Catégorie : Vie privée

Les boites noires, si ce n’est pas du DPI, qu’est-ce que ça sera ?

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.

#PJLRenseignement : 4.74 degrés

Non, ce n’est pas le taux d’alcoolémie des créateurs du projet de loi sur le renseignement, même si on peut se poser la question.

4.74, c’est le « degré de séparation » entre vous et n’importe quel individu qui utilise Internet.

Si vous préférez : vous connaissez quelqu’un, qui connait quelqu’un, qui connait quelqu’un qui connait quelqu’un.

Cette théorie date de 1929 et s’appelait à l’époque la théorie des six poignées de main.

4.74, c’est en prenant Internet et les réseaux sociaux en compte, Internet ayant le pouvoir de rapprocher des gens sans qu’eux-mêmes le sachent.

Si cette théorie vous semble folle, elle est pourtant bien réelle, Facebook ou LinkedIn en sont de parfaits exemples.

Le projet de loi sur le renseignement indique que des écoutes – au sens large, il ne s’agit pas uniquement d’écoutes téléphoniques – pourront concerner les personnes « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de cette dernière ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation. »

Vous êtes médecin et un de vos patients est une cible ? Vous entrez, aux yeux du projet de loi, dans ce rôle d’intermédiaire.

Chauffeur de taxi ? Vous aussi, un de vos passagers est peut-être une cible.

Vous connaissez quelqu’un qui est médecin et qui a un patient ciblé par le renseignement français ? Vous entrez, aux yeux du projet de loi, dans ce rôle d’intermédiaire.

Vous connaissez quelqu’un qui connait quelqu’un qui connait quelqu’un qui connait quelqu’un qui est médecin et un des patients est ciblé par le renseignement français ? Vous entrez, aux yeux de la loi, dans ce rôle d’intermédiaire.

Le projet de loi sur le renseignement ainsi que ses défenseurs s’évertuent à déclarer que seuls les « méchants », les « bad guys » pour reprendre une expression d’un membre du cabinet de Manuel Valls, seront traqués…

… et les personnes pouvant jouer le rôle d’« intermédiaire, volontaire ou non », puisque le projet de loi le stipule.

Selon-vous, qu’est-ce qui arrive lorsqu’on mêle la théorie des 4.74 degrés de séparation au projet de loi sur le renseignement ?

La réponse, qui n’engage que moi, est relativement simple : un risque de surveillance massive, surveillance opérée par des algorithmes et rapidement contrôlée par des humains en nombre insuffisants.

Lettre ouverte à vous, mes représentants.

Chers représentants, représentantes, députés,

D’ici quelques jours, vous serez amenés à vous prononcer sur le projet de loi sur le renseignement et je souhaite, avant l’ouverture des débats, que vous preniez la mesure de ce que vous allez voter.

Pour commencer, j’ai conscience de n’être qu’un « simple citoyen », de ne pas disposer de la science infuse, d’être peut-être « à côté de la plaque ».

Eux en revanche, ils ne le sont pas :

  1. Amnesty International
  2. La Quadrature du Net
  3. Alain Marsaud, ancien juge du terrorisme
  4. Le Conseil National du Numérique
  5. La CGT Police
  6. Reporters Sans Frontières
  7. Le Syndicat de la Magistrature, qui estime que ce projet de loi « « installe un dispositif pérenne de contrôle occulte des citoyens dont il confie au pouvoir exécutif un usage quasi illimité. Il est à ce titre inacceptable. Seul un véritable contrôle a priori de techniques de renseignement proportionnées et visant un objectif strictement défini relevant de la sécurité nationale, restera respectueux des droits fondamentaux. »
  8. Marc Trevidic, l’actuel juge antiterrorisme
  9. Le président de la CNCIS lui-même
  10. La CNCDH (Commission consultative en charge des droits de l’Homme)
  11. La Ligue des Droits de l’Homme
  12. L’Union des Syndicats de la Magistrature
  13. La Fédération Syntec
  14. Le commissaire des droits de l’Homme du Conseil de l’Europe
  15. La CNIL
  16. Human Rights Watch

Que faites-vous de ces avis ? Considérez-vous ces gens comme des « paranos » ?

