Catégorie : Internet

Assurances : la vie au rythme pavlovien ?

Dans une récente actualité publiée sur RTL, j’apprenais que l’interconnexion entre les données de santé et les assurances était toujours d’acualité.

Pour rappel ou pour ceux à qui cela ne dit rien, il est question de polices d’assurance spécifiques où vos données de santé sont collectées, généralement à l’aide d’un objet connecté fourni par la société de prestation.

Dans l’article de RTL c’est d’un bracelet connecté fourni par la société Fitbit.

Quels sont les avantages d’un tel dispositif ?

L’avantage principal, qui conditionne les autres, se résume ainsi : passer d’un système d’assurance basé sur la mutualisation des risques à quelque chose « taillé sur mesure ».

Dans le premier cas, à savoir la base des assurances actuelles, les différents risques inhérents à la vie quotidienne, à la santé et au reste sont statistiques. Ces statistiques sont ensuite appliquées à l’ensemble des adhérents, ce qui représente un risque moyen de telle ou telle chose, à laquelle on vient appliquer un prix (hospitalisation, maladie, vol, feu …).

Dans le second, plus de mutualisation de risques, on calcule absolument tout à partir de vos données. Ainsi, si vous faites du sport, votre assurance coûtera moins que le prix indiqué car vous diminuez vos risques de santé. Si vous mangez correctement, c’est pareil. Une vie saine selon les normes de votre assurance signifiera donc une qu’elle sera moins onéreuse…

Mais à quel prix ?

Car c’est la question que vous devez vous poser. : « Suis-je prêt à ce que ma manière de vivre soit édictée par ma compagnie d’assurance ? »

Prenons quelques exemples simples : êtes-vous prêts à changer vos habitude, vos comportements, vos préférences, pour payer moins cher votre assurance ?

Si la réponse est oui, réfléchissez bien à tout ce que cela représente : votre assurance doit récupérer vos données de santé, via du « quantified self », elle sera donc au courant de vos moindres faits et gestes :

  • activité cardiaques
  • repos, sommeil
  • activités sexuelles (augmentation du rythme cardiaque, combiné à une géolocalisation fixe et pourquoi pas croisée avec les données de votre partenaire…)
  • repas, prise de poids
  • écarts de conduite, bonne conduite selon les normes imposées par votre assurance
  • déplacements, type de déplacement en calculant votre vitesse de déplacement
  • nombre de calories brulées, nombre de calories reprises…

A chaque action qui va « dans le sens de la norme », c’est un bonus qui sera appliqué et à chaque action qui va à l’inverse de ladite norme, ça sera un malus.

C’est ce qu’on appelle un conditionnement pavlovien : vous êtes punis tant que vous ne faites pas comme il faut faire et, bien évidemment, vous n’êtes pas maître de ce « ce qu’il faut faire », vous perdez donc toute votre capacité de décision sur votre propre vie.

Pour l’instant, ces polices d’assurance sont à la marge et facultatives mais, dans 50 ans, le seront-elles toujours ?

Imaginez ce modèle d’ici 50 ans ou peut-être moins : tout le monde pratiquant la même activité sportive, à la même heure, mangeant la même chose, ayant les mêmes activités dans tous les domaines…

Est-ce réellement ça, que nous voulons pour le futur ?

Je vous laisse réfléchir sur le sujet et sur votre envie d’une société « normalisée », lisse, comme celle qu’on peut croiser dans certains films.

Les boites noires, si ce n’est pas du DPI, qu’est-ce que ça sera ?

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.

#PJLRenseignement : 4.74 degrés

Non, ce n’est pas le taux d’alcoolémie des créateurs du projet de loi sur le renseignement, même si on peut se poser la question.

4.74, c’est le « degré de séparation » entre vous et n’importe quel individu qui utilise Internet.

Si vous préférez : vous connaissez quelqu’un, qui connait quelqu’un, qui connait quelqu’un qui connait quelqu’un.

Cette théorie date de 1929 et s’appelait à l’époque la théorie des six poignées de main.

4.74, c’est en prenant Internet et les réseaux sociaux en compte, Internet ayant le pouvoir de rapprocher des gens sans qu’eux-mêmes le sachent.

