Prism, et après ?



Avant toute chose, je vous invite à lire le très bon billet d’Andréa Fradin, ex journaliste pour OWNI (une petite pensée pour eux au passage), maintenant chez Slate.fr

Pour celles et ceux qui ont la flemme (honte sur vous), Andréa observe les différentes réactions sur l’affaire PRISM et le constat est quasi sans appel : tout le monde ou presque s’en moque.

Alors oui, le monde la politique se saisi enfin du dossier et fait les gros yeux aux Etats-Unis, même si c’est trop tard… mais dans le fond, tout le monde ou presque ne se sent pas concerné par PRISM ni par le danger que ça représente.

Andréa observe donc PRISM avec un œil très lucide et avec une approche très pertinente, je considère l’article comme triste et déprimant parce qu’il explique parfaitement bien la situation.

Un autre constat établi est le manque de solutions viables pour être à l’épreuve de PRISM, c’est la raison de ce billet.

Je vais essayer de pousser jusqu’au bout les différentes pistes qui pourraient nous permettre de se prémunir un peu de PRISM et des autres programmes encore secrets, à cette étape du billet, je n’ai pas encore de constat clair à tirer…mais je sans qu’il ne va pas être très joyeux.

La première des pistes, c’est via la politique.

Si moi, toi derrière l’écran, les autres, voulons garantir au peuple la bonne application des dispositions déjà existantes en matière de protection de la vie privée, alors la politique devient un enjeu majeur. Elle l’est car, officiellement, elle couvre l’ensemble des personnes d’un pays. C’est donc un moyen de garantir que l’intimité des individus qui composent un peuple sera préservée.

Problème : des lois existent déjà, dans différents textes de la législation française ainsi que dans celle européenne et comme vous pouvez le constater, cela n’a pas protégé les personnes au sein de l’UE. Ainsi, peu importe le nombre de lois qui arriveront ou n’arriveront pas, ces dernières ne seront pas en mesure de garantir le respect de la vie privée et de l’intimité des individus.

Cette idée est donc obsolète puisqu’elle présente des garanties théoriques.

Seconde piste : le chiffrement, de tout, partout, tout le temps.

La Crypto anarchie, c’est le nom que certains donnent au fait de tout chiffrer, même pour dire bonjour à quelqu’un d’autre. Le principe est relativement simple : si tout est chiffré, cela augmente le temps de traitement d’une donnée jusqu’à saturation totale du système. L’idée est d’utiliser un chiffrement assez fort pour qu’il ne puisse pas être cassé.

Ce premier point sous-entend qu’il va falloir sortir du cadre de la loi, qui n’autorise pas un chiffrement des plus robustes, il ne sera donc pas suivi par celles et ceux qui ne veulent pas sortir du cadre de la loi.

Chiffrer tout, c’est aussi une chose extrêmement compliquée car il faut penser à tout sans exceptions. Le passage suivant est un tout petit peu plus technique, je vais tenter d’être clair, si ce n’est pas le cas prévenez-moi.

Sur un ordinateur, tout chiffrer revient à chiffrer sa navigation, ses données, sa connexion et tout ce qui va avec, ce qui donne quelque chose comme ça :

  1. être en https partout et encore, ce n’est pas une garantie contre un système d’espionnage
  2. chiffrer le contenu de son disque dur et dans l’idéal disposer d’une partition sécurisée (avec TrueCrypt par exemple)
  3. chiffrer sa connexion Internet en passant par un VPN et pas n’importe quel VPN, un système de confiance sinon passer par un VPN devient totalement inutile, il est également possible de passer par le réseau Tor
  4. chiffrer ses requêtes DNS : hmm, là ça mérite une petite explication.

Internet, ça marche avec des adresses (comme 173.194.40.120 par exemple), ces adresses-là sont des adresses IP. Pour plein de raisons et parce que ce n’est pas facile de retenir une adresse IP, le DNS a été créé. Le rôle du DNS est de donner l’adresse IP correspondante à l’adresse demandée.

