Étiquette : Politique

Le Président, la NSA, la loi renseignement et moi.

Dans quelques heures, la loi sur le renseignement sera votée, puis le conseil constitutionnel sera saisi par la représentation nationale.

Hier, Wikileaks a commencé à diffuser des documents liés à la France et aux décisions des chefs du gouvernement sur divers sujets.

Dans une délicieuse actualité, les documents de Wikileaks attestent de la surveillance des trois derniers présidents de la république, à savoir Jacques Chirac, Nicolas Sarkozy et François Hollande.

La NSA invoque la protection de la sécurité nationale pour justifier la mise sous surveillance de ces trois personnes. Ned Parker, porte parole du conseil de la sécurité nationale, a déclaré :

« Nous n’avons pas visé et ne viserons pas les communications du président Hollande. Comme nous l’avons déjà indiqué, nous ne menons pas d’opérations de surveillance à l’étranger sauf s’il existe un objectif de sécurité nationale spécifique et validé. Cela s’applique aux citoyens et aux dirigeants. Nous travaillons étroitement avec la France sur toutes les questions internationales importantes et les Français sont des partenaires indispensables. »

Résumons donc : la NSA se fiche complètement du status d’une personne, président ou pas, elle surveille qui elle juge nécessaire pour la « protection de la sécurité nationale ».

De son côté, le gouvernement se dit « choqué » et « outré par les pratiques de la NSA » et par cette surveillance :

«Le Conseil de Défense réuni ce jour a examiné la nature des informations diffusées hier soir par la presse, portant sur la période 2006-2012 et qui concernent le comportement de la NSA.

Il s’agit de faits inacceptables qui ont déjà donné lieu à des mises au point entre les Etats-Unis et la France, notamment fin 2013 au moment des premières révélations et lors de la visite d’Etat du Président de la République aux Etats-Unis en février 2014.

Des engagements avaient été pris par les autorités américaines. Ils doivent être rappelés et strictement respectés.

La France, qui a encore renforcé son dispositif de contrôle et de protection, ne tolèrera aucun agissement mettant en cause sa sécurité et la protection de ses intérêts. »

Source : http://www.elysee.fr/communiques-de-presse/article/conseil-de-defense-8/

Il est plaisant, du moins assez drôle, de lire ces déclarations alors que la loi sur le renseignement va être votée, d’ici quelques heures.

Pourquoi ?

Première raison

L’invocation de la sécurité nationale. Il suffit d’invoquer cette sécurité pour justifier à peu près tout et n’importe quoi, cette finalité étant assez vaste pour faire, à peu près à nouveau, tout ce qu’il est possible de faire.

C’est d’autant plus drôle que la loi sur le renseignement prévoit exactement la même chose, puisque dans les finalités qui autorisent la mise en place d’une surveillance, on trouve, en tête des raisons, la fameuse « atteinte à la sécurité nationale ».

Seconde raison

La loi sur le renseignement n’est pas une loi qui s’applique uniquement à la protection des intérêts français. C’est également une loi qui permet la promotion desdits intérets.

L’article 10 de la loi sur le renseignement crée une excuse pénale pour les agents des services. Ces derniers ont carte blanche pour pirater ce que bon leur semble, tant que leurs activités s’incrivent dans une des finalités du renseignement. Ils pourront donc pirater, récupérer des données de n’importe quelle manière, effacer ou copier n’importe quelle chose sans craindre de poursuites.

Bref, comme la NSA et le Patriot Act américain.

Voir Jean-Jacques Urvoas délarer…

C’est assez déplacé, pour ne pas dire grotesque, pour ne pas dire « Oui, Jean-Jacques nous prend vraiment pour des gros cons. »

Sachant que la loi renseignement permet ce que le gouvernement français reproche au gouvernement des Etats-Unis, sachant que Jean-Jacques Urvoas est le papa de la loi sur le renseignement, sachant que le motif invoqué, à savoir la « sécurité nationale », sert déjà de faux prétexte pour justifier certaines actions des services de renseignement, le pseudo choc de la classe politique est un énorme « allez-vous faire foutre » au peuple français.

Notre représentation politique juge inacceptable cette surveillance mais, dans le même temps, instaure exactement la même sur son propre territoire, en visant son propre peuple.

C’est une insulte au droit à la vie privée dont bénéficie, en théorie, chaque citoyen. Manifestement, ces personnes se pensent au dessus de nous, la plèbe.

