe à eau du paysan". Son blog, l'un des plus connus au Vietnam, exposait la corruption du gouvernement, et appelait à plus de liberté d'expression.
Incarcéré depuis 2008, Dieu Cay a été condamné, fin 2012, à 12 ans de prison, suivis de 5 années d’assignation à résidence, à l'issue d'une procédure digne d'un procès stalinien (accusations bidons, preuves fabriquées, droits de la défense bafoués, etc.).
Son crime : avoir osé dénoncer la main-mise de la République populaire de Chine sur la République socialiste du Viêt Nam, et la répression dont faisaient l'objet les défenseurs des droits de l'homme et de la liberté d'expression dans son pays.
En décembre 2007, Nguyen Van Hay écrivait un billet qui, vu d'ici, pourrait passer pour quelque peu "fleur bleu" :
Quatre mois plus tard, accusé de "fraude fiscale", il était incarcéré. Son avocat a depuis démontré que la police lui avait en fait tendu un piège, en ordonnant au service des impôts de refuser tout encaissement de sa part. Dieu Cay n'en a pas moins été condamné à 30 mois de prison.
A l'issue de cette première peine, et plutôt que de le relâcher, les autorités lui reprochèrent d'avoir violé l'article 88 du Code pénal vietnamien, qui punit de 20 ans de prison tout « crime de propagande contre l’Etat de la République socialiste du Vietnam », afin de le maintenir en détention, dans des conditions particulièrement difficiles : à son avocat, Dieu Cay expliqua ainsi avoir entendu l'un des responsables de la prison, le lieutenant-colonel Hoang Van Dung, lui expliquer sa mission : "détruire ta santé, et faire de sorte que tu meurres en prison".
Incarcéré dans... le couloir de la mort, privé de communications avec l'extérieur, Dieu Cay s'est également vu interdire de recevoir suffisamment d'argent pour pouvoir se nourrir correctement (au Vietnam, les prisonniers doivent payer pour manger, et les autorités lui ont interdit de recevoir de quoi survivre décemment).
En septembre 2012, le premier ministre de la République socialiste du Viêt Nam annonça qu'il punirait sévèrement toute critique du parti communiste -le seul parti autorisé dans ce pays-, citant nommément trois blogs, dont le sien. Dans la foulée, les 3 blogueurs, membres fondateurs d'un "Club of Free Journalists", étaient condamnés à des peine de 4 à 12 ans de prison.
D'après l'Agence France-Presse, Dieu Cay a expliqué aux juges qu'il n'avait "jamais été contre l'Etat, j'étais juste frustré par l'injustice, la corruption, la dictature, qui ne représentent pas l'Etat mais seulement quelques individus".
Le son de la retransmission, mise en place pour les journalistes et les diplomates dans une salle voisine, fut coupé après qu'il eut déclaré : "Les citoyens ont le droit à la liberté d'expression"... et la cour refusa de montrer aux avocats de Dieu Cay les 26 articles qui lui étaient reprochés.
Le juge Nguyen Phi Long estima de son côté que les accusés avaient « abusé de leur popularité sur Internet pour poster des articles qui sapaient, noircissaient les dirigeants, critiquaient le parti (...), détruisant la confiance du peuple en l’Etat ».
« Leur crime est particulièrement grave, avec une claire intention contre l’Etat. Ils doivent être sérieusement punis ».
Leur procès avait été reporté plusieurs fois : une fois parce que Barack Obama avait évoqué le cas de Dieu Cay dans un discours tenu pour la Journée de la liberté de la presse, une autre parce que la maman de Tan Phong Tan, blogueuse et membre elle aussi du "Club of Free Journalists", venait de s'immoler par le feu après avoir refusé, malgré les pressions policières, de dénoncer les "crimes" de sa fille.
Dieu Cay a été condamné à 12 ans de prison pour "propagande contre l’Etat" en septembre dernier, condamnation confirmée en appel le 28 décembre 2010.
Tan Phong Tan, 44 ans, ex-officière de police et membre du parti communiste vietnamien, créatrice d'un blog intitulé “La justice et la vérité”, et dont la mère s'était donc immolée par le feu, a de son côté été condamnée à 10 ans de prison -confirmés en appel.
Phan Than Hai, 43 ans, avocat et journaliste internet indépendant, a quant à lui écopé de 4, puis de 3 ans de prison en appel : contrairement à ses 2 co-accusés, il avait en effet accepté de plaider coupable, de reconnaître et "confesser" ses "crimes"...
Leur procès, interdit au public ainsi qu'aux observateurs étrangers, le fut également à leurs familles. Des centaines de policiers frappèrent d'ailleurs ceux qui avaient décidé de manifester leur soutien aux 3 blogueurs, et 12 d'entre-eux furent arrêtés, dont l'ex-femme et le fils de Dieu Cay.
Au Vietnam, les opposants sont habitués à être interrogés, harcelés, menacés, frappés ou victimes de "faux accidents" de voiture (comme de nombreux autres dissidents vietnamiens). Mais ce jour-là, Nguyen Hoang Vi, une blogueuse de 26 ans, eut droit à un traitement particulier : venue assister au procès, elle fut en effet arrêtée par des policiers "comme l’on arrête des animaux" :
"Un groupe de policiers m’a pris par les pieds et les bras. Ils m’ont balancée dans la voiture. Un autre groupe a couru après le blogueur Hanh Nhan. Ils l’ont fait tomber et l’ont tabassé alors qu’il était à terre. Ensuite, ils l’ont pris par les pieds et par les bras, comme on embarque un cochon."
Frappée dans la voiture, puis au commissariat, elle y fut dévêtue, de force.
"Une policière m’a dit qu’on me soupçonnait de cacher quelque chose d’illégal et qu’elle devait me fouiller. Quatre femmes me tenaient les bras et les jambes, comme on écartelait les gens autrefois. Ils m’ont retiré mes sous-vêtements, écarté les jambes et introduit leurs doigts dans mon intimité, sous les yeux des policiers masculins présents dans la salle. Toute la scène a été filmée.
J’ai alors réalisé que tout ceci n’était destiné qu’à m’humilier. Après avoir remis mes cheveux en ordre, je me suis tournée vers la caméra en disant haut et fort : « Vous qui filmez, n’oubliez pas de poster la vidéo sur le net pour que tout le monde puisse constater combien vous êtes ignobles ! »"
Deux musiciens, accusés d'avoir dénoncé les persécutions contre Dieu Cay & ceux qui osent critiquer la République socialiste du Viêt Nam, ont par ailleurs été condamnés, en octobre dernier, à 4 & 6 ans d'emprisonnement.
14 autres dissidents et blogueurs vietnamiens d'un vingtaine d'années viennent de leur côté d'être condamnés à un total de 113 années d'emprisonnement, en janvier dernier, condamnations mensongères & biaisées illustrant, pour l'ONG Reporters Sans Frontières (RSF), "la paranoïa des autorités qui, non seulement surveillent les moindres déplacements de ses citoyens mais sont aussi mal informées par leurs services de renseignement"...
Un autre blogueur, connu pour ses dénonciations de la corruption et des abus de pouvoir des plus hauts cadres du Parti Communiste et du gouvernement, vient pour sa part d'être interné en institution psychiatrique...
Classé au 172e rang sur 179 en terme de liberté de la presse par Reporters sans frontière, qui le considère comme un 12 pays classés "ennemis de l'internet", le Vietnam est "la deuxième prison du monde pour les net-citoyens après la Chine", selon RSF. 32 blogueurs y croupissent en ce moment en prison, condamnés ou en attente de jugement, pour avoir osé appeler à des réformes démocratiques, à la défense des droits de l'homme et de la liberté d'expression, sur leurs blogs...
Les informations qui m'ont permis de rédiger ce billet viennent en bonne partie d'un rapport sur les blogueurs et cyberdissidents vietnamiens publié conjointement ce 13 février par la Fédération Internationale des droits de l'homme, et le Comité Vietnam pour la Défense des Droits de l’Homme, à l'occasion d'une campagne intitulée Nous sommes tous des blogueurs vietnamiens ! (voir aussi l'article du Monde.fr, Le Vietnam applique le modèle chinois pour réprimer blogueurs et internautes).
Le 19, ils demanderont la libération de tous les blogueurs emprisonnés, et ont donc besoin de votre soutien :
Rejoignez la campagne proposée sur Thunderclap en cliquant ici (nouveau, pratique et facile d’utilisation)
Postez l’image du texte de Dieu Cay sur votre Facebook et renvoyer vers cette page (image téléchargeable ici)
Twittez, mardi 19 février, le message suivant : #Vietnam : 32 bloggers behind bars : they need your support to get released ! #freeVNbloggers http://bit.ly/14HgYEG
Voir aussi :
Calais: des réfugiés aux doigts brûlés
Comment (ne pas) être (cyber)espionné ?
« L’Internet est libre »… mais pas notre pays.
Lettre ouverte au président de l’Azerbaïdjan
A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?
Philippe Vannier, le PDG de Bull, aimerait bien faire oublier qu'il a conçu, à la demande d'un terroriste, employé par un dictateur, un système de "surveillance massive" de l'Internet capable d'intercepter tous les emails, requêtes Google, sites web consultés, fichiers échangés, chats, etc., "à l'échelle d'une Nation" (Voir Au pays de Candy, enquête sur les marchands d'armes de surveillance numérique, le livre que j'ai consacré à cette affaire).
Bull se défausse aujourd'hui, expliquant d'une part que le contrat passé avec le dictateur en question (Kadhafi) datait de 2007 -alors que Bull n'a racheté Amesys, l'entreprise qui a créé ce système Eagle de surveillance du Net, qu'en 2010-, avançant d'autre part que Bull a depuis revendu Eagle à une autre entreprise... tout en refusant de révéler son nom.
La photo qui suit, qu'avait évoquée le Canard Enchaîné la semaine passée et que je publie aujourd'hui, révèle a contrario que Bull/Amesys, mais aussi, et surtout, son PDG, sont pieds & poings liés avec l'entreprise qui a racheté ce système Eagle :
Elexo, Artware, I2E & Ipricot sont les quatre entreprises spécialisées dans l'informatique et la guerre électronique que Philippe Vannier et ses associés, réunis au sein d'une holding, Crescendo Industries, avaient rachetées en 2004.
En 2006, Ziad Takieddine, cornaqué par Claude Guéant, invita Philippe Vannier à rencontrer Abdallah Senoussi, beau-frère par alliance de Kadhafi, et chef des services de renseignement militaires libyens, dans le cadre du rapprochement, voulu par Nicolas Sarkozy, de la France et de la Libye.
Une rencontre quelque peu incongrue : Senoussi avait en effet été condamné à la prison à perpétuité par la justice française, en 1999, par contumace, pour son rôle dans l'attentat du DC-10 d'UTA -qui avait coûté la vie à 170 passagers-, le pire des attentats terroristes que la France ait jamais connu...
Profitant de la réhabilitation de la Libye par Nicolas Sarkozy, le beauf' de Kadhafi cherchait alors un prestataire susceptible de l'aider à espionner l'intégralité de ce qui se passait sur l'Internet libyen. Philippe Vannier fut tellement content de pouvoir répondre favorablement à ses désidératas qu'I2E reversa, comme le révéla Mediapart, pas moins de 4,5 M€ de rétro-commissions à Takieddine.
Et c'est en (bonne) partie en raison des perspectives mirobolantes du système de surveillance de l'Internet Eagle, conçu par Philippe Vannier pour Senoussi, que Bull se décida, en 2010, à racheter Amesys, la société créée en 2007 par Vannier & ses associés de Crescendo Industries pour chapeauter Elexo, Artware, I2E & Ipricot.
Un rachat qui ne laisse pas d'étonner : Bull, l'un des mastodontes de l'informatique made in France, fort de près de 10 000 salariés, a en effet, sinon vendu son âme, en tout cas offert rien moins que 20% de son capital à Crescendo Industries, permettant à cette entreprise de moins de 1000 employés de devenir l'actionnaire majoritaire de Bull, et donc à Philippe Vannier d'en virer le PDG, pour prendre sa place, et donc prendre le contrôle de l'un des fleurons de l'industrie informatique française...
Robin Carcan, journaliste au MiroirSocial.com, a révélé la semaine passée que "les conditions dans lesquelles le groupe informatique français s'est défait de son logiciel de surveillance massive d'Internet Eagle ne laissent pas d'intriguer".
Et pour cause : le racheteur, Nexa Technologies, a été créé en avril 2012, un mois après que Bull n'ait annoncé avoir "signé un accord d'exclusivité pour négocier la cession des activités de sa filiale Amesys relatives au logiciel Eagle", une semaine tout juste avant la diffusion, sur Canal+, d'un documentaire, Traqués, donnant la parole à plusieurs Libyens identifiés, puis torturés, grâce au système Eagle, et à la veille de la publication d' "Au pays de Candy", le livre que j'ai consacré à ce scandale d'Etat.
Philippe Vannier connaît par ailleurs très bien Stéphane Saliès, le PDG de Nexa, la société qui a racheté Eagle. Saliès est en effet celui que Vannier chargea de concevoir, et de commercialiser, le système Eagle de surveillance de l'Internet, d'abord au sein d'I2E, puis d'Amesys, puis de Bull, que Saliès a officiellement quitté l'an passé, alors même que l'entité qu'il avait été chargé de présider était présentée l'an passé par Bull comme "une nouvelle étape" susceptible d'"accélérer son développement"...
Bull/Amesys n'en a pas moins continué à l'héberger, comme l'atteste la photographie de la boîte aux lettres d'Amesys/Nexa, et qui, comme le démontrent ses méta-données exif, date d'octobre 2012, alors que la vente n'a été officialisée que le 22 novembre.
Lors de sa création, Nexa se targuait d'un capital de 5000 euros. En septembre 2012, son capital social était porté à 1 million d'euros. La provenance de ces fonds, comme l'a révélé MiroirSocial.com, viendrait d'une société civile, Allegretto Asset Management, créée en 2008 par Stéphane Saliès et Olivier Bohbot, qui se trouve, accessoirement, n'être autre que l'actuel vice-président International et Défense pour les solutions de sécurité chez... Bull (voir aussi l'actuel vice-président International et Défense pour les solutions de sécurité chez... Bull.)
Saliès, Bohbot et Vannier ont un autre point en commun : ils font tous trois partie des cinq salariés et membres du directoire de Crescendo Industries, la société qui, profitant du rachat d'Amesys, a pris le contrôle de Bull.
En novembre 2012, Saliès rachetait le "fonds de commerce" d'Eagle pour 4 millions d'euros. Un prix d'ami, quand on sait qu'Eagle avait été vendu plus de 8 millions d'euros à Kadhafi, et que Bull avait déclaré, l'an passé, qu'Eagle ne représentait que 0,5% de son chiffre d'affaires, soit 6 millions d'euros.
Cinq internautes libyens, victimes de tortures sous Kadhafi, viennent de porter plainte contre Amesys, la société française qui avait conçu le système Eagle de "surveillance massive" de l'Internet.
Dans la foulée la cour d'appel de Paris vient de son côté d'ordonner la poursuite de l'enquête ouverte suite à la plainte de deux ONG qui accusent Amesys de "complicité de torture".
On aurait tort, pour autant, de fustiger Bull & Amesys, et tous leurs salariés : les Libyens n'ont pas été identifiés, puis torturés, "grâce à" Bull ou Amesys, mais grâce à un système créé par I2E, puis commercialisé par Amesys qui, depuis, a pris le contrôle de Bull... et alors même que quelques dizaines seulement des 900 employés d'Amesys, et des 9000 salariés de Bull, ont vraiment travaillé (ou travaillent encore) sur le système "Eagle".
A ce titre, Robin Carcan relevait sur le MiroirSocial.com une autre incongruité, révélant à quel point Vannier & Saliès sont pieds et poings liés : les 12 informaticiens qui vont aller travailler pour Nexa Technologies, afin de développer & faire fructifier le système de surveillance Eagle, pourront en effet retourner travailler chez Bull/Amesys, grâce à une "clause exceptionnelle de réintégration", qualifiée par Carcan de "prix à payer pour maintenir l'opacité de la cession", au cas où Nexa ne parviendrait pas à faire d'Eagle un business prospère...
Eagle représentait jusque-là une épine dans le pied de Bull, qui pouvait légitimement chercher à se défausser. Sa revente à l'un des lieutenants de Philippe Vannier ressemble plutôt à coup de couteau dans le dos : non content de le revendre à celui-là même que Vannier avait chargé de le concevoir et de le commercialiser -avec de l'argent provenant de salariés de la holding qui a pris le contrôle de Bull-, sa filiale Amesys l'a aussi complaisamment accueilli et hébergé, pendant des mois, tout en proposant aux développeurs d'Eagle une clause de réintégration leur permettant de redevenir salariés de Bull/Amesys...
On souhaite bien du courage aux avocats de Bull, censés démontrer que leur client n'a plus rien à voir -du tout- avec Eagle...
Reste un point, à éclaircir : Amesys, Vannier, Saliès et les quelques dizaines de Français impliqués dans ce dossier, n'ont fait que répondre aux demandes d'Abdallah Senoussi, et donc à ce que Ziad Takieddine, Claude Guéant, Brice Hortefeux et Nicolas Sarkozy leur avaient demandé de faire.
Or, la plainte, et l'instruction, ne visent, elles, que la seule Amesys... jetant l’opprobre sur les centaines de salariés d'Amesys, ainsi que sur les milliers d'employés de Bull, qui n'y sont pourtant pour rien.
Et il sera intéressant de voir en quelle mesure leurs avocats impliqueront, aussi, les véritables donneurs d'ordre (#oupas). Non seulement parce que Takieddine, Guéant, Hortefeux & Sarkozy sont responsables du deal passé avec Kadhafi, mais également parce que ce contrat-là a probablement coûté très cher, en terme d'image, de réputation (voire de contrats), à Bull & Amesys... et ce, alors même que Fleur Pellerin vient de déclarer que "le secteur de la cybersécurité est décisif pour la France, et qu’il doit se structurer pour gagner en visibilité à l’international".
Pour la ministre de l’Economie numérique, il constitue même un véritable "enjeu d’une nouvelle politique industrielle" de la France, qui pourrait aider les acteurs français de la cybersécurité à créer de la valeur et à exporter «dans le respect des valeurs fondamentales de notre république». La ministre a d'ailleurs évoqué, sans le nommer, le scandale de la vente du système Eagle à Kadhafi :
«Nous réfléchissons à modifier la liste des biens dont l’exportation est soumise à autorisation pour inclure certains équipements dont ceux d’interception des communications électroniques, de filtrage et de surveillance des réseaux. C’est une réflexion sur laquelle nous nous penchons.»
L'affaire Amesys a explosé à la fin de l'été 2011. Il est bien long, le temps du "changement".
Voir aussi la saga #Amesys sur Reflets.info, qui a révélé le scandale, et couvre depuis cette affaire, ainsi que, sur ce blog :
Barbouzeries au Pays de « Candy »
Comment (ne pas) être (cyber)espionné ?
Longuet, Sarkozy, et l’alibi de la Libye
« Facebook a dit à mon père que j’étais gay »
Amesys accuse l’ambassadeur de Libye de pédophilie
Amesys/Bull: un parfum d’affaire d’État
A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?
Le New York Times vient de révéler que l’ensemble des mots de passe de ses employés du journal avaient été dérobés par des pirates informatiques particulièrement chevronnés : si leur intrusion a semble-t-il été rapidement identifiée, il aurait fallu quatre mois pour les professionnels de la sécurité informatique recrutés par le NYT pour parvenir à les « expulser » (sic).
Entre-temps, les ordinateurs de 53 d’entre-eux auraient été compromis, et contrôlés à distance, permettant aux assaillants de voler leurs mots de passe, e-mails, et de farfouiller dans leurs données. L’attaque aurait débuté juste après le lancement d’une grande enquête sur la fortune du premier ministre chinois, et aurait été initiée, selon le NYT, par des pirates installés en Chine. (MaJ : le Wall Street Journal vient d'annoncer avoir lui aussi été victime de hackers chinois).
Cette annonce fracassante révèle au moins deux choses. D’une part, que les journalistes sont, à l’instar des centrifugeuses & centrales nucléaires iraniennes, ou des hauts fonctionnaires de Bercy, des cibles susceptibles de menacer suffisamment les intérêts de certains gouvernements que ces derniers peuvent décider de mobiliser leurs pirates informatiques et services de renseignement afin de pouvoir espionner, et contrôler, leurs ordinateurs. D’autre part, que les rédactions ne semblent pas encore avoir pris la mesure du phénomène, de sorte de pouvoir s’en protéger plus efficacement.
En octobre 2010, j’écrivais un billet, Journalistes : protégez vos sources !, afin de rappeler quelques rudiments de sécurité informatique, après qu’on eut appris, successivement, le vol des ordinateurs de journalistes du Monde, du Point et de Mediapart.
A l’époque, la menace, c’était les barbouzes, des pirates informatiques employés à la petite semaine par des entreprises d’intelligence économique, ou instrumentalisés par des officines de renseignement. Depuis, la situation a un peu changé, les moyens déployés, tant humains que financiers, ont considérablement augmenté : on est grosso modo passé des petits artisans à la grosse industrie, du détective privé au service (cyber)action d'un service de renseignement militaire.
De nombreux logiciels d'espionnage, conçus par ou pour des services de renseignement, notamment militaires, ont ainsi fait leur apparition. Leurs cibles : des centrales nucléaires iraniennes, des marchands d'armes américains, des fonctionnaires de Bercy, mais également des journalistes et défenseurs des droits de l’homme (voir notamment L’espion était dans le .doc & Des chevaux de Troie dans nos démocraties).
Le Club de la Sécurité de l’Information Français (Clusif), dont le rapport, « particulièrement alarmant », a été rendu public mi-janvier, déplorait à ce titre la « militarisation » du cyberespace :
« La militarisation du cyberespace est enclenchée. Elle passe par un renforcement des capacités défensives, voire offensives des Etats qui recrutent des spécialistes, publient des documents stratégiques, affinent leur communication et mènent des cyber-exercices »
Chercheur en sécurité informatique à EADS, et (excellent) blogueur à ses heures, Nicolas Ruff est l’un de ceux qui expliquent le mieux les mythes et réalités de ces nouvelles menaces, connues, dans le milieu de la sécurité, sous l’acronyme APT, pour « Advanced Persistent Threat », buzzword inventé autour de 2008 par la société MANDIANT, celle-là même que le NYT a recruté pour faire face à l’attaque dont elle faisait l’objet.
Entre autres particularités, ces « attaques complexes et récurrentes » ont pour point commun de ne pas être bloquées par les firewall, antivirus, politiques de gestion des mots de passe et autres mesures de sécurité informatique mises en place, ou achetées, par les responsables sécurité des entreprises ou administration ciblées.
Pour autant, déplore Nicolas Ruff en conclusion de son passionnant article (.pdf) sur les Mythes et légendes des APT (voir aussi les slides de sa présentation), on ne peut ni ne doit conclure que « la sécurité informatique à 100% n’existe pas », ce qui constitue pour lui « un des mythes les plus destructeurs qu'on puisse entendre », d’autant qu’il « sert bien souvent de prétexte pour faire une sécurité à 10% » :
L'information est comme un fluide: si votre plomberie est à 99% étanche … alors vous avez déjà un sérieux problème de fuite !
Nicolas Ruff APT Mai 2011 from CNIS Publications on Vimeo
S’il est « impossible d'empêcher les attaques d'arriver (…) il est possible de faire beaucoup mieux qu'actuellement », en instaurant de bons process, en ayant une bonne hygiène du mot de passe et des règles de bases de la sécurité informatique, de sorte d’avoir les bons réflexes. Nicolas Ruff, à ce titre, rappelle qu’ « une attaque détectée et éradiquée en 1 heure n'a aucun impact sérieux », alors qu’ « une attaque détectée et éradiquée en 1 semaine laissera le temps à l'attaquant de collecter suffisamment de mots de passe et de poser suffisamment de backdoors pour pouvoir revenir à volonté … », ce qu’illustre l’affaire du NYT, qui a mis 4 mois à « expulser » les espions qui avaient pris le contrôle des ordinateurs de ses salariés :
P.S. Les attaques les plus longues documentées dans la nature ont officiellement duré … 3 ans.