Si cette théorie vous semble folle, elle est pourtant bien réelle, Facebook ou LinkedIn en sont de parfaits exemples.

Le projet de loi sur le renseignement indique que des écoutes – au sens large, il ne s’agit pas uniquement d’écoutes téléphoniques – pourront concerner les personnes « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de cette dernière ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation. »

Vous êtes médecin et un de vos patients est une cible ? Vous entrez, aux yeux du projet de loi, dans ce rôle d’intermédiaire.

Chauffeur de taxi ? Vous aussi, un de vos passagers est peut-être une cible.

Vous connaissez quelqu’un qui est médecin et qui a un patient ciblé par le renseignement français ? Vous entrez, aux yeux du projet de loi, dans ce rôle d’intermédiaire.

Vous connaissez quelqu’un qui connait quelqu’un qui connait quelqu’un qui connait quelqu’un qui est médecin et un des patients est ciblé par le renseignement français ? Vous entrez, aux yeux de la loi, dans ce rôle d’intermédiaire.

Le projet de loi sur le renseignement ainsi que ses défenseurs s’évertuent à déclarer que seuls les « méchants », les « bad guys » pour reprendre une expression d’un membre du cabinet de Manuel Valls, seront traqués…

… et les personnes pouvant jouer le rôle d’« intermédiaire, volontaire ou non », puisque le projet de loi le stipule.

Selon-vous, qu’est-ce qui arrive lorsqu’on mêle la théorie des 4.74 degrés de séparation au projet de loi sur le renseignement ?

La réponse, qui n’engage que moi, est relativement simple : un risque de surveillance massive, surveillance opérée par des algorithmes et rapidement contrôlée par des humains en nombre insuffisants.

Lettre ouverte à vous, mes représentants.

Chers représentants, représentantes, députés,

D’ici quelques jours, vous serez amenés à vous prononcer sur le projet de loi sur le renseignement et je souhaite, avant l’ouverture des débats, que vous preniez la mesure de ce que vous allez voter.

Pour commencer, j’ai conscience de n’être qu’un « simple citoyen », de ne pas disposer de la science infuse, d’être peut-être « à côté de la plaque ».

Eux en revanche, ils ne le sont pas :

  1. Amnesty International
  2. La Quadrature du Net
  3. Alain Marsaud, ancien juge du terrorisme
  4. Le Conseil National du Numérique
  5. La CGT Police
  6. Reporters Sans Frontières
  7. Le Syndicat de la Magistrature, qui estime que ce projet de loi « « installe un dispositif pérenne de contrôle occulte des citoyens dont il confie au pouvoir exécutif un usage quasi illimité. Il est à ce titre inacceptable. Seul un véritable contrôle a priori de techniques de renseignement proportionnées et visant un objectif strictement défini relevant de la sécurité nationale, restera respectueux des droits fondamentaux. »
  8. Marc Trevidic, l’actuel juge antiterrorisme
  9. Le président de la CNCIS lui-même
  10. La CNCDH (Commission consultative en charge des droits de l’Homme)
  11. La Ligue des Droits de l’Homme
  12. L’Union des Syndicats de la Magistrature
  13. La Fédération Syntec
  14. Le commissaire des droits de l’Homme du Conseil de l’Europe
  15. La CNIL
  16. Human Rights Watch

Que faites-vous de ces avis ? Considérez-vous ces gens comme des « paranos » ?

Pour continuer, je ne suis ni votre ennemi ni celui de la protection de la nation, de ses intérêts, du peuple, de ses enjeux et j’en passe. S’il vous plaît, ne tombez pas dans la logique binaire actuelle : ce n’est pas parce que je m’oppose au projet de loi du renseignement que je suis pour le terrorisme, ce sont deux choses différentes, la vie n’est pas blanche ou noire. Vous le savez j’imagine…

Vous êtes des représentants de la nation et, à ce titre, vous avez choisi de représenter le peuple français, quelles que soient vos convictions, vos couleurs et votre appartenance politique, je ne vous demande qu’une chose : représenter le peuple français. J’ai aussi conscience qu’ici, je ne m’exprime qu’en mon nom, rassurez-vous, j’ai les pieds sur terre.

