Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ARCSI : renseignement et liberté numériques

novembre 2015 par Emmanuelle Lamandé

A l’occasion de ses 9èmes rencontres, l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) a souhaité mettre en avant un thème souvent controversé, mais ô combien fondamental : la protection des libertés individuelles et de la vie privée en regard de la sécurité et du renseignement. Pour ce faire, l’association a fait appel à d’éminents experts œuvrant chaque jour pour le respect de nos libertés et de notre sécurité sur le territoire. Ce débat est plus que jamais d’actualité, au vu de la récente Loi sur le Renseignement adoptée en France, et bien malheureusement du terrorisme qui tente aujourd’hui de gangrener nos valeurs. Une chose est sûre : notre Démocratie ne doit pas laisser place à la peur et à la terreur. Et même si la sécurité et le renseignement sont aussi des garants de nos libertés, ils doivent se faire dans le respect de nos principes fondamentaux, sans jamais perdre de vue que « Tout individu a droit à la vie, à la liberté et à la sûreté de sa personne » (article 3 de la Déclaration universelle des droits de l’homme).

Les partisans de la Loi sur le renseignement ont réussi à jouer de la peur du terrorisme pour offrir aux services de renseignement français les instruments juridiques dont ceux-ci n’osaient même pas rêver, souligne le Général Jean Louis Desvignes, Président de l’ARCSI. Le danger aujourd’hui est que ces auteurs d’actes de barbarie, ces criminels et terroristes aient effectivement gagné, puisqu’ils ont réussi à nous faire renoncer à nos principes démocratiques. De nombreux pays, dont la France et les États-Unis, ont aujourd’hui adopté des mesures et des moyens, en termes de renseignement et de surveillance de masse, qui pourraient faire pâlir les pires dictateurs de la planète.

Les attentats du 11 septembre 2001 ont, en effet, permis aux services américains de revendiquer des pouvoirs d’investigation exorbitants. Depuis, on observe aux USA un contrôle généralisé des communications. Les services de renseignement ont, quant à eux, exigé le maintien de failles « utiles », portant ainsi atteinte à l’informatique de confiance. Les révélations de Snowden nous dévoilent chaque semaine les incroyables programmes d’espionnage internes et externes des États-Unis. Mais curieusement c’est au moment où l’indignation gagne du terrain outre Atlantique, où les mouvements libertaires relèvent la tête et qu’on remplace le Patriot Act par le Freedom Act, que nos parlementaires eux adoptent, en dépit des mises en garde solennelles des personnalités et des instances juridiques les plus qualifiées, une des lois les plus liberticides jamais votée dans un pays démocratique. Cet arsenal visant à recueillir un flot monstrueux de données sur une multitude de gens innocents s’avère insensé, d’autant que les faits ont montré que ce n’est généralement pas un manque de renseignements sur les individus impliqués dans les événements terroristes, mais un manque de suivi de ceux-ci qui a permis leur passage à l’acte. On ne sait déjà pas traiter correctement ce que l’on sait, mais on en demande davantage !

Sans compter les dérives de cette surveillance de masse, largement exploitée par les acteurs économiques et politiques, qui veulent aujourd’hui tout savoir et tout connaître sur chacun d’entre nous à des fins bassement mercantiles. Mais cette situation n’est pas irrémédiable et rien n’est aujourd’hui perdu, si nous ne nous résignons pas à céder nos libertés au prix de la peur ou du je m’en foutisme.

La surveillance de masse au « service » des États, mais aussi au cœur d’enjeux économiques et politiques

La surveillance effectuée par les États et les entreprises se renforce effectivement aujourd’hui, constate le Professeur Jean-Jacques Quisquater. La grande crainte à l’heure actuelle est de se retrouver confronté au cyberterrorisme et à la guerre cyber. Face à cette peur, les États développent tout type de législations visant à renforcer le pouvoir des services de sécurité et de renseignement, et réduire celui des individus et même des chercheurs. C’est le cas, par exemple, au Royaume-Uni avec le Snooper’s charter, qui tend à limiter le droit de communication sur les failles trouvées et attaques potentielles. L’Australie a un projet similaire. La NSA publie, quant à elle, en moyenne 91% des failles et des exploits. Que fait-elle des 9% restants ? Fin octobre 2015, le Sénat américain a adopté le projet de loi controversé CISA (Cybersecurity Information Sharing Act), relative au partage d’informations liées à la sécurité informatique. Sans parler de la loi sur le renseignement en France…