Cela fait plus de 10 ans maintenant que j’écris sur ces questions d’espionnage et de sécurité informatique, mais également que je traduis ou écris des manuels, modes d’emploi et guides à l’intention de ceux qui veulent apprendre à protéger leurs données, leurs télécommunications, et garder le contrôle de leurs informations, plutôt que d’être contrôlés par leurs ordinateurs. Et je n’ai jamais été contacté par une seule rédaction, pour l’aider à sécuriser ses process de travail, et outils de télécommunication.
Les journalistes mettent leurs sources en danger s’ils ne sécurisent pas leurs données, et télécommunications. La protection des sources ne peut pas se résumer au fait d’affirmer que jamais l’on ne donnera le nom de ses informateurs, même devant la Justice. Encore faut-il que leurs noms ne figurent pas, en clair, dans leurs ordinateurs, ou téléphones portables…
On peut tout à fait décider de ne pas utiliser d’ordinateurs, et de téléphones portables, et faire du journalisme façon XXe siècle. Et c’est le choix fait par de nombreux journalistes d’investigation. Je vis et travaille sur le Net, on est au XXIe siècle, et je ne vois pas pourquoi, ni comment, je devrais me priver d’utiliser l’Internet.
L’INA m’avait demandé, l’été dernier, de lui écrire un manuel expliquant aux journalistes pourquoi, et comment protéger ses sources. J’y expose entre autres ma théorie du quart d'heure d'anonymat, à savoir le fait que, dans un monde de plus en plus transparent, la question n’est plus d’avoir une vie publique (ce qui était auparavant réservé à l’élite mais qui, avec le Net, devient le lot commun de tout un chacun - voir Les « petits cons » parlent aux « vieux cons »), mais de pouvoir protéger sa vie privée, ce qui devient l’exception, mais ce qu’il est néanmoins tout à fait possible de faire, parce qu’il existe tout plein de façon d’y parvenir. Extrait de mon petit guide, Comment protéger ses sources ? :
La surveillance et l'espionnage sont les mamelles de l'informatique, et des télécommunications. Autant vous y faire. Bruce Schneier, l'un des experts les plus réputés sur les questions de sécurité informatique -et l'un des plus pédagogues aussi- avait expliqué que "la sécurité n'est pas un produit; c'est un processus". Dit autrement : rien ne sert d'installer une porte blindée si on laisse la fenêtre ouverte. Or, et si la sécurité informatique est un métier... même les professionnels de la profession peuvent être piratés, question de volonté, et de moyens, comme Schneier, il y a quelques années, se plaisaient à le résumer :
"Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore."
Des hackers ont ainsi réussi à injecter une charge virale dans un fichier .pdf échangé par des hauts fonctionnaires de la direction du Trésor de Bercy, entraînant le piratage de 150 ordinateurs qui, bien que particulièrement sensibles, n'avaient donc pas été suffisamment sécurisés. Le mode opératoire, ayant semble-t-il nécessité plusieurs mois de préparation, a été considéré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI, rattachée au Secrétaire général de la défense nationale) comme relevant très probablement d'une tentative d'espionnage émanant d'un service de renseignement étranger.
De même, le contre-espionnage iranien n'a pas non plus réussi à empêcher le ver Stuxnet, créé par les services américains et israéliens, de contaminer (via une clef USB) des ordinateurs qui, pourtant, n'étaient pas connectés à Internet, afin de faire exploser les centrifugeuses utilisées par le programme d'enrichissement nucléaire iranien. Une opération qui, elle, semble avoir été élaborée sur plusieurs années.
Autant dire que s'il est possible de pirater la direction du Trésor de Bercy, ou encore les centrifugeuses iraniennes (et l'on pourrait aussi parler de Google, de marchands d'armes américains, de multinationales ou PME françaises, etc.), dont les ordinateurs sont pourtant protégés par des professionnels de la sécurité informatique -voire par des services de contre-espionnage-, les ordinateurs de journalistes, membres d'ONG ou de partis politiques, universitaires ou chercheurs, dirigeants d'entreprise, avocats, notaires, médecins, prêtres, ou tout autre professionnel ou particulier soumis au secret professionnel ou disposant d'informations sensibles, sans pour autant bénéficier de protection particulière, sont a priori poreux, sinon troués...
A tout le moins, et faute de disposer d'un "service" dédié à ce sujet, on partira donc du principe que le ou les ordinateurs ainsi que les canaux de communications que vous utilisez sont non sécurisés, et prompts à être espionnés, ou piratés.
En écrivant "Il était une fois un clicodrôme", Julie Gommes a très bien résumé ce pour quoi ces questions devaient être, non seulement prises en compte par les journalistes soucieux de protéger leurs sources, mais également par les rédactions qui les emploient : demander à un journaliste/pigiste d'envoyer, en clair et de façon non sécurisée -qui plus est depuis des cybercafés (qui sont notoirement surveillés), comme ça lui est arrivé- ses articles via Internet est à peu près aussi dangereux que d'envoyer une carte postale -les e-mails & données qui ne sont pas "chiffrés" circulent "en clair" sur Internet, sans enveloppe fermée, et encore moins scellée-, ou que de passer un coup de fil... ce qui aurait, selon certains, permis de géolocaliser la journaliste Marie Colvin, et donc de bombarder la maison transformée en centre de presse dans le quartier rebelle de Baba Amr à Homs, en Syrie, d'où elle avait accordée une interview par téléphone, entraînant sa mort, ainsi que celle du photographe Rémi Ochlik.
Les journalistes se targuent de "protéger leurs sources", mais sont généralement peu au fait des problèmes de sécurité informatique, non plus que des façons de sécuriser leurs télécommunications, ce que l'affaire des fadettes du journaliste du Monde -qui ont permis d'identifier l'auteur présumé des "fuites"- illustre à l'envi. La "protection des sources" ne se résume pas -comme c'est hélas trop souvent le cas- au seul fait de refuser de révéler leur identité devant la justice ou la police, mais relève du secret professionnel, et implique donc des mesures proactives. Il faudrait en effet être bien naïf pour croire que le fait qu'il soit a priori interdit d'accéder aux fadettes ou aux courriels des journalistes (entre autres) permettent de protéger efficacement ses sources... Les écoles de journalisme enseignent des rudiments de droit à leurs étudiants. Elles feraient bien, également, de leur inculquer les bases de la sécurité informatique... et pas seulement aux journalistes Internet.
Le "boom" du business des marchands d'armes et de technologies de surveillance en ce début de XXIe siècle est tel que de nombreux policiers ou membres des services de renseignement passent dans le privé, avec leurs connaissances techniques, mais également leurs accointances dans l'administration, auprès de leurs anciens collègues ou prestataires barbouzards... ce qui permet à certains d'entre eux, non seulement d'accéder (illégalement) aux traces et données conservées (légalement) par les opérateurs téléphoniques ou fournisseurs d'accès à Internet (FAI), mais également de savoir qui contacter pour pouvoir (tout aussi illégalement) pirater l'ordinateur ou les communications de n'importe quel quidam, journaliste ou non.
La sécurité informatique est un métier. Si ce n'est pas le vôtre, partez du principe que vous êtes, non seulement surveillables -voire surveillés (les FAI gardent la trace de toutes les fois où vous vous connectez, voire de ce que vous faites sur Internet, les opérateurs téléphoniques stockant de leur côté, dans leurs fadettes, tous les numéros de ceux que vous appelez, ou qui vous appellent)-, mais également que vous pouvez plus ou moins facilement être espionnés. Dit autrement : privilégiez les rendez-vous "IRL" (In Real Life, "dans la vraie vie", et donc physiques, dans des lieux publics ou des arrières-salles de café, à la manière des espions du XXe siècle)... sachant que s'ils ont été fixés par téléphone ou bien par mail, ils peuvent donc être compromis. Ironie de l'histoire, en ce XXIe siècle hyper-technologiquement-connecté : on n'a rien inventé de mieux, en terme de protection des sources et de secret professionnel que... le courrier papier qui -a priori- est bien moins surveillé, et espionné, que les communications téléphoniques ou Internet.
Si une minorité de hackers sont payés pour "pirater" ou espionner des ordinateurs et télécommunications, la majorité d'entre eux sont bienveillants, et veulent aider les internautes à protéger leur vie privée, et sécuriser leurs données : il n'y aurait pas d'Internet, ni d'informatique, et encore moins de sécurité informatique, sans les hackers. A mesure que les technologies se complexifient, il devient de plus en plus difficile de parvenir à sécuriser son ordinateur et ses communications. Mais il existe aussi, et dans le même temps, de plus en plus de process, mais aussi de "trucs & actuces", pour parvenir à se protéger, se camoufler ou se cacher.
Le Tome 1 du "guide d'autodéfense numérique", le plus précis et complet de tous les manuels de protection de la vie privée qu'il m'ait été donné de consulter, consacre ainsi pas moins de 208 pages aux différentes techniques, trucs et processus visant à sécuriser son ordinateur... "hors connexions", et donc avant même qu'il ne soit connecté au Net. On pourrait dès lors estimer qu'il est parfaitement illusoire d'espérer pouvoir sécuriser son ordinateur, et ses télécommunications, dès lors que l'on se connecte à Internet sans être féru de sécurité informatique. Voire...
J'ai traduit et rédigé plusieurs modes d'emploi pour expliquer aux internautes comment sécuriser leurs communications sur le Net, depuis que, en 1999, j'ai commencé à chercher comment, en tant que journaliste, je pouvais protéger mes sources. Et si je suis parvenu au constat qu'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, et à échanger des fichiers sans se faire repérer.
Le KGB n'a pas empêché les espions de la CIA (et et vice versa) de communiquer avec leurs sources, pas plus que le FBI n'a empêché Daniel Ellsberg de rendre public les Pentagon papers, ou la NSA d'empêcher WikiLeaks d'oeuvrer pour plus de transparence dans la diplomatie américaine, et mondiale. Pour paraphraser Andy Warhol, la question, aujourd'hui, est de se donner la possibilité d'avoir son quart d'heure d'anonymat. Ce qui est, non seulement possible, mais également vital pour notre métier, et nos démocraties, et pas forcément très compliqué.
En résumé : pour sécuriser ses données, et communications, utilisez un ordinateur vierge (de toute donnée personnelle ou sensible), dont le système d'exploitation a été mis à jour (afin d'éviter qu'une faille de sécurité non "patchée" ne puisse être exploitée pour le pirater) ET sécurisé (afin de vous permettre de communiquer, et/ou travailler en toute confidentialité). Les données à protéger ne devront quant à elles n'être accessibles qu'à distance via un "tunnel sécurisé" (VPN et/ou SSH, ou grâce à NoMachine.com, qui permet de se connecter à distance et de façon sécurisée à un autre ordinateur) ou, à défaut, être chiffrées via un logiciel libre (de préférence : les logiciels "propriétaires" interdisent que l'on vérifient l'intégrité de leur code source) de cryptographie (tels que GPG ou TrueCrypt), et stockées sur un support externe (clef USB ou carte SD, facile à cacher et que vous aurez pris soin de dupliquer et de cacher dans deux bagages distincts, au cas où).
Le mieux, pour ceux qui sont amenés à se connecter en territoire hostile, et qui voudraient pouvoir se conformer à ces règles-là, est encore d'utiliser Tails ("The Amnesic Incognito Live System"), un système d'exploitation GNU/Linux basé sur la distribution Debian, qui ne comporte que des logiciels libres. La précision est importante dans la mesure où, en terme de sécurité informatique -et sauf à disposer de professionnels expressément dédié à ces questions-, il est impossible de faire confiance aux logiciels propriétaires, qui -contrairement aux logiciels libres ou open source- interdisent de vérifier l'intégrité de leurs codes sources, et donc la présence de failles de sécurité, ou de portes dérobées. De plus, la majeure partie des chevaux de Troie et autres logiciels malveillants sont conçus pour les systèmes d'exploitation Windows, voire Mac OS -il en existe cela dit aussi pour les systèmes GNU/Linux.
Développé, et mis à jour, par des hackers et hacktivistes (anonymes) dont l'objectif est de "préserver votre vie privée et votre anonymat", Tails a été conçu pour ne laisser aucune trace sur l'ordinateur utilisé... sauf si vous le demandez explicitement (afin, par exemple, de garder en mémoire les documents sur lesquels vous travaillez, ou d'enregistrer vos favoris, préférences logicielles), ou si vous ne suivez pas les conseils donnés sur cette page d'avertissement :
"Il vous permet d'utiliser Internet de manière anonyme quasiment partout sur la toile et sur n'importe quel ordinateur, mais ne laisse aucune trace de ce que vous avez fait, sauf si vous le voulez vraiment."
Tails peut être installé sur un ordinateur, en complément ou à la place du système Windows existant, mais peut également être lancé depuis un DVD ou une clef USB sur lesquels il aura préalablement été installé. Il est donc tout à fait possible d'utiliser un ordinateur lambda (ou "vierge") pour se connecter, en toute sécurité et confidentialité, à Internet, ainsi qu'à ses données, en démarrant sur Tails plutôt que sur Windows. Afin d'éviter d'attirer l'attention, Tails propose même une option camouflage afin de simuler un environnement type Windows XP...
Tails réunit l'essentiel des outils et logiciels (libres) permettant de communiquer en toute sécurité. Le mieux est bien évidemment d'utiliser Tails comme système d'exploitation. Vous pouvez cela dit décider d'installer sur votre ordinateur de travail tout ou partie des logiciels qui y sont pré-installés (et qui sont, pour la plupart, disponibles sur Windows ou Apple, et bien évidemment sur GNU/Linux), en fonction de vos besoins, afin de profiter de telles ou telles de leurs fonctionnalités, sans avoir à installer ou utiliser Tails... à ceci près que vous risquerez donc d'utiliser ces portes blindées en laissant une voire plusieurs fenêtre ouvertes...
Au royaume de Bahreïn, petite (mais riche) monarchie pétrolière du golfe persique, le printemps arabe n'est pas fini, et les policiers anti-émeutes dispersent les manifestants à coups de chevrotines, munitions létales censées "augmenter la probabilité de toucher une cible en mouvement", en les criblant de plombs.
Interdite à la chasse dans la plupart des départements français (sauf dérogation), la chevrotine est généralement utilisée pour chasser le "gros gibier" (cerfs, sangliers...). Au Bahreïn, on ne compte plus le nombre de manifestants devenus borgnes après avoir été criblés de plombs.
Les policiers anti-émeutes bahreïnis utilisent aussi des gaz lacrymogènes, beaucoup, énormément, jusqu'à en lancer à l'intérieur même de maisons, ou de voitures... Sur les 85 morts recensés de février 2011 à novembre 2012 (on en compte d'autres, depuis), 17 auraient été tués à coups de chevrotines. 43, d'après le décompte effectué sur Wikipedia, seraient morts des suites de leur exposition aux gaz lacrymogènes -une majorité de personnes âgées de plus de 60 ans, mais également des bébés, enfants et adolescents-, 3 personnes au moins seraient mortes après avoir reçu une grenade lacrymogène dans la tête, 5 sous la torture.
L'ONG Bahrain Watch, qui s'est donnée pour mission de documenter la répression au Bahreïn, a commencé à identifier les marchands d'armes utilisées par les policiers anti-émeutes, à partir des photos prises par les Bahreïnis, et partagées sur Twitter ou Facebook. Et l'on y trouve un marchand d'armes français...
Alsetex se présente comme le "Leader des produits pour la gestion démocratique des foules". Sa gamme de lanceurs 56mm a spécialement été étudiée de sorte que le diamètre des munitions soit "supérieur au diamètre de l'orbite de l'oeil humain, quelque soit l'âge ou le sexe" afin de ne pas pouvoir "causer de blessure mortelle". Ce qui lui permet de proposer une large gamme de munitions à "effets non létaux, lacrymogène, poivre, fulgurant, cinétique, blast, éclairant, signaux..."
Sa grenade GM2 lacrymogène, "destinée au maintien de l'ordre en milieu extérieur ou intérieur (...) libère instantanément un nuage de (gaz) CS pulvérulent couvert par un fort effet sonore déstabilisant les manifestants." Ses grenades lacrymos sont largement utilisées au Bahreïn, comme en témoigne cette photo de l'AFP, publiée par The Telegraph l'an passé :
On peut trouver une description plus détaillée de cette grenade sur archive.org, qui a gardé la trace du catalogue d'Alsetex, et archive le web, et qui a donc permis à Bahrain Watch de retrouver la trace de cette grenade lacrymogène, dont le site d'Alsetex ne fait plus état. On reconnaît par ailleurs, dans cette fiche de présentation (.pdf) des munitions d'Alsetex la trace des deux autres grenades, BLINIZ & GENL, identifiées par Bahrain Watch.
Le Rapport sur les exportations d'armement de la France, mis en ligne en novembre 2012, et qui se félicite du fait que "la France se maintient parmi les cinq premiers exportateurs mondiaux", révèle par ailleurs que la France a vendu pour plus de 26M€ d'armes au Bahreïn en 2011, dont 16M€ de "bombes, torpilles, grenades, pots fumigènes, mines, missiles, produits "pyrotechniques" militaires (et) cartouches", et 421 000 € d'"agents chimiques ou biologiques toxiques, « agents antiémeutes », substances radioactives, matériel, composants et substances connexes" définies comme suit :
"Substances qui, dans les conditions d’utilisation prévues à des fins antiémeutes, provoquent rapidement chez l’homme des irritations ou une incapacité physique provisoires qui disparaissent en l’espace de quelques minutes dès que l’exposition aux gaz a cessé (les gaz lacrymogènes forment un sous-ensemble des « agents antiémeutes »)."
Le Vinvinteur m'a permis de prolonger l'enquête que j'avais consacrée aux cyber-dissidents bahreïnis pour Owni, et d'interviewer deux cyber-dissidents bahreïnis, Ahlam Oun & Reda Al-Fardan (voir "Bahreïn, Twitter et Chevrotine"). Leurs témoignages sont poignants :
Le Vinvinteur n°12 - Bahreïn, Twitter et... par levinvinteur
Les deux cyber-dissidents ont une requête, tout bête : arrêtons de vendre des armes au Bahreïn, une supplique envoyée à François Hollande qui, l'été dernier, accueillait secrètement le roi du Bahreïn à l'Elysée (plus, relève Rue89, six autres représentants de pays autoritaires ou franchement dictatoriaux -dont... 5 clients potentiels du système Eagle de surveillance de l'Internet).
D'après l'agence de presse officielle bahreïnie, François Hollande et le roi du Bahreïn se seraient mis d'accord pour "consolider la coopération militaire bilatérale" entre les deux pays. En dépit d'une lettre ouverte co-signée par 6 ONG de défense des droits de l'homme (HRW, FIDH, Amnesty International, RSF, LDH, ACAT), l'Elysée n'a jamais confirmé, ni démenti.
En août dernier, l'ONG Physicians for Human Rights rendait public un rapport accablant révélant l'ampleur et les dégâts des gaz lacrymogènes par les forces de sécurité bahreïnies. Elles ont pourtant bénéficié d'une formation à la gestion des foules et des manifestations, par des CRS français, au titre d'un accord de coopération en matière de sécurité intérieure, publié au JO en 2010, ce qu'avait vivement déploré l'ONG Bahrain Rights, qui rappelait alors que ces forces de sécurité étaient également utilisées, comme des milices habillées en civil, pour terroriser les Bahreïnis.
Le mois dernier, François Zimeray, l'ambassadeur français des droits de l'homme, avait déclaré (article en arabe), à Bahreïn, qu'on ne devrait pas incarcérer des gens pour des propos tenus sur Twitter, ni des médecins parce qu'ils avaient soigné des manifestants, ce qui a entraîné l'ambassadeur de France à remettre une lettre au roi du Bahreïn, et à lui confirmer, le week-end dernier (article en arabe), que ces propos ne remettaient aucunement en question les accords de coopération entre les deux pays.
J'ai bien évidemment contacté Alsetex, ainsi qu'Etienne Lacroix, sa maison mère, pour savoir s'ils continuaient à vendre au Bahreïn leurs grenades lacrymogènes. Ils ne m'ont pas recontacté.
MaJ, 14/02/2013 : Armin Arefi, journaliste au Point, a fait un droit de suite à mon article, Bahreïn : le savoir-faire français au service de la répression; où l'on apprend que le gouvernement aurait bloqué la vente d'armes de maintien de l'ordre depuis le début de la répression, et où l'on découvre qu'Alsetex a retiré de son site web les fiches de présentation de ses grenades lacrymogènes, ainsi que l'expression "Leader des produits pour la gestion démocratique des foules"...
Voir aussi :
Pacman Chases French Arms Companies in Bahrain sur Bahrain Watch,
"Sur les armements du maintien de l'ordre", brochure constituée en marge de l'occupation de Notre Dame des landes, et qui revient sur les armes "non létales" utilisées par les forces de l'ordre françaises, disponible en html sur le site de copwatch et en .pdf sur zad.nadir.org,
« Facebook a dit à mon père que j’étais gay »
Calais : un « État policier en situation de guerre »
« Un peu de parano ne fait pas de mal », dixit le FBI
« L’Internet est libre »… mais pas notre pays. Lettre ouverte au président de l’Azerbaïdjan
En 2009, je découvrais, effaré, que la France refoulait 12% des artistes africains au prétexte qu'ils pourraient en profiter pour demander l'asile, que le viol des réfugiées « relève de leur vie privée » et que dès lors, leurs viols ne pouvaient servir de motif de droit d'asile, que 80% des sans papiers arrêtés étaient relâchés et que paradoxalement, plus on en arrête (+90% en 5 ans), moins on en expulse....
L'an passé, un gendarme mobile, en poste à Calais, m'avait expliqué que 90% des "clandestins" qui étaient interpellés n'étaient pas expulsés, et que de plus en plus de ses collègues, blasés, se demandaient pourquoi ils devaient continuer à en interpeller puisque... "ça ne sert à rien" (voir son témoignage, édifiant : « Faites chier, vous avez encore ramené un mineur ! »).
Selon les calculs du Défenseur des droits, 95 % des 13 000 contrôles effectués en 2011 dans la région de Calais auraient ainsi abouti à une remise en liberté... Son rapport (.pdf), rédigé au terme d’une investigation de presque dix-huit mois, n'a reçu que très (trop) peu d'écho (une dépêche AFP évoquant "la police épinglée pour des atteintes aux droits"", et un article de Rue89 sur ces "moments de convivialité" consistant, pour les policiers, à venir réveiller harceler les sans-papiers à 7h du matin avec de... la musique africaine).
Le rapport du Défenseur des droits est tout aussi édifiant, et consternant, que le témoignage du gendarme mobile. A une différence près : le ministre de l’intérieur a trois mois pour réagir au rapport du Défenseur des droits... qui confirme in fine une bonne partie de ce que le gendarme mobile avait bien voulu, sous couvert d'anonymat, m'expliquer.
J'ai déjà eu l'occasion de raconter comment des réfugiés en arrivent, en mode "Minority Report", à se brûler les doigts pour ne pas être identifiés par leurs empreintes digitales, et donc expulsés (cf Calais : des réfugiés aux doigts brûlés).
J'ai également pu dresser la liste, et la carte, de cette "guerre aux migrants" qui a d'ores et déjà fait plus de 15 000 morts aux frontières de l'Europe (cf le Mémorial des morts aux frontières de l'Europe).