Pour continuer, je ne suis ni votre ennemi ni celui de la protection de la nation, de ses intérêts, du peuple, de ses enjeux et j’en passe. S’il vous plaît, ne tombez pas dans la logique binaire actuelle : ce n’est pas parce que je m’oppose au projet de loi du renseignement que je suis pour le terrorisme, ce sont deux choses différentes, la vie n’est pas blanche ou noire. Vous le savez j’imagine…

Vous êtes des représentants de la nation et, à ce titre, vous avez choisi de représenter le peuple français, quelles que soient vos convictions, vos couleurs et votre appartenance politique, je ne vous demande qu’une chose : représenter le peuple français. J’ai aussi conscience qu’ici, je ne m’exprime qu’en mon nom, rassurez-vous, j’ai les pieds sur terre.

Nous sommes tous d’accord : ce qui s’est passé au mois de janvier est horrible, immonde, inhumain… faut-il pour autant céder à la dérive sécuritaire actuelle ?

Mesdames et messieurs les députés, notre pays repose sur deux piliers : la séparation des pouvoirs et une devise, inscrite partout : Liberté, Egalité, Fraternité.

Le projet de loi sur le renseignement est diamétralement opposé à cette liberté, c’est une menace pour nos libertés individuelles. Mesdames et messieurs les députés, ce projet de loi sur le renseignement est une boite de Pandore que je vous invite à ne pas activer, à ne surtout pas ouvrir.

Ce projet de loi s’oppose à la séparation des pouvoirs, véritable socle de nos démocraties occidentales. Cette séparation des pouvoirs, vous savez, cette chose théorisée par Montesquieu, ce qui est devenu par la suite le socle absolu de notre démocratie. Montesquieu a simplement déclaré qu’il n’était pas possible de laisser tous les pouvoirs entre les mêmes mains.

En choisissant de se passer totalement de l’autorité judiciaire, le projet de loi sur le renseignement détruit le fragile équilibre entre ces pouvoirs. Vous pourrez rétorquer qu’un juge est prévu, mais c’est un juge administratif et non un juge judiciaire, seul garant des libertés individuelles.

Mesdames et messieurs les députés, généraliser le recours administratif, c’est tuer les fondements de notre démocratie. De la même manière, l’instauration de « boites noires », vous le savez, vous l’avez forcément lu, vu, entendu quelque part, c’est se doter d’un système de surveillance généralisée, ce qui va à l’encontre de la démocratie et, d’un point de vue légal, des dispositions européennes.

Vous déclarerez ne pas vouloir l’utiliser ainsi. Vous déclarerez vouloir nous protéger, comme la NSA l’a fait aux Etats-Unis d’Amérique.

Je pense que vous connaissez la suite…

Mesdames et messieurs les députés, je pense que, quoi que je dise dans cette lettre, cela ne changera pas votre décision.

Souvenez-vous seulement que, lorsque vous voterez ce texte, ce sera en votre âme et conscience.

Malgré l’avis des ONG.

Malgré les nombreux avis d’experts.

Malgré les avis de deux juges de l’antiterrorisme.

Malgré l’avis de la CNCIS.

Malgré l’avis de la Ligue des Droits de l’Homme

Malgré les avis de nombreux citoyens.

Malgré l’avis de tant d’autres….

Mesdames et messieurs les députés, n’ouvrez pas cette boite de Pandore.

Il y a pire que la censure. #PJLRenseigment

Le projet de loi sur le renseignement sera examiné dans le courant du mois d’avril. Jusque à cette date, il ne sera que générateur de questions et d’inquiétudes, parfaitement soulignées par de nombreux acteurs.

Pour rappel, voici une liste à jour des personnes, ONG ou associations et autres qui se posent des questions sur le projet de loi.

Ce matin, une conférence commune à nombre de ces entités avait lieu dans les locaux de la Quadrature du Net et ces dernières se sont inquiéteés, sans doute à juste titre, de la très dangereuse orientation que prend le gouvernement : la surveillance massive et la capacité que s’octroie l’Etat à pouvoir surveiller quasiment n’importe qui.

Si le projet de loi est nécessaire afin de permettre aux agences de renseignement d’être plus rapides et efficaces pour lutter contre « le mal » – expression volontairement mise en avant pour caricaturer la vision très binaire de l’Etat sur le sujet – qui ronge notre pays, il n’en reste pas moins qu’il ne prend pas en compte les effets de bord de tout ceci, les « dommages collatéraux » comme on dit.

