Vie privée et infidélité : mariage consumé.

Le site AshleyMadison.com s’est fait pirater ses bases de données, plus de 37 millions de clients risquent de voir leur vie intime exposée. Le compteur « plus de 37.565.000 membres » prend un tout autre sens maintenant.

Qu’on se le dise, votre serviteur n’est pas pour les pratiques du site AshleyMadison.com, qui offre une solution aux hommes et femmes mariés en recherche d’une liaison adultère. Pour autant, comme toute fuite de données privées, nous allons en parler.

Que s’est-il passé exactement ?

Il semblerait que les bases de données du site se baladent dans la nature et que certaines menaces apparaissent avec, notamment celle de publier toutes les données « in the wild ».

The Impact Team – qui n’a rien à voir avec Next Inpact, espérons-le – revendique le piratage et exige la fermeture de l’ensemble des sites gérés par Avid Life Media, le groupe qui gère AshleyMadison.com ainsi que deux autres sites du même acabit.

La société déclare avoir déjà identifié le ou les membres de The Impact Team, déclarant qu’il pourrait s’agir d’un ancien employé de la société.

Les raisons de la colère?

Selon un message de The Impact Team, l’action fait suite à un « faux droit à l’oubli », payant de surcroit. Le site propose en effet de supprimer toutes vos données personnelles (résultats de recherche, contenus, photos, messages…) pour 19 dollars, mais ne le fait pas, ce que la team est en capacité de démontrer.

En résumé, l’éditeur du site masque simplement les données pour qu’elles n’apparaissent plus. Si on ne les voit plus sur le site, elles n’en restent pas moins présentes sur les serveurs dudit éditeur.

Pour le reste des explications, allez lire l’article de Guillaume Champeau, dont je me suis fortement inspiré.

Une action collective ?

La question mérite d’être posée : si les données sont publiées, est-ce que les clients du site peuvent se retourner contre l’éditeur ?

Si ce dernier n’est pas l’auteur du piratage, il n’en reste pas moins qu’il a vendu une prestation – la suppression des données personnelles – sans l’honorer, puisque les données fuitent maintenant dans la nature. Les clients de ce site sont peut-être dispersés aux quatre coins du globe, envisagent-t-ils d’attaquer Avid Life Media pour manquement à ses obligations ?

Une question de confiance. (Encore.)

L’éternelle question de la confiance revient sur la table : « Doit-on accorder notre confiance à un site lorsqu’on sait qu’un jour il sera peut-être piraté ? » .C’est un problème complexe où la réponse ne peut se résumer à un simple « oui » ou « non », le oui revenant à ne pas prendre en compte ces dangers, le non revenant à ne plus rien faire sur Internet.

La question est d’autant plus importante que les données de ce site sont très particulières, on ne parle pas de bisounours mais d’adultères, de désirs et souhaits sexuels, d’orientation sexuelle aussi, de choses qui touchent globalement à la sphère très intime de ce qui définit la vie privée.

La divulgation de ces données pourrait porter préjudice à l’ensemble des clients, dans de nombreux domaines de ces derniers. On pourra me répondre « ils n’avaient qu’à pas tromper » mais c’est une réponse à une action sans doute composée d’énormément de paramètres dont nous n’avons pas forcément connaissance, c’est trop simple, c’est un ressenti que tout le monde ne partage pas. La simple existence de ce genre de sites en est la preuve.

Bref, la confiance, revenons-y. Comme j’en parlais très récemment au sujet de Google, lorsque je demande la suppression des données, qu’est-ce qui me garantit que la demande est prise en compte et effective ?