Ces dérives ne concernent pas que la législation, elles servent directement les intérêts des acteurs économiques et politiques. A titre d’exemple, les politiques utilisent même aujourd’hui les nouvelles technologies et le Big Data pour influencer les élections aux États-Unis. En France, on réglemente surtout les sondages ; aux USA, on cible en temps réel l’électeur hésitant le jour J. Les militants peuvent désormais s’appuyer sur des logiciels, tels que National Builder, pour mener à bien leur campagne, comme une stratégie commerciale. Il faut également voir l’usage qui est fait des listes électorales. L’accès à cette liste coûte à peine plus de 100 dollars et permet d’accéder à de nombreux détails concernant les électeurs. Ces dérives sont très graves, car là il ne s’agit plus du tout de simples sondages.

Le concept de vie privée est, quant à lui, assez récent, souligne-t-il, et a été notamment défini en 1819 par Benjamin Constant, ou à travers les articles de Brandeis et Warren. Et dire qu’au 19ème siècle, les appareils photos Kodak, pourtant très restreints en termes d’usage à l’époque, inquiétaient déjà les foules quant au risque pour leur vie privée. Que devraient-elles dire aujourd’hui ?! La notion de vie privée varie également selon les cultures, explique-t-il. Par exemple, pour acheter son journal « Le Monde » en ligne en Belgique, donner son email suffit, en France il faut donner un certain nombre d’informations, dont la date de naissance. En effet, l’information, c’est le pouvoir ! Jeremy Bentham l’avait bien compris avec son concept de panoptique, visant à une surveillance totale de la société. Nous n’en sommes heureusement pas là aujourd’hui. De plus, il ne faut pas perdre de vue que le Web est encore « jeune », alors rien n’est gagné, rien n’est perdu, conclut-il.

Les opérateurs : entre le marteau et l’enclume…

Jean-Luc Moliner, Directeur de la sécurité du Groupe Orange, souligne, quant à lui, l’ambiguïté imposée aux opérateurs entre la protection des données des clients et de la vie privée, et la stratégie sécuritaire des États, les obligeant à coopérer avec les services de renseignement. Tous les pays imposent aux opérateurs d’assurer le secret des correspondances, tout en autorisant l’interception des communications, afin d’assurer la sécurité de la Nation. Il est donc difficile, bien qu’essentiel, de trouver le juste équilibre entre la protection des données et des utilisateurs, le respect des réglementations et la sécurité de l’État.

La notion de vie privée et la compréhension qui en est faite varient, quant à elles, selon les acteurs, les cultures et les pays. Ainsi, la vie privée n’est pas perçue de la même manière si l’on se trouve en France, en Europe, en Afrique, dans des pays soviétiques… En outre, la notion de surveillance de masse s’avère complexe pour les opérateurs, car ils utilisent des sondes sur leurs réseaux. Tous les firewalls installés sur les systèmes font du DPI (Data Packet Inspection). Après, l’éthique repose sur l’utilisation qui en sera faite et la vérification de cet usage. La majorité des opérateurs respectent aujourd’hui le droit à la vie privée de leurs clients, mais la gratuité met en péril le système. Sans compter que les géants de l’Internet, comme Google ou Facebook, tentent d’imposer leur vision du Web, selon laquelle la vie privée n’existe plus. Quelle est la légitimité de ces acteurs ?

La donne change également dans le monde des télécoms avec l’Internet des objets, et la masse faramineuse de données associées. Avec les objets connectés, on rentre à 100% dans la transparence et il n’y a plus aucune vie privée. Même le grille-pain le matin sait combien de personnes mangent et quelles sont leurs habitudes… En effet, avec le Big Data, les métadonnées, l’Internet des objets… le monde numérique ne garantit plus la vie privée. Les différentes corrélations permettent de remonter les données même si elles ont été anonymisées au préalable. Les techniques de fingerprint sont mortelles pour la vie privée. Cela laisse toujours des traces, permettant de récupérer toutes les informations du navigateur et de l’utilisation qui en sera faite. Pour ne pas être pisté, la meilleure solution est encore, selon lui, de se déconnecter…