J’ai hâte de voir la suite des révélations de Wikileaks…

[MAJ] On va fliquer les chômeurs ?

Mise à jour : @Elendol m’informe que le gouvernement à retiré cet amendement, ce que je confirme avec la mention « retiré avant discussion », présente sur l’amendement en question. L’entourage de François Rebsamen, ministre du travail, précise que le ministre ne souhaitait pas que l’amendement soit « interprété comme une volonté de stigmatiser les chômeurs« .

C’est une bonne chose que cet amendement soit retiré, mais cela n’enlève rien à la volonté du ministre, son entourage déclarant « le ministre s’est rendu compte que ça n’avait pas été suffisamment concerté. »

Comprenez par là que ce n’est pas le contenu de l’amendement qui dérange et que la volonté du ministre du travail reste sans doute identique. Il faudra donc être vigilent car cette proposition, expulsée par la grande porte, reviendra en douce par la fenêtre.

Article original

Chômeur.

Vous savez, c’est ce mot qui fait peur. Parce qu’être au chômage, ce n’est pas tant vivre que galérer. Ce n’est ni agréable, ni rassurant quant au retour à l’emploi, au regard des gens, à l’acceptation de cet état…

C’est ce petit moment de gêne, parfois, lorsqu’on doit déclarer « je suis au chômage, je n’arrive pas à trouver de travail ».

Ce sont aussi ces moments où il faut savoir garder son calme, face aux agents du Pôle Emploi qui sont débordés s’ils sont bons et se moquent de vous ou vous détruisent moralement lorsqu’ils ne le sont pas.

Enfin dans mon esprit c’est comme ça, pas dans celui du gouvernement, puisqu’il compte « fliquer » les chômeurs.

Dans le cadre de la prochaine loi sur le dialogue social et l’emploi, le gouvernement souhaite, via un amendement, lutter contre les fraudes des inscrits à Pôle Emploi.

Alors, je sais ce que vous allez vous dire, du moins j’en ai une assez bonne idée je pense « bah c’est pas plus mal, ça permettra aux gens qui sont vraiment dans la galère de continuer à toucher le chômage et ça servira de leçon à ceux qui fraudent. »

Oui, des personnes fraudent au Pôle Emploi. Comme partout. Oui, ces personnes là ont des pratiques discutables, pour ne pas dire complètement abjectes…

Mais, faut-il « punir » tout le monde pour la faute de certains ?

Que propose l’amendement ?

L’amendement propose de donner aux agents assermentés du Pôle Emploi un « droit de communication » (ce n’est pas sexy, c’est même difficile à lire, mais c’est nécessaire) :

« Art. L. 5312‑13‑2. – Le droit de communication permet d’obtenir, sans que s’y oppose le secret professionnel, les documents et informations nécessaires aux agents chargés de la prévention des fraudes agréés et assermentés mentionnés à l’article L. 5312‑13‑1 pour contrôler la sincérité et l’exactitude des déclarations souscrites ou l’authenticité des pièces produites en vue de l’attribution et du paiement des allocations, prestations et aides servies par l’institution mentionnée à l’article L. 5312‑1.

« Le droit prévu au premier alinéa s’exerce quel que soit le support utilisé pour la conservation des documents et peut s’accompagner de la prise immédiate d’extraits et de copies.

« Les documents et informations sont communiqués à titre gratuit dans les trente jours qui suivent la réception de la demande. Le refus de déférer à une demande relevant du présent article est puni d’une amende de 7 500 €.

« Sans préjudice des autres dispositions législatives applicables en matière d’échanges d’informations, le droit de communication défini au présent article est exercé dans les conditions prévues et auprès des personnes mentionnées à la section 1 du chapitre II du titre II du livre des procédures fiscales à l’exception des personnes mentionnées aux articles L. 82 C, L. 83 A, L. 83 B, L. 84, L. 84 A, L. 91, L. 95 et L. 96 B à L. 96 F ».

« En cas d’usage du droit prévu au premier alinéa, l’institution mentionnée à l’article L. 5312‑1 est tenue d’informer la personne physique ou morale à l’encontre de laquelle est prise la décision de supprimer le service d’une prestation ou de mettre des sommes en recouvrement, de la teneur et de l’origine des informations et documents obtenus auprès de tiers sur lequel est fondée cette décision. Il communique, avant la mise en recouvrement ou la suppression du service de la prestation, une copie des documents sus mentionnés à la personne qui en fait la demande. »

Source

Qu’est-ce qu’il faut comprendre de tout ça ?