Il s’avère qu’un de ces effets de bord, non pris en compte par notre gouvernement, est bien pire que les risques de détournement de la loi et de censure qui vienent menacer nos libertés individuelles. La France glisse vers quelque chose de bien pire que la simple censure.

La censure est subie, elle n’est pas le fait de notre volonté, mais de celle des censeurs.

La censure est une limitation arbitraire, par un gouvernement, de notre capacité à nous exprimer.

En l’état, notre gouvernement va aller au-delà de la simple censure : en instaurant un régime de « sur-surveillance », en étant en capacité de faire de l’interception massive de l’ensemble des données des citoyens – même s’il ne le fait pas, il sera en capacité de le faire – et en prenant le parti parfaitement volontaire de se passer du pouvoir judiciaire, nous basculerons irrémédiablement dans un régime qui favorisera l’autocensure.

Le gouvernement fait le choix de se passer du pouvoir judiciaire. Ce n’est pas une erreur ou un oubli, c’est un acte conscient, longuement réfléchi, le projet de loi sur le renseignement ne s’est pas écrit en trois heures sur un coin de table.

Ce choix vient déséquilibrer la balance entre les trois pouvoirs, comme j’en ai déjà parlé récemment lorsque j’ai commencé à m’interroger sur les bases d’une dictature, que j’ai l’impression de voir arriver.

Le gouvernement va favoriser l’autocensure…

et c’est bien pire que la censure, cette dernière fonctionnant à postériori.

L’autocensure vient de nous, elle représente une manifestation du changement de comportement, face à un régime déséquilibré, totalitaire.

Elle est plus dangereuse car elle est invisible et majoritairement inconsciente.

Saviez-vous, par exemple, que plus il y a de caméras de surveillance qui vous suivent, plus votre comportement change ?

La surveillance modifie notre capacité d’autorégulation : lorsque quelqu’un vous observe – un agent de police par exemple – vous le savez, vous le voyez.

La vidéosurveillance entraine l’autocensure parce qu’elle crée l’incertitude : la caméra est là mais on ne sait pas si l’on est observé ou non, on ne peut que supposer qu’on l’est et inconsciemment, notre comportement s’en trouve modifié.

La vidéosurveillance est « là sans être là »

Nous ne la remarquons pas toujours, on oublie qu’elle est là car elle n’est pas en face de nous et, de plus en plus, elles est invisible car « intégrée de la meilleure manière à l’espace urbain », comprenez par-là qu’il faut rendre les caméras invisibles pour donner l’illusion qu’elles ne sont pas là, libre à vous de croire que c’est pour votre bien ou pour pouvoir vous surveiller sans en être conscient, cela dépend de la sensibilité de chacun.

Avec le projet de loi sur le renseignement, ce risque d’autocensure grandit un peu plus : tout système de surveillance massif, tout système qui est en capacité de capter vos données numérique, entraine le doute.

Vous pouvez supposer que par défaut, vous n’êtes pas sous surveillance, mais vous ne pouvez pas réellement le confirmer. Vous ne pouvez que supposer que vous ne l’êtes pas. Ou que vous l’êtes. Comme le système de vidéo surveillance, ce dispositif est invisible, nous l’oublions donc assez rapidement mais inconsciemment, nous savons qu’il est là.

Ce point est renforcé par l’absence du pouvoir judiciaire : je n’ai pas la possibilité de saisir le garant de mes libertés individuelles si j’ai un doute, je ne peux que saisir une autorité administrative – la CNCTR, qui ressemble plus à un justificatif – reliée au pouvoir exécutif. Mon potentiel surveillant est aussi mon potentiel protecteur, situation très ambiguë vous en conviendrez.

L’autocensure a de pis qu’elle s’inscrit dans le très long terme. Nous sommes conscients de cette autocensure mais vivons dedans donc l’oublions un peu, la génération d’après encore plus car ils ne sont pas nés dedans, c’est donc naturel pour eux et ce qui est naturel ne représente pas de danger. Il suffit de voir les réactions des générations les plus récentes, qui ne voient pas, pour beaucoup, de problèmes dans la vidéo surveillance.

Je m’interroge à nouveau… est-ce que le gouvernement a réalisé une étude – sérieuse, cela va sans dire – sur l’impact de la surveillance sur les comportements de la population ?