Nous sommes tous d’accord : ce qui s’est passé au mois de janvier est horrible, immonde, inhumain… faut-il pour autant céder à la dérive sécuritaire actuelle ?

Mesdames et messieurs les députés, notre pays repose sur deux piliers : la séparation des pouvoirs et une devise, inscrite partout : Liberté, Egalité, Fraternité.

Le projet de loi sur le renseignement est diamétralement opposé à cette liberté, c’est une menace pour nos libertés individuelles. Mesdames et messieurs les députés, ce projet de loi sur le renseignement est une boite de Pandore que je vous invite à ne pas activer, à ne surtout pas ouvrir.

Ce projet de loi s’oppose à la séparation des pouvoirs, véritable socle de nos démocraties occidentales. Cette séparation des pouvoirs, vous savez, cette chose théorisée par Montesquieu, ce qui est devenu par la suite le socle absolu de notre démocratie. Montesquieu a simplement déclaré qu’il n’était pas possible de laisser tous les pouvoirs entre les mêmes mains.

En choisissant de se passer totalement de l’autorité judiciaire, le projet de loi sur le renseignement détruit le fragile équilibre entre ces pouvoirs. Vous pourrez rétorquer qu’un juge est prévu, mais c’est un juge administratif et non un juge judiciaire, seul garant des libertés individuelles.

Mesdames et messieurs les députés, généraliser le recours administratif, c’est tuer les fondements de notre démocratie. De la même manière, l’instauration de « boites noires », vous le savez, vous l’avez forcément lu, vu, entendu quelque part, c’est se doter d’un système de surveillance généralisée, ce qui va à l’encontre de la démocratie et, d’un point de vue légal, des dispositions européennes.

Vous déclarerez ne pas vouloir l’utiliser ainsi. Vous déclarerez vouloir nous protéger, comme la NSA l’a fait aux Etats-Unis d’Amérique.

Je pense que vous connaissez la suite…

Mesdames et messieurs les députés, je pense que, quoi que je dise dans cette lettre, cela ne changera pas votre décision.

Souvenez-vous seulement que, lorsque vous voterez ce texte, ce sera en votre âme et conscience.

Malgré l’avis des ONG.

Malgré les nombreux avis d’experts.

Malgré les avis de deux juges de l’antiterrorisme.

Malgré l’avis de la CNCIS.

Malgré l’avis de la Ligue des Droits de l’Homme

Malgré les avis de nombreux citoyens.

Malgré l’avis de tant d’autres….

Mesdames et messieurs les députés, n’ouvrez pas cette boite de Pandore.

Il y a pire que la censure. #PJLRenseigment

Le projet de loi sur le renseignement sera examiné dans le courant du mois d’avril. Jusque à cette date, il ne sera que générateur de questions et d’inquiétudes, parfaitement soulignées par de nombreux acteurs.

Pour rappel, voici une liste à jour des personnes, ONG ou associations et autres qui se posent des questions sur le projet de loi.

Ce matin, une conférence commune à nombre de ces entités avait lieu dans les locaux de la Quadrature du Net et ces dernières se sont inquiéteés, sans doute à juste titre, de la très dangereuse orientation que prend le gouvernement : la surveillance massive et la capacité que s’octroie l’Etat à pouvoir surveiller quasiment n’importe qui.

Si le projet de loi est nécessaire afin de permettre aux agences de renseignement d’être plus rapides et efficaces pour lutter contre « le mal » – expression volontairement mise en avant pour caricaturer la vision très binaire de l’Etat sur le sujet – qui ronge notre pays, il n’en reste pas moins qu’il ne prend pas en compte les effets de bord de tout ceci, les « dommages collatéraux » comme on dit.

Il s’avère qu’un de ces effets de bord, non pris en compte par notre gouvernement, est bien pire que les risques de détournement de la loi et de censure qui vienent menacer nos libertés individuelles. La France glisse vers quelque chose de bien pire que la simple censure.

La censure est subie, elle n’est pas le fait de notre volonté, mais de celle des censeurs.