Les amis de Next Inpact l’expliquent très bien ici : « En effet, ces agents pourront réclamer d’une longue série d’intermédiaires, toutes les données afférentes à un individu (facturations détaillées ou FADET, contrat, données de connexion, abonnements TV, etc.), sans passer par la case du juge. » (Marc Rees, Next Inpact)

On retrouve des éléments abordés il y a peu, sur le blog, en l’occurrence ceux de la loi sur le renseignement : absence du juge, toutes les données liées à un individu, données de connexion…

Comme avec le projet de loi sur le renseignement, ces pouvoirs ne porteront pas sur le contenu, mais comme je l’ai déjà expliqué dans ces colonnes, il n’est pas nécessaire de disposer du contenu pour tracer la vie d’un individu, sur Internet.

Chômeurs, vous passez donc de d’individus dans la galère à individus aux comportements suspects. Cette bascule n’est pas anodine, comme avec le projet de loi sur le renseignement, on part du postulat que vous avez quelque chose à vous reprocher et on vous rassure, si vous n’avez rien à vous reprocher, vous ne verrez aucun soucis à ce qu’on fouille un peu dans votre vie privée.

Au passage, sauf si vous êtes activiste ou militant, vous n’avez pas idée de la galère que représente cet argument, ce « si vous n’avez rien à vous cacher, vous n’avez rien à craindre ». Déminer cette communication devient de plus en plus difficile tant elle est martelée par le gouvernement et l’exécutif. C’était l’instant coup de gueule, revenons à ceux qui méritent toute notre attention…

J’insiste : dans quel pays est-ce juste de faire payer à tout le monde les fautes de certains ?

Une loi qui permet de s’introduire dans la vie privée de millions de personne, pour trouver quelques milliers de fraudeurs, est-elle juste ?

Pour moi et normalement, pour toute loi considérée comme adaptée, les moyens mis en œuvre doivent être en adéquation avec l’objectif désiré. Je ne suis pas intimement convaincu que mettre sous surveillance des millions de chômeurs soit une réponse adaptée.

Certes il faut lutter contre les abus, les fraudes et tout ce qui s’en rapproche, mais cela doit s’accorder avec le respect de la vie privée.

Enfin, si vous vous dites « Je m’en fiche, je ne suis pas chômeur », c’est que vous (NDLR: pardon) n’avez rien compris au problème. D’une part parce que rien ne vous certifie que vous ne le serez pas un jour et d’autre part parce qu’il est question de la vie privée de citoyens français, réfléchissez.

Lorsque les chômeurs, les hackers, les journalistes, les manifestants, les associations, les organisations et le reste sera réduit au silence….

Lorsque vous aurez besoin de faire entendre votre voix…

Qui sera-là pour se battre pour vous si plus personne ne le fait ou pire, si plus personne n’ose le faire?

Les boites noires, si ce n’est pas du DPI, qu’est-ce que ça sera ?

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.

Où est Charlie ?

Après le renforcement des moyens mis à disposition pour surveiller la population, la mise en place de la Loi de Programmation Militaire (LPM) et la loi sur le terrorisme, le gouvernement revient à la charge, cette fois-ci avec un projet de loi sur le renseignement.

Ce projet de loi dit « Renseignement » propose d’étendre à nouveau les moyens de surveillance de l’État, déjà bien renforcés avec les précédentes lois. L’objectif se veut ambitieux : mettre à jour les règles qui encadrent les différentes pratiques des services de renseignement.

Le principal but de ce projet de loi est, bien évidemment, le renforcement de la sécurité de l’État et de ses concitoyens, à savoir nous.

Est-ce que projet de loi est une bonne nouvelle ? Qu’est-ce que ça représente, concrètement ? Dois-je m’inquiéter, moi, citoyen français ?

C’est ce que votre serviteur va tenter de vous expliquer.

La « police » administrative.

Ce projet de loi propose d’étendre les mesures administratives.

Pour résumer de la façon la plus juste possible, dès lors qu’on touche à nos libertés fondamentales, c’est au juge, seul garant de nos libertés fondamentales, d’intervenir.