Je ne suis pas le seul à m’interroger, la Quadrature du Net, tout comme Amnesty, se posaient la même question ce matin, lors de la « conférence commune ».

Avec …

  • les experts et associations dont la Ligue des Droits de l’Homme qui parlent de surveillance généralisée,
  • les similitudes inquiétantes entre le projet de loi sur le renseignement et la loi FISA, au cœur des scandales liés à la NSA, qui a par ailleurs très largement outrepassé ses droits.
  • Reporter Sans Frontières qui s’inquiète des débordements des services de renseignement,
  • le Syndicat de la Magistrature, qui maîtrise bien mieux un texte de loi que moi et qui s’inquiète quand-même du texte
  • Un gouvernement qui ne sait pas ce que va devenir ce projet de loi sur le plan pratique
  • Des parlementaires qui reconnaissent ne pas maîtriser les aspects techniques de la loi sur le renseignement,
  • l’absence d’étude et de statistiques sérieuses sur l’intérêt de la surveillance,
  • l’absence de garde-fous pour relever les dérives des agences de renseignement,
  • le fait que le juge soit exclu du projet de loi, de manière volontaire,
  • le fait que nous soyons plus ou moins tous suspects, donc pas innocents par défaut,
  • le fait que protéger sa vie privée pourra être interprété comme un acte suspect,

je vous avoue que je suis perplexe pour la suite des évènements, il faudra être très présent lors de l’ouverture des débats et faire très attention à tout ce qui va se passer, se dire et être pris en compte.

Sans quoi, nous arriverons à cette autocensure qui m’inquiète tant.

Où est Charlie ?

Après le renforcement des moyens mis à disposition pour surveiller la population, la mise en place de la Loi de Programmation Militaire (LPM) et la loi sur le terrorisme, le gouvernement revient à la charge, cette fois-ci avec un projet de loi sur le renseignement.

Ce projet de loi dit « Renseignement » propose d’étendre à nouveau les moyens de surveillance de l’État, déjà bien renforcés avec les précédentes lois. L’objectif se veut ambitieux : mettre à jour les règles qui encadrent les différentes pratiques des services de renseignement.

Le principal but de ce projet de loi est, bien évidemment, le renforcement de la sécurité de l’État et de ses concitoyens, à savoir nous.

Est-ce que projet de loi est une bonne nouvelle ? Qu’est-ce que ça représente, concrètement ? Dois-je m’inquiéter, moi, citoyen français ?

C’est ce que votre serviteur va tenter de vous expliquer.

La « police » administrative.

Ce projet de loi propose d’étendre les mesures administratives.

Pour résumer de la façon la plus juste possible, dès lors qu’on touche à nos libertés fondamentales, c’est au juge, seul garant de nos libertés fondamentales, d’intervenir.

Ce projet propose de se passer du juge dans les cas suivants :

  1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
  2. Les intérêts majeurs de la politique étrangère, l’exécution des engagements internationaux, la prévention de toute forme d’ingérence étrangère
  3. Les intérêts économiques ou scientifiques majeurs
  4. La prévention du terrorisme, des atteintes à la forme républicaine et à la stabilité des institutions, de la reconstitution ou du maintien de groupement dissous
  5. La prévention de la criminalité et de la délinquance organisées
  6. La prévention de la prolifération des armes de destruction massive
  7. La prévention des violences collectives de nature à porter gravement atteinte à la paix publique

A la lecture de ces cas, une chose ressort : c’est vaste. Très vaste. Et flou. Tellement que je ne vous cache pas mon inquiétude quant aux moyens qui seront mis en œuvre pour atteindre des objectifs. On décide de se passer du juge sur des cas où sa présence est fortement requise.

D’ailleurs, ces moyens, quels-sont-ils ?

C’est là que j’ai l’impression d’être dans 1984. Non, ne partez pas, lisez jusqu’au bout.

Premier moyen

La CNCTR, pour commission nationale de contrôle des techniques du renseignement. Elle remplace la CNCIS, complètement débordée par la charge de travail. CNCIS qui est composée de trois membres, c’est évidemment trop peu pour agir lorsque les agences de renseignement sortent du cadre de la loi. Cela semble être une bonne nouvelle mais dans les faits, je n’en suis pas certain. Tout dépendra de la façon dont la CNCTR sera utilisée, ainsi que de ses membres et de ses moyens que l’on sait déjà plus importants que ceux de la CNCIS.