Exemple : lorsque vous tapez google.fr dans votre barre d’adresse, votre ordinateur va frapper à la porte du DNS et lui demande « dis, je vais par où pour aller sur ce machin-là ? » et le DNS lui donne alors l’adresse IP correspondante. Ça fonctionne avec tout le reste aussi, ce n’est pas que le Web.

Ce DNS fonctionne et communique d’une façon spécifique, sur un canal qui lui est réservé. Ce canal c’est un port : pour résumer, lorsque vous allez sur http://bidule, c’est le port 80 qui est utilisé, https://bidule sera sur un autre port, vos mails, des mises à jour, logiciels et tout le reste communiquent aussi sur d’autres ports et le DNS lui, communique sur le port 53.

Ces requêtes ne sont pas chiffrées par défaut, ainsi, si le but est de totalement chiffrer sa connexion, il faudra chiffrer ces requêtes-là.

J’oublie sans doute tout un tas de choses qui entrent dans cette logique du chiffrement de tout.

Sur un téléphone, c’est la même chose : chiffrer tout, sa connexion avec Tor, ses données en chiffrant le stockage du téléphone, ses requêtes DNS et, cadeau bonus : chiffrer ses SMS stockés et l’envoi et la réception de ces SMS puis chiffrer ses appels.

Bref vous l’aurez compris, ces solutions demandent du temps, des efforts et un peu de connaissances que l’on acquiert lorsqu’on s’intéresse à tout ceci.

Dans les faits, tout le monde n’a pas le temps, la curiosité et l’envie (ni même ne ressent le besoin) de ça. C’est parfois complexe, il faut parfois mettre ses mains dans le code ou dans l’outil qui ne fonctionne pas comme on veut, puis ce n’est pas très « user-friendly », comparé à ce qui existe déjà.

Donc ça ne concerne que celles et ceux qui savent et comprennent, ce n’est pas le but de ce billet, essayons d’élargir le champ des personnes concernées. Idée suivante.

Troisième piste : Facebook, Apple, tout ça… C’EST LE MAL.

L’idée serait donc de migrer de Facebook vers autre chose, d’Apple vers autre chose (et ne me répondez pas android, c’est Google derrière)… oui, mais vers quoi ?

Parce que c’est bien mignon mais quel site est capable d’offrir autant d’interactions que Facebook ?

Des projets ou d’autres réseaux sociaux existent et l’article d’Andréa en parle d’ailleurs dans son article, comme elle parle du non succès rencontré par ces mêmes réseaux.

J’aime le libre, j’aime crier que tel service c’est mal parce que c’est irrespectueux de votre vie privée où dangereux et j’aime encore plus expliquer pourquoi mais il faut se rendre à l’évidence : les utilisateurs aiment ce qui est simple, rapide, interactif et ils veulent pouvoir retrouver leurs amis sur les différents réseaux sociaux.

Les projets concurrents à Facebook ne sont pas aussi faciles d’accès, pas aussi rapides, pas aussi interactifs et ils ne sont donc pas attractifs.

Paradoxalement, je suis en train de vous dire ça mais ce blog dispose d’une connexion Facebook, d’une fanpage et forcément, d’un compte Facebook. Je suis parfaitement conscient de ce que Facebook fait mais je suis, dans le même temps, conscient que c’est un outil de communication non négligeable.

Je suis donc mal placé pour vous demander de ne pas faire ce que je fais. Pour toutes ces raisons, espérer que les utilisateurs Facebook le quittent pour protéger leur intimité, c’est une utopie. Une belle utopie, mais une utopie quand même.

Quatrième piste : l’auto-hébergement de vos données et de vos services.

L’auto-hébergement, c’est le fait d’avoir ses propres services qui tournent, chez vous, pour faire ce que vous faites d’habitude.