La censure est une limitation arbitraire, par un gouvernement, de notre capacité à nous exprimer.

En l’état, notre gouvernement va aller au-delà de la simple censure : en instaurant un régime de « sur-surveillance », en étant en capacité de faire de l’interception massive de l’ensemble des données des citoyens – même s’il ne le fait pas, il sera en capacité de le faire – et en prenant le parti parfaitement volontaire de se passer du pouvoir judiciaire, nous basculerons irrémédiablement dans un régime qui favorisera l’autocensure.

Le gouvernement fait le choix de se passer du pouvoir judiciaire. Ce n’est pas une erreur ou un oubli, c’est un acte conscient, longuement réfléchi, le projet de loi sur le renseignement ne s’est pas écrit en trois heures sur un coin de table.

Ce choix vient déséquilibrer la balance entre les trois pouvoirs, comme j’en ai déjà parlé récemment lorsque j’ai commencé à m’interroger sur les bases d’une dictature, que j’ai l’impression de voir arriver.

Le gouvernement va favoriser l’autocensure…

et c’est bien pire que la censure, cette dernière fonctionnant à postériori.

L’autocensure vient de nous, elle représente une manifestation du changement de comportement, face à un régime déséquilibré, totalitaire.

Elle est plus dangereuse car elle est invisible et majoritairement inconsciente.

Saviez-vous, par exemple, que plus il y a de caméras de surveillance qui vous suivent, plus votre comportement change ?

La surveillance modifie notre capacité d’autorégulation : lorsque quelqu’un vous observe – un agent de police par exemple – vous le savez, vous le voyez.

La vidéosurveillance entraine l’autocensure parce qu’elle crée l’incertitude : la caméra est là mais on ne sait pas si l’on est observé ou non, on ne peut que supposer qu’on l’est et inconsciemment, notre comportement s’en trouve modifié.

La vidéosurveillance est « là sans être là »

Nous ne la remarquons pas toujours, on oublie qu’elle est là car elle n’est pas en face de nous et, de plus en plus, elles est invisible car « intégrée de la meilleure manière à l’espace urbain », comprenez par-là qu’il faut rendre les caméras invisibles pour donner l’illusion qu’elles ne sont pas là, libre à vous de croire que c’est pour votre bien ou pour pouvoir vous surveiller sans en être conscient, cela dépend de la sensibilité de chacun.

Avec le projet de loi sur le renseignement, ce risque d’autocensure grandit un peu plus : tout système de surveillance massif, tout système qui est en capacité de capter vos données numérique, entraine le doute.

Vous pouvez supposer que par défaut, vous n’êtes pas sous surveillance, mais vous ne pouvez pas réellement le confirmer. Vous ne pouvez que supposer que vous ne l’êtes pas. Ou que vous l’êtes. Comme le système de vidéo surveillance, ce dispositif est invisible, nous l’oublions donc assez rapidement mais inconsciemment, nous savons qu’il est là.

Ce point est renforcé par l’absence du pouvoir judiciaire : je n’ai pas la possibilité de saisir le garant de mes libertés individuelles si j’ai un doute, je ne peux que saisir une autorité administrative – la CNCTR, qui ressemble plus à un justificatif – reliée au pouvoir exécutif. Mon potentiel surveillant est aussi mon potentiel protecteur, situation très ambiguë vous en conviendrez.

L’autocensure a de pis qu’elle s’inscrit dans le très long terme. Nous sommes conscients de cette autocensure mais vivons dedans donc l’oublions un peu, la génération d’après encore plus car ils ne sont pas nés dedans, c’est donc naturel pour eux et ce qui est naturel ne représente pas de danger. Il suffit de voir les réactions des générations les plus récentes, qui ne voient pas, pour beaucoup, de problèmes dans la vidéo surveillance.

Je m’interroge à nouveau… est-ce que le gouvernement a réalisé une étude – sérieuse, cela va sans dire – sur l’impact de la surveillance sur les comportements de la population ?

Je ne suis pas le seul à m’interroger, la Quadrature du Net, tout comme Amnesty, se posaient la même question ce matin, lors de la « conférence commune ».