Second moyen

Des équipements dont on ne sait rien, installés directement dans les locaux des opérateurs (dont les fournisseurs d’accès à Internet). Ces « boites noires » devront « détecter, par un traitement automatique, une succession suspecte de données de connexion ». Qu’est-ce que cela signifie, en clair ? Que l’État sera capable de capter et conserver l’ensemble des données qui transitent par ces opérateurs. En résumé, il sera donc en capacité de surveiller l’ensemble de sa population et plus encore, puisque nous ne sommes pas les seuls à utiliser ces opérateurs.

La notion de traitement automatique est au moins autant inquiétante. Automatique, ça se traduit assez facilement : tu es un suspect ou tu ne l’es pas. Même si les programmes de traitement automatiques sont crées par des humains, l’informatique reste ce qu’elle est : un outil con qui ne connaît que le vrai ou le faux.

Ce principe est à rapprocher de la théorie des 51% largement abordée dans les différents scandales liés à la NSA et à ses vastes opérations de surveillance à l’échelle du globe : si il y a 51% de chances que tu sois un terroriste, alors, tu es un terroriste. C’est le principe de départ qui justifie la mise en place, partielle certes, mais existante, d’une surveillance. L’informatique n’a pas la finesse d’analyse d’un humain, qui lui-même n’a pas la finesse d’analyse d’un groupe.

En clair : un programme « con » viendra analyser tout ce que vous faites et détectera que votre comportement est peut-être suspect. Dès lors, vous deviendrez quelqu’un « à surveiller ». Pensez-y la prochaine fois que vous vous intéressez un peu trop à un sujet, des cours de chimie, à l’apprentissage d’une langue étrangère ou je ne sais quelle autre activité.

A partir du moment où on installe des équipements directement chez l’opérateur afin de capter des données, on parle de DPI, dixit une Alexandre Archambault, responsable des affaires réglementaires chez Iliad/Free.

Le DPI, je ne reviendrai pas dessus, je crois que je l’ai déjà fait , là et un peu partout sur le blog. Le terme de DPI est connu puisque les pires dictatures du monde s’en servent pour surveiller leurs concitoyens. La France entrera dans la danse, ce projet passera, à n’en pas douter.

Autre point : cette captation de données sera réalisée sans aucun intermédiaire, les agences de renseignements pourront donc se servir « directement », sans rendre de comptes à personne. Pas de juge, pas d’intermédiaires, ça commence à faire beaucoup.

Troisième moyen

La levée de l’anonymat des données. Le projet de loi prévoit que ces données soient anonymisées et, qu’en cas de suspicion, cet anonymat puisse être levé. Dans le même temps, le même projet prévoit que les métadonnées soient, elles aussi, aspirées. Les métadonnées sont des éléments liés à la donnée, sans être la donnée directement : un appel, c’est une donnée. Le numéro qui appelle, celui qui est appelé, le temps de dialogue, les antennes utilisées pour passer cet appel et tout ce qui gravite autour de l’appel, ce sont des métadonnées donc, même si la donnée est anonyme, il est simple de savoir qui se cache derrière.

Petit état des lieux : pas de juge garant de nos libertés, pas d’intermédiaires pour aller collecter les données, pas de réel anonymat, le tout étant géré par des robots, donc quelque chose qui, par définition, est stupide.

Quatrième moyen

Les IMSI catchers. Ce dispositif, qui se place entre un appareil mobile (type téléphone portable) et une antenne relais, permet de capter les données qui transitent. Ce dispositif existe déjà et est déjà utilisé par les services du renseignement français. Le projet propose d’autoriser l’IMSI catcher à collecter « dans certaines conditions, le contenu des correspondances ».

Seul problème : un IMSI catcher ne vise pas une seule personne mais toutes les personnes à proximité du dispositif, ce qui signifie que l’ensemble des données, de l’ensemble des personnes, sera capté, ce qui présente un sérieux problème avec la loi qui garanti le secret des correspondances. D’autant plus que ces données numériques pourront être conservées par l’État, certaines pouvant être conservées plus longtemps qu’actuellement, c’est une autre mesure du projet.