Google n’est pas en reste, puisque ce problème existait déjà avec Facebook, quand vous supprimiez une donnée, elle restait stockée sur les serveurs de Facebook, la société désactivait simplement son affichage, comme Google, comme AshleyMadison…

Cliquer sur le bouton supprimer revient donc à croire un simple « faites-moi confiance », sans garanties supplémentaires.


edit : je me permets un petit ajout suite à divers tweets que j’ai pu voir passer, qui se « réjouissent » de cette nouvelle, en condamnant les clients et surtout les clientes dudit site…

Premièrement, il n’y a aucune différence entre un homme qui trompe son ou sa partenaire et une femme qui trompe son ou sa partenaire. Non. A ce titre, un « homme à femmes » n’est pas un Don Juan et une « femme à homme » n’est pas une….

Pour terminer : saviez-vous que certaines personnes (très très très largement des hommes) frappent, battent et parfois tuent leur femme lorsqu’ils apprennent qu’elle a commis l’adultère ?

Alors, que vous soyez d’accord ou non avec la pratique, de grâce, réfléchissez.

[MAJ] Windows 10 : lorsque votre ordinateur ne vous appartient plus.

Mise à jour : Après revérifications, j’ai corrigé une partie du billet, partiellement obsolète. La création d’un compte Microsoft ne sera plus requise (si rien ne change entre les versions actuelles et la version finale), il sera toujours possible de créer un compte local sur la machine. En revanche, je n’ai pas noté de changements sur la captation des données utilisateurs.

Voici le paragraphe en erreur, il est corrigé dans le billet : « Nous le savons depuis quelques temps déjà, Windows 10 enregistrera chaque activité sur votre ordinateur, il faudra disposer d’un compte Microsoft pour utiliser le système ou à défaut, en créer un. »


Billet à l’origine :

L’information est confirmée par l’ami Guillaume Champeau, sur Numerama : Windows 10 installera ce qu’il veut chez vous.

Résumé

Microsoft a confirmé l’information : la version « particuliers » de Windows 10 ne permettra pas de choisir les mises à jour qu’on souhaite installer. Microsoft pourra donc, à sa guise, installer ou désinstaller, mettre à jour ou modifier n’importe quel programme ou logiciel présent sur « votre » ordinateur.

La société confirme par la même occasion que seules les versions « professionnelles » de Windows 10 permettront de désactiver les mises à jour automatiques.

Explications

« Le contrat de licence de Windows 10 exige que la Mise à Jour Automatique soit permise pour faire en sorte que nos clients restent en sécurité et pour fournir Windows en tant que service », nous indique Numerama.

Ainsi, on invoque la raison de la sécurité pour justifier ce passage en force sur les mises à jour. Si l’argument de la sécurité est positif, on peut légitimement douter du bien-fondé de la solution proposée.

Windows est le système le plus répandu, à ce titre, il est la cible la plus intéressante pour des pirates et des attaques informatiques. Je comprends la volonté de Microsoft : ils veulent assurer un maximum de sécurité aux utilisateurs en maintenant à jour un système assez vulnérable.

Mais à quel prix ?

Revenons au cœur du sujet : forcer la main à ses utilisateurs revient à les déposséder du pouvoir qu’ils ont, à les destituer du titre « d’administrateur » de la machine. Avec Windows 10, votre système ne vous appartient plus. Il n’est, tout au plus, qu’une partie d’un tout et on pourrait considérer que Microsoft s’étend géographiquement à l’échelle planétaire.

Cette perte de souveraineté de votre machine n’est pas uniquement liée à un besoin sécuritaire. Microsoft utilise cet argument car il est relativement aberrent de souhaiter moins de sécurité sur son propre système, mais les mises à jour forcées ne concerneront pas uniquement la sécurité…

Microsoft compte utiliser ce système de mises à jour imposées pour générer plus de revenus : puisque le système sera, soyons francs, intégralement contrôlé à distance par Microsoft, rien ne les empêchera de proposer de la publicité ciblée.