Je ne mesurais pas à quel point les forces de l'ordre chargées d'interpeller ces "sans papiers" en étaient réduites, de leur côté, à avoir le sentiment d'être payées pour vider la mer avec une petite cuiller... ce que confirme donc aujourd'hui le Défenseur des droits, qui "recommande qu'il soit mis fin à ces pratiques (et qui) se réserve la possibilité de procéder à des vérifications sur place afin de s'assurer du respect de la dignité humaine et des différents cadres juridiques relatifs à la situation et à la prise en charge des migrants sur le territoire français".
Contrôles d'identité répétés "à proximité des lieux de repas et de soins, en violation de la circulaire sur l'aide humanitaire aux étrangers en situation irrégulière", groupes de personnes embarquées dans les véhicules de police "alors que certaines seraient en mesure de justifier de la régularité de leur séjour", le Défenseur des droits, "saisis d'une réclamation relative au harcèlement dont seraient victimes les migrants présents dans le Calaisis de la part des forces de l'ordre", a en effet constaté :
Les Nations Unies ont décidé que le 18 décembre serait la Journée internationale des migrants. Le Groupe d’information et de soutien des immigrés (Gisti), qui faisait partie des ONG à l'origine de cette saisine du Défenseur des droits (avec la FIDH, la LDH, le Mrap, le SM...), et qui fait partie des ONG appelant à la manifestation organisée, à cette occasion, par le collectif Uni(e)s contre une immigration jetable (voir aussi la carte RESF des mobilisations), a résumé le rapport du Défenseur des droits, en évoquant des "violences institutionnelles, notamment policières, les pouvoirs publics (ayant) laissé un État policier se substituer à l’État de droit".
Le Gisti dénonce ainsi le pourrissement de la situation, au mépris de la loi, destiné à dégoûter les migrants de tenter, en restant à Calais, de franchir la Manche (voir Un « État policier » au cœur de la République pour une « guerre » aux migrants) :
« Il fallait à tout prix les dissuader de venir chercher une protection. A tout prix, c’est-à-dire en les entassant dans un camp où les conditions de vie étaient infra-humaines, en les informant aussi peu que possible de leur droit à solliciter l’asile, en usant et en abusant de règles européennes qui leur imposaient et leur imposent toujours aujourd’hui de demander cet asile à des États de l’Europe où, pour l’essentiel, ils sont traités de façon dégradante et ont le moins de chances d’obtenir la protection espérée. »
Dans le Calaisis, le Gisti souligne ainsi qu'"un effectif permanent de 580 agents des forces de l’ordre (connaît-on ailleurs une pareille mobilisation policière ?) peut tout se permettre contre les migrants" :
À cela s’ajoute l’inertie voire la complicité active du pouvoir judiciaire, au mépris de son rôle de garant des libertés individuelles. Le Défenseur des droits montre qu’il a renoncé au moindre contrôle du pouvoir policier pour lui laisser les mains libres. S’agissant du traitement des migrants, le Calaisis s’apparente ainsi à un « État policier » :
"Censé défendre les intérêts de la société, note le Gisti, le parquet sombre dans la léthargie dès lors qu’il s’agit de veiller au respect des droits fondamentaux des migrants" :
« Comme distributeur automatique de « réquisitions » qui couvrent les opérations des forces de police, son activité ne se dément pas. Mais quand il s’agit de contrôler que ces mêmes forces ne passent pas les bornes de la loi et, le cas échéant, de les sanctionner, le parquet s’inscrit aux abonnés absents avec une telle constance qu’il ne peut que se savoir approuvé par son ministre de tutelle. »
"Le ministre de l’intérieur dispose d’un trimestre pour y réagir", rappelle le Gisti. "Mais la gravité des dérives est telle qu’elle excède de beaucoup sa seule compétence. Car ce sont les libertés publiques et l’État de droit en général qui sont affectés par cette lutte contre l’immigration, au service de laquelle la République use des moyens expéditifs et violents que l’on connaît en situation de guerre".
Le Gisti, qui a récemment publié un « dossier noir des naturalisations » pour dénoncer des pratiques inacceptables, et qui rappelait également que pour la seconde fois en 2012, la Cour européenne des droits de l’Homme a condamné la France pour sa façon de maltraiter les migrants, fait par ailleurs partie des associations bénéficiant d’une déduction fiscale de 66 % en matière d'impôt sur le revenu (un don de 150 € coûte au final 50 €). Il vous reste donc encore deux semaines pour lui adresser vos dons...
RESF, de son côté, vient de lancer une campagne "Ecrire à Messieurs Hollande et Valls" afin de leur envoyer, à Noël, des paquets de lettres de sans papiers, et de citoyens choqués de découvrir que, bien que Nicolas Sarkozy ne préside plus la France, rien n'a changé (voir les lettres déjà recensées).
Enfin, et si vous voulez (vous) faire plaisir à Noël, achetez Xénophobie business - À quoi servent les contrôles migratoires ? (extraits), le livre-enquête de Claire Rodier, juriste au Gisti, sur la privatisation des contrôles aux frontières, et le florissant marché de la chasse aux sans-papier (cf son interview dans Libé : "Des frontières qui servent à générer des profits financiers et idéologiques", ou encore le podcast de son interview sur NovaPlanet ).
Voir aussi :
Calais: des réfugiés aux doigts brûlés
Peut-on obliger les policiers à violer la loi ?
80% des sans papiers arrêtés sont relâchés
La France refoule 12% des artistes africains
Le viol des réfugiées « relève de leur vie privée »
Au pays des droits de l'homme, il est possible de placer en centre de rétention des nourrissons
Si Facebook avait existé en mai 68, les étudiants s'en seraient servis pour s'exprimer et s'organiser, les gaullistes pour identifier les meneurs de la "chienlit", et les journalistes pour les interviewer. Le parti communiste, lui, aurait probablement dénoncé la collusion "crypto-capitaliste" de ces "petits cons" se répandant à l'envi sur un média impérialiste...
Je suis effaré du nombre de défenseurs des droits de l'homme & de "vieux cons" (expression témoignant paradoxalement de toute l'affection que je leur voue, cf "Les "petits cons" parlent aux "vieux cons"") qui ont "peur" de Facebook en particulier, et de l'Internet en "général" (& si j'ose dire).
Internet n'est pas tant une société de surveillance qu'un monde de transparence. Refuser d'y apparaître, d'y participer ou de s'y investir parce que cela ferait le lit de "Big Brother" est à peu près aussi subtil que de refuser la libération sexuelle au motif qu'elle ferait le lit des maladies vénériennes, des grossesses non désirées et donc des avortements... (voir aussi "Les RG l’ont rêvé, Facebook l’a fait… #oupas")
"Les internautes sont la nouvelle chienlit". Dans les années 90, ils créaient des pages perso, puis des blogs dans les années 2000, aujourd'hui, ils s'expriment (notamment) sur Facebook et Twitter. Je ne sais si Facebook existera encore dans 5 ans, ni si Google sera toujours la régie publicitaire, et le moteur de recherche, dominant tous les autres. Il y a par contre fort à parier que les gens continueront à utiliser l'Internet pour s'exprimer. Ceux qui ont peur de le faire, de peur d'être harcelés de publicités ciblées, surveillés voire fichés, ont grand tort d'être ainsi effrayés : on peut tout à faire être très actif sur le Net sans, pour autant, y mettre sa vie privée en danger, il suffit de faire attention, voire de se protéger (cf "Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d’aller chercher sur l’internet…")
La Ligue des droits de l'homme (LDH) m'a proposé d'écrire un article à l'intention de tous ceux qui assimilent Internet à une "société de surveillance", au vu de la somme colossale, inédite et potentiellement dommageable de données personnelles qu'accumulent, agrègent, interconnectent voire partagent Google, Facebook et consorts (voir "Facebook sait si vous êtes gay, Google que vous êtes enceinte", et/ou « Facebook a dit à mon père que j’étais gay »). Mais de même que l'on peut, certes, attraper une MST, voire déboucher sur une grossesse non désirée, quant on fait l'amour, on ne peut décemment pas réduire la sexualité aux seuls dommages collatéraux qu'elle peut entraîner.
On en causera ce mercredi 28 novembre de 18h30 à 22h30 à l’Ageca (177 rue de Charonne 75011 Paris), dans le cadre d'une conférence-débat intitulée "Les nouvelles technologies au service du citoyen ?", retransmise en direct sur le site de l’Ageca et où je parlerai du fichage, mais où il sera aussi -et notamment- question de vidéosurveillance avec Noé Leblanc, des puces RFID avec Jean-Claude Vitran, et de la liberté d’expression et des réseaux sociaux avec Dominique Cardon.
Signe des temps, et de cette "peur" que peuvent engendrer les réseaux sociaux, j'avais proposé que ma contribution, compilation de deux interviews que j'avais accordées au blog du modérateur (sur l'"Identité numérique, entre liberté d'expression et vie privée", et les notions de "Vie privée et surveillance"), et que j'avais précédemment compilées dans un (long) billet intitulé "Le problème, ce n'est pas la transparence, mais la surveillance", soit ré-intitulée "Internet n'est pas une société de surveillance". Elle n'en a pas moins été retitrée "Un Internet Big Brother ?", dans le n° 157 de Hommes & Libertés, la revue de la LDH, qui l'a publiée cet été. La voici donc dans sa version originale :
Plusieurs faits, couplés à un traitement journalistique alarmiste, ont fait ressurgir le spectre de Big Brother sur le web. Les internautes ont-ils des raisons de se méfier de l'exploitation de leurs données personnelles ?
Oui et non. C’est tout le problème que je pose dans « La vie privée, un problème de vieux cons ». D’un côté, les internautes ont envie de s’exprimer. Un des points forts d’Internet est la concrétisation d’un droit, la liberté d’expression, que l’on a depuis 1789 mais qui a longtemps été réservé aux journalistes et aux gens de pouvoir. Aujourd’hui, tout le monde peut prendre la parole. C’est une avancée dans le bon sens. Le problème est que des gens ont comme métier d’agréger des données personnelles et peuvent s’en servir à des fins intéressées.
La question n’est pas seulement celle des données personnelles mais aussi celle de la liberté d’expression. Est-ce parce que des gens se servent de façon inappropriée de nos données personnelles que nous devrions nous taire ? Va-t-il falloir brider la liberté d’expression de peur de se voir espionner ? Un parallèle peut se faire avec la libération sexuelle. Pendant très longtemps, il était très mal vu qu’une femme se promène toute seule, se maquille ou porte des minijupes. Des féministes sont arrivées, ont fait la libération sexuelle, et les mœurs ont évolué. C’est désormais acquis et naturel, c’est devenu un droit fondamental dans notre société. Donc oui, il faut avoir peur de l’utilisation qui peut être faite de notre liberté d’expression et donc de nos données personnelles, mais le problème ne vient pas de nous, internautes. Il vient de ceux qui veulent les utiliser à des fins néfastes. Il faut donc faire évoluer notre société de l’information pour qu’il soit considéré comme naturel et normal d’exprimer ses idées sans que cela puisse pour autant se retourner contre nous.
Ce changement doit-il passer par la législation ou par l’évolution des usages et des mentalités ?
Les deux ! Les gens doivent apprendre à gérer leur réputation et à se construire une identité en ligne. Il ne faut pas hésiter à avoir plusieurs profils, à prendre des pseudonymes pour protéger certaines informations qui peuvent nuire. Une évolution de la société de l’information est également nécessaire. Faut-il passer par une évolution législative ? Je ne sais pas exactement comment cela peut se passer. Un groupe de travail au sein de la FING dénommé Identités actives a actuellement une réflexion sur la loi informatique et libertés 2.0. Ils se demandent notamment s’il ne faut pas introduire le droit au mensonge et le droit d’utiliser des outils pour bloquer les logiciels espions et les outils d’agrégation de données personnelles mis en place par certaines sociétés, "services" ou administrations dont le métier est de s'intéresser à nos données personnelles. Cela permettrait de se protéger et de décriminaliser le fait de se défendre.
Quels sont les principaux risques pour les prochaines années en matière d’identité numérique et de vie privée ?
L’absence de conscience politique et de maîtrise de l’Internet de ceux qui décident. Dès le lendemain du 11 septembre, on a commencé à mettre en cause Internet car les terroristes avaient utilisé le réseau pour préparer les attentats. On s’est aperçu depuis que c’était complètement faux. Pourtant, Internet a été placé sous surveillance dans les mois qui ont suivi. On assiste à une diabolisation du web depuis des années. On le voit encore aujourd’hui avec Hadopi. Il y a des atteintes répétées aux libertés qui modélisent une société de surveillance. La société de l’information est pour moi un espace de liberté, pas un espace de surveillance. En démocratie, on parle de présomption d'innocence, pas de présomption de culpabilité, or, sur l'internet, nous sommes surveillés, et présumés suspects. Un autre problème est la prise de conscience des internautes sur ces questions de libertés. Ils doivent exercer une pression face aux entreprises privées qui soit telle que ces dernières ne puissent que respecter leurs clients. Le problème se pose avec Facebook ou Google. Il est nécessaire d’avoir un contre-pouvoir pour qu’ils ne deviennent pas des « littles brothers ».
Par quels moyens cette prise de conscience peut-elle se faire ?
Il faut que l’information circule, que cela devienne quelque chose de normal. On peut comparer cela à l’exemple de la ceinture de sécurité. Pendant des années, ce n’était pas du tout un réflexe de la mettre. Quand la loi l’a imposé, les gens ont protesté. Quelques années après, c’est devenu un réflexe. Cela doit également le devenir pour les internautes. Cela va aussi passer par des accidents. Certains vont être malheureusement humiliés sur la place publique et voir leur vie privée exposée au grand public. Ce seront des exemples à ne pas suivre. Tant que les gens ne prennent pas les précautions pour se protéger eux-mêmes, il y aura des sorties de route. Je n’ai bien sûr pas envie de provoquer ces accidents. Je constate juste qu’il y en aura et qu’ils vont peut-être aider les gens à prendre conscience des risques. Cette nouvelle technologie fait que la liberté d’expression et de circulation est plus forte que jamais. Cela a été tellement rapide que les mentalités n’ont pas suivi. Nos sociétés doivent donc évoluer pour digérer et encadrer toutes ces libertés offertes. Mais la situation est assez paradoxale. Je m’intéresse aux technologies de surveillance et de vie privée depuis de nombreuses années. Je suis assez défiant envers les gens qui disent « Faites-moi confiance ». Non, on ne peut pas avoir confiance aussi simplement. En même temps, j’ai l’impression que c’est ce que je viens de dire à propos d’Internet… Pour avoir confiance, il faut avoir de la défiance. C’est assez complexe, on ne sait pas comment cela va évoluer. Il y a encore beaucoup de choses à comprendre et à faire. C’est extrêmement important de s’y mettre dès maintenant.
Quelles différences d’usage de l’Internet peut-on observer chez ceux que vous nommez « petits cons », à savoir la génération des "digital natives", par rapport aux générations précédentes ?
Dans mon article "La vie privée, un problème de vieux cons", je partais du constat qu’un certain nombre de gens, nés depuis les années 80, ont été habitués à la vidéosurveillance, à la traçabilité des communications, et considèrent que ceux qui ont un problème avec cette inflation de technologies de surveillance et de contrôles sont des "vieux cons". Dans un second article, "Vie privée, le point de vue des petits cons", j’essayais d’expliquer que cette génération de natifs du numérique, les "digital natives", qui sont nés avec Internet, a un rapport à la vie privée et à la vie publique qui est très différent de ceux qui ont grandi avant, et sans. En résumé, leur vie privée est sur Facebook, parce que c'est là qu'ils retrouvent leurs potes. La vie privée, pour ceux qui ont grandi sans connaître Internet, c’était quand ils voyaient leurs copains, pour aller au terrain de foot, au centre commercial, ou en bas de l’immeuble. Les mêmes, aujourd'hui, s’indignent de voir que Facebook regorge de données personnelles. Sauf que c’est là où les jeunes se retrouvent entre-eux, c’est leur vie sociale ! Et il faut bien comprendre que cette socialisation relève tout autant de la vie privée que de la vie publique. Il faut bien voir, par ailleurs, que ceux que j’ai appelé les "petits cons" (ceux qui ont un usage intense de l’Internet, qu’ils soient nés depuis les années 80-90 ou comme moi dans les années 70, voire avant) sont des gens qui ont compris que sur Internet, la question n’est pas tant celle de la vie privée que de la vie publique, y compris sur Facebook. On peut en effet tout à fait avoir une vie privée dans des espaces publics : quand vous rencontrez quelqu’un dans la rue ou dans un café, c’est un espace public. Quand vous commencez à raconter votre vie à votre meilleur ami dans ce café, vous parlez de votre vie privée : vous avez donc une vie privée dans un espace public. Il ne faut pas opposer vie privée et vie publique. Et c'est ce qui se passe sur le Net en général, et Facebook en particulier. Les utilisateurs sont conscients qu'ils y mènent aussi une vie publique, et ils en jouent, se mettent en scène et en avant.
La banalisation de l'exposition de soi date des années 70-80, pas de l'internet : Andy Warhol avait déclaré en 1968 que "Dans le futur, chacun aura droit à 15 minutes de célébrité mondiale", et tous ceux qui sont nés depuis les années 70 ont été filmés avant même d'être nés, avec l’échographie, puis filmés au caméscope VHS dans les années 80, avant que les années 90 ne banalisent les reality show, les appareils photos numériques et les téléphones portables équipés de caméras. De plus, le rapport aux enfants a complètement changé depuis les années 60 et 70, depuis la libération sexuelle. Avant, il y avait l’autorité du père, et l’enfant devait attendre l'adolescence, voire l'âge adulte, pour être reconnu comme personne à part entière ayant le droit de s’exprimer. Avec la libération des femmes, la révolution sexuelle, et la redéfinition du rôle du père, tout cela a complètement changé : les enfants sont au centre de la famille, au centre de toutes les attentions – médicale, sociale, parentale - et donc sont constamment surveillés, exposés et mis en scène, exposés par leur entourage. Le fait d’être mis en avant, mis sur un piédestal, et d’être photographié, filmé en permanence, c’est quelque chose que tous ceux qui sont nés depuis les années 80 connaissent. Ceux que j’ai surnommés les "petits cons", les natifs du numérique, ce sont ceux qui ont effectivement compris l’intérêt de l’exposition de soi sur Internet ; ils s’en servent pour se mettre en scène, pour donner une bonne image d’eux. Par exemple, comme cette adolescente qui disait "Moi ça ne me pose pas particulièrement de problème de poser à moitié nue, voire nue en photo et d’être montrée sur Internet, si la photo est belle". C’est aussi simple que ça. Parce que l’important, c’est de se faire un nom, d’être beau, et de se faire respecter comme on est.
Ces jeunes ont-ils conscience que plus tard, cela pourrait leur nuire ?
Ceux qui débarquent sur les réseaux sociaux ne sont pas complètement conscients de tout cela. En même temps, et au vu du nombre d'articles et de reportages consacrés à la question de la vie privée sur Facebook, difficile de croire qu'il puisse encore être possible de ne jamais en avoir entendu parler même si, depuis un an et demi que cette histoire de "droit à l’oubli" tient le haut du pavé, il m’arrive fréquemment, quand je suis interviewé, d’être pris à partie par le journaliste ou un employé, qui vient me voir en aparté, horrifié, car son enfant est sur Internet et qu’il a peur des pédophiles. Internet n’est pas le royaume de la pédophilie et des cyber-terroristes, il faut arrêter avec cette diabolisation de l’Internet, qui passe aussi par cette thématique du "droit à l’oubli".
J’ai commencé à faire cette enquête sur les "petits cons" et les "vieux cons" suite à la polémique suscitée par Edvige. L’argument soulevé par les défenseurs de ce fichier policier, à destination des services de renseignements, était de dire qu'ils ne comprenaient pas où était le problème puisque de plus en plus de monde publie des données personnelles sur Facebook. C’est de la novlangue, comme dirait George Orwell ! Un fichier policier censé identifier les suspects n’a strictement rien à voir avec le fait je m’exprime sur Facebook pour partager un lien, une vidéo ou raconter ce que je viens de manger. Il y a d’un côté quelque chose qui relève de la liberté d’expression et de l’exposition de soi, et de l’autre un fichier de suspects.
Les fichiers policiers, administratifs ou sociaux, mis en place par des politiques ou des administrations afin de surveiller les gens, c’est de la société la surveillance, alors que quand je décide de m’exprimer sur un blog ou un réseau social, c’est moi qui décide de m’exprimer, c'est de la transparence, de la liberté d'expression. C’est comme la différence entre le fait d’être vidéosurveillé à son insu et le fait de choisir d’apparaître dans un film. La société de surveillance, c’est le modèle de Big Brother, c’est quelqu’un qui décide de surveiller d’autres personnes. Internet n’est pas la société de surveillance, puisqu’il s’agit de gens qui décident de s’exprimer. C’est antinomique. Le Net est de l’ordre de la transparence, pas de la surveillance. A force de se focaliser sur Internet qui serait de la société de surveillance et sur le faux débat du droit à l’oubli, ça permet de faire passer plus simplement la vidéosurveillance, la biométrie, les fichiers policiers, le croisement des fichiers sociaux, toutes ces choses que je dénonce. Et il n'est pas anodin de remarquer que c'est précisément suite au scandale Edvige que le débat sur le "droit à l'oubli" a été initié. Or, paradoxalement, on trouve très peu de gens victimes de ce que l'Internet reflète d'eux, alors que, et pour prendre ce seul exemple, un rapport de la CNIL a révélé l'an passé que plus d'un million de gens, blanchis par la Justice, sont toujours fichés comme "suspects" dans le fichier STIC de la police. Les véritables victimes de cette absence de "droit à l'oubli" ne sont pas sur le Net.
Concrètement, y a t-il des moyens d’échapper à cette société de surveillance ?
Sur Internet, oui. Le gouvernement français s’est enfin décidé à expliquer aux chefs d’entreprises ou aux universitaires qui travaillent sur des données sensibles comment sécuriser leur ordinateur pour éviter de faire l’objet d’actions d’espionnage de la part de sociétés ou de services de renseignements étrangers. L’espionnage économique et industriel est une réalité. C’est ce qu’on appelle l’intelligence économique, la guerre de l’information. Maintenant, quand vous allez aux Etats-Unis par exemple, la douane est tout à fait habilitée à saisir votre ordinateur et faire un duplicata de votre disque dur, et elle le fait couramment. C’est de l’espionnage industriel. Le gouvernement s’est enfin saisi de la question et a publié deux modes d’emploi il y a quelques mois. Il y a donc des moyens : il faut sécuriser son ordinateur, chiffrer une partie voire l’intégralité de son disque dur, chiffrer ses communications si l’on veut vraiment qu’elles restent confidentielles. Il y a des outils qui permettent de le faire, des outils de cryptographie notamment, et ce n’est pas si compliqué à utiliser, il faut juste décider de s’y mettre (cf mon "petit manuel de contre-espionnage informatique"). Le problème c’est que jusqu’à présent les pouvoirs publics comme les prestataires de services ne se sont pas pressés pour en faciliter ou en promouvoir l'utilisation.
Il est clair qu’il faut d’abord être sensibilisé à la question et ensuite décider de s’y mettre et apprendre à utiliser ces outils. Mais on l’a vu avec le débat sur l’Hadopi : énormément de gens ont commencé à se demander comment sécuriser leur ordinateur pour éviter d’être espionné. Et ça fait peur aux services de renseignement. En Grande-Bretagne, avec le projet similaire à Hadopi, les services de renseignements ont expliqué que de plus en plus de citoyens vont chiffrer toutes leurs communications donc qu’il va être de plus en plus difficile pour eux d’arriver à savoir qui sont les terroristes, à identifier les criminels, et à pouvoir écouter les gens dans le cadre d'enquêtes de police judiciaire.