Les objets connectés sèment aux quatre vents nos données… y compris de santé

Cette problématique de l’Internet des objets est également prépondérante dans le domaine de la santé, qui s’avère de plus en plus connectée, souligne Vincent Trely, APSSIS. L’écosystème qui encadre le milieu de la santé est à la fois spécifique et complexe, avec une variante humaine majeure. En effet, certaines pratiques médicales ne s’accordent pas avec les exigences de sécurité, car elles traitent l’urgence. De leur côté, les systèmes de santé communiquent aujourd’hui largement entre eux, mais font face à des problèmes d’interopérabilité et des parcours de données hétérogènes. Les informations médicales se font toujours plus nombreuses et circulent partout. Les objets connectés de santé se déploient, quant à eux, massivement, mais soulèvent d’importants écueils en matière de sécurité. Ces nouveaux usages complexifient encore plus les processus de protection des données patients pour les hôpitaux, les sociétés et les collectivités. Cette vague d’objets connectés ressemble à un tsunami : tensiomètre, montre, balance, ceinture, fourchette, tétine, couche-culotte… tout est connecté aujourd’hui ! Sans compter l’explosion du Quantified Self auprès des particuliers.

Ce phénomène facilite amplement la fuite ou le vol d’informations, et simplifie grandement le travail des pirates, pour qui les données de santé représentaient déjà une poule aux œufs d’or. En outre, il accroît considérablement leur champ d’actions. Conséquence de tout ça : les vols de données médicales se multiplient, en France comme à l’étranger, et les attaques significatives sur les SI de santé se font de plus en plus fréquentes. D’ailleurs, 2015 pourrait bien être l’année du piratage des hôpitaux, avec une croissance de 600% en un an. Dans ce contexte, comment peut-on envisager l’interconnexion des dispositifs médicaux au sein d’un espace de confiance ? Et de quelle manière peut-on déterminer ce qui aura vraiment un impact positif sur notre parcours de santé et le différencier du simple gadget ?

Le problème est qu’aujourd’hui notre technologie a dépassé notre humanité, constate-t-il. L’objet connecté de santé est actuellement le dernier rempart avant le corps connecté. De plus, les nouvelles générations abordent désormais ouvertement leurs problèmes de santé sur les réseaux sociaux et sur Internet, sans aucune pudeur ni conscience des risques. L’ignorance relative à l’usage et à ses conséquences pose débat. Mais comme le disait Winston Churchill : « Mieux vaut prendre le changement par la main avant qu’il ne nous prenne par la gorge. »

Il soulève, de plus, le problème du tissu de petits établissements de santé présents sur le territoire français. Dans le cadre du programme « hôpital numérique », qui vise à moderniser les systèmes d’information hospitaliers en France, plus de la moitié d’entre eux seront incapables d’atteindre le niveau de sécurité demandé. Ces établissements seront donc certainement obligés de recourir à l’externalisation. En outre, il souligne la potentielle dangerosité d’un système central de données patients, car celui qui obtient la mainmise dessus aura tous les pouvoirs. Les problématiques qui encadrent l’informatique de santé sont donc complexes, d’autant que ce sont souvent les patients qui achètent aujourd’hui leurs objets de santé sans avis médical et… que les acteurs médicaux doivent faire avec… On peut également se demander ce qui est fait des données collectées via les applications et objets connectés.

Selon lui, c’est la philosophie humaine qui redéfinira à terme la notion de confidentialité. Cependant, il faudra sans doute attendre une ou deux générations avant que l’humanité ne contrebalance pour revenir à terme à un équilibre.

Homo-numéricus ou quanto-crétin ?

Pour Solange Ghernaouti, Université de Lausanne, nous ne devons pas attendre que ce changement vienne des générations futures. Il faudrait, au contraire, que nous soyons dès à présent acteurs de cet équilibre à trouver.

