« Nos agences se sont clairement égarées »

Tels étaient les mots prononcés par Eric King, le directeur de Privacy International, une Organisation Non Gouvernementale (ONG) espionnée par le GCHQ, équivalent britannique de la NSA américaine ou de nos services du renseignement, dans cette bonne vieille France.

Mercredi dernier, l’IPT (Investigatory Powers Tribunal), un tribunal britannique chargé d’enquêter sur la légalité des pratiques des services du renseignement, admettait que certaines ONG étaient illégalement surveillées, Amnesty International faisant partie des ONG espionnées.

Retour sur les faits

Mercredi donc, le président de l’IPT a envoyé un mail à Amnesty International, mail dans lequel il explique que des documents ont été portés à sa connaissance depuis le premier jugement et qu’ils viennent modifier ladite décision du Tribunal, rendue le 22 juin 2015.

La première décision rendue par le tribunal faisait suite à une plainte déposée par dix ONG, où le tribunal, dans sa décision initiale, déclarait que deux ONG étaient illégalement surveillées : L’Egyptian Initiative for Personal Rights et le Legal Resources Centre in South Africa.

Dans sa seconde décision, celle du 22 juin, le tribunal déclare qu’il s’est trompé et que ce n’est pas L’Egyptian Initiative for Personal Rights qui était illégalement surveillée, mais bien Amnesty International.

Le GCHQ garde sa ligne de communication

Du côté du GCHQ, la communication ne bouge pas : il n’y a surveillance que lorsque qu’il y a une menace sérieuse sur le pays, la surveillance ne sert qu’à cette finalité, dans le respect de la loi.

On peut se demander en quoi une organisation comme Amnesty International représente une « menace sérieuse pour le pays », leurs méthodes sont éloignées de toute forme de violence, ils préfèrent l’échange et la communication et c’est tout à leur honneur.

La réponse est apportée par la décision du Tribunal : rien ne justifie la surveillance d’Amnesty International, puisque le Tribunal juge cette dernière illégale.

La réaction d’Amnesty

Elle est assez vive, comme vous pouvez l’imaginer : « Il est inacceptable de constater que ce qui est présenté comme étant du domaine des dictatures puisse exister sur le sol anglais, instauré par le gouvernement anglais. »

Au-delà de la vive réaction d’Amnesty International, ces révélations pourraient avoir un impact très négatif sur les relations qu’entretient l’ONG avec d’autres organisations et d’autres individus.

« Comment mener à bien un travail crucial, à travers le monde, si les défenseurs des droits de l’Homme et les victimes d’abus encourent le risque de voir nos échanges confidentiels tomber dans les mains du gouvernement ? »

Le fonctionnement de l’IPT

Les copains de Next Inpact l’expliquent très bien : « Le tribunal n’a l’obligation de révéler une surveillance donnée à la personne morale ou physique que s’il conclut au caractère illicite du processus. »

En résumé : si le GCHQ n’a avait pas commis des erreurs, constatées ensuite par l’IPT, les ONG n’auraient jamais été informées qu’elles étaient sous surveillance et que cette surveillance n’était pas légale et cela aurait perduré, des années qui sait.

Sans sombrer dans la paranoïa, on peut tout de même imaginer que d’autres personnes, d’autres groupes ou ONG sont également surveillées. Que cette surveillance est tout autant illégale que la surveillance d’Amnesty International, à la différence que le GCHQ n’a pas fait la même erreur.

Qu’est-ce qui me prouve que le GCHQ n’espionne pas d’autres personnes ou d’autres ONG ? Rien.
Nous savons qu’Amnesty International était espionné à cause d’une erreur et j’imagine que des erreurs, c’est rare.

On peut imaginer que la Fédération Internationale des ligues Droits de l’Homme (FIDH) est espionnée, que RSF l’est, que n’importe quelle organisation l’est, en fait.

Les déclarations du GCHQ sont des mensonges, comment leur faire confiance pour la suite ?

Et en France ?

La loi sur le renseignement est actuellement au conseil constitutionnel pour une quadruple saisine (Assemblée Nationale, Président du Sénat, Président de la République et AFDEL) mais, dans les finalités de ladite prochaine loi, des choses similaires au fonctionnement du GCHQ existent.