Avec …

  • les experts et associations dont la Ligue des Droits de l’Homme qui parlent de surveillance généralisée,
  • les similitudes inquiétantes entre le projet de loi sur le renseignement et la loi FISA, au cœur des scandales liés à la NSA, qui a par ailleurs très largement outrepassé ses droits.
  • Reporter Sans Frontières qui s’inquiète des débordements des services de renseignement,
  • le Syndicat de la Magistrature, qui maîtrise bien mieux un texte de loi que moi et qui s’inquiète quand-même du texte
  • Un gouvernement qui ne sait pas ce que va devenir ce projet de loi sur le plan pratique
  • Des parlementaires qui reconnaissent ne pas maîtriser les aspects techniques de la loi sur le renseignement,
  • l’absence d’étude et de statistiques sérieuses sur l’intérêt de la surveillance,
  • l’absence de garde-fous pour relever les dérives des agences de renseignement,
  • le fait que le juge soit exclu du projet de loi, de manière volontaire,
  • le fait que nous soyons plus ou moins tous suspects, donc pas innocents par défaut,
  • le fait que protéger sa vie privée pourra être interprété comme un acte suspect,

je vous avoue que je suis perplexe pour la suite des évènements, il faudra être très présent lors de l’ouverture des débats et faire très attention à tout ce qui va se passer, se dire et être pris en compte.

Sans quoi, nous arriverons à cette autocensure qui m’inquiète tant.

Où est Charlie ?

Après le renforcement des moyens mis à disposition pour surveiller la population, la mise en place de la Loi de Programmation Militaire (LPM) et la loi sur le terrorisme, le gouvernement revient à la charge, cette fois-ci avec un projet de loi sur le renseignement.

Ce projet de loi dit « Renseignement » propose d’étendre à nouveau les moyens de surveillance de l’État, déjà bien renforcés avec les précédentes lois. L’objectif se veut ambitieux : mettre à jour les règles qui encadrent les différentes pratiques des services de renseignement.

Le principal but de ce projet de loi est, bien évidemment, le renforcement de la sécurité de l’État et de ses concitoyens, à savoir nous.

Est-ce que projet de loi est une bonne nouvelle ? Qu’est-ce que ça représente, concrètement ? Dois-je m’inquiéter, moi, citoyen français ?

C’est ce que votre serviteur va tenter de vous expliquer.

La « police » administrative.

Ce projet de loi propose d’étendre les mesures administratives.

Pour résumer de la façon la plus juste possible, dès lors qu’on touche à nos libertés fondamentales, c’est au juge, seul garant de nos libertés fondamentales, d’intervenir.

Ce projet propose de se passer du juge dans les cas suivants :

  1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
  2. Les intérêts majeurs de la politique étrangère, l’exécution des engagements internationaux, la prévention de toute forme d’ingérence étrangère
  3. Les intérêts économiques ou scientifiques majeurs
  4. La prévention du terrorisme, des atteintes à la forme républicaine et à la stabilité des institutions, de la reconstitution ou du maintien de groupement dissous
  5. La prévention de la criminalité et de la délinquance organisées
  6. La prévention de la prolifération des armes de destruction massive
  7. La prévention des violences collectives de nature à porter gravement atteinte à la paix publique

A la lecture de ces cas, une chose ressort : c’est vaste. Très vaste. Et flou. Tellement que je ne vous cache pas mon inquiétude quant aux moyens qui seront mis en œuvre pour atteindre des objectifs. On décide de se passer du juge sur des cas où sa présence est fortement requise.

D’ailleurs, ces moyens, quels-sont-ils ?

C’est là que j’ai l’impression d’être dans 1984. Non, ne partez pas, lisez jusqu’au bout.

Premier moyen

La CNCTR, pour commission nationale de contrôle des techniques du renseignement. Elle remplace la CNCIS, complètement débordée par la charge de travail. CNCIS qui est composée de trois membres, c’est évidemment trop peu pour agir lorsque les agences de renseignement sortent du cadre de la loi. Cela semble être une bonne nouvelle mais dans les faits, je n’en suis pas certain. Tout dépendra de la façon dont la CNCTR sera utilisée, ainsi que de ses membres et de ses moyens que l’on sait déjà plus importants que ceux de la CNCIS.