En gros, vous disposez d’un serveur de mail avec une adresse que vous avez créé, vous disposez d’un serveur DNS, d’un IRC si vous l’utilisez, d’un serveur comme mumble pour parler, d’un serveur pour faire de la vidéo, d’un serveur qui remplace Twitter si vous êtes client Twitter… puis pour Facebook et le reste, ce n’est tout simplement pas possible.

Je me dirige peu à peu vers cette solution, je suis encore très loin d’avoir les compétences techniques pour tout faire mais ça viendra, j’échoue d’ailleurs sur quelques aspect de paramétrage de mon serveur DNS. Bref, comme tout le monde, je suis humain, je n’ai pas la science infuse et je fais des erreurs. Pour autant, je persiste et ça finira par fonctionner.

Demander aux gens de s’auto-héberger n’est absolument pas une solution envisageable pour l’instant. Il faut du temps, parfois un tout petit peu d’argent et surtout, il faut les connaissances nécessaires pour le faire et ça c’est un problème.

Un problème dans la mesure où beaucoup de gens n’ont tout simplement pas envie de comprendre, ils veulent que ça marche, point. L’idéal c’est d’appuyer sur un bouton et tout fonctionne, comme par magie.

Cette magie n’existe pas et on se rend compte que tout est logique une fois dedans, c’est un ensemble de choses, d’instructions, de lignes de code, qui produisent une chose et une autre, et au final ça fait un service x ou y.

Donc, demander à monsieur et madame « tout le monde » de basculer vers ce système, c’est tout simplement impossible. Ils ne veulent pas, ne comprennent pas l’intérêt puisque ce qui existe fonctionne déjà.

Dernière piste : l’éducation.

La seule solution viable semble être, selon moi, l’éducation. Je ne parle pas de chiffrement, mais d’éducation au numérique, d’explications sur les enjeux de cet outil qu’est Internet, de la protection des données personnelles afin de conserver un peu d’intimité.

Pour les « anciennes » générations, tout comme pour la nôtre, c’est déjà trop tard. Ce n’est pas à 30 ans, à 40 ou plus qu’il faut reposer des bases qui n’existaient pas car l’outil n’existait pas.

Cette solution peut fonctionner, elle peut rendre les gens responsables et conscients de ce qu’ils font sur Internet, elle peut sans doute leur faire prendre conscience qu’Internet est public et que si on veut que quelque chose reste privé, la meilleure solution, c’est peut-être de ne pas le publier tout court.

Derrière ce simple passage, il y a beaucoup de variables et tout ne se fera pas en un jour, ni en un an ni même en 10, c’est une transformation qui prendra une génération, si donné que cette transformation se concrétisait dans le futur…

Et maintenant, pour maintenant ?

Bien maintenant, je ne sais pas, j’ai envie de hausser les épaules et de répondre « à quoi bon, ça ne changera rien ».

Cette tentation de tout abandonner est de plus en plus tentante et j’imagine que d’autres ressentent la même chose que moi en ce moment même, à quoi bon lutter, autant se résigner.

Andréa le disait même dans le titre de son article, autant se résigner.

Sur ce point, j’ai une réponse claire, nette et précise à apporter : si nous nous résignons, c’est perdu.

Si nous n’essayons pas de faire changer les choses, c’est perdu, c’est accepter PRISM et la surveillance de tout, partout.

Si nous essayons, ce n’est peut-être pas gagné, mais nous avons bien plus de chances que ça fonctionne. C’est logique me direz-vous, si nous essayons, ça ne peut que fonctionner plus que si nous n’essayons pas. Vous avez raison.

C’est ce point qui ne me fait pas abandonner ce combat-là, ce point qui me remotive lorsque j’ai envie de tout fermer et d’arrêter d’essayer.

Les retombées de nos efforts ne seront peut-être pas visibles mais elles existeront. Peut-être pour une personne, peut-être pour mille, personne n’a cette réponse… mais tout le monde le sait.

Alors essayons.

Vous aimez cet article? Partagez-le ;-)

TwitterGoogle +LinkedInMail
Flattr !

10 commentaires to “Prism, et après ?”

  1. avatar

    Chiche, tu actives le SSL alors ? 😉

    • avatar

      Bien en fait : https://pixellibre.net existe hein :), mais pas avec une redirection automatique sur du https, lors de ma réflexion sur https par défaut j’ai tilté que ça rendrait le site inaccessible à quelques endroits (entreprises, toussa) qui ont une politique de blocage des https non certifiés, donc je n’ai pas fait de bascule, mais la version https est dispo :p

  2. avatar

    Salut,

    je propose une partie de solution supplémentaire : noyer le poisson :

    Un programme qui mimerait le comportement humain, il se connecterait régulièrement à fb, aurait un groupe d’amis cohérent (zone géographique, centre d’intérêt, …), écrirait sur son mur qu’il a mangé une pomme, visiterait des sites, fausse coordonées GPS (uniquement si OS libre) etc…

    ainsi il serait impossible pour les espions de faire un lien IP-profil, et leurs bases de données serait pleine de profils inutiles

    Enfin, je dis ça, ça me parait compliqué, je ne suis pas calé sur le sujet (étudiant en ostéopathie)
    Je pense que ça demande pas mal de ressources et il faudrait parfois demander des capchas à l’utilisateur et le maintenir régulièrement à jour.

    • avatar

      Sur le fond c’est une idée originale mais elle reposera (si elle doit être utilisée par « la masse ») sur des solutions en provenance d’un tiers, donc connues et de facto contournables parce qu’on sera capable de voir que tel programme fait telle ou telle chose, au même titre que ça n’englobera pas tout (sms, mails, appels …) et que si elle le fait, il y aura un potentiel risque : il faut que l’application soit sure, faite par un tiers de confiance ou par soi même dans l’idéal.

      En résumé, l’idée est plutôt bonne mais sa mise en œuvre me semble bien complexe 🙁

  3. avatar

    Salut,

    J’ai découvert ton site via un billet de Korben qui pointait sur une de tes vidéos que j’ai trouvé particulièrement intéressante tant sur le fond que sur la forme. Du coup je suis venu visiter ton blog et depuis je lis l’intégralité de tes billets par ordre chronologique (oui ça prend du temps mais c’est très instructif).

    Ils sont extrêmement intéressants. N’ayant aucun compte sur les réseaux sociaux je partage l’information via email à mes connaissances, ou bien tout simplement au cours des conversations qu’on peut avoir IRL.

    Je tenais à revenir sur les 3 derniers paragraphes de ton article, qui me semblent très importants. Internet est vaste et brasse énormément de gens, je pense qu’il ne faut pas négliger « l’effet papillon » que tu connais j’en suis sûr.

    Un article sur un blog peut déclencher une prise de conscience chez une personne qui va en parler à une autre puis à une autre etc.

    Donc je tenais juste à t’apporter via ce commentaire tout mon soutien et te remercier pour chaque article qui fait vivre ce blog. Comme tu l’expliques les retombées ne seront peut-être pas visibles mais elles seront bien présentes.

    Je trouve que la confiance qui règne dans nos politiques est ébranlée chaque jour un peu plus par les affaires qui éclatent au grand jour. Ca ne pourra pas continuer comme ça ad vitam eternam.

    Moi je pense que les gens en ont de plus en plus marre d’être pris pour des idiots (pour rester poli) et que dans quelques années un changement important va se produire.

    Et les racines de ce changement sont plantées par des blogs comme le tien, et par toutes les sources d’info « libres ».

    Donc une fois de plus, merci de prendre le temps d’écrire sur ton blog et n’abandonne jamais, sinon ils auront gagné, et c’est intolérable.

    PS: Je suis pas du genre à écrire des commentaires sur les blogs car je fais toujours des commentaires à rallonge (la preuve). Mais comme tu avais fais la remarque récemment sur ton blog comme quoi il y avait des visiteurs mais peu de commentaires (tu t’interrogeais sur d’éventuels problèmes techniques), et bien je me suis sorti les doigts d’où tu sais pour te confirmer qu’il n’y a pas de problèmes techniques et pour te soutenir ! Bon courage !