Nous le savons depuis quelques temps déjà, Windows 10 enregistrera chaque activité sur votre ordinateur, il faudra disposer d’un compte Microsoft pour utiliser le système (NDLR : il sera toujours possible, après vérifications, de créer un compte local sur la machine, je n’ai, en revanche, pas d’informations sur la collecte des données dont il est question au début du paragraphe). Cette information combinée à la récente confirmation de Microsoft a de quoi inquiéter : d’un côté Microsoft récupère tout ce que vous faites, de l’autre il vous force la main pour mettre à jour votre système, sans doute en utilisant vos propres données pour « améliorer l’expérience client et être au plus près de vos besoins », comme on dit dans le marketing.

Comprenez par-là : « oui, nous vous observons, sur un système que vous ne contrôlez plus, nous collectons vos données, les analysons et forçons les mises à jour de notre système, tout ceci pour vous profiler et vous proposer du contenu adapté, afin de générer plus de revenus. »

C’est, à mon sens, une très mauvaise nouvelle pour la protection de la vie privée des utilisateurs du prochain système. Utilisateurs qui risquent d’être nombreux puisque Microsoft propose une bascule automatique et gratuite de Windows 7 et 8 à Windows 10. Tout est parfaitement orchestré.

Une question de choix

Je ne suis pas convaincu que cette stratégie soit un réel gain pour l’utilisateur: toutes les mises à jour seront concentrées à un seul et unique endroit. Si c’est déjà le cas avec Windows Update, ce dernier donne le choix dans l’installation des mises à jour.

On argumentera que la quasi-totalité des utilisateurs laissent les paramètres par défaut et que ces derniers entrainent des mises à jour automatiques, mais jusque-là, les utilisateurs avaient quand même le choix, même s’ils ne s’en servaient pas.

Vraiment sécurisé ?

Là non plus, je ne suis pas convaincu du bien-fondé de cette stratégie : imaginons qu’une mise à jour foireuse soit forcée, qu’est-ce qui se passera ?

Si les mises à jour sont forcées, il deviendra moins simple de savoir ce qui a été installé ou non. Sachant que c’est déjà assez compliqué, le nom des mises à jour Microsoft n’ayant rien à envier à un texte en grec ancien…

Enfin, imaginons qu’une attaque informatique réussisse à injecter un virus, un malware ou tout autre code malicieux dans Windows Update, qu’est-ce qui arrivera ? Va-t-on assister à la création d’une armée d’ordinateurs prêts à attaquer une cible, tous commandés par un seul « cerveau » ? Le scénario semble exagéré, mais il est concevable.

Le système de mises à jour de Microsoft deviendra la pierre angulaire de tout le système alors, au-delà de mes critiques sur la perte de souveraineté, sur les risques pour votre vie privée et sur ceux liés à la sécurité, j’espère qu’ils feront extrêmement attention à ce qu’ils font… mais, chers lecteurs, permettez-moi d’en douter, au moins en partie.

Google et le « bug » des photos

Ce billet fait suite à une information de janvier qui parlait du forcing de Google sur son application « photos ».

Petit résumé. Au mois de janvier 2015, Google décidait de mettre à jour son application « Photos » afin de la lier à « Google+ », obligeant au passage à activer ladite application, sans pour autant avoir besoin d’un compte sur le réseau social.

Suite à de nombreuses remarques, au mois de mai de la même année, Google dissociait l’application « Photos » de son réseau social, sans changer réellement son fonctionnement. L’application se connecte toujours au Cloud de Google et héberge toujours les photos et vidéos du téléphone.

Lorsqu’on installe et active l’application, il y a donc synchronisation de vos contenus sur le cloud de Google…. tout fonctionne normalement, tout est merveilleux.

Le hic ?

C’est que l’application « Photos » synchronise à la perfection vos photos et vidéos… même quand elle est désactivée ou supprimée.

Dans la logique des choses, on se dit « si je désinstalle ou désactive l’application, la synchronisation s’arrête », j’ai le plaisir de vous annoncer que non. Un journaliste du Nashville Business Journal (EN) en a fait la mauvaise expérience.