Second moyen

Des équipements dont on ne sait rien, installés directement dans les locaux des opérateurs (dont les fournisseurs d’accès à Internet). Ces « boites noires » devront « détecter, par un traitement automatique, une succession suspecte de données de connexion ». Qu’est-ce que cela signifie, en clair ? Que l’État sera capable de capter et conserver l’ensemble des données qui transitent par ces opérateurs. En résumé, il sera donc en capacité de surveiller l’ensemble de sa population et plus encore, puisque nous ne sommes pas les seuls à utiliser ces opérateurs.

La notion de traitement automatique est au moins autant inquiétante. Automatique, ça se traduit assez facilement : tu es un suspect ou tu ne l’es pas. Même si les programmes de traitement automatiques sont crées par des humains, l’informatique reste ce qu’elle est : un outil con qui ne connaît que le vrai ou le faux.

Ce principe est à rapprocher de la théorie des 51% largement abordée dans les différents scandales liés à la NSA et à ses vastes opérations de surveillance à l’échelle du globe : si il y a 51% de chances que tu sois un terroriste, alors, tu es un terroriste. C’est le principe de départ qui justifie la mise en place, partielle certes, mais existante, d’une surveillance. L’informatique n’a pas la finesse d’analyse d’un humain, qui lui-même n’a pas la finesse d’analyse d’un groupe.

En clair : un programme « con » viendra analyser tout ce que vous faites et détectera que votre comportement est peut-être suspect. Dès lors, vous deviendrez quelqu’un « à surveiller ». Pensez-y la prochaine fois que vous vous intéressez un peu trop à un sujet, des cours de chimie, à l’apprentissage d’une langue étrangère ou je ne sais quelle autre activité.

A partir du moment où on installe des équipements directement chez l’opérateur afin de capter des données, on parle de DPI, dixit une Alexandre Archambault, responsable des affaires réglementaires chez Iliad/Free.

Le DPI, je ne reviendrai pas dessus, je crois que je l’ai déjà fait , là et un peu partout sur le blog. Le terme de DPI est connu puisque les pires dictatures du monde s’en servent pour surveiller leurs concitoyens. La France entrera dans la danse, ce projet passera, à n’en pas douter.

Autre point : cette captation de données sera réalisée sans aucun intermédiaire, les agences de renseignements pourront donc se servir « directement », sans rendre de comptes à personne. Pas de juge, pas d’intermédiaires, ça commence à faire beaucoup.

Troisième moyen

La levée de l’anonymat des données. Le projet de loi prévoit que ces données soient anonymisées et, qu’en cas de suspicion, cet anonymat puisse être levé. Dans le même temps, le même projet prévoit que les métadonnées soient, elles aussi, aspirées. Les métadonnées sont des éléments liés à la donnée, sans être la donnée directement : un appel, c’est une donnée. Le numéro qui appelle, celui qui est appelé, le temps de dialogue, les antennes utilisées pour passer cet appel et tout ce qui gravite autour de l’appel, ce sont des métadonnées donc, même si la donnée est anonyme, il est simple de savoir qui se cache derrière.

Petit état des lieux : pas de juge garant de nos libertés, pas d’intermédiaires pour aller collecter les données, pas de réel anonymat, le tout étant géré par des robots, donc quelque chose qui, par définition, est stupide.

Quatrième moyen

Les IMSI catchers. Ce dispositif, qui se place entre un appareil mobile (type téléphone portable) et une antenne relais, permet de capter les données qui transitent. Ce dispositif existe déjà et est déjà utilisé par les services du renseignement français. Le projet propose d’autoriser l’IMSI catcher à collecter « dans certaines conditions, le contenu des correspondances ».

Seul problème : un IMSI catcher ne vise pas une seule personne mais toutes les personnes à proximité du dispositif, ce qui signifie que l’ensemble des données, de l’ensemble des personnes, sera capté, ce qui présente un sérieux problème avec la loi qui garanti le secret des correspondances. D’autant plus que ces données numériques pourront être conservées par l’État, certaines pouvant être conservées plus longtemps qu’actuellement, c’est une autre mesure du projet.