Ainsi, il n’est pas inconcevable d’imaginer que les services du renseignement français se mettent à espionner une ONG. Si ce n’est pas une organisation terroriste, il n’en reste pas moins que certaines ont une influence politique. Il suffira de dire que telle ONG est surveillée pour tel motif afin qu’elle n’en sache jamais rien et que tout ceci soit jugé conforme à la loi.

ONG, membres d’associations, sortez couverts.

Retour de #PSES2015 : ma conférence « 2.0 »

Le festival Pas Sage En Seine s’est déroulé du jeudi 18 juin au dimanche 21 juin 2015.

Lors de l’évènement, j’ai tenu une conférence intitulée «La vie privée et la loi sur renseignement », initialement intitulée « Vie privée est loi sur le renseignement, pourquoi cela ne fonctionne pas ? »

S’il vous vient l’envie de regarder cette conférence, sachez que c’est par ici que ça se passe, ou par ici si vous ne disposez pas de Flash Player, sinon, c’est juste en dessous pour récupérer ça chez Youtube :

https://www.youtube.com/watch?v=jzWkw4GtayA

Le but de ce billet est de revenir un peu sur ma conférence et de rajouter des éléments que je n’ai soit pas eu le temps de présenter, soit que j’ai simplement oublié lors de ladite conférence.

Premièrement : le « buzz » sur le projet de loi.

Mon premier objectif était de « briser notre bulle », sortir de notre zone de confort où beaucoup pensent que tout le monde a déjà entendu parler de la loi sur le renseignement, ce qui est malheureusement faux.

Dans les faits, une grande majorité de la population n’en a pas entendu parler du tout. Si nous avons l’impression que c’est plutôt l’inverse, c’est parce que la quasi totalité de notre petit monde en parle, que des journaux en parlent, que quelques gus sont invités dans des émissions pour en parler mais, au final, cela ne touche que notre monde et peut-être une infime partie des quelques personnes plus ou moins sensibles aux questions que nous nous posons déjà sur cette loi, votée depuis peu à l’Assemblée nationale.

On me dira que pour ACTA, il y avait du monde, beaucoup de monde : c’est vrai. Mais c’était un « concours de circonstances » : Megapuload venait de tomber, les Anonymous étaient de la partie et ACTA arrivait en même temps. Pour la majorité des personnes à l’époque, les manifestations n’étaient pas contre ACTA mais pour Megaupload, au moins en partie. Je ne remets pas en cause la très belle victoire hein, mais je garde quand-même la tête froide.

Second temps : changer d’approche.

Le texte de loi est clairement mal rédigé. Ce constat n’est pas de moi, il est, à l’origine, d’un juriste que je connais et qui m’a déclaré « il va me falloir plus de paracétamol que d’habitude ». Le texte est donc mal rédigé, du moins, encore plus mal rédigé que d’habitude quoi.

NDLR : au premier ou à la première juriste qui viendra me déclarer : « oui mais s’il y a le métier de juriste ce n’est pas pour les chiens, laisse la loi à ceux qui comprennent », je vous conseille de venir avec des protections parce que ça va faire très mal et cela commencera par : « Laisse l’informatique à ceux qui comprennent et ferme-là alors . » et je déteste profondément cette vision.

Je pense que c’est assez clair, cet argument est complètement con.

Donc, constat : un texte très mal rédigé, assez flou alors que la loi, en France, est généralement très précise et… pour ne rien arranger, nos explications peinent à convaincre celles et ceux étrangers à notre monde de geek, bidouilleurs et hacktivistes.

Nous avons donc un double problème initial : un texte mal rédigé et de mauvaises explications, dans le sens où elles ne sont pas du tout adaptées au public que nous visons. Elles sont trop lointaines, floues, ne concernent pas directement le public à qui nous tentons de nous adresser et, de facto, semblent tellement lointaines qu’elles ne représentent pas, dans l’esprit des gens, une réelle menace.

Ce problème se retrouve dans les crises humanitaires ou vis à vis de la famine par exemple : c’est loin, donc cela ne nous regarde pas. De récentes campagnes de communication visuelles jouent d’ailleurs sur ces aspect là pour éveiller les consciences.

Troisième temps…

Tenter de trouver des éléments plus percutants pour faire prendre conscience aux gens qu’au final, ils sont bel et bien concernés par la loi sur le renseignement.