A partir du moment où on souhaite pouvoir surveiller tout le monde, à considérer tout le monde comme suspect et mettre en place toute une usine à gaz (ce qu’est l’Hadopi), on va créer des erreurs. Le paradoxe de l’Hadopi, c’est qu’il nous appartient de démontrer notre innocence. Dans un Etat de droit, on est présumé innocent, et c’est à l’accusation de prouver notre culpabilité. Avec l’Hadopi, c’est l’inverse. La réaction d’un grand nombre d’internautes va donc être de prendre leurs dispositions pour se protéger.
Comment voyez-vous le futur de cette surveillance ? Est ce que les internautes vont trouver les moyens de combattre, ou va-t-on assister à une surenchère de dispositifs?
J’ai tendance à considérer qu’Internet est moins une partie du problème qu’une partie de la solution, au sens où c’est un contre-pouvoir du fait de la liberté d’expression, car ce ne sont pas seulement les personnes autorisées qui sont amenées à s’exprimer : les gens peuvent apprendre à se protéger et peuvent dénoncer cette société de surveillance. Les gens sur Internet sont de plus en plus conscients.
L’Internet est un très bon contre-pouvoir face à cette société de surveillance. Maintenant, concernant la société de surveillance hors Internet, on est dans une mécanique infernale où plus ça va, plus il y a de technologies, plus il y a de lois qui placent les gens sous surveillance et qui en font des suspects potentiels. Je ne sais pas du tout quand la machine va s’enrayer, quand l’on va remettre l’accent sur la liberté et non sur le sécuritaire. Si mon hypothèse, à savoir le parallèle entre la libération de l’expression et la libération sexuelle, entre cette révolution de l’information et les bouleversements entraînés notamment par les féministes et homosexuels dans les années 70 est vraie, j’ai tendance à penser qu’à terme, les internautes vont gagner. Voire qu'on a déjà gagné...
Voir aussi :
Hadopi s’enfonce dans le ridicule
Et si on vidéosurveillait les policiers ?
Facebook et le « paradoxe de la vie privée »
Tout le monde à droit à son 1/4h d’anonymat
« Un peu de parano ne fait pas de mal », dixit le FBI
Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d’aller chercher sur l’internet…
Michael Clancy est "l'un des plus hauts responsables du FBI" selon l'AFP. Récemment auditionné par le Sénat américain, ce "Deputy Assistant Director of the Counterterrorism Division" vient de déclarer à l'AFP que maintenir "un peu de paranoïa ne fait pas de mal" pour mobiliser les Américains et "faire trébucher" les terroristes.
"Nous ne sommes pas la police de la pensée, nous n'avons pas de raison de surveiller un concert de militants de la suprématie blanche, c'est une assemblée légale", a-t-il expliqué : "nous n'enquêtons pas sur les idéologies mais seulement sur les gens qui passent à l'étape supérieure" :
"Dans un grand pays comme le nôtre, qui compte plus de 300 millions d'habitants, et où coexistent des idéologies et des croyances différentes, il est presque impossible de deviner à quel moment quelqu'un va tout à coup commettre un acte épouvantable".
Ce pour quoi le FBI n'hésite pas à infiltrer des cellules potentiellement terroristes, et même à pousser certains de ses membres à passer à l'action, quitte à leur fournir les explosifs, et les cibles, de leurs attentats.
Cette "opération Tripwire" -"opération croche-pied", en VF- réserve aussi quelques surprises, à l'image de ce quatuor arrêté pour avoir acheté les stocks d'acétone, un produit très recherché par les apprentis terroristes, dans trois magasins collaborant avec le FBI :
En fait, "ils ne cherchaient pas à fabriquer une bombe, ils faisaient de la marijuana synthétique", se souvient M. Clancy, "c'est une grande 'success story', même si cela n'a pas été l'affaire terroriste du siècle".
En septembre 2011, une enquête très fouillée des journalistes américains de Mother Jones, "Terrorists for the FBI", révélait ainsi que la majeure partie des projets d'attentats initiés aux USA depuis 2001 avaient été organisés avec l'appui du FBI, via l'un de leurs 15 000 informateurs, payés pour infiltrer les communautés musulmanes aux USA (voir "Pourquoi le FBI aide-t-il les terroristes?").
L'enquête de Mother Jones a depuis reçu le prix du data journalisme 2012, décerné par le Global Editors Network (GEN, qui réunit plus de 900 rédacteurs en chef de 80 pays) et l'European Journalism Centre (EJC).
Le "scoop" de l'AFP permet de mieux comprendre ce pour quoi, et comment, le FBI cherche ainsi à pousser les "loups solitaires" à commettre des attentats :
"Au commencement, il y a quelqu'un qui nous dit "je connais quelqu'un qui connaît quelqu'un qui peut-être veut faire exploser quelque chose". Il y a ensuite un agent infiltré qui surveille le suspect, jusqu'à lui fournir les ultimes composants d'une bombe."
En réponse à ceux qui accusent le FBI de "piéger des amateurs qui ne seraient peut-être pas allés jusqu'au bout sans son aide", Michael Clancy répond que le FBI a "toujours respecté la loi", afin de garantir les "droits et libertés" garanties par la Constitution américaine :
"La personne qui finalement appuie sur le déclencheur d'une bombe inerte nous a dit clairement, sans l'ombre d'un doute, qu'elle veut faire exploser quelque chose. L'aurait-elle fait avec ou sans nous? Ce n'est pas un risque que nous voulons prendre".
Étrangement, le "scoop" de l'AFP omet toute référence au terrorisme islamiste, se bornant à évoquer la propension du FBI à ne pas s'inquiéter outre-mesure de la menace posée par les "militants de la suprématie blanche", au motif qu'il s'agirait d'une "assemblée légale" (aux USA, on a le droit de se proclamer raciste, ou bien nazi).
Or, si le témoignage (vidéo, à la 41e minute) de Michael Clancy sur la menace terroriste intérieure ("domestic extremism") devant le Sénat américain, le 19 septembre 2012, ne fait lui non plus aucune référence à la menace islamiste, il n'en pointe pas moins du doigt l’extrêmisme anarchiste, les suprémacistes blancs, les milices paramilitaires, les "éco-terroristes" ainsi que les "criminels en col blanc" qui, membres du "Sovereign citizen movement" qui, refusant de reconnaître les lois locales, fédérales et étatiques, "exploitent la crise de l'immobilier".
Le FBI a de quoi rendre parano les suprémacistes, les racistes, les anarchistes, les "éco-terroristes", sans oublier les islamistes, potentiellement infiltrables, voire infiltrés. Normal, c'est son boulot. Mais de là à armer les apprentis terroristes, et à les pousser à passer à l'acte, il y a un pas, qui ne grandit pas les USA.
Le funeste Patriot Act, texte liberticide de 132 pages préparé bien avant le 11 septembre 2001, mais opportunément adopté juste après les attentats, est une autre illustration des dérives que permettent la lutte anti-terroriste aux Etats-Unis.
Entre 2006 et 2009, le NYMag, auteur du graphique ci-contre, a ainsi récensé 1618 perquisitions "coup d'oeil" ("sneek and peek", en l'absence des personnes perquisitionnées) dans des affaires de drogue, 122 pour fraudes, et seulement 15 pour terrorisme, soit 0,92%... (voir "10 ans après, à quoi ont servi les lois antiterroristes ? ").
Le 26 mai 2011, quelques heures avant l'expiration du Patriot Act, le Congrès américain décida sa reconduction, jusqu'en juin 2015, comme le rapportait alors l'AFP :
"Trois mesures sont considérées comme cruciales par l'administration et les services antiterroristes dans le Patriot Act: la "surveillance mobile" des communications de suspects utilisant plusieurs lignes téléphoniques, le principe du "loup solitaire" qui permet d'enquêter sur une personne paraissant mener des activités terroristes pour son propre compte, la possibilité pour les autorités d'accéder à "toute donnée tangible" concernant un suspect, comme des courriers électroniques."
Pierre Desproges s'amusait à répéter que « Ce n’est pas parce que je suis paranoïaque qu’ils ne sont pas tous après moi ». Page 291 de "Tarnac, magasin général", le journaliste David Dufresne relevait de son côté cette blague qui circule à la SDAT (Sous-direction anti-terroriste) :
« Le terrorisme, il y a plus de gens qui en vivent que de gens qui en meurent. »
L'antiterrorisme a bon dos.
Voir aussi :
Soudain, un espion vous offre une fleur
L'espion qui aurait pu empêcher le 911
Facebookés à leur insu par le Big Brother US
Et si on vidéosurveillait les policiers ?
INDECT et le « rideau de fer » sécuritaire européen
Plop
";s:7:"dateiso";s:15:"20121116_162224";}s:15:"20121109_205950";a:7:{s:5:"title";s:103:"« L’Internet est libre »… mais pas notre pays. Lettre ouverte au président de l’Azerbaïdjan";s:4:"link";s:147:"http://bugbrother.blog.lemonde.fr/2012/11/09/linternet-est-libre-mais-pas-notre-pays-lettre-ouverte-au-president-de-lazerbaidjan/#xtor=RSS-32280322";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=3883";s:7:"pubDate";s:31:"Fri, 09 Nov 2012 19:59:50 +0000";s:11:"description";s:467:"Emin Milli (Facebook / Twitter) a décidé de devenir écrivain en prison, après avoir découvert, dans un livre de Vaclav Havel, la notion de "dissident involontaire". En 2009, un ami avec qui il organisait régulièrement des débats publics pour parler … Continuer la lecture ";s:7:"content";s:11955:"Emin Milli (Facebook / Twitter) a décidé de devenir écrivain en prison, après avoir découvert, dans un livre de Vaclav Havel, la notion de "dissident involontaire". En 2009, un ami avec qui il organisait régulièrement des débats publics pour parler de politique lui proposa d'enfiler un déguisement d'âne, et de jouer du violon. Les autorités avaient en effet acheté (fort cher) une ribambelle d'ânes, et les deux compères, plutôt que de comptabiliser tout ce à quoi aurait probablement pu servir bien plus utilement cet argent en Azerbaïdjan, décidèrent de s'en moquer de façon potache.
Quelques jours plus tard, ils étaient violemment agressés dans un restaurant. Au commissariat où ils vinrent porter plainte, les policiers décidèrent de laisser partir leurs agresseurs, et d'incarcérer les agressés, accusés d'"hooliganisme". Au terme d'une parodie de procès, ils furent condamnés à 2 ans 1/2 de prison. Du fait de la pression internationale, ils furent finalement libérés 16 mois plus tard, mais restent toujours coupables de ce pour quoi ils ont été condamnés.
A l'occasion du Forum sur la gouvernance de l'Internet, qui se déroulait du 6 au 9 novembre 2012 à Bakou et où je m'étais rendu pour tourner un documentaire pour Arte sur l'histoire de l'Internet, du point de vue des défenseurs des droits de l'homme et des libertés (voir mon reportage, Derrière les palissades azerbaïdjanaises - Fuck you ! This is my culture !), Emin Milli a publié une lettre ouverte dans The Independent, que je lui avais proposé de traduire en français, et de la publier sur ce blog.
Mais au lendemain de notre rencontre, un agent du gouvernement nous attendait dans le hall de notre hôtel. Puis, un policier en civil a menacé de saisir notre matériel de tournage. L'Internet est peut-être libre en Azerbaïdjan, et on peut certes s'y exprimer, mais les barbouzeries dont ont été victimes nombre de journalistes, blogueurs et défenseurs des droits de l'homme m'ont poussé à m'auto-censurer, momentanément, et à attendre d'être de retour en France pour pouvoir en parler, et publier sa lettre en français. Il était hors de question que je risque de voir saisies les nombreuses interviews j'ai pu faire à Bakou.
en tant que citoyen et ancien prisonnier de conscience, je suis ravi de voir que l'Azerbaïdjan accueille le Forum de la gouvernance de l'Internet ces jours-ci. La liberté d'expression étant l'un des enjeux majeurs de ce forum, je me permets de profiter de cette opportunité pour m'adresser à vous.
Vous avez un jour déclaré dans un discours que l'Internet est libre en Azerbaïdjan. Je suis sûr que vous le répéterez lors de ce forum sur la gouvernance de l'Internet. Les gens peuvent, de fait, librement se connecter à l'Internet en Azerbaïdjan, mais ils peuvent également être sévèrement punis pour l'avoir fait. Plusieurs rapports indiquent que le gouvernement surveille en effet toutes nos communications Internet, sans mandat judiciaire, et sans que les citoyens, non plus que leurs fournisseurs d'accès, n'en soient tenus informés. Ce pour quoi nombreux sont les citoyens qui n'osent pas s'exprimer, en ligne ou hors ligne. Vous avez réussi à faire qu'ils se taisent.
Les gens vivent dans la peur en Azerbaïdjan. Nous avons peur pour nos vies, pour nos emplois, nous avons également peur pour la vie et le travail de nos pères et mères, frères et soeurs, nous avons peur pour nos amis. Nous avons peur chaque fois que quelqu'un dont nous sommes proches ose exprimer un désaccord avec vous. Nous payons cher, également, quand nous osons ne pas avoir peur. Avant 2009, je vous avais surtout critiqué sur Internet. Et puis j'ai été attaqué dans le centre de Bakou. J'ai été arrêté puis, plus tard, condamné dans un procès spectacle basé sur de fausses accusations de hooliganisme. Mon père est mort pendant que j'étais en prison, sa santé se détériorait depuis le jour de mon arrestation et je n'ai pas pu être à ses côtés lorsqu'il a été conduit à l'hopital, ni quand il est mort. Plusieurs de mes proches et amis ont perdu leurs emplois. On leur expliqua qu'ils étaient trop proches d'un "ennemi de l'Etat". Aujourd'hui, nombreux sont ceux que je connais et qui ont peur de communiquer avec moi, en ligne ou hors ligne, et je les comprends.
Dans notre monde interconnecté, la société civile, les Etats et les entreprises du monde entier doivent travailler ensemble pour que prospère notre société de l'information. Et c'est tout le sens et l'esprit de ce Forum sur la gouvernance de l'Internet. La gouvernance de l'Internet ne peut pas servir correctement son objectif de développement économique, social et durable sans la liberté d'expression, le respect de la loi et une réelle gouvernance démocratique.
Aujourd'hui, un rapport du Conseil de l'Europe a dénombré plus de 80 prisonniers politiques en Azerbaïdjan. Le meurtre, en 2005, du journaliste Elmar Huseynow, n'a jamais fait l'objet d'une véritable enquête. Le Tax Justice Network a estimé que plus de 48 milliards de dollars ont été transférés d'Azerbaïdjan vers des comptes off-shore. Notre économie dépend quasi-exclusivement du pétrole et du gaz, et n'est donc pas durable, sauf à ce que nous parvenions à développer d'autres industries. Les taux actuels de corruption et de monopolisation, ainsi que le gaspillage des fonds publics, nous pousse vers un désastre économique et social. Mais plutôt que de changer la donne, vous avez dépensé 5 millions de dollars pour rénover un parc dans la capitale du Mexique afin d'y installer une statue de votre père, l'ancien général-président -et agent du KGB- Heydar Aliyev, aux côtés des statues de Martin Luther King et de Gandhi. Votre gouvernement a dépensé des centaines de millions de dollars pour accueillir l'Eurovision à Bakou. Dans le même temps, de nombreux Azeris n'ont toujours pas accès à l'eau, au gaz ni à l'électricité. Et récemment, nous avons découvert -sur Internet- que l'un des membres éminents de votre parti avait tenté de vendre un siège au parlement pour un million de dollars. Et personne n'a été puni pour cela.
L'Azerbaïdjan a besoin de réformes réelles, profondes et urgentes. Nous devons changer, passer d'une société de la peur à une société d'opportunités. Ayant été incarcéré pour avoir utiliser Internet pour vous critiquer, ainsi que votre politique, j'ai pu expérimenté une vérité dérangeante : Internet n'est pas libre en Azerbaïdjan, puisque nous y avons peur. Aujourd'hui, notre peur est l'une des principales sources de votre pouvoir, et cette peur est envahissante. Ses conséquences sont dramatiques. La peur mine le développement économique, et décourage la créativité et la curiosité, mais sa principale victime, c'est notre dignité humaine. Nos concitoyens ne peuvent pas réfléchir au-delà de la survie physique, ce qui ne peut que les cantonner dans la pauvreté. Ils méritent mieux que de vivre dans la peur. Ce pays fut le premier à instaurer une république parlementaire démocratique dans le monde musulman de 1918. Depuis 2001, il fait partie du plus vieux club des démocraties en Europe, le Conseil de l'Europe.
Vous avez été le président de l'Azerbaïdjan depuis 2003 et la Constitution vous interdit de vous postuler pour un troisième mandant l'an prochain. Un référendum sur la Constitution a été organisé en mars 2009, après que vous ayez prêté serment sur l'ancienne Constitution. La loi n'est pas rétroactive et cet amendement ne pourra s'appliquer qu'au prochain président. Vous êtes donc limité à deux mandats au terme de l'ancienne Constitution. Il est temps de penser à préparer une transition légitime du pouvoir dans ce pays.
Je n'ai rien contre vous à titre personnel, malgré mon injuste détention. Ceci n'est qu'une humble tentative de vous rappeler, simplement, vos responsabilités, de sorte d'éviter tout changement violent ou imprévisible, comme cela arrive dans les pays où les voix critiques sont ignorées pendant trop longtemps. Contrôler l'Internet, et semer la peur, n'a jamais aidé les autocrates du monde entier à rester au pouvoir, ni transformer de façon responsable leurs sociétés.
Vous pourrez ignorer cette lettre. Vous avez derrière vous une armée importante, et une police puissante. Je n'ai que mes mots, et l'Internet. Mais je persisterai, cela dit, à me rappeler à vous et à notre société au sujet de la vie en Azerbaïdjan, parce que c'est mon devoir civique. Je crois que ce pays sera encore plus agréable à vivre si nous acceptons la vérité sur notre situation, et que nous agirons ensemble pour le faire changer. Alors, nous pourrons enfin espérer pouvoir disposer d'un Internet réellement libre, et annoncer un pays vraiment libre.
Emin Milli, écrivain
Le 5 novembre 21012, à Bakou.
« Dans le futur, chacun aura droit à 15 minutes de célébrité mondiale », avait prophétisé Andy Warhol, en 1968. En 2010, 42 (!) ans plus tard, je m'étais permis de rétorqué que, et a contrario, « dans le futur, chacun aura droit à son quart d’heure d’anonymat ».
Clemence Mercy m'avait croisé à Londres, il y a près d'un an, lors de la conférence de lancement des Spy Files de WikiLeaks, du nom donné à la publication des plaquettes de promotion publicitaire des marchands d'armes de surveillance à laquelle j'avais contribué (voir Internet massivement surveillé, Réfugiés sur écoute, & l'intégralité de la saga des SpyFiles).
Pour mieux comprendre ce dont il est question, Clémence avait proposé de m'interviewer, pour faire le point sur ces questions, savoir jusqu'où l'on pouvait être espionné, et comment s'en protéger. Verbatim augmenté de quelques liens.
- Les Spy Files de Wikileaks évoquaient notamment le cas de compagnies occidentales (comme Amesys) vendant des logiciels à des dictatures arabes à des fins de surveillance. Peut-on craindre une telle surveillance en Europe (en France et au Royaume-Uni, par exemple)?
Mais c'est déjà le cas : le Royaume-Uni fait partie d'Echelon, ce programme anglo-saxon des télécommunications, que Margaret Tatcher aurait utilisé pour espionner deux de ses ministres, et que les Etats-Unis ont également utilisé, à de nombreuses reprises, pour espionner des citoyens américains considérés comme dissidents ou subversifs, parce que pacifistes, opposés à la guerre du Vietnam, considérés comme "agitateurs publics", "extrêmistes", ou encore en matière d'espionnage économique (voir aussi La NSA a accès à toutes les communications des Américains (et surtout celles des journalistes)).
On n'a pas de preuve que Frenchelon, le système équivalent français (en plus petit, cela dit, cf Frenchelon: la carte des stations espion du renseignement français et Frenchelon: la DGSE est en « 1ère division »), a été utilisé pour ce genre d'espionnage politique, mais la France a connu nombre de cas d'espionnage politique des communications téléphoniques, notamment de journalistes (sous Mitterrand, comme sous Sarkozy).
Par ailleurs, le RIP Act britannique, tout comme la Loi sur la sécurité quotidienne (LSQ) en France, adoptés dans la foulées du 11 septembre 2001, obligent les FAI à garder les traces de ce que font les internautes... au cas où, une traçabilité généralisée confirmée par une directive européenne de 2006 sur la "conservation des données de connexion" qualifiée, par le Contrôleur européen à la protection des données, qui appelle à son abrogation, d'"atteinte massive à la vie privée" (voir La France, championne d'Europe de la surveillance des télécommunications & La conservation des données, ça c’est vraiment CEPD).
La différence avec les systèmes vendus aux dictatures arabes (et pas seulement, voir Barbouzeries au Pays de « Candy »), c'est que les systèmes utilisés dans nos démocraties sont bien plus puissants que ceux, conçus dans ces mêmes démocraties, et vendus à des pays moins (voire pas du tout) regardants en matière de protection des droits de l'homme et de la vie privée. Conséquemment, on peut tout autant être espionné dans nos contrées, par contre, on a beaucoup moins de chance d'être torturé.
- Que font les gouvernements des informations ainsi recueillies?
Officiellement, ce genre de système de surveillance de l'Internet a été conçu pour lutter contre les terroristes, les trafiquants de drogue, et les pédophiles (sic, voir Amesys accuse l’ambassadeur de Libye de pédophilie); dans les faits, on sait qu'ils servent aussi (voire avant tout) à faire de l'espionnage (et de la répression) politique.
En France, aucune affaire n'indique que la rétention des données de connexions (logs) ait été utilisée en la matière; mais on ne sait pas, par contre, à quoi a pu servir, ou sert, Echelon ni Frenchelon, dont l'existence n'a jamais officiellement été reconnu. Légalement, les USA interdisent à leur services de renseignement d'espionner des Américains; on a découvert, néanmoins, qu'Echelon avait bel et bien été utilisé pour espionner des Américains. Légalement, je ne sais pas s'il est également interdit aux services de renseignement français d'espionner leurs concitoyens. Mais dans les faits, ils le font (cf mon Racaillotrou, générateur automatique de non-appels à l’émeute).
- Y a-t-il un moyen, des indices, qui permettent de se rendre compte qu'un appareil a été piraté ou qu'une adresse email est surveillée?
Non. D'une part parce que toutes nos télécommunications laissent des traces, traces qui doivent être conservées par les prestataires de services (tel ou net). D'autre part parce qu'il faut partir du principe que tout est piratable, et espionnable. A défaut d'être en état d'arrestation (en mode "Tout ce que vous direz pourra et sera utilisé contre vous"), nous sommes donc bel et bien "en état d'interception", parce que toutes nos télécommunications, qui laissent des traces, pourront être et seront utilisées contre nous.
La question n'est plus, aujourd'hui, et comme le prophétisait Andy Warhol, d'avoir son quart d'heure de célébrité, mais de savoir comment pouvoir obtenir un quart d'heure d'anonymat (voir aussi Facebook sait si vous êtes gay, Google que vous êtes enceinte).
- Y a-t-il une règle d'or pour protéger sa vie privée sur Internet?
Oui : partir du principe que ce que l'on partage sur le Net relève, non pas de la "vie privée", mais de la "vie publique". Il est tout à fait illusoire de penser que ce que l'on partage et donc publie, y compris sous pseudo (& même et y compris en commentaire d'un blog, sur un forum, ou a fortiori sur un réseau social) puisse relever de la "vie privée". La principale faille de sécurité se situe en effet entre la chaise et le clavier, et les internautes, parce qu'ils utilisent souvent les mêmes identifiants ou pseudonymes, sont souvent relativement facilement traçables (voir « Facebook a dit à mon père que j’étais gay », Facebook et le « paradoxe de la vie privée », & Pour en finir avec la « vie privée » sur Facebook).