Sans juge, sans intermédiaires, sans anonymat, le tout géré par de la stupidité et avec des données privées de gens qui « étaient là au mauvais endroit, au mauvais moment ».

Cinquième moyen

L’obtention des clefs de chiffrement. Le projet de loi veut en finir avec les connexions et les échanges chiffrés, comme David Cameron au lendemain des attentats contre Charlie Hebdo. Il propose d’utiliser les moyens mis en œuvre par la loi sur le terrorisme afin de casser un mot de passe d’accès à une messagerie, la clef de chiffrement d’une adresse mail ou tout système de chiffrement qui lui fera obstacle.

A titre d’information, dans https, le « s » est là car votre connexion est chiffrée. Certains logiciels de communication sont également chiffrés et avec les « révélations Snowden », de plus en plus d’opérateurs activent le chiffrement des données par défaut.

Qu’est-ce qui arrivera si vous chiffrez vos échanges, comme des mails par exemple ? A mon avis, vous ferez grimper le « terroriste-o-mètre », souvenez-vous, les 51% …

Mais, personne n’est contre ?

Ohhhhh, si, bien entendu :

  1. La CNIL fustige le projet sur le renseignement : « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence »
  2. Le Conseil National du Numérique déglingue le projet : « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. »
  3. L’ordre des avocats de Paris s’inquiète : « Projet de loi  sur le renseignement : opacité et danger pour les libertés ? »
  4. La Quadrature du Net s’oppose au projet : « Renseignement : désastreuse dérive du gouvernement Valls sur la surveillance !« 
  5. Le syndicat de la Magistrature de dit « préoccupé », sur Numerama.

J’en passe mais citons aussi le CSM, des associations, des hackers, des experts connus et reconnus, Reporter sans Frontière, la FIDH et bien d’autres, qui s’inquiétaient déjà lors des précédentes lois… Et j’oubliais la Cour de Justice de l’Union Européenne, qui a déjà tapé sur la France en raison de certaines dispositions de surveillance, considérées comme insatisfaisantes car dangereuses pour la protection de la vie privée.

Côté couverture nationale, comme internationale, ce n’est pas très beau à lire, dans le Washington Post, sur Techdirt qui n’y va pas de main morte, puis sur l’Obs, 01Net parle clairement d’un « Patriot Act » à la française, chez Reflets (ou se côtoient journalistes, hackers et hacktivistes)… même la BBC en parle, alors que le Royaume-Uni n’est pas un modèle de protection de la vie privée.

Mon avis

Bah oui, parce que c’est un peu mon blog, quand-même.

Souvenez-vous d’un billet précédent sur la dérive de l’État sécuritaire, ou lisez-le. Dans ce billet, j’avais pris la vision la plus négative et la plus sombre possible pour l’avenir et croyez-le ou non, j’ai tendance à voir les choses en noir assez souvent… j’étais loin d’imaginer que ce projet puisse ne serait-ce qu’être souhaité par quelqu’un.

Comment est-il possible, en moins de deux mois, de passer de « Je suis Charlie », symbole malgré lui de la liberté d’expression, à « Je vais doter mon pays d’un outil capable de mettre toute ma population sous surveillance comme dans les grandes dictatures » ?

Car c’est bien de dictature, ou d’état sécuritaire, ou peut-être d’état policier dont il est question, mais plus de démocratie.

Je déclarais, il y a peu : « Un état sécuritaire, c’est un des pouvoirs qui donne la priorité, de façon excessive, à la sécurité. Il bascule peu à peu dans une logique d’augmentation des moyens de surveillance, de contrôle et de répression. Dans les pires situations, cette dérive vers un état sécuritaire mène à la dictature.« , je crois que ce projet de loi est une bonne représentation de la direction que nos élites veulent faire prendre à notre pays.

A ce titre, je vous invite à lire le très bon « Qu’est-ce que la démocratie ?», qui fait le rapport avec la loi Renseignement.

Le projet de loi est lisible ici, si vous le souhaitez. Et vous le souhaitez, au moins un peu. Si si. J’insiste.

Obsession sécuritaire, l’état est-il son propre ennemi ?

Posons-nous la question suivante : sommes-nous en train de basculer dans un état sécuritaire ? Y sommes nous déjà depuis bien longtemps ?

Si oui, quelles sont les conséquences futures de cette bascule ?