Ce projet propose de se passer du juge dans les cas suivants :

  1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
  2. Les intérêts majeurs de la politique étrangère, l’exécution des engagements internationaux, la prévention de toute forme d’ingérence étrangère
  3. Les intérêts économiques ou scientifiques majeurs
  4. La prévention du terrorisme, des atteintes à la forme républicaine et à la stabilité des institutions, de la reconstitution ou du maintien de groupement dissous
  5. La prévention de la criminalité et de la délinquance organisées
  6. La prévention de la prolifération des armes de destruction massive
  7. La prévention des violences collectives de nature à porter gravement atteinte à la paix publique

A la lecture de ces cas, une chose ressort : c’est vaste. Très vaste. Et flou. Tellement que je ne vous cache pas mon inquiétude quant aux moyens qui seront mis en œuvre pour atteindre des objectifs. On décide de se passer du juge sur des cas où sa présence est fortement requise.

D’ailleurs, ces moyens, quels-sont-ils ?

C’est là que j’ai l’impression d’être dans 1984. Non, ne partez pas, lisez jusqu’au bout.

Premier moyen

La CNCTR, pour commission nationale de contrôle des techniques du renseignement. Elle remplace la CNCIS, complètement débordée par la charge de travail. CNCIS qui est composée de trois membres, c’est évidemment trop peu pour agir lorsque les agences de renseignement sortent du cadre de la loi. Cela semble être une bonne nouvelle mais dans les faits, je n’en suis pas certain. Tout dépendra de la façon dont la CNCTR sera utilisée, ainsi que de ses membres et de ses moyens que l’on sait déjà plus importants que ceux de la CNCIS.

Second moyen

Des équipements dont on ne sait rien, installés directement dans les locaux des opérateurs (dont les fournisseurs d’accès à Internet). Ces « boites noires » devront « détecter, par un traitement automatique, une succession suspecte de données de connexion ». Qu’est-ce que cela signifie, en clair ? Que l’État sera capable de capter et conserver l’ensemble des données qui transitent par ces opérateurs. En résumé, il sera donc en capacité de surveiller l’ensemble de sa population et plus encore, puisque nous ne sommes pas les seuls à utiliser ces opérateurs.

La notion de traitement automatique est au moins autant inquiétante. Automatique, ça se traduit assez facilement : tu es un suspect ou tu ne l’es pas. Même si les programmes de traitement automatiques sont crées par des humains, l’informatique reste ce qu’elle est : un outil con qui ne connaît que le vrai ou le faux.

Ce principe est à rapprocher de la théorie des 51% largement abordée dans les différents scandales liés à la NSA et à ses vastes opérations de surveillance à l’échelle du globe : si il y a 51% de chances que tu sois un terroriste, alors, tu es un terroriste. C’est le principe de départ qui justifie la mise en place, partielle certes, mais existante, d’une surveillance. L’informatique n’a pas la finesse d’analyse d’un humain, qui lui-même n’a pas la finesse d’analyse d’un groupe.

En clair : un programme « con » viendra analyser tout ce que vous faites et détectera que votre comportement est peut-être suspect. Dès lors, vous deviendrez quelqu’un « à surveiller ». Pensez-y la prochaine fois que vous vous intéressez un peu trop à un sujet, des cours de chimie, à l’apprentissage d’une langue étrangère ou je ne sais quelle autre activité.

A partir du moment où on installe des équipements directement chez l’opérateur afin de capter des données, on parle de DPI, dixit une Alexandre Archambault, responsable des affaires réglementaires chez Iliad/Free.

Le DPI, je ne reviendrai pas dessus, je crois que je l’ai déjà fait , là et un peu partout sur le blog. Le terme de DPI est connu puisque les pires dictatures du monde s’en servent pour surveiller leurs concitoyens. La France entrera dans la danse, ce projet passera, à n’en pas douter.

Autre point : cette captation de données sera réalisée sans aucun intermédiaire, les agences de renseignements pourront donc se servir « directement », sans rendre de comptes à personne. Pas de juge, pas d’intermédiaires, ça commence à faire beaucoup.