A contrario, ceux qui, à l'instar de ce que préconisent les services de renseignement, parviennent à cloisonner leurs activités, en utilisant un autre navigateur (vierge de tout cookie & historique), voire un autre système d'exploitation (via une distribution Linux bootable, ou un autre ordinateur), ou en ayant recours aux multiples logiciels & services web d'anonymisation, et/ou de chiffrement, peuvent espérer pouvoir, sinon protéger leur vie privée, tout du moins espérer pouvoir disposer de quarts d'heure d'anonymat (voir Les RG l’ont rêvé, Facebook l’a fait… #oupas).
En l'état, la compréhension, et la maîtrise, de ces techniques et technologies de protection de la vie privée ne sont pas forcément accessibles au plus grand nombre. Mais on y travaille. Cf ces quelques articles et modes d'emploi que j'ai eu l'heur de consacrer à ce sujet :
Gorge profonde : le mode d'emploi
Journalistes : protégez vos sources !
Comment contourner la cybersurveillance ?
Petit manuel de contre-espionnage informatique
A toutes fins utiles, et parce que je n'aimerais pas pour autant laisser entendre que l'Internet serait un "Big Brother" auquel on ne pourrait pas échapper, permettez-moi de rajouter ces quelques liens, vers des articles tentant de montrer ce pour quoi l'Internet me semble plus être du côté de la solution que des problèmes posés par cette "société de surveillance", et que je n'avais pu évoquer dans cette interview :
Les internautes, ce « douloureux probleme »
Les « petits cons » parlent aux « vieux cons »
Le vrai danger, ce n’est pas Orwell, c’est Kafka
"La valeur de la vie privée, c’est de nous permettre d’avoir une vie publique !"
Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d’aller chercher sur l’internet…
Et pour ceux qui avaient raté la conférence de presse de lancement des SpyFiles, à l'origine de cette interview, la voici donc en intégralité :
Récemment, j'intitulais un de mes billets Facebook sait si vous êtes gay, Google que vous êtes enceinte. Facebook vient de confirmer ce que j'écrivais, mais également de franchir la ligne jaune, en révélant, à leur insu, l'homosexualité de deux étudiants à leurs parents (voir Facebook accusé après le coming out involontaire de deux homosexuels).
Les deux jeunes étudiants avaient pourtant tout fait pour cacher leur homosexualité à leurs papas, des religieux conservateurs pour qui les gays ne peuvent finir qu'en enfer. Ils avaient ainsi pris grand soin de paramétrer leurs profils Facebook pour qu'ils soient fermés, et que seuls leurs amis puissent les lire.
A l'université d'Austin, Texas, où ils venaient de s'inscrire, ils avaient trouvé du réconfort au Queer Chorus, une chorale censée les aider à assumer leur homosexualité... jusqu'à ce que son responsable ne les inscrive sur le groupe Facebook de cette chorale gay-friendly. Le groupe n'était pas privé, leur inscription s'est donc affichée sur les murs de tous leurs amis... ainsi que sur ceux de leurs papas : Facebook, par défaut, ne vous demande pas votre autorisation quand un tiers vous rajoute sur son groupe.
"Facebook a décidé de dire à mon père que j'étais gay", déplore Bobbi, la jeune lesbienne qui, dans la nuit qui a suivi cette annonce sur Facebook, a été harcelée au téléphone par son père qui l'a menacée d'arrêter de payer l'assurance de sa voiture, et exigé qu'elle annonce, sur Facebook, qu'elle renonçait à la chorale gaye et à son homosexualité, la traitant de "perverse" qui, sinon, finirait en enfer.
La mère de Taylor, le jeune homosexuel à qui son père ne parle plus depuis ce coming out forcé, explique de son côté que tout le monde, dans son village, sait désormais que son fils est gay, et qu'elle a perdu plusieurs clients dans son magasin à cause de cela.
Contacté par le Wall Street Journal, qui raconte cette histoire (When the Most Personal Secrets Get Outed on Facebook), Facebook a décidé de... rajouter quelques lignes dans son centre d'aide pour expliquer cette fonctionnalité, et rajouter un lien à ce sujet sur l'écran qui s'affiche lorsque l'on veut créer un groupe Facebook.
Cette façon de botter en touche, somme toute désinvolte eu égard aux dommages entraînés pour les deux jeunes homosexuels, est révélatrice de l'aspect schizophrénique qu'a Facebook d'envisager la vie privée de ses utilisateurs (cf Facebook et le « paradoxe de la vie privée »).
Le réseau social propose en effet à ses utilisateurs, et par défaut, de créer des "espaces privés" présentés comme "fermés", alors qu'ils ne le sont pas tant que ça dans la mesure où "n’importe qui peut afficher le groupe et ses membres", ce que précise la page consacrée aux options de confidentialité des groupes :
Fermé : tous les utilisateurs de Facebook peuvent voir le nom et les membres d’un groupe ainsi que les personnes invitées à rejoindre ce groupe, mais seuls les membres peuvent accéder aux publications correspondantes. Vos amis peuvent voir dans leur fil d'actualité que vous avez été invité ou ajouté à un groupe fermé.
Dit autrement : un groupe "fermé" n'en révèle pas moins l'identité de ses membres, quand bien même ils n'aient pas expressément, ni demandé à en faire partie, ni donné leur consentement pour y être invités. En matière de protection de la vie privée, c'est un peu comme si les sites pornographiques, club naturistes ou salons échangistes garantissaient la confidentialité de ce qu'y font leurs clients... tout en affichant la liste nominative de leurs membres actuels, mais également de ceux qui y sont parrainés, ou invités, quand bien même ils ne l'aient jamais demandé.
Pour protéger la vie privée de ses utilisateurs, Facebook propose certes de créer des groupes estampillés "secret", qui ne rendent pas publique la liste de leurs membres, ni n'apparaissent dans les résultats de recherche... mais au vu de cet "outing" forcé de ces deux jeunes homos qui pensaient naïvement avoir correctement paramétrés leurs profils Facebook, ou encore du récent #BugFacebook et de la panique qu'il a engendré, on serait en droit de douter de la capacité de Facebook de réellement pouvoir protéger nos vies privées...
Facebook est un "réseau social" commercial qui vend à des annonceurs le temps de cerveau disponible de ses utilisateurs. Ce pour quoi je m'échine à répéter depuis des années que sur un "réseau social" dont le modèle économique est de monétiser nos profils clients -et donc nos préférences et données personnelles- il est illusoire d'espérer pouvoir mener autre chose qu'une "vie publique", et donc d'y partager des informations pouvant potentiellement attenter à ce que l'on entend par "vie privée" : quand on "partage" une information sur un "réseau social", même en mode "message privé", ou dans un "groupe secret", elle n'en reste pas moins accessible à Facebook, et donc aux annonceurs, sans oublier les autorités qui peuvent, elles aussi, demander à y accéder.
Le WSJ note à juste titre que certains gays utilisent précisément Facebook pour faire leur "coming out", en changeant leur statut de sorte de préciser que, désormais, ils sont intéressés par des personnes du même sexe. C'est même tout l'intérêt d'un "réseau social" : rendre publiques des informations que l'on veut partager avec tous ses "amis", mais que l'on n'a pas forcément envie de leur envoyer "en privé" pour ne pas les déranger ou alors pour, paradoxalement, éviter que cette information n'empiète sur la "vie privée" de celui qui la rend publique.
C'est d'ailleurs ce pour quoi Nathalie Kosciusko-Morizet avait ainsi décidé d'annoncer sa grossesse sur le Facebook & Twitter, afin de mettre un terme aux indiscrétions, et donc aux intrusions dans sa vie privée, dont elle faisait l'objet de la part de journalistes & de paparazzis.
Les partisans de l'"ancien monde" -celui où seules les personnalités ayant accès aux médias avaient une "vie publique"- auraient négocié l'exclusivité de cette annonce -à l'instar d'une Rachida Dati par exemple- avec des médias "people". Les partisans du "nouveau monde" -celui où tout un chacun peut s'exprimer, via le Net, et auquel NKM participe activement- n'ont pas ces pudeurs de jeunes filles intéressées : ils savent que le meilleur moyen de protéger leur vie privée, c'est de ne pas en parler, ou de rendre public ce qui pourrait faire jaser.
Internet est certes un monde de surveillance, dans la mesure où toute action informatique laisse des traces -sauf à prendre la peine de les effacer, ou à savoir comment ne pas en laisser-, mais c'est aussi d'abord et avant tout un monde de transparence : à défaut d'être chiffrés, les mails, conversations et messages privés que l'on s'y échange sont comme des cartes postales, lisibles par ceux qui les font transiter (et qui, souvent, sont tenus par la loi de les archiver).
Internet en général, et le web en particulier, n'a pas été conçu pour y protéger la "vie privée" de ses utilisateurs, mais pour leur permettre de mener une "vie publique". Je n'en ai pas moins tenté d'expliquer, à de nombreuses reprises, comment il n'en était pas moins possible d'y contourner la cybersurveillance, ou encore d'y protéger ses correspondances privées.
Quant on s'exprime publiquement, a fortiori sur les "réseaux sociaux", c'est pour être entendu, et donc lu, vu, débattu. Le WSJ rappelle ainsi qu'une expérience d'Alessandro Acquistie, chercheur à la Carnegie Mellon University, avait révélé en 2010 que, paradoxalement, plus on donne la possibilité aux gens de contrôler leur vie privée, plus on leur donne une "illusion de contrôle" sur les réseaux sociaux, plus ils partagent et, paradoxalement, s'exposent en public...
En 2011, Alessandro Acquistie avait mené une seconde expérimentation, afin de démontrer comment la photographie d’une personne pouvait être utilisée pour retrouver sa date de naissance, son numéro de sécurité sociale et d’autres informations en utilisant la technologie de reconnaissance faciale pour faire correspondre l’image à celles que l’on trouve sur les sites sociaux type Facebook...
Voir aussi :
Ne montrez pas vos fesses sur le Net!
Facebook et le « paradoxe de la vie privée »
Les RG l'ont rêvé, Facebook l'a fait... #oupas
Pour en finir avec la "vie privée" sur Facebook
Pour en finir avec les licenciements Facebook
Facebook sait si vous êtes gay,
Google que vous êtes enceinte. Et ta soeur ?
C’est l’histoire d’un type qui installe des tas de parasols dans son jardin. Son voisin vient lui demander pourquoi :
«- Pour empêcher les crocodiles d’entrer.
- Mais il n’y a pas de crocodiles dans notre région, ni même dans notre pays ! dit le voisin dépité.
- Tu vois, ma stratégie fonctionne ! »
Le projet INDECT a pour objectif de développer des "solutions et outils de détection automatique des menaces" terroristes, criminelles et pédophiles, afin de prévenir, si possible, tout passage à l'acte.
Le combat est légitime, la rhétorique un peu moins (cf, à ce titre, L’internet et les « pédo-nazis », Internet, le meilleur du pire, et/ou L’enfer, c’est les « internautres »).
INDECT mobilise en effet des dizaines de chercheurs et scientifiques, subventionnés par l'Union européenne à hauteur de 10,9M€, afin de créer des systèmes informatiques suffisamment "intelligents" (sic) pour repérer les "comportements suspects" dans les images enregistrées par les caméras de vidéosurveillance, ainsi que dans les données et fichiers que nous échangeons sur l'Internet.
Conscients du fait qu'ils pourraient en arriver à suspecter tout un chacun, et jeter l'opprobre sur des individus aux "comportements suspects" mais qui s'avéreraient tout à fait innocents, les promoteurs d'INDECT ont donc et aussi prévu de surveiller les traces exploitées par ces systèmes "intelligents", traçabilité destinée à protéger la vie privée de ceux qui sont surveillés, et donc potentiellement suspectés... La boucle est bouclée.
La blague sur le paranoïaque au parasol citée en introduction de ce billet est issue due n° 3 de VOX, le "magazine non-officiel libre et gratuit sur Anonymous", qui vient de publier un dossier très complet sur INDECT, ainsi que sur la vidéosurveillance en général, et la surveillance en entreprise en particulier.
En résumé : la surveillance généralisée de la population, au prétexte d'identifier les "comportements suspects", ne peut que déboucher sur une forme de suspicion généralisée de la population (voir aussi Vidéosurveillance ou vidéodiscrimination ?) :
Des Anonymous avaient lancé une première manifestation mondiale contre INDECT, fin juillet. Marco Malacarne, chef de l’unité « recherche sur la sécurité et le développement » au sein de la « Direction générale Entreprises et Industrie » de la Commission européenne leur avait répondu dans un message vidéo adressé aux Anonymous, expliquant qu’il ne s’agissait pour l'instant que d’un "projet de recherche", que "les préoccupations du groupe anonymous et de la société européenne sont tout à fait valables, applicables et pertinentes" et que toutes les informations relatives à INDECT étaient disponibles sur son site web.
Le site web de la commission européenne, de son côté, tient à préciser que, « contrairement à certaines allégations, il n'existe aucun projet de système de surveillance orwellien en Europe (et il n'y aura jamais de système INDECT centralisé à l'échelle européenne). » :
« Le projet INDECT tente de répondre à l'un des problèmes auxquels les policiers sont confrontés : il y a trop d'images de vidéosurveillance à surveiller.
INDECT permettra tout simplement d'améliorer les systèmes de vidéosurveillance locaux d'ores et déjà installés afin d'aider les officiers de sécurité à analyser la masse des images de vidéosurveillance, et améliorer leurs réactions lors des situations de crise (à l'occasion d'actes violents dans des transports en commun, situations de panique, hooligans jetant des objets). »
La page de présentation d'INDECT précise cela dit que le projet vise également à développer des « prototypes de dispositifs de traçabilité d'objets en mouvement (et) à la construction d'un moteur de recherche pour la détection rapide de personnes et documents (...) et la surveillance automatique et en continu de ressources publiques telles que » :
« sites web, forums de discussion, groupes usenet, serveurs de fichiers, réseaux P2P mais également systèmes informatiques individuels, afin de créer un système Internet de collecte de renseignement, à la fois passif et actif et démontrer son efficacité de façon mesurable » [c'est moi qui souligne, NDLR].
Les Anonymous n'ont guère été convaincus par les arguments de la Commission européenne. Un site web a été créé, NoIndect.fr, afin d'aider les internautes à alerter (en 1 minute) les 750 eurodéputés, et des dizaines de manifestations sont prévues ce samedi 20 octobre 2012, une #OpBigbrother qui se déroulera dans le monde entier :
World-wide Protests against #surveillance-Systems #Trapwire #INDECT Saturday, October 20, 2012
Mise à jour, 14h : Sabine Hérold vient pour sa part de lancer une pétition demandant à l'Ensimag, l'école d'ingénieurs en informatique de Grenoble, de mettre un terme à son partenariat avec INDECT.
INDECT, doté d'un budget total de 15M€, n'est cela dit que la partie émergée de l'iceberg. Le volet sécurité du FP7, le programme de recherche et développement de la Commission européenne, finance en effet pas moins de 194 projets, dont 30 coordonnés par la France, ce qui en fait le pays en charge du plus grand nombre de ces projets de R&D.
Ces programmes, destinés officiellement à aider les forces de l'ordre et les autorités à mieux réagir aux situations d'urgence ou de crise, aux catastrophes naturelles ou aux éventuelles menaces nucléaire, bactériologique ou chimique, ne relèvent pas tous de logiques "sécuritaires".
L'intitulé et/ou le descriptif de plusieurs d'entre eux n'en démontrent pas moins qu'ils participent bien, à l'instar d'INDECT, d'une forme de généralisation, de banalisation et de systématisation des technologies de surveillance et de "détection préventive" des "comportements suspects"...
Où l'on découvre ainsi que des systèmes et technologies de surveillance, initialement conçues pour "sécuriser" les frontières de l'Europe et de l'espace Schengen, et refouler les "sans papiers", pourraient aussi être utilisés pour surveiller tout un chacun...
Petit florilège des programmes qui, à l'instar d'INDECT, sont subventionnés par la Commission européenne, et donc en notre nom :
ADABTS : Automatic Detection of Abnormal Behaviour and Threats in crowded Spaces (4,5M€). Algorithms will be developed that detect pre-defined threat behaviours and deviations from normal behaviour. For accurate and robust detection, data from audio and video sensors will be combined with context information.
ADVISE : Advanced Video Surveillance archives search Engine for security applications (4,2M€), qui a pour objectif de développer un système d'unification des données surveillées, afin de pouvoir en automatiser leur exploitation "intelligente".
ARENA : Architecture for the Recognition of thrEats to mobile assets using Networks of multiple Affordable sensors (4,8M€), censé concevoir un système flexible et mobile de surveillance, de reconnaissance et de détection des menaces.
CAPER : Collaborative information, Acquisition, Processing, Exploitation and Reporting for the prevention of organised crime (7,1M€), pour optimiser l'exploitation du renseignement de source ouverte, et notamment le web social et sémantique.
EFFISEC : Efficient integrated security checkpoints (16M€), pour contrôler "en profondeur" les voyageurs, à pied ou en voiture, leurs bagages et véhicules.
OPARUS : Open Architecture for UAV-based Surveillance System (1,4M€), architecture ouverte de surveillance maritime et aérienne de larges zones au moyen de drônes en Europe.
MOSAIC : Multi-Modal Situation Assessment & Analytics Platform (3,M€), censé développé des systèmes "intelligents" de capture et d'analyse distribués et multi-modaux de vidéos et textes en matière de reconnaissance, de détection, de géolocalisation et de cartographie des cibles à surveiller.
SAMURAI : Suspicious and abnormal behaviour monitoring using a network of cameras & sensors for situation awareness enhancement (3,7M€), destiné à développer des outils et systèmes innovants afin de vidéosurveiller individus, bagages et véhicules, ainsi qu'un système de détection des comportements suspects basés sur des caméras d'audiovidéosurveillance fixes mais également mobiles et portables ("wearable" -voir aussi Souriez, vous êtes audio-vidéosurveillés !).
SNIFFER : A bio-mimicry enabled artificial sniffer (4,8M€), destiné à améliorer le travail effectué par les chiens renifleurs en développant un système artificiel de reconnaissance olfactive de substances illégales et d'individus cachés dans les véhicules.
SUBITO : Surveillance of unattended baggage and the identification and tracking of the owner (3,9M€), pour automatiser l'identification et la détection en temps réel des bagages abandonnés, de ceux qui les ont laissé traîner, et de là où ils sont aller.
TASS : Total Airport Security System (15M€), censé combiner toutes les technologies disponibles afin de créer un système total de surveillance permettant de sécuriser en tout temps et en tout lieu les "labyrinthes" que constituent les aéroports.
Pour en savoir plus sur ce virage "neoconservateur" de la politique de l'UE en matière de sécurité, qualifié de rideau de fer virtuel européen par mon confrère Jerome Thorel, on se reportera également à l'impressionnant rapport de l'ONG Statewatch intitulé NeoConOpticon, ainsi qu'à EU Surveillance, le rapport d'Edri, qui fédère les ONG de défense des libertés et de la vie privée en Europe.
A noter, enfin, qu'on trouvera également dans ce n°3 de VOX un communiqué appelant les Anonymous à cesser toute action contre la pédophilie et la pédo-pornographie pour ne pas entrâver le travail des policiers ("ce n’est pas aux Anons de se substituer à la police"), ainsi qu'un guide juridique expliquant ce que vous risquez en participant aux actions d'Anonymous : jusqu'à 5 ans de prison et 75 000 € d'amendes en cas de participation à des attaques DoS ou défaçage visant des sites français, mais plus concrètement quelques mois de prison avec sursis, et une interdiction d'aller sur les salons de discussion Anonymous sur IRC, et "rien en pratique" si le site visé est à l'étranger.
Voir aussi :
Objectif : « hacker » la CNIL
Et si on vidéosurveillait les policiers ?
Facebook et le « paradoxe de la vie privée »
« Faites chier, vous avez encore ramené un mineur ! »
Facebook sait si vous êtes gay, Google que vous êtes enceinte. Et ta soeur ?
30 policiers, soit la moitié des effectifs de la BAC nord de Marseille , ont été sanctionnés : 12 déférés au parquet, 18 suspendus. Comment expliquer l’omerta ?, s'interroge mon compère George Moréas, qui rappelle le cas Pichon, du nom de ce policier mis à la retraite d'office pour avoir osé dénoncer des dysfonctionnements policiers.
Poussons le bouchon un peu plus loin : s'ils n'ont "rien à cacher", comme se plaisent à le tancer les partisans de la vidéosurveillance, pourquoi ne pas les placer sous "vidéoprotection" ?...
"Gardés à vue: souriez ! vous serez filmés même pour les crimes les plus graves", titrait en avril dernier l'excellent (blog de veille juridique) Combats pour les droits de l'homme (CPDH). Le code de procédure pénale prévoyait en effet l'"enregistrement audiovisuel" -et donc une forme d'"audio-vidéosurveillance"- de l'audition des personnes gardées à vue ou de l'interrogatoire des mis en examen en matière criminelle... à l'exception des affaires de criminalité organisée ou d'atteinte aux intérêts fondamentaux de la Nation, "à moins que le procureur de la République ou le juge d'instruction ne l'ait ordonné".
Saisi d'une QPC, le Conseil constitutionnel a censuré ces deux exceptions. Interrogatoires et auditions doivent donc désormais être vidéosurveillés placés sous "vidéoprotection". Et si, dans la foulée, on exigeait des policiers (et gendarmes) qu'ils vidéosurveillent "vidéoprotègent" leurs activités ?
La société Taser a bien été jusqu'à équiper ses pistolets à impulsion électrique de caméras (cf Le Taser 3.0 ne tire pas : il vidéosurveille), afin de démontrer qu'ils étaient utilisés à bon escient, au point de tirer un reality show dont le nom fait, par ailleurs, clairement référence aux vidéos porno (cf La nouvelle arme de Taser? Un reality show inspiré… du porno gonzo).
Aux USA, un conseiller de Barack Obama a été jusqu'à proposer de mettre l'ensemble des forces de l'ordre "sur écoute". Une proposition qui ne devrait pas soulever de tollé, si tant est que les forces de l'ordre n'aient "rien à cacher" (voir ma lettre ouverte à ceux qui n'ont rien à cacher)...
Réagissant au fait que le FBI et la CIA voulaient accéder "à toutes les communications téléphoniques du continent Nord-Américain", Peter Swire, qui fut le privacy czar de Barack Obama, avait en effet répondu que "le meilleur ennemi du sécuritaire à tout crin, c’est encore plus de sécuritaire" :
"En poussant cette idée plus loin, cela ne veut-il pas également dire que les communications de ces organisations devraient elles aussi être accessibles à la population ?"
La politique du chiffre, emblématique de la décennie sécuritaire incarnée par Nicolas Sarkozy, a obligé nombre de policiers, pour parvenir aux objectifs chiffrés assignés, à violer la loi. Un comble, pour des fonctionnaires censés faire respecter la loi. Ce pour quoi il pourrait donc effectivement être intéressant de permettre aux citoyens de vérifier que ceux qui sont censés les protéger n'en profitent pas pour attenter à leurs libertés...
L'idée avait été évoquée lors du Computers, Freedom, and Privacy 2011, dont Boris Jamet-Fournier, qui y avait participé en tant que traducteur, avait publié un très instructif compte-rendu, qu'il m'avait proposé de republier. Une proposition d'autant plus intéressante qu'elle faisait la part belle à Daniel Solove, ainsi qu'à la notion de "data minimization" (et donc au fait de ne collecter que les seules données utiles à la manifestation de la vérité).