L’informatisation de la société répond, avant tout, à une logique de rationalisation économique, rappelle-t-elle. Nous évoluons actuellement dans un écosystème où règnent la quantophrénie et la datafication, c’est-à-dire la mise en données du monde, du mouvement, de la vie, du corps… Tout est données, métadonnées, algorithmes… La quantophrénie repose sur la quantification de tout et l’absence de prise en compte de ce qui n’est pas quantifiable. Nous sommes gouvernés par la tyrannie de la transparence absolue des êtres et des choses, et le dictat du prédictif. Dans ce schéma, même le temps réel est dépassé. Ces pratiques créent de nouvelles dépendances, et une évolution non-naturelle du monde qui favorise la croissance économique. Le capitalisme numérique est basé sur l’exploitation des données, créant ainsi des « cyber pouvoirs » : surveillance, abus, espionnage, guerre, terrorisme… La technologie devient une « arme » de conquête et de domination. Notre société s’articule autour d’un modèle de surveillance de masse, dans lequel nous devenons peu à peu complètement assujettis aux politiques sécuritaires des États, mais aussi aux GAFA (Google - Apple - Facebook - Amazon). Ces acteurs récoltent des informations massives et construisent un savoir sur les surveillés, créant une asymétrie du pouvoir. Facebook est-il aujourd’hui le plus gros fichier anthropométrique facial existant à travers le monde ? Quelle est la responsabilité, si ce n’est l’irresponsabilité, de ces acteurs qui captent, traitent, croisent et échangent les données ? Quid de celle des utilisateurs ?

Nous sommes aujourd’hui dans l’incapacité de maîtriser les dépendances et interdépendances existant entre les infrastructures et les services. On observe une imbrication de plus en plus prégnante des sphères politique, économique et technologique, mais aussi du biologique et du technologique. Nous évoluons actuellement vers un « nouvel » humain. Mais que restera-t-il vraiment demain de l’humanité ? Les droits humains sont bafoués dans l’écosystème numérique. Cette croissance économique qui passe aujourd’hui par le numérique met, en effet, en balance la surveillance par rapport à nos libertés. L’insécurité et la défiance se généralisent. Les décisions sont, quant à elles, souvent prises dans l’urgence. Sans compter que la mondialisation et la gouvernance de l’Internet n’ont pas encore trouvées de réponses politiques, économiques et humaines fortes, pourtant nécessaires. D’autant que l’avenir sera encore plus complexe qu’aujourd’hui…

Il convient, de plus, de s’interroger sur les compétences à donner aujourd’hui aux nouvelles générations. Demain, les enseignants laisseront place à des acteurs, tels que Google Academy, et les étudiants disposeront d’un certain libre arbitre quant à leur savoir. Toutefois, il faut faire en sorte que les individus soient capables demain de penser les contrôles. Nombreux sont ceux aujourd’hui qui ne sont pas sensibilisés à ces problématiques et ne s’indignent pas de ces sujets. Pourtant, ces problèmes sont aussi entre nos mains aujourd’hui et celles de nos politiques. Cependant, la mise en œuvre d’une sécurité « raisonnable » est-elle véritablement possible ? Le juste équilibre entre vie privée et protection n’est-il que pure utopie ? Quoi qu’il en soit et quelles que soient les mesures de sécurité adoptées, il est certain que le gardien devra être bien gardé.

Vers de nouvelles infrastructures… « intelligentes » ?

Philippe Wolf, SystemX, s’intéresse de son côté à la sécurité de ces nouvelles et futures infrastructures, dites intelligentes, et aux nouveaux services associés. Le Big Data, c’est déjà du passé, explique-t-il. L’avenir se trouve dans l’Internet des objets, qui n’est autre que la connexion de tout et n’importe quoi. Nous évoluons vers un monde de systèmes de systèmes, dans lequel il ne faut pas négliger les nouveaux usages et sentiments de l’homme à la machine. On attend de nombreuses ruptures dans ces nouveaux territoires intelligents : informatique ubiquitaire, nanotechnologies… Toutefois, nous avons perdu beaucoup de libertés avec ces nouvelles technologies.

Le projet EIC (Environnement d’Interopérabilité pour la Cybersécurité), mené par l’Institut de Recherche Technologique SystemX, vise à mettre en œuvre une plateforme expérimentale et technique en cybersécurité, appelée CHESS (Cybersecurity Hardening Environment for Systems of Systems). Celle-ci permettra d’évaluer le couplage de technologies de cybersécurité à travers des cas d’usage innovants dans le domaine des Smart Grids, de l’Usine du Futur, du Transport Connecté et Autonome et de l’Internet des Objets. La composante humaine, politique et économique est également prise en compte, car elle ne peut être dissociée des technologies de défense de ces nouveaux Systèmes d’Information interconnectés.