Là, je vous invite , à nouveau, à visionner ma conférence.

Les rajouts :

Je profite de mon billet pour rajouter le plus d’éléments possibles, ainsi que les sources dont je me suis servi :

La déclaration de Jean Jacques Urvoas : « Toutes les conversations seront écoutées mais toutes ne seront pas enregistrées » a eu lieu à la radio, sur RMC, vous pouvez retrouver un résumé de cette interview ici (RMC est lié à BFMTV, désolé).

Les éléments qui me poussent à dire qu’il sera bien question d’analyse de réseaux sociaux, ou ARS.

  1. INRIA sur Le Monde
  2. La déclaration de Jean-Yves le Drian qui souhaite retrouver les auteurs et lecteurs de vidéos de décapitation, pour croiser les données il faudra forcément faire de l’ARS.
  3. La façon dont cela va fonctionner, comme l’explique l’INRIA,les experts de l’ARS, ainsi que les experts dans le secteur informatique.

Les éléments qui me poussent à dire que le « boites noires » vont travailler sur de l’analyse de profils.

La déclaration de Bernard Cazeneuve lors des séances à l’Assemblée nationale :

« Mes services de renseignement ont pu, par des échanges d’informations, savoir que des terroristes procédaient, sur le darknet, à des communications cryptées donnant des éléments précis sur leur intention de commettre des actes terroristes. […][Les terroristes utilisent] une multitude d’adresses IP qui se masquent les unes les autres, à partir de messages postés depuis différentes boîtes situées partout sur la planète. » – source

Les éléments qui me poussent à dire que le gouvernement est inspiré du Patriot Act.

http://web.archive.org/save/http://www.senat.fr/rap/r14-388/r14-3886.html
http://web.archive.org/save/http://www.senat.fr/rap/r14-388/r14-3886.html

Dans le lien précédent, on découvre une source d’inspiration de la loi sur le renseignement, j’ai nommé le Patriot Act. Le morceau de texte choisi dit, en résumé, que le Patriot Act c’est mal… mais qu’en même temps cela a crée beaucoup de choses positives donc il serait bon de s’inspirer pour la prochaine loi sur le renseignement. J’ai mis le lien du rapport du Sénat sur archive.org pour être certain de le retrouver sans mal.

Les divers échanges lors des débats à l’Assemblée Nationale et au Sénat n’ont fait que confirmer mes impressions, malgré les déclarations des ministres et du rapporteur Jean-Jacques Urvoas, combinées aux liens précédents et à l’analyse de certains juristes. Il me semble cohérent de déclarer que la loi sur le renseignement est directement inspirée du Patriot Act, pourtant fortement critiqué par les défenseurs du texte de loi français.

Enfin, pour clôturer

La loi sur le renseignement n’instaure pas une surveillance généralisée mais une surveillance de masse, la différence est importante.

La surveillance généralisée surveille absolument tout le monde, la totalité de la population française par exemple. Ce n’est actuellement pas possible, tant pour des raisons matérielles que financières, sans oublier que la surveillance de toute une population est strictement interdite par l’Europe et que je vois mal la France déclarer « oui, nous allons surveiller tout le monde ».

La surveillance de masse, c’est une surveillance dont le fonctionnement ne repose pas sur un individu mais sur « un profil ». Je vous invite, à ce sujet, à lire un autre article publié sur Le Monde, par un Directeur de recherches à l’INRIA.

Pour faire plus simple : on ne surveille pas Mohamed Merah car c’est Mohamed Merah, on le surveille car les outils et moyens qu’il utilise correspondent au profil recherché. Le problème c’est que les outils de Merah sont potentiellement utilisés par d’autres. Partant de ce postulat, on comprend facilement le danger : j’utilise les mêmes outils, des activistes aussi, des journalistes également…

Basculer d’une surveillance qui surveille des personnes à de la surveillance de profils, c’est extrêmement dangereux.

Si vous avez vu ma conférence et que vous souhaiter en parler, n’hésitez surtout pas, ici ou ailleurs.

[MAJ] On va fliquer les chômeurs ?