Auteur d'un essai intitulé Nothing To Hide, ce professeur de droit américain, dont j'ai plusieurs fois parlé, propose ce qui me semble constituer, à ce jour, l'analyse la plus pertinente des enjeux liés aux questions de surveillance, d'informatique et de libertés. Pour lui, le vrai danger, ce n'est pas Orwell, mais Kafka : nos démocraties ne seraient pas tant menacées par "un" Big Brother omniscient que par la multiplication des fichiers de suspects, avérés ou potentiels, et donc par la mise en place d'une forme de "présomption de culpabilité" où il reviendrait aux citoyens de démontrer (s'ils le peuvent) leur innocence...
Ce pour quoi Swire et Solove plaident pour la réduction du volume de données traitées (ce qu'ils qualifient de "data minimization"), un concept très en vogue chez les spécialistes, écrit à juste titre Jamet-Fournier, "mais bien peu connu de l'internaute moyen", alors qu'il permettrait de "préserver ma vie privée des abus des puissants, même si je n’ai rien à cacher" :
"Il s’agit en fait d’une idée très simple : pour éviter que des informations précieuses ne soient perdues, volées, ou vendues quand elles ne devraient pas l’être, la première des mesures à appliquer consiste à ne collecter que les données strictement nécessaires pour la conduite d’un projet ou d’une transaction spécifique.
En clair, il est inutile de fournir le nom de mes enfants ou la liste de mes diplômes à un tiers qui propose de me vendre de la glace à la vanille ou un billet d’avion."
Le « respect de la vie privée par défaut » (« privacy by design », en VO) est de plus en plus préconisé par les instances de protection de la vie privée, et donc des libertés (il n'y a pas de libertés sans vie privée, faut-il le rappeler). Reste à l'inscrire dans le droit, de manière contraignante, de sorte que les administrations et entreprises privées qui nous fichent le fassent, non pas a maxima, mais a minima (voir aussi, et à ce titre, Plus de fichiers = plus de fuites). Puissent les analyses & propositions de Solove & Swire, relatées dans ce compte-rendu de Boris Jamet-Fournier, être entendues :
Au forum Informatique, Libertés et Vie Privée (Computers, Freedom, and Privacy, ou CFP), on ne lésine pas sur la pause déjeuner ; il y a de la nourriture pour tout le monde, les estomacs comme les cerveaux—et elle est de premier choix. C’est donc à l’heure du repas, voire de la sieste, que la session « Sécurité, vie privée : jusqu’où aller ? » cueille les participants. Malgré cet horaire défavorable, le débat fut, de mon point de vue, l’un des plus réussis de toute la conférence, au moins pour trois raisons.
Tout d’abord, les thèmes abordés sont appétissants. Accessible au débutant comme à l’expert, la discussion veut explorer les dossiers qui font se confronter, comme c’est souvent le cas, sécurité et vie privée. De plus, le format, très stimulant, ne permet pas le bavardage. Six sujets à traiter en quelques minutes, un question-réponse rapide entre les deux intervenants, et une modération immodérément efficace, pour profiter de chacune des soixante minutes de cette heure de débat. Enfin, les participants sont chevronnés et passionnants ; même si cela n’est pas une rareté à CFP, la qualité des speakers est à souligner. Daniel Solove, récemment auteur de « Nothing to Hide: The False Tradeoff Between Privacy and Security » (« Rien à cacher : pourquoi il ne faut pas choisir entre vie privée et sécurité »), enseigne le droit à George Washington University. Peter Swire, lui, a étroitement collaboré avec l’administration Obama[1] sur des thèmes aussi variés que la webcommunication ou les politiques économiques—il est, parait-il, surnommé « the Dean of privacy » (« le grand sage de la vie privée ») dans les cercles autorisés.
Nous voilà donc prêts à attaquer six thèmes majeurs que l’on retrouve dans bien des séances proposées a CFP cette année—conçue comme une boîte à outils (et à idées), cette session nous offre des clés pour mieux comprendre tous les débats sur la sécurité et la vie privée.
Premier mythe à terrasser (c’est d’ailleurs l’objectif avoué des deux invités), la légende selon laquelle il faudrait choisir entre sécurité et respect de la vie privée (les américains appellent cela la « all-or-nothing fallacy »). Bruce Schneier, un des papes de la sécurité informatique dont le discours a enthousiasmé le public de CFP peu avant la clôture du forum, est connu pour sa dénonciation de la position d’une administration américaine, qui, depuis la tragédie 9/11, semble penser que le respect de la vie privée des citoyens est un luxe que l’on ne peut se permettre si l’on veut éliminer les ennemis la liberté.
On voit donc bien pourquoi les deux intervenants, américains tous deux, insistent sur l’absurdité de ce mythe ; il a dans leur pays des conséquences très pratiques. Le Patriot Act, adopté 50 jours après le 11 Septembre 2001, a réduit nombre de libertés individuelles[2], officiellement pour protéger les Etats-Unis contre la menace terroriste. Pourtant, nos deux invités sont d’accord, on ne peut pas opposer respect de la vie privée et sécurité ; une société qui célèbre le droit de chacun à la maîtrise de son identité n’en est pas moins sûre pour autant.
Selon Daniel Solove, le vrai choix qui se présente à nous est plus subtil : voulons-nous un Etat policier sécuritaire, donc sans respect aucun pour la vie privée des individus, ou un Etat sécurisé dans lesquels des contre-pouvoirs et mécanismes de contrôle garantissent que l’impératif de sûreté n’emporte pas tout sur son passage ? Solove comme Swire préfèrent évidemment cette dernière option. Ils rejettent tous deux le mythe de l’alternative sécurité contre vie privée, n’en déplaise aux plus fervents supporters de la War on Terror. Peter Swire va même plus loin, arguant qu’en vérité, le primat de la sécurité porte en lui-même des contradictions. Ainsi les agences gouvernementales de sécurité intérieure américaines, comme le FBI ou la CIA, veulent-elles accéder à toutes les conversations téléphoniques du continent Nord-Américain ; mais en poussant cette idée plus loin, cela ne veut-il pas également dire que les communications de ces organisations devraient elles aussi être accessibles à la population, demande Swire ? Il voit donc là un moyen de renvoyer le paradigme policier à ses propres contradictions ; « le meilleur ennemi du sécuritaire à tout crin, » dit-t-il, « c’est encore plus de sécuritaire. »
Sur l’encodage et la sécurisation des données dans un contexte de mondialisation (« encryption and globalization »), Solove et Swire tombent de nouveau d’accord. L’arrivée des puissances émergentes, d’ordinaire reléguées aux seconds rôles, déstabilise l’Internet des pays pionniers, nous apprennent-ils. En effet, la question du chiffrement et de la sécurisation des données (quand elle sont envoyées d’un point à un autre d’un réseau informatique, et de l’Internet en particulier), qui nous préoccupait au milieu des années 90, est réglée depuis plus d’une décennie dans les pays les plus avancés. Mais, évidemment, l’Internet a ceci de fabuleux et de redoutable qu’il ne connaît pas de frontières ; le rôle croissant de l’Inde, de la Chine et de la Russie sur le réseau mondial peut-il compromettre nos données, sachant que ces pays appliquent des standards de cryptage[3] de l’information bien moindres que ceux que nous utilisons aujourd’hui ? Ce problème semble préoccuper les deux experts, qui soulignent que l’Inde limite le chiffrement des données à des niveaux insuffisants alors que la Chine se repose sur des algorithmes de cryptage dont la fiabilité laisse à désirer.
Mais la question de l’accès aux données se pose aussi à l’intérieur de nos frontières, comme on l’a vu plus haut. Solove et Swire ont un exemple en tête : aux Etats-Unis, les pouvoirs publics ont depuis fort longtemps eu recours à des techniques d’écoute pour les besoins de la protection civile, et rêvent d’un monde où les communications sur IP, comme les conversations par Skype, seraient aussi facile à espionner que le sont aujourd’hui les lignes fixes. Au-delà des complications techniques que cela engendrerait pour les prestataires de services[4], ce changement requiert également une évolution de la loi relative à la coopération entre l’Etat et les entreprises de communication[5].
Le troisième thème abordé n’oppose toujours pas nos deux intervenants, même s’il fait apparaître entre eux des différences d’approche sur un sujet capital : que faire de l’argument selon lequel quelqu’un qui n’a « rien à cacher » ne devrait pas se soucier de la protection de sa vie privée ? Dans ce domaine, les exemples comiques et les citations outrancières ne manquent pas ; on retiendra simplement que l’ancien PDG (et actuel dirigeant) de Google, Eric Schmidt, avait exprimé en décembre 2009 sa conviction que « si vous avez fait quelque chose que personne au monde ne doit savoir, peut-être n’auriez-vous pas dû le faire. » Cette remarque, qui pourrait sembler logique, avait valu au capitaine d’industrie les attaques et les moqueries de quantités d’observateurs. Bruce Schneier, dont on a parlé plus haut, avait déclaré à l’époque :
« Préserver ma vie privée me protège des abus des puissants, même si je n’ai rien à cacher. Trop souvent, on veut opposer sécurité et préservation de la vie privée. Mais en fait, le choix qui nous est posé, c’est entre société libre et société surveillée qu’il se situe. Le régime de la peur, qu’il soit le résultat d’attaques extérieures ou des pressions constantes d’un Etat policier, cela reste le régime de la peur, cela reste une tyrannie. La liberté vraie, elle, c’est un Etat sûr, mais sans caméras à chaque coin de rue ; c’est la sécurité et la préservation de la sphère privée. […] Voilà pourquoi nous devons tout faire pour protéger notre sphère privée même si nous n’avons rien à cacher. » Au passage, on note que cette citation répond aussi tout à fait aux questionnements évoqués plus haut, au sujet de la « all-or-nothing fallacy ».
Sur le thème du « rien à cacher », il n’y a donc pas d’ambigüité pour les deux invités—cet argument doit disparaître, et le plus vite sera le mieux. Pour étayer son point de vue, Solove aborde un élément essentiel : la définition même de « protection de la vie privée ». Contrairement à ce que l’on croit souvent, protéger sa vie privée n’implique pas seulement de cacher, de détruire, ou de soustraire des informations. Bien sûr, c’est une des dimensions du concept. Mais ce n’est pas la seule.
S’intéresser au profil des personnes ou des organisations qui ont accès à vos informations personnelles détenues par un tiers (par exemple, vouloir savoir quelles entreprises pourront piocher dans les renseignements fournis par votre page MySpace), cela relève de la protection de la vie privée.
Contrôler son image (par exemple, refuser que son portrait soit affiché sur tous les « 4 par 3 » du village, même si la photographie en question est publique), cela relève de la protection de la vie privée[6].
Ne pas avoir à donner une raison quand on achète tel ou tel ouvrage sur le terrorisme ou la pédophilie, cela relève de la protection de la vie privée.
En somme, l’argument du « rien à cacher » ne peut absolument pas s’appliquer à tout ce que le concept de protection de la vie privée recouvre. Swire acquiesce, et renforce la thèse de Solove en abordant la question différemment. En termes d’engagement politique, il est souvent difficile de dire que l’on a « rien à cacher » —par essence, la publicité des opinions politiques est un risque, nous dit-il. Mais Eric Schmidt ne semble pas voir qu’imposer la logique de la transparence absolue à l’engagement citoyen, c’est peut-être tuer la démocratie.
Avec le quatrième sujet de la session, on commence à voir des différences d’opinion pointer entre les deux invités. La question est en effet provocatrice : les réseaux sociaux, qui permettent à la fois la création de mouvements citoyens (évidemment, l’exemple des « révolutions arabes » est dans toutes les têtes) et le fichage des individus au profit d’entités privées ou gouvernementales, sont-ils une avancée pour les libertés publiques ? Il est bien sûr impossible de répondre de manière tranchée, aujourd’hui, tout au moins, puisque nous n’avons que quelques années de recul sur ces phénomènes complexes. La discussion s’oriente donc vite vers le marketing politique sur Internet, question sur laquelle, une fois n’est pas coutume, on a de nouveau affaire à un dilemme : comment concilier l’exigence de respect de la vie privée de chacun (en l’occurrence, du droit à l’utilisation d’Internet sans être constamment sollicité par des partis en quête de soutiens et de votes—voilà encore un éclairage sur la définition du concept de vie privée) et l’impératif de libre expression d’organisations politiques dont les prérogatives sont défendues, aux Etats-Unis, par le premier amendement à la Constitution ? C’est un débat ou les spécificités de chaque pays importent énormément, et pas seulement en matière juridique.
En France, la tenue des primaires socialistes et écologistes a récemment éveillé les soupçons de l’administration, et notamment ceux de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Aux Etats-Unis, les détenteurs d’une ligne téléphonique sont autorisés à enregistrer leur numéro sur l’équivalent d’une liste rouge (« do-not-call » ; littéralement, « ne pas appeler ») pour ne pas avoir à subir les sollicitations intempestives de télé-marketeurs toujours plus agressifs et toujours mieux informés. Peut-on alors envisager un modèle similaire pour l’Internet, notamment avec le système « do-not-track » ? Daniel Solove, très remonté contre les stratégies communicationnelles des campagnes politiques d’aujourd’hui, et notamment contre les « Robocalls, » ces messages enregistrés et très souvent malhonnêtes qui se multiplient chaque été précédent une élection aux Etats-Unis. Pour lui, il faut légiférer, et en finir avec ces intrusions qui, sur la forme comme sur le fond, nuisent au débat démocratique. Comment ces pratiques vont-elles évoluer une fois associées à la puissance de l’Internet et aux milliards de données personnelles qu’on peut y glaner, si le législateur ne prend pas les choses en main, se demande Solove ? Dans le public, et du côté de Peter Swire, on semble plus fermement attaché à la célébration du principe de liberté d’expression, quasi-absolu pour les entreprises politiques aux Etats-Unis.
C’est encore le même souci de définition du concept de « vie privée » qui occupe les deux intervenants pendant leur échange sur le cinquième thème : l’influence d’un environnement numérique changeant sur le quatrième amendement à la Constitution[7]. Selon Daniel Solove, cet amendement, adopté en 1791, est notoirement inadapté aux réalités actuelles. En effet, depuis 1967 et l’arrêt Katz v. United States de la Cour Suprême, les protections du quatrième amendement ne sont garanties que si l’individu perquisitionné peut se prévaloir d’une attente raisonnable en matière de vie privée (« reasonable expectation of privacy »), par exemple se trouver à son domicile ou dans une cabine téléphonique. Tout le problème se situe dans la définition de cette « attente », et compte tenu des pratiques de gestion des données dans l’ère numérique, mais aussi de la méconnaissance de ces mêmes pratiques par les utilisateurs, les protections salutaires contre une dérive policière de l’action de l’Etat garanties par le quatrième amendement sont largement remises en cause.
Enfin, Swire et Solove débattent de la réduction du volume de données (en anglais, « data minimization » ), un concept très en vogue chez les spécialistes, mais bien peu connu de l’Internaute moyen. Il s’agit en fait d’une idée très simple : pour éviter que des informations précieuses ne soient perdues, volées, ou vendues quand elles ne devraient pas l’être, la première des mesures à appliquer consiste à ne collecter que les données strictement nécessaires pour la conduite d’un projet ou d’une transaction spécifique. En clair, il est inutile de fournir le nom de mes enfants ou la liste de mes diplômes à un tiers qui propose de me vendre de la glace à la vanille ou un billet d’avion. La réduction du volume des données est une des bases du « respect de la vie privée par défaut » (« privacy by design »), qui stipule que la question de la protection des données se joue au niveau de l’architecture des systèmes de d’information. De la même manière que le risque sismique est pris en compte à chaque étape de la construction d’un bâtiment, cette théorie veut que les données personnelles soient protégées « à la source » par des systèmes qui se donnent justement pour objectif de segmenter l’information et qui fournissent un environnement favorable au respect des utilisateurs.
Même si ces grands principes semblent faciles à appliquer, la chute vertigineuse des coûts de stockage, mais aussi les progrès de l’agrégation des données, qui rend l’assemblage de toutes ces informations plus rapide et plus efficace, ne permettent pas à la « data minimization » et au « privacy by design » de s’imposer, ni dans les faits, ni mêmes dans les esprits des acteurs majeurs du commerce et de l’informatique—au plus grand dam de nos deux invités. En effet, comme l’explique Solove, la réduction du volume de données est bien plus un idéal, un état d’esprit qu’une véritable norme, quantifiable, mesurable, applicable. Et pour l’instant, les défenseurs de la vie privée restent sur leur faim.
* *
Après cette heure de festin juridico-informatique, le public, repus, ne peut que saluer les prestations convaincantes des deux participants et se réjouir qu’une telle discussion ait pu inspirer les professionnels présents cette année à CFP. Il peut aussi se féliciter de l’intérêt que semblent porter quelques médias et quelques personnalités politiques, dont quelques unes étaient présentes à la conférence, à ces questions cruciales.
Comment ne pas voir, toutefois, que les points de vues sur la question de la vie privée et de la sécurité sont multiples (légal, commercial, militaire, réglementaire, politique, citoyen, scientifique, …) et que les intérêts des différents acteurs sont bien souvent différents, si ce n’est opposés ? Comment ne pas voir, non plus, que la technicité et la complexité des débats sont des obstacles majeurs au consensus, et donc à l’action ? Comment ne pas voir, enfin, qu’arrivés à la 21ème édition du forum Informatique, Libertés et Vie Privée, il est regrettable que des questions de définitions conceptuelles posent encore problème ?
Cette session ne fut peut-être pas le repas annoncé en introduction ; parler d’un joli petit hors d’œuvre goûtu aurait été une métaphore plus heureuse. Espérons que les débats abordés par les deux invités, les prochaines éditions du forum CFP, et les efforts communs de toute une communauté d’académiques et de professionnels spécialisés aboutiront à un plat principal assez copieux pour leur donner la force d’affronter les nombreux défis présents et futurs en matière de vie privée et de sécurité. Il y a… du pain sur la planche !
[1] Avec Larry Summers et Julius Genachowski en particulier.
[2] Notamment le droit au respect de la vie privée des citoyens.
[3] L’Académie Française recommande l’emploi de « chiffrement » à la place de cet anglicisme.
[4] Skype, en l’occurrence, devrait repenser son modèle de A à Z pour rendre cela possible.
[5] Une réforme du Communications Assistance for Law Enforcement Act aux Etats-Unis, par exemple.
[6] Le droit français, et plus particulièrement la Cour de cassation, considèrent qu’il n’y a pas de droit à l’image, et donc, de protection de la vie privée, lorsque la photographie est publique.
[7] Ce texte protège les américains contre des perquisitions et saisies non motivées, requérant un mandat (et une sérieuse justification) pour toute perquisition.
Voir aussi :
Il est interdit d’interdire (le Net)
Pourquoi le FBI aide-t-il les terroristes?
Pour en finir avec la culture de la peur
Peut-on obliger les policiers à violer la loi ?
On ne peut pas mettre de barrières sur Internet
10 ans après, à quoi ont servi les lois antiterroristes ?
Facebook sait si vous êtes gay, Google que vous êtes enceinte. Et ta soeur ?
Facebook sait probablement si vous êtes gay, ou célibataire (quand bien même vous ne l'ayez pas expressément précisé sur votre profil), et peut-être même si vous êtes infidèle, ou bien cocu(e).
Google, de son côté, sait probablement si vous êtes enceinte, ménopausée, diabétique ou anorexique, si vous avez un cancer, ou allez bientôt être opéré... entre autres.
Le soi-disant "Bug de Facebook" a défrayé la chronique le temps... d'une soirée (cf les conclusions de la CNIL, qui confirment l'excellente synthèse du Monde.fr). Il en était aussi question ce dimanche sur Médias le magazine, qui m'avait invité suite à mon billet sur le « paradoxe de la vie privée » auquel nous sommes tous confrontés sur Internet.
A cette occasion, j'ai tenté de résumer ce pour quoi la vie privée n'est PAS un problème de vieux cons -pour paraphraser le titre du livre que j'ai consacré à ces questions- dans un tweet qui, reprenant le raccourci que j'avais prononcé à l'antenne, a eu le don de heurter certaines susceptibilités, dont celles de William Rejault, ce qui n'était bien évidemment pas mon intention :
@manhack ça vous choque pas d'associer gays et sida comme ça ?
— William Réjault (@williamrejault) Septembre 30, 2012
Il ne s'agissait bien évidemment pas pour moi d'amalgamer homosexualité et sida, mais de pointer du doigt l'ampleur des informations et données personnelles que nous partageons avec des entreprises dont le modèle économique est de nous "profiler" pour vendre aux annonceurs des publicités ciblées, personnalisées, et comportementales... On ne le répètera jamais assez : "Si c'est gratuit, c'est que vous êtes le produit".
Explication du tweet : le profil de vos amis, sur Facebook, permet a priori de savoir si vous êtes gay, quand bien même vous ne vous y êtes pas affiché en tant que tel. Il existe très certainement des hétérosexuels ayant une proportion très importante d'amis homosexuels... mais le nombre de partages d'articles, de vidéos ou photos émanant de la presse gaie, ou gay-friendly, suffira probablement à "lever le doute" -pour reprendre une expression policière.
Vos recherches, sur Google -ou encore vos courriels sur GMail- permettent de leur côté de savoir si vous vous renseignez sur la fiabilité d'un test de grossesse, sur la façon d'annoncer à votre partenaire ou à vos parents que vous êtes enceinte, sur les signes avant-coureurs de la ménopause, les effets secondaires des traitements contre le cancer ou la trithérapie, le traitement du diabète, les forums d'anorexiques et ce, avant même que vous ayez parlé à qui que ce soit de ces questions.
Google est ainsi en mesure de suivre l'évolution de la grippe, de prédire une épidémie avant même que les médecins n'aient été consultés, et sept à dix jours avant que les services sanitaires ne tirent la sonnette d'alarme.
Il ne s'agit pas, bien sûr, d'une science exacte, et nombreux sont ceux qui échappent aux mailles des filets de Google, Facebook et autres professionnels de la fouille de données ("datamining", en anglais). Plus nombreux sont encore ceux qui n'en sont pas moins fichés en tant qu'homosexuel, ménopausée, boulimique, fan d'aviation, de jardinage ou de moto, arctophile ou copocléphile...
Gmail scanne vos courriels privés, Google archive les mots-clefs que vous recherchez, Facebook surveille les articles, pages et billets que vous consultez -quand bien même vous ne les auriez pas partagés. Pour autant, Facebook et Google n'ont que faire de votre vie privée, et ils auraient même tout à perdre à la rendre publique : la correspondance privée est "sacrée" -et sa violation sévèrement réprimée- dans les pays démocratiques et "développés". Ce qui intéresse ces marchands de données, c'est de vendre et donc d'afficher des publicités "personnalisées", en fonction de vos profils et ce, quels qu'ils soient : ils ne jugent pas (des individus), ils ciblent (des consommateurs).
Cela ne veut pas dire, pour autant, qu'il faudrait arrêter de se servir de Facebook, Google et consorts : jamais, dans l'histoire de l'humanité, il n'a été aussi facile de rencontrer des gens qui partagent les mêmes questions, ni de se renseigner sur les problèmes auxquels on est confronté. Et je suis bien placé pour savoir qu'il est tout à fait possible d'être très actif sur Internet sans, pour autant, être "à poil sur le web" (cf Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d'aller chercher sur l'internet).
La probabilité que Facebook, Google et consorts rendent publiques ce genre de données privées est infime en comparaison de la probabilité que votre conjoint, colocataire, collègue, patron, ou toute autre personne ayant un accès physique à vos ordinateurs, tablettes ou téléphones portables, n'en profite pour espionner l'historique de votre navigateur (et donc des sites web que vous avez visités, et de ce que vous recherchez sur le web), ou encore vos correspondances privées tenues par courriels ou messages privés sur les réseaux sociaux (Facebook, Twitter, MSN, et caetera)... ce que j'avais donc cherché à expliquer dans Facebook et le « paradoxe de la vie privée ».