L’objectif est de développer de nouvelles architectures de sécurité qui permettront de sécuriser l’Internet des objets. Cela passe, par exemple, par l’isolation des fonctions critiques, notamment pour les objets hautement sensibles, tels que les voitures. L’IRT souhaite aussi continuer à investiguer et démontrer l’intérêt de systèmes basés sur la cryptographie homomorphe en matière de cybersécurité. Le but du chiffrement homomorphe, explique Renaud Sirdey, CEA, est de faire en sorte qu’un serveur puisse traiter les informations, uniquement à partir de données chiffrées, sans jamais avoir à faire à des données en clair. Ce chiffrement accepte n’importe quel programme informatique. On peut même faire fonctionner des calculateurs et algorithmes que l’on ne connaît pas. Il y a 6 ans, le coût de ce type de chiffrement était beaucoup trop élevé, ce qui n’est plus le cas aujourd’hui. On commence à voir plusieurs applications concrètes. Toutefois, savoir calculer sur des données chiffrées ne résout pas tous les problèmes. La cryptographie homomorphe répond à certaines problématiques de sécurité, mais doit aussi dans certains cas être couplée à d’autres techniques de sécurité. Renaud Sirdey est également chercheur à l’Institut de Recherche Technologique, et collabore au projet EIC Digital HC@WORKS. L’objectif de ce projet est de construire trois pilotes intégrant le chiffrement homomorphe dans les domaines suivants : les systèmes de détection d’intrusion, l’open source data analytics et la e-santé.

En matière de cybersécurité, la résilience est un facteur clé, souligne Philippe Wolf. Nous devons partir du principe que tout n’est pas sécurisable et qu’il n’existe pas de solution universelle. Il va donc falloir faire des choix et des compromis, mais aussi définir les meilleures solutions en prenant en compte le niveau de sécurité et de résilience. La protection des données privées se trouve également au cœur d’enjeux majeurs. A titre d’exemple, le rêve de Google, pour ne pas dire la réalité…, est de stocker 100% des données d’un utilisateur, afin d’avoir une totale transparence sur sa personne et son intimité. Le Programme de surveillance électronique de la NSA consacre également une fiche à chacun d’entre nous et essaie au fur et à mesure de remplir les cases avec les différentes informations nous concernant. Et ces acteurs ne sont pas les seuls à courir après nos données personnelles… La Loi, à elle seule, n’est pas suffisante pour protéger la vie privée, les données, les SI ou les objets connectés. Plusieurs techniques existent d’ores et déjà afin de renforcer la protection et la privacy. On peut citer notamment les fonctions d’anonymat, de pseudonyme, de non-observabilité, ou encore celle rendant impossible l’établissement d’un lien entre les informations. Pourtant, les produits développés aujourd’hui, même ceux certifiés, n’intègrent pas ces fonctions de protection de la vie privée… alors que les cybercriminels eux ont pris une large avance en la matière.

Une aberration, surtout quand l’on sait que la protection de la vie privée est l’un des fondements mêmes de la Déclaration universelle des droits de l’homme datant de 1948. Selon l’article 12, « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. » Il est essentiel aujourd’hui de faire de la protection de la vie privée un facteur prépondérant et différentiel.

Il faut remettre le citoyen au cœur du système

La France dispose à l’heure actuelle d’un arsenal juridique visant à lutter contre les atteintes à la vie privée, souligne Maître Isabelle Landreau. Toutefois, s’il s’avère aujourd’hui plutôt efficace dans des cas d’atteintes directes (usurpation d’identité, piratage de données bancaires, rançongiciels…), beaucoup reste encore à faire en matière d’atteintes indirectes, qui sont plus sournoises.