Troisième moyen

La levée de l’anonymat des données. Le projet de loi prévoit que ces données soient anonymisées et, qu’en cas de suspicion, cet anonymat puisse être levé. Dans le même temps, le même projet prévoit que les métadonnées soient, elles aussi, aspirées. Les métadonnées sont des éléments liés à la donnée, sans être la donnée directement : un appel, c’est une donnée. Le numéro qui appelle, celui qui est appelé, le temps de dialogue, les antennes utilisées pour passer cet appel et tout ce qui gravite autour de l’appel, ce sont des métadonnées donc, même si la donnée est anonyme, il est simple de savoir qui se cache derrière.

Petit état des lieux : pas de juge garant de nos libertés, pas d’intermédiaires pour aller collecter les données, pas de réel anonymat, le tout étant géré par des robots, donc quelque chose qui, par définition, est stupide.

Quatrième moyen

Les IMSI catchers. Ce dispositif, qui se place entre un appareil mobile (type téléphone portable) et une antenne relais, permet de capter les données qui transitent. Ce dispositif existe déjà et est déjà utilisé par les services du renseignement français. Le projet propose d’autoriser l’IMSI catcher à collecter « dans certaines conditions, le contenu des correspondances ».

Seul problème : un IMSI catcher ne vise pas une seule personne mais toutes les personnes à proximité du dispositif, ce qui signifie que l’ensemble des données, de l’ensemble des personnes, sera capté, ce qui présente un sérieux problème avec la loi qui garanti le secret des correspondances. D’autant plus que ces données numériques pourront être conservées par l’État, certaines pouvant être conservées plus longtemps qu’actuellement, c’est une autre mesure du projet.

Sans juge, sans intermédiaires, sans anonymat, le tout géré par de la stupidité et avec des données privées de gens qui « étaient là au mauvais endroit, au mauvais moment ».

Cinquième moyen

L’obtention des clefs de chiffrement. Le projet de loi veut en finir avec les connexions et les échanges chiffrés, comme David Cameron au lendemain des attentats contre Charlie Hebdo. Il propose d’utiliser les moyens mis en œuvre par la loi sur le terrorisme afin de casser un mot de passe d’accès à une messagerie, la clef de chiffrement d’une adresse mail ou tout système de chiffrement qui lui fera obstacle.

A titre d’information, dans https, le « s » est là car votre connexion est chiffrée. Certains logiciels de communication sont également chiffrés et avec les « révélations Snowden », de plus en plus d’opérateurs activent le chiffrement des données par défaut.

Qu’est-ce qui arrivera si vous chiffrez vos échanges, comme des mails par exemple ? A mon avis, vous ferez grimper le « terroriste-o-mètre », souvenez-vous, les 51% …

Mais, personne n’est contre ?

Ohhhhh, si, bien entendu :

  1. La CNIL fustige le projet sur le renseignement : « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence »
  2. Le Conseil National du Numérique déglingue le projet : « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. »
  3. L’ordre des avocats de Paris s’inquiète : « Projet de loi  sur le renseignement : opacité et danger pour les libertés ? »
  4. La Quadrature du Net s’oppose au projet : « Renseignement : désastreuse dérive du gouvernement Valls sur la surveillance !« 
  5. Le syndicat de la Magistrature de dit « préoccupé », sur Numerama.

J’en passe mais citons aussi le CSM, des associations, des hackers, des experts connus et reconnus, Reporter sans Frontière, la FIDH et bien d’autres, qui s’inquiétaient déjà lors des précédentes lois… Et j’oubliais la Cour de Justice de l’Union Européenne, qui a déjà tapé sur la France en raison de certaines dispositions de surveillance, considérées comme insatisfaisantes car dangereuses pour la protection de la vie privée.

Côté couverture nationale, comme internationale, ce n’est pas très beau à lire, dans le Washington Post, sur Techdirt qui n’y va pas de main morte, puis sur l’Obs, 01Net parle clairement d’un « Patriot Act » à la française, chez Reflets (ou se côtoient journalistes, hackers et hacktivistes)… même la BBC en parle, alors que le Royaume-Uni n’est pas un modèle de protection de la vie privée.

Mon avis

Bah oui, parce que c’est un peu mon blog, quand-même.

Souvenez-vous d’un billet précédent sur la dérive de l’État sécuritaire, ou lisez-le. Dans ce billet, j’avais pris la vision la plus négative et la plus sombre possible pour l’avenir et croyez-le ou non, j’ai tendance à voir les choses en noir assez souvent… j’étais loin d’imaginer que ce projet puisse ne serait-ce qu’être souhaité par quelqu’un.