Mieux ! La synchronisation fonctionne toujours en désactivant Google+ et même Google Drive, qui gère pourtant la connexion du téléphone au cloud Google.

Résumons à nouveau : si vous avez, un jour, installé l’application « Photos », qu’elle soit maintenant désinstallée ou désactivée, il est possible que vos photos et vidéos soient encore synchronisées sur le cloud de Google, bref, sur l’ordinateur de quelqu’un d’autre sur lequel vous n’avez aucun pouvoir.

Google répond qu’il suffit de désactiver la synchronisation des photos depuis son compte Google, ce qui semble effectivement fonctionner, mais qu’en est-il des contenus déjà récupérés par les services de la firme ?

Qu’en est-il du traitement et de l’exploitation des données récupérées « à l’insu » de l’utilisateur ?

Enfin, qu’est-ce qui me confirme que c’est réellement supprimé ? Ce n’est pas parce que cela n’apparait plus sur mon espace de stockage que cela n’existe plus, l’expérience Facebook l’a démontré : lorsque vous supprimez un message privé, il n’est pas réellement supprimé, vous ne pouvez plus le voir mais il reste stocké sur les serveurs de Facebook.

Google semble déclarer qu’il s’agit d’un bug mais – même si je suis conscient d’être un peu parano – qu’est-ce qui me dit que c’est réellement un bug ? Combien de contenus ont été récupérés ainsi ? Combien d’utilisateurs sont au courant de ce problème ?

Prenons un exemple tout con : le sexting. Combien de photos intimes, partagées dans une sphère privée, ont été récupérées par Google sans l’accord desdits photographiés ?

Et ne me dites pas « ils n’avaient qu’à pas le faire », ce n’est pas une réponse acceptable.

Comme en janvier, ce n’est pas dans mon intérêt que j’écris ce billet mais dans l’intérêt du plus grand nombre, j’ai la connaissance suffisante pour éviter ces problèmes, comme je le disais…

« De ceux qui n’ont peut-être pas la connaissance nécessaire pour réaliser l’opération? De celles et ceux qui ne sont pas des petits geeks et qui peuvent se sentir mal à l’aise avec un téléphone ? »

Nous retombons dans ce cas précis. Un utilisateur « lambda » pensera que désinstaller une application suffit à stopper son fonctionnement, dans une période où la protection des données personnelles est de plus en plus présente, il n’est pas acceptable que Google, une énorme société disposant de moyens colossaux, laisse trainer un « bug » comme celui-là.

Vie privée : que devient votre ordinateur une fois HS ?

C’est une question qui mérite d’être posée selon moi. Lorsque vous confiez votre ordinateur portable ou fixe à un réparateur informatique et que ce dernier préconise le remplacement de la machine, qu’est-ce qui se passe ?

Est-ce que l’ordinateur est simplement jeté aux ordures ? Détruit ? Démonté pour récupérer les quelques pièces encore fonctionnelles ?

Et si c’est un PC portable, qu’est-ce qui se passe ?

Dans la théorie

De nombreuses entreprises font appel à des sociétés de collecte de matériel, chargées de récupérer et gérer ce qui doit être détruit ou jeté.

N’étant pas expert du domaine, je ne sais pas s’il existe une législation spécifique à la collecte, l’enlèvement d’équipements, au traitement et à la destruction de ces derniers.

Dans la pratique

Comme c’est très souvent le cas, la pratique est un peu éloignée de la théorie. Certaines entreprises, afin d’éviter des frais supplémentaires, préfèrent tout « balancer » sans se soucier des conséquences liées à ces actes, tant sur le plan environnemental que sur le plan des données récupérables.

Dans d’autres cas, c’est la société de collecte elle-même qui ne s’ennuie pas à démonter, gérer et traiter les déchets, tout termine dans une déchetterie est rien n’est correctement séparé.