Sans juge, sans intermédiaires, sans anonymat, le tout géré par de la stupidité et avec des données privées de gens qui « étaient là au mauvais endroit, au mauvais moment ».

Cinquième moyen

L’obtention des clefs de chiffrement. Le projet de loi veut en finir avec les connexions et les échanges chiffrés, comme David Cameron au lendemain des attentats contre Charlie Hebdo. Il propose d’utiliser les moyens mis en œuvre par la loi sur le terrorisme afin de casser un mot de passe d’accès à une messagerie, la clef de chiffrement d’une adresse mail ou tout système de chiffrement qui lui fera obstacle.

A titre d’information, dans https, le « s » est là car votre connexion est chiffrée. Certains logiciels de communication sont également chiffrés et avec les « révélations Snowden », de plus en plus d’opérateurs activent le chiffrement des données par défaut.

Qu’est-ce qui arrivera si vous chiffrez vos échanges, comme des mails par exemple ? A mon avis, vous ferez grimper le « terroriste-o-mètre », souvenez-vous, les 51% …

Mais, personne n’est contre ?

Ohhhhh, si, bien entendu :

  1. La CNIL fustige le projet sur le renseignement : « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence »
  2. Le Conseil National du Numérique déglingue le projet : « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. »
  3. L’ordre des avocats de Paris s’inquiète : « Projet de loi  sur le renseignement : opacité et danger pour les libertés ? »
  4. La Quadrature du Net s’oppose au projet : « Renseignement : désastreuse dérive du gouvernement Valls sur la surveillance !« 
  5. Le syndicat de la Magistrature de dit « préoccupé », sur Numerama.

J’en passe mais citons aussi le CSM, des associations, des hackers, des experts connus et reconnus, Reporter sans Frontière, la FIDH et bien d’autres, qui s’inquiétaient déjà lors des précédentes lois… Et j’oubliais la Cour de Justice de l’Union Européenne, qui a déjà tapé sur la France en raison de certaines dispositions de surveillance, considérées comme insatisfaisantes car dangereuses pour la protection de la vie privée.

Côté couverture nationale, comme internationale, ce n’est pas très beau à lire, dans le Washington Post, sur Techdirt qui n’y va pas de main morte, puis sur l’Obs, 01Net parle clairement d’un « Patriot Act » à la française, chez Reflets (ou se côtoient journalistes, hackers et hacktivistes)… même la BBC en parle, alors que le Royaume-Uni n’est pas un modèle de protection de la vie privée.

Mon avis

Bah oui, parce que c’est un peu mon blog, quand-même.

Souvenez-vous d’un billet précédent sur la dérive de l’État sécuritaire, ou lisez-le. Dans ce billet, j’avais pris la vision la plus négative et la plus sombre possible pour l’avenir et croyez-le ou non, j’ai tendance à voir les choses en noir assez souvent… j’étais loin d’imaginer que ce projet puisse ne serait-ce qu’être souhaité par quelqu’un.

Comment est-il possible, en moins de deux mois, de passer de « Je suis Charlie », symbole malgré lui de la liberté d’expression, à « Je vais doter mon pays d’un outil capable de mettre toute ma population sous surveillance comme dans les grandes dictatures » ?

Car c’est bien de dictature, ou d’état sécuritaire, ou peut-être d’état policier dont il est question, mais plus de démocratie.

Je déclarais, il y a peu : « Un état sécuritaire, c’est un des pouvoirs qui donne la priorité, de façon excessive, à la sécurité. Il bascule peu à peu dans une logique d’augmentation des moyens de surveillance, de contrôle et de répression. Dans les pires situations, cette dérive vers un état sécuritaire mène à la dictature.« , je crois que ce projet de loi est une bonne représentation de la direction que nos élites veulent faire prendre à notre pays.

A ce titre, je vous invite à lire le très bon « Qu’est-ce que la démocratie ?», qui fait le rapport avec la loi Renseignement.

Le projet de loi est lisible ici, si vous le souhaitez. Et vous le souhaitez, au moins un peu. Si si. J’insiste.