L’objectif est aujourd’hui, selon elle, de rendre la donnée aux citoyens. Ces derniers doivent se saisir et être maîtres de leurs données. Pour ce faire, il faut repenser le business model et remettre le citoyen au cœur du dispositif, déjà en y intégrant son consentement préalable. Nous devons pouvoir disposer d’un « opt-in » system, avec une information complète en amont et un consentement préalable des utilisateurs avant toute utilisation. Des outils existent pour cela, c’est pourquoi la technique doit impérativement collaborer avec le juridique. Les conditions générales de vente et d’utilisation restent de plus complètement inappropriées aujourd’hui et sont à revoir. Il faut donc intégrer le citoyen et le libre consentement dans le business model. Ce problème de consentement est également lié aux différentes utilisations qui seront faites de nos données. En effet, on peut très bien consentir une certaine utilisation de la donnée (par exemple : publicité), mais pas à une autre (transmission à des tiers…).

C’est un citoyen qui est à l’origine de la décision de la CJUE concernant le Safe Harbor, explique-t-elle. Cette disposition représente un grand pas en avant, car elle montre que le citoyen peut faire changer les choses aujourd’hui. Même s’il reste dommage que nos autorités de contrôle n’aient pas initié cette démarche auparavant…

Le gardien doit être bien gardé

Tout fichier est en soi une atteinte au respect de la vie privée, souligne Emile Gabrié, Expert de la CNIL. Toute création ou modification d’un fichier de renseignement fait l’objet de réglementations strictes et d’une déclaration préalable auprès de la CNIL. La question est de savoir si cette atteinte à la vie privée est justifiée et en adéquation avec le but recherché. Pour être conforme, tout traitement de données doit respecter les 5 règles d’or de la Loi Informatique et Libertés, à savoir le respect des principes de finalité et de proportionnalité, de la durée de conservation, des droits d’accès, de rectification…, et enfin des obligations relatives à la sécurité et à la confidentialité des données.

Toutefois, explique-t-il, la protection des données à caractère personnel n’est ni un obstacle à la réalisation des missions des services de renseignement, ni à la survie des entreprises ou de l’économie. La Loi Informatique et Libertés est relativement élastique et permet, en cas de nécessité, d’importantes dérogations aux services de renseignement. Les principes fondateurs de la CNIL sont d’ailleurs communs et partagés avec ces services, en termes de finalité et de proportionnalité. La principale différence repose surtout sur la durée de conservation qui sera faite de ces données, car les services de renseignement souhaitent garder leurs informations le plus longtemps possible afin de rester réactifs quant aux signaux faibles. Cette conciliation entre protection des données et renseignement devient également une nécessité économique, puisqu’elle aura de plus en plus un impact direct sur notre économie, comme on a pu le voir récemment avec l’invalidation du Safe Harbor. C’est, en outre, une nécessité politique, car l’opinion publique, concernant la forte augmentation des moyens technologiques, juridiques ou budgétaires dont disposent ces services de renseignement, compte également.

Cependant, un contrôle administratif de ces activités de surveillance devra bien entendu être mis en place. Aujourd’hui, le contrôle du respect de la protection des données à caractère personnel, qui sera effectué dans le cadre de la Loi sur le renseignement et des informations recueillies, reste encore à définir. Mais quoi qu’il en soit, il faudra un contrôle de ce contrôle.

L’hypersécurité doit laisser place à l’intelligence collective

Enfin, pour Jérémie Zimmermann, La Quadrature du Net, le monde occidental a aujourd’hui basculé vers un modèle d’hypersécurité. Cela se traduit à la fois dans le rapport des citoyens avec l’État, mais aussi des individus entre eux. L’évolution de la société s’articule autour de la notion de « peur ». En effet, dans ce modèle d’hypersécurité, nous sommes obligés de nous protéger de tout, tout le temps et contre tout le monde. On pense que l’hypersécurité est la solution absolue pour lutter contre les menaces et le terrorisme. Selon une étude américaine, les mesures de surveillance de masse mises en place aux États-Unis après le 11 septembre auraient été utiles dans moins de 1% des cas de lutte contre le terrorisme. Par contre, elles servent largement l’espionnage économique et politique, et pourraient également être utilisées par n’importe quel régime autoritaire. Cette surveillance de masse sert avant tout l’État et les politiques qui font marcher la peur, ainsi que les institutions qui ont besoin de ça pour augmenter leurs budgets, ou encore ceux qui profitent des algorithmes et analyses prédictives, tels que les sociétés de services, les banques et les assurances. Globalement, elle sert le modèle économique du numérique, du Big Data, qui est aujourd’hui devenu Big Brother.