Expérience personnelle

Le hasard fait que j’ai été mis en contact avec une personne qui a récupéré un ordinateur en provenance d’un stock de matériel informatique à jeter. Ce stock venait d’un SAV. Je n’ai volontairement ni pris connaissance du nom du SAV, ni de celui de la société de collecte de matériel qui aurait dû jeter l’ordinateur mais qui a préféré le récupérer car l’ordinateur semblait encore utilisable.

Ayant connaissance de ma sensibilité aux données personnelles, mon interlocuteur m’a contacté pour faire le point sur l’ordinateur et surtout sur les données contenues.

NDLR : Je tiens à préciser que tout ce qui suit a été réalisé dans l’unique but d’écrire ce billet, aucune donnée n’a été copiée, sauvegardée ou déplacée. L’acte pourra vous sembler « malsain », j’en suis désolé, j’ai estimé qu’il était nécessaire pour la suite.

J’ai donc démarré l’ordinateur, qui n’était protégé par aucun mot de passe. C’était un ordinateur relativement classique, d’un utilisateur relativement classique.

Sans outils de récupération quelconque, voici ce que j’ai pu retrouver :

  1. Des données de connexion à certains comptes de réseaux sociaux (Facebook par exemple)
  2. Des données de connexion Skype
  3. Le profil Firefox en entier, favoris, historique, mots de passe enregistrés
  4. Un certain nombre de documents, stockés dans « mes documents »
    1. des factures
    2. une carte grise
    3. des tableaux Excel contenant des données financières
    4. des données professionnelles
    5. des données intimes (images à caractère explicite, je n’ai pas fait de recherche spécifique dessus, tout était dans le même dossier) et le nom des personnes aux données intimes.

En recroisant quelques données, je suis donc en capacité de

  1. savoir à qui appartient l’ordinateur
  2. savoir quelles sont les personnes liées au propriétaire
  3. connaître une partie des activités du propriétaire
  4. connaître le travail du propriétaire
  5. récupérer des documents internes à son entreprise
  6. récupérer un certain nombre de documents très personnels, parfois extrêmement explicites
  7. d’usurper une identité en ligne (je rappelle que c’est un délit, cf. Article 226-4-1 du Code Pénal – crée par la LOPPSI II en 2011).

Evidemment, je n’ai rien fait de tout ceci mais j’imagine ce qu’il est possible de faire si ces données tombent entre de mauvaises mains.

Une question de confiance

Les questions soulevées par cette situation sont nombreuses.
Est-ce un cas isolé ? Rare ?
Peut-on avoir confiance dans un service après-vente et dans ses procédures, si procédures il y a ?
Peut-on avoir confiance dans une société de collecte de matériel ?
Existe-t-il des précédents avérés liés à ce genre de situation ? Une usurpation d’identité ? Un chantage pour récupérer de l’argent ? De la revente de données personnelles ? Une « effraction numérique dans l’intimité des personnes » ?

La fin de vie d’un ordinateur est un aspect très souvent négligé, cela ne devrait pas être le cas. J’espère que cet humble billet fera prendre conscience de l’importance de cette étape à certains.

« Nos agences se sont clairement égarées »

Tels étaient les mots prononcés par Eric King, le directeur de Privacy International, une Organisation Non Gouvernementale (ONG) espionnée par le GCHQ, équivalent britannique de la NSA américaine ou de nos services du renseignement, dans cette bonne vieille France.

Mercredi dernier, l’IPT (Investigatory Powers Tribunal), un tribunal britannique chargé d’enquêter sur la légalité des pratiques des services du renseignement, admettait que certaines ONG étaient illégalement surveillées, Amnesty International faisant partie des ONG espionnées.

Retour sur les faits

Mercredi donc, le président de l’IPT a envoyé un mail à Amnesty International, mail dans lequel il explique que des documents ont été portés à sa connaissance depuis le premier jugement et qu’ils viennent modifier ladite décision du Tribunal, rendue le 22 juin 2015.