Si non, en sommes-nous éloignés ?

Afin de répondre à cette question, il faut déjà se demander « c’est quoi un état sécuritaire ? ».

Un état sécuritaire, c’est un des pouvoirs qui donne la priorité, de façon excessive, à la sécurité. Il bascule peu à peu dans une logique d’augmentation des moyens de surveillance, de contrôle et de répression. Dans les pires situations, cette dérive vers un état sécuritaire mène à la dictature, nous verrons ensemble pourquoi.

Attention, mettre en place des mesures ou des lois qui répondent à un réel besoin de sécurité, ce n’est pas aberrant. Tout miser sur la sécurité au motif d’un prétendu danger permanent, ça l’est déjà un peu plus, et c’est très dangereux.

Un bon exemple d’état sécuritaire se trouve de l’autre côté de la Manche : l’Angleterre. Au nom d’une menace invisible, David Cameron souhaite inviter la sécurité à votre table, dans votre vie privée…. Et que dire des Etats-Unis d’Amérique et du traumatisme qu’est le 11 septembre ?

Alors, sommes-nous en train de basculer dans un état sécuritaire ?

Depuis les attentats récents, dont celui de Charlie Hebdo, la poigne du gouvernement est devenue plus sèche, plus dure.

Les forces de l’ordre sont en alerte, nous avons atteint le plus haut niveau du plan Vigipirate jamais atteint depuis sa création.

Les juges et tribunaux également, le pouvoir exécutif a donné des consignes de fermeté dans une circulaire datée du 12 janvier 2015. Il l’emporte donc sur le pouvoir judiciaire et le pouvoir législatif.

Les juges ont un rôle important dans ce pouvoir judiciaire : ils sont dans la mesure, ils doivent arrêter le bras de l’état qui frappe fort et s’assurer que la réponse soit mesurée, proportionnelle.

Moins d’un mois après les attentats, c’est la passion et le dégoût qui animent les cœurs de beaucoup de cesjuges, en témoignent les 234 procédures initiées pour apologie du terrorisme depuis les attentats….

Avant ces actes, le bilan était de 20 condamnations en 20 ans pour apologie du terrorisme. En moins d’un mois, nous sommes presque au record.

Maintenant, on juge un homme ivre qui ne savait pas ce qu’il disaitet un enfant de 8 ans passe devant la police, alors qu’il ne sait pas ce que terrorisme veut dire.

La justice doit être froide, mener des actions sans peine, ni douleur, ni passion. Elle ne le fait pas dans ces dossiers actuellement.

Au-delà de l’idiotie de la chose, j’interprète ceci comme un signal d’alarme : la justice n’a plus la tête froide, l’exécutif prend le dessus sur les autres pouvoir, ce sont des signes alarmants d’une dangereuse bascule.

Mon second indicateur de cette bascule, c’est Internet. Plus on cherche à censurer Internet, plus on bascule dans une politique sécuritaire. Le raccourci est osé mais je vais m’expliquer.

Je ne parle pas des ayants-droits et de la Hadopi. Je parle de la LPM, de la loi contre le terrorisme, des prochaines mesures « exceptionnelles » qui sont tellement fréquentes qu’elles n’ont d’exceptionnelles que le nom.

Bernard Cazeneuve déclarait, il y a quelques jours – 90% de ceux qui s’engagent dans des opérations terroristes s’engagent après avoir consulté des sites sur Internet. Un bel effet cigogne dans l’optique de venir taper sur Internet sans retenue.

De nombreux politiques appellent à un « Patriot Act » à la française. Même si le gouvernement n’est pas pour, il proposera des réformes de la loi, il doit montrer qu’il fait quelque chose et ce même si c’est stupide.

Pour l’état et pour éviter la critique, il vaut mieux faire quelque chose d’inadapté et inefficace que d’être vu comme un gouvernement laxiste.

L’état souhaite également rendre responsable les intermédiaires et les hébergeurs (Twitter, Facebook & Co) des contenus publiés sur leurs plateformes respectives, et balaye d’un revers de la main les dangers que font peser ces décisions sur notre capacité à nous exprimer.