Mise à jour : @Elendol m’informe que le gouvernement à retiré cet amendement, ce que je confirme avec la mention « retiré avant discussion », présente sur l’amendement en question. L’entourage de François Rebsamen, ministre du travail, précise que le ministre ne souhaitait pas que l’amendement soit « interprété comme une volonté de stigmatiser les chômeurs« .

C’est une bonne chose que cet amendement soit retiré, mais cela n’enlève rien à la volonté du ministre, son entourage déclarant « le ministre s’est rendu compte que ça n’avait pas été suffisamment concerté. »

Comprenez par là que ce n’est pas le contenu de l’amendement qui dérange et que la volonté du ministre du travail reste sans doute identique. Il faudra donc être vigilent car cette proposition, expulsée par la grande porte, reviendra en douce par la fenêtre.


Article original

Chômeur.

Vous savez, c’est ce mot qui fait peur. Parce qu’être au chômage, ce n’est pas tant vivre que galérer. Ce n’est ni agréable, ni rassurant quant au retour à l’emploi, au regard des gens, à l’acceptation de cet état…

C’est ce petit moment de gêne, parfois, lorsqu’on doit déclarer « je suis au chômage, je n’arrive pas à trouver de travail ».

Ce sont aussi ces moments où il faut savoir garder son calme, face aux agents du Pôle Emploi qui sont débordés s’ils sont bons et se moquent de vous ou vous détruisent moralement lorsqu’ils ne le sont pas.

Enfin dans mon esprit c’est comme ça, pas dans celui du gouvernement, puisqu’il compte « fliquer » les chômeurs.

Dans le cadre de la prochaine loi sur le dialogue social et l’emploi, le gouvernement souhaite, via un amendement, lutter contre les fraudes des inscrits à Pôle Emploi.

Alors, je sais ce que vous allez vous dire, du moins j’en ai une assez bonne idée je pense « bah c’est pas plus mal, ça permettra aux gens qui sont vraiment dans la galère de continuer à toucher le chômage et ça servira de leçon à ceux qui fraudent. »

Oui, des personnes fraudent au Pôle Emploi. Comme partout. Oui, ces personnes là ont des pratiques discutables, pour ne pas dire complètement abjectes…

Mais, faut-il « punir » tout le monde pour la faute de certains ?

Que propose l’amendement ?

L’amendement propose de donner aux agents assermentés du Pôle Emploi un « droit de communication » (ce n’est pas sexy, c’est même difficile à lire, mais c’est nécessaire) :

« Art. L. 5312‑13‑2. – Le droit de communication permet d’obtenir, sans que s’y oppose le secret professionnel, les documents et informations nécessaires aux agents chargés de la prévention des fraudes agréés et assermentés mentionnés à l’article L. 5312‑13‑1 pour contrôler la sincérité et l’exactitude des déclarations souscrites ou l’authenticité des pièces produites en vue de l’attribution et du paiement des allocations, prestations et aides servies par l’institution mentionnée à l’article L. 5312‑1.

« Le droit prévu au premier alinéa s’exerce quel que soit le support utilisé pour la conservation des documents et peut s’accompagner de la prise immédiate d’extraits et de copies.

« Les documents et informations sont communiqués à titre gratuit dans les trente jours qui suivent la réception de la demande. Le refus de déférer à une demande relevant du présent article est puni d’une amende de 7 500 €.

« Sans préjudice des autres dispositions législatives applicables en matière d’échanges d’informations, le droit de communication défini au présent article est exercé dans les conditions prévues et auprès des personnes mentionnées à la section 1 du chapitre II du titre II du livre des procédures fiscales à l’exception des personnes mentionnées aux articles L. 82 C, L. 83 A, L. 83 B, L. 84, L. 84 A, L. 91, L. 95 et L. 96 B à L. 96 F ».

« En cas d’usage du droit prévu au premier alinéa, l’institution mentionnée à l’article L. 5312‑1 est tenue d’informer la personne physique ou morale à l’encontre de laquelle est prise la décision de supprimer le service d’une prestation ou de mettre des sommes en recouvrement, de la teneur et de l’origine des informations et documents obtenus auprès de tiers sur lequel est fondée cette décision. Il communique, avant la mise en recouvrement ou la suppression du service de la prestation, une copie des documents sus mentionnés à la personne qui en fait la demande. »

Source

Qu’est-ce qu’il faut comprendre de tout ça ?