La première décision rendue par le tribunal faisait suite à une plainte déposée par dix ONG, où le tribunal, dans sa décision initiale, déclarait que deux ONG étaient illégalement surveillées : L’Egyptian Initiative for Personal Rights et le Legal Resources Centre in South Africa.

Dans sa seconde décision, celle du 22 juin, le tribunal déclare qu’il s’est trompé et que ce n’est pas L’Egyptian Initiative for Personal Rights qui était illégalement surveillée, mais bien Amnesty International.

Le GCHQ garde sa ligne de communication

Du côté du GCHQ, la communication ne bouge pas : il n’y a surveillance que lorsque qu’il y a une menace sérieuse sur le pays, la surveillance ne sert qu’à cette finalité, dans le respect de la loi.

On peut se demander en quoi une organisation comme Amnesty International représente une « menace sérieuse pour le pays », leurs méthodes sont éloignées de toute forme de violence, ils préfèrent l’échange et la communication et c’est tout à leur honneur.

La réponse est apportée par la décision du Tribunal : rien ne justifie la surveillance d’Amnesty International, puisque le Tribunal juge cette dernière illégale.

La réaction d’Amnesty

Elle est assez vive, comme vous pouvez l’imaginer : « Il est inacceptable de constater que ce qui est présenté comme étant du domaine des dictatures puisse exister sur le sol anglais, instauré par le gouvernement anglais. »

Au-delà de la vive réaction d’Amnesty International, ces révélations pourraient avoir un impact très négatif sur les relations qu’entretient l’ONG avec d’autres organisations et d’autres individus.

« Comment mener à bien un travail crucial, à travers le monde, si les défenseurs des droits de l’Homme et les victimes d’abus encourent le risque de voir nos échanges confidentiels tomber dans les mains du gouvernement ? »

Le fonctionnement de l’IPT

Les copains de Next Inpact l’expliquent très bien : « Le tribunal n’a l’obligation de révéler une surveillance donnée à la personne morale ou physique que s’il conclut au caractère illicite du processus. »

En résumé : si le GCHQ n’a avait pas commis des erreurs, constatées ensuite par l’IPT, les ONG n’auraient jamais été informées qu’elles étaient sous surveillance et que cette surveillance n’était pas légale et cela aurait perduré, des années qui sait.

Sans sombrer dans la paranoïa, on peut tout de même imaginer que d’autres personnes, d’autres groupes ou ONG sont également surveillées. Que cette surveillance est tout autant illégale que la surveillance d’Amnesty International, à la différence que le GCHQ n’a pas fait la même erreur.

Qu’est-ce qui me prouve que le GCHQ n’espionne pas d’autres personnes ou d’autres ONG ? Rien.
Nous savons qu’Amnesty International était espionné à cause d’une erreur et j’imagine que des erreurs, c’est rare.

On peut imaginer que la Fédération Internationale des ligues Droits de l’Homme (FIDH) est espionnée, que RSF l’est, que n’importe quelle organisation l’est, en fait.

Les déclarations du GCHQ sont des mensonges, comment leur faire confiance pour la suite ?

Et en France ?

La loi sur le renseignement est actuellement au conseil constitutionnel pour une quadruple saisine (Assemblée Nationale, Président du Sénat, Président de la République et AFDEL) mais, dans les finalités de ladite prochaine loi, des choses similaires au fonctionnement du GCHQ existent.

Ainsi, il n’est pas inconcevable d’imaginer que les services du renseignement français se mettent à espionner une ONG. Si ce n’est pas une organisation terroriste, il n’en reste pas moins que certaines ont une influence politique. Il suffira de dire que telle ONG est surveillée pour tel motif afin qu’elle n’en sache jamais rien et que tout ceci soit jugé conforme à la loi.

ONG, membres d’associations, sortez couverts.

Retour de #PSES2015 : ma conférence « 2.0 »

Le festival Pas Sage En Seine s’est déroulé du jeudi 18 juin au dimanche 21 juin 2015.

