Le chiffrement sécurisé d’Emmanuel Macron Schrödinger

Le 13 juin, Emmanuel Macron a déclaré, conjointement avec Thesera May, qu’il souhaitait renforcer la lutte contre le terrorisme. Dans cette déclaration, on peut lire que l’ancien candidat d’En Marche souhaite améliorer les moyens d’accès aux contenus « cryptés » (sic)

Est-ce possible ? Comment ? Ce billet vous donne quelques éléments de réponse. Continuer la lecture de Le chiffrement sécurisé d’Emmanuel Macron Schrödinger

Censure : a quel jeu joue Facebook ?

Il y a quelques jours, une nouvelle venait assombrir le paysage de la « liberté d’expression » sur Facebook, comprenez par-là, la liberté d’expression selon Facebook qui est une lointaine cousine de la véritable liberté d’expression. Retour sur cette affaire. Continuer la lecture de Censure : a quel jeu joue Facebook ?

Les éditeurs en guerre contre les Adblockers !

Ce jour, de nombreux éditeurs de contenus et services en ligne, regroupés au sein du « GESTE », ont décidé de passer à la vitesse supérieure, en bloquant plus ou moins les personnes qui disposent d’un bloqueur de publicité sur leur navigateurs, certains allant jusqu’à bloquer tout court. Continuer la lecture de Les éditeurs en guerre contre les Adblockers !

[MAJ] Bloquer les sites pornos par défaut, bonne ou mauvaise idée ?

Mise à jour du 15 septembre 2015 :

Dans une réponse écrite,  le gouvernement envoie aux oubliettes la proposition du député Candelier, qui souhaitait instaurer un code d’accès aux sites pornographiques ou, à défaut, bloquer les sites pornographiques.

Continuer la lecture de [MAJ] Bloquer les sites pornos par défaut, bonne ou mauvaise idée ?

Les boites noires, si ce n’est pas du DPI, qu’est-ce que ça sera ?

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.

Il y a pire que la censure. #PJLRenseigment

Le projet de loi sur le renseignement sera examiné dans le courant du mois d’avril. Jusque à cette date, il ne sera que générateur de questions et d’inquiétudes, parfaitement soulignées par de nombreux acteurs.

Pour rappel, voici une liste à jour des personnes, ONG ou associations et autres qui se posent des questions sur le projet de loi.

Ce matin, une conférence commune à nombre de ces entités avait lieu dans les locaux de la Quadrature du Net et ces dernières se sont inquiéteés, sans doute à juste titre, de la très dangereuse orientation que prend le gouvernement : la surveillance massive et la capacité que s’octroie l’Etat à pouvoir surveiller quasiment n’importe qui.

Si le projet de loi est nécessaire afin de permettre aux agences de renseignement d’être plus rapides et efficaces pour lutter contre « le mal » – expression volontairement mise en avant pour caricaturer la vision très binaire de l’Etat sur le sujet – qui ronge notre pays, il n’en reste pas moins qu’il ne prend pas en compte les effets de bord de tout ceci, les « dommages collatéraux » comme on dit.

Il s’avère qu’un de ces effets de bord, non pris en compte par notre gouvernement, est bien pire que les risques de détournement de la loi et de censure qui vienent menacer nos libertés individuelles. La France glisse vers quelque chose de bien pire que la simple censure.

La censure est subie, elle n’est pas le fait de notre volonté, mais de celle des censeurs.

La censure est une limitation arbitraire, par un gouvernement, de notre capacité à nous exprimer.

En l’état, notre gouvernement va aller au-delà de la simple censure : en instaurant un régime de « sur-surveillance », en étant en capacité de faire de l’interception massive de l’ensemble des données des citoyens – même s’il ne le fait pas, il sera en capacité de le faire – et en prenant le parti parfaitement volontaire de se passer du pouvoir judiciaire, nous basculerons irrémédiablement dans un régime qui favorisera l’autocensure.

Le gouvernement fait le choix de se passer du pouvoir judiciaire. Ce n’est pas une erreur ou un oubli, c’est un acte conscient, longuement réfléchi, le projet de loi sur le renseignement ne s’est pas écrit en trois heures sur un coin de table.

Ce choix vient déséquilibrer la balance entre les trois pouvoirs, comme j’en ai déjà parlé récemment lorsque j’ai commencé à m’interroger sur les bases d’une dictature, que j’ai l’impression de voir arriver.

Le gouvernement va favoriser l’autocensure…

et c’est bien pire que la censure, cette dernière fonctionnant à postériori.