Comment est-il possible, en moins de deux mois, de passer de « Je suis Charlie », symbole malgré lui de la liberté d’expression, à « Je vais doter mon pays d’un outil capable de mettre toute ma population sous surveillance comme dans les grandes dictatures » ?

Car c’est bien de dictature, ou d’état sécuritaire, ou peut-être d’état policier dont il est question, mais plus de démocratie.

Je déclarais, il y a peu : « Un état sécuritaire, c’est un des pouvoirs qui donne la priorité, de façon excessive, à la sécurité. Il bascule peu à peu dans une logique d’augmentation des moyens de surveillance, de contrôle et de répression. Dans les pires situations, cette dérive vers un état sécuritaire mène à la dictature.« , je crois que ce projet de loi est une bonne représentation de la direction que nos élites veulent faire prendre à notre pays.

A ce titre, je vous invite à lire le très bon « Qu’est-ce que la démocratie ?», qui fait le rapport avec la loi Renseignement.

Le projet de loi est lisible ici, si vous le souhaitez. Et vous le souhaitez, au moins un peu. Si si. J’insiste.

.@Bcazeneuve, l’effet cigogne et la cybersurveillance

« 90% de ceux qui s’engagent dans des opérations terroristes s’engagent après avoir consulté des sites sur Internet »

Bernard Cazeneuve, Ministre de l’intérieur.

Ainsi s’exprimait M. Cazeneuve lors des dernières « QAG », la séance des questions au gouvernement. La réponse est faite suite à une question du député Galut sur les dispositif de cybersurveillance dans la lutte anti-terroriste et anti-criminalité. Si vous avez un doute sur la citation, vous pouvez la retrouver ici (à partir de 41 minutes 55 secondes), difficile de faire plus officiel comme source.

Mais, M. Cazeneuve, malgré tout le respect que je me dois de lui porter… qu’est-ce qui lui passe par la tête bordel !?

Étudions sa déclaration.

Il a raison. 90% de ceux qui s’engagent dans des opérations terroristes s’engagent après avoir consulté des sites sur Internet.

Sinon :

  • 90% des étudiants se servent d’Internet pour faire leurs recherches.
  • Plus de 50% de la population s’en sert pour simplement communiquer.
  • Plus de 80% des administrations françaises se servent d’Internet au quotidien.

Au mieux, sa déclaration est l’expression d’un raccourci douteux, au pire, elle est la représentation d’une mauvaise foi doublée d’une incompréhension totale sur le sujet, ce dont je doute, cet homme est intelligent, il sait parfaitement ce qu’il déclare. Ce qui est pire.

Oui, les terroristes utilisent Internet. Comme lui, moi, ou même vous qui lisez ce blog. Comment ne pas le faire ? C’est un média incontournable, même pour un terroriste en puissance.

Cette déclaration est donc vide de sens.

C’est « un effet cigogne » : elle mélange volontairement corrélation et causalité. Pour celles et ceux qui se demandent ce que c’est, démonstration :

Dans les communes qui abritent des cigognes, le taux de natalité est plus élevé qu’ailleurs. Les cigognes apportent donc les bébés…

En réalité, les cigognes sont généralement en campagne et dans les petits villages, où le taux de natalité est plus élevé qu’en ville. Il y a donc une corrélation entre deux phénomènes, sans que l’un ne soit responsable de l’autre. Donc, pas de causalité

Bernard Cazeneuve à décidé de prendre ce chemin dans ses déclarations et c’est bien dommage, car il sous entend à demi-mots qu’Internet est plus ou moins responsable du terrorisme. C’est ainsi qu’il compte, lui aussi, diaboliser Internet pour pouvoir proposer un nouvel arsenal législatif. Arsenal dont il parlera, à la fin de la réponse au député Galut.

M. Cazeneuve déclarera d’ailleurs « nous avons également sur Internet énormément de propos qui sont tenus, notamment sur des réseaux sociaux, qui sont  des propos racistes, antisémites qui sont tenus d’ailleurs sans qu’il n’y ait de régulation » …

Oublions un peu le discours à deux ronds et analysons-le : régulation de l’ensemble des communications afin qu’il n’y ait plus de propos racistes ou antisémites. Techniquement, Cazeneuve exprime cela, non ? Puisqu’il semble s’étonner qu’il n’y ait pas de régulation de ces propos.