Lors de l’évènement, j’ai tenu une conférence intitulée «La vie privée et la loi sur renseignement », initialement intitulée « Vie privée est loi sur le renseignement, pourquoi cela ne fonctionne pas ? »

S’il vous vient l’envie de regarder cette conférence, sachez que c’est par ici que ça se passe, ou par ici si vous ne disposez pas de Flash Player, sinon, c’est juste en dessous pour récupérer ça chez Youtube :

https://www.youtube.com/watch?v=jzWkw4GtayA

Le but de ce billet est de revenir un peu sur ma conférence et de rajouter des éléments que je n’ai soit pas eu le temps de présenter, soit que j’ai simplement oublié lors de ladite conférence.

Premièrement : le « buzz » sur le projet de loi.

Mon premier objectif était de « briser notre bulle », sortir de notre zone de confort où beaucoup pensent que tout le monde a déjà entendu parler de la loi sur le renseignement, ce qui est malheureusement faux.

Dans les faits, une grande majorité de la population n’en a pas entendu parler du tout. Si nous avons l’impression que c’est plutôt l’inverse, c’est parce que la quasi totalité de notre petit monde en parle, que des journaux en parlent, que quelques gus sont invités dans des émissions pour en parler mais, au final, cela ne touche que notre monde et peut-être une infime partie des quelques personnes plus ou moins sensibles aux questions que nous nous posons déjà sur cette loi, votée depuis peu à l’Assemblée nationale.

On me dira que pour ACTA, il y avait du monde, beaucoup de monde : c’est vrai. Mais c’était un « concours de circonstances » : Megapuload venait de tomber, les Anonymous étaient de la partie et ACTA arrivait en même temps. Pour la majorité des personnes à l’époque, les manifestations n’étaient pas contre ACTA mais pour Megaupload, au moins en partie. Je ne remets pas en cause la très belle victoire hein, mais je garde quand-même la tête froide.

Second temps : changer d’approche.

Le texte de loi est clairement mal rédigé. Ce constat n’est pas de moi, il est, à l’origine, d’un juriste que je connais et qui m’a déclaré « il va me falloir plus de paracétamol que d’habitude ». Le texte est donc mal rédigé, du moins, encore plus mal rédigé que d’habitude quoi.

NDLR : au premier ou à la première juriste qui viendra me déclarer : « oui mais s’il y a le métier de juriste ce n’est pas pour les chiens, laisse la loi à ceux qui comprennent », je vous conseille de venir avec des protections parce que ça va faire très mal et cela commencera par : « Laisse l’informatique à ceux qui comprennent et ferme-là alors . » et je déteste profondément cette vision.

Je pense que c’est assez clair, cet argument est complètement con.

Donc, constat : un texte très mal rédigé, assez flou alors que la loi, en France, est généralement très précise et… pour ne rien arranger, nos explications peinent à convaincre celles et ceux étrangers à notre monde de geek, bidouilleurs et hacktivistes.

Nous avons donc un double problème initial : un texte mal rédigé et de mauvaises explications, dans le sens où elles ne sont pas du tout adaptées au public que nous visons. Elles sont trop lointaines, floues, ne concernent pas directement le public à qui nous tentons de nous adresser et, de facto, semblent tellement lointaines qu’elles ne représentent pas, dans l’esprit des gens, une réelle menace.

Ce problème se retrouve dans les crises humanitaires ou vis à vis de la famine par exemple : c’est loin, donc cela ne nous regarde pas. De récentes campagnes de communication visuelles jouent d’ailleurs sur ces aspect là pour éveiller les consciences.

Troisième temps…

Tenter de trouver des éléments plus percutants pour faire prendre conscience aux gens qu’au final, ils sont bel et bien concernés par la loi sur le renseignement.

Là, je vous invite , à nouveau, à visionner ma conférence.