L’état compte également sur vous, sur nous. Sur notre capacité à ne pas se sentir concernés, à ne pas garder la tête froide, pour faire passer ce qu’il pense bon. Nous en revenons toujours à

« Souhaitez-vous protéger vos enfants* contre le terrorisme** ?
– Oui totalement.
– Donc, il faut sévir et censurer.
– Non, je pense qu’il existe d’autres solutions
– Si vous dites non, alors vous êtes pour le terrorisme. »

* : Amis/proches/élèves/employés, ça marche avec tout le monde.
** : pédophilie/violence/rajoutez un truc tant que c’est négatif ça fonctionne

La capacité du gouvernement à entendre la critique est au point mort et se résume à 0 ou à 1. Et c’est dangereux. Un gouvernement avec lequel il n’est plus possible de parler n’est plus représentatif des idées majoritaires de son peuple et bascule dans une logique sécuritaire qui va à l’encontre même de ses intérêts, malgré tout ce qu’il pense.

Pourquoi ?

Parce qu’en combattant « le mal » de cette façon, on crée « le mal ».

En faisant passer de plus en plus de lois qui portent atteinte à l’ensemble des libertés individuelles, les gouvernements successifs poussent des citoyens soucieux de ces libertés à se protéger, à savoir chiffrer des communications, utiliser des outils de protection d’un peu d’intimité, comme un VPN…

Plus l’état sécuritaire se rapproche, moins il y a de différences entre les outils qu’un terroriste et moi utilisons.

Je chiffre certains mails, refuse explicitement d’utiliser Skype au profit de solutions plus respectueuses de mon intimité, parle avec des gens qui font pareil, chiffre mes sms, parfois mes appels et je suis soucieux de mon intimité.

Qu’est-ce qui, aux yeux d’un état devenu incapable de lire mes communications, me différencie d’un terroriste ?

Quelles sont les conséquences de tout ceci ?

Une politique de plus en plus sécuritaire, « pour votre sécurité ».

Les différents gouvernements ne sont pas stupides : ils savent que la loi vient punir des actes, des délits, des crimes… la loi n’empêche en aucun cas que ces actes arrivent.

Alors, que faire ?

C’est là que tout se joue. L’état, conscient que la loi n’empêche rien, souhaite pouvoir anticiper et… pour anticiper, il faut aller fouiller dans la vie de tout le monde. Cette façon de faire rend tout le monde méfiant vis à vis de tout, et de tout le monde.

Et cette attitude mène à quelque chose de bien pire que la censure : l’autocensure. Par peur de peut-être dire quelque chose d’interdit, par peur de peut-être se sentir observés, nous nous taisons. Nous sacrifions notre liberté d’expression pour une prétendue sécurité qui n’a toujours pas montré le bout de son nez et qui ne le montrera jamais. Un acte terroriste, par nature, est imprévisible. Rajoutons à cela que plus on observe tout le monde et plus on censure, plus les vrais terroristes se cachent, sur Internet comme ailleurs.

C’est donc ça, la leçon des attentats de Charlie Hebdo, icône de la liberté d’expression malgré lui ? Plus de censure ?

Nous basculons dans un système qui ressemble de plus en plus à une adaptation de « Minority Report », bien plus dangereux que le « Big Brother » que nous avons l’habitude de croiser dans quelques articles çà et là.

Un terroriste, quelqu’un qui a déjà basculé, sait très bien ce qu’il fait ou va faire. Il est pleinement conscient de ses envies et de ses actes, ce n’est pas un arsenal législatif qui va l’arrêter. La seule conséquence directe de tout ceci, c’est qu’il parlera là où il n’est pas observé. L’état aura perdu, et proposera alors un nouvel arsenal législatif encore plus poussé, et ainsi de suite… et pourquoi ne pas proposer d’interdire tout simplement le chiffrement de l’ensemble des communications ?

A forcer dans cette direction, l’état devient lui-même son ennemi et tout ce qu’il combat : un dictateur en herbe, ennemi de la liberté d’expression et potentiel ennemi d’Internet.

Alors, est-ce que l’état devient un état sécuritaire ?

Selon moi, c’est bien parti pour. Tout est là. L’exécutif qui prend le pas dans le difficile équilibre entre les pouvoirs, le législatif qui réagit à coup de mesures d’urgences et exceptionnelles qui deviennent la norme et judiciaire qui perd son sang froid. Tout y est.

Bien évidemment, tout ceci n’est que mon avis de simple citoyen. Et vous, quel est le votre ?