Vous avez des enfants ? Vous avez donc -hélas- probablement déjà espionné (à leur insu, donc) ce qu'ils faisaient sur Facebook, sans parler de ce qu'ils ont pu faire, tout seuls comme des grands, entre frères et soeurs... voire sur votre propre ordinateur. Combien d'ados ont ainsi découvert, dans l'historique du navigateur utilisé par leurs parents, qu'ils consultaient eux aussi des vidéos pornos, s'étaient inscrits sur des sites de rencontre ou... cherchaient des logiciels pour espionner leurs enfants ?
Un policier allemand, cherchant à espionner sa fille, avait ainsi installé un cheval de Troie dans son ordinateur. Un hacker ami de sa fille, découvrant le logiciel espion, s'en servit pour espionner à rebours le papa espion. Or, celui-ci travaillait sur le système policier de surveillance et de géolocalisation des téléphones portables, et n'avait pas suffisamment sécurisé ses communications, entraînant le piratage dudit système espion de la police d'outre-rhin... #fail (voir Soudain, un espion vous offre une fleur).
Nombreux sont les adolescents qui apprennent ainsi très tôt à contourner la cybersurveillance, protéger leur vie privée, et sécuriser leurs ordinateurs, sessions et profils (voir aussi Journalistes : protégez vos sources !).
En matière de protection de la vie privée, le problème se situe (aussi) entre la chaise et le clavier... d'autant plus que les outils d'espionnage informatique, qui étaient autrefois l'apanage des seuls services de renseignement, sont aujourd'hui à la portée de n'importe qui, ou presque (voir mon petit manuel de contre-espionnage informatique).
Voir aussi :
L’enfer, c’est les « internautres »
Ne montrez pas vos fesses sur le Net!
Les internautes, ce “douloureux probleme”
Facebook et le « paradoxe de la vie privée »
Les RG l’ont rêvé, Facebook l’a fait… #oupas
Les « petits cons » parlent aux « vieux cons » (la version courte)
Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d’aller chercher sur l’internet…
Scandale : un bug de Facebook rend publics les messages privés de (certains de) ses membres. La rumeur, lancée sur Facebook, relayée par MetroFrance, reprise par la quasi-totalité des médias, (mollement) démentie par Facebook, a généré un vent de panique sur les réseaux sociaux et dans les médias... au point que le gouvernement, via Arnaud Montebourg et Fleur Pellerin, vient de saisir la CNIL (MaJ : voir aussi l'interview que j'ai accordée à Arte sur ce vent de panique, et l'excellente synthèse de Michaël Szadkowski et Damien Leloup).
Facebook, de son côté, dément, avançant que « les messages sont de vieux posts du wall qui ont toujours été visibles sur les profils des utilisateurs [et que] il n'y a pas eu de bug ni de violation de la vie privée », laissant entendre que cette panique collective serait due au fait que "les internautes ont simplement oublié comment ils utilisaient le wall à l'époque".
En attendant de savoir ce qui s'est vraiment passé, l'ampleur médiatique que prend cette information est révélatrice du "paradoxe de la vie privée" (voir La vie privée, un problème de vieux cons ?) auquel sont confrontés Facebook, en particulier, et les internautes en général : plus on partage, plus on s'expose, plus on a peur des atteintes à sa vie privée. Or, sur un réseau social, on mène une vie... sociale, et il est somme toute illusoire de pouvoir y mener une "vie privée".
Facebook, initialement conçu pour permettre de communiquer entre personnes issues de la même école, du même sérail, est un "réseau social" qui, depuis, pousse ses utilisateurs à y mener une vie publique, tout en y révélant un maximum de données personnelles, de sorte de pouvoir "profiler" ses utilisateurs, et de commercialiser ces profils clients auprès d'annonceurs pour y afficher de la "publicité comportementale" et personnalisée, en vertu de l'adage qui veut que "Si c'est gratuit, c'est que vous êtes le produit".
Cela fait des années que je me tue à répéter qu'il n'y a pas de "vie privée" sur Facebook : sur un "réseau social", on mène une "vie sociale", voire une "vie publique" (voir Pour en finir avec la "vie privée" sur Facebook). On attend donc avec impatience les explications de Facebook, qui venait par ailleurs d'annoncer qu'il suspendait la reconnaissance faciale de ses utilisateurs européens, afin de respecter les préconisations de l'autorité irlandaise chargée de la protection des données privées (DPC).
Accessoirement – si j'ose dire –, les gens n'ont pas attendu ce "bug" pour espionner leurs conjoints, enfants, parents, collègues, employés, patrons, colocataires, etc. : l'espionnage de la correspondance privée, autrefois réservé aux seuls services de renseignement et barbouzes, est aujourd'hui à la portée de n'importe qui, ou presque (voir mon petit manuel de contre-espionnage informatique).
En tout état de cause, ce "bug Facebook" n'est que la partie émergée de l'iceberg de ce "paradoxe de la vie privée" : il est en effet très simple de lire les courriels, SMS ou messages privés d'un quidam : il suffit d'attendre qu'il prenne sa pause déjeuner, qu'il aille aux WC, dormir ou regarder la TV pour entrer dans son ordinateur ou son téléphone portable...
Je me plais à penser que la majeure partie des fidèles lecteurs de ce blog ont installé un fond d'écran, protégé par un – bon – mot de passe, s'activant automatiquement dès lors qu'ils s'éloignent de leur ordinateur, qu'ils utilisent une session (protégée par un – bon – mot de passe) par utilisateur en cas d'ordinateur partagé, qu'ils pensent à se déconnecter de leurs comptes Facebook/mail/Twitter quand ils utilisent un autre ordinateur que le leur, ou encore que l'accès à leur téléphone portable est protégé par un (bon) mot de passe...
Las : rares son ceux qui protègent correctement l'accès à leurs ordinateurs et téléphones portables, facilitant dès lors – et hélas – l'espionnage de leurs correspondances privées par leurs conjoints, enfants, parents, collègues, employés, patrons, colocataires, etc.
De fait, la majeure partie des actes de malveillance (a fortiori d'espionnage) informatique émanent effectivement, non pas de "pirates informatiques" russes, roumains ou chinois, mais de gens que l'on connaît et côtoie... parce qu'ils peuvent accéder facilement aux ordinateurs, smartphones ou réseaux sociaux de personnes qu'ils jalousent, suspectent, pour leur nuire ou, plus simplement, "pour rigoler"...
Il ne s'agit bien évidemment pas de défendre de telles pratiques, mais l'ampleur de la polémique autour des messages privés de Facebook montre à quel point les internautes attendent de Facebook qu'il protège leur vie privée... alors même que, et souvent, ils ne la protègent pas eux-mêmes correctement.
Nombreux furent ceux qui s'enflammèrent ainsi, en 2010, au sujet de ces salariés qui avaient été licenciés "à cause de Facebook", et parce qu'ils y avaient dénigré leur employeur... à ceci près que Facebook n'était en rien responsable de leur licenciement : ils avaient tenus ces propos "en privé", propos qui avaient été copiés/collés par un collègue afin de les "dénoncer" à leurs supérieurs, un peu comme si leurs propos avaient été enregistrés dans une soirée privée, à leur insu, avant que d'être "balancés" (voir Pour en finir avec les licenciements Facebook).
Le problème, ce n'est pas Facebook ni les réseaux sociaux, mais ce que l'on y fait, et comment. En l'espèce, un "réseau social" n'a pas pour vocation première de protéger notre "vie privée", mais de nous permettre de mener une "vie sociale", et donc "publique" par défaut, "privée" lorsque l'on y prend soin de se protéger.
Cela n'exonère donc en rien Facebook de ses responsabilités s'il est démontré qu'il a effectivement rendu publics des messages privés. Il n'en reste pas moins que si l'on veut converser en toute confidentialité, le mieux est encore d'utiliser un logiciel – ou de passer par un service – expressément conçu pour cela, et non par un réseau social dont la vocation commerciale est de vous pousser à vous dévoiler...
Pour autant, le problème n'est pas Facebook en particulier, les réseaux sociaux ni l'Internet en général : laisser entendre que si les utilisateurs de Facebook voient leur vie privée violée, c'est qu'ils l'ont bien cherché, revient à expliquer à une femme que, si elle a été violée parce qu'elle a bronzé les seins nus, ou qu'elle arborait un décolleté, c'est qu'elle l'avait bien cherché (voir Les RG l'ont rêvé, Facebook l'a fait... #oupas).
Facebook est fait pour partager des informations, et donc les rendre publiques. Accessoirement, on peut aussi y poster des messages privés. Si des messages privés ont effectivement fuité, Facebook devra probablement s'en expliquer devant un tribunal – nonobstant le "bad buzz", et les répercussions sur le cours de son action. Il n'en reste pas moins qu'en termes de sécurité informatique, et donc de vie privée, le problème se situe entre la chaise et le clavier...
Occasion de rappeler qu'il existe par ailleurs de nombreux logiciels et services expressément conçus pour protéger nos données et communications privées. Vous voulez protéger vos mails ? Utilisez GnuPG. Vous voulez communiquer de façon instantanée ? Optez pour Jabber+OTR, ou donnez-vous rendez-vous sur crypto.cat (voir Journalistes : protégez vos sources !).
En tout état de cause, et si vous avez quelque chose à dire, partager ou exprimer en toute confidentialité, ne le faites pas sur un "réseau social"... Occasion de repartager ces premières pages du livre que j'ai consacré à ces questions, La vie privée, un problème de vieux cons ?
";s:7:"dateiso";s:15:"20120925_074636";}s:15:"20120913_180706";a:7:{s:5:"title";s:35:"Hadopi s’enfonce dans le ridicule";s:4:"link";s:96:"http://bugbrother.blog.lemonde.fr/2012/09/13/hadopi-senfonce-dans-le-ridicule/#xtor=RSS-32280322";s:4:"guid";s:41:"http://bugbrother.blog.lemonde.fr/?p=3572";s:7:"pubDate";s:31:"Thu, 13 Sep 2012 16:07:06 +0000";s:11:"description";s:389:"La Hadopi ne sanctionne pas le téléchargement de fichiers, mais le « défaut de sécurisation » de sa connexion, et donc le fait de ne pas avoir réussi à être un bon Big Brother de son ordinateur. Cerise sur le gâteau : … Continuer la lecture ";s:7:"content";s:14727:"La Hadopi ne sanctionne pas le téléchargement de fichiers, mais le « défaut de sécurisation » de sa connexion, et donc le fait de ne pas avoir réussi à être un bon Big Brother de son ordinateur. Cerise sur le gâteau : une fois suspecté, c’est à l’accusé d’apporter les preuves de son innocence, et de démontrer qu’il avait tout fait pour empêcher le partage de fichier... Une forme de présomption de culpabilité qui mêle Orwell et Kafka, et qui fait de la Hadopi le digne rejeton de notre société de surveillance.
Il n'est donc guère étonnant de découvrir que le premier internaute sanctionné dans toute l'histoire de la loi Hadopi n’avait rien téléchargé.
Olivier Henrard est le « père » de la Hadopi. En 2008, dans une interview qu’il m’avait accordé, pour LeMonde.fr, « Pour "l'obligation de surveillance" de son accès à Internet », il m’avait expliqué que « l’idée est de sortir de l'orbite du juge pénal en se basant sur l'obligation de surveillance : ce qui est sanctionné, ce n'est pas que vous ayez téléchargé, mais que vous ayez manqué à votre obligation de surveillance », afin de s'assurer que son accès à l'Internet « ne fasse pas l'objet d'une utilisation qui méconnaît les droits de propriété littéraire et artistique ».
Or, et comme je l’expliquais alors, il n'existe pas de logiciel permettant à un particulier de s'assurer que son accès Internet ne fasse pas l'objet d'une « utilisation qui méconnaît les droits de propriété littéraire et artistique », et il n’en existera jamais, pour la simple et bonne raison qu’Internet a été conçu pour que l’information puisse circuler, quelle que soit la route utilisée, et qu’il existe moult manières de partager des fichiers. Comment Mr Tartempion ou Mme Michu pourraient-ils sécuriser leurs connexions alors que le Pentagone - entre autres victimes des fuites rendues publiques par WikiLeaks - n’arrive pas à le faire ?
Un argument qu’Olivier Henrard avait balayé d’un revers de manche, avec une réponse toute trouvée : la loi du marché, de l’offre et de la demande.
« La réponse dépend des acteurs économiques : ce n'est pas un produit proposé à ce jour, mais ça ne présente pas de difficulté technique majeure, pour peu qu'existe une demande ». Et comme « les usagers vont demander de tels dispositifs de prévention et de filtrage à leurs FAI, c'est aux acteurs économiques de combler le vide ».
Quatre ans plus tard, il n’existe toujours pas d’offre commerciale permettant de sécuriser son ordinateur de sorte qu’il ne puisse être utilisé pour partager des fichiers « protégés » par le droit d’auteur, le copyright ou par DRM interposés (encore que, voir Je n’ai pas le droit de lire le livre que j’ai acheté).
Comme le rappelle Guillaume Champeau, Michel Riguidel, le chercheur qui avait prédit un chaos numérique en 2015, et qui avait été chargé de labelliser les moyens de sécurisation (« l'une des missions les plus difficiles » sur lesquelles il a travaillées pendant toute sa longue carrière) a jeté l’éponge, tout comme Jean-Michel Planche, son successeur.
« Depuis, l'on entend plus parler de l'avancée des travaux. Officiellement, ils continuent. Officieusement, cela fait deux ans et demi que l'Hadopi sait qu'elle n'arrivera jamais à établir une liste de spécifications pour les moyens de sécurisation qu'elle est censée labelliser. »
La seule façon simple (et donc accessible au grand public) - et sûre à 100% - de sécuriser son ordinateur, avait été proposée par Mireille Imbert-Quaretta, la présidente de la Commission de protection des droits (CPD) de l’Hadopi :
« Si une mère met l’ordinateur dans un placard sous clé pour empêcher son fils de télécharger et que cela marche, c’est un moyen de sécurisation, pas besoin d’installer un logiciel. »
Il ne fallait pas être grand clerc pour comprendre que les premières victimes de la Hadopi ne seraient pas de gros téléchargeurs compulsifs, mais des victimes innocentes dont l’accès au Net ou le WiFi aurait été piraté, l’adresse IP usurpée, ou qui n’auraient pas réussi à empêcher le fiston de télécharger. Pour le coup, ce n’est pas le fiston, mais la future ex-femme du "pirate" qui a reconnu avoir téléchargé deux chansons de Rihanna, malgré les avertissements de la Hadopi, et de son ex-futur mari.
Interviewé par Marc Rees, de PCInpact, Alain, le premier abonné sanctionné dans toute l'histoire de la loi Hadopi, un charpentier d'une quarantaine d'année, revient sur la situation ubuesque, et kafkaienne, dans laquelle il s’est retrouvé. En instance de divorce, il avait rapidement indiqué que les téléchargements venaient de sa femme :
« J’ai eu un premier avertissement puis un deuxième. Mais j’ai fait parvenir un courrier à la Hadopi via l’avocat de ma femme qui a fait suivre ! Nous n’avons pas eu de suite ou alors la Hadopi m’a envoyé des mails, mais je n’ai jamais pu les recevoir, je n’avais plus internet ! »
Convoqué à la gendarmerie, il fait nettoyer son ordinateur par une entreprise spécialisée, et explique n’avoir « rien installé, ni téléchargé. Les gendarmes en ont tenu compte, comme du nettoyage. Moi je pensais être tranquille. Je me suis retrouvé au tribunal » qui, au vu de son casier judiciaire vierge, ne requiert que 300 € d’amende (pour deux fichiers téléchargés), et ne l'a finalement condamné qu'à une amende de 150 €.
Contrairement à ce que prévoit aussi la loi, son abonnement à Internet n'a pas été coupé : il a résilié son abonnement tout seul comme un grand, en attendant que son ex-future femme quitte le domicile, et parce qu'il n'a plus confiance...
Numerama rappelle à ce titre que sans ces aveux de l'internaute, la Hadopi n'aurait pas pu obtenir sa condamnation, en l'absence de preuve matérielle… puisque ce n'est pas à la Hadopi d'apporter la preuve de la culpabilité de l'accusé, mais à ce dernier de démontrer son innocence.
Or, Alain a été condamné parce qu'il n'a pas été capable d'effacer deux .mp3, et d'empêcher le logiciel de peer to peer de se lancer lorsqu'il démarrait son ordinateur, et donc de partager les deux fichiers téléchargés par son ex'. Alain n'est pas un "pirate", juste quelqu'un qui ne sait pas comment fonctionne son ordinateur, ce qui est le cas d'une bonne partie de ceux dont le nom figure sur la facture de leur fournisseur d'accès à Internet...
Mireille Imbert-Quaretta, la présidente de la Commission de protection des droits (CPD) de l’Hadopi a révélé début septembre que cette année, 13 autres dossiers ont été transmis à la Justice par la Hadopi. Un bien maigre butin, rappelait Andréa Fradin sur Owni, quand on sait qu'en deux ans de fonctionnement, la Hadopi a identifié 3.000.000 d’adresses IP, envoyé 1.150.000 envois des premières recommandations (la 1ere étape de la riposte graduée), 100.000 transmissions de deuxièmes recommandations (la 2e étape)...
En réponse au ministère de la Culture, qui avait déclaré cet été que la Hadopi coûtait trop cher et réclamer que ses crédits de fonctionnement "soient largement réduits" au motif que son "utilité n’est pas avérée", Mme Imbert-Quaretta avait osé un parallèle en forme de lapsus, et qui fait froid dans le dos :
« L’Hadopi est une autorité administrative indépendante créée par le législateur, qui ne peut être supprimée que par le législateur. [...] C’est comme à l’époque des débats sur la suppression de la peine de mort, on a commencé par tenter de supprimer le budget du bourreau. »
En janvier 2010, j’avais écrit que la Hadopi était techniquement inapplicable, et politiquement liberticide, tout en compilant les dizaines de gaffes et autres #Fail accumulé par ses promoteurs, pris la main dans le sac en train de « pirater » des contenus protégés, l’encyclopédie Wikipedia, une pétition pro-Hadopi, et caetera (voir Rions un peu avec l’Hadopi).
En juillet, je tirais le portrait de Marie-Françoise Marais, la présidente de la Hadopi, rappelant qu’elle fut également, précédemment, à l’origine de la fermeture d’Altern.org, pionnier des défenseurs de la liberté d’expression sur le Net, et ses 45 000 sites web.
En octobre, je révélais que la DGSE s’était faite « engeuler » par les services de renseignement américains, pour qui la Hadopi allait contribuer à populariser les logiciels de chiffrement, rendant plus difficile la surveillance des internautes.
En février 2011, je m’étonnais de voir que la Hadopi avait obtenu, en un an, le budget que la CNIL avait mis 32 ans à obtenir (de l'ordre de 12 millions d'euros, par an). Depuis, le vent à tourné, et les voix de ceux qui estiment qu’il serait bon d’arrêter les frais, et de dépenser autant d’argent pour des résultats aussi ridicules, et contre-productifs, se font de plus en plus entendre.
La Hadopi est vouée à disparaître, parce qu’elle se trompe de combats, qu’elle ne pose pas les bonnes questions, et encore moins les bonnes réponses : le problème de l’industrie des biens culturels, et du devenir des artistes, ce ne sont pas les artisans de 40 ans qui ne savent pas télécharger, ni sécuriser leur PC. Reste à savoir combien de temps encore nous allons devoir payer autant d’argent pour une institution qui brille surtout par son ridicule.
Mon analyse repose sur le fait que les internautes sont d'abord dénoncés par TMG (chargée d'identifier ceux qui mettent à disposition des fichiers), puis "avertis" par la Hadopi, et qu'il leur revient de venir démontrer à la Hadopi (à Paris, ce qu'avait refusé de faire l'internaute qui a été condamné) qu'ils ont bien mis en oeuvre les moyens de sécurisation de leur ordinateur puis, s'ils sont sont convoqués au tribunal, d'apporter les preuves de leur innocence (usurpation d'adresse IP, piratage de WiFi, etc.) sans que jamais TMG ni la Hadopi ni un quelconque officier de police judiciaire n'ait jamais apporté la preuve qu'ils ont enfreint la loi. Ce qui, pour moi, renverse donc la charge de la preuve, et constitue une forme de présomption de culpabilité.
Voir aussi :
Objectif : « hacker » la CNIL
Rions un peu avec l’Hadopi
La CNIL tacle l’Hadopi, son président la vote
Je n’ai pas le droit de lire le livre que j’ai acheté
Le vrai danger, ce n’est pas Orwell, c’est Kafka
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
"Vous pouvez tromper quelques personnes tout le temps
et tromper tout le monde de temps en temps, mais vous ne pouvez pas tromper tout le monde tout le temps."
Cette citation d'Abraham Lincoln, seizième président des États-Unis d'Amérique, sert d'introduction au clip de présentation de Freedom Not Fear 2012, "festival" bruxellois qui, du 14 au 16 septembre prochains, "vise à rassembler des citoyens, des ONG et des militants sous le même mot d’ordre" :
"arrêter la course aux armements de surveillance et permettre aux citoyens européens de vivre dans la liberté et non dans la peur."
Dans Plus belle la vidéosurveillance, j'avais tenté d'expliquer ce pour quoi le problème des technologies de surveillance, c'est que, sous couvert de rassurer la population, elles génèrent de la peur :
Je n'ai pas peur des technologies de surveillance. J'ai peur de ceux qui instrumentalisent la peur et le sentiment d'insécurité, afin de multiplier le recours aux technologies de surveillance et de sécurité... machine infernale qui revient à se méfier de l'humanité pour faire confiance aux technologies.
Et c'est précisément pour en finir avec la culture de la peur que cette coalition d'activistes, d'ONG ou de citoyens se réunit tous les ans en septembre un peu partout dans le monde pour défendre une société de liberté contre
l'augmentation sans cesse grandissante des mesures de restriction de nos droits fondamentaux, et "encourager le renforcement d'un réseau international de mouvements et d'activistes de la protection de la vie privée et des droits des citoyens".
L'événement sera officiellement lancé ce vendredi avec deux débats réunissant entre autres M. Werner Stengg (Chef d'unité, DG Marché Intérieur et Services, Commission Européenne) et M. Peter Hustinx (Contrôleur européen de la protection des données).
Également au programme : un atelier RFiD Zapper, afin de transformer le flash d'un appareil photo en destructeur de puces électroniques sans contact, et un "Camspotting", sorte de jeu de piste destiné à prendre en photo, et géolocaliser les caméras de vidéosurveillance de Bruxelles. La ligue flamande des droits de l'homme a d'ores et déjà répertorié 557 caméras :
Manuel Valls vient de réclamer l'extension de la vidéosurveillance à Marseille... omettant de préciser que la décision avait d'ores et déjà été prise, du temps de Nicolas Sarkozy.
En réponse à Samia Ghali, la sénatrice-maire PS de Marseille qui réclame l'installation de barrages militaires, "comme en temps de guerre, même si cela doit durer un an ou deux", Manuel Valls ne s'est pas contenté de déclarer, lors d'un point presse organisé Place Beauvau, qu'"il est hors de question que l'armée puisse répondre à ces drames et à ces crimes. Il n'y a pas d'ennemi intérieur", propos confirmés par François Hollande, pour qui "l'armée n'a pas sa place pour contrôler les quartiers".
Le ministre de l'Intérieur a en effet, et aussi, préconisé "la mise en oeuvre de la vidéo-protection qui doit être étendue à l'ensemble de la ville", parce que "les quartiers nord se sentaient oubliés", et que "Marseille est une ville dont les habitants ont l'impression que l'Etat les a abandonnés" :
Question journaliste : Est-ce qu'on a pas tout essayé ? Y'a eu 3 préfets en quelques mois, on a remis du bleu dans les rues, dans le centre, est-ce qu'on a pas tout essayé ?