Les rajouts :

Je profite de mon billet pour rajouter le plus d’éléments possibles, ainsi que les sources dont je me suis servi :

La déclaration de Jean Jacques Urvoas : « Toutes les conversations seront écoutées mais toutes ne seront pas enregistrées » a eu lieu à la radio, sur RMC, vous pouvez retrouver un résumé de cette interview ici (RMC est lié à BFMTV, désolé).

Les éléments qui me poussent à dire qu’il sera bien question d’analyse de réseaux sociaux, ou ARS.

  1. INRIA sur Le Monde
  2. La déclaration de Jean-Yves le Drian qui souhaite retrouver les auteurs et lecteurs de vidéos de décapitation, pour croiser les données il faudra forcément faire de l’ARS.
  3. La façon dont cela va fonctionner, comme l’explique l’INRIA,les experts de l’ARS, ainsi que les experts dans le secteur informatique.

Les éléments qui me poussent à dire que le « boites noires » vont travailler sur de l’analyse de profils.

La déclaration de Bernard Cazeneuve lors des séances à l’Assemblée nationale :

« Mes services de renseignement ont pu, par des échanges d’informations, savoir que des terroristes procédaient, sur le darknet, à des communications cryptées donnant des éléments précis sur leur intention de commettre des actes terroristes. […][Les terroristes utilisent] une multitude d’adresses IP qui se masquent les unes les autres, à partir de messages postés depuis différentes boîtes situées partout sur la planète. » – source

Les éléments qui me poussent à dire que le gouvernement est inspiré du Patriot Act.

http://web.archive.org/save/http://www.senat.fr/rap/r14-388/r14-3886.html
http://web.archive.org/save/http://www.senat.fr/rap/r14-388/r14-3886.html

Dans le lien précédent, on découvre une source d’inspiration de la loi sur le renseignement, j’ai nommé le Patriot Act. Le morceau de texte choisi dit, en résumé, que le Patriot Act c’est mal… mais qu’en même temps cela a crée beaucoup de choses positives donc il serait bon de s’inspirer pour la prochaine loi sur le renseignement. J’ai mis le lien du rapport du Sénat sur archive.org pour être certain de le retrouver sans mal.

Les divers échanges lors des débats à l’Assemblée Nationale et au Sénat n’ont fait que confirmer mes impressions, malgré les déclarations des ministres et du rapporteur Jean-Jacques Urvoas, combinées aux liens précédents et à l’analyse de certains juristes. Il me semble cohérent de déclarer que la loi sur le renseignement est directement inspirée du Patriot Act, pourtant fortement critiqué par les défenseurs du texte de loi français.

Enfin, pour clôturer

La loi sur le renseignement n’instaure pas une surveillance généralisée mais une surveillance de masse, la différence est importante.

La surveillance généralisée surveille absolument tout le monde, la totalité de la population française par exemple. Ce n’est actuellement pas possible, tant pour des raisons matérielles que financières, sans oublier que la surveillance de toute une population est strictement interdite par l’Europe et que je vois mal la France déclarer « oui, nous allons surveiller tout le monde ».

La surveillance de masse, c’est une surveillance dont le fonctionnement ne repose pas sur un individu mais sur « un profil ». Je vous invite, à ce sujet, à lire un autre article publié sur Le Monde, par un Directeur de recherches à l’INRIA.

Pour faire plus simple : on ne surveille pas Mohamed Merah car c’est Mohamed Merah, on le surveille car les outils et moyens qu’il utilise correspondent au profil recherché. Le problème c’est que les outils de Merah sont potentiellement utilisés par d’autres. Partant de ce postulat, on comprend facilement le danger : j’utilise les mêmes outils, des activistes aussi, des journalistes également…

Basculer d’une surveillance qui surveille des personnes à de la surveillance de profils, c’est extrêmement dangereux.

Si vous avez vu ma conférence et que vous souhaiter en parler, n’hésitez surtout pas, ici ou ailleurs.