Quand on observe les mécanismes de cette surveillance de masse, on s’aperçoit qu’il y a une philosophie commune, à commencer par une agrégation et une hypercentralisation toujours plus massive de toutes les données possibles et des communications. A titre d’exemple, pas une semaine ne passe sans que Google ne lance un nouveau service qui va venir agréger les données. N’importe quel service de renseignement rêve aujourd’hui d’avoir accès aux données des GAFA, et cherchera à y parvenir. Cet agrégat d’informations représente un réel danger pour les individus. Cette surveillance de masse se caractérise aussi, selon lui, par la propriétarisation et le sabotage actif des données. A titre d’exemple, nos téléphones contiennent aujourd’hui deux puces chacun, mais la puce du modem du téléphone n’est jamais documentée. Les utilisateurs n’ont plus aucun moyen de contrôler ce qu’il y a dedans, ni plus largement dans leurs nouvelles technologies.

L’objectif de ces acteurs économiques est de maintenir l’utilisateur dans son ignorance. La confiance avec ces acteurs est à jamais rompue dans ces partenariats commerciaux. Toutefois, nous sommes tentés d’imaginer autre chose même si c’est compliqué, voire utopiste. Nous devons reprendre aujourd’hui le contrôle de nos machines, de nos technologies, de nos données et de nos vies.

Selon Jérémie Zimmermann, un autre modèle permettrait de penser différemment l’informatique et la sécurité, reposant entre autres sur le logiciel libre. Ce dernier appartient à tout le monde, souligne-t-il. C’est la potentialité collective qui fait toute la différence et donne la capacité à tous de travailler ensemble. Ce logiciel libre doit être associé à du matériel, dont les spécifications sont rendues publiques. On doit pouvoir connaître les spécifications des technologies que l’on utilise. Outre le logiciel et le matériel libres, ce modèle passe aussi par des services décentralisés. Il faut donner aux utilisateurs la capacité de reprendre le contrôle de leurs données et leur redonner la main, au moins en partie. C’est là que se trouve le point de levier : partager sa connaissance en miroir de cette ignorance. Le modèle de l’hypersécurité repose sur cette ignorance, et sert à assouvir la puissance des États, ce qui risque d’ailleurs de se retourner à terme contre eux. Cette hypersécurité et surveillance de masse préparent le terrain pour les régimes autoritaires futurs. Le modèle d’une sécurité distribuée repose, quant à lui, sur une connaissance partagée. Ceux qui ont l’expérience et la connaissance doivent la partager. La sécurité distribuée se trouve dans les mains des utilisateurs, ce qui permettrait en outre de bâtir une résilience beaucoup plus étendue. Ce modèle augmenterait la légitimité des institutions, et la mise en commun des ressources entre les individus, les entreprises et l’État serait, en outre, créatrice d’emplois et de valeurs. Il s’agit ici de miser sur l’intelligence collective plutôt que sur la peur. Mais seule l’histoire tranchera, conclut-il.

« Tout individu a droit à la vie, à la liberté et à la sûreté de sa personne »

Notre liberté, d’expression, de pensée, d’action, de libre arbitre… est ce que nous avons de plus cher et de plus précieux actuellement, d’autant qu’elle est le fruit de notre histoire et que beaucoup se sont battus pour que nous puissions vivre Libres. Nous ne devons pas céder cette liberté au prix de la peur et de la terreur, qui tente aujourd’hui de ronger notre société et nos valeurs. Toutefois, il ne faut pas non plus perdre de vue que, sans sécurité, cette liberté n’existerait pas. Les services de sécurité et de renseignement ont été mis sur pied, à l’origine, pour nous protéger et défendre nos libertés. Comme toujours, le risque majeur réside dans les dérives qui en sont faites. Sécurité et renseignement ne doivent pas signifier Big Brother, et la surveillance de masse ne doit pas servir les intérêts bassement mercantiles d’acteurs économiques ou politiques. Toute mesure de sécurité mise en place dans le monde numérique, comme physique, doit faire l’objet d’une juste mesure et d’un juste équilibre, en gardant toujours à l’esprit l’un des principes fondateurs de notre Humanité : « Tout individu a droit à la vie, à la liberté et à la sûreté de sa personne. » (article 3 de la Déclaration universelle des droits de l’homme).




Voir les articles précédents

    

Voir les articles suivants