Les amis de Next Inpact l’expliquent très bien ici : « En effet, ces agents pourront réclamer d’une longue série d’intermédiaires, toutes les données afférentes à un individu (facturations détaillées ou FADET, contrat, données de connexion, abonnements TV, etc.), sans passer par la case du juge. » (Marc Rees, Next Inpact)

On retrouve des éléments abordés il y a peu, sur le blog, en l’occurrence ceux de la loi sur le renseignement : absence du juge, toutes les données liées à un individu, données de connexion…

Comme avec le projet de loi sur le renseignement, ces pouvoirs ne porteront pas sur le contenu, mais comme je l’ai déjà expliqué dans ces colonnes, il n’est pas nécessaire de disposer du contenu pour tracer la vie d’un individu, sur Internet.

Chômeurs, vous passez donc de d’individus dans la galère à individus aux comportements suspects. Cette bascule n’est pas anodine, comme avec le projet de loi sur le renseignement, on part du postulat que vous avez quelque chose à vous reprocher et on vous rassure, si vous n’avez rien à vous reprocher, vous ne verrez aucun soucis à ce qu’on fouille un peu dans votre vie privée.

Au passage, sauf si vous êtes activiste ou militant, vous n’avez pas idée de la galère que représente cet argument, ce « si vous n’avez rien à vous cacher, vous n’avez rien à craindre ». Déminer cette communication devient de plus en plus difficile tant elle est martelée par le gouvernement et l’exécutif. C’était l’instant coup de gueule, revenons à ceux qui méritent toute notre attention…

J’insiste : dans quel pays est-ce juste de faire payer à tout le monde les fautes de certains ?

Une loi qui permet de s’introduire dans la vie privée de millions de personne, pour trouver quelques milliers de fraudeurs, est-elle juste ?

Pour moi et normalement, pour toute loi considérée comme adaptée, les moyens mis en œuvre doivent être en adéquation avec l’objectif désiré. Je ne suis pas intimement convaincu que mettre sous surveillance des millions de chômeurs soit une réponse adaptée.

Certes il faut lutter contre les abus, les fraudes et tout ce qui s’en rapproche, mais cela doit s’accorder avec le respect de la vie privée.

Enfin, si vous vous dites « Je m’en fiche, je ne suis pas chômeur », c’est que vous (NDLR: pardon) n’avez rien compris au problème. D’une part parce que rien ne vous certifie que vous ne le serez pas un jour et d’autre part parce qu’il est question de la vie privée de citoyens français, réfléchissez.

Lorsque les chômeurs, les hackers, les journalistes, les manifestants, les associations, les organisations et le reste sera réduit au silence….

Lorsque vous aurez besoin de faire entendre votre voix…

Qui sera-là pour se battre pour vous si plus personne ne le fait ou pire, si plus personne n’ose le faire?

Vie privée, États-Unis versus Numérique.

C’est dans une lettre adressée au président des Etats-Unis que plus de 140 organisations et entreprises ont émis le vœux que le gouvernement américain ne cède pas aux pressions des différents services du renseignement américain.

Ces derniers souhaitent, ou plutôt, ne souhaitent pas voir une généralisation d’un chiffrement fort, qu’ils ne seraient plus en mesure de casser. Depuis les révélations d’Edward Snowden sur l’étendue de la surveillance américaine, notamment côté NSA, des grands noms du numérique ont décidé de passer à la vitesse supérieure dans la protection des données de leurs utilisateurs.

Dans les signataires de cette lettre, on retrouve l’ACLU, l’EFF ou encore HRW, des noms que vous devriez connaître. On retrouve également d’autres noms, comme Apple, CloudFare, Dropbox, Facebook ou encore Google.

Pour les premiers, le chiffrement est la pierre angulaire de la protection de vos données face aux pouvoir démesurés des services du renseignement et face à l’ensemble des autres menaces quotidiennes qui pèsent sur ces données. Il faut donc garantir un fort chiffrement et une protection de ces données accrues.