Réponse Valls : Il y a une action qui a été menée et que je veux poursuivre, et qui est importante, qui est dans l'hypercentre au coeur de Marseille, qui passe par de la présence policière, par la mise en oeuvre de la vidéo-protection qui doit être étendue à l'ensemble de la ville...
relance journaliste (pas fort) : est-ce que c'est vraiment ça...
Valls :... et qui doit être étendue à l'ensemble de la ville, parce qu'il y a aussi de la délinquance quotidienne. Et qui nécessite aussi une très grande coopération de la ville de Marseille, dans la vidéo-protection comme dans le rôle de la police municipale. Ce qui m'avait été dit au mois de juin, c'est que les quartiers nord se sentaient oubliés des choix qui avaient été faits par le passé... Et le fait que ces quartiers soient aujourd'hui dans une zone de sécurité prioritaire que nous allons installer avec des moyens supplémentaires est bien la démonstration que Marseille est depuis le début de mon installation une préoccupation. Mais la réponse doit être globale. Marseille est une ville dont les habitants ont l'impression que l'Etat les a abandonnés.
Manuel Valls a beau jeu de promouvoir la vidéosurveillance à Marseille : la cité phocéenne a d'ores et déjà décidé de déployer de 1500 à 1800 caméras d'ici 2014, avec "près de 40 policiers municipaux affectés 24h/24 à la visualisation des images", pour un budget d'investissement de "9,8 millions d'euros auxquels s'ajoutent 3 millions d'euros de frais de fonctionnement annuels". 200 caméras de surveillance devaient être opérationnelles en septembre, 300 en décembre.
En juin dernier, une centaine d'opposants à la vidéosurveillance avaient manifestés pour dénoncer cette banalisation de la vidéosurveillance dans un "charivari masqué qui s'est soldé par la dégradation de plusieurs appareils... sous l'oeil des caméras, impuissantes", notait La Provence dans un article donnant -une fois n'est pas coutume- longuement la parole aux arguments des opposants :
"Ça en dit long sur leur efficacité", ironise un participant "non-casseur". Un sabotage qui n'est pas une première. En octobre 2011, déjà, au tout début de "l'invasion", dixit le jeune militant, cinq mâts prévus pour supporter ces caméras avaient été descellés...
Ce qui dérange ? "Il y en a dans tous les coins de rue, parfois même au milieu d'une artère !", plaide Bruno. Ce manque de discrétion crée une ambiance de suspicion et de paranoïa. C'est à se demander si le but c'est qu'elle nous voit ou qu'elles soient vues."
"Quel est l'intérêt en terme de sécurité de braquer une caméra sur la terrasse d'un bar ?" Mère de famille et professeur des écoles, Gisèle, dénonce "un gaspillage inouï d'argent public pour un système qui n'a jamais prouvé son efficacité. Ok, ça rassure les anciens. Mais à qui va-t-on faire croire qu'un type qui veut voler un sac va le faire sous une caméra à visage découvert ? ( ...)".
Ironie de l'histoire, cette déclaration intervient une semaine tout juste après que le système de vidéosurveillance de Plus belle la vie (la série TV à succès qui se déroule à Marseille) ait été "piraté" à la demande de plusieurs de ses personnages -parce qu'il portait atteinte à la vie privée des habitants du quartier-, et un mois et demi après que les internautes-téléspectateurs de Plus belle la vie se soient majoritairement prononcés contre la vidéosurveillance.
Interrogé par les journalistes Libération pour savoir s'il continuerait le plan d'équiquement en vidéosurveillance lancé par la droite, Manuel Valls La semaine passée, Manuel Valls avait déjà déclaré :
"Une caméra n’est ni de droite ni de gauche !"
A ce jour, et alors que la vidéosurveillance est encadrée par la loi depuis 1995, en France, aucun rapport scientifique indépendant n'a jamais démontré la pertinence, et l'efficacité de la vidéosurveillance. A contrario, et à l'étranger, les études démontrent que si les caméras permettent certes, de temps en temps, d'identifier certains délinquants -le contraire serait désespérant), leur impact reste marginal sur la voie publique (voir Un rapport prouve l’inefficacité de la vidéosurveillance et L’impact de la vidéosurveillance est de l’ordre de 1%).
Un rapport de la Cour des comptes avait ainsi sévèrement critiqué l'inefficacité de la vidéosurveillance, et déploré l'absence d'étude d'impact, au vu du coût de ces systèmes. Plutôt que de chercher à savoir combien ça coûte, et si cela sert vraiment à quelque chose, Manuel Valls, lui, préfère gonfler les muscles devant les journalistes, omettant de préciser que la généralisation de la vidéosurveillance a déjà été décidée, du temps de Nicolas Sarkozy, et suivre la voie tracée par son ami Alain Bauer : démultiplions les caméras, ça peut toujours servir, et ça rassure. C'est bien connu : La surveillance, ça sert aussi, et surtout, à gagner des voix dans l'électorat... au point que ce n’est pas parce que les caméras ne servent à rien qu’il ne faut pas en rajouter.
Voir aussi :
Sécurité privée partout, police nulle part ?
La Cour des comptes enterre la vidéosurveillance
Un rapport prouve l’inefficacité de la vidéosurveillance
A Boulogne Billancourt, la vidéosurveillance ne sert… à rien
Vidéosurveillance : ce n’est pas parce que les caméras ne servent à rien qu’il ne faut pas en rajouter
Après les attentats du 11 septembre 2001, John Pointdexter, ancien conseiller en sécurité de Ronald Reagan, proposa de créer un système de surveillance généralisé des télécommunications, appels téléphoniques, mails, mais également des transactions financières, données sur les passagers aériens, etc. Suite au tollé, son projet de "Total Information Awareness" (TIA) fut finalement abandonné.
Le New York Times révèle aujourd'hui que la National Security Agency (NSA), le service de renseignement américain chargé de la surveillance des télécommunications, en a depuis repris l'idée. Après avoir dupliqué les bases de données d'AT&T, le plus important des "telcos" américain, la NSA a en effet créé une sorte de graphe social afin de voir qui se connecte avec qui, sorte de Facebook alimenté, "à l'insu de leur plein gré", par tout ce que la NSA peut intercepter et que les geeks de la centrale de renseignement aurait surnommé le "BAG" (sac, en français), pour... "big ass graph" (qu'on pourrait traduire par "putain de gros graph'", l'expression big ass qualifiant, par extension, tout ce qui est (presque trop) gros).
Et c'est pour traiter toutes ces données que la NSA a entamé la construction d'un gigantesque complexe d'espionnage en Utah, sorte de Babel du renseignement dont l'objectif est de capter, décoder et analyser des données issues de communications classiques (courriels, conversations téléphoniques, recherches sur Google), de tous types de données personnelles (factures de parking, itinéraires de voyages, achats en librairies…) et de données issues du "Web profond", non directement accessible (informations financières, transactions boursières, accords commerciaux, communications militaires et diplomatiques étrangères, documents légaux, informations personnelles confidentielles…).
Contrairement au TIA, dont il s'inspire largement, le BAG n'a pas été conçu, déplore le NYT, de sorte que les données soient anonymisées par défaut (anonymat ne pouvant être levé que sur demande judiciaire), et qu'il n'a rien prévu pour éviter que des citoyens américains innocents se retrouvent piégés dans les mailles de ce réseau social constitué à l'insu de ceux qui y sont fichés.
Le NYT vient également de mettre en ligne un extrait d'un documentaire consacré à ce Programme (le nom de code de cette opération) basé sur le témoignage de William Binney qui, après 32 ans passés à la NSA, a décidé de témoigner pour dénoncer les atteintes aux libertés constitués par ce système de surveillance et d'espionnage généralisé.
La réalisatrice de ce documentaire, Laura Poitras, a elle-même été placée sur la "liste noire" des personnes à surveiller par la NSA, parce qu'elle avait réalisé un documentaire sur la guerre en Irak. Elle a été arrêtée et interrogée plus de 40 fois à la frontière américaine, où ses ordinateurs, caméras, téléphones portables ont été de nombreuses fois saisis, et leurs contenus copiés par les autorités. Une fois, l'officier à qui elle expliquait qu'elle refusait de répondre à ses questions, au nom du 1er amendement de la Constitution américaine, lui rétorqua :
"Si vous refusez de répondre à nos questions, nous trouverons les réponses dans vos échanges électroniques."
Voir aussi :
Les internautes piratent les caméras de « Plus belle la vie »
« Faites chier, vous avez encore ramené un mineur ! »
On ne peut pas mettre de barrières sur Internet
Je n’ai pas le droit de lire le livre que j’ai acheté
Soudain, un espion vous offre une fleur
Les caméras de vidéosurveillance de Plus belle la vie ont été piratées. Mieux : ce vendredi 27 juillet à 22h30, vous aurez semble-t-il la possibilité d'en prendre le contrôle !
Mise à jour : suite à de nombreuses "fuites" d'images tirées des caméras de vidéosurveillance de "Plus belle la vie", Ninon, la jeune journaliste qui dénonce les dérives de la "vidéoprotection" invite internautes et téléspectateurs à venir "crasher les caméras" de vidéosurveillance de l'émission de télévision ce jeudi 23 août à 20h15. On peut même d'ores et déjà accéder à leur interface d'administration...
Mise à jour : comme prévu, les caméras de vidéosurveillance ont "crashé" après que des internautes (dont... des policiers) aient lancé une attaque DDoS contre leur site de maintenance. Le hacker anti-vidéosurveillance a donc montré ses fesses aux caméras désactivées, et le policier qui les avait installé -dont des images de vidéosurveillance le montrant ivre mort avaient "fuité" sur Internet- s'est dit finalement satisfait qu'elles ne marchent plus, après avoir reconnu s'en être aussi servi pour mater les jolies filles.
Rien que pour ce policier qui remercie des hackers d'avoir piraté les caméras de vidéosurveillance qu'il avait installé... je suis plutôt content d'avoir participer à un jeu en réalité alternée (mêlant fiction et réalité) de "Plus belle la vie".
Depuis quelques mois, la vidéosurveillance fait débat dans l'émission phare de France 3, opposant notamment un jeune informaticien défenseurs des libertés, et un policier défenseur des caméras. Le premier a même été arrêté, accusé d'avoir hacké les cameras de vidéosurveillance, ce qu'il dément, même s’il avoue avoir effectivement bombé les caméras.
Ninon, la jeune journaliste de la série, a ouvert un blog à ce sujet, L'oeil de Ninon, où l'on avait découvert que les téléspectateurs de Plus belle la vie sont majoritairement hostiles aux caméras de vidéosurveillance (voir Plus belle la vidéosurveillance).
Un cap vient d'être franchi avec la mise en ligne de photos, puis d'enregistrements vidéo, issus de ce système de vidéosurveillance dont l'accès devrait normalement n'être accessible qu'aux seules autorités.
D'après enquête de Ninon, les images auraient été piratées parce qu'elles seraient transmises... en WiFi, sans être correctement sécurisées. En commentaire de l'un de ses billets, un internaute a expliqué, en langage codé, qu'il était possible d'y accéder via une interface web... et un mot de passe : 1-9-2-8-3-7-4-6-5 qui, d'après ce site, devrait permettra aux internautes d'accéder directement aux caméras ce 27 juillet à partir de 22h30.
L'auteur de ces fuites, qui se fait appeler Le Vigilant sur Twitter, n'a pas encore été démasqué, mais Ninon est sur sa trace, et invite les téléspectateurs à l'aider sur Les amis du Mistral, le groupe Facebook qu'elle a créé pour suivre ces histoires de vidéosurveillance.
Au-delà de ces péripéties, ce qui m'intéresse, dans cette saga, c'est aussi de voir comment la journaliste de Plus belle la vie tente d'exposer ce que sous-tend réellement la vidéosurveillance, des autorités qui refusent de désactiver le système alors même qu'il a été piraté, au décryptage de ce à quoi elle sert vraiment... ou pas :
"Selon toutes les études indépendantes, la « vidéo-protection » n’a qu’un impact dissuasif marginal sur la petite délinquance de voie publique des centres-villes où elle est massivement installée. Par ailleurs, il est désormais établi que les caméras perdent toute efficacité préventive si elles ne sont pas reliées à un système de visionnage en temps réel. Pour avoir quelques chances de donner des résultats, le système de caméras doit être relié à un centre de supervision dans lequel des opérateurs visionnent les images 24 heures sur 24 et 365 jours sur 365, et être associé à un renforcement des forces de police présentes dans la rue."
Mise A Jour - 22h36 : où l'on découvre donc un jeune homme sortant, nu, d'une bouche d'égoût...
Voir aussi :
Objectif : « hacker » la CNIL
Plus belle la vidéosurveillance
Je n’ai pas le droit de lire le livre que j’ai acheté
La liste des « gens honnêtes » qui voulaient ficher tous les Français
« Faites chier, vous avez encore ramené un mineur ! »
Objectif : "hacker" la CNIL. Pas son site web, mais l'institution, en tant que telle, son fonctionnement, ses objectifs, ses moyens & méthodes, parce que "la loi, c’est comme le code, on peut la « hacker »".
Longtemps, je me suis borné à documenter -et donc aussi critiquer- la novlangue de certains de ses "commissaires politiques" (majoritairement de droite), à commencer par l'ex-président de cette "autorité indépendante" en charge de la défense de nos droits "informatique et libertés", sorte de Nicolas Hulot de la vie privée.
Le vent a tourné. La CNIL est en train de changer. Et il serait bon de la "libérer", de la "décoincer", de sorte qu'elle cesse de se contenter de nous faire peur, en nous expliquant comment nous sommes surveillés (sur Internet ou ailleurs), sans nous expliquer comment nous en protéger (voir Internet : quand l’Etat ne nous protège pas), tout en bornant, essentiellement, son expertise au seul domaine juridique, intervenant donc généralement après coup, quand les dommages sont avérés.
Isabelle Falque-Pierrotin, la nouvelle présidente de la CNIL, m'avait proposé de l'aider à organiser un PrivacyCamp, sorte de "non-conférence" dont l'objectif était de mettre en contact des gens de la CNIL avec des hackers, des geeks et (donc) des professionnels, utilisateurs & amateurs éclairés de l'informatique et d'Internet, afin de voir ce que l'on pourrait faire ensemble, de sorte d'améliorer la défense, et la promotion, de nos droits "informatique et libertés".
L'objectif était aussi de "faire la paix" entre les défenseurs des libertés sur le Net et les "gardiens du Temple" de la CNIL, souvent perçus -hélas- comme très éloignés des problèmes, et des combats, menés par les premiers. De mon côté, j'avais donc proposé de hacker la CNIL afin de l'aider à expliquer aux gens comment protéger leur vie privée, et sécuriser leurs données (voir aussi le compte-rendu de la CNIL, ainsi que les vidéos et compte-rendus de ceux qui y ont participé).
Ce qui m'a le plus surpris, lors de ce PrivacyCamp, fut de découvrir à quel point les employés de la CNIL vivaient cette rencontre comme un "bol d'air", et à quel point ils semblaient engoncés dans des problématiques juridico-administratives, institutionnelles (et politiques), et à quel point le fait de rencontrer des gens, hackers et internautes, qui se battaient concrètement, pied à pied, pour la défense de nos droits informatique et libertés, les faisaient respirer, et leur redonnaient l'impression de pouvoir agir concrètement sur la vie des gens...
Dorothée Barba, animatrice du 5/7 de France Inter cet été, m'a invité à causer de la vie privée sur Internet, et plus particulièrement de la CNIL (qui vient de rendre public son rapport 2011), ainsi que de mon livre, "La vie privée, un problème de vieux cons ?" (cf le résumé que j'en avais tiré, Les « petits cons » parlent aux « vieux cons »).
Une des choses qui semblent avoir marqué Dorothée Barba est le parallèle que je fais entre ce que nous vivons aujourd'hui, en terme de liberté d'expression, et ce qui s'est passé avec la libération sexuelle dans les années 70, et le combat des féministes (voir aussi les interviewes que j'avais accordé à Article X1 : « Internet ne tue pas les indiens : il en crée ! », et à Geek Politics : « La défense des libertés sur Internet aura un impact similaire à la libération sexuelle »).
De même que le port d’une mini-jupe ou le fait de bronzer les seins nus ne sont pas des incitations au viol, l’exposition ou l’affirmation de soi sur les réseaux ne saurait justifier l’espionnage ni les atteintes à la vie privée.
La Direction des Études, de l’Innovation et de la Prospective de la CNIL, créée pour "être au cœur des débats de société", m'a elle aussi interviewé (.pdf), en marge de son compte-rendu du "premier PrivacyCamp en Europe" auquel elle m'avait proposer de participer, dans le 3e numéro de sa lettre d'information consacrée à l'innovation et à la prospective, qui vient de sortir.
Je n'y évoque pas explicitement ce projet de "hacker (décoincer) la CNIL", parce que ce n'était pas l'objet, ni l'endroit, mais je suis triste de voir que nombreux sont ceux qui pensent que la CNIL ne serait qu'un rouage du système, qu'elle ne protégerait pas tant les gens que les institutions, alors qu'elle a été pensée, et créée, pour nous défendre et nous protéger.
Le fait qu'elle se mette à faire de la prospective, à venir "au contact" des internautes, des défenseurs des libertés et de la vie privée, et de ceux qui ont les doigts dans le code, m'incite à penser qu'on aurait tort de ne pas essayer de hacker décoincer la CNIL /-)
Pensez vous qu’il soit possible de protéger ses données sur internet, ou est-ce un combat perdu d’avance ?
Suite au "portrait" Google qu'avait fait la revue Le Tigre d'un internaute "anonyme", à partir des photos, vidéos et informations qu'il avait partager sur le web et les réseaux sociaux, un journaliste avait décidé de faire "mon" portrait Google. Je suis actif, en tant qu'internaute, journaliste et défenseur des libertés et de la vie privée, depuis plus de 10 ans. Et il n'a rien trouvé de sensible à mon sujet, comme quoi il est tout à fait possible de "protéger" ses données dès lors qu'on a compris que le web est un espace "public", et que toute information qui y est "partagée" ne relève plus de la "vie privée". A contrario, le concept de sécurité à 100% n'existe pas plus dans l'espace physique que sur Internet, tant pour nos ordinateurs (et donc nos correspondances privées, identifiants et mots de passe) que pour les données personnelles que les sites de commerce électronique ou administratifs nous obligent à leur confier. D'où l'importance, pour ces derniers, des notions de "dataminimisation" (on ne requiert que le strict nécessaire) et de "privacy by design" (inclure la protection de la vie privée dès la conception des services et applications), et bien évidemment de l'application de la loi. En l'espèce, force est de constater que bien peu de sites web ayant mal protéger les données personnelles de leurs utilisateurs sont sanctionnés, et encore moins poursuivis en justice.
Comment donner envie aux individus de faire attention à leurs données personnelles sans tomber dans des explications techniques trop complexes et sans être anxiogène ?
En faisant confiance aux utilisateurs, en les prenant pour des gens intelligents et responsables, et en arrêtant d'en avoir peur, mais également de leur faire peur. La majeure partie du temps, quand on parle de "sécurité informatique" ou de "vie privée" sur Internet, l'approche, et les discours, sont anxiogènes. A ce régime, on devrait aussi et surtout interdire aux femmes de s'habiller sexy ou de porter des bijoux. Le problème, c'est le voleur, le voyeur, le violeur; or, on a hélas tendance à culpabiliser l'internaute, en lui expliquant que c'est compliqué, et/ou qu'Internet est truffé de dangers. Ce qui est infantilisant, et contre-productif. Daniel Kaplan a très bien résumé la situation en expliquant que "la valeur de la vie privée est de nous permettre d’avoir une vie publique". La gestion de sa vie privée n'est pas un "problème", mais ce qui nous permet d'apprendre à mener une vie publique. Et c'est aussi tout l'enjeu de ce qui se trame avec le web : nous devenons tous des personnalités publiques. Ce qui, je pense, est quelque chose de bien pour nos démocraties. La révolution sexuelle a notamment permis d'envisager (et d'enseigner) la sexualité autrement que sous le seul prisme de la fécondité, et des MST. L'évolution d'Internet permet notamment d'envisager (et devrait donc nous permettre d'enseigner) la liberté d'expression comme un supplément de démocratie : une chose est de voter (à bulletin secret) dans une urne transparente, un autre est de tabler sur la transparence pour promouvoir la démocratie...
REF : L’avenir de la vie privée est de la maîtriser
Que répondez vous quand on vous demande des conseils en lien avec les données personnelles ?
Soyons clairs : il est impossible de sécuriser son ordinateur, de même qu'il est impossible de se prémunir des cambriolages. Ce qui n'empêche pas de prendre certaines mesures pour l'éviter. La chercheuse américaine danah boyd, qui a beaucoup étudié les comportements des jeunes internautes, a moult fois expliqué qu'ils savaient bien mieux gérer leur vie privée sur le Net que ne le savent le faire leurs parents. Paradoxalement, le meilleur moyen de protéger ses données personnelles, c'est de s'exprimer et donc d'avoir une vie publique sur le Net. Parce que plus vous l'utilisez, plus vous apprenez à en maîtriser les usages, services et outils, et donc à contrôler les machines. Quand c'est la machine qui vous contrôle et vous dicte ce que vous pouvez faire, ou pas, vous déléguez le fait de protéger vos données. Or, on ne peut protéger que ce que l'on peut contrôler.
REF : Vie privée : le point de vue des “petits cons”
Vers une vie privée en réseau
Voir aussi :
Plus belle la vidéosurveillance
Je n’ai pas le droit de lire le livre que j’ai acheté
On ne peut pas mettre de barrières sur Internet
« Faites chier, vous avez encore ramené un mineur ! »
La liste des « gens honnêtes » qui voulaient ficher tous les Français
Morbi posuere tempor feugiat. Nam aliquam nisl purus, quis pulvinar nibh. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Mauris lobortis urna vel nisi volutpat sagittis. Sed sodales, augue vitae mattis aliquam, turpis sapien tempor dui, ut dictum urna arcu non tellus. Etiam eget tellus erat, at sagittis augue. Proin id metus quam, ac convallis turpis. Pellentesque pretium nisl non lectus pretium porttitor. Proin tempus adipiscing elit, at lacinia orci consequat vitae. Phasellus hendrerit vulputate facilisis. Etiam eros mi, egestas ut consectetur a, mollis eu tellus. Suspendisse risus libero, porttitor sit amet eleifend eu, elementum vel lectus. Aenean tellus neque, lacinia eu dapibus quis, scelerisque quis lacus.
Maecenas interdum, velit pretium varius sagittis, erat felis vehicula purus, a blandit risus tellus eu lorem. Aenean hendrerit dolor nec elit blandit quis mattis turpis faucibus. Aenean dictum erat sit amet metus bibendum vel egestas enim dictum. Fusce aliquet semper posuere. Sed non nisl mauris. Donec risus nisi, rhoncus et bibendum nec, fermentum id arcu. Nunc elementum pretium sapien quis commodo. Praesent eget metus lacus. Nunc et leo mi, varius auctor nibh. Quisque ipsum tellus, tempor ac tincidunt eu, accumsan id sem. In hac habitasse platea dictumst. Vestibulum a nibh tellus, non malesuada mauris. Curabitur tempor, quam non tempus semper, libero mi adipiscing risus, et tempus risus est nec sapien. Fusce tincidunt ultricies ultricies. Pellentesque commodo malesuada massa, sed elementum arcu vestibulum at. Suspendisse enim risus, molestie vitae bibendum vitae, laoreet mollis tortor.
Suspendisse potenti. Etiam lorem quam, aliquam et porta vel, sagittis eu tellus. Vivamus sed ante ac quam iaculis elementum vel dictum eros. Sed facilisis adipiscing dolor, quis aliquet neque venenatis et. Suspendisse non leo orci. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam bibendum ultricies erat a semper. Aliquam adipiscing risus et libero blandit vel pharetra lacus ultricies. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Curabitur quis leo eu mauris pellentesque tristique.
";s:7:"dateiso";s:15:"20120626_170642";}}