D’ailleurs, cette déclaration, c’est faux. Il existe une régulation de ces propos et la loi les concerne aussi. Elle s’applique simplement après les faits. La scène de théâtre jouée par Cazeneuve lui permettra, le moment venu, de demander un contrôle a priori des propos tenus sur Internet, ce qui est tout bonnement impossible, sauf à basculer dans un système où la liberté d’expression n’est plus tant une liberté que ça.

Moins d’un mois après les attentats que nous avons tous en tête, c’est osé, pour ne pas dire déplacé.

Angleterre : et si c’était la fin des communications privées ?

C’est l’idée suggérée aujourd’hui par le premier ministre anglais, David Cameron.

Cette réaction fait suite aux drames dans les locaux de Charlie Hebdo, à celui de Montrouge et dans ceux d’une épicerie casher, où les victimes étaient juives.

« Dans notre pays, voulons-nous autoriser un moyen de communication entre les gens, que même dans les cas extrêmes avec un mandat signé personnellement par le ministre de l’intérieur, nous ne puissions pas lire ? »

– David Cameron, premier ministre anglais. –

Dans une société qui prend peu à peu conscience de l’ampleur de la surveillance des communications, cette déclaration fait l’effet d’une petite bombe qui, j’imagine, sera pourtant saluée par de nombreuses personnes.

Ma résolution de 2015, c’est d’écrire le plus souvent possible avec la tête froide, nous allons donc analyser les propos du premier ministre anglais.

Dans un monde « post-Snowden » où de plus en plus d’entreprises chiffrent directement leurs communications et celles de leurs clients, cette déclaration est brutale. Il faut se demander si les moyens proposés par Cameron sont réellement justifiés et adaptés.

Et, à mon avis, la réponse est non.

Il va de soi qu’il faut faire quelque chose et j’ose penser que vous serez d’accord avec moi. Cependant, cela ne doit pas se faire au détriment de la liberté qu’à chacun de pouvoir chiffrer ses communications afin de protéger un peu ses données personnelles et son intimité.

Nous pouvons également remettre en doute l’efficacité des moyens suggérés par Cameron. La traque aux terroristes, c’est un peu comme le jeu du chat et de la souris : lorsque le chat est assez compétent pour traquer la souris, cette dernière a déjà mis au point une autre technique pour ne pas se faire attraper.

J’ai déjà eu l’occasion de « traquer » des délinquants sur les Internets, des pédophiles aussi, et une chose est sûre : si le fait de chiffrer ses communications devient illégal, les terroristes & Co. iront voir ailleurs, plus loin, plus profondément dans les tréfonds des Internets.

A ma connaissance, la majorité de la population en capacité de protéger ses communications n’a pas l’envie de tuer son prochain, alors pourquoi vouloir appliquer quelque chose d’aussi violent à l’ensemble de ladite population ?

L’Angleterre, et Cameron en particulier, est connue pour sa politique de surveillance extrêmement étendue et, pour être moi-même anglais, je sais exactement de quoi je parle. La surveillance, c’est un des fers de lance de Cameron, comme ça l’est pour Nicolas Sarkozy ici.

Dans les faits, Cameron « surfe » sur un acte assez rare dans « notre bonne vieille Europe » et odieux pour justifier des choses qui, normalement, ne pourraient pas arriver. Il profite de l’instant et sans doute de l’émotion pour proposer le pire car, littéralement ou presque, le monde entier est en émoi.

Je doute que de telles déclarations, dans un climat aussi compliqué, soient une bonne chose.

S’il marque un point en déclarant qu’il faut faire quelque chose, sa proposition doit être modérée et analysée avec énormément de recul : Cameron est en campagne, les prochaines élections auront lieu au plus tard avant mai 2015 et David Cameron représentera le parti conservateur, en perte de vitesse face au parti UKIP, très nationaliste.

Cameron n’hésitera d’ailleurs pas à déclarer que « ceci arrive dans des cas extrêmes », alors que dans un même temps les lois anglaises sont extrêmement intrusives, sans pour autant être efficaces.

Résumons donc : Cameron a fait une déclaration, il souhaite interdire le chiffrement des communications, au titre de la protection de la nation. Ses déclarations font suite à des attentats et il « profite » de l’instant pour proposer quelque chose de totalement incohérent et disproportionné.

Espérons que ces déclarations ne restent que des déclarations… déclarations que vous pouvez regarder ici (en anglais)