Pour les seconds, ne vous y trompez pas, le principal intérêt réside dans la confiance des utilisateurs et donc, dans le bénéfice à en tirer. Le calcul est simple : « si mes données sont protégées, j’ai confiance dans le service, donc indirectement dans la société éditrice du service. »

Le chiffrement des données joue un rôle de plus en plus important dans le choix de l’utilisation d’un service, d’une application ou d’un matériel, pourtant, et c’est le point qui m’amène à écrire sur le sujet, il faut garder à l’esprit que chiffrement ne signifie pas pour autant protection.

Pour faire plus clair : Facebook est peut-être dans la liste des signataires, ils n’en demeurent pas moins une menace sérieuse pour votre vie privée. Menace que vous alimentez si vous ne prêtez pas attention à ce que vous publiez sur ce réseau.

Il serait bon de s’intéresser aux choix de ces entreprises car, si dans le monde physique elles sont « éloignées », dans le monde numérique, elles vous accompagnent et vous suivent chaque jour.

Assurances : la vie au rythme pavlovien ?

Dans une récente actualité publiée sur RTL, j’apprenais que l’interconnexion entre les données de santé et les assurances était toujours d’acualité.

Pour rappel ou pour ceux à qui cela ne dit rien, il est question de polices d’assurance spécifiques où vos données de santé sont collectées, généralement à l’aide d’un objet connecté fourni par la société de prestation.

Dans l’article de RTL c’est d’un bracelet connecté fourni par la société Fitbit.

Quels sont les avantages d’un tel dispositif ?

L’avantage principal, qui conditionne les autres, se résume ainsi : passer d’un système d’assurance basé sur la mutualisation des risques à quelque chose « taillé sur mesure ».

Dans le premier cas, à savoir la base des assurances actuelles, les différents risques inhérents à la vie quotidienne, à la santé et au reste sont statistiques. Ces statistiques sont ensuite appliquées à l’ensemble des adhérents, ce qui représente un risque moyen de telle ou telle chose, à laquelle on vient appliquer un prix (hospitalisation, maladie, vol, feu …).

Dans le second, plus de mutualisation de risques, on calcule absolument tout à partir de vos données. Ainsi, si vous faites du sport, votre assurance coûtera moins que le prix indiqué car vous diminuez vos risques de santé. Si vous mangez correctement, c’est pareil. Une vie saine selon les normes de votre assurance signifiera donc une qu’elle sera moins onéreuse…

Mais à quel prix ?

Car c’est la question que vous devez vous poser. : « Suis-je prêt à ce que ma manière de vivre soit édictée par ma compagnie d’assurance ? »

Prenons quelques exemples simples : êtes-vous prêts à changer vos habitude, vos comportements, vos préférences, pour payer moins cher votre assurance ?

Si la réponse est oui, réfléchissez bien à tout ce que cela représente : votre assurance doit récupérer vos données de santé, via du « quantified self », elle sera donc au courant de vos moindres faits et gestes :

  • activité cardiaques
  • repos, sommeil
  • activités sexuelles (augmentation du rythme cardiaque, combiné à une géolocalisation fixe et pourquoi pas croisée avec les données de votre partenaire…)
  • repas, prise de poids
  • écarts de conduite, bonne conduite selon les normes imposées par votre assurance
  • déplacements, type de déplacement en calculant votre vitesse de déplacement
  • nombre de calories brulées, nombre de calories reprises…

A chaque action qui va « dans le sens de la norme », c’est un bonus qui sera appliqué et à chaque action qui va à l’inverse de ladite norme, ça sera un malus.

C’est ce qu’on appelle un conditionnement pavlovien : vous êtes punis tant que vous ne faites pas comme il faut faire et, bien évidemment, vous n’êtes pas maître de ce « ce qu’il faut faire », vous perdez donc toute votre capacité de décision sur votre propre vie.

Pour l’instant, ces polices d’assurance sont à la marge et facultatives mais, dans 50 ans, le seront-elles toujours ?

Imaginez ce modèle d’ici 50 ans ou peut-être moins : tout le monde pratiquant la même activité sportive, à la même heure, mangeant la même chose, ayant les mêmes activités dans tous les domaines…

Est-ce réellement ça, que nous voulons pour le futur ?

Je vous laisse réfléchir sur le sujet et sur votre envie d’une société « normalisée », lisse, comme celle qu’on peut croiser dans certains films.

Les boites noires, si ce n’est pas du DPI, qu’est-ce que ça sera ?

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.