  4. avatar

    L’éducation, l’éducation et encore l’éducation. Mais ca prend de l’énergie et du temps. C’est dur.
    Plus d’une fois, je me suis dit « on arrête tout », on repasse sous des solutions plus simples et grand public et puis les gens se débrouilleront, tant pis.

    Et puis non. Je dois être maso.

    Joli commentaire que celui de Spark en tout cas.

  5. avatar

    Moi aussi j’ai découvert ce blog via korben et son article te publiant.

    En général, plus que l’éducation (qui nécessite du temps et de l’effort), il faut un choc pour réveiller la masse. Ça fait des années que l’on est au courant de la backdoor de SSL pour le FBI, que l’on propage le fait que google et facebook se servent de nos infos personnelles, etc…

    Ces faits « geek », nous ont réveillé, d’autres fait nous ont rassemblé, nous ont fait nous identifié à certaines valeurs (comme l’idéologie anonymous (juste l’idée qu’il y a derrière).

    Il faut savoir que la prise de conscience de notre population d’initiés est récente, mais avec l’effet papillon, on peut faire changer les choses !
    IE devient minoritaire!
    Android est reconnu grâce aux geeks qui forment sa communauté
    Free/Free mobile s’est imposé

    Se sont des idées qui ont été injectée par les geeks au reste de la population, des idées sous leur forme la plus simple possible, mais qui sont des preuves que le changement est possible !

    La violation de vie privée « moderne » est jeune, mais elle a l’avantage d’être une idée simple et surtout d’être une atteinte aux droits fondamentaux de l’homme. Oui il y aura toujours des « j’ai rien à caché, je m’en fout » mais les madame michu à qui on dit « facebook te regarde sous la douche » elles prennent peur, etc…

    L’autre avantage de cet « idée » c’est, qu’elle revient plusieurs fois par an, à toutes les sauces, de plus en plus épicé, ce qui nous laisse pas mal de moments de « hype » pour se battre, et plusieurs angles d’attaque pour dire « regarde, là google te suis, là facebook te vend, là les états-unis te violent, etc… tien lis 1984 »

    Bref, nous nous battons depuis près de 3siècles pour des droits fondamentaux, et on est pas près de s’arrêté 😉

  6. avatar

    Sur internet, rien ne se perd, rien ne se raie, tout informe.

    Premier principe de l’internet sous l’ère prismaire.

  7. avatar

    Une idée de solution pas neutre qui lie politique et éducation : demander au parti pirate de dispenser des cours d’éducation à internet et aux libertés privées à tous ceux qui veulent.

  8. avatar

    La vie privée est incompatible avec Facebook, tous les services de Google etc.

    Le chiffrement ne protège pas la vie privée sur Facebook ou Google car de toutes façons, ils vendent nos données ou les refilent à la NSA.

    Éduquer et garder Facebook, c’est là l’utopie, à mon sens.

    Pourquoi pas autre chose que les monstres centralisés? Movim existe. À nous de le faire exister.

    Le Libre et la liberté, c’est une éthique et l’éthique se moque bien du confort de Facebook ou de Google.

    Bref, je ne vois pas comment on peut parler de vie privée en proposant des boutons FB et Google et tout le reste et en ayant une page Facebook même prétendument protégée. FB ni Google ne changeront jamais, c’est une utopie de le penser comme certains.

    Enfin, peut-être toi tu te protèges sur FB ou Google mais tu attires des gens qui ne peuvent pas se protéger, tu les livres à FB ou à Google.

    Les gens qui ont une adresse gmail livrent à Google les données de leurs amis qui n’ont aucun service Google. C’est une trahison grave, à mon sens, et pire encore quand ça vient de gens qui sont conscients des questions dont parle ce blog.