L’autocensure vient de nous, elle représente une manifestation du changement de comportement, face à un régime déséquilibré, totalitaire.

Elle est plus dangereuse car elle est invisible et majoritairement inconsciente.

Saviez-vous, par exemple, que plus il y a de caméras de surveillance qui vous suivent, plus votre comportement change ?

La surveillance modifie notre capacité d’autorégulation : lorsque quelqu’un vous observe – un agent de police par exemple – vous le savez, vous le voyez.

La vidéosurveillance entraine l’autocensure parce qu’elle crée l’incertitude : la caméra est là mais on ne sait pas si l’on est observé ou non, on ne peut que supposer qu’on l’est et inconsciemment, notre comportement s’en trouve modifié.

La vidéosurveillance est « là sans être là »

Nous ne la remarquons pas toujours, on oublie qu’elle est là car elle n’est pas en face de nous et, de plus en plus, elles est invisible car « intégrée de la meilleure manière à l’espace urbain », comprenez par-là qu’il faut rendre les caméras invisibles pour donner l’illusion qu’elles ne sont pas là, libre à vous de croire que c’est pour votre bien ou pour pouvoir vous surveiller sans en être conscient, cela dépend de la sensibilité de chacun.

Avec le projet de loi sur le renseignement, ce risque d’autocensure grandit un peu plus : tout système de surveillance massif, tout système qui est en capacité de capter vos données numérique, entraine le doute.

Vous pouvez supposer que par défaut, vous n’êtes pas sous surveillance, mais vous ne pouvez pas réellement le confirmer. Vous ne pouvez que supposer que vous ne l’êtes pas. Ou que vous l’êtes. Comme le système de vidéo surveillance, ce dispositif est invisible, nous l’oublions donc assez rapidement mais inconsciemment, nous savons qu’il est là.

Ce point est renforcé par l’absence du pouvoir judiciaire : je n’ai pas la possibilité de saisir le garant de mes libertés individuelles si j’ai un doute, je ne peux que saisir une autorité administrative – la CNCTR, qui ressemble plus à un justificatif – reliée au pouvoir exécutif. Mon potentiel surveillant est aussi mon potentiel protecteur, situation très ambiguë vous en conviendrez.

L’autocensure a de pis qu’elle s’inscrit dans le très long terme. Nous sommes conscients de cette autocensure mais vivons dedans donc l’oublions un peu, la génération d’après encore plus car ils ne sont pas nés dedans, c’est donc naturel pour eux et ce qui est naturel ne représente pas de danger. Il suffit de voir les réactions des générations les plus récentes, qui ne voient pas, pour beaucoup, de problèmes dans la vidéo surveillance.

Je m’interroge à nouveau… est-ce que le gouvernement a réalisé une étude – sérieuse, cela va sans dire – sur l’impact de la surveillance sur les comportements de la population ?

Je ne suis pas le seul à m’interroger, la Quadrature du Net, tout comme Amnesty, se posaient la même question ce matin, lors de la « conférence commune ».

Avec …

  • les experts et associations dont la Ligue des Droits de l’Homme qui parlent de surveillance généralisée,
  • les similitudes inquiétantes entre le projet de loi sur le renseignement et la loi FISA, au cœur des scandales liés à la NSA, qui a par ailleurs très largement outrepassé ses droits.
  • Reporter Sans Frontières qui s’inquiète des débordements des services de renseignement,
  • le Syndicat de la Magistrature, qui maîtrise bien mieux un texte de loi que moi et qui s’inquiète quand-même du texte
  • Un gouvernement qui ne sait pas ce que va devenir ce projet de loi sur le plan pratique
  • Des parlementaires qui reconnaissent ne pas maîtriser les aspects techniques de la loi sur le renseignement,
  • l’absence d’étude et de statistiques sérieuses sur l’intérêt de la surveillance,
  • l’absence de garde-fous pour relever les dérives des agences de renseignement,
  • le fait que le juge soit exclu du projet de loi, de manière volontaire,
  • le fait que nous soyons plus ou moins tous suspects, donc pas innocents par défaut,
  • le fait que protéger sa vie privée pourra être interprété comme un acte suspect,

je vous avoue que je suis perplexe pour la suite des évènements, il faudra être très présent lors de l’ouverture des débats et faire très attention à tout ce qui va se passer, se dire et être pris en compte.

Sans quoi, nous arriverons à cette autocensure qui m